风险内控：如何从“人控”到“机控”

　　日前，由东北财经大学中国内部控制研究中心以及中财智研（北京）科技有限公司等专家组成的联合课题组研发的“行政事业单位风险内部控制信息系统”正式出炉——让风险内控实现从“人控”到“机控”的转变，受到业内关注

　　根据《行政事业单位内部控制规范（试行）》，“单位应当充分运用现代科学技术手段加强内部控制。对信息系统建设实施归口管理，将经济活动及其内部控制流程嵌入单位信息系统中，减少或消除人为操纵因素，保护信息安全”。那么，这一最新研究成果如何让风险内控实现从“人控”到“机控”的转变？经济日报记者采访了相关专家。

　　突破内控信息化落地难题

　　“内部控制是指单位为实现控制目标，通过制定制度、实施措施和执行程序，对经济活动的风险进行防范和管控。实施好内控规范，对于提高我国行政事业单位整体管理水平，改进公共服务的质量和效率，规范财经秩序以及建设服务型政府均具有重要意义。”参与此课题的东北财经大学会计学院副教授唐大鹏告诉记者。

　　然而，从全国总体情况来看，无论是内部控制概念演变、政策要求还是体系建设，均实现了从静态到动态、从片面到全面、从抽象到具体的发展升级过程。但在研究深度、实施方法和信息化落地等方面，还存在明显不足。为此，项目组开展了“行政事业单位风险内部控制系统研究——暨内部控制法规库、风险库和对策库分析”课题研究与理论成果转化实践，力解内控信息化落地难题。

　　据了解，单位内部控制建设能够以流程固化权力运行路径，以关键节点明确权力运行标准，并通过制度优化逐步减少管理盲区，保障单位行政运行合规合法，以及业务履职效率效果。而制度落地的有效手段就是信息化——内部控制信息化的实施进度及推进深度，已成为检验内部控制制度设计和执行效果的最优方法和手段。

　　唐大鹏介绍，研究团队基于外部法律法规，结合单位管理实际，依据内部控制原理，构建了行政事业单位内部控制法规库、风险库、对策库，既包括行政事业单位内部控制建设标准，又涵盖制度体系内容，还可以将其嵌入信息系统，以更加高效的方式推进行政事业单位内部控制建设。

　　“法规库、风险库和对策库以法规为准绳诊断内部控制问题、提出解决策略，强调‘整合内容，精准定位’。3大库对行政事业单位内部控制相关法律法规、潜在风险、控制措施进行了系统梳理，并详细准确地体系化构建了相关内容。”中财智研（北京）科技有限公司董事长郑丹萍表示。

　　业内专家认为，针对行政事业单位内部控制建设与实施过程中可能存在的问题，这项研究融入了不相容岗位相互分离、内部授权审批控制、归口管理、预算控制、财产保护控制、会计控制等内部控制方法，提出了精细化的防范措施，真正实现了责任的细化归口和权力的有效控制，不仅有利于各种防范措施的推行与运用，也为后续的实践检验奠定了理论基础。

　　构建“三大库”夯实内控基础

　　“我们建立法规库作为信息系统建设依据，风险库作为信息系统建设框架，对策库作为信息系统建设内容。通过这3大库为风险内控信息系统打下坚实基础。”唐大鹏说。

　　这3大库究竟包含哪些内容呢？唐大鹏介绍，法规库在梳理行政事业单位内部控制建设的政策沿革基础上，依据内部控制原理，按照分类别、分环节的原则，对基本经济活动业务相关的一系列国家法律，以及部门规章制度进行拆解重组，形成内部控制理念下的行政事业单位内部控制法律法规体系。

　　其中，法规库建设范围包括预算管理、收支管理、采购管理、合同管理、建设项目管理、资产管理6大基本经济业务的法律法规，并重点详细解构了477个法律法规12954条。

　　风险库是指依据建立的内部控制法规库，综合考虑行政事业单位管理体制与管理流程，在单位内部管理模式与外部政策法规要求逐一比较的基础上，基于制度设计有效性进行风险识别，而形成的行政事业单位内部控制潜在风险点的集合。

　　“按照制度是否存在、是否合理、是否有效执行，可将风险类型概括为制度设计风险和制度执行风险两大方面，制度设计风险又可分为制度缺失和制度设计不合理两类风险。与制度相对应的是责任主体和控制单据，因此在制度风险的基础上，继续衍生出责任主体是否落实、落实到哪个部门和哪个岗位及控制单据是否存在、是否设计合理等风险。”唐大鹏介绍。

　　风险库共有1308个风险点，主要包括330个制度设计风险（含165个制度缺失风险、165个制度设计不合理风险），483个制度执行风险，165个责任主体风险，330个单据风险（含165个单据缺失风险、165个单据设计不合理风险）。

　　对策库则是指在行政事业单位内部控制法规库和风险库的基础上，以内部控制理论和法规库标准为依据，对不同类型的内部控制风险提出相应解决措施，形成风险控制措施集合。对策库共有1287个控制措施，主要包括246个制度设计措施，486个制度执行措施，涉及单位领导、预算管理委员会、财务部门、预算管理部门、业务部门、采购需求部门、采购归口部门、资产管理部门、资产部门、基建部门、施工单位、谈判小组、询价小组、验收小组、审计部门等落实主体。

　　“法规库是风险库和对策库的标准和依据，其业务环节细分维度横向贯穿风险库和对策库；风险库则依据内部控制风险识别原理，将法规库标准与单位制度机制相比较，形成业务环节细分维度下的各类型风险点；对策库则是依据内部控制风险应对原理，将法规库标准与风险库风险点结合，形成业务环节细分维度下，与各类型风险点相对应的控制措施。”郑丹萍这样描述3大库之间的逻辑。

　　为内控提供全流程解决方案

　　“对于任何一项研究成果，必须通过实际应用发挥价值、不断完善。”唐大鹏介绍，研究团队根据课题创新成果，借力全国内控领域知名专家的技术支持，集聚国内领先的信息化专业团队，深入开展内部控制与绩效评价咨询服务，以及信息化平台建设工作，为企业事业单位提供了一款高效、快捷、专业的全流程全业务解决方案。

　　据了解，作为该课题的转化产品，中财智研行政事业单位内部控制与绩效管理平台涵盖预算业务、收支业务、采购业务管理、资产管理、建设项目管理、合同管理、绩效考核7大功能。该信息系统为行政事业单位提供了一个规范、行之有效的处理方案，帮助领导对单位的业务情况一目了然，各层级员工各司其职、合规运作，在提高单位工作效率的同时，通过决策、执行和监督的三权分离，及时有效防范工作中的各类风险。

　　“我们通过手机端客户平台的建设，可实现涵盖待办任务审批、经费事前申请、经费报销申请和培训班预算功能，支持微信集成分享与消息推送、发票扫码、附件拍照上传、电子签名等功能，轻松便捷、快速高效。”郑丹萍说。

　　新系统如何与已有系统衔接呢？“不用担心系统重复搭建的问题，因为这一系统可实现与原有系统有机对接，同步运行。通过大‘OA’+业务系统的模式，以及接口互联模式，能够轻松与原有系统对接，保留有用的数据，既节约成本、减少浪费，又能综合运用新系统提升单位的效率。”郑丹萍说。

　　据了解，该系统已经在一些行政事业单位内试点应用，取得了良好用户评价。业内人士认为，该平台采用纯浏览器和服务器架构模式，具备灵活、强大的业务定制功能；易用性强、系统各模块布局合理、操作简单方便；系统安全性高，通过有效的安全机制保证数据安全可靠，同时符合用户使用习惯，是一套兼具先进性、安全性和前瞻性的行政事业单位内部控制与绩效管理平台。

　　“下一步，我们将继续探索创新，进一步有效发挥3大库的作用和价值，继续强化内部控制信息系统落地，持续推进信息化、共享化的行政事业单位风险内部控制体系建设。”郑丹萍说。（经济日报·中国经济网记者 董碧娟）