摘要:事业单位是一个复杂庞大的体系,按照中央对事业单位分类改革要求,事业单位分为四大类,依次是行政类、公益一类、公益二类和生产经营。本文所讨论的问题主要涉及公益二类和生产经营类事业单位,这部分事业单位既要肩负公益性职能,又要走向市场自主创收,其发展的内外环境正发生深刻变化,面临许多新的重大理论和实践问题,特别是在疫情的持续影响下,经济下行所带来的不确定性风险陡增,常常面临突发性事件所带来的冲击,而以制度化、规范化、标准化呈现的内部控制越显乏力。
关键词:事业单位;内部控制;风险管理;局限
引言
为进一步深化文化体制改革,加快构建有文化特色的现代企业制度,近年来国家出台相关政策,鼓励经营性文化事业单位转制为企业,并在税收上给予大力支持。在这一背景下,国有文化单位纷纷剥离经营性资源成立公司,形成了事业体制下的公司化运营,在给事业单位带来发展活力的同时,也带来了管控的挑战,从企业风险管理角度看,事业单位现有内部控制体系存在较大的局限性。
一、事业单位内部控制的固有局限
目前,我国的事业单位还普遍地存在政企职责不分、社会化程度不高、财务负担沉重、缺乏竞争机制等问题,与社会主义市场经济的发展不相适应。事业单位对风险的认知大多停留在内部控制层面,把内部控制等同于风险管理,这不仅影响内部控制建设和实施的效果,还影响风险管理活动的绩效,对风险的把控要么认知不足、要么流于形式、要么反应不及时、要么管理不到位,看似建立了严密的内控制度,但还是挡不住风险频发的问题,原因是多方面的。
(一)控制环境存在先天缺陷
(1)改制不到位。事业单位是非公司制经济组织,在大时代背景下,事业单位往往存在改制不到位,公司治理不完善,体制改革落后于管理需要,如政企不分、形式主义、资源错配、责权利不对等、盲目扩张等一系列问题,内控环境薄弱,缺乏良好的风险意识和内控文化,尽管目前很多经营性事业单位已转制为企业,但也只是形式上的改变,离真正意义上的现代企业还有较大距离。
(2)认知风险狭窄。事业单位计划经济色彩浓厚,主人翁意识不强导致对内部控制的实施重视度不够。内部控制目标往往聚焦在单位运营、制度、流程和合法合规的遵从上,内部控制流程、制度建设流于表面,未上升至单位战略和绩效的高度,导致其对风险的识别仅停留在业务层面,容易忽视一些重要的影响战略和绩效目标实现的风险因素。
(3)与绩效考核缺乏协同。以合法、合规性为主要控制目标的内部控制,与以绩效为导向的其他管理职能存在一定程度差异,影响了单位风险管理与其他管理的有机结合,管理低效使战略和绩效目标难以实现。比如在“三重一大”事项上,事业单位能够按照职责和程序实施集体决策审批或者联签制度,但在各级领导所承担的内控职责上并没有做明确规定,这会导致部分领导在决策上持不尽责、随大流态度,以形式合规掩盖责任虚化之实。
(二)内部控制的风险理念局限
1. 概念表述局限,易造成认知误区
内部控制的“内部”二字,容易对内部控制的内涵与外延的理解仅停留在内部牵制阶段,认为内部控制就是“职责分工,岗位分离”等,这与内部控制理论的发展存在相当大的差距。内部控制实质是风险管理,特别是转制后的经营性事业单位,与企业一样,既存在内部风险,也有来自外部市场的风险,其内部控制一定是在充分考虑内外部环境的基础上,通过建立组织机制、运用管理方法、实施操作程序与控制措施而形成的系统,才能有效防范、化解风险,保证经营运作符合单位的发展规划。
2. 目标导向不明确,不利于操作
内部控制和预算管理、绩效管理以及财务管理在概念表述上的最大区别在于内部控制只表述了控制范围,而未明确控制对象和目标,这种缺乏目标导向的表述容易导致为控制而控制的倾向,而遗忘了内部控制是以风险防范为导向,内部控制建设实施应遵循成本效益原则,抓关键控制点,才能有效避免内控真空。如内控制度虽明确了单位“一把手”是内部控制建设和实施的第一责任人,但并未明确其具体责任,这种笼统表述不利于实际操作。内部控制是单位加强管理的需要,只有与每个部门、每个岗位建立联动,才能将关键控制点精准落实到每个岗位职责中并得以把控,才能最大限度发挥内控制度的作用,最终服务于企业价值创造的终极目标。
3. 制度条款固化有余,适宜性不足
事业单位之间因组织形式、行业特点、经营模式、业务规模、企业文化等方面存在较大差别,在实施内控时也有不同的要求。借鉴别人的经验本无可厚非,假如只是简单照抄,千人一面,内控制度不能充分体现个性化差异,那只能是充当门面,很难具有可操作性。有的事业单位内控制度沿袭传统,一朝制定多年不变,难以适应单位的发展。内控制度不能随着外部环境的变化、经营业务的调整和创新、管理要求的提高而改进和完善,会使得单位在新情况、新问题面前没有应对措施,内部控制形同虚设,游离在风险管理之外。
4. 部门间协同差,控制程序脱节
事业单位普遍认为内部控制只是审计部门、财务部门的事,是单纯的审计监督、会计控制,与业务部门关系不大,故在推进过程中得不到很好配合,部门间协同差。作为现代企业管理的产物,内部控制是一种全员参与的全过程控制,是让各项业务活动、各个部门相互联系、相互制约、环环相扣的控制措施、方法和流程,一是相关的控制应当延伸到业务的各个链条,业务链条变化后也应当有恰当的控制程序与之相适应;二是相关部门之间应建立风险联动机制,否则就可能出现控制程序脱节的问题。比如事业单位在合同控制中,只考虑法律风险,较少对合同约定中的税收风险进行仔细研判;只关注合同评审和签订,不注重合同的执行和变更,或者虽然关注合同的执行,但跟踪控制程序只是参照初始签订的合同,不深入分析合同变更原因,不认真了解合同条款变更的内容,使得控制程序脱节。
5. 评价机制不健全,表面化严重
内部控制在单位的发展过程中起到了规范和引导的作用,但很多事业单位在建立与实施过程中往往重制度建设,轻事前评估和有效监督。制度建设轰轰烈烈,执行过程打折扣,监督评价流于形式甚至缺失。近年来,国资委加强对事业单位内控监督,聘请会计师事务所对所属事业单位内控建设及执行情况进行审计,这种方式尽管对事业单位完善内部控制体系有一定促进作用,但一个单位的业务经营及其流程、环节等是一个庞大的体系,要让第三方会计师在短时间内发现内控缺陷难度较大,看到的往往是表面问题,深层次问题、根本矛盾难以触及,加之审计费由被审单位负担,会计师事务所出于利益的考虑,也不想触及一些较为敏感的问题,内控审计最终演变成以制度检验制度的游戏,仅仅走形式而已,致使评价结果浮于表面,不全面、不客观、不深入,有些评价甚至与实际情况存在较大偏差,难以真正发挥应有的监督评价作用。
二、内部控制的自我完善与监督评价方式的改进
事业单位走向市场,其面临的风险主要有市场风险、营运风险、财务风险、信贷风险、法律风险等,其中营运风险在众多风险中居于首位。事业单位应当建立一个风险识别、评价和反应机制,确定高风险领域,以便增强该类风险管理。事业单位思想束缚大,风险意识薄弱,缺乏有效的风险评估和应对机制,来辨认、分析和管理风险,抗风险能力弱,主要体现为:一是缺乏风险识别机制。事业单位管理层尚未认识到风险识别是一个综合性过程,需要通盘考虑,大多数事业单位成为风险被动接受者。二是缺乏风险评估和应对机制,大多数事业单位设计和执行的内部控制活动往往偏重于事后管理,现在依然处于只解决眼前问题,不超前考虑可能出现的风险,处于被动应对阶段。风险管理的基础是内部控制制度,内部控制的局限性会很大程度上影响风险管理成效,给单位发展带来不利。内部控制体系应该是一个基于风险管理的自我完善系统,这需要事业单位与时俱进,主动提升风险意识,也需要有一个更为有效的评价考核机制,在新形势下这两点尤为迫切,缺一不可。
(一)内部控制方面,要以财会监督为重点,让内部控制与风险管理交叉融合
1. 树立“积极拥抱变化”的风险管理理念
一方面,内部控制的制定要遵守国家法律法规,要与国家法律法规的变化作同步修改调整,比如国家实施“营改增”以来,发票管理更趋严格,所带来的税收风险更大,针对这些变化,事业单位在发票管理制度方面应作及时修改调整,与税法的规定相适应。合规合法是内部控制的立身之本,内部控制条款切忌与国家相关政策法令相冲突,否则,即使制定得再完备,也会导致内部控制失效。另一方面,事业单位运营环境的不断变化、工作方式的不断创新和变化、信息技术的不断更新和迭代,以及财务管理相关的新制度的陆续推出,都将成为事业单位发展目标能否实现的不确定性因素,只有树立“积极拥抱变化”的风险管理理念,审时度势,未雨绸缪,才能适合新形势变化对事业单位发展带来的挑战。
2. 强化“管理出效益”的财会监督意识
事业单位普遍重社会效益轻经济效益,重业务管理轻内部治理。财务人员在管理层难有一席之地不说,甚至有些财务部门还仍归属于办公室管,从上至下没有财务管理职能发挥的组织安排,财务管理意识淡薄,财务部门只是一个工资发放、报账纳税的服务机构,而不是一个能给单位带来效益的管理职能部门。财会监督长期缺位,各种泡沫滴漏现象得不到及时抑制,单位不但利益受损,从量变到质变可能引发各种危机,比如,长期缺乏增收节支意识引发的资金链危机、债务危机,政策宣传不到位税法意识淡漠所带来的税收风险等。事业单位应强化管理者素质培养,从思想源头上增强管理意识,进一步强化内部治理,积极推动财务转型,让财会监督的触角延伸到业务领域的前端、中端,寓监督于服务中,主动向管理要效益。
3. 将风险管理活动融入各项管理决策中
企业制定内部控制的动力来自企业对风险的认识和管理,来自企业的发展战略与愿景规划。“没有规矩,不成方圆”,事业单位领导层应充分认识到构建内部控制的重要性,一定是基于单位自身管理需要的主动作为,而不是自娱自乐充当门面,提高认识有利于制度的推动和贯彻。真正的风险管理应当支持管理决策,将风险管理融入管理决策的各个流程环节,以预算绩效管理为例,在设定预算目标后,需要着手准备为实现绩效目标的行动方案或项目,决策者在对行动方案或项目进行选择时,风险是重要的考虑因素,在识别和确认风险后才可以考虑采取相应的风险应对策略和方案,这种融入对单位的成本控制也具有重要意义。
(二)外部监督方面,要以结果为导向,提升监督评价考核体系的针对性、有效性
1. 让监督评价手段从单一向多元转变
上级部门对事业单位内控审计往往停留在对相关制度的建立和完善上,对制度之间是否联动以及执行中的漏洞偏差比较忽略,检查看似全面铺开,认真仔细,实质抓不到重点,导致考核评价走过场流于形式。按照成本效益原则,内控制度不是越复杂越好,不在多够用就行。每个企业都有其独特性,风险点不同,要快速掌握一个单位的内部控制薄弱环节,应以结果为导向,顺藤摸瓜,精准推导出单位内部控制的漏洞或薄弱环节。比如对单位被执行案件产生的原因进行分析,可发现企业在合同签订与审查中的风险管控问题;再如“营改增”后单位整体流转税负应呈逐步下降趋势,如出现不降反增现象,就应敏锐地抓住增值税抵扣链条这个“牛鼻子”,深入分析单位各个抵扣环节是否形成闭环,问题在哪儿,是发票问题还是财务核算问题,或是因内部资源配置失衡而导致抵扣失效问题。
2. 将风险定义上升到战略和绩效高度
从发展趋势来看,随着内部控制的不断完善和变得更加全面,它与风险管理之间必然相互交叉、融合,直至统一,现代企业内部控制已由单纯规避损失的传统风险管理转向能够创造价值的全面风险管理。为此,对事业单位风险管理评价应定位于支持组织使命、愿景与核心价值的实现,满足更高层次的诉求,而不是局限于满足监管和合规的要求。如在与银行的贷款合作中,有时会发生银行压贷、抽贷行为,影响单位资金链安全,为防范化解这一风险,仅停留在救火层面还不行,要加强与银行的沟通协调,时常关注国家宏观金融形势的变化,除此之外,更重要的是要对单位自身财务状况和发展趋势作动态了解和把握,对一切可能影响单位资金链安全的因素进行深度挖掘,甚至穿透到单位战略层面去抓源头,找症结,并通过科学的绩效考核确保工作落实到位,做好常态化的预警和防范工作,以构筑起严密的风险防火墙。在新形势下,事业单位正面临巨大的转型发展压力,不能孤立地看待每一个风险,需要从实现战略和绩效目标的高度考察事业单位的风险问题,将内部控制目标提升至单位战略和绩效高度,从传统的内部控制评价体系转向全面风险管理效益评价,这有利于事业单位健康长远发展。
结语
尽管,面对外部环境的不确定性和事业发展的诸多压力,事业单位要从形式上的转变到实质性的突破还有相当长一段路要走,但构建全面风险管控意识已迫在眉睫。
作者:冯媛 单位:重庆广播电视集团
