关于行政事业单位内部控制实施的几个问题

的支持下实现信息共享，分析风险和控制风险将会更加具有时效性和针对性。虽然信息技术为内部控制的实施提供了很多便利条件，但是也应该看到，信息技术也可能对内部控制产生特定的风险。系统或程序的不稳定导致不能正确处理数据或处理了不正确的数据；未经授权访问数据，导致数据被篡改；不恰当地认为干预且难以被发现等等。另外，在对控制进行监控时，信息技术控制比人工控制更能持久和准确。 　　3 关于管控工具在行政事业单位的运用 　　行政事业单位应当采用一系列控制措施和方法即管控工具，保证单位的业务运行和财务管理既有效果又有效率。对于行政事业单位来说，应当合理运用10种管控工具，它们分别是：预算控制、风险识别和分析、会计核算、运营分析、绩效评价、合同管理、流程再造、信息系统控制、内部审计和法律事务管理。尽管很多单位在该规范颁布以前自觉或不自觉在运用这些管控工具，但是运用的程度还不高、领域还不广。下面结合某些事业单位的实际，谈谈几个管控工具的运用。 　　3.1 风险识别和分析根据内部控制的五个要素之间的关系，单位之所以会建立和实施众多的控制活动，其最终目的是为了管控风险的，使剩余风险控制在可接受的范围之内。单位和企业一样，处在一定的社会环境之中，会受到各种内外部因素的制约，会对单位的运营产生重要影响，为了使单位制定的管控手段更具针对性，必须首先进行风险识别和分析。风险识别和分析的目的就是将控制的重心前移，避免单位受到重大损失。但是，很多行政事业单位并不重视风险识别和评估，认为行政事业单位不需要进行这些工作，只需要按部就班地利用公共资金完成相应的管理和事业任务即可，根本不存在政治风险、项目风险和操作风险。随着行政事业单位职能的转变和改制，行政事业单位也会和企业一样存在这些风险，因此，单位进行风险识别、分析和应对越来越必要和紧迫。单位整体层面的风险识别主要从组织、机制、制度、岗位和信息系统入手，主要内容包括内部控制工作的组织情况，内部管理制度和制衡机制的建立、执行情况，内部控制关键岗位人员的管理情况，财务信息的编报情况以及信息技术的运用情况；业务层面的风险识别主要从梳理业务流程、明确业务环节入手，主要内容包括：各项经济业务活动的业务流程是否合理清晰，流程中的相关岗位职责权限是否明确，不相容岗位是否相互分离，每个环节的授权审批是否科学完整，相关信息是否得到全面记录，关键控制措施是否得到落实等等。在风险识别