《内控規範》第三條提出了内部控制的定義：本規範所稱内部控制，是指單位為實現控制目标，通過制定制度、實施措施和執行程序，對經濟業務活動的風險進行防範和管控。

從靜态的角度理解，内部控制是行政事業單位為了防範和管控經濟活動風險而建立的内部管理系統，這個系統由内部控制環境、風險評估、控制活動、信息與溝通和内部監督等要素組成，靜态的内部控制簡單了說就是一本手冊（内部控制手冊）和一套軟件（内部控制信息管理系統）。

從動态的角度理解，内部控制是通過制定制度、實施措施和執行程序，為實現控制目标的自我約束的過程。動态的内部控制就是風險評估、業務執行和監督評價這三項活動，這些活動每年都要開展，按照PDCA循環的方式持續提升内部控制管理系統。

内部控制的定義中有幾個關鍵詞：控制目标，制度、措施和程序，經濟活動、風險、防範和管控。搞清楚這幾個關鍵詞的含義，也就能夠真正理解内部控制的定義和内容了。

一、控制目标

控制目标就是《内控規範》第五條描述的五個目标，我們認為，這五個目标在不同的單位、在内控建設的不同階段，具體内容和側重點是不一樣的。當然，在内控建設的初期階段，為提高内控體系建設工作的效率，建議還是直接把這五個目标直接照抄即可。

二、制度、措施和程序

這裡的“制度”不是《局黨組會議事規則》、《預算管理制度》、《辦公用品管理辦法》等具體的、條文式的管理制度，應該理解為一種工作機制，比如，決策、執行、監督相分離，授權審批、内部監督等等。中央曾在2013年提出“把權力關進制度的籠子裡”工作要求，這裡的“制度”也是指的機制建設。

“措施”是指通過風險識别和風險分析，确定風險等級，然後制定的應對方案，這些措施具體而言包括前面說的管理制度、管理表單、信息化管理系統等等，總之就是對風險進行防範和管控的具體操作辦法。

“程序”就是做事的先後順序，實際上就是業務流程，這是内控建設的重要内容，之所以重要，是因為識别風險的過程就是梳理流程的過程，管理制度實際上是對流程的詳細說明和解釋。

三、經濟活動

經濟活動是指《内控規範》第四章業務層面的六大業務。這些經濟活動的特點是“以預算為主線，以資金管控為重點”。所以，與資金關系不大的業務活動，目前還不在内控的範圍之内，比如，黨建工作、人事考勤、專業業務活動等。有單位問：工會費屬于内控的範圍嗎？我們認為，工會費不列入年度部門預算，雖然涉及到資金，但不符合“以預算為主線”的要求，所以不在内控的範圍之内。《内控報告》專門有一張表考察“其他領域”内控制度建設的情況，這裡的“其他領域”就是除六大業務之外的、與資金相關的業務活動，比如黨費、工會費、離退休幹部活動經費的管理等等。也就是說，六大業務領域之外的其他涉及資金業務的活動，目前還不在内控的範圍之内，不過将來很有可能會納入進來的。在内控建設初期階段，建議“其他領域”的業務活動暫不作考慮，單位内控建設緊跟财政部文件的要求就可以了，要求到哪兒，就做到哪兒，絕對不能拖後或者遺漏，但也沒必要超前。

需要注意的是，2012年财政部發布的《内控規範》隻是要求對“經濟業務活動”的風險進行防範和控制，2015年财政部根據中央的精神又下發了《指導意見》，明确提出單位内控的範圍由經濟業務活動擴大到權力運行，所以這個定義今天看來是需要補充修訂的，在“經濟活動”後面還要加上“權力運行”。

四、風險

在實踐中，這個關鍵詞是最容易被忽略的。内部控制控什麼？是風險，不是活動，更不是人。風險越大，就必須要重點管控，比如接待費、差旅費等支出項目；資金額度大，但風險小，就不作為重點管控，比如人員工資支出，這在每家單位都是一項額度最大的基本支出，但确實不需要加強管控，因為這涉及到每個人的利益，一旦出錯，立馬就會有反饋。

正是基于這個原因，内控實施階段首先要做的工作就是風險評估，同樣的業務活動，執行的同一個法規文件，在不同的單位風險的内容和等級是不同的，這就又回到《内控規範》第一條了，内控建設既要依法依規，還要結合單位實際，沒有調研，沒有融合單位原有的規章制度，這樣的内控建設是沒什麼意義的。

五、防範和管控

風險是未來可能會發生的事件，内控的價值就在于将風險“關口前移”，是“未雨綢缪”，是“治未病”。在風險事件發生之前，采取管控措施避免風險，或者降低風險事件發生帶來的影響，這叫預防性控制，是内控的主要方向。當然，還有一種情況，單位雖然已經識别了風險并且采取了一定的管控措施，但最終的結果還是帶來的損失或不利影響，這種情況下還需要進行内部控制嗎？當然需要，這叫發現性控制。風險是固有的，不會因為采取了内控措施就不存在了。内控不能消滅風險，隻能是将風險處于可控狀态，避免或者降低風險帶來的不利影響。同時，風險是動态的，管控措施也是動态的，需要不斷更新、升級，就像我們日常使用的office、微信等軟件一樣。

舉一個例子，籬笆裡面有羊，籬笆外面有狼，為了防止狼竄入籬笆吃羊，采取的措施就是紮緊籬笆，不讓狼進來，未雨綢缪，提前對風險提前采取了防範措施以保證羊的安全，這是理想的控制方式。還有一種情況，雖然已經意識到狼對羊的危險，加固了籬笆，但有一天還是發生了狼進入籬笆把羊吃了的情況，這是不是說明内部控制就沒有意義了呢？當然不是，隻能說明原有的風險防控措施力度不夠，或者方式不當，需要對管控措施進行升級，從機制上來說就是加強監督，每天都把籬笆檢查一遍；從業務活動方面來說就是紮緊籬笆，“亡羊補牢”是内控的另一種方式。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!