雷洋昆

隨著行政事業(yè)單位管理體制的不斷深化和發(fā)展，內(nèi)部控制已逐漸成為行政事業(yè)單位提高管理水平，加強廉政風(fēng)險防控機制建設(shè)的重要手段，《行政事業(yè)單位內(nèi)部控制規(guī)范》的出臺將進(jìn)一步推進(jìn)內(nèi)部控制建設(shè)規(guī)范化、制度化。在這種背景下，內(nèi)部審計作為內(nèi)部控制的重要組成部分和內(nèi)部控制的監(jiān)督者，應(yīng)積極發(fā)揮建設(shè)性、促進(jìn)性作用，通過深化內(nèi)部控制審計，以審計倒逼內(nèi)部控制完善，促進(jìn)風(fēng)險有效防范、組織目標(biāo)得以實現(xiàn)。

一、行政事業(yè)單位內(nèi)部控制審計的內(nèi)涵

目前，內(nèi)部控制審計實務(wù)可分為基于會計報表審計的內(nèi)部控制審計和基于規(guī)范業(yè)務(wù)管理的內(nèi)部控制審計兩種類型。基于會計報表審計的內(nèi)部控制審計，是指在進(jìn)行會計報表審計時，審計人員首先要審查和評價被審計單位的內(nèi)部控制，對擬信賴的內(nèi)部控制進(jìn)行控制測試，并據(jù)以確定實質(zhì)性測試的性質(zhì)、時間和范圍，從而確保審計質(zhì)量、效率、效果的有效實現(xiàn)。在這個過程中，審計人員僅僅關(guān)注與財務(wù)報告可靠性相關(guān)的內(nèi)部控制，并非整個內(nèi)部控制系統(tǒng)。基于規(guī)范業(yè)務(wù)管理的內(nèi)部控制審計，主要是為了規(guī)范業(yè)務(wù)管理，防范業(yè)務(wù)風(fēng)險，幫助組織目標(biāo)實現(xiàn)。其范圍應(yīng)包括與被審計單位資源管理活動相關(guān)的所有內(nèi)部控制，而不僅僅局限于與財務(wù)報告可靠性相關(guān)的內(nèi)部控制。

按照COSO報告關(guān)于內(nèi)部控制的定義可知，內(nèi)部控制系統(tǒng)不僅是合理保證財務(wù)報告可靠性的過程，還是合理保證經(jīng)營效率和效果、資產(chǎn)安全完整、遵循法律法規(guī)、實現(xiàn)組織目標(biāo)的過程。同時，隨著組織的治理結(jié)構(gòu)和競爭環(huán)境的變化，組織管理層也越來越需要了解本單位業(yè)務(wù)、財務(wù)整體狀況。因此，內(nèi)審人員對內(nèi)部控制的審計應(yīng)立足于規(guī)范業(yè)務(wù)管理、防范業(yè)務(wù)風(fēng)險，對單位資源管理活動相關(guān)的所有內(nèi)部控制實行全面覆蓋。

二、當(dāng)前行政事業(yè)單位內(nèi)部控制審計的局限性

（一）緊密圍繞審計目標(biāo)不夠

內(nèi)部審計作為治理與管理層職能的延伸，去審查和評價同級或者下級單位的業(yè)務(wù)活動及內(nèi)部控制情況，其目的是滿足管理需求，增加組織價值，促進(jìn)組織目標(biāo)實現(xiàn)。因此，內(nèi)部控制審計目標(biāo)應(yīng)與組織目標(biāo)高度一致，應(yīng)與組織文化和管理理念充分合拍，應(yīng)滿足治理與管理層因時因地的需求。而當(dāng)前內(nèi)部控制審計實務(wù)往往與組織目標(biāo)、管理層需求聯(lián)系不夠，更側(cè)重于滿足審計內(nèi)部提高效率的需求。

（二）以風(fēng)險評估為基礎(chǔ)不夠

內(nèi)部控制以風(fēng)險評估為基礎(chǔ)，關(guān)注重要業(yè)務(wù)事項和高風(fēng)險領(lǐng)域。實施內(nèi)部控制審計時，內(nèi)審人員同樣需要以風(fēng)險控制為基礎(chǔ)，考慮重要性原則，分層次、有重點地進(jìn)行審計。而當(dāng)前內(nèi)部控制審計實務(wù)容易忽略風(fēng)險評估環(huán)節(jié)或者未有效進(jìn)行風(fēng)險評估，導(dǎo)致審計時要么是胡子眉毛一把抓，要么是撿了芝麻丟了西瓜。

（三）以業(yè)務(wù)分析為手段不夠

內(nèi)部控制圍繞組織的業(yè)務(wù)、財務(wù)、法務(wù)及戰(zhàn)略實施，覆蓋并滲透到組織各項業(yè)務(wù)和事項之中，貫穿決策、執(zhí)行和監(jiān)督全過程，各要素之間相互影響，具有系統(tǒng)性、過程性、動態(tài)性。內(nèi)部控制系統(tǒng)雖然復(fù)雜、多變，但其核心對象是業(yè)務(wù)，內(nèi)部控制是對業(yè)務(wù)的控制。因此，實施內(nèi)部控制審計時，內(nèi)審人員應(yīng)面向業(yè)務(wù)和管理，從業(yè)務(wù)入手，基于對業(yè)務(wù)系統(tǒng)進(jìn)行充分調(diào)研的基礎(chǔ)上進(jìn)行。而當(dāng)前內(nèi)部控制審計實務(wù)更傾向于從財務(wù)信息入手，關(guān)注財務(wù)問題而非控制機制問題。

三、面向業(yè)務(wù)、風(fēng)險的行政事業(yè)單位內(nèi)部控制審計路徑探析

內(nèi)部控制包括控制環(huán)境、風(fēng)險管理、控制活動、信息與溝通、監(jiān)督五要素，其中最重要的要素為控制活動。一個單位的控制活動按照其控制對象的不同，可以劃分為實體系統(tǒng)和信息系統(tǒng)，其中，實體系統(tǒng)又包括業(yè)務(wù)系統(tǒng)和資源支持系統(tǒng)。內(nèi)部控制審計的關(guān)鍵在于對業(yè)務(wù)系統(tǒng)控制活動的審查和評價。因此，深化行政事業(yè)單位內(nèi)部控制審計應(yīng)緊密圍繞目標(biāo)，面向業(yè)務(wù)、風(fēng)險，從業(yè)務(wù)入手，了解各業(yè)務(wù)及其流程的控制機制與存在的風(fēng)險，并通過評估風(fēng)險，分析問題存在的可能性，進(jìn)而揭示內(nèi)部控制存在的風(fēng)險隱患和問題。

（一）基于業(yè)務(wù)系統(tǒng)控制活動的內(nèi)部控制調(diào)查

內(nèi)部控制活動包含業(yè)務(wù)系統(tǒng)、資源支持系統(tǒng)和信息系統(tǒng)。其中資源支持系統(tǒng)包括人力資源系統(tǒng)、財務(wù)管理系統(tǒng)、資產(chǎn)管理系統(tǒng);信息系統(tǒng)是對實體系統(tǒng)的一個紀(jì)錄和反映，包括會計信息、ERP系統(tǒng)等。資源支持和信息系統(tǒng)是業(yè)務(wù)系統(tǒng)的輔助系統(tǒng)，都是對業(yè)務(wù)的反映。因此，在進(jìn)行內(nèi)部控制審計實務(wù)時，對資源支持系統(tǒng)和信息系統(tǒng)控制活動的調(diào)查，可以融合至業(yè)務(wù)系統(tǒng)控制活動的調(diào)查中進(jìn)行。

對業(yè)務(wù)系統(tǒng)控制活動進(jìn)行調(diào)查主要包括兩個步驟：

一是對被審計單位業(yè)務(wù)結(jié)構(gòu)進(jìn)行了解和分析。業(yè)務(wù)結(jié)構(gòu)分析是指對被審計單位業(yè)務(wù)的總體輪廓和脈絡(luò)進(jìn)行梳理后，按照一定的標(biāo)準(zhǔn)將其開展的所有業(yè)務(wù)劃分類別。通過對業(yè)務(wù)結(jié)構(gòu)的分析應(yīng)清楚了解：被審計單位總體上應(yīng)包括哪幾大類業(yè)務(wù)，這幾類業(yè)務(wù)又分別包括哪些業(yè)務(wù)模塊，每個業(yè)務(wù)模塊對應(yīng)的管理機構(gòu)和主要負(fù)責(zé)人是誰，各業(yè)務(wù)模塊是做什么的。在進(jìn)行業(yè)務(wù)結(jié)構(gòu)劃分時，內(nèi)審人員應(yīng)考慮成本效益原則，業(yè)務(wù)模塊劃分的層次即不宜過細(xì)亦不宜過粗，過細(xì)影響審計效率，過粗影響審計效果。業(yè)務(wù)結(jié)構(gòu)分析過程可形成工作底稿如表一：業(yè)務(wù)結(jié)構(gòu)分析表。

表一 業(yè)務(wù)結(jié)構(gòu)分析表

二是對各業(yè)務(wù)流程進(jìn)行了解和分析。業(yè)務(wù)流程分析就是對業(yè)務(wù)結(jié)構(gòu)分析中劃分出來的每個業(yè)務(wù)模塊進(jìn)行分析，分析各具體業(yè)務(wù)是如何開展的？其具體流程是什么？在進(jìn)行業(yè)務(wù)流程分析時，內(nèi)審人員應(yīng)考慮風(fēng)險導(dǎo)向原則，基于對業(yè)務(wù)的初步風(fēng)險評估有選擇性地對業(yè)務(wù)流程進(jìn)行分析。分析內(nèi)容包括業(yè)務(wù)流程的控制機制有什么？這些控制機制能否有效防范風(fēng)險，是否存在薄弱環(huán)節(jié)？這些控制機構(gòu)存在風(fēng)險有多大？業(yè)務(wù)流程分析過程可形成工作底稿如表二：業(yè)務(wù)過程分析表。

表二 業(yè)務(wù)過程分析表

通過以業(yè)務(wù)為主線，對業(yè)務(wù)系統(tǒng)、資源支持系統(tǒng)、信息系統(tǒng)控制活動的調(diào)查，不僅能了解到行政事業(yè)單位組織層面的內(nèi)部控制，更能對業(yè)務(wù)層面預(yù)算管理、收支管理、采購管理、建設(shè)項目管理、合同管理等各類重要管理活動的內(nèi)部控制進(jìn)行深入了解。

（二）測試內(nèi)部控制的建立健全、是否執(zhí)行

內(nèi)部控制測試包括審核內(nèi)部控制設(shè)計是否合理、內(nèi)部控制執(zhí)行是否有效。以業(yè)務(wù)入手的行政事業(yè)單位內(nèi)部控制審計需著重關(guān)注兩方面：

一是對業(yè)務(wù)所對應(yīng)財務(wù)過程的分析。了解被審計單位業(yè)務(wù)情況及其控制機制后，在內(nèi)部控制測試階段，內(nèi)審人員應(yīng)著重關(guān)注業(yè)務(wù)相應(yīng)的財務(wù)處理過程以及業(yè)務(wù)系統(tǒng)與財務(wù)系統(tǒng)的銜接性問題。對財務(wù)處理過程的審查主要是運用分析性復(fù)核程序?qū)I(yè)務(wù)的收入結(jié)構(gòu)、支出結(jié)構(gòu)及其比例變化進(jìn)行分析。對業(yè)務(wù)系統(tǒng)與財務(wù)系統(tǒng)的銜接性進(jìn)行審查，是通過對被審計單位財務(wù)信息與業(yè)務(wù)信息相互核對，來確定是否所有的業(yè)務(wù)活動均通過財務(wù)信息及時、真實反映;所有的財務(wù)信息是否均有相關(guān)的業(yè)務(wù)活動支撐。當(dāng)被審計單位的管理信息系統(tǒng)不完善時，其業(yè)務(wù)資料與財務(wù)資料往往會脫節(jié)，會更容易產(chǎn)生內(nèi)部控制薄弱環(huán)節(jié)。因此，針對管理信息系統(tǒng)不完善的單位，內(nèi)審人員應(yīng)重點關(guān)注業(yè)務(wù)、財務(wù)未有效銜接部位，檢查被審計單位針對該項風(fēng)險是否有相關(guān)控制，且相關(guān)控制機制是否有效運行。

二是問題可能性分析。通過對業(yè)務(wù)結(jié)構(gòu)、業(yè)務(wù)過程及其對應(yīng)財務(wù)過程的分析，解決了被審計單位是什么樣的、怎樣做的問題，而審計的最根本任務(wù)是要回答被審計單位存在哪些問題和面臨怎樣的風(fēng)險。因此，內(nèi)審人員還需要對業(yè)務(wù)所存在的業(yè)務(wù)問題、財務(wù)問題和會計問題進(jìn)行可能性分析。在進(jìn)行問題可能性分析之前，審計人員可以與被審計單位負(fù)責(zé)人溝通，了解被審計單位管理層對單位風(fēng)險的自我評估情況。在進(jìn)行問題可能性分析時，內(nèi)審人員應(yīng)根據(jù)相關(guān)的法律法規(guī)、管理通用規(guī)則、同行業(yè)要求、單位內(nèi)部規(guī)章制度和計劃，單位各類批示文件等確定分析標(biāo)準(zhǔn)，并依據(jù)標(biāo)準(zhǔn)，對各業(yè)務(wù)控制機制是否有效、對應(yīng)財務(wù)過程是否合規(guī)進(jìn)行判斷，分析出各業(yè)務(wù)可能存在的業(yè)務(wù)問題、財務(wù)問題和會計問題。一般而言行政事業(yè)單位的重大事項、重要資源利用、管理銜接部位、非常規(guī)業(yè)務(wù)風(fēng)險比較大，存在問題的可能性較大。問題可能性分析可形成工作底稿如表三：問題可能性分析表。

表三 問題可能性分析表

（三）內(nèi)部控制的綜合評價

在完成內(nèi)部控制基本情況了解、測試后，需要對內(nèi)部控制進(jìn)行綜合評價。行政事業(yè)單位內(nèi)部控制評價主要包括單位整體層面評價和業(yè)務(wù)層面評價。業(yè)務(wù)層面內(nèi)部控制的評價可分別圍繞著預(yù)算、收支、政府采購、資產(chǎn)、建設(shè)項目、合同、對外投資等業(yè)務(wù)進(jìn)行。整體層面的評價可從內(nèi)部控制環(huán)境、風(fēng)險管理、控制活動、信息與溝通、監(jiān)督五要素角度進(jìn)行，重點包括對集體決策機制、關(guān)鍵崗位責(zé)任制、內(nèi)部授權(quán)審批控制、歸口管理機制、內(nèi)部監(jiān)督機制、信息公開機制的評價。

（作者單位：北京大學(xué)）