雷洋昆

隨著行政事業(yè)單位管理體制的不斷深化和發(fā)展，內部控制已逐漸成為行政事業(yè)單位提高管理水平，加強廉政風險防控機制建設的重要手段，《行政事業(yè)單位內部控制規(guī)范》的出臺將進一步推進內部控制建設規(guī)范化、制度化。在這種背景下，內部審計作為內部控制的重要組成部分和內部控制的監(jiān)督者，應積極發(fā)揮建設性、促進性作用，通過深化內部控制審計，以審計倒逼內部控制完善，促進風險有效防范、組織目標得以實現(xiàn)。

一、行政事業(yè)單位內部控制審計的內涵

目前，內部控制審計實務可分為基于會計報表審計的內部控制審計和基于規(guī)范業(yè)務管理的內部控制審計兩種類型?；跁媹蟊韺徲嫷膬炔靠刂茖徲?，是指在進行會計報表審計時，審計人員首先要審查和評價被審計單位的內部控制，對擬信賴的內部控制進行控制測試，并據(jù)以確定實質性測試的性質、時間和范圍，從而確保審計質量、效率、效果的有效實現(xiàn)。在這個過程中，審計人員僅僅關注與財務報告可靠性相關的內部控制，并非整個內部控制系統(tǒng)?；谝?guī)范業(yè)務管理的內部控制審計，主要是為了規(guī)范業(yè)務管理，防范業(yè)務風險，幫助組織目標實現(xiàn)。其范圍應包括與被審計單位資源管理活動相關的所有內部控制，而不僅僅局限于與財務報告可靠性相關的內部控制。

按照COSO報告關于內部控制的定義可知，內部控制系統(tǒng)不僅是合理保證財務報告可靠性的過程，還是合理保證經(jīng)營效率和效果、資產(chǎn)安全完整、遵循法律法規(guī)、實現(xiàn)組織目標的過程。同時，隨著組織的治理結構和競爭環(huán)境的變化，組織管理層也越來越需要了解本單位業(yè)務、財務整體狀況。因此，內審人員對內部控制的審計應立足于規(guī)范業(yè)務管理、防范業(yè)務風險，對單位資源管理活動相關的所有內部控制實行全面覆蓋。

二、當前行政事業(yè)單位內部控制審計的局限性

（一）緊密圍繞審計目標不夠

內部審計作為治理與管理層職能的延伸，去審查和評價同級或者下級單位的業(yè)務活動及內部控制情況，其目的是滿足管理需求，增加組織價值，促進組織目標實現(xiàn)。因此，內部控制審計目標應與組織目標高度一致，應與組織文化和管理理念充分合拍，應滿足治理與管理層因時因地的需求。而當前內部控制審計實務往往與組織目標、管理層需求聯(lián)系不夠，更側重于滿足審計內部提高效率的需求。

（二）以風險評估為基礎不夠

內部控制以風險評估為基礎，關注重要業(yè)務事項和高風險領域。實施內部控制審計時，內審人員同樣需要以風險控制為基礎，考慮重要性原則，分層次、有重點地進行審計。而當前內部控制審計實務容易忽略風險評估環(huán)節(jié)或者未有效進行風險評估，導致審計時要么是胡子眉毛一把抓，要么是撿了芝麻丟了西瓜。

（三）以業(yè)務分析為手段不夠

內部控制圍繞組織的業(yè)務、財務、法務及戰(zhàn)略實施，覆蓋并滲透到組織各項業(yè)務和事項之中，貫穿決策、執(zhí)行和監(jiān)督全過程，各要素之間相互影響，具有系統(tǒng)性、過程性、動態(tài)性。內部控制系統(tǒng)雖然復雜、多變，但其核心對象是業(yè)務，內部控制是對業(yè)務的控制。因此，實施內部控制審計時，內審人員應面向業(yè)務和管理，從業(yè)務入手，基于對業(yè)務系統(tǒng)進行充分調研的基礎上進行。而當前內部控制審計實務更傾向于從財務信息入手，關注財務問題而非控制機制問題。

三、面向業(yè)務、風險的行政事業(yè)單位內部控制審計路徑探析

內部控制包括控制環(huán)境、風險管理、控制活動、信息與溝通、監(jiān)督五要素，其中最重要的要素為控制活動。一個單位的控制活動按照其控制對象的不同，可以劃分為實體系統(tǒng)和信息系統(tǒng)，其中，實體系統(tǒng)又包括業(yè)務系統(tǒng)和資源支持系統(tǒng)。內部控制審計的關鍵在于對業(yè)務系統(tǒng)控制活動的審查和評價。因此，深化行政事業(yè)單位內部控制審計應緊密圍繞目標，面向業(yè)務、風險，從業(yè)務入手，了解各業(yè)務及其流程的控制機制與存在的風險，并通過評估風險，分析問題存在的可能性，進而揭示內部控制存在的風險隱患和問題。

（一）基于業(yè)務系統(tǒng)控制活動的內部控制調查

內部控制活動包含業(yè)務系統(tǒng)、資源支持系統(tǒng)和信息系統(tǒng)。其中資源支持系統(tǒng)包括人力資源系統(tǒng)、財務管理系統(tǒng)、資產(chǎn)管理系統(tǒng);信息系統(tǒng)是對實體系統(tǒng)的一個紀錄和反映，包括會計信息、ERP系統(tǒng)等。資源支持和信息系統(tǒng)是業(yè)務系統(tǒng)的輔助系統(tǒng)，都是對業(yè)務的反映。因此，在進行內部控制審計實務時，對資源支持系統(tǒng)和信息系統(tǒng)控制活動的調查，可以融合至業(yè)務系統(tǒng)控制活動的調查中進行。

對業(yè)務系統(tǒng)控制活動進行調查主要包括兩個步驟：

一是對被審計單位業(yè)務結構進行了解和分析。業(yè)務結構分析是指對被審計單位業(yè)務的總體輪廓和脈絡進行梳理后，按照一定的標準將其開展的所有業(yè)務劃分類別。通過對業(yè)務結構的分析應清楚了解：被審計單位總體上應包括哪幾大類業(yè)務，這幾類業(yè)務又分別包括哪些業(yè)務模塊，每個業(yè)務模塊對應的管理機構和主要負責人是誰，各業(yè)務模塊是做什么的。在進行業(yè)務結構劃分時，內審人員應考慮成本效益原則，業(yè)務模塊劃分的層次即不宜過細亦不宜過粗，過細影響審計效率，過粗影響審計效果。業(yè)務結構分析過程可形成工作底稿如表一：業(yè)務結構分析表。

表一 業(yè)務結構分析表

二是對各業(yè)務流程進行了解和分析。業(yè)務流程分析就是對業(yè)務結構分析中劃分出來的每個業(yè)務模塊進行分析，分析各具體業(yè)務是如何開展的？其具體流程是什么？在進行業(yè)務流程分析時，內審人員應考慮風險導向原則，基于對業(yè)務的初步風險評估有選擇性地對業(yè)務流程進行分析。分析內容包括業(yè)務流程的控制機制有什么？這些控制機制能否有效防范風險，是否存在薄弱環(huán)節(jié)？這些控制機構存在風險有多大？業(yè)務流程分析過程可形成工作底稿如表二：業(yè)務過程分析表。

表二 業(yè)務過程分析表

通過以業(yè)務為主線，對業(yè)務系統(tǒng)、資源支持系統(tǒng)、信息系統(tǒng)控制活動的調查，不僅能了解到行政事業(yè)單位組織層面的內部控制，更能對業(yè)務層面預算管理、收支管理、采購管理、建設項目管理、合同管理等各類重要管理活動的內部控制進行深入了解。

（二）測試內部控制的建立健全、是否執(zhí)行

內部控制測試包括審核內部控制設計是否合理、內部控制執(zhí)行是否有效。以業(yè)務入手的行政事業(yè)單位內部控制審計需著重關注兩方面：

一是對業(yè)務所對應財務過程的分析。了解被審計單位業(yè)務情況及其控制機制后，在內部控制測試階段，內審人員應著重關注業(yè)務相應的財務處理過程以及業(yè)務系統(tǒng)與財務系統(tǒng)的銜接性問題。對財務處理過程的審查主要是運用分析性復核程序對業(yè)務的收入結構、支出結構及其比例變化進行分析。對業(yè)務系統(tǒng)與財務系統(tǒng)的銜接性進行審查，是通過對被審計單位財務信息與業(yè)務信息相互核對，來確定是否所有的業(yè)務活動均通過財務信息及時、真實反映;所有的財務信息是否均有相關的業(yè)務活動支撐。當被審計單位的管理信息系統(tǒng)不完善時，其業(yè)務資料與財務資料往往會脫節(jié)，會更容易產(chǎn)生內部控制薄弱環(huán)節(jié)。因此，針對管理信息系統(tǒng)不完善的單位，內審人員應重點關注業(yè)務、財務未有效銜接部位，檢查被審計單位針對該項風險是否有相關控制，且相關控制機制是否有效運行。

二是問題可能性分析。通過對業(yè)務結構、業(yè)務過程及其對應財務過程的分析，解決了被審計單位是什么樣的、怎樣做的問題，而審計的最根本任務是要回答被審計單位存在哪些問題和面臨怎樣的風險。因此，內審人員還需要對業(yè)務所存在的業(yè)務問題、財務問題和會計問題進行可能性分析。在進行問題可能性分析之前，審計人員可以與被審計單位負責人溝通，了解被審計單位管理層對單位風險的自我評估情況。在進行問題可能性分析時，內審人員應根據(jù)相關的法律法規(guī)、管理通用規(guī)則、同行業(yè)要求、單位內部規(guī)章制度和計劃，單位各類批示文件等確定分析標準，并依據(jù)標準，對各業(yè)務控制機制是否有效、對應財務過程是否合規(guī)進行判斷，分析出各業(yè)務可能存在的業(yè)務問題、財務問題和會計問題。一般而言行政事業(yè)單位的重大事項、重要資源利用、管理銜接部位、非常規(guī)業(yè)務風險比較大，存在問題的可能性較大。問題可能性分析可形成工作底稿如表三：問題可能性分析表。

表三 問題可能性分析表

（三）內部控制的綜合評價

在完成內部控制基本情況了解、測試后，需要對內部控制進行綜合評價。行政事業(yè)單位內部控制評價主要包括單位整體層面評價和業(yè)務層面評價。業(yè)務層面內部控制的評價可分別圍繞著預算、收支、政府采購、資產(chǎn)、建設項目、合同、對外投資等業(yè)務進行。整體層面的評價可從內部控制環(huán)境、風險管理、控制活動、信息與溝通、監(jiān)督五要素角度進行，重點包括對集體決策機制、關鍵崗位責任制、內部授權審批控制、歸口管理機制、內部監(jiān)督機制、信息公開機制的評價。

（作者單位：北京大學）