□
(成都住房公积金管理中心 四川成都610015)
2012年,财政部出台《行政事业单位内部控制规范(试行)》(以下简称规范),对行政事业单位建立和实施内部控制发布正式规范,并要求从2014年1月1日起施行。针对规范实施以来行政事业单位在内部控制建设中存在的重视不够、制度建设不健全、发展水平不均衡等问题,财政部2015年印发了 《关于全面推进行政事业单位内部控制建设的指导意见》,2016年组织行政事业单位开展内部控制基础性评价,2017年试行内部控制报告制度,开展对内控报告的监督检查。通过以评促建等举措,指导和督促各单位有效开展内部控制建立与实施工作。
随着行政事业单位内部控制建设的规范和深入,内部控制审计作为内部控制建设重要的监督保障手段,也日益引发关注。规范明确要求“单位应当建立健全内部监督制度,对内部控制建立与实施情况进行内部监督检查。内部审计部门应当定期或不定期检查单位内部管理制度和机制的建立与执行情况,以及内部控制关键岗位及人员的设置情况等,及时发现内部控制存在的问题并提出改进建议。”与规范同日实施的第2201号内部审计具体准则,对内部控制审计进行了定义,即内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动。内部审计的责任是出具客观、公正的审计报告,促进组织改善内部控制及风险管理。
与企业相比,行政事业单位全面建立和实施内部控制的时间不长,基础薄弱,很多单位的内部控制建设还处于摸索阶段,内部控制审计和监督机制尚不健全。对于已经完成内部控制建设的单位,也亟需通过评价和监督来发现问题,改进完善。因为内部控制是一个闭环管理体系,要随着政策和内外部环境的变化,不断维护更新,通过设计、实施、运行、监督、整改的不断循环,实现内部控制体系持续改进提升。在此背景下,行政事业单位开展内部控制审计,充分发挥审计确认、咨询和服务的功能,为建立和实施内部控制提供助力和保障,对于健全内部控制、防控风险、完善治理具有重要的现实意义。
目前,大部分行政事业单位未广泛开展内部控制审计,即使涉及其范围也具有局限性,审计内容未实现全覆盖。内部审计部门往往只开展了预算、收支、政府采购及单位重点业务等部分经济业务活动的专项内部控制审计,未开展包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素的全面内部控制审计。其存在的问题:一是内部控制审计在操作层面缺乏相关依据,除了《行政事业单位内部控制规范》、内部控制审计准则以外,缺乏类似企业内部控制应用指引、评价指引、审计指引等作为具体实施的指导。二是内部控制审计缺乏明确的评价标准及量化评价指标,实务中往往凭借审计人员的主观判断从定性方面进行评价,审计结论可能存在争议。三是揭示内部控制缺陷滞后,偏重运行缺陷的认定,对设计缺陷的重视和研究还不够,不能及时、深入地发现存在的问题并提出改进建议。四是内部审计部门缺乏独立性、权威性,进行内部环境等审计时,对组织架构、决策机制、权力运行等难以独立客观地发表评价意见。五是内部审计人员的专业素质和综合能力不强,对内控建设、风险管理和内部控制审计的认识、理解和掌握还远远不够。
按照内部审计具体准则的要求,内部控制审计应当以风险评估为基础,根据风险发生的可能性和对组织单个或者整体控制目标造成的影响程度,确定审计的范围和重点。在对内部控制全面评价的基础上,关注重要业务、重大事项和高风险领域的内部控制。
在审前调查阶段,一是要了解风险识别和评估工作机制的建立情况,审查内部控制风险识别是否有效、评估内容是否全面、评估周期是否合理。二是根据最近一次的内部控制自我评估报告,审查风险评估结果的重要性、适当性、客观性。三是审查风险应对策略和采取的内控措施的适应性、制衡性、有效性。如果单位现有内部控制风险评估开展有效,可直接利用风险评估结果确定审计范围和重点,否则应重新评估后确定。
按照内部审计具体准则的定义,内部控制审计按其范围划分,分为全面内部控制审计和专项内部控制审计。
全面内部控制审计是从全局出发,以管理的视角,对单位层面内部控制的设计与运行情况进行审查和评价,涵盖了内部控制五要素。其中,内部环境审计包括组织架构、议事决策、权力制衡、岗位设置管理等内容。风险评估审计包括风险识别、评估和应对的有效性。控制活动审计包括内部管理制度的建立健全、相关控制活动的设计和运行情况。信息与沟通审计包括信息传递的及时性、财务报告的真实性、信息系统的安全性等。内部监督审计是对内部监督机制的有效性进行评价。实际工作中,可结合当前行政事业单位内部控制报告的相关内容来进行评审。单位完成内部控制建设之初,需开展一次全面内部控制审计,以检验内部控制建设的成效,全面、系统地审查和评价内部控制设计和执行的有效性。以后,根据管理层的需要、政策和环境变化等定期或不定期地开展。
专项内部控制审计是对业务层面内部控制的设计和运行情况进行的审查和评价,可选择内部控制的某个要素、某项业务活动或者业务活动某些环节进行审计。内容包括预算管理、收支管理、政府采购、资产管理、建设项目、合同管理和本单位的重点业务。可根据管理层的要求、业务活动的特点、内部控制优化的需要、纪检巡视审计等外部监督发现问题,定期循环开展或有重点地开展,也可将内部控制审计与财务审计、业务审计结合起来开展。
内部控制审计程序包括审计计划、审计实施、缺陷认定、编制报告等阶段。计划阶段要根据风险评估结果,选择拟测试的控制。实施阶段要按照重要性原则,进行单位层面控制测试、业务层面控制测试、设计有效性测试和运行有效性测试,确定审查和评价的要素、主要风险点、采取的控制措施及效果,收集充分、有效的证据,认定是否存在内部控制缺陷,详细记录审计工作底稿,汇总审计结果,得出审计结论。
在审计方法的选择上,应当根据实际情况,适当选用问卷调查、询问访谈、现场观察、实地查验文件记录、穿行测试、重新执行、抽样和比较分析等方法。
内部控制的有效性是行政事业单位建立与实施内部控制对实现控制目标提供合理保证的程度。如果内部控制失效,就不能防止、发现和纠正错弊,实现控制目标。内部控制审计的核心任务就是发现内部控制缺陷。内部控制缺陷包括设计缺陷和运行缺陷。设计缺陷是由于缺少必要的控制措施或现有控制措施设计不当,即使正常运行也难以实现控制目标。运行缺陷是指设计有效的内部控制由于运行不当而影响控制目标的实现,原因包括执行人员、方式、时间等不符合设计要求。内部审计人员不仅要发现运行缺陷,更要关注设计缺陷,从机制制度等更深层面发现问题,提出建设性的解决措施和办法。
内部审计准则将内部控制缺陷按其性质和影响、对控制目标的偏离程度,分为重大缺陷、重要缺陷和一般缺陷。内部审计机构应该结合本单位的具体情况,确定重大、重要和一般缺陷的认定标准。内部审计人员根据审计结果,综合分析内部控制缺陷的性质、类型、表现形式和影响程度,提出认定意见,按规定的程序审核后确定。重大缺陷应及时向管理层报告。
内部审计机构应当与被审计部门交换意见,出具内部控制审计报告,通过对内部控制缺陷的认定,得出内部控制设计和运行有效性的审计结论。对缺陷的性质、成因进行分析,有针对性地提出改进意见和建议。
内部审计机构应当向管理层报告内部控制审计结果。与内部控制职能部门或相关部门沟通,制定整改计划和措施,跟踪督促整改落实,促进单位内部控制的完善和提升。
内部控制审计对单位内部控制缺陷进行认定,需要有明确的评价标准和完善的指标体系作为依据,包括定性评价标准和定量评价标准。定性评价标准是指从性质上来判断缺陷的严重程度。如控制环境薄弱、管理层存在舞弊、外部审计发现财务报表存在重大错报而内部控制未能发现等,应当分类别进行列示。定量评价标准是指用数字量化的方式判断缺陷的影响程度。比如财务报表错报金额达到资产总额的一定比例,非财务报告内控缺陷造成的损失达到业务规模的一定比例或某一金额等,可参考审计准则关于重要性水平的规定和行业标准或历史数据等予以确定。
建议政府监管部门或行业协会尽快完善行政事业单位内部控制评价指引、审计指引和实务指南等,解决审计操作中面临的技术问题。内部审计机构应根据规范,参考行政事业单位内部控制基础性评价和内控报告编报要求,结合本单位的具体情况设计详细、具体、科学的评价标准和量化指标体系,增加内部控制审计的可操作性、准确性和规范性,提升评审的效果。
为了节约审计调查的时间和成本,规范审计工作的开展,提高审计效率,要推进内部控制审计的信息化建设,建立内部控制审计系统,实现审计计划、风险评估、项目方案、内控评价、缺陷认定、审计报告、整改跟踪等全过程的数字化。
从内部控制设计和运行两个维度,分类建立内部控制审计模型。单位层面内部控制审计要对照内部控制五要素,对组织层面内部控制建立模型。业务层面内部控制审计要针对预算管理、收支管理、政府采购、资产管理、建设项目、合同管理和单位重点业务分别建立模型。梳理对各类内部控制进行审查评价的关键要素和指标,固化在系统中,并与业务、内控等信息系统对接,实现评审的信息化,规范审计作业,提高审计效能。
内部审计人员是实施内部控制审计的主体,其职业道德水平和专业胜任能力是内部控制审计有效实施的关键因素。目前行政事业单位审计人员普遍缺乏内部控制、风险管理方面的专业知识和实践经验,单位应结合行业特点、自身情况和实际需要,优化内部审计人员的构成,配置和充实具备相关专业特长的人才。同时,积极开展有针对性的培训,增强内控意识,更新知识结构,重点开展预算管理、政府采购、建设项目等内控培训,培养专业化、复合型的审计队伍,熟悉单位层面和业务层面的内控规范,掌握本行业、本专业重点业务的内部控制和风险管理,熟练运用内部控制审计的专业方法,积累内控评价的实践经验,全面提高内部控制的监督管理水平。