高校内部控制评价指标体系在审计信息化系统中的应用

文| 范 晔 孙岱琪 李跃堂

《行政事业单位内部控制规范（试行）》在2012年11月，由财务部发布，试行日期为2014年1月1日，由此我国高校内控建设迈入制度化和实操性阶段。信息技术现在已经走进了千家万户并取得了快速发展，因此高校审计部门的当务之急便是使用信息技术审计进行内部控制评价。在这种情况下，如何构建系统的内部控制评价体系并应用于审计信息系统中，从而使得学校内部相关的各项业务关联在一起，也使其同时受到彼此的牵制，从而提高高校办学效率、充分有效地获得和使用各种资源，对高校的持续健康发展产生重大影响。

背景介绍

高校内部控制评价指标体系在审计信息化系统中的现状

伴随着互联网的逐渐普及，国务院从国家层面出发开始积极推动审计信息化发展，同时在《国务院关于加强审计工作的意见》等文件中精准指明审计信息化的未来的走向，鼓励各单位充分运用信息化技术提升审计能力和审计效率。《教育部关于推进直属高等学校内部审计信息化的建设意见》等相关文件指出，通过内部审计信息化建设，可以使得信息化环境下审计“免疫系统”功能得以实现，同时它也是提升监管能力和改善教育环境治理的关键步骤。如今，我国大部分高校内部控制模块在审计信息系统中仍是空白，但是个别高校虽然在之前进行了一部分体系的构建和探索，但许多评价指标体系没有真正与具体的操作流程相匹配。

高校内部控制评价指标体系在审计信息化系统中构建的原则

1.建立具有闭环调节的控制环节.有效控制应该是信息系统中具有反馈回路的闭环控制过程。一个比较完整的内部控制系统应该包括以下四个步骤：设计→执行→评估→改进，这四个环节构成了一个完整的内部控制系统循环，如下图所示：

设计、执行、评价以及改进这四个步骤就像是一个统一和谐的整体，它是一个持续不断的过程。从这四个环节中可以明显地体现出计划—实施—检查—处理工作原理在内控评价中的具体应用。

2.经济性原则。有效的内部控制评估必须保持平衡，并注意成本效益原则。相似的，将内部控制评价指标体系应用于审计信息系统也需要在其收益和成本之间取得平衡。适用于大学和参与单位和业务级别内部控制单元评估的参与者。单位级别的选择是参与有效的评估，而不是评估审核信息系统。每个工作级别的策略选项是进行内部审计和内部审计信息系统中未实施的内部审计。假设评估成本为c，评价收益为r，且r〉c，业务层面在审计信息系统有效评价的成本是F，也就是业务层面各单位不评价所伴随的惩罚，且F〉c，而单位层面各单位与业务层面各单位各自的初始效用水平分别为a和b，那么收益矩阵如下：

项目 单位层面有效评价 不评价业务层面 自觉执行 a+r-c，b+r-c a，b+r-c不执行 a+r-c-F，b-F a,b

由此可见，在审计信息系统中，进行内控评价的成本是即时的，而收益是隐含的、不确定的。因此，利用审计信息系统开展内控评价工作的过程是一个反复而长期的过程。

3.风险导向原则。对于一个科学合理的评价体系，我们一定要将它可能出现的风险以及如何预防或解决的措施考虑在内，否则若发生较为严重的评价体系漏洞，这个体系对于整个高校的评价工作将起不到任何积极性作用。我们在整个体系评价过程中，需要将风险考虑在可以接受的水平，同时内部控制评价的结果应该作为单位层面或业务层面相关责任人业绩的一部分。以此可以利用内部所建立体系和单位业绩的匹配，来大大提升和完善内部控制的主动性。

高校内部控制评价指标体系在审计信息化系统中构建探究

在内部控制体系中，评价与监督是重要的组成部分，在进一步完善内部控制制度、提高内部控制执行力等方面发挥着重要作用。发挥信息技术优势，在审计管理信息系统中构建科学合理的内部控制评价指标体系，能够帮助审计人员洞察内部控制体系的缺陷与不足，对内部控制评价工作的开展具有重要意义。

1.系统设计。根据《教育部直属高校单位层面内部控制基础性评价系统指标和评分标准》，教育部直属高校内控基础性评价分单位层面和业务层面两个维度。内控评价系统支持按组织层面和业务层面对内部控制的设计和运行情况进行检查和评价。系统支持开展多组织、多层级的内控评价工作，也支持各学院、各部门独立发起内控自评价工作。主要包括内控矩阵、内控测评、缺陷认定、缺陷整改跟踪等功能。将上述两个维度中涉及的评价要点作为内控评价系统所使用的可标准化内置系统，为规范内控评价人员的工作提供指导。内控评价系统其他模块可调用、引用该模块信息。从而后续才可以提供标准化的、可统计分析的内控评价过程成果和结果，并深入思考此评价体系中可能存在的部分漏洞以及相关处理的合理化措施，同时为以后的工作总结和汇报工作提供便利条件。

2.教育内部控制评价体系评分表及量化标准。根据文中以及查阅相关资料，我们对内部控制基础性评价指标的量化考核进行了权重的分配，其中和单位层面的相关评价分数达到60分，和业务层面相关的评价体系指标分数达到40分的比重，其中前者共有6项大型考核，其中主要包括21个要点，后者有6个主要大型考核，其中包括15个考核要点。

3.根据评分表权重和量化标准，自动生成评价结果等级。

将单位层面和业务层面的评价指标按照主流程、子流程、风险点及控制活动维护单位的内部控制矩阵进行配置，在进行内控评价时，直接调用内控矩阵中被测试单位适用的控制点进行测试。授权用户可以进行内控矩阵查看。需要注意的是：（1）内控矩阵层级可按照不同单位内控矩阵的层级进行灵活设定，包含主流程、子流程、各流程风险点及相应的控制活动，可以满足不同客户的需求。（2）异常严重缺陷、严重缺陷和一般缺陷相关的详细量化考核，可由单位根据自身要求自行确定维护，所有佐证材料须有证明文件。内控缺陷等级维护好后，缺陷认定时可以根据情况进行缺陷等级选择。

关于高校内部控制评价指标体系构建的合理化建议

1.在实践中能够发挥较大的作用，保证可以构建出在客观世界中可执行的评价指标体系，构建时候一定要考虑其可执行性；

2.兼容并包，根据高校的具体情况设计内部控制评价指标的开放体系，适应性是构建高校内部控制评价指标体系的原则之一。因为所构建评价指标体系是否适用于高校，是否能对高校工作的开展起到积极的推动作用，它们二者主要依赖于体系是否能够合理适用。随着中国教育的快速发展，利用审计信息技术进行内部控制评估工作已经变为主流趋势。本文针对高校内部控制评价指标体系在审计信息化系统中构建，提出反馈回路、经济性、风险导向原则，接着探究了体系的构建并作以深入分析，各个高校可以此为例子进行深入探析和思考，对文中所构建的内部评价体系有了一个更加深入的剖析，同时本文也提出相关建议，供同行以参考。最后希望各个高校的内部控制评价体系在审计系统中得到更加高效充分的利用，同时也希望我国的教育事业有一个更加美好的未来。