刘罡
[摘要]随着高校内部控制体系的建立,全面落实审计署、教育部开展内部控制审计的要求,通过审计不断完善内部控制,已经成为今后高校内部审计的一项重要任务。本文通过对高校内部控制审计存在的难点和问题进行分析,对高校内部控制审计的内容、方式、方法和结果运用等进行研究,为高校今后开展内部控制审计提供一些路径和借鉴参考。
[关键词]高校 内部控制审计 对策
一、引言
2018年,审计署发布的《审计署关于内部审计工作的规定》,将内部审计的内涵由财政财务收支、经济活动扩展到内部控制和风险管理。2020年,教育部修订的《教育系统内部审计工作规定》重申内部审计内涵,增加了内部控制审计职责。对高校内部控制建设的健全性和运行的有效性进行的审计监督,已是高校内部审计工作重点之一。近年来,虽然高校基本完成内部控制体系建设,但还存在不少问题,需要通过加强审计监督完善内部控制建设。
二、高校内部控制审计的难点
(一)高校内部控制审计缺乏相关配套制度
审计署、教育部发布实施的内部审计规定均提出对内部控制进行审计,但是只有原则规定,没有制定相关配套制度。内部控制审计虽然有《第2201号内部审计具体准则——内部控制审计》作出的基本规范,但还缺乏具体、有针对性的操作规范,影響高校内部控制审计的开展与工作质量。
(二)高校内部控制审计发展还不平衡
近年来,高校按照制度要求建立了内部控制体系,但内部控制审计工作刚刚起步,还未真正全面开展。有的高校对内部控制审计的重大意义认识不到位,重视程度不够,缺乏推动内部控制审计的动力;有的高校虽然有一定的认识,也准备开展,但缺乏指导性操作规范;有的高校以年度内控评价替代审计,或者在其他类型审计中关注内部控制等,高校内部控制审计的职能作用未得到充分发挥。
(三)高校内部控制审计内容还未明确
高校内部控制审计是针对高校内部控制开展的审计工作。高校内部控制涉及面广,既包括学校单位层面的内部控制,如内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,还包括学校业务层面的内部控制,如预算、收支、资产、采购、合同、工程、后勤、产业等业务。作为一项新的审计业务,高校内部控制审计审什么,其审计内容是全面审计还是专项审计尚未明确。
(四)高校内部控制审计方式方法有待探讨
与传统审计不同,内部控制审计已经突破原有的财务审计概念,更多涉及到了高校的内部管理、业务流程和风险管理。因此,已有的审计方式方法已难以满足内部控制审计的需要,这就要求构建新的审计模式,采用新的审计方法,这些新的审计方式方法还需要在实践中进行探讨,不断探索并完善。
(五)高校内部控制审计成果尚未充分、有效运用
调研发现,有的高校对内部控制审计发现的重要问题的整改情况重视程度不够,整改效果不佳,影响和制约内部控制的完善。审计成果运用未建立内部联动机制,往往成为内部审计机构的事务,高校内设的其他部门介入得不够,审计成果共享和运用没有发挥最大效能。
三、高校内部控制审计的建议
(一)高度重视和推动内部控制审计
1.高校上级主管部门应当根据审计署、教育部内部审计工作规定的相关要求,出台高校内部控制审计的实施细则或指南,为高校内部控制审计工作提供制度规范,进一步推动内部控制审计工作。
2.高校领导层要高度重视内部控制审计工作,要充分认识内部控制审计不仅是新时代高校内部审计转型的需要,也是提升高校治理体系和治理能力现代化的需要,更是高校防范舞弊和腐败行为的需要。开展内部控制审计工作需要加大人力资源、工作经费等审计资源供给保障力度,推动内部控制审计工作开创新局面,全面支持内部审计机构开展内部控制审计。
3.高校内部审计机构和人员要与时俱进,切实提高认识和履职能力,要深入、系统了解掌握高校内部控制业务的要求,牢固树立内部控制思维和风险意识,善于从内控推动持续高效健康发展的高度和防范化解重大风险的角度发现重要问题,具备适应、胜任高校内部控制审计工作的素质和能力。
(二)合理确定内部控制审计内容
高校可以根据内部控制建设情况和学校实际,合理确定内部控制审计范围和内容。它既可以对高校内部控制进行全面审计,也可以对内部控制的某个要素、某项业务、某个环节进行审计。
1.高校内部环境的审计内容包括:高校内部治理结构、内设机构设置是否科学合理,权责划分是否明晰;议事规则、审批决策和工作流程是否科学合理;不相容职务是否相互分离、相互制约,决策、执行、监督权限是否分离;发展战略或中长期规划的制定是否科学、合理,是否得到有效实施;是否建立关键岗位的轮岗、考核、奖惩和监督措施等。
2.高校风险评估情况的审计内容包括:高校是否建立了风险管理目标和风险应对策略,是否进行风险识别和风险评估;能否准确识别与控制目标相关的风险;是否对已识别的风险进行分析和排序;是否对重要风险实施有效的控制。
3.高校控制活动情况的审计内容包括:高校预算、收支等各主要业务活动是否建立健全相关制度;各项制度是否得以有效执行;各业务活动是否建立健全重大经济事项议事决策机制,决策程序是否合规,决策依据是否科学;各业务活动是否建立不相容岗位相互分离、内部授权审批控制、归口管理等机制;各业务活动的控制措施是否健全有效等。
4.高校信息与沟通情况的审计内容包括:高校内部各项制度和业务活动信息是否及时公开;单位内部信息收集处理和传递是否及时;高校是否建立信息系统归口管理部门;各业务管理信息系统之间是否进行有效衔接和信息共享;利用信息手段实施内部控制是否健全有效。
5.高校内部监督情况的审计内容包括:高校内部控制监督体系是否建立健全;是否建立监督工作小组,是否明确归口监督部门;是否对内部控制进行定期评价或审计;是否建立问题整改和责任追究机制。
(三)采用适当的内部控制审计方式
高校在实施内部控制审计时,可以根据项目需要和工作实际,选择相应的审计方式。
1.按照实施主体,可以分为内部审计机构自行实施、委托社会审计机构实施、内部审计机构与社会审计机构联合实施。由于高校内控审计处于刚刚起步阶段,有的内部审计机构的人员、能力、经验不足,可以采用内部审计机构与社会审计机构联合实施的方式进行,逐步积累工作经验,提升审计能力和水平。
2.按照审计期间,可以分为年度内部控制审计和阶段性内部控制审计。当前,高校应当以年度内部控制审计为主,以便及时修订完善;随着内部控制逐步规范,可以适当开展跨年度的阶段性审计,以便减少审计成本。
3.按照审计介入时间节点,可以分为全过程跟踪审计和事后审计。初始阶段,高校因审计能力与手段所限,可以以事后审计为主,对内部控制涉及的主要业务进行事后审计评价,待审计能力和信息技术手段提高后,可以适当开展全过程跟踪审计,以便及时防范和化解风险。
4.按照审计内容,可以分为全面内部控制审计和专项内部控制审计。虽然对高校进行全面内部控制审计的想法较好,但是受到审计人员能力、成本等制约,很难在有限时间将全部问题查深查透,难以达到理想效果。高校可以先试行对内部控制的某一要素、某一业务、某一环节进行专项审计,这样能够量力而行,循序渐进,取得较好的审计效果。
5.按照审计类型,可以作为独立审计项目,也可以结合其他项目开展。当前有的高校将内部控制与经济责任审计、预算执行审计等其他审计项目相结合,作为其他审计项目的一个重要方面,这种方式难以突出主题,不够聚焦和深入。今后,高校应当逐步将内部控制作为独立的审计项目。
(四)使用有效的内部控制审计方法
内部控制审计的关键是采用经济有效的方法来查找风险点,评估和确定风险等级,从而提出防范风险、完善内控的重要措施。
1.查找内部控制重要风险点。高校内部审计机构根据了解的情况和搜集的资料,梳理和分析其主要业务流程、各流程控制机制、对应机构人员、对应规章制度制定过程等。内部审计机构综合运用个别访谈、问卷调查、专题讨论、实地查验、抽样统计、比较分析和穿行测试等方法,收集和确定内部控制设计和运行是否存在重要风险或重大风险。
2.内部控制风险评估。对内部控制审计过程中发现的风险,高校内部审计机构应当从定量和定性两方面进行综合衡量,根据风险发生的可能性和对实现内部控制目标的影响程度,判断是否构成内部控制风险,以及风险的重要程度。根据重要程度,风险可以分为重大风险、重要风险和一般风险,其具体认定标准由高校根据本单位实际情况自行确定,但一经确定应当在不同评价期间保持一致,不得随意变更。
(五)提升内部控制审计结果运用的效果
1.高度重视内部控制审计的问题整改,明确整改任务、责任单位、责任人、整改时间要求,进一步完善和落实内部控制措施,并将整改情况和整改效果及支撑材料按时提交给内部审计机构及相关部门。
2.建立联动机制,相关部门对审计结果共享共用,共同促进内部控制運行机制持续健康。高校内部控制建设牵头部门应当根据审计结果进一步完善内控建设,督促有关部门将内控措施落实到位;组织人事部门应当将内控建设和运行情况作为单位考核和干部评价的重要依据;纪检监察部门应当将因内控存在的缺陷和风险导致的重大损失作为责任追究的重要线索。
(作者单位:中国农业大学,邮政编码:100083,
电子邮箱:liugang@cau.edu.cn)