面向业务、风险的行政事业单位内部控制审计探析

雷洋昆

随着行政事业单位管理体制的不断深化和发展，内部控制已逐渐成为行政事业单位提高管理水平，加强廉政风险防控机制建设的重要手段，《行政事业单位内部控制规范》的出台将进一步推进内部控制建设规范化、制度化。在这种背景下，内部审计作为内部控制的重要组成部分和内部控制的监督者，应积极发挥建设性、促进性作用，通过深化内部控制审计，以审计倒逼内部控制完善，促进风险有效防范、组织目标得以实现。

一、行政事业单位内部控制审计的内涵

目前，内部控制审计实务可分为基于会计报表审计的内部控制审计和基于规范业务管理的内部控制审计两种类型。基于会计报表审计的内部控制审计，是指在进行会计报表审计时，审计人员首先要审查和评价被审计单位的内部控制，对拟信赖的内部控制进行控制测试，并据以确定实质性测试的性质、时间和范围，从而确保审计质量、效率、效果的有效实现。在这个过程中，审计人员仅仅关注与财务报告可靠性相关的内部控制，并非整个内部控制系统。基于规范业务管理的内部控制审计，主要是为了规范业务管理，防范业务风险，帮助组织目标实现。其范围应包括与被审计单位资源管理活动相关的所有内部控制，而不仅仅局限于与财务报告可靠性相关的内部控制。

按照COSO报告关于内部控制的定义可知，内部控制系统不仅是合理保证财务报告可靠性的过程，还是合理保证经营效率和效果、资产安全完整、遵循法律法规、实现组织目标的过程。同时，随着组织的治理结构和竞争环境的变化，组织管理层也越来越需要了解本单位业务、财务整体状况。因此，内审人员对内部控制的审计应立足于规范业务管理、防范业务风险，对单位资源管理活动相关的所有内部控制实行全面覆盖。

二、当前行政事业单位内部控制审计的局限性

（一）紧密围绕审计目标不够

内部审计作为治理与管理层职能的延伸，去审查和评价同级或者下级单位的业务活动及内部控制情况，其目的是满足管理需求，增加组织价值，促进组织目标实现。因此，内部控制审计目标应与组织目标高度一致，应与组织文化和管理理念充分合拍，应满足治理与管理层因时因地的需求。而当前内部控制审计实务往往与组织目标、管理层需求联系不够，更侧重于满足审计内部提高效率的需求。

（二）以风险评估为基础不够

内部控制以风险评估为基础，关注重要业务事项和高风险领域。实施内部控制审计时，内审人员同样需要以风险控制为基础，考虑重要性原则，分层次、有重点地进行审计。而当前内部控制审计实务容易忽略风险评估环节或者未有效进行风险评估，导致审计时要么是胡子眉毛一把抓，要么是捡了芝麻丢了西瓜。

（三）以业务分析为手段不够

内部控制围绕组织的业务、财务、法务及战略实施，覆盖并渗透到组织各项业务和事项之中，贯穿决策、执行和监督全过程，各要素之间相互影响，具有系统性、过程性、动态性。内部控制系统虽然复杂、多变，但其核心对象是业务，内部控制是对业务的控制。因此，实施内部控制审计时，内审人员应面向业务和管理，从业务入手，基于对业务系统进行充分调研的基础上进行。而当前内部控制审计实务更倾向于从财务信息入手，关注财务问题而非控制机制问题。

三、面向业务、风险的行政事业单位内部控制审计路径探析

内部控制包括控制环境、风险管理、控制活动、信息与沟通、监督五要素，其中最重要的要素为控制活动。一个单位的控制活动按照其控制对象的不同，可以划分为实体系统和信息系统，其中，实体系统又包括业务系统和资源支持系统。内部控制审计的关键在于对业务系统控制活动的审查和评价。因此，深化行政事业单位内部控制审计应紧密围绕目标，面向业务、风险，从业务入手，了解各业务及其流程的控制机制与存在的风险，并通过评估风险，分析问题存在的可能性，进而揭示内部控制存在的风险隐患和问题。

（一）基于业务系统控制活动的内部控制调查

内部控制活动包含业务系统、资源支持系统和信息系统。其中资源支持系统包括人力资源系统、财务管理系统、资产管理系统;信息系统是对实体系统的一个纪录和反映，包括会计信息、ERP系统等。资源支持和信息系统是业务系统的辅助系统，都是对业务的反映。因此，在进行内部控制审计实务时，对资源支持系统和信息系统控制活动的调查，可以融合至业务系统控制活动的调查中进行。

对业务系统控制活动进行调查主要包括两个步骤：

一是对被审计单位业务结构进行了解和分析。业务结构分析是指对被审计单位业务的总体轮廓和脉络进行梳理后，按照一定的标准将其开展的所有业务划分类别。通过对业务结构的分析应清楚了解：被审计单位总体上应包括哪几大类业务，这几类业务又分别包括哪些业务模块，每个业务模块对应的管理机构和主要负责人是谁，各业务模块是做什么的。在进行业务结构划分时，内审人员应考虑成本效益原则，业务模块划分的层次即不宜过细亦不宜过粗，过细影响审计效率，过粗影响审计效果。业务结构分析过程可形成工作底稿如表一：业务结构分析表。

表一 业务结构分析表

二是对各业务流程进行了解和分析。业务流程分析就是对业务结构分析中划分出来的每个业务模块进行分析，分析各具体业务是如何开展的？其具体流程是什么？在进行业务流程分析时，内审人员应考虑风险导向原则，基于对业务的初步风险评估有选择性地对业务流程进行分析。分析内容包括业务流程的控制机制有什么？这些控制机制能否有效防范风险，是否存在薄弱环节？这些控制机构存在风险有多大？业务流程分析过程可形成工作底稿如表二：业务过程分析表。

表二 业务过程分析表

通过以业务为主线，对业务系统、资源支持系统、信息系统控制活动的调查，不仅能了解到行政事业单位组织层面的内部控制，更能对业务层面预算管理、收支管理、采购管理、建设项目管理、合同管理等各类重要管理活动的内部控制进行深入了解。

（二）测试内部控制的建立健全、是否执行

内部控制测试包括审核内部控制设计是否合理、内部控制执行是否有效。以业务入手的行政事业单位内部控制审计需着重关注两方面：

一是对业务所对应财务过程的分析。了解被审计单位业务情况及其控制机制后，在内部控制测试阶段，内审人员应着重关注业务相应的财务处理过程以及业务系统与财务系统的衔接性问题。对财务处理过程的审查主要是运用分析性复核程序对业务的收入结构、支出结构及其比例变化进行分析。对业务系统与财务系统的衔接性进行审查，是通过对被审计单位财务信息与业务信息相互核对，来确定是否所有的业务活动均通过财务信息及时、真实反映;所有的财务信息是否均有相关的业务活动支撑。当被审计单位的管理信息系统不完善时，其业务资料与财务资料往往会脱节，会更容易产生内部控制薄弱环节。因此，针对管理信息系统不完善的单位，内审人员应重点关注业务、财务未有效衔接部位，检查被审计单位针对该项风险是否有相关控制，且相关控制机制是否有效运行。

二是问题可能性分析。通过对业务结构、业务过程及其对应财务过程的分析，解决了被审计单位是什么样的、怎样做的问题，而审计的最根本任务是要回答被审计单位存在哪些问题和面临怎样的风险。因此，内审人员还需要对业务所存在的业务问题、财务问题和会计问题进行可能性分析。在进行问题可能性分析之前，审计人员可以与被审计单位负责人沟通，了解被审计单位管理层对单位风险的自我评估情况。在进行问题可能性分析时，内审人员应根据相关的法律法规、管理通用规则、同行业要求、单位内部规章制度和计划，单位各类批示文件等确定分析标准，并依据标准，对各业务控制机制是否有效、对应财务过程是否合规进行判断，分析出各业务可能存在的业务问题、财务问题和会计问题。一般而言行政事业单位的重大事项、重要资源利用、管理衔接部位、非常规业务风险比较大，存在问题的可能性较大。问题可能性分析可形成工作底稿如表三：问题可能性分析表。

表三 问题可能性分析表

（三）内部控制的综合评价

在完成内部控制基本情况了解、测试后，需要对内部控制进行综合评价。行政事业单位内部控制评价主要包括单位整体层面评价和业务层面评价。业务层面内部控制的评价可分别围绕着预算、收支、政府采购、资产、建设项目、合同、对外投资等业务进行。整体层面的评价可从内部控制环境、风险管理、控制活动、信息与沟通、监督五要素角度进行，重点包括对集体决策机制、关键岗位责任制、内部授权审批控制、归口管理机制、内部监督机制、信息公开机制的评价。

（作者单位：北京大学）