面向业务风险行政事业单位内部控制审计探析.docVIP

面向业务风险行政事业单位内部控制审计探析 　　 随着行政事业单位管理体制的不断深化和发展，内部控制已逐渐成为行政事业单位提高管理水平，加强廉政风险防控机制建设的重要手段，《行政事业单位内部控制规范》的出台将进一步推进内部控制建设规范化、制度化。在这种背景下，内部审计作为内部控制的重要组成部分和内部控制的监督者，应积极发挥建设性、促进性作用，通过深化内部控制审计，以审计倒逼内部控制完善，促进风险有效防范、组织目标得以实现。 　　 一、行政事业单位内部控制审计的内涵 　　 目前，内部控制审计实务可分为基于会计报表审计的内部控制审计和基于规范业务管理的内部控制审计两种类型。基于会计报表审计的内部控制审计，是指在进行会计报表审计时，审计人员首先要审查和评价被审计单位的内部控制，对拟信赖的内部控制进行控制测试，并据以确定实质性测试的性质、时间和范围，从而确保审计质量、效率、效果的有效实现。在这个过程中，审计人员仅仅关注与财务报告可靠性相关的内部控制，并非整个内部控制系统。基于规范业务管理的内部控制审计，主要是为了规范业务管理，防范业务风险，帮助组织目标实现。其范围应包括与被审计单位资源管理活动相关的所有内部控制，而不仅仅局限于与财务报告可靠性相关的内部控制。 　　 按照COSO报告关于内部控制的定义可知，内部控制系统不仅是合理保证财务报告可靠性的过程，还是合理保证经营效率和效果、资产安全完整、遵循法律法规、实现组织目标的过程。同时，随着组织的治理结构和竞争环境的变化，组织管理层也越来越需要了解本单位业务、财务整体状况。因此，内审人员对内部控制的审计应立足于规范业务管理、防范业务风险，对单位资源管理活动相关的所有内部控制实行全面覆盖。 　　 二、当前行政事业单位内部控制审计的局限性 　　 （一）紧密围绕审计目标不够 　　 内部审计作为治理与管理层职能的延伸，去审查和评价同级或者下级单位的业务活动及内部控制情况，其目的是满足管理需求，增加组织价值，促进组织目标实现。因此，内部控制审计目标应与组织目标高度一致，应与组织文化和管理理念充分合拍，应满足治理与管理层因时因地的需求。而当前内部控制审计实务往往与组织目标、管理层需求联系不够，更侧重于满足审计内部提高效率的需求。 　　 （二）以风险评估为基础不够 　　 内部控制以风险评估为基础，关注重要业务事项和高风险领域。实施内部控制审计时，内审人员同样需要以风险控制为基础，考虑重要性原则，分层次、有重点地进行审计。而当前内部控制审计实务容易忽略风险评估环节或者未有效进行风险评估，导致审计时要么是胡子眉毛一把抓，要么是捡了芝麻丢了西瓜。 　　 （三）以业务分析为手段不够 　　 内部控制围绕组织的业务、财务、法务及战略实施，覆盖并渗透到组织各项业务和事项之中，贯穿决策、执行和监督全过程，各要素之间相互影响，具有系统性、过程性、动态性。内部控制系统虽然复杂、多变，但其核心对象是业务，内部控制是对业务的控制。因此，实施内部控制审计时，内审人员应面向业务和管理，从业务入手，基于对业务系统进行充分调研的基础上进行。而当前内部控制审计实务更倾向于从财务信息入手，关注财务问题而非控制机制问题。 　　 三、面向业务、风险的行政事业单位内部控制审计路径探析 　　 内部控制包括控制环境、风险管理、控制活动、信息与沟通、监督五要素，其中最重要的要素为控制活动。一个单位的控制活动按照其控制对象的不同，可以划分为实体系统和信息系统，其中，实体系统又包括业务系统和资源支持系统。内部控制审计的关键在于对业务系统控制活动的审查和评价。因此，深化行政事业单位内部控制审计应紧密围绕目标，面向业务、风险，从业务入手，了解各业务及其流程的控制机制与存在的风险，并通过评估风险，分析问题存在的可能性，进而揭示内部控制存在的风险隐患和问题。 　　 （一）基于业务系统控制活动的内部控制调查 　　 内部控制活动包含业务系统、资源支持系统和信息系统。其中资源支持系统包括人力资源系统、财务管理系统、资产管理系统;信息系统是对实体系统的一个纪录和反映，包括会计信息、ERP系统等。资源支持和信息系统是业务系统的辅助系统，都是对业务的反映。因此，在进行内部控制审计实务时，对资源支持系统和信息系统控制活动的调查，可以融合至业务系统控制活动的调查中进行。 　　 对业务系统控制活动进行调查主要包括两个步骤： 　　 一是对被审计单位业务结构进行了解和分析。业务结构分析是指对被审计单位业务的总体轮廓和脉络进行梳理后，按照一定的标准将其开展的所有业务划分类别。通过对业务结构的分析应清楚了解：被审计单位总体上应包括哪几大类业务，这几类业务又分别包括哪些业务模块，每个业务模块对应的管理机构和主要负责人是谁，各业务模块是做什么的。在进行业务结