【摘要】当前，以风险为导向的内部控制审计理念逐步从单位渗透到教育系统。作为医教研全面发展的三级甲等综合型医院，开展医院内部控制审计的目标是为了促进医院加强医疗水平管理和提高医院经济效益。应加强审计基本程序中准备、实施和终结三个阶段的工作，防范了解不全、测试失效和评价不当等审计风险。

　　【关键字】内部审计、内部控制

　　一、内部审计与内部控制

　　内部审计既是内部控制系统中的一个重要分支系统，又是实现内部控制目标的重要手段，内审制度的完善是健全内部控制的重要内容，同时内部审计还能为改进内部控制提供建设性的建议。?

　　1.内部控制审计的涵义

　　所谓内部控制，是指被审计单位为了维护资产的安全、完整，保证信息的真实、可靠，保证其管理或者经营活动的经济性、效率性和效果性并遵守有关法规，而制定和实施相关政策、程序和措施的过程。

　　内部控制审计是运用文字描述，调查表及流程图等手段与方法对内部控制系统实施健全性评价，检查和评价单位内部控制系统是否健全，内部控制制度是否被遵循及内部控制机制运行是否有效。

　　2.内部控制与内部审计的关系?

　　内部控制与内部审计之间存在一种相互依赖、相互促进的内在联系。?

　　(1)内部审计是内部控制的一个不可或缺的组成部分。内部审计是为加强内部经济监督和经营管理的需要而逐渐发展起来的，是单位内部一种独立的评核工作，通过检查会计、财务及其他业务，为管理当局提供咨询、建议等服务。内部审计作为监督的一个重要角色置于整个内控的较高层。?

　　(2)内部审计又是对内部控制的控制。内部审计又是全面审查、监督内控制度的专门组织，它立于会计控制之外，具有其他任何部门和控制所无法代替的重要作用。目前，内部审计范围已从传统的财务收支审计扩展到经营管理的各方面，另外根据国际惯例，内部审计通常代表管理层对整个单位内部控制制度的健全性、有效性及其遵循情况等进行评价，所以它又是对内部控制的控制。?

　　3.内部审计在内部控制中的作用?

　　(1)内部审计的角色由监督者逐步转变为控制者。?

　　内部审计曾一度被定位于“监督者”的角色。英国著名的特恩布尔报告认为，内部审计师的主要作用是“确证和建议”，而不再是以往的“监督和复核”。这一转变赋予了内部审计更多的内涵，也将内部审计定位成增值性审计。目前，内部审计职能已逐渐发展为“保证和咨询服务”，内部审计正在充分发挥其评价职能的作用，增加组织价值和改善经营管理，提高有关数据和信息的相关性和可靠性;通过咨询活动，为管理当局提供专业服务，为风险管理出谋划策，降低单位风险，从而在实质上促进财务报告内容的确定性和质量的提高。

　　(2)风险导向内部审计是内部审计的发展方向。?

　　随着风险导向内部控制时代的来临，内部审计的工作重点也发生变化，由“控制”转向“风险”。笔者认为要顺应内部审计科学发展的客观规律，在实践中有意识地推动内向型管理审计的发展。从强调确认和测试控制完整性，逐步转向强调确认和测试风险是否得到有效管理。审计建议应不再仅是强化控制、提高控制效率和效果，而应该是规避风险、转移风险和控制风险，通过风险管理的有效化，提高整体管理效率和效果。?

　　(3)促进单位治理结构的完善和有效性，提高会计信息的质量。?

　　笔者认为，今后可以通过持续的内部控制测试将审计范围延伸到单位的方方面面，而且在很大程度上可以替代例如常规财务审计、制度审计、合同审计等审计，并且其审计成果也可被其他专项审计所利用，从而将审计工作的重心转移到咨询和建议上来。?

　　(4)内部审计作用的充分发挥有赖于其地位的进一步提高。?

　　要加强内部审计工作，首先要提高内部审计的地位。内部审计应该具有独立性和权威性，它代表管理层对其他部门开展的业务活动及其成果、内部控制执行情况进行监督。在国外，内部审计部门是直接对董事会中的审计委员会负责，具有较强的相对独立性，内审部门的许多人也最终进入了单位高级管理层。但在我国，由于种种原因，内部审计独立性实际被大大削弱了，甚至有些单位将内部审计与其他部门合并在一起，极大影响了内部审计的独立性。?

　　4.开展内部控制审计的重要性

　　(1)是贯彻法律、法规的要求

　　2000年7月实施的《会计法》明确各单位应当建立、健全本单位内部会计监督制度，第一次对内部控制提出了法律要求。财政部于2001年颁布的《内部会计控制规范》等一系列规范，要求单位从会计信息、资金管理、对外投资、资产处置等方面建立一套内部控制机制，2006年新修订的《审计法》要求单位建立起内部控制制度。2008年6月，财政部、证监会、审计署、银监会、保监会联合发布了我国首部《单位内部控制基本规范》，并于2009年7月1日起在上市公司范围内施行，同时鼓励非上市公司的大中型单位执行。这一规范的实施将为我国单位防范经营风险构筑一道坚实的“防火墙”，同时，成为建立健全单位内部控制制度的契机。这需要单位的内部审计机构肩负起监督的职责，检查和评价内部控制的建设情况和执行情况。

　　(2)是审计发展方向的要求

　　随着社会生产力的发展、单位规模日益壮大、经营业务日期繁复，传统的详细审查方法受到挑战，于是出现了抽样审查的方法，通过抽样结果来推断财务报表的可靠程度。但是，如果单凭审计人员主观或任意判断进行抽样，那么抽样的结果难免以偏概全，影响审计结论。内部控制是管理现代化的必然产物，它的产生和发展，促使审计工作从详细审计发展成为以测评内部控制为基础的抽样审计。制度基础审计就是以对内部控制的测评为基础，运用抽样方法得到审计结论的一种审计取证模式。它可以在提高审计效率的同时 ，确保审计结论达到所要求的质量水平。这种以内部控制为基础的审计方法在保证审计质量的前提下减少时间、节约成本，受到审计人员和单位的普遍欢迎。

　　二、明确医院内部控制审计的目标定位

　　内部审计的准确定位是监督和服务。监督是审计手段和过程，提供审计服务则是内审的出发点和归宿点。内部控制审计作为医院内部审计的一个重要领域，监督和服务成为其目标定位则亦理所当然，只不过其侧重点在于对医院内部控制制度方面的监督和服务，通过医院内审机构对本单位内部控制的健全性、有效性进行了解、测试和评价，充分发挥其监督和服务职能。实质上医院内部控制审计要明确以监督为基础，以服务为根本的目标定位，即医院内部控制审计要通过监督单位内部控制的健全性和有效性，为内部控制建设服务，为强化管理和科学决策服务，进而促进医院加强医疗水平管理和提高医院经济效益。

　　三、规范医院内部控制审计的基本程序

　　参照一般审计程序，结合审计工作基本要求，笔者认为医院内部控制审计基本程序也不妨分为三个阶段，即准备阶段、实施阶段和终结阶段。

　　(一)准备阶段

　　首先要做好内部控制审计立项工作。内部控制审计可根据年度审计计划进行常规立项，也可根据领导决策或审计工作需要进行临时立项。其次，制订项目审计计划和审计方案。审计组长根据审计单位业务大小、性质重要程度及审计工作的复杂程度制订项目审计计划和审计方案，并报审计负责人审批。项目审计计划应当明确以下主要内容：审计项目和审计范围;重要性和审计风险的评估;审计组构成和审计时间的安排。审计方案应明确以下主要内容：具体审计目的和审计主要内容;审计方式和具体审计方法;审计组成员工作任务及时间的分配。项目审计计划和审计方案需经内审部门负责人批准。项目审计实施审计组长负责制。最后，下达审计通知书。内审部门编制和下达审计通知书，在审计实施前三天送达被审计单位。

　　(二)实施阶段

　　首先，审计组进驻被审计单位召开进点会。审计组通过会议或座谈等形式同被审计单位有关人员进行信息沟通和交流，让被审方明确此次审计有关事项，审计人员进一步熟悉被审计单位在内部控制方面情况。必要时对审计方案进行修正。其次，审计人员了解内部控制。现场审计人员收集资料，运用询问、查阅、观察等审计方法，对被审计单位基本情况内部控制环境以及各类业务的内部控制情况进行详细了解，并在相应的《内部控制调查表》中作好审计记录，并对其内部控制的健全性作初步评价，再据此确定内部控制测试的范围和重点。再次，测试内部控制。审计组根据所确定的内部控制测试范围和重点，运用抽样技术抽查部分有代表性的业务活动，采用审查、核对、分析性复核等审计方法对其内部控制设计的合理性和执行的有效性进行测试。内部控制审计的合理性测试主要检查被审计单位的控制政策和程序是否设计合理、适当，能否防止或发现和纠正错弊的发生;内部控制执行的有效性测试主要检查被审计单位的控制政策和程序是否发挥作用。审计组根据测试结果填制相应的《内部控制测试表》，并对其内部控制设计的合理性和执行的有效性作出初步评价。最后，整理审计工作底稿。审计组将实施阶段的审计证据进行收集、汇总，整理好审计工作底稿，组长对其复核后要求被审计单位有关人员在必要的审计工作底稿上签字，审计人员对被审计单位内部控制的健全性和有效性作出综合性的初步评价，并分析是否达到了此次审计的目的，是否还要实施其他必要的审计程序进行补充和完善。

　　(三)终结阶段

　　首先，评价内部控制。审计组根据对内部控制了解、测试结果以及作出的初步评价，对被审计单位内部控制的健全性和有效性进行综合分析，形成对内部控制的整体评价。其次，拟定《审计报告》(征求意见稿)及有关审计文书。审计组拟定《审计报告》初稿，报告的内容主要包括：审计概况;被审计单位基本情况;审计结果;审计意见和建议。审计组将《审计报告》(征求意见稿)连同“审计报告征求意见书”送被审计单位征求意见，结合被审计单位提出的合理意见修正《审计报告》和拟订《审计意见书》初稿后一并提交审计部门负责人。再次，出具正式《审计报告》和《审计意见书》(若有违纪违规事项需作出处理的还应下达《审计决定书》)。审计部门负责人审定《审计报告》和《审计意见书》，对有违纪违规事项需作出处理的还应拟订《审计决定书》，并一起报主管院长批示后，将《审计报告》、《审计意见书》及《审计决定书》报送院领导，将《审计意见书》和《审计决定书》发送被审计单位及院属有关单位如财务部门等相关单位)。最后，回访审计执行与落实情况。审计部门就被审计单位对审计建议的采纳和审计意见及审计处理的执行情况进行检查，并对未落实者监督其严格执行。

　　四、防范医院内部控制审计的几大风险

　　从内部控制审计基本程序和关键环节来看，要做好医院内部控制审计必须对以下几大风险进行防范。

　　(一)防范了解不全风险

　　对内部控制情况进行了解，是内部控制实施阶段的首要环节，也是对内部控制进行测试的重要前提。因此审计人员对被审计单位内部控制的了解要做到全面彻底。个别审计人员往往会因某些客观因素(程序多、工程量大)和主观因素(图简单省事)而草草了事。这不但违背谨慎性原则，而且影响审计质量，带来审计风险。为了防范这一风险，审计人员必须重点对被审计单位的基本情况、内部控制环境以及各类业务循环的内部控制进行全面了解。对被审计单位基本情况进行了解，审计人员应重点了解：被审计单位的性质;高层管理人员;资产、负债、所有者权益;所属行业;经营业务;组织结构;各机构职能及负责人;职员人数;高层管理人员分管业务及各自职责等。对被审计单位总体控制环境，审计人员应重点了解：高层管理人员对内部控制的态度;高层管理人员从事相关业务年限、相关学历;被审计单位经营管理目标是否明确;是否订有职工行为守则;高层管理者是否重视制度的实际执行;被审计单位以前或目前是否有重大违反财经法规的行为极其高层管理者对此态度如何等。对各类业务循环内部控制，审计人员重点了解被审计单位业务特点及业务流程中关键控制点。

　　(二)防范测试失效风险

　　在内部控制测试环节审计人员主要防范测试失效风险。导致测试失效风险，主要由以下因素引起：选定的测试范围不全、重点不准、测试方法不当、抽查的业务缺乏代表性。测试范围不全会遗漏对某些重点内部控制的审计，会使审计失之偏颇;测试重点不准直接影响内部控制测试效率和效果;测试审计方法多种多样，要因事制宜，根据不同业务而方法各异，否则会导致测试失效;抽查的业务缺乏代表性，会因评价不全面而带来测试失效风险。因此，要防范测试失效风险审计人员必须做到测试范围要全，测试重点要准，测试方法得当，抽查业务的代表性要强。

　　(三)防范评价不当风险

　　在内部控制审计终结阶段整体评价中，审计人员要防范出现评价不当风险，即健全性评价不当风险和有效性评价不当风险。究其原因，除了由内部控制了解、测试两个环节存在的风险引起外，还会因内部控制系统本身不完善和风险估计水平过高等因素造成。内部控制系统本身不完善，使某些业务活动被置于审计范围之外而疏忽，通常导致内部控制健全性评价不当风险。风险估计水平过高会导致信赖过度风险(β风险)，从而造成内部控制有效性评价不当风险。因此，要防范评价不当风险，除了要做好内部控制了解、测试两个环节工作外;审计人员还应从宏观出发，统筹考虑，从各方面调查了解熟悉被审单位业务活动及其需设计的相应的内控系统，并充分利用审计技术对风险水平作出合理估计。

　　加强医院内部控制，建立健全内部控制体系，是医院发展的需求，内部审计部门应该发挥好作用，认真总结和探索新方法、新思路，促使医院以合理成本促进有效控制，从而从根本上确保医院持续、稳定、健康发展。?

　　【参考文献】

　　[1]《中国内部审计准则》，中国内部审计协会，2006年

　　[2]《教育系统内部控制审计指南》，湖南省教育厅审计处和湖南省教育审计学会编印，2002年11月

　　[3]陈少华，《内部会计控制》，厦门大学出版社，2004年

　　[4]《这个教育审计二十年》，中国人民大学出版社，2006年

　　[5]陈毓圭，《对风险导向审计方法的由来及其发展的认识》，会计研究，2004年

　　[6]陈艳利、刘英明《基于公司治理的内部审计问题研究》，审计研究，2004年