上海交通大学医学院 肖云峰 顾明珺

　　【摘要】：我国《行政事业单位内部控制规范(试行)》实施已经5年多了，我国许多行政事业单位已逐步开展内部控制体检建设，并已初具规模。内部控制体系建设中十分重要的一环是构建一套科学合理的行政事业单位内部控制有效性进行评价，以满足行政事业单位各项内部管理的需要的需要，基于此本文作者在参考相关学者的前期研究的基础上，以假设本单位已建设有科学的、系统的、有效的内部控制评价体系为前提，尝试将内部控制有效性评价应用于内部审计工作中，科学地提高内部审计工作的效率和质量。

　　【关键字】：内部控制 评价 内部审计

　　一、内部控制的含义和内容

　　1.行政事业单位内控工作含义

　　行政事业单位内部控制是指单位为实现控制目标，通过制定制度、实施措施和执行程序，对经济活动的风险进行防范和管控。也就是说，实现有效的内部控制，可以合理保证各项管理行为和业务活动相互制约、权力制衡。在实际发展期间，内控工作主要是行政事业单位的总体目标实现依据，需要遵循相关工作要求，提高工作有效性与可靠性，保证各类制度的规范操作，提高程序落实效果，满足现代化风险管控工作要求。同时，在内控目标实际设定的过程中，需要对各类活动的合法性进行控制，全面提高资产安全性，保证资产使用效率，增强财务信息数据的真实性与完整性，规避贪污腐败行为，以此发挥内控工作作用，提高行政事业单位公共服务水平.

　　2.内部控制有哪些内容

　　一是建设完善的控制活动体系，根据相关工作要求，抓住内部控制关注点，从范围看，内部控制应当覆盖单位管理层面和所有的业务层面，从流程看，制衡机制和控制措施等应当渗透到经济业务的各个环节，通过关注风险点、避免出现真空点和失控点，达到防微杜渐的目的。二是明确活动范围与性质，保证可以满足相关参数标准。在此期间，相关部门需要对经济活动进行全面地处理，科学划分业务标准与业务流程，制定先进的规划体系，提高审批工作质量，通过信息化技术的应用，增强服务工作效果。三是建立健全相关管控和监督机制，根据内控工作要求，对其工作流程进行全程监督，并不断改良以满足本单位的发展需求。总体来说可以概括为: 内部环境、风险评估、控制活动、信息沟通与内部监督这五个要素。

　　3.内部控制有效性评价要做些什么

　　内部控制的有效性是指内部控制制度最终得到贯彻执行的效果，包括制度设计的有效性与内控执行有效性两个部分。内部控制制度设定的有效性，即企业所制定的内部控制制度是否完善、科学，是否在法律法规的框架内。内部控制制度执行的有效性，即在企业内部控制设计规范、合法的前提下，内部控制制度是否能够有效地执行。内部控制有5个要素，那么相应的内部控制评价也应从这五个要素入手评价其是否存在风险、是否得到控制、是否有效执行。

　　二、内部控制有效性评价在内部审计中的应用

　　了解了内部控制的含义和内部控制有效性评价的内容，再来看看内部审计中如何应用内部控制有效性的评价。

　　1.内部控制环境评价

　　“内部控制环境”的定义为管理层对待内部控制的重要性的态度及采取的行动”。内部控制环境是其他内部控制元素的基础，相应地，内部控制环境是否完善也从根本上决定了内部控制是否有效。而内部审计将可以利用内部控制环境评价制定总结审计计划。被审计单位结构是否合理，领导干部对内部控制的意识是否淡薄，是否了解内部控制的有关内容，是否意识到控制管理的重要性，内部控制制度是否流于形式，单位结构是否完善，岗位职责界定是否合理。可以直接被借鉴用于制定审计计划，合理的内部结构将有助于审计人员快速了解被审计单位的规模、业务性质、使用的审计依据，同时有效的制定出总体审计范围，领导干部对内部控制的态度可以有助于审计人员对被审计单位整体重要性水平进行初步估计，内部控制是否被有效执行、岗位职责是否合理有助于审计人员初步识别和评估风险并决定评估的性质、时间安排和范围。

　　2.风险评估

　　单位面临的来自内部与外部，在财务、法律、管理等多方面的风险。如果对这些风险应对不及时，处理不妥当，将会严重影响单位的管理和后续发展。风险评估的目的是明确潜在的风险，对可能发生的风险进行及时的识别、准确的判断，对其可能产生的后果进行评估，最终针对评估结果做出响应。风险评估是内部控制的一个重要因素，同时也影响着内部控制的有效性。因此健全的风险评估体系针对内部管理领域进行整体的评估处理，及时发现其中存在的风险问题，科学预防各类因素所导致的风险问题。而现代内部审计正逐步倡导以风险导向为基础的内部审计，要求内部审计人员在审计全过程中自始自终都要关注风险。在被审计单位的内部活动进行全面了解后，以风险分析评估为导向，分析被审计单位的整体经济业务，综合评价被审计单位的风险方向和风险水平。根据量化分析水平安排审计项目先后次序.根据风险进一步确定审计范围和重点，以降低风险为导向进行内部控制的符合性测试和实质性测试。并对被审计单位的管理提出建设性意见和建议。内部控制风险评估可以为风险导向内部审计确定风险范围，分析风险水平，降低审计风险提供有效的帮助。

　　3. 控制活动评估

　　内部控制活动是指企业采取的一系列控制手段和方法，内部控制管理活动能否按照内部控制的体系设计来执行，对企业内部控制的有效性也有着重要的影响。完善的控制活动体系，抓住内部控制关注点，从范围看，内部控制覆盖单位管理层面和所有的业务层面，从流程看，制衡机制和控制措施等应当渗透到经济业务的各个环节，通过关注风险点、避免出现真空点和失控点，达到防微杜渐的目的。控制活动包含的业务标准、业务流程和的规划体系是否有效可以直接影响内部审计人员采取的实质性程序，首先，控制活动是否有有效将决定内部审计人员是否因此产生重大错报风险而导致重新评估审计风险，从而再次评估审计范围和重要性水平。其次，完善的流程控制提高了审计证据的置信水平，大大降低了检查风险，另外完善的流程控制还提供了大量可靠的数据，以便内部审计人员可以直接用统计抽样的方法进行抽样，从而精确控制审计风险，提高审计证据的充分性和可靠性。相反无效的流程控制容易导致内部审计人员因流程失效造成实质性程序失效，诸如穿行测试等，这时候内部审计人员将不得不采取额外的实质性程序来保证审计工作的检查风险降到可接受额水平，造成审计风险的同时大大降低了审计效率。而流程控制有效性评估可以大大降低实质性测试的工作量，内部审计人员可以通过评估流程控制是否有效，而直接选择采用何种更合适的实质性程序，有效则直接选用既定程序，无效则根据评估报告选择适当的分析性程序或非统计抽样，因而大大提高了审计工作的效率。

　　4.信息沟通有效性评估

　　信息的及时传递与沟通，实现单位内部不同部门信息共享，是将其他四个内部控制要素串联起来，使内部控制有效运行的重要条件。信息与沟通包括单位内部同一层级之间的横向信息传递与不同层级之间的纵向信息传递两部分。有效的信息沟通体系需要制定信息化管理方案，做好信息化建设工作，积极应用网络信息技术，对其进行全面地处理，以此提高内控管理工作的网络信息化水平，保证工作质量。且在建立专门信息系统之后，需要保证内控管理与信息管理之间的协调性，增强工作效果，满足实际发展需求。应用到内部审计工作中，有效的信息沟通体系将大大提高内部审计人员获取外部证据的效率，同时提高外部证据的置信水平。无效或部分无效的信息沟通体系，审计人员可以根据评估结果降低外部证据的置信水平，提高外部证据的数量来获取合理的保证。或仍然无法将审计风险减低到可接受的程度，内部审计人员可以考虑直接弃用外部证据，直接采用替代程序来获取更有效的审计证据。

　　5.监督系统有效性评估

　　内部监督是单位对管理体系执行结果的检查与反馈，是对内部控制质量进行评价与调整的重要内容，直接关系到整个内部控制活动能否持续有效地运行。通过开展内部控制监督管理，可以对内部控制制度进行有效性分析，另外监督结果的反馈可以对内部控制的流程进行改进优化，推进内部控制体系不断完善。而有效的内部监督系统不仅能大大降低内部审计风险，还能提高内部审计工作的效率。内部审计人员可以通过有效的监督体系获取对内部审计工作有帮助的数据，或者直接饮用监督体系的评估报告来提高内部审计的工作效率和工作质量。无效的监督体系，则直接导致内部审计人员对整个被审计单位的内部控制采取不信任的态度，从而重新评估审计风险和审计范围来确保内部审计工作得以继续开展。

　　6.其他

　　内部控制有效性评价对内部审计的还具有其他意义，比如：内部控制有效性评价的时间与对内部审计造成的影响成反比。评价的时间距离审计时间越近，评价的影响越大，审计人员越能充分运用内部控制有效性评价的结果。反之则影响越小，审计人员的采信度越小。两次评估的结果差异大，则内部审计人员有理由相信被审计单位在评估期间发生了可能造成重大影响的事项。此时内部审计人员应分析造成差异的原因，并针对原因产生的影响，重新设计审计方案，评估审计风险。

　　三、结论语

　　内部控制有效性评价对以风险导向为基础的现代内部审计工作有重要的意义，随着行政事业单位内部控制有效性评价体系逐步完善，内部审计也将结合内部控制有效性评价体系，科学运用评估结果，提升审计效率和质量，进一步完善行政事业单位的内部治理体系。