浅析高校内部控制基础性评价
2020-11-24关雪梅李彩鹦薛原
关雪梅 李彩鹦 薛原
1.北京农业职业学院; 2.北京金凯伟业咨询有限公司
一、评价的基本概况
北京高校从2013年下半年,按照北京市财政局的要求,开始启动内部控制工作。其核心是风险防控,特别要注意的是所要控制的是风险而不是人,是要把风险控制在一定范围内,防控经济风险的发生。内部控制既是制衡机制,也是保护机制,就像机动车的刹车系统,保证单位运行中的经济安全。
内部控制基础性评价,是指单位在开展内部控制建设之前,或在内部控制建设的初期阶段,对单位内部控制基础情况进行的“摸底”评价。内部控制基础性评价,不同于内部控制建设评价,而类同于内部控制建设中的“风险评估”,是内部控制建设工作的重要组成部分,属于前端和基础性工作,同时也是内部控制体系不断完善的基础。
(一)评价的背景和目的
2008年5月22日,财政部、证监会、审计署等部门联合发布《关于印发<企业内部控制基本规范>的通知》(财会〔2008〕7号),率先在企业范围内推广内部控制规范,提出了与COSO五要素①相衔接的内部控制体系。
图1:基于COSO五要素的内部控制框架示意图
2012年11月29日,财政部下发了《关于印发<行政事业单位内部控制规范(试行)>的通知》(财会〔2012〕21号)(以下简称《规范通知》),从2014年1月1日起开始实施,该规范明确了内部控制的定义和目标、内部控制原则、内部控制方法等,相关规定要求与基于COSO五要素的内部控制框架基本吻合。单位层面内部控制对应于“控制环境”要素,风险评估对应于“风险评估”要素,业务层面内部控制对应于“控制活动”要素,内部控制体系信息化对应于“信息沟通”要素,“评价与监督”对应于“监督”要素。2016年6月和7月,财政部、北京市财政局先后发布了通知,提出开展内部控制基础性评价,并明确了的相关要求。
评价能使各单位发现经济工作中正在运行的制度、程序、措施等存在的问题,对经济风险实施有效防控。
图2:内部控制基础性评价目的示意图
(二)评价方法
结合内部控制基础性评价工作的特点及高校实际情况,评价一般采用资料评价、人员访谈、穿行测试等方法开展:
1.资料评价:通过收集内部控制相关的制度规定、各控制环节的签字单据、申请审批表单等资料,评价单位内部控制要求及实际落实情况。《评价通知》的附件2“行政事业单位内部控制基础性评价指标评分表填表说明”中,明确指出了各项评价指标打分时应参考的文件记录,如对权力运行的制约情况指标应查看权利清单及相关制度文件、预算执行差异率可查看财政部门预算批复即单位财务报表等,因此内部控制基础性评价主要通过资料评价,既检查相关资料获取所需信息,且在评价过程中将相关文件作为支撑材料制成资料手册备查。
2.人员访谈:通过对内部控制关键岗位人员进行一对一的访谈,了解各关键岗位的人员职责、工作流程、表单交接情况等,评价单位内部控制流程及具体实施情况。在资料评价的基础上,为了进一步了解单位内部控制体系的现状,评价工作人员可通过访谈,获得内部控制体系的第一手资料,更深入掌握单位现行内部控制制度运行有效性的信息。
3.穿行测试:通过模拟核心业务的流程操作,整理核心业务的制度要求、表单流转、审核审批情况,梳理业务流程,评价发现单位业务控制方面的薄弱环节。评价工作人员可追踪某项或某几项业务在流程中如何生成、记录、处理和报告以及相关控制如何执行,如具体追踪单位的一项支出如何审批同意支出、同意支出后如何使用、如何报销、如何在报告中反映等各个关键环节及其相关控制如何执行,以此确定流程和控制是否和评价工作人员了解的一致、是否严格按制度规定执行、是否存在内部控制缺陷。
二、评价的实质
(一)评价实质是风险评估工作,是内部控制建设的重要组成部分
实际上,评价类似于“风险评估”,找到现行内部控制体系的疏漏,以便有针对性地对薄弱之处进行整改完善,从而有效推动单位该体系建设;此外,单位以后年度需对已建成的内部控制体系进行完善时,亦需进行风险评估②以便摸底内部控制体系的缺陷,从而更好地完善内部控制体系。因此,评价是内部控制建设的规定动作,是财政部门对风险评估内容进行进一步明确和细化。
图3:内部控制基础性评价与内部控制体系关系的示意图
(二)评价工作相较风险评估更丰富,有其独具的特点
虽然内部控制基础性评价的实质为风险评估,但仍有其独有的特点:
第一,评价是为了推动内部控制建设顺利开展,因此侧重于对单位内部控制建设开展情况进行评价,相比风险评估提出了一些额外要求,如在单位层面评价要点中包括“开展内部控制专题培训”等内容,要求单位根据国家相关政策、“三定”方案、岗位职责、发展目标等内容进行专题培训,并通过梳理组织及业务流程进行查漏补缺和流程再造。
第二,从《行政事业单位内部控制规范》篇幅上来看,业务层面控制的篇幅要远远多于单位层面篇幅,但是在评价中,单位层面评价共占60分,多于业务层面评价的40分,这实际上也提醒各行政事业单位在根据评价结果开展内部控制建设的过程中,充分重视单位层面控制建设工作,因为单位层面控制通常与单位整体存在广泛联系,影响单位各类经济业务开展,导致单位层面控制的缺陷通常对单位自身的危害会更加重大。
三、评价结果应用和成果报告内涵
(一)评价结果应用—“以评促建”,推动内部控制体系完善
评价是为内部控制建设提供参考和指导,确保内部控制全面覆盖单位主要经济活动、弥补现有缺陷。因此,评价完成之后,需要对评价打分结果进行梳理总结,得分较低的方面则是单位内部控制存在缺陷的方面,需进一步对照薄弱环节设计相应的风险控制措施,从而达到以评促建的目的,推动控制体系建设更加完善。
同时,评价的结果还应用于经验交流和分享,将评价结果进行横向对比,总结归纳各单位经验和教训,方便各单位交流和借鉴其他同类单位有效的内部控制措施,从而更加有效防范经济风险。
(二)成果报告内涵—明确整改措施,提升控制效果
《评价通知》明确规定,各行政事业单位的内部控制基础性评价的成果报告为:内部控制基础性评价报告和内部控制基础性评价工作总结报告。
在评价报告中,单位应重点说明评价扣分情况,应详细说明存在扣分的评价指标、评价要点、扣分原因,后续的工作内容、完成时限等,确保单位认真分析内部控制存在的现有缺陷,认真思考提高内部控制水平和效果的措施。评价报告撰写完成后,应向单位主要负责人汇报,以确保其领导的内部控制领导小组能够将相关建议落到实处。
另外,内部控制建设实际上是一项永不停止的工作,随着法律环境、经济环境等外部环境以及单位组织架构等内部环境的改变,单位需要重新对各类风险进行识别和评估,内部控制也应随之进行更新和完善。因此,高校应充分重视评价工作,促进内部控制的良性循环发展,有效杜绝廉政风险。
注释:
①由美国COSO委员会(全国反虚假财务报告委员会发起人委员会)提出,具体包括:环境控制、风险评估、控制活动、信息与沟通、监控等五大要素。
②操作流程可参照内部控制基础性评价的要求,亦可根据实际情况简化操作。