刘 罡

2012年财政部发布的《行政事业单位内部控制规范（试行）》（以下简称《规范》），标志着我国行政事业单位内部控制建设进入了一个新的发展时期。目前，各事业单位按照财政部相关文件精神，基本上完成了单位内部控制建设任务。但完成内控建设不是目的，也不是终点，如何运用内控来防范单位风险，确保事业单位健康有序运行才是最终目标。因此，加强内部控制审计，通过审计监督来进一步强化和完善内控体系，将是事业单位今后的一个重要任务。

一、事业单位内控建设的现状

为了了解事业单位内部控制建设的实际情况，在研究过程中，我们对农业农村部部分直属事业单位（以下简称事业单位）进行了问卷调查，取得有效调查问卷24份。这24个事业单位均具有一定的规模，其中92%的单位职工人数在50人以上，96%的单位年度预算收入在1 000万元以上。

一是从内部控制建设完成情况看，24家单位已经按照财政部要求完成了内控建设，其中70%的单位按照财政部相关要求在2016年底前已经完成。

二是从牵头内部控制建设的职能部门看，大部分是由单位财务部门牵头完成的，占比67%（见表1所示）。

表1 单位内控建设情况

三是从内部控制建设现状看，绝大多数单位已建立比较健全的内部控制体系，内容涵盖规范中要求建立的单位层面及业务层面内控情况（见表2所示）。

表2 单位内控体系涵盖情况

四是从内部控制的评价情况看，事业单位内控还存在不少问题（见表3所示）。

表3 单位内控评价情况

二、事业单位内控审计存在的问题

一是事业单位内部控制审计尚未有效开展。从问卷的情况看，有15家事业单位已经开展了内控评价，基本上以自评为主或评审结合，但还没有开展独立的内部控制审计。

二是内部审计机构的监督作用未能充分发挥。从牵头部门来看，仅有21%的单位内部控制评价由内部审计部门负责，其余的为财务或其他部门牵头。

三是内部控制评价审计结果没有得到很好运用。从已经开展内部控制评价审计的单位来看，虽有60%的单位严格按照评价或审计的要求完善单位内部控制，但仍有不少单位对发现问题的整改情况不尽如人意，重视程度不够，整改也不够彻底。

四是事业单位内部控制审计缺乏相关的规范和指南，也影响了此项工作的有效开展。

虽然财政部行政事业单位内控规范和审计署内部审计规定均提出了应当对内部控制进行审计，但是只有寥寥数语原则上规定，对事业单位来说，缺乏具体细化的操作指南。而中国内部审计协会2013年发布的《第2201号内部审计具体准则——内部控制审计》，主要是针对企业内部控制，不太适用于事业单位。

三、事业单位内部控制审计的意义

事业单位内部控制审计是指事业单位内部审计机构按照有关规定，对单位内部控制建设的健全性和运行的有效性进行的审计监督。

一是做好内部控制审计是事业单位加强内部控制建设的需要。《规范》规定，事业单位要成立由内部审计部门牵头组成的内部控制建设监督检查工作小组，负责对单位内部控制建设与实施情况开展内部监督检查，编制事业单位风险评估或审计报告，对事业单位内部控制的完善性、有效性等做出评价，以促进事业单位内控健康运行。从问卷调查情况看，农业农村部直属事业单位内部控制建设虽然基本完成，但还存在不少问题，需要通过加强审计监督来完善和强化。

二是做好内部控制审计是新时代事业单位内部审计转型的需要。2018年审计署发布的《关于内部审计工作的规定》，对事业单位建立内部审计制度提出明确要求，并将内部审计的内涵由财政财务收支、经济活动扩展为内部控制和风险管理，意味着事业单位内部控制将是今后内部审计关注的重点。而从问卷的情况看，农业农村部直属事业单位内控审计工作还未真正开展起来，内审的职能作用尚未充分发挥。今后事业单位内部审计的主要任务是如何加强内控审计监督，进一步完善内控制度和体系。

四、内部控制审计的主要内容

事业单位内部控制审计既包括单位层面的内部控制，如内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，也包括业务层面的内部控制，如预算、收支、资产、采购、合同、工程等业务。

其一，事业单位内部环境的审计要点包括：单位内部治理结构、内设机构设置是否科学，权责划分是否清晰明确，运行是否高效顺畅；单位议事规则和工作流程是否合理，审批决策过程是否科学；不相容职务是否相互分离、相互制约，决策、执行、监督权限是否分离等。事业单位是否制定发展战略或中长期规划，目标是否明确、可行，是否科学合理，是否有效实施。事业单位是否对关键岗位实行轮岗、考核、奖惩和监督措施，人力资源的激励、约束、晋升、福利机制是否合理等。

其二，风险评估情况的审计要点包括：事业单位是否建立了风险管理目标，以及风险识别、风险评估和风险应对策略；是否能够准确识别与实现控制目标相关的内外部风险；是否对已识别的风险进行分析和排序，并确定重要风险；是否对重要风险实施有效控制。

其三，控制活动情况的审计要点包括：单位各主要业务活动是否建立健全相关制度或程序性文件；各制度或程序性文件是否有效执行；是否建立健全重大经济事项议事决策机制，决策程序是否合规，决策依据是否科学，决策执行是否有效；各业务活动是否建立不相容岗位相互分离、内部授权审批控制、归口管理等机制，是否建立预算控制和会计核算控制，是否有效反映业务活动经济事项等。

其四，信息与沟通情况的审计要点包括：单位内部各项制度是否及时公开；各业务活动信息是否按规定进行公开；单位内部信息收集处理和传递是否及时；信息系统管理机制是否建立健全，各业务管理信息系统之间是否有效衔接、是否实现信息共享，利用信息系统实施内部控制是否有效。

其五，内部监督情况的审计要点包括：事业单位内部监督体系是否建立健全；是否对内部控制进行定期评价或审计；是否建立整改落实和责任追究机制。

五、事业单位内部控制审计的方式

事业单位在实施内部控制审计时，可以根据项目需要和单位实际，选择不同的审计方式。

其一，从实施主体来看，可以分为内部审计机构自行实施、委托社会审计机构实施、内审机构与社会审计机构联合实施。当前，在事业单位内设部门人员、能力、经验不足，难以达到应有的评价质量及效果的情况下，可以采用内设部门与社会审计机构联合实施的方式进行，借助社会审计机构专业能力，逐步积累经验，提升水平。

其二，从审计期间来看，可以分为年度内控审计和跨年度内控审计。当前情况下，事业单位可以以年度性评价为主，对上一年度内控制度的健全性和有效性进行评价，以便及时修订和完善；待单位内控比较规范后，可以适当开展跨年度的阶段性审计，以减少审计成本。

其三，从审计介入时间来看，可以分为过程跟踪审计和事后审计。当前阶段，事业单位可以以事后审计为主，对内控涉及的主要业务进行事后审计评价，但其缺陷是不能及时发现问题，难以有效防范风险。待单位内审能力和信息技术提高后，可以适当开展全过程审计，以便及时防范和化解风险，避免损失。

其四，从审计内容看，可以分为单位全面内部控制审计和专项业务量内部控制审计。现阶段每年对单位进行全面内控审计固然必要，但是受到审计人员能力、经验、成本等制约，难以对内控存在的问题审深审透，工作往往浮于表面，实际效果并不理想。今后，事业单位可以探讨每隔几年对内部控制进行全面审计，其他年度仅对内部控制某一专项业务进行审计，这样既可量力而行，又可聚焦审计目标，达到良好的审计效果。

六、事业单位内部控制审计的程序

事业单位内部控制审计流程一般包括制订审计工作方案、建立审计工作组、实施现场审计、评价控制缺陷、编制审计报告、审计结果运用等。

（一）制订审计工作方案

事业单位内部审计机构应当根据单位实际情况和管理要求，确定审计项目，分析其高风险领域和重大业务事项，制订科学合理的审计工作方案。审计工作方案应当明确审计范围、审计目标、审计方式、人员配备、进度安排和费用预算等相关内容。

（二）建立审计工作组

内部审计机构应当根据审计方案，建立内部控制审计工作组，具体实施内部控制审计工作。审计组成员应当具有专业胜任能力，可以根据需要吸收事业单位财务、人事、采购、国有资产、基建等内部相关机构熟悉情况的业务专家参加。

（三）实施现场审计

1.了解被审计部门基本情况。审计组与被审计部门进行充分沟通，了解其组织机构设置、部门职能、领导层成员构成及分工、内部控制工作情况、最近一次内部控制审计发现问题及整改情况等。

2.梳理内部控制及业务流程。审计工作组根据了解的情况和搜集的资料，梳理和分析业务流程、各流程控制机制、对应机构设置、对应规章制度制定等情况，对各业务控制机制进行风险评估。

3.开展内部控制测试。审计组根据重要性原则，综合运用各种方法，从内部控制设计与运行有效性方面，对被审计部门单位层面和业务层面内部控制进行现场检查测试，根据风险程度来确定取证的数量，记录相关测试结果。

（四）评价控制缺陷

对内部控制审计过程中发现的问题，应当从定量和定性两个方面综合衡量，判断是否构成内部控制缺陷，以及影响内部控制目标实现的严重程度。内部控制缺陷可分为重大缺陷、重要缺陷与一般缺陷，其具体认定标准，由事业单位根据本单位实际情况自行确定，但一经确定必须在不同评价期间保持一致，不得随意变更。

（五）编制审计报告

内部审计机构以汇总的审计结果和认定的内部控制缺陷为基础，综合内部控制工作整体情况，客观、公正、完整地编制内部控制审计报告。审计报告应当包括审计目标、依据、范围、程序与方法、单位层面或业务层面内部控制的基本情况、内部控制建设的完整性和运行有效性的审计结论、内部控制缺陷认定、整改意见和建议等相关内容。

（六）审计结果运用

内部审计机构应将由单位主要领导批准的审计报告，发送至被审计单位及相关单位，被审计单位要按照审计要求及时整改，进一步完善和落实内部控制措施，并将整改情况按时提交内审机构。事业单位应当建立联动机制，实现相关部门对审计结果共享共用，共同促进内控健康运行。内控部门应当根据审计结果进一步完善内控建设，督促业务部门认真落实内控措施；资金资源管理部门应当将审计结果作为资金资源分配的重要依据；组织人事部门应当将内控建设和运行情况作为考核和评价的重要依据；纪检监察部门应当关注内控审计发现的问题，造成损失的要问责追责。

七、相关政策建议

首先，事业单位应当加强对内部控制建设的组织领导。单位主要负责人应当站在从严治党和完善国家治理体系和治理能力现代化的高度，充分认识内控建设的重要性，明确内控建设和监督的牵头部门，抓紧做实做细，切不可认为这仅仅是财务部门业务层面的事。单位内控要真正落到实处，切实发挥作用，而不是制定几项制度就行了，完成自评上报就完事了结。

其次，主管部门要加强对内部控制建设的培训与指导。鉴于有的事业单位规模、人员和能力所限，需要上级部门主动做好培训服务和业务指导，帮助事业单位建好用好内部控制，不能视而不见，疏于管理，责任缺位。

再次，主管部门要积极推进内部控制审计工作。主管部门应制定具体的内控审计规定或细则，推动和指导事业单位做好内控审计；同时还要定期以上审下对事业单位开展内部控制审计，督促其及时整改，完善内控机制。

最后，事业单位要积极开展内部控制审计工作。各单位应当设置独立的审计部门或人员，根据单位情况采用合适的审计方式，积极开展内控审计工作，及时发现内部控制不足之处和薄弱环节，督促健全内部控制体系，确保内部控制有效实施。