一、实际工作中内部审计与内部控制存在的问题
由于企业自身的局限性以及面临的制度、政策和法律环境等问题,企业的内部审计工作在执行中还存在一定的困难和问题。具体表现在:
(一)内部审计工作停留在审计的最初层次
企业内部审计在我国审计工作中处于主导地位,其工作水平和发挥的作用,反映了我国内部审计的总体水平和发展趋势。近年来,企业在推进内部审计转型与发展中,发挥着重要的作用。内部审计机构的设置层次决定了处罚力度,内部审计机构设置的层次越高,权威性越大,内审的作用就发挥得越充分,否则内审的作用和权威性就很难发挥。实践表明,内部审计机构的地位和作用的发挥是相辅相成的。一方面,作用的扩大为内部审计赢得较高的地位创造了机会;另一方面,地位的提高,独立性增强,又为内部审计人员卓有成效地履行其职能、发挥内部审计的职能作用提供了条件,体现内部审计的权威性。独立性和权威性不够,制约着内部审计监督有效性的进一步提高。但目前我国企业的内部审计工作停留在审计的最初层次,关于经营审计和管理审计的重要性和必要性认识不足,严重制约了我国企业内部审计的长期发展。
(二)内部审计行为的导向上对风险关注程度不足
内部审计除了关注传统的内部控制之外,对有效的风险管理机制和健全的公司治理结构也应日益关注。正是存在这样的需求,一种以内部审计的主体组织的内部控制为基础、同时考虑公司治理在内的、以组织整体风险作为审计重点的审计——风险导向内部审计应势而生。风险导向内部审计是内部审计在高风险社会产生的、为了应对职业危机而推出的一种全新的审计理念。但目前来看,与国际内部审计的实践相比,我国企业的内部审计相对来说还很年轻,风险管理也相当薄弱,风险导向审计还在处于导向和宣传的阶段,对组织的内部控制的了解都做的不够多,完全将审计工作机械地停留在账目的具体审查上,对风险的关注程度不足。
(三)服务内容的单一,防护性有余,建设性不足
国际上内部审计注重增加组织价值和改善运营,正从管理审计向提高风险管理、控制和治理过程的效果方面发展,而我国内部审计更注重财务审计和经济效益审计,处于从财务审计向管理审计方向发展之中。相比之下总体上有所滞后。内部审计工作重点内容除了传统意义上提供的财务审计、遵循性审计等保证服务外,为企业提供内部控制、风险管理等方面的评估,及在企业流程再造中的协调等服务内容也逐渐提上日程。但是,我国企业的内部审计一直局限在关于财务信息的查错防弊上,而涉及组织的经营管理上,不注重并且难以为企业的经营管理层提供建设性的意见。
(四)内部审计信息系统不完善
当前,随着计算机与互联网的迅速普及,人类对计算机的依赖达到了前所未有的程度,全社会各行各业信息化进程不断加快,我国许多企业在实现各部门信息化的同时,也已着手整合与集成其信息化应用系统。内部信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。但企业的内部审计信息系统不完善,难以发挥其在企业经济效益审计中的作用。主要表现为两个方面:一方面,会计和管理信息化使得各种处理流程、数据实体封装在系统内部。这一状况缺乏传统工作环境下审计工作对审计对象的直接感知性,使得审计工作的观察和检查难度大为提高。另一方面是管理和会计信息化系统本身带来新的审计难题,如信息系统的安全性、准确性、有效性检查和评价。
二、提高内部审计与内部控制能力的途径
(一)正确认识内部审计与内部控制关系是采取一切措施的前提
由于内部控制是为了推进经济实体的有效运营,而内部审计则在于协助管理层调查、评估内部控制制度,适时提供改进建议,以求内部控制制度得以持续实施。在通常情况下,内部控制系统由经济实体经营管理部门指定并在实施执行中评价和改进,通过内部审计部门评价内部控制系统的健全性和有效性。内部审计既是内部控制系统中的一个重要分支系统,又是实现内部控制目标的重要手段,在内部控制框架构建中如何正确认识内部审计在内部控制中的作用,以及如何针对不同的审计任务制定灵活适用的审计方案,以确保审计质量、提高审计工作的实效就显得尤为重要。
(二)增加内部审计部门职能促进内部控制有效执行
现在的内部审计部门已经不再是一个简单的业务职能部门,而是企业的一个管理机构,也因此现在的内部审计部门所起的作用也越来越多、越来越重要。内部审计部门有着监督与服务的双重职能,两者孰轻孰重一向都没有一个明确的定论。作为内部审计部门的职能,在工作中监督与服务两者偏向于任何一方都会给内部审计部门的工作带来巨大的影响。在内部审计的工作过程中应当将内部审计的监督与服务的职能充分地结合起来,以服务的态度来进行监督的工作。
(三)建立内部审计信息系统
互联网对于会计信息系统而言是一个全新的视角,而对于与其相对应的企业内部控制也是一个全新的挑战。只有实务界与理论界协同一致,提出有关的内部控制制度,才能使会计信息系统充分发挥其内在的所有功能。内部审计在手工会计系统中对于保证会计工作人员正确、有效地完成会计核算工作,并最终产生有用的会计信息有着不可替代的作用。同样,在网络审计信息系统中,它对于系统的正常、可靠运行也具有同等重要的作用。因此,企业要专门设置由内审人员、风险分析评估人员、系统维护人员组成的内审小组,运用软件技术实时监控系统运行情况,随时分析系统运行日志文件和各种安全检测记录,及时发现系统的安全漏洞,并采取相应的对策。
(一)医院内控环境不佳
当前,在医院的内部管理中,普遍存在着有章不循”甚至是无章可循”的情况,整个内部的基础都比较薄弱。在内部控制中,即使是出现了实质性的问题,管理人员更倾向于灵活处理”,而非依照相关内控程序规定进行处理,使得内控机制的严肃性与可行性受到了巨大的影响。同时,部分医院的内控机制只是一纸空文,在实际中的落实很不到位。究其原因,更多的是整个医院内控环境不良造成的,从而导致医院的相关管理者根本不重视内部控制,进而给内部管理带来一定困难,甚至间接造成一些工作流程漏洞,为医院的发展带来潜在风险。
(二)内部审计职能滞后
当前,部分医院虽然依照相关管理要求在内部设立了内部审计部门,然而人员配置数量的严重缺乏,再加上内部审计人员专业素质较低,直接导致这些医院内部审计质量不佳。同时,有些医院并没有合理设置专门的内部审计部门与专职人员,或者是设置了内部审计部门却使其从属于医院的财务部门,从而在很大程度上削弱了审计部门对医院层面的经济管理与对相关会计信息质量的有效审计与监督,并影响到内部审计的独立性。此外,伴随市场经济的逐步深化与信息技术、新业务的不断出现与发展,国家鼓励并扶持社会资本积极创办医疗机构的政策落实,创设分院或是合作办学等行为也越来越广泛,使得医院的发展面临着重大的经营风险,其经营活动与经营管理内容必将变得更加复杂,且内部控制重点也必将从原有简单的避免差错逐渐发展到对相关风险的防范和控制。但是,当前医院的内部控制往往只重视事后的稽查,而相对地忽视了事前防范与事中控制,无法充分发挥出医院内部审计的预警、揭示与抵御的功能,在很大程度上影响到医院的健康发展。
(三)人员内控意识不高
不论是哪一种单位类型,其内部机制的构建和实际的运行情况都同管理者内控意识有着直接的关系。可以说,医院相关管理人员的内部控制观念在很大程度上决定着医院整个内部控制工作的实施质量与效果。然而,大多数的医院管理者是医疗专家出身,不论是管理的思想还是管理的能力都比较滞后,工作模式往往也是墨守成规”,更别说内部控制观念了,从而直接致使整个医院的内部控制建设滞后。加之管理人员内部观念和机制建设的落后,也直接导致医院在日常内部管理工作中缺乏统一的领导与部署,特别是面对新问题的时候无法及时解决。长此以往,不仅阻碍内控机制的健全和完善,也在很大程度上制约着医院的有序发展。
二、信息化环境下医院加强内部控制与内部审计的措施
(一)建立健全的内部控制机制
信息化背景下,医院为提高自身的内部管理效率逐步健全并完善其内部控制机制,以此来保证医院的健康发展。首先,实现对医院内部相关组织机构设置合理性与有效性的控制与管理。医院在设置其业务流程时,要严格遵循相互牵制的原则,建立关键岗位轮岗制度与重大决策集体审批的制度,建立定期或是不定期的稽查制度与预算管理制度。其次,划分权责,构建不相容的职务分离机制。再次,建立目标成本控制机制。设置成本与费用责任中心,制定目标成本与成本控制的相关标准,依照医院的组织结构逐层分级,对每一层级设定相关的成本控制目标,实施相关的奖罚手段以提高医院的经济效益与社会效益。最后,严格医院的物资安全控制机制。在信息化背景下,充分利用计算机技术建立医院财产物资数据库,以实现对医院财产的安全有效管理。
(二)构建医院内部审计的信息系统
首先,在信息化背景下,积极构建医院内部审计的信息系统就需严格遵循数据安全管理原则,因为一个完整的数据安全管理保障体系必须具备科学合理的安全管理。而在安全管理中,又必须遵循专人负责原则与职责分离原则,前者要求每一项同医院的审计数据信息安全相关的活动均必须安排专人来负责,后者则要求不同工作职责应该由不同的人员负责,以保证各机构能结合自身实际特点来制定相关的审计管理制度,并对那些违反了规定的行为采取必要的惩罚措施等。其次,在遵循以上两个原则的基础上还必须建立数据库系统,即构建审计信息的数据备份机制来积极应对安全领域的突发事件,以避免系统出现故障后造成文件的丢失。当前,在较多软件中,文件多被设置为只读”,即用户只能在计算机上读取相关信息,而不可对信息进行修改,若在计算机以外存储器中也只能供使用者阅读不可修改,而通过设定管理人员则可供一次写入多次读出,虽可追加一些记录却不可删除原有信息。而这样一种不可逆式的记录介质就可有效避免用户更改电子文件信息,以保证审计数据的真实性与原始性。最后,还需对医院的内部审计系统实施必要的管理,逐步强化医院审计人员及相关工作者的风险意识,积极树立风险管理意识,因为风险管理是保证审计数据真实性的一个有效管理措施。因此,医院相关管理人员与审计人员必须更新管理观念,树立风险管理管理,以逐步提高自身的风险意识,从而引导那些管理并使用医院网络系统的人员有效避免风险事故,并承担相应的风险责任,进而逐步形成同审计管理规律相配套的管理理念,构建风险管理体系并明确风险重点,从整体上确保审计数据的安全、真实与准确,提高医院内部控制与审计的质量。
(三)提升审计人员的计算机水平
信息化背景下,医院的内部审计工作对审计人员的业务技巧与综合素质提出了更高的要求。在医院中,审计部门作为其财务管理中的一个重要环节,其主要的工作是对医院财务内部管理制度实施有效的监督与管理,积极落实国家的相关法律法规,逐步提高对各审计人员的思想道德建设。同时,为满足新时期信息化建设对医院内部审计工作所提出的要求,审计人员还需逐步提高自身的计算机水平,使其能够利用信息化手段来提高自身的工作效率与水平,减少审计时间。此外,为确保医院内部审计管理有效性,还需进一步强化审计人员与相关从业者的安全防范意识,并通过安全教育培训等形式对其进行教育,签订保密协议,制定相关的严惩手段,以最大限度地减少人为信息安全风险,并使其充分认识到自身工作态度与行为对医院整个内部审计质量的影响,从而逐渐提高自身的综合素质,提高工作效率。
三、结语
随着会计电器化的广泛应用,传统内部审计面临着新的挑战,从而出现了电算化会计系统的内部审计。
一、计算机会计系统内部审计的特点
计算机会计系统内部审计的特点,首先是审计的系统性,要对数据、硬件、软件等各种要素进行系统的分析和检查,才能确定输出结果的正确性,作出可靠的审计结论。第二是审计的复杂性,这是由被审系统数据处理方式、数据贮存方式、系统控制方式、应用系统和电子计算机辅助审计技术的多样性和复杂性所决定的。第三是审计资料的隐蔽性、敏感性和易逝性,这是由于审计线索主要以两种形式存在:一种是肉眼可以看见的审计线索,如输入的原始凭证、记账凭证等原始文件、打印出来的会计账簿、会计报表等;另一种是肉眼看不见的,如存储在软盘或硬盘上的会计数据库资料等。第四是审计的运行性,即在不断运行的系统中进行审计和监督。
二、计算机会计系统内部审计的内容
内部审计可以从硬件和软件的系统控制和实质性审查两个方面来进行审计。
l、内控制度的审计。对内部控制制度的审查与评价,既是审计的基础,又是审计的前提。从实施的角度来看,内部控制有些是通过程序来实施的,有些则是通过制度约束来实现的。通过程序的设计和运行来实施控制的“程序化”控制,和通过建立管理工作制度来完成控制的“制度化”控制,必须通过内部审计来确保其实施,才能使计算机会计系统的安全、可靠和稳定得到双重保险。在电算化条件下,虽然仍要审查传统审计的一些内容,但重点主要在于系统软硬件及数据的内部控制。
内部审计人员应在本单位以上各方面制度的制定过程中,积极发挥参谋作用,并在以上制度的实施过程中,定期审计或突击检查,查找内部控制的弱点,提出改进措施,使制定的内部控制制度得以执行,以保证会计数据的安全性、有效性、完整性和准确性。
2、实质性审计。在手工条件下,审计主要是对书面资料进行审查。在电算化条件下,会计核算由计算机在程序的控制下完成,除了审查输入和输出数据,还要审查电子计算机程序和贮存在机内的数据文件。因此审计工作重点转移至对会计软件合法性、正确性的审查和对机内数据文件的审计方面。
三、计算机会计系统内部审计的方法
针对电算化会计系统审计的特点,结合本系统的工作实际,我们已由以前的“绕过计算机”的审计方法,转向在计算机辅助审计的基础上进行“通过计算机”的审计方法:计算机技术和经济管理的结合,极大地提高了管理工作的现代化水平。其中发展最快、应用效果最显著的,是计算机在会计工作中的应用。
随着会计电器化的广泛应用,传统内部审计面临着新的挑战,从而出现了电算化会计系统的内部审计。
一、计算机会计系统内部审计的特点
计算机会计系统内部审计的特点,首先是审计的系统性,要对数据、硬件、软件等各种要素进行系统的分析和检查,才能确定输出结果的正确性,作出可靠的审计结论。第二是审计的复杂性,这是由被审系统数据处理方式、数据贮存方式、系统控制方式、应用系统和电子计算机辅助审计技术的多样性和复杂性所决定的。第三是审计资料的隐蔽性、敏感性和易逝性,这是由于审计线索主要以两种形式存在:一种是肉眼可以看见的审计线索,如输入的原始凭证、记账凭证等原始文件、打印出来的会计账簿、会计报表等;另一种是肉眼看不见的,如存储在软盘或硬盘上的会计数据库资料等。第四是审计的运行性,即在不断运行的系统中进行审计和监督。
二、计算机会计系统内部审计的内容
内部审计可以从硬件和软件的系统控制和实质性审查两个方面来进行审计。
l、内控制度的审计。对内部控制制度的审查与评价,既是审计的基础,又是审计的前提。从实施的角度来看,内部控制有些是通过程序来实施的,有些则是通过制度约束来实现的。通过程序的设计和运行来实施控制的“程序化”控制,和通过建立管理工作制度来完成控制的“制度化”控制,必须通过内部审计来确保其实施,才能使计算机会计系统的安全、可靠和稳定得到双重保险。在电算化条件下,虽然仍要审查传统审计的一些内容,但重点主要在于系统软硬件及数据的内部控制。
内部审计人员应在本单位以上各方面制度的制定过程中,积极发挥参谋作用,并在以上制度的实施过程中,定期审计或突击检查,查找内部控制的弱点,提出改进措施,使制定的内部控制制度得以执行,以保证会计数据的安全性、有效性、完整性和准确性。
2、实质性审计。在手工条件下,审计主要是对书面资料进行审查。在电算化条件下,会计核算由计算机在程序的控制下完成,除了审查输入和输出数据,还要审查电子计算机程序和贮存在机内的数据文件。因此审计工作重点转移至对会计软件合法性、正确性的审查和对机内数据文件的审计方面。
(一)高校扩张导致内部审计风险加大高校风险导向内部审计的产生有其必然性,客观上缘于高校规模、业务迅速扩张。一方面,近年来学校规模不断扩大,万人大学比比皆是,大学小社会是不争的现实,高校涉及基建、招生、科研、后勤、学管、对外服务等项目,业务的迅速扩展导致管理风险加大。另一方面,国家加大了高等教育的投入,财政性教育经费已达GDP的4%,高等学校获得了庞大的资金投入。无论普通本科还是高职高专,均得到了国家密集的项目支持,如本科的“211工程”、“985工程”、“2011计划”,高职高专的“国示”、“国家骨干校”、“省示”、“教学资源库”等建设项目,持续、高额、密集的资金投入导致项目经费的使用、管理风险剧增,某些部门(岗位)成为“肥缺”,职务风险、管理与控制风险变得越来越难以控制。高校内部审计实行风险导向审计,有助于加强学校的风险管理,通过控制风险来保证学校的健康发展。
(二)高校内部审计环境滋生审计风险高校实行党委领导下的校长负责制,这是高等学校中民主集中制的具体体现,从治理结构看是典型的内部人控制。作为学校最高领导者,党委书记、校长是学校的决策者,也是决策的执行者,这会导致部分领导、内部控制形同虚设。高校是人才的聚集中心,业务有其特殊性,高校专业型领导多,对专业、业务拓展具有较好的指导与示范效应,但重业务轻管理、重财务轻审计、重人治轻法治,普遍未能形成较好的内部审计总体环境。不同高校办学历史积淀、学生与产业规模、专业领域、领导重视程度、审计人员素质、审计方法等千差万别,校园文化、机构设置、管理模式迥异,个体审计环境进一步影响内部审计风险。近年来高校招生、基建、设备招标等腐败案件频发,一些出身贫寒、曾经正直有为的领导干部沦为阶下囚,除了与其自身抵抗能力、自我管理能力有关外,与高校内部审计环境不良有着直接的关系。
(三)高校市场竞争呼唤风险导向审计面对高等教育发展的新环境,高校充满机遇和挑战,竞争进一步加剧。不同层次的高校有竞争,国内与国外的高校有竞争。高校的竞争是软、硬实力全方位的综合竞争。有风险才有收益,高校必须承担相应的风险才能赢得生存空间,只有创新运行管理机制,才能适应时代的潮流。《内部审计具体准则第17号》指出,审计风险指内审人员未能发现审计单位经营活动及内部控制中存在的重大差异或缺陷而作出的不恰当审计结论的可能性。虽然风险导向内部审计产生已有时日,但探索尝试的更多是企业,我国大部分高校内部审计的重点仍然是查错纠弊,内部审计方法仍然以账项基础审计及制度基础审计为主,内部审计的主要作用仍然是事后监督和评价。随着高校发展方式的变化和管理机制的创新、发展,高校内审机构设置及内审人员业务能力、审计技术、方法等需要不断创新,以适应新形势下高校业务转型升级与风险管理的需要。高校市场竞争导致内部审计的客观风险加大,这是高校内部审计人员无法回避或改变的客观现实,内部审计人员只有加强高校业务研究,采用合适的审计方法,提高审计业务能力,才能够降低审计风险。
二、高校内部审计风险的特征
(一)受托关系的层次多致审计风险复杂化内部审计的本质是确保受托责任履行的管理控制机制,高校内部审计源于高校的受托关系。从组织结构看,第一层是高校领导(管理者)受教育主管部门或股东(公办高校政府是出资者,民办高校股东是出资者)委托负责高校的日常管理;第二层是行政部门和院系受学院领导委托负责某一院系或部门的管理;第三层是教职员工受院系或部门委托负责具体事务的管理。从项目委托关系看,项目团队(负责人)受国家、省、市相关部门或学院、企业委托完成各类各级项目,学院受国家、省市委托完成项目管理,诸如此类;从组织结构和项目关系看,高校普遍存在出资者与管理者、层级不同的管理者、管理者与业务层等交错复杂的受托关系。内部审计的委托人既有国家、省、市相关部门,也有学校自身、企业,高校的内审机构要向各层次的委托人负责,审查、汇报受托人职责履行情况,对受托人作出客观公正的评价。因此,高校内部审计因高校内部受托责任的存在而存在,受托关系的层次多导致审计风险错综复杂。
(二)审计业务的广泛性致审计风险多样化内部审计风险控制存在于高校的各个领域,除常规的教学管理外,还广泛存在于科研、基建、实训设备招标、招生、后勤实体、对外服务等诸方面。此外,不少高校过度负债,内部审计风险控制多样化。与常规教学业务相比,有些业务不经常发生,具有较强的阶段性;有些业务单项金额较大或总量较多导致总额较大;有些业务涉及部门、人员较少,且没有明显的经济损失,具有较强的隐蔽性。高校业务范围、涉及人员广泛,审计风险多样化,高校内部审计因人手、业务能力、经费、工作时间限制,常常流于形式,难以及时发现问题并合理降低审计风险。
(三)审计结果的用途致审计风险导向边缘化高校审计结果用于委托方对受托方责任履行情况的评价,对责任部门及责任人员的各项责任指标完成情况、管理水平、业务能力等进行评价,也是单位人事考评、人事任免、新项目评审的重要参考因素。审计结果不仅关系到被审人员的当前评价,而且关系到今后的升迁发展,无论是委托方还是受托方都极为关注项目本身是否合规合理。因此,不少单位领导更关注错弊,高校内部审计重点更多着眼于经济责任审计,审计结果主要用于对项目与项目负责人的评价,内部审计主要发挥了监督和评价的职能,风险控制没有得到足够的重视。作为高校的内设机构,管理层对其没有风险控制要求,缺乏风险控制导向的压力与动力,风险控制被边缘化。
三、高校风险导向内部审计的思路
(一)高校内部审计的目标定位医生的意义不仅在于对危重病人的手术,更重要的是为检查者健康提供良好的保健建议,根据检查结果提出合理的预防措施,实施风险管理,促进检查者身体的健康成长。《内部审计实务指南第4号———高校内部审计》指出,高校内部审计的目的旨在促进完善管理控制、防范风险、创造效益,从而促进学校事业目标的实现。高校内部审计不仅是对高校业务活动的监督、评价,而且应该为被审单位、部门的健康开具证明,提供鉴证服务,提供管理与建设服务,促进企业内控制度及风险防范机制的建设;对内部控制机制再控制,促进学校资源的合理配置与使用,为领导提供可靠的参谋,为学校增加价值,提高高校专业办学效益和管理水平。我国高校审计机构更多出于国家财经法规要求完成各项审计工作,监督的思想根深蒂固,长期以来权限不高,只是被动地根据领导安排完成审计项目,目标定位及作用的发挥与校领导的重视程度关系密切。高校内部审计要实现为学校增加价值的目标,就要深入研究学校的业务趋势及风险,融入学校的管理中,通过为领导提供参谋而主动地管控风险,通过目标的转变拓展内部审计的生存价值与空间。
(二)高校内部审计机构的设置独立性是内审风险控制的前提,缺乏独立性的审计机构无法防范审计风险。内部审计机构的隶属关系与独立程度是内部审计机构设置的关键因素。《内部审计实务指南第4号———高校内部审计》规定:高校应设置内部审计机构,规模较大的高校(年收入5亿元以上或教职工人数在3000人以上)应设置独立的内部审计机构。目前我国大部分高校均远超3000人,绝大部分设置了内部审计机构,尚有少部分高校在财务处下设置内部审计机构。设置内部审计机构的高校,其隶属关系各不相同,导致其主管领导与主要审点存在差异对吉林省调研,采用纪委书记领导的内部审计占比最高(吴国萍等,2014),这或许是我国高校内部审计机构设置的普遍模式。根据纪委的工作任务,内审机构更多承担了经济侦查的职能。分管财务副院长领导下的审计机构独立性也不强,副院长既是裁判员也是教练。院长直接领导下的内审机构独立性较高,但内部审计工作依然处于校长行政权力的依附下。前文已述,高等学校是党委领导下的校长负责制,如将内审机构置于党委书记的直接领导下,从校长日常行政权力中脱离出来,独立性会适当提高。由于高校是典型的内部人控制,即便是党委书记领导下的内审机构,其独立性也仍然值得怀疑。内审机构隶属层次越高,其独立性越强。国外高校较为流行以政府任命或选举的方式由校外人员组成董事会,通过董事会负责有效制约校领导的经营管理权。国内高校虽然建立教代会并作为高校最高权力决策机构,但教代会代表源于组织内部,且是校领导的管理对象,无法监督校领导的行为。现阶段看,可由上级主管部门、校代会代表、党委书记、校长组成审计委员会,直接负责内审机构的领导;内审人员可考虑上级机构、校内人员共同组成,从而提升内审机构的独立性。可见,高校内部审计的独立性是相对的,公办高校内部审计更多的是解决第二、三层次的委托关系,完成校领导的委托责任评价,第一层次(主管部门对校领导)的委托关系仍要依靠政府审计或社会审计来解决。民办高校可参考企业建立以董事会牵头的审计委员会负责内审机构的管理。
(三)高校内部审计的环境建设审计环境是高校内部审计得以生存的土壤,包括内部审计环境与外部审计环境两个方面。内部环境是高校内部审计的基础,除高校治理结构、高校机构设置与职责划分、内部审计机构建设外,还包括内部控制制度、财务制度执行状况等。内部审计环境更多源于学校内部,属于可控环境,可塑性强。与企业相比较,高校不以盈利为根本目的,具有较强的公益性,难以通过市场淘汰机制直接进行约束,即便对于市场化或准市场化的后勤产业、校办企业、对外培训服务机构,仍采用行政化的管理模式管理,治理结构混乱。高校内部审计环境建设缺乏外部压力,通常不主动评估学校财务风险,不对资金使用效益做成本效益分析,面临尴尬的处境。《内部审计实务指南第4号———高校内部审计》指出,内部控制自我评估是高校完善内部控制体系的有效方式之一。高校具有较强的社会性,如果高校内在风险监控失效而导致高校难以为继,将产生更大的社会风险。借鉴国内外的做法,应从法人治理结构、社会和谐发展、国有资产保值增值、高校发展目标的高度,在高校主管单位的指导、要求下,在高校主要负责人的直接领导下,加强内部审计环境建设,加强内部控制环境的建设与评估,适应高校内部审计的目标转型,对高校管理进行审计,构建良好的内部审计环境。
(四)高校内部审计的流程与方法风险导向内部审计经历了传统风险导向与现代风险导向两个阶段。现代风险导向内部审计基于“确定组织目标—评价目标风险—控制风险测试”的流程完成,高校内部审计要围绕高校的重要目标分析影响目标实现的主要风险,关注主要风险,进而通过相关风险内部控制的分析、测试,确认其是否能够合理规避风险,保证组织目标的实现。高校风险导向内部审计要将内部审计置于高校的管理中去,着眼企业整体管理效益的提升,深入学校的管理体制,深入学校相关业务及内部控制。审计过程中既要查账也要查业务,既要表内资料(财务信息)也要表外资料(非财务信息),从过程管控、风险管控的角度深入高校内部环境,评估风险产生的可能性及严重程度。只有完善高校管理控制过程、降低高校管理的客观风险,才能有效降低高校内部审计的风险。高校风险导向内部审计要求在传统审计方法外,以识别、评估风险为目标,适度增加评估、咨询等方法,从而改进审计方法。信息技术的应用为高校审计技术方法的革新创造了条件,高校内部审计不仅要做事后审计,还要将审计时点前置,加强事前、事中审计。《内部审计具体准则第28号》提出,内部审计人员在审计中要单独或综合应用计算机辅助审计工具和技术等信息技术。高校内部审计人员在审计中还应该综合运用常规审计方法和各类信息化技术。20世纪60年代后期,产生了并行审计技术,在业务系统中嵌入审计模块,实现了在业务处理的同时采集审计证据的技术。网络技术的发展,产生了持续审计技术,可以适时掌握、评价审计结果,缩短审计周期,降低审计风险。虽然一些新兴的审计技术还未能在高校内部审计中普遍推行,但随着信息技术的发展,这些技术将会成为高校内部审计的重要方式与发展趋势。
(五)高校内部审计队伍的专业化建设审计人员独立性与业务能力是决定审计风险的内在关键因素,高校内部审计队伍普遍存在数量少、专业不对口、业务能力不足、独立性受限等问题。内部审计人员数量应不低于教职工总数的2‰,一些高校专职审计人员偏少,从侧面说明了领导的重视程度不够。审计人员主要来自财务、审计专业,缺少法律、工程、信息等方面的专业背景,在基建工程等专项项目审计时力不从心;审计人员缺少学习提升机会,业务能力受限;审计人员均来自单位内部,与部分项目负责人关系十分密切,难以客观评价;审计经费有限,制约内部审计工作的深入开展。高校不仅要加强学科(专业)的建设,也要加强内部审计人员的专业化建设,为高校管理目标的实现和风险控制保驾护航。一是把好进人关,业务能力不强、个人素质不高的人员要拒之门外;二是注重人员结构的合理性,从年龄、专业等方面互补,便于审计团队的建设;三是项目审计前做好独立性分析,不符合要求的审计人员采取回避制度,根据业务需要吸收部分兼职人员、校外人员加盟审计队伍,必要时可采取审计项目外包方式或委托兄弟院校内审机构负责审计;四是加强专业规范建设,建立业务学习制度,开展专题研讨;五是增强风险意识,建立培训提升与奖惩机制,促进业务胜任能力的提高。高校内部审计队伍不仅是内部审计工作的需要,也是优秀管理人才培养的重要内容。高校可以借鉴美国GE公司、中海油等国内外知名企业的做法,将内部审计部门作为公司中层管理人员、干部锻炼的重要平台。
关键词政府部门内部审计内审地位组织结构
随着经济的全球化发展,许多上市公司、跨国公司基于管理发展需要,逐渐提高和重视内部审计在公司内部的地位和作用,如:在董事会下设立了审计委员会,专门负责内部审计工作的计划、执行和结果的提出,并负责外部审计的协调工作;内审部门对审计委员会负责并报告工作情况,具有相对独立于管理层的地位。当前我国很多政府机构为了加强内部的经济监督、管理与控制,也设有内审部门。相对于社会审计和国家审计而言,内部审计受组织内部的干预、控制、阻挠的可能性很大,其所处的位置使其地位极其尴尬;国家《审计法》规定各单位和组织可根据实际工作的需要设置内部审计机构,对内审部门的组织机构及其权力与职责没有法律条文的严格规定,因而其法律地位处于一种不稳定状态;再加上政府部门的特殊之处使内部审计不稳定的地位受到诸多因素的影响。
1组织结构对内部审计地位的影响
当前我国大部分政府机构的内部审计在组织机构中处于第三管理层(见图1)。在这样的组织结构中,内审部门只能对第三层面及其以下的各组织职能部门行使经济监督、评价、风险管理及服务等职能。如果上级领导层重视内部审计的监督、服务作用,则内部审计的权限可上滑至第二管理层面,但如果存在诸多不利因素,内审的监督控制权限可下滑至第四业务层。
政府部门设置的内部审计机构是为了辅助最高管理层实施组织内部的机构管理和监督,内审部门在组织结构中的地位和独立性就应予充分保证。借鉴跨国公司和上市公司中实施的审计委员会制度,政府部门可以设计一种新的组织结构图。新的组织结构图在党组织委员会下设立一个审计委员会,全面负责内部审计工作,内部审计部门向内部审计委员会报告审计结果,内部审计部门在组织结构中跃居第一管理层,从而促进内部审计对该组织机构进行全面的经济监督、评价、风险管理和服务。
当然,这只是一种理想的结构图,实际操作起来比较因难。—般正职领导全面负责党委工作,内部审计部门向正职领导报告审计结果是较现实的操作,并且正职领导负责可以降低群体意志表决带来的工作低效问题,还仍能保证内部审计在组织结构中居于较高的管理层,取得较稳定的相对独立的地位。
2管理层的管理理念对内部审计地位的影响
政府部门行使一定的社会管理职能,如对社会治安的管理、对国民教育的管理、对国家税收的管理等,因而被赋予执行相应管理职能的权力。政府部门管理层的管理涉及的内容和方式方法很广泛,主要包括对业务、人事、外事、财务、后勤及纪检监察部门的管理。影响到内部审计地位的管理层的管理理念包括:
(1)管理层的道德品质。政府部门的高层领导正直、公正、实事求是的品质直接影响到内部审计的独立、客观、公正性。高层领导及内部审计部门的负责人直接和间接负责内部审计工作监督、指挥、控制、管理工作,其思想品德、办事作风直接影响到审计人员和被审计单位的工作态度,高层管理者的独立性品质为内部审计工作的开展提供精神上保持独立性的保障。
(2)管理层的管理水平。高层领导在机构的管理过程中,是注重规范化和制度化管理还是较主观臆断,是强调机构的风险管理和防范还是鲁莽行事,是授权监管合理配置资源、充分发挥协调和统领的作用还是事事亲历而为之,是通过目标管理、绩效管理及学习创新等现代管理理念来履行组织目标还是按部就班地开展工作等,直接影响内部审计职能及作用的发挥。若高层领导不断提高自己的管理水平,摒弃主观臆断等管理方式,内部审计就有一个良好的氛围和环境,内部审计作为现代组织机构风险管理和内部控制的一个有机组成部分就大有作为,其地位也会得到显著提高。
(3)管理层对内部审计的重视程度。前面讲到高层领导对内部审计的重视直接影响到内部审计能够监督、评价的管理层面,高层领导还可以借助内部审计这把利剑,对组织内部涉及经济活动的人、事进行全面的监督管理,如权力的制约与监督、投资资金的投入与产出、财务收支的规范化管理等。高层领导在内部审计部门与其他被审部门之间发生摩擦或较尖锐的矛盾时,可以协调和化解矛盾,充分肯定内部审计部门的成绩,树立审计部门的威信,内部审计的地位就会得到提高,从而充分发挥其监督、评价、服务等职能。否则内审工作受到严重的阻碍,其职能就难以得到履行。
3内部审计为组织创造的价值对其地位的影响
政府部门的内部审计创造价值的形式有多种:查出违纪违规事件,如:私吞或挪用公款、贪污受贿、私设小金库、乱收乱罚等;进行组织机构的风险评估与管理;提出完善内部管理的控制制度建议和措施;开展领导干部的经济责任评价供人事部门参考;监督和控制投资资金的支出与效益,节约投资,促进效益的提高等。内部审计为组织创造的价值越大领导层就越会注重到内部审计在组织的监督与控制中所起的作用;其他职能部门和员工便更信服内审活动,认识到内部审计的份量;对被审单位而言则有更强的威慑力,促进其自身的控制与监督;对内部审计人员而言,也会增强他们对内审工作的信心与激情,因而内部审计为组织创造的价值大小影响到内部审计的地位。
政府部门的内部审计为了提高其在组织内部的地位,必须充分履行其为组织提供增值型服务的职能,主要可从以下几方面着手:①通过内部监督,查错纠弊,促进了机关各项工作运转的良性循环,为本组织机构平稳发展和目标履行保驾护航;②通过内部控制制度评价和风险评估,警示机构领导层,促进机关的内部管理与控制,避免管理控制漏洞缺陷带来的损失。如通过参与某些项目、工程的有关规章制度、计划方案的制订,提供相关的审计建议;③通过参谋、沟通,将调查、了解、评价、分析、判断经济活动信息传送给领导和部门负责人,为领导决策层出谋划策,促进管理,提高效益;④通过咨询服务,拓展内部审计其他服务功能,为本组织带来服务增值。
4内审人员的能力素质对内部审计地位的影响
内审人员是审计工作的执行者,他们直接与被审单位打交道,其言行举止和业务技能是审计部门地位的保护和维持的直接透视窗口。内部审计人员的能力与素质对内部审计地位的影响主要表现在以下几个方面:
(1)职业道德和政治品质。为了维护内部审计的地位,内部审计人员必须要做到清正廉价、客观公正、实事求是,尽量保持形式上和精神上的相对独立性;要具有职业谨慎的品质、保守涉及个人隐私、集体利益的秘密;涉及威胁被审对象的权力、岗位、声誉等棘手问题审查时,审计人员还要与被审对象斗志斗勇,在工作中做到细致具体全面,要有胆量和乐于奉献牺牲的精神开展审计工作;内部审计人员对内审受制、受约束的状况要有—个良好的心态,对决策权和处罚权的缺乏要有正确的认识,坚决履行好被赋予监督权、评价权、建议权,当好管理层的参谋。
(2)专业技能。内部审计人员要有较强的专业技术能力,内审人员专业技能包括要内部审计基本理论与原则掌握;审计技术方法恰当运用;审计线索、信息的敏锐涉猎;审计证据的充分适当收集,较强的语言文字功底等。出色的专业技能,才可能降低审计风险,确保审计质量,受到被审单位和领导的青睐。
(3)沟通协调能力。内部审计人员的协调沟通能力体现和贯穿整个内审过程中,直接影响到内审部门与被审单位、其他部门的关系,直接影响到审计工作结果传达到组织内部的高层领导的结果。内部审计人员必须准确定位,确立大服务观念,用战略管理的眼光,处理好眼前与长远、全局与局部、监督与服务的关系,对存在的问题予以严肃指出,并热情地帮助其整改纠正;更多更及时地向领导提供有见地的意见建议和决策所需信息,促进和加强本组织机构的规范管理。
(4)学习创新能力。内部审计要在法治化、信息化的社会发挥其应有的作用,内部审计人员必须自强不息,注重知识的更新和知识面的扩展。加强财经法律法规的学习和运用,使内审工作有法可依、有章可循;不断掌握现代经济管理的知识及国际内部审计的新理念、新方法,逐渐运用制度基础审计与风险审计相结合的审计方式取代现在的财务审计与制度基础审计相结合的审计方式,逐步掌握运用计算机审计取代手工审计的技术手段。内部审计机构负责人要把加强对内部审计人员后续教育和专业培训作为内部审计地位提升和发展的战略性任务来抓,创建学习型内审团队。
参考文献
1审计理念——以内部控制为审计实施基础
高校内部审计部门的直接目标就是审查和完善高校内部控制的健全性和有效性,将内部控制作为内部审计的实施基础,贯穿于内部审计工作的始末。在内部审计计划阶段,着眼于内部控制的高风险环节,明确审计重点;在审计实施阶段,以内部控制系统测评为基础进行抽样审计;在审计报告及后续审计阶段,反馈于内部控制体系,完善高校管理水平为宗旨。基于内部控制的内部审计工作既提高了审计效率,又高效地利用了高校有限的审计资源。
2内部控制审计——内部控制体系的自我评价
高校内部控制审计是内部控制体系的自我评价,它是高校改善业务管理、提高办学效益的有效途径。加强内部控制审计工作可以全面了解被审计单位的内部控制制度设置及运行情况,可以和财务审计项目中的相应内控测试等工作整合在一起,既简化内部审计流程,又节约审计成本,符合构建节约型社会的整体趋势。
3审计质量——内部控制的控制
审计质量是高校内部审计工作的生命线,是内部控制的控制。审计质量的高低关系到整个审计工作的有效性,建立健全一整套审计质量指标体系是内部审计工作的需要,更是内部控制完善的需要。根据内部审计环节建立相应的审计质量体系,使其作为审计工作的执行参照,规范了内部审计工作的流程和工作标准,保障内部审计工作的有效执行,进而完善内部控制的整体性。
4审计管理建议书——内部控制的晴雨表
审计管理建议书是审计报告的应用,是内部控制的晴雨表。如果将内部审计工作比喻成一次内测,那么高校内部审计部门在完成审计工作之后出具审计报告并非仅仅是内测试卷的答案,其出具的审计管理建议书更应该像一套解题的思路,反映出被审计单位的内部控制的好与坏,为被审计单位提供解决问题的途径,积极参与其后的修正,以管理建议为主线,协助被审计单位完善管理。当然,为了使审计效果最大化,需要将审计管理意见书提交上级管理部门或者校领导审阅,切实保障有效实施。
二基于内部控制视角的高校内部审计工作各阶段优化策略
1准备阶段准备阶段
包括审计项目立项、审计项目审批、成立审计组、审前调查、制定项目审计计划和审计方案、发送审计通知书和承诺书、交接审计资料等工作。准备阶段着眼于内部控制会起到事半功倍的效果。传统的高校内部审计工作往往是由上级主管部门或者高校管理层为内部审计部门立项并授权,就审计工作而言没有发挥到主观参与作用。随着教育事业和内部审计工作的发展需要,高校内部审计工作逐渐在根据学校的教育发展需求以及组织目标主动提出审计事项,积极参与学校的发展战略制定和决策,为高校的发展起到参谋作用。内部审计部门依据高校内部控制体系中的风险评估体系定期评估各院系、各部门相关经济业务的风险,建立风险等级评分制度,依据风险的严重程度和影响程度,提出重点审计事项,经过相关上级部门的授权后进行重点审计,关注高风险部门,节约审计成本,提高审计效率。审前调查主要包括以下两个方面的内容:一是对被审计单位内部控制制度、内部控制环境的调查以及被审计项目涉及到的法规政策和内外部环境调查;二是对被审计项目的基本情况进行调查。虽然内部审计部门和被审计单位分属于同一所高校的不同部门,相互之间比较了解,但是不可忽略此项程序,着眼于被审单位的内部控制是达成审前充分调查目标的捷径。
2实施阶段实施阶段
包括深入调查、内部控制测评、实质性测试、审计取证、编制审计实施工作底稿等环节。实施阶段应以内部控制为基础。深入调查是审计准备工作的延伸,内部审计人员可以进一步地了解被审计单位工作流程的实际执行情况,被审计单位内部控制的运行情况及其所起到的作用,藉此进一步鉴别内部控制的薄弱环节,甄别各种风险,为下一步审计工作奠定基础。内部控制制度的测评这项工作是高校内部审计人员在实施实质性测试之前必须要进行。通过内部控制制度测评可以诊断高校内部控制制度的完善程度,发现是否存在缺陷,以及给高校带来的风险高低。该项工作还可以减少审计人员的工作量,提高审计效率,为下一步科学、合理地确定实质性测试的性质、范围和时间打下基础。通过实质性测试内审人员可以获取证明力更强的审计证据,为了节约实质性测试的时间和成本,可以有效利用上一环节的测评成果,积极开展相关工作。
3报告阶段报告阶段
包括审计发现和建议、内部审计部门出具报告和管理建议书。这里的审计发现并非是只出现在审计工作完成之时,而是一个周而复始、贯穿始末的过程,是高校内部审计人员在获取充足的审计证据之后进行的判断结论。审计报告阶段最主要的工作内容是出具审计报告和管理建议书。这两项书面文件最终的目的是服务于高校的管理需求,如前文所述,内部审计报告和管理意见书不仅仅起到答案的作用,更重要的是解题思路,应针对被审计单位的经济或管理活动和内部控制的缺陷提出可行的建设性建议,当然被审计部门既可以接受和采纳,也可以提出不同的意见。总之,内部审计部门以完善内部控制为目的,可以将管理意见书交由高校领导审阅、批示,这样被审计部门会更加认真地考虑和执行完善内部控制的建议。
4后续审计阶段
后续审计阶段包括后续审计和审计成果应用,对被审计单位出现的问题进行纠正和落实、内部控制的完善以及高校风险进一步的识别都有着特别重大的意义。高校内部审计人员应加强自身独立性,切实开展后续审计工作,审查被审计部门内部控制的改正和完善情况,在审计工作结束后,及时分析、总结开展整个审计项目工作中的正反经验,对自身工作做出评价。审计成果应用的对象包括上级主管部门或高校管理层、内部审计部门、被审计部门以及其他部门。只有不断拓展审计成果的应用渠道才能充分发挥审计成果的应用效果。高校内部审计部门应积极争取管理层和各被审计部门的支持,建立完善的纠错机制以及审计公告与通报制度,立项必审、审计必查、结果必告、责任必究,形成制度和政策,以达到进一步防弊、兴利和增值的效果。
三总结