一、内部控制体系建立的基础:内部控制自我评价 (一)内部控制自我评价的定义。内部控制自我评价(CSA)起源于加拿大,指公司不定期或定期对其所属子公司的内部控制系统进行评价,评价内部控制的有效性及其实施的效率效果,以期能更好地实现内部控制目标。针对某一具体单位时,通过每一个员工参与自我评价调查和协调研讨,由管理当局和内部审计人员合作评价控制程序有效性的方法。内部控制自我评价跳出传统内控评价只评价财务报告、岗位分离、授权授信等固有的“硬控制”,侧重于评价风险、职业道德、诚实品质等“软控制”。 (二)内部控制自我评价体系的构建。内部控制自我评价体系具体运用到各个事业单位、行政机关可以分为三个层次:第一层次是以每一个执行内部控制的员工组成的内部控制自我评价主体。在这一层次中,每一个执行内部控制的员工是评价的关键,员工先对自己岗位上的具体项目进行评价,评价结果再由内审部门复核。第二层次是各个执行内部控制的部门组成的内部控制自我评价主体。这一层次是由各个部门对“屡审屡犯”、“事故多发地带”的内部控制环节进行自我评价,评价结果再由内部审计部门复核。第三层次是由内审部门组成的内部控制自我评价主体。这一层次内审人员对本次审计发现的新问题进行自我评价,最后对单位的内部控制进行自我评分。三个层次之间的关系、权重以及总体脉络如下图所示。 内部控制自我评价结构图
由上图可以看出,内部控制自我评价的三个层次之间是相互渗透、相互联系的。笔者建议,政府部门内部控制自我评价层次评分可采用如下标准: 第一层面,基本项目占70%,它由各个部门的员工群策群力,先对自身从事的具体工作做出评价,基本项目主要包括:内部控制、财务管理、采购管理、销售管理、信息安全等项目的内控制度进行评价。不同的项目有不同的系数,例如财务和采购管理是易发环节,内控测试时可能涉及到各项专项资金是否专款专用、政府采购是否严格按照预算、有无财政拨款未经允许相互调剂、各项收支是否严格按照“两条线”制度等,内审人员通过集思广益,对每一个具体项目的完成程度和内控制度的有效性,设置不同的风险级别,预警结果可对各个单位内部起到事前预警,防范于未然的作用。具体见表1。 表1 安排自我评价预警对照表 风险区预警结果 警示灯项目完成程度 具体描述 高风险区巨警红灯 0% 没有设置 中上风险区 重警浅红灯 25%几乎未做 中风险区中警黄灯 50%部分完成 低上风险区 轻警绿灯 75%基本完成 低风险区无警浅绿灯 100% 全部完成 每个项目分值=项目完成程度×项目系数(权重); 基本项目得分=∑每个项目分值×70%。 第二层面是由部门负责人对以前审计发现的内控薄弱环节再次进行追踪评价,该项目占20%。例如,某部门上一年存在部门经费未经授权任意调剂现象,内审人员先列出上一年发现经费任意调剂事件的数量,再对本年该部门是否存在调剂人员经费、项目经费未经授权相互调剂、大额资金异常波动等情况的评价进行事后追踪审计,间接反映内控薄弱环节的整改情况。 薄弱项目得分=改进项目数/内审人员去年发现的内控缺陷数×20%。 第三层面是内审人员在掌握基本项目以及易发环节内控状况的基础上,对本次审计新发现的部门内控问题进行评价,该部分占10%。同时不同部门项目的风险级别也不同,根据不同风险划分为高、中、低三个级别,系数分别为20%、50%、30%。不同的单位可根据自身情况,划分不同的范围。现仅举例供参考。具体见表2。 新项目得分=项目分数×对应风险权重/(10×项目个数); 表2 内控薄弱环节参照表 内控问题数量 5个以下 6-10个 11-20个20个以上 项目分数 9-10分 7-8分 5-6分 3-4分 该单位内控加权总分=基本项目得分+薄弱项目得分+新项目得分。 根据加权,得分在90分以上,该单位内部控制评估为有效;70至89分,内部控制评估为基本有效;60至69分,内部控制薄弱;60分以下,内部控制存在很大缺陷。 单位内部自我评价体系完善,通过员工自我评价、部门自我评价以及内审部门最终评价的层层递进系统,可以有效理清各项政府性财政收支的来龙去脉,并对财政财务收支的真实性和合法性进行自我评价。例如某省审计机关对部分下属单位私设账外账、小金库等问题通过采取内部控制自我评价体系,对财政收支的真实性、完整性以及合法性逐一审查,账外账、小金库、资金沉淀等不再成为“漏网之鱼”;同时根据单位内部政府性资金收入和财政支出的金额分别设置自我评价预警系统,内审人员定期实施监督,例如社保部门应对经常少征漏征的失业保险、工伤保险设定为高风险或中上风险区,重点关注。通过双管齐下,各单位通过内部控制自我评价系统先自查,为政府审计机关在财政收支真实合法的基础上开展绩效审计、评价资金利用的效率性、效果性提供了参考。