内部控制审计是指通过对被审计单位的内部控制制度的审查、分析、测试、评价,确定其可信程度,从而对内部控制是否有效作出鉴定的一种现代审计方法。根据不同目的,内部控制审计分为基于保证抽样审计质量的内部控制测评和基于规范业务管理的内部控制审计,本文讨论的高校内部控制审计是指基于规范业务管理的内部控制审计。 一、开展高校内部控制审计的难点 内部控制审计是现代内部审计的基础,内部审计职业的“根”在于内部控制审计。本质上讲,无论是财务审计还是管理审计,无论是经济责任审计、工程项目审计,还是合同审计、采购审计,都只不过是内部控制这块土地上长出的新苗。因此,高校开展内部审计工作以来,内部控制审计一直是高校内部审计的重要业务内容。高校内部控制审计是指内部审计机构为了促进完善内部控制,保证其有效执行而对本单位内部控制体系的健全性、有效性所进行的了解、测试和评价活动。目前高校开展的内部控制审计大多还停留在基于保证抽样审计质量的内部控制测评阶段,还没有普遍开展基于规范高校业务管理、增强高校风险防控、保证高校治理结构有效运行的内部控制审计。高校开展内部控制审计主要存在以下难点。 (一)高校内部控制观念淡薄 虽然高校已确立了法人地位,但由于“所有者”缺位,高校法人治理结构不健全,内部控制体系不完善。高校管理者尤其是高校中层管理者,如学院、科研、图书馆等部门负责人,内部控制观念淡薄,对内部控制审计的重要性认识不足,影响了内部控制审计的顺利开展,具体表现在以下2个方面:(1)控制自我评估质量不高。所谓控制自我评估是指由对内部控制的制定与执行负有责任的组织相关管理人员对内部控制进行评价的过程。由于对风险管理、内部控制知识的缺乏,对内部控制重要性认识不足及对自我完善内部控制制度的意愿不强等原因,相关管理人员在进行内部控制自我评估时经常敷衍了事、走过场,影响了控制自我评估的质量。(2)审计资料难以完整获取。由于内部管理不善、规章制度执行不严或对内部控制审计的认识偏差等,相关管理人员无法或不愿向审计人员提供审计资料,影响了内部控制审计的顺利进行。 (二)高校业务管理活动种类多样化 高校的业务管理活动存在种类多、跨度大的特点。高校业务管理活动主要分为运行管理系统和资源管理系统两大类,其中运行管理系统包括教学管理和科研管理,资源管理系统包括人力资源管理系统、财务管理系统和资产管理系统。此外,高校还存在后勤和校办企业等经济实体。可见,高校内部控制审计的内容涉及面广、专业性强、业务跨度大。高校内部审计人员要开展好内部控制审计就必须熟知教学管理、科研管理、人力资源管理、财务管理、物资采购、工程建设等方面的业务特点和管理知识,这对高校内部审计人员提出了更高的要求、更严峻的挑战。 (三)高校内部控制评价标准不明确 内部控制审计的目的之一,就是要对内部控制体系的健全性、有效性进行评价。目前,我国高校内部控制评价标准尚未建立,不利于审计人员作出准确、规范的审计评价。审计人员唯一可以参考的就是2009年出台的《内部审计实务指南第4号——高校内部审计》中的“内部控制审计”部分。该部分从内部控制5大要素对高校主要业务活动的内部控制审计内容进行列示,但未对内部控制的健全性、有效性进行明确定义。这导致审计人员在进行内部控制评价时较难把握,有时甚至在审计报告中避免直接作出评价。 (四)高校风险管理审计较难开展 《内部审计具体准则第16号——风险管理审计》指出:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一;风险管理的审查和评价结果应反映在内部控制审计报告中,必要时应出具专项审计报告。长期以来,由于我国公立高校属于行政事业单位管理模式,缺乏风险意识,大部分高校也就一直没有开展风险管理审计。但随着我国公立高校办学规模的扩大,部分高校出现过度举债的现象,财务风险加大;且随着高校办学自主权的增强,社会经济活动日益复杂化、多样化,部分高校办学资源流失、贪污腐败等现象滋生,使得高校的办学风险、管理风险也越来越大。因此,如何识别风险、评估风险和应对风险逐渐受到高校管理者的关注。但由于我国高校的风险管理机制不健全,风险管理审计法规匮乏,审计人员的知识结构单一、审计经验不足等诸多原因,在内部控制审计中如何实施风险管理审计也成为目前高校内部控制审计的一个新难点。 二、开展高校内部控制审计的突破路径 高校在开展内部控制审计时普遍遇到上述的困难和挑战,高校内部审计部门或审计人员应在审计工作中,不断探索、积极实践、创新方法、完善流程,从优化内部控制审计环境,开展灵活、多样的内部控制审计,完善内部控制审计评价标准,开展风险导向内部控制审计等方面寻求突破。 (一)转变思路,优化内部控制审计环境 内部控制审计的最终目的是要促进内部控制的完善,保证其有效执行。在当前高校内部控制体系还不健全、高校管理者内部控制观念还比较淡薄的情况下,内部审计人员应转变思路,从完善规章制度入手,推动内部控制体系的完善,优化内部控制的审计环境。 1.内部审计人员应对各部门或各业务管理活动中的规章制度建立情况进行专项审查,促进各部门完善内部控制制度。审查内容包括:部门管理者是否重视内部管理和规章制度的建立;各业务职能部门是否制定了明确的岗位职责,是否存在岗位职责不清或重叠的现象,是否存在不相容岗位兼任,是否制定了详细、科学、合理的工作流程,工作流程的设计是否形成有效的内部制约,是否对重大专项经费、重要业务活动制定了管理办法,管理办法是否过时,是否需要重新修订等。