淺析高校內部控制基礎性評價

關雪梅 李彩鸚 薛原

1.北京農業職業學院； 2.北京金凱偉業咨詢有限公司

一、評價的基本概況

北京高校從2013年下半年，按照北京市財政局的要求，開始啟動內部控制工作。其核心是風險防控，特別要注意的是所要控制的是風險而不是人，是要把風險控制在一定范圍內，防控經濟風險的發生。內部控制既是制衡機制，也是保護機制，就像機動車的剎車系統，保證單位運行中的經濟安全。

內部控制基礎性評價，是指單位在開展內部控制建設之前，或在內部控制建設的初期階段，對單位內部控制基礎情況進行的“摸底”評價。內部控制基礎性評價，不同于內部控制建設評價，而類同于內部控制建設中的“風險評估”，是內部控制建設工作的重要組成部分，屬于前端和基礎性工作，同時也是內部控制體系不斷完善的基礎。

（一）評價的背景和目的

2008年5月22日，財政部、證監會、審計署等部門聯合發布《關于印發<企業內部控制基本規范>的通知》（財會〔2008〕7號），率先在企業范圍內推廣內部控制規范，提出了與COSO五要素①相銜接的內部控制體系。

圖1：基于COSO五要素的內部控制框架示意圖

2012年11月29日，財政部下發了《關于印發<行政事業單位內部控制規范（試行）>的通知》（財會〔2012〕21號）（以下簡稱《規范通知》），從2014年1月1日起開始實施，該規范明確了內部控制的定義和目標、內部控制原則、內部控制方法等，相關規定要求與基于COSO五要素的內部控制框架基本吻合。單位層面內部控制對應于“控制環境”要素，風險評估對應于“風險評估”要素，業務層面內部控制對應于“控制活動”要素，內部控制體系信息化對應于“信息溝通”要素，“評價與監督”對應于“監督”要素。2016年6月和7月，財政部、北京市財政局先后發布了通知，提出開展內部控制基礎性評價，并明確了的相關要求。

評價能使各單位發現經濟工作中正在運行的制度、程序、措施等存在的問題，對經濟風險實施有效防控。

圖2：內部控制基礎性評價目的示意圖

（二）評價方法

結合內部控制基礎性評價工作的特點及高校實際情況，評價一般采用資料評價、人員訪談、穿行測試等方法開展：

1.資料評價：通過收集內部控制相關的制度規定、各控制環節的簽字單據、申請審批表單等資料，評價單位內部控制要求及實際落實情況。《評價通知》的附件2“行政事業單位內部控制基礎性評價指標評分表填表說明”中，明確指出了各項評價指標打分時應參考的文件記錄，如對權力運行的制約情況指標應查看權利清單及相關制度文件、預算執行差異率可查看財政部門預算批復即單位財務報表等，因此內部控制基礎性評價主要通過資料評價，既檢查相關資料獲取所需信息，且在評價過程中將相關文件作為支撐材料制成資料手冊備查。

2.人員訪談：通過對內部控制關鍵崗位人員進行一對一的訪談，了解各關鍵崗位的人員職責、工作流程、表單交接情況等，評價單位內部控制流程及具體實施情況。在資料評價的基礎上，為了進一步了解單位內部控制體系的現狀，評價工作人員可通過訪談，獲得內部控制體系的第一手資料，更深入掌握單位現行內部控制制度運行有效性的信息。

3.穿行測試：通過模擬核心業務的流程操作，整理核心業務的制度要求、表單流轉、審核審批情況，梳理業務流程，評價發現單位業務控制方面的薄弱環節。評價工作人員可追蹤某項或某幾項業務在流程中如何生成、記錄、處理和報告以及相關控制如何執行，如具體追蹤單位的一項支出如何審批同意支出、同意支出后如何使用、如何報銷、如何在報告中反映等各個關鍵環節及其相關控制如何執行，以此確定流程和控制是否和評價工作人員了解的一致、是否嚴格按制度規定執行、是否存在內部控制缺陷。

二、評價的實質

（一）評價實質是風險評估工作，是內部控制建設的重要組成部分

實際上，評價類似于“風險評估”，找到現行內部控制體系的疏漏，以便有針對性地對薄弱之處進行整改完善，從而有效推動單位該體系建設；此外，單位以后年度需對已建成的內部控制體系進行完善時，亦需進行風險評估②以便摸底內部控制體系的缺陷，從而更好地完善內部控制體系。因此，評價是內部控制建設的規定動作，是財政部門對風險評估內容進行進一步明確和細化。

圖3：內部控制基礎性評價與內部控制體系關系的示意圖

（二）評價工作相較風險評估更豐富，有其獨具的特點

雖然內部控制基礎性評價的實質為風險評估，但仍有其獨有的特點：

第一，評價是為了推動內部控制建設順利開展，因此側重于對單位內部控制建設開展情況進行評價，相比風險評估提出了一些額外要求，如在單位層面評價要點中包括“開展內部控制專題培訓”等內容，要求單位根據國家相關政策、“三定”方案、崗位職責、發展目標等內容進行專題培訓，并通過梳理組織及業務流程進行查漏補缺和流程再造。

第二，從《行政事業單位內部控制規范》篇幅上來看，業務層面控制的篇幅要遠遠多于單位層面篇幅，但是在評價中，單位層面評價共占60分，多于業務層面評價的40分，這實際上也提醒各行政事業單位在根據評價結果開展內部控制建設的過程中，充分重視單位層面控制建設工作，因為單位層面控制通常與單位整體存在廣泛聯系，影響單位各類經濟業務開展，導致單位層面控制的缺陷通常對單位自身的危害會更加重大。

三、評價結果應用和成果報告內涵

（一）評價結果應用—“以評促建”，推動內部控制體系完善

評價是為內部控制建設提供參考和指導，確保內部控制全面覆蓋單位主要經濟活動、彌補現有缺陷。因此，評價完成之后，需要對評價打分結果進行梳理總結，得分較低的方面則是單位內部控制存在缺陷的方面，需進一步對照薄弱環節設計相應的風險控制措施，從而達到以評促建的目的，推動控制體系建設更加完善。

同時，評價的結果還應用于經驗交流和分享，將評價結果進行橫向對比，總結歸納各單位經驗和教訓，方便各單位交流和借鑒其他同類單位有效的內部控制措施，從而更加有效防范經濟風險。

（二）成果報告內涵—明確整改措施，提升控制效果

《評價通知》明確規定，各行政事業單位的內部控制基礎性評價的成果報告為：內部控制基礎性評價報告和內部控制基礎性評價工作總結報告。

在評價報告中，單位應重點說明評價扣分情況，應詳細說明存在扣分的評價指標、評價要點、扣分原因，后續的工作內容、完成時限等，確保單位認真分析內部控制存在的現有缺陷，認真思考提高內部控制水平和效果的措施。評價報告撰寫完成后，應向單位主要負責人匯報，以確保其領導的內部控制領導小組能夠將相關建議落到實處。

另外，內部控制建設實際上是一項永不停止的工作，隨著法律環境、經濟環境等外部環境以及單位組織架構等內部環境的改變，單位需要重新對各類風險進行識別和評估，內部控制也應隨之進行更新和完善。因此，高校應充分重視評價工作，促進內部控制的良性循環發展，有效杜絕廉政風險。

注釋：

①由美國COSO委員會（全國反虛假財務報告委員會發起人委員會）提出，具體包括：環境控制、風險評估、控制活動、信息與溝通、監控等五大要素。

②操作流程可參照內部控制基礎性評價的要求，亦可根據實際情況簡化操作。