PDF原版
将内部控制与审计协同效应运用于事业单位风险管理,对于保证事业单位的财政安全,提高经营效益,有着十分重要的意义。建立健全内部控制制度是防范风险的根本,而内部控制与审计使事业单位的风险管理流程得到进一步的优化,二者的协同效应可以提高风险辨识和响应的时效性和精确性。研究结果显示,内部控制与审计的密切配合,在增强风险管理的透明度与有效性的同时,也可以有效地改善制度、优化程序,从而提高事业单位的治理水平。
随着事业单位发展环境日趋复杂,如何保证事业单位的长远、健康发展,对其内部控制与审计协同效应的风险管理十分必要。内部控制是防范、化解风险的重要工具,发挥着极其重要的作用。而审计则是对内部控制执行的成效进行监控、评价,以保证内部控制措施的有效实施,两者的协同作用使其在风险识别、评价和防控中都能起到重要作用。在复杂多变的市场环境下,我国事业单位迫切需要加强内部控制和审计的有机结合,提高事业单位的综合风险管理水平。
一、事业单位内部控制与审计协同效应在风险管理中应用的意义
(一)风险识别强精准,防控关口前移化
内部控制与审计协同可以突破单个视角的限制,将事业单位业务过程、财务数据和制度规范等多维信息融合在一起,形成更加完善的风险辨识体系。内部控制制度注重程序的设计和实施的监督,通过对采购审批、资金拨付等重要环节进行分析,找出可能存在的缺陷;审计系统侧重于结果确认和遵约审计,能够准确地找出实际执行情况与系统需求之间的偏离程度。二者结合,将风险辨识由“点状排查”提升到“网状筛查”,不仅可以发现合同条款中存在的法律风险,还可以发现预算实施过程中存在的效率风险。比如,在项目启动时,内部控制需要清晰界定资金使用和审批权限,而审计部门根据历史数据进行项目可行性评价,通过双重校验可以有效地规避错误的资源配置,从而将防控的关口由“事后补救”向前推进到“事前预防”。
(二)资源整合提效率,监督成本集约化
内部控制与审计协同作用的发挥可以达到最优的资源分配,内部控制人员可以通过共享风险库来直接调用审计出的问题列表,从而避免重复检查;通过对内部控制程序记录的分析,可以迅速地确定异常交易的关键点,从而缩短资料搜集的时间。同时,在共同进行专项监管的过程中,双方可以进行分工合作,事业单位内部控制负责对程序进行梳理和改进,审计人员则负责对数据进行核实和评估,从而达到“1+1>2”的监管效果,这样的集约管理模式,既可减少各部门的总体监管费用,又可腾出更多的人力物力来开展核心业务,提高事业单位的公共服务效率。
(三)制度完善促闭环,治理能力现代化
加强内部控制和审计的协调,是推进事业单位管理能力现代化的关键。内部控制制度主要是对“三重一大”等事项进行集体决策,以防止滥用职权;对系统的执行效果进行反馈,对系统的执行效果进行评价,并对系统中存在的问题进行改进。二者协同,可以构成“系统设计—实施监测—成果反馈—系统优化”闭环,即通过内部控制提供制度修正意见,并通过审计对其实施效果进行检验,进而将其转化为新制度,从而达到治理水平螺旋提升的目的。比如,针对事业单位在处理过程中存在的任意性,健全事业单位内部控制制度,健全事业单位的注册和报废程序,并对其实施过程进行审计,从而促进事业单位在整个生命周期内构建资产管理体系,提高事业单位的经营管理水平。
二、事业单位内部控制与审计协同效应在风险管理中应用存在的困境
(一)制度衔接存断层,协同机制待完善
事业单位内部控制和审计在制度设计上存在“双轨并行”的特点,即内部控制体系注重业务过程的规范化,而审计体系注重事后监管,二者在目标设置和实施标准上没有深入结合。如在一些事业单位内部控制手册中,规定“三级”的审批,而在审计制度中却没有把这一环节作为一个重要的控制点,从而造成了对合同金额的审计,而忽略审计过程的合规性。制度缺陷也表现在责任划分上,事业单位内部控制把风险防范视为审计的责任,而审计部却把制度缺陷视为内部控制的一部分,“踢皮球”的行为造成了风险防范的空白。
(二)数据壁垒阻共享,技术整合难度高
内部控制和审计需要的数据分布在不同的平台上,如财务系统、业务系统、资产管理系统等,系统之间的界面没有统一的规范,数据的格式也有很大的不同,这给信息的传输造成了很大的障碍。比如,在财务系统中,不能实现与经营系统中的项目进展之间的自动匹配,需要人工对其进行分类,这不仅增加审计人员的工作负担,也容易造成判断错误。在技术集成方面,一些事业单位虽然引进审计软件,但是并没有和内部控制系统进行对接,只能够对财务数据进行分析,而不能获取非结构化的数据,如合同文本、审批记录等,从而制约了对风险的全面辨识。
(三)人才结构显失衡,复合能力存短板
内部控制与审计工作的协调,要求具有专业知识和技能的复合型人才,而目前事业单位内部管理人员存在着“专业而单一”的特点。财会人员具备良好的预算和核算能力,但缺乏相应的审计技巧(例如数据分析);审计员对审计程序和风险评估很熟悉,但是对于一些具体的操作,比如对事业单位采购流程熟悉程度不高,这样的能力缺口造成合作中“懂得业务的人不懂得技术,而懂得技术的人却不懂得业务”,比如审计员在发现一笔不寻常的采购价格时,却因为对市场的不了解而分不清这到底是属于正常的波动,还是存在着利益输送。
三、事业单位内部控制与审计协同效应在风险管理中应用的优化措施
(一)制度筑基强根基,流程重构促协同
优化的方向应该是以制度集成为重点,把审计需求融入到内部控制体系的设计中,比如在事业单位采购体系中设置审计追踪条款,在采购过程的各个环节都要有一个可追踪的电子追踪记录,保证审计员可以根据系统日志来还原工作轨迹。
在制度实施层次上,需要加强刚性约束,防止“制度形同虚设”。可以通过制定系统实施评估机制,把内部控制体系的实施情况纳入部门的绩效评估之中,对于没有按照要求履行预算调整审批程序的部门,在年度评选中实施一票否决。同时,要健全可追踪性,使事业单位内部各个岗位都能承担起内部控制和审计的双重职责,比如,在合同管理方面,合同签署前向审计部进行预审查,不合格的合同就不能进入实施程序,从根源上避免法律风险的产生。
过程重组是实现“协同”落地的关键。在传统的管理方式中,内部控制和内部审计程序是一条直线,内部控制结束后才进行监督,容易造成内部控制的滞后。比如,在资产处置过程中,由内部控制部制定处置准则,由审计部同时介入,对处理方案的合规和经济进行评价,以达到“控制—监管”的双重目的。另外,可以参照事业单位的过程管理(BPM)思想,把内部控制的要求和审计要点转换成一个标准化的过程节点,用信息系统对业务的次序进行强制性的约束,例如,要对报销流程进行审计,然后由财务部门进行审计,最终通过审计系统进行现场检查,从而实现闭环控制。
(二)技术赋能破孤岛,数据贯通提效能
优化的方向应该是以系统集成为重点,通过建立一个统一的数据中台,把分散在各个业务体系中的诸如预算执行等结构性数据和诸如合同文本之类的非结构化数据进行集成,达到“一次收集,多方共享”的目的。比如,通过与差旅费报销系统的对接,实现对报销时间、地点与报销凭证的一致性的实时比对,迅速发现虚报冒领。
技术赋能的前提是数据治理。需要制定一套数据标准,对数据的收集、存储和使用进行规范,比如,资产注册的数据要包括资产的种类、购买日期、使用部门等关键字段,以保证在审计分析过程中数据的可追溯性和真实性。同时,利用密码技术对员工薪酬等敏感信息进行加密保护,使员工只有权限才能看到汇总结果,从而避免数据泄漏。
智能化手段的运用可以极大地提高审计效率。自然语言处理(NLP)可以对合同中的风险条款进行分析,例如,对“超出法律规定的违约金”等非正常条款进行自动识别;图形化数据库可以建立资金流动图,以可视化的方式将资金从预算拨款到实际开支的整个过程展现出来,有助于审计师迅速找到资金滞留的具体步骤;同时,利用机器学习方法构建风险预警模型,通过对历史数据进行训练,对异常交易模式进行识别,比如对在短期内经常进行预算调整的商品,进行预警,大大提高风险防范的时效性。
(三)人才融合铸双能,团队重构强支撑
优化的方向应该是:以“业务+技术”的双轨训练体制为重点,提高整个队伍的综合素质。比如,对财务人员进行定期的数据分析训练,掌握SQL查询和Python编程等技巧,从而能够独立抽取商业数据用于分析;同时,事业单位组织内部控制与审计人员到各部门进行轮岗,使其对预算和事业单位采购等核心业务过程有更深层次的理解,提高对风险的辨识能力。
要突破部门之间的界限,组建跨功能的协作小组,实现团队的重组。借鉴“项目制”的管理方式,建立内部控制专员、审计员和业务骨干组成的联合工作组,确定每个成员在工程中的角色和责任。比如,在进行经济责任审计的时候,内部控制专员会对被审计单位的制度缺陷进行梳理,而审计员则会利用数据分析工具进行异常交易的确认,而业务骨干则会根据行业标准进行比对,三方共同努力,最终得到一个立体的审计结论。
只有建立健全的激励机制,才能充分调动人才的积极性。构建一套与协同效果相结合的评估机制,将团队成员在不同部门间合作中的作用纳入到绩效评估中,比如,对于在审计过程中积极参与的内部控制人员,给予相应的奖励,对于那些建议采取创新审计方式的,则给予物质上的激励。与此同时,要畅通职业发展通道,为复合型人才在管理和技术两个方面建立双通道的晋升渠道,防止“能者上不去,庸者下不来”的局面,并在保留人才和提高能力的基础上,不断增强内部控制和审计之间的协作。
四、结语
总之,内部控制和审计之间存在着相互发展、相互制约的关系,两者密切协作,使事业单位的风险辨识、分析和反应能力得到较大提升,从而保证事业单位风险的全方位和实时性。在今后,事业单位要进一步推进两者在风险管理方面的结合,提高事业单位的总体经营水平与可持续发展能力。
(作者:许悦 单位:广东省地质局惠州地质调查中心)
