内容摘要：当前，以风险为导向的内部控制审计理念逐步从企业渗透到教育系统。高校内控审计目标是为了促进高校加强管理和提高办学效益。应加强审计基本程序中准备、实施和终结三个阶段的工作，防范了解不全、测试失效和评价不当等审计风险。

关键词：内部控制；审计；初探

无论是拓展审计领域，发展教育审计事业，还是加强高校内部控制制度的建设，提高内部管理水平，开展内部控制审计已显得日益重要。特别是目前高校多渠道筹措资金的办学格局已逐步形成，资金流量大，如何保证会计信息的真实可靠，保护学校的财产安全，有效开展高校内部控制审计，独立、客观、公正地发表审计意见，是摆在我们面前的现实问题。本文从高校内部控制审计的目标定位、基本程序、风险防范三个方面进行探讨。

一、明确高校内部控制审计的目标定位

内部审计的准确定位是监督和服务。监督是审计手段和过程，提供审计服务则是内审的出发点和归宿点。内部控制审计作为高校内部审计的一个重要领域，监督和服务成为其目标定位则亦理所当然，只不过其侧重点在于对高校内部控制制度方面的监督和服务，通过高校内审机构对本单位内部控制的健全性、有效性进行了解、测试和评价，充分发挥其监督和服务职能。实质上高校内部控制审计要明确以监督为基础，以服务为根本的目标定位，即高校内部控制审计要通过监督单位内部控制的健全性和有效性，为内部控制建设服务，为强化管理和科学决策服务，进而促进高校加强管理和提高办学效益。

二、规范高校内部控制审计的基本程序

参照一般审计程序，结合审计工作基本要求，笔者认为高校内部控制审计基本程序也不妨分为三个阶段，即准备阶段、实施阶段和终结阶段。

（一）准备阶段

首先要做好内部控制审计立项工作。内部控制审计可根据年度审计计划进行常规立项，也可根据领导决策或审计工作需要进行临时立项。其次，制订项目审计计划和审计方案。审计组长根据审计单位业务大小、性质重要程度及审计工作的复杂程度制订项目审计计划和审计方案，并报审计负责人审批。项目审计计划应当明确以下主要内容：审计项目和审计范围；重要性和审计风险的评估；审计组构成和审计时间的安排。审计方案应明确以下主要内容：具体审计目的和审计主要内容；审计方式和具体审计方法；审计组成员工作任务及时间的分配。项目审计计划和审计方案需经内审部门负责人批准。项目审计实施审计组长负责制。最后，下达审计通知书。内审部门编制和下达审计通知书，在审计实施前三天送达被审计单位。

（二）实施阶段

首先，审计组进驻被审计单位召开进点会。审计组通过会议或座谈等形式同被审计单位有关人员进行信息沟通和交流，让被审方明确此次审计有关事项，审计人员进一步熟悉被审计单位在内部控制方面情况。必要时对审计方案进行修正。其次，审计人员了解内部控制。现场审计人员收集资料，运用询问、查阅、观察等审计方法，对被审计单位基本情况内部控制环境以及各类业务的内部控制情况进行详细了解，并在相应的《内部控制调查表》中作好审计记录，并对其内部控制的健全性作初步评价，再据此确定内部控制测试的范围和重点。再次，测试内部控制。审计组根据所确定的内部控制测试范围和重点，运用抽样技术抽查部分有代表性的业务活动，采用审查、核对、分析性复核等审计方法对其内部控制设计的合理性和执行的有效性进行测试。内部控制审计的合理性测试主要检查被审计单位的控制政策和程序是否设计合理、适当，能否防止或发现和纠正错弊的发生；内部控制执行的有效性测试主要检查被审计单位的控制政策和程序是否发挥作用。审计组根据测试结果填制相应的《内部控制测试表》，并对其内部控制设计的合理性和执行的有效性作出初步评价。最后，整理审计工作底稿。审计组将实施阶段的审计证据进行收集、汇总，整理好审计工作底稿，组长对其复核后要求被审计单位有关人员在必要的审计工作底稿上签字，审计人员对被审计单位内部控制的健全性和有效性作出综合性的初步评价，并分析是否达到了此次审计的目的，是否还要实施其他必要的审计程序进行补充和完善。

（三）终结阶段

首先，评价内部控制。审计组根据对内部控制了解、测试结果以及作出的初步评价，对被审计单位内部控制的健全性和有效性进行综合分析，形成对内部控制的整体评价。其次，拟定《审计报告》（征求意见稿）及有关审计文书。审计组拟定《审计报告》初稿，报告的内容主要包括：审计概况；被审计单位基本情况；审计结果；审计意见和建议。审计组将《审计报告》（征求意见稿）连同“审计报告征求意见书”送被审计单位征求意见，结合被审计单位提出的合理意见修正《审计报告》和拟订《审计意见书》初稿后一并提交审计部门负责人。再次，出具正式《审计报告》和《审计意见书》（若有违纪违规事项需作出处理的还应下达《审计决定书》）。审计部门负责人审定《审计报告》和《审计意见书》，对有违纪违规事项需作出处理的还应拟订《审计决定书》，并一起报主管校（院）长批示后，将《审计报告》、《审计意见书》及《审计决定书》报送校（院）领导，将《审计意见书》和《审计决定书》发送被审计单位及校（院）属有关单位如财务部门等相关单位）。最后，回访审计执行与落实情况。审计部门就被审计单位对审计建议的采纳和审计意见及审计处理的执行情况进行检查，并对未落实者监督其严格执行。

三、防范高校内部控制审计的几大风险。

从内部控制审计基本程序和关键环节来看，要做好高校内部控制审计必须对以下几大风险进行防范。

（一）防范了解不全风险

对内部控制情况进行了解，是内部控制实施阶段的首要环节，也是对内部控制进行测试的重要前提。因此审计人员对被审计单位内部控制的了解要做到全面彻底。个别审计人员往往会因某些客观因素（程序多、工程量大）和主观因素（图简单省事）而草草了事。这不但违背谨慎性原则，而且影响审计质量，带来审计风险。为了防范这一风险，审计人员必须重点对被审计单位的基本情况、内部控制环境以及各类业务循环的内部控制进行全面了解。对被审计单位基本情况进行了解，审计人员应重点了解：被审计单位的性质；高层管理人员；资产、负债、所有者权益；所属行业；经营业务；组织结构；各机构职能及负责人；职员人数；高层管理人员分管业务及各自职责等。对被审计单位总体控制环境，审计人员应重点了解：高层管理人员对内部控制的态度；高层管理人员从事相关业务年限、相关学历；被审计单位经营管理目标是否明确；是否订有职工行为守则；高层管理者是否重视制度的实际执行；被审计单位以前或目前是否有重大违反财经法规的行为极其高层管理者对此态度如何等。对各类业务循环内部控制，审计人员重点了解被审计单位业务特点及业务流程中关键控制点。

（二）防范测试失效风险

在内部控制测试环节审计人员主要防范测试失效风险。导致测试失效风险，主要由以下因素引起：选定的测试范围不全、重点不准、测试方法不当、抽查的业务缺乏代表性。测试范围不全会遗漏对某些重点内部控制的审计，会使审计失之偏颇；测试重点不准直接影响内部控制测试效率和效果；测试审计方法多种多样，要因事制宜，根据不同业务而方法各异，否则会导致测试失效；抽查的业务缺乏代表性，会因评价不全面而带来测试失效风险。因此，要防范测试失效风险审计人员必须做到测试范围要全，测试重点要准，测试方法得当，抽查业务的代表性要强。

（三）防范评价不当风险

在内部控制审计终结阶段整体评价中，审计人员要防范出现评价不当风险，即健全性评价不当风险和有效性评价不当风险。究其原因，除了由内部控制了解、测试两个环节存在的风险引起外，还会因内部控制系统本身不完善和风险估计水平过高等因素造成。内部控制系统本身不完善，使某些业务活动被置于审计范围之外而疏忽，通常导致内部控制健全性评价不当风险。风险估计水平过高会导致信赖过度风险（β风险），从而造成内部控制有效性评价不当风险。因此，要防范评价不当风险，除了要做好内部控制了解、测试两个环节工作外；审计人员还应从宏观出发，统筹考虑，从各方面调查了解熟悉被审单位业务活动及其需设计的相应的内控系统，并充分利用审计技术对风险水平作出合理估计。

参考文献：

（1）《中国内部审计准则汇编》（2003）中国内部审计协会汇编

（2）《教育系统内部控制审计指南》（2002.11）湖南省教育厅审计处和湖南省教育审计学会编印