医院内部审计资源开展内部控制审计
1重庆市公立医院内部审计机构开展内部控制审计存在的问题与困难
医院内部审计机构设置不完善,审计人员配置不足,人员专业素质不高,难以适应内部控制审计工作量大、专业性强的需求。据调查统计,2016年重庆市二级以上公立医院设置了独立审计机构者仅占65.1%,配备有专职审计人员者占56.6%,审计人员有大专以上学历者占54.2%,认为审计人员数量能基本满足工作需求的医院仅占12.0%[2]。内部控制审计工作量大,占用审计资源多。医院内部控制审计涉及的部门、岗位人员和业务环节多,审计的范围广,时间长。从理论上讲,对控制有效性的测试涵盖的期间越长,提供的控制有效性的证据越多[2]。因此,审计人员实施内部控制审计需要涵盖较长的期间才能获取足够的证据。内部控制审计专业性强,对审计人员的综合素质要求高。审计人员除具备审计专业知识与技能外,还需了解与内部控制业务层面相关的国家法律、规章和制度等,要熟悉医院各部门的规章制度、职责权限和医院的信息管理软件等,同时,还需要具备管理、协调与沟通能力。医院内部审计机构开展内部控制审计者不足50.0%,且审计质量不高。据统计,2016年重庆市二级以上公立医院内部审计机构开展了内部控制审计的单位占43.0%[3],主要存在以下困难:(1)缺乏内部控制审计实施指引。中国内部审计协会至今没有制定有关内部控制审计的实务指南,原卫生部规划财务司编印的《卫生系统内部审计操作指南》第3章只对内部控制的部分项目审计要点进行了阐述,却没有对审计方法和审计流程做出引导。(2)审计人员缺乏内部控制审计的实践经验。审计人员在开展内部控制审计时普遍存在审不明、审不深、审不服的情况[4]。表现为审计范围不全面,审计依据不充分,对内控缺陷认识不足,分不清设计缺陷与运行缺陷,审计结论只触及表面现象,缺乏对问题背后风险控制和内部管理等方面原因的分析与挖掘[5]。存在委托中介机构代替内部审计机构开展内部控制审计的误区。不少医院认为内部审计部门没有能力开展内部控制审计,就委托会计师事务所实施。但内部审计机构和中介机构对内部控制的审计职责是有区别的,相互不能替代。《企业内部控制审计指引》明确要求“注册会计师完成审计工作后,应当取得经企业签署的书面声明”。声明企业已对内部控制的有效性做出自我评价,并说明评价时采用的标准以及得出的结论;企业如果拒绝提供或以其他不当理由回避书面声明,注册会计师应当将ฟ其视为审计范围受到限制,解除业务约定或出具无法表示意见的内部控制审计报告[3]。因此,医院在委托中介开展内部控制审计前必须先由内部审计机构对内部控制的有效性进行审计。
2医院内部审计机构开展内部控制审计的必要性
内部控制审计是内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动(第2201号内部审计具体准则-内部控制审计)。医院内部审计机构开展内部控制审计是职责所在,同时,也是医院实施内部控制必不可少的控制要素。
2.1内部审计是内部控制的重要组成部分
内部审计既是内部控制环境要素的组成,也是内部控制的监督要素,开展内部控制审计是运用内部审计的方式来改善医院内部控制效果[6]。
2.2审计机构是独立于内部控制管理机构的监督机构
按照《审计署关于内部审计工作的规定》的要求,内部审计机构需对本单位及所属单位内部控制及风险管理情况进行审计。通过审计能对单位内部控制管理水平有着一个直观的认识。与此同时,审计信息在一定程度上能对单位不同项目的经济价值与管理形式进行反馈,管理人员通过信息可以对财务活动的专业性与合法性进行确认[7]。
2.3内部审计机构开展内部控制审计是促进单位内部控制建设的必要手段
(1)在内部控制体系的设计与建设过程中提出审计建议。内部审计对医院管理机制和经济活动有充分的了解,在医院内部控制体系建设的过程中能协助内控管理部门开展风险评估,完善医院内部控制的制度ย、岗位职责和流程的设计。(2)在内部控制体系运行过程中开展日常审计,及时发现控制缺陷,提出整改建议。医院的经济活动较复杂,特别是大型医院内部机构和人员岗位多,业务范围广,风险点多,控制难度大。内部审计人员能随时深入到各部门和各业务单元了解内部控制的执行情况。当医院控制环境和经济业务变动时或重要岗位人员对制度与职责疏于执行,内部审计机构能够通过定期测试,及时发现这些变动对内部控制体系的影响,提出整改建议。(3)内部审计能平衡医院的管理成本与效益的关系,提出切实可行的建议。在内部控制建设中的重要性原则是平衡管理成本与效益的原则。内部审计能深入了解医院的资源的配置与战略目标的关系,在审计过程中既要保障对组织效率具有促进作用,还要控制审计工作带来的组织资源的消耗[8],可以提出与目标实施进程匹配,兼顾管理成本与效益的建议。
3医院内部审计机构开展内部控制审计的可行性
医院开展内部控制审计面临的最大的困难是内部审计资源匮乏。但通过科学合理的策划与布局,将内部审计机构具备的优势转化为有效的审计资源,实现与内部控制全过程、全领域、全时段的融合[9],不仅能弥补审计资源不足的缺陷,还能使内部控制审计工作取得显著的成效。
3.1目标协同,相互支撑
医院审计工作的目标与内部控制的目标均是以医院的战略目标为基础的。开展内部控制审计时将审计目标与内部控制目标结合可形成相互支撑、相互促进的有机统一体,共同为医院完善治理、增加价值与实现目标服务。
3.2主动参与,把握先机
审计人员参与内部控制体系的设计与修订,能充分了解内部控制框架中相关制度、职责、内部控制流程图和内控信息化功能与权限设置,既可为开展内部控制审计获取相关信息,又能及时提出审计建议,取得事前审计的成效。
3.3部门协作,资源共享
内部审计在不违背独立性的前提下与其他部门协作开展工作,可充分了解其他部门的工作方式,共享专业人员的知识与技能、缩短工作时间。如开展设备效益审计时可与设备科、财务科共同拟定设备效益分析的方案,选定分析指标与评价标准,然后各司其职,为审计工作提供分析证据与分析结论;开展风险评估时审计部门可协同内部控制管理部门、各业务部门共同实施,通过交叉评价,能理深入地识别风险。
3.4动态检测,持续追踪
审计部门可常态化对被审计单位业务运营进行持续监测,定期进行风险评估和专项分析[10],在内部控制运行过程中追踪控制的有效性,及时提出审计意见与建议,促进内部控制持续有效地发挥作用。
3.5点面结合,合理布局
内部控制审计可以实行日常的审计业务、专项调查与专项审计等业务的整合ส[11]。日常审计应突出重要性与时效性,通过监测内部控制重点环节的运行情况,及时发现控制缺陷,搜集审计证据;专项审计需全面覆盖,对内部控制各个层面进行系统的、全面的评价。利用日常审计与专项调查搜集的证据,可减少专项审计实施的工作量,既弥补了日常审计分散的缺陷,又实现了资源的合理利用。
4医院内部审计机构开展内部控制审计的实践经验
本院是一所市属三级专科医院,审计科只有2名专职审计人员。为有效利用审计资源,本院不断探索开展内部控制审计的方法与实施途径,借鉴行业内的先进经验,通过不断修改完善内部控制审计制度,调整审计方案,创新审计模式,实现了内部控制审计的规范化、系统化、常态化,提高了审计的质量与效率。
4.1明确审计目标,规范审计流程
内部控制审计的目标是对医院内部控制体系设计的合规性和运行的有效性进行评价。审计范围包括内部控制单位层面和业务层面所有的控制要素:(1)围绕内部控制审计的目标与范围,从审计计划的编制、审计项目方案的制定入手,明确年度工作总目标和阶段性工作的具体化,突出审计工作重点,增强计划的科学性[12]。(2)修改完善内部控制审计工作制度,规范内部控制审计的工作方式与工作流程。采取灵活多样的审计工作方式,如日常审计(事前或事中审计)、局部内部控制的专项审计(事中或事后审计)、全面的内部控制专项审计(事后审计)等。为确保审计工作质量,根据审计法规的要求,结合本单位的实际情况,针对不同的审计方式,制定了相应的工作流程与审计工作记录表单与审计意见反馈单。
4.2延展审计时间,扩大审计范围
针对内部控制运行的特点,采取日常审计与专项审计相结合的方式,于经济活动的事前、事中、事后合理布局内部控制审计工作,按重要性原则,分别确定日常审计与专项审计的重点,将审计工作深入到内部控制业务层面的重要控制环节,及时发现问题,提出审计建议,合理保证了医院内部控制有效运行。
4.2.1预算业务控制审计
预算控制包括预算的编制、审批下达、调整、执行、分析与考核、绩效评价等。日常审计的重点为参与预算编制与调整的审查,定期抽查预算的执行。专项审计的重点为预算编制与调整的依据与说明,预算批复与分解下达指标的执行情况、预算分析、预算考核与绩效评价等内容。
4.2.2收支业务控制审计
收支控制包括收入的记账、结算、缴款、欠费管理、收据管理,重大经济事项报批、支出授权审批流程、报销支付依据等;日常审计的重点为定期抽查收费人员缴款、收据稽核、应收账款的清理、重大经济事项的事前报批与支付审批流程;专项审计的重点为收入、支出等管理制度的执行情况,重大收支项目的执行过程与效果,收入与支出核算账目与核算依据等。
4.2.3合同控制审计
合同相关业务占到医院经济业务的80.0%以上,是内部控制审计的重点。合同控制包括对签约事项的立项审批、对合约方的确定方式(采购或指定等)、合同洽谈与审批、合同执行与归口管理等内容。日常审计的重点包括合约项目的立项审批、预算、采购、审核、合同条款的合法合规性等;专项审计的重点为合同的归口管理、合同签审流程、合同执行、变更、补充与纠纷处理、质保与后续服务等。
4.2.4政府采购业务审计
政府采购控制包含了采购预算、采购计划与实施过程等。日常审计重点包括各采购项目的预算与采购计划、采购文件、采购方式与采购过程等。专项审计重点为年度的采购预算与计划的制定与执行情况、采购制度的实施情况、采购档案的保管等内容。
4.2.5资产控制审计
资产控制包括资产的取得、使用、保管、处置等业务环节。日常审计的重点包括每季度抽查现金的收付与盘点、银行存款清理对账,抽查药品、材料物资的入库、领用、盘点与对账等工作的开展情况和信息系统的操作记录,检查应收账款的清理、对账等工作,监督资产处置流程;专项审计的重点包括资产管理制度与岗位人员职责的执行情况,资产的增减变动,贵重资产的取得与处置项目的论证、审批、实施过程,货币资金、固定资产与无形资产的使用效益与管理状况,应收账款的收回周期与坏账损失,固定资产的清查盘点等。
4.2.6建设项目审计
建设项目控制包括基本建设与维修的立项审批、概算、实施过程与竣工结算等。日常审计的重点包括项目的采购、合同签审与执行、设计变更、计价与结算、工程进度、跟踪审计与工程管理等;专项审计的重点包括对基建项目的立项审批、设计、概算、合同执行进度、付款进度、项目竣工决算、建设档案管理等。
4.3创新工作模式,提高审计效率
为有效利用审计资源,借鉴 ϡ行业先进经验,结合医院的实际情况,设计了灵活多样的审计工作模式。
4.3.1多维度交叉审计
当审计对象涉及内部控制单位层面与业务层面的多个控制要素时采用多维度的综合测试,可获得多项控制业务中不同层面的审计证据,取得事半功倍的效果。如审计设备购置合同时涉及单位层面的要素包括决策机制、监督机制,涉及业务层面包括预算控制、采购控制、合同控制、资产控制等。
4.3.2业务链延伸审计
抽查某业务环节上的内部控制时对其上下业务链进行延伸审计,可获取多个业务环节的证据。如抽查库存物资时可延伸抽查采购申请、采购计划、采购方式、合同执行、验收入库、领用出库、库房盘点清查、库存积压、报废物品的处置等业务流程。
4.3.3点面结合审计
开展内部控制专项审计时根据审计目标,将审计对象按照审计作业面进行分类,然后梳理各个作业面的风险点及其内部控制要素,确定审计的重点与审计方法,进行取证确认;将日常审计和专项审计中分散的审计证据进行归类总结,提炼出与审计作业面相关的信息,形成审计要点的证据链,支撑审计作业层面的审计意见。
4.3.4风险导向审计
医疗卫生机构处于高技术、高风险、高难度的行业,任何活动均会带来相应的风险,且种类复杂、专业化程度较深[13],按《行政事业单位内部控制规范(试行)》的规定,医院至少每年组织一次风险评估。本院审计科与内部控制管理办公室及相关职能科室协作开展风险评估。对内部控制单位层面和业务层面的风险进行识别,对风险的影响程度进行评估,形成风险评估报告。根据风险评估的结果确定内部控制审计的重点,识别风险控制的缺陷,提出改进建议。
5小结
通过理论与实践的探索,利用有限的内部审计资源开展内部控制审计的方法与实施途径如下:(1)明确审计目标,规范审计流程。明确目标不走弯路,规范审计方法与流程,保证审计质量与效率。(2)延展审计时间,扩大审计范围。通过日常审计将内部控制的审计时间延长,审计空间放大,达到对经济活动事前、事中、事后审计的有机结合。突出了重点,又实现了全覆盖。(3)创新工作模式,提高审计效率。根据内部控制设计与运行的特征,创新了多维度交叉审计、业务链延伸审计、点面结合审计和风险导向审计等审计模式,通过灵活✯运用多种审计模式,节约了审计资源,提高了审计效率。