第三章 建设项目内部控制与风险管理审计
建设项目内部控制与风险管理审计,是指内部审计机构对建设项目管理机构内部控制设计和运行的有效性,以及对项目在工期、质量、安全、成本、环境等各类风险的管控情况进行的审查和评价。
第一节 建设项目内部控制审计
一、业务概述
内部控制包括内部环境、风险评估、控制活动、信息与沟通、内部监督等五要素。对于建设项目管理机构(主要指业主方)而言,这些要素应涵盖以下内容:
(一)内部环境
建设项目管理机构内部环境包括项目治理结构、机构设置及权责分配、人力资源政策、项目团队文化建设等内容。良好的内部环境能够促进权责分明,提升效率,和谐合作。
(二)风险评估
建设项目风险评估是项目建设活动应当持续开展的工作,特别是项目工期和质量的风险,需要结合每一项建设行为的开展加以评估并与预定目标比较,以便合理确定风险应对策略。建设项目投资控制风险一般采取定期评估或合同结算里程碑结点评估的做法。
(三)控制活动
建设项目管理机构应当根据工期、质量、投资控制风险评估结果,采用调整资源投入、更换建设队伍、设计变更、调整结算方式等相应的控制措施,将风险控制在可承受度之内。
(四)信息与沟通
建设项目管理机构应当及时、准确地收集、传递与项目管理控制相关的信息,包括建设市场供求信息、建筑材料价格信息、建设项目所在地政策信息、地理环境和气候信息等,并确保信息在项目内部、业主与参建单位之间进行有效传递。
(五)内部监督
内部监督是建设项目管理机构对项目自身内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,及时加以改进。主要手段包括项目审计、项目质量验收和定期不定期抽检、项目安全管理检查、标底和结算等工程造价审核等。
二、审计目标和内容
(一)审计目标
1. 内部环境
主要审查评价项目机构是否健全、不相容职责是否恰当分工;机构人员配备是否齐全,专业是否齐备;工作流程是否覆盖了建设项目前期论证、设计、施工、验收等各主要业务环节。建设项目管理机构与各参建单位的管理体系是否衔接等。
2. 风险评估
主要审查评价项目是否具备工期、质量、投资风险评估机制。对工程进度情况是否对照施工组织计划开展定期考核评估;是否制定了隐蔽工程和关键部位工程质量验收和不合格工程返工整改机制,对工程质量开展定期抽检;是否开展项目经济活动分析或概算执行情况比对等投资控制措施。
3. 控制活动
主要审查评价项目是否针对风险评估设置了响应机制。如工程质量修补是否跟进检测,施工组织计划调整是否落实到具体措施,单项工程投资超概算是否制定并落实了投资控制措施等。
4. 信息与沟通
主要审查评价项目是否安排信息收集任务并反馈到各相关部门。要检查项目各类报表报告等信息报送流程是否完善,信息质量是否符合规定,是否及时传递到需求部门。
5. 内部监督
主要审查评价项目管理机构是否制定了内部审计、定期检查和造价审核等相关制度。包括检查工作是否深入项目现场,结合项目实际,是否覆盖项目管理主要方面等。
(二)审计内容
建设项目内部控制和风险管理审计的主要内容包括:对建设项目管理机构合同控制、资金控制、进度控制、质量控制、安全控制等各项内部控制体系设计与运行的有效性进行审查和评价,对建设项目在各个阶段面临的主要风险进行识别和控制的有效性进行确认。包括:
1. 对建设项目内部环境进行审查,包括对建设项目管理机构的组织架构设立是否符合项目管理需要,对职责分工与授权批准体系建立情况进行审查,包括重点分析各关键不兼容职责是否在不同部门、不同岗位、不同人员分离设置,并设置了防火墙等。典型的不相容职责应当包括项目建议和可行性研究与项目决策、概预算编制与审核、项目实施与价款结算,工程款结算与支付、工程结算和决算编制与审计等。对是否组建了满足项目建设管理需要的人力资源,是否建立了适应建设工程管理的文化等进行审查和评价等。
2. 对建设项目风险评估进行审查,包括对建设项目前期评审、勘察设计、工程施工、初步验收等过程中的风险识别、风险分析、应对策略等措施是否存在,安排是否完善,是否得到执行进行审查和评价。
3. 对建设项目控制活动进行审查,包括以建设项目合同执行、投资完成、工程结算、资金拨付为主线,对各个业务循环所制定的管理制度进行梳理,评价各项具体建设活动控制措施的设计和运行的情况,发现并提示可能存在的管理失控风险。
4. 对信息与沟通进行审查,包括关注建设项目工程图纸等文件中包含的设计信息,施工组织方案和施工日记等文件中包含的施工过程信息,材料设备存储收发和检验检测文件中包含的物资管理信息,工程管理统计等工作中形成的投资信息,会计账目报表等文件中包含的财务信息等信息,以及信息收集、传递的真实性、完整性和及时性,并对不同信息系统产生的信息进行相互印证,对信息系统安全性、有效性进行审查和评价。
5. 对内部监督进行审查,包括将建设项目建立的内部控制制度、风险管理制度与项目物资进场检验、隐蔽工程验收、监理、质检等工作程序相结合,对建设项目内部监督机制的有效性进行审查和评价。
6. 开展建设项目内部控制和风险管理审计时,审计人员应当深入了解被审计建设项目的情况,审查和评价各项建设活动及项目管理机构内部控制、风险管理的适当性和有效性,并关注建设项目勘察、设计、施工、供货、监理、咨询等各参建单位各项建设行为开展情况及其对建设项目内部控制、风险管理的影响。
7. 在开展建设项目内部控制和风险管理审计时,审计人员应当关注被审计单位业务活动及内部控制、风险管理中的舞弊风险,协助组织预防、检查和报告舞弊行为。
三、审计程序和方法
建设项目内部控制审计通常与其他审计内容结合进行。其中,内部控制测评是内部控制审计的主要组成部分。
审计人员进行内部控制测评,一般分为四个步骤:
一是调查了解内部控制,并做出相应记录;
二是对内部控制进行初步评价,评价控制风险;
三是实施内部控制测试;
四是对内部控制进行再评价。
(一)调查了解内部控制,并做出相应记录的程序和方法
1. 询问。询问项目管理人员,多采用面对面访谈、电话沟通等口头方式进行,也可以采用调查问卷。
2. 检查。通过审查和翻阅建设项目相关文件、报告、项目管理制度或手册、信息系统的技术文档和操作手册等,对建设项目内部控制进行了解。
3. 观察。在项目建设现场,通过观察项目建设活动及其安全、质量等有关内部控制的执行情况,加深对项目内部控制的了解。
4. 追踪业务的处理过程。常用于工程投资控制活动中,工程结算环节的控制测试。审计人员可以通过追踪一笔或者多笔工程结算的处理过程,了解建设项目投资的控制环节,或印证已经取得的对内部控制的了解是否正确。此外,这种方法还可能获取部分内部控制运行有效性的审计证据。审计人员对于被审计单位内部控制的调查结果,应该以书面形式记录或描述出来。常用的方法有文字说明法、调查表法和流程图法。
(二)对内部控制进行初步评价,评价控制风险的程序和方法
审计人员在完成了对建设项目内部控制的调查了解之后,要对内部控制做出初步评价,以确定相应的审计应对措施。
初步评价的内容包括健全性和合理性两个方面:
1. 健全性评价。主要评价应有的控制环节是否设置齐全。主要是回答控制“有没有”的问题。
2. 合理性评价。主要评价内部控制的设计是否合理,有无多余的和不必要的控制。主要是回答控制“好不好”的问题。
审计人员经过初步评价,认为存在下列情形之一的,应当测试相关内部控制的有效性:一是某项内部控制设计合理且预期运行有效,能够防止重要问题的发生。二是仅实施实质性审查不足以为发现重要问题提供适当、充分的审计证据的情况。
审计人员决定不依赖某项内部控制的,可以对审计事项直接进行实质性审查。被审计建设项目规模较小、业务比较简单的,审计人员可以对审计事项直接进行实质性审查。
(三)如果决定依赖内部控制,实施内部控制测试的程序和方法
内部控制测试是为了确定内部控制设计和执行的有效性而实施的审计程序。它是在调查了解内部控制设计状况的基础上,对其执行的有效性进行的测试,因此,也常被称为遵循性测试。
1. 内部控制测试的方式
内部控制测试可以采取两种方式:
一是业务程序测试(简称业务测试),即选择若干具体的典型业务,沿着业务处理过程检查业务处理程序中的各项内部控制是否得到执行。这种测试常被看成是一种纵向的内部控制测试。
二是功能测试,即针对某项控制的某个控制环节,选择若干时期的同类业务进行检查,查明该控制环节的处理程序在被审计期内是否按规定发挥了作用。这种测试常被看成是一种横向的内部控制测试。
2. 内部控制测试的范围
内部控制测试范围越大,提供的证据就越充分。但建设项目内部控制测试的范围并不是越大越好,要受到审计效率和审计成本的制约,并要准确把握内部控制测试工作量和实质性测试工作量的关系。
3. 内部控制测试的方法
审计人员可以通过检查、询问、观察、重新操作等方法来测试建设项目内部控制是否得到有效执行。
(四)对内部控制风险水平进一步评价的程序和方法
在初步评价的基础上,根据内部控制测试的结果对控制风险水平做出进一步评价,以确定完成建设项目审计工作所需执行的实质性审查的范围和重点。
控制风险的水平,可以用高、中、低三个等级来定性表示,也可以将控制风险量化为百分比来表示。
1. 低控制风险。建设项目内部控制健全且执行情况良好时,可认为控制风险较低。审计人员可以较多地依赖、利用内部控制,并相应减少结算审核、工程质量抽检等实质性审查的数量和范围。
2. 中等控制风险。建设项目内部控制比较健全,尚存在一定的薄弱环节或缺陷时,可认为存在中等控制风险。审计人员应有保留地信赖该内部控制。为减少审计风险,应扩大实质性审查的深度和广度,适当增加对工期控制措施、合同结算工作、工程质量局部抽检的数量和范围。
3. 高控制风险。建设项目内部控制设计不健全,或虽设计了良好的内部控制系统,但却未予有效执行,从而导致项目和会计资料大部分失控的,可认为控制风险较高。在这种情况下,审计人员无法信赖该单位的内部控制。通常应对工程主要部位开展无损质量抽检,对大额工程结算开展重点审核,对变更签证项目开展全面审计,以获得支持审计结论的足够证据。
采用百分比对控制风险进行描述时,若审计人员认为内部控制完全不能预防或发现错误,可将控制风险定为 100%。内部控制越有效,控制风险就越低。
第二节 建设项目风险管理审计
一、业务概述
风险是人们因对未来行为的决策及客观条件的不确定性,而可能引起的后果与预定目标发生多种负偏离的综合。作为损失发生的不确定性,风险是不以人们的意志为转移并超越人们主观意识的客观存在。
建设项目周期长、规模大、涉及范围广,因而面临的风险相对较多且种类繁杂。在工程建设过程中,风险是普遍存在的。风险管理是建设项目管理中不可或缺的重要环节。
项目建设过程中存在的不确定因素主要来自两方面:第一,建设工程本身无法确定的因素,如建设工程施工技术的高低、所用建筑材料质量的好坏以及所在地地质条件的不同等原因,引起的不可预见的问题给建设工程施工过程中所带来的一些障碍和干扰因素;第二,建设工程外部无法抗拒的、不可预见的因素,主要包括自然环境风险,以及人文方面(诸如物价、政府部门、国家政策、合同风险转移等)的风险。
建设项目风险管理的目标是将因风险带来的经济损失最大限度地降低,所以要正确认识和识别风险,提前制定相应的防范措施,进行有效风险管理。
建设项目风险主要来自四个方面:设计及施工技术、自然环境、政治经济以及社会、合同方面的风险。
(一)设计及施工技术方面的风险
工程建设的核心是工程设计。如果设计上存在不合理或者结构不完善,必然会给工程建设带来不可避免的经济损失。如施工中发现设计不完善,可能需要进行大量的变更设计以致后续发生工程索赔。如竣工后发现设计不合理,则会导致工程使用寿命、效果或安全性受到重大限制。
(二)自然环境方面的风险
各种自然灾害都有可能给工程建设带来风险,例如来自气象灾害的(台风、雷电、寒潮等),来自自然灾害的(洪水等)以及建设工程本身所在复杂的地质条件、所在地恶劣的气候条件、工程建设过程中对周围环境施加的影响等,都是工程建设施工阶段潜在的风险因素。对这些必然存在的风险,应有恰当的管理措施。如果招标人员在制定招标文件时没有充分考虑分析上述各种因素,或者对那些来自自然的不可抗拒影响的级别没有加以限定,更容易给工程建设和施工阶段带来风险。
(三)政治经济及社会方面的风险
由于工程建设本身的复杂性以及建设周期长等特点,工程建设和施工阶段会受到政治经济及社会各种因素变动带来的风险。工程延期使得招标人要承担工期延误及工程延期索赔的双重风险。
(四)建设项目合同方面的风险
建设项目风险管理的依据主要是工程合同,合同的缺陷会给项目建设带来难以规避的风险。项目的管理者起草合同文件时应当具备强烈的风险管理意识。合同的每一个条款都要从风险管理和风险分析这两个角度进行研究。
建设项目管理者要努力识别上述四个方面的风险,并采取强有力措施来最大限度降低因这些不可避免风险带来的各种经济损失。运用风险管理方法,系统地研究和分析施工中常见的风险,提高危机意识和防范意识;采用正确的风险预测、有效进行风险防范,控制各种隐患、预测施工风险、降低经济损失。
二、审计目标和内容
(一)审计目标
建设项目风险管理审计的主要目标,是协助组织和建设项目高级管理层评估现有风险管理措施的不足,通过发现并评价重要风险,协助高级管理层在项目建设周期内提升风险管理能力,进而最大限度地识别风险、应对风险,并将管理风险的成本降至最低。
(二)审计内容
1. 项目建设管理机构对项目建设过程中出现未曾预料的新情况是否制定了风险预案,是否安排了足够资源来实施风险管理手段和措施。
2. 针对建设项目某些必须限时实现的目标,项目管理机构是否做好了资源调配冗余安排,对不利因素考虑是否充分。
3. 对项目建设出现转折点或提出重大设计变更时,项目风险应对方案是否合理,实施是否及时到位,结果是否在可控范围内。
4. 对边科研、边设计、边施工、边修改以及采用新技术的建设项目,项目是否针对不利因素做出了风险控制安排,是否能保证建设目标总体实现。
5. 对某一时段投入资金数额较大的项目,项目资金流安排是否顺畅,有无存在资金缺口导致支付困难的风险。
6. 对政府有关政策发生重要调整的建设项目,要关注项目建设安排是否会受到重大影响,项目进度是否可能严重滞后,是否存在调整设计和施工方案达成建设目标的可能。
7. 可能对社会产生影响的敏感问题,如环保政策、资源配置等,要重点关注项目是否做出充分考虑和安排,是否安排专门预算,是否聘请了专业机构和人员实施管理。
三、审计程序和方法
建设项目风险管理审计通常与其他审计结合进行,此处不再说明审计程序和方法。