工程项目内部控制设计评价及审计实务

 工程项目也称建设项目，一般是指在一个总体设计或总预算范围内，由一个或几个互有内在联系的单项工程组成，建成后在经济上可以独立经营、独立核算，在行政上可以统一管理的工程单位。
    《企业内部控制应用指引第11号——工程项目》(以下简称《11号应用指引》)第二条规定：“本指引所称工程项目，是指企业自行或者委托其他单位所进行的建造、安装活动。”本指引定义的工程项目，是指企业根据经营管理需要，自行或者委托其他单位进行的建造、安装活动，其目的是形成新的固定资产或维护、提升既有固定资产性能。
    工程项目内部控制，是指企业为提高建设资金使用效益，防范工程项目各个环节的差错与舞弊，提高工程质量，结合企业工程的特点和管理的要求而制定的内部控制制度与程序等。
    工程项目，尤其是重大工程项目往往体现企业发展战略和中长期发展规划，对于提高企业再生产能力和支撑保障能力、促进企业可持续发展具有关键作用。同时，工程项目一般工期相对较长、投资数额较大，专业技术要求较高，如不加强管理和控制，往往容易发生舞弊行为。事实上，由于工程项目投入资源多、占用资金大、建设工期长、涉及环节多、多种利益关系错综复杂，已经构成了经济犯罪和腐败问题的“高危区”。现代工程项目规模越来越大，技术越来越复杂，风险同样也在增大。因此，工程项目内部控制日益为项目管理人员所重视。为了保证工程项目顺利进行，实现工程项目规范管理目标，提高单位资金使用效益，防范决策失误及防止舞弊行为，有效杜绝工程项目的盲目建设、工程招投标程序不规范、工程超预算、或任意扩大范围、提高标准、工程预决算高估冒算、擅自挪用、拆借、转移项目资金等问题的发生，加强工程项目的内部控制具有重要意义和作用。
    一、工程项目内部控制设计
    工程项目内部控制设计是对工程项目实施有效内部控制的首要步骤，是工程项目内部控制实施、评价和审计的基础。
    工程项目内部控制设计需要企业根据国家内部控制基本规范及配套指引等的要求，结合企业生产经营的实际需要，建立和完善工程项目各项管理制度，全面梳理各个环节可能存在的风险点，规范工程立项、招标、造价、建设、验收等环节的工作流程，明确相关部门和岗位的职责权限，做到可行性研究与决策、概预算编制与审核、项目实施与价款支付、竣工决算与审计等不相容职务相互分离，强化工程建设全过程的监控，确保工程项目的质量、进度和资金安全。
    一般而言，工程项目内部控制设计包括以下内容：
    (一)描述现状
    描述现状，就是梳理工程项目方面的内部管理制度或相关文件，梳理工程项目现状业务流程，编制工程项目内部管理制度或相关文件情况表、资金工程项目业务流程目录、绘制工程项目业务流程图等工程项目内部控制设计的基础性工作。这是工程项目内部控制设计实施阶段的首要环节。不论企业大小，因为工程项目的重要性，都会有些工程项目管理制度或文件，内部控制设计者必须认真梳理。在梳理工程项目管理制度和业务流程现状的基础上，设计者根据内部控制设计的要求，编制工程项目业务流程目录，绘制工程项目业务流程图。
    本阶段设计工作成果是编制《工程项目内部管理制度或相关文件情况表》、《工程项目流程目录》、《工程项目业务流程图》。
    企业工程项目业务到底包括哪些，这因工程项目内容的不同而不同。工程项目涵盖的内容较多，包括新建、改建、扩建、迁建、恢复工程及与之相联系的其他经济活动。总体上来说，工程项目按其实施过程一般可以分为决策阶段、设计阶段、实施阶段、竣工阶段和项目后评价阶段。《11号应用指引》将工程项目业务流程界定为企业工程立项、工程招标、工程造价、工程建设、工程验收等活动。我国企业在工程项目内部控制设计时，应将工程项目业务范畴统一到指引的要求上来。当然，企业工程项目复杂多样，工程项目内部管理制度、业务流程千差万别，因此，本阶段的设计在总体上体现指引要求的基础上，在具体的业务流程的设计上一定要体现不同企业工程项目的自身特点，不能简单照抄照搬。依据“中天恒3C框架”理论，企业工程项目业务流程应包括以下基本控制环节：
    (1)工程项目决策。工程项目决策过程分为项目建议书、可行性研究、项目决策三个阶段，建设单位应在这三个阶段建立相应的内部控制。
    (2)勘察设计。建设单位应当建立相应勘察设计单位选择程序和标准，择优选取具有相应资质的勘查设计单位，并签订设计合同。重大工程项目应采用招投标方式选取设计单位。严禁建设单位委托无证或不具备相应资质的单位承担工程设计。
    (3)概预算控制。建设单位应当建立合理的概预算程序与制度，实现对工程项目造价的控制。概预算编制口径的确定应当考虑固定资产核算的要求。
    (4)招投标。建设单位应当根据招标项目的特点和需要自行或委托相关机构编制招标文件，明确招标项目的技术要求、对投标人资格审查的标准、投标报价要求和评标标准等所有实质性要求和条件以及拟签订合同的主要条款。招标文件中关于审查投标人资格的财务标准和投标报价要求等内容须经过建设单位会计机构或人员的认可。
    (5)合同控制。建设单位应当依据《合同法》的规定，分别与勘察设计单位、监理单位、施工单位及材料设备供应商订立书面合同，明确当事人各方的权利和义务。
    (6)施工过程控制。施工过程控制包括工程质量施工合同的执行、施工款项的拨付、工程质量、投资、进度控制、施工费用管理等内容，建设单位应依据项目自身的特点及管理要求建立相宜的内部会计控制制度。
    (7)竣工验收。建设单位会计机构或人员在工程竣工后，应及时开展各项清理工作。主要包括各类会计资料的归集整理、账务处理、财产物资的盘点核实及债权债务的清偿，做到账账、账证、账实、账表相符。
    (8)监督检查。建设单位应当建立对工程项目业务的监督检查制度，明确监督检查机构或人员的职责权限，定期和不定期地进行检查。
    (二)风险评估
    工程项目风险，是指工程项目在可行性研究、设计、施工等各个阶段可能遭到的风险。工程项目风险评估的基本程序：一是识别工程项目风险，并进行具体描述。二是分析工程项目风险，编制工程项目风险分析表。三是评价工程项目风险，编制工程项目风险评价表。四是确定工程项目风险应 对策略。五是提出工程项目重大风险解决方案。在实践中，工程项目风险分析及其评价是合在一起进行的。工程项目重大风险解决方案要看企业是否需要，在工程项目内部控制设计完成后单独进行。
    本阶段设计工作成果是编制《工程项目风险及其描述表》、《工程项目整体层面风险清单》、《工程项目风险分析表》、《工程项目风险评价表》、《工程项目风险应对策略表》、《工程项目风险解决方案》等。
    (三)识别并描述工程项目风险
    评估工程项目风险，首先要把工程项目业务具体风险识别出来，然后整理出整体层面的风险。企业工程项目具体风险是多种多样的，也因企业的不同而不同。按照《11号应用指引》要求，在评估工程项目风险时，设计人员至少应当关注下列风险：一是立项缺乏可行性研究或者可行性研究流于形式，决策不当，盲目上马，可能导致难以实现预期效益或项目失败。二是项目招标暗箱操作，存在商业贿赂，可能导致中标人实质上难以承担工程项目、中标价格失实及相关人员涉案。三是工程造价信息不对称，技术方案不落实，概预算脱离实际，可能导致项目投资失控。四是工程物资质次价高，工程监理不到位，项目资金不落实，可能导致工程质量低劣，进度延迟或中断。五是竣工验收不规范，最终把关不严，可能导致工程交付后存在重大隐患。
    依据“中天恒3C框架”理论，笔者认为，我国企业应重点识别以下工程项目风险：工程项目违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失；工程项目未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致资产损失；工程项目决策失误，可能造成企业资产损失或资源浪费；工程项目概预算编制不当和执行不力，可能造成工程项目建造成本的增加；工程项目成本失控，可能造成企业经营管理效益和效率低下；工程项目会计处理和相关信息不合法、不真实、不完整，可能导致企业资产账实不符或资产损失等方面的风险。
    (四)分析并评价工程项目风险
    工程项目风险分析的内容很多，一般应从成因和结果两个方面进行，并编制工程项目风险分析表。
    工程项目风险评价应从可能性和影响程度两个维度进行，根据评价结果进行风险排序、划分风险等级，并编制工程项目风险评价表。
    中天恒3C框架认为识别出工程项目风险以后，就需要对工程项目风险进行评估，考查风险发生的频率、衡量风险可能造成损失的程度，明确企业准备承受的最大损失，即承受能力。具体应把握以下几点：
    一是风险事件发生的概率。风险事件发生的概率和概率分布是风险估计的基础。因此，风险估计的首要工作是确定风险事件的概率分布。一般而言风险事件的概率分布应由历史资料确定，这样得到的即为客观概率。当项目管理人员没有足够的历史资料表确定风险事件的概率分布时，可以利用理论概率分布进行风险估计。由于项目管理活动独特性很强，项目风险来源彼此相差甚远。因此，项目管理班子成员在许多情况下只能根据样本个数不多的小样本对风险事件发生的概率进行估计。对有些新项目，是前所未有的，根本就没有可利用的数据，项目管理人员只能根据自己的经验预测风险事件的概率或概率分布，这即为主观概率。
    二是风险事件后果的估计。风险事故造成的损失大小要从三个方面来衡量：损失性质、损失范围和损失的时间分布。损失性质是指损失是属于政治性的、经济性的还是技术性的。损失范围包括：严重程度、变化幅度和分布情况。严重程度和变化幅度分别用损失的数学期望和方差表示。损失的时间分布对于项目的成败关系极大。数额很大的损失如果一次就落到项目头上，项目很有可能因为流动资金不足而破产，永远失去了项目可能带来的机会；而同样数额的损失如果是在较长的时间内分几次发生，则项目班子容易设法弥补，使项目能够坚持下去。损失这三个方面的不同组合使得损失情况千差万别，因此，任何单一的标度都无法准确地对风险进行估计。在估计风险事故造成损失时描述性标度可操作性最强，费用最低；定性次之；定量标度最难、最贵、最耗费时间。
    三是等风险量图。风险的大小不仅和风险事件发生的概率有关，而且还与风险损失的多少有关。评价风险的大小，常用等风险量图表示。
    四是风险估计的不确定性。风险估计本质上是在信息不完全情况下的一种主观评价。因此，进行风险估计时有两个问题要注意：第一，不管使用哪种标度，都需要有某种形式的主观判断，所以风险估计的结果必然带有一定程度的不确定性；第二，计量本身也会产生一定程度的不确定性，项目变数(如成本、进度、质量、规模、产量、贷款利率、通货膨胀率)不确定性程度依赖于计量系统的精确性和准确性。
    (五)选择工程项目风险的应对策略
    工程项目风险应对是根据风险评价的结果，针对不同等级风险选择工程项目风险应对策略的过程。一般控制风险的策略有：
    1.减轻风险。减轻风险的目标是降低风险发生的可能性或减少后果的不利影响。具体目标是什么，则在很大程度上要看风险是已知的，可预测的，还是不可预测的。对已知的风险，项目管理者可在很大程度上加以控制。例如，若已发现工程进度出现了滞后的风险，则可以通过压缩关键线路上活动的时间，改变活动的逻辑关系等措施来减轻工程项目的风险。不可预测的风险是项目管理人员难以控制的风险，直接动用项目资源一般难以收到好的效果，必须进行深入细致的调查研究，减少其不确定性和潜在损失。
    2.预防风险。工程项目风险预防通常采用有形和无形的手段。在有形手段中，常以工程措施为主。如，在修山区高速公路时，为防止公路两侧高边坡的滑坡，可以采用锚固技术固定可能松动滑移的山体。
    3.转移风险。转移风险的目的不是降低风险发生的概率和不利后果的大小，而是借用合同等手段，在风险一旦发生时将损失的一部分转移到第三方身上。
    4.回避风险。回避风险(Avoidance Risk)是指当工程项目风险潜在威胁发生可能性太大，不利后果也太严重，又无其他策略可用时，主动放弃项目或改变项目目标与行动方案，从而规避风险的一种策略。如承包商通过风险评价后发现投某一标中标的可能性较小，且即使中标，也存在亏损的风险。此时，其就应该放弃投该标，以回避亏本的经济风险。
    5.自留风险。有些时候项目管理者可以把风险事件的不利后果自愿接受下来，即为自留风险。自愿接受风险，又有主 动和被动之分。在风险管理计划阶段已对一些风险有了准备，所以当风险事件发生时，马上执行应急计划，这是主动接受。如在水电工程施工导流设计中，对可能出现的超标准洪水一般有对策措施，当这种超标准洪水出现时，采取相应措施就能消除风险。被动接受风险是指当风险事件造成的后果不大，不会影响大局时，项目管理者列支了一笔费用，以应付之。如对材料涨价的风险，一般项目上均准备有一笔费用来对付。
    6.后备措施。有些风险要求事先制定后备措施。一旦实际进展情况与计划不同，就动用后备措施。后备措施主要包括预算应急费和技术后备措施。
    预算应急费是一笔事先准备好的资金，用于补偿差错、疏漏及其他不确定性对工程项目费用估计精确性的影响。
    技术后备措施是专门为应付工程项目的技术风险而预先准备好的时间或一笔资金。准备好的时间主要是为应付技术风险造成的进度拖延；准备好的一笔资金主要是为对付技术风险提供的费用支持。
    (六)工程项目风险数据库或绘制风险图谱
    依据工程项目风险评估的结果编制工程项目层面的风险数据库或绘制风险图谱。工程项目层面数据库基本要素包括业务流程、风险描述、风险分析、风险排序、应对策略、剩余风险等，也可以加上内部控制设计完成后控制措施、控制部门或岗位等等。风险图谱一般适用于公司层面的风险描述。
    二、工程项目内部控制评价实务
    工程项目内部控制评价是内部控制评价业务层面的重要内容之一，是对工程项目内部控制设计及运行有效性的评价。因此，加强工程项目内部控制评价工作，有利于促使企业建立健全和有效执行工程项目内部控制，从而有效控制工程项目风险，促进企业可持续发展。
    (一)评价目标
    工程项目内部控制评价目标，就是保证工程项目内部控制设计和运行的有效性，促使企业预防和控制工程项目风险。
    (二)评价依据
    工程项目内部控制评价依据是国家关于工程项目管理方面的法律法规，企业制定的工程项目管理制度及其《企业内部控制手册》有关工程项目部分的内容。具体依据因评价单位的不同而有所不同。一般来说，涉及国家法律法规层面的工程项目内部控制评价依据包括《企业内部控制基本规范》、《企业内部控制应用指引第11号——工程项目》等。涉及评价单位层面的工程项目内部控制评价依据包括《工程项目管理制度》、《工程项目授权制度和审核批准制度》、《工程项目的岗位责任制》等。在编制了《企业内部控制管理手册》的企业，该手册中的工程项目内部控制矩阵既是工程项目内部控制评价的对象，也是最为直接的依据。
    (三)评价内容
    评价工程项目内部控制的设计和运行的有效性，包括过程和结果两个层面，具体评价范围包括工程立项、工程招标、工程造价、工程建设、工程验收等主要工程项目业务。具体评价内容因评价单位开展工程项目业务情况的不同而不同，也因被评价单位内部控制成熟度的不同而不同。
    三、工程项目内部控制审计实务
    工程项目内部控制审计，是对被审计单位工程项目内部控制设计与运行的有效性的审查和评价活动，对促使被审计单位加强工程项目内部控制建设，防范工程项目风险具有重要意义。
    (一)审计目标
    工程项目内控审计目标，就是保证工程项目内部控制设计和运行的有效性，促使企业预防和控制工程项目风险，具体包括：(1)证实工程项目管理内部控制是否建立、健全并有效执行；(2)证实各项工程项目业务是否合法、合规等。
    (二)审计依据
    工程项目控制审计依据除了国家关于工程项目管理方面的法律法规，企业制定的工程项目管理制度及其《企业内部控制手册》有关工程项目部分的内容外，还应包括国家、行业协会、被审计单位有关审计方面的规范及标准等。
    (三)审计内容
    工程项目内部控制审计内容，因审计主体、审计要求及其审计方式的不同而不同。采用传统的全面审计方式，工程项目内部控制审计是审查和评价工程项目内部控制设计和运行的有效性的两个方面，范围包括工程立项、工程招标、工程造价、工程建设、工程验收等业务。采用现代以风险为导向审计方式，审计人员应以工程项目风险为导向，审计已经设计完成的工程项目内部控制及其相关的管理制度是否有效执行，是否有效控制了工程项目风险；已经设计有效的工程项目各控制点的控制措施是否有效实施，是否有效防止了各控制环节的风险；是否根据业务、环境等的变化持续改进工程项目内部控制等。
    四、加强工程项目内部控制的监督检查
    加强工程项目内部控制的监督检查，必须了解工程项目内部控制监督检查的主要内容，建立工程项目内部控制的监督检查制度，并对监督检查过程中发现的问题进行及时处理。
    (一)建立工程项目内部控制的监督检查制度
    工程项目内部控制的总负责人，按照规定应当是企业主要负责人，更确切地说就是企业的法定代表人。所以，企业负责人应当积极建立和完善工程项目的内部控制制度，其中包括监督检查制度，明确监督检查机构或人员的职责权限，定期或不定期地进行检查。
    (二)工程项目内部控制监督检查的主要内容
    工程项目内部控制监督检查的主要内容包括：(1)工程项目业务相关岗位及人员的设置情况。(2)工程项目业务授权批准制度的执行情况。(3)工程项目决策责任制的建立及执行情况。(4)概预算控制制度的执行情况。(5)各类款项支付制度的执行情况。(6)竣工决算制度的执行情况。
    (三)对监督检查过程中发现的问题的处理