行政事业单位内部控制手册.docx
《行政事业单位内部控制手册.docx》由会员分享,可在线阅读,更多相关《行政事业单位内部控制手册.docx(108页珍藏版)》请在冰豆网上搜索。
行政事业单位内部控制手册
行政事业单位内部控制手册模板(试行)
本模板属于参考性文件,非强制性要求,目的是为指导不同规模、不同类型的行政事业单位开展内部控制体系的建立、实施、评价与改进工作。
各行政事业单位应根据本单位内外部环境、发展阶段、业务规模等因素,建立符合本单位实际的内控操作手册。
引言
为了有效实施行政事业单位的内部控制工作,加强风险防控机制建设,提高行政单位的经济活动管理水平,促进行政事业单位建立健全内部控制体系,依据《中华人民共和国会计法》、《行政事业单位内部控制规范(试行)》、《财政部关于全面推进行政事业单位内部控制建设的指导意见》等法律法规和有关规定,特制定《山东省行政事业单位内部控制手册(模板)》(以下简称《手册》)。
一、制定依据
本《手册》依据《中华人民共和国会计法》以及财政部发布的《行政单位财务规则》、《事业单位财务规则》、《行政事业单位内部控制规范(试行)》等法律法规和有关规定,按照山东省财政厅《关于印发〈山东省贯彻〈行政事业单位内部控制规范(试行)实施意见〉的通知》(鲁财会〔2014〕4号)的要求制订。
为了便于分析和说明,本手册以省级行政事业单位W局为例,在组织架构和业务流程说明时以处室为例。
二、指导思想
实施内部控制规范,建立完善行政事业单位的内部控制制度,通过一系列的标准体系建设和流程设计,将每一个内部控制要求融合贯彻到各经济活动之中,用规范的工作制度来制约权力,逐步建立健全权力运行的制约和监督体系。
三、工作目标
实施内部控制规范,旨在实现以下目标:
1.确保行政事业单位各项经济活动行为合法合规。
2.确保行政事业单位资产安全,不断提高资产使用效益。
3.规范行政事业单位财务会计行为,保证财务会计信息真实、准确、完整。
4.堵塞漏洞、消除隐患,防止并及时发现、纠正错误及舞弊行为,促进行政事业单位加强内部风险防控与廉政机制建设。
四、工作原则
实施内部控制规范,应该遵循以下原则:
1.全面性原则:
涵盖行政事业单位内部各经济业务活动,并将业务处理过程中的风险控制要求,落实到决策、执行、监督等各个环节。
2.重要性原则:
重点针对行政事业单位重要业务、重要事项、高风险领域和高危险环节采取更为严格全面的控制措施,确保不存在重大缺陷和错漏。
3.制衡性原则:
行政事业单位在议事决策机制、部门岗位设置及权责配置、业务流程等方面应科学合理并符合内部控制的基本要求,确保不同部门、岗位之间权责分明,相互制约,相互监督。
4.适用性原则:
内部控制应当与行政事业单位的单位规模、业务范围和特点、风险水平及所处具体环境等相适应,并随着国家和本省的有关工作要求,以及内外环境的变化及时加以调整。
W局内部控制手册
前言
为了提高W局(以下简称“W”)经济活动管理水平,促进W建立健全内部控制体系,依据《中华人民共和国会计法》以及财政部发布的《行政单位财务规则》、《事业单位财务规则》、《行政事业单位内部控制规范(试行)》等法律法规和有关规定,特制定《W局内部控制手册》(以下简称“内部控制手册”或“手册”)。
内控手册作为W局内部控制建设与实施的有效管理工具,具有以下几个方面的意义:
1、通过建立适合本单位实际情况的内部控制体系,梳理各类经济活动的业务流程、明确业务环节、系统分析经济活动风险、确定风险点、选择风险应对策略等措施,充分利用内部控制“使其不能腐”的作用机理,使内控手册成为预防贪污腐败的有效手段。
2、通过对事前、事中、事后的全程控制,确保各级干部职工遵守有关法律法规,增强法制观念和道德意识,使内控手册成为保护干部职工的有效工具。
3、通过内部控制建设,重新审视和梳理现行的各项管理制度,进一步创新管理机制,强化、优化管理措施,提高及时发现和有效处置风险的能力,破解存在的内部监管薄弱问题,全面提升内部管理水平。
4、通过学习、培训内部控制风险管理工作,培育和塑造良好的内部控制风险管理文化,树立正确的内部控制风险管理理念,增强职工内部控制风险管理意识,将内部控制风险管理意识转化为职工的共同认识和自觉行动,促进单位建立系统、规范、高效的内部控制风险管理机制。
第一章总则1
第一节编制目的及意义1
第二节编制依据及原则2
第三节编制思路及适用范围3
第四节使用说明3
第五节局限性4
第六节内部控制总体架构与相关定义术语5
第七节内部控制流程图说明9
第二章风险评估与控制10
第一节风险评估10
一、评估部门10
二、评估周期及方法10
三、评估步骤13
第二节风险控制15
一、风险类别15
二、控制环节16
三、控制方法17
第三章单位层面内部控制19
第一节组织架构和归口管理19
一、组织架构19
二、归口管理20
第二节授权体系与三重一大22
一、授权体系23
二、重大事项的议事机制23
第三节制度建设和流程控制24
一、制度建设24
二、流程和表单控制25
第四节单位内部责任体系26
一、部门职责27
二、不相容岗位设置28
第五节信息系统建设与维护30
第四章业务层面内部控制33
第一节预算管理33
一、预算业务综述33
二、预算业务控制流程34
三、预算业务风险控制矩阵43
第二节收支管理46
一、收支业务综述46
二、收支业务控制流程47
三、收支业务风险控制矩阵54
第三节采购管理58
一、政府采购业务综述58
二、采购业务控制流程59
三、采购业务风险控制矩阵64
第四节资产管理67
一、资产业务综述67
二、资产业务控制流程68
三、资产业务风险控制矩阵73
第五节合同管理78
一、合同业务综述78
二、合同业务控制流程79
三、合同业务风险控制矩阵86
第六节项目管理91
一、项目管理综述91
二、建设项目控制流程92
三、建设项目风险控制矩阵95
第五章内部控制评价与监督98
第一节内部控制自我评价98
一、内部控制自我评价综述98
二、内部控制自我评价关注重点99
三、内部控制自我评价工作组织与分工100
四、自我评价方法与程序102
五、自我评价报告内容要点104
六、自我评价缺陷整改105
第二节内部审计106
一、内部审计业务综述106
二、内部审计关注重点106
三、制定内部审计计划107
四、组建内部审计项目组107
五、实施内部审计工作107
六、监督内部审计问题整改108
七、内部审计档案归档109
附录:
相关法律法规、政策文件110
第一章总则
第一节编制目的及意义
依据财政部《行政事业单位内部控制规范(试行)》等有关规定,内部控制,是指单位为实现控制目标,通过制定制度、实施措施和执行程序,对经济活动的风险进行防范和管控。
完整的内部控制体系和完善的内部控制制度是约束、规范单位管理行为的准则,是减少风险的重大措施。
《内部控制手册》是构建单位内部控制体系并保障其运行的基本制度和实施规范,是作为单位建立、执行、评价及验证内部控制的依据。
《内部控制手册》的编制具有以下几个目标与意义:
1.合理保证单位经济活动合法合规。
通过制定制度、实施措施和执行程序,合理保证单位的经济活动在法律法规允许的范围内进行,符合有关预算管理、收支管理、采购管理、资产管理、合同管理等方面的法律法规和相关规定,避免违法违规行为的发生。
2.合理保证单位资产安全和使用有效。
资产是单位正常运转的物资基础和财力保障,资产部安全、使用效率低下都将对单位各项工作的正常开展产生不利影响。
所以,合理保证单位资产安全和使用有效是内部控制的重要目标。
3.合理保证单位财务信息真实完整。
按照国家规定编制和提供真实完整的财务信息是单位的法定义务,是提升内部管理水平的有效手段。
所以,合理保证单位财务信息真实完整也是内部控制的重要目标。
4.有效防范舞弊和预防腐败。
科学运用内部控制的原理和方法,将制衡机制嵌入到单位内部管理制度建设之中,强化内部监督,通过建立和实施严密的内部控制起到“关口前移”的效果,实现有效防范舞弊和预防腐败的目标。
5.提高公共服务的效率和效果。
提高公共服务的效率和效果是单位业务活动的总体目标,同时也是单位内部控制的最高目标。
第二节编制依据及原则
本《内部控制手册》依据《中华人民共和国会计法》、《中华人民共和国预算法》、《行政单位财务规则》(财政部令第71号)、《事业单位财务规则》(财政部令第68号)、财政部下发的《行政事业单位内部控制规范(试行)》和山东省财政厅《关于印发〈山东省贯彻〈行政事业单位内部控制规范(试行)实施意见〉的通知》》(鲁财会〔2014〕4号)等法律法规和有关规定的要求制订。
实施内部控制规范,应该遵循以下原则:
1.全面性原则:
内部控制应当贯穿单位经济活动的决策、执行和监督全过程,实现对经济活动的全面控制。
2.重要性原则:
在全面控制的基础上,内部控制应当关注单位重要经济活动和经济活动的重大风险。
3.制衡性原则:
内部控制应当在单位内部的处室管理、职责分工、业务流程等方面形成相互制约和相互监督。
4.适用性原则:
内部控制应当符合国家有关规定和单位的实际情况,并随着外部环境的变化、单位经济活动的调整和管理要求的提高,不断修订和完善。
第三节编制思路及适用范围
本《内部控制手册》从风险评估与控制、单位层面控制、业务层面控制、内部控制评价与监督四个方面,阐明风险评估的步骤与重点、单位及业务管理活动的各项控制要点、以及针对内部控制设计及运行情况的评价与监督,明确了建立和运行内部控制与风险管理统一执行的制度、标准和规范。
本《内部控制手册》适用于W局及下属行政事业单位。
第四节使用说明
本《内部控制手册》作为单位构建内部控制体系并保障其运行的基本制度和实施规范,是单位建立健全内部控制体系的核心。
1.内部控制手册的设计:
手册中的各项内容由内部控制主管处室主导,各处室配合,以及在中介机构的专业指导下共同进行设计、编写,经过单位相关领导充分讨论后,由单位负责人批准签发后生效。
未经单位统一批准,任何处室不得擅自发布、修改内控手册内容。
2.内部控制手册的发放:
内部控制主管处室确定发放范围;需向外单位提供本手册时,须经单位法人批准同意。
3.内部控制手册的执行:
各处室须认真组织学习,并在各项业务活动中严格执行手册中的相关要求,完善各项控制措施。
各处室对内部控制的有效性负责,并对控制失效造成的重大损失承担责任。
4.内部控制手册的监督:
单位定期根据手册内容,对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,并督促加以改进。
5.内部控制手册的更新:
内部控制手册生效后,内部控制主管处室根据国家内部控制的相关规定和要求、内外部环境变化、组织结构变更、内控管理中出现的新问题以及各处室反馈的意见及建议等组织修订,执行全面的定期复核更新制度,由单位相关领导和相关处室讨论后,按程序批准发布执行。
各处室对《内部控制手册》日常使用过程中发现的问题,须书面记录并及时反馈给内部控制主管处室。
第五节局限性
内部控制及风险管理存在其固有的、不可避免的局限性,只能为单位的控制目标实现提供合理而非绝对保证。
一般而言,内部控制与风险管理的局限性主要表现为:
1.手册中明确的控制措施是基于单位现有的风险评估结果而制定的可用控制措施,然而由于单位的风险及其评估结果可能发生变化,因此内部控制手册中的控制措施的重要性及其有效性也可能发生改变。
2.手册中的控制活动可能因人员简单操作差错、人员串通舞弊、管理当局凌驾于内控体系之上以及控制成本效益限制等情况失效,从而无法为单位内部控制有效性以及风险控制提供合理保证。
3.手册中的控制措施的实施依赖于单位职工对措施本身的理解,行使内部控制职能的人员素质不适应岗位要求,或对内部控制措施理解出现偏差等情况也会影响风险管理与内部控制功能的正常发挥。
第六节内部控制总体架构与相关定义术语
一、内部控制总体架构
内部控制总体架构可以分为三个层次:
单位层面控制、业务层面控制、内部控制自我评价。
在单位层面控制中,本单位成立内部控制实施工作领导小组,在实施小组领导下,明确全局职能和工作机制,制定部门及关键岗位责任制、建立风险管理机制,并设计相应的管控方式。
在业务层面控制中,对常规经济活动,采用流程控制,将制衡机制嵌入业务流程,对其预算管理、资产管理、政府采购、收支管理、合同管理等活动中存在的风险进行管控。
对专项资金,本单位建立了业务“处室负责制、归口控制、内部监督”三维控制体系,业务处室负责对处室内专项资金的纵向流程管控,归口部门或岗位负责对专项资金使用的不同环节进行归口控制,内部监督机构通过制定内部审计流程、建立信息反馈机制、抽查考核、绩效考评等方式对专项资金使用的全过程进行监督。
建立三维管控体系,确保高质高效地使用专项资金。
在内控自我评价层面中,对内部控制设计有效性和内部控制执行有效性进行评价,不断完善我局内部控制体系。
二、相关定义与术语
1.内部控制:
指单位为实现控制目标,通过制定制度、实施措施和执行程序,对经济活动的风险进行防范和管控。
2.风险:
指未来的不确定性对单位实现其运营目标的影响。
(1)影响是指与预期结果的偏离(积极或消极)。
(2)目标可以有不同的方面,例如:
财务、健康和安全、以及环境目标。
目标同时可以适用于不同的层面,例如,战略、组织和过程。
(3)风险经常被标注为潜在的事件、后果或者两者的结合、以及他们对期望达成目标的影响。
(4)风险经常被解释为一个事件及其后果的结合,或一个状态的变化以及相关的发生可能性。
3.风险源:
指任何单独或联合的、具有内在潜力引起风险的事件。
4.事件:
指发生或改变一系列情况的事物(一个特定时期内,在一个特定地点所发生的事态)。
通常,事件有如下几种解读:
(1)一般来说,事件的特性、可能性和后果不能完全可知。
(2)事件可以是一个或多个事件,也可以有多个原因造成。
(3)与事件相关的可能影响是可以确定的。
(4)事件可以由一个或多个未发生的情况组成。
(5)有后果的事件有时被称为“事故”。
(6)一个未发生损失的事件也可称为“隐患”。
5.风险类别:
是由属性相同的多个风险源或事件组成。
风险类别反映了在进行风险分析时应该考虑的主要方向。
进行风险分析时,通常以风险类别为起点来辨识每一个风险类别内的风险源或事件。
随着时间和内外环境的变动,单位通常面临着上千个动态的风险源或事件。
但是这上千个动态的风险源或事件,通常可以归纳成几十个常态的风险类别。
6.风险识别:
指查找单位各业务单元、各项重要经济活动及其重要业务流程中有无风险,有哪些风险。
7.风险分析:
指对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件。
8.风险评价:
指评估风险对单位实现目标的影响程度、风险的价值等。
9.风险承受度:
指单位能够承担的风险限度,包括单位层面风险承受能力和业务层面的可接受风险水平。
10.风险规避:
指单位对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。
11.风险降低:
指单位在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。
12.风险转移:
指单位准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。
13.风险承受:
指单位对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。
14.控制措施:
包括不相容岗位分离控制、内部授权审批控制、归口管理、预算控制、财产保护控制、会计控制、单据控制、信息内部公开等。
15.控制痕迹:
控制痕迹即为“相关文档”,是指采取控制措施所留下的证据,可以是纸质书面文件、业务流转表单、会议纪要、电子文档记录等。
第七节内部控制流程图说明
1.流程图纵向表示该流程的执行步骤。
自上而下表示流程发展的时间或逻辑顺序。
2.流程图横向代表单位或职能部门。
单位顺序从左至右按级别排序职能带中的部门顺序。
3.图例说明
序号
图例
名称
图例说明
1
职能带
表示职能部门
2
分隔符
表示流程中的主要环节
3
连接线
用来连接两个工作步骤;表示层层步骤在顺序中的进展;连接的箭头表示一个过程的流程方向
4
准备
流程的开始
5
进程
记录此控制点的工作内容简述
6
文档
表示以文本形式存在的文件、制度、表单等,内容为文件、表单的全称
7
判定
判断/决策的标志。
用来表示过程中的一项判定或一个分岔点。
8
预先定义
的进程
予流程。
即:
套取的其他流程
9
终结符
流程的结束
10
通过或
不通过
逻辑符号
描述流程的逻辑
第二章风险评估与控制
第一节风险评估
风险评估是单位及时识别、系统分析经营活动中与实现管理目标相关的风险,合理确定风险应对策略的过程,是风险管理的基础与核心。
在风险评估中,既要识别和分析对实现目标具有阻碍作用的风险,也要发现对实现目标具有积极影响的机遇。
风险评估的基本流程包括风险初始信息收集、风险的识别、分析与评价、风险管理策略与选择等。
单位在日常经营中充分、连续搜集风险管理信息,根据自身业务特点,选用具备可兼容性的风险分析技术,对风险管理信息进行辨识、计量、评估、分析,采用适当的风险控制技术方法,并形成相关记录,为应对风险提供相应控制策略依据。
一、评估部门
风险评估由内部控制主管处室负责计划、组织和安排具体工作;组织财会、资产管理、采购、基本建设、内部审计、纪检监察等处室或岗位工作人员成立风险评估小组,进行风险评估工作。
评估人员在梳理各类经济活动的业务流程、明确业务环节的基础上,系统分析经济活动风险,确定风险点,并据此选择控制方法和应对措施。
二、评估周期及方法
1.评估周期:
单位对内部经济活动的风险评估至少每年进行一次,在全面、系统、准确分析单位各经济业务活动风险的基础上,绘制各业务事项的流程图,确定经济活动的风险点,剖析风险存在的原因,以及导致风险发生的可能性,以确保新的风险得到及时有效的控制。
同时,对预算、收支等高风险经济活动业务,开展不定期评估,建立风险预警系统,有效地防范和管控风险。
2.评估方法:
单位内部控制的风险分析,采用以定性、定量相结合的方式,从风险可能性、风险影响度等方面进行评估。
(1)可能性定性的测度
很可能:
即在多数情况下预期可能发生。
可能:
在某些时候可能发生。
不太可能:
在多数情况下都不太可能发生。
表1风险评估的五级评分(示例)
评分
可能性
1
2
3
4
5
可能性定量分析
10%以下
10%~30%
30%~70%
70%~90%
90%~100%
风险可能性测度
不太可能
可能
很可能
风险可能性测度的描述
极低
较低
中等
较高
极高
一般情况下不会发生
在极少情况下才会发生
会在某些情况下发生
会在较多情况下发生
经常会发生
在之后10年发生的可能少于1次
在之后5至10年内可能发生1次
在之后2至5年内可能发生1次
在之后1年内可能发生1次
在之后1年内至少发生1次
(2)影响程度分析的测度
重大:
对目标实现有重大影响,如发生,将造成极大的损失。
次重要:
对目标实现有中等程度的影响,如发生,将造成一定的损失。
不重要:
目标实现不受影响,如发生,将造成较低的损失。
单位应当基于自身的定位和特色,利用专业的评估工具对内外部风险进行量化的分析,对风险可能发生的频率和后果赋值,计量风险的严重程度,同时设定本单位对风险的容忍限度,对诊断出的所有风险进行排序,随后建立相应的风险数据库和风险分析排序表,制定正确的风险应对策略。
表2风险评估的影响程度(示例)
评分
影响程度
1
2
3
4
5
风险影响程度定量分析
损失低于100元
造成损失100元~2000元
造成损失2,000元~10,000元
造成损失10,000元~1000,000元
造成损失1,000,000元以上
风险影响程度测度
极低
较低
中等
较高
极高
财务影响
极低的财务损失
较低的财务损失
中等的财务损失
重大的财务损失
极大的财务损失
声誉影响
负面消息未使单位声誉受损
负面消息造成单位声誉轻微受损
负面消息造成单位声誉中等受损
负面消息造成单位声誉重大受损
负面消息造成单位声誉灾难性受损
风险影响程度测度描述
不会影响单位的日常活动
对单位日常活动有轻度影响,
对单位日常活动有中度影响
对单位日常活动造成重大影响
对单位日常活动造成灾难性性影响
(3)风险识别矩阵
单位风险评估小组(或部门)根据风险分析的结果,结合风险承受程度,对各层面的分析进行排序分析,形成风险识别排序表和风险识别矩阵。
风险识别排序表根据风险评分自高到低排序。
风险识别矩阵对各类风险进行区分(如表3),其中:
风险影响度列为“重大”、可能性为“很可能”的风险列为一级风险,风险影响度列为“重大”或“次重要”、可能性为“可能”或“很可能”的风险列为二级风险,风险影响度列为“不重要”或“次重要”、可能性为“可能”或“不太可能”的风险列为三级风险。
单位根据上述风险分析方法,分别确定各管理业务层面的风险点,并确定相应的后续应对策略。
表3风险分析的识别矩阵(示例)
可能性
影响程度
低
中
高
极低
较低
中等
较高
极高
0~1
1~2
2~3
3~4
4~5
高
极高
4~5
二级
二级
一级
一级
一级
较高
3~4
三级
二级
二级
一级
一级
中
中等
2~3
三级
三级
二级
二级
一级
低
较低
1~2
三级
三级
三级
二级
二级
极低
0~1
三级
三级
三级
三级
二级
三、评估步骤
1.风险初始信息收集
(1)内部控制主管处室负责对单位内、外部环境的相关信息进行系统收集、更新及维护。
外部环境包括社会、政治、法律、经济环境,以及对组织目标有影响的关键驱动因素和发展趋势等;内部环境包括组织架构、角色和责任、组织文化、管理特色、财务因素、信息系统、信息流和决策过程等。
(2)各有关职能处室负责收集与其职能相关的风险管理初始信息,并对收集到的风险管理初始信息进行更新和维护,由内部控制主管处室进行指导和监督。
(3)单位通过内部讨论、数据收集、外部沟通等方式对信息进行收集。
由于信息的多样性与广泛性,单位通过建立的相应规范流程与标准模板,对信息进行系统筛选、提炼、对比、分类和组合。
同时,单位通过风险信息收集的汇报与监督机制,确保风险初始信息的收集充分、有效。
2.风险的识别、分析与评价
(1)风险评估小组针对风险分类、风险评估标准、风险模板、应对策略制定原则等内容,对各相关处室开展培训,并组织各处室的风险评估人员进行风险信息的收集以及风险事项的识别,分析风险的原因和后果,评价风险的重要性水平。
由风险评估工作小组负责汇总、整理、排序各处室提交的风险评估结果,根据评估分值确定风险等级,汇总、整理出风险评估初步结果。
(2)单位采用定性与定量相结合