内部统制建设的工作,无论是公司自建还是咨询机构合作完成,最终能看到的成果是什么? 简单来说,我认为是设计制作内部控制系统文件(《内控手册》 )和信息化系统。 《内控手册》和信息化系统应该是融合在一起的,最好由同一咨询机构实施。 既可以同时实施,也可以制作指南之后按照软件的顺序实施。 《内控手册》规定了信息化系统的设计和运行原则、机制及其他要求,同时也是信息化系统的操作规范和指导。 内部控制作为一个完整的管理体系,手册内部控制的原则要求和机制要纳入信息系统,手册对各项业务活动的具体操作要求和标准也要与软件相关模块的功能相匹配和应对。
《内控规范》共6章,第1章总则,第2章风险评估与控制方法,第3章单位级内部控制,第4章业务级内部控制,第5章评估与监督,第6章附则(内容可忽略)。 因此,我们设计制作的内部控制手册必须严格对应《内控规范》的内容,不能有遗漏,可以根据公司的实际需要在内部控制手册中追加内容,但在内部控制建设的初期阶段,不要追加太多内容从《内控规范》的章节结构可以看出,企业内部统制的建设工作可以分为三个部分。 一是年初进行风险评估,根据新法规的新文件、企业职能调整、岗位人员调动等情况对业务活动进行新的风险评估,内控要控制什么? 严格意义上来说不是控制经济业务活动,而是控制经济业务活动中的风险,因此风险分析和评价是内部控制建设的前提保障;其次,在年内根据风险评价的结果更新流程和制度。 内部统制建设不对应检查,是在实际业务中使用的。 国家法律法规和地方性规范文件制定或修订后,公司《内控手册》必须进行相应的更新。 三、年底要自我评价本年度内部控制建设情况和实施效果。 财务科领导各科一年了,但是很辛苦。 内部控制的建立和执行效果如何? 这不能由财务科说。 由公司的党组(或党支部)组成小组,组织考核、纪检等部门检查考核。
一、单位的基本情况
《内控规范》第五条有“适应性”原则,要求企业内控建设符合“企业实际情况”。 企业实际情况这个概念比较广泛。 认为与内部控制建设关系密切的是《三定》规定文件,对国家赋予企业的作用是什么、有哪些内设机构、有哪些人员编制等进行了核定。 当然,这部分也可以纳入单位文化、获得的荣誉、发展的历史等。 这样,手册的内容就会更加丰富,更加有个性。
二、内部控制系统文件概要
这部分是内部控制体系文件的整体描述,包括内部控制的目标、遵守的原则、编制的依据(如行政单位和事业单位的法规政策依据不同)、适用范围(如局机关不能实行与独立核算的所属事业单位相同的内部控制体系)、局限性等。 这部分主要是一些内部控制的相关概念和内部控制体系文件的使用说明,虽然没有涉及具体的业务活动,但也是必须的。
三、风险评估
内控是控制风险的,单位规模大、业务多,内控措施不一定复杂,要看单位业务中风险等级和风险点的多寡。 因此,在制定控制措施之前,必须遵循风险管理的理论和方法,全面、科学地分析和排除经济业务活动中的风险。
风险管理是比内部控制更复杂的管理体系,只对风险的定义、风险的类别、风险分析和评价、风险应对战略和风险管理活动等基于内部控制需求的风险管理理论进行说明。
四、单位级内部控制建设
本部分对应于《内控规范》第三章的内容。 业务层面的概念很好理解的是六大经济业务活动,在单位层面是什么意思? 公司层面是指公司的组织机构、工作机制、重要岗位人员和内部控制采用的工具等。 机构主要是指组织的管理层次如何设置(一般为领导班子、各科负责人和基层岗位三个层次)、有哪些常设机构和应急机构,如与内控建设相关的三个应急机构) )领导小组、工作小组、评价和监督机制主要是指决策、执行、监督三大权力在公司内部如何发挥作用,分级授权要求如何落实等人员主要是指关键岗位的员工,这些人员如何根据职责的定义、教育培训、定期轮班等措施工具有会计管理和信息化两种。 机床制是单位级建设的重点内容,党中央对单位权力运行提出的要求都必须体现在单位级机床制的设计中。
如果业务水平是“花”,单位水平是“土”,单位水平建设是业务水平建设的基础和保障。
五、业务层面的内部控制建设
6大业务除建设项目和资产业务方面的对外投资外,其他业务在各部门适用。 业务水平如何建设? 简言之,就是明确职责、整理流程、绘制流程图、制定风险防控措施和管理制度等。 根据过程管理理论的要求,有必要砍掉和整理业务活动中的几个分支,使过程更加顺利、更加高效,因此过程整理的过程应该同时是过程再造的过程。 由于流程图受篇幅限制,所以既不能在一张纸上描绘所有工作的详细内容,也不能在图上显示许多文字的内容,因此对流程进行简单的说明和说明。 我认为必须从满足规范要求的角度绘制流程图,但从实际应用的角度来说,流程图的价值不如内部控制管理制度。 当然,内部控制管理制度是基于流程整理和流程图的制定而设计的。
p>很多单位制定的内部规章制度内容比较全面,但仔细研究以后,我们发现这些制度文件基本都不符合《内控规范》的要求,因为内部控制制度应该体现不相容岗位分离、归口管理、授权审批、单据、信息公开等《内控规范》要求的管理原则和方法,制度的内容要流程化,并且还需要规定落地的工具和方法,一般是指表单和信息化系统。所以,单位原有的制度一般都需要根据《内控规范》的要求进行重新设计,或者进行修订、补充和升级。 业务层面包括六大业务,每项业务还有一些细分的小项,比如收支业务一般细分为财政拨款收入管理、非税收入管理、基本支出管理、项目支出管理、票据管理、公务卡管理等等,基本支出管理又可以继续细分为公务接待、差旅费、会议费、培训费等管控项目,如果把每项制度都附在流程后面,这样手册的篇幅会太大,使用起来很不方便,我们一般是把各项内控管理制度按照《内控规范》和《内控手册》的章节顺序单独汇编成册,所以,《内部控制手册》可以分为《内部控制手册》(流程分册)和《内部控制手册》(制度分册)两本。
我们认为,《内控规范》要求建立的制度必须要有,也就是说,内控制度必须首先做到与《内控规范》的符合性,其次还要做到实用性,比如,如果设计了信息公开的管理制度,那就应该在机关单位相对应的设计一个保密工作管理制度,该公开的必须公开,不需要公开的,要做好保密。基本支出的项目比较多,大多数单位发生频率比较高、需要严格控制的是四大费用(招待费、差旅费、会议费、培训费),各地财政等主管部门对这些费用的管理都有具体的要求,并且变动频率比较大。所以,内控制度不是管理制度的汇编和kdwn,要注意《内控规范》的要求,要有逻辑性,更要结合单位实际。
六、评价、监督、报告与内部审计
单位内控建设是否符合《内控规范》的要求?运行的效果怎样?单位每年要组织进行一次自我评价,根据制衡原则的要求,内控建设的牵头部门和评价的牵头部门必须要分离,如果财务科牵头了内控建设工作,评价工作就必须由另一部门牵头组织。除了内部的自我评价,单位每年还要接受外部监督,现在法定的、定期的检查就是财政部要求的《内控报告》编报工作。所以,每年在完成决算以后,大概在三四月份就要开始准备上年度的内控报告编报工作了。除了财政局,审计局、纪监委和组织部也是单位内控建设的外部监督部门,这在2018年度内控报告编报的要求中已经明确了的。 根据2018年新修订的《审计署关于内部审计的工作规定》第三条的要求,内部审计的范围增加了风险管理和内部控制两项内容。所以,在《内控手册》中除了设计编写评价与监督的内容,还应该单独一节体现内部审计对单位内部控制监督的内容。
单位成立内控领导小组、领导班子开会进行工作部署、开展专题培训活动、设计编写《内控手册》,是财政部严格要求的单位内控建设工作的必要步骤,其中,设计编写一本符合《内控规范》要求的《内控手册》是最关键的一步。