党风廉政教育(第五十三期)
发布时间:2014年10月08日 浏览次数:8543
《内部控制规范》知识问答
1.什么是行政事业单位内部控制?
内部控制(internal control )起源于18世纪产业革命以后,但真正建立起系统的内部控制概念体系是在20世纪90年代。1992年,COSO委员会(The Committee of Sponsoring Organization of the Treadway Commissions)提出了内部控制的纲领性文件——《内部控制整体框架》,简称COSO报告。COSO报告把内部控制定义为:内部控制是受董事会、管理层及其他人员影响的,为达到经营活动的效率和效果、财务报告的可靠性和真实性、遵循相关法律法规等目标提供合理保证而设计的过程。
2008年5月22日,国家财政部、证监会、审计署、银监会、保监会(以下合称“五部委”)联合发布了《企业内部控制基本规范》,对我国的大中型企业和上市公司开展内部控制提出了要求,并将企业内部控制定义为:由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程。
2012年11月,财政部印发的《行政事业单位内部控制规范(试行)》中,对内部控制的概念在行政事业单位层面进行了衍生和扩展,将行政事业单位内部控制定义为:单位为实现控制目标,通过制定制度、实施措施和执行程序,对经济活动的风险进行防范和管控。这一定义可从静态和动态两方面来分析。
从静态上讲,内部控制是行政事业单位为了防范和管控经济活动风险而建立的内部管理系统,该系统由内部控制环境、风险评估、控制活动、信息与沟通和内部监督等要素组成,具体体现为各项内部管理制度以及落实制度所需的控制措施和程序。从动态上讲,内部控制是通过制定制度、实施措施和执行程序,为实现控制目标的自我约束和规范的过程。而且,内部控制还是一个循环往复、不断优化完善的过程,行政事业单位应当针对内部监督检查和自我评价发现的问题,对相关的制度、措施和程序进行持续调整、改进,使各项制度、措施和程序能够适应新情况、新问题,在经济活动风险管控中持续发挥积极作用。
具体来讲,行政事业单位内部控制的概念可以从七个方面加以理解:
(1)内部控制是一个过程。它是全面、全员、全过程控制,是达成组织目标的方法,是单位整合所有个体的一系列活动。
(2)内部控制的本质是制度、措施、程序,具体而言要结合行政事业单位不同层面不同业务来展开。
(3)内部控制的目标主要包括合理保证单位经济活动合法合规、资产安全和使用有效、财务信息真实完整,有效防范舞弊和预防腐败,提高公共服务的效率和效果。
(4)内部控制实施的主体是行政事业单位各级管理处室和全体工作人员。
(5)内部控制的构成是由一系列的政策与程序组成,即在行政事业单位组织规划、管理办法及各种作业程序中,应用内部控制原则、技术、方法,以使既定政策得以贯彻实施。行政事业单位内部控制一般包括内部环境、风险评估、控制活动、信息与沟通、内部监督与评价等五要素。
(6)内部控制的内容(客体)并非对行政事业单位全面活动的风险进行防范和管控,主要是针对各单位的经济业务领域的风险进行识别、评估和防范,重点包括预算、采购、收支、工程、资产与合同等与资金有重大关联的业务活动。
(7)内部控制能提供合理的、但非绝对的保证来实现行政事业单位的业务目标。
2.哪些单位应当执行《行政事业单位内部控制规范》?
按照《内控规范》的要求,各级党的机关、人大机关、行政机关、政协机关、审判机关、检察机关、各民主党派机关、人民团体和事业单位(以下统称单位)均须开展和实施内部控制。
3.单位负责人在单位内部控制中应承担什么样的责任?
《内控规范》第六条指出单位负责人对内部控制的建立健全和有效执行承担责任,并且在第九条指出单位领导应当担任风险评估小组的组长,经济活动的风险评估结果要及时报告给领导班子审阅。
由此可见,单位领导在内控体系中承担了两个层面的责任。
(1)在内控的建立健全层面,单位领导应作为负责人来推进整个内控体系的建设。内部控制体系的建立和实施是一个“一把手工程”,单位的领导必须是第一责任人。因为内控体系的建设涉及业务流程的规范,处室职责的调整。各处室往往从各自的利益出发,以致无法实现流程在单位层面的最优化,这时候必须由单位领导进行协调和决策。同时,内控建设的关键不是操作层面的管理调整,而是顶层设计的规范和优化。
(2)在内控执行层面,单位领导也应起到表率作用。内部控制规范的不仅仅是一般员工的业务活动,也包括了领导的决策、协调等活动。领导对于流程的尊重和坚决的执行将是内控体系能否落地的关键。
4.单位在内控体系建设过程中应如何把握全面性原则?
各单位在开展内控建设时首先要保证体系建设的全面性。全面性包括了几个层面:(1)参与处室的全面性。(2)业务范围的全面性。(3)流程的全过程。
5.单位在内控体系建设过程中应如何把握重要性原则?
各单位应根据自身的业务性质、业务规模等特点制定切实可行的内部控制实施方案,分类分步推进,全面启动内部控制建设与实施工作。也可以根据业务板块、管理特点等,先针对重要流程在部分处室建立起较为完善的内部控制体系,再逐步建立覆盖整个单位的内部控制体系。
在重要性原则的运用上,各单位要关注重要业务、重大事项和高风险领域,抓住关键风险控制点。
重要业务一般以金额作为判定标准。按该项业务涉及的资金额度占单位整个资金额度的比重来确定。
重大事项一般是指重大投资决策项目,包括融资、担保项目,重大设备和技术引进,采购大宗物资和购买服务,重大工程建设项目,年度预算内大额度资金调动和使用,以及其他大额度资金运作事项等。
高风险领域一般是指经过风险评估后确定为较高或高风险的业务,也包括特殊行业及特殊业务,国家法律、法规有特殊管制或监管要求的业务等。
6.内控管理处于不同阶段的单位应分别如何设定内控建设的重点?
不同单位应该根据自己的内控管理现状设定自己的内控建设重点。对于即将启动或刚刚启动内部控制实施工作的单位来说,应按照《内控规范》的要求加快推动,并根据单位实际情况选择业务进行全面实施;对于已经在部分处室建立了较为完善的内部控制体系的单位,应当总结和借鉴已经开展内部控制建设的经验和做法,将其推广至全单位范围;对于已经在全单位范围内建立起覆盖全过程、各层级内部控制体系的单位,应将工作重心放在内部控制的持续改进上,充分运用内部控制自我评价的方法和手段,按照有关要求对实施情况进行常规、持续的监督检查,查找实施中的缺陷与不足,促进内部控制的持续改进和不断优化。
7.单位在内控体系建设过程中应如何把握制衡性原则?
内控体系的一个假设前提就是两个人一起犯错要比一个人犯错的概率小很多。所以内控体系强调的就是各个部门、各个岗位的相互制约和制衡。各单位必须让多个相关部门参与到重要的经济业务中来,从而形成必要的部门间制约和监督。比如对于重大经济合同应该要求多部门会审,并且由财务人员、法务人员、专业人员来参与评审过程。
当然,在实际操作中,制衡越多,流转的部门就越多,业务的效率会越低,所以在把握制衡性的同时必须要注意效率问题。
8.单位在内控体系建设过程中应如何把握适应性原则?
单位在运用适应性原则时要把握两个层面:首先,内部控制体系要和单位的管理现状相匹配,要与现有人员的能力和素质相适应,要与现有业务的复杂程度相一致,不能超越管理现状进行内控流程的设计;其次,内控体系要和单位的发展阶段相匹配,内部控制不是一个静态的管理状态,而是一个动态的管理过程,各单位需要定期进行内控现状的评价,及时发现风险的变化,从而进行管理的优化。
9.单位在内控体系建设过程中有哪些额外增加的成本?
单位在开展内控建设的时候,有两类成本,一类是显性成本,一类是隐形成本。显性成本是指单位按照《内控规范》的要求建设与实施内部控制所需要支付的费用,包括内部控制制度和流程的设计与实施费用、开展内控培训的费用、聘请专业机构提供咨询服务费用等。隐性成本是指流程优化后导致管理的复杂化所引起的额外的人力成本、经济成本、时间成本等,包括需要增加额外的人手,需要更长的流转时间,以及需要更多的资产投入,如信息化投入,档案柜投入等。
10.单位如何平衡内控建设成本和内控效益问题?
内控体系建设管理成本的增加是一目了然的,而内控优化所带来的效益却并不是显而易见的。因为内控实施的效益是管理中风险的减少,而风险本身具有并未实际发生的特点,所以无法准确地进行衡量。
因此,一方面,各单位在建设与实施内部控制时,应当从提高单位长期效益出发,从促进单位管理优化出发,将内部控制作为一项常规性工作,贯穿于单位管理之中。同时,管理幅度较大的单位可以采取分类试点、逐步推广的方式,选择下属不同类型的业务试点,形成范本,减少重复建设。
另一方面,各单位的内控建设人员特别要做好内部管理数据的收集、整理、统计和分析工作,通过观察内部相关业务数据的改善来表明内控效益的实现。这也是证明内控实施效果的一个重要方式。
11.内部控制体系的构建需要包括哪些要素?
内部控制体系一般包括五个要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。
内部环境是内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、单位文化等。
风险评估是量化测评某一事件或事物带来的影响或损失的可能程度。
控制活动是确保管理阶层的指令得以执行的政策及程序,如核准、授权、验证、调节、复核绩效、保障资产安全及职务分工等。
信息与沟通是指可解释的单位业务和管理信息由发送人传递到接收人,从而实现信息在不同岗位和不同部门之间相互交换的过程。
内部监督由适当的人员,在适当的方式下,评估控制的设计和运作情况的过程。
这五个要素并不是独立于业务流程的,而是融合贯穿于每个流程。比如在政府采购的内控建设方面,既要考虑采购职责的设置、采购人员的能力配置,又要考虑采购中面临的内外部的风险;既要明确审批、评价、验收等控制活动,又要规范采购信息的流转和归档;最后还要做好对采购业务的持续内部监督和检查。
12.内部控制与风险管理有什么样的异同?
风险管理是社会组织或者个人用以降低风险的消极结果的决策过程,通过风险识别、风险估测、风险评价,并在此基础上选择与优化组合各种风险管理技术,对风险实施有效控制和妥善处理风险所致损失的后果,从而以最小的成本收获最大的安全保障。
《内控规范》充分吸收了全面风险管理的理念和方法,强调了内部控制与风险管理的统一。内部控制的目标就是防范和控制风险,促进单位实现资金资产的安全、保证经济活动过程的合规合法、财务信息的真实有效、内部舞弊的规避,以提高公共服务的效率和效果。而风险管理的目标也是促进单位实现风险的可控。两者都要求将风险控制在可承受范围之内。因此,内部控制与风险管理两者不是对立的,而是协调统一的整体。
在实际工作中,一些单位的内部控制和风险管理工作由不同机构负责。对此,单位可以对有关机构和业务进行整合,从工作内容、目标、要求以及具体工作执行的方法、程序等方面,将内部控制建设和风险管理工作有机结合起来,避免职能交叉、资源浪费、重复劳动,降低单位管理成本,提高工作效率和效果。
13.内部控制体系是不是一套全新的管理体系?与单位现行的其他管理体系之间是什么样的关系?
内部控制本质是一种从目标到风险到控制的管理思路。纵观国际上的几个内控框架,无论是COSO委员会1992年颁布的五要素框架,还是之后2004年颁布的八要素框架,虽然他们用了“内部控制”和“全面风险管理”两个不同的概念,但他们体现的都是从“目标”到“风险”再到“控制”的管理思路。这种思路和框架可以融入单位的所有其他的管理体系和管理制度中。这些体系其实在构建中也体现了内控和风险管理的思路,只不过它们的目标出发点可能只是针对某些特定的目标。比如ISO质量管理体系的目标是管理质量,然后在这一目标下识别风险以及制定管理措施,这体现的就是内控的思想。因此,可以说内部控制贯穿于整个单位管理,与其他管理体系密不可分,是单位管理的重要组成部分。
单位应当立足管理现状,全面梳理各项管理制度和管理体系,从管理体制、机制以及落实各级权利责任等方面,将内部控制的要求融入各项管理体系中,形成内部控制的长效机制,使内部控制真正为经营管理服务;应当从总体目标出发,通过培训教育提高单位管理人员对内部控制的理解和认识,将内部控制的要求纳入绩效考核体系以加强执行;可以利用信息技术固化业务流程,提高业务处理效率和信息共享水平,从而尽可能减少内部控制与其他经营管理体系的冲突。
14.在内控体系建设中如何做好管理现状与管理前瞻性的平衡?
内部控制作为提高单位管理水平的重要措施,既要满足管理的现状又要对管理有一定的指导性,即做好管理的现实性与前瞻性的平衡。
很多领导往往希望内控体系建设能够完全的将国内外优秀机构的经验和做法全部引进来,追求管理的超前性和完美性。然而,这种情况下的内控体系往往会脱离单位的客观现状,与单位的客观条件,包括规模条件、人员能力条件、人员结构条件、服务对象的条件等相背离,其结果只会导致内控体系成为摆设,无法真正落地。内控体系建设只有本着实事求是的态度,按照总体规划、分步实施的原则,才能保证内控体系与实际管理的匹配性,才能引导单位向更好更高的管理方向努力,促使单位持续、健康、快速发展。所以,在现实性与前瞻性的平衡上面,一般要求在内控理念层面可以具有超前性,但是内控流程的操作设计方面一定要与现实匹配。
15.在内控体系建设中如何平衡管理实用与规范要求之间的差异?
《内控规范》作为一个框架性的内部控制规范性文件,重点考虑了各单位内部控制制度体系的全面性和规范性,较少考虑每个单位的具体特点,而各单位由于所处的管理领域、发展阶段、管理水平和内部文化等千差万别,所以无法完全做到照搬《内控规范》,也无法做到所有的单位都采取统一的控制办法。
内部控制体系建设必须从效果出发,紧密结合自身特点,在参照规范性指导文件的基础上,着重关注实用性问题。所谓实用性就是指单位设计的具体内部控制制度应当能够满足自身的需要,防止千篇一律。
因此,单位在进行内部控制体系建设时,应以《内控规范》作为指导性文件,结合各单位自身的特点加以取舍和细化,制订出符合自身特点的内部控制制度体系,以满足经营管理的需要。只有这样,构建出来的内部控制体系才能既相对统一规范,又能满足单位内部管理的需求。
16.内部控制是否只是为了控制每个员工的行为?
内部控制并不仅仅是控制了员工的行为,并且也是对员工的一种自我保护。 一方面,在规范的内控体系下,员工作为单位内部控制主体的一分子,必须在其岗位上按照单位设定的操作来完成工作。这样,每个人都按照规范行事,一方面规范了自己的行为,另一方面也会对相关人员产生控制影响力,从而形成一张既能自控,同时也能控制其他相关人员行为的脉络贯通的单位内部控制网。
同时,由于内部控制的建立,各个岗位的操作流程以及其职责也得到了明确,表单记录的规范化将保证所有事情有迹可循。这样一旦单位出现了经济损失,将很容易发现原因在哪里,并找到相应的责任人,而不是模模糊糊的人人担责。因此,内控也是对各个岗位员工的一种自我保护。
17.单位实施了信息化管理,是否就代表着有了好的内控?
在一些内控较为薄弱的单位,员工素质不高,信息沟通不畅,授权权限混乱,各个业务流程都存在不同程度的失控,不少专家和领导都提出:通过上ERP来提升管理及控制水平。但上了ERP,真的能够解决全部的内控问题吗?
首先,任何流程管理软件,比如OA或者ERP等,都是基于计算机程序的管理信息系统,能够减少人工操作、人为控制,实现信息集成和自动控制。而信息系统中的流程和控制措施不会自动产生,而是需要单位对其进行设定,而如果把错误的流程固化进系统,那么信息系统就不是雪中送炭而是火上浇油。
其次,信息系统本身也需要进行控制,西方国家实行会计电算化初期,因计算机舞弊,每年损失上百亿美元。而信息系统规模越大、与管理联系越密切、集成度越高,风险也就越大。
最后,单位在上信息系统时,过分痴迷于信息技术,而忽视了配套管理措施,也最终造成了信息系统与内部控制的脱节。
因此,各单位在借助信息系统提升管理水平的同时,应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。
18.已经实施信息化的单位,如何将内控建设与信息系统进行有效结合?
如果单位在开展内控之前已经进行了流程的信息化建设,那么必然已经开展过了部分或者全部流程的梳理。此时,内控建设工作可以由单位建设人员和信息系统开发人员共同开展,在之前流程梳理的基础上进行再评价,审视梳理的流程是否考虑了所有的风险要素,是否能够保证实现必要的控制目标,是否采取了必要的关键控制措施,从而做到查漏补缺,再次完善。
19.什么是内控有效性?内控有效性的标准是什么?
内部控制有效性是指单位的内部控制体系在保证控制目标的实现上不存在重大偏差,单位的风险可以被控制在合理的可接受水平。
内部控制的有效性包括了设计有效和执行有效。
设计有效是指单位在内控体系的控制措施设定上都作出了合理的要求。即,当某项控制措施由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行,能够实现控制目标,则表明该项控制的设计是有效的。
执行有效是指单位所有人员都严格按照流程和制度的要求运行相应的内控措施。即,如果某项控制正在按照设计运行,执行人员拥有必要授权和专业胜任能力,能够实现控制目标,则表明该项控制的运行是有效的。
内控有效性的标准无法完全通过定量的方法进行明确,一般来说标准包括:
(1)不存在重大缺陷;
(2)不存在一项或多项重要缺陷的组合致使剩余风险未能被控制在合理水平;
(3)不存在一项或多项缺陷的组合致使内控五要素未能同时存在并发挥作用或未能共同运作。
20.建立了内部控制体系,是否就能完全防范所有的风险和舞弊?
内部控制是为各单位管理目标的实现和业务风险的防范提供合理的保证,而不是绝对的保证。一方面单位面对的内外部环境在不断地变换,面临的风险也在不断地变化之中,有些风险的变化可能超出了现有控制的范围;另一方面所有的内控体系都需要人来执行,所以人员执行的不到位将导致内控体系的效果大打折扣。因此,内控体系的建立,并不能保证风险和舞弊的完全防范,只能说在很大程度上降低了风险和舞弊的发生可能。任何单位在初步建立完内控体系后还需要不断地审视和检查内控体系的运行效果,以保证体系的不断完善。
上海网警网络110
网络社会征信网
沪公网安备 31011002000392号