時間:2022-06-24 18:44:35
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇內控工作方案范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
把單位風險評估作為重大決策、重大政策、重大項目、重大改革措施等制定實施的前置程序和必備條件,對重大事項實施可能出現的穩定風險先期預測、先期評估、先期化解,充分尊重和運用預測評估結果,從源頭上預防和減少影響單位穩定和發展問題的發生。重點圍繞財政資金分配使用、固定資產監管、項目建設和科室職權運行等方面,從科室層面和個人崗位層面著手,認真梳理工作流程,明確業務環節,查找業務風險,制定防控措施,建立健全權責對等、制衡有方、運行順暢、執行有力、管理科學的內部控制體系,制定符合單位實際的內部控制制度,編制完成單位《內部控制手冊》。
二、 風險評估與控制范圍
本次風險評估單位涉及的業務范圍分為:科室層面風險和崗位業務活動層面風險。
1、科室層面風險主要包括:科室內部崗位設置不合理、 崗位職責不清晰、關鍵崗位勝任能力不足、內部控制管理機 制不健全等情況導致的風險; 經濟活動決策機制不科學,決策程序不合理或未執行導致的風險。
2、崗位業務活動層面風險:主要包括經費收支、物資采購、資產管理、建設項目管理、合同管理以及其他風險; 本科室職能業務開展過程中存在的管理風險,如辦證、查辦 案件、處理投訴舉報等工作中的風險。
三、活動步驟與時間安排
本次風險評估是在單位全面推進內部控制建設工作領導小組的領導下、各職能科室全面參與的專項活動。其主要步驟包括:
(1)8月中下旬,單位全面推進內部控制建設工作領導小組研究制定了風險評估工作計劃,明確風險評估的目標和任務;單位里組織召開了由各處室負責人參加的專題會議,對風險評估活動做出了動員、培訓和安排;
(2)會后,各科室先進行自查,查找風險點,研究整改措施,形成科室工作風險評估報告,單位全面推進內部控制建設工作領導小組根據各科室的自查情況,選擇關鍵科室進行重點檢查;單位全面推進內部控制建設工作領導小組綜合各科室自查情況和抽查情況,進行風險分析,組織編寫風險評估報告。
中國光大銀行股份有限公司,簡稱為中國光大銀行、光大銀行(以下稱本行)。本行成立于1992年,1997年1月完成股份制改造,20xx年8月18日成功完成IPO并在上海證券交易所掛牌上市,股票代碼601818。截止20xx年9月,公司資產規模達到16,700億元;截止20xx年底,已在26個省、自治區、直轄市的72個經濟中心城市設立分支機構689家,形成了全國性銀行的經營網絡。光大銀行多年來不斷改革創新、銳意進取,在為社會和客戶提供優質金融服務的同時,取得了良好的經營業績,已成為一家頗具社會影響力的全國性股份制商業銀行和上市公司。
根據《企業內部控制基本規范》的規定,本行通過多年的內部控制不斷實踐,已建立了較為健全的內部控制監督體系。本行董事會負責內部控制的建立健全和有效實施,對內部控制評價報告的真實性負責;監事會對董事會建立與實施內部控制進行監督;高級管理層負責內部控制的實施,組織領導本行內部控制的日常運行。董事會和監事會通過下設專門委員會對本行內部控制體系的建設、執行和完善情況進行監督指導。
為加強內部控制體系建設,本行建立和完善了以股東大會、董事會、監事會、高級管理層為主體的公司治理架構,形成了分工合理、職責明確、制衡有效、報告關系清晰、運行高效的良好公司治理,為內部控制的有效性提供必要的前提條件。董事會下設戰略委員會、審計委員會、風險管理委員會、提名委員會、薪酬委員會、關聯交易控制委員會;監事會下設提名委員會和監督委員會;總行設有資產負債管理委員會等19個委員會,計財部、資金部、投行部等26個部室,以及北京、上海、廣州、深圳等34家分行,本行控股設立了2家子公司,分別是光大金融租賃股份有限公司和韶山光大村鎮銀行股份有限公司。
本行面臨的主要風險包括信用風險、市場風險、流動性風險、操作風險、合規風險、信息科技風險、戰略風險、聲譽風險、銀行賬戶利率風險、集中度風險等。為管理上述風險,本行建立了董事會領導下的職責清晰、分工明確的全面風險管理組織架構,以巴塞爾新資本協議核心原則為導向,借鑒國外先進銀行的實踐經驗,建立并持續完善涵蓋風險識別、評估、計量、監督、報告和控制的全面風險管理體系。
本行各項業務活動嚴格執行授權控制原則,實行統一法人管理和法人授權,明確劃分相關機構部門之間、崗位之間的職責,實行不相容職務分離制度,并按條線和業務類別建立了包括人力資源程序、會計管理、預算控制、財產保護、運營分析、事后監督等全面的控制措施體系。
本行建立了行之有效的信息系統,通過優化OA系統,改造內部局域網系統,建立規范高效的公文流轉機制,做到文件分發急緩有序、傳遞快捷;加強全行檔案規范化管理,加強各類涉密文件、資料的保密管理,加強對全行重大經營管理活動的統一宣傳管理;完善各類會議議事規則和程序;強化各類定期報告制度、重大和緊急情況報告與通報制度,通過多種報告形式,保持內部信息交流與溝通的及時性和有效性,并提高信息傳導和溝通效率,保障決策的科學高效。
各業務條線和職能部門負責內部控制的具體管理和執行,法律合規部負責本行內部控制的監測管理和合規達標的建設推進,內部審計部門負責內部控制的監督評價。
本行通過制度明確了各層級、各部門在內部控制監督方面的職責,對于在內部控制建設實施中發現的重大問題及時上報高級管理層和董事會。總行內控合規預警委員會負責建立并維護全行內控及合規風險管理體系,推進本行內部控制的達標實施;法律合規部作為本行內部控制監測管理部門,負責牽頭內部控制體系的建設和完善,組織督促業務部門和分支機構建立和健全內部控制,及時傳導有關監管部門對內部控制的新要求,推進本行內部控制的有效實施,對業務部門和分支機構的內部控制建設和執行情況進行日常監測,定期向本行內控合規預警委員會匯報全行內部控制建設和執行情況;內部審計部門是內部控制的監督評價部門,負責對內部控制的有效性進行監督檢查,對監督檢查中發現的內部控制缺陷按照內部審計工作程序進行報告,對內部控制的健全性和有效性進行定期評價,牽頭負責全行年度內控控制評價工作;總行各職能部門、各分行、各子公司作為內控體系的第一道防線,負責本單位內部控制的自我建立、健全、監督和檢查,負責落實內控活動的具體實施,并配合內控體系建設牽頭部門、評價部門及外部咨詢機構、審計機構做好內控建設及評價工作。
本行根據國家政策、法律法規、經營環境及全行業務發展的需要對內部控制制度適時進行調整和修改。20xx年度,本行以建立層次分明,結構清晰,系統協調,簡單管用的制度體系為目標,按照嚴密、實際、易記、管用為基本原則,持續開展了內控制度梳理工作。經過一年的工作,26個條線部門均對內控制度進行了全面梳理,累計梳理內控制度1229項,涉及修訂及整合的制度共156項、廢止的制度共152項,各條線部門按照制度梳理方案要求積極將部門制度匯編成冊。本行在開辦新業務、設立新機構、運用新技術時,經營管理部門首先要制定內部控制細則,并經過必要的測試認證、風險評估和會簽,報經主管行領導批準后才能實施。
2、內控規范實施工作組織架構
本行行長為內部控制規范實施工作的總負責人。為有效推動內控規范實施工作,本行成立了以主管副行長為組長,各部門負責人為成員的領導小組,辦公室設在法律合規部和審計部。
總行法律合規部是內部控制體系建設的牽頭部門,總行審計部是內部控制自我評價工作的牽頭部門,總行各部門均指定了部門負責人和工作人員作為項目實施聯系人,董事會辦公室按監管要求披露、報備內控實施工作情況。內控規范實施工作的指定聯系人為法律合規部劉亞平(電話:63639259)、盧樞美(電話:63639249),審計部嚴仲民(電話:63636661)、劉騰慧(電話:63636639),董事會辦公室胡蓉(電話:63636717)。
內控規范實施的日常工作由法律合規部和審計部聯合牽頭,并聘請外部咨詢公司協助實施,總行各部門及各分行積極參與項目實施。為更好地推進項目實施,牽頭部門與外部咨詢公司定期舉行工作例會,對項目進度、相關問題、下一步工作計劃等進行討論協商;同時,牽頭部門根據項目進展情況不定期向管理層進行專題匯報。
法律合規部和審計部為內控規范實施的牽頭部門,相關情況如下:
法律合規部
總行法律合規部是本行內部控制建設工作的牽頭組織部門,下設合規管理處、非訴訟法律事務處和訴訟與仲裁事務處,共有員工14人。法律合規部的內部控制職責主要包括:
及時了解和掌握監管部門對銀行內部控制體系建設的要求,牽頭協調和組織全行內部控制體系的建設和完善;
組織、督促總行各業務條線、職能部門及分支機構建立和健全內部控制;
統一管理各類授權、授信涉及的法律事務,制定和審查法律文本,對新業務的推出進行法律論證,確保各項業務的合法和有效。
對各業務部門和分支機構的內部控制建設和執行情況進行監測和管理。
內部控制規范實施過程中,總行法律合規部牽頭組織內控體系建設工作,包括確定內部控制實施的范圍和內容;梳理風險,編制風險清單;梳理形成風險控制矩陣;編制內部控制手冊等相關工作。
全行就內部控制體系建設工作的匯報主要遵循如下路徑:各條線具體負責本條線內的內部控制建設工作,并將建設結果報送法律合規部審核;法律合規部組織、推進總行各業務條線、職能部門及分支機構建立和健全內部控制,并就全行內部控制建設和執行情況定期向本行內控合規預警委員會匯報。
審計部
總行審計部是全行年度內部控制自我評價工作的牽頭組織部門,下設公司業務審計處、零售業務審計處、財會及資金業務審計處、IT審計處、審計質量控制處,共有員工22名。除總行審計部外,全行還設有北部、東部、中西部和南部4個審計中心,主要負責轄區內分行的審計工作。審計部的內部控制職責主要包括:
內部審計部門應當有權獲得本行的所有經營信息和管理信息,并對各個部門、崗位和各項業務實施全面監督和評價。
開展內部控制檢查,結合內部審計監督,對內部控制的有效性進行監督檢查,對監督檢查中發現的內部控制缺陷,按照內部審計工作程序進行報告,對監督檢查中發現的內部控制重大缺陷,有權直接向董事會及其審計委員會、監事會報告。
對內部控制的健全性和有效性進行定期評價。
總行審計部牽頭組織成立總行內部控制評價工作小組,其在內部控制規范實施過程中是內部控制自我評價工作的牽頭部門,具體職責包括:編制自我評價工作計劃;組織實施自我評價工作;根據內部控制自我評價工作編制內部控制自我評價報告。
全行就內部控制自我評價工作的匯報主要遵循如下路徑:總行審計部按年度形成年度內部控制自我評價報告,經行領導審議通過,報送董事會審計委員會,再提交董事會進行審議批準。
3、內部控制實施工作有關聘請咨詢機構的考慮和計劃
本行為滿足《企業內部控制規范》的合規要求,有效識別存在的內部控制薄弱環節,重新梳理控制領域/業務流程,并建立起科學、合理的內部控制評價體系,已于20xx年9月聘請安永(中國)企業咨詢有限公司開展實施內部控制規范咨詢項目,協助本行推進內部控制管理水平的持續提升。
基于國內外內部控制體系建設和評價的行業實踐以及本行內部控制規范咨詢項目實際情況,從項目實施角度出發將項目實施整體框架劃分為四個階段:第一階段為前期準備與方案設計;第二階段為總行實施;第三階段為分行自我評價;第四階段為整改與報告。
第一階段,建立項目管理架構并啟動項目,制定項目總體實施計劃,梳理本行管理和業務流程,設計內部控制管理體系架構、內部控制自我評價方法,并建設內部控制自我評價工具模板,通過培訓與宣導,協助銀行各實施部門和機構理解內部控制自我評價實施的方法、內容和管理要求。
第二階段,根據第一階段流程梳理成果及所設計開發的內部控制自我評價方法和實施方案,在總行具體實施。具體工作包括:確定企業層面和流程層面的內控評價實施范圍;開展企業層面的內控評價工作;同時開展流程層面的內控評價工作;編制風險控制矩陣;針對企業層面和流程層面識別內控缺陷,在此階段主要針對內控的設計缺陷;針對所識別的內控缺陷,制定整改方案。
第三階段,在分行范圍內組織開展評價測試工作,評估缺陷并擬定整改方案,具體工作包括:編制自我評價工作計劃;設計控制測試的方法和程序;分支機構實施自我評價工作。
第四階段,在各機構自行整改的同時,編制內部控制自我評價報告,具體工作包括:各機構開展缺陷整改工作,編制內部控制自我評價報告,并在匯總整理項目各階段工作成果的基礎上,編制完成內部控制管理手冊和評價手冊。
在安永公司的協助下,本項目將形成以下工作成果:內控控制手冊、內部控制評價手冊和內部控制自我評價報告。截至本報告日,咨詢公司已協助本行完成內部控制手冊(征求意見稿)和內部控制評價手冊(初稿)的編制。
4、內控實施工作進展
自20xx年度內控規范實施項目啟動以來,本行已陸續開展如下工作,并形成相應的工作成果:
(1)內部控制體系建設方面:
一是開展內部控制規范實施培訓。為加強全行上下對五部委下發的《企業內部控制規范》及相關配套指引的學習,以利于項目的有效推進,特召開全行視頻會議,對項目背景、監管要求進行了系統培訓,并就實施工作職責分工、進度安排等方面進行了介紹。
二是確定內部控制規范實施的范圍和內容。根據監管要求,參照本行實際情況,確定內部控制實施的范圍為16個企業層面的控制領域及113個流程層面的流程,并形成了企業層面控制領域清單和流程層面控制流程清單。
三是梳理形成風險控制矩陣。在確定了內部控制實施的范圍和內容之后,針對每一企業層面控制領域和流程層面的流程,分別梳理形成風險控制矩陣并對應至條線部門,并形成了企業層面16個風險控制矩陣和流程層面113個風險控制矩陣。
四是初步識別總行層面設計缺陷。在前期梳理完成企業層面和流程層面風險矩陣的情況下,通過將現有的政策、制度等與風險控制矩陣進行比對,初步識別內控設計缺陷,并形成了內部控制設計發現問題清單。
五是編制內部控制手冊。通過整理內控梳理工作成果,編制形成了內部控制手冊(征求意見稿)。
(2)內部控制自我評價方面:
一是確定內部控制評價測試程序。針對企業層面每一領域和流程層面每一流程,分別設計內部控制評價測試步驟,同時設計針對分行內控評價的測試底稿,形成了企業層面16個領域的測試步驟及底稿模板、流程層面113個流程的測試步驟及底稿模板、分行測試步驟及底稿模板。
二是建設內部控制評價標準和工具。結合本行內控管理現狀和審計部部門資源情況,初步設計建設符合全行情況的內部控制自我評價工具和流程,初步形成內部控制評價手冊初稿。
在上述工作之外,本行的內控規范實施工作尚有如下主要工作未開展:
已發現缺陷的整改與再測試工作;
全行全面內部控制自我評價的實施工作;
依據內控規范和配套指引要求,提交內部控制自我評價報告。
二、內部控制建設工作計劃
XXXX年度本行將繼續鞏固已有內部控制建設工作成果,持續深化內部控制建設進程。
由于內部控制建設的前期工作(包括確定內控實施的范圍和內容,梳理企業層面、流程層面的風險控制矩陣,識別總行層面內控設計缺陷)均已于20xx年度實施完成,因此本部分內容將主要列示XXXX年度的內部控制建設工作任務計劃,主要是內控建設工作中發現的設計缺陷(通過對現有的政策、制度等與風險清單進行比對后發現的內控缺陷)的溝通確認及整改落實工作:
1、總行相關部門確認內控缺陷。主要工作是組織各部門對內控建設過程中發現的設計缺陷進行確認,對于涉及多個部門的缺陷,由各部門協調確認缺陷的負責部門。計劃完成時間:XXXX年3月。責任部門:總行存在缺陷的相關部門。
2、與總行相關部門溝通制定內控缺陷整改方案。相關部門在完成設計缺陷的確認工作后,在咨詢公司的協助下,制定缺陷整改方案,提交內控預警委員會審議。計劃完成時間:XXXX年4月。責任部門:總行存在缺陷的相關部門、法律合規部。
3、總行相關部門根據整改方案著手開展整改工作。相關部門根據缺陷確認結果和整改方案,著手開展缺陷整改工作,并根據整改情況向法規部報送整改進度。計劃完成時間:XXXX年4月-9月。責任部門:存在缺陷的相關部門。
4、根據整改結果更新風險控制矩陣。計劃完成時間:XXXX年12月。責任部門:法律合規部、審計部。
5、按要求報送、披露內控實施工作情況。根據監管部門要求,將本行內控實施工作情況及時向監管部門報送,并按要求完成披露工作。計劃完成時間:按監管要求實施。責任部門:董事會辦公室、法律合規部、審計部。
三、內部控制自我評價工作計劃
XXXX年度的內部控制評價工作任務計劃如下:
1、編制自我評價工作計劃,評價工作的具體時間表和人員分工。計劃完成時間:XXXX年5月。責任部門:審計部。
2、確定內部控制缺陷的評價標準,包括定性標準和定量標準,缺陷分為一般缺陷、重要缺陷和重大缺陷。計劃完成時間:XXXX年5月。責任部門:審計部、法律合規部。
3、組織實施自我評價工作,編制內部控制評價工作底稿。計劃完成時間:XXXX年9月。責任部門:審計部。
4、對發現的缺陷進行評價,編制缺陷評價匯總表,同時提出整改建議,編制整改任務單。計劃完成時間:XXXX年9月-12月。責任部門:審計部。
5、根據內部控制自我評價工作編制內部控制自我評價報告。計劃完成時間:XXXX年3月。責任部門:審計部。
6、按照要求披露內部控制自我評價報告。計劃完成時間:XXXX年4月。責任部門:董事會辦公室、審計部。
組
長:略
內部控制工作小組主要職責包括:
1.制定并組織實施學校內部控制制度,落實學校內部控制目標;
2.構建學校內部控制體系,制定學校內部控制體系建設方案;
3.組織開展單位層面和業務層面風險評估工作;
4.制定風險管理策略和跨科室的重大風險解決方案,并負責方案的組織實施和對風險的日常監控;
5.編制全面風險管理報告,向管理層提示學校重大、重要風險以供決策需要;
6.確定學校內部控制缺陷認定標準,定期組織對內部控制實施的有效性進行評估并出具評價報告和內部控制缺陷整改方案;
中圖分類號:F270 文獻識別碼:A 文章編號:1001-828X(2016)027-000-01
一、內控評價項目的基本程序
在當今復雜的商業環境中,每個企業都面臨眾多的風險因素,包括戰略風險、市場風險、財務風險、運營風險和法律風險等,自2008年以來,我國財政部、證監會、審計署、銀監會、保監會陸續聯合了《企業內部控制基本規范》《企業內部控制配套指引》,指導企業建立健全以防范風險、規范管理、促進可持續發展為中心的內部控制體系。
企業內控評價項目是指企業為對本企業或其所屬單位內部控制設計、運行有效性進行全面評價,形成評價結論而開展的活動。根據《內部控制評價指引》,內控評價項目按其基本程序可分為準備階段、實施階段、報告階段;具體包括制定評價工作方案、組成評價工作組、實施現場測試、編制評價底稿、認定控制缺陷、匯總評價結果、編制評價報告等環節。
二、內控評價項目準備階段工作創新
在管理實踐中,計劃是其他管理職能的前提和基礎。開展內控評價項目,應當對項目計劃予以充分的重視,只有在評價組進點前做足準備工作,才能事半功倍,使項目取得預期成效,并提升項目的經濟性、效果性、效率性。
一般在內控評價項目進點前3日應當正式內控評價通知書,在此之前,均可視為項目準備階段,該階段的工作不僅僅是成立評價小組,制定內控評價方案,至少還應重視以下工作內容:1.項目立項;2.設計內控評價表;3.培訓。
(一)項目立項
凡擬納入內控評價年度工作計劃中的項目,應當至少綜合考慮以下因素:被評價單位的運營狀況、以前年度審計(內控評價)發現問題、所處行業形式、企業年初編制的風險報告、企業年度工作計劃等。以2015年某電力國企對旗下一家電解鋁企業開展內控評價項目為例,在年初立項時,綜合考慮了電解鋁行業發展趨勢、公司電解鋁企業扭虧控虧的工作計劃、年度風險報告中指出的電解鋁市場風險以及該子公司2014年度原經理離任經濟責任審計等因素,才納入內控評價年度工作計劃。如此才能突顯開展該項目的必要性,并可高屋建瓴指導內控評價工作方案的制定,使工作方案目標清晰、重點突出,令內控評價項目為企業降低成本、規范管理、應對風險多提良策,不僅發揮內控評價的免疫功能,更要發揮其增值功能。
(二)設計內控評價表
《企業內部控制應用指引》明確了內部控制體系至少包括18項業務流程(內控要素)。對每一項業務流程(內控要素)的內控評價,都可針對內控設計完整性和內部控制遵循性分別進行評價,評價發現的缺陷分別定性為設計缺陷和執行缺陷。企業可以根據自身特點于《企業內部控制應用指引》之外細化或新增一些內控要素,如對標管理、稅務管理、生產運營管理、制度管理、綜合事務管理等,并按設計完整性、內控遵循性編制相應的業務流程主要風險點(關鍵控制點)。
根據評價前調查情況,可對項目評價的內控要素進行刪選,擇其重點,如被評價單位無擔保業務、研發業務,則可剔除該項評價要素。另外,根據評價前調查情況,可針對某項內控要素的不同關鍵控制點考慮賦予不同的分值或權重,如調查發現某電解鋁企業將其廠內炭塊短倒、裝卸業務進行外包,則在業務外包設計完整性中,外包業務安全管理制度設計比承包方資質遴選制度設計更加重要,應當賦予更多的分值或權重。
設計內部控制評價表是內控評價項目實施前的一項重點工作,是內控評價方案的重要組成部分,其最終的填報完成即是項目的主要工作目標與成果。內部控制評價表與評價前調查工作相輔相成,它可有效指導調查工作,同時也根據調查情況進行調整。設計內部控制評價表應遵循SMART原則,做到:1.針對內部控制不同的要素或流程分別制表,2.針對被評價單位的特點羅列內控要素涉及的關鍵控制點(主要風險點),并賦予分值,注明評分規則,3.應便于內控評價項目實施階段的抽樣、測試、評價結果的填寫,4.應考慮與評價底稿建立索引關系,5.可對內部控制的設計有效性和執行有效性得分進行統計分析和整體評價。
(三)培訓
任何一個項目都有其自身特點,所以無論評價組的人員是專職內控評價人員、企業系統內借調人員還是外聘事務所人員,均需參加評價前的培訓,以便熟悉項目特點,申明工作紀律(尤其是保密紀律),增強業務水平,提高工作效率。
評價前的培訓形式多種多樣。如召開內控評價方案討論會,通過召開討論會,集思廣益,一方面可調整方案與分工,一方面可讓評價組成員熟悉項目目標與工作重點。也可將評價前調查獲取的資料作為培訓材料發放給評價組成員,如可研、工藝流程的PPT、預算、明細賬、合同臺賬、各類會議紀要、制度框架及文本等,讓評價組成員提前熟悉,可安排評價組員根據分工,提前搜集相關的法律法規、政策、國標、行業標準等,以提前掌握評價依據,上述工作內容布置后應盡可能召開專題會議進行討論,一方面檢驗評價項目準備工作的充分性,一方面通過交流令全體組員對評價項目測試工作“心中有數”,為項目實施做好鋪墊;可召開專題會向評價組進行介紹被評價單位工藝流程,令評價組成員進點后現場查看時把握主動權,降低盲目性,提高工作效率。
凡召開專題會議開展的培訓,應當做好記錄,以便于后期項目資料歸檔所用。
三、小結
開展企業內控評價項目,應當充分重視項目準備階段的各項工作,加強項目計劃管理,合理優化設計內部控制評價表,并勇于創新,做好評價前培訓工作。總之,只有為內控評價項目做好“鳳頭”,方可保證項目實施階段、報告階段的工作質量。
參考文獻:
[1]財會[2008]7號.企業內部控制基本規范[Z].
[2]財會[2010]11號.企業內部控制應用指引[Z].
[3]財會[2010]11號.企業內部控制評價指引[Z].
[4]國資發改委[2006]108號.中央企業全面風險管理指引[Z].
根據《x局內部控制評價制度》規定,內部控制評價分為自我評價和獨立評價兩部分,2018年的內部控制評價工作依照此原則進行。
二、工作任務
本次評價工作主要包括單位層面和業務層面兩個層面的評價工作。
在單位層面,對內部環境、風險評估、控制活動、信息與溝通、內部監督等五個方面從內部控制的設計有效性和運行有效性兩方面進行全面系統評價。
在業務層面,對為確保工作目標、工作效率和效果、財務報告及相關信息真實完整目標、資產安全目標、合法合規目標等單個或整體控制目標實現所設置的內部控制活動進行評價。
對單位層面的控制是否有效為主線,包括內部環境、風險評估、信息與溝通、內部監督等;對主要業務活動控制的設計與執行的有效性進行評價。
評價工作重點關注以下內容:
1.被評價單位內部控制是否在風險評估的基礎上涵蓋了單位層面的風險和所有重要的業務流程層面的風險。
2.被評價單位內部控制設計的方法是否適當,內部控制建設的時間進度安排是否科學、階段性工作要求是否合理。
3.被評價單位內部控制設計和運行的組織是否有效,人員配備、職責分工和授權是否合理。
4.被評價單位是否開展內部控制自查并上報有關自查報告。
5.被評價單位是否建立有利于促進內部控制各項政策措施落實和問題整改的機制。
6.被評價單位在評價期間是否出現過重大風險事故等。
三、主要工作流程
1.內部控制自我評價
自我評價由所屬各單位按照局統一安排,自行開展。內控評價股室制定年度內部控制評價工作方案,提交局長辦公會審議,根據工作方案的時間安排啟動內部控制自我評價,下發內部控制自我評價表。各相關股室接到自我評價表后,按內部控制評價制度的相關要求,成立自我評價工作小組,制定工作實施方案,組織本部門進行自我評價工作。評價結果經部門負責人簽字確認后報內控工作小組匯總,內控評價工作組將對各單位的自我評價情況進行分析和審核,并報內部控制領導小組審閱。
2.內部控制獨立評價
內部控制獨立評價,由教體局內控評價工作組綜合運用訪談、測試和比較分析等方法,廣泛收集內部控制設計和運行是否有效的證據,研究分析內部控制缺陷,對各相關部門內部控制的有效性進行評價。局內控評價工作組對現場各小組初步認定的內部控制缺陷進行全面復核、分類匯總,初步確認綜合獨立評價結果,報經內部控制領導小組審閱。同時結合提出的內控缺陷整改建議,組織內部控制缺陷整改,跟蹤整改落實情況。
3、內部控制評價報告編制
一、內部審計計劃階段與內控風險識別的結合
審計計劃一般包括年度審計計劃、項目審計計劃和審計方案三個層次,年度審計計劃按照內部審計具體準則的要求:內部審計機構負責人應根據審計項目的風險程度規劃審計項目執行的先后順序,年度審計計劃報董事會批準執行。項目審計計劃的編制內容中,按照內部審計具體準則的要求應包括重要性和審計風險的評估。
財政部的《企業內部評價指引》解讀中,對內部控制評價程序一般包括:制定評價工作方案等,針對制定評價工作方案描述如下:內部控制評價機構應當根據企業內部監督情況和管理要求,分析企業經營管理過程中的高風險領域和重要業務事項,確定檢查評價方法,制定科學合理的評價工作方案,經董事會批準后實施。
上述內容顯示無論內部審計還是內部控制,在其計劃階段強調的是風險評估,和聚焦高風險領域和重要業務事項。公司在具體內審、內控工作開展的計劃階段,應注意兩者的結合,充分關注高風險領域和重要業務事項的風險程度,完成內審和內控兩方面的工作。同時利用內部控制內控風險識別的自我評價這一有效的日常工作成果,使內部審計計劃的針對性更強,內控風險識別工作的作用更明顯。
二、內部審計實施階段與內控風險認定、測試、分析的結合
《內部審計準則第5號內部控制審計》,其中第五條對內部控制包括的內容描述為控制環境、風險管理、控制活動、信息與溝通、監督等五個要素。《企業內部控制基本規范》中描述的內部控制的五要素為:內部環境、風險評估、控制活動、信息與溝通、內部監督,認真閱讀比對后發現,雖然字面稍有差異,但內容是一致的。
內部審計實施階段常用的方法包括:詢問、檢查、觀察、測試、追蹤、分析等。
財政部的《企業內部評價指引》解讀中,對實施階段――開展現場檢查測試中描述如下:評價工作組根據評價人員分工,綜合運用各種評價方法對內部控制設計與運行的有效性進行現場檢查測試,按要求填寫工作底稿、記錄相關測試結果,并對發現的內部控制缺陷進行初步認定。
上述內容顯示內控審計和內控評價的實施階段無明顯差異,但在公司內審、內控工作中發現,充分利用內控體系建設中《風險表-風險清單》、《控制矩陣表》《不相容職責表》《授權審批表》等成果,快速并系統的完成風險測試、認定和針對審計發現缺陷的深入分析,往往會減少現場工作時間提高效率和質量,內控評價的規范性、全面性在時間工作中表現突出。
三、內部審計評價與內控風險評價的結合
針對審計過程發現的問題或缺陷,充分利用應用指引明確的關鍵風險點和《控制矩陣表》描述的風險等級標準,展開現場審計發現問題的評價和責任劃分。實際工作中,內控評價的風險程度劃分對內部審計問題的界定提供了較好的支持,完善了以往審計發現問題無明確的界定標準的工作缺陷。
四、內部審計整改階段與內控缺陷整改的結合
電力工業是國家基礎行業,關系到國民經濟命脈,聯系著千家萬戶。隨著發電企業內外部形勢的變化,發電企業財務管理工作,應與國際社會接軌,引入內控風險管理,進而提升發電企業財務管理水平,全面提升發電企業核心競爭力。
一、發電企業財務內控風險管理的實施應遵循原則
(一)原則性導向和規則性導向相結合的原則
原則性導向是指對需要判斷的事項規定一個判斷的基本原則,在具體操作中需財務人員根據原則進行判斷;規則性導向是指對需要判斷的事項已經確立了一個明確的判斷標準,財務人員可以根據具體標準進行判斷。
(二)上下聯動原則
在內控風險管理實施過程中,應采取企業部署、部門自查、內控風險管理小組復查的方式。
(三)風險導向原則
在評價計劃和實施的過程中,按照風險大小確定企業財務管理中每個流程的評價重點。
(四)重要性原則
對重要業務和重要管理環節都要納入評價范圍。
二、加強發電企業財務管理中內控風險管理的組織架構建設
為提升發電企業財務管理中的內控風險管理,應成立專門組織機構,負責財務內部風險管理的組織領導。其主要職責包括:審閱和批準內控風險管理工作方案;審議年度內控風險管理,并提出相關意見和建議;及時掌握公司日常財務內控風險管理的監控結果,根據內控缺陷情況,確定內控整改方案和措施;對內控整改過程中出現的相關重大事項進行決策。
為確保發電企業財務內控風險管理落到實處,應成立內控風險管理工作組,其主要職責包括,確定年度內控風險管理工作方案;負責組織財務相關部門開展內控風險管理工作;根據自我評價和檢查情況,分析設計和執行的有效性,討論定稿內控風險管理評價報告。財務部是發電企業財務內控風險管理工作的基本主體單位,其主要職責包括,開展財務部內控風險管理工作,編制內控風險管理自我評價工作底稿和自我評價報告;配合內控風險管理工作組進行內部控制復核和檢查工作。
三、發電企業財務內控風險管理的評價內容
(二)高度重視,有序推進。5月12日召開專項整治工作推進會,會議要求各科室、各中心要高度重視,按照工作方案的要求,采取有力措施,細化操作流程,精心組織實施,推動社保領域專項整治工作有序開展。
一是嚴格執行政策。各社保經辦機構認真梳理近年來各項社保政策執行情況,特別是戰疫情、穩就業、服務企業復工復產等,確保政策執行不打折扣。
二是完善內控制度。各社保經辦機構進一步健全和完善更新現有的內控制度,科學設置崗位,優化業務流程,建立受理、初審、復核、審批、支付等環節相互制衡的經辦風險管理機制。
三是加強日常監管。嚴格落實縣人社局基金監督管理暫行辦法,通過現場監督和非現場監督方式,加強基金日常監管,組織開展社保基金管理風險防控互查。認真對接各級基金檢查和大數據疑點信息比對反饋,對發現的風險隱患,認真整改到位。
四是建立共享機制。正在制定相關制度,通過與民政、公安部門對接死亡數據,實現數據共享,定期開展比對,有效破解死亡冒領、重復領取社保待遇問題。
五是強化內部管理。經常性開展警示教育,用身邊事教育身邊人,增強風險防范和制度執行意識。進一步梳理經辦流程,規范窗口經辦管理,優化服務。大力開展人社窗口單位業務技能練兵比武活動,提高經辦人員業務水平。開展明察暗訪,強化效能和作風建設,展示人社形象。
二、階段性成果
在局黨組的重視和各科室、各中心的共同努力下,社保專項整治工作取得了階段性成果。
一是專門設置內控崗位,由專人負責內控制度建設。合理配置崗位人員,落實崗位不相容要求,嚴禁業務和財務崗位兼任,嚴禁業務和信息崗位兼任。嚴格授權管理,實行初審、復審、審批制度,做到一般業務二級審核,重要業務三級審核。
二是利用社會保險基金監督管理信息系統,通過大數據每月對基金的運行過程進行非現場監督,今年來共發現退休、退職等享受養老保險待遇且享受失業保險待遇人員預警明細信息4條、一人在多個統籌區繳納失業保險費當期預警明細信息56條等問題,共追回違規領取社會保險金2922元,確保社保基金安全。
三是通過有效的考核辦法及宣傳工作,城鄉居保近期工作進展喜人,截至目前全縣60周歲以下參續保25.63萬人,已完成年初任務72.7%,人均繳費水平514.67元,與上年同期環比增長47.5%,其中湯池鎮已率先完成全年目標任務。60周歲以上發放18.9萬人,發放養老金22428.91萬元;落實高齡補貼政策,惠及65周歲以上待遇領取人員14.97萬名,共發放補貼34.95萬元。
1.準備階段:審前調查不認真不充分。目前,部分審計人員對審前調查的認識模糊,對一些審計過的單位和項目自以為情況熟悉無需調查或者審前調查蜻蜓點水,流于形式。沒有按照審計項目的不同類型和要求有針對性地進行審前調查,從而使審計方案的編制存在先天不足。
2.編制階段:審計方案的指導性不強,方案內容缺失。主要表現為:一是由于審前調查不充分,依據個人經驗編制的審計方案往往空話套話、原則性的話多,對審計工作的指導性和可操作性不強;二是部分重要項目(如同級審、行業審計)的審計工作方案未經審計業務會議審定,僅由業務部門編制后就下達到審計組實施。審計組所在部門負責人也未按規定對審計實施方案的相關內容進行審核;三是審計方案的內容缺失,尤其是重要性水平的確定、審計風險的評估和對審計目標有重要影響的審計事項的審計步驟和方法,這些審計方案的必備內容,但由于審計人員自身素質不高或審前調查不認真往往沒有反映。
3.執行階段:偏離、隨意調整及執行不到位現象較為普遍。一方面,在審計實施過程中出現了應當調整審計方案的事項時,往往不按照規定及時進行調整,審計人員仍按原方案實施審計;另一方面,由于分工模糊,審計人員不按審計方案確定的審計目標和步驟進行審計,而是憑經驗審計,審計結果偏離審計方案確定的目標。上述重審計方案的編制、輕審計方案執行的現象導致審計方案成了一種程序,一種形式,一種擺設,很難發揮其應有的作用。
4.檢查階段:責任追究未落實。根據現行的制度規定,對審計方案的檢查主要是通過審計組組長進行審計工作底稿復核和審計組所在部門進行的復核體現出來的,在實際工作中由于人手少或復核機制不健全原因,這種檢查往往流于形式。質量控制辦法雖然規定了三個層次的控制責任,但到目前為止,極少有人因為審計方案的編制、執行、調整不到位,出現問題而承擔了相應的責任。這種責任追究僅停留在紙上,而未落到實處。
二、提高審計方案質量的措施
1.把好審前調查關,為編制審計方案奠定基礎。審前調查是編制審計方案的必經途徑。審計人員要轉變觀念,做到“磨刀不誤砍柴工”,嚴格按照要求對每個審計項目都認真開展審前調查,同時還要創新審計調查的時間和方式,充分發揮計算機在審前調查中的作用。通過審前調查,找出被審計單位內控制度執行的薄弱環節,從而確定審計項目的重要性水平和評估審計風險,為編制審計方案奠定堅實的基礎。
近幾年國內外發生的“安然”“銀廣夏”等舞弊事件,暴露了企業風險管理的缺失。上市公司多年的經營管理實踐表明,內部控制工作的完善程度反映了企業管理水平的高低,同時,內控體系建設也是提升管理水平的有效手段。建立健全有效的內部控制,可以合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整,提高經營效率和效果,促進企業實現發展戰略。
2上市公司內部控制規范體系建設與實施的背景
近年來,通過聯合重組、合并兼并、主輔分離等行之有效的改革措施,我國上市公司的整體素質、運行質量、創新能力和國際競爭力有了大幅度提升,但同時,伴隨著我國企業較快的增速和迅猛發展,各種潛在的風險也日益顯現,為了提高企業經營管理水平和風險防范能力,促進可持續發展,國家財政部等五部委制定了《企業內部控制基本規范》及其配套指引,強制要求境內外所有上市公司建立和實施內部控制體系,對其有效性進行自我評估,披露年度自我評估報告,并要求聘請具有證券、期貨業務資格的會計師事務所對內部控制的有效性進行審計。鑒于此,許多上市公司根據需要成立了專門的內控項目組或者內控專職機構,對本公司的內控體系建設的有效性進行自我檢查和評估。
3 上市公司內部控制的測評方法及程序
上市公司在開展內部控制檢查評價工作過程中,應當根據評價內容和被評價單位具體情況,綜合運用個別訪談、調查問卷、專題討論、穿行測試、實地查驗、抽樣和比較分析等方法,廣泛收集被評價單位內部控制設計和運行是否有效的證據。評價方法的選擇應當有利于保證證據的充分性和適當性。
3.1 內部控制測評方法
個別訪談法。個別訪談法主要用于了解企業及其所屬單位內部控制的基本情況。被訪談人主要為單位領導、相關機構負責人或一般崗位員工,通過訪談可以大致了解公司及其所屬單位內部控制制度的建立與實施情況,進一步確定檢查評價的重點和方向。評價人員在訪談前應根據內部控制評價目標和要求形成訪談提綱,訪談工作結束后應撰寫訪談紀要,如實記錄訪談的內容。
調查問卷法。調查問卷法常見于內部環境評價。調查問卷一般包括調查內容、調查結果、支持性文檔等內容。其中,“調查內容”基于企業實際情況,明確被評價單位或對象各業務環節內部控制評價內容;“調查結果”是指被評價單位或對象針對調查內容,如實填寫相關控制的設計與運行情況;“支持性文檔”要求被評價單位或對象列示相關控制所涉及的支持性文檔,如會議紀要,企業文化手冊等文檔;評價人員還可以要求被調查部門負責人和被調查人員在調查問卷上簽字確認。
穿行測試法。穿行測試法是指在內部控制系統中任意選取一筆交易作為樣本,追蹤該交易從最初起源直到最終在財務報表或其他經營管理報告中反映出來的過程,即該流程從起點到終點的全過程,以此來了解整個業務流程狀況,識別出其中的關鍵控制環節,評估相關控制設計與運行的有效性。
(4)抽樣法
抽樣法是指企業針對具體的業務流程,按照業務發生頻率及固有風險的高低,從確定的樣本庫中抽取一定比例的業務樣本,對業務樣本的控制水平進行判斷,進而對整個業務流程的內部控制有效性作出評價。抽樣法是控制測試的常用方法,分為隨機抽樣和其他抽樣。應用抽樣法時應注意樣本庫須包含符合測試要求的所有樣本,測試人員首先應對樣本庫的完整性進行確認。
(5)實地查驗法
實地查驗法是指企業對現金、存貨、固定資產等實物資產進行現場盤點、查驗,主要用于對資產安全性目標的實現情況所作的評價。企業對財產進行實地查驗,需要制定統一的測試工作表,并從特定的樣本庫中抽取若干測試樣本,與業務記錄、財務單證等進行核對驗證,以此判斷與資產安全目標相關的各項控制的有效性。
比較分析法。比較分析法是指通過分析、比較數據間的關系、趨勢或比率等來取得評價證據的方法。企業可以將評價過程中取得的數據與歷史數據、行業標準數據或最優數據等進行比較,找出其中異常波動的情形,并重點對異常區間的內部控制有效性進行檢查評價。
專題討論法。專題討論法通常用于控制活動評價,是指通過召集與業務流程相關的管理人員就業務流程的特定環節或某類具體問題進行討論及評估的一種方法。專題討論法既是一種常見的控制評價方法,也是形成缺陷整改方案的重要途徑。對于同時涉及財務、業務、信息技術等方面的控制缺陷,往往需要由內部控制專職機構組織召開專題討論會議,綜合內部各機構、各方面的意見,研究確定缺陷整改方案。
3.2 內部控制評價程序
設置內部控制評價部門。上市公司可以根據需要在內部設置專門機構或委托內部審計部門來負責內部控制評價的具體組織實施工作,內部控制評價部門必須具有獨立性、權威性和相適應的專業勝任能力及職業道德修養,保證內部控制評價工作能夠順利進行。
制定評價工作方案。內部控制評價部門應當根據公司實際情況和管理需要,分析經營管理過程中的高風險領域和重要業務事項,制定科學合理的評價工作方案,報經董事會審批后實施,評價工作方案可以全面評價為主,也可以根據需要對高風險領域和重要業務事項進行重點評價,以提高內部控制評價的效率和效果。
組成評價工作組。內部控制評價部門應當根據經批準的評價方案,組成內部控制評價工作組,具體實施內部控制評價工作。評價工作組應當吸收企業內部相關機構熟悉情況的業務骨干參加,也可以根據自身特點,抽調審計、財務、生產管理等專業人員,對內部控制全面或某一方面進行日常和專項檢查評價。評價工作組成員對本部門的內部控制評價工作應當實行回避制度。
實施現場測試。評價工作組根據評價工作方案確定的內部控制評價范圍,入駐被評價單位,實施現場測試。現場測試應先了解被評價單位基本情況,確定檢查評價范圍和重點領域,然后對評價人員進行分工,實施現場檢查測試,形成工作底稿,并編制現場評價報告,經被評價單位負責人簽字后,提交內部控制評價部門。
認定控制缺陷,匯總評價結果。內部控制評價部門根據各評價工作組的評價結果,全面復核、分類匯總各工作組認定的內部控制缺陷,并綜合分析缺陷的成因、表現形式及風險程度,判定缺陷類型及等級,編制缺陷認定匯總表。對于認定的內部控制缺陷,內部控制評價部門應當提出整改建議,要求責任單位及時整改,并跟蹤其整改落實情況。
