时间:2022-06-24 18:44:35
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇内控工作方案范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
把单位风险评估作为重大决策、重大政策、重大项目、重大改革措施等制定实施的前置程序和必备条件,对重大事项实施可能出现的稳定风险先期预测、先期评估、先期化解,充分尊重和运用预测评估结果,从源头上预防和减少影响单位稳定和发展问题的发生。重点围绕财政资金分配使用、固定资产监管、项目建设和科室职权运行等方面,从科室层面和个人岗位层面着手,认真梳理工作流程,明确业务环节,查找业务风险,制定防控措施,建立健全权责对等、制衡有方、运行顺畅、执行有力、管理科学的内部控制体系,制定符合单位实际的内部控制制度,编制完成单位《内部控制手册》。
二、 风险评估与控制范围
本次风险评估单位涉及的业务范围分为:科室层面风险和岗位业务活动层面风险。
1、科室层面风险主要包括:科室内部岗位设置不合理、 岗位职责不清晰、关键岗位胜任能力不足、内部控制管理机 制不健全等情况导致的风险; 经济活动决策机制不科学,决策程序不合理或未执行导致的风险。
2、岗位业务活动层面风险:主要包括经费收支、物资采购、资产管理、建设项目管理、合同管理以及其他风险; 本科室职能业务开展过程中存在的管理风险,如办证、查办 案件、处理投诉举报等工作中的风险。
三、活动步骤与时间安排
本次风险评估是在单位全面推进内部控制建设工作领导小组的领导下、各职能科室全面参与的专项活动。其主要步骤包括:
(1)8月中下旬,单位全面推进内部控制建设工作领导小组研究制定了风险评估工作计划,明确风险评估的目标和任务;单位里组织召开了由各处室负责人参加的专题会议,对风险评估活动做出了动员、培训和安排;
(2)会后,各科室先进行自查,查找风险点,研究整改措施,形成科室工作风险评估报告,单位全面推进内部控制建设工作领导小组根据各科室的自查情况,选择关键科室进行重点检查;单位全面推进内部控制建设工作领导小组综合各科室自查情况和抽查情况,进行风险分析,组织编写风险评估报告。
中国光大银行股份有限公司,简称为中国光大银行、光大银行(以下称本行)。本行成立于1992年,1997年1月完成股份制改造,20xx年8月18日成功完成IPO并在上海证券交易所挂牌上市,股票代码601818。截止20xx年9月,公司资产规模达到16,700亿元;截止20xx年底,已在26个省、自治区、直辖市的72个经济中心城市设立分支机构689家,形成了全国性银行的经营网络。光大银行多年来不断改革创新、锐意进取,在为社会和客户提供优质金融服务的同时,取得了良好的经营业绩,已成为一家颇具社会影响力的全国性股份制商业银行和上市公司。
根据《企业内部控制基本规范》的规定,本行通过多年的内部控制不断实践,已建立了较为健全的内部控制监督体系。本行董事会负责内部控制的建立健全和有效实施,对内部控制评价报告的真实性负责;监事会对董事会建立与实施内部控制进行监督;高级管理层负责内部控制的实施,组织领导本行内部控制的日常运行。董事会和监事会通过下设专门委员会对本行内部控制体系的建设、执行和完善情况进行监督指导。
为加强内部控制体系建设,本行建立和完善了以股东大会、董事会、监事会、高级管理层为主体的公司治理架构,形成了分工合理、职责明确、制衡有效、报告关系清晰、运行高效的良好公司治理,为内部控制的有效性提供必要的前提条件。董事会下设战略委员会、审计委员会、风险管理委员会、提名委员会、薪酬委员会、关联交易控制委员会;监事会下设提名委员会和监督委员会;总行设有资产负债管理委员会等19个委员会,计财部、资金部、投行部等26个部室,以及北京、上海、广州、深圳等34家分行,本行控股设立了2家子公司,分别是光大金融租赁股份有限公司和韶山光大村镇银行股份有限公司。
本行面临的主要风险包括信用风险、市场风险、流动性风险、操作风险、合规风险、信息科技风险、战略风险、声誉风险、银行账户利率风险、集中度风险等。为管理上述风险,本行建立了董事会领导下的职责清晰、分工明确的全面风险管理组织架构,以巴塞尔新资本协议核心原则为导向,借鉴国外先进银行的实践经验,建立并持续完善涵盖风险识别、评估、计量、监督、报告和控制的全面风险管理体系。
本行各项业务活动严格执行授权控制原则,实行统一法人管理和法人授权,明确划分相关机构部门之间、岗位之间的职责,实行不相容职务分离制度,并按条线和业务类别建立了包括人力资源程序、会计管理、预算控制、财产保护、运营分析、事后监督等全面的控制措施体系。
本行建立了行之有效的信息系统,通过优化OA系统,改造内部局域网系统,建立规范高效的公文流转机制,做到文件分发急缓有序、传递快捷;加强全行档案规范化管理,加强各类涉密文件、资料的保密管理,加强对全行重大经营管理活动的统一宣传管理;完善各类会议议事规则和程序;强化各类定期报告制度、重大和紧急情况报告与通报制度,通过多种报告形式,保持内部信息交流与沟通的及时性和有效性,并提高信息传导和沟通效率,保障决策的科学高效。
各业务条线和职能部门负责内部控制的具体管理和执行,法律合规部负责本行内部控制的监测管理和合规达标的建设推进,内部审计部门负责内部控制的监督评价。
本行通过制度明确了各层级、各部门在内部控制监督方面的职责,对于在内部控制建设实施中发现的重大问题及时上报高级管理层和董事会。总行内控合规预警委员会负责建立并维护全行内控及合规风险管理体系,推进本行内部控制的达标实施;法律合规部作为本行内部控制监测管理部门,负责牵头内部控制体系的建设和完善,组织督促业务部门和分支机构建立和健全内部控制,及时传导有关监管部门对内部控制的新要求,推进本行内部控制的有效实施,对业务部门和分支机构的内部控制建设和执行情况进行日常监测,定期向本行内控合规预警委员会汇报全行内部控制建设和执行情况;内部审计部门是内部控制的监督评价部门,负责对内部控制的有效性进行监督检查,对监督检查中发现的内部控制缺陷按照内部审计工作程序进行报告,对内部控制的健全性和有效性进行定期评价,牵头负责全行年度内控控制评价工作;总行各职能部门、各分行、各子公司作为内控体系的第一道防线,负责本单位内部控制的自我建立、健全、监督和检查,负责落实内控活动的具体实施,并配合内控体系建设牵头部门、评价部门及外部咨询机构、审计机构做好内控建设及评价工作。
本行根据国家政策、法律法规、经营环境及全行业务发展的需要对内部控制制度适时进行调整和修改。20xx年度,本行以建立层次分明,结构清晰,系统协调,简单管用的制度体系为目标,按照严密、实际、易记、管用为基本原则,持续开展了内控制度梳理工作。经过一年的工作,26个条线部门均对内控制度进行了全面梳理,累计梳理内控制度1229项,涉及修订及整合的制度共156项、废止的制度共152项,各条线部门按照制度梳理方案要求积极将部门制度汇编成册。本行在开办新业务、设立新机构、运用新技术时,经营管理部门首先要制定内部控制细则,并经过必要的测试认证、风险评估和会签,报经主管行领导批准后才能实施。
2、内控规范实施工作组织架构
本行行长为内部控制规范实施工作的总负责人。为有效推动内控规范实施工作,本行成立了以主管副行长为组长,各部门负责人为成员的领导小组,办公室设在法律合规部和审计部。
总行法律合规部是内部控制体系建设的牵头部门,总行审计部是内部控制自我评价工作的牵头部门,总行各部门均指定了部门负责人和工作人员作为项目实施联系人,董事会办公室按监管要求披露、报备内控实施工作情况。内控规范实施工作的指定联系人为法律合规部刘亚平(电话:63639259)、卢枢美(电话:63639249),审计部严仲民(电话:63636661)、刘腾慧(电话:63636639),董事会办公室胡蓉(电话:63636717)。
内控规范实施的日常工作由法律合规部和审计部联合牵头,并聘请外部咨询公司协助实施,总行各部门及各分行积极参与项目实施。为更好地推进项目实施,牵头部门与外部咨询公司定期举行工作例会,对项目进度、相关问题、下一步工作计划等进行讨论协商;同时,牵头部门根据项目进展情况不定期向管理层进行专题汇报。
法律合规部和审计部为内控规范实施的牵头部门,相关情况如下:
法律合规部
总行法律合规部是本行内部控制建设工作的牵头组织部门,下设合规管理处、非诉讼法律事务处和诉讼与仲裁事务处,共有员工14人。法律合规部的内部控制职责主要包括:
及时了解和掌握监管部门对银行内部控制体系建设的要求,牵头协调和组织全行内部控制体系的建设和完善;
组织、督促总行各业务条线、职能部门及分支机构建立和健全内部控制;
统一管理各类授权、授信涉及的法律事务,制定和审查法律文本,对新业务的推出进行法律论证,确保各项业务的合法和有效。
对各业务部门和分支机构的内部控制建设和执行情况进行监测和管理。
内部控制规范实施过程中,总行法律合规部牵头组织内控体系建设工作,包括确定内部控制实施的范围和内容;梳理风险,编制风险清单;梳理形成风险控制矩阵;编制内部控制手册等相关工作。
全行就内部控制体系建设工作的汇报主要遵循如下路径:各条线具体负责本条线内的内部控制建设工作,并将建设结果报送法律合规部审核;法律合规部组织、推进总行各业务条线、职能部门及分支机构建立和健全内部控制,并就全行内部控制建设和执行情况定期向本行内控合规预警委员会汇报。
审计部
总行审计部是全行年度内部控制自我评价工作的牵头组织部门,下设公司业务审计处、零售业务审计处、财会及资金业务审计处、IT审计处、审计质量控制处,共有员工22名。除总行审计部外,全行还设有北部、东部、中西部和南部4个审计中心,主要负责辖区内分行的审计工作。审计部的内部控制职责主要包括:
内部审计部门应当有权获得本行的所有经营信息和管理信息,并对各个部门、岗位和各项业务实施全面监督和评价。
开展内部控制检查,结合内部审计监督,对内部控制的有效性进行监督检查,对监督检查中发现的内部控制缺陷,按照内部审计工作程序进行报告,对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。
对内部控制的健全性和有效性进行定期评价。
总行审计部牵头组织成立总行内部控制评价工作小组,其在内部控制规范实施过程中是内部控制自我评价工作的牵头部门,具体职责包括:编制自我评价工作计划;组织实施自我评价工作;根据内部控制自我评价工作编制内部控制自我评价报告。
全行就内部控制自我评价工作的汇报主要遵循如下路径:总行审计部按年度形成年度内部控制自我评价报告,经行领导审议通过,报送董事会审计委员会,再提交董事会进行审议批准。
3、内部控制实施工作有关聘请咨询机构的考虑和计划
本行为满足《企业内部控制规范》的合规要求,有效识别存在的内部控制薄弱环节,重新梳理控制领域/业务流程,并建立起科学、合理的内部控制评价体系,已于20xx年9月聘请安永(中国)企业咨询有限公司开展实施内部控制规范咨询项目,协助本行推进内部控制管理水平的持续提升。
基于国内外内部控制体系建设和评价的行业实践以及本行内部控制规范咨询项目实际情况,从项目实施角度出发将项目实施整体框架划分为四个阶段:第一阶段为前期准备与方案设计;第二阶段为总行实施;第三阶段为分行自我评价;第四阶段为整改与报告。
第一阶段,建立项目管理架构并启动项目,制定项目总体实施计划,梳理本行管理和业务流程,设计内部控制管理体系架构、内部控制自我评价方法,并建设内部控制自我评价工具模板,通过培训与宣导,协助银行各实施部门和机构理解内部控制自我评价实施的方法、内容和管理要求。
第二阶段,根据第一阶段流程梳理成果及所设计开发的内部控制自我评价方法和实施方案,在总行具体实施。具体工作包括:确定企业层面和流程层面的内控评价实施范围;开展企业层面的内控评价工作;同时开展流程层面的内控评价工作;编制风险控制矩阵;针对企业层面和流程层面识别内控缺陷,在此阶段主要针对内控的设计缺陷;针对所识别的内控缺陷,制定整改方案。
第三阶段,在分行范围内组织开展评价测试工作,评估缺陷并拟定整改方案,具体工作包括:编制自我评价工作计划;设计控制测试的方法和程序;分支机构实施自我评价工作。
第四阶段,在各机构自行整改的同时,编制内部控制自我评价报告,具体工作包括:各机构开展缺陷整改工作,编制内部控制自我评价报告,并在汇总整理项目各阶段工作成果的基础上,编制完成内部控制管理手册和评价手册。
在安永公司的协助下,本项目将形成以下工作成果:内控控制手册、内部控制评价手册和内部控制自我评价报告。截至本报告日,咨询公司已协助本行完成内部控制手册(征求意见稿)和内部控制评价手册(初稿)的编制。
4、内控实施工作进展
自20xx年度内控规范实施项目启动以来,本行已陆续开展如下工作,并形成相应的工作成果:
(1)内部控制体系建设方面:
一是开展内部控制规范实施培训。为加强全行上下对五部委下发的《企业内部控制规范》及相关配套指引的学习,以利于项目的有效推进,特召开全行视频会议,对项目背景、监管要求进行了系统培训,并就实施工作职责分工、进度安排等方面进行了介绍。
二是确定内部控制规范实施的范围和内容。根据监管要求,参照本行实际情况,确定内部控制实施的范围为16个企业层面的控制领域及113个流程层面的流程,并形成了企业层面控制领域清单和流程层面控制流程清单。
三是梳理形成风险控制矩阵。在确定了内部控制实施的范围和内容之后,针对每一企业层面控制领域和流程层面的流程,分别梳理形成风险控制矩阵并对应至条线部门,并形成了企业层面16个风险控制矩阵和流程层面113个风险控制矩阵。
四是初步识别总行层面设计缺陷。在前期梳理完成企业层面和流程层面风险矩阵的情况下,通过将现有的政策、制度等与风险控制矩阵进行比对,初步识别内控设计缺陷,并形成了内部控制设计发现问题清单。
五是编制内部控制手册。通过整理内控梳理工作成果,编制形成了内部控制手册(征求意见稿)。
(2)内部控制自我评价方面:
一是确定内部控制评价测试程序。针对企业层面每一领域和流程层面每一流程,分别设计内部控制评价测试步骤,同时设计针对分行内控评价的测试底稿,形成了企业层面16个领域的测试步骤及底稿模板、流程层面113个流程的测试步骤及底稿模板、分行测试步骤及底稿模板。
二是建设内部控制评价标准和工具。结合本行内控管理现状和审计部部门资源情况,初步设计建设符合全行情况的内部控制自我评价工具和流程,初步形成内部控制评价手册初稿。
在上述工作之外,本行的内控规范实施工作尚有如下主要工作未开展:
已发现缺陷的整改与再测试工作;
全行全面内部控制自我评价的实施工作;
依据内控规范和配套指引要求,提交内部控制自我评价报告。
二、内部控制建设工作计划
XXXX年度本行将继续巩固已有内部控制建设工作成果,持续深化内部控制建设进程。
由于内部控制建设的前期工作(包括确定内控实施的范围和内容,梳理企业层面、流程层面的风险控制矩阵,识别总行层面内控设计缺陷)均已于20xx年度实施完成,因此本部分内容将主要列示XXXX年度的内部控制建设工作任务计划,主要是内控建设工作中发现的设计缺陷(通过对现有的政策、制度等与风险清单进行比对后发现的内控缺陷)的沟通确认及整改落实工作:
1、总行相关部门确认内控缺陷。主要工作是组织各部门对内控建设过程中发现的设计缺陷进行确认,对于涉及多个部门的缺陷,由各部门协调确认缺陷的负责部门。计划完成时间:XXXX年3月。责任部门:总行存在缺陷的相关部门。
2、与总行相关部门沟通制定内控缺陷整改方案。相关部门在完成设计缺陷的确认工作后,在咨询公司的协助下,制定缺陷整改方案,提交内控预警委员会审议。计划完成时间:XXXX年4月。责任部门:总行存在缺陷的相关部门、法律合规部。
3、总行相关部门根据整改方案着手开展整改工作。相关部门根据缺陷确认结果和整改方案,着手开展缺陷整改工作,并根据整改情况向法规部报送整改进度。计划完成时间:XXXX年4月-9月。责任部门:存在缺陷的相关部门。
4、根据整改结果更新风险控制矩阵。计划完成时间:XXXX年12月。责任部门:法律合规部、审计部。
5、按要求报送、披露内控实施工作情况。根据监管部门要求,将本行内控实施工作情况及时向监管部门报送,并按要求完成披露工作。计划完成时间:按监管要求实施。责任部门:董事会办公室、法律合规部、审计部。
三、内部控制自我评价工作计划
XXXX年度的内部控制评价工作任务计划如下:
1、编制自我评价工作计划,评价工作的具体时间表和人员分工。计划完成时间:XXXX年5月。责任部门:审计部。
2、确定内部控制缺陷的评价标准,包括定性标准和定量标准,缺陷分为一般缺陷、重要缺陷和重大缺陷。计划完成时间:XXXX年5月。责任部门:审计部、法律合规部。
3、组织实施自我评价工作,编制内部控制评价工作底稿。计划完成时间:XXXX年9月。责任部门:审计部。
4、对发现的缺陷进行评价,编制缺陷评价汇总表,同时提出整改建议,编制整改任务单。计划完成时间:XXXX年9月-12月。责任部门:审计部。
5、根据内部控制自我评价工作编制内部控制自我评价报告。计划完成时间:XXXX年3月。责任部门:审计部。
6、按照要求披露内部控制自我评价报告。计划完成时间:XXXX年4月。责任部门:董事会办公室、审计部。
组
长:略
内部控制工作小组主要职责包括:
1.制定并组织实施学校内部控制制度,落实学校内部控制目标;
2.构建学校内部控制体系,制定学校内部控制体系建设方案;
3.组织开展单位层面和业务层面风险评估工作;
4.制定风险管理策略和跨科室的重大风险解决方案,并负责方案的组织实施和对风险的日常监控;
5.编制全面风险管理报告,向管理层提示学校重大、重要风险以供决策需要;
6.确定学校内部控制缺陷认定标准,定期组织对内部控制实施的有效性进行评估并出具评价报告和内部控制缺陷整改方案;
中图分类号:F270 文献识别码:A 文章编号:1001-828X(2016)027-000-01
一、内控评价项目的基本程序
在当今复杂的商业环境中,每个企业都面临众多的风险因素,包括战略风险、市场风险、财务风险、运营风险和法律风险等,自2008年以来,我国财政部、证监会、审计署、银监会、保监会陆续联合了《企业内部控制基本规范》《企业内部控制配套指引》,指导企业建立健全以防范风险、规范管理、促进可持续发展为中心的内部控制体系。
企业内控评价项目是指企业为对本企业或其所属单位内部控制设计、运行有效性进行全面评价,形成评价结论而开展的活动。根据《内部控制评价指引》,内控评价项目按其基本程序可分为准备阶段、实施阶段、报告阶段;具体包括制定评价工作方案、组成评价工作组、实施现场测试、编制评价底稿、认定控制缺陷、汇总评价结果、编制评价报告等环节。
二、内控评价项目准备阶段工作创新
在管理实践中,计划是其他管理职能的前提和基础。开展内控评价项目,应当对项目计划予以充分的重视,只有在评价组进点前做足准备工作,才能事半功倍,使项目取得预期成效,并提升项目的经济性、效果性、效率性。
一般在内控评价项目进点前3日应当正式内控评价通知书,在此之前,均可视为项目准备阶段,该阶段的工作不仅仅是成立评价小组,制定内控评价方案,至少还应重视以下工作内容:1.项目立项;2.设计内控评价表;3.培训。
(一)项目立项
凡拟纳入内控评价年度工作计划中的项目,应当至少综合考虑以下因素:被评价单位的运营状况、以前年度审计(内控评价)发现问题、所处行业形式、企业年初编制的风险报告、企业年度工作计划等。以2015年某电力国企对旗下一家电解铝企业开展内控评价项目为例,在年初立项时,综合考虑了电解铝行业发展趋势、公司电解铝企业扭亏控亏的工作计划、年度风险报告中指出的电解铝市场风险以及该子公司2014年度原经理离任经济责任审计等因素,才纳入内控评价年度工作计划。如此才能突显开展该项目的必要性,并可高屋建瓴指导内控评价工作方案的制定,使工作方案目标清晰、重点突出,令内控评价项目为企业降低成本、规范管理、应对风险多提良策,不仅发挥内控评价的免疫功能,更要发挥其增值功能。
(二)设计内控评价表
《企业内部控制应用指引》明确了内部控制体系至少包括18项业务流程(内控要素)。对每一项业务流程(内控要素)的内控评价,都可针对内控设计完整性和内部控制遵循性分别进行评价,评价发现的缺陷分别定性为设计缺陷和执行缺陷。企业可以根据自身特点于《企业内部控制应用指引》之外细化或新增一些内控要素,如对标管理、税务管理、生产运营管理、制度管理、综合事务管理等,并按设计完整性、内控遵循性编制相应的业务流程主要风险点(关键控制点)。
根据评价前调查情况,可对项目评价的内控要素进行删选,择其重点,如被评价单位无担保业务、研发业务,则可剔除该项评价要素。另外,根据评价前调查情况,可针对某项内控要素的不同关键控制点考虑赋予不同的分值或权重,如调查发现某电解铝企业将其厂内炭块短倒、装卸业务进行外包,则在业务外包设计完整性中,外包业务安全管理制度设计比承包方资质遴选制度设计更加重要,应当赋予更多的分值或权重。
设计内部控制评价表是内控评价项目实施前的一项重点工作,是内控评价方案的重要组成部分,其最终的填报完成即是项目的主要工作目标与成果。内部控制评价表与评价前调查工作相辅相成,它可有效指导调查工作,同时也根据调查情况进行调整。设计内部控制评价表应遵循SMART原则,做到:1.针对内部控制不同的要素或流程分别制表,2.针对被评价单位的特点罗列内控要素涉及的关键控制点(主要风险点),并赋予分值,注明评分规则,3.应便于内控评价项目实施阶段的抽样、测试、评价结果的填写,4.应考虑与评价底稿建立索引关系,5.可对内部控制的设计有效性和执行有效性得分进行统计分析和整体评价。
(三)培训
任何一个项目都有其自身特点,所以无论评价组的人员是专职内控评价人员、企业系统内借调人员还是外聘事务所人员,均需参加评价前的培训,以便熟悉项目特点,申明工作纪律(尤其是保密纪律),增强业务水平,提高工作效率。
评价前的培训形式多种多样。如召开内控评价方案讨论会,通过召开讨论会,集思广益,一方面可调整方案与分工,一方面可让评价组成员熟悉项目目标与工作重点。也可将评价前调查获取的资料作为培训材料发放给评价组成员,如可研、工艺流程的PPT、预算、明细账、合同台账、各类会议纪要、制度框架及文本等,让评价组成员提前熟悉,可安排评价组员根据分工,提前搜集相关的法律法规、政策、国标、行业标准等,以提前掌握评价依据,上述工作内容布置后应尽可能召开专题会议进行讨论,一方面检验评价项目准备工作的充分性,一方面通过交流令全体组员对评价项目测试工作“心中有数”,为项目实施做好铺垫;可召开专题会向评价组进行介绍被评价单位工艺流程,令评价组成员进点后现场查看时把握主动权,降低盲目性,提高工作效率。
凡召开专题会议开展的培训,应当做好记录,以便于后期项目资料归档所用。
三、小结
开展企业内控评价项目,应当充分重视项目准备阶段的各项工作,加强项目计划管理,合理优化设计内部控制评价表,并勇于创新,做好评价前培训工作。总之,只有为内控评价项目做好“凤头”,方可保证项目实施阶段、报告阶段的工作质量。
参考文献:
[1]财会[2008]7号.企业内部控制基本规范[Z].
[2]财会[2010]11号.企业内部控制应用指引[Z].
[3]财会[2010]11号.企业内部控制评价指引[Z].
[4]国资发改委[2006]108号.中央企业全面风险管理指引[Z].
根据《x局内部控制评价制度》规定,内部控制评价分为自我评价和独立评价两部分,2018年的内部控制评价工作依照此原则进行。
二、工作任务
本次评价工作主要包括单位层面和业务层面两个层面的评价工作。
在单位层面,对内部环境、风险评估、控制活动、信息与沟通、内部监督等五个方面从内部控制的设计有效性和运行有效性两方面进行全面系统评价。
在业务层面,对为确保工作目标、工作效率和效果、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标实现所设置的内部控制活动进行评价。
对单位层面的控制是否有效为主线,包括内部环境、风险评估、信息与沟通、内部监督等;对主要业务活动控制的设计与执行的有效性进行评价。
评价工作重点关注以下内容:
1.被评价单位内部控制是否在风险评估的基础上涵盖了单位层面的风险和所有重要的业务流程层面的风险。
2.被评价单位内部控制设计的方法是否适当,内部控制建设的时间进度安排是否科学、阶段性工作要求是否合理。
3.被评价单位内部控制设计和运行的组织是否有效,人员配备、职责分工和授权是否合理。
4.被评价单位是否开展内部控制自查并上报有关自查报告。
5.被评价单位是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。
6.被评价单位在评价期间是否出现过重大风险事故等。
三、主要工作流程
1.内部控制自我评价
自我评价由所属各单位按照局统一安排,自行开展。内控评价股室制定年度内部控制评价工作方案,提交局长办公会审议,根据工作方案的时间安排启动内部控制自我评价,下发内部控制自我评价表。各相关股室接到自我评价表后,按内部控制评价制度的相关要求,成立自我评价工作小组,制定工作实施方案,组织本部门进行自我评价工作。评价结果经部门负责人签字确认后报内控工作小组汇总,内控评价工作组将对各单位的自我评价情况进行分析和审核,并报内部控制领导小组审阅。
2.内部控制独立评价
内部控制独立评价,由教体局内控评价工作组综合运用访谈、测试和比较分析等方法,广泛收集内部控制设计和运行是否有效的证据,研究分析内部控制缺陷,对各相关部门内部控制的有效性进行评价。局内控评价工作组对现场各小组初步认定的内部控制缺陷进行全面复核、分类汇总,初步确认综合独立评价结果,报经内部控制领导小组审阅。同时结合提出的内控缺陷整改建议,组织内部控制缺陷整改,跟踪整改落实情况。
3、内部控制评价报告编制
一、内部审计计划阶段与内控风险识别的结合
审计计划一般包括年度审计计划、项目审计计划和审计方案三个层次,年度审计计划按照内部审计具体准则的要求:内部审计机构负责人应根据审计项目的风险程度规划审计项目执行的先后顺序,年度审计计划报董事会批准执行。项目审计计划的编制内容中,按照内部审计具体准则的要求应包括重要性和审计风险的评估。
财政部的《企业内部评价指引》解读中,对内部控制评价程序一般包括:制定评价工作方案等,针对制定评价工作方案描述如下:内部控制评价机构应当根据企业内部监督情况和管理要求,分析企业经营管理过程中的高风险领域和重要业务事项,确定检查评价方法,制定科学合理的评价工作方案,经董事会批准后实施。
上述内容显示无论内部审计还是内部控制,在其计划阶段强调的是风险评估,和聚焦高风险领域和重要业务事项。公司在具体内审、内控工作开展的计划阶段,应注意两者的结合,充分关注高风险领域和重要业务事项的风险程度,完成内审和内控两方面的工作。同时利用内部控制内控风险识别的自我评价这一有效的日常工作成果,使内部审计计划的针对性更强,内控风险识别工作的作用更明显。
二、内部审计实施阶段与内控风险认定、测试、分析的结合
《内部审计准则第5号内部控制审计》,其中第五条对内部控制包括的内容描述为控制环境、风险管理、控制活动、信息与沟通、监督等五个要素。《企业内部控制基本规范》中描述的内部控制的五要素为:内部环境、风险评估、控制活动、信息与沟通、内部监督,认真阅读比对后发现,虽然字面稍有差异,但内容是一致的。
内部审计实施阶段常用的方法包括:询问、检查、观察、测试、追踪、分析等。
财政部的《企业内部评价指引》解读中,对实施阶段――开展现场检查测试中描述如下:评价工作组根据评价人员分工,综合运用各种评价方法对内部控制设计与运行的有效性进行现场检查测试,按要求填写工作底稿、记录相关测试结果,并对发现的内部控制缺陷进行初步认定。
上述内容显示内控审计和内控评价的实施阶段无明显差异,但在公司内审、内控工作中发现,充分利用内控体系建设中《风险表-风险清单》、《控制矩阵表》《不相容职责表》《授权审批表》等成果,快速并系统的完成风险测试、认定和针对审计发现缺陷的深入分析,往往会减少现场工作时间提高效率和质量,内控评价的规范性、全面性在时间工作中表现突出。
三、内部审计评价与内控风险评价的结合
针对审计过程发现的问题或缺陷,充分利用应用指引明确的关键风险点和《控制矩阵表》描述的风险等级标准,展开现场审计发现问题的评价和责任划分。实际工作中,内控评价的风险程度划分对内部审计问题的界定提供了较好的支持,完善了以往审计发现问题无明确的界定标准的工作缺陷。
四、内部审计整改阶段与内控缺陷整改的结合
电力工业是国家基础行业,关系到国民经济命脉,联系着千家万户。随着发电企业内外部形势的变化,发电企业财务管理工作,应与国际社会接轨,引入内控风险管理,进而提升发电企业财务管理水平,全面提升发电企业核心竞争力。
一、发电企业财务内控风险管理的实施应遵循原则
(一)原则性导向和规则性导向相结合的原则
原则性导向是指对需要判断的事项规定一个判断的基本原则,在具体操作中需财务人员根据原则进行判断;规则性导向是指对需要判断的事项已经确立了一个明确的判断标准,财务人员可以根据具体标准进行判断。
(二)上下联动原则
在内控风险管理实施过程中,应采取企业部署、部门自查、内控风险管理小组复查的方式。
(三)风险导向原则
在评价计划和实施的过程中,按照风险大小确定企业财务管理中每个流程的评价重点。
(四)重要性原则
对重要业务和重要管理环节都要纳入评价范围。
二、加强发电企业财务管理中内控风险管理的组织架构建设
为提升发电企业财务管理中的内控风险管理,应成立专门组织机构,负责财务内部风险管理的组织领导。其主要职责包括:审阅和批准内控风险管理工作方案;审议年度内控风险管理,并提出相关意见和建议;及时掌握公司日常财务内控风险管理的监控结果,根据内控缺陷情况,确定内控整改方案和措施;对内控整改过程中出现的相关重大事项进行决策。
为确保发电企业财务内控风险管理落到实处,应成立内控风险管理工作组,其主要职责包括,确定年度内控风险管理工作方案;负责组织财务相关部门开展内控风险管理工作;根据自我评价和检查情况,分析设计和执行的有效性,讨论定稿内控风险管理评价报告。财务部是发电企业财务内控风险管理工作的基本主体单位,其主要职责包括,开展财务部内控风险管理工作,编制内控风险管理自我评价工作底稿和自我评价报告;配合内控风险管理工作组进行内部控制复核和检查工作。
三、发电企业财务内控风险管理的评价内容
(二)高度重视,有序推进。5月12日召开专项整治工作推进会,会议要求各科室、各中心要高度重视,按照工作方案的要求,采取有力措施,细化操作流程,精心组织实施,推动社保领域专项整治工作有序开展。
一是严格执行政策。各社保经办机构认真梳理近年来各项社保政策执行情况,特别是战疫情、稳就业、服务企业复工复产等,确保政策执行不打折扣。
二是完善内控制度。各社保经办机构进一步健全和完善更新现有的内控制度,科学设置岗位,优化业务流程,建立受理、初审、复核、审批、支付等环节相互制衡的经办风险管理机制。
三是加强日常监管。严格落实县人社局基金监督管理暂行办法,通过现场监督和非现场监督方式,加强基金日常监管,组织开展社保基金管理风险防控互查。认真对接各级基金检查和大数据疑点信息比对反馈,对发现的风险隐患,认真整改到位。
四是建立共享机制。正在制定相关制度,通过与民政、公安部门对接死亡数据,实现数据共享,定期开展比对,有效破解死亡冒领、重复领取社保待遇问题。
五是强化内部管理。经常性开展警示教育,用身边事教育身边人,增强风险防范和制度执行意识。进一步梳理经办流程,规范窗口经办管理,优化服务。大力开展人社窗口单位业务技能练兵比武活动,提高经办人员业务水平。开展明察暗访,强化效能和作风建设,展示人社形象。
二、阶段性成果
在局党组的重视和各科室、各中心的共同努力下,社保专项整治工作取得了阶段性成果。
一是专门设置内控岗位,由专人负责内控制度建设。合理配置岗位人员,落实岗位不相容要求,严禁业务和财务岗位兼任,严禁业务和信息岗位兼任。严格授权管理,实行初审、复审、审批制度,做到一般业务二级审核,重要业务三级审核。
二是利用社会保险基金监督管理信息系统,通过大数据每月对基金的运行过程进行非现场监督,今年来共发现退休、退职等享受养老保险待遇且享受失业保险待遇人员预警明细信息4条、一人在多个统筹区缴纳失业保险费当期预警明细信息56条等问题,共追回违规领取社会保险金2922元,确保社保基金安全。
三是通过有效的考核办法及宣传工作,城乡居保近期工作进展喜人,截至目前全县60周岁以下参续保25.63万人,已完成年初任务72.7%,人均缴费水平514.67元,与上年同期环比增长47.5%,其中汤池镇已率先完成全年目标任务。60周岁以上发放18.9万人,发放养老金22428.91万元;落实高龄补贴政策,惠及65周岁以上待遇领取人员14.97万名,共发放补贴34.95万元。
1.准备阶段:审前调查不认真不充分。目前,部分审计人员对审前调查的认识模糊,对一些审计过的单位和项目自以为情况熟悉无需调查或者审前调查蜻蜓点水,流于形式。没有按照审计项目的不同类型和要求有针对性地进行审前调查,从而使审计方案的编制存在先天不足。
2.编制阶段:审计方案的指导性不强,方案内容缺失。主要表现为:一是由于审前调查不充分,依据个人经验编制的审计方案往往空话套话、原则性的话多,对审计工作的指导性和可操作性不强;二是部分重要项目(如同级审、行业审计)的审计工作方案未经审计业务会议审定,仅由业务部门编制后就下达到审计组实施。审计组所在部门负责人也未按规定对审计实施方案的相关内容进行审核;三是审计方案的内容缺失,尤其是重要性水平的确定、审计风险的评估和对审计目标有重要影响的审计事项的审计步骤和方法,这些审计方案的必备内容,但由于审计人员自身素质不高或审前调查不认真往往没有反映。
3.执行阶段:偏离、随意调整及执行不到位现象较为普遍。一方面,在审计实施过程中出现了应当调整审计方案的事项时,往往不按照规定及时进行调整,审计人员仍按原方案实施审计;另一方面,由于分工模糊,审计人员不按审计方案确定的审计目标和步骤进行审计,而是凭经验审计,审计结果偏离审计方案确定的目标。上述重审计方案的编制、轻审计方案执行的现象导致审计方案成了一种程序,一种形式,一种摆设,很难发挥其应有的作用。
4.检查阶段:责任追究未落实。根据现行的制度规定,对审计方案的检查主要是通过审计组组长进行审计工作底稿复核和审计组所在部门进行的复核体现出来的,在实际工作中由于人手少或复核机制不健全原因,这种检查往往流于形式。质量控制办法虽然规定了三个层次的控制责任,但到目前为止,极少有人因为审计方案的编制、执行、调整不到位,出现问题而承担了相应的责任。这种责任追究仅停留在纸上,而未落到实处。
二、提高审计方案质量的措施
1.把好审前调查关,为编制审计方案奠定基础。审前调查是编制审计方案的必经途径。审计人员要转变观念,做到“磨刀不误砍柴工”,严格按照要求对每个审计项目都认真开展审前调查,同时还要创新审计调查的时间和方式,充分发挥计算机在审前调查中的作用。通过审前调查,找出被审计单位内控制度执行的薄弱环节,从而确定审计项目的重要性水平和评估审计风险,为编制审计方案奠定坚实的基础。
近几年国内外发生的“安然”“银广夏”等舞弊事件,暴露了企业风险管理的缺失。上市公司多年的经营管理实践表明,内部控制工作的完善程度反映了企业管理水平的高低,同时,内控体系建设也是提升管理水平的有效手段。建立健全有效的内部控制,可以合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
2上市公司内部控制规范体系建设与实施的背景
近年来,通过联合重组、合并兼并、主辅分离等行之有效的改革措施,我国上市公司的整体素质、运行质量、创新能力和国际竞争力有了大幅度提升,但同时,伴随着我国企业较快的增速和迅猛发展,各种潜在的风险也日益显现,为了提高企业经营管理水平和风险防范能力,促进可持续发展,国家财政部等五部委制定了《企业内部控制基本规范》及其配套指引,强制要求境内外所有上市公司建立和实施内部控制体系,对其有效性进行自我评估,披露年度自我评估报告,并要求聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。鉴于此,许多上市公司根据需要成立了专门的内控项目组或者内控专职机构,对本公司的内控体系建设的有效性进行自我检查和评估。
3 上市公司内部控制的测评方法及程序
上市公司在开展内部控制检查评价工作过程中,应当根据评价内容和被评价单位具体情况,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,广泛收集被评价单位内部控制设计和运行是否有效的证据。评价方法的选择应当有利于保证证据的充分性和适当性。
3.1 内部控制测评方法
个别访谈法。个别访谈法主要用于了解企业及其所属单位内部控制的基本情况。被访谈人主要为单位领导、相关机构负责人或一般岗位员工,通过访谈可以大致了解公司及其所属单位内部控制制度的建立与实施情况,进一步确定检查评价的重点和方向。评价人员在访谈前应根据内部控制评价目标和要求形成访谈提纲,访谈工作结束后应撰写访谈纪要,如实记录访谈的内容。
调查问卷法。调查问卷法常见于内部环境评价。调查问卷一般包括调查内容、调查结果、支持性文档等内容。其中,“调查内容”基于企业实际情况,明确被评价单位或对象各业务环节内部控制评价内容;“调查结果”是指被评价单位或对象针对调查内容,如实填写相关控制的设计与运行情况;“支持性文档”要求被评价单位或对象列示相关控制所涉及的支持性文档,如会议纪要,企业文化手册等文档;评价人员还可以要求被调查部门负责人和被调查人员在调查问卷上签字确认。
穿行测试法。穿行测试法是指在内部控制系统中任意选取一笔交易作为样本,追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程,即该流程从起点到终点的全过程,以此来了解整个业务流程状况,识别出其中的关键控制环节,评估相关控制设计与运行的有效性。
(4)抽样法
抽样法是指企业针对具体的业务流程,按照业务发生频率及固有风险的高低,从确定的样本库中抽取一定比例的业务样本,对业务样本的控制水平进行判断,进而对整个业务流程的内部控制有效性作出评价。抽样法是控制测试的常用方法,分为随机抽样和其他抽样。应用抽样法时应注意样本库须包含符合测试要求的所有样本,测试人员首先应对样本库的完整性进行确认。
(5)实地查验法
实地查验法是指企业对现金、存货、固定资产等实物资产进行现场盘点、查验,主要用于对资产安全性目标的实现情况所作的评价。企业对财产进行实地查验,需要制定统一的测试工作表,并从特定的样本库中抽取若干测试样本,与业务记录、财务单证等进行核对验证,以此判断与资产安全目标相关的各项控制的有效性。
比较分析法。比较分析法是指通过分析、比较数据间的关系、趋势或比率等来取得评价证据的方法。企业可以将评价过程中取得的数据与历史数据、行业标准数据或最优数据等进行比较,找出其中异常波动的情形,并重点对异常区间的内部控制有效性进行检查评价。
专题讨论法。专题讨论法通常用于控制活动评价,是指通过召集与业务流程相关的管理人员就业务流程的特定环节或某类具体问题进行讨论及评估的一种方法。专题讨论法既是一种常见的控制评价方法,也是形成缺陷整改方案的重要途径。对于同时涉及财务、业务、信息技术等方面的控制缺陷,往往需要由内部控制专职机构组织召开专题讨论会议,综合内部各机构、各方面的意见,研究确定缺陷整改方案。
3.2 内部控制评价程序
设置内部控制评价部门。上市公司可以根据需要在内部设置专门机构或委托内部审计部门来负责内部控制评价的具体组织实施工作,内部控制评价部门必须具有独立性、权威性和相适应的专业胜任能力及职业道德修养,保证内部控制评价工作能够顺利进行。
制定评价工作方案。内部控制评价部门应当根据公司实际情况和管理需要,分析经营管理过程中的高风险领域和重要业务事项,制定科学合理的评价工作方案,报经董事会审批后实施,评价工作方案可以全面评价为主,也可以根据需要对高风险领域和重要业务事项进行重点评价,以提高内部控制评价的效率和效果。
组成评价工作组。内部控制评价部门应当根据经批准的评价方案,组成内部控制评价工作组,具体实施内部控制评价工作。评价工作组应当吸收企业内部相关机构熟悉情况的业务骨干参加,也可以根据自身特点,抽调审计、财务、生产管理等专业人员,对内部控制全面或某一方面进行日常和专项检查评价。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。
实施现场测试。评价工作组根据评价工作方案确定的内部控制评价范围,入驻被评价单位,实施现场测试。现场测试应先了解被评价单位基本情况,确定检查评价范围和重点领域,然后对评价人员进行分工,实施现场检查测试,形成工作底稿,并编制现场评价报告,经被评价单位负责人签字后,提交内部控制评价部门。
认定控制缺陷,汇总评价结果。内部控制评价部门根据各评价工作组的评价结果,全面复核、分类汇总各工作组认定的内部控制缺陷,并综合分析缺陷的成因、表现形式及风险程度,判定缺陷类型及等级,编制缺陷认定汇总表。对于认定的内部控制缺陷,内部控制评价部门应当提出整改建议,要求责任单位及时整改,并跟踪其整改落实情况。