实现单位的管理服务的目标,是风险评估与防范的基本前提。 单位的目标充分陈述了单位希望取得的业绩和成就,并以相关战略计划作为支持。可能影响单位目标实现的相关风险大致包括以下因素:
1.单位目标是否充分体现了单位期望获得成就的陈述和指导,并且此目标足够具体,与本单位的管理服务直接相关。
2.单位目标是否有效地传达给了各管理部门和全体员工。 3.单位的战略选择是否跟单位目标保持关联和一致。 4.单位的业务发展计划和预算与现状之间是否保持一致。充分保证业务发展计划和预算以及长期战略目标、与现状之间保持一致,脱离现实的计划、预算就意味着风险。 5.关注具体管理服务活动目标与单位战略目标的内在联系。 6.有充足的资源支持目标。
7.对每个重要的经营活动目标确定了相应的风险。单位在制定内部控制的政策和程序的过程中,通过明确管理服务活动目标和风险的对应关系,确保内部控制措施的完整性。 (五)风险评估方法和要求
风险评估程序应具有完整性和相关性。风险评估程序的完整性和相关性。 行政事业单位应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。
行政事业单位进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。
五、风险应对策略 具体措施如下: (一)风险规避
是行政事业单位对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。确保不发生颠覆性的风险。 (二)风险降低
指行政事业单位在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。 (三)风险分担
是行政事业单位准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。 (四)风险承受
指行政事业单位对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。
六、风险评估的监督和评价 风险的监督和评价过程,包括监督和评价识别风险的充分性,以及针对这些风险所采取措施的恰当性。风险的监督和评价考虑的主要因素可能包括:
1.单位是否已建立并沟通整体目标,并辅以具体策略和具体管理服务活动的开展计划; 2.单位是否已建立风险评估制度并保证运行,包括识别风险,估计风险的重大性,评估风险发生的可能性以及确定需要采取的应对措施;
3.单位是否已建立某种机制,识别和应对可能对单位产生重大且普遍影响的变化; 4.风险控制管理部门是否建立了某种流程,以识别外部环境、内部环境发生的重大变化。风险应对措施的调整机制是否运行有效。
第四节 控制活动
控制活动是一个方法体系,应对和防范风险必须要有针对性的措施,否则就是空话。将所有业务活动分离出授权、批准、执行、记录及监督,并将这些职能分别授于不同部门或不同人员执行,形成一个相互牵制、相互制约的过程,是内部控制的精髓。
一、概念与方法体系 (一) 控制活动的概念
控制活动是指有助于确保管理者的指令得以执行,合理地保证管理服务目标的实现、指导员工实施管理指令、管理和化解风险而采取的政策和程序。 (二) 控制活动的方法体系
控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。
内部控制方法和程序是一个广义的概念,包括可以用于控制的所有方法、手段、措施、程序等。
二、授权审批控制
授权审批控制指行政事业单位根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。 一般授权是指授予各个部门、各个职位在日常经营管理活动中按照既定的职责和程序处理正常范围内经济业务的权限。特殊授权是指授予各个部门、各个职位在特殊情况、特定条件下,处理超出正常范围的经济业务或者特殊的经济业务的权限。 有效的内部控制要求每一笔经济业务都经过适当的授权。只有经过授权批准的人员才能对有关的经济业务进行处理,未经授权和批准,这些人员不允许接触和处理这些业务。 行政事业单位应当编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,严格控制特别授权。单位对于重大的业务和事项,应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。
三、不相容职务分离控制
所谓不相容职务是指经营业务的授权、批准、执行和记录等完全由一人或一个部门办理时,发生错误与舞弊的概率就会增大的两项或两项以上的职务。 一般情况下,以下这几类职务属于不相容职务:授权与执行;执行与审核;执行与记录;保管与记录;保管与清查;会计工作岗位分离;计算机信息系统 (CIS)部门内, 系统分析、程序设计、电脑操作和数据控制应分离。
不相容职务分离控制要求单位全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。
四、会计系统控制
会计系统控制要求行政事业单位严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。 行政事业单位应当依法设置会计机构,配备会计从业人员。大中型行政事业单位应当设置总会计师。设置总会计师的单位不得设置与其职权重叠的副职。
凭证和记录控制的一般要求是:凭证预先连续编号;对已经发生的经济交易和事项及时编制凭证并记录;凭证应简单明了,不易被误解;格式合理,以便正确编制;所有作废的凭
证都必须妥善保存;已登账的凭证应依序归档。凭证与记录控制中程序说明书尤其重要。 单位会计部门应建立独立稽核控制制度。独立稽核是指对已记录的经济交易和事项及其计价由具体经办人之外的独立人士进行核对或验证。独立稽核是控制记录使其正确可靠,以免发生差错和舞弊的一项重要控制程序,其应用面很广。
五、财产保护控制
财产保护控制要求行政事业单位建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。 单位常用的防护措施主要有两个方面: 一是对资产和记录实施授权控制,未经授权,不相关人士不得接触和使用这些资产和记录。二是对资产和记录实施实物防护生。 行政事业单位若实现会计电算化,保护电脑设备、计算机程序和数据文件更显得特别重要。
六、预算控制 (一)预算的概念
预算是指行政事业单位结合管理服务目标及资源调配能力,经过综合计算和全面平衡,对当年或者超过一个年度的管理服务和财务事项进行相关经费、额度的测算和安排的过程。 行政事业单位应当建立预算管理体系,明确预算编制、审批、执行、分析、考核等各部门、各环节的职责任务、工作程序和具体要求。 (二)预算的编制
事业单位预算管理部门主要负责拟订预算目标和预算政策;制定预算管理的具体措施和办法;组织编制、审议、平衡年度预算草案;组织下达经批准的年度预算;协调、解决预算编制和执行中的具体问题;考核预算执行情况,督促完成预算目标。
单位应当加强对预算编制环节的控制,对编制依据、编制程序、编制方法等作出明确规定,确保预算编制依据合理、程序适当、方法科学。
单位可以选择或综合运用固定预算、弹性预算、零基预算、滚动预算、概率预算等方法编制预算。
(三)预算的执行
对预算指标的分解方式、预算执行责任制的建立、重大预算项目的特别关注、预算资金支出的审批要求、预算执行情况的报告与预警机制等作出明确规定,确保预算严格执行。建立预算执行责任制度,对照已确定的责任指标,定期或不定期地对相关部门及人员责任指标完成情况进行检查,实施考评。
单位预算管理部门应当运用财务报告和其他有关资料监控预算执行情况,及时向单位决策机构和各预算执行单位报告或反馈预算执行进度、执行差异及其对预算目标的影响,促进预算目标的全面完成。 (四)预算的调整
需要调整预算的,应当报经原预算审批机构批准。 (五)预算分析与考核
行政事业单位应当加强对预算分析与考核环节的控制,通过建立预算执行分析制度、审计制度、考核与奖惩制度等,确保预算分析科学、及时,预算考核严格、有据。
七、分析控制
要求单位建立运营情况分析制度,管理层应当综合运用管理、服务、投资、筹资、财务
等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展管理服务运行情况分析,发现存在的问题,及时查明原因并加以改进。
八、绩效考评控制
绩效考评控制要求单位建立和实施绩效考评制度,科学设置考核指标体系,对单位内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
第五节 信息与沟通
客观、真实、全面、及时的信息,是充分发挥内部控制作用的基本条件。
行政事业单位应具有广泛收集各种信息,加工处理信息,迅速传播信息,功能完善的信息系统、相关制度和保证体系。建立上下级之间、不同部门不同岗位之间、各种管理服务活动之间良好的沟通环境和条件,保证内部控制功能发挥的信息与沟通的需求。
一、概念与特征
(一)信息与沟通的概念
信息与沟通指能够保证员工得以搜集和交换为开展从事管理服务和进行控制等活动所需要的信息及交换,在信息技术的发展中注意控制信息系统。 (二)信息与沟通的形式和要素
信息与沟通的基本形式包括:文件化 、 数据化、 制度化、 流程化。
信息交流的基本要素:组织方针手册;单位内部会计制度、会计政策;业务及会计处理流程;例外报告或重大事项报告;例外事项的跟踪报告;备忘录;计算机信息系统及其他信息交换形式。
(三)良好信息与沟通的特征
1.信息系统能够向管理层提供有关单位管理服务业绩的报告及相关的外部和内部信息; 2.向适当人员提供的信息是充分、具体和及时的,使其能够有效地履行职责; 3.信息系统的开发及变更与单位的战略计划相适应,与单位整体层面和业务流程层面的目标相适应;
4.管理层能够提供适当的人力和财力,以开发必需的信息系统;
5.管理层通过适当的监督程序监督信息与沟通系统的开发、变更和测试工作; 6.主要的数据中心,建立了重大灾难数据恢复措施和计划。
二、获取内部和外部信息
信息系统是指收集、处理和报告信息的系统。 各业务部门负责收集与本部门相关的内部、外部信息。管理层对单位管理服务相关的信息进行监控并提供其他补充信息或提请相关部门采取适当措施,以确保管理服务成果达到既定目标。
单位相关部门对管理服务相关的所有法律、法规和地方政策、规章等进行统一的收集和整理以确保各部门全面、准确、系统地掌握适用的法律法规。 单位应将详细的信息及时地给予适当的员工,使其能够高效率地履行其职责。管理者应能够获得分析性的信息来判断该采取何种行动;信息具有不同的详略程度以满足不同级别的管理层的需要。
单位领导应重视对信息系统的建设和维护,要充分认识到信息系统是管理服务活动发展的重要支柱,要不断投入足够的人力和财力予以支持。建立在信息系统建设和维护方面的问
责制。
三、信息沟通与反馈
应当将内部控制相关信息在单位内部各管理部门、责任单位、业务环节之间,以及单位与外部有关方面之间进行沟通和反馈。 在信息的处理中,沟通是必要的环节。沟通还包括对员工与组织的目标与职责的定义和描述。有效的沟通存在于单位内部的上行、下达和同级传递中。与外部的沟通同样非常重要。 员工的职责和控制责任应当有效的沟通。使员工知晓他们所进行的活动的目标,以及怎样履行他们的职责来达到这些目标。
单位对全部职位建立统一的职位说明书,界定职位的工作内容、职责、权限、上下级督导关系以及任职条件等内容。
单位要保证有畅通的渠道以便员工反映其发现的可疑情况。员工除可通过正常的汇报程序反映其发现的可疑情况外,亦可以将发现的可疑问题通过举报的方式进行反映。 内部沟通的充分性、信息的完整性、及时性以及信息是否足够详细以便员工能够有效的履行其职责。
单位内部充分和及时的沟通体现在以下几个方面:
1.管理层就员工的职责和控制责任是否进行了有效沟通; 2.针对可疑的不恰当事项和行为是否建立了沟通渠道; 3.组织内部沟通的充分性是否能够使人员有效地履行职责; 4.对于与上级部门、监管者和其他外部人士的沟通,管理者是否及时采取适当的进一步行动;
5.单位是否受到某些监管机构发布的监管要求的约束; 6.外部单位在多大程度上获知单位制定的行为守则。
四、信息系统应用与安全
对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。
五、信息沟通与反舞弊机制
行政事业单位应当建立反舞弊机制,规范舞弊案件的举报、调查、处理、报告和补救程序。
行政事业单位至少应当将下列情形作为反舞弊工作的重点:
1.未经授权或者采取其他不法方式侵占、挪用单位资产,牟取不当利益。
2.在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。 3.单位高级管理人员滥用职权。 4.相关机构或人员串通舞弊。
行政事业单位应当建立举报投诉制度和举报人保护制度。
第六节 内部监督
监督是内部控制的控制。内部监督是指对内部控制设计合理性的研究和评估,监督和促进内部控制运行的方法和程序,评价内部控制运行有效性的标准和过程的制度体系和实践活动。
一、概念与制度