-1-內部控制規范培訓

贛榆區財政局

行政事業單位內部控制規范（試行）共六章，65條總則:目標、原則和流程風險評估控制方法單位層面內部控制業務層面內部控制評價監督內部控制規范主要內容六章六十五條（1.2.3.4.5.6.7.8.9）1套規范：行政和事業單位實行同一套規范2種單位性質：行政和事業單位3個方面工作：制定制度、實施措施、執行程序4項原則：全面性、重要性、制衡性、適應性5個目標：合法、安全、可靠、效益和風險防范6項業務：經濟活動業務層面的6項風險評估7個步驟：建立并實施內部控制體系的7個步驟8種方法：應對風險的8種方法9個主體：黨政機關等實施行政事業單位內控規范的9個主體內容一、基本知識二、政策解讀三、實務操作從剛性到人性從有形到無形從形式到實質-4-一、基本知識(一).內部控制規范主要特點1.將內部控制基本原理與行政事業單位具體情況相結合。2.對業務管理規定和行業財務規則進行整合和充實。3.更加強調內部監督。4.明確主管部門對行政事業單位內部控制建設的外部監督和業務指導作用。內部控制產生的原因(cause)企業的生產經營時刻處于在風險中。什么是風險哪？風險就是某一事件或行為對企業經濟利益可能的威脅企業所面臨的風險：商業風險和管理風險商業風險：諸如經營環境、行業的風險、企業所處的金融時常風險、產品的開發能力等等這些不是受企業完全支配的因素管理風險： 經營和財務信息的不足；政策、計劃、程序、法律和標準貫徹失敗資產流失資源浪費和無效使用不能達到企業的目的和目標競爭失敗（企業由于競爭失敗會遭受諸多的不利）經營中斷（企業的目標將無法達到）法律訴訟（會給企業帶來損失和信譽的破壞等）商業欺詐（會給企業帶來損失）無益開支（使得企業的收益能力下降）資產損失（）決策失誤（）風險的后果(results)風險如何最小化？

風險最小化加強系統的內部控制對可能的損失投保當可能的風險較大時，尋求較大的回報內部控制如何降低風險？

暴露的金額發生的可能性風險的大小內部控制降低（一）當前行政事業單位內部控制存在的主要問題1.內控意識相對薄弱2.財務管理制度不健全3.資產管理和控制制度有待加強4.對預算控制缺乏剛性。5.費用支出方面缺乏有效控制

6.固定資產管理比較薄弱7.票據管理不夠嚴格到位。

8.崗位設置不夠合理。(二)、制定單位內控規范必要性1:建設廉潔高效、人民滿意的服務型政府的要求2:適應分類推進事業單位改革的要求3:適應財政規范化科學化信息化管理的要求.4:國務院治理“小金庫”和打擊“假發票”的要求5:我國內部控制標準體系建設的要求6:提高我國行政事業單位內部管理水平、加強廉政風險防控機制建設的要求（三）內部控制的定義內部控制，是指單位為實現控制目標，通過制定制度、實施措施和執行程序，對經濟活動的風險進行防范和管控。所謂行政事業單位內部控制，是指為實現行政事業單位的管理目標，以財政部門預算管理為主線，通過制定并實施科學合理的控制程序和方法，對行政事業單位財務會計管理風險進行有效識別、控制和監督的機制。-12-（三）內部控制的定義內部控制的原理和方法可適用于所有的業務活動。規范暫定位于經濟活動的內部控制，過多地局限于以財政資金為主線的會計控制上內部控制不僅僅是“制度、措施、程序”要體現內部控制是一個動態、連續的過程（實質）單位實施內部控制的意義加強內部控制建設是預防貪污腐敗的有效手段。加強內部控制建設是保護干部的有效工具。加強內部控制建設是單位事業健康發展的必然要求。-13-如何理解內部控制（1）內部控制是一個過程，是實現目標的手段，而不是結果本身。內部控制會受到企業內部各層次人員的影響，而不是簡單地制定出一本制度或規章對管理曾或董事會來說，內部控制提供的只是合理的保證，而非絕對的保證內部控制的目的在于實現組織的一個或幾個目標。如何理解內部控制（2）內部控制絕對不是：靜態的結構；某一層次人員的任務（例如：高級管理層）；某一部門的任務（例如：財務、內部審計）；某一實體的任務（例如：總部、省級公司）。內部控制是：因此，整個集團的共同參與對于項目的成功至關重要。內部控制的概念20世紀40年代前40年代末至70年代80年代至90年代90年代之后內部牽制內部控制制度內部控制結構內部控制整合框架內部控制（InternalControl）概念的演變大致可劃分為四個階段：內部系統的整體架構內部控制劃分為五個要素

控制環境風險評估控制活動信息與溝通監控內控系統五要素架構：監督控制活動風險評估控制環境信息與溝通信息與溝通控制環境(controlenvironment)：是任何企業的核心，是企業的人以及它所處的環境提供了企業紀律與架構，塑造了企業文化，并影響企業員工的控制意識是推動企業的引擎，也是其他要素的基礎控制環境的組成要素：管理哲學和經營風格組織結構董事會及其委員會職能職責分配和授權人力資源政策及實務審計署對23家企業的調查結果％金額（億元）資產不實10.39%負債不實7.89%利潤不實38.87

其中：虛報94.98%36.92隱瞞52.89%20.53潛虧92.77%36.06

控制環境－管理哲學和經營風格

風險評估(riskassessment)

(一)單位必須了解它所面臨的風險，并加以控制。即設立可辨識、分析和管理相關風險的機制。風險評估就是分析和辨識為實現控制目標所可能發生的風險。風險評估主要有制定目標設定、風險識別、風險分析、和風險應對策略有：風險規避、風險降低、風險分擔、風險承受目標風險控制行為控制活動環境變化后的管理評估和更新風險評估(riskassessment)

(二)

這里要了解目標、風險以及風險評價的一些概念：目標：企業的整體目標，通常是由企業的理念及其所追求的價值所決定的，而與之相配合的是企業下一級各部門的具休目標。整體目標主要是：營運目標，包括績效和獲利目標及保障資產的安全，使其免受損失；財務報告目標，防止對外報送不真實的財務報告；遵循目標，企業遵循國家的相關法律法規。風險：辨識和分析風險的過程是一種持續及反復的過程，也是有效內部控制的關鍵組成要素，管理階層須謹慎注意各部門階層的風險，并采取必要的管理措施。企業的風險一般是由外部因素和內部因素所產生的。外部因素包括：科技發展；顧客的需求或預期改變；競爭；新的法律和行政命令；自然災害；經濟環境改變等。內部因素包括：信息系統處理的中斷；聘用員工的品質、培訓方法及激勵制度；經理人員的責任改變；企業活動的性質以及員工可接近資產的程度；董事會或監事會不夠堅定或無效等。環境變化后的管理：經濟、產業及管理的環境都是會改變的，企業的活動應隨之改變。因此，風險評估中最基本的部分，就是如何辨認已發生的改變，并采取必要的行動。這些改受因素包括：行業環境的改變；新員工；業務迅速成長；新科技；新業務、產品、作業；公司重組；國外業務等。

如何有效地進行風險管理各行業的前10種最主要的風險因素（德勤統計數據）次序銀行/保險業/證券制造業其他1內部控制的質量內部控制的質量內部控制的質量2管理人員的能力管理人員的能力管理人員的能力3管理人員的正直程度管理人員的正直程度管理人員的正直程度4會計系統的近期變動單位的規模會計系統的近期變動5單位的規模經濟環境惡化業務的復雜性6資產的流動性業務的復雜性資產的流動性7重要人員的變動重要人員的變動單位的規模8業務的復雜性會計系統的近期變動經濟環境惡化9快速的增長快速的增長重要人員的變動10政府法規管理人員對完成目標的壓力快速的增長控制活動（controlactivities）企業必須基于風險評估的結果訂立控制風險的政策及程序，并予以執行。這里的政策和程序就是所說的控制活動（控制活動，是確保管理階層的指令得以執行的政策及程序，如核準、授權、驗證、調節、復核營業績效、保障資產安全及職務分工等。）

控制活動通常可以按業務分別進行制定。現金管理資本性采購采購和付款人事和薪金營銷和銷售存貨管理控制活動的類型1 預防性控制2

檢查性控制3

糾正性控制4

補償性控制事前 事中 事后本部份概念后面有解釋信息和溝通(informationandcommunication)

企業在其經營過程中，需按某種形式辨識、取得確切的信息，并進行溝通，以使員工能夠履行其責任。企業所有員工必須從最高管理階層清楚地獲取承擔控制責任的信息，而且必須有向上級部門溝通重要信息的方法，并對外界顧客、供應商、政府主管機關和股東等做有效的溝通

信息系統不僅處理企業內部所產生的信息，同時也處理與外部的事項、活動及環境等有關的信息。

信息系統(informationsystem)信息系統是信息系統處理企業內部信息和外部信息。內部信息資料包括采購資料、銷售交易資料、內部營業活動資料和內部生產過程資料；外部信息資料包括顯示本企業產品的需求發生改變時，某種特定市場或行業的經濟資料，用于企業生產的商品的資料，顯示顧客偏好的市場情報，競爭對手產品開發活動的信息，立法機關與行政機關所發布的信息。企業建立良好的信息系統，必須做到；建立良好的信息系統支持策略，信息系統與企業營運應有效的結合；選擇更新信息系統的最佳時間；有很好的信息品質。

用于確認、記錄、計量和報告其交易和事項的財務信息系統。信息系統控制目標信息系統控制－目標提高資源使用效率有效達到企業目標保持數據完整維護資產安全符合相關的法律、法規和政策溝通(cummunication)

企業的信息系統提供有效信息給適當的人員，通過溝通，使員工能夠知悉其營業、財務報告及遵循法律的責任。企業溝通包括內部溝通和外部溝通。內部溝通需要做到：所有的員工，特別是那些負有重要營業責任或財務管理責任的員工，除了得到用以管理其負責活動的重要資料以外，還應當得到來自最高管理層需謹慎承擔內部控制責任的清楚信息；必須讓每個人清楚的知道個人所擔負的特定任務，了解內部控制制度的各項規定、它們如何生效，以及他（她）在控制系統中所扮演的角色及所承擔的責任；員工在其執行任務時，一旦有非預期的事項發生，除了要注意該事項本身之外，還應當注意導致該事項發生的原因，如此才有辦法辨認潛在缺失，采取行動，并預防再度發生；員工必須知道他（她）所負責的活動是怎樣與他人的工作發生關聯的；員工必須擁有在組織中向上溝通重要信息的方法。外部溝通應做到：顧客和供應商能經過開放的溝通管道輸入重要的信息；與相關的外部團體溝通，以便獲悉關于本企業內部控制功能的重要信息；外部審計人員對企業營業、相關業務問題及控制系統審計后，可以提供給管理階層及董事會重要的控制信息；政府主要機關（如：銀行或保險機關）所報道的復核或檢查的結果，可以有效的彌補控制的缺失

監督（monitoring）

整個內部控制制度過程，包括風險評價和控制措施，本身都必須處于監控中，并根據具體的情況進行及時的動態調整，以提高內部控制的準確、有效性和控制效率。督活動由持續監督、個別評估所組成，其可確保企業內部控制能持續有效的運作

1

持續的監督活動。持續的監督活動在營運過程中發生，它包括例行的

管理和監督活動，以及其他員工為履行其職務所采取的行動

2

個別評估。盡管持續監督程序可以有效的評價內部控制體系，但企

業有時需要組織例外評估以直接監視控制系統的有效性，這種做法可

評估持續性監督程序。評估的范圍和頻率，視風險的大小及控制的重

要性而定。

3報告缺陷。內部控制的缺失應由下往上報告，某些缺失應報告給高層管

理階層及董事會知道。

內部控制的種類按控制內容分interpretation

一般控制應用控制按控制地位分interpretation主導性控制補償性控制按控制功能分interpretation

預防式控制偵察式控制按控制時序分interpretation

原因控制過程控制結果控制（四）內部控制的目標合理保證單位經濟活動合法合規資產安全和使用有效財務信息真實完整有效防范舞弊和預防腐敗，提高公共服務的效率和效果。目標定位很高-33-財務信息資產安全公共服務反映分解愿景線安全線主線警戒線底線防范舞弊合法合規保證前提單位控制目標（四）內部控制的目標（四）內部控制的目標《規范》并未明確內部控制的五要素框架，從現有管理水平出發，強調目標導向先制定目標，再設計內部控制目標在內部控制之前設定-35-（五）內部控制的原則全面性原則：全員參加，全過程控制，系統性重要性原則：重要經濟活動及重大風險制衡性原則：制衡機制適應性原則：適應變化刪除了成本效益原則：效益不好衡量，不能以成本為借口-36-制衡性——這是內部控制的核心理念制衡，就是在單位的崗位設置、權責分配、業務流程等方面形成相互制約、相互監督的機制設計。內部控制的基本假設是：兩個人有意識地犯同樣錯誤的概率要遠少于一個人兩個人有意識地合伙舞弊的可能性要遠少于一個人（寧可一人偷雞，不愿兩人偷牛）。制衡機制：一是建立議事決策機制，防范資源配置的“一言堂”、“一枝筆”；二是規定不相容崗位相互分離、內部授權審批和強化評價與監督，防止貪污、挪用國有資產現象發生；三是建立預決算、政府采購、資產管理等部門和崗位的溝通協調機制，形成管控合力，確保資產的合理配置和有效使用；四是建立關健崗位工作人員的培訓、教育、評價和輪崗等機制，牢固樹立風險防范意識和拒腐防變的思想道德底線，自覺依法按照法定權限和程序來履行職責、維護公共利益。（六）單位負責人的責任按照《會計法》和《內部會計控制基本規范》的規定，單位負責人是單位財務與會計工作的第一責任主體，對本單位財務會計報告的真實性、完整性以及內部控制制度的合理性、有效性負主要責任。單位負責人對本單位內部控制的建立健全和有效實施負責。-39-（七）具體工作---如何做梳理各類經濟活動的業務流程明確業務環節系統分析經濟活動風險確定風險點選擇風險應對策略建立健全制度督促執行（與反饋）體現的是過程管理-40-流程化內部控制是將所有的業務活動按流程進行風險分析，并按風險點制定管控措施。將分散的管理制度有機地連接起來，就象生產線一樣。內部控制的局限性內部控制本身的局限性：人為失誤串通舞弊成本與效益管理越權不確定性內部控制規范的不足：缺乏具體操作規范、內控缺陷認定無標準實務中：高層重視不夠、缺乏內控專業人才-42-

二、規范解讀行政事業單位的特點行政事業單位側重于社會公共服務與公共管理，強調效率與公平受托責任履行自覺性不同自主程度小社會危害相對較小行政事業單位管理的績效側重于社會效益-43-44最終形成：內控制度體系內控制度體系《內部控制手冊》內部控制相關的管理制度《實施細則》圍繞兩個層次、六項業務單位層面內部控制業務層面內部控制預算業務收支業務政府采購資產業務建設項目合同-45-46《內部控制手冊》的結構內部控制基本要求按業務分類的具體控制程序財務和業務控制矩陣相關重要附件內部控制手冊的結構總則業務流程控制矩陣附則權限指引檢查評價不同管理層次、級別的權限內控檢查評價與考核形式：現有文件、制度文字說明流程圖控制矩陣圖表格-47-三、實務操作（一）風險評估（二）控制方法（三）單位層面內部控制（四）業務層面內部控制（五）評價與監督-48-（一）經濟活動風險評估

風險通常是指潛在事項的發生對目標實現產生的影響。這種影響是負面的。事項—是源于內部或外部的影響目標實現的事故或事件。帶來正面影響的被稱作機會。風險通過影響程度和發生的可能性來衡量。-49-

（一）經濟活動風險評估20世紀20年代20世紀50年代20世紀60年代20世紀70年代20世紀80年代肇始：采用保險辦法處理風險對風險有了質的認識系統研究風險管理發展成新興學科財務風險管理轉向：全面風險管理20世紀20年代

行政事業單位經濟活動的主要風險包括：1、單位經濟活動不合法或不合規的風險；2、國有資產流失、資源使用效益低下的風險；3、財務信息不真實、不完整的風險；4、發生舞弊或腐敗現象的風險；5、其他風險。（一）經濟活動風險評估造經濟活動風險的形成原因：1、內部管理制度不健全2、制衡機制缺失3、關鍵崗位職責不清4、管理中存在其他漏洞或隱患。-52-什么是風險評估？

風險評估是量化測評風險發生的可能程度及其造成的后果。

風險評估是對信息資產（即某事件或事物所具有的信息集）所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用所帶來風險的可能性的評估。-53--54-風險識別風險評估流程梳理

風險評估程序1、目標設定2、風險識別風險識別是對行政事業單位面臨的各種不確定因素進行梳理、匯總，形成風險點清單。風險識別需要對單位的經濟活動的管理現狀進行全面摸底，而且是一個動態的、連續的過程在流程梳理的過程中進行-55-常用的識別風險的方法①風險清單分析法②現場調查法③財務報表分析法④組織結構圖分析法⑨專家意見法⑤流程圖法⑦事故樹法⑧記分法⑥因果圖法

3、風險分析在風險識別的基礎之上，運用定量和定性方法進一步分析風險發生的可能性和對單位目標實現的影響程度，以便為制定風險應對策略、選擇應對措施提供依據。具包括風險可能性和影響程度分析。目的是對識別的風險進行排序，確定內部控制需要重點關注和優先控制的風險點-57-風險發生可能性評級發生可能性標準／定義低即使不采取措施，風險幾乎也不帶來損失中不采取措施，風險就會造成損失高不采取措施，風險很容易造成損失風險影響程度評級影響程度標準／定義低不采取措施，風險損失不對關鍵指標造成影響中不采取措施，風險損失對關鍵指標造成影響高不采取措施，風險損失對資源造成巨大浪費風險評估方法風險事項：外部環境、經濟活動或管理要求等發生重大變化的，就要求進行風險評估，當前則主要對應的是內部控制規范要求來識別單位自身風險及外部變化要求的風險。987654321123456789高需要行動低監督/重新部署?中等密切監督/確定和準備影響程度可能性風險評估方法依據單位能夠承受風險的能力，確定風險對策風險對策的四種基本模式規避轉嫁承擔化解風險應對策略風險識別、分析與評估清單序號控制目標可能產生風險風險等級風險應對措施-61-評估結果的應用評估工作完成后，風險評估工作小組應當做好匯總、整理和分析工作，必須形成書面報告，及時提交單位領導班子，作為完善內部控制的依據。-62-經濟活動風險評估至少每年進行一次。

第一次風險評估應當盡可能全面、細化，形成業務流程圖，確定關鍵風險點

后續的可以定期進行，主要側重于經濟活動的變化部分。單位如果外部環境、經濟活動或管理要求等發生了重大變化對某些高風險經濟活動開展不定期評估-63-（二）控制方法-64-八種方法：授權審批歸口管理職責分離預算控制財產保護控制會計控制單據控制信息內部公開職責分工問題（強調不相容職務分離）授權批準職務與執行業務職務相分離；執行業務職務與監督審核職務相分離；執行業務職務與會計記錄職務相分離；財產保管職務與會計記錄職務相分離；執行業務職務與財產保管職務相分離。

一項完整的經濟業務，如果是經過兩個以上的相互制約環節對其進行監督和核查，發生錯弊的概率大大降低。橫向控制-66-授權批準控制授權常規授權特別授權既定的程序、原則制度計劃預算日常經濟活動特殊情況特定條件非日常經濟活動如：離崗單位層面內部控制風險評估和控制方法評價與監督業務層面內部控制總則附則三、實務操作（一）單位層面內部控制控制環境:是其它內部控制組成部分的基礎，用來描述高層對內控的態度、意識和行為。誠信與道德觀組織結構授權及職責人力資源政策，激勵與約束高層的關注和監督員工的勝任能力，守法紀、講誠信反舞弊機制，建立舉報投訴制度和舉報人保護制度并公開-68-誠信和道德觀影響到重要業務流程的設計和運行。內部控制的有效性直接依賴于負責創建、管理和監督內部控制的人員的誠信和道德價值觀念。通過規范以及高層的身體力行，對誠信和道德觀的營造和保持。-69-中航油（新加坡）公司事件核心業務：負責全國100多個機場的供油設施的建設和加油設備的購置被評為2004年新加坡最具透明度的上市公司2002年3月，總裁陳久霖擅自擴大業務范圍，從事石油衍生品期權交易。2004年12月1日，在虧損5.5億美元后，中航油宣布向法庭申請破產保護令中航油內部的《風險管理手冊》設計完善-70-普華永道與中國工商銀行2004年普華永道花了5個月的時間給中國工商銀行做了長達2400頁的診斷報告。兩大軟肋：行長負責制：業務發展、風險管理、內部審計等于一身，缺乏有效的制衡與監督各部門條條管理，各分行有較獨立性，全行戰略和政策難以從上到下貫徹，信息難以從下往上真實反映，條塊矛盾嚴重-71-實際