很多单位将内部控制体系建设理解为制度汇编,把单位现有的相关制度汇总成册就可以了,这种理解是错误的。
首先,内部控制制度只是内部控制体系的一小部分,内控建设除了设计编写制度,比较复杂的是绘制六大业务各个环节的流程图,列出风险点,并制定相应的防控措施等等。
其次,根据《内部控制规范(试行)》和《指导意见》的要求,除了六大业务,内部控制控制涉及到的内容必须要建立相对应的制度。比如《内部控制规范(试行)》第十五条要求:单位应当建立健全内部控制关键岗位责任制……,《内部控制规范(试行)》中就这么一句话,十几个字,那么在你单位的内控制度中就应该出现一个《关键岗位管理制度》之类的制度文件,这样才能实现单位内部控制体系与财政部内部控制规范符合性的要求。有些单位自己编写的内控制度汇编,包含了很多不属于内控范围的文件,比如消防安全、计划生育、户籍管理等等,财政部《指导意见》说了,现在的内控范围只限于单位的经济活动和权利运行,专业业务活动目前还没有纳入内控的范围,所以内控制度文件中就不应该出现专业业务方面的管理制度。
最后,内部控制体系的制度文件与一般的管理制度在内容方面还是有差异的,单位一般的制度对内容的编写没有统一的标准,能把问题和要求说明白就可以了。但内控制度文件要求就比较规范和严格了:内部控制制度应该体现不相容岗位分离、授权审批、归口管理、信息公开等要求和要素;内部控制制度要与内部控制手册的流程描述相对应、一致;内部控制制度的相关描述还要与内控信息化软件的嵌入接口模块相对应、符合。
这是我们给一家行政机关单位做的内部控制管理制度手册的目录,仅供参考和交流:
本表中的“是否适用”、“是否建立制度”、“是否编制流程图”三个选择栏目根据单位的实际情况选择“是”或者“否”,需要注意的是前后表格的业务适用范围要相一致,并且要在后面的“附件信息统计表”中上传制度和流程图附件。流程图的格式要符合流程管理的规范和要求,不能理解为简单的画几个方框和箭头就可以了。
这是我们设计的预算管理业务其中的一个流程图格式,仅供参考和交流:
我们现在来看这张表应该如何编报,主要注意以下几点:
“收支业务管理”要注意前三个小项的选择,行政机关单位是没有“事业收入”和“经营收入”的,所以行政单位的这两个小项的“是否适用”要选择“否”。事业单位也并不是这三项收入都有,要根据单位的实际收入情况填报。单位财务科的会计人员一般都非常熟悉单位的收入的情况和分类,这一部分的填报应该不会出现问题。
“资产管理”,有些单位没有现金业务,如果是这种情况,这一小项要填写“否”。注意第7至11小项,现在国家单位的对外投资控制的非常严格,尤其是行政机关单位,一般不会有对外投资业务。
“主要管控风险点”,内部控制体系是基于风险管理理论的一种管理体系,一提到内部控制,首先想到的字眼就是“风险”,所以业务活动风险点的选择是内部控制体系建设的源头和基础。软件中对各项经济业务和各个环节设置了固定的风险点选择项,填报时直接勾选就可以了,如果你选择的风险点不在列表内,可以在后面的“其他风险点”框内手工录入。
去年和今年的内控报告,风险点的选择都是采用了这种固定选项、列表选择的方式,如果是出于方便汇总统计的角度考虑,这种方式当然是可取的。但我们认为这种方式是不能正确反映单位实际存在的业务风险的。举个例子,我们来看本表预算业务管理的第一小项“预算编审和批复”风险点的选择,这里只提供了一个风险点供选择——“预算编制不科学、不合理,业务活动与其财力相脱节”,这的确是一个风险点,但我们在咨询实践中发现大多数单位这个环节最大的风险还不是钱的问题,而是态度和认识问题。单位的业务科室认为预算编报是财务科的事,与自己无关,而财务科又不了解业务部门的具体业务,所以会发生预算漏编漏报的情况,直接影响下一年度工作的开展;还有一种可能存在的风险,比如财务科的老科长今年退休了,新上任的科长是个新手,这可能就会存在这位科长因业务不熟练而造成预算编报失误的风险。因此,同一项业务,每个单位风险点是有差异的,并且,风险点不是固定不变的,所以《内控手册》要求单位每年要对业务活动中存在的风险重新进行评估、确认。
