《公司内控手册.docx》由会员分享,可在线阅读,更多相关《公司内控手册.docx(145页珍藏版)》请在课桌文档上搜索。
1、部控制管理手册序言为了提高XXX(以下简称“XXX”或“本单位”)经济活动管理水平,促进XXX建立健全内部控制体系,依据中华人民共和国会计法以及财政部发布的事业单位财务规则、行政事业单位内部控制规范(试行)等法律法规和有关规定,参考XX市事业单位内部控制操作指引(试行),特制定XXX内部控制管理手册(以下简称“内控手册”或“手册内控手册作为XXX内部控制建设与实施的有效管理工具,具有以下几个方面的意义:1、通过建立适合本单位实际情况的内部控制体系,梳理各类经济活动的业务流程、明确业务环节、系统分析经济活动风险、确定风险点、选择风险应对策略等措施,充分利用内部控制“使其不能腐”的作用机理,使内控
2、手册成为预防贪污腐败的有效手段。2、通过对事前、事中、事后的全程控制,确保各级干部职工遵守有关法律法规,增强法制观念和道德意识,使内控手册成为保护干部职工的有效工具。3、通过内部控制建设,重新审视和梳理现行的各项管理制度,进一步创新管理机制,强化、优化管理措施,提高及时发现和有效处置风险的能力,破解存在的内部监管薄弱问题,全面提升内部管理水平。4、通过学习、培训内部控制风险管理工作,培育和塑造良好的内部控制风险管理文化,树立正确的内部控制风险管理理念,增强职工内部控制风险管理意识,将内部控制风险管理意识转化为职工的共同认识和自觉行动,促进单位建立系统、规范、高效的内部控制风险管理机制。目录序言
3、1第一章总则3第一节编制目的及意义3第二节编制依据及原则4第三节编制思路及适用范围4第四节使用说明5第五节局限性6第六节相关定义与术语6第二章风险评估与控制9第一节风险评估9第二节风险控制18第三章单位层面控制19第一节组织架构与归口管理19第二节授权体系与三重一大22第三节职责分工与不相容职务分离23第四节岗位能力胜任与岗位培训25第五节财务体系与会计控制27第六节信息系统建设与维护28第四章业务层面控制30第一节预算管理30第二节收支管理46第三节采购管理58第四节资产管理77第五节建设项目管理102第六节合同管理121第五章内部控制评价与监督133第一节内部控制评价133第二节内部审计错
4、误!未定义书签。第一章总则第一节编制目的及意义依据财政部行政事业单位内部控制规范(试行)等有关规定,内部控制,是指单位为实现控制目标,通过制定制度、实施措施和执行程序,对经济活动的风险进行防范和管控。完整的内部控制体系和完善的内部控制制度是约束、规范单位管理行为的准则,是减少风险的重大措施。内控手册是构建单位内部控制体系并保障其运行的基本制度和实施规范,是作为单位建立、执行、评价及验证内部控制的依据。内控手册的编制具有以下几个目标与意义:1 .合理保证单位经济活动合法合规。通过制定制度、实施措施和执行程序,合理保证单位的经济活动在法律法规允许的范围内进行,符合有关预算管理、收支管理、采购管理、
5、资产管理、建设项目管理、合同管理等方面的法律法规和相关规定,避免违法违规行为的发生。2 .合理保证单位资产安全和使用有效。资产是单位正常运转的物资基础和财力保障,资产部安全、使用效率低下都将对单位各项工作的正常开展产生不利影响。所以,合理保证单位资产安全和使用有效是内部控制的重要目标。3 .合理保证单位财务信息真实完整。按照国家规定编制和提供真实完整的财务信息是单位的法定义务,是提升内部管理水平的有效手段。所以,合理保证单位财务信息真实完整也是内部控制的重要目标。4 .有效防范舞弊和预防腐败。科学运用内部控制的原理和方法,将制衡机制嵌入到单位内部管理制度建设之中,强化内部监督,通过建立和实施严
6、密的内部控制起到“关口前移”的效果,实现有效防范舞弊和预防腐败的目标。5 .提高公共服务的效率和效果。提高公共服务的效率和效果是单位业务活动的总体目标,同时也是单位内部控制的最高目标。第二节编制依据及原则本内控手册依据中华人民共和国会计法、中华人民共和国预算法、事业单位财务规则(财政部令第68号)、财政部下发的行政事业单位内部控制规范(试行)和XX市财政局关于印发关于本市贯彻执行行政事业单位内部控制规范的实施意见的通知(沪财会(2013)按照52号)等法律法规和有关规定的要求,参考XX市事业单位内部控制操作指引(试行)进行制定。实施内部控制规范,应该遵循以下原则:1.合法、合规性原则:合法合规
7、性是指企业内部控制必须符合国家的法律法规。2.全面性原则、系统性原则:内部控制应当贯穿单位经济活动的决策、执行和监督全过程,覆盖单位各科室的各种正式运行的业务和发生的事项,内部控制使各科室各岗位形成较为系统的既制约又具有纵横交错关系的统一整体,确保各科室和各岗位均能按特定的目标相互协调地发挥作用,最终实现单位内部控制的总体目标。实现对经济活动的全面控制。3 .重要性原则:在全面控制的基础上,内部控制应当关注单位重要经济活动和经济活动的重大风险。4 .制衡性原则:内部控制在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。内部牵制体现科室与科室、员工与员工以及
8、各岗位之间所建立的互相验证、相互制约的关系,特别要明确科室、岗位之间的职责,管理授权要适度、明确。5 .适用性原则:内部控制应当符合国家有关规定和单位的实际情况,并随着外部环境的变化、单位经济活动的调整和管理要求的提高,不断修订和完善。第三节编制思路及适用范围本内控手册从风险评估与控制、单位层面控制、业务层面控制、内部控制评价与监督四个方面,阐明风险评估的步骤与重点、单位及业务管理活动的各项控制要点、以及针对内部控制设计及运行情况的评价与监督,明确了建立和运行内部控制与风险管理统一执行的制度、标准和规范。本内控手册适用于XXX及下属单位。第四节使用说明本内控手册作为单位构建内部控制体系并保障其
9、运行的基本制度和实施规范,是单位建立健全内部控制体系的核心。本手册是单位的重要文件,属单位机密,应对外保密,各单位、科室应按照综合办公室要求正确使用,未经允许,不得复印,不得对外泄露。任何人因使用不当造成不良后果,应负相应责任,各单位、科室领导应负管理责任。1 .内控手册的设计:手册中的各项内容由综合办公室及财务部主导,各科室配合,以及在中介机构的专业指导下共同进行设计、编写,经过单位相关领导充分讨论后,由综合办公室相关人员批准签发后生效。未经单位统一批准,任何科室不得擅自发布、修改内控手册内容。2 .内控手册的发放:综合办公室及财务部确定发放范围;需向外单位提供本手册时,须经综合办公室或财务
10、部批准同意。3 .内控手册的执行:各科室须认真组织学习,并在各项业务活动中严格执行手册中的相关要求,完善各项控制措施。各科室对内部控制的有效性负责,并对控制失效造成的重大损失承担责任。4 .内控手册的监督:单位定期根据手册内容,对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,并督促加以改进。5 .内控手册的更新:内控手册生效后,综合办公室及财务部需根据国家内部控制的相关规定和要求、内外部环境变化、组织结构变更、内控管理中出现的新问题以及各科室反馈的意见及建议等组织修订,执行全面的定期复核更新制度,由单位相关领导和相关科室讨论后,按程序批准发布执行。各科室对内控手册
11、日常使用过程中发现的问题,须书面记录并及时反馈给内部控制主管科室。第五节局限性内部控制及风险管理存在其固有的、不可避免的局限性,只能为单位的控制目标实现提供合理而非绝对保证。一般而言,内部控制与风险管理的局限性主要表现为:1 .手册中明确的控制措施是基于单位现有的风险评估结果而制定的可用控制措施,然而由于单位的风险及其评估结果可能发生变化,因此内控手册中的控制措施的重要性及其有效性也可能发生改变。2 .手册中的控制活动可能因人员简单操作差错、人员串通舞弊、管理当局凌驾于内控体系之上以及控制成本效益限制等情况失效,从而无法为单位内部控制有效性以及风险控制提供合理保证。3 .手册中的控制措施的实施
12、依赖于单位职工对措施本身的理解,行使内部控制职能的人员素质不适应岗位要求,或对内部控制措施理解出现偏差等情况也会影响风险管理与内部控制功能的正常发挥。第六节相关定义与术语1 .内部控制:指单位为实现控制目标,通过制定制度、实施措施和执行程序,对经济活动的风险进行防范和管控。2 .风险:指未来的不确定性对单位实现其运营目标的影响。(1)影响是指与预期结果的偏离(积极或消极)。(2)目标可以有不同的方面,例如:财务、管理、人力资源、健康和安全、以及环境目标。目标同时可以适用于不同的层面,例如,战略、组织和过程。(3)风险经常被标注为潜在的事件、后果或者两者的结合、以及他们对期望达成目标的影响。(4
13、)风险经常被解释为一个事件及其后果的结合,或一个状态的变化以及相关的发生可能性。3 .风险源:指任何单独或联合的、具有内在潜力引起风险的事件。4 .事件:指发生或改变一系列情况的事物(一个特定时期内,在一个特定地点所发生的事态)。通常,事件有如下几种解读:(1) 一般来说,事件的特性、可能性和后果不能完全可知。(2)事件可以是一个或多个事件,也可以有多个原因造成。(3)与事件相关的可能影响是可以确定的。(4)事件可以由一个或多个未发生的情况组成。(5)有后果的事件有时被称为“事故(6)一个未发生损失的事件也可称为“隐患5 .风险类别:是由属性相同的多个风险源或事件组成。风险类别反映了在进行风险
14、分析时应该考虑的主要方向。进行风险分析时,通常以风险类别为起点来辨识每一个风险类别内的风险源或事件。随着时间和内外环境的变动,单位通常面临着上千个动态的风险源或事件。但是这上千个动态的风险源或事件,通常可以归纳成几十个常态的风险类别。6 .风险识别:指查找单位各业务单元、各项重要经济活动及其重要业务流程中有无风险,有哪些风险。7 .风险分析:指对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件。8 .风险评价:指评估风险对单位实现目标的影响程度、风险的价值等。9 .风险承受度:指单位能够承担的风险限度,包括单位层面风险承受能力和业务层面的可接受风险水平。1
15、0 .风险规避:指单位对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。11 .风险降低:指单位在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。12 .风险转移:指单位准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。13 .风险承受:指单位对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。14 .控制措施:包括内部授权审批控制、归口管理、预算控制、财产保护控制、会计控制、单据控制、信息内部公开等。15 .控制痕迹:控制痕
16、迹即为“相关文档”,是指采取控制措施所留下的证据,可以是纸质书面文件、业务流转表单、会议纪要、电子文档记录等。第二章风险评估与控制第一节风险评估1 .综述风险评估是单位及时识别、系统分析经营活动中与实现管理目标相关的风险,合理确定风险应对策略的过程,是风险管理的基础与核心。在风险评估中,既要识别和分析对实现目标具有阻碍作用的风险,也要发现对实现目标具有积极影响的机遇。风险评估的基本流程包括风险初始信息收集、风险的识别、分析与评价、风险管理策略与选择等。单位在日常经营中充分、连续搜集风险管理信息,根据自身业务特点,选用具备可兼容性的风险分析技术,对风险管理信息进行辨识、计量、评估、分析,采用适当
17、的风险控制技术方法,并形成相关记录,为应对风险提供相应控制策略依据。风险评估由综合办公室及财务科负责计划、组织和安排具体工作;组织人事、财务、基建、园艺、科研、策划等科室或岗位工作人员成立风险评估小组,进行风险评估工作。评估人员在梳理各类经济活动的业务流程、明确业务环节的基础上,系统分析经济活动风险,确定风险点,并据此选择控制方法和应对措施。单位对内部经济活动的风险评估至少每年进行一次,在全面、系统、准确分析单位各经济业务活动风险的基础上,绘制各业务事项的流程图,确定经济活动的风险点,剖析风险存在的原因,以及导致风险发生的可能性,以确保新的风险得到及时有效的控制。同时,对预算、收支等高风险经济
18、活动业务,开展不定期评估,建立风险预警系统,有效地防范和管控风险。2 .风险类别风险类别反映了单位在进行风险分析时考虑的主要方向,根据单位的实际情况,单位应对的常见风险分为以下几类:(1)规划风险:因单位在规划决策的制订和实施上出现错误,或因未能随环境的改变而做出适当的调整,从而导致单位损失。(2)监管风险:指因管理和制度上的原因,造成对单位各项活动的监督不到位,可能存在营私舞弊和腐败等方面的风险。(3)业务管理风险:单位在业务管理过程中,由于外部环境的复杂性和变动性以及主体对环境的认知能力和适应能力的有限性,而导致的业务管理失败或使业务管理活动达不到预期的目标的可能性及其损失。(4)财务风险
19、:因单位财务结构不合理、资金使用不当,导致单位可能因资产流动性缺失而导致陷入财务困境的风险。(5)法律风险:单位在经营过程中违反法律法规,签订合同的内容在法律上有缺陷或不完善而发生法律纠纷甚至无法履约,以及法律的不完善或修订产生的不确定性等面临的风险。单位根据各风险类别的情况与性质,对以上风险进行了进一步的细分,如下表所不:表:常见风险类别细分表风险类别细分风险细分风险释义规划风险发展规划风险发展规划风险是指单位在规划决策、开发、制定、实施、控制、信息掌握、应对管理变化等活动中的失误,影响单位实施发展规划和实现规划发展目标的不确定性。单位文化风险单位文化风险是指单位文化管理不合理,导致单位文化
20、缺失或单位理念不统一,职工对单位缺乏认同感和归属感的不确定性。单位形象风险单位形象风险是指负面的公众观点,影响单位在社会的声誉和单位形象、导致单位收益、竞争能力及遭受监管部门问责处罚的不确定性。监管风险制度建设风险制度建设风险是指未建立健全规范的管理制度,导致管理监督机制不完善,影响单位运营的效率与效表:常见风险类别细分表风险类别细分风险细分风险释义果。职责设置风险职责设置风险是指未设立必要的审核监督科室或岗位,或审核监督职责设置不合理,导致经营业务中的活动缺少合理的审核、监督。授权管理风险授权管理风险是指未建立规范的授权体系,导致岗位职责权限不清,业务活动越权审批或审核审批不到位,影响单位运
21、营的效率与效果。腐败与舞弊风险腐败与舞弊风险是指单位领导或职工以不诚实、欺骗、不法行为等谋取私利的不确定性,导致单位的财产、形象和声誉受到损害的风险。业务管理风险组织架构风险组织架构风险是指组织架构的设置不合理,没有及时根据发展战略进行调整,影响单位日常经营和效率的不确定性。资产管理风险资产管理风险是指单位对各类物资缺少合理有效的管理,包括物资的出入库领用、定期盘点和处置等,导致单位遭受损失的不确定性。流程管理风险流程管理风险是指由于操作不当、未按流程执行或者操作流程本身存在缺陷,导致管理混乱,运营效率低下,致使单位遭受损失的不确定性。信息系统安全风险信息系统安全风险是指信息系统在规划、研发、
22、建设、运行、维护、监控及退出过程中由于系统设计的漏洞、技术管理的疏忽、病毒黑客的恶意攻击等导致操作中断、通信故障、技术诈骗、机密泄露,造成损失的不确定性。预算管理风险预算管理风险是指单位在预算管理程序、管理机制或管理环节中出现细漏,导致预算实施效果偏离既定目标、预算管理失效等的不确定性。采购管理风险采购管理风险是指在采购管理活动中存在的由于采购管理科室失职或供应商遴选流程不合理,造成供应的产品/服务不能满足单位要求,从而导致单位遭受损失的不确定性。建设项目管理风险建设项目风险是指单位对建设项目的建设过程管理不善,包括项目招投标、项目资金的管理、项目进度的监督、竣工验收及工程物资管理等环节,影响
23、项目质量,造成单位经济损失的不确定性。财务风险收支管理风险收支管理风险是指收支制度不健全,收支管理不规范,收支核算不及时、不准确等因素导致贪污腐败、资金损失的不确定性。表:常见风险类别细分表风险类别细分风险细分风险释义财务核算风险财务核算是指运用会计核算、统计核算、业务核算等技术方法,对单位经营活动中,实际形成的资金、成本、收入、费用等数据,进行记录、汇总、分配计算,反映单位财务状况和经营成果。财务核算风险是指在财务核算过程中的不确定性,导致单位财务报表数据不准确或列报不符合规定。资金管理风险单位资金管理活动包括对资金的筹集、分配、运用、收回、核算、监控、成本管理、现金流管理等活动,以确保资金
24、有效使用和满足需求。资金管理风险是指资金管理中的失误,影响单位资金管理效率和效果的不确定性。财务信息失真风险财务信息失真风险是指因财务信息获取手段不规范、来源不可信或人为因素,而导致单位财务信息质量不真实、不完整的风险。法律风险劳动关系风险劳动关系风险是指在管理单位与职工相关的事务(包括工资报酬、保险、福利、沟通、解决人员投诉、处理和解决劳动纠纷)的活动中存在的不确定性,影响单位与职工关系的风险。合同管理风险合同风险是指因在合同订立、条款评审、变更等过程中的管理失误,而使单位遭受损失的不确定性。诉讼纠纷风险诉讼纠纷风险是指单位及其诉讼代理人在诉讼过程中遇到的与争议事实无关(如诉讼程序不当),但
25、导致单位合法权益无法实现的不确定性。法律事务风险法律事务风险是指法律事务管理中出现失误,影响单位合法权益的不确定性。3.评估方法本单位采用定性和定量相结合的方法,以风险发生频率及可能损失为维度,对风险进行评估。其中,风险频率及对应分值如下表所示:表:风险频率及分值表分值频率定义定性定量适用于日常运营中风险发生的频率适用于重大灾难*故适用于可以通过历史数据统计出一定时期内风险发生概率的风险5很高常会发生/非常可能今后1年内至少发生1次每年发生概率为90%以上4高较多情况下发生/很可能今后1年内可能发生1次每年发生概率为70%-90%3一般某些情况下发生/可能今后25年内可能发生1次每年发生概率为
26、30%-70%2低极少情况下才发生/不太可能今后510年内可能发生1次每年发生概率为10%-30%1很低一般情况下不会发生/极不可能今后10年内发生的可能少于1次每年发生概率10%以下风险损失是指由于一个或多个意外事件的发生,在某一特定条件和特定单位内外产生的多种损失的综合。风险发生损失从经济(损失)、法规、运营、声誉、安全以及环境等角度基于目前单位的规模、风险偏好和承受能力等进行综合判断而得出。单位针对风险损失制定的评估要素及标准如下所示:表:风险发生损失评估表分值后果经济(损失)法规运营声誉安全环境5灾难性经济损失达到90%以上法务案件预计损失达到经济损失90%重大影响负面消息造成单位声誉
27、灾难性受损引起群体性人员或公民死亡无法弥补的灾难性环境损害;激起公众的愤怒潜在的大规模的公众法律投诉4重大经济损失在70%-90%法务案件预计损失达到经济损失70%-90%严重影响负面消息造成单位声誉重大受损引起多位职工或公民死造成主要环境损害;需要相当长的时间来恢复;大规模的公众投诉;应执行重大的补救措施表:风险发生损失评估表分值后果经济(损失)法规运营声誉安全环境3重要经济损失在50%-70%法务案件预计损失达到经济损失的50%-70%中度影响负面消息造成单位声誉中等受损导致一位人员或公民死亡,多位人员或公民严重伤残对环境造成中等影响;需一定时间才能恢复;出现个别投诉事件;应执行一定程度的
28、补救措施2中等经济损失在30%-50%法务案件预计损失达到30%-50%一般影响负面消息造成单位声誉轻微受损导致多位人员或公民中等伤残,大部分丧失劳动能力对环境或社会造成一定的影响;应通知政府有关部门1轻微经济损失在30%以下无轻度影响负面消息未使单位声誉受损导致多位人员或公民轻微伤残对环境或社会造成短暂的影响;可不采取行动单位针对所涉及的风险,依据单位管理层的风险偏好、风险承受度从风险级别上划分为重大级、重要级、普通级三种。(1)重大级风险:指一个或多个控制风险(缺陷)的组合,可能导致单位严重偏离控制目标。重大风险的风险源,是不可容忍的风险,必须立刻采取处理措施;(2)重要级风险:指一个或多
29、个控制风险(缺陷)的组合,其严重程度和经济后果低于重大风险,但仍有可能导致单位偏离控制目标。重要风险的风险源,应明确管理责任人,考虑处理措施并定期监控;(3)普通级风险:指除重大风险、重要风险之外的其他风险。普通风险是可以接受的风险,但必须定期重新评估,或在有相关的风险事件发生时重新评估。根据风险频率和风险损失进行组合计算,判断得出各项风险的风险等级。风险等级计算标准如下:风险等级判断标准(1/2)风险等级风险频率分值X风险损失分值1-89-1617-25风险级别普通级重要级重大级风险等级判断标准(2/2)重大级17W风险等级W25,或风险损失二5重要级9风险等级16,或风险损失二4普通级1风
30、险等级8,或风险损失V4其中:(1)重大级风险属于管理优先级为高(损失与频率相乘在16分以上,同时在不考虑风险频率的情况下风险后果指标分值在5分)的风险,需要重点关注,优先调配资源以进行管理,以把风险排序降低。(2)重要级风险属于管理优先级为中(损失与频率相乘在9至16分,同时在不考虑风险频率的情况下风险损失指标分值在4分)的风险。需关注风险趋势变化,适当地调整资源以进行管理,以有效的成本代价降低风险排序。(3)普通级风险属于管理优先级为低(损失与频率相乘在9分以下)的风险。需维持现有管理水平,可适当地把资源调配,用以管理其它风险。4.评估步骤(1) 风险初始信息收集 综合办公室及财务处负责对
31、单位内、外部环境的相关信息进行系统收集、更新及维护。外部环境包括社会、政治、法律、经济环境、自然灾害。环境状况,以及对组织目标有影响的关键驱动因素和发展趋势等;内部环境包括组织架构、角色和责任、组织文化、管理特色、财务因素、信息系统、信息流和决策过程等。 各有关职能科室负责收集与其职能相关的风险管理初始信息,并对收集到的风险管理初始信息进行更新和维护,由综合办公室及财务处进行指导和监督。 单位通过内部讨论、数据收集、外部沟通等方式对信息进行收集。由于信息的多样性。 与广泛性,单位通过建立的相应规范流程与标准模板,对信息进行系统筛选、提炼、对比、分类和组合。同时,单位通过风险信息收集的汇报与监督
32、机制,确保风险初始信息的收集充分、有效。(2)风险的识别、分析与评价 风险评估小组针对风险分类、风险评估标准、风险模板、应对策略制定原则等内容,对各相关科室开展培训,并组织各科室的风险评估人员进行风险信息的收集以及风险事项的识别,分析风险的原因和后果,评价风险的重要性水平。由风险评估工作小组负责汇总、整理、排序各科室提交的风险评估结果,根据评估分值确定风险等级,汇总、整理出风险评估初步结果。 单位采用定性与定量相结合的方法对风险进行识别、分析、评价。定性方法包括问卷调查、集体讨论、管理层访谈、专家咨询、情景分析、政策分析、调查研究等。定量方法包括采用统计推论(如集中趋势法)、计算机模拟(如蒙特
33、卡罗分析法)、失效模式与影响分析、事件树分析等。(3) 风险管理策略与选择 单位根据自身情况确定风险偏好和风险容忍度,通过正确认识和把握风险与收益的平衡,明确各项风险的管理策略,包括:风险规避、风险承受、风险转移、风险降低。 单位在确定优选顺序时,遵循风险与收益相平衡的原则。在风险评估结果的基础上,全面考虑风险与收益,首先解决“颠覆性的”风险问题,保证单位的持续发展。根据风险与收益平衡的原则,单位通过以下因素确定风险管理的优选顺序:风险事件发生的可能性和影响、风险管理的难度、风险的价值,或管理可能带来的收益、合法合规的需要、对单位人力、资金等的需求以及利益相关者的要求。 单位基本风险管理策略的
34、制定遵循合规性、全面性、审慎性、适时性原则,以制度为基础、以流程为依托,将风险管理覆盖到单位经营管理的各个环节和岗位中,并形成“事前防范、事中控制、事后评价”的风险管理机制。 风险评估小组负责风险应对的总体指导和协调,各科室完成应对策略及应对方案后,汇总报风险评估工作小组。 单位对已制定的风险管理策略的有效性和合理性进行定期总结和分析,随着单位经营状况的变化,经营战略、规划的变化,外部环境风险的变化,定期对风险管理策略进行调整,不断修订和完善。第二节风险控制单位根据风险评估情况,形成风险数据库,并整理重大风险应对方案或应急计划。同时,单位针对各项风险制定了全面系统、科学合理的控制措施。单位对风
35、险的控制方法归纳为以下几大类:不相容岗位相互分离、内部授权审批控制、归口管理、预算控制、财产保护控制、会计控制、单据控制、信息内部公开等:1 .不相容岗位相互分离:对内部控制关键岗位进行合理设置,明确划分职责权限,实施相应的分离措施,形成相互制约、相互监督的工作机制。2 .内部授权审批控制:明确各岗位办理业务和事项的权限范围、审批程序和相关责任,建立重大事项集体决策和会签制度。相关工作人员在授权范围内行使职权、办理业务。3 .归口管理:根据本单位实际情况,按照权责对等的原则,采取成立联合工作小组并确定牵头科室或牵头人员等方式,对有关经济活动实行统一管理。4 .预算控制:明确各责任单位在预算管理
36、中的职责权限,强化对经济活动的预算约束,使预算管理贯穿于单位经济活动的全过程。5 .财产保护控制:建立资产日常管理制度和定期清查机制,采取资产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。严格限制未经授权的人员接触和处置财产。6 .会计控制:严格执行国家统一的行政事业单位会计制度,建立健全本单位财会管理制度,加强会计机构建设,提高会计人员业务水平,强化会计人员岗位责任制,规范会计基础工作,加强会计档案管理,明确会计凭证、会计账簿和财务会计报告处理程序。7 .单据控制:根据国家有关规定和单位的经济活动业务流程,在内部管理制度中明确界定各项经济活动所涉及的表单和票据,要求相关工作人员按照
37、规定填制、审核、归档、保管单据。8 .信息内部公开:建立健全经济活动相关信息内部公开制度,根据国家有关规定和单位的实际情况,确定信息内部公开的内容、范围、方式和程序。第三章单位层面控制第一节组织架构与归口管理1 .综述组织架构作为单位内部控制的有机组成部分,在单位内部控制体系中处于基础地位,是单位开展风险评估、实施控制活动、促进信息沟通、强化内部监督的基础设施和平台载体。本手册旨在明确单位内部各层级的机构设置、职责权限、人员编制、工作程序和相关要求的制度安排,确保单位建立科学高效、分工制衡的组织架构,明确各项业务的归口管理科室,促使单位自上而下地对风险进行识别和分析,进而采取控制措施予以应对;
38、促进信息在单位内部各层级之间、单位与外部环境之间及时、准确、顺畅地传递;提升日常监督和专项监督的力度和效能。根据XXX内控管理要求,单位内控管理体系的组织架构实行三级管理,即决策机构、监督管理机构、执行机构。决策机构:内部控制主管科室,是内控管理的决议机构,负责公司与内控有关的重大事项的决定。监督管理机构:综合办公室是公司内部控制管理归口部门,负责公司的内控管理工作及内控体系的有效性和符合性实施监督、评价。执行机构:单位各职能部门具体执行内控管理的政策、制度,报告内控体系实施运营情况。2 .控制活动及措施:(1) XXX单位根据国家有关法律法规和规章制度,结合内外部环境,对XXX组织架构和各业
39、务岗位进行设置,明确本单位各科室职责权限及相关岗位职责,形成符合单位战略、规划要求的科学有效的职责分工和制衡机制。本单位在进行组织架构设置时,确保满足以下原则: 制衡性原则:明确单位内的决策机构、执行机构和监督机构,合理分配各机构权责,形成三权分离、互相制衡的有效机制;同时,确保监督机构的相对独立性。 适应性原则:根据自身要求,结合现有编制情况,设置不同的科室机构和岗位,在现有编制内灵活设计工作机制,选择合适的方式组织协调内部控制的建立、实施和日常工作。 协同性原则:确保组织架构设计立足于整体,全面考虑单位经济活动的决策、执行和监督全过程。对于单位重要经济活动和经济活动的重大风险,在进行组织架
40、构设计时作出适当的安排,点面结合,提高控制协同性,降低控制成本。(2)单位的组织结构设置包括常设机构设置和非常设结构设置: 常设机构:包括单位因日常事务处理需要而设置的专门机构,有固定的办公场所、专职的人员配备、特定的业务处理范围。 非常设机构:为完成某一方面工作或某项业务的组织协调工作,单位通过调配相关人员成立的非常无处理性质的机构。非常设机构包括但不限于:单位领导班子会议、预算委员会、采购领导小组和(专项)监督小组等。单位根据各专业委员会的作用明确委员会成员,包括单位相关负责人、相关职能科室的负责人、业务骨干等,必要时聘请外部专家协助有关工作。在对专业委员会进行人员配置时,需突出专业分工的
41、专业性,提高决策的科学性和透明度。(3)单位明确内部控制主管科室,负责内部控制相关工作,确保为内部控制的建立与实施工作提供强有力的组织保障。内部控制主管科室的工作包括: 组织协调内部控制日常工作; 研究提出单位内部控制体系建设方案或规划; 研究提出单位内部跨科室的重大决策、重大风险、重大事件和重要业务流程的内部控制工作; 组织协调单位内部跨科室的重大风险评估工作; 研究提出风险管理策略和跨科室的重大风险管理解决方案,并负责方案的组织实施和对风险的日常监控; 组织协调相关科室或岗位落实内部控制的整改计划和措施; 组织协调单位内部控制的其他有关工作。(4)单位建立财务、人事、基建、园艺、科研中心、
42、经营策划等科室或岗位之间的沟通协调机制,确保设置有利于信息的上传、下达和各职能科室、岗位间的传递,充分发挥各相关科室或岗位的作用,为内部控制的建立与实施提供协助。相关科室或岗位的工作包括: 配合综合办公室及财务处对本科室相关的经济活动进行流程梳理和风险评估; 对本科室的内部控制建设提出意见和建议,积极参与单位经济活动内部管理制度体系的建设; 认真执行单位内部控制管理制度,落实内部控制的相关要求; 加强对本科室实施内部控制的日常监控; 做好内部控制执行的其他相关工作。(5)单位建立健全内部监督机制,及时发现内部控制建立和实施中的问题和薄弱环节,并及时加以改进,确保内部控制体系得以有效运行。其中,
43、综合办公室及财务处作为内部监督的主要力量,主要做好以下工作: 研究制定监督内部管理制度; 组织实施对内部控制的建立和执行情况及有效性的监督检查和自我评价,提出改进意见或建议; 督促相关科室落实内部控制的整改计划和措施;做好内部控制监督检查和自我评价的其他有关工作。第二节授权体系与三重一大1 .综述制衡机制的设置是建立单位内部控制体系的核心内容。在进行权力分配时确保将单位决策权、执行权和监督权进行“三权分离”,能够有效防范舞弊和预防腐败,是实现科学决策、有序执行和有效监督的基本保障。本手册旨在明确单位授权体系设置的相关要求,确保单位建立有效的制衡机制,保证单位建立良好的针对重大决策、重大事项、重
44、要人事任免以及大额资金支付业务等事项的议事决策机制、高效的执行机制和有效的监督机制。2 .控制活动及措施:(1)单位在设置授权体系暨制衡机制时,确保将单位决策权、执行权和监督权进行“三权分离”。其中:决策机构能够客观评估经济活动的风险,根据资源配置最优化要求做出科学决策,从起点上控制和约束执行机构;执行机构能够根据已有的决策,进一步细化执行过程中的职责和权限,协调有序地执行决策,并通过反馈以便决策机构实现决策的优化调整;监督机构以独立于决策和执行的身份,对决策机构是否做出科学合理的资源配置决策、决策执行机构是否严格执行已有决策进行监督,以及时发现单位内部控制中存在的问题,促进单位完善内部控制体
45、系。(2)单位在办理经济活动的业务和事项之前,必须经过适当的授权审批,特别是重大事项如大型采购、基本建设以及与之相关的大额资金支付业务等,还必须经过集体决策和会签制度,任何个人不得单独进行决策或者擅自改变集体决策的意见。(3)单位通过对决策过程、执行过程的合规性以及执行的效果进行检查评价,确保经济活动的各业务和事项都经过了适当的授权审批,确保经办人员按照授权的要求和审批的结果办理业务。(4)单位在进行决策、执行和监督组织架构和岗位设置时,既要符合现有编制,又要符合内部控制要求和经济活动特点。(5)单位建立健全议事决策制度,制度内容包括议事成员构成、决策事项范围、投票表决规则、决策纪要的撰写、流
46、转和以及对决策事项的贯彻落实和监督程序等。(6)单位根据国家有关规定和自身的实际情况确定重大经济事项范围,一经确定,不得随意变更。(7)针对单位重大经济事项,包括大额资金的使用、大宗设备的采购、基本建设项目、重大外包业务、对外投资和融资业务、重要资产处置、信息化建设以及预算调整等,需经单位领导班子集体研究决定,实施单位办公联席会议或专题讨论会制度。(8)针对单位的重大决策、重大事项、重要人事任免以及大额资金支付业务,单位按照规定的权限和程序实行集体决策审批或者联签制度。“三重一大”集体决策制度必须满足制度化、程序化、科学化和民主化的要求。(9)单位建立专家论证制度,针对业务复杂、专业性强的经济活动,邀请专家参与、进行必要的技术咨询,对业务或项目的可行性进行充分的分析论证。论证结果作为决策的依据之一。(10)对重大经济事项的内部决策,单位形成书面决策纪要,如实反映决策过程和各方面的意见。与会领导班子成员核实记录内容并签字,并及时归档。(11)单位对决策执行的效率效果实行跟踪,并建立决策问责制度,对经济活动中出现的重大决策失误、未履行集体决策程序和不按照决策执行业务的人员,追究相应的责任。第三节职责分工与不相容职务分离1 .综述单位的权责结构是形成单位纵向层级和横向科室体系的基础,是组织分工、组织法规和组织纪律的实际体现。单位通过明确内部各科室、人员的权利和所承担的责任,将