行政事业单位会计内部控制规范讲座

-1-内部控制规范培训

赣榆区财政局

行政事业单位内部控制规范（试行）共六章，65条总则:目标、原则和流程风险评估控制方法单位层面内部控制业务层面内部控制评价监督内部控制规范主要内容六章六十五条（1.2.3.4.5.6.7.8.9）1套规范：行政和事业单位实行同一套规范2种单位性质：行政和事业单位3个方面工作：制定制度、实施措施、执行程序4项原则：全面性、重要性、制衡性、适应性5个目标：合法、安全、可靠、效益和风险防范6项业务：经济活动业务层面的6项风险评估7个步骤：建立并实施内部控制体系的7个步骤8种方法：应对风险的8种方法9个主体：党政机关等实施行政事业单位内控规范的9个主体内容一、基本知识二、政策解读三、实务操作从刚性到人性从有形到无形从形式到实质-4-一、基本知识(一).内部控制规范主要特点1.将内部控制基本原理与行政事业单位具体情况相结合。2.对业务管理规定和行业财务规则进行整合和充实。3.更加强调内部监督。4.明确主管部门对行政事业单位内部控制建设的外部监督和业务指导作用。内部控制产生的原因(cause)企业的生产经营时刻处于在风险中。什么是风险哪？风险就是某一事件或行为对企业经济利益可能的威胁企业所面临的风险：商业风险和管理风险商业风险：诸如经营环境、行业的风险、企业所处的金融时常风险、产品的开发能力等等这些不是受企业完全支配的因素管理风险： 经营和财务信息的不足；政策、计划、程序、法律和标准贯彻失败资产流失资源浪费和无效使用不能达到企业的目的和目标竞争失败（企业由于竞争失败会遭受诸多的不利）经营中断（企业的目标将无法达到）法律诉讼（会给企业带来损失和信誉的破坏等）商业欺诈（会给企业带来损失）无益开支（使得企业的收益能力下降）资产损失（）决策失误（）风险的后果(results)风险如何最小化？

风险最小化加强系统的内部控制对可能的损失投保当可能的风险较大时，寻求较大的回报内部控制如何降低风险？

暴露的金额发生的可能性风险的大小内部控制降低（一）当前行政事业单位内部控制存在的主要问题1.内控意识相对薄弱2.财务管理制度不健全3.资产管理和控制制度有待加强4.对预算控制缺乏刚性。5.费用支出方面缺乏有效控制

6.固定资产管理比较薄弱7.票据管理不够严格到位。

8.岗位设置不够合理。(二)、制定单位内控规范必要性1:建设廉洁高效、人民满意的服务型政府的要求2:适应分类推进事业单位改革的要求3:适应财政规范化科学化信息化管理的要求.4:国务院治理“小金库”和打击“假发票”的要求5:我国内部控制标准体系建设的要求6:提高我国行政事业单位内部管理水平、加强廉政风险防控机制建设的要求（三）内部控制的定义内部控制，是指单位为实现控制目标，通过制定制度、实施措施和执行程序，对经济活动的风险进行防范和管控。所谓行政事业单位内部控制，是指为实现行政事业单位的管理目标，以财政部门预算管理为主线，通过制定并实施科学合理的控制程序和方法，对行政事业单位财务会计管理风险进行有效识别、控制和监督的机制。-12-（三）内部控制的定义内部控制的原理和方法可适用于所有的业务活动。规范暂定位于经济活动的内部控制，过多地局限于以财政资金为主线的会计控制上内部控制不仅仅是“制度、措施、程序”要体现内部控制是一个动态、连续的过程（实质）单位实施内部控制的意义加强内部控制建设是预防贪污腐败的有效手段。加强内部控制建设是保护干部的有效工具。加强内部控制建设是单位事业健康发展的必然要求。-13-如何理解内部控制（1）内部控制是一个过程，是实现目标的手段，而不是结果本身。内部控制会受到企业内部各层次人员的影响，而不是简单地制定出一本制度或规章对管理曾或董事会来说，内部控制提供的只是合理的保证，而非绝对的保证内部控制的目的在于实现组织的一个或几个目标。如何理解内部控制（2）内部控制绝对不是：静态的结构；某一层次人员的任务（例如：高级管理层）；某一部门的任务（例如：财务、内部审计）；某一实体的任务（例如：总部、省级公司）。内部控制是：因此，整个集团的共同参与对于项目的成功至关重要。内部控制的概念20世纪40年代前40年代末至70年代80年代至90年代90年代之后内部牵制内部控制制度内部控制结构内部控制整合框架内部控制（InternalControl）概念的演变大致可划分为四个阶段：内部系统的整体架构内部控制划分为五个要素

控制环境风险评估控制活动信息与沟通监控内控系统五要素架构：监督控制活动风险评估控制环境信息与沟通信息与沟通控制环境(controlenvironment)：是任何企业的核心，是企业的人以及它所处的环境提供了企业纪律与架构，塑造了企业文化，并影响企业员工的控制意识是推动企业的引擎，也是其他要素的基础控制环境的组成要素：管理哲学和经营风格组织结构董事会及其委员会职能职责分配和授权人力资源政策及实务审计署对23家企业的调查结果％金额（亿元）资产不实10.39%负债不实7.89%利润不实38.87

其中：虚报94.98%36.92隐瞒52.89%20.53潜亏92.77%36.06

控制环境－管理哲学和经营风格

风险评估(riskassessment)

(一)单位必须了解它所面临的风险，并加以控制。即设立可辨识、分析和管理相关风险的机制。风险评估就是分析和辨识为实现控制目标所可能发生的风险。风险评估主要有制定目标设定、风险识别、风险分析、和风险应对策略有：风险规避、风险降低、风险分担、风险承受目标风险控制行为控制活动环境变化后的管理评估和更新风险评估(riskassessment)

(二)

这里要了解目标、风险以及风险评价的一些概念：目标：企业的整体目标，通常是由企业的理念及其所追求的价值所决定的，而与之相配合的是企业下一级各部门的具休目标。整体目标主要是：营运目标，包括绩效和获利目标及保障资产的安全，使其免受损失；财务报告目标，防止对外报送不真实的财务报告；遵循目标，企业遵循国家的相关法律法规。风险：辨识和分析风险的过程是一种持续及反复的过程，也是有效内部控制的关键组成要素，管理阶层须谨慎注意各部门阶层的风险，并采取必要的管理措施。企业的风险一般是由外部因素和内部因素所产生的。外部因素包括：科技发展；顾客的需求或预期改变；竞争；新的法律和行政命令；自然灾害；经济环境改变等。内部因素包括：信息系统处理的中断；聘用员工的品质、培训方法及激励制度；经理人员的责任改变；企业活动的性质以及员工可接近资产的程度；董事会或监事会不够坚定或无效等。环境变化后的管理：经济、产业及管理的环境都是会改变的，企业的活动应随之改变。因此，风险评估中最基本的部分，就是如何辨认已发生的改变，并采取必要的行动。这些改受因素包括：行业环境的改变；新员工；业务迅速成长；新科技；新业务、产品、作业；公司重组；国外业务等。

如何有效地进行风险管理各行业的前10种最主要的风险因素（德勤统计数据）次序银行/保险业/证券制造业其他1内部控制的质量内部控制的质量内部控制的质量2管理人员的能力管理人员的能力管理人员的能力3管理人员的正直程度管理人员的正直程度管理人员的正直程度4会计系统的近期变动单位的规模会计系统的近期变动5单位的规模经济环境恶化业务的复杂性6资产的流动性业务的复杂性资产的流动性7重要人员的变动重要人员的变动单位的规模8业务的复杂性会计系统的近期变动经济环境恶化9快速的增长快速的增长重要人员的变动10政府法规管理人员对完成目标的压力快速的增长控制活动（controlactivities）企业必须基于风险评估的结果订立控制风险的政策及程序，并予以执行。这里的政策和程序就是所说的控制活动（控制活动，是确保管理阶层的指令得以执行的政策及程序，如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。）

控制活动通常可以按业务分别进行制定。现金管理资本性采购采购和付款人事和薪金营销和销售存货管理控制活动的类型1 预防性控制2

检查性控制3

纠正性控制4

补偿性控制事前 事中 事后本部份概念后面有解释信息和沟通(informationandcommunication)

企业在其经营过程中，需按某种形式辨识、取得确切的信息，并进行沟通，以使员工能够履行其责任。企业所有员工必须从最高管理阶层清楚地获取承担控制责任的信息，而且必须有向上级部门沟通重要信息的方法，并对外界顾客、供应商、政府主管机关和股东等做有效的沟通

信息系统不仅处理企业内部所产生的信息，同时也处理与外部的事项、活动及环境等有关的信息。

信息系统(informationsystem)信息系统是信息系统处理企业内部信息和外部信息。内部信息资料包括采购资料、销售交易资料、内部营业活动资料和内部生产过程资料；外部信息资料包括显示本企业产品的需求发生改变时，某种特定市场或行业的经济资料，用于企业生产的商品的资料，显示顾客偏好的市场情报，竞争对手产品开发活动的信息，立法机关与行政机关所发布的信息。企业建立良好的信息系统，必须做到；建立良好的信息系统支持策略，信息系统与企业营运应有效的结合；选择更新信息系统的最佳时间；有很好的信息品质。

用于确认、记录、计量和报告其交易和事项的财务信息系统。信息系统控制目标信息系统控制－目标提高资源使用效率有效达到企业目标保持数据完整维护资产安全符合相关的法律、法规和政策沟通(cummunication)

企业的信息系统提供有效信息给适当的人员，通过沟通，使员工能够知悉其营业、财务报告及遵循法律的责任。企业沟通包括内部沟通和外部沟通。内部沟通需要做到：所有的员工，特别是那些负有重要营业责任或财务管理责任的员工，除了得到用以管理其负责活动的重要资料以外，还应当得到来自最高管理层需谨慎承担内部控制责任的清楚信息；必须让每个人清楚的知道个人所担负的特定任务，了解内部控制制度的各项规定、它们如何生效，以及他（她）在控制系统中所扮演的角色及所承担的责任；员工在其执行任务时，一旦有非预期的事项发生，除了要注意该事项本身之外，还应当注意导致该事项发生的原因，如此才有办法辨认潜在缺失，采取行动，并预防再度发生；员工必须知道他（她）所负责的活动是怎样与他人的工作发生关联的；员工必须拥有在组织中向上沟通重要信息的方法。外部沟通应做到：顾客和供应商能经过开放的沟通管道输入重要的信息；与相关的外部团体沟通，以便获悉关于本企业内部控制功能的重要信息；外部审计人员对企业营业、相关业务问题及控制系统审计后，可以提供给管理阶层及董事会重要的控制信息；政府主要机关（如：银行或保险机关）所报道的复核或检查的结果，可以有效的弥补控制的缺失

监督（monitoring）

整个内部控制制度过程，包括风险评价和控制措施，本身都必须处于监控中，并根据具体的情况进行及时的动态调整，以提高内部控制的准确、有效性和控制效率。督活动由持续监督、个别评估所组成，其可确保企业内部控制能持续有效的运作

1

持续的监督活动。持续的监督活动在营运过程中发生，它包括例行的

管理和监督活动，以及其他员工为履行其职务所采取的行动

2

个别评估。尽管持续监督程序可以有效的评价内部控制体系，但企

业有时需要组织例外评估以直接监视控制系统的有效性，这种做法可

评估持续性监督程序。评估的范围和频率，视风险的大小及控制的重

要性而定。

3报告缺陷。内部控制的缺失应由下往上报告，某些缺失应报告给高层管

理阶层及董事会知道。

内部控制的种类按控制内容分interpretation

一般控制应用控制按控制地位分interpretation主导性控制补偿性控制按控制功能分interpretation

预防式控制侦察式控制按控制时序分interpretation

原因控制过程控制结果控制（四）内部控制的目标合理保证单位经济活动合法合规资产安全和使用有效财务信息真实完整有效防范舞弊和预防腐败，提高公共服务的效率和效果。目标定位很高-33-财务信息资产安全公共服务反映分解愿景线安全线主线警戒线底线防范舞弊合法合规保证前提单位控制目标（四）内部控制的目标（四）内部控制的目标《规范》并未明确内部控制的五要素框架，从现有管理水平出发，强调目标导向先制定目标，再设计内部控制目标在内部控制之前设定-35-（五）内部控制的原则全面性原则：全员参加，全过程控制，系统性重要性原则：重要经济活动及重大风险制衡性原则：制衡机制适应性原则：适应变化删除了成本效益原则：效益不好衡量，不能以成本为借口-36-制衡性——这是内部控制的核心理念制衡，就是在单位的岗位设置、权责分配、业务流程等方面形成相互制约、相互监督的机制设计。内部控制的基本假设是：两个人有意识地犯同样错误的概率要远少于一个人两个人有意识地合伙舞弊的可能性要远少于一个人（宁可一人偷鸡，不愿两人偷牛）。制衡机制：一是建立议事决策机制，防范资源配置的“一言堂”、“一枝笔”；二是规定不相容岗位相互分离、内部授权审批和强化评价与监督，防止贪污、挪用国有资产现象发生；三是建立预决算、政府采购、资产管理等部门和岗位的沟通协调机制，形成管控合力，确保资产的合理配置和有效使用；四是建立关健岗位工作人员的培训、教育、评价和轮岗等机制，牢固树立风险防范意识和拒腐防变的思想道德底线，自觉依法按照法定权限和程序来履行职责、维护公共利益。（六）单位负责人的责任按照《会计法》和《内部会计控制基本规范》的规定，单位负责人是单位财务与会计工作的第一责任主体，对本单位财务会计报告的真实性、完整性以及内部控制制度的合理性、有效性负主要责任。单位负责人对本单位内部控制的建立健全和有效实施负责。-39-（七）具体工作---如何做梳理各类经济活动的业务流程明确业务环节系统分析经济活动风险确定风险点选择风险应对策略建立健全制度督促执行（与反馈）体现的是过程管理-40-流程化内部控制是将所有的业务活动按流程进行风险分析，并按风险点制定管控措施。将分散的管理制度有机地连接起来，就象生产线一样。内部控制的局限性内部控制本身的局限性：人为失误串通舞弊成本与效益管理越权不确定性内部控制规范的不足：缺乏具体操作规范、内控缺陷认定无标准实务中：高层重视不够、缺乏内控专业人才-42-

二、规范解读行政事业单位的特点行政事业单位侧重于社会公共服务与公共管理，强调效率与公平受托责任履行自觉性不同自主程度小社会危害相对较小行政事业单位管理的绩效侧重于社会效益-43-44最终形成：内控制度体系内控制度体系《内部控制手册》内部控制相关的管理制度《实施细则》围绕两个层次、六项业务单位层面内部控制业务层面内部控制预算业务收支业务政府采购资产业务建设项目合同-45-46《内部控制手册》的结构内部控制基本要求按业务分类的具体控制程序财务和业务控制矩阵相关重要附件内部控制手册的结构总则业务流程控制矩阵附则权限指引检查评价不同管理层次、级别的权限内控检查评价与考核形式：现有文件、制度文字说明流程图控制矩阵图表格-47-三、实务操作（一）风险评估（二）控制方法（三）单位层面内部控制（四）业务层面内部控制（五）评价与监督-48-（一）经济活动风险评估

风险通常是指潜在事项的发生对目标实现产生的影响。这种影响是负面的。事项—是源于内部或外部的影响目标实现的事故或事件。带来正面影响的被称作机会。风险通过影响程度和发生的可能性来衡量。-49-

（一）经济活动风险评估20世纪20年代20世纪50年代20世纪60年代20世纪70年代20世纪80年代肇始：采用保险办法处理风险对风险有了质的认识系统研究风险管理发展成新兴学科财务风险管理转向：全面风险管理20世纪20年代

行政事业单位经济活动的主要风险包括：1、单位经济活动不合法或不合规的风险；2、国有资产流失、资源使用效益低下的风险；3、财务信息不真实、不完整的风险；4、发生舞弊或腐败现象的风险；5、其他风险。（一）经济活动风险评估造经济活动风险的形成原因：1、内部管理制度不健全2、制衡机制缺失3、关键岗位职责不清4、管理中存在其他漏洞或隐患。-52-什么是风险评估？

风险评估是量化测评风险发生的可能程度及其造成的后果。

风险评估是对信息资产（即某事件或事物所具有的信息集）所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。-53--54-风险识别风险评估流程梳理

风险评估程序1、目标设定2、风险识别风险识别是对行政事业单位面临的各种不确定因素进行梳理、汇总，形成风险点清单。风险识别需要对单位的经济活动的管理现状进行全面摸底，而且是一个动态的、连续的过程在流程梳理的过程中进行-55-常用的识别风险的方法①风险清单分析法②现场调查法③财务报表分析法④组织结构图分析法⑨专家意见法⑤流程图法⑦事故树法⑧记分法⑥因果图法

3、风险分析在风险识别的基础之上，运用定量和定性方法进一步分析风险发生的可能性和对单位目标实现的影响程度，以便为制定风险应对策略、选择应对措施提供依据。具包括风险可能性和影响程度分析。目的是对识别的风险进行排序，确定内部控制需要重点关注和优先控制的风险点-57-风险发生可能性评级发生可能性标准／定义低即使不采取措施，风险几乎也不带来损失中不采取措施，风险就会造成损失高不采取措施，风险很容易造成损失风险影响程度评级影响程度标准／定义低不采取措施，风险损失不对关键指标造成影响中不采取措施，风险损失对关键指标造成影响高不采取措施，风险损失对资源造成巨大浪费风险评估方法风险事项：外部环境、经济活动或管理要求等发生重大变化的，就要求进行风险评估，当前则主要对应的是内部控制规范要求来识别单位自身风险及外部变化要求的风险。987654321123456789高需要行动低监督/重新部署?中等密切监督/确定和准备影响程度可能性风险评估方法依据单位能够承受风险的能力，确定风险对策风险对策的四种基本模式规避转嫁承担化解风险应对策略风险识别、分析与评估清单序号控制目标可能产生风险风险等级风险应对措施-61-评估结果的应用评估工作完成后，风险评估工作小组应当做好汇总、整理和分析工作，必须形成书面报告，及时提交单位领导班子，作为完善内部控制的依据。-62-经济活动风险评估至少每年进行一次。

第一次风险评估应当尽可能全面、细化，形成业务流程图，确定关键风险点

后续的可以定期进行，主要侧重于经济活动的变化部分。单位如果外部环境、经济活动或管理要求等发生了重大变化对某些高风险经济活动开展不定期评估-63-（二）控制方法-64-八种方法：授权审批归口管理职责分离预算控制财产保护控制会计控制单据控制信息内部公开职责分工问题（强调不相容职务分离）授权批准职务与执行业务职务相分离；执行业务职务与监督审核职务相分离；执行业务职务与会计记录职务相分离；财产保管职务与会计记录职务相分离；执行业务职务与财产保管职务相分离。

一项完整的经济业务，如果是经过两个以上的相互制约环节对其进行监督和核查，发生错弊的概率大大降低。横向控制-66-授权批准控制授权常规授权特别授权既定的程序、原则制度计划预算日常经济活动特殊情况特定条件非日常经济活动如：离岗单位层面内部控制风险评估和控制方法评价与监督业务层面内部控制总则附则三、实务操作（一）单位层面内部控制控制环境:是其它内部控制组成部分的基础，用来描述高层对内控的态度、意识和行为。诚信与道德观组织结构授权及职责人力资源政策，激励与约束高层的关注和监督员工的胜任能力，守法纪、讲诚信反舞弊机制，建立举报投诉制度和举报人保护制度并公开-68-诚信和道德观影响到重要业务流程的设计和运行。内部控制的有效性直接依赖于负责创建、管理和监督内部控制的人员的诚信和道德价值观念。通过规范以及高层的身体力行，对诚信和道德观的营造和保持。-69-中航油（新加坡）公司事件核心业务：负责全国100多个机场的供油设施的建设和加油设备的购置被评为2004年新加坡最具透明度的上市公司2002年3月，总裁陈久霖擅自扩大业务范围，从事石油衍生品期权交易。2004年12月1日，在亏损5.5亿美元后，中航油宣布向法庭申请破产保护令中航油内部的《风险管理手册》设计完善-70-普华永道与中国工商银行2004年普华永道花了5个月的时间给中国工商银行做了长达2400页的诊断报告。两大软肋：行长负责制：业务发展、风险管理、内部审计等于一身，缺乏有效的制衡与监督各部门条条管理，各分行有较独立性，全行战略和政策难以从上到下贯彻，信息难以从下往上真实反映，条块矛盾严重-71-实际