1、《内部控制手册》
《内部控制手册》是单位内控体系的基础和核心,目前绝大多数单位都没有建立符合内控规范要求的内控手册,因此,内控体系建设的第一步,也是最重要的一步,就是着手设计和编写这个手册。
内部控制是一个系统、科学的管理体系,融合了组织管理、人力资源管理、风险管理、流程管理和信息化管理等多种管理体系,手册要涵盖内部控制环境的分析和控制、六大业务各个业务流程环节的梳理、关键风险点的识别和描述、风险防控措施的制定等内容,因此,完成手册的设计和编写工作,需要充分的时间精力和较高的专业技能做保证。以下是《内部控制手册》的目录和基本结构:
内控手册单位层面的主要内容是建立单位内控建设的组织机构、建立议事决策机制、确定关键岗位和岗位人员的职责及日常管理要求、明确不相容岗位分离,并且还对会计体系和信息化系统的建设提出要求等等。单位层面是为业务层面的有效实施和信息化系统的落地,从机制和人员等方面提供有力的保障,没有单位层面的土壤,就不会有业务层面和信息化系统的果实。
根据内控规范对单位内控初期阶段建设的要求,《内部控制手册》核心的部分是六大业务流程的风险点识别和风险防控措施的制定。《内部控制手册》业务层面的内容如下:
(1)范围:依据《内控规范》和相关法律法规的要求,结合单位的实际情况,确定该项业务控制的范围。比如:《会计法》中规定非税收入不属于单位的收入,但《内控规范》第二十七条把非税收入纳入到了收支业务控制的范围;有的单位没有建设项目业务,有的单位没有对外投资业务,这些情况,都需要结合单位的实际情况,按照《内控规范》的要求,在手册中做出灵活的、适合的处理。
(2)目标:风险管理是紧紧围绕目标开展的管理活动,所以,每项业务的控制目标要明确,并且要根据国家政策的调整和单位职能、机构、的变化而做调整和改变。
(3)职责:确定该项业务的归口管理部门;确定涉及到该项业务所有部门的职责,包括政府主管部门。
(4)不相容岗位分离表:不相容岗位分离是内控的一个基本要求和原则,所以,每项业务涉及到哪些岗位,这些岗位不相容分离是如何处理的,都要在手册做明确的规定和描述。
(5)分级授权和权利清单:2015年《指导意见》对单位内控明确提出“分事行权、分岗设权、分级授权”的要求,所以,手册中必须明确规定每项业务的各个审核审批环节是如何实现分级授权的。
(6)业务流程: 2016年的基础性评价和2017年的内控报告,都明确要求单位要按照规范的格式绘制单位的各项业务流程图。先梳理流程,然后对有问题的流程进行调整和再造,最后还要按照流程管理要求的规范格式绘制流程图,这是一项比较细致的、专业的管理工作。具体到单位,单位之间机构和岗位设置各有不同,同样的业务,具体环节和内容也会有差异,因此,流程梳理和流程再造必须在对单位充分调研的基础上,按照内控规范和相关法律法规文件的要求,创造性、个性化的完成。
(7)流程描述:对流程图各个节点进行简要的描述,并且标示出关键控制风险点。
(8)关键风险点:按照风险管理的方式和方法,详细描述该项业务每个关键风险点的类别、等级、对内控目标的影响和主责部门、岗位。
(9)防控措施:针对每个关键风险点,制定适合的控制措施,确定控制频率、控制方法及相关记录等内容。
(10)相关制度和备查文件:与该项业务相对应的内部控制管理制度,以及国家和地方主管部门下发的相关法律法规、文件,将《内部控制手册》、《内部控制管理制度手册》和国家法律法规文件串联起来。