行政事业单位内部控制建设及信息化应用对策.docx

行政事业单位内部控制建设及信息化应用对策（一）整合搭建“一个平台”目前，行政事业单位信息化内部控制体系主要有两种模式：一是全面信息化内部控制体系建设模式，即按照内部控制建设要求在ERP框架下定制完成；二是以现有OA政务办公系统、财务管理信息系统为主，将内部控制嵌入其中改造而成。建议采用SOA体系架构、Pota1技术、商业智能技术B1.等现代信息技术，集成或重新研发设计一套内部控制信息化应用综合平台，建设途径以单位自建为主导，并适当获取第三方机构专业协助是更合适的选择。该模式的要点：一是以一个政府部门系统或一个行政事业单位作为内部控制建设和信息化应用的主体，来开展部门系统或单位的内部控制基础分析、流程梳理、风险评估、风险应对、组织和流程再造。二是根据部门系统或单位的内部权力运行、业务特点及现有的信息化实施条件，以风险评估报告为设计需求导向，以内部控制手册为内部控制体系基本架构，在整合部门或单位现有管理信息系统的基础上，依托移动互联网技术建立部门系统或单位内部控制系统集成平台，实现“机控”和内部控制数据共享。三是将活动层级的预算管理、收支管理、资产管理、合同管理、采购管理、基建管理、档案管理等通用业务模块和核心职能业务模块等通过信息化手段进行整合，实现财务业务一体化的全面信息化应用，从而满足管理层对于业务活动（内部权力运行）事前、事中以及事后的管控要求。（二）系统覆盖“两个层级”科学设计适应本部门、本单位的内部控制体系，一是针对单位治理结构不合理、治理层和管理层诚信不足、缺乏有效的人力资源政策、未设计和实施有效的制衡和问责机制，以及缺乏有效的对内对外沟通机制等问题，优化设计单位治理层级的内部控制。二是针对预算管理、收支管理、资产管理、政府采购管理、监管和服务职能以及工程建设项目管理等方面的内部控制缺陷，优化设计活动层级的内部控制。行政事业单位要提高政治站位，以实现组织目标为导向，以内部权力运行管控为主线，从单位治理体系层面，坚持内部控制体系与廉政风险防控体系一体设计、一体建立和一体实施的方针，运用系统论、控制论、信息论等科学原理，通过风险评估、组织和流程优化，统筹规划、分步实施，旨在设计和建立科学完备、运行有效、动态优化，并与本单位的战略规划和风险容量相适应的内部控制体系。首先，治理层级控制是指围绕所有权和控制权分离形成的决策、执行和监督权制衡展开的控制，核心在于构建制衡有效的治理结构，建立高效运行的组织架构和营造良好的内部控制基础，主要包括设计和优化单位治理结构、组织架构、议事决策机制、部门职责分工、内部控制关键岗位责任制、财会机构设置、内部监督和评价机制等，营造风险导向良好的内部控制文化，搭建高效的内部控制信息平台。其次，活动层级控制是指围绕内部权力运行和业务活动流程展开，其核心是通过风险评估和选择应对策略，设计嵌入权力运行和业务活动流程之中的有效的控制制度、措施、程序，并保证有效运行。（三）有机构筑“三道防线”有效的单位内部控制体系至少应包含三道防线，即构筑业务运营管理、内部控制、内部审计（内部监督）三道有机防线。首先，业务运营管理（或为作业控制）为第一道防线，由单位内部各部门对其职责范围内的活动风险负责并实施管理，位于第一道防线的职能部门或业务单元能够直接面对各类风险，因此，在权衡风险和价值的基础上，应设计和执行影响风险的各种作业控制。其次，内部控制为第二道防线，设计和建立治理和活动层级的控制机制、程序、措施和制度，并由财务、安全、合规、质检等职能部门对组织风险实施监控和纠偏，使之控制在实现组织目标所容忍范围内，通过组织再造、流程再造等发挥制衡机制作用，必要时借助于专家力量，以支持管理层对第一道防线的监督和控制，确保有效管理风险和控制。再次，内部审计（内部监督）为第三道防线，应设计和建立内部监督机制和制度，由内部审计或纪检监察等监督部门对第一道和第二道防线实施再监督，并保证第一道防线和第二道防线的有效运行，成为治理层和管理层确认风险并有效控制的最后一道防线。（四）动态衔接“四个环节”行政事业单位内部控制管理要依据系统原理，动态衔接单位内部控制体系的设计与建立、运行与维护、报告与披露、评价与监督等四个相互促进、相互制约、周而复始的有机环节，形成动态循环、自我优化的闭环系统（见图1）O图1内部控制体系动态自我优化的闭环系统1.设计与建立环节。主要包括四个阶段：（1）准备阶段。成立内部控制领导小组等内部控制决策机构，以行政主要领导担任组长，党政领导及各内设部门负责人参加，并明确财会部门为内部控制牵头部门。同时建立内部控制沟通协调和联动机制，召开内部控制联席会或协调会，解决内部控制设计、建立、运行过程中存在的问题。召开内部控制建设动员部署会议，举办内部控制业务培训和开展内部控制知识、政策宣传活动，营造良好工作氛围。同时，成立以单位党组织主要负责人为组长，内部审计、纪检监察等人员组成的内部审计工作领导小组（或内部控制监督小组），负责内部控制监督工作。（2）流程梳理和风险评估阶段。成立风险评估小组（分管财会工作的领导担任组长），成员由内设机构业务骨干组成。梳理本部门、本单位各类业务活动流程、明确业务环节，编制流程图。如F单位最少应包括：预算控制、收支控制、政府采购控制、资产控制、建设项目控制、合同控制、档案控制、体育活动控制、运营活动控制等。系统分析业务活动风险，确定风险点、计量风险，编制风险评估报告。根据单位发展战略和内外部环境，选择风险应对策略，包括风险承担、规避、转移、降低。（3）内部控制体系设计阶段。以巡视、纪检监察、审计和财会监督发现的问题为关注点，针对单位业务活动及内部权力运行控制薄弱环节和风险隐患，特别是涉及内部权力集中的财务收支、资产管理、政府采购、工程建设等重点领域和关键岗位，合理配置部门及岗位权责，细化优化内部权力运行流程，梳理关键控制节点，明确风险评估的要求，提高内部控制措施的针对性和有效性。本阶段分为设计和建立内部控制相关机制、实施组织和业务流程再造、制定和完善内部控制管理制度、开发和完善内部控制信息系统四个流程。（4）验收和实施阶段。该阶段分为项目总结验收、宣传培训和内部控制启动实施三个主要流程，属于单位内部控制建设实质性阶段。根据内部控制体系建设基本原则、方法和步骤，对内部控制机制、内设机构及岗位设置、内部管理制度、业务流程等进行全面检查验收，并进行符合性测试，形成验收报告，作为内部控制启动实施的依据。2 .运行与维护。行政事业单位完成内部控制体系的设计和建立，完善内部控制机制和制度，整合人、财、物和信息系统等资源，经最终验收和启动实施后，正式进入内部控制体系运行与维护阶段。主要包括内部控制手册及相关制度文件的发布实施，以及内部控制管理信息系统安装测试和投入运行，并由内部控制职能部门或牵头部门负责单位内部控制体系运行监控、纠偏和日常维护，内部控制管理信息平台的运行和技术维护等，确保单位内部控制体系健全和有效运行。3 .报告与披露。单位要按照行政事业单位内部控制报告管理制度（试行）（财会20171号）及单位治理的要求，编制行政事业单位或部门内部控制报告，并按规定程序和权限批准对外报送或信息披露，报告主要内容包括单位内部控制设计、建立、运行和维护情况，内部控制主要风险点、相应控制措施及成效，内部控制缺陷，特别是重大缺陷，内部控制健全性和有效性的结论。4 .评价与监督。单位党政领导层要建立单位内部控制体系有效运行的动态优化和保障机制，通过内部控制评价与日常监督，评价内部控制体系的整体有效性，实时监控、识别治理层级和活动层级的内部控制缺陷，特别是重大缺陷，及时分析提出优化整改建议，修复内部控制缺陷，确保控制目标得以实现。