财务内部管控内控手册Word文档下载推荐.docx

1、2、通过对事前、事中、事后的全程控制，确保各级干部职工遵守有关法律法规，增强法制观念和道德意识，使内控手册成为保护干部职工的有效工具。3、通过内部控制建设，重新审视和梳理现行的各项管理制度，进一步创新管理机制，强化、优化管理措施，提高及时发现和有效处置风险的能力，破解存在的内部监管薄弱问题，全面提升内部管理水平。4、通过学习、培训内部控制风险管理工作，培育和塑造良好的内部控制风险管理文化，树立正确的内部控制风险管理理念，增强职工内部控制风险管理意识，将内部控制风险管理意识转化为职工的共同认识和自觉行动，促进单位建立系统、规范、高效的内部控制风险管理机制。第一章 总 则第一节 编制目的及意义依据

2、财政部行政事业单位内部控制规范（试行）等有关规定，内部控制，是指单位为实现控制目标，通过制定制度、实施措施和执行程序，对经济活动的风险进行防范和管控。完整的内部控制体系和完善的内部控制制度是约束、规范单位管理行为的准则，是减少风险的重大措施。内部控制手册是构建单位内部控制体系并保障其运行的基本制度和实施规范，是作为单位建立、执行、评价及验证内部控制的依据。内部控制手册的编制具有以下几个目标与意义：1. 合理保证单位经济活动合法合规。通过制定制度、实施措施和执行程序，合理保证单位的经济活动在法律法规允许的范围内进行，符合有关预算管理、收支管理、采购管理、资产管理、合同管理等方面的法律法规和相关规

3、定，避免违法违规行为的发生。2. 合理保证单位资产安全和使用有效。资产是单位正常运转的物资基础和财力保障，资产部安全、使用效率低下都将对单位各项工作的正常开展产生不利影响。所以，合理保证单位资产安全和使用有效是内部控制的重要目标。3. 合理保证单位财务信息真实完整。按照国家规定编制和提供真实完整的财务信息是单位的法定义务，是提升内部管理水平的有效手段。所以，合理保证单位财务信息真实完整也是内部控制的重要目标。4. 有效防范舞弊和预防腐败。科学运用内部控制的原理和方法，将制衡机制嵌入到单位内部管理制度建设之中，强化内部监督，通过建立和实施严密的内部控制起到“关口前移”的效果，实现有效防范舞弊和预

4、防腐败的目标。5. 提高公共服务的效率和效果。提高公共服务的效率和效果是单位业务活动的总体目标，同时也是单位内部控制的最高目标。第二节 编制依据及原则本内部控制手册依据中华人民共和国会计法、中华人民共和国预算法、行政单位财务规则（财政部令第71号）、事业单位财务规则（财政部令第68号）、财政部下发的行政事业单位内部控制规范（试行）和山东省财政厅关于印发山东省贯彻行政事业单位内部控制规范（试行）实施意见的通知（鲁财会20144号）等法律法规和有关规定的要求制订。1. 全面性原则：内部控制应当贯穿单位经济活动的决策、执行和监督全过程，实现对经济活动的全面控制。2. 重要性原则：在全面控制的基础上，

5、内部控制应当关注单位重要经济活动和经济活动的重大风险。3. 制衡性原则：内部控制应当在单位内部的处室管理、职责分工、业务流程等方面形成相互制约和相互监督。4. 适用性原则：内部控制应当符合国家有关规定和单位的实际情况，并随着外部环境的变化、单位经济活动的调整和管理要求的提高，不断修订和完善。第三节 编制思路及适用范围本内部控制手册从风险评估与控制、单位层面控制、业务层面控制、内部控制评价与监督四个方面，阐明风险评估的步骤与重点、单位及业务管理活动的各项控制要点、以及针对内部控制设计及运行情况的评价与监督，明确了建立和运行内部控制与风险管理统一执行的制度、标准和规范。本内部控制手册适用于W局及下

6、属行政事业单位。第四节 使用说明本内部控制手册作为单位构建内部控制体系并保障其运行的基本制度和实施规范，是单位建立健全内部控制体系的核心。1. 内部控制手册的设计：手册中的各项内容由内部控制主管处室主导，各处室配合，以及在中介机构的专业指导下共同进行设计、编写，经过单位相关领导充分讨论后，由单位负责人批准签发后生效。未经单位统一批准，任何处室不得擅自发布、修改内控手册内容。2. 内部控制手册的发放：内部控制主管处室确定发放范围；需向外单位提供本手册时，须经单位法人批准同意。3. 内部控制手册的执行：各处室须认真组织学习，并在各项业务活动中严格执行手册中的相关要求，完善各项控制措施。各处室对内部

7、控制的有效性负责，并对控制失效造成的重大损失承担责任。4. 内部控制手册的监督：单位定期根据手册内容，对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，并督促加以改进。5. 内部控制手册的更新：内部控制手册生效后，内部控制主管处室根据国家内部控制的相关规定和要求、内外部环境变化、组织结构变更、内控管理中出现的新问题以及各处室反馈的意见及建议等组织修订，执行全面的定期复核更新制度，由单位相关领导和相关处室讨论后，按程序批准发布执行。各处室对内部控制手册日常使用过程中发现的问题，须书面记录并及时反馈给内部控制主管处室。第五节 局限性内部控制及风险管理存在其固有的、不可避

8、免的局限性，只能为单位的控制目标实现提供合理而非绝对保证。一般而言，内部控制与风险管理的局限性主要表现为：1. 手册中明确的控制措施是基于单位现有的风险评估结果而制定的可用控制措施，然而由于单位的风险及其评估结果可能发生变化，因此内部控制手册中的控制措施的重要性及其有效性也可能发生改变。2. 手册中的控制活动可能因人员简单操作差错、人员串通舞弊、管理当局凌驾于内控体系之上以及控制成本效益限制等情况失效，从而无法为单位内部控制有效性以及风险控制提供合理保证。3. 手册中的控制措施的实施依赖于单位职工对措施本身的理解，行使内部控制职能的人员素质不适应岗位要求，或对内部控制措施理解出现偏差等情况也会

9、影响风险管理与内部控制功能的正常发挥。第六节 内部控制总体架构与相关定义术语一、内部控制总体架构内部控制总体架构可以分为三个层次：单位层面控制、业务层面控制、内部控制自我评价。在单位层面控制中，本单位成立内部控制实施工作领导小组，在实施小组领导下，明确全局职能和工作机制，制定部门及关键岗位责任制、建立风险管理机制，并设计相应的管控方式。在业务层面控制中，对常规经济活动，采用流程控制，将制衡机制嵌入业务流程，对其预算管理、资产管理、政府采购、收支管理、合同管理等活动中存在的风险进行管控。对专项资金，本单位建立了业务“处室负责制、归口控制、内部监督”三维控制体系，业务处室负责对处室内专项资金的纵向

10、流程管控，归口部门或岗位负责对专项资金使用的不同环节进行归口控制，内部监督机构通过制定内部审计流程、建立信息反馈机制、抽查考核、绩效考评等方式对专项资金使用的全过程进行监督。建立三维管控体系，确保高质高效地使用专项资金。在内控自我评价层面中，对内部控制设计有效性和内部控制执行有效性进行评价，不断完善我局内部控制体系。二、相关定义与术语1. 内部控制：指单位为实现控制目标，通过制定制度、实施措施和执行程序，对经济活动的风险进行防范和管控。2. 风险：指未来的不确定性对单位实现其运营目标的影响。（1） 影响是指与预期结果的偏离（积极或消极）。（2） 目标可以有不同的方面，例如：财务、健康和安全、以

11、及环境目标。目标同时可以适用于不同的层面，例如，战略、组织和过程。（3） 风险经常被标注为潜在的事件、后果或者两者的结合、以及他们对期望达成目标的影响。（4） 风险经常被解释为一个事件及其后果的结合，或一个状态的变化以及相关的发生可能性。3. 风险源：指任何单独或联合的、具有内在潜力引起风险的事件。4. 事件：指发生或改变一系列情况的事物（一个特定时期内，在一个特定地点所发生的事态）。通常，事件有如下几种解读：（1） 一般来说，事件的特性、可能性和后果不能完全可知。（2） 事件可以是一个或多个事件，也可以有多个原因造成。（3） 与事件相关的可能影响是可以确定的。（4） 事件可以由一个或多个未发

12、生的情况组成。（5） 有后果的事件有时被称为“事故”。（6） 一个未发生损失的事件也可称为“隐患”。5. 风险类别：是由属性相同的多个风险源或事件组成。风险类别反映了在进行风险分析时应该考虑的主要方向。进行风险分析时，通常以风险类别为起点来辨识每一个风险类别内的风险源或事件。随着时间和内外环境的变动，单位通常面临着上千个动态的风险源或事件。但是这上千个动态的风险源或事件，通常可以归纳成几十个常态的风险类别。6. 风险识别：指查找单位各业务单元、各项重要经济活动及其重要业务流程中有无风险，有哪些风险。7. 风险分析：指对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险

13、发生的条件。8. 风险评价：指评估风险对单位实现目标的影响程度、风险的价值等。9. 风险承受度：指单位能够承担的风险限度，包括单位层面风险承受能力和业务层面的可接受风险水平。10. 风险规避：指单位对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。11. 风险降低：指单位在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。12. 风险转移：指单位准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。13. 风险承受：指单位对风险承受度之内的风险，在权衡成本效益之后，不准

14、备采取控制措施降低风险或者减轻损失的策略。14. 控制措施：包括不相容岗位分离控制、内部授权审批控制、归口管理、预算控制、财产保护控制、会计控制、单据控制、信息内部公开等。15. 控制痕迹：控制痕迹即为“相关文档”，是指采取控制措施所留下的证据，可以是纸质书面文件、业务流转表单、会议纪要、电子文档记录等。第七节 内部控制流程图说明1.流程图纵向表示该流程的执行步骤。自上而下表示流程发展的时间或逻辑顺序。2.流程图横向代表单位或职能部门。单位顺序从左至右按级别排序职能带中的部门顺序。3.图例说明序号图例名 称图例说明1职能带表示职能部门2分隔符表示流程中的主要环节3连接线用来连接两个工作步骤；表

15、示层层步骤在顺序中的进展；连接的箭头表示一个过程的流程方向4准备流程的开始5进程记录此控制点的工作内容简述6文档表示以文本形式存在的文件、制度、表单等，内容为文件、表单的全称7判定判断/决策的标志。用来表示过程中的一项判定或一个分岔点。8预先定义的进程予流程。即：套取的其他流程9终结符流程的结束10通过或不通过逻辑符号描述流程的逻辑第二章 风险评估与控制第一节 风险评估风险评估是单位及时识别、系统分析经营活动中与实现管理目标相关的风险，合理确定风险应对策略的过程，是风险管理的基础与核心。在风险评估中，既要识别和分析对实现目标具有阻碍作用的风险，也要发现对实现目标具有积极影响的机遇。风险评估的基

16、本流程包括风险初始信息收集、风险的识别、分析与评价、风险管理策略与选择等。单位在日常经营中充分、连续搜集风险管理信息，根据自身业务特点，选用具备可兼容性的风险分析技术，对风险管理信息进行辨识、计量、评估、分析，采用适当的风险控制技术方法，并形成相关记录，为应对风险提供相应控制策略依据。一、评估部门风险评估由内部控制主管处室负责计划、组织和安排具体工作；组织财会、资产管理、采购、基本建设、内部审计、纪检监察等处室或岗位工作人员成立风险评估小组，进行风险评估工作。评估人员在梳理各类经济活动的业务流程、明确业务环节的基础上，系统分析经济活动风险，确定风险点，并据此选择控制方法和应对措施。二、评估周期

17、及方法1.评估周期：单位对内部经济活动的风险评估至少每年进行一次，在全面、系统、准确分析单位各经济业务活动风险的基础上，绘制各业务事项的流程图，确定经济活动的风险点，剖析风险存在的原因，以及导致风险发生的可能性，以确保新的风险得到及时有效的控制。同时，对预算、收支等高风险经济活动业务，开展不定期评估，建立风险预警系统，有效地防范和管控风险。2.评估方法：单位内部控制的风险分析，采用以定性、定量相结合的方式，从风险可能性、风险影响度等方面进行评估。（1）可能性定性的测度很可能：即在多数情况下预期可能发生。可能：在某些时候可能发生。不太可能：在多数情况下都不太可能发生。表 1 风险评估的五级评分（

18、示例）评分可能性可能性定量分析10%以下10%30%30%70%70%90%90%100%风险可能性测度不太可能可能很可能风险可能性测度的描述极低较低中等较高极高一般情况下不会发生在极少情况下才会发生会在某些情况下发生会在较多情况下发生经常会发生在之后10年发生的可能少于1次在之后5至10年内可能发生1次在之后2至5年内可能发生1次在之后1年内可能发生1次在之后1年内至少发生1次（2）影响程度分析的测度重大：对目标实现有重大影响，如发生，将造成极大的损失。次重要：对目标实现有中等程度的影响，如发生，将造成一定的损失。不重要：目标实现不受影响，如发生，将造成较低的损失。单位应当基于自身的定位和特

19、色，利用专业的评估工具对内外部风险进行量化的分析，对风险可能发生的频率和后果赋值，计量风险的严重程度，同时设定本单位对风险的容忍限度，对诊断出的所有风险进行排序，随后建立相应的风险数据库和风险分析排序表，制定正确的风险应对策略。表 2 风险评估的影响程度（示例）影响程度风险影响程度定量分析损失低于100元造成损失100元2000元造成损失2,000元10,000元造成损失10,000元1000,000元造成损失1,000,000元以上风险影响程度测度财务影响极低的财务损失 较低的财务损失 中等的财务损失 重大的财务损失 极大的财务损失 声誉影响负面消息未使单位声誉受损 负面消息造成单位声誉轻微

20、受损负面消息造成单位声誉中等受损负面消息造成单位声誉重大受损负面消息造成单位声誉灾难性受损风险影响程度测度描述不会影响单位的日常活动对单位日常活动有轻度影响， 对单位日常活动有中度影响 对单位日常活动造成重大影响对单位日常活动造成灾难性性影响（3）风险识别矩阵单位风险评估小组（或部门）根据风险分析的结果，结合风险承受程度，对各层面的分析进行排序分析，形成风险识别排序表和风险识别矩阵。风险识别排序表根据风险评分自高到低排序。风险识别矩阵对各类风险进行区分（如表 3），其中：风险影响度列为“重大”、可能性为“很可能”的风险列为一级风险，风险影响度列为“重大”或“次重要”、可能性为“可能”或“很可能

21、”的风险列为二级风险，风险影响度列为“不重要”或“次重要”、可能性为“可能”或“不太可能”的风险列为三级风险。单位根据上述风险分析方法，分别确定各管理业务层面的风险点，并确定相应的后续应对策略。表 3 风险分析的识别矩阵（示例）低中高0112233445二级一级三级三、评估步骤1. 风险初始信息收集（1）内部控制主管处室负责对单位内、外部环境的相关信息进行系统收集、更新及维护。外部环境包括社会、政治、法律、经济环境，以及对组织目标有影响的关键驱动因素和发展趋势等；内部环境包括组织架构、角色和责任、组织文化、管理特色、财务因素、信息系统、信息流和决策过程等。（2）各有关职能处室负责收集与其职能相

22、关的风险管理初始信息，并对收集到的风险管理初始信息进行更新和维护，由内部控制主管处室进行指导和监督。（3）单位通过内部讨论、数据收集、外部沟通等方式对信息进行收集。由于信息的多样性与广泛性，单位通过建立的相应规范流程与标准模板，对信息进行系统筛选、提炼、对比、分类和组合。同时，单位通过风险信息收集的汇报与监督机制，确保风险初始信息的收集充分、有效。2. 风险的识别、分析与评价（1）风险评估小组针对风险分类、风险评估标准、风险模板、应对策略制定原则等内容，对各相关处室开展培训，并组织各处室的风险评估人员进行风险信息的收集以及风险事项的识别，分析风险的原因和后果，评价风险的重要性水平。由风险评估工

23、作小组负责汇总、整理、排序各处室提交的风险评估结果，根据评估分值确定风险等级，汇总、整理出风险评估初步结果。（2）单位采用定性与定量相结合的方法对风险进行识别、分析、评价。定性方法包括问卷调查、集体讨论、管理层访谈、专家咨询、情景分析、政策分析、调查研究等。定量方法包括采用统计推论（如集中趋势法）、计算机模拟（如蒙特卡罗分析法）、失效模式与影响分析、事件树分析等。3. 风险管理策略与选择（1）单位根据自身情况确定风险偏好和风险容忍度，通过正确认识和把握风险与收益的平衡，明确各项风险的管理策略，包括：风险规避、风险承受、风险转移、风险降低。（2）单位在确定优选顺序时，遵循风险与收益相平衡的原则。

24、在风险评估结果的基础上，全面考虑风险与收益，首先解决“颠覆性的”风险问题，保证单位的持续发展。根据风险与收益平衡的原则，单位通过以下因素确定风险管理的优选顺序：风险事件发生的可能性和影响、风险管理的难度、风险的价值，或管理可能带来的收益、合法合规的需要、对单位人力、资金等的需求以及利益相关者的要求。（3）单位基本风险管理策略的制定遵循合规性、全面性、审慎性、适时性原则，以制度为基础、以流程为依托，将风险管理覆盖到单位经营管理的各个环节和岗位中，并形成“事前防范、事中控制、事后评价”的风险管理机制。（4）风险评估小组负责风险应对的总体指导和协调，各处室完成应对策略及应对方案后，汇总报风险评估工作

25、小组。（5）单位对已制定的风险管理策略的有效性和合理性进行定期总结和分析，随着单位经营状况的变化，经营战略、规划的变化，外部环境风险的变化，定期对风险管理策略进行调整，不断修订和完善。第二节 风险控制一、风险类别风险类别反映了单位在进行风险分析时考虑的主要方向，根据单位的实际情况，本单位应对的常见风险分为以下几类：1. 规划风险：因单位在规划决策的制订和实施上出现错误，或因未能随环境的改变而做出适当的调整，从而导致单位损失。2. 监管风险：指因管理和制度上的原因，造成对单位各项活动的监督不到位，可能存在营私舞弊和腐败等方面的风险。3. 业务管理风险：单位在业务管理过程中，由于外部环境的复杂性和变动性以及主体对环境的认知能力和适应能力的有限性，而导致的业务管理失败或使业务管理活动达不到预期的目标的可能性及其损失。4. 财务风险：因单位财务结构不合理、资金使用不当，导致单位可能丧失偿债能力（丧失资金支付能力）而导致陷入财务困境的风险。5. 法律风险：单位在经营过程中违反法律法规，签订合同的内容在法律上有缺陷或不完善而发生法律纠纷甚至无法履约，以及法律的不完善或修订产生的不确定性等面临的风险。二、控制环节（一）组织控制确立本