内部控制监督情况
内部控制监督情况
为深入贯彻习近平新时代中国特色社会主义思想,切实落实自治区关于防范化解重大风险和推动高质量发展的决策部署,建立健全以风险管理为导向、合规管理监督为重点,严格、规范、全面、有效的内控体系,推动国有企业高质量发展,根据《广西壮族自治区人民政府办公厅关于加强和改进企业国有资产监督防止国有资产流失的实施意见》(桂政办发〔2016〕188号)《广西壮族自治区人民政府关于印发改革国有资本授权经营体制实施方案的通知》(桂政发〔2019〕45号)《自治区国资委关于印发加强监管企业内部控制体系建设与监督工作的实施意见的通知》(桂国资发〔2020〕24号)有关要求,制定本实施意见。
一、建立健全内控体系,进一步提高管控效能
(一)优化内控体系。进一步树立和强化“管理制度化、制度流程化、流程信息化”的内控理念,通过“强监督、严问责”和加强信息化管理,严格落实各项规章制度,将风险管理和合规管理要求嵌入业务流程,促使企业依法合规开展各项经营活动,实现“强内控、防风险、促合规”的管控目标,形成全面、全员、全过程、全体系的风险防控机制,切实全面提升内控体系有效性,加快实现高质量发展。推行全面预算管理,不断提升企业经营管理水平,增强国有经济竞争力、创造力、控制力、影响力、抗风险能力。
(二)强化集团管控。进一步完善企业内部管控机制,企业主要领导是企业内控体系监管工作第一责任人,负责组织领导建立健全覆盖各业务领域、部门、岗位,涵盖各级子企业全面有效的内控体系。各企业应明确专门职能部门或机构统筹内控体系工作职责;落实各业务部门内控体系有效运行责任;企业审计部门要加强内控体系监督检查工作,准确揭示风险隐患和内控缺陷,进一步发挥查错纠弊作用,促进企业不断优化内控体系。
(三)完善管理制度。全面梳理内控、风险和合规管理相关制度,及时将法律法规等外部监管要求转化为企业内部规章制度,持续完善企业内部管理制度体系。在具体业务制度的制定、审核、修订中嵌入统一的内控体系管控要求,明确重要业务领域和关键环节的控制要求和风险应对措施。将违规经营投资责任追究内容纳入企业内部管理制度中,强化制度执行刚性约束。
(四)健全监督评价体系。统筹推进内控、风险和合规管理的监督评价工作,将风险、合规管理制度建设及实施情况纳入内控体系监督评价范畴,制定定性与定量相结合的内控缺陷认定标准、风险评估标准和合规评价标准,不断规范监督评价工作程序、标准和方式方法。
二、突出工作重点,不断健全内控体系
(五)加强重点领域日常管控。聚焦关键业务、改革重点领域、国有资本运营重要环节以及境外国有资产监管,定期梳理分析相关内控体系执行情况,认真査找制度缺失或流程缺陷,及时研究制定改进措施,确保体系完整、全面控制、执行有效。要在投资并购、改革改制重组等重大经营事项决策前开展专项风险评估,并将风险评估报告(含风险应对措施和处置预案)作为重大经营事项决策的必备支撑材料,对超出企业风险承受能力或风险应对措施不到位的决策事项不得组织实施。
(六)加强重要岗位授权管理和权力制衡。不断深化内控体系管控与各项业务工作的有机结合,以保障各项经营业务规范有序开展。按照不相容职务分离控制、授权审批控制等内控体系管控要求,严格规范重要岗位和关键人员在授权、审批、执行、报告等方面的权责,实现可行性研究与决策审批、决策审批与执行、执行与监督检査等岗位职责的分离。不断优化完善管理要求,重点强化采购、销售、投资管理、资金管理和工程项目、产权(资产)交易流转等业务领域各岗位的职责权限和审批程序,形成相互衔接、相互制衡、相互监督的内控体系工作机制。
(七)健全重大风险防控机制。积极采取措施强化企业防范化解重大风险全过程管控。加强经济运行动态、大宗商品价格以及资本市场指标变化监测,提高对经营环境变化、发展趋势的预判能力。结合内控体系监督评价工作中发现的经营管理缺陷和问题,综合评估企业内外部风险水平,有针对性地制定风险防范应急预案。根据原有风险的变化情况及应对方案的执行效果,及时调整完善风险防范应急预案,提高风险应对工作的效率和水平。有效做好企业间风险隔离,防止风险由“点”扩“面”,避免发生系统性、颠覆性重大经营风险。
三、加快信息平台建设,强化内控执行刚性约束
(八)提升内控体系信息化水平。各监管企业要结合企业信息化平台建设,将内控体系信息化平台建设纳入工作计划,加强内控信息化建设力度,进一步提升集团管控能力。内控体系建设部门要与业务部门、审计部门、信息化建设部门协同配合,推动企业“三重一大”、投资和项目管理、财务和资产、物资采购、全面风险管理、人力资源等集团管控信息系统的集成应用,逐步实现内控体系与业务信息系统互联互通、有机融合。要进一步梳理和规范业务系统的审批流程及各层级管理人员权限设置,将内控体系管控措施嵌入各类业务信息系统,确保自动识别并终止超越权限、逾越程序和审核材料不健全等行为,促使各项经营管理决策和执行活动可控制、可追溯、可检査,有效减少人为违规操纵因素。集团管控能力和信息化基础较好的企业要逐步探索利用大数据、云计算、人工智能等技术,实现内控体系实时监测、自动预警、监督评价等在线监管功能,进一步提升信息化和智能化水平。
四、加大企业监督评价力度,促进内控体系持续优化
(九)全面实施企业自评。督促所属子企业每年以规范流程、消除盲区、有效运行、提升质量为重点,对企业自身内控体系的有效性进行全面自评,客观、真实、准确揭示经营管理中存在的内控缺陷、风险和合规问题,形成自评报告,并经董事会或类似决策机构批准后按规定报送上级单位。
(十)加强集团监督评价。各监管企业要在子企业全面自评的基础上,制定年度监督评价方案,围绕重点业务、关键环节和重要岗位,组织对所属子企业内控体系有效性进行监督评价,确保每3年覆盖到全部子企业。要将海外资产纳入监督评价范围,重点对海外项目的重大决策、重大项目安排、大额资金运作以及境外子企业公司治理等进行监督评价。
(十ー)强化审计监督评价。要根椐监督评价工作结果,结合自身实际情况,充分发挥外部审计的专业性和独立性,委托外部审计机构对部分子企业内控体系有效性开展专项审计,并出具内控体系审计报告。内控体系监管不到位、风险事件和合规问题频发的监管企业,必须聘请具有相应资质的社会中介机构进行审计评价,切实提升内控体系管控水平。
五、加强出资人监督,全面提升内控体系有效性
(十二)建立出资人监督检查工作机制。加强对企业落实各项国有资产监管政策制度执行情况的综合检査,建立内控体系定期抽查评价工作制度,每年组织专门力量对监管企业经营管理重要领域和关键环节开展内控体系有效性抽查评价,发现和堵塞管理漏洞,完善相关政策制度。
(十三)充分发挥企业内部监督力量。通过完善公司治理,健全相关制度,整合企业内部监督力量,发挥企业董事会或委派董事决策、审核和监督职责,有效利用企业监事会、内部审计、企业内部巡察等监督检査工作成果,以及出资人监管和外部审计、纪检监察、巡视反馈问题情况,不断完善企业内控体系建设。
(十四)强化整改落实工作。进一步强化对企业重大风险隐患和内控缺陷整改工作跟踪检査力度,将企业整改落实情况纳入每年内控体系抽査评价范围,严格落实提示、约谈和通报制度,对整改不力的印发提示函,或给予约谈、通报。深入落实整改责任,避免出现重复整改、形式整改等问题。
六、加强结果运用,提升监督震慑作用
(十五)充分运用监督评价结果。加大监督检査工作结果在各项国有资产监管及干部管理工作中的运用力度。要强化督促整改,指导所属企业明确整改责任部门、责任人和完成时限,对整改效果进行检査评价,按照内控体系一体化工作要求编制内控体系年度工作报告并及时报市国资委,同时抄送企业纪委(或内部监察部门)、组织人事部门等。指导所属子企业建立健全与内控体系监督评价结果挂钩的考核机制,对内控制度不健全、内控体系执行不力、瞒报漏报谎报自评结果、整改落实不到位的单位或个人,给予考核扣分、薪酬扣减或岗位调整等处理。
(十六)严格落实责任追究。严格按照《关于贯彻执行<广西国有企业违规经营投资责任追究暂行办法>的通知》(贵国资发〔2018〕52号)等有关规定,及时发现并移交违规违纪违法经营投资问题线索,强化监督警示震慑作用。对监管企业存在的重大风险隐患、内控缺陷和合规管理等问题失察,特别是对已发现但没有及时向出资人报告、没有及时处理,造成重大资产损失或其他严重不良后果的,要严肃追究企业集团的管控责任;对各级子企业未按规定履行内控体系建设职责、未执行或执行不力,以及瞒报、漏报、谎报或迟报重大风险及内控缺陷事件的,坚决追责问责,层层落实内控体系监督责任,有效防止国有资产流失。
内部控制监督情况
内部监督作为内部控制的基本要素之一,对于内部控制的有效运行,以及内部控制的不断完善起着重要的作用。内部控制监督是指对我单位内部控制在一定时期内的运行质量进行评估的过程。内部监督是通过持续监控活动、个别评价或两者的结合实现对内部控制运行进行监控。通过持续监控和个别评价的结合,能够保证内部控制体系在一定时期内保持其有效性。
一、持续监控活动
持续监控活动发生在我单位各项业务活动过程之中,内含于单位管理活动之中,它包括日常管理和监控活动,以及干部职工在履行其职责时所采用的其他行动。持续监控活动嵌入单位日常的重复的业务活动之中,对业务活动实施实时的监控,能够动态地应对环境的变化。持续监控活动涉及内部控制各个要素的主要方面。持续监控活动通常能够及时发现问题,相对于个别评价更为有效。
二、个别评价
个别评价是从某一角度对我单位内部控制进行测评,它直接关注内部控制的系统有效性。个别评价的范围和频率主要取决于风险评估和持续监控程序的有效性,对于应对优先考虑的风险的内部控制和对降低风险最为重要的内部控制,一般应当经常地进行评价。在我单位主要战略或管理层发生变更或者财务信息处理方法发生重大变化的情况下,一般需要对整个内部控制系统进行评价,此时应当关注我单位所有重要活动有关的每一内部控制构成要素,其评价范围应当根据所需要实现的内部控制目标来确定。
个别评价通常采用自我评价形式,即由负责某一业务或职能的人员负责对其活动的内部控制的有效性进行评价,也可以聘请注册会计师等中介机构进行内部控制的个别评价。我单位评价与监督机构通常将对内部控制进行评价作为其常规性的职责,或根据领导的要求进行内部控制的评价。
内部控制领导小组要求进行内部控制评价时,评价者应当了解我单位各项业务活动以及所针对的内部控制的每个构成要素,掌握内部控制体系实际运行情况,并分析内部控制体系的设计和运行测试的结果。此外,还需要对评价过程进行合理的记录,并强调对内部控制体系有效性进行评价时,应当考虑编制和保存内部控制相关记录的情况,为有效性评价提供支持。
三、报告缺陷
对内部控制进行监控所发现的问题应当及时向领导小组报告,报告要明确报告缺陷的内容,要求不仅要报告特定的事项,更需要报告重新评价可能发生错误的内部控制。
四、内部监督作为我单位风险管理的要素之一,在风险管理中通过持续的监控活动、个别评价以及两者的结合,对风险管理构成要素的存在和运行进行评估。持续监控活动是实时地、动态地应对单位内外部环境变化的情况,个别评价是用于对单位风险管理的有效性提供合理保证而进行的评估活动。持续监控活动有效性越高,则越不需要个别评价。个别评价范围和频率,由领导小组根据我单位实际情况作出决定,它取决于我单位风险的重大性以及风险应对和管理风险过程中相关内部控制的重耍性。
五、单位在设计内部控制制度时,由于当时认识的局限或者考虑不周等原因,设计出的内部控制不可能完美无缺;在内部控制实际运行过程中,由于实际情况发生变化、或由于员工对内部控制制度理解上的差异,也可能使内部控制不能很好地发挥其应有的作用,导致内部控制实际运行中或多或少地存在着这样或那样的问题。为此需要对内部控制运行情况实施必要的监督检查,发现其不足和问题乃至于缺陷,从而完善内部控制,提高内部控制的有效性。因此,内部监督是保证内部控制体系有效运行和逐步完善的重要措施。我单位根据相关要求,结合自身业务活动的特点和实际情况,开展内部控制的内部监督:
(一)建立内部监督制度。内部监督制度是我单位指导进行内部监督的规范,也是开展内部控制内部监督的依据。在内部监督制度中,我单位确定了内部控制评价与监督机构,明确开展内部监督的程序、方法和要求等。
(二)开展日常监督和专项监督。日常监督是指我单位对建立与实施内部控制的情况进行常规、持续的监督检查,它实际上就是持续监控活动。日常监督应当与单位日常的业务活动相结合,整合于单位的业务活动过程之中,对于发现的内部控制缺陷,应当及时向有关方面报告并提出解决问题的方案,对存在的问题予以纠正。专项监督是指在我单位发展战略、组织结构、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一方面或者某些方面进行的有针对性的监督检查,大致与个别评价的概念相当。我单位拟定内部控制专项监督计划,确定当期专项监督的内容和对象。对于专项监督的范围和频率,根据风险评估结果以及日常监督的有效性等予以确定。对于用于控制风险评价结果确认为中、高等级风险的内部控制以及关键业务的内部控制,应当优先对其进行专项监督。对于专项监督中发现内部控制存在的问题,要及时向领导小组报告,提出完善内部控制的意见和建议,并监督相关部门进行完善。
(三)我单位在对内部控制进行内部监督发现内部控制缺陷时,需要对内部控制的缺陷进行认定和报告,分析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及时向领导小组报告。同时跟踪内部控制缺陷整改情况,并就内部监督中发现的重大缺陷,追究相关部门的责任。内部控制缺陷包括设计缺陷和运行缺陷。所谓设计缺陷,是指缺少为实现控制目标所必需的控制,或现存内部控制设计不适当、即使正常运行也难以实现控制目标而形成的内部控制缺陷。所谓运行缺陷,是指现存设计完好的控制没有按设计意图运行,或执行者没有获得必要授权或缺乏胜任能力以有效实施控制而产生的内部控制缺陷。按照内部控制缺陷影响整体控制目标实现的严重程度,我单位内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷。重大缺陷是指一个或多个一般缺陷的组合,可能严重影响内部控制整体的有效性,进而导致单位无法及时防范或发现严重偏离整体控制目标的情形。重要缺陷是指一个或多个一般缺陷的组合,其严重程度低于重大缺陷,但导致单位无法及时防范或发现偏离整体控制目标的严重程度依然重大。除重要缺陷和重大缺陷以外的其他缺陷,则为一般缺陷。
(四)开展内部控制有效性的自我评价。内部控制的自我评价是对整个内部控制系统进行的评价活动。我单位对内部控制活动进行日常监督和专项监督,前者结合各项业务活动分散进行内部监督,后者针对单位内部某一特定业务或某一特定领域或部门进行局部内部监督。由于单位内部控制体系是一个整体,内部控制体系的各组成部分相互配合发挥作用,因此还需要对内部控制整个系统整体进行评价,以论证其有效性。
(五)做好内部控制建立与实施情况记录和资料保管。内部控制的建立与完善是我单位内部管理制度建设的重要内容。记录和保存内部控制设计和建立的资料,有利于内部控制的实施,也有利于未来对内部控制进一步的完善。内部控制实施情况记录,反映着单位内部控制运行情况,是对我单位内部控制进行自我评价,发表内部控制评价意见的依据,也是未来完善内部控制体系的基础资料。我单位应当以书面或者其他适当的形式,对内部控制建立与实施过程中的情况进行合理的记录,确保内部控制建立与实施过程的可验证性,对内部控制建立和实施有关情况的记录,要妥善保存。
内部控制监督情况
1.内部控制建设基础不牢固。
由于行政事业单位内制建设制度规范发布实施时间不长,制度宣传训练不足,单位负责人、其他管理人员不熟悉内部控制建设的理念、规范,思想观念还停留在被监督的阶段,工作量增加也有抵抗感,从上到下内部控制建设的积极性不高。受现行行政事业单位组织架构和人员编制的影响,单独设立内部控制的职能部门困难,多由领导部门和临时组织协调内部控制,独立性和专业性难以保证。
一些单位受到人手不足的限制,不相容的单位分离等内部风险控制措施无法实施。在业务控制层面,虽然有一些控制制度和程序,但都比较零散,没有系统,没有将内部控制的理念设计和嵌入到各个业务环节和风险控制点,形成系统标准化的内部控制流程。重财务审查执行和资金安全控制,轻视其他业务环节的控制。内部控制的基础工作不足,评价和监督成为无源水,无本木监督的效果无法谈论。
2.评价和监督体系不完善。
行政事业单位内部控制评价和监督是单位内部自我评价、内部监督和外部监督三个层次的内部控制监督体系。现行各行政事业监督管理体系对保证行政事业单位业务工作和财务工作的正常进行,实现资产安全和使用的有效性和行政功能的发挥,发挥了重要作用。但目前行政事业单位内部控制监管体系仍存在一些问题。
一是内部评估机构不清楚,评估效果难以发挥。实践中,行政事业单位通常由综合部门或财务部门代行内部控制自我评价功能,独立性和专业性难以保证,导致自我评价效果差,无法科学评价内部控制制度设计的合理性和运行的有效性。
二是内部监管机制难以建立。内部监督是单位对自身内部控制的建立和实施情况的监督检查,根据监督和执行分离的基本原理,内部监督部门应独立于内部控制的具体实施和管理部门。一般来说,内部审计部门或内部审计部门应履行监督职能,但由于机构设置不足,没有设立相关内部监督联合工作组,许多行政事业单位内部控制的内部监督职能无法发挥。
三是外部监督滞后。行政事业单位内控控制的外部监督主要是财政部门和审计部门的监督,财政部门以财政监督检查的形式监督行政事业单位内部控制,审计部门主要以任期经济责任审计和专业审计监督行政事业单位内部控制。两者在监监督的频率和时效性,事后监督难以完全避免内部控制失效。检查工作受时间和人员的限制,不能进行深入的检查,只能走形式和过程,影响政府监督的效力。同时,一些政府监督人员素质不高,主观随意性大,情面放弃原则,政府监督效果差。
3.内部评价缺乏评价功能和动力。
行政事业单位收支两条线制度的实施对严格的行政事业性收费管理,避免坐支挪用收费收入发挥了积极作用,但由于收入和支出的完全脱节,单位缺乏内化约束和激励机制,部分地区仍实施会计委派制度等剥夺单位会计管理权限的管理措施,单位内部管理意识和内部管理积极性下降。机构安装上也没有对内部控制评估和监管机构的明确要求,缺乏内部评估和监管的功能。
从监督的动力来看,单位负责人是各制度的审查执行人,也是内部控制度的有效性负责人,在没有设立内部纪律检查部门的前提下,内部评价和监督是单位负责人的评价和监督,负责人和监督者之间具有主体的一致性。单位内部控制人或财务人员依赖单位,实际利益由单位领导掌握,对单位领导违规审批和财务制度违规行为无法进行有效监管,可能因监管而受到不必要的打击。这样的监管即使成功了,财务人员也不能获得多少切实的利润,但是如果不成功,可能会失去现有的利润。这种机制的存在导致单位内部监管动力不足,运行不畅。
4.外部监督规范需要完善。
行政事业单位内控外部监管主要表现为财政部门监管和审计部门监管。实践中,财政部门监督检查主要依据的《会计法》、《政府会计准则-基本准则》、《事业单位会计准则》、财政部门制定的其他各种财务规则、政策性文件等,主要着重于预算编制和执行、财务合规性和各项支出标准的执行情况等,行政事业单位内部控制关注不足,指导性意见和建议不足。检查的时间、频率等没有制度规范,主要受到财政部门人员和当年重点工作安排,内部监督的制度性和规范性不强。
审计部门的内部监督监督主要是单位负责人的责任期经济责任审计,在其他专业工作审计中受到适当关注,在内容复杂的单位审计工作中,内部控制有效性的监督通常只有一次,没有上升的探索和可行的改善意见和建议,很难真正发挥审计外部监督对单位内部监督的作用。两个部门的监督检查没有横向的信息交流机制,检查结果不一致,有时结论相互矛盾。