内控信息管理系统(共8篇)
征信机构信息系统安全及内控机制
—、征信机构信息系统安全等级(一)征信系统的数据安全管理
电子数据安全是征信系统安全管理的重要组成部分需要构建全方位、立体化的征信系统信息安全管理机制。
1.网络访问控制
目前,个人信用信息基础数据库和企业信用信息基础数据库等业务客户端系统同其他大部分业务系统一样,都支持Telnet协议的远程登录方式。网络中任意终端设备在安装相对应的客户端后,理论上即具有远程登录主机的条件。征信机构实行互联网、办公网和业务网物理隔离的三网分离管理模式,网络访问控制清晰且严格,但同一网络间存在计算机互访的条件,如控制不当将为远程入侵留下隐患,直接威胁到数据通信和数据存储机密性的安全。加强网络访问控制,关键是阻止未授权终端接入。在各个使用征信系统业务终端的金融机构的交换机和路由设备中设定多层访问控制列表及划定虚拟局域网,通过授权将指定的业务终端绑定。
2.加强身份认证
身份认证是登录征信系统的必要程序,此要素出现缺陷,将直接影响到数据使用的 可控性。而强身份认证则是在其基础上贯彻强化原则,明确各项规章制度在安全管理方面的要求。首先,要强化用户的资格管理。这是经身份认证并登录系统进行操作的基础。用户的建立须经过岗前培训,具备相关从业资格,签订岗位安全责任状、保密责任书及 协议等一系列制度要求的程序。其次,要强化用户的口令管理。用户代码及口令是身份 认证的体现方式,一个用户代码只限一个用户使用,用户在接到分配的用户代码后,应 立即登录系统并修改口令,勤更换,并仅限持有该用户代码的本人掌握。最后,要强化 用户的制约管理。合理设定兼岗用户,及时撤销停止使用的用户权限,负责保管密封口 令的管理人员不得拥有各级身份认证权限。强身份认证亦可通过安全证书、USB Key(硬 件数字证书载体)、智能卡芯片等方式实现,其作用不仅体现在有效防止用户名及密码被 盗用方面,更体现在对发生安全风险的责任认定方面。第 2 页
3.数据通信机密性
征信系统采集的各类征信数据信息因与各个机构分别进行沟通协调,导致征信数据 信息在通信过程中的加密方式采取不同标准。采用密押设备来统一保证征信数据信息的 通信机密性。密押设备应统一定制配发,拥有防撬检测电路,确保密钥及密码算法不会 暴露于物理安全的环境之外。密押设备由各征信系统运行部门指定专人配置、维护和保 管。可以说,密押设备的应用能有效地保护征信数据信息的通信安全,并与网络访问控 制的安全要素息息相关。
4.数据存储机密性
数据存储是数据以某种格式记录在计算机内部或外部存储介质上。与其他安全管理 要素相比,强身认证对其保护作用更加明显。对存储在计算机内部的数据,主要是服 务器中的数据,要按规定将系统服务器主备机在中心机房安全摆放,设置双M以上门禁; 未经主管部门领导批准,非机房工作人员不得进人机房。系统管理员进行系统维护时,应有业务主管或操作员在场,严格控制对数据库的直接操作,并对维护内容作详细记录。
对于存储在计算机外部介质中的数据,如磁盘、U盘、光盘、本地设备等,要严格 管理、妥善保存,并实行数据加密制度。征信系统及其导出数据使用的存储介质,应进 行严格的病毒检査,防止计算机病毒侵入,禁止在征信系统终端设备上使用非征信系统 专用的存储介质,禁止在征信系统及其相关的设备上安装与系统运行无关的软件,最大 限度地保证数据存储机密性不受影响。
(二)我国《征信机构管理办法》对征信系统安全等级的规定根据《中华人民共和国中国人民银行法》《征信业管理条例》等法律法规,中国人民 银行制定了《征信机构管理办法》,自2013年12月20日起施行。《征信机构管理办法》 明确要求设立个人征信机构,应当经中国人民银行批准,且信用信息系统应当符合国家 信息安全保护等级二级或二级以上标准。
根据我国《信息安全等级保护管理办法》第二章,等级划分与保护规定:第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社□第六章信息主体权益保护 第 3 页
会秩序和公共利益造成损害,但不损害国家安全。对于第二级国家的监督管理要求为,第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家 信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
知识链接:中国金融新闻网—11315全国企业征信系统—我国社会征信新模式。我国信息安全等级保护等级划分和监管方式
1.信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中 的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和 其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损 害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国 家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者 对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
2.信息系统运营、使用单位依据《征信机构管理办法》和相关技术标准对信息系统 进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。第 4 页
第三級信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级信息系铳运营、使用单位应当依据国家有关管理规范、技术标准和业务专门 需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制 监督、检查。
需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
二、征信机构内控机制
内控机制建设就是一个组织为了实现既定目标,防范和减少风险的发生,由全体成 员共同参与,对内部业务流程进行全过程的介入和监控,采取权力分解、相互制衡手段,制定出完备的制度保证的过程。征信机构是征信体系建设的核心机构,在信用体系的建 设中承担重要的职责,其客观公正的评估有赖于内部有效的管理机制。
(一)我国征信机构内控机的相关规定 1.《征信业管理条例》相关规定
2013年3月15日开始实施的《征信业管理条例》第6条规定,设立经营个人征信业 务的征信机构,应当符合《中华人民共和国公司法》规定的公司设立条件和下列条件,并经国务院征信业监督管理部门批准:(1)主要股东信誉良好,最近3年无重大违法违 规记录;(2)注册资本不少于人民币5 000万元;(3)有符合国务院征信业监督管理部 门规定的保障信息安全的设施、设备和制度、措施;(4)拟任董事、监事和高级管理人 员符合该条例第8条规定的任职条件;(5)国务院征信业监督管理部门规定的其他审慎 性条件。第8条规定,经营个人征信业务的征信机构的董事、监事和高级管理人员,应当 熟悉与征信业务相关的法律法规,具有履行职责所需的征信业从业经验和管理能力,最近3年无重大违法违规记录,并取得国务院征信业监督管理部门核准的任职资格。
2.《征信机构管理办法》 第 5 页
2013年I2月20日起实施的《征信机构管理办法》第6条规定,设立个人征信机构,除应当符合《征信业管理条例》第6条规定外,还应当具备以下条件:(1)有健全的组 织机构;(2)有完善的业务操作、信息安全管理、合规性管理等内控制度;(3)个人信 用信息系统符合国家信息安全保护等级二级或二级以上标准。
对于征信机构的业务开拓以及跨域经营等内容,则充分尊重了企业的自主经营权,促使征信机构发挥经营的积极性和主动性。
(二)西方国际征信机构内控机制
征信机构运营模式可以大致划分为两种类型:以美、英为代表的市场主导型和欧洲 大陆大多数国家所采纳的政府主导型,其内控机制和管理模式则呈现不同的特点。
1.美国征信机构的市场化的内控模式
美国征信机构组织模式,是蝕立于政府之外的第三方私营机构,将个人信息进行收集、加工后,有偿提供给信息需求者,并且依据市场的需求来完善自己的经营与管理模 式,提升运营效率。具有以下几个特点:首先,征信机构私有化。个人征信机构都是由 私营的工商企业、征信专业公司、授信机构共同发挥作用的征信主体。其次,独立性强。征信机构既与政府隔离,同时又与其拖市场主体相分离,作为真正意义上的第三方存在。最后,按市场化原则运作。征信机构伴随着信用交易的市场需求产生而产生,随着市场 信用交易规模的发展而发展。其公司机制为公司制形式,以营利为目的,以股东利益最 大化为前提,股东出资比例决定公司投票权比例,一切决策按照商业化目的进行,服务 的范围不受限制。
美国《公平信用报告法》规定,作为个人征信机构,必须同时具备下列5项基本特 征:A.消费者信用调查和生产调查报告时期日常业务;B.专门从事收集消费者信用调查 或评价消费者信用价值;C.从事有偿服务、以营利为目的;D.服务的目的是向第三方提 供消费者信用调查报告;E.向全国市场提供公开的服务,不仅仅向关系企业提供报告 服务。第 6 页
在全球征信机构中,像益百利、环联、邓百氏等大型的征信机构全部采用公司制的 治理架构,并且,有些征信公司已经是上市公司。美国征信机构市场化的运作机制,政 府并没有对其具体的内控机制进行明确的法律规定。
2.以德国为代表的征信机构组织模式
以德国为代表的公共征信模式又称为政府主导的征信模式,即主要是依靠政府的力 量建立征信机构,政府通过行政手段强制要求个人或企业向征信机构提供其信用信息或 数据,从而建立个人信用信息数据库,并通过法律形式保障信息或数据的真实性。其特 点如下:A.具有一定的强制性。通过法律与决议的形式保证个人信用信息的可得性与真 实性。B.公私征信机构并存。公共与私营征信机构并立,且互为补充。C.垄断与竞争并 存。既有公共征信机构对个人基本信用信息的垄断,又有私营机构间的竞争。
(一) 单位内部控制的表述。行政事业单位内部控制 (以下简称单位内控) , 是指单位为了实现控制目标, 通过制定制度、实施措施和执行程序, 对经济活动的风险进行防范和管控。单位内控规范是为了进一步提高行政事业单位内部管理水平, 规范内部控制、加强廉政风险建设, 根据相关法律法规制定一般性规范, 各单位要根据本单位具体情况, 制定符合本单位要求的具体的规章制度, 建立自己的内控体系。
(二) 内控信息系统的作用。内部控制的信息化是将内控理念、控制流程、控制方法等要素通过信息化的手段固化在信息系统中, 从而实现内部控制体系的系统化与常态化。其优越性体现在以下方面:一是固化了经济活动业务流程, 自动记录和跟踪业务流程的运行状态, 并将不相容岗位相互分离和内部授权审批控制嵌入到信息系统中, 使业务流程和管理制度实现自动流转和主动提示, “自动”实现了内部控制对各项经济业务的约束。二是提高信息的准确性, 降低出错概率, 可以使管理人员有更多的精力应对重要的或者突发性事项, 提高风险管理的针对性和内部控制的有效性。三是提高信息的实效性和相关性, 各级管理人员在各自权限范围内, 通过可视化界面, 动态掌握管理职责范围内的可控信息, 以便作出科学合理的决策。四是为单位创造信息交流与共享的平台, 实现内控信息的程序化、标准化, 提高了信息沟通的效率和效果。五是内控信息系统, 能够带动、引领行政事业单位切实开展好单位内控建设, 防止将制定的各项制度当摆设, 流于形式、走过场。信息系统把相关的机构、岗位、人员联系起来形成链条, 循环联动, 把制度、职责、权限展现在眼前, 清晰明了, 有理有据、有章可循。融入绩效评价、内部监督、审计功能, 促进单位内控体系不断完善、提高。
(三) 内部控制方法在内控信息系统中的体现方式、优势与不足。一是将不同部门职能、岗位定义成不同角色, 分配不同的操作权限, 不同经济业务活动对应的决策、执行、监督这些不相容岗位, 分配不同的角色, 用程序来控制, 由不同的操作人员来承担, 可以很好地执行不相容岗位相分离的控制方法和归口管理的控制方法;二是通过岗位权限设置和程序流程控制逐级审批, 处理常规授权业务;对“三重一大”的业务事项, 实行联合会签程序控制, 实现特别授权控制。信息系统能够很好处理内部授权审批控制;三是通过在信息系统中划分不同的功能模块, 针对不同业务不同的处理流程及岗位功能权限设置, 实现预算业务、收支业务、政府采购、资产管理、建设项目和合同管理等业务层面的控制要求, 区分不同的业务控制流程, 应用预算控制、财产保护控制、会计控制等控制方法;四是对于业务事项表现为资产形态的过程控制, 包括资产的取得、使用、处置、盘点清查等节点, 采取资产记录台账、实物保管、定期盘点、账实核对等措施, 确保资产安全。对资产处置, 由上级主管部门和财政审核、审批可以控制资产流失, 就是应用财产保护的控制方法, 信息系统具有突出的优势;五是会计账务核算系统在保障会计信息真实完整, 满足预算管理和财务管理要求方面, 通过会计岗位、会计人员、会计凭证、会计报告、会计档案和会计核算统称为会计控制的方法来实现, 与手工方法相比信息系统具有非常强的优势, 是提高单位会计水平的主要手段;六是信息系统在信息内部公开方面, 具有内在的优势, 同时为内部监督、审计提供更加便利、高效、可追溯的工作平台;七是单据控制, 可以说是信息系统应用相对比较薄弱的地方, 但是可以通过表单控制实现对外部票据的关联控制作用, 加强手工辅助、审核、把关, 靠制度要求相关工作人员按照规定填制、审核、归档、保管单据。
二、单位财务管理信息系统应用的状况
(一) 会计账务管理信息系统。单位采用的账务管理系统包括商品软件和财政支付信息系统集成的账务系统两类, 基本功能类似, 财政集成账务系统具有一定优势, 可以利用电子支付数据自动生成记账凭证, 为自动生成财政部门决算提供了有利条件。主要功能包括:会计科目维护管理, 设置辅助核算;凭证管理:凭证规则、类型维护, 填制、审核记账凭证, 凭证记账;账簿管理:总账、明细账、辅助账;报表管理:资产负债表、收入、支出会计报表等;期末结账、转账, 年终结账、结转;国库支付系统数据接口, 定义记账凭证生成规则。
(二) 资产管理信息系统。行政事业单位采用的资产管理信息系统, 是由财政部与久其公司联合研发, 在全国范围推广使用的资产管理信息系统, 功能较为完善, 融入了一些内部控制的方法, 但在全员参与资产管理和内部监督方面功能不足。单位版资产管理系统功能包括:资产配置:购置计划申报, 新增登记、入账;资产使用:变动、盘点、计提折旧、领用、回收入库;资产评估、确认;资产外部使用:出租出借申报、审批;资产处置:资产处置申报审批, 损失核销登记;收益管理:登记、上缴;资产报表:行政 (事业) 单位资产负债表, 资产总帐, 台账, 分析查询, 数据上报;执行上级主管部门或财政部门下达的任务。主管部门和财政国有资产管理部门的管理功能包括:资产购置计划审批;资产有偿使用审批、备案;资产处置审批、备案;产权登记;资产评估查询;资产报表:动态产生资产年报、月报;实时动态查询、综合分析;组织机构管理, 用户及权限资源分配, 角色管理;网页栏目的维护管理
(三) 预算编制信息系统。以预算项目库建设为纽带, 集成单位预算编制、财政审核、预算方案生成功能为一体, 体现公开、公正、交互、便捷、高效的预算管理理念。主要功能包括:基础资料管理:机构编制、人事、工资、标准代码等基础信息;预算项目库:职责活动、项目申报、审核、排序;预算编制:基本支出参考数计算、逻辑审核, 汇总报送预算建议数, 财政预算编审, 下达预算控制数, 单位编制正式年度预算, 财政汇总生成预算草案报人大批准。
(四) 财政管理信息系统或称财政支付系统。使用网络技术手段实现预算控制, 由财政部门、预算单位、代理银行和国库银行协调联动, 将资金直接拨付给货物或服务提供商, 提高了资金使用效率和财政监管水平。主要功能包括:预算指标管理:根据人大批准的预算方案, 生成预算控制指标;财政国库部门根据不同的指标类型指定计划方式和支付方式, 下达用款额度;单位申请用款计划、财政审批, 在额度内从其零余额账户支用款项, 直接支付给商品或服务提供商, 代理银行垫款;资金清算:当日财政确认代理银行垫款, 通知国库银行清算代理银行垫付款项;集成账务管理系统。
(五) 非税收入管理信息系统。按照“单位开票、银行代收、财政统管、以票控收”的思路设计。实现对执收单位、收入项目、收费标准等重要控制信息的规范化。构建财政部门、执收单位、代理银行之间的网络架构, 实现实时、高效、规范的财政统管体制。主要功能包括:票据管理:领用申请、入库、使用、核销、退回;非税款项缴入代理银行财政汇缴专户, 打印统一缴款票据;收入退付、调整、减免;预收收入处理;银行对账、财政对账。
三、单位内控规范下财务管理信息系统的局限性
(一) 内部控制环境没有充分体现。组织架构是内部控制体系建设的重要保障, 在内部控制过程中承担相应的职能, 在这些管理系统中却不能很好体现, 比如:梳理业务流程, 明确具有本单位特点的业务环节, 开展风险评估, 确定风险点, 选择风险应对策略, 建立健全适合本单位机构各项内部管理制度, 监督相关人员认真执行, 这样的流程在管理系统中体现不充分。尤其是风险评估机构、内部监督、审计机构的职能和作用没有在管理系统中体现出来。“三重一大”等议事决策机制、岗位责任制没有充分体现。
(二) 业务层面和控制活动体现不够全面。重要岗位设置不是在本单位梳理业务流程、分析风险点基础上确定的, 不能体现本单位的实际重点岗位配置需求。各业务管理系统功能模块相对独立, 相互联系的信息流传递功能不强, 成为信息孤岛, 重复的数据录入既增加了操作人员的工作强度, 也增加了出错概率, 割裂的系统也给业务流程控制和内部监督带来不利影响。每个系统都有一套独立的维护人员、角色权限的管理模块, 显得累赘, 非常不便。这些管理信息系统的用户、角色的管理权限不在本单位, 财政部门通常一个单位只分配给一两个角色, 只是单位的财务部门在使用。本单位制定的管理制度在这些信息系统中的岗位操作环节的控制、展现和提示功能较差。预算控制中决算的生成和绩效评价功能薄弱。资产管理系统中全员参与, 对资产使用、保管责任部门的管控能力薄弱。政府采购控制体现不充分, 建设项目和合同控制没有体现。
(三) 信息公开和内部监督最薄弱。上述管理系统设计不是以单位内控为目标, 没有将这样的控制方法运用到管理信息系统的设计当中, 不能满足内控系统要求, 是功能最薄弱的环节。
四、完善与改进财务管理信息系统的措施
(一) 内控环境的完善提高。针对现有的管理系统与内控建设的差距与不足, 制定和补充相应的内控管理制度, 健全内控管理机构, 制定管理流程, 履行各自的职责, 监督内控制度的执行。
(二) 提高现有管理系统的数据接口能力和授权审批控制能力。独立的管理信息系统需要设计标准的数据接口, 或在需要的地方增加数据的导出、导入功能, 是信息系统开发的必然趋势和基本要求。加强授权审批流程控制, 不相容岗位控制, 增加内部监督、评价角色管理。
(三) 开发单位内控信息系统, 注重与管理信息系统衔接和协调。内控信息系统建设必须循序渐进、逐渐扩充、完善, 逐步提高软件的应用深度和操作人员的应用水平。内控信息系统要以经济活动的生命周期为主线, 在业务层面体现不同业务不同的活动控制特点 (角色、功能、流程) , 融入各项内控管理制度, 依托网络协作环境, 结合已有的管理信息系统, 减少数据重复录入, 增进信息共享, 开发预算绩效评价、信息公开和内部监督、审计功能, 并对内控信息系统的运行效果进行评价。开发统一的用户、机构、角色、功能权限、数据权限管理模块, 建立用户的上下级关系, 规范分级的管理员配置策略。
财政部门承担着单位内控的外部监督职责, 对单位内控有指导、监督职责, 以后这些管理系统的升级、改版, 需要考虑单位内控的需求, 也可以整合这些系统, 开发出一套内控管理信息系统供单位选择、使用。
摘要:行政事业单位内部控制, 要求充分发挥信息系统的作用, 充分体现信息系统的优势, 本文分析了信息系统应用八种内控方法的途径、优势与劣势, 总结了现有管理信息系统的功能特点, 分析其对单位内控建设作用的局限与不足, 提出解决对策, 为单位开展内控建设提供参考, 对上级财政部门开发管理信息系统提出建议。
关键词:内部控制,财务管理,信息系统
参考文献
摘要:随着电算化会计信息系统的进一步推广普及,如何完善电算化环境下单位内部控制系统,充分发挥A1s在现代企业管理和资本市场监管中的积极作用,特别是《企业内部控制基本规范》出台后,单位内控系统怎样紧跟基本规范的步伐,是当前会计电算化工作中的一个重要课题。本文通过对电算化环境下内控系统的特点分析,结合基本规范中关于单位内控系统的设计原则,提出若干基本规范实施后电算化环境下单位内部控制系统的建议。
关键词:新规范;电算化会计;内部控制
内部控制缺失对资本市场造成的影响有目共睹,如何规范企业的内部控制,使其真正起到应有的作用,一直是外界所期待的。2008年6月28日,财政部、证监会、审计署、银监会、保监会等五部门联合发布了《企业内部控制基本规范》。《基本规范》自2009年7月1日起首先在上市公司范围内施行。该规范被称为中国的“萨班斯法案”,其颁布标志着我国对企业内部控制的重视已上升到一个新的高度,其实施将对我国企业的内部控制将产生重要影响。
鉴于我国目前信息技术的逐步普及,新规范也对电算化会计中的内部控制的实施提出更高的要求。新内部控制规范方法中第七条中规定,新内部控制规范中的信息系统控制要求企业结合实际情况和计算机信息技术应用程度,建立与本企业经营管理业务相适应的信息化控制流程,提高业务处理效率,减少和消除人为操纵因素,同时加强对计算机信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全、有效运用。电算化会计信息系统的内部控制则是内部会计控制的特殊形式,也是内部会计控制深层次的发展。如何使电算化会计中的内控适应新规范的要求?
一、电算化会计内部控制特点及容易产生的问题
1、会计业务处理主体发生变化
手工环境下,凭证的审核、记账、过账、对账、结账和报表编制等都是由会计和出纳人员亲自完成,在这个过程中,会计人员和其他相关人员存在大量信息交流与人工的相互校对、审验;在电算化环境下,会计人员之间的联系则转变为人与计算机的交互,操作员的身份识别及授权控制等都有别于手工会计信息系统,除了原始单据的取得或填制主要是外部生成,制单、审核、记账、过账、对账、结账和报表编制等核算环节几乎全部在计算机系统内部完成,核算的自动化程度大大提高。
2、口令密码是实现会计操作的唯一密码
手工环境下,任何操作都会有签字,也就是都有责任人。电算化环境下,操作员都有各自的授权范围和口令,如果只要有正确的密码口令,就能进行操作,而不会留下操作人的手迹。这就意味着,密码口令被泄露,其他知道的人都可以进行数据的操作,就可能影响数据的真实性。
3、数据输入是电算化会计控制的重点
在电算化系统中,所有数据都源于凭证库,当凭证输入后,系统将自动进行多项业务处理。一旦输入操作不当,将会引发日记账、明细账、总账、乃至会计报表等一系列的错误。因而,数据输入操作不当的问题控制将是整个会计电算化业务处理程序中最关键的控制环节。
4、电算化系统的“单点录入”与“数据共享”产生的数据风险
实行计算机记账后,AIS数据几乎全部由系统各站点分散录入,且系统各站点可以实现共享,这无疑对于提高信息的利用率大有好处,但这也带来一个新的课题,那就是系统存在的可能由于局部站点数据输入或操作错误带来的系统整体错误的发生。
二、结合新规范,企业应采取的措施
1、企业的内部会计控制须遵循新规范所要求的基本原则
新规范中规定了企业内部控制的基本原则,即合法性原则、全面性原则、重要性原则、有效性原则、制衡性原则、适应性原则、成本效益原则。这些基本原则是企业制定会计内部控制的指南针,企业要结合自己的实际情况,特别是信息化环境下,根据企业计算机技术的应用程度制定适合企业情况的会计内部控制制度,在制度完善的前提下,更要做到有法可依,有法必依。
2、健全完善电算化环境下数据级权限与金额级权限的授权分配方案
传统的核算型软件由于仅局限于财务人员操作软件,从而使得软件权限分配方案非常简单,但随着ERP时代的到来,企业内部几乎所有部门和人员都有可能参与到软件实施中,面对多部门的授权局面,管理型和决策支持型软件均提供了强大的授权方案,按照权限级次不同,我们主要把电算化环境下的软件操作权分为三个级别,即功能级权限、数据级权限和金额级权限。功能级权限主要用于对操作员进行功能级权限的分配,比如授权某人具有总账模块“制单”权限,数据级权限用于对操作员进行字段级和记录级权限的分配,比如授权某人在总账模块仅能编制收款和付款凭证的权限,金额级权限是在数据级权限的基础上,对权限的金额级控制,比如限制某人仅编制单笔金额不超过1万元的凭证。数据级和金额级权限都是对功能级权限的细化,主要目的是为了更好的落实内控,然而笔者通过调查发现,许多单位虽然实施了管理型或者决策型软件,但却因没有充分利用好系统提供的强大的权限设置功能而使得系统应有的内控措施没有很好的发挥,大量投资购置的管理系统并没有真正发挥在现代管理中应有的作用,最终导致单位内控的风险增高。所以,本人认为全面掌握现代管理软件的操作,充分利用好系统提供的强大的权限设置方案,构建电算化环境下缜密的内控系统也是目前内控工作改进的重要内容。
3、完善数据操作管理制度,加强信息安全
操作管理制度是针对每一个上机操作会计软件的人员而制订的,主要用来规范每一个操作人员的行为以及各自之间的权限限制。除了软件对操作方面作了一定的内部控制设计以外,制订并严格操作管理制度,将会有效地保证会计软件的安全运行;同时,也有利于内部控制制度的执行。操作管理制度从内容上来看,一般包括以下几项:
(1)操作人员的工作职责和工作权限。尽管软件一般都已有用户管理功能,但其用户管理的设置是由人工进行的,这就需要从制度上对操作人员的工作职责和工作权限加以规定,用来在用户管理的设置和具体的操作中执行。
(2)预防原始凭证和记账凭证等会计数据未经审核而输入计算机的措施。如规定原始凭证必须经有关审核人员审核并签章后才能输入计算等。
(3)预防已输入计算机的原始凭证和记账凭证等未经核对而登记机内账簿的措施。如规定已输入计算机的凭证需由审核人员核对并签章后方可登记机内账簿等。
(4)建立必要的上机操作记录制度。使用日志的形式记录下每个会计操作人员的机号、登录日期及时间、所做的操作等情况,并经常性查看日志,检查有无异常情况,监督系统操作。
(5)根据会计电算化系统的业务要求和不相容职务相分离的原则,设立各个电脑操作岗位,如系统维护员、系统管理员、数据审核、数据复核、会计档案管理员等,明确岗位职责和操作权限,使每个操作人员只能在自己的操作权限范围内进行工作,保证会计电算化系统能够正常顺利的工作,确保会计数据的安全、准确、可靠。
三、结束语
1.内部控制信息化的覆盖面比较小。行政事业单位内部控制主要包含单位层面内部控制和业务层面内部控制。其中, 前者主要是对部门职能、岗位职责分工等职权进行控制, 主要通过加强日常规范管理及文化建设进行管控;而对于后者, 则是需要利用强制手段进行完成, 主要涉及预算业务的处理、收入业务的管控等, 将控制的核心点与具体业务运营系统进行相互融合, 提升控制的效率。此外, 行政事业单位还可以通过规范中的“评价与监督”手段对内部控制进行有效的反馈, 同时着重加强对内部审计的管控, 以便在最大程度上发挥审计的行政职能, 控制风险。单位进行系统化的信息管理, 对于事业单位的评价与整改起着关键性的作用。
2.内部控制信息化与现存系统存在矛盾的关系。在开展内部控制信息化建设之前, 事业单位已经存在建成的业务信息处理系统并, 例如办公自动化系统、财务系统、固定资产系统等, 这些系统基本上已经是可以满足单位内部控制的基本管理需求。但是, 由于行政事业单位工作的特殊性及技术环境的变化、市场的进步与发展等因素, 导致了这些系统在管理过程中与采用的信息技术框架产生了一定的矛盾。因此, 单位需要采取一定的措施以保障内部控制信息化建设与现有的系统进行一个整合, 并对内部控制信息化建设进行重组与整改。
3.内部控制信息化建设的组织结构不完善, 责任没有进行明确的落实。由于我国体制的建设与发展, 行政事业单位与市场多数以盈利为目的的企业不同, 通常没有设置专门的内部控制管理部门, 而是交由财务部门进行集中的管理。但是实际上单位内部控制信息化建设与财务部门的管理是存在一定区别的。针对这一情况, 单位内部控制部门应当是由单位负责人牵头, 财务部门、行政部门、信息部门共同参与的专门职能组织。内部控制部门具有一定的独立性, 拥有一定的独立权利以便可以保证在最短时间内将问题进行解决, 这样才可以保障内部控制信息化建设的顺利完成。
二、行政事业单位内部控制信息化的主要思路探讨
行政事业单位内部信息控制管理在长期的发展中存在一定的问题, 将从以下几方面对行政事业单位内部控制信息化的主要思路进行有效性探讨。一是从信息化控制的对象进行探讨, 内部控制信息系统的控制对象一般是单位日常的经济活动。其中, 经济活动主要是涉及业务活动, 既包含单位日常的管理活动, 也包含单一具体的经济运行活动, 例如材料采购、资产管理或是费用报销等。业务流程贯穿部门预算系统、政府采购系统等等核心管理系统当中, 连接着整体与部分的关系, 通过物流和资金流的运作形成对应的信息流。二是从采集系统方面进行分析。采集系统是收集控制对象行动结果信息的子系统, 在管理活动中大范围采集有效的信息和及时获取单位运营过程产生的信息, 这些信息通过分析及论证之后会将有用的数据存储于数据库中, 借此为分析风险来源提供有效的依据支持。由于采集信息的速度与质量直接影响到控制的效率与质量, 所以在信息化环境下, 应当确定需要采集的内容, 并定期对数据内容进行清理, 以保障采集经济活动信息的深度、广度、及时性。三是从规则库系统方面进行分析。规则库系统顾名思义是由内部控制标准规范等具体详细的准则所规定的控制指令和程序组成的数据库。在规则库系统中, 可通过结构化语言或是非结构语言对其进行描述并嵌入信息系统中以支持自动控制。其中主要的不同点在于非结构语言并没有严格的评判标准, 不具备一定的强制性。四是从风险分析系统进行分析。主要是将风险分析的结果与规则库系统中的标准控制进行比对, 若是控制对象与控制标准偏差过大, 则可以将信息传递至控制系统进而阻止该经济活动继续进行或提示该经济活动已经不具备有效的实际操作性能, 可实施性能降低不利于行政单位的进步与发展。五是从控制监督系统进行分析。控制系统应当基于单位当前实际的经济运行情况, 在了解行政单位管控中出现的问题之后进行针对性的系统控制, 在保持管理系统整体性的基础上进行有效性管理, 保证信息化建设的顺利进行。同时, 在控制系统的运行过程中也绝不能离开监督系统的辅助。监督系统能够进一步排除其中可能存在的风险, 及时发现问题, 以便及时解决, 避免问题的堆积造成不必要的风险与危害。六是从决策管理系统方面进行分析。决策管理系统是行政单位进行内部控制管理的核心, 对于单位的长期发展与进步起着至关重要的作用。因此, 管理者在进行决策的过程中, 决不能仅仅根据自己的主观认识及经验进行主观判断, 必须建立在有效数据的基础之上进行, 才能保障决策的准确性。
三、行政事业单位内部控制信息系统的建设过程
1.完善组织的结构及具备良好的人事关系。在这部分建设过程的分析中, 主要以交通部某单位为例子进行具体的.阐述。该单位成立了以局长为负责人的项目领导小组及建设小组, 辅以财务部门及信息部门等部门进行管理, 业务部门参与, 软件公司负责研发。这些部门应当具备其本身独立的职权, 有独立作为的主动权, 但同时这些部门也应当是互力互助, 共同保证内部控制的顺利进行。在该行政单位内部控制管理的前期, 项目小组分别赴各地进行考察, 并涵盖预算管理、收支管理、政府采购管理及资产管理为主要内容进行主要的调研, 以保障信息收集的有效性。
2.落实详细的内部控制流程。在这一块内容中, 首先, 需要建立起一套内控信息化体系, 并将单位的内部制度、岗位职责、岗位分工等内控信息归集、整理录入系统中, 并在系统中形成相关标准文档。其次, 对办公自动化系统、预算管理系统、固定资产管理系统等按照内控规范进行相关业务流程梳理, 尽可能根据业务的范围进行风险分析, 将经济活动的决策与执行监督机制充分融合入实际的业务流程中, 强化内部控制信息化建设进程。再次, 单位需要对内部控制在运行的过程中出现的问题进行详细的记录与报告, 以方便后期进行修改和及时解决相关问题, 同时也需要跟踪和监督缺陷的整改过程, 随时监督, 持续改进, 确保内部控制的执行力度。最后, 需要采取多样的评价方法多角度评价, 通过多方面人员共同参与评价的方式进行全面评价, 按照业务抽取、风险点索引等方式建立内控自我评价报告制度, 以确保相关领导或部门可以及时获取内控评价的相关数据和报告。
3.规范化管理单位内部的组织结构, 保障各部门之间的交流与合作。信息化建设的控制主要体现在数据资源、业务平台、内控服务项目等。其中, 数据资源层的数据来源的渠道各异, 其中包含结构化数据及非结构数据。同时, 将服务总线与内部控制服务进行交互的融合, 这主要是将内部控制的管理平台与信息服务的总线进行有效连接, 在最大程度上保障信息数据的资源共享。系统应基于XML的网络服务作为标准的的分布式调用协议, 确保单位现有的系统可以与数据进行相统一。
四、总结
行政事业单位内部控制信息化建设是受到多方面制约的, 例如单位内部的管理环境及市场的发展情况, 与时代信息化的发展密切相关。因此, 行政事业单位的信息化建设应当以长远发展的眼光为切入点, 尽可能在单位内部建立起信息化系统, 并且保障多方部门系统的统一性、协调性, 共同为单位的发展贡献一份力量。
参考文献
[1]周卫华.行政事业单位内部控制信息化探究[J].财会与会计, 2016 (15) .
[2]北京久其软件股份有限公司.行政事业单位内部控制信息化建设的探索[J].行政事业资产与财务, 2015 (04) .
第二条:本制度仅财务部门在存货物资管理上的控制管理加以确定,对于存货资产的实物管理应依照公司制订的相关制度执行。
第三条:依据管理体系的要求,仓库及加工厂管理不直接隶属财务部门管理,但应接受财务部门正常的监督管理,并配合财务部门做好各项稽核工作。同时仓库及加工厂应按照存货管理规定建立台帐对保管的存货进行记录,应将存货的品种、规格、数量(收、发、存)记录清晰。
第四条:财务部门应按照财务核算的要求,对存货资产实行“数量、金额式”的分品种的明细核算,并于每月结帐日及时结算出各品种存货资产的结存数量和金额,以便与仓库管理部门台帐进行数量上的稽查、核对。
第一章 购货与付款循环
第五条:根据公司管理计划性的特点,采购活动之前必须实行计划审批,由采购部门、仓库部门或生产部门签发 “采购订单”,列明该批拟采购物资的品种、规格、数量、单价、采购价格的询问比较情况,并按照公司内部关于采购审批的规定进行必要的审批程序。
第六条:采购人员凭审批手续齐全的“采购订单”,与有关供应商进行采购交易谈判,并将采购的相关条款明确后签订《购销合同》,《购销合同》应按照《合同法》的规定将主要条款如:品名、规格、数量、质量、单价总额、交付地点、验收依据、违约责任等填写齐全。
第七条:采购存货运抵公司后,首先应由公司的质量检验部门对此批存货进行质量的验收和检测,检测的依据是《采购订单》、《购销合同》和公司内部质量管理要求,在确认无误后,质量检验部门填写《验收单》,并签名盖章。
第八条:采购人员凭《采购订单》、《购销合同》和《验收单》,将采购的存货送交仓库部门办理验收入库手续。仓库保管员应依据上述单据重点对存货的实际查收数量、重量、品种、规格进行查验,发现问题及时反馈给采购人员,并将查收情况填写在 “入库单”上,如果有重量上的损耗仓管员应该在“入库单”上注明实际重量,并在仓管保管卡上注明。
第九条:采购人员应将收集到的、审批齐全的《采购订单》、《购销合同》、《验收单》、《入库单》、合法的商业发票等相关资料进行审核,并处理验收过程发现的问题,特别是损耗,不合理的一定要及时进行处理,审核无误后送交财务部门办理付款手续,财务部门按照公司内部付款审批手续,要求采购人员在办理好相关的审批后,在接受单证进行审核付款。
第十条:财务部门应对采购人员提交的付款资料(《采购订单》、《购销合同》、《验收单》、《外购存货入库单》、合法的商业发票等)进行财务审核,主要审核相关的审批手续是否齐全、单证是否完整、发票是否合法、金额是否正确、数量是否一致等,核对发票计算的正确性;应将发票上所记载的品名、规格、数量、条件及运费与合同、订购单、验收单、外购存货入库单等资料核对一致。在审核无误后再办理付款手续。
第十一条:财务部门在收集到采购单据齐全的情况下,应按照《会计核算规定》及时、准确地编制记帐凭证,并将上述支持性凭证(请购单、订购单、验收单、外购物资入库单、专用发票,若为进口的还应包括报关单)附在记帐凭证的后面,如资料较多,也可另外装订成册,注明索引号后存档。每月应根据记帐凭证准确、及时地登记入“存货”及“货币资金”、“应付帐款”分类明细帐中。第十二条:财务经理应监督和审核会计人员编制的“采购交易”记帐凭证金额及分类的正确性、入帐的及时性;若月末采购的存货已入库但发票未到,应暂估入帐,待下月发票到达后红字冲回,再根据发票做正确的分录。
第十三条:财务部门应于每月月末与供应商进行货款结算的核对。取得供应商对帐单,审核其余额与公司“应付帐款”余额是否一致,在考虑买卖双方在收发货物上可能存在时间差等因素之后,公司与供应商的月末余额应保持一致。第十四条:财务统计每日都做《采购日报表》,按照采购单位、品种、规格填列,并注明采购损耗的数量、金额。
第二章生产领用及加工入库循环
第十五条:财务部门应按照公司制订的财务会计核算政策,确定存货资产的计价方法(以在加权平均法、移动加权平均法、先进先出法、选定一种),计价方法确定后应保持不变。
第十六条:公司生产环节需要领用存货物资时,应先由厂长按照加工批次电脑填制《生产车间记录》的投料计划部分,由操作工填写 “领料单”,将需要领用的存货品种、规格、数量等信息填写齐备后,送交生产部助理复核,凭生产部助理复核同意并签名的“领料单”到仓库管理部门办理领用手续。
第十七条:操作工、冲米工、仓管员共同对领用的原料实际数量、重量负责,作到准确无误,并注明领用原料的实际重量。仓管员把经厂长确认的领料单交财务成本会计,成本会计做成本核算并做《保管损耗日报表》。
第十八条:每日财务部门根据仓库提供的“领料单汇总表”和所有领料单,按照成本核算的方法,及时将各材料的耗用情况登记到“存货”及“生产成本”明细帐上,并将“领料单汇总表”和所有领料单作为会计凭证的附件加以装订成册予以保管。
第十九条:包装物按照《生产车间记录》的计划,由分装工开“领料单”,分装完成后按照实际使用数量由仓管员与分装工确认,多出部分及时入库;对于原料的旧包装由冲米工按照规格计数打捆,开具“入库单”由仓管验收签字确认。
第二十条:仓库之间内部移库手续要健全,内部移库必须有厂长签字确认后方可以进行,仓管员及车间人员没有权利决定权,并对内部损耗由双方确认,由发出方统计并报厂长审批后报财务。
第二十一条:生产部门将完成的产成品或半成品移出生产车间之前,必须需要公司质量管理部门先行进行质量检测,并出具质量检测报告书,只有检测合格的产品或半成品才能移送到仓库管理部门。
第二十二条:仓库部门根据质量管理部门签发的“质量检测报告”和生产部门移送来的产成品或半成品,在清点数量和计量无误的情况,应办理验收入库手续,由分装工填制“产品入库单”,仓管员复核“产品入库单”的品名、规格、数量无误后签字,交厂长审核签字后交财务部。第二十三条:车间生产人员认真对批次进行跟踪,对此批次的成品、副产品的数量进行认真计量,并详细填写《生产车间记录》,按照“领料单”和“产品入库单”认真填写《生产车间记录》,交厂长核对后交财务部。财务部门应将每月各生产部门所耗用的材料和产出的产品或半成品,按照财务核算的规定及时、准确的进行相关的财务处理,并登记“存货”及相关的会计科目的明细帐上。并依据仓库提供的资料和财务核算的结果,编制《加工日报表》,与生产部门进行核对,以便于发现问题和考核生产部门的产出耗材比率,并用电子邮件上报总经理及财务经理。
第三章销售发出循环
第二十四条:产品销售管理应遵循公司内部专门的管理制度,重点是确认销售价格是否审批、销售收款是否稳健。
第二十五条:财务部门应根据“销售送货单”及时进行财务核算,编制会计凭证、登记“存货”及相关会计科目帐册,并于月末及时结算出“存货”的结存数量和结存金额,以备实物盘点时核对使用;每日对销售的存货进行统计,做《销售日报表》。工厂出纳每周都要作出经营部的欠款及业绩明细表。
第四章销售折让与销售退回
第二十六条:财务部门应审核“销售折让”是否经过公司各管理层的授权批准,是否与销售合同一致;在审核确认的前提下才能确认在“送货单”。
第二十七条:审核销售退回是否查明原因,是否经过批准,退回的商品是否已经被本公司仓库管理部门查收入库,并已取得“销售退回入库单”。并由工厂的做司机业绩的财务人员审核仓管员的退货数量是否准确。每月把审核无误的退货明细表报公司管理层,公司管理层对退货的原因进行了解并按照不同的原因找出解决办法,并责成有关部门落实。
第二十八条:财务部门应加强对销售折让和销售退回业务的发票管理,并区别下列不同情况进行处理,并根据经批准的贷项通知单(表示由于销货退回或经批准的折让而引起的应收销货款减少的凭证)及开具的红字发票,进行折让或退回的帐务处理,并将上述资料附在凭证后面。
①、购买方在未付货款并且未作帐务处理的情况下,须将原发票和税款抵扣联索回,注明“作废”字样;属于折让的,应按折让后的金额重开发票;
②、在购买方已入帐,发票无法退回的情况下,向购买方索取其当地主管税务部门的开具的进货退出或索取折让证明单,根据退回货物的数量、价款或折让金额向购买方开具红字专用发票,红字专用发票的记帐联作为公司当期扣减收入、销项税的凭证;然后再重新开出正确的商业发票给对方。
第五章存货的盘点
第二十九条:公司仓库管理部门应每月一次对所保管的物资进行盘点工作,并与其编制的“领料单汇总表”、“外购存货入库单汇总表”和“产品销售发出汇总表”、存货台帐相互核对,以保证仓库管理的准确性和实物资产的安全性,并确保实物资产与仓库记录数量相互一致。
第三十条:公司应每隔半年或一年组织仓库、财务部、车间、业务部等部门对存货资产进行全面盘点;存货盘点时应由上述部门抽调人员组成盘点小组,负责公司存货资产的盘点工作。并将盘点工作记录于盘点工作报表上,装订成册进行保管。
第三十一条:财务部门应根据财务帐册上核算的存货的品种、规格、数量与仓库记载的存货品种、规格、数量以及实际盘点的结果进行核对分析,编制“盘点情况汇总表”,列明差异情况和差异原因及相关责任部门的责任原因,提交给公司管理层。
第三十二条:公司管理层应根据财务部门编制的“盘点情况汇总表”进行分析讨论,确定差异处理的决定和对相关责任人的处罚决定。财务部门根据公司管理层的决定再对存货的盘盈、盘亏按照会计核算的要求进行处理。
二、设立兼职物价管理人员一名,经常检查医疗收费标准、药品价格的物价xxx策的执行情况,做到应收尽收,不应收则绝不收。
三、加强对各项支出的.监督和管理,严格掌握各项费用的开支执行标准,对违反开支标准的拒绝付款,对于多支、乱支或不讲求经济效益和手续程序的开支,应坚决制止和纠正,并以书面形式报告院长或上级领导及时做出处理。
四、严格执行国家控购商品的报批手续,杜绝盲目采购、贪多求新,搞“小而全”等情况,避免造成不必要的浪费或损失。
五、从严执行收入管理,指定专人审核门诊收入、住院收入,即以审查收费清单和收费三联单为主,所有收入必须进入本单位帐户内,绝不允许设置“帐外帐”和“小金库”。
六、坚持一支笔审批报销制度,全院的支出由院长一人签字审批,加强对各种资金及财产物资的管理,避免形成漏洞和矛盾。
七、转帐支票及现金支票等、印章由会计人员保管,他人不得兼管。
关键词:药检机构,预算管理,内控体系,信息化
2012年,财政部出台了行政事业单位内部控制规范,2015年底又出台全面推进行政事业单位内部控制规范的要求。在此形势下,药检机构作为国家事业单位,进行内部控制是时不我待。
按照《行政事业单位内部控制规范(试行)》要求,建设内控体系,有单位层面和业务层面之分。业务层面包括,预算业务控制,收支业务控制,资产控制,政府采购业务控制,合同控制,建设项目控制六大方面。对于Z药检机构,预算、收支业务由财务部门管理。资产、采购、合同、工程都各有归口管理部门,且各有管理软件。因此进行内控体系信息化建设的过程中,主要以预算管理为核心,给资产、采购、合同、工程等内控业务做了接口。
一、建设过程
(一)梳理业务流程,明确业务环节,分析经济活动风险,确定风险点
1. 梳理业务流程,明确业务环节
根据单位新三定结果,对单位的预算业务、收支业务进行梳理,对业务特点进行总结和归纳,确定业务管理的组织构架。
(1)预算业务。Z药检机构的预算业务主要包括预算编制、预算批复、预算执行、决算和绩效评价等环节。预算业务可分为收入预算与支出预算,也可分为财政预算与内部预算。
预算编制阶段的业务流程主要是各部门按照自己归口管理范围进行预算编制,各部门将预算上报到财务部门,财务部门进行汇总后,交单位负责人审批后,再上交上级单位。预算批复阶段的业务流程是上级单位将批复后的预算下达到单位,财务部门连通业务部门将预算指标进行分解。预算执行阶段的业务流程是各业务部门进行收支,财务部门进行会计记账。决算阶段的业务流程是财务部门对会计结果进行汇总,将财务报表上报。绩效评价阶段的业务流程是各业务部门对各自执行的项目进行绩效评价,财务部门出具经济绩效评价结果,并汇总结果上报。
(2)收入业务。Z药检机构的收入业务主要包括检验收费、技术服务收入、货款等。收入业务的业务流程主要是单位收款后,各部门确认收入,开具发票或汇缴证明,记账。
(3)支出业务。Z药检机构的支出业务的业务流程主要是各部门先申请资金支付(借款或报销业务),会计记账,最后出纳进行资金支付(支票、汇款、公务卡还款、无现金报账、现金支出)。
完整的收支流程还应包括银行对账、会计报表出具、会计档案保存。
2. 分析风险,确定风险点
(1)预算业务。在预算编制阶段的主要风险是:业务部门和财务部门缺乏沟通,预算编制不合理,导致业务活动与财务支持脱节,影响后续预算执行。预算编制阶段风险点:各部门沟通协调是否充分;预算编制与资产配置是否相结合;预算编制与具体工作是否相对应;预算编制与项目完成时间是否相一致。
在预算批复阶段的主要风险是:按照程序批复的预算在单位内部没有进行指标分解,单位预算调整和追加程序不规范。预算批复阶段风险点:预算批复指标分解是否下达到具体工作部门;预算调整程序是否规范;预算追加程序是否规范。
在预算执行环节的主要风险是:不按照预算规定的范围和标准开支,导致预算执行与预算指标不符,产生无预算支出、超预算支出,预算执行进度慢。预算执行环节风险点:是否在预算批复额度和开支范围内执行预算;预算执行是否符合国家政策;预算执行进度是否合理。
决算阶段的主要风险是:决算编报与单位原始数据不一致。决算阶段风险点:决算编报是否真实、完整、准确、及时。
(2)收入业务。收入业务的主要风险:未按收费许可规定的项目和标准征收;上缴国库的收款收入到非国库银行账号;合同收入的合同签订不准确。收入业务的风险点:收入是否实现归口管理;是否按规定时间向财务部门提供收入有关凭据。
(3)支出业务。支出业务的主要风险:支出事前审核不严;原始票据审核不严,存在使用虚假票据套取资金的风险;借款不还款,往来款变坏账;支出资金安全性;支出特殊项目科目是否合规安全。支出业务的风险点:支出是否与预算相符;是否符合国家要求的支出标准;原始票据是否真实、合法;支出是否与合同一致;往来款能否及时催收;支出大额资金是否有审批;支出特殊项目是否有归口管理部门管理。
(二)设计具体内部控制方案,采用相应的风险控制方法
1. 不相容岗位相分离
Z药检机构在财务部门内部将出纳岗与会计核算岗剥离,出纳岗与印章保管岗分离,会计核算岗也与会计档案保管岗、银行对账岗相分离。
在业务部门内部将业务申请人与业务审批人相分离。
纪检监察部门作为内部监督与各部门相独立。
2. 内部授权审批控制
Z药检机构对资金支出的管理是以项目管理的模式进行管理的。按照项目区分,每个项目设定项目负责人,项目支出由项目负责人审批。涉及归口管理部门的由归口管理部门负责人审批。涉及大额资金的,严格按照管理权限进行审批。
如果授权人无法实施审批,需要授权给他人的,必须将授权人本人签字的授权书在财务部门备案。
3. 归口管理
Z药检机构成立预算管理委员会,由财务部门牵头组织预算工作;对财务的审计监督,由纪检监督部门负责;政府采购由后勤服务部门负责办公用品和实验材料集中采购,由仪器设备管理部门负责办公仪器和实验仪器的集中采购,召开会议和培训由各组织部门按照政府采购名录自行抉择,但要提前一年上报会议计划,提前一个月上报会议预算;资产管理由仪器设备管理部门负责规章制度的制定,综合管理,实盘;合同管理由业务部门综合统管,负责参与合同的签订和相关活动,统一管理合同专用章和授权委托书,对合同履行实施有效控制。
4. 预算控制
Z药检机构加强预算管理,实现过程控制。
完善内部预算管理,设立预算管理工作小组,健全预算论证审批组织架构;制定《预算管理办法》,规范预算管理职责,明确预算编制内容,严格预算审批程序;专项预算实行归口管理、指标控制。
建立财务分析体系。按月发布预算执行简报,建立预算执行季度分析、年度财务分析制度,及时提供会计信息。
要按照预算批复的额度和规定的开支范围办理资金支付业务,对资金的使用形成了预算约束。政府采购也要先上报预算→后计划→再采购的流程,形成了预算对单位资产购置行为的约束。
实行会议费、培训费年度有计划,举办前要提交预算、执行中不得突破预算。
5. 会计控制
Z药检机构梳理现有财务制度,建立健全财务制度,制定财务部门服务公约;加强会计机构建设,配备相应资格能力的会计人员,从事会计记账工作的人员必须有从业资格证书;合理设置财务岗位,主要分为预、决算岗位,出纳岗位,支出核算岗位,收入核算岗位,银行对账和会计档案管理岗位,科研管理岗位,工资薪酬核算岗位;实行岗位责任制,确保各岗位权责明确,不相容岗位相分离;制定会计基础工作规范手册,明确工作责任,加强财务审核;每周固定一个下午的工作时间,专门拿出来对会计人员进行培训,将培训日常化,着力提高会计人员的职业道德和业务水平。
6. 单据控制
预算、决算方面主要通过留存领导审批签字、盖章后的报表;收入方面通过开具发票实现;支出方面,除劳务费、专家费要提交劳务费、专家费表由领取人亲笔签字领取外,都需要报销人提供原始发票;其中,材料费和办公费需要附明细;差旅费的报销需附出差审批单和会议通知;会议费的报销需附会议预算表、报销发票、举办地点提供的流水单,会议通知、签到表、会议现场照片等。
在单据控制中,会计档案保存是内部控制尤为重要的一环,按照新会计档案管理办法的要求和未来云审计的需要,对会计档案进行扫描,存储在网络,对目前的会计档案保存的安全性提出了新的挑战。
7. 信息内部公开
Z药检机构在内网搭建了财务信息平台,既发布国家财经政策也发布机构内部制定的财经制度,这些制度既对广大职工有培训宣传的意义,也同时作为收支业务控制的依据。财务信息平台还能提供银行收款情况供各部门认领收入,也提供项目经费查询功能和支出审批功能。项目负责人可以在平台上进行网上审批,也可以在平台上查询自己负责的项目的收支情况,与预算框架进行对比,了解项目经费执行进度和项目经费余额。
(三)根据国家有关规定建立健全单位各项内部管理制度
根据本单位实际和近期国家要求的重点进行了内部管理制度梳理,包括财务管理总制度,经费支出管理办法,出国经费管理办法,差旅费管理办法,会议费管理办法,公务接待费管理办法,公务卡管理办法,票据管理办法,暂借款管理办法,会计档案管理办法,固定资产管理办法,政府采购管理办法,基本建设项目财务管理办法等。
(四)信息系统架构,实现内控体系信息化
1. 信息系统基础
铺建信息系统首要是综合考虑信息系统网络运行环境,包括对硬件的要求,对操作系统的要求,对浏览器的要求等。
2. 信息系统的主要模块
采用网上预约报账系统实现网上报账;采用档案管理系统实现单据扫描上传和对电子单据的管理;采用无现金系统实现报销款项直接支付到经办人卡内;采用物流化报账系统实现报账单据的分配和状态记录,还可通过综合信息发布平台实现短信通知。
3. 在信息系统中固化流程
将网上审批归口管理部门梳理清楚,对大额资金审批进行限定,按照一般报销申请,借款申请,出国费申请,差旅费申请,劳务费、专家费申请,会议、培训费申请分为六类。
网上填报的业务在后台进行实时校验,根据业务流程实现相关部门的网上流程审批,保证申请通过的业务在财务核算系统中切实可行。
经办人选择报销业务类型,选择经费使用项目,填写报销金额,扫描上传原始单据,进入审批流程,经项目负责人审批后,系统自动冻结相应的项目额度。还需要归口管理部门审批的,进入归口管理负责人审批流程,需要大额资金审批的,进入大额资金审批人审批流程。审批完成的报销单,财务人员在财务系统可以读取并生成全部或部分会计凭证。
通过审核后,出纳人员可以进入无现金系统进行支付,报销款项直接支付到经办人卡内。综合信息发布平台可以将经费使用情况,往来催款,经费到款,项目执行进度,工资发放通知,报销流程进度发送到相关人员处。
二、建议
(一)自上而下,领导的支持是关键
内部控制很复杂,涉及到多个归口管理部门,不单单是财务一个部门的事情。建设单位内部控制,执行单位内部控制,对单位内部控制进行评价的过程,涉及预算业务、收支业务、政府采购业务、资产管理、建设项目、合同等各项经济业务,需要各部门进行沟通,协调,形成动态控制,长效机制。这些跨部门的协调沟通与合作,关键在于单位领导的重视和支持。
(二)解决信息孤岛问题是基础
完善的内部控制应建设一个覆盖全部门全流程,从预算审批到决算报表的信息系统。事业单位内部往往各部门各有信息系统,信息孤岛问题无法彻底解决。在这种情况下建造信息系统时首先要注意系统的运行环境,该信息系统与操作系统的适应度,与扫描仪、打印机、高拍仪的适应度,与银行系统的衔接情况。同时,建设系统时不但要满足现有业务需要,还要注重面向未来发展,给各个管理模块都留下未来可接入的端口。
(三)制度完善是支撑
相关制度中其实早有内部控制的要求,比如出国经费管理办法中对团组和预算审批的要求,以及开支控制的要求,但这些内控要求都分散在各个制度中。内部控制制度的建立健全及完善,既是对现有的一些制度的梳理、整合,也是对缺失或模糊脱节部分的明晰完善,实现管理制度的整合,衔接业务部门和财务部门的工作环节。
参考文献
[1]行政事业单位内部控制规范(试行)[EB/OL].
[2]财政部会计司.行政事业单位内部控制规范讲座[M].北京:经济科学出版社,2013-9.
因此,提升管理水平、加强风险控制纷纷提上大型国有企业的日程。建立健全内部控制体系已经被很多企业所接受,但内部控制体系成果的使用、固化和持续优化成为很多企业头疼的问题。目前市场上内部控制体系信息化成型软件不多,建立适合企业自身管理需要的内部控制体系信息化系统迫在眉睫。
从多年的实践经验,我认为在企业内部控制体系信息化建设中需注意以下四个方面的问题。
一是企业内部控制体系信息化建设必须是一把手工程。企业内部控制体系信息化建设与使用涉及公司各个部门及下属各个企业,工程浩大,规划长远。没有一把手的大力支持和推动,项目完成的成功率不大。
二是内部控制体系信息化建设应以创新的内部控制体系建设实施方案为基础。内部控制体系信息化只是一个工具,目的主要是为固化内部控制体系建设的成果并将成果进行落地。如果没有优异的内部控制体系建设成果,内部控制体系信息化建设再好,也没有管理的对象。
内部控制体系建设的有效开展需要正确的实施方案指导,只有在正确的方针指导下,才能使内部控制既符合法律法规的要求又贴合并融入公司的管理实践。为此,组建一个独立团队,对公司发展面临的机遇和挑战、内部管理的优势和劣势进行深入分析,并广泛借鉴其他公司内部控制建设的经验,认真研究,做好内部控制体系建设实施方案的顶层设计,才能为内部控制体系信息化建设工作打下坚实基础。
三是内部控制体系信息化建设应分段实施,持续优化。内部控制体系信息化建设工作至少要分两个阶段分步实施:第一阶段解决流程可视化及自动实现风险评估、内部控制评价工作;第二阶段解决自动实现流程与业务系统的关联,实现流程落地。第一阶段是夯实基础,第二阶段是管理提升。内部控制体系信息化建设根据管理需要,持续优化系统功能,必然成为提升企业管理的有效工具。
【内控信息管理系统】推荐阅读:
会计内控管理07-18
内控风险管理11-05
合同管理内控流程01-21
采购内控管理办法05-25
内控与风险管理07-19
11合同管理内控制度01-09
保险公司内控管理01-23
工程项目建设内控管理06-03
财务资金内控管理制度10-01
内控和风险管理办法11-02
