在“框架”下构建内控体系
文/谈未来
美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会在1985年联合创建反虚假财务报告委员会,并于1992年制定和发布了《内部控制整合框架》(以下简称“框架”)。此后该“框架”正式成为美国上市公司内部控制框架的参照性标准。
《内部控制整合框架》提出5个互相关联的组成要素,如图所示,分别是内部控制环境、风险评估与识别、控制活动和措施、信息和沟通、监督。
“内控环境”垫好基石
借鉴《内部控制整合框架》理论,江苏省常州市社保中心考虑精准定位内控管理目标——保证管理服务的效率和效果;有效防范基金运行风险;确保相关法律法规和政策要求能严格执行。因此,在全面准确理解内控各项要求的基础上,针对工作实际,把加强基金管理、防范基金管理风险放在更加突出的位置,并抓好落实。
“内部控制环境”的理论概念:内部控制环境能够确定管理者的观念,对员工的内控意识产生较大影响。它包括组织人员的诚实、伦理价值和能力;管理层理念和经营模式;管理层分配权限和责任,以及组织、发展员工的方式;人员配备的规划和人事机制的程序;监督部门和管理部门的参与。内部控制环境是体系的基石,能够影响到内部控制制度的实施、企业经营目标和整体战略目标的实现。延展到社会保险层面,经过多年发展,社保系统自上而下出台了多套内控相关文件,包括《社会保险经办机构内部控制暂行办法》《社会保险经办机构内部控制检查评估暂行办法》《江苏省社会保险经办机构内部控制暂行办法》等,政策层面的支持,是社保经办机构内控建设的原动力。
在此基础上,常州市社保中心(以下简称常州或中心)首先从思想意识入手,改习惯为制度,变经验为程序,树立风险管理观念,建立责任追究制度,形成制度约束,使单位内部每一位工作人员都能明确内部控制对于社会保险工作的意义。同时进一步转变社会保险内部控制观念,由以往的资产管理控制向资产风险、道德风险方向转变,由事后检查向提前预警转变,由防范业务操作风险向防范道德风险转变。根据《常州市社会保险基金管理中心内设机构职能(试行)》的规定,常州市本级设置了18个科室,其中包括单独的内审科室,配备了专业人员承担内审及内控职能。确保各科室间相互配合,相互制约,实行岗位职责分离和层层把关制度,各部门间的业务信息传递、反馈、监控流程明确,做到业务运行、基金财务、稽核监督等不同职务工作人员不相互兼职。需要说明的是,后续内控系统建设还应强调系统的实用性和可操作性,确保内控系统能适应社保政策、业务经办等情况变化,并能进行扩展,既支持未来的功能完善与调整,也适应短期内各种新的政策参数的系统调整支持,保持内控系统的可持续发展。
“风险评估”形成依据
钩藤种植3年即可采收,第1年的投入为种苗、土地整治、肥料农药、人工管护等方面,第2~3年为人工管护、肥料等方面,每亩投入1 500~2 000元,第3年丰产期及以后每年产值可达6 000~8 000元/亩,可以持续采收20年以上,具有较好的经济效益。
《内部控制整合框架》理论显示:控制活动是确保制度及管理指令得以执行的措施和程序,它贯穿组织内的各级别和职能部门,包括审批、权限、复核、岗位制衡等措施,分为预防性控制、检查性控制、人工控制、计算机控制和管理层控制等类型。主要内容包括控制现状描述与分析、建立关键流程事项控制、建立内部控制活动制度体系。
PFC
受该理论启发,中心制定了内控制度和业务经办流程,对业务经办工作进行了细化。明确责任,做到基金收缴、待遇支付、财务核算、运行监管整体推进,建立了领导授权控制制度,明确授权范围、批准方式、权限、程序和责任等。为确保优化业务流程工作制度化、规范化、标准化,形成《业务流程手册(基础版)》,全书分上下两册,收录251项业务流程,对外公布248项(最终印刷稿)。该手册涵盖职工基本养老保险、职工基本医疗保险、工伤保险、生育保险、居民养老保险、居民医疗保险等险种的业务经办,明确了各险种经办业务的操作规程,规范了业务审核制度,对业务经办的权限和初审、复核等作出规定,对业务经办的风险进行了有效识别和管控。为推进流程管理的长效化,配套出台了《常州市社会保险基金管理中心业务规范流程文件管理办法》,建立了业务流程的长效化管理机制。梳理发布一套办事指南,将所有面向服务对象的办事事项逐项编制办事指南,梳理发布共15个类别85项对外办事指南,对外公布82项,统一在常州社保微信平台向公众发布。
在内部风险控制方面,为进一步夯实社保经办标准化建设的基石,提升经办风险防范水平,常州基于“金保工程与社会保险核心平台三版”上线后社保业务流程有所调整的情况,全面梳理了业务流程、经办层级、经办模式、各业务环节风险点。2018年,中心基于《业务流程手册》(基础版)形成《业务流程、经办权限和风险点控制表》,共收录了按全程网办、窗口(现场)办理、“网上申报+现场校核”分类的各类经办流程242项;各业务环节风险点及控制方法372项。明确各业务环节、经办权限、业务经办方式、业务经办层级。
据此,中心通过先进的网络、软件等技术把内控流程化、技术化,从而提高管理效率、降低管理成本,充分发挥内控作用,使内控从制度层面落实到执行层面。2018年,常州借“金保核三系统”上线之机,大力推进业务内控一体化建设,正式上线运行内控信息管理系统。该系统搭建内控信息化模块,根据业务规则设计社保内部风险控制模块规则,共设置9条规则(8条事后规则,1条事前、事中预警规则)。优化数据逻辑规则,有效提高内控检查的效率,加强内控监督的精确化管理。将业务经办风险防范措施植入系统程序,以发挥监控作用。通过对前后台业务数据的自动监控发现隐患、梳理风险、预警与提示风险,对业务经办过程实现事前事中事后、信息化、规范化的全程监督管理,实现现场监督向非现场监督模式转变,进一步提升风险管控效率。同时,2018年1月正式上线业务财务一体化系统,做到业务、财务数据的实时传递,数据自动比对,金保库与银行端口自动对接,降低人工干预的风险,实现 “就源输入、数出一源”。
“控制活动”贯穿全程
将该理论移植到社保领域,并考虑社保政策的复杂性、多变性、经办机构工作人员的编制和专业素质等,常州市社保中心采取内外结合、上下联动的方式开展风险评估工作。
在外部风险控制方面,外聘第三方专业风险评估机构,对社保经办的风险进行识别、分类、管理。比如2017年聘请了上海立信锐思咨询公司,作为第三方服务机构对中心开展风险评估工作。该项工作历时两个月,形成了风险案例库、风险数据库、风险评估报告3项成果,达到了预期的目的。采取了定义风险等级、建立评价体系、确立评价指标等专业方法,结合社会保险基金运行特点,关联风险发生的频率、风险发生的影响程度、风险来源的内外部区别,用维度分析法将各类风险量化评估,并结合《社保基金内部控制暂行办法》,按照组织机构控制、业务运行控制、基金财务控制、内部制度控制、信息系统控制这5大类进行梳理,共计梳理出各类潜在风险119项,从固有风险和剩余风险两个方面进行评估,客观分析评估目前的风险管控状况,对于风险应对中存在的不足,提出改进建议。形成风险数据库后,征求各科室意见,现场沟通后进行完善。同时,基于前期风险案例调查问卷及风险评估结果,整理出风险案例库,在风险数据库及风险案例库的基础上编制形成了风险评估报告。
早在2011年5月,麦肯锡咨询公司(M从kin色诱安戴Company)发布了《Big data:The next frontier for innovation.competition, and Productivity(大数据:创新、竞争和产生力的下一个前沿领域)》报告[8]。所以大数据是海量数据和复杂类型的结合体,包括分析、带宽和内容三大要素,它的核心要素是蕴含价值[9]。
常州认为,内控管理发展到一定程度,要想充分发挥内控的作用、实现内控的目标,就必须提高技术层面与制度、政策层面的相互补充。内控信息化的建设,就是内控技术层面的体现。内部控制信息化在社保内控框架中起着承上启下的作用,社保经办机构的风险评估、控制与监督均依靠高质量的内部控制信息。
根据《内部控制整合框架》理论,风险评估是确认和研究“组织”在运行的各个环节中的风险,是形成管理风险的依据。由于组织外部环境不断变化,需要建立风险管理长效机制,制定风险识别和评估等级规则,并能及时发现风险。主要内容包括:梳理描述业务流程、明确重要会计科目和披露事项、确定重要事项和业务单位、明确重要的业务流程、对重要业务流程进行风险评估、建立风险评估动态机制。
信息沟通提升能效
在《内部控制整合框架》下,信息与沟通的概念是:信息系统处理的信息包括内部生成的数据,也包括可用于经营决策的外部事件、活动、状况的信息和外部报告。组织要能够实现有效沟通,自上而下及自下而上的双向沟通均要畅通,管理层能够有效传达指令,员工能够及时明白地收到信息、对于发现的问题能够及时反馈。
中心2018年出台《关于进一步加强常州市市本级社保业务条线内控管理的通知》,明确了各科室、区经办机构、各人社基层平台的职责,通过条线对接、分级实施、层层监督等方式,对市本级和各区社保经办机构、街道(镇)和社区(村)等人社基层平台受理经办的社保业务事项进行风险内控检查,逐步建全市本级社保经办风险内控体系。
内控评价也是内审优化社保经办机构自我监督机制的一项重要制度安排,与内控的建立和实施构成有机循环。常州市社保中心一方面持续推进,有序抓实内审工作,如出台年度内控实施方案;开展对办公室、企保科等6个科室的内部专项审计;对既往年度内审、委托第三方风险评估整改情况进行回头看,跟踪落实内审整改意见;认真落实《社会保险基金网上监管工作流程》,有序开展网上基金监督工作。另一方面立足提升,不断完善内审机制:着力开展重大经费专项审计工作,对3项重大项目进行了事后内部审计,对1项重大项目进行了事前、事中、事后跟踪审计,在实践中摸索并建立一套符合实际的事前、事中、事后全过程的内部审计制度。
持续监督抓实内审
根据《内部控制整合框架》理论,监督就是在经营过程中,通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控,来评价系统运作的质量。它包括:持续监督,建立内控体系维护与管理制度,保证内控体系运行的有效性;建立内控测试标准,持续监控内控体系的有效性;定期内审,公司内控部门定期对内控系统进行审核,关注系统的有效性;缺陷报告,对于内部控制的缺陷要及时向上级报告,严重的问题要报告到最高管理层。
在评价过程中需要消除评价指标间的相关性,并进行降维。本文根据研究时间的有限性及数据的可得性,对青岛市78家医养结合型养老服务机构数据进行因子分析,将评价指标进行降维。
通过研究这一理论,常州认为,内控评价是内审优化社保经办机构内部自我监督机制的一项重要制度安排,它与内控的建立和实施构成有机循环。
医生说我是习惯性流产,非常麻烦。婆婆每天守在我身边照顾我,给我调理身体。这时有人在背后挑拨我们的婆媳关系,婆婆都毫不犹豫地巧妙回避了,还一再劝我放宽心。
凌薇是早上被殡仪馆的工作人员发现的,据说那时她浑身是血,全身的骨头跟散了架似的,却还喘着一口气。但是失血过多加上头部受到撞击,医院已经宣布了凌薇脑死亡。也就是说,凌薇以后就是一个活死人了。
作者单位:江苏省常州市社保中心
标签:社保经办机构论文; 社保中心论文; 常州市论文; 社会保险基金管理论文; 内控体系论文; 江苏省常州市社保中心论文;