在“框架”下構建內控體系

■文／談未來

美國注冊會計師協會、美國會計協會、財務經理人協會、內部審計師協會、管理會計師協會在1985年聯合創建反虛假財務報告委員會，并于1992年制定和發布了《內部控制整合框架》（以下簡稱“框架”）。此后該“框架”正式成為美國上市公司內部控制框架的參照性標準。

《內部控制整合框架》提出5個互相關聯的組成要素，如圖所示，分別是內部控制環境、風險評估與識別、控制活動和措施、信息和溝通、監督。

“內控環境”墊好基石

借鑒《內部控制整合框架》理論，江蘇省常州市社保中心考慮精準定位內控管理目標——保證管理服務的效率和效果；有效防范基金運行風險；確保相關法律法規和政策要求能嚴格執行。因此，在全面準確理解內控各項要求的基礎上，針對工作實際，把加強基金管理、防范基金管理風險放在更加突出的位置，并抓好落實。

“內部控制環境”的理論概念：內部控制環境能夠確定管理者的觀念，對員工的內控意識產生較大影響。它包括組織人員的誠實、倫理價值和能力；管理層理念和經營模式；管理層分配權限和責任，以及組織、發展員工的方式；人員配備的規劃和人事機制的程序；監督部門和管理部門的參與。內部控制環境是體系的基石，能夠影響到內部控制制度的實施、企業經營目標和整體戰略目標的實現。延展到社會保險層面，經過多年發展，社保系統自上而下出臺了多套內控相關文件，包括《社會保險經辦機構內部控制暫行辦法》《社會保險經辦機構內部控制檢查評估暫行辦法》《江蘇省社會保險經辦機構內部控制暫行辦法》等，政策層面的支持，是社保經辦機構內控建設的原動力。

在此基礎上，常州市社保中心（以下簡稱常州或中心）首先從思想意識入手，改習慣為制度，變經驗為程序，樹立風險管理觀念，建立責任追究制度，形成制度約束，使單位內部每一位工作人員都能明確內部控制對于社會保險工作的意義。同時進一步轉變社會保險內部控制觀念，由以往的資產管理控制向資產風險、道德風險方向轉變，由事后檢查向提前預警轉變，由防范業務操作風險向防范道德風險轉變。根據《常州市社會保險基金管理中心內設機構職能（試行）》的規定，常州市本級設置了18個科室，其中包括單獨的內審科室，配備了專業人員承擔內審及內控職能。確保各科室間相互配合，相互制約，實行崗位職責分離和層層把關制度，各部門間的業務信息傳遞、反饋、監控流程明確，做到業務運行、基金財務、稽核監督等不同職務工作人員不相互兼職。需要說明的是，后續內控系統建設還應強調系統的實用性和可操作性，確保內控系統能適應社保政策、業務經辦等情況變化，并能進行擴展，既支持未來的功能完善與調整，也適應短期內各種新的政策參數的系統調整支持，保持內控系統的可持續發展。

“風險評估”形成依據

根據《內部控制整合框架》理論，風險評估是確認和研究“組織”在運行的各個環節中的風險，是形成管理風險的依據。由于組織外部環境不斷變化，需要建立風險管理長效機制，制定風險識別和評估等級規則，并能及時發現風險。主要內容包括：梳理描述業務流程、明確重要會計科目和披露事項、確定重要事項和業務單位、明確重要的業務流程、對重要業務流程進行風險評估、建立風險評估動態機制。

將該理論移植到社保領域，并考慮社保政策的復雜性、多變性、經辦機構工作人員的編制和專業素質等，常州市社保中心采取內外結合、上下聯動的方式開展風險評估工作。

PFC

在外部風險控制方面，外聘第三方專業風險評估機構，對社保經辦的風險進行識別、分類、管理。比如2017年聘請了上海立信銳思咨詢公司，作為第三方服務機構對中心開展風險評估工作。該項工作歷時兩個月，形成了風險案例庫、風險數據庫、風險評估報告3項成果，達到了預期的目的。采取了定義風險等級、建立評價體系、確立評價指標等專業方法，結合社會保險基金運行特點，關聯風險發生的頻率、風險發生的影響程度、風險來源的內外部區別，用維度分析法將各類風險量化評估，并結合《社保基金內部控制暫行辦法》，按照組織機構控制、業務運行控制、基金財務控制、內部制度控制、信息系統控制這5大類進行梳理，共計梳理出各類潛在風險119項，從固有風險和剩余風險兩個方面進行評估，客觀分析評估目前的風險管控狀況，對于風險應對中存在的不足，提出改進建議。形成風險數據庫后，征求各科室意見，現場溝通后進行完善。同時，基于前期風險案例調查問卷及風險評估結果，整理出風險案例庫，在風險數據庫及風險案例庫的基礎上編制形成了風險評估報告。

在內部風險控制方面，為進一步夯實社保經辦標準化建設的基石，提升經辦風險防范水平，常州基于“金保工程與社會保險核心平臺三版”上線后社保業務流程有所調整的情況，全面梳理了業務流程、經辦層級、經辦模式、各業務環節風險點。2018年，中心基于《業務流程手冊》（基礎版）形成《業務流程、經辦權限和風險點控制表》，共收錄了按全程網辦、窗口（現場）辦理、“網上申報+現場校核”分類的各類經辦流程242項；各業務環節風險點及控制方法372項。明確各業務環節、經辦權限、業務經辦方式、業務經辦層級。

內控評價也是內審優化社保經辦機構自我監督機制的一項重要制度安排，與內控的建立和實施構成有機循環。常州市社保中心一方面持續推進，有序抓實內審工作，如出臺年度內控實施方案；開展對辦公室、企保科等6個科室的內部專項審計；對既往年度內審、委托第三方風險評估整改情況進行回頭看，跟蹤落實內審整改意見；認真落實《社會保險基金網上監管工作流程》，有序開展網上基金監督工作。另一方面立足提升，不斷完善內審機制：著力開展重大經費專項審計工作，對3項重大項目進行了事后內部審計，對1項重大項目進行了事前、事中、事后跟蹤審計，在實踐中摸索并建立一套符合實際的事前、事中、事后全過程的內部審計制度。

“控制活動”貫穿全程

《內部控制整合框架》理論顯示：控制活動是確保制度及管理指令得以執行的措施和程序，它貫穿組織內的各級別和職能部門，包括審批、權限、復核、崗位制衡等措施，分為預防性控制、檢查性控制、人工控制、計算機控制和管理層控制等類型。主要內容包括控制現狀描述與分析、建立關鍵流程事項控制、建立內部控制活動制度體系。

受該理論啟發，中心制定了內控制度和業務經辦流程，對業務經辦工作進行了細化。明確責任，做到基金收繳、待遇支付、財務核算、運行監管整體推進，建立了領導授權控制制度，明確授權范圍、批準方式、權限、程序和責任等。為確保優化業務流程工作制度化、規范化、標準化，形成《業務流程手冊（基礎版）》，全書分上下兩冊，收錄251項業務流程，對外公布248項（最終印刷稿）。該手冊涵蓋職工基本養老保險、職工基本醫療保險、工傷保險、生育保險、居民養老保險、居民醫療保險等險種的業務經辦，明確了各險種經辦業務的操作規程，規范了業務審核制度，對業務經辦的權限和初審、復核等作出規定，對業務經辦的風險進行了有效識別和管控。為推進流程管理的長效化，配套出臺了《常州市社會保險基金管理中心業務規范流程文件管理辦法》，建立了業務流程的長效化管理機制。梳理發布一套辦事指南，將所有面向服務對象的辦事事項逐項編制辦事指南，梳理發布共15個類別85項對外辦事指南，對外公布82項，統一在常州社保微信平臺向公眾發布。

中心2018年出臺《關于進一步加強常州市市本級社保業務條線內控管理的通知》，明確了各科室、區經辦機構、各人社基層平臺的職責，通過條線對接、分級實施、層層監督等方式，對市本級和各區社保經辦機構、街道（鎮）和社區（村）等人社基層平臺受理經辦的社保業務事項進行風險內控檢查，逐步建全市本級社保經辦風險內控體系。

信息溝通提升能效

在《內部控制整合框架》下，信息與溝通的概念是：信息系統處理的信息包括內部生成的數據，也包括可用于經營決策的外部事件、活動、狀況的信息和外部報告。組織要能夠實現有效溝通，自上而下及自下而上的雙向溝通均要暢通，管理層能夠有效傳達指令，員工能夠及時明白地收到信息、對于發現的問題能夠及時反饋。

常州認為，內控管理發展到一定程度，要想充分發揮內控的作用、實現內控的目標，就必須提高技術層面與制度、政策層面的相互補充。內控信息化的建設，就是內控技術層面的體現。內部控制信息化在社保內控框架中起著承上啟下的作用，社保經辦機構的風險評估、控制與監督均依靠高質量的內部控制信息。

據此，中心通過先進的網絡、軟件等技術把內控流程化、技術化，從而提高管理效率、降低管理成本，充分發揮內控作用，使內控從制度層面落實到執行層面。2018年，常州借“金保核三系統”上線之機，大力推進業務內控一體化建設，正式上線運行內控信息管理系統。該系統搭建內控信息化模塊，根據業務規則設計社保內部風險控制模塊規則，共設置9條規則（8條事后規則，1條事前、事中預警規則）。優化數據邏輯規則，有效提高內控檢查的效率，加強內控監督的精確化管理。將業務經辦風險防范措施植入系統程序，以發揮監控作用。通過對前后臺業務數據的自動監控發現隱患、梳理風險、預警與提示風險，對業務經辦過程實現事前事中事后、信息化、規范化的全程監督管理，實現現場監督向非現場監督模式轉變，進一步提升風險管控效率。同時，2018年1月正式上線業務財務一體化系統，做到業務、財務數據的實時傳遞，數據自動比對，金保庫與銀行端口自動對接，降低人工干預的風險，實現 “就源輸入、數出一源”。

持續監督抓實內審

根據《內部控制整合框架》理論，監督就是在經營過程中，通過對正常的管理和控制活動以及員工執行職責過程中的活動進行監控，來評價系統運作的質量。它包括：持續監督，建立內控體系維護與管理制度，保證內控體系運行的有效性；建立內控測試標準，持續監控內控體系的有效性；定期內審，公司內控部門定期對內控系統進行審核，關注系統的有效性；缺陷報告，對于內部控制的缺陷要及時向上級報告，嚴重的問題要報告到最高管理層。

通過研究這一理論，常州認為，內控評價是內審優化社保經辦機構內部自我監督機制的一項重要制度安排，它與內控的建立和實施構成有機循環。■