关于2017年最新内部控制工作的问题意见和建议

1 / 39 关于 2017年最新内部控制工作的问题意见和建议 为了进一步推进我省会计管理工作的民主化和科学化，充分利用社会科研机构和专家学者等高层次智力资源，加强财政会计智库建设，下面是小编为大家推荐的关于内部控制工作的问题，希望能够帮助到你，欢迎大家的阅读参考。 关于 2017 年最新内部控制工作的问题意见和建议 一、财务审计报告中无法表示意见的事项 (一 )如财务报表附注十二 (三 )所述： 2016 年 4 月 16 日，烯碳新材公司以资产包的方式将其持有连 云港丽港烯土实业有限公司 40%的股权，以及与 2016 年烯碳新材受让该股 权相关的权利义务，包括连云港 丽港烯土实业有限公司股东承诺的业绩补偿等转让给辽宁融川融资租赁股份有限公司，对于此项股权转 让，我们实施了检查文件、工商查档等必要的审计程序，但由于审计证据之间存在相互矛盾以及不确定性，我们无法确认股权转让的真实性，及其对烯碳新材公司的财务状况和经营成果的影响。 (二 )如财务报表附注十二 (四 )所述： 2016年 12月 30日，烯碳新材公司通过与其全资子公司宁波 杭州湾新区炭基新材料有限公司签订没有实际执行的高纯石墨的购销合同 (合同金额为亿元，签订日 2 / 39 期为 2016 年 11 月 24 日 )，从 葫芦岛银行股份有限公司沈阳皇姑支行开具亿元银行承兑汇票，该事项违反 了中华人民共和国票据法的相关规定，我们无法获取充分、适当的审计证据以合理判断该事项对烯碳 新材公司财务状况和经营成果的影响。 (三 )如财务报表附注十二 (五 )所述： 2016年 12月 30日，烯碳新材公司全资子公司北京银新投资 有限公司与合作方成立了 2 家基金公司 (杭州厚长烯碳股权投资合伙企业 (有限合伙 )、上海瑞有德烯投 资管理中心 (有限合伙 )和 1家租赁公司 (西华碳汇融资租赁 (天津 )有限公司 )，认缴出资额分别为 13,500 万元、 13,000 万元、 18,000 万元，占各公司注册资本的实际比例分别为 %、 20%、 18%，由于缺少相关的文件和财务资料，我们无法实施进一步审计程序，确认上述款项的真实性质，及其对烯碳新材公司的财务状况和经营成果的影响。 二、导致内控否定意见的事项 1、烯碳新材公司存在重大项目的投资决策管理不到位情况。 (1)西华碳汇融资租赁 (天津 )有限公司 2016 年 11 月 10 日，烯碳新材公司与天津及香港某公司签订西华碳汇融资租赁 (天津 )有限公司合同，约定共同3 / 39 出资设立西华碳汇融资租赁 (天津 )有限公司，公司注册资本10 亿元。烯碳新材公 司认缴出资亿元，占注册资本的 18%。2016 年 12 月 18 日，烯碳新材公司出具关于同意设立碳汇融资租赁公司的意见文件，文件签署人为董事长及总裁，未见其他董事签字。 2016 年 12 月 25 日，西华碳汇融资租赁(天津 )有限公司经天津市人民政府批准设立，并领取 “ 商外资津台港澳侨字【 2016】 0197 号中华人民共和国台港澳侨投资企业批准证书 ” ，烯碳新材公司为其股东之一，出资金额亿元，占注册资本的 18%。 (2)上海瑞有德投资管理中心 (有限合伙 ) 烯碳新材公司全资子公司北京银新投资有限公司与某两家投资公司签订上海瑞有 德投资管理中心 (有限合伙 )之合伙协议，约定共同出资设立上海瑞有德投资管理中心 (有限合伙 )，合伙企业募集资金规模为亿元，其中北京银新投资有限公司出资亿元，占合伙企业出资比例为 %。此合同未写明签署日期，无各出资方授权代表签字。 2016 年 12 月 7日，上述投资经公司总裁及董事长批准，未见其他董事签字。2016 年 12 月 9 日，上海瑞有德投资管理中心 (有限合伙 )经上海市浦东新区市场监督管理局批准设立，并领取编号为15000000201612090840 号营业执照。 (3)杭州厚长烯碳股权投资合伙企业 (有限合伙 ) 2016 年 12 月 4 日，经烯碳新材公司全资子公司北京银4 / 39 新投资有限公司金融事业部报批，总裁与董事长批准，拟以北京银新投资有限公司为主体联合三家公司共同设立杭州厚长烯碳股权投资合伙企业 (有限合伙 )，北京银新投资有限公司作为有限合伙人，不参与新设合伙企业的执行管理事务，基金规模不超过 10 亿元，其中北京银新投资出资亿元，占企业出资比例的 %。该投资无其他董事签字批准。 2016 年12 月 7 日，经杭州高新技术产业开发区 (滨江 )市场监督管理局批准，设立杭州厚长烯碳股权投资合伙企业 (有限合伙 )，并取得编号为 91330108营业执照。 2、烯碳新材公司存在利用无真实交易的合同从银行开具票据进行融资贴现的情况，并且该融资行为未对外进行公告。 2016 年 12 月 30 日，烯碳新材公司通过与其全资子公司宁波杭州湾新区炭基新材料有限公司签订没有实际执行的高纯石墨的购销合同，从银行开具亿元银行承兑汇票，该事项涉嫌违反中华人民共和国票据法等相关法规规定。 3、烯碳新材公司在确认房地产收入时，未按确定的方法及时准确地确认收入和结转成本，导致部分房屋及车库收入存在跨期现象。 烯碳新材公司子公司沈阳银基置业有限公司的银河丽湾项目，其 17 号楼于 2016 年已经销售并且达到收入确认条件的 17#117#117#117#1 门、 17#2 门、5 / 39 17#3 门、 17#5 门、 17#8 门、 17 甲号 20#房屋和全部车库的收入均未在 2016 年结转相应的收入成本。 烯碳新材公司尚未在 2016 年完成对上述内部控制重大缺陷的整改工作，但在编制本年度财务报表时已对这些可能存在的会计差错予以关注，但是由于审计时间紧张，部分问题未进行纠正。 关于 2017 年最新内部控制工作的问题意见和建议 日前，我们采用内容分析法作为分析工具 ,对近二年来南 京市卫生系统 10 家市直属公立医院的审计报告进行了整理、归纳 ,并作出统计分析。结果发现涉及财务会计内部控制占72%;涉及业务管理内部控制占 18%，分属在财务收支、货币资金、资产物资的管理、领导干部的经济责任、经济效益评价、基建维修工程、经济合同、内控制度、设备购置及效益、专项审计调查、风险管理、社会责任、科研基金等各类审计项目中。其中，把内部控制审计作为独立项目审计的仅仅占7%。且大部分审计报告对内控制度评价泛泛而论，就事论事，评价标准不明确或不具体，或者在审计报告中只谈内部控制制度的问题，避免直接作出评价。 这样，虽然也进行了内部控制审计，但远没有达到应有的审计效果。究其原因，我们认为，目前我国企业内部控制规范体系基本建成，而公立医院部门内部控制规范体系却尚属空白。为使公立医院内部控制审计得到深入开展，并取得实效，建立公立医院内部控制6 / 39 规范体系显然成为突破点。 近年来，国家出台了一系列政策，来大力推进公立医院的改革速度，取得了一定成效。但也应看到公立医院当前还存在着一些比较突出的矛盾和问题。比如，逐利机制还未完全破除，普遍存在追求床位规模、竞相购置大型设备、忽视医院内部机制建设等粗放式发展问题，医患关系矛盾仍很突出，医疗腐败事件层出不穷等。这些矛盾和问题，既有客观外因，又有主观内因。为此，国务院办公厅印发的关于城市公立医院综合改革试点的指导意见指出，公立医院改革重点任务之一是改革公立医院管理体制，建立现代医院管理制度。这就从另一方面也提出了必须要建立一套科学完善的内部控制规范体系，以防范控制风险，提升管理水平。 借鉴企业经验，根据公立医院的特点，建立公立医院内部控制规范体系，我们认为必须首先明确公立医院内部控制的概念、目标、原则，以统一公立医院内部控制审计评价目标和标准，促进公立医院内部控制审计纵向深入，横向拓 展。同时，内部审计是内部控制重要的监督评价机制之一，对内部控制的建设具有监督评价、咨询建议与信息沟通作用。通过审查和评价内部控制设计和运行的有效性，可以促进内部控制的构建完善与有效执行，起到规范管理，化解风险，实现组织战略目标，完成促进组织增值的责任。 一、公立医院内部控制的概念 7 / 39 公立医院内部控制是内部控制要素与过程的统一。从静态上讲，内部控制是指公立医院为履行医疗服务职能、实现总体目标而建立的保障系统，该系统由内部控制环境、风险评估、内部控制活动、信息与沟通和内部监督等要素组成，并体现为管理控制和会计控制 系统融为一体的组织管理结构、政策、程序和措施 ; 从动态上说，内部控制是公立医院为履行医疗服务职能、实现总体目标而应对风险的自我约束和规范的过程。我们在参考 2016 年 1 月 1 日起施行的财政部制定的行政事业单位内部控制规范 (试行 )第三条 “ 本规范所称内部控制，是指单位为实现控制目标，通过制定制度、实施措施和执行程序，对经济活动的风险进行防范和管控。 ” 理解的基础上，给出我国公立医院部门内部控制的定义 : 公立医院的内部控制是指为了履行医疗服务职能，保护医院资产的安全和完整，保证财务收支合法和会计信息真实、完整，纠正 错误与舞弊，防范和管控风险，以提高社会效益和经济效益为目的而制定、实施和执行的各种制度、措施和程序的总称。需要明确的是，公立医院部门内部控制，是指由医院领导层和全体员工共同实施的、旨在实现控制目标的过程。 二、公立医院内部控制的目标 内部控制的目标是构建公立医院内部控制规范体系的起点和核心，也是内部控制审计的目标和依据。结合企业内8 / 39 控经验，按照行政事业单位内部控制规范 (试行 )的要求，根据公立医院的特点，我们认为，公立医院内部控制的目标是 :保证公立医院运营管理合法合规、提供公平公正安全的医疗服务、真实完整的 会计报告及相关信息、合理高效的资产资金使用效率和效果，促进防范和控制风险，确保公立医院发展战略的实现。 (一 )合理保证公立医院的运营管理合法合规 该目标与符合相关的法律法规有关，强调公立医院要在法律法规允许的范围内运营管理，严禁违法违规行为的发生。该目标是公立医院内部控制最基本的目标，是其他目标存在的前提和基础。公立医院是政府出资举办的，其运营管理活动必须符合各级政府相关的法律法规，通常情况下还要采取通过制定制度、实施措施和执行程序来保证其运营活动合法合规。适用的法律法规确定了其最低的行为准则，公立医院必须 将合法合规目标纳入内部控制目标之中。 (二 )合理保证公立医院的医疗服务公平公正安全 该目标与公立医院提供的专业服务的合理性有关。公平强调服务上 “ 一视同仁 ” 和医疗标准的 “ 同一个尺度 ” ，具有明显的工具性，用以防止医护人员执业中的双重标准或多重标准 ; 公正强调医疗资源分配时每个人得其所应得，所涉及的对象是医疗资源，主要是患者权利和义务 ;安全强调医疗技术科学，其实施过程和效果能得到患者和行业标准的认9 / 39 可。公平公正安全目标的含义是 : 公立医院能平等地对待各服务主体，运用科学标准的服务技术和手段，将医疗资源合理地分配给各 服务主体，并使他们满意，且达到专业标准的认可。公立医院只有将公平公正安全目标纳入内部控制目标之中，才能缓解医患关系的紧张，使其回归 “ 胜似亲人 ” 的关系本位。 (三 )合理保证公立医院的会计报告及相关信息真实完整 该目标与会计报告和相关信息的可靠性有关，强调公立医院要提供真实可靠的会计报告和相关信息给利益相关方。会计报告和相关信息反映了公立医院的运行管理情况和预算的执行情况，是公立医院财务信息的主要载体。同时，会计报告及相关信息作为社会公共产品，完整地反映了公立医院履行社会责任的情况，是公立医院借以解除受托责任的 主要依据。另外，由于公立医院的特殊性和利益相关者的高度依赖性，更加突出了公立医院会计报告和相关信息的重要性。因此，公立医院必须要合理保证会计报告和相关信息的真实完整，客观地反映的运行管理情况和预算的执行情况，为政府医疗政策的决策提供可靠依据，也为其解除受托责任提供依据。公立医院编制的报告既是管理的一种要求，也是一种有效的监督机制，有利于公立医院履行服务职责，完成工作任务，代政府向社会提供高效优质的医疗服务产品。 10 / 39 (四 )提高资产资金的使用效率和效果 该目标强调财政、自有资金及所配属或购置的资产的使用效率和效果 ，包括保证它们的保值增值安全。该目标与成熟先进的管理理念和专业技术方法、最新的医疗科学技术水平的发展，尤其是信息技术，以及科学有效的机制和体制密切相关，是实现公立医院发展战略的落脚点。需要指出的是，该目标不仅仅指提高资产资金的使用效率和效果，也包括提高公立医院整体运营管理的效率和效果。这其中预算管理最为重要。从公立医院受托责任的意义上说，预算管理反映了公立医院活动的范围和内容，是公立医院根据内外部环境、政府要求和社会发展目标，及自身的生存和发展的状况，筹集、分配与监督预算资金的管理活动，是公立医院筹集和使用 政府财政资金和自有资金的重要分配杠杆，是公立医院实现其服务职能的重要工具。因此，公立医院整体运营管理的效率和效果最终都体现在资产资金的使用效率和效果上。 (五 )防范控制风险促进公立医院实现发展战略 发展战略是对公立医院整体运营管理活动预期取得的主要成果的期望值，是公立医院服务职能和办医宗旨的展开和具体化，是办医宗旨中确认的服务目的、社会责任的进一步阐明和界定，也是公立医院在既定的服务职能领域展开活动所要达到水平的具体规定。该目标与公立医院的服务水平和中长期规划相关，是公立医院内部控制的最高目标和终极11 / 39 目标，属 于公立医院治理层次的目标。比如说全国医疗卫生服务体系规划纲要 (2016 2020 年 )指出，今后公立医院要服从于 “ 促进我国医疗卫生资源进一步优化配置，提高服务可及性、能力和资源利用效率，指导各地科学、合理地制订实施区域卫生规划和医疗机构设置规划 ” 这一国家医疗卫生服务体系整体规划，发挥我国医疗服务体系的主体作用，坚持维护公益性，充分发挥其在基本医疗服务提供、急危重症和疑难病症诊疗等方面的骨干作用，承担医疗卫生机构人才培养、医学科研、医疗教学等任务，承担法定和政府指定的公共卫生服务、突发事件紧急医疗救援、援外 、国防卫生动员、支农、支边和支援社区等任务，这就是公立医院的发展战略。各公立医院根据战略要求，结合自身特点，制订组织目标。而内部控制的具体目标是由组织的目标决定的。公立医院的组织目标是有效地履行公立医院服务职能，积极防范控制风险，完成公立医院的发展战略。因此，其内部控制的具体目标是追求公立医院社会效益和经济的最大化。它与公立医院的使命或愿景相协调，并支持使命和愿景的实现，反映了公立医院为了更有效地履行医疗服务职能、完成受托责任所作的目标定位。 综上所述，公立医院只有在切实保证其运营管理合法合规、服务资源分配 公平公正安全、会计报告及相关信息真实完整、资产资金的使用效率和效果稳步提高、积极防范和控12 / 39 制风险的基础上，才能促进其实现发展战略。这也是内部控制审计的目标。 三、公立医院内部控制的原则 我们认为，与企业一样，公立医院内部控制的原则，是公立医院建立与实施内部控制应当遵循的基本准则，它是连接内部控制理论与实务的桥梁，为公立医院建立与实施内部控制以及评价内部控制的有效性确立了标准。参照行政事业单位内部控制规范 (试行 )内容，结合公立医院特点，公立医院内部控制的原则包括全面性原则、重要性原则、制衡性原则、适应性原则 和权责一致原则，是公立医院内部控制得以有效实行的重要保证。同时也是公立医院内部控制审计的评价标准和依据。 (一 )全面性原则 全面性原则强调内部控制应当贯穿决策、执行和监督全过程，覆盖公立医院的各种业务和事项。也就是说，公立医院内部控制是由医院决策层、管理层和全体职工实施的、旨在实现控制目标的过程，具有全员性、全方位性、全过程性的特点，涉及医院管理和运营活动的全过程。 能和临床部门中层干部执行权、职工代表大会监督权，这种划分完全符合我国事业单位 组织改革的核心思想，即建立决策权、执行权、监督权相互制约又相互13 / 39 协调的运行机制。这实际上就是目前公立医院的治理模式。利益的划分取决于决策，利益的实现取决于执行，利益的矫正取决于监督。具体说来，院常务委员会会议决策重大事项，各职能和临床部门根据自身职责行使执行权，党委纪检监察和职工代表大会 (工会 )分别从不同方面行使监督权。全面性原则强调内部控制应当贯穿决策、执行和监督全过程，即要求公立医院的决策要科学民主、执行要强调效率、监督要有力有效。 内部控制 的对象要涵盖各项业务和事项，包括预防、医疗、教学、科研等业务活动和预算管理、收支管理、固定资产管理、专项资金管理、政府采购业务、基建项目、合同管理等经济活动，以及政府卫生行政管理部门和政府其他相关部门安排或布置的行政管理活动。 故此，全面性原则是将内部控制渗透到决策、执行和监督的各个过程，避免存在内部控制的盲区和空白，从而实现全面、全员和全过程控制。 (二 )重要性原则 内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域，切实防范重大风险。重要性原则强调公立医院建立与实施内部控制应当突出重点、兼顾一 般，着力防范能对公立医院产生重大影响的风险。比如说医疗行为风险，14 / 39 医疗行为既是公立医院重要的业务事项，也是重要风险点 ;另外，预算是公立医院经济活动的起点和中心，是公立医院实现其服务职能的主要工具。从经济活动的意义上来说，公立医院的重要性原则体现为以预算为主线的原则，公立医院的内部控制体系应围绕预算管理循环的各环节展开，贯穿于预算编制、预算批复、预算执行、预算调整、预算分析与预算决算等预算管理工作的全过程。同时，通过预算管理主线，衔接公立医院物资采购、现金报销、资金管理、合同管理、资产管理、会计核算等经济活动业 务环节，从而形成有效的预算和会计内部控制体系。再比如说，关键岗位的舞弊是公立医院长期面临的重要问题，因此，公立医院应当将关键岗位的风险点控制作为内部控制建设的一个重点。 (三 )制衡性原则 公立医院内部控制应当在治理结构、机构设置及权责分配、业务流程等方面相互制约、相互监督，同时兼顾运行效率，实现服务目标和公益目标。相互制衡是建立和实施内部控制的核心理念，制衡性原则主要体现为不相容部门、岗位和人员的相互分离和制约。 互协调的治理结构。治理结构是对行政权力进行的纵向分解，如前所述 ，公立医院的治理结构主要体现为决策权、执行权和监督权的相互制约、相互协调。公立医院的决策权由院常务委员会会议行使，15 / 39 执行权由各职能和临床部门根据自身职责行使，监督权根据权力的性质分别由党委纪检监察和职工代表大会 (工会 )分别行使。比如说，预算的编制和批复中涉及的重大事项由院常务委员会会议决策，预算的执行则由各职能和临床部门负责，预算的监督权主要由预算委员会和职工代表大会 (工会 )行使。 构设置是对管理权力的横向分解，机构内部按照岗位和人员的不同，将管理权力 进一步分解落实到各个岗位和人员，建立明确的岗位责任制度，实现权力和责任的有效匹配，机构设置和岗位授权应当体现不同职能部门之间的相互协调和相互制约。 现组织目标和战略目标。制衡性原则强调管理权力、机构设置、岗位设置和人员安排的制衡，减少滥用职权和串通舞弊的机会，将公立医院的风险控制在合理的范围内。但是，制衡性原则的目标不是为了制衡而制衡，其根本目标是提高公立医院管理效率，从而实现组织目标和战略目标。 (四 )适应性原则 适应性原则要求内部控制应当与组织规模、管理模式、业务范围和风险水 平等相适应，并随着情况的变化加以调整。 16 / 39 照我国规定，公立医院按其功能、任务不同划分为一、二、三级。一级医院：是直接向一定人口的社区提供预防，医疗、保健、康复服务的基层医院、卫生院 ;二级医院：是向多个社区提供综合医疗卫生服务和承担一定教学、科研任务的地区性医院 ;三级医院：是向几个地区提供高水平专科性医疗卫生服务和执行高等教育、科研任务的区域性以上的医院。各级医院经过评审，按照医院分级管理标准确定为甲，乙、丙三等，其中三级医院增设特等，因此我国公立医院共分 三级十等。不同级次的公立医院的规模和管理模式差异很大，内部控制的建立与实施要考虑这些差异，将不同级次的公立医院按照其规模和管理模式分别建立和实施内部控制。 如说，三级甲等综合医院呈现业务辐射范围广、业务部门多，业务流程复杂等特点，服务患者多，治疗项目多、所涉资金规模大、项目审批事项多、社会关注度高，存在很大的风险。因此，亟需构建完善的内控规范体系，并实现内控系统的信息化落地，为领导层的决策提供支撑。 据内外部环境的变化，不断地加以优化和改进。比如说， 2016 年以来，国务院大力推行中央及地方财政预算的公开，其中 “ 三公经费 ” ( 出国 ( 境 ) 费、车辆购置及运17 / 39 行费、公务接待费 ) 成为需重点公开的项目。因此，公立医院要将 “ 三公经费 ” 列入内部控制的重点管控对象。 (五 )权责一致原则 权责一致原则是指公立医院在管理决策、执行和监督过程中掌握的权利要与承担的责任相一致。它不仅强调权力和责任相匹配，也强调权力和责任的强度相对等。另外，权责一致原则也包含了财权与事权相匹配的原则。所谓财权与事权相匹配，是指公立医院各级负 责人在履行管理职能时，根据规划和履行事项的多少合理安排预算，以保证服务职能的有效履行。以医疗设备预算为例，公立医院依据其服务功能及年度工作计划，将设备预算细化批复至各临床业务部门及具体项目，实现财权与事权的有效匹配。通过权限与职责的分解落实，建立预算由各责任部门自我控制、自我约束的运行机制，从而实现医院的目标。权责一致原则是公立医院区别于企业和其他事业单位的重要原则之一。按照委托代理理论，公立医院代表政府来提供公共医疗服务，从而掌握着公共医疗资源，及其分配权。医院的级次不同，其掌握的权利也相应的不同。因此， 只有做到权责一致，才能保证财权与事权的匹配，才能有效地履行公立医院的职能，完成受托责任。 四、公立医院内部控制审计的突破 由上所述，明确了审计评价目标和标准，公立医院内部18 / 39 控制审计就可以纵向深入，横向拓展，从以下两个方面进行突破，更有的放矢地提供好确认与咨询服务，达到审计效果。 (一 )突破只针对单一业务活动本身进行的审计和就事论事的评价。 立医院内部控制审计应从组织治理结构的宏观视角出发 行内控整体框架的审计，即深入到组织层面的内部控制，识别具体控制缺陷的深 层次问题，关注组织整体内部控制环境、风险防范与管控、信息沟通等对业务活动的影响。 内部控制审计渗透到内部控制的各个环节，即积极探索以风险为导向，控制为主线，涵盖内部控制设计、执行全过程的跟踪审计，及时识别并披露内部控制存在的漏洞与缺陷，及可能存在的潜在风险与影响，提出预警与改进建议。 (二 )突破传统的财务会计控制审计为主和围绕账簿审数字，偏重财产安全的防护性审计。 制建设、管理制度完善、关键岗位设置、财务信息的处理，以及业务层面预 算管理、收支管理、资产管理、采购管理、合同管理、医疗管理等内容的内部控制审计。站在医院治理与管理的高度，联系内控制度的规范体系，梳理医院整体战略及医疗、教学、科研、财务、后勤和行政职能等部门的业务流程，明19 / 39 确业务环节，围绕内部控制的五要素，审查和评价控制体系的健全性、有效性，重点关注内部控制存在的缺陷，识别及评估潜在的风险，指出可能发生的消极影响 以查错纠弊的事后审计方式来对内部控制的健全性和有效性发表审计意见和建议的方式 ;而要以提前 介入的方式主动参与和融入内部控制设计和运行、风险防范和管控的一线，采取实时审计、过程审计的方式，实施事前和事中审计 ;尤其对于存在较高风险的部门如财务科、基建科、设备科、药剂科及一些临床高危科室等进行重点管控和防范 ;同时对于上述部门业务流程设计、内部管理存在的漏洞等风险及时加以识别并提出可行性意见和建议 ;还要对其完善内部控制的流程再造提供咨询服务，以履行好内部审计的职责。 结语 总之，内部控制审计是内部控制重要的监督评价机制之一，是内部控制的标准免疫系统。南京市卫生系统 10 家市直属公立医院将以上述目标和原则， 结合自身特点，实现两个突破，强化内部控制审计以期推动内部控制体系的构建、完善和持续改进，防范和管控风险，提升医院管理水平，帮助组织增值，并实现战略目标。 关于 2017 年最新内部控制工作的问题意见和建议 20 / 39 一、如何做好全面风险管理体系建设工作 ? (一 )成立组织机构，主要领导亲自挂帅 各单位应在确定开展全面风险管理体系之初，即着手制定本单位及所属基层企业的全面风险管理体系建设工作方案。在建设工作方案中，明确本单位全面风险管理体系建设领导小组和工作小组，建议公司主要领导担任领导小组组长，公司领导班子成员任 领导小组成员，领导小组中应明确一人作为分管风险管理工作领导，主抓本单位全面风险管理工作 ;工作小组由分管风险管理工作领导任组长，本单位全体部门负责人为小组成员，共同参与全面风险管理。 组织机构明确后，应择机召开全面风险管理体系建设工作启动会，主要领导出席会议，布置工作任务。二级单位召开启动会，应在确定有关中介咨询机构之后，邀请集团公司财务管理部出席启动会，并作宣贯培训。 全面风险管理体系建设的重要任务之一，是在公司现有治理结构上，明确董事会 (或总经理办公会 )在风险管理过程中决策机构地位，并在董事会 (或总经理办 公会 )下设审计与风险管理委员会，审议与风险管理有关的议题 ;已经在董事会设立审计委员会的上市公司、股份制企业，应参照集团公司全面风险管理指引有关要求，变更名称为 “ 审计与风险管理委员会 ” ，并在公司章程、董事会议事规则等方面调整相应权限 ;原则上，审计与风险管理委员会成员可以不与21 / 39 各单位公司党委领导班子完全重叠，且出于审批效率的考量，建议全面风险管理工作领导小组与审计与风险管理委员会合署开展工作。 全面风险管理体系建设工作方案应由各单位主导编写，或安排有关咨询机构统筹编写，内容包括但不限于：建设思路和目标、建 设原则、组织机构和职责分工、建设内容(风险管理目标、组织体系、流程体系、文化体系、信息系统、日常工作机制 )、工作安排、工作要求等。方案应经公司有关决策程序审批后，发布执行并指导工作开展。 (二 )明确项目计划，分管领导主抓实施 各单位应在全面风险管理体系建设工作方案中，明确本单位开展体系建设的项目工作计划，包括但不限于工作目标、建设范围和内容、工作组织和职责分工、沟通机制、量、质、期要求等。各单位分管风险管理工作领导应协调本单位各业务部门，共同开展全面风险管理体系建设与日常管理工作，组织召开公司内部各种形 式的沟通协调会，确定影响体系建设进度的重大问题解决方案，组织对风险管理日常工作使用的风险监控指标、风险评估结果等进行论证，结合企业经营管理和发展实际情况，不断优化全面风险管理工作机制，向领导小组定期汇报工作开展进度。 (三 )梳理工作方案， “ 三道防线 ” 齐抓共管 各单位应在全面风险管理体系建设工作方案中，明22 / 39 确本单位风险管理工作办公室，明确挂靠一个职能部门，负责牵头开展本单位全面风险管理工作。风险管理部门牵头组织有关咨询机构对建设工作方案进行梳理，形成项目工作计划及明确的工作时间表，组织咨询机构开展体系建设工 作。各业务部门应在全面风险管理体系建设工作小组的直接领导下，积极开展协作配合，在满足咨询机构基本工作要求的同时，协助风险管理部门开展有益的风险管理探索和尝试，总结提炼专业风险防控成熟经验和做法，完善风险监控指标体系，协助分析风险成因，提出风险应对措施并落实检查整改措施。 (四 )确定咨询机构，做好关键环节设计 各单位应严格按照集团公司有关招投标和采购管理办法要求，确定相关咨询机构开展全面风险管理体系建设工作。在咨询机构的选择方面，各有关单位应与采购部门做好充分沟通，详细了解按照程序操作确定咨询机构的时间长度， 避免因周期过长的原因耽搁正常工作开展。咨询机构的选定与否，是各单位能否召开体系建设启动会的前提。 关注并做好体系建设过程中影响成果质量的关键环节，包括但不限于： 1. 向全体人员发布风险环境测量问卷：咨询机构会梳理风险环境测量问卷，在体系建设过程中向本单位全体成员发布，风险管理部门应充分向各部门说明问卷设置用意和填23 / 39 答须知，咨询机构应加强填答过程辅导，各业务部门应组织全员共同参与，提高环境测量问卷的质量。 2. 组织开展全员风险评估工作并确定重大风险：风险环境测量问卷与风险评估侧重点不同，风险管理部门应在开展 风险评估工作之前，充分论证工作开展的必要性和现实困难，准备较为详细的评估操作指南，咨询机构应加强业务辅导，针对参与评估人员对风险评估态度谨慎、分值偏低的情况进行纠偏，确保样本质量的真实性、可用性，便于后续在汇总分析后提炼重大风险。此外，各单位还应注意，在开展体系建设过程中的风险评估与集团公司开展的年度风险评估尽管性质趋同，但因组织开展时间不同，评估结果和应用范围存在不同，不可以混为一谈或者机械替代使用年度风险评估的结果。 3. 开展领导人员和中层干部管理访谈：咨询机构在获取被咨询服务单位基本情况后，会整理管 理访谈问题清单和提纲，并与各级领导人员和中层干部以及部分重点岗位管理人员进行访谈，面对面获取工作人员对风险认知能力和信息，提炼公司级、业务级、流程级风险观点，印证内部控制体系建设和执行情况。风险管理部门应制定访谈工作方案和时间计划，报工作小组审议后，确定访谈时间安排，过程中应安排专人全程跟进访谈工作，避免咨询机构因提问方式、问题内容不符合业务实际而造成的沟通问题，访谈期间应提24 / 39 示被访谈人，有关观点仅供咨询机构提炼观点参考，不会对外披露或录音留作证据，打消被访谈者顾虑，提高访谈沟通质量。 4. 协助提供制度办法 并梳理流程：在开展体系建设过程中，会反复向各级单位、业务部门获取制度办法，梳理有关管理业务审批流程。此项工作涉及制度办法管理部门、各业务部门的执行情况，本单位各部门应提高对制度建设和执行情况的认识程度，如实向咨询机构反映现有业务流程执行情况，便于咨询机构发现管理缺陷，共同提出改进方案，督促有关部门整改。 5. 按照内部控制岗位分离要求明确审批权限等：咨询机构在开展现场工作中，会对涉及关键审批流程事项中重点部门、重点岗位的内控岗位分离提出符合性测试要求。对于不符合内控岗位分离基本要求的，各单位应第一时间明确整改方案，不得以人员编制不够等理由拒不整改，集团公司将在体系建设过程中加强对内控岗位分离设计和执行方面的跟踪检查。此外，在关键岗位有限分离的同时，各单位风险管理部门还应结合流程设计，关注不同岗位审批权限的设计问题，组织有关业务部门加强研究和整改，杜绝流程空转空传、层层审批但层层漏网，最终造成重大损失的情形出现。 (五 )重视成果沟通，适度前瞻管理变革 各单位应高度重视体系建设成果在过程中的沟通工作，25 / 39 咨询机构是体系建设的协助单位，但不能取代体系建设过程中各单位的主体作用。各单位风险管理部门应切实担负起体系建设成果 的过程沟通任务，采取沟通会议、邮件往来等多重形式，在沟通过程中适当考虑本单位和上下级企业管理变革，对企业未来面临的风险和管控机制适度前瞻，保证体系建设成果能够与企业管控实际相匹配。 (六 )形成汇报机制，及时解决问题不足 各单位应形成全面风险管理体系建设 “ 双周报 ” 工作机制，定期向本单位领导小组、工作小组汇报工作进展，梳理体系建设过程中存在的不足和亟待协调的问题。 “ 双周报 ” 由咨询机构负责编写，风险管理部门负责审核，主送本单位各部门，抄送公司领导。 (七 )履行决策程序，发布标准成果文本 各单位应在结束体系建设现场 工作，确定建设成果文本后，按照有关决策程序，提交审计与风险管理委员会，履行审查程序后，报董事会 (或总经理办公会 )审批，审批后面向全公司发布标准文本成果，并安排审计部门及时进行有效性评价，保证体系建设成果有效在用和及时更新。 标准文本成果内容包括但不限于：全面风险管理办法、内部控制制度、全面风险管理操作手册、风险信息库、风险案例库、内部控制手册、内部控制评价手册、内部控制缺陷认定意见。 26 / 39 (八 )开展宣贯教育，做好人员过手培训 各单位要抓住各种机会、利用各种形式开展全面风险管理文化体系建设和宣贯教育工作，利用广播 、报纸、微信公众平台等形式，加强阵地宣传，营造舆论氛围。各单位要做好风险管理工作人员的过手培训工作，确保人员在开展正常的岗位轮换、更迭的同时，工作质量不打折扣。 当前，集团公司财务管理部可以无偿为各单位提供风险管理知识体系和应用方面的常规培训，各单位可根据自身实际情况提前与财务管理部风险管理处沟通有关培训事宜。 二、风险评估怎么做 ? (一 )明确风险评估目的 为满足本单位董事会 (或总经理办公会 )把握年度重大风险情况，满足年度风险管理报告编报要求，按照集团公司关于风险分类管理和重大风险的防控措施要求，利用科学方法和评估工具，开展年度重大风险评估工作。此外，在开展全面风险管理体系建设过程中，或为满足项目发展需求，论证项目发展可行性，需开展专项或不定期风险评估工作。 (二 )年度风险评估的方法选取 风险评估采取定量评分和定性评估相结合的工作方式。 定量评分主要是采取目前国内比较通行的 “ 打分法 ” ，按照风险损失度和风险发生可能性两个维度评分，每个维度分值均为 1，代表不同的损失度或可能性层次，根据风27 / 39 险打分情况，绘制风险地图，并在风险地图明确三个分值区间，对应一般风险、中等风险、重大风险三个等级。 定性评估主要是根据本单 位主要领导管理经验，对未来一段时期可能面临的重大风险进行评估和预期，主要用于定量方法结果的纠偏与论证，对打分评估结果进行修正，按照决策层、中层干部、基层员工在打分过程中因分值权重不同得到的不同分值，对打分评估结果进行校正，按照二级风险和三级风险两个级别，确定年度重大风险。 (三 )年度风险评估的原则 一是全面覆盖。风险评估打分工作涵盖集团公司所属各单位管理主体，各分 (子 )公司、研究院组织所属基层单位开展本次风险评估工作，报送主体以管理口径为主，产权口径为辅，即一厂多制企业、一班人马多块牌子企业、区域性集中管理 企业均报送一套评估汇总表。评估工作由各单位明确风险管理职能部门作为牵头部门，工作方式以在本单位横向推进为主，须争取本单位主要领导的支持，让所有业务部门充分配合完成。 二是逐级汇总。各分 (子 )公司、研究院是风险评估结果的汇总单位，除完成管理本部的风险评估工作外，还要组织所属基层单位完成本次风险评估底稿的收集和汇总工作，检查本区域管辖单位的风险评估分值是否有效、合理，逐级汇总后形成上报结果，连同基层企业评估底稿、汇总表一并报28 / 39 送集团公司财务管理部。 三是重点关注。各分 (子 )公司、研究院根据管理需要、业态板块等因素 选择在区域内有代表性企业参与本次评估，也可放大参与范围安排全部单位参与评估。已开展全面风险管理体系试点建设的单位必须全级次参与风险评估。其余二级单位自行安排，原则上参与评估的单位在企业户数的 1/3左右。需要注意的是，各单位所属的低效无效、僵尸特困企业、待处置资产均不需要开展风险评估和风险管理报告编报工作，只需要二级单位在汇总风险评估总结和年度风险管理报告中提到项目处置和当前进展即可。 四是评估本级。风险评估工具用于各单位在本企业开展风险评估工作，各单位参与人员在收到打分表后，不必纠结打分表中 “ 集团公司 ” 没 有改为 “司 ” 的字眼，一律按本单位可能存在的风险进行评分。对于风险损失标准可参考风险评估打分表中的风险评估标准，在基层企业确实不适用的损失标准，可根据本单位实际情况进行评判。未来，集团公司将进一步在风险损失度方面统一标准。 (四 )年度风险评估工具的使用 在目前尚未开展全面风险管理信息系统部署的前提下，集团公司财务管理部会同中审众环会计师事务所 (特殊普通合伙 )咨询人员研发了简易 据嵌套运算模板，用于集团公司本部、二级单位和基层企业开展风险评估现场打分29 / 39 收集整理汇总工作，同步配发中国国电 集团公司全面风险评估填报工具使用说明和关于 2017 年度风险评估与风险管理报告编报过程中有关问题的答疑说明。各单位应按照有关说明文件，组织二级单位本部和部分有代表性基层企业和人员参与风险评估。 (五 )参与年度风险评估人员的分配 一是权重设置。按照公司领导、部门中层、基层员工三个类别设置分值参与运算的权重，分别为 60%、 30%、 10%。公司领导、部门中层参与打分的人员是本单位重大风险评判的主要力量。 二是人员分配。各单位在组织风险评估打分工作时，主要关注权重较高的公司领导、总师助理、部门中层正副职，基层员 工建议选择管理部门的关键岗位、主管人员参与，生产部门的专工、班组长以上人员可以酌情安排参与，每个单位样本量不要超过 150 个。确切的说，二级和三级单位的党委委员、总师助理、部门中层正职 (含主持工作的副职 )是肯定要全部参加的，部门中层副职、基层员工可根据总样本量酌情安排，不做硬性要求。 (六 )如何适当的打分 一是正确认识评估工具。各单位风险管理部门应按照使用说明，以本单位为例模拟三个层次人员的打分结果汇总测试成功后，再发送正式的文件，布置工作任务。 30 / 39 二是按照打分规则评分。风险评估打分表按照集团公司风险信息库 总体架构，对一级风险 (5 个，分别为：战略风险、市场风险、财务风险、运营风险和法律风险 )、二级风险及三级风险进行了罗列，按照风险损失度、风险发生可能性两个维度，对风险事项打分评价。出于海量样本收集整理的考虑，打分表中的每一项都要打分，对于不了解或者不涉足领域的风险，如果没有确凿依据或者充分理由可以给予适当评分的，建议打 1 分，但不要不评分或选择 “ -” ，否则视为废票。 三是合理估计未来风险。通过对个别单位风险评估工作的了解，绝大多数单位人员对本单位未来风险的估计和预期都偏谨慎，评估分值相对较低，导致公司整体评估分 值无法达到中等风险、重大风险的分值。在此，建议各单位给参与评估的人员以充分的信任，可以通过匿名收取反馈评估表的形式，让参与评估的人员放下顾虑，给参与评估工作的人员讲清楚，风险评估的主体是各单位的管理人员，评估工作中扮演的角色是在集团公司收取的海量样本中体现对重大风险的共同甄别效果，要让大家充分按照自己的管理经验和对业务风险的理解，充分体现 “ 人 ” 这个企业管理中最基本要素对企业风险的认识和预期。 风险是客观存在的，具有极大的不确定性，只要认定是重大风险的，可以分值选择 5、 4 等高分值，确定不了解或31 / 39 者认为不重要的， 也可以选择为 1 分，不必求中庸，更不必担心评分结果会对个人、对本单位造成其他不利影响。与此同时，还应在开展风险评估工作之处，强化对评估人员的风险客观性、不确定性的宣贯，减少因对风险认识存在偏差，评估分值偏低的影响。 (七 )评估结果的使用 风险分值是风险损失度和风险发生可能性二者乘积，评估分值分为 (0， 4代表一般风险 ,(4表中等风险 ,(9表重大风险，部分单位没有重大或中等风险评估结果的，建议采取定性评估方式加以辅助，确定重大风险。 (八 )评估结果如果没有重大风险应该如何处理 在开展企业风险评 估工作中，没有重大风险，其实是一个伪命题。只要是一家公司，不会没有重大风险。但是如果确实公司领导认为没有重大风险或没有必要披露重大风险，评估汇总表的分值又没法人为调整，可参考下述办法做适当处理修正： 一是全表分值倒序排序。应针对本单位评估汇总表的结果，按照评估分值的降序选择 5重大风险排列出来。建议以数值为主，尊重本单位汇总的风险评估分值 ;经验为辅，适当调整明显不合理且分值靠前的风险。 二是征求本单位公司领导意见。按照分值降序和管理经验调整出重大风险后，应征求本单位分管领导及主要领导意32 / 39 见，或专题形成汇 报上会研究，确定本单位年度重大风险。一般情况下，可补充较为明显的形势政策风险和市场环境风险等内容作为重大风险。 各单位应具有强烈的风险意识和忧患意识，充分认识当前经济下行、电力体制改革、发电产能过剩等大环境对企业经营发展的影响，要对当前发电企业严峻形势充分估计，要落实主体责任，提高防范风险的工作主动性，宏观审慎研判全年及今后中长期企业面临的重大风险，敢于作为，勇于担当，组织有关部门制定详细的应对措施，并在本单位年度风险管理报告中予以披露。 三、年度风险管理报告如何编写 ? (一 )明确报告结构 按照国资委文件要 求，年度风险管理报告的结构为四部分：一是上一年度风险管理工作回顾，二是本年度风险管理工作安排，三是本年度风险管理策略，四是有关意见和建议。年度风险管理报告的编写内容时间区域为前后两年，例如2017年 4月份确定 2017年度风险管理报告，报告总结 2016年度风险管理情况，确定 2017 年度重大风险及应对措施等。 (二 )按时履行决策后报送 按照关于做好 2017 年全面风险管理工作的通知 (国电集财 2017 66 号 )要求，集团公司自今年起，将年度风险管理报告作为风险管理日常工作机制的重要组成部分，各33 / 39 二级单位应按 照集团公司要求，组织管理本部及相关基层企业，开展年度风险管理报告的编报工作。由于当前各单位管理基础不同，集团公司组织开展年度风险管理报告编报工作的时间较晚，一般在每年 2 月中旬布置相关工作， 3 月中下旬汇总各单位有关指标数据和报告文本，汇总形成集团公司汇总报告后，经集团公司党组会、董办会