云南省单位内控管理制度

云南省单位内控管理制度一、总则

云南省单位内控管理制度旨在规范省内各级单位内部控制体系建设与运行，提升单位治理水平，防范化解各类风险，促进单位可持续发展。本制度适用于云南省行政事业单位、国有企业及其他依法设立的社会组织，其内部控制活动应当遵循国家相关法律法规及本制度规定。单位应当建立健全内部控制体系，明确内部控制目标，完善内部控制环境，规范内部控制活动，确保内部控制有效实施。内部控制体系应当涵盖单位经济活动全过程，包括预算管理、收支管理、资产管理、合同管理、采购管理、投资管理、人力资源管理、信息系统管理等方面。单位应当根据自身实际情况，制定内部控制具体制度，并定期评估内部控制有效性，持续改进内部控制体系。

单位内部控制应当遵循全面性、重要性、制衡性、适应性和成本效益原则。全面性要求内部控制覆盖单位所有业务活动和事项，不存在控制空白；重要性要求内部控制重点关注重大风险和重要业务环节；制衡性要求内部控制各环节之间相互制约、相互监督；适应性要求内部控制能够根据单位内外部环境变化及时调整；成本效益原则要求内部控制建设与运行成本应当与预期收益相匹配。单位应当建立健全内部控制组织体系，明确内部控制职责分工，确保内部控制有效实施。单位法定代表人对本单位内部控制体系建设与运行负总责，内部审计部门负责内部控制监督评价，管理层负责内部控制具体实施。

单位应当建立健全内部控制文化，将内部控制理念融入单位管理全过程，提高全体员工内部控制意识，形成全员参与、共同监督的内部控制氛围。单位应当加强内部控制培训，定期组织员工学习内部控制相关知识和技能，提升员工内部控制能力。单位应当建立健全内部控制信息沟通机制，及时传递内部控制信息，确保内部控制信息畅通。单位应当建立健全内部控制考核评价机制，将内部控制考核评价结果与员工绩效挂钩，激励员工积极参与内部控制工作。单位应当建立健全内部控制责任追究机制，对内部控制失效导致重大损失的，依法依规追究相关责任人责任。

单位内部控制体系应当包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素。内部环境是内部控制的基础，单位应当建立健全组织架构，明确职责分工，完善公司治理结构，加强企业文化建设，提高全体员工内部控制意识。风险评估是内部控制的关键，单位应当定期开展风险评估，识别、评估和应对各类风险，确保单位风险在可接受范围内。控制活动是内部控制的核心，单位应当根据风险评估结果，制定并实施相应的控制措施，防范化解各类风险。信息与沟通是内部控制保障，单位应当建立健全信息收集、处理、传递和反馈机制，确保信息真实、准确、完整、及时。内部监督是内部控制保障，单位应当建立健全内部控制监督体系，定期开展内部控制监督检查，及时发现和纠正内部控制缺陷。

单位应当根据国家有关法律法规和本制度规定，制定内部控制具体制度，并报上级主管部门备案。内部控制具体制度应当包括内部控制目标、内部控制范围、内部控制职责、内部控制流程、内部控制标准、内部控制方法、内部控制考核评价等内容。单位应当根据内部控制具体制度，制定内部控制操作规程，明确内部控制操作步骤、操作要求和操作责任。单位应当根据内部控制操作规程，规范内部控制操作行为，确保内部控制操作规范、有效。单位应当根据内部控制具体制度，建立内部控制文档体系，记录内部控制活动全过程，确保内部控制有据可查。单位应当根据内部控制具体制度，定期开展内部控制评估，评估内部控制有效性，持续改进内部控制体系。

二、风险评估与应对

2.1风险评估的组织与程序

单位应当设立风险评估委员会，由单位主要负责人、内部审计部门负责人、财务部门负责人、业务部门负责人等组成，负责组织协调单位风险评估工作。风险评估委员会应当根据单位实际情况，制定风险评估计划，明确风险评估范围、风险评估方法、风险评估标准、风险评估程序等。风险评估委员会应当定期开展风险评估，每年至少开展一次全面风险评估。风险评估程序应当包括风险识别、风险分析、风险评价三个步骤。风险识别是指通过访谈、问卷调查、资料查阅、数据分析等方式，识别单位面临的各种风险。风险分析是指对识别出的风险进行定性分析和定量分析，评估风险发生的可能性和影响程度。风险评价是指根据风险分析结果，对风险进行等级划分，确定重点关注领域。风险评估结果应当形成风险评估报告，报单位管理层和董事会（或单位决策机构）审议。

2.2风险评估的内容与方法

单位风险评估应当涵盖单位所有业务活动和事项，重点关注以下领域：

（1）战略风险，包括单位发展方向、经营策略、市场环境等变化带来的风险；

（2）市场风险，包括市场变化、竞争加剧、客户需求变化等带来的风险；

（3）运营风险，包括内部流程、信息系统、人力资源等管理不善带来的风险；

（4）财务风险，包括资金链断裂、投资失败、汇率变动等带来的风险；

（5）法律合规风险，包括法律法规变化、违规操作等带来的风险；

（6）声誉风险，包括负面信息传播、品牌形象受损等带来的风险。

风险评估方法应当根据风险评估对象和风险评估目的，选择合适的评估方法。常见的风险评估方法包括风险矩阵法、德尔菲法、层次分析法等。风险矩阵法是将风险发生的可能性和影响程度进行交叉分析，确定风险等级。德尔菲法是通过专家咨询，综合专家意见，评估风险等级。层次分析法是将风险分解为多个层次，通过层次分析，评估风险等级。单位应当根据实际情况，选择合适的风险评估方法，确保风险评估结果科学、合理。

2.3风险应对策略

单位应当根据风险评估结果，制定风险应对策略，包括风险规避、风险降低、风险转移、风险接受四种策略。风险规避是指通过放弃业务活动或停止业务活动，避免风险发生。风险降低是指通过采取措施，降低风险发生的可能性或降低风险影响程度。风险转移是指通过合同约定或购买保险等方式，将风险转移给第三方。风险接受是指单位愿意承担风险，并采取措施减轻风险损失。单位应当根据风险等级和风险性质，选择合适的风险应对策略。对于重大风险，单位应当制定专项风险应对方案，并定期进行评估和调整。单位应当将风险应对策略纳入内部控制具体制度，确保风险应对措施有效实施。

2.4风险应对的监控与评估

单位应当建立健全风险应对监控体系，定期监控风险应对措施实施情况，评估风险应对效果。风险应对监控应当包括风险应对目标、风险应对措施、风险应对责任、风险应对效果等内容的监控。单位应当定期开展风险应对评估，评估风险应对措施是否达到预期目标，评估风险应对效果是否满意。风险应对评估结果应当形成风险应对评估报告，报单位管理层和董事会（或单位决策机构）审议。对于风险应对效果不满意的，单位应当及时调整风险应对策略，确保风险得到有效控制。单位应当将风险应对监控和评估结果纳入内部控制文档体系，确保风险应对过程有据可查。

三、控制活动的设计与执行

3.1控制活动的基本要求

单位在识别和评估风险的基础上，应当针对各项重大风险点设计并实施相应的控制活动，以实现风险控制目标。控制活动应当贯穿于单位经济活动的各个环节和各个层级，确保各项业务活动符合单位政策、相关法律法规的要求。设计控制活动时，单位应当考虑控制活动的成本效益，确保控制活动在经济上可行，能够有效控制风险。控制活动应当明确控制目标、控制内容、控制标准、控制程序、控制责任，确保控制活动有据可依、有章可循。控制活动的设计和执行应当由单位管理层负责，并指定专人负责具体实施。单位应当定期评估控制活动的设计和执行情况，确保控制活动能够有效控制风险。

3.2关键业务环节的控制活动

单位应当根据自身实际情况，针对预算管理、收支管理、资产管理、合同管理、采购管理、投资管理等关键业务环节，设计并实施相应的控制活动。

（1）预算管理方面，单位应当建立预算编制、预算审批、预算执行、预算调整、预算考核等一系列控制活动，确保预算管理的科学性、严肃性和有效性。预算编制应当基于单位发展战略和年度工作计划，采用零基预算或滚动预算等方法，确保预算编制的合理性。预算审批应当遵循分级审批原则，确保预算审批的合规性。预算执行应当严格执行预算指标，禁止超预算支出。预算调整应当符合预算管理制度规定，确保预算调整的必要性。预算考核应当将预算执行情况与部门绩效挂钩，确保预算考核的激励性。

（2）收支管理方面，单位应当建立收入确认、成本控制、费用审批、资金支付等一系列控制活动，确保收支管理的合规性、安全性和有效性。收入确认应当遵循权责发生制原则，确保收入确认的准确性。成本控制应当制定成本标准，加强成本核算，控制成本支出。费用审批应当遵循授权审批原则，确保费用审批的合规性。资金支付应当严格执行支付程序，确保资金支付的安全性。单位还应当加强收支管理的信息化建设，提高收支管理效率。

（3）资产管理方面，单位应当建立资产购置、资产验收、资产使用、资产盘点、资产处置等一系列控制活动，确保资产管理的安全性、完整性和有效性。资产购置应当遵循预算管理要求，确保资产购置的必要性。资产验收应当严格按照资产验收程序进行，确保资产验收的质量。资产使用应当建立资产使用责任制，确保资产使用的效率。资产盘点应当定期开展资产盘点，确保资产账实相符。资产处置应当遵循资产处置管理制度规定，确保资产处置的合规性。单位还应当加强资产管理的信息化建设，提高资产管理效率。

（4）合同管理方面，单位应当建立合同拟定、合同审批、合同履行、合同变更、合同解除等一系列控制活动，确保合同管理的合规性、严谨性和有效性。合同拟定应当由法务部门或合同管理部门负责，确保合同条款的合法性、完整性。合同审批应当遵循分级审批原则，确保合同审批的合规性。合同履行应当严格按照合同约定执行，确保合同履行的严肃性。合同变更应当符合合同管理制度规定，确保合同变更的必要性。合同解除应当符合合同管理制度规定，确保合同解除的合规性。单位还应当建立合同管理制度，明确合同管理的职责分工、工作流程和工作标准。

（5）采购管理方面，单位应当建立采购计划、采购方式选择、采购供应商选择、采购合同签订、采购验收等一系列控制活动，确保采购管理的合规性、经济性和有效性。采购计划应当基于单位实际需求，编制采购计划，确保采购计划的合理性。采购方式选择应当根据采购项目特点，选择合适的采购方式，确保采购方式选择的科学性。采购供应商选择应当遵循公平、公正、公开原则，选择优质供应商，确保采购供应商选择的合理性。采购合同签订应当严格按照合同管理制度规定，确保采购合同签订的合规性。采购验收应当严格按照采购验收程序进行，确保采购验收的质量。单位还应当建立采购管理制度，明确采购管理的职责分工、工作流程和工作标准。

（6）投资管理方面，单位应当建立投资决策、投资实施、投资监控、投资评价等一系列控制活动，确保投资管理的安全性、收益性和有效性。投资决策应当遵循集体决策原则，确保投资决策的科学性。投资实施应当严格按照投资决策方案执行，确保投资实施的严肃性。投资监控应当建立投资监控体系，定期监控投资进展情况，确保投资进展的顺利性。投资评价应当定期开展投资评价，评估投资效果，确保投资效果的满意度。单位还应当建立投资管理制度，明确投资管理的职责分工、工作流程和工作标准。

3.3控制活动的监督与测试

单位应当建立健全控制活动监督体系，定期监督控制活动的设计和执行情况，评估控制活动的有效性。控制活动监督应当包括控制目标、控制内容、控制标准、控制程序、控制责任等内容的监督。单位应当定期开展控制活动测试，测试控制活动的执行效果，评估控制活动是否能够有效控制风险。控制活动测试应当选择合适的测试方法，确保测试结果的科学性、合理性。控制活动测试结果应当形成控制活动测试报告，报单位管理层和董事会（或单位决策机构）审议。对于控制活动测试发现的问题，单位应当及时采取措施，纠正控制活动缺陷，确保控制活动有效实施。单位应当将控制活动监督和测试结果纳入内部控制文档体系，确保控制活动过程有据可查。

四、信息与沟通的管理

4.1信息管理的基本要求

单位应当建立健全信息管理体系，确保信息收集、处理、传递和反馈的及时性、准确性和完整性，为单位内部控制提供有效支撑。信息管理应当遵循统一规划、分级管理、安全保密的原则，确保信息系统安全稳定运行，信息资源得到有效利用。单位应当明确信息管理的职责分工，指定专人负责信息管理工作，确保信息管理工作有人负责、有人落实。单位应当根据自身实际情况，制定信息管理制度，明确信息管理的内容、流程、标准和方法，确保信息管理有章可循。单位应当加强信息管理队伍建设，提高信息管理人员素质，确保信息管理工作专业高效。单位应当定期评估信息管理体系的有效性，持续改进信息管理工作，确保信息管理体系适应单位发展需要。

4.2信息系统建设与管理

单位应当根据内部控制需要，建设和完善信息系统，提高信息管理效率和效果。信息系统建设应当遵循统一规划、分步实施、注重实效的原则，确保信息系统与单位业务流程深度融合，信息系统安全可靠。信息系统建设应当符合国家相关标准规范，确保信息系统兼容性、扩展性和安全性。信息系统建设完成后，单位应当进行系统测试，确保系统功能满足业务需求，系统运行稳定可靠。信息系统上线运行后，单位应当建立信息系统运维制度，确保信息系统正常运行。单位应当定期开展信息系统安全评估，及时发现和修复信息系统安全漏洞，确保信息系统安全可靠。单位还应当加强信息系统备份和恢复管理，确保信息系统数据安全。

单位应当加强信息系统用户管理，明确信息系统用户权限，确保信息系统用户行为可追溯。单位应当对信息系统用户进行培训，提高信息系统用户信息安全意识，确保信息系统用户安全使用信息系统。单位应当建立信息系统应急管理制度，制定信息系统应急预案，确保信息系统突发事件得到及时有效处置。单位还应当加强信息系统审计管理，定期开展信息系统审计，评估信息系统安全性，确保信息系统合规运行。

4.3信息沟通的基本要求

单位应当建立健全信息沟通体系，确保信息在单位内部各层级、各部门、各岗位之间顺畅流转，为单位内部控制提供有效保障。信息沟通应当遵循及时性、准确性、完整性、保密性的原则，确保信息沟通有效。单位应当明确信息沟通的职责分工，指定专人负责信息沟通工作，确保信息沟通有人负责、有人落实。单位应当根据自身实际情况，制定信息沟通制度，明确信息沟通的内容、流程、标准和方法，确保信息沟通有章可循。单位应当加强信息沟通队伍建设，提高信息沟通人员素质，确保信息沟通工作专业高效。单位应当定期评估信息沟通体系的有效性，持续改进信息沟通工作，确保信息沟通体系适应单位发展需要。

4.4信息沟通的渠道与方式

单位应当建立多元化的信息沟通渠道，确保信息在单位内部顺畅流转。常见的沟通渠道包括会议沟通、文件沟通、网络沟通、电话沟通等。单位应当根据沟通内容、沟通对象和沟通目的，选择合适的沟通渠道，确保信息沟通有效。单位应当建立信息沟通制度，明确信息沟通的职责分工、工作流程和工作标准，确保信息沟通规范有序。单位还应当建立信息沟通反馈机制，及时收集信息沟通反馈意见，持续改进信息沟通工作。

单位应当加强信息沟通的保密管理，确保信息沟通安全。单位应当对涉密信息进行分类管理，明确涉密信息的密级，采取相应的保密措施，确保涉密信息安全。单位还应当对信息沟通人员进行保密教育，提高信息沟通人员保密意识，确保信息沟通安全。

4.5信息沟通的监督与评估

单位应当建立健全信息沟通监督体系，定期监督信息沟通的及时性、准确性、完整性和保密性，评估信息沟通效果。信息沟通监督应当包括信息沟通渠道、信息沟通内容、信息沟通流程、信息沟通责任等内容的监督。单位应当定期开展信息沟通评估，评估信息沟通效果是否满意，评估信息沟通体系是否适应单位发展需要。信息沟通评估结果应当形成信息沟通评估报告，报单位管理层和董事会（或单位决策机构）审议。对于信息沟通评估发现的问题，单位应当及时采取措施，改进信息沟通工作，确保信息沟通有效。单位应当将信息沟通监督和评估结果纳入内部控制文档体系，确保信息沟通过程有据可查。

五、内部监督的机制与执行

5.1内部监督的组织体系

单位应当建立健全内部监督体系，明确内部监督职责分工，确保内部监督有效实施。内部监督体系应当包括内部审计部门、纪检监察部门、法务部门等监督机构，各监督机构应当根据自身职责，开展内部监督工作。内部审计部门负责对单位内部控制体系进行独立评价，对单位经济活动进行审计监督。纪检监察部门负责对单位党风廉政建设进行监督，对单位领导干部进行监督。法务部门负责对单位法律法规遵守情况进行监督，对单位合同管理进行监督。单位应当明确内部监督机构的职责分工，避免监督职能交叉，确保内部监督高效协调。单位还应当建立内部监督协调机制，定期召开内部监督协调会议，协调内部监督工作，形成内部监督合力。

5.2内部监督的方式与方法

单位内部监督应当采取多种方式，综合运用多种方法，确保内部监督全面有效。内部监督方式包括日常监督、专项监督、定期监督、不定期监督等。日常监督是指内部监督机构在日常工作中对单位经济活动进行的监督。专项监督是指内部监督机构针对特定事项开展的监督。定期监督是指内部监督机构按照固定周期开展的监督。不定期监督是指内部监督机构根据需要开展的监督。内部监督方法包括查阅资料、访谈、问卷调查、数据分析、现场检查等。查阅资料是指内部监督机构查阅单位相关文件资料，了解单位经济活动情况。访谈是指内部监督机构与单位相关人员进行访谈，了解单位经济活动情况。问卷调查是指内部监督机构向单位相关人员进行问卷调查，了解单位经济活动情况。数据分析是指内部监督机构对单位经济活动数据进行分析，发现异常情况。现场检查是指内部监督机构到现场进行检查，核实单位经济活动情况。单位应当根据自身实际情况，选择合适的内部监督方式和监督方法，确保内部监督有效。

5.3内部监督的程序与要求

单位内部监督应当遵循以下程序：首先，制定内部监督计划，明确内部监督内容、内部监督方式、内部监督时间安排等。其次，开展内部监督工作，按照内部监督计划，采取多种方式，综合运用多种方法，开展内部监督工作。再次，形成内部监督报告，对内部监督发现的问题进行汇总，形成内部监督报告，报单位管理层和董事会（或单位决策机构）审议。最后，跟踪内部监督问题整改，对内部监督发现的问题，单位应当及时采取措施进行整改，内部监督机构应当跟踪内部监督问题整改情况，确保内部监督问题得到有效整改。单位内部监督应当遵循客观公正、实事求是、依法依规的原则，确保内部监督结果真实可靠。内部监督机构应当独立开展内部监督工作，不受其他机构或个人干扰，确保内部监督有效。

5.4内部监督的考核与评价

单位应当建立健全内部监督考核评价机制，定期考核评价内部监督工作，评估内部监督效果。内部监督考核评价应当包括内部监督计划完成情况、内部监督发现问题数量、内部监督问题整改情况、内部监督报告质量等内容的考核评价。单位应当根据内部监督考核评价结果，对内部监督机构进行奖惩，激励内部监督机构积极开展内部监督工作。单位还应当将内部监督考核评价结果纳入内部控制文档体系，确保内部监督过程有据可查。

5.5内部监督与外部监督的协调

单位应当加强与外部监督机构的协调，积极配合外部监督机构开展监督检查工作。外部监督机构包括审计机关、纪检监察机关、税务机关、证券监管机构等。单位应当建立外部监督协调机制，及时沟通外部监督意见，及时整改外部监督发现的问题，确保外部监督意见得到有效落实。单位还应当将外部监督意见纳入内部控制体系，持续改进内部控制工作，提升单位治理水平。通过内部监督与外部监督的协调配合，形成监督合力，提升监督效果，促进单位健康发展。

六、持续改进与评估

6.1内部控制评估的组织与程序

单位应当建立健全内部控制评估体系，定期评估内部控制体系的有效性，持续改进内部控制工作。内部控制评估应当由单位内部控制委员会或类似机构负责组织协调，确保内部控制评估工作有序开展。内部控制评估委员会应当根据单位实际情况，制定内部控制评估计划，明确内部控制评估范围、内部控制评估方法、内部控制评估标准、内部控制评估程序等。内部控制评估程序应当包括内部控制自我评估、内部控制外部评估两个环节。内部控制自我评估是指单位各部门、各岗位根据内部控制具体制度，对内部控制执行情况进行自我评估。内部控制外部评估是指单位聘请外部机构，对内部控制体系进行独立评估。内部控制评估结果应当形成内部控制评估报告，报单位管理层和董事会（或单位决策机构）审议。

6.2内部控制评估的内容与方法

单位内部控制评估应当涵盖内部控制体系五个要素，即内部环境、风险评估、控制活动、信息与沟通、内部监督。内部控制评估应当关注以下内容：

（1）内部环境评估，包括单位治理结构、组织架构、权责分配、企业文化、人力资源政策等内容的评估，确保内部环境能够有效支持内部控制体系运行。

（2）风险评