内控是什么意思?,内部控制通俗易懂的解释

单位内控建设工作无论是由单位自建，还是由咨询机构协助完成，最终可见的成果是什么？我们认为，简单了说就是设计编写内部控制体系文件（《内控手册》）和上信息化系统。《内控手册》与信息化系统应该是相互融合的，最好是由同一家咨询机构实施，可以同时实施，也可以先手册后软件的顺序实施。《内控手册》规定了信息化系统设计和运行的原则、机制及其他要求，同时也是信息化系统的操作规范和指引。内部控制作为一个完整的管理体系，手册中关于内部控制的原则要求和机制应嵌入到信息系统中，手册对各项业务活动具体的操作要求和标准也应与软件相关模块功能一致和对应。

《内控规范》共六章，第一章总则，第二章风险评估和控制方法，第三章单位层面内部控制，第四章业务层面内部控制，第五章评价与监督，第六章附则（内容可以忽略）。所以我们在设计编写的内控手册要严格做到与《内控规范》的内容相对应，不能有遗漏，可以根据单位实际需要在内控手册中增加一些内容，但在内控建设的初期阶段懂的，我们建议不要增加太多的内容。 从《内控规范》的章节结构我们可以看出，单位内控建设工作可以分为三部分：一是年初要进行风险评估，根据新法规新文件、单位职能调整和岗位人员异动等情况对业务活动重新进行风险评估，内控是控什么的？严格意义上说不是控经济业务活动，而是控经济业务活动中的风险，所以风险分析和评估是内控建设的前提保障；二是在年中根据风险评估的结果更新流程和制度，内控建设不是应付检查的，而是要在实际工作中使用的，国家法律法规和地方性规范文件出台或修订以后，单位的《内控手册》必须要进行相应的更新；三是年底要对本年度内控建设情况和实施效果进行自我评价。财务科牵头各科室搞了一年了，非常辛苦，内控建立和执行的效果怎么样？这不能由财务科说了算，单位党组（或党支部）组织成立个小组，组织审计、纪检等部门来检查评价一下吧。

一、单位基本情况

《内控规范》第五条有一个“适应性”原则，要求单位内控建设要符合“单位的实际情况”，单位的实际情况这个概念比较宽泛，我们认为与内控建设关系比较密切的就是“三定”规定文件，国家赋予单位的职责是什么，有哪些内设机构，核定了多少人员编制等等。当然，这一部分也可以编入单位文化、获得的荣誉、发展历程等内容，这样手册的内容更丰满，也更有个性化。

二、内控体系文件概述

这一部分是对内控体系文件的一个整体描述，包括内部控制的目标、遵循的原则、编写的依据（比如行政单位和事业单位的法规政策依据就有所不同）、适用范围（比如局机内控关不能与独立核算的所属事业单位执行同一个内控体系）、局限性等等。这一部分主要是一些内部控制的相关概念及内控体系文件的使用说明，虽然没有涉及到具体的业务活动，但是必须的。

三、风险评估

内部控制是控风险的，单位规模大、业务多，内控措施并不一定复杂，而是要看单位业务过程中风险的等级和风险点的多少。所以，在制定控制措施之前，必须遵循风险管理的理论和方法，对经济业务活动中的风险进行全面的、科学的分析和排查。

风险管理是一个比内部控制更为复杂的管理体系，我们在手册里仅是对基于内部控制需要的风险管理理论进行描述，比如风险的定义、风险的类别、风险分析和评估、风险应对策略和风险控制活动等。

四、单位层面内部控制建设

这一部分是与《内控规范》第三章内容相对应的。业务层面的概念好理解，就是六大经济业务活动，单位层面是什么意思呢？单位层面是指单位的组织机构、工作机制、关键岗位人员和内部控制采用的工具等等。机构主要是指单位管理层级是如何设置的（一般为领导班子、各科室负责人和基层岗位三个层级）、有哪些常设机构和非常设通俗机构，比如，与内控建设相关的有三个非常设机构（领导小组、工作小组、评价与监督小组）在每年内控报告单位层面都是重点考察的内容；机制主要是指决策、执行、监督这三种权力在单位内部是如何运行的，分级授权的要求是如何落实的等等；人员主要是指关键岗位工作人员，这些人员如何通过界定职责、教育培训、定期轮岗等措施满足内控建设人员素质和能力方面的要求；工具有两种，一是会计控制，二是信息化。 工作机制是单位层面建设的重点内容，党中央对单位权力运行提出的要求都应该在单位层面工作机制的设计中体现出来。

如果说业务层面是“花”，那么单位层面就是“土”，单位层面的建设是业务层面建设的基础和保障。

五、业务层面内部控制建设

六大业务除了建设项目和资产业务中的对外投资，其他业务在每个单位都是适用的。业务层面如何建设？简单而言就是明确职责、梳理流程，绘制流程图、制定风险防控措施和管理制度等。按照流程管理理论的要求，业务活动中的一些枝枝叉叉需要砍掉、理顺，让流程更顺畅、更高效，所以流程梳理的过程应该同时是一个流程再造的过程)。 流程图受篇幅所限，不可能把所有的工作细节在一页纸上画出来，也不可能在图上显示太多的文字内容，所以还要对流程进行简要的说明和描述。我们认为，从符合规范要求的角度考虑，必须要绘制流程图，但从实际应用的角度而言，流程图的价值不是什么如内(部控制管理制度，当然，内部控制管理制度是在流程梳理和流程图绘制的基础上设计的。

很多单位制定的内部规章制度内容比较全面，但仔细研究以后，我们发现这些制度文件基本都不符合《内控规范》的要求，因为内部控制制度应该体现不相容岗位易懂的分离、归口管理、授权审批、单据、信息公开等《内控规范》要求的管理原则和方法，制度的内容要流程化，并且还需要规定落地的工具和方法，一般是指表单和信息化系统。所以，单位原有的制度一般都需要根据《内控规范》的要求进行重新设计，或者进行修订、补充和升级。 业务层面包括六大业务，每项业务还有一些细分的小项，比如收支业务一般细分为财政拨款收入管理、非税收入管理、基本支出管理、项目支出管理、票据管理、公务卡管理等等，基本支出管理又可以继续细分为公务接待、差旅费、会议费、培训费等管控项目，如果把每项制度都附在流程后面，这样手册的篇幅会太大，使用起来很不方便，我们一般是把各项内控管理制度按照《内控规范》和《内控手册》的章节顺序单独汇编成册，所以，《内部控制手册》可以分解释为《内部控制手册》（流程分册）和《内部控制手册》（制度分册）两本。

我们认为，《内控规范》要求建立的制度必须要有，也就是说，内控制度必须首先做到与《内控规范》的符合性，其次还要做到实用性，比如，如果设计了信息公开的管理制度，那就应该在机关单位相对应的设计一个保密工作管理制度，该公开的必须公开，不需要公开的，要做好保密。基本支出的项目比较多，大多数单位发生频率比较高、需要严格控制的是四大费用内部控制（招待费、差旅费、会议费、培训费），各地财政等主管部门对这些费用的管理都有具体的要求，并且变动频率比较大。所以，内控制度不是管理制度的汇编和罗列，要注意《内控规范》的要求，要有逻辑性，更要结合单位实际。

六、评价、监督、报告与内部审计

单位内控建设是否符合《内控规范》的要求？运行的效果怎样？单位每年要组织进行一次自我评价，根据制衡原则的要求，内控建设的牵头部门和评价的牵头部门必须要分离，如果财务科牵头了内控建设工作，评价工作就必须由另一部门牵头组织。除了内部的自我评价，单位每年还要接受外部监督，现在法定的、定期的检查就是财政部要求的《内控报告》编报工作。所以，每年在完成决算以后，大概在三四月份就要开易始准备上年度的内控报告编报工作了。除了财政局，审计局、纪监委和组织部也是单位内控建设的外部监督部门，这在2018年度内控报告编报的要求中已经明确了的。 根据2018年新修订的《审计署关于内部审计的工作规定》第三条的要求，内部审计的范围增加了风险管理和内部控制两项内容。所以，在《内控手册》中除了设计编写评价与监督的内容，还应该单独一节体现内部审计对单位内部控制监督的内容。

单位成立内控领导小组、领导班子开会进行工作部署、开展专题培训活动、设计编写《内控手册》，是财政部严格要求的单位内控建设工作的必要步骤，其中，设计编写一本符合《内控规范》要求的《内控手册》是最关键的一步。