西安交通大学第二附属医院内部控制评审实施办法(试行，征求意见稿)

西安交通大学第二附属医院内部控制评审实施办法

(试行，征求意见稿)

第一章 总 则

第一条 为了提升医院内部管理水平，加强内部控制制度建设，规范内部控制评审工作，提高审计工作质量，加强廉政风险防控机制建设，对经济活动的风险进行防范和管控，根据《中华人民共和国审计法》、《中华人民共和国会计法》、《行政事业单位内部控制规范（试行）》（2014年1月1日施行）、《西安交通大学内部控制评审实施办法》(西交审【2018】4号)等法律法规和学校、医院相关制度规定，制定本办法。

第二条 本规范所称内部控制评审，是指审计室对医院所属各单位制定的与防控经济活动风险相关的内部管理制度、实施措施及执行程序的有效性进行的审查和评价活动。

第三条 单位内部控制的目标主要包括:合理保证单位经济活动合法合规、资产安全和使用有效、财务信息真实完整，有效防范舞弊和预防腐败，提高公共服务的效率和效果。

单位内部控制的方法一般包括不相容岗位相互分离、内部授权审批控制、归口管理、预算控制、财产保护控制、会计控制、单据控制、信息内部公开等。

第四条 单位应当单独设置内部控制职能部门或者确定内部控制牵头部门，负责组织协调内部控制工作。同时，应当充分发挥财会、内部审计、纪检监察、政府采购、基建、资产管理等部门或岗位在内部控制中的作用。

各相关部门应当根据相关规范建立适合本部门实际情况的内部控制体系，并组织实施。具体工作包括梳理部门各类经济活动的业务流程，明确业务环节，系统分析经济活动风险，确定风险点，选择风险应对策略，在此基础上根据国家有关规定建立健全单位各项内部管理制度并督促相关工作人员认真执行。

第五条 内部控制评审的责任是对医院所属各单位内部控制制度建立和实施的全面性、重要性、制衡性和适应性进行审查和评价，出具客观、公正的评审报告，促进各单位加强风险防控，规范内部管理机制，建立健全内部控制制度，从根本上消除和防止弊端产生的可能性，提高管理水平和经济、社会效益。

第二章  评审内容

第六条 内部控制评审按照其内容。分为单位层面内部控制评审和业务层面内部控制评审。单位层面内部控制评审是对医院各类业务活动的内部控制，包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素进行的全面审查与评价。业务层面内部控制评审是对医院某项业务或业务活动的某个环节、内部控制的某个要素所进行专业审查与评价。

第七条 单位层面内部控制评审。

（一）内部环境要素评审的主要内容：

1、单位组织机构的设置、各岗位职责权限、业务流程、决策机制。

2、长远战略发展规划、年度工作计划的制定与执行情况等。

3、人员队伍建设规划、岗位任职条件及考核机制、人员薪酬激励机制、人员培训机制、人员轮岗及退出机制等。

4、形成体现医院发展愿景、积极向上的单位文化及单位文化的内化程度等。

5、所承担的医疗任务、教学任务、科研任务、管理服务、人才培养等方面职责的履行情况，是否做到经济效益与社会效益、短期效益与长期效益、医院与社会共同发展等。

（二）风险评估要素评审的主要内容：

1、是否进行内外部因素分析，正确识别可能存在的风险。

2、风险分析是否与单位的实际情况和具体业务性质相联系，是否采用定性和定量相结合的方式测量风险发生的可能性，并按照其影响程度进行排序，确定关注重点和优先控制的风险。

3、是否及时根据风险分析的结构，结合风险承受度，权衡风险与收益，确定风险应对策略。

4、风险应对策略的选择是否具有针对性，是否能够有效控制风险。

（三）控制活动要素评审的主要内容：

1、单位经济活动的决策、执行和监督是否相互分离，权责是否对等；“三重一大”事项是否由单位领导班子集体研究决定。

2、单位是否建立健全内部控制关键岗位职责，明确岗位职责及分工，确保不相容岗位相互分离、相互制约和相互监督；是否实行内部控制关键岗位工作人员的轮岗制度，明确轮岗周期。

3、单位内部控制关键岗位工作人员是否具备与工作岗位相适应的资格和能力。

（四）信息与沟通要素评审应主要关注：

1、信息系统实施内部控制是否有效。

2、是否具备获取内外部信息的能力。

3、信息的处理和传递是否及时。

4、财务报告相关信息是否真实可靠，

5、反舞弊机制是否健全。

6、信息系统是否安全可靠。

（五）内部监督要素评审应主要关注：

1、建立健全内部监督制度及执行情况。

2、内部监督部门是否在内部控制设计与运行中有效发挥作用。

第八条  业务层面内部控制评价。

（一）预算业务控制评审的主要内容：

1、是否建立健全预算编制、审批、执行、决算与评价等预算内部管理制度。

2、相关岗位设置是否合理，职责权限是否明确，预算编制、审批、执行、评价等不相容岗位是否分离。关键岗位工作人员应当具备与其工作岗位相适应的资格和能力，并定期进行业务培训和职业道德教育。

3、预算编制程序是否规范，方法是否科学，内容是否完善。

4、预算指标分解下达是否及时，是否按批复预算安排单位各项支出，预算调整变更程序是否规范。

5、是否建立预算执行分析机制并定期通报执行情况。

6、决算分析是否真实、完整、准确、及时。

7、是否建立预算全过程绩效管理机制。

（二）收支业务控制评审的主要内容：

1、是否建立健全收入支出的内部管理制度。

2、相关岗位设置是否合理，职责权限是否明确，收款和会计核算、支出申请和内部审批、付款审批和付款执行、业务经办和会计核算等不相容岗位是否分离。

3、所有收入是否应收尽收，及时入账，无账外账。

4、是否建立健全票据管理制度。

5、是否加强支出审批、审核的程序控制；是否加强支付控制，明确报销业务流程。

（三）债务控制评审的主要内容：

1、是否建立健全债务管理的内部控制。

2、是否建立债务举措和偿还的事业发展规划及风险预警机制。

3、举债投资是否进行可行性研究，是否在贷款额度限额内按计划和规定用途使用借款。

4、借款的取得、使用和归还是否及时、完整地根据有关凭证入账，账务处理是够合规；是否对长期负债资金的使用和归还情况进行经常性检查。

（四）专项资金控制评审的主要内容：

1、是否建立健全专项资金管理的内部控制。

2、专项资金的立项审批手续是否完备合规，项目合同是否经过审核和论证。

3、专项资金及配套经费是否按时足额到位，支出是否按照预算执行。

4、专项资金预算变更是否经过论证及审批。

（五）招标采购管理控制评审的主要内容：

1、是否建立健全招标采购的内部管理制度。

2、相关岗位设置是否合理，职责权限是否明确，不相容岗位是否分离。

3、招标项目、采购计划编制是否真实、合理，审批程序是否合规，招标采购方式选择是否适当。

4、招标采购过程中是否采取有效的质量控制措施。

5、项目实施、物资出入库手续是否齐全，相关制度是否完整。

6、政府采购管理制度是否制度健全；是否按照预算和计划组织政府采购业务;是否按照规定组织政府采购活动和执行验收程序;政府采购预算与计划、各类批复文件、招标文件、投标文件、评标文件、合同文本、验收证明等政府采购业务相关资料是否按照规定归档和保存。

（六）资产管理控制评审的主要内容：

1、是否对资产实行分类管理，是否建立健全资产管理的内部管理制度。

2、相关岗位设置是否合理，职责权限是否明确，不相容岗位是否分离。

3、货币资金的使用是否严格履行审批程序，是否定期对货币资金进行对账清理。

4、是否按照规定的审批权限和程序开立、变更和撤销银行账户。

5、对事物资产和无形资产是否有明确的管理措施，资产使用和保管是否落实到人。

6、是否定期对资产进行清查盘点，对账实不符的情况及时进行处理。

7、是否建立资产管理台账，资产的调剂、租借、对外投资、处置程序等是否建立、执行是否规范。

（七）合同管理控制评审的主要内容：

1、是否建立健全合同管理的内部管理制度。

2、相关岗位设置是否合理，职责权限是否明确，是否实施归口管理。合同专用章是否妥善保管和使用，并登记。

3、是否明确应签订合同的经济活动范围和条件;合同订立程序是否规范，涉及影响重大、专业性强或法律关系复杂的合同，是否经过相关法律、技术、财会等专家论证审核。

4、是否建立并实施合同履行的有效监督机制，合同履行中因情势变更需要签订补充合同或变更、解除原合同的，是否按照相关规定程序进行审批。

5、合同归口管理部门是否对合同进行了登记管理；是否定期对合同进行统计、分类和归档；合同的订立、履行和变更情况，是否实行全过程管理。

6、是否健全合同纠纷化解和应对处理机制。合同发生纠纷的，是否在规定时效内与对方协商谈判；协商一致的，双方是否签订书面协议;协商不一致的，是否按照合同约定的方式选择仲裁或诉讼方式解决。

（八）建设项目、修缮项目控制评审的主要内容：

1、是否建立健全建设项目、修缮项目的内部管理制度。

2、相关岗位设置是否合理，职责权限是否明确，不相容岗位是否分离。

3、是否建立与建设项目、修缮项目相关的议事决策机制，并形成书面文件归档管理。

4、是否建立与建设项目、修缮项目相关的审核机制，并出具评审意见。

5、医院总体规划和总体修建性规划是否经过科学论证、集体决策，并按照规定经相关部门审批。

6、与建设项目、修缮项目有关的招投标和开标评标工作是否严格规范。

7、建设项目、修缮项目资金是否严格执行投资计划和预算，做到专款专用。

8、建设项目、修缮项目档案管理是否规范、科学。

9、建设项目、修缮项目超概算或设计变更等调整行为是否按照相关规定履行报批程序。

10、是否按规定时限及时办理工程验收和结算审计。

11、是否按规定时限及时办理建设项目、修缮项目的竣工决算和资产移交。

12、是否按照规定保存建设项目、修缮项目相关档案。

第九条 内部控制缺陷的认定。

1、内部控制缺陷按其成因可分为设计缺陷和运行缺陷，按其性质和影响度分为重大缺陷、重要缺陷和一般缺陷。

2、内部审计人员应当根据评审结果，结合单位内部控制自我评估，全面分析后提出内部控制缺陷认定意见。

设计缺陷是指缺少为实现控制目标所必须的控制，或者现有控制设计不适当，即使正常运行也难以实现控制目标。运行缺陷是指设计适当的控制没有按设计意图运行，或者执行人员缺乏必要授权或专业胜任能力，无法有效实施控制。

重大缺陷是指一个或多个控制缺陷的组合，可能严重影响内部整体控制的有效性，进而导致单位无法及时防范或发现严重偏离整体控制目标的情形。重要缺陷是指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致单位无法及时防范或发现严重偏离整体控制目标的情形仍然可能存在。一般缺陷是指除重大缺陷和严重缺陷之外的其他缺陷。

第三章  评审程序

第十条 审计室具体实施内部控制评审工作。

第十一条 审计室应当拟定评审工作方案，明确评审范围、工作任务、人员组成、进度安排等相关内容。

第十二条 审计室在实施评审之前，应当要求被评审单位进行一次内部控制自我评估并出具报告。审计室应当结合内部控制自我评估报告，确定评审内容及重点，实施内部控制评审。

第十三条 审计室应当对被审计单位进行现场测试，综合运用个别访谈、问卷调查、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评审单位内部控制设计和运行是否有效的证据，按照评审的具体内容，研究分析内部控制缺陷。

第十四条 内部控制评审应当形成工作底稿，详细记录执行评审工作的内容，包括评审要素、主要风险点、采取的控制措施、实际运行结果以及认定结论等。评审工作底稿应当内容完整、结论明确、简洁明了，并附有充分证据。

第十五条 审计室提出评审报告应包括以下内容：

（一）评审概况。主要包括评审依据、评审范围、评审对象、评审方法及主要评审程序等内容。

（二）被评审单位的基本情况。主要包括被审计单位的主要业务、职能、组织结构、会计机构(或其他关键重点岗位)设置及人员的配备情况等内容。

（三）评审结果。包括总体评价和主要问题两部分。总体评价部分应结合被评审单位的业务特点对其主要内部控制方法和程序的建立及执行情况进行评价；主要问题部分就评审过程中发现的该单位内部控制中存在的主要缺陷和问题进行评价。

（四）评审意见和建议。审计室根据评审过程中存在的各类缺陷，提出针对性的意见和建议。

第四章 附则

第十六条 审计室根据实际情况，即可独立开展内控制度评审，也可将其与其他审计类型结合实施。

第十六条 本办法由审计室负责解释。

第十七条 本规定经医院      年   月   日党政联席会通过，自发布之日起试行。