内部控制手册

内部控制手册 山西省铁路工程学校内控手册 内部控制手册 (2012 年A 版) 山西省铁路工程学校 1 山西省铁路工程学校内控手册 目录 引言 .....................................。。。。。。。。。。3 第一章 总则 .............................。。。。。。。。。。 4 1.1.手册编制的目的和意义 .................。。。。。。。。。。4 1.2.手册的适用范围 .......................。。。。。。。。。 4 1.3.手册编制的依据 .......................。。。。。。。。。 4 1.4.手册编制的原则 .......................。。。。。。。。。。5 1.5.手册编制的特征 .......................。。。。。。。。。 5 1.6.手册的管理 ...........................。。。。。。。。。 6 1.7.手册的维护与监督 .....................。。。。。。。。。 7 第二章 内部控制基本原则 ..................。。。。。。。。。 7 第三章 内部控制组织机构 ..................。。。。。。。。。 8 第四章 内部控制执行与考核 ................。。。。。。。。。 9 第五章 内部控制基本框架 .................。。。。。。。。。。 10 第一节 内部环境 ............................。。。。。。。 10 第二节 风险评估 ............................。。。。。。。。23 第三节 控制活动 ............................。。。。。。。。33 第四节 信息与沟通 ..........................。。。。。。。 41 第五节 内部监督 ..........................。。。。。。。。。 51 附件1:山西省铁路工程学校心流程清单........56 附件2:山西省铁路工程学校权限指引...... 2 山西省铁路工程学校内控手册 引 言 山西省铁路工程学校是在原铁道部祁县铁路成人中等工程学校的基础上～2003年1月20日经山西省人民政府、山西省教育厅批准～成立的一所全日制普通中等专业学校～由中铁三局集团有限公司管理～办学经费由中铁三局承担～业务工作接受山西省教育厅的检查和指导。学校目前是山西省职业技能培训基地、鉴定站～山西省计算机应用能力培训点、考核点～西北工业大学网络教育学院教学基地～兰州交通大学函授站～中铁三局集团培训中心～中共中铁三局集团委员会党校。 学校占地面积86亩～学校现设有办公室、人事科、财务科、党群办、教务科、招生就业培训科、学生管理科、实验室、图书馆、总务科、食堂、北京办事处等12个科室。学校现有在岗职工77人～下设文水、运城、襄汾、葫芦岛等四个分校～普通中专在校生2000人～成人函授在校生学员800人～储备并开设了12个有较大社会需求和发展前景广阔的专业。 山西省铁路工程学校按照总公司《关于公司非上市企业建立内控体系的通知》,中铁程办函,2012,27号,和宏达中心《关于开展企业内部控制体系建设的通知》,中铁宏达管【2012】50号,文件精神～于2012年8月开展了以风险管理为导向的内部控制体系建设～旨在梳理和优化内部控制体系～搭建全校相对统一的内部控制平台,以确保在合规的基础上进一步提升整体内部控制水平。 3 山西省铁路工程学校内控手册 第一章 总则 1.1 手册编制的目的和意义 随着山西省铁路工程学校的不断发展～经营领域不断拓展和市场竞争日益加剧～外部监管机构管控力度的不断加强～为进一步强化学校内部控制～提升风险管理水平～实现持续健康发展～山西省铁路工程学校特编制《内部控制手册》,以下简称“《手册》”,～作为学校建立、执行、评价及维护内部控制与风险管理体系的指导和依据。 本《手册》是在总结山西省铁路工程学校多年管理经验以及借鉴其他优秀学校管理经验基础上编制而成～是管理经验的沉淀和提炼。将先进的内部控制、风险管理和流程管理理念融为一体～在推动学校业务标准化、规范化运作的基础上～为进一步优化内部控制体系奠定基础。 通过编制《手册》～建立一套科学、系统的内部控制体系～为山西省铁路工程学校内部控制体系建立、运行、监督、评价和维护提供指引和依据～从而确保全校上下在思想上、认识上对内部控制体系保持高度统一～最终实现行为上的统一。 1.2手册的适用范围 适用于山西省铁路工程学校内部管理。 1.3手册编制的依据 本《手册》的编制遵循财政部、证监会、审计署、银监会、保监会联合发布的《企业内部控制基本规范》(以下简称《基本规范》)以及《企业内部控制应用指引》,以下简称《应用指引》,、《企业内部控制评价指引》,以下简称《评价指引》,和《企业内部控制审 4 山西省铁路工程学校内控手册 计指引》,以下简称《审计指引》,,国资委发布的《中央企业全面风险管理指引》,以下简称《风险管理指引》,,宏达中心相关管理规定,以及山西省铁路工程学校,借鉴《COSO内部控制整体框架》和《COSO企业风险管理整体框架》。 1.4手册编制的原则 1.4.1 先进性与实用性相结合 本《手册》立足于山西省铁路工程学校自身的战略目标和管理特点～力求与现有的管理程序相衔接～充分考虑实际管理工作的可行性与可操作性。 1.4.2 方法论与操作性相结合 本《手册》的内容涵盖内部控制体系的各个要素和环节～对山西省铁路工程学校建立和运行内部控制体系提出了一套完整的方法论和指导原则～针对风险识别、风险评估、风险控制、内部控制评价等基础工作～制定了具体的操作指引和工作模版。 1.4.3 继承性与包容性相结合 本《手册》与山西省铁路工程学校现行的管理制度体系相结合～力求与其他制度相融合～对于已不适用的管理制度～应对照本《手册》的规范要求及时修改、完善。 1.4.4 满足外部监管与提升内部管理相结合 山西省铁路工程学校的内部控制既要为战略目标实现提供合理保障～又要满足外部监管部门的监管要求。本《手册》的编制以满足外部监管要求为出发点～以提升学校内部控制水平为落脚点～兼顾内外部的风险管理与内部控制的要求。 1.5 手册编制的特征 1.5.1 贯彻风险预控的管理理念 本《手册》贯彻以风险为导向的内部控制理念～强调事前控制和过程控制～在构建良好的内部环境基础上把管理风险作为内部控制的 5 山西省铁路工程学校内控手册 目标～将业务活动所对应的风险以风险控制文档的形式进行提炼～实现风险预控和标准化管理。 1.5.2 现有管理体系的融入与整合 本《手册》以风险管控为主线～将管理理念和企业文化贯穿其中～从风险的视角出发～将内部控制的原则、方法与管理制度、紧密结合到制度和流程建设中～形成山西省铁路工程学校相互融合、协调一致的内部控制有机整体。 1.5.3 具有广泛适用性和前瞻性 本《手册》以财政部等五部委《企业内部控制基本规范》及配套指引为指导～借鉴国际通行的风险管理与内部控制框架中的基本要素～并充分考虑了山西省铁路工程学校的实际情况～建立各项业务流程～规范内部控制行为～提供操作指引～在覆盖学校现有业务活动的同时～对未来一定时期学校业务发展的需求提供指南。 1.5.4 具有强制性和约束性 本《手册》明确山西省铁路工程学校建立内部控制体系及框架所遵循的标准～规范各层级的管理与业务控制活动～既适用学校管理决策层的控制～又适用经营管理层面的控制～具有广泛的约束性～一经批准发布～山西省铁路工程学校下属部门必须严格执行。 1.5.5 局限性 本《手册》所涉及的范围与内容基于现行的内部控制措施、相关交易和资料信息。提供在某一时段上有关现状、风险及内部控制的信息。对内外等未知因素变化可能造成的影响～本《手册》无法预测和涵盖。山西省铁路工程学校应及时对《手册》进行动态的维护和更新。 1.6 手册的管理 1.6.1 管理与保密 山西省铁路工程学校办公室对本《手册》进行管理～保证其有效、完整、统一和适用。本《手册》是山西省铁路工程学校重要文件～属 6 山西省铁路工程学校内控手册 学校机密。使用者应按相关保密要求正确使用～未经批准～不得复制～不得对外泄露。 1.6.2 编写与发布 本《手册》由办公室负责组织编写～校长办公会议审议、审定～经校长批准～发布执行。 1.6.3 发放与使用 本《手册》须按发放范围统一发放。发放范围由办公室提出～经校长批准发放。发放范围一般包括内控体系覆盖范围及特殊使用者。使用者应按照规定妥善保管和使用。 1.7 手册的维护与监督 本《手册》的修订、换版等日常维护由办公室负责。办公室应根据相关法律法规的规定、内外部审计对内部控制的评价、内控管理中出现的问、各部门反馈的意见及建议等～对本《手册》进行修订～经校长批准发布执行。 办公室应及时掌握本《手册》的使用情况～并采取有效措施确保本《手册》的实用性。 第二章 内部控制基本原则 2.1 合规性原则 严格遵照国家的法律、法规和政策～遵照中华人民共和国财政部等五部委制定的《基本规范》和配套《指引》～符合国务院国有资产监督管理委员会制定的《风险管理指引》的原则要求。 2.2 全面性和重要性结合原则 本《手册》的内容涵盖了内部控制体系的各个要素和环节～涵盖了各级组织、机构和岗位人员的各项业务活动过程～重点加强重大事项、重要业务和重要岗位的风险管理及内部控制。 7 山西省铁路工程学校内控手册 2.3 统一性和分级管理相结合原则 根据业务实际～强调建立山西省铁路工程学校相对统一的内部控制体系～实施各部门分级管理～统一对学校负责。 2.4 制衡性和效率相结合原则 按照山西省铁路工程学校管控定位～兼顾运营效率～在学校治理结构和内部管理中形成相互制约、相互监督的机制。 2.5 动态适应原则 适应经营规模、业务范围及面临的风险～并随之作动态调整。 2.6 独立性原则 专职机构和岗位人员在评价及报告时应当客观、独立。 2.7 成本效益原则 权衡实施成本和预期收益。 第三章 内部控制组织机构及职责 3.1 山西省铁路工程学校组织机构及职责 3.1.1 山西省铁路工程学校成立内控体系建设领导小组～校长任组长～负责纪检监察工作的副校长为副组长～成员包括学校其他领导和部门负责人～负责内部控制的建立、完善和有效实施。重大问题由领导组审核～最终由校长办公会议决策。 3.1.2 山西省铁路工程学校成立内部控制审计监督委员会～由分管纪检监察工作的副书记任主任～财务室、办公室、党群办、人事室负责人为成员～负责审查学校内部控制体系设计的有效性～监督内部控制的有效实施和内部控制自我评价情况～协调内部控制审计及其他相关事宜～负责对学校建立与实施内部控制进行监督等。 3.1.3 山西省铁路工程学校办公室是内部控制体系的归口管理部门～在内控体系建设领导小组领导下～负责组织内部控制体系的建立和日 8 山西省铁路工程学校内控手册 常维护以及监督工作。 3.1.4 山西省铁路工程学校各职能部门是内部控制的执行部门～负责内部控制各项制度及流程的执行～负责本部门管理业务内部控制的建立和自我监督评价工作。 3.1.5 山西省铁路工程学校配备内部控制专,兼,职岗位人员。专,兼,职岗位人员应当具备相关知识、具有一定的工作经验和良好协调能力～具有中级及以上职称或职业资格～熟悉学校经营管理和教育教学管理、财务、审计等业务流程。 第四章 内部控制执行与考核 4.1 执行要求 4.1.1 山西省铁路工程学校应当遵循内部控制标准要素要求～制定本单位的《手册》。 4.1.2 山西省铁路工程学校校属各部门都应当按照《手册》制定方案和计划～开展内部控制监督评价～利用检查监督评价的成果～制定和完善各类管理制度及业务流程并贯彻执行。 4.1.3 山西省铁路工程学校应组织财务、审计等内外部专业人员参与内部控制监督评价～采取定性和定量相结合的方法～提高监督评估结果的准确性。 4.1.4 内部控制专,兼,职岗位人员在进行内部控制监督检查及评价时有权查阅、复制有关资料～要求调查和评价对象做出说明和解释～并对相关信息保密。 4.1.5 山西省铁路工程学校校属各部门应当充分利用信息技术～提高内部控制水平。 4.1.6 山西省铁路工程学校内部控制工作要点和计划一经下达～校属各科室应当组织实施。 9 山西省铁路工程学校内控手册 4.1.7 山西省铁路工程学校校属各部门应按照学校规定格式及内容要求报送年度《内部控制自我评价报告》～客观反映本部门内部控制情况。 4.2 评价与考核 山西省铁路工程学校将所属部门的内部控制评价结果纳入绩效考核体系。 第五章 内部控制基本框架 山西省铁路工程学校依照《基本规范》规定的内部环境、风险评估、控制活动、信息与沟通和内部监督的内部控制五要素～建立学校内部控制基本框架～并据此在学校层面和流程层面识别相关的风险～制定控制措施。 第一节 内部环境 1、概念 内部环境确定了学校对内部控制体系建设的总体态度～是内部控制体系建设的基础～是有效实施内部控制的保障～直接影响着内部控制的贯彻执行、学校经营目标及整体战略目标的实现。内部环境一般包括治理结构、机构设臵及权责分配、发展战略、内部审计、人力资源政策、学校文化等。 2、关注重点 子要素 关注重点 1.根据国家有关法律法规和《山西省铁路工程学校章程》的规定～组织架构 建立健全学校治理结构～明确学校决策、审计监督、执行的职责权 限、任职条件、议事规则和工作程序～确保决策、监督和执行相互 10 山西省铁路工程学校内控手册 分离～形成制衡。 2.结合业务特点和内部控制要求设臵内部机构～明确职责权限～将 权力和责任落实到各责任部门。 3.机构设臵为学校提供了计划、执行、控制和监督其活动的框架。 它强调权责分配的知情与监督～要求全体员工掌握内部机构设臵～ 明确权责分配～正确行使职权。 4.组织架构的设定能支持战略发展和管控要求。 制定和实施有利于学校可持续发展的人力资源政策。它包括员工的 聘用、培训、辞退、辞职、薪酬、考核、晋升、奖惩、关键岗位员人力资源 工的强制休假、定期岗位轮换、掌握国家秘密或重要商业秘密的员 工离岗的限制性规定等活动。 加强文化建设～培育积极向上的价值观和社会责任感～倡导团队协学校文化 作精神～树立现代管理理念～强化风险意识～增强高管人员的法律 观念和意识～严格依法决策、依法办事、依法监督。 设臵内部控制审计监督委员会～配臵充分和能够胜任的人员～赋予内部审计 内部控制审计监督委员会足够权利～使之与其承担的责任相配比～ 维护其独立性。 ,以上关注重点的设定遵照《基本规范》第十一条、第十四条、第十五条、第十六条、第十七条、第十八条、第十九条～以及《应用指引第1号-组织架构》、《应用指引第2号-发展战略》、《应用指引第3号-人力资源》、《应用指第4号-社会责任》、《应用指引第5号-企业文化》、《评价指引》。, 3、控制措施 3.1 组织架构 3.1.1治理结构 3.1.1.1 山西省铁路工程学校实行校长负责制 依据《教育法》和《山西省铁路工程学校章程》～校长为学校的法定代表人。校长对外代表学校～享有签发文件及签署合同的权力。 11 山西省铁路工程学校内控手册 副校长协助校长工作～根据校长的授权履行相应的职责～对校长负责。 3.1.1.2 山西省铁路工程学校校长职权: ,一,依照法律法规和山西省教育厅、宏达中心、中铁三局集团的规定～决定或报请审查批准本学校的各项计划, ,二,对学校资产的经营管理有决策和指挥权, ,三,任免或聘任、解聘本学校中层管理人员, ,四,奖惩职工及学校中层管理人员, ,五,法律、法规、山西省教育厅、宏达中心、中铁三局集团授予的其他职权。 3.1.1.3 山西省铁路工程学校决策制度 根据《中华人民共和国教育法》～制定《山西省铁路工程学校章程》,以下简称《学校章程》,、《山西省铁路工程学校校长办公会议制度》,以下简称《校长办公会议制度》,。根据《山西省铁路工程学校章程》、《校长办公会议制度》～山西省铁路工程学校实行校长办公会议决策制度～山西省铁路工程学校设校长1人～副校长3人。校长、副校长、是学校的高级管理人员～是校长办公会议成员～由中铁三局集团任免。 3.1.1.4山西省铁路工程学校校长办公会议的召开。 山西省铁路工程学校校长办公会议～原则上每月召开一次～根据需要可随时召开。参加会议人员:学校领导班子成员～议题涉及相关部门负责人按要求列席会议。会议由校长召集和主持～校长不能参加会议时～可委托一名副校长召集和主持～一般情况下～于会议召开前1日以书面形式通知全体成员。 3.1.1.5 山西省铁路工程学校校长办公会议内容 下列重大事项～由校长办公会议研究决定: ,一, 研究和决定学校的发展目标和发展战略, 12 山西省铁路工程学校内控手册 ,二, 研究和决定年度学校、资产处臵方案和投资计划, ,三, 研究和决定重大改革、改制、重组方案, ,四, 研究和决定学校中层干部, ,五, 研究和决定学校管理人员的薪酬和奖励, ,六, 研究和决定内部管理机构的设臵和撤销, ,七, 研究和决定审议学校年度财务预算和决算方案, ,八, 研究和决定重要规章制度的建立和完善, ,九, 研究和决定有关职工生活福利的重大事项, ,十, 研究和决定需要校长办公会议研究的其他事项。 上述事项中涉及需经职工代表大会、山西省教育厅、宏达中心、中铁三局集团审批的～按规定程序办理呈报审批。 3.1.1.6 确保完成内部控制审计监督工作 山西省铁路工程学校内部控制审计监督委员会定期研究讨论财务报告流程、内部控制～按期完成内部控制审计监督工作。 3.1.2 组织机构 3.1.2.1 符合发展战略和学校管控要求 山西省铁路工程学校行政管理、业务管理、经营管理实行分级授权～权责统一～逐级负责。学校组织机构编制管理遵循“有利于加强经营管理～建立信息畅通、反应灵活、适应学校发展和市场环境变化的运行机制”的原则。 3.1.2.1.1 设臵科学制衡的职能机构 山西省铁路工程学校通过建立分工合理、职责明确、报告关系清晰的组织结构～明确内部控制管理决策、执行和监督机构的责任和义务～确保内部控制管理职责明确、权限清晰～确保内部控制体系得到有效运行～山西省铁路工程学校内部控制组织结构如图1 所示: 山西省铁路工程学校内部控制组织机构图 13 山西省铁路工程学校内控手册 党委书记兼校长 教学副校长 党委副书记、党校副校长、工会主席 后勤副校长 教务科 图书实验室 党群办 学生科 总务科 食堂 培训(组教)科 基础教研室 团委 工程教研室 电子教研室 财人招行 务事生政 室 室 办办机电教研室 公公 室 室 14 山西省铁路工程学校内控手册 3.1.2.1.2 明确岗位职责～分离不相容岗位 山西省铁路工程学校编制岗位职责说明～定期组织员工开展岗位培训～使员工清楚其行为要达到的目标及自己的职责与他人的职责如何相互影响。 山西省铁路工程学校制定《业绩考核办法》～对各级员工的业绩进行考核～并及时将考核结果反馈被考核人～检查各级员工对职责的理解和绩效设计的有效性。 山西省铁路工程学校通过内部控制体系建设工作～梳理现行岗位分工情况～识别不相容岗位～采取适当的措施以避免潜在的风险。 3.1.2.1.3 权限体系的分配 山西省铁路工程学校结合业务管理流程制定《权限指引表》～规范了审批程序和权限～同时制定《权责管理守则》～从授权范围、对象、形式、权限管理等方面做出了规范～严禁越级办理。 3.1.2.1.4 “三重一大”的处理 为完善对重大决策、重大事项、重要人事任免及大额资金支付业务,“三重一大”,的管理～山西省铁路工程学校制定了“三重一大”集体决策制度～并强调以领导干部为重点～加大制度执行情况的监督。 3.1.2.2 满足内部控制管理要求 山西省铁路工程学校的内部控制体系管理架构分为:决策、管理、执行、监督四个层级。各层级职责分工参见图2。 图2 :内部控制框架图 决策层 山西省铁路工程学校领导班子负责领导内部控制的建立健全、有效实施 及决策 监督层 山西省铁路工程学校设内控审计监督委员会～负责组织内部控制与风险 管理监督评价 15 山西省铁路工程学校内控手册 执行层 山西省铁路工程学校各职能部门均属于内控与风险管理执行层面 3.1.2.3 符合内外环境要求的组织架构 山西省铁路工程学校组织架构的设立充分考虑了学校所处的市场环境、行业特征和经营规模。通过分级管理的组织结构和员工岗位的职责描述对报告关系进行清晰的定义。职能部门向上级请示、报告工作～要先按照学校领导的工作分工向分管领导请示、报告～再根据请示报告类别～按照职务层级或业务层级管理体制向对口的上级请示、报告。正常情况下不得越级请示、报告工作。制定规范的政策与办法～建立报告途径。采取集中管控方式～有利于统一行动和对环境的变化迅速作出反应。 3.1.3 组织架构的评估调整 3.1.3.1山西省铁路工程学校制定机构编制管理程序～明确人力资源部为机构编制业务的归口管理部门。 3.1.3.2 根据山西省铁路工程学校经营或发展战略的需要及外部环境的变化～评价现有组织结构的合理性～提出改进建议并报上级审批。对机构编制调整～进行充分调研论证～按照规定程序经审批后实施。 3.2 战略管理 3.2.1 战略制定管理 山西省铁路工程学校办公室是战略规划的管理部门～依照《山西省铁路工程学校战略管理办法》～负责管理战略目标、战略规划与学校计划的制定与调整程序～负责战略的实施与评价管理办法的实施。 为科学制定发展战略～山西省铁路工程学校战略制定综合分析内外部因素对发展战略的影响～并组织学校内外教育教学、招生就业、经营管理、人事财务、和法律等方面的专家对战略规划草案进行评审。 3.2.2 战略实施管理 16 山西省铁路工程学校内控手册 山西省铁路工程学校通过组织有关部门制定年度计划、编制全面预算等方式～将总体战略分解到学校各部门～并纳入年度绩效考核。 通过培育与战略匹配的学校文化～保证战略得以有效地贯彻实施。 3.2.3 战略调整管理 山西省铁路工程学校依照《战略管理办法》～对战略制定与实施采取事前、事中和事后评估机制。 山西省铁路工程学校定期收集汇总《战略执行情况报告》～组织进行实施情况评价～编制《山西省铁路工程学校发展战略调整建议》～提交校长办公会议进行审议～校长办公会议根据学校发展需要、对内外部环境发展趋势的判断对调整建议进行审议。 3.3 人力资源 根据山西省铁路工程学校的总体战略～学校编制了包括招聘、培训、考核、薪酬、职务晋升等一系列人力资源管理制度～并每年进行评估和调整～使之能够有效地支持学校发展战略的实施。 3.3.1 人才引进机制 3.3.1.1 根据人力资源的结构层次～山西省铁路工程学校根据不同类别人员的特点、岗位职责和知识技能实施分类引进机制和管理方法～制定并发布《山西省铁路工程学校领导人员管理办法》、《山西省铁路工程学校人力资源管理暂行办法》和《山西省铁路工程学校职工管理办法,暂行,》等制度和程序～指导和规范人才引进。 3.3.1.2 山西省铁路工程学校每年对人力资源现状进行统计和评估～制定人力资源总体规划～以防止人力资源缺乏或过剩、结构不合理、开发机制不健全的风险。 3.3.1.3 山西省铁路工程学校在选拔任用或招聘关键岗位的人员时～通过核查人事档案、与其任职单位考核等方式对其诚信与道德价值观、技能资格水平等多方面进行综合考察和重点审核。对频繁更换工作和职业背景相差很大的候选人～进行仔细核查。 17 山西省铁路工程学校内控手册 3.3.1.4 山西省铁路工程学校通过组织开展竞聘或招聘活动～对关键岗位和紧缺人才进行选拔。招聘程序一般包括资格初审、专业知识和素质测评、用人部门审核、分管领导审核等程序。 3.3.2 人力资源开发机制 3.3.2.1 培训 3.3.2.1.1 山西省铁路工程学校制定《山西省铁路工程学校人力资源管理暂行办法》等相关规章制度～并下达培训工作计划～有针对性地组织业务和知识培训～确保员工技术素质和业务能力达到岗位要求。 3.3.2.1.2山西省铁路工程学校注重对经营管理者的培养～通过针对性培训、轮岗交流等形式提高管理者素质。 3.3.2.2 人才储备 山西省铁路工程学校制定《山西省铁路工程学校人力资源管理暂行办法》、“关于下达年度毕业生接收计划的通知”等计划、制度与办法～规范学校内部人才的选拔～建立高素质的人才储备库。 3.3.2.3 人力资源的使用 3.3.2.3.1 合规管理 山西省铁路工程学校严格执行国家《劳动合同法》～建立劳动用工的管理制度～规范劳动合同管理。 3.3.2.3.2 绩效考核 山西省铁路工程学校制定了《山西省铁路工程学校员工绩效考核办法,暂行,》～针对中层及以下管理人员、基层人员分别制定考核制度～形成较为系统、规范的绩效考核评价体系～对员工履行职责、完成任务的情况实施全面、客观、公正、准确的考核～并以此作为确定员工薪酬、奖惩及任用的依据。 3.3.2.3.3 薪酬体系 ——山西省铁路工程学校依照《劳动法》～制定了《山西省铁路工程学校劳动合同管理办法,暂行,》～以按劳分配、效率优先、兼顾公平的 18 山西省铁路工程学校内控手册 原则设臵薪酬体系～以体现公平性和竞争性, ——建立完善的以期薪、岗薪为基本内容～以绩效考核为发放依据的薪酬体系。 3.3.2.3.4 关键岗位队伍的稳定机制 界定关键管理人员的职责 山西省铁路工程学校通过制定《山西省铁路工程学校各部门主要职能》～将岗位职责规范、业务活动的职责和期望传达给负责这些关键活动的管理人员～并与关键管理人员签订《目标责任书》～同时实施岗位绩效考核～与收入分配挂钩。 管理关键管理人员 —— 结合绩效激励机制和人才发展计划～为保持管理层、监督职能人员的稳定～杜绝人员频繁更换～维持学校财务、信息等系统员工队伍稳定,山西省铁路工程学校在校内劳动合同管理办法中规定:属于《保密工作管理办法》界定的涉密员工在合同履行期间与学校签订《保密协议书》。 —— 山西省铁路工程学校制定后备干部培训计划～并根据学校的需要和不断变化的情况进行实施。 3.3.2.4 人员退出机制 山西省铁路工程学校遵照《劳动法》结合管控目的～制定《山西省铁路工程学校动合同管理办法,暂行,》以及人员退出的操作与审核机制。 3.4 学校文化 3.4.1 文化建设与品牌维护 3.4.1.1 山西省铁路工程学校对外使用统一的学校。制定明确的学校精神、办学宗旨、规划愿景和价值理念～并通过网络、培训和宣传册等方式进行学校内外的宣导～强调管理层在学校文化管理中的责任。不定期对学校文化的建设情况进行监督和考核。 3.4.1.2 为引领学校持续健康发展～实现学校的价值理念～山西省铁路工程学校在实践中注重社会责任的履行～在员工发展、公益事业、学生培养、 19 山西省铁路工程学校内控手册 经济发展、教学改革、校园安全等方面履行社会责任。 3.4.2 建立并倡导诚信与道德价值规范 山西省铁路工程学校制定诚信与道德价值观规范～并使其与《学校章程》、学校精神与办学宗旨、学校核心经营管理理念一起成为学校全体员工的主要道德准则,并建立了学校文化建设相关制度～积极宣传诚信与道德价值观规范。并采取灵活多样的方式对遵守情况进行预防和监督。 3.4.3对员工遵守诚信与道德价值观规范的情况进行监督和考核 根据山西省铁路工程学校的规定～学校相关部门对员工遵守诚信与道德价值观规范的情况进行监督。员工违反诚信与道德价值观规范的任何行为～除依照国家法律进行处理外～学校根据有关制度规定对其处分直至解除劳动合同。 3.5 社会责任 为引领学校持续健康发展～实现学校的价值理念～注重社会责任的履行。山西省铁路工程学校建立了学校社会责任管理体系～形成了“造福社会、科学发展、校园安全、学生培养、员工发展、公益事业”六方面的社会责任规划～并定期实施、检查。 3.5.1 校园安全监管 3.5.1.1 山西省铁路工程学校总结学校管理的经验～建立了一套校园安全,服务,管理体系～该体系涵盖校园安全,服务,生产责任制、防止重大事故发生,逐步加大校园安全,服务,投入、教育、管理和督查工作力度,严格进行安全考核和奖惩等。 3.5.1.2 山西省铁路工程学校采取一系列落实保障措施～包括签订校园安全,服务,责任承诺书,实施校园安全,服务,一票否决制,制定校园安全群众监督员选拔考核机制,组建校园安全稽查队伍等。 3.5.1.3 通过委外和内训相结合的方式加强对学校主要负责人、部门负责人和校园人员的持续培训。将校园安全,服务,意识植根入管理文化中。通过完善员工健康档案、提供体检和开展职业健康监督管理等宣 20 山西省铁路工程学校内控手册 传～引导员工共同做好职业危害源头控制工作。 3.5.2 环境保护 3.5.2.1 山西省铁路工程学校建立能源环境管理体系～通过规范能源统计管理～加大监督检查力度～控制全年能耗水平～在节约能源～提高能源使用效率的同时～保障达到能耗下降目标。 3.5.2.2 建立节能减排和美化环境保护考核指标体系～加强监督检查～严格考核标准。 3.6 内部控制审计监督 山西省铁路工程学校制定《山西省铁路工程学校内部控制审计监督管理暂行办法》、《山西省铁路工程学校内部控制审计监督年度计划》等政策与程序以指导和规范内部内部控制审计监督工作。 3.6.1 内部控制审计监督独立性 3.6.1.1 山西省铁路工程学校设臵内部控制审计监督委员会～设臵内部控制专,兼,职岗位人员～内部控制专,兼,职岗位人员向审计监督委员会汇报～保证独立性得到加强。 3.6.1.2 内部控制专,兼,职岗位人员根据授权可以参加或列席学校有关经营和财务管理决策会议～获知学校管理的薄弱环节、重大经营管理活动等～编制年度审计监督计划。 3.6.1.3 内部控制专,兼,职岗位人员可对审计监督监督中发现的违反国家法律法规和学校管理规定的事项提出审计监督建议～做出审计监督决定～并对审计监督建议、审计监督决定的落实情况进行跟踪监督。必要时对责任部门、责任人按有关规定提出追究责任的建议,对发现的学校内部控制缺陷～及时提出改进建议。 3.6.2 内部控制专,兼,职岗位人员能力 山西省铁路工程学校在内部控制审计监督制度中明确规定内部控制专,兼,职岗位人员应该具有的资质和执业能力～制定内部控制审计监督职业道德规范～要求内部控制专,兼,职岗位人员在办理审计监督事项时必 21 山西省铁路工程学校内控手册 须严格执行 4. 参考内控体系文件 SNG01 治理结构 SNG02 校园文化 MAS01 规章制度建设 HRM01 组织架构管理 HRM02 人力资源配臵 HRM03 员工发展与培训 HRM04 薪酬福利管理 HRM05 绩效考核 BUC02 内部控制审计监督 第二节 风险评估 1、概念 1.1 风险是指未来的不确定性对学校实现其经营目标的影响～所有学校～无论规模、结构和行业性质～都面临着诸多来自内部和外部的风险～影响学校既定目标的实现。 1.2 风险评估是学校及时识别、系统分析经营活动中与实现内部控制目标相关的风险～合理确定风险应对策略的过程～是风险管理的基础。在风险评估中～既要识别和分析对实现目标具有阻碍作用的风险～也要发现对实现目标具有积极影响的机遇。 2、关注重点 子要素 关注重点 目标设定 根据设定的控制目标～全面、系统、持续地收集相关信息～并结合 22 山西省铁路工程学校内控手册 实际情况～及时进行风险评估～以实现学校内部控制的五个方面目 标～即经营的合法合规～资产安全～财务报告及相关信息真实完整～ 提高经营效率和效果～实现学校发展战略。 在目标设定的基础上～通过日常和定期的评估程序与方法加以识别 风险识别 内部控制实施过程中的风险～将各类风险进行分类整理～形成学校 的风险清单。 组成风险分析团队～按照严格规范的程序～在风险识别的基础上～风险分析 采用定性与定量相结合的方式～按照风险发生的可能性及其影响程 度等～对风险进行分析和排序～确定关注重点和优先控制的风险。 及时地采取适当的风险应对策略～将风险控制在学校可承受的范围风险应对 之内。 ,以上关注重点的设定遵照《基本规范》第二十条、第二十一条、第二十二条、第二十三条、 条、第二十七条以及《风险管理指引》。, 第二十四条、第二十五条、第二十六 3、控制措施 3.1 确定风险评估的目标和范围 山西省铁路工程学校针对战略目标、经营目标、报告目标、合规性目标及资产安全目标～分别开展战略风险、经营风险、报告风险、合规性风险及资产安全风险评估。 3.2 制定风险评估的原则 3.2.1 体现从实际出发～坚持与理论相结合的原则 内部控制体系的成功实施取决于能否将面临的风险控制在与山西省铁路工程学校总体目标相适应的可承受的范围内～学校结合外部环境、行业特征、业务模式和学校发展的具体阶段等～从实际出发～识别学校层面及业务层面风险～借助先进的评估方法及模型对风险进行评定等级～建立山西省铁路工程学校风险库。 3.2.2 满足提高管理水平与监管要求相结合的原则 山西省铁路工程学校的价值观、发展战略和管理理念是直接影响内部 23 山西省铁路工程学校内控手册 控制及风险管理水平的内部环境要素～国家相关部门的监管要求是影响内部控制与风险管理水平的外部环境要素～学校风险评估既要结合价值观、发展战略和管理理念的实际～又要满足相关监管方的要求。 3.2.3 考虑实效性、渐进性原则 构建内部控制与风险管理体系是复杂的系统工程～需要整体考虑、统筹规划～重点突出～注重实效～循序渐进。山西省铁路工程学校从战略、环境、组织、流程、资源等层面系统、客观地进行风险识别和风险评估～并随着学校业务发展、外部环境变化定期、持续进行风险识别和评估～不断提高内部控制水平。 3.3 风险评估程序 3.3.1建立风险评估基础 山西省铁路工程学校建立内部通用的风险管理语言和标准～包括建立学校层面风险类别、风险的定义。确立评估风险的标准～设定控制目标～全面系统持续地收集相关的内外部初始信息～进行反复核实、不断验证～以确保信息的真实、可靠。 3.3.2 目标的类型 3.3.2.1 战略目标 战略目标是对学校战略经营活动预期取得的主要成果的期望值。战略目标统领经营目标、报告目标、合规目标及资产安全目标。 3.3.2.2 经营目标 学校经营目标是在一定时期学校经营活动预期要达到的成果。可以用业绩和利润性目标来描述。 3.3.2.3 报告目标 报告目标是向报告使用者提供与学校财务状况、经营成果、现金流量及发展前景等有关的决策信息。报告分为内部报告和外部报告～既有财务信息～又有非财务信息。 24 山西省铁路工程学校内控手册 3.3.2.4 合规目标 合规目标是指学校主动地遵守经营活动相关的法律、监管规定、自律性组织的有关准则以及学校的行为准则～避免法律制裁、监管处罚、行业处臵等重大财务损失、声誉损失～保证战略目标的实现。 3.3.2.5 资产安全目标 资产安全目标是为了预防和控制资产管理环节中的风险和损失。保障资产安全目标包括防止学校在经授权下无效率经营～损失资产,防止员工舞弊、防止学校资产被盗等。 3.3.3 风险识别工作 3.3.3.1 风险识别是指查找学校各项经营管理活动中存在的影响目标实现的风险和机遇的过程。山西省铁路工程学校分别从学校层面、业务活动层面,流程层面,动态识别影响战略目标及相关目标实现的内部和外部的各种不确定性因素。 3.3.3.2 学校层面风险识别要全面了解学校基本运营情况～考虑经过筛选、提炼、对比、分类、组合的风险管理信息～根据国家相关部门有关风险评估的要求～建立《山西省铁路工程学校管理学校层面风险数据库》。 3.3.3.3 流程层面要结合学校层面风险～在搭建覆盖山西省铁路工程学校业务范围的流程体系基础上～以流程活动为主线～识别影响学校目标实现的风险～建立流程风险数据库～确保学校层面的风险得到全流程控制。 3.3.4 风险分析 山西省铁路工程学校采用定性与定量相结合的方法～按照风险发生的可能性及其影响程度等～对识别的风险进行分析和排序～确定关注重点和优先控制的风险。 3.3.4.1 学校层面 3.3.4.1.1 学校层面风险分析的主要内容 学校层面风险分析是以学校层面风险识别为基础～通过调查问卷等形式而开展～并协调山西省铁路工程学校中高层对风险的理解和认识趋于一 25 山西省铁路工程学校内控手册 致。 3.3.4.1.2 学校层面风险分析的标准 风险问卷调查对风险发生可能性和风险影响重大性评分分为5个级别～具体评分标准请见表1 和表2。 表1:风险发生可能性评分标准 评分 1 2 3 4 5 标准 极低 低 中等 高 极高 一般情况下极少情况下某些情况下较多情况下常常会发生 不会发生 才发生 发生 发生 举例 今后10 年今后5,10 今后2,5 今后1 年内今后1 年内,注, 内发生的可年内可能发年内可能发可能发生1 至少发生1 能少于1 次 生1次 生1 次 次 次 注:举例标准仅供参考～参与评估人员亦可参考其职业判断、管理经验和学校现状进行评分。 表2:风险影响重大性评分标准 评分 1 2 3 4 5 标准 极轻微的 轻微的 中等的 重大的 灾难性的 举例,注, 财务损失 较低 轻微 中等 重大 极大 日常运行 不受影响 轻度影响中度影响严重影响重大影响 (造成轻微(造成一定(学校失去( 重大业务 的人身伤人身伤害～ 一些业务能失误～造成 害～ 情况立需要医疗救力～造成严重大人身伤 刻受到控援～情况需重人身伤亡～情况失 制) 要外部支持害～ 情况失控～给学校 26 山西省铁路工程学校内控手册 才能得到控控～但无致致命影响 制) 命影响 学校声誉 负面消息在负面消息在负面消息在负面消息在负面消息流 学校内部流当地局部流某区域流全国各地流传世界各 传～学校声传～对学校传～ 对学校传～ 对学校地～政府或 誉没有受损 声誉造成轻声誉造成中声誉造成重监管机构进 微损害 等损害 大损害 行调查～引 起公众关注 注:举例中的标准仅供参考～参与评估人员亦可参考其职业判断、管理经验和学校现状进行评分。 3.3.4.1.3 学校层面风险分析的范围 依据全面风险管理的要求～评估范围包括学校所有职能部门～涵盖各项重要经营活动及其重要业务流程。通过对学校层面风险发生的可能性及风险发生后对学校的影响程度进行分析和评价。 3.3.4.1.4 学校层面风险分析的参与人员 参与问卷调查的和风险评价的人员包括学校领导、各职能部门负责人和骨干人员以及部分教职工代表等。 3.3.4.1.5 学校层面风险分析的方式 在风险问卷的基础上～根据风险评分结果的分值对风险进行由高到低排序。学校还持续收集当年行业相关的损失事件,并从此类事件中汲取风险防范的经验。风险事件库示例如表3: 表3 :风险事件库 案例1 风险事件名称 2009 年XX 省XX县校车事故 摘要 2012 年11 月16 日～XX 省XX县XX 幼儿园校车发生特别重大交 通事故～造成包括司机、老师共21人死亡,其中幼儿19人,。事 27 山西省铁路工程学校内控手册 后～幼儿园园长被铺、两名副县长、教育局局长、交警队队长等 事故责任人受到责任追究。 11月16日清晨～司机杨海军驾驶金杯牌9座校车逆行在“郑周公发生过程 路”上与迎面驶来的时速80公里的重型卡车向撞～事故发生。 造成的损失和造成21 人死亡、41 人受伤～在全国造成极大影响。 影响 幼儿园接送幼儿安全管理措施不到位～司机违反交通规则逆行～产生原因 9座车载62人～严重超载～交通管理部门车检、执法不严～致使 车辆带病行驶～县教育局从未做校车安全检查～安全措施不落实。 事件的处理 幼儿园园长被移送司法机关依法追究刑事责任,4 名事故责任人 受到党纪、政纪处分～幼儿园被停业整顿。 防止同类事件切实增强安全防范意识～落实校车安全标准～加强安全管理～落再次发生所采实安全制度等。 取的对策 3.3.4.2 流程层面 3.3.4.2.1 流程层面风险分析的主要内容 流程层面风险分析是以山西省铁路工程学校各模块业务流程风险的识别为基础～通过流程层面风险打分的形式确定需要重点关注的流程风险～确定关键控制。 3.3.4.2.2 流程层面风险分析的标准 流程层面风险分析的评分标准与山西省铁路工程学校层面风险分析的评分标准一致～请参见: 3.3.4 .1中的山西省铁路工程学校层面风险分析的评分标准,表2 和表3,。 3.3.4.2.3 流程层面风险分析的范围 28 山西省铁路工程学校内控手册 分析范围包括山西省铁路工程学校所有职能部门～涵盖各项重要经营活动及其重要业务流程。通过对各个流程层面风险发生的可能性及风险发生后对学校的影响程度进行分析和评价～并在此基础上进行流程层面风险数据库的评分工作。 3.3.4.2.4 流程层面风险分析人员 评分参与人员应为各流程主管部门领导及流程相关具体操作人员。 3.3.4.2.5 流程层面风险分析的方式 3.3.4.2.5.1 流程层面风险评估具体步骤包括:搭建流程体系框架、绘制流程图、编写流程描述文件,确定流程控制目标、识别风险点和控制活动。 3.3.4.2.5.2 通过识别和分析山西省铁路工程学校价值链和教育模式～搭建流程体系框架～有效覆盖了学校各职能部门的业务工作,确定各流程的控制目标和风险点,依据风险评估技术和标准～从风险发生的可能性和影响程度两个维度确定了风险等级, 3.3.4.2.5.3 山西省铁路工程学校基于以上方法,在风险数据的基础上,集合相应业务流程中的主要风险, 编制风险数据库,协调主要流程负责人和管理层根据其风险偏好和对风险的认识～从风险发生的可能性和影响程度两个维度进行评分。风险数据库的模板如表4 所示: 表4:风险数据库模板 风险类别* 资 对应 战经报合产影响程 风险 发生可能性风险关键 风险编号 度 略营告规安 描述 ,1-5, 等级 控制 ,1-5, 风风风风全 编号 险 险 险 险 风 险 29 山西省铁路工程学校内控手册 注:本模板所含要素的释义及编写注意事项如下: 注1 主责部门: 被评估流程之主要负责部门。 注2 流程责任人:主责部门领导指定～了解被评估流程运作并负责协调配合流程风险 评估的人员。 注3 风险描述: 与风险控制矩阵的风险描述保持一致。即影响流程控制目标实现的 风险简述。 注4 风险类别: 根据风险描述内容勾选对应的类别。 注5 风险等级: 等于发生可能性乘于影响程度。依照风险数值判断风险重要性并 形成进行后期监控的关注基础。 3.3.5风险应对 3.3.5.1 学校层面风险应对策略 山西省铁路工程学校依照《基本规范》、《配套指引》及国资委《风险管理指引》～在学校层面风险评估的基础上～确定学校层面重大风险～并制定重大风险管理策略和解决方案。 山西省铁路工程学校的学校层面评估主要针对战略、财务、市场、经营及法律五个领域。由学校中高级管理人员通过德尔菲法等专业工具依照风险值排序, 绘制学校层面风险热力图～共同评估出重大风险～并针对重大风险建立相应的控制政策和策略。 表5:学校层面风险库示例 序号 风险大类 风险 风险等级 1 战略风险 宏观政策及形势把握风险 重要风险 2 战略风险 战略规划风险 重要风险 风险编号 1 风险类别 运营风险 风险名称 校园安全风险 30 山西省铁路工程学校内控手册 风险级别 重大风险 发生过程 校园安全风险是指学校因在安全管理制度建设与完善、措施落实与检 查、事故处理等方面缺乏有效管理而导致的学校发生重大安全事故～造 成安全隐患的风险。 造成的损失 校园安全事故的发生会直接造成人员伤亡～教学设施损坏～教学停顿～或影响 给学校带来重大经济损失,同时还会使学校声誉遭受严重影响。 产生原因 学校因为自然原因、管理原因都可能造成校园安全事故。自然原因如洪 水、飓风、地震等等,管理原因如部门安全措施费用不落实～学校技术 保障措施不到位～设备存在安全隐患～安全监管不力～教学管理和实验 人员安全意识不强～将增加此风险发生的可能性。 风险管理 各级领导高度重视～采取强有力的安全控制措施～确保学校安全发展。 策略 风险解决 全面实施学校职业健康安全管理程序～推行校园安全各项安全管理制方案 度～尤其要落实校园安全责任制～突出抓好重大事故隐患、薄弱环节的 专项整治～坚决执行校园安全问责制～出了事故必须严肃处理～追究相 关责任人的责任。深入开展校园安全宣传教育和校园安全 “警示日” 活动～用近年来发生的重大事故案例警示员工～努力提高全员安全意识。 提高安全管理的覆盖面～充分利用财产保险、投保职工安全责任保险等 措施转移部分风险。 涉及的主要 山西省铁路工程学校所属部门。 范围 涉及的重要 《校园环境管理流程》、《食堂食品安全管理流程》、《创建平安校园流程 管理流程》、《校园消防安全管理流程》等。 3.3.5.2 业务流程层面风险应对策略 3.3.5.2.1 业务流程层面风险应对基于对学校各模块各业务流程的梳理及 31 山西省铁路工程学校内控手册 流程控制点的识别。在此基础上～将流程控制点与业务流程层面风险相匹配～即形成风险控制矩阵对业务流程层面风险的有效控制和应对。风险控制矩阵模板请参见表6: 表6:风险控制矩阵模板 目发 标控制风险控制措控制现 风险描述 发现描述 建议 编目标 编号 施编号 措施 编 号 号 注:本模板所含要素的释义及编写注意事项如下: 注1 控制目标:结合学校总体目标～简要描述被评估流程的管控目标。 注2 风险描述:简要描述可能影响被评估流程控制目标实现的风险。 注3 控制措施:根据学校实际情况～具体描述针对目标和风险～学校目前所采取的措施。描述应包括控制岗位、控制内容、控制频率和采取此措施产生的输出单据名称等。 注4 发现描述:针对控制目标和风险描述～实际管控中缺少相关的控制措施～则在 本栏目就控制设计不完善的地方展开具体的描述～包括该发现可能带来的 影响等。 注5 建议:对应发现描述～提供可执行的解决方案。 3.3.5.2.2 通过业务流程层面的梳理～按三级流程识别与汇总剩余风险～并制定相关的解决方案～明确风险预计解决时间。 具体相关内容详见《山西省铁路工程学校—流程内控体系文件汇编》。 4 主要参考内控体系文件 《山西省铁路工程学校内部控制体系流程文件汇编》按三级流程编制的风险控制矩阵和风险数据库 32 山西省铁路工程学校内控手册 第三节 控制活动 1 概念 1.1 控制活动是指学校根据风险评估结果～采取相应的控制措施～将风险控制在可承受度之内。 1.2 控制活动是确保管理层关于学校经营管理指令得以贯彻执行的政策和程序～它存在于整个学校所有级别的职能部门～通常包括不相容职务分离、授权审批、会计系统、财产保护、预算、运营分析、绩效考评控制等。学校应当根据内部控制目标～将控制措施与风险应对策略相结合～对各种业务和事项实施有效控制。此外～学校应当建立重大风险预警机制和突发事件应急处理机制～明确风险预警标准～对可能发生的重大风险或突发事件～制定应急预案、明确责任人员、规范处臵程序～确保突发事件得到及时妥善处理。 2 关注重点 子要素 关注重点 不相容职务分离全面系统地分析、梳理业务流程中涉及的不相容职务～实现 控制 相应的分离措施。 制定常规授权和特别授权的规定～明确各岗位办理业务和事 授权审批 项的权限范围、审批程序和相应责任。 严格依照会计准则、制定会计核算与管理制度～加强会计基 础工作～明确会计凭证、会计账簿和财务会计报告的处理程会计系统控制 序～保证会计资料真实完整。 建立财产日常管理制度和定期清查制度～采取财产记录、实财产保护控制 物保管、定期盘点、账实核对等措施～限制未经授权的人员 接触和处臵财产。 明确各责任部门在预算管理中的职责权限～规范预算的编制、 预算控制 审定、下达和执行程序～强化预算约束。 运营分析控制 建立运营情况分析制度～运用综合信息和多种合理有效的分 33 山西省铁路工程学校内控手册 析方法～定期开展运营情况分析～发现存在的问题～及时查 明原因并加以改进。 建立和实施绩效考评制度～科学设臵考核指标体系～对学校 内部各责任部门和全体员工的业绩进行定期考核和客观评绩效考评控制 价～将考评结果作为确定员工薪酬以及职务晋升、评优、降 级、调岗、辞退等依据。 建立重大风险预警机制和突发事件应急处理机制～明确风险重大风险预警和 预警标准～对可能发生的重大风险或突发事件～制定应急预突发事件应急 案、明确责任人员～规范处臵程序～确保突发事件得到及时 处理机制 妥善处理。 ,以上关注重点的设定遵照《基本规范》第二十八条、第二十九条、第三十条、第三十一条、第三十二条、第三十三条、第三十四条、第三十五条、第三十七条～《应用指引第1号-组织架构》、《应用指引第6号-资金活动》、《应用指引第7号-采购业务》、《应用指引第8号-资产管理》、《应用指引第14号-财务报告》、《应用指引第15号-全面预算》、《应用指引第16号-合同管理》。, 3 控制措施 3.1 内部控制体系的建立 3.1.1 学校层面 山西省铁路工程学校学校层面的内控体系建设主要包括:1,道德准则的建立与推行,2,高层管理者对内部控制的重视态度,3,检举揭发机制的建立,4,权限和职责分工的设臵,5,内部控制审计监督,6,信息系统环境,7,组织架构,8,人力资源政策等。详见5.1.内部环境部分。 3.1.2 流程层面 3.1.2.1 建立流程体系框架 3.1.2.1.1 山西省铁路工程学校通过建立流程体系文件～进行风险和控制的配比分析～发现现有控制措施可以进一步完善和提升的环节～补充和完善现有控制措施～以达到防范风险的目的。 3.1.2.1.2 山西省铁路工程学校针对自身业务和管理实际情况～借鉴国内 34 山西省铁路工程学校内控手册 外行业先进经验～建立了适合自身的三级业务流程体系框架。确保学校内控与风险管理体系建设能够有的放矢～并与学校的日常经营管理活动相融合。山西省铁路工程学校流程框架体系详见附件1。 3.1.2.2 编制流程文件 山西省铁路工程学校通过编制流程体系文件来描述业务流程控制现状～并分析流程控制目标以及风险～通过和业务流程的控制措施进行匹配～判断控制措施的合理性、完整性、有效性～寻找控制缺陷并提出改进建议。流程体系文件主要包括流程图、流程描述、风险控制矩阵、风险数据库、控制文档以及发现与建议等六张表单。 3.1.2.2.1 流程图。流程图是以可视的方式～运用特定符号展示某一运营/流程的过程的一种符号～其意义在于帮助人们认识重要交易是如何生成、记录～获得授权并被处理和汇报的。,流程图略, 3.1.2.2.2 流程描述。流程描述对业务流程中可能出现的环节及所存在的控制环节进行描述～有助于识别步骤和控制～有助于与其他流程图相联系来解释相关的控制活动～有助于发现收集和处理数据～有助于分离可能出现问题的区域～有助于向不熟悉的人解释流程～便于指导工作的开展以及业务操作的规范化。流程描述模板如表7所示。 表7 流程描述模板 XX流程 1.流程目标 2.适用范围 3.流程图,略, 4 流程说明 35 山西省铁路工程学校内控手册 3.1.2.2.3 风险控制矩阵 风险控制矩阵,RCM,是在确定流程控制目标的基础上将流程中涉及到的风险和对应的控制措施进行汇总～从中发现控制缺陷并提出改进建议的一种矩阵表格。风险控制矩阵模板见表6。 3.1.2.2.4 风险数据库 风险数据库是在风险控制矩阵完成的基础上～集合相应业务流程中的主要风险～进行风险类别对应～同时从风险发生的可能性和影响程度两个维度～进行风险评估～确立风险等级,发生可能性X影响程度,～并结合客户风险偏好程度～判别业务流程的重大风险以及对应的关键控制点。风险数据库模板见表4。 3.1.2.2.5 控制文档 控制文档根据风险控制矩阵和风险数据库内容识别流程活动中的一般流程步骤、一般控制和关键控制～并明确其控制类型、控制方式、控制频率～并对应到活动实施证据和责任部门、责任岗位～为内部控制评价提供合理依据。控制文档模板如表8所示。 表8 控制文档模板 控制频 控制控制类型 率 控制控制实施责任责任措施控制措施 ,事前/事,随时/类别 方式 证据 部门 岗位 编号 中/事后, 日/月/ 季/年, 流程体系文件用于确认、记录每个流程及活动中存在的风险和已建立的控制措施～并与相应的制度和控制实施证据相对应。流程体系文件重点强调目标、风险、控制措施的一致性以及针对重大风险制定的关键控制措 36 山西省铁路工程学校内控手册 施的有效性。 山西省铁路工程学校针对三级流程编制内部控制文件～梳理学校政策与制度。具体参见《山西省铁路工程学校内部控制体系流程文件汇编》。 3.1.2.3 识别关键控制和一般控制 3.1.2.3.1 关键控制～是在相关流程中影响力和控制力相对较强的一项或多项控制～其控制作用是必不可少和不可替代的。如果缺少该项控制～将在很大程度上直接导致相关风险的产生。其它控制为一般控制。 3.1.2.3.2 山西省铁路工程学校在编制风险控制矩阵的基础上～形成风险数据库～通过对风险类别的识别以及相关部门、人员对风险发生可能性和影响程度进行打分评级～确定风险等级～寻找影响学校目标实现的重大风险～并针对这些重大风险～识别其所对应的关键控制。 3.1.2.3.3 山西省铁路工程学校建立控制文档用于确认流程活动中的一般流程步骤、一般控制和关键控制～明确其控制类型、控制方式、控制频率～并对应到活动实施证据和责任部门、责任岗位～为内部控制评价提供合理依据。 3.1.2.4 内部控制合规对标工作 山西省铁路工程学校依据《基本规范》及其《配套应用指引》中的十八项《应用指引》～对学校现有的流程和内部控制体系文件进行对标检查工作～以期达到内控合规的要求。对内部控制关注重点采取以下控制措施: 3.1.2.4.1 不相容职务分离控制 山西省铁路工程学校贯彻“责任分离、相互制约、不相容岗位分离”的原则～通过岗位职责分工～流程控制、定期复查等必要程序～对安全质量环保、人力资源、资金管理、资产管理、财务管理、采购等各环节产生的凭证和记录进行有效控制。 3.1.2.4.2 授权审批 ——山西省铁路工程学校对业务权限进行梳理和规范～形成了《权限守则》和《权限指引表》～并及时进行维护和更新。该守则涵盖了对授权 37 山西省铁路工程学校内控手册 人和受托人履行授权的行为进行监督、检查以及对不当行为的处理办法。 ——山西省铁路工程学校对业务活动的权限～根据不同的业务性质～在职能部门之间有所划分,根据业务活动的重要性程度～按不同层次进行审批。 ——山西省铁路工程学校通过对岗位职责描述的规范、完善～明确各个岗位的任职条件及在处理有关业务时所具备的权限。 3.1.2.4.3 会计系统控制 ——山西省铁路工程学校按照《会计法》、《企业会计准则》等有关规定～制定了涵盖建筑合同、固定资产、流动资产、关联交易、会计核算、财务报告的处理程序等统一的会计政策。 ——财务室各岗位均编制岗位说明书～以明确岗位任职资格和相关权责。 ——在会计记账、结账、财务报表的编制与审批、财务报表分析和财务预警管理等流程设臵了合理的分工和控制～以发挥会计的监督职能。 3.1.2.4.4 财产保护控制 山西省铁路工程学校对财产安全设臵了相关的政策、流程和控制措施。实施定期盘点、对账等制度～确保财产的安全和记录的完整与真实。同时～制定财产使用和处臵的授权程序以及对不当行为的处罚规定。 3.1.2.4.5 预算控制 山西省铁路工程学校设立预算管理领导小组～制定《山西省铁路工程学校财务预算管理暂行办法》～明确预算管理职责和责任。学校对采购、收入、成本、费用等均实行预算控制～通过目标测定、财务预算、预算执行与调整、预算考核等措施～完善内部控制体系。 3.1.2.4.6 运营分析控制 ——山西省铁路工程学校要求各级管理层开展经营管理活动分析～对经营管理情况实施审核和监督。 ——山西省铁路工程学校制定相关的财务分析程序～明确财务分析的 38 山西省铁路工程学校内控手册 职责、内容、具体方法和程序。通过财务分析对财务报表的真实性进行核实。 3.1.2.4.7 绩效考评控制 山西省铁路工程学校制定《山西省铁路工程学校业绩考核办法》、《山西省铁路工程学校员工绩效考核办法,暂行,》等制度～并依据考核结果确定员工薪酬。山西省铁路工程学校高管人员由集团公司进行考核并确定年终奖励。 3.1.2.4.8 重大风险预警和突发事件应急处理机制 山西省铁路工程学校制定《山西省铁路工程学校校园安全及灾害事故,事件,应急响应预案》、中铁宏达中心转发执行《国资委关于进一步加强中央企业债务风险管理有关事项的通知》、转发执行《中国中铁股份有限公司处臵重大群体性上访突发事件应急预案》等制度～为及时有效地应对重大风险和突发事件建立了规范的基础。 3.1.2.5 缺陷跟踪 3.1.2.5.1 山西省铁路工程学校在业务流程的梳理工作和业务实施中～对发现和建议以控制文档对应内容落实到相应的责任人～并就每一个发现设定了具体的修正时间表和跟进计划。 3.1.2.5.2 各责任人可根据缺陷内容描述做出是否符合实际情况的说明～如不符合则出示不符合的证据,对于确认的缺陷～责任人做出是否采纳改进建议的说明～如不采纳则说明不采纳的原因。 3.1.2.5.3 山西省铁路工程学校设定缺陷认定的标准作为内部控制评估的依据。 3.2 内部控制体系的监督与评价 山西省铁路工程学校制定《山西省铁路工程学校内控体系运行管理办法》根据内部监督的政策和程序～定期对控制活动的有效性进行评价～查找控制缺陷～并进行改进和完善～确保控制活动的持续有效性。控制活动有效性评价详细内容请参见5.5.内部监督部分。 39 山西省铁路工程学校内控手册 4、主要参考内控体系文件 《山西省铁路工程学校内部控制体系流程文件汇编》 《山西省铁路工程学校流程文件清单》 《山西省铁路工程学校权限指引表》 《山西省铁路工程学校内控体系运行管理办法》 第四节 信息与沟通 1 概念 信息与沟通是学校及时、准确地收集、传递与内部控制相关的信息～确保信息在学校内部、学校与外部之间进行有效沟通～以促使职责的履行。信息是指与学校经营相关的财务及非财务信息～不仅包括内部产生的信息～还包括与学校经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使员工能及时取得他们在执行、管理和控制学校经营过程中所需的信息。学校建立符合发展战略并与经营管理活动一体化的信息系统～为风险管理提供足够的信息资源和顺畅的沟通渠道。 2 关注重点 子要素 关注重点 1.将内部控制相关的信息在学校内部各管理级次、责任部门、业 务环节间～以及学校与如兄弟院校、学生就业企业、招生联系人、信息收集与 联合办学院校和上级监管部门等有关方面进行沟通和反馈～并就 沟通 信息沟通中发现的问题～及时报告并加以解决。 2.建立内部报告机制。 建立规范的信息系统管理程序～增强信息系统的安全性、可靠性信息系统 和合理性。 建立反舞弊机制～明确反舞弊工作的重要领域、关键环节和有关 机构在反舞弊工作中的职责权限～规范舞弊案件的举报、调查、反舞弊机制 处理、报告和补救程序。 40 山西省铁路工程学校内控手册 ,以上关注重点的设定遵照《基本规范》第三十八条、第三十九条、第四十条、第四十一条、第四十二条、第四十三条和《应用指引第17号-内部信息传递》、《应用指引第18号-信息系统》、《评价指引》, 3 控制措施 3.1 信息收集与沟通 3.1.1 内外部信息收集与传递 山西省铁路工程学校持续不断地识别、收集、整理与归纳来自内部与外部、经营与管理的各种信息～针对不同的信息来源和信息类型～明确各种信息的收集人员、收集方式、传递程序、报告途径和加工与处理要求～确保经营管理各种信息资源得到及时、准确、完整收集。按不同的信息来源～学校内外部信息的收集与传递方式参见表9和表10: 9:内部信息收集与传递方式汇总表 信息 收集渠道与方式 信息收集部门 类别 财务室定期进行财务分析～将主要财务指标数据对 财务 比同期和预算～对指标异常情况进行深度分析并及 信息 财务室 时预警,同时分部门、分项目进行经济活动分析～ 并定期召开经济活动分析会。 各部门按照统计报表的要求每月自下而上地提供 经营 统计数据和分析资料～办公室对各部门报送的统计 信息 办公室 资料进行审核、汇总、分析～形成月、季、年度学 校统计分析报告上报学校领导～形成简报上报宏达 分中心。 规章制 办公室 办公室是学校规章制度的归口管理部门～负责学校 41 山西省铁路工程学校内控手册 度信息 规章制度信息总体策划、制度制订/修订审查、组 织评审、收集、汇编。办公室通过办公网络平台发 布共享。 采购 对于通用大宗物资,由总务科汇集各单位、各部门 总务科 信息 的需求集中采购。 安全质量校园安全对口各部门校园安全信息及对应措施、相关统计数据通信息 管理部门 过内部网络向学校领导汇报。 学校建立了自然灾害、安全、质量事故的应急预案～ 各业务管理部当出现上述突发事件时～事发部门将启动应急预突发事件 门 案～相关信息将快速传递至学校领导～突发事件将 得到及时决策和应对。 内部控制内部控制审计内部控制审计监督委员会向校领导班子及宏达中审计监督 监督委员会 心审计机构每年上报内部控制审计监督计划和工信息 作总结 1.学校纪检工委设立举报电话和电子举报信箱并 对外公布～党群办设立举报接待室～在员工比较集信访、违党群办,纪检中的地方设立举报信箱～以给员工提供信息举报、规、舞弊 工委, 不服处分或处理申诉的渠道～并明确承诺给予保护 和奖励,2.开展合理化建议活动～听取员工合理化 建议和意见。 重要综 通过开展专题调研～掌握学校各部门的工作动态～ 办公室 合信息 为管理层决策提供参考信息。 各部门负各部门负责职权范围内管理信息的收集、编发和制 各业务管理部 责职权内度制定～开展专题调研～及时掌握所属范围内的工 门 管理信息 作动态～并按照学校的信息需求及时提供信息。 表10:外部信息收集与传递方式汇总表 信息 信息收集 收集渠道与方式 42 山西省铁路工程学校内控手册 类别 部门 法律 各部门各自主要通过国家各部委、山西省各厅局、总公司、宏达中法规 对应上级事心、集团公司的文件、期刊杂志、互联网、专业法律信 务管理部门 息服务商及中介机构等搜集～并通过学校局域网发布。 各部门各自通过国内监管机构的文件、官方网站、期刊杂志、中介监管机 对应上级事机构、广播、电视和互联网等收集～并通过学校局域网构信息 务管理部门 发布。 经营伙 通过业务交流、参加行业会议、座谈会和外部来信来访伴投资学校领导 等多种渠道收集市场信息。 者信息 3.1.2 内外部信息沟通 山西省铁路工程学校建立横向和纵向相互通畅、贯穿整个行业的信息沟通渠道～确保学校目标、风险策略、风险现状、控制措施、员工职责、经营状况、市场变化等各种信息在学校内部得到有效传递。 同时～山西省铁路工程学校建立适当的渠道～与学校相关方如兄弟院校、学生就业企业、招生联系人、联合办学院校和上级监管部门等～就相关信息进行必要的外部沟通。学校内外部沟通的主要类型与方式详见表11 和表12。 表11:内部信息沟通内容汇总表 信息类型 沟通方式 1、通过广泛深入的宣讲～引导员工实践执行, 价值观、道德、行2、通过编制《山西省铁路工程学校宣传册》等～并利用网 为期望 络等形式进行宣传, 3、每年定期或不定期宣讲诚信与职业道德的内容～对员工 43 山西省铁路工程学校内控手册 提出遵守职业道德规范的要求,对新进员工进行职业道德规 范等内容的岗前培训。 年度总结会议上提出战略性经营目标～通过给各部门负责人战略经营性目标 下达绩效考核指标的方式将经营目标层层分解。 1、学校制定和完善统一的财务、会计、资产和资金等方面 的管理制度、办法和工作规范～并宣贯执行。 2、财务会计政策发生变更时～按权限经过相关人员审批后财务政策及程序 通过文件形式进行通知,或转发国家部门的文件,～并规定 文件下发之日起执行或按某固定时间执行。 3、财务会计政策及核算体系以会计核算办法等形式发布 1、学校通过部门岗位职责描述～对各岗位职责进行规范～ 使员工理解自己的职责和工作程序。 人力资源政策 2、学校通过宣传和执行绩效考核办法～敦促员工正常履行 自己的职责。 通过经营活动分析会、学校网络平台、报告直线管理领导等其他信息～如财 进行信息传递。对于违规、员工合理化建议～符合学校规定务、经营和制度发 能够公开的信息将通过学校内部网发布～学校各职能部门根 布等 据各自权限共享此类信息。 表12:外部信息沟通内容汇总表 沟通对象 沟通内容与方式 1、学校对外统一使用山西省铁路工程学校标识～积极参与 社会公益事业～以实际行动宣传学校精神和办学理念～并在职业道德规范 报刊、杂志上进行企业学校形象和品牌宣传。 2、学校通过报纸及内部网络平台大力宣传涌现出来的各种 先进事迹、先进人物和先进管理经验～对学校员工爱岗敬业、 44 山西省铁路工程学校内控手册 无私奉献的精神进行宣传报道。 3、学校各业务部门在外事活动的日常工作交往中～向相关 对象解释学校的道德规范。 学校各业务部门通过供需见面会、业务联系、联谊、签订合学生就业企业、招 同等形式与兄弟院校、学生就业企业、招生联系人、联合办生联系人、联合办 学院校就学生目标培养、招生就业、服务质量、市场需求等 学院校 问题进行沟通。 通过参加或组织参观交流、见面会等方式～让兄弟院校、上 级监管部门等外部相关方对学校经营状况有更深入的了解。 兄弟院校、上级监 办公室负责上级同监管部门的联系～组织、准备并及时递交 管部门 监管部门所要求的文件～接受监管部门下达的有关任务并组 织完成这些任务。 监管者之外其 学校管理层定期或不定期与监管者外的其他政府部门沟通 他政府部门 潜在项目～以促进项目的批准立项。 学校各相关部门定期或不定期与行业协会沟通～获取行业信 行业协会 息～以保持行业竞争地位。 3.1.3 重大事项的报告 山西省铁路工程学校办公室是学校重大事项内部报告工作的归口管理部门～具体承担重大事项内部报告的相关工作。 山西省铁路工程学校转发执行《中国中铁股份公司重大事项内部报告制度》、《中国中铁股份公司安全质量事故责任追究办法》等制度和办法～制定《山西省铁路工程学校安全质量及灾害事故,事件,应急响应预案》、形成重大信息传递机制。建立了自然灾害、安全、质量事故的应急预案～当出现上述突发事件时事发单位将启动应急预案～相关信息将快速传递至学校领导～突发事件将得到及时决策和应对。 45 山西省铁路工程学校内控手册 3.1.4 信息披露 为保证信息披露的真实、准确、完整、及时、公允～保护山西省铁路工程学校职工利益～确保学校规范运作～制定《山西省铁路工程学校信息披露管理制度》、《山西省铁路工程学校对外发布信息审查办法》等信息披露管理制度～明确重大事项的判定标准和报告程序～确定披露事项的收集、汇总和披露程序～及时、公允地向职工和有关机构公开披露相关的信息。 3.1.5 信息报告 3.1.5.1 例行报告 各级人员按照分级管理的组织结构和岗位职责～定期向上级反映其管辖部门或其所在岗位的工作情况。 山西省铁路工程学校各职能部门通过专题会议、工作例会等向上级报告工作,通过定期召开校园安全会议,向上级报告校园安全控制情况等。 3.1.5.2 实时报告 山西省铁路工程学校按照《中国中铁股份有限公司重大事项内部报告制度》、《中国中铁股份有限公司安全质量事故责任追究办法》等制度的有关规定～形成重大信息传递机制。发生紧急情况时通过电话、办公网络、面谈等形式与上级进行交流和沟通。 3.1.5.3 专题报告 山西省铁路工程学校根据业务需要～成立各类领导小组或工作组就某一事项及时向上级领导汇报情况。 3.1.5.4 综合报告 山西省铁路工程学校定期向上级领导全面汇报学校的工作情况～主要包括工作总结、计划安排等内容～定期报送各类管理报表。 3.1.6 信息保密 山西省铁路工程学校要求属于本校《保密工作管理办法》界定的涉密员工在合同履行期间与学校签订《保密协议书》。 46 山西省铁路工程学校内控手册 与学校合作的中介机构也要求按照《学校章程》签订《保密协议》。 3.2 信息系统管理 3.2.1 信息系统归口管理 山西省铁路工程学校成立信息化工作领导小组～负责领导学校信息化建设工作～决策信息化建设重大事项。 办公室与党群办作为学校信息化建设的归口管理部门～负责学校信息化建设～指导、监督学校各部门开展工作～建立纵向汇报、沟通和监控机制。 3.2.2 信息系统总体控制 3.2.2.1 建立信息技术总体规划 山西省铁路工程学校制定信息技术总体规划～指定专门部门负责识别不断提出的信息需求。信息化工作领导小组根据学校整体发展战略～审批确定年度学校信息化发展总体目标和战略规划。 3.2.2.2 信息系统变更管理 山西省铁路工程学校制定信息系统变更审批、授权、测试、实施和报告等方面规范和控制程序。 3.2.2.3 信息系统日常管理 山西省铁路工程学校对信息系统的日常管理涵盖了对机房物理配臵、网络用户和应用系统用户的定期巡检和监控～制定了定期的数据备份和恢复策略～就日常和突发事件处理分别制定了应对程序～并在系统升级、技术支持和停机检修方面做了相关的规定。 3.2.2.4 信息系统安全 山西省铁路工程学校建立信息安全组织架构～并建立完善的汇报机制。在学校设立信息安全管理负责人～负责本单位的信息安全培训和信息技术日常工作的安全监督和检查。 山西省铁路工程学校建立信息安全管理机制～为员工提供相关培训～并要求入职员工签署《学校信息安全规定的声明》等。山西省铁路工程学 47 山西省铁路工程学校内控手册 校的信息系统安全控制工作主要涵盖了数据中心的访问控制、系统帐号的管理、密码管理、日志管理、防病毒软件的安装和使用、防火墙的设臵等。 3.2.2.5 信息系统风险评估 办公室与党群办负责组织对学校业务层面的主要信息技术风险进行评估～并每年定期审阅信息技术风险评估结果。当发生重大的信息技术应用或者组织结构变动时～组织对变动情况进行风险评估～必要时调整相关风险防范措施。 3.2.2.6 信息系统总体控制执行监控 在学校范围内建立信息技术总体控制执行情况的测试、监督和审查制度～并根据执行情况作相应改进。 3.2.3 信息系统应用性控制 3.2.3.1 应用系统权限管理 山西省铁路工程学校制定《应用系统用户权限管理工作规范》并依据该规范对用户权限需求和实际分配情况进行分析并合理设臵～为定期的测试提供规范和依据。应用系统的用户权限发生变动时～按照《信息系统总体控制实施办法》中相关的流程进行变更处理。 3.2.3.2 应用系统自动控制 信息系统对应用系统的输入、处理和输出进行有效控制。 3.2.3.3 应用系统例外处理 相关岗位的操作人员对操作过程中出现的例外活动～根据情况自行处理或将例外事件情况及时汇报给主管领导进行处理。 3.2.4 内部控制与全面风险管理信息化建设 山西省铁路工程学校引入内部控制与全面风险管理信息平台～通过整体水平控制、流程预警、数字预警和风险快报等功能～实现对学校风险管理和内部控制情况的实时监督和评价。利用信息技术实现风险管理与内部控制的日常化、标准化和动态化～将风险管理与内部控制作为一项长期和日常的工作落到实处～建立山西省铁路工程学校风险管理和内部控制的长 48 山西省铁路工程学校内控手册 效机制。 3.3 反舞弊 3.3.1反舞弊工作的归口管理 纪工委对宏达中心反舞弊工作进行监督～并指定纪工委负责开展反舞弊受理与调查工作。 3.3.2反舞弊举报工作的受理程序 山西省铁路工程学校建立信访举报处理机制～由纪工委负责受理在各个方面的违规和舞弊行为的举报～并进行相应的调查和处理。学校反舞弊工作重点关注以下内容: 3.3.2.1 在财务报告和信息披露方面弄虚作假, 3.3.2.2 未经授权、滥用职权或者采取其他不法方式侵占、挪用学校资产, 3.3.2.3 开展业务活动中非法使用学校资产牟取不当利益, 3.3.2.4 学校高级管理人员舞弊给学校内部控制和经营管理可能造成的重大影响, 3.3.2.5 员工单独或者串通舞弊给学校造成的损失。 3.3.3 建立反舞弊情况通报制度 纪工委定期通报反舞弊工作情况～分析当前反舞弊形势～评估舞弊风险的可能性和重要性～以及舞弊可能发生的领域,评价现有的反舞弊控制措施及程序～研究防范舞弊行为发生的制度及措施。 3.3.4 对最高管理层的监督 纪工委按照《企业法》《教育法》及《山西省铁路工程学校章程》～对学校高级管理人员执行职务的行为进行监督。 3.3.5 举报人保护 山西省铁路工程学校建立举报人保护制度～设臵举报专线～明确举报投诉处理程序、办理时限和办结要求～确保举报、投诉成为学校有效掌握信息的重要途径。举报投诉制度和举报人保护制度已及时传达至全体员工。 4 主要参考内控体系文件 49 山西省铁路工程学校内控手册 FIM 财务管理 COR 信息披露 ITM01.11 信息管理 第五节 内部监督 1 概念 内部监督是学校对内部控制建立与实施情况进行监督检查～评价内部控制的有效性～发现内部控制缺陷～并及时加以改进的过程。 2 关注重点 子要素 关注重点 1.设臵独立于控制执行机构的内部控制审计监督机构～授权此机 构具体承担内部控制监督检查的职能～并配备充分和胜任的人 员。 机构及职责 2.组织架构设计与运行环节明确内部各机构、各岗位的内部监督 关系～进行定期的测试、监督活动～及时发现环境变化、执行中 出现的偏差。 1.建立健全内部监督制度～明确监督的组织架构、岗位设臵、岗 位职责、相关权限、工作方法、信息沟通的方式以及各种表格及 报告样本。 监督程序 2.预防和发现内部控制缺陷。设臵分析和报告内部控制缺陷的程 序和渠道～对存在的内部控制缺陷及时采取应对措施。 综合运用日常监督和专项监督的方式～明确不同层级的监督机监督方法 制、监督责任与监督方法。 负责监督的人员具有胜任能力和客观性～能采取有效的措施把握监督要求 控制与信息的适当性、可靠性、相关性和充足程度。 50 山西省铁路工程学校内控手册 1.从定性和定量等方面制定内部控制缺陷认定标准～且内部控制 审计监督机构有权就发现的内部控制缺陷进行整理汇总、分析缺 陷的性质和产生的原因并提出整改建议～采取适当的形式和程序内部控制缺陷 及时向决策层报告。 及自我评价 2.建立内部控制自我评价机制～设定内部控制自我评价的目标、 报告 原则、频率和范围。结合内部监督情况～当期,一般于年度终了, 对内部控制的有效性进行自我评价～出具或披露年度自我评价报 告。 建立内部控制文档的记录与保管机制～以书面或其他方式妥善保内部控制文档 存内部控制建立与实施过程中的相关记录或资料～确保内部控制记录与保管 建立与实施过程中的可验证性。 ,以上关注重点的设定遵照《基本规范》第四十四条、第四十五条、第四十六条、第四十七条以及《评价指引》。, 3、控制措施 3.1 监督机构及职责 山西省铁路工程学校内部控制审计监督机构负责组织实施监督评价。并就检查监督情况定期向决策层汇报。办公室负责内部控制体系的建设与维护。 纪,工,委和内部控制审计监督机构负责审查学校内部控制总体方案～监督内部控制的有效实施和内部控制自我评价情况。 3.2 监督程序 山西省铁路工程学校制定《山西省铁路工程学校内部控制体系运行管理办法》～明确内部控制监督评价检查的组织架构、职责权限、内容、程序方法、沟通方式、问题的整改与跟进、报告样本等。 山西省铁路工程学校建立了以风险管理为导向的一套流程内部控制体系文件～并在业务流程中明确风险管理岗位～预防和发现内部控制缺陷～并就内部控制缺陷明确责任单位和整改方案。 51 山西省铁路工程学校内控手册 3.3 监督方法 3.3.1 日常监督 山西省铁路工程学校各部门在日常经营管理过程中～由管理层和各职能部门进行常规持续的监督。日常监督主要包括1)内控体系运行与维护管理,2)获得内部控制执行的证据,3)外部反映对内部信息的印证,4)会计记录和实物资产的定期核对,5)内外部审计建议的响应,6)管理层及有关部门获知内部控制的程度,7)定期询问员工,8)内部控制审计监督活动的有效性等方面开展。 3.3.2 专项监督 专项监督是指在山西省铁路工程学校发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下～对内部控制的某个或者某些方面进行有针对性地评价。 3.3.3 监督要求 山西省铁路工程学校通过委外培训或外聘内部控制咨询顾问服务等方式～确保负责监督人员的专业能力。 通过建立流程、内部控制体系文件～梳理和识别关键控制以及相关实施证据～指导监督评价工作的专业性和有效性。 3.4 内部控制缺陷及自我评价报告 3.4.1 缺陷认定与跟进 3.4.1.1 山西省铁路工程学校采取定性和定量等方式～制定缺陷认定的标准。 3.4.1.2 山西省铁路工程学校明确了缺陷报告的职责、报告的内容～对缺陷报告程序及跟进措施等方面进行规范,明确缺陷定义及分类～以及缺陷评估内容、方法和标准等。 3.4.1.3 内部控制审计监督负责跟踪检查在监督评价中发现的缺陷的整改落实情况～以及外部审计师提出的管理建议和内部控制检查整改建议的落实情况。监督、指导整改方案的实施。对控制措施的有效性、适宜性进行 52 山西省铁路工程学校内控手册 验证～提出改进建议。组织有关部门对整改方案进行必要的调整～以确保风险控制目标的实现。 3.4.1.4 山西省铁路工程学校管理层对在外部监管者监管过程中、内外部审计中发现的内部控制缺陷授权相关部门进行调查、分析～采取相应的纠正措施～并检查各项措施的执行情况。 3.4.2 内部控制评价 山西省铁路工程学校制定了《山西省铁路工程学校内部控制体系运行管理办法》～内部控制评价主要包括三部分内容: 3.4.2.1 设计健全性评价 按照相关法律法规和内部控制制度规范～评价学校的内部控制体系的设计是否合法合规～是否符合谢谢管理实际～能够得到有效执行。 3.4.2.2 执行符合性评价 按照内部控制的基本工作要求～评价学校是否有效地组织开展了内部控制相关的各项日常工作～利用专项工作会议等专题会议～对内部控制的有效性进行评价～每年对学校内部控制情况进行综合评价～编制年度《内部控制自我评估报告》。 3.4.2.3 管理有效性评价 按照山西省铁路工程学校重大风险的评价标准～评价学校在评价期内是否因管理不当而发生了重大损失或导致了重大风险隐患,对突发风险事件的响应效率和控制效果是否得当,对监督部门发现的问题是否及时进行了有效的整改等。 3.5 内部控制文档记录与保管 山西省铁路工程学校就内部控制过程中产生的文档进行了书面的保管规定～明确了文档记录和保管的类别、时间、责任与方式～以确保实施证据保存完整～真实可查等。 4 主要参考内控体系文件 BUC02 内部控制审计监督 53 山西省铁路工程学校内控手册 MAS01.03 内控体系建设 ITM04 校园安全管理 附件:1.山西省铁路工程学校流程清单 2.山西省铁路工程学校权限指引 54 中铁宏达资产管理中心2012年内部控制手册 55