社会保险经办内部控制规范.docx

PAGE PAGE 10 社会保险经办内部控制规范 范围 本文件规定了社会保险经办机构内部控制的基本原则、内部控制组织、风险评估、内部控制运行、内部控制监督检查等内容。 本文件适用于各级社会保险经办机构开展内部控制工作。其他经授权开展社会保险经办的机构参照本文件执行。 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 18894 电子文件归档与电子档案管理规范 GB/T 20269 信息安全技术 信息系统安全管理要求 GB/T 20270 信息安全技术 网络基础安全技术要求 GB/T 20271 信息安全技术 信息系统通用安全技术要求 GB/T 31594 社会保险核心业务数据质量规范 GB/T 31596.1 社会保险术语 第 1 部分：通用 GB/T 31599 社会保险业务档案管理规范 GB/T 32621 社会保险经办业务流程总则 术语和定义 GB/T 31596.1 界定的以及下列术语和定义适用于本文件。 社会保险经办内部控制 the internal control of social insurance administration 社会保险经办机构对系统内部各部门、岗位及其工作人员从事社会保险管理服务工作及业务行为进行规范、监督和评价的方法、程序、措施。 基本原则 合规性 应依据国家法律法规和社会保险政策开展。 全面性 应覆盖经办社会保险业务的所有机构、部门、岗位和人员及所有经办事项和环节，贯彻业务经办的全过程。 系统性 应对所有经办事项、经办环节实行系统性设防，所有部门、岗位和人员相互协同、相互联动。 制衡性 应确保各部门、各岗位、各经办事项、各经办环节权责分明、相互衔接、相互制约。 内部控制组织 内部控制管理组织体系 应建立以内部控制领导小组为决策层，业务、基金财务、信息系统管理、数据管理、档案管理等部门为执行层，稽核内控部门为组织和监督层的内部控制管理组织体系。 内部控制工作领导小组 应成立内部控制工作领导小组，由主要领导任组长，所有部门参加，领导小组是内部控制的决策机构，主要职责包括但不限于： —— 负责本单位社会保险经办内部控制体系的建立健全和有效实施； —— 对本单位开展的内部控制监督检查和内部控制评价情况进行审议； —— 对本单位内部控制实施情况进行监督问责。 内部控制执行部门 内部控制执行部门由业务、基金财务、信息系统管理、数据管理、档案管理等部门组成，承担内部控制的运行职责，包括但不限于： —— 负责本部门所有经办事项、经办环节的内部控制工作； —— 开展本部门风险评估工作； —— 开展本部门内部控制自查整改工作； —— 配合内部控制监督检查部门开展内部控制评价工作； —— 配合审计、监督等部门完成检查和整改等相关工作。 内部控制监督检查部门 应设立内部控制监督检查部门，配备专职内部控制监督检查人员，承担社会保险经办内部控制的监督检查职责，包括但不限于： —— 组织制定本单位社会保险经办内部控制制度； —— 组织本单位内部控制执行部门开展风险评估工作； —— 开展本单位内部控制日常监督检查工作； —— 开展本单位、本地区内部控制专项监督检查工作； —— 组织开展本单位、本地区内部控制评价工作。 风险评估 风险识别 应根据经办管理的内外部环境，通过对经办全过程以及所有部门和岗位进行排查，发现和辨识风险点，列出风险清单。 风险识别的方法包括但不限于： —— 流程识别法。通过对经办管理流程各个环节进行识别分析，对各种风险因素进行查找、描述和分类； —— 数据识别法。根据数据项的特点和来源对数据项之间的关联关系进行分析，对各种风险因素进行查找、描述和分类； —— 检查识别法。通过对经办管理过程进行检查，对不符合内部控制要求的各种风险因素进行查找、描述和分类。 风险分析 应对照风险清单，根据风险发生的可能性和影响程度，采用定性评估、定量评估等方法进行分析，结合本地区实际确定风险等级和风险评估周期，形成风险评估报告。 应每年至少开展一次风险评估，外部环境、业务活动、管理要求等发生重大变化，及时进行重新评估。 风险应对 应按照信息系统集中层级，依据风险评估结果梳理风险监测预警规则，建立风险监测预警模型， 实行常态化风险监测预警。 应根据风险评估结果，建立健全风险评估数据库，采取积极有效措施，完善内部控制制度。 内部控制运行 组织机构控制 应科学合理设置组织架构、工作岗位和工作职责，实行动态管理，对人岗不匹配的及时调整。 应建立并执行符合内部控制要求的组织机构控制制度，包括但不限于决策控制制度、岗位权限管理制度、轮岗制度、任职回避制度、重大