【ＣＯＳＯ与ＣＯＢＩＴ助力社保系统】 助力社保费和非稅收入划转

　　随着社保系统规模的不断扩大，系统的复杂度不断提高，社会保险系统及社保基金的安全性面临的风险也在不断加大，近年来全国各地就已经陆续出现多起危害社保基金安全的案例。 　　虽然按照《会计法》、《社会保险基金财务制度》、《社会保险基金会计制度》和《社会保险经办机构内部控制暂行办法》等规定，各地的社保经力机构大多已逐步建立了相应的控制办法。但由于这些控制办法的视角相对单一，并且这些静态的制度还难以构成一个“发现问题，解决问题，再发现问题，再解决问题”的持续改进体系，因此建设一个完善的社保内控系统是一件意义非常重大的工作。
　　本文将结合国际上目前比较成熟的COSO及COBIT内部控制理论来探讨社保内控系统的建设方案。
　　
　　内部控制的内涵与COSO
　　
　　对于什么是内部控制。不同人的理解可能不太一样。通常情况下，人们都把内部控制理解为组织为了减少决策失误和王作缺陷而实施的控制，这些控制可能是内部监督、也可能是管理手册、规章制度等。这种理解没有错，但不全面。按照现代的内控理论，这些仅仅是内部控制的一部分。而不是全部。美国审计权威机构COSO(1994)的定义是：内控是一个受某单位不同层次的人影响的过程，而设计这一过程是为了实现下述三大目标提供合理的保证：经营的效果和效率，财会报告的可靠性，对现行法规的遵守。
　　
　　COSO对内部控制的观念强调如下四点：
　　1　内部控制是一个“过程”，而且是一个动态的过程，是达成组织目标的方法，本身不是结果。
　　2　内部控制受到“人”的因素的影响，它并不仅仅是政策手册和表格，这里的“人”包括组织内各个层级的人，
　　3　内部控制只能提供合理，而非绝对的确保目标的达成，
　　4　内部控制的目的是为达成经营的效率与效果、财务报告的可靠性以及法律法规的遵循性三个目标，并且这三类目标可能会存在重叠。
　　COSO内部控制框架认为，内部控制系统是由内控环境、风险评估、内控活动、信息与沟通、监督五要素组成，它们取决于管理层经营企业的方式，并融入管理过程本身，其相互关系可以用图1表示。
　　
　　
　　社保内控系统
　　
　　无论是COSO还是COBIT都是比较复杂的，尤其是COBIT，对于内部控制基础及经验都相对比较薄弱的社会保险行业来说，如何应用这两个理论存在着比较大的困难。本文在参考COSO及COBIT框架并结合社保系统建设现状的基础上，提出了从组织与环境，执行与监督、内控信息系统三个方面来进行社保内控系统的建设，具体如图2所示。
　　其中，组织与环境包括内控组织机构的建设，人员的培养，基础设施的建设等。执行与监督包括内控制度流程的建立与执行及执行情况的监督。前面这两部分与环境及“人”的主观意识关系比较大，本文不作进一步的分析，而是重点阐述一下社保内控信息系统的建设方案。
　　在分析社保内控信息系统建设方案前，我们先简单了解一下社保信息系统的构成情况。社保信息系统可以分为经办、服务、监管、决策四个层次，由10多个系统构成，具体如图3所示。
　　
　　社保内控信息系统的建设目标是希望通过计算机技术来辅助经营的效果和效率、财会报告的可靠性、对现行法规的遵守这三大目标的达成。社保内控信息系统并不是一个独立的子系统，而是社保信息系统的一个组成部分，具体的内控功能都是分布在图3所列举的各子系统中。
　　社保内控信息系统的建设以风险管理为中心，针对环境、风险、信息、活动、监督等五个要素进行建设，具体如表1所示。
　　由上表可以得知，整个社保内控信息系统将主要由IT资源监控系统、内控稽核系统、外部稽核系统、绩效考核系统及分布在其他系统中的授权管理等功能构成，社保内控信息系统的功能构成图参见图4。
　　
　　
　　社保内控信息系统建设关键点分析
　　
　　社保内控信息系统的建设关键点是风险管理、信息管理、抽样审计三个方面，具体分析如下。
　　
　　风险管理
　　风险管理包括风险识别、风险评估、制定风险应对措施等，是整个社保内控系统建设的基础。社保系统的风险可以分为5类。
　　风险的识别是要找出各种风险点，风险的识别更多的是对环境、业务等的分析获得，内控系统将提供风险点信息的管理功能。针对不同的风险，应该有具体的应对措施，并需要对这些措施的执行情况进行跟踪检查。
　　
　　信息管理
　　内控系统建设的基础是各种信息，包括人员信息、环境信息、数据资料、操作痕迹等等。内控系统正是通过对这些信息的分析来预防和识别各种可能的风险。社保内控信息系统的建设，需要从如下几个方面加强信息的管理：
　　1)内部信息的共享。包括业务系统与内控稽核系统间、财务系统与内控稽核系统间、影像档案系统与内控稽核系统间的数据共享等等。
　　2)外部信息的交换与接收。通过接收外部单位如公安、工商、地税等的数据，用于与业务系统的数据进行对碰和分析。
　　3)数据的挖掘与分析。通过对数据的挖掘与分析，来及时预防和发现各类风险。
　　
　　抽样审计
　　基于风险的抽样审计是内控系统的一项重要功能，通过内控稽核系统将抽样审计自动化，有助于内控制度和措施更好的贯彻执行。
　　其中，样本抽取是抽样审计的核心，样本抽取是结合风险评估及数据分析结果，找出其中可能存在风险的操作和数据，因此，内控系统应该有一套比较完善的抽样算法。