社会保险经办内部控制规范

【标题名称】社会保险经办内部控制规范

【效力级别】部门规范性文件

【颁布单位】人力资源和社会保障部

【发文字号】 LD/T05—2022

【实施时间】2022.8.1

﹊﹊﹊﹊﹊﹊﹊﹊﹊﹊﹊﹊﹊﹊﹊﹊﹊﹊﹊﹊﹊﹊﹊﹊﹊﹊﹊﹊﹊﹊﹊﹊﹊﹊

【正   文】

目次

前言

1 范围

2 规范性引用文件

3 术语和定义

4 基本原则

5 内部控制组织

6 风险评估

7 内部控制运行

8 内部控制监督检查

附录A（资料性） 社会保险经办内部控制自查工作流程图

附录B（资料性） 社会保险经办内部控制日常监督检查工作流程

附录C（资料性） 社会保险经办内部控制专项监督检查工作流程

附录D（资料性） 社会保险经办内部控制监督检查工作底稿

参考文献

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中华人民共和国人力资源和社会保障部社会保险事业管理中心提出。本文件由全国社会保险标准化技术委员会（SAC/TC474）归口。本文件起草单位：人力资源和社会保障部社会保险事业管理中心、江西省社会保险管理中心、山西省社会保险局、辽宁省社会保险事业服务中心、黑龙江省社会保险事业中心、上海市社会保险事业管理中心、江苏省社会保险基金管理中心、郑州市社会保险中心、台州市社会保险事业管理中心、淄博市社会保险事业中心、深圳市迪博企业风险管理技术有限公司。

本文件主要起草人：刘睦平、李石磊、汤立新、付建华、王微、孔宪江、边瑞彪、洪艳、于占淮、王爱凤、王涛、廖粲、张菁、周蒙、李华亮、王永超、王娴静、张冰静、胡树青、耿晓月、孙桂芳、胡为民。

社会保险经办内部控制规范

1范围

本文件提出了社会保险经办内部控制的基本原则，规定了内部控制组织、风险评估、内部控制运行、内部控制监督检查等内容。

本文件适用于各级社会保险经办机构开展内部控制工作。其他受委托开展社会保险经办的机构参照执行。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T18894电子文件归档与电子档案管理规范

GB/T20269信息安全技术信息系统安全管理要求

GB/T20270信息安全技术网络基础安全技术要求

GB/T20271信息安全技术信息系统通用安全技术要求

GB/T31594社会保险核心业务数据质量规范

GB/T31599社会保险业务档案管理规范

GB/T32621社会保险经办业务流程总则

GB/T35273信息安全技术个人信息安全规范

3术语和定义

社会保险经办内部控制the internal control of social insurance administration

社会保险经办机构对单位内部各部门、岗位和工作人员从事社会保险管理服务工作及业务进行规范、监督和评价的行为。

4基本原则

4.1合规性

应符合国家法律法规和社会保险政策。

4.2全面性

应覆盖经办社会保险业务的机构、部门、岗位和人员及所有经办事项和经办环节。

4.3系统性

应对所有经办事项、经办环节实行系统性设防，所有部门、岗位和人员相互协同、相互联动。

4.4制衡性

各部门、各岗位、各经办事项和经办环节应权责分明、相互衔接、相互制约。

5内部控制组织

5.1内部控制管理组织体系

应建立以内部控制工作领导小组为决策层，业务、基金财务、信息系统管理、数据管理、档案管理等部门为执行层，稽核内控部门为组织和监督层的内部控制管理组织体系。

5.2内部控制决策层

应成立内部控制工作领导小组，由主要负责人任组长，所有部门负责人为成员，领导小组是内部控制的决策层，主要职责包括但不限于：

a)负责本单位社会保险经办内部控制体系的建立健全和有效实施；

b)对本单位开展的内部控制监督检查和内部控制评价情况进行审议；

c)对本单位内部控制实施情况进行监督。

5.3内部控制执行层

内部控制执行层包括业务、基金财务、信息系统管理、数据管理、档案管理等部门，承担内部控制的运行职责，包括但不限于：

a)开展岗位设置，明确人员职责、培训、考核与奖惩；

b)负责本部门所有经办事项、经办环节的内部控制工作；

c)开展本部门风险评估工作；

d)开展本部门内部控制自查整改工作；

e)配合内部控制监督检查部门开展内部控制评价工作；

f)配合审计、监督等部门完成检查和整改等相关工作。

5.4内部控制组织和监督层

应设立内部控制监督检查部门，配备专职内部控制监督检查人员，承担社会保险经办内部控制的监督检查职责，包括但不限于：

a)组织制定本单位社会保险经办内部控制制度；

b)组织本单位内部控制执行部门开展风险评估工作；

c)开展本单位内部控制日常监督检查工作；

d)开展本单位、本地区内部控制专项监督检查工作；

e)组织开展本单位、本地区内部控制评价工作。

6风险评估

6.1风险识别

6.1.1应根据经办管理的内外部环境，通过对经办环节以及部门和岗位进行排查，发现和辨识风险点，列出风险清单。

6.1.2风险识别的方法包括但不限于：

a)流程识别法:通过对经办环节进行识别分析，对各种风险因素进行查找、描述和分类；

b)数据识别法:根据数据项的特点和来源对数据项之间的关联关系进行分析，对各种风险因素进行查找、描述和分类；

c)检查识别法:通过对经办环节进行检查，对不符合内部控制要求的各种风险因素进行查找、描述和分类。

6.2风险分析

6.2.1应对照风险清单，根据风险发生的可能性和影响程度，采用定性评估、定量评估等方法进行分析，结合本单位、本地区实际确定风险等级和风险评估周期，形成风险评估报告。

6.2.2每年应至少开展一次风险评估。外部环境、业务活动、管理要求等发生重大变化时进行重新评估。

6.3风险应对

6.3.1应按照信息系统集中层级，依据风险评估结果调整风险监测预警规则，建立风险监测预警模型，实行常态化风险监测预警。

6.3.2应根据风险评估结果，建立健全风险评估数据库，采取积极有效措施，完善内部控制制度。

7内部控制运行

7.1组织机构控制

7.1.1应科学合理设置组织架构、工作岗位和工作职责，实行动态管理，对人岗不匹配的及时调整。

7.1.2应建立并执行符合内部控制要求的组织机构控制制度，包括但不限于决策控制制度、岗位权限管理制度、轮岗制度、任职回避制度、重大问题风险报告制度、奖惩制度。

7.1.3应做好内部控制文化建设，开展诚信教育、合规教育、风险教育、廉政教育、警示教育等，引导工作人员树立正确的价值观。

7.2业务经办控制

7.2.1应建立并执行符合内部控制要求的业务经办制度，推进风险防控措施进规程，确保各业务环节独立操作、相互衔接、相互制约。

7.2.2业务经办流程应符合GB/T32621的要求。

7.2.3应建立并执行业务经办审核制度，严格授权管理，经办人员按其岗位权限开展工作。

7.2.4应加强用户账户管理，建立岗位权限管理台账，妥善保管，留存备查。在人员轮岗、交流、长期休假、离职、退休等情况发生时，应及时调整和清理操作权限，进行账户冻结和注销。

7.2.5对关键信息修改、待遇调整、暂停（死亡）人员恢复正常发放、待遇补发、退费等高风险业务应严格实行初审、复核、审核三级管理，复核、审核人员应为正式在编人员。

7.2.6办理参保登记、个人账户管理、关系转移接续、待遇核定、待遇支付等业务时，应对参保对象的参保、缴费、待遇状态及待遇领取资格进行核验。

7.2.7办理业务应依据充分、要件齐全、合乎逻辑，业务经办人员应按照相关规定及时归集、整理、移交业务资料，归档资料应与业务日志保持一致。

7.2.8纸质档案的建立、使用应符合GB/T31599的要求，电子文件的归档、使用应符合GB/T18894和GB/T31599的要求。

7.3基金财务控制

7.3.1应建立并执行符合内部控制要求的基金财务管理制度、会计操作规程及分工明确的岗位责任制、合理的职责分离制度。

7.3.2基金财务收支审批应严格执行分级授权，不得越岗代办。资金收支的审批与具体业务办理相分离，资金受理发放或待遇支付与审查相分离，信息数据处理与业务办理及会计处理相分离。

7.3.3会计与出纳不得兼任，制单和审核不得兼任，出纳不得兼任会计档案保管和收入、支出、费用、债权债务账目的登记工作。

7.3.4应严格会计控制，实行社会保险基金“收支两条线”管理，分账核算、分别计息、专款专用，各险种基金不得相互挤占和调剂。

7.3.5应建立并执行财务与业务部门，财务与银行、财政等部门定期对账制度，通过社银接口传输社会保险待遇发放数据。

7.3.6应按照国家有关规定保管会计档案，定期移交档案管理部门。会计电算化所生成的电子数据及相应软件资料、文件资料等应作为会计档案进行管理。

7.4信息系统控制

7.4.1社会保险信息系统数据库指标设计应符合GB/T31594的要求，应设计可复核、可追溯的业务操作和系统维护日志。

7.4.2社会保险信息系统应与银行、税务等信息系统实时对接。

7.4.3应将所有经办事项、经办环节纳入社会保险信息系统管理。

7.4.4社会保险信息系统应对不相容岗位及初审、复核、审核不相容权限进行互斥设置。

7.4.5社会保险经办人员应使用电子社保卡、数字证书或生物识别技术登录社会保险信息系统，同一经办人员不能同时拥有两个及以上用户账号。

7.4.6应根据安全保护等级，采取身份鉴别、访问控制、加密存储、加密传输等方式防止系统非授权访问和以非正常流程运行。

7.4.7社会保险信息系统研发人员与系统维护操作人员不应兼任，系统维护人员不得拥有任何业务权限。系统管理员、安全员、操作员应实现“三员”分立，系统管理员、安全员应由地市级机构以上正式在编人员任职，严禁一人兼任两个及以上岗位。

7.4.8应加强设备与网络安全管理，落实设备定期维护和巡检制度，社会保险信息系统与互联网实现物理隔离，采用适当的冗余技术消除单点故障。

7.4.9社会保险信息系统的使用管理应符合GB/T20269、GB/T20270和GB/T20271的要求，并根据业务发展不断调整、优化系统功能。

7.5数据运用控制

7.5.1应建立并执行社会保险数据安全管理办法，规范数据录入、修改、传输、查询、披露、保密、维护等操作。

7.5.2应建立数据共享机制，实现与公安、民政、司法、税务、市场监管、医保等外部门间的数据共享，提升内部数据统筹层次，形成数据资源池，为信息系统实现事前预警、事中阻断、事后核查提供数据支持。

7.5.3应强化数据比对筛查，根据数据特性、业务实际和经办潜在风险，分析各类违法违规行为的数据表现形式，设定比对筛查规则，建立健全数据比对筛查规则库，及时发现各类违法违规情况。

7.5.4应建立健全风险预警防控系统，开展全流程、全方位的数据分析监控，形成疑点数据后自动推送内部控制执行部门，执行部门核查处理后向内部控制监督检查部门反馈处理结果。

7.5.5应建立健全数据备份恢复制度，实行数据异地备份，并定期演练。数据应用符合GB/T35273的要求。

8内部控制监督检查

8.1内部控制自查

8.1.1内部控制执行部门应根据自身职责和权限梳理风险点，确定内部控制自查内容，按季对本部门履行职责的状况进行自查，具体工作流程见附录A，形成自查报告，送内部控制监督检查部门。

8.1.2内部控制执行部门对自查发现的问题应及时整改，并向内部控制监督检查部门反馈整改报告及相关佐证材料。

8.1.3内部控制监督检查部门跟踪核实整改情况，报本单位内部控制工作领导小组。内部控制工作领导小组发现属制度缺陷的，组织相关部门完善制度；属违规经办的，按照相关规定追责问责。整改到位后整理资料归档。

8.2内部控制日常及专项监督检查

8.2.1内部控制监督检查部门应根据自身职责和权限对本单位、本地区的内部控制建设和执行情况进行日常监督检查和专项监督检查。

8.2.2内部控制日常及专项监督检查应由2名及以上工作人员开展，检查人员应对监督检查工作获取的信息保密。根据工作需要，社会保险经办机构可聘请第三方专业机构协助开展内部控制监督检查工作。

8.2.3应重点关注串通舞弊、滥用职权、环境变化等因素形成的内部控制局限性所带来的风险。

8.2.4可运用询问、查阅、观察和业务测试、抽样统计、逻辑校验、数据分析、系统监控等方法，重点采取数据稽核形式开展监督检查，与检查事项相关的问题可延伸调查。获取的佐证材料，应注明来源和获取时间，并要求被监督检查对象签字或盖章确认，拒绝签字或盖章的，检查人员应注明原因。8.2.5内部控制监督检查部门应确定风险点，搜集相关资料，组织开展内部控制日常监督检查，具体工作流程参见附录B；制定内部控制专项监督检查方案，提前通知内部控制专项监督检查对象（特殊情况可不通知），开展内部控制专项监督检查，具体工作流程参见附录C。填写《社会保险经办内部控制监督检查工作底稿》（格式见附录D），形成相应的监督检查报告，报内部控制工作领导小组并送被监督检查对象。

8.2.6内部控制监督检查部门应督促被监督检查对象对发现的问题限期整改，被监督检查对象应及时反馈整改报告及相关佐证材料。

8.2.7内部控制监督检查部门应跟踪核实整改情况，报内部控制工作领导小组。内部控制工作领导小组发现属制度缺陷的，组织相关部门完善制度；属违规经办的，按照相关规定追责问责。整改到位后整理资料归档。

8.3内部控制评价

8.3.1内部控制监督检查部门应组织内部控制执行部门组成内部控制评价工作组，按年度对内部控制制度的健全性、内部控制机制设计的合理性、内部控制运行的有效性进行评价。

8.3.2内部控制评价工作组应由熟悉经办机构内部控制运行情况的工作人员组成，工作组成员对本部门的内部控制评价工作应予回避。

8.3.3内部控制评价内容包括但不限于：

a)内部控制环境。内部控制环境是否有利于内部控制制度建设，单位领导层对内部控制制度建设的重视程度，是否建立有利于风险控制的组织架构，是否具有合规的单位管理文化等；

b)风险评估效果。是否定期开展经办风险评估活动，风险评估工作是否得到领导层和内部控制执行层的重视，经办风险点是否被列入单位风险清单，重大经办风险是否被及时发现并准确评估，是否制定恰当的风险应对策略和防控措施等；

c)控制活动运行。是否制定了科学合理的内部控制工作机制，是否建立了完善的业务操作规程和岗位责任制，是否开发并使用功能完备的业务经办系统，内部控制要求和措施是否在社会保险业务经办规程中明确，并嵌入业务经办信息系统等；

d)信息与沟通。是否建立健全内部控制信息收集和沟通渠道和平台，形成内部控制信息报告、处理、反馈良性互动；业务数据的共享性和透明性，财务、统计报告的真实性和及时性，财务、业务、统计信息的一致性；信息系统的安全性以及信息系统对实施内部控制活动发挥的作用等；

e)内部控制监督检查。内部控制监督检查部门建设情况，内部控制监督检查活动开展情况，是否及时处理社会保险基金要情案件等。

8.3.4内部控制评价程序一般包括：制定评价工作方案、实施现场测试、认定内部控制缺陷、编报内部控制评价报告。

8.3.5内部控制评价工作组应制定评价工作方案。明确评价范围、工作任务、人员组织、进度安排以及经费保障等相关内容，报内部控制工作领导小组审批后实施。

8.3.6内部控制评价工作组可运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法对被评价对象进行现场测试，充分收集被评价对象内部控制设计和运行是否有效的证据，评价分析内部控制缺陷。

8.3.7内部控制缺陷包括设计缺陷和运行缺陷，工作组应以现场测试结果为基础，结合自查和监督检查情况，按照内部控制缺陷的影响程度进行认定，并按其影响程度分:

a)重大缺陷。一个或多个控制缺陷的组合，可能导致社会保险经办工作严重偏离控制目标，后果不能接受；

b)重要缺陷。一个或多个控制缺陷的组合，可能导致社会保险经办工作明显偏离控制目标，后果难以接受；

c)一般缺陷。除重大缺陷、重要缺陷之外的其他缺陷，后果在可接受范围内。

8.3.8内部控制评价工作组应汇总评价结果，编制内部控制评价报告，经本单位内部控制工作领导小组批准后，按规定报送上级单位及相关部门。

8.3.9社会保险经办机构应以自然年度作为内部控制评价周期，以每年的12月31日作为年度内部控制评价报告的基准日。内部控制评价报告应于基准日后4个月内报出。

8.3.10应建立内部控制问题整改机制，明确整改责任部门，规范整改工作流程，确保整改措施落实到位。

8.4结果运用

内部控制评价结果可与被评价部门的绩效考评等挂钩，并作为被评价部门领导班子考评的依据。

附录A（资料性）社会保险经办内部控制自查工作流程图

附录B（资料性）社会保险经办内部控制日常监督检查工作流程

附录C（资料性）社会保险经办内部控制专项监督检查工作流程

附录D（资料性）社会保险经办内部控制监督检查工作底稿

参考文献

[1]中华人民共和国社会保险法

[2]社会保险经办机构内部控制暂行办法（劳社部发〔2007〕2号）

[3]孟昭喜.社会保险经办管理内部控制[M].中国劳动社会保障出版社,2011.

[4]人力资源和社会保障部关于加强社会保险基金管理风险防控工作的意见（人社部发〔2018〕43号）

[5]人力资源社会保障部办公厅关于加强社会保险经办风险防控工作的通知（人社厅函〔2019〕90号）

[6]财政部人力资源社会保障部国家卫生计生委关于印发《社会保险基金财务制度》的通知（财社〔2017〕144号）

[7]人力资源社会保障部办公厅关于印发《社会保险数据稽核规程（试行）》的通知（人社厅发〔2019〕119号）

[8]人力资源社会保障部办公厅关于印发《人力资源和社会保障数据中心应用系统安全管理规范（试行）》的通知（人社厅发〔2014〕47号）

[9]企业内部控制评价指引（保监会财会〔2010〕11号）

[10]人力资源社会保障部办公厅关于印发《社会保险经办机构岗位权限管理办法》的通知（人社厅发〔2021〕64号）