《周兴荣:内部控制应用指引讲解(.10)》由会员分享,可在线阅读,更多相关《周兴荣:内部控制应用指引讲解(.10)(345页珍藏版)》请在金锄头文库上搜索。
1、企业内部控制指引企业内部控制指引 讲解河北省会计人员继续教育河北省会计人员继续教育2010年年10月月讲讲解解培训教师:周兴荣培训教师:周兴荣 教授,硕导,会计学院副院长教授,硕导,会计学院副院长 Email: Email: z 0311-87208033 189311527880311-87208033 18931152788Shijiazhuang university of economics企业内部控制配套指引企业内部控制配套指引的结构的结构核心,核心,“如如何控制何控制”,设计(建设)设计(建设)评价指引评价指引审计指引审计指引应用指引应用指引CPA外部审计外部审计(鉴证、审核)(
2、鉴证、审核)内部控制咨询、培训内部控制咨询、培训内部控制审计内部控制审计注册会计师的新业务注册会计师的新业务同一事务所同一事务所不能同时做不能同时做公司管理层公司管理层自我评价自我评价企业内部控制配套指引企业内部控制配套指引的结构的结构评价指引评价指引审计指引审计指引应用指引应用指引1.组织架构组织架构2.发展战略发展战略3.人力资源人力资源4.社会责任社会责任5.企业文化企业文化控制环境类控制环境类控制手段类控制手段类控制活动类控制活动类6.资金活动资金活动7.采购业务采购业务8.资产管理资产管理9.销售业务销售业务10.研究与开发研究与开发11.工程项目工程项目12.担保业务担保业务13.
3、业务外包业务外包14.财务报告财务报告15.全面预算全面预算16.合同管理合同管理17.内部信息传递内部信息传递18.信息系统信息系统本次讲解目录本次讲解目录企业内部控制应用指引第企业内部控制应用指引第9号:号:销售业务销售业务企业内部控制应用指引第企业内部控制应用指引第10号:号:研究与开发研究与开发企业内部控制应用指引第企业内部控制应用指引第12号:号:担保业务担保业务企业内部控制应用指引第企业内部控制应用指引第13号:号:业务外包业务外包企业内部控制应用指引第企业内部控制应用指引第14号:号:财务报告财务报告企业内部控制应用指引第企业内部控制应用指引第15号:号:全面预算全面预算企业内部
4、控制应用指引第企业内部控制应用指引第16号:号:合同管理合同管理企业内部控制应用指引第企业内部控制应用指引第17号:号:内部信息传递内部信息传递企业内部控制应用指引第企业内部控制应用指引第18号:号:信息系统信息系统企业内部控制企业内部控制评价指引评价指引企业内部控制应用指引第企业内部控制应用指引第9号:号:销售业务销售业务 前车之鉴前车之鉴 业务目标业务目标 业务范围业务范围 业务风险业务风险 总体要求总体要求 控制流程控制流程 控制措施控制措施 设计参考设计参考20042004年四川长虹巨额赊销案年四川长虹巨额赊销案自发布预亏公告后,长虹已连续两天跌停板。继自发布预亏公告后,长虹已连续两天
5、跌停板。继2004年年12月月日日28股价从股价从4.93元跌至元跌至4.44元后,昨天元后,昨天(29日日)又从又从4.44元再元再跌至跌至4元,两日跌幅均达到元,两日跌幅均达到10%。成交量也从前天的约。成交量也从前天的约110万万股,暴增至昨天的接近股,暴增至昨天的接近1000万股。按下跌股价乘以流通股数万股。按下跌股价乘以流通股数计算,长虹两天内就丢失掉了约计算,长虹两天内就丢失掉了约9亿元市值。长虹的股价早已亿元市值。长虹的股价早已跌破每股净资产跌破每股净资产6.09元元/股股四川长虹四川长虹(600839)前天前天(28日日)发布了发布了2004年预亏公告,称美年预亏公告,称美国经
6、销商国经销商APEX欠长虹近欠长虹近40亿元亿元【4.675亿美元亿美元】的应收账款,的应收账款,长虹只可能收回约合长虹只可能收回约合12.5亿元人民币亿元人民币【1.5亿美元亿美元】,预计最,预计最大计提金额将达大计提金额将达25.8亿元人民币亿元人民币【3.1亿美元亿美元】销售业务销售业务-前车之鉴前车之鉴内控应用指引第内控应用指引第9 9号号 四川长虹曝财务四川长虹曝财务丑闻丑闻被指虚增销被指虚增销售收入售收入50亿亿。有一位举报人搜有一位举报人搜集证据的时间长集证据的时间长达达13年,收到的年,收到的距今时间最久的距今时间最久的证据为证据为1997年年。由此,此后由此,此后1999年、
7、年、2009年先后年先后两次进行的总额两次进行的总额度达度达47.5亿元的亿元的再融资均是缺乏再融资均是缺乏法律依据。法律依据。销售业务销售业务-前车之鉴前车之鉴内控应用指引第内控应用指引第9 9号号 销售业务销售业务-业务目标业务目标1.1促进企业销售稳定增长,扩大市场份额;促进企业销售稳定增长,扩大市场份额;1.2规范销售行为,防范销售风险。规范销售行为,防范销售风险。内控应用指引第内控应用指引第9 9号号 销售业务销售业务-业务范围业务范围1.1指企业出售商品(或提供劳务)指企业出售商品(或提供劳务)及及收取款收取款项等相关活动。项等相关活动。【即即,包含销售包含销售和和收款两方面收款两
8、方面】内控应用指引第内控应用指引第9 9号号 销售业务销售业务-业务风险业务风险企业销售业务至少应当关注下列风险:企业销售业务至少应当关注下列风险:1.1销售政策和策略不当,市场预测不准确,销售政策和策略不当,市场预测不准确,销售渠道管理不当等,可能导致销售不畅、销售渠道管理不当等,可能导致销售不畅、库存积压、经营难以为继。库存积压、经营难以为继。1.2客户信用管理不到位,结算方式选择不客户信用管理不到位,结算方式选择不当,账款回收不力等,可能导致销售款项当,账款回收不力等,可能导致销售款项不能收回或遭受欺诈。不能收回或遭受欺诈。1.3销售过程存在舞弊行为,可能导致企业利销售过程存在舞弊行为,
9、可能导致企业利益受损。益受损。内控应用指引第内控应用指引第9 9号号 销售业务销售业务-基本要求基本要求1.1结合实际情况,全面梳理销售业务流程;结合实际情况,全面梳理销售业务流程;1.2完善销售业务相关管理制度;完善销售业务相关管理制度;1.3确定适当的销售政策和策略;确定适当的销售政策和策略;1.4明确销售、发货、收款等环节的职责和审明确销售、发货、收款等环节的职责和审批权限,按规定的权限和程序办理销售业批权限,按规定的权限和程序办理销售业务;务;1.5定期检查分析销售过程中的薄弱环节,采定期检查分析销售过程中的薄弱环节,采取有效控制措施,确保实现销售目标。取有效控制措施,确保实现销售目标
10、。内控应用指引第内控应用指引第9 9号号 销售业务销售业务-控制流程控制流程1 1 销售计划管理销售计划管理2 2 客户开发与信用管理客户开发与信用管理5 5 销售审批与合同订立销售审批与合同订立 8 8 收款收款 10 10 客户服务客户服务 3 3 销售定价销售定价 9 9 会计控制会计控制 7 7 提供服务提供服务 4 4 销售谈判销售谈判 6 6 组织发货组织发货11 11 销售折让与退回销售折让与退回 内控应用指引第内控应用指引第9 9号号 控制措施控制措施销售业务销售业务内控应用指引第内控应用指引第9 9号号 1销售计划管理销售计划管理1.1主要风险:主要风险:销售计划缺乏或不合理
11、,或未经授权审批,导致产品结销售计划缺乏或不合理,或未经授权审批,导致产品结构和生产安排不合理,难以实现企业生产经营的良性循构和生产安排不合理,难以实现企业生产经营的良性循环。环。1.2管控措施:管控措施:a a企业应当根据发展战略和年度生产经营计划,结合企业企业应当根据发展战略和年度生产经营计划,结合企业实际情况,制定实际情况,制定年度销售计划年度销售计划年度销售计划年度销售计划,在此基础上,结合客户,在此基础上,结合客户订单情况,制定订单情况,制定月度销售计划月度销售计划月度销售计划月度销售计划,并按规定的权限和程序,并按规定的权限和程序审批后下达执行。审批后下达执行。 b b定期对各产品
12、定期对各产品/商品的区域销售额、进销差价、商品的区域销售额、进销差价、 销售计销售计划与实际销售情况等进行划与实际销售情况等进行分析分析分析分析,结合生产现状,及时调,结合生产现状,及时调整销售计划,调整后的销售计划应该履行相应的审批程整销售计划,调整后的销售计划应该履行相应的审批程序。序。年度销售计划年度销售计划销售分析表销售分析表月度销售计划月度销售计划销售计划调整表销售计划调整表内控应用指引第内控应用指引第9 9号号 2客户开发与信用管理客户开发与信用管理2.1主要风险:主要风险:a现有客户管理不足、潜在市场需求开发不够,可能导致现有客户管理不足、潜在市场需求开发不够,可能导致客户丢失或
13、市场拓展不利;客户丢失或市场拓展不利;b客户档案不健全,缺乏合理的资信评估,可能导致客户客户档案不健全,缺乏合理的资信评估,可能导致客户选择不当,销售款项不能收回或遭受欺诈,从而影响企选择不当,销售款项不能收回或遭受欺诈,从而影响企业的资金流转和正常经营。业的资金流转和正常经营。2.2管控措施:管控措施:a在进行充分市场调查的基础上,合理细分市场并确定目在进行充分市场调查的基础上,合理细分市场并确定目标市场,根据不同目标群体的具体需求,确定定价机制标市场,根据不同目标群体的具体需求,确定定价机制和信用方式,灵活运用销售折扣、销售折让、信用销售、和信用方式,灵活运用销售折扣、销售折让、信用销售、
14、代销和广告宣传等多种策略和营销方式,促进销售目标代销和广告宣传等多种策略和营销方式,促进销售目标实现,不断提高市场占有率。实现,不断提高市场占有率。市场调查表市场调查表客户信用政策明细表客户信用政策明细表内控应用指引第内控应用指引第9 9号号 2客户开发与信用管理客户开发与信用管理2.2管控措施:管控措施:b建立和不断更新维护客户信用动态档案,由与销建立和不断更新维护客户信用动态档案,由与销售部门相对独立的信用管理部门对客户付款情况进行持售部门相对独立的信用管理部门对客户付款情况进行持续跟踪和监控,提出划分、调整客户信用等级的方案。续跟踪和监控,提出划分、调整客户信用等级的方案。根据客户信用等
15、级和企业信用政策,拟定客户赊销限额根据客户信用等级和企业信用政策,拟定客户赊销限额和时限,经销售、财会等部门具有相关权限的人员审批和时限,经销售、财会等部门具有相关权限的人员审批。对于境外客户和新开发客户,应当建立严格的信用保证对于境外客户和新开发客户,应当建立严格的信用保证制度。制度。客户信用档案客户信用档案客户赊销限额明细表客户赊销限额明细表内控应用指引第内控应用指引第9 9号号 3销售定价销售定价销售定价是指商品价格的确定、调整及相应审批。销售定价是指商品价格的确定、调整及相应审批。3.1主要风险:主要风险:a定价或调价不符合价格政策,未能结合市场供需状况、定价或调价不符合价格政策,未能
16、结合市场供需状况、盈利测算等进行适时调整,造成价格过高或过低、销售盈利测算等进行适时调整,造成价格过高或过低、销售受损;受损;b商品销售价格未经恰当审批,或存在舞弊,可能导致损商品销售价格未经恰当审批,或存在舞弊,可能导致损害企业经济利益或者企业形象。害企业经济利益或者企业形象。3.2管控措施:管控措施:a应根据有关价格政策、综合考虑企业财务目标、营销目应根据有关价格政策、综合考虑企业财务目标、营销目标、产品成本、市场状况及竞争对手情况等多方面因标、产品成本、市场状况及竞争对手情况等多方面因素,确定产品基准定价。定期评价产品基准价格的合理素,确定产品基准定价。定期评价产品基准价格的合理性,定价
17、或调价需经具有相应权限人员的审核批准。性,定价或调价需经具有相应权限人员的审核批准。产品定价、调价审核表产品定价、调价审核表内控应用指引第内控应用指引第9 9号号 3销售定价销售定价3.2管控措施:管控措施:b在执行基准定价的基础上,针对某些商品可以授在执行基准定价的基础上,针对某些商品可以授予销售部门一定限度的价格浮动权,销售部门可结合产予销售部门一定限度的价格浮动权,销售部门可结合产品市场特点,将价格浮动权向下实行逐级递减分配,同品市场特点,将价格浮动权向下实行逐级递减分配,同时明确权限执行人。时明确权限执行人。价格浮动权限执行人必须严格遵守规定的价格浮动范价格浮动权限执行人必须严格遵守规
18、定的价格浮动范围,不得擅自突破。围,不得擅自突破。c销售折扣、销售折让等政策的制定应由具有相应权限人销售折扣、销售折让等政策的制定应由具有相应权限人员审核批准。销售折扣、销售折让授予的实际金额、数员审核批准。销售折扣、销售折让授予的实际金额、数量、原因及对象应予以记录,并归档备查。量、原因及对象应予以记录,并归档备查。价格浮动权限一览表价格浮动权限一览表销售折扣明细表销售折扣明细表内控应用指引第内控应用指引第9 9号号 4订立销售合同订立销售合同企业与客户订立销售合同,明确双方权利和义务,以此企业与客户订立销售合同,明确双方权利和义务,以此作为开展销售活动的基本依据。作为开展销售活动的基本依据
19、。4.1主要风险:主要风险:a合同内容存在重大疏漏和欺诈,未经授权对外订立销售合同内容存在重大疏漏和欺诈,未经授权对外订立销售合同,可能导致企业合法权益受到侵害;合同,可能导致企业合法权益受到侵害;b销售价格、收款期限等违背企业销售政策,可能导致企销售价格、收款期限等违背企业销售政策,可能导致企业经济利益受损。业经济利益受损。4.2管控措施:管控措施:a订立销售合同前,企业应当指定专门人员与客户进行业订立销售合同前,企业应当指定专门人员与客户进行业务洽谈、磋商或谈判,关注客户信用状况,明确销售定务洽谈、磋商或谈判,关注客户信用状况,明确销售定价、结算方式、权利与义务条款等相关内容。重大的销价、
20、结算方式、权利与义务条款等相关内容。重大的销售业务谈判还应当吸收财会、法律等专业人员参加,并售业务谈判还应当吸收财会、法律等专业人员参加,并形成完整的书面记录。形成完整的书面记录。会审、会签合同书面记录会审、会签合同书面记录内控应用指引第内控应用指引第9 9号号 4订立销售合同订立销售合同4.2管控措施:管控措施:b企业应当建立健全销售合同订立及审批管理制度,明确企业应当建立健全销售合同订立及审批管理制度,明确必须签订合同的范围,规范合同订立程序,确定具体的必须签订合同的范围,规范合同订立程序,确定具体的审核、审批程序和所涉及的部门人员及相应权责。审核、审批程序和所涉及的部门人员及相应权责。审
21、核、审批应当重点关注销售合同草案中提出的销售价审核、审批应当重点关注销售合同草案中提出的销售价格、信用政策、发货及收款方式等。重要的销售合同,格、信用政策、发货及收款方式等。重要的销售合同,应当征询法律专业人员的意见。应当征询法律专业人员的意见。C销售合同草案经审批同意后,企业应授权有关人员与客销售合同草案经审批同意后,企业应授权有关人员与客户签订正式销售合同。户签订正式销售合同。年度销售合同登记表年度销售合同登记表销售合同草案销售合同草案内控应用指引第内控应用指引第9 9号号 5发货发货发货是根据销售合同的约定向客户提供商品的环节。发货是根据销售合同的约定向客户提供商品的环节。5.1主要风险
22、:主要风险:未经授权发货或发货不符合合同约定,可能导致货物损未经授权发货或发货不符合合同约定,可能导致货物损失或客户与企业的销售争议、销售款项不能收回。失或客户与企业的销售争议、销售款项不能收回。5.2管控措施:管控措施:a销售部门应当按照经审核后的销售合同开具相关的销售销售部门应当按照经审核后的销售合同开具相关的销售通知交仓储部门和财会部门。通知交仓储部门和财会部门。b仓储部门应当落实出库、计量、运输等环节的岗位责仓储部门应当落实出库、计量、运输等环节的岗位责任,对销售通知进行审核,严格按照所列的发货品种和任,对销售通知进行审核,严格按照所列的发货品种和规格、发货数量、发货时间、发货方式、接
23、货地点等,规格、发货数量、发货时间、发货方式、接货地点等,按规定时间组织发货,形成相应的发货单据,并应连续按规定时间组织发货,形成相应的发货单据,并应连续编号。编号。销售通知销售通知发货单据发货单据内控应用指引第内控应用指引第9 9号号 5发货发货5.2管控措施:管控措施:c应以运输合同或条款等形式明确运输方式、商品短缺、应以运输合同或条款等形式明确运输方式、商品短缺、毁损或变质的责任、到货验收方式、运输费用承担、保毁损或变质的责任、到货验收方式、运输费用承担、保险等内容,货物交接环节应做好装卸和检验工作,确保险等内容,货物交接环节应做好装卸和检验工作,确保货物的安全发运,由客户验收确认。货物
24、的安全发运,由客户验收确认。d应当做好发货各环节的记录,填制相应的凭证,设置销应当做好发货各环节的记录,填制相应的凭证,设置销售台账,实现全过程的销售登记制度。售台账,实现全过程的销售登记制度。运输合同或协议运输合同或协议销售台账销售台账内控应用指引第内控应用指引第9 9号号 6收款收款收款指企业经授权发货后与客户结算的环节。按照发货收款指企业经授权发货后与客户结算的环节。按照发货时是否收到货款,可分为现销和赊销。时是否收到货款,可分为现销和赊销。6.1主要风险:主要风险:a企业信用管理不到位,结算方式选择不当,票据管理不企业信用管理不到位,结算方式选择不当,票据管理不善,账款回收不力,导致销
25、售款项不能收回或遭受欺善,账款回收不力,导致销售款项不能收回或遭受欺诈;诈;b收款过程中存在舞弊,使企业经济利益受损。收款过程中存在舞弊,使企业经济利益受损。6.2管控措施:管控措施:a结合公司销售政策,选择恰当的结算方式,加快款项回结合公司销售政策,选择恰当的结算方式,加快款项回收,提高资金的使用效率。对于商业票据,结合销售政收,提高资金的使用效率。对于商业票据,结合销售政策和信用政策,明确应收票据的受理范围和管理措施。策和信用政策,明确应收票据的受理范围和管理措施。内控应用指引第内控应用指引第9 9号号 6收款收款6.2管控措施:管控措施:b建立票据管理制度,特别是加强商业汇票的管理:建立
26、票据管理制度,特别是加强商业汇票的管理:一是一是,对票据的取得、贴现、背书、保管等活动予以明对票据的取得、贴现、背书、保管等活动予以明确规定;确规定;二是,二是,严格审查票据的真实性和合法性,防止票据欺严格审查票据的真实性和合法性,防止票据欺诈;诈;三是,三是,由专人保管应收票据,对即将到期的应收票据,由专人保管应收票据,对即将到期的应收票据,及时办理托收,定期核对盘点;及时办理托收,定期核对盘点;四是,四是,票据贴现、背书应经恰当审批。建备查簿。票据贴现、背书应经恰当审批。建备查簿。应收票据盘点表应收票据盘点表票据贴现备查簿票据贴现备查簿内控应用指引第内控应用指引第9 9号号 6收款收款6.
27、2管控措施:管控措施:c加强赊销管理。加强赊销管理。一是,一是,一是,一是,需要赊销的商品,应由信用管理部门按照客户信需要赊销的商品,应由信用管理部门按照客户信用等级审核,并经具有相应权限的人员审批。用等级审核,并经具有相应权限的人员审批。二是,二是,二是,二是,赊销商品一般应取得客户的书面确认,必要时,赊销商品一般应取得客户的书面确认,必要时,要求客户办理资产抵押、担保等收款保证手续。要求客户办理资产抵押、担保等收款保证手续。三是,三是,三是,三是,完善应收款项管理制度,落实责任、严格考核、完善应收款项管理制度,落实责任、严格考核、实行奖惩。销售部门负责应收款项的催收,催收记录实行奖惩。销售
28、部门负责应收款项的催收,催收记录(包括往来函电)应妥善保存。(包括往来函电)应妥善保存。d加强代销业务款项的管理,及时与代销商结算款项。加强代销业务款项的管理,及时与代销商结算款项。e收取的现金、银行本票、汇票等应及时缴存银行并登记收取的现金、银行本票、汇票等应及时缴存银行并登记入账。入账。防止由销售人员直接收取款项,如必须由销售人员收取防止由销售人员直接收取款项,如必须由销售人员收取的,应由财会部门加强监控。的,应由财会部门加强监控。赊销确认单赊销确认单催款记录催款记录内控应用指引第内控应用指引第9 9号号 7客户服务客户服务客户服务是在企业与客户之间建立信息沟通机制,对客客户服务是在企业与
29、客户之间建立信息沟通机制,对客户提出的问题,企业应予以及时解答或反馈、处理,不户提出的问题,企业应予以及时解答或反馈、处理,不断改进商品质量和服务水平,以提升客户满意度和忠诚断改进商品质量和服务水平,以提升客户满意度和忠诚度。客户服务包括产品维修、销售退回、维护升级等。度。客户服务包括产品维修、销售退回、维护升级等。7.1主要风险主要风险客户服务水平低,消费者满意度不足,影响公司品牌形客户服务水平低,消费者满意度不足,影响公司品牌形象,造成客户流失。象,造成客户流失。7.2管控措施管控措施a结合竞争对手客户服务水平,建立和完善客户服务制结合竞争对手客户服务水平,建立和完善客户服务制度,包括客户
30、服务内容、标准、方式等。度,包括客户服务内容、标准、方式等。b设专人或部门进行客户服务和跟踪。有条件的企业可以设专人或部门进行客户服务和跟踪。有条件的企业可以按产品线或地理区域建立客户服务中心。加强售前、售按产品线或地理区域建立客户服务中心。加强售前、售中和售后技术服务,实行客户服务人员的薪酬与客户满中和售后技术服务,实行客户服务人员的薪酬与客户满意度挂钩。意度挂钩。服务和跟踪记录服务和跟踪记录内控应用指引第内控应用指引第9 9号号 7客户服务客户服务7.2管控措施管控措施c建立产品质量管理制度,加强销售、生产、研发、质量建立产品质量管理制度,加强销售、生产、研发、质量检验等相关部门之间的沟通
31、协调。检验等相关部门之间的沟通协调。d做好客户回访工作,定期或不定期开展客户满意度调做好客户回访工作,定期或不定期开展客户满意度调查;建立客户投诉制度,记录所有的客户投诉,并分析查;建立客户投诉制度,记录所有的客户投诉,并分析产生原因及解决措施。产生原因及解决措施。e加强销售退回控制。销售退回需经具有相应权限的人员加强销售退回控制。销售退回需经具有相应权限的人员审批后方可执行;销售退回的商品应当参照物资采购入审批后方可执行;销售退回的商品应当参照物资采购入库管理。库管理。客户回访记录客户回访记录销售退回记录销售退回记录内控应用指引第内控应用指引第9 9号号 8会计系统控制会计系统控制会计系统控
32、制是指利用记账、核对、岗位职责落实和相会计系统控制是指利用记账、核对、岗位职责落实和相互分离、档案管理、工作交接程序等会计控制方法,确互分离、档案管理、工作交接程序等会计控制方法,确保企业会计信息真实、准确、完整。会计系统控制包括保企业会计信息真实、准确、完整。会计系统控制包括销售收入的确认、应收款项的管理、坏账准备的计提和销售收入的确认、应收款项的管理、坏账准备的计提和冲销、销售退回的处理等内容。冲销、销售退回的处理等内容。8.1主要风险主要风险缺乏有效的销售业务会计系统控制,可能导致企业账实缺乏有效的销售业务会计系统控制,可能导致企业账实不符、账证不符、账账不符或者账表不符,从而影响销不符
33、、账证不符、账账不符或者账表不符,从而影响销售收入、销售成本、应收款项等会计核算的真实性和可售收入、销售成本、应收款项等会计核算的真实性和可靠性。靠性。内控应用指引第内控应用指引第9 9号号 8会计系统控制会计系统控制8.2管控措施管控措施a企业应当加强对销售、发货、收款业务的会计系统控企业应当加强对销售、发货、收款业务的会计系统控制,详细记录销售客户、销售合同、销售通知、发运凭制,详细记录销售客户、销售合同、销售通知、发运凭证、商业票据、款项收回等情况,确保会计记录、销售证、商业票据、款项收回等情况,确保会计记录、销售记录与仓储记录核对一致。记录与仓储记录核对一致。具体要求是:具体要求是:a
34、1财会部门开具发票时,应依据相关单据(计量单、出库财会部门开具发票时,应依据相关单据(计量单、出库单、货款结算单、销售通知单等)并经相关岗位审核。单、货款结算单、销售通知单等)并经相关岗位审核。a2销售发票应遵循有关发票管理规定,严禁开具虚假发票。销售发票应遵循有关发票管理规定,严禁开具虚假发票。a3财会部门对销售报表等原始凭证审核销售价格、数量财会部门对销售报表等原始凭证审核销售价格、数量等,并根据国家统一的会计准则制度确认销售收入,登等,并根据国家统一的会计准则制度确认销售收入,登记入账。记入账。a4财会部门与相关部门月末应核对当月销售数量,保证各财会部门与相关部门月末应核对当月销售数量,
35、保证各部门销售数量的一致性。部门销售数量的一致性。销售核对记录销售核对记录销售收入、应收账款、库存商品等明细账及总账销售收入、应收账款、库存商品等明细账及总账内控应用指引第内控应用指引第9 9号号 8会计系统控制会计系统控制8.2管控措施:管控措施:b建立应收账款清收核查制度,销售部门应定期与客户对建立应收账款清收核查制度,销售部门应定期与客户对账,并取得书面对账凭证,财会部门负责办理资金结算账,并取得书面对账凭证,财会部门负责办理资金结算并监督款项回收。并监督款项回收。c及时收集应收账款相关凭证资料并妥善保管;及时要求及时收集应收账款相关凭证资料并妥善保管;及时要求客户提供担保;对未按时还款
36、的客户,采取申请支付令客户提供担保;对未按时还款的客户,采取申请支付令、申请诉前保全和起诉等方式及时清收欠款。对收回的非申请诉前保全和起诉等方式及时清收欠款。对收回的非货币性资产应经评估和恰当审批。货币性资产应经评估和恰当审批。d企业对于可能成为坏账的应收账款,应当按照国家统一企业对于可能成为坏账的应收账款,应当按照国家统一的会计准则规定计提坏账准备,并按照权限范围和审批的会计准则规定计提坏账准备,并按照权限范围和审批程序进行审批。对确定发生的各项坏账,应当查明原程序进行审批。对确定发生的各项坏账,应当查明原因,明确责任,并在履行规定的审批程序后作出会计处因,明确责任,并在履行规定的审批程序后
37、作出会计处理。企业核销的坏账应当进行备查登记,做到账销案存。理。企业核销的坏账应当进行备查登记,做到账销案存。已核销已核销的坏账又收回时应及时入账,防止形成账外资金的坏账又收回时应及时入账,防止形成账外资金。应收账款对账记录应收账款对账记录应收账款保全记录应收账款保全记录坏账审批表坏账审批表已核销坏账备查簿已核销坏账备查簿内控应用指引第内控应用指引第9 9号号 销售业务销售业务-设计参考设计参考某公司销售业务内部控制流程某公司销售业务内部控制流程内控应用指引第内控应用指引第9 9号号 企业内部控制应用指引第企业内部控制应用指引第10号:研究与开发号:研究与开发 前车之鉴前车之鉴 业务目标业务目
38、标 业务范围业务范围 业务风险业务风险 总体要求总体要求 控制流程控制流程 控制措施控制措施研究与开发研究与开发-前车之鉴前车之鉴内控应用指引第内控应用指引第1010号号 研发失败!研发失败!辉瑞公司陷入新药研发失败之困辉瑞公司陷入新药研发失败之困8亿美元项目终止亿美元项目终止辉瑞(辉瑞(Pfizer)公司创立于)公司创立于1849年,是美国的一家拥有年,是美国的一家拥有150多年历史的以研发为基础的跨国制药公司多年历史的以研发为基础的跨国制药公司。2006年年7月以来,辉瑞公司一再标榜其新开发的药物月以来,辉瑞公司一再标榜其新开发的药物torcetrapib是如何安全和有效是如何安全和有效,
39、会增加病人的会增加病人的“好好”胆固醇数量,胆固醇数量,未来的市场前景光明等等,但是,在未来的市场前景光明等等,但是,在2006年年12月月2日日,辉瑞突然辉瑞突然宣布立即停止其耗资宣布立即停止其耗资8亿美元调节胆固醇新药亿美元调节胆固醇新药torcetrapib的研的研发工作,随后该公司股价大跌。发工作,随后该公司股价大跌。专门从事证券欺诈诉讼的专门从事证券欺诈诉讼的SchoengoldSpornLaitman&Lometti律师事务所(以下简称律师事务所(以下简称“SSLL”)宣布,由于辉瑞公司)宣布,由于辉瑞公司在其新药在其新药“torcetrapib”的研发过程中,存在发布虚假消息严的
40、研发过程中,存在发布虚假消息严重误导投资者的行为,所以该事务所决定收集在重误导投资者的行为,所以该事务所决定收集在“torcetrapib”事件中受损失的投资者集体起诉辉瑞公司。事件中受损失的投资者集体起诉辉瑞公司。研究与开发研究与开发-前车之鉴前车之鉴内控应用指引第内控应用指引第1010号号 研究与开发研究与开发-前车之鉴前车之鉴瑞士药业巨头诺华药物研发终止,损失瑞士药业巨头诺华药物研发终止,损失2.35亿美元亿美元瑞士药业巨头诺华在瑞士药业巨头诺华在2006年年7月斥资月斥资2.7亿美元收购了英国亿美元收购了英国NeuTec制药公司,同时取得制药公司,同时取得Aurogra的各项权利。的各
41、项权利。Aurograb曾被作为曾被作为抗生素抗生素辅助性治疗辅助性治疗药物药物进行评估,用于治疗深部金黄进行评估,用于治疗深部金黄色色葡萄球菌感染葡萄球菌感染。2008年年9月,诺华公司在审查了第二阶段的月,诺华公司在审查了第二阶段的临床临床实验数据后,实验数据后,发现发现Aurogra并不具有疗效。诺华公司宣布终止该药的研发,并不具有疗效。诺华公司宣布终止该药的研发,公司将损失约公司将损失约2.35亿美元。亿美元。内控应用指引第内控应用指引第1010号号 研究与开发研究与开发-前车之鉴前车之鉴XXX单位预算管理系统设计的体会单位预算管理系统设计的体会单位领导层没有就软件的功能达成一致意见,
42、中途多次变更单位领导层没有就软件的功能达成一致意见,中途多次变更系统功能和设计方案,既影响了项目进度,又耗费了不必要系统功能和设计方案,既影响了项目进度,又耗费了不必要的时间和精力。的时间和精力。存货系统对接问题,领料申请和所报材料消耗计划挂钩还是存货系统对接问题,领料申请和所报材料消耗计划挂钩还是脱钩?费用预算是硬性约束还是软约束?是部门总额控制还脱钩?费用预算是硬性约束还是软约束?是部门总额控制还是单项费用控制?是单项费用控制?每月结账日和会计系统保持一致至每月每月结账日和会计系统保持一致至每月25日还是二者脱钩至日还是二者脱钩至自然月份?自然月份?内控应用指引第内控应用指引第1010号号
43、 研究与开发研究与开发-业务目标业务目标1.1促进企业自主创新,增强核心竞争力;促进企业自主创新,增强核心竞争力;1.2有效控制研发风险,实现发展战略。有效控制研发风险,实现发展战略。内控应用指引第内控应用指引第1010号号 研究与开发研究与开发-业务范围业务范围1.1企业为获取新产品、新技术、新工艺等所企业为获取新产品、新技术、新工艺等所开展的各种研发活动。开展的各种研发活动。内控应用指引第内控应用指引第1010号号 研究与开发研究与开发-业务风险业务风险1.1研究项目未经科学论证或论证不充分,可研究项目未经科学论证或论证不充分,可能导致创新不足或资源浪费。能导致创新不足或资源浪费。1.2研
44、发人员配备不合理或研发过程管理不研发人员配备不合理或研发过程管理不善,可能导致研发成本过高、舞弊或研发善,可能导致研发成本过高、舞弊或研发失败。失败。1.3研究成果转化应用不足、保护措施不力,研究成果转化应用不足、保护措施不力,可能导致企业利益受损。可能导致企业利益受损。内控应用指引第内控应用指引第1010号号 研究与开发研究与开发-基本要求基本要求1.1企业应当重视研发工作,根据发展战略,企业应当重视研发工作,根据发展战略,结合市场开拓和技术进步要求,科学制定结合市场开拓和技术进步要求,科学制定研发计划,强化研发全过程管理,规范研研发计划,强化研发全过程管理,规范研发行为,促进研发成果的转化
45、和有效利发行为,促进研发成果的转化和有效利用,不断提升企业自主创新能力。用,不断提升企业自主创新能力。内控应用指引第内控应用指引第1010号号 研究与开发研究与开发-控制流程控制流程是是是是否否否否1 1立项申请、评审和审批立项申请、评审和审批 是否通过是否通过是否通过是否通过2 2 研发过程管理研发过程管理 5 5 研发成果保护研发成果保护、评估与改进、评估与改进3 3 结题验收结题验收4 4 研发成果开发研发成果开发结束结束内控应用指引第内控应用指引第1010号号 研究与开发研究与开发控制措施控制措施内控应用指引第内控应用指引第1010号号 1立项申请、评审和审批立项申请、评审和审批1.1
46、主要风险:主要风险:研发计划与国家(或企业)科技发展战略不匹配,研发研发计划与国家(或企业)科技发展战略不匹配,研发承办单位或专题负责人不具有相应资质,研究项目未经承办单位或专题负责人不具有相应资质,研究项目未经科学论证或论证不充分,评审和审批环节把关不严,可科学论证或论证不充分,评审和审批环节把关不严,可能导致创新不足或资源浪费。能导致创新不足或资源浪费。1.2管控措施:管控措施:a建立完善的立项、审批制度,确定研究开发计划制定原建立完善的立项、审批制度,确定研究开发计划制定原则和审批人,审查承办单位或专题负责人的资质条件和则和审批人,审查承办单位或专题负责人的资质条件和评估、审批流程等。评
47、估、审批流程等。b结合企业发展战略、市场及技术现状,制定研究项目开结合企业发展战略、市场及技术现状,制定研究项目开发计划。发计划。c企业应当根据实际需要,结合研发计划,提出研究项目企业应当根据实际需要,结合研发计划,提出研究项目立项申请,开展可行性研究,编制可行性研究报告。企立项申请,开展可行性研究,编制可行性研究报告。企业可以组织独立于申请及立项审批之外的专业机构和人业可以组织独立于申请及立项审批之外的专业机构和人员进行评估论证,出具评估意见。员进行评估论证,出具评估意见。内控应用指引第内控应用指引第1010号号 研究项目开发计划研究项目开发计划研究项目评审意见书研究项目评审意见书1立项申请
48、、评审和审批立项申请、评审和审批1.2管控措施:管控措施:d研究项目应当按照规定的权限和程序进行审批,重大研研究项目应当按照规定的权限和程序进行审批,重大研究项目应当报经董事会或类似权力机构集体审议决策。究项目应当报经董事会或类似权力机构集体审议决策。审批过程中,应当重点关注研究项目促进企业发展的必审批过程中,应当重点关注研究项目促进企业发展的必要性、技术的先进性以及成果转化的可行性。要性、技术的先进性以及成果转化的可行性。e制定开题计划和报告,开题计划经科研管理部门负责人制定开题计划和报告,开题计划经科研管理部门负责人审批,开题报告应对市场需求与效益、国内外在该方向审批,开题报告应对市场需求
49、与效益、国内外在该方向的研究现状、主要技术路线、研究开发目标与进度、已的研究现状、主要技术路线、研究开发目标与进度、已有条件与基础、经费等进行充分论证、分析,保证项目有条件与基础、经费等进行充分论证、分析,保证项目符合企业需求。符合企业需求。集体会审记录集体会审记录研究项目开题报告研究项目开题报告内控应用指引第内控应用指引第1010号号 2研发过程管理研发过程管理研发通常分为自主研发、委托研发和合作研发。研发通常分为自主研发、委托研发和合作研发。2.1自主研发自主研发自主研发是指企业依靠自身的科研力量,独立完成项自主研发是指企业依靠自身的科研力量,独立完成项目,包括原始创新、集成创新和在引进消
50、化基础上的再目,包括原始创新、集成创新和在引进消化基础上的再创新三种类型。创新三种类型。2.1.1 主要风险:主要风险:a研究人员配备不合理,导致研发成本过高、舞弊或研发研究人员配备不合理,导致研发成本过高、舞弊或研发失败。失败。b研发过程管理不善,费用失控或科技收入形成账外资研发过程管理不善,费用失控或科技收入形成账外资产,影响研发效率,提高研发成本甚至造成资产流失。产,影响研发效率,提高研发成本甚至造成资产流失。c多个项目同时进行时,相互争夺资源,出现资源的短期多个项目同时进行时,相互争夺资源,出现资源的短期局部缺乏,可能造成研发效率下降。局部缺乏,可能造成研发效率下降。d研究过程中未能及
51、时发现错误,导致修正成本提高。研究过程中未能及时发现错误,导致修正成本提高。e科研合同管理不善,导致权属不清,知识产权存在争议。科研合同管理不善,导致权属不清,知识产权存在争议。内控应用指引第内控应用指引第1010号号 2研发过程管理研发过程管理2.1.2 管控措施:管控措施:a建立研发项目管理制度和技术标准,建立信息反馈制度建立研发项目管理制度和技术标准,建立信息反馈制度和研发项目重大事项报告制度;严格落实岗位责任制。和研发项目重大事项报告制度;严格落实岗位责任制。b合理设计项目实施进度计划和组织结构,跟踪项目进合理设计项目实施进度计划和组织结构,跟踪项目进展,建立良好的工作机制,保证项目顺
52、利实施。展,建立良好的工作机制,保证项目顺利实施。c精确预计工作量和所需资源,提高资源使用效率。精确预计工作量和所需资源,提高资源使用效率。d建立科技开发费用报销制度,明确费用支付标准及审批建立科技开发费用报销制度,明确费用支付标准及审批权限,遵循不相容岗位牵制原则,完善科技经费入账管权限,遵循不相容岗位牵制原则,完善科技经费入账管理程序,按项目正确划分资本性支出和费用性支出,准理程序,按项目正确划分资本性支出和费用性支出,准确开展会计核算,建立科技收入管理制度。确开展会计核算,建立科技收入管理制度。e开展项目中期评审,及时纠偏调整;优化研发项目管理开展项目中期评审,及时纠偏调整;优化研发项目
53、管理的任务分配方式。的任务分配方式。项目技术标准文件项目技术标准文件项目经费登记账簿项目经费登记账簿内控应用指引第内控应用指引第1010号号 2研发过程管理研发过程管理2.2委托(合作)研发。委托(合作)研发。委托研发是指企业委托具有资质的外部承办单位进行研委托研发是指企业委托具有资质的外部承办单位进行研究和开发。合作研发是指合作双方基于研发协议究和开发。合作研发是指合作双方基于研发协议,就共同就共同的科研项目,以某种合作形式进行研究或开发。的科研项目,以某种合作形式进行研究或开发。2.2.1 主要风险:主要风险:a委托(合作)单位选择不当,知识产权界定不清。委托(合作)单位选择不当,知识产权
54、界定不清。b合作研发还包括与合作单位沟通障碍、合作方案设计不合作研发还包括与合作单位沟通障碍、合作方案设计不合理、权责利不能合理分配、资源整合不当等风险。合理、权责利不能合理分配、资源整合不当等风险。2.2.2 管控措施:管控措施:a加强对委托(合作)研发单位的资信、专业能力等方面加强对委托(合作)研发单位的资信、专业能力等方面管理。管理。b委托研发应采用招标、议标等方式确定受托单位,制定委托研发应采用招标、议标等方式确定受托单位,制定规范详尽的委托研发合同,明确产权归属、研究进度和规范详尽的委托研发合同,明确产权归属、研究进度和质量标准等相关内容。质量标准等相关内容。项目招投标文件项目招投标
55、文件内控应用指引第内控应用指引第1010号号 2研发过程管理研发过程管理2.2.2 管控措施:管控措施:c合作研发应对合作单位进行尽职调查,签订书面合作研合作研发应对合作单位进行尽职调查,签订书面合作研究合同,明确双方投资、分工、权利义务、研究成果产究合同,明确双方投资、分工、权利义务、研究成果产权归属等。权归属等。d加强项目的管理监督,严格控制项目费用,防止挪用、加强项目的管理监督,严格控制项目费用,防止挪用、侵占等。侵占等。e根据项目进展情况、国内外技术最新发展趋势和市场需根据项目进展情况、国内外技术最新发展趋势和市场需求变化情况,对项目的目标、内容、进度、资金进行适求变化情况,对项目的目
56、标、内容、进度、资金进行适当调整。当调整。项目合同书项目合同书内控应用指引第内控应用指引第1010号号 3结题验收结题验收结题验收是对研究过程形成的交付物进行质量验收。结结题验收是对研究过程形成的交付物进行质量验收。结题验收分检测鉴定、专家评审、专题会议等三种方式。题验收分检测鉴定、专家评审、专题会议等三种方式。3.1主要风险:主要风险:a由于验收人员的技术、能力、独立性等造成验收成果与由于验收人员的技术、能力、独立性等造成验收成果与事实不符;事实不符;b测试与鉴定投入不足,导致测试与鉴定的不充分,不能测试与鉴定投入不足,导致测试与鉴定的不充分,不能有效地降低技术失败的风险。有效地降低技术失败
57、的风险。3.2管控措施:管控措施:a建立健全技术验收制度,严格执行测试程序。建立健全技术验收制度,严格执行测试程序。b对验收过程中发现的异常情况应重新进行验收申请或补对验收过程中发现的异常情况应重新进行验收申请或补充进行研发,直至研发项目达到研发标准为止。充进行研发,直至研发项目达到研发标准为止。c落实技术主管部门验收责任,由独立的、具备专业胜任落实技术主管部门验收责任,由独立的、具备专业胜任能力测试人员进行鉴定试验,并按计划进行正式的、系能力测试人员进行鉴定试验,并按计划进行正式的、系统的、严格的评审。统的、严格的评审。d加大企业在测试和鉴定阶段的投入,对重要的研究项目加大企业在测试和鉴定阶
58、段的投入,对重要的研究项目可以组织外部专家参加鉴定。可以组织外部专家参加鉴定。项目验收文件项目验收文件内控应用指引第内控应用指引第1010号号 4研究成果开发研究成果开发研究成果开发是指企业将研究成果经过开发过程转换为研究成果开发是指企业将研究成果经过开发过程转换为企业的产品。企业的产品。4.1主要风险:主要风险:a研究成果转化应用不足,导致资源闲置;研究成果转化应用不足,导致资源闲置;b新产品未经充分测试,导致大批量生产不成熟或成本过新产品未经充分测试,导致大批量生产不成熟或成本过高;高;c营销策略与市场需求不符,导致营销失败。营销策略与市场需求不符,导致营销失败。4.2管控措施:管控措施:
59、a建立健全研究成果开发制度,促进成果及时有效转化。建立健全研究成果开发制度,促进成果及时有效转化。b科学鉴定大批量生产的技术成熟度,力求降低产品成本。科学鉴定大批量生产的技术成熟度,力求降低产品成本。c坚持开展以市场为导向的新产品开发消费者测试。坚持开展以市场为导向的新产品开发消费者测试。d建立研发项目档案,推进有关信息资源的共享和应用。建立研发项目档案,推进有关信息资源的共享和应用。消费者测试文件消费者测试文件项目档案项目档案内控应用指引第内控应用指引第1010号号 5研究成果保护研究成果保护研究成果保护是企业研发管理工作的有机组成部分。有研究成果保护是企业研发管理工作的有机组成部分。有效的
60、研发成果保护,可保护研发企业的合法权益。效的研发成果保护,可保护研发企业的合法权益。5.1主要风险:主要风险:a未能有效识别和保护知识产权,权属未能得到明确规未能有效识别和保护知识产权,权属未能得到明确规范,开发出的新技术或产品被限制使用;范,开发出的新技术或产品被限制使用;b核心研究人员缺乏管理激励制度,导致形成新的竞争对核心研究人员缺乏管理激励制度,导致形成新的竞争对手或技术秘密外泄。手或技术秘密外泄。5.2管控措施:管控措施:a进行知识产权评审,及时取得权属。进行知识产权评审,及时取得权属。b研发完成后确定采取专利或技术秘密等不同保护方式。研发完成后确定采取专利或技术秘密等不同保护方式。
61、利用专利文献选择较好的工艺路线。利用专利文献选择较好的工艺路线。c建立研究成果保护制度,加强对专利权、非专利技术、建立研究成果保护制度,加强对专利权、非专利技术、商业秘密及研发过程中形成的各类涉密图纸、程序、资商业秘密及研发过程中形成的各类涉密图纸、程序、资料的管理,严格按照制度规定借阅和使用。禁止无关人料的管理,严格按照制度规定借阅和使用。禁止无关人员接触研究成果。员接触研究成果。知识产权证书知识产权证书研究成果借阅登记研究成果借阅登记研究成果使用登记研究成果使用登记内控应用指引第内控应用指引第1010号号 5研究成果保护、研究成果保护、评估与改进评估与改进5.2管控措施:管控措施:d建立严
62、格的核心研究人员管理制度,明确界定核心研究建立严格的核心研究人员管理制度,明确界定核心研究人员范围和名册清单并与之签署保密协议。人员范围和名册清单并与之签署保密协议。e企业与核心研究人员签订劳动合同时,应当特别约定研企业与核心研究人员签订劳动合同时,应当特别约定研究成果归属、离职条件、离职移交程序、离职后保密义究成果归属、离职条件、离职移交程序、离职后保密义务、离职后竞业限制年限及违约责任等内容。务、离职后竞业限制年限及违约责任等内容。f实施合理有效的研发绩效管理,制定科学的核心研发人实施合理有效的研发绩效管理,制定科学的核心研发人员激励体系,注重长效激励。员激励体系,注重长效激励。g企业应当
63、建立研发活动评估制度,加强对立项与研究、企业应当建立研发活动评估制度,加强对立项与研究、开发与保护等过程的全面评估,认真总结研发管理经开发与保护等过程的全面评估,认真总结研发管理经验,分析存在的薄弱环节,完善相关制度和办法,不断验,分析存在的薄弱环节,完善相关制度和办法,不断改进和提升研发活动的管理水平。改进和提升研发活动的管理水平。核心研究人员名册核心研究人员名册劳动合同劳动合同内控应用指引第内控应用指引第1010号号 企业内部控制应用指引第企业内部控制应用指引第12号:担保业务号:担保业务 前车之鉴前车之鉴 业务目标业务目标 业务范围业务范围 业务风险业务风险 总体要求总体要求 控制流程控
64、制流程 控制措施控制措施担保业务担保业务-前车之鉴前车之鉴南京医药公布巨额担保,高负债率存隐忧南京医药公布巨额担保,高负债率存隐忧内控应用指引第内控应用指引第1212号号担保业务担保业务-业务目标业务目标1.1我国上市公司担保业务增速快、金额大、风险高、违规我国上市公司担保业务增速快、金额大、风险高、违规情况严重,仅情况严重,仅20012004年,平均每年新增年,平均每年新增121家上市家上市公司涉及担保事项,年均增速达到公司涉及担保事项,年均增速达到35%;截至;截至2004年年10月,月,837家沪市上市公司中,有家沪市上市公司中,有180家存在违规担保情家存在违规担保情况,涉及金额为况,
65、涉及金额为279.98亿元,亿元,违规担保违规担保金额占上市公司金额占上市公司担保总额的担保总额的26.72%;在深市;在深市505家上市公司中,涉及担家上市公司中,涉及担保的公司保的公司311家,担保总额达家,担保总额达420亿元,其中亿元,其中违规担保违规担保金金额为额为131亿元,占担保总额的亿元,占担保总额的31.19%。鉴于担保业务的鉴于担保业务的“双刃剑双刃剑”特征,有必要对严控担保风特征,有必要对严控担保风险险提出了一系列有针对性的管控措施。提出了一系列有针对性的管控措施。内控应用指引第内控应用指引第1212号号 担保业务担保业务-业务范围业务范围1.1指企业作为担保人按照公平、
66、自愿、互利指企业作为担保人按照公平、自愿、互利的原则与债权人约定,当债务人不履行债的原则与债权人约定,当债务人不履行债务时,依照法律规定和合同协议承担相应务时,依照法律规定和合同协议承担相应法律责任的行为。法律责任的行为。内控应用指引第内控应用指引第1212号号 担保业务担保业务-业务风险业务风险1.1 对担保申请人的资信状况调查不深,审批对担保申请人的资信状况调查不深,审批不严或越权审批,可能导致企业担保决策不严或越权审批,可能导致企业担保决策失误或遭受欺诈。失误或遭受欺诈。1.2对被担保人出现财务困难或经营陷入困境对被担保人出现财务困难或经营陷入困境等状况监控不力,应对措施不当,可能导等状
67、况监控不力,应对措施不当,可能导致企业承担法律责任。致企业承担法律责任。1.3担保过程中存在舞弊行为,可能导致经办担保过程中存在舞弊行为,可能导致经办审批等相关人员涉案或企业利益受损。审批等相关人员涉案或企业利益受损。内控应用指引第内控应用指引第1212号号 担保业务担保业务-总体要求总体要求1.1 明确担保的对象、范围、方式、条件、程明确担保的对象、范围、方式、条件、程序、担保限额和禁止担保等事项;序、担保限额和禁止担保等事项;1.2规范调查评估、审核批准、担保执行等环规范调查评估、审核批准、担保执行等环节的工作流程,按照政策、制度、流程办节的工作流程,按照政策、制度、流程办理担保业务;理担
68、保业务;1.3定期检查担保政策的执行情定期检查担保政策的执行情况及效果,况及效果,切实防范担保业务风险。切实防范担保业务风险。内控应用指引第内控应用指引第1212号号 担保业务担保业务-控制流程控制流程内控应用指引第内控应用指引第1212号号 受理申请受理申请调查和评估调查和评估签订担保合同签订担保合同向被担保人追偿向被担保人追偿并落实本企业担并落实本企业担保责任追究机制保责任追究机制担保终止担保终止审批机构审批审批机构审批承担担保责任承担担保责任被担保人未能如期偿款被担保人未能如期偿款董事会或类似董事会或类似权力机构审批权力机构审批对担保合同的日常监控对担保合同的日常监控被担保人如期偿款被担
69、保人如期偿款非重大非重大不不予予担担保保未通过未通过未通过未通过重大重大控制措施控制措施担保业务担保业务内控应用指引第内控应用指引第1212号号 1受理申请受理申请受理申请是企业办理担保业务的第一道关口受理申请是企业办理担保业务的第一道关口1.1主要风险:主要风险:a企业担保政策和相关管理制度不健全,导致难以对担保企业担保政策和相关管理制度不健全,导致难以对担保申请人提出的担保申请进行初步评价和审核;申请人提出的担保申请进行初步评价和审核;b或者虽然建立了担保政策和相关管理制度,但对担保申或者虽然建立了担保政策和相关管理制度,但对担保申请人提出的担保申请审查把关不严,导致申请受理流于请人提出的
70、担保申请审查把关不严,导致申请受理流于形式。形式。1.2控制措施控制措施:a依法制定和完善本企业的担保政策和相关管理制度,明依法制定和完善本企业的担保政策和相关管理制度,明确担保的对象、范围、方式、条件、程序、担保限额和确担保的对象、范围、方式、条件、程序、担保限额和禁止担保的事项;禁止担保的事项;b严格按照担保政策和相关管理制度对担保申请人提出的严格按照担保政策和相关管理制度对担保申请人提出的担保申请进行审核。审视担保申请人与本企业的业务关担保申请进行审核。审视担保申请人与本企业的业务关系,及其整体实力、经营状况、信用水平等情况。系,及其整体实力、经营状况、信用水平等情况。内控应用指引第内控
71、应用指引第1212号号 2调查和评估调查和评估企业在受理担保申请后对担保申请人进行资信调查和风企业在受理担保申请后对担保申请人进行资信调查和风险评估,是办理担保业务中不可或缺的重要环节,在相险评估,是办理担保业务中不可或缺的重要环节,在相当程度上影响甚至决定担保业务的未来走向。当程度上影响甚至决定担保业务的未来走向。2.1主要风险:主要风险:对担保申请人的资信调查不深入、不透彻,对担保项目对担保申请人的资信调查不深入、不透彻,对担保项目的风险评估不全面、不科学,导致企业担保决策失误或的风险评估不全面、不科学,导致企业担保决策失误或遭受欺诈,为担保业务埋下巨大隐患。遭受欺诈,为担保业务埋下巨大隐
72、患。2.2控制措施:控制措施:a委派具备胜任能力的专业人员开展调查和评估。调查评委派具备胜任能力的专业人员开展调查和评估。调查评估人员与担保业务审批人员应当分离。担保申请人为企估人员与担保业务审批人员应当分离。担保申请人为企业关联方的,与关联方存在经济利益或近亲属关系的有业关联方的,与关联方存在经济利益或近亲属关系的有关人员不得参与调查评估。企业可以自行对担保申请人关人员不得参与调查评估。企业可以自行对担保申请人进行资信调查和风险评估,也可以委托中介机构承担这进行资信调查和风险评估,也可以委托中介机构承担这一工作,同时应加强对中介机构工作情况的监控。一工作,同时应加强对中介机构工作情况的监控。
73、内控应用指引第内控应用指引第1212号号 2调查和评估调查和评估2.2控制措施:控制措施:b对担保申请人资信状况和有关情况进行全面、客观的调对担保申请人资信状况和有关情况进行全面、客观的调查评估。在调查和评估中,应当重点关注以下事项:查评估。在调查和评估中,应当重点关注以下事项:b1担保业务是否符合国家法律法规和本企业担保政策的要担保业务是否符合国家法律法规和本企业担保政策的要求,凡不符合或相抵触的业务,一律不得提供担保;求,凡不符合或相抵触的业务,一律不得提供担保;b2担保申请人的资信状况,包括基本情况、资产质量、财担保申请人的资信状况,包括基本情况、资产质量、财务状况、经营情况、信用程度、
74、行业前景等;务状况、经营情况、信用程度、行业前景等;b3担保申请人用于担保和第三方担保的资产状况及其权利担保申请人用于担保和第三方担保的资产状况及其权利归属;归属;b4企业要求担保申请人提供反担保的,还应对与反担保有企业要求担保申请人提供反担保的,还应对与反担保有关的资产状况进行评估。企业应当综合运用各种行之有关的资产状况进行评估。企业应当综合运用各种行之有效的方式方法,对担保申请人的资信状况进行调查了效的方式方法,对担保申请人的资信状况进行调查了解,务求真实准确。解,务求真实准确。内控应用指引第内控应用指引第1212号号 2调查和评估调查和评估2.2控制措施:控制措施:c对担保项目经营前景和
75、盈利能力进行合理预测。企业整对担保项目经营前景和盈利能力进行合理预测。企业整体的资信状体的资信状况和担保项目的预期运营情况,构成判断况和担保项目的预期运营情况,构成判断担保申请人偿债能力的两担保申请人偿债能力的两大重要方面,应当予以重视。大重要方面,应当予以重视。d划定不予担保的划定不予担保的“红线红线”,切实防范为,切实防范为“带病带病”企业提企业提供担供担保。并结合保。并结合调查评估情况作出判断。对以下调查评估情况作出判断。对以下5类情形不类情形不予担保:予担保:d1担保项目不符合国家法律法规和本企业担保政策的;担保项目不符合国家法律法规和本企业担保政策的;d2担保申请人已进入重组、托管、
76、兼并或破产清算程序担保申请人已进入重组、托管、兼并或破产清算程序的;的;d3担保申请人财务状况恶化、资不抵债、管理混乱、经担保申请人财务状况恶化、资不抵债、管理混乱、经营风险较大的;营风险较大的;内控应用指引第内控应用指引第1212号号 2调查和评估调查和评估2.2控制措施:控制措施:d4担保申请人与其他企业存在较大经济纠纷,面临法律担保申请人与其他企业存在较大经济纠纷,面临法律诉讼且可能诉讼且可能承担较大赔偿责任的;承担较大赔偿责任的;d5担保申请人与本企业已经发生过担保纠纷且仍未妥善担保申请人与本企业已经发生过担保纠纷且仍未妥善解决的,或解决的,或不能及时足额交纳担保费用的。不能及时足额交
77、纳担保费用的。e形成书面评估报告,全面反映调查评估情况,为担保决形成书面评估报告,全面反映调查评估情况,为担保决策提供第一手资料。企业应当规范评估报告的形式和内策提供第一手资料。企业应当规范评估报告的形式和内容,妥善保管评估报告,并作为日后追究有关人员担保容,妥善保管评估报告,并作为日后追究有关人员担保责任的重要依据。责任的重要依据。内控应用指引第内控应用指引第1212号号 3审批审批审批环节在担保业务中具有承上启下的作用,既是对调审批环节在担保业务中具有承上启下的作用,既是对调查评估结果的判断和认定,也是担保业务能否进入实际查评估结果的判断和认定,也是担保业务能否进入实际执行阶段的必经之路。
78、执行阶段的必经之路。3.1主要风险:主要风险:a授权审批制度不健全,导致对担保业务的审批不规范;授权审批制度不健全,导致对担保业务的审批不规范;b审批不严格或者越权审批,导致担保决策出现重大疏审批不严格或者越权审批,导致担保决策出现重大疏漏,可能引发严重后果;漏,可能引发严重后果;c审批过程存在舞弊行为,可能导致经办审批等相关人员审批过程存在舞弊行为,可能导致经办审批等相关人员涉案或企业利益受损。涉案或企业利益受损。3.2 控制措施:控制措施:a建立和完善担保授权审批制度,明确授权批准的方式、建立和完善担保授权审批制度,明确授权批准的方式、权限、程序、责任和相关控制措施,规定各层级人员应权限、
79、程序、责任和相关控制措施,规定各层级人员应当在授权范围内进行审批,不得超越权限审批。企业内当在授权范围内进行审批,不得超越权限审批。企业内设机构不得以企业名义对外提供担保。企业应当加大对设机构不得以企业名义对外提供担保。企业应当加大对分公司对外提供担保的管控力度,严格限制分公司担保分公司对外提供担保的管控力度,严格限制分公司担保行为,避免因分公司违规担保为本企业带来不利后果。行为,避免因分公司违规担保为本企业带来不利后果。内控应用指引第内控应用指引第1212号号 3审批审批3.2控制措施:控制措施:b建立和完善重大担保业务的集体决策审批制度。建立和完善重大担保业务的集体决策审批制度。企业应当根
80、据企业应当根据公司法公司法等国家法律法规,结合企业章等国家法律法规,结合企业章程和有关管理制度,明确重大担保业务的判断标准、审程和有关管理制度,明确重大担保业务的判断标准、审批权限和程序。上市公司的重大对外担保,应取得董会批权限和程序。上市公司的重大对外担保,应取得董会全体成员全体成员2/3以上签署同意或者经股东大会批准,未经董以上签署同意或者经股东大会批准,未经董事会或者类似权力机构批准,不得对外提供重大担保。事会或者类似权力机构批准,不得对外提供重大担保。c认真审查对担保申请人的调查评估报告,在充分认真审查对担保申请人的调查评估报告,在充分了解掌握有关情况的基础上,权衡比较本企业净资产状了
81、解掌握有关情况的基础上,权衡比较本企业净资产状况、担保限额与担保申请人提出的担保金额,确保将担况、担保限额与担保申请人提出的担保金额,确保将担保金额控制在企业设定的担保限额之内。保金额控制在企业设定的担保限额之内。d从严办理担保变更审批。被担保人要求变更担保从严办理担保变更审批。被担保人要求变更担保事项的,企业应当重新履行调查评估程序,根据新的调事项的,企业应当重新履行调查评估程序,根据新的调查评估报告重新履行审批手续。查评估报告重新履行审批手续。内控应用指引第内控应用指引第1212号号 4签订担保合同签订担保合同担保合同是审批机构同意办理担保业务的直接体现,也担保合同是审批机构同意办理担保业
82、务的直接体现,也是约定担保双方权利义务的基础载体。是约定担保双方权利义务的基础载体。4.1主要风险:主要风险:未经授权对外订立担保合同,或者担保合同内容存在重未经授权对外订立担保合同,或者担保合同内容存在重大疏漏和欺诈,可能导致企业诉讼失败、权利追索被动、大疏漏和欺诈,可能导致企业诉讼失败、权利追索被动、经济利益和形象信誉受损。经济利益和形象信誉受损。4.2控制措施:控制措施:a严格按照经审核批准的担保业务订立担保合同。合同订严格按照经审核批准的担保业务订立担保合同。合同订立经办人员应当在职责范围内,按照审批人员的批准意立经办人员应当在职责范围内,按照审批人员的批准意见拟订合同条款。见拟订合同
83、条款。b认真审核合同条款,确保合同条款内容完整、表述严谨认真审核合同条款,确保合同条款内容完整、表述严谨准确、相关手续齐备。在合同中应明确被担保人的权利、准确、相关手续齐备。在合同中应明确被担保人的权利、义务、违约责任等相关内容,并要求被担保人定期提供义务、违约责任等相关内容,并要求被担保人定期提供财务报告和有关资料,及时通报担保事项的实施情况。财务报告和有关资料,及时通报担保事项的实施情况。如担保申请人同时向多方申请担保的,企业应当在担保如担保申请人同时向多方申请担保的,企业应当在担保合同中明确约定本企业的担保份额和相应的责任。合同中明确约定本企业的担保份额和相应的责任。内控应用指引第内控应
84、用指引第1212号号 4签订担保合同签订担保合同4.2控制措施:控制措施:c实行担保合同会审联签。除担保业务经办部门之外,鼓实行担保合同会审联签。除担保业务经办部门之外,鼓励和倡导企业法律部门、财会部门、内审部门等参与担励和倡导企业法律部门、财会部门、内审部门等参与担保合同会审联签,增强担保合同的合法性、规范性、完保合同会审联签,增强担保合同的合法性、规范性、完备性,有效避免权利义务约定、合同文本表述等方面的备性,有效避免权利义务约定、合同文本表述等方面的疏漏。疏漏。d加强对有关身份证明和印章的管理。如,企业法定代表加强对有关身份证明和印章的管理。如,企业法定代表人的身份证明、个人印章和担保合
85、同专用章等,防止导人的身份证明、个人印章和担保合同专用章等,防止导致身份证明和印章被盗用,造成了难以挽回的严重后果。致身份证明和印章被盗用,造成了难以挽回的严重后果。e规范担保合同记录、传递和保管,确保担保合同运转轨规范担保合同记录、传递和保管,确保担保合同运转轨迹清晰完整、有案可查。迹清晰完整、有案可查。内控应用指引第内控应用指引第1212号号 5日常监控日常监控担保合同的签订,标志着企业的担保权利和担保责任进担保合同的签订,标志着企业的担保权利和担保责任进入法律意义上的实际履行阶段。切实加强对担保合同执入法律意义上的实际履行阶段。切实加强对担保合同执行情况的日常监控,通过及时、准确、全面地
86、了解掌握行情况的日常监控,通过及时、准确、全面地了解掌握被担保人的经营状况、财务状况和担保项目运行情况,被担保人的经营状况、财务状况和担保项目运行情况,最大限度地实现企业担保权益,最大限度地降低企业担最大限度地实现企业担保权益,最大限度地降低企业担保责任,是一项艰巨而重要的任务。保责任,是一项艰巨而重要的任务。5.1主要风险:主要风险:重合同签订,轻后续管理,对担保合同履行情况疏于监重合同签订,轻后续管理,对担保合同履行情况疏于监控或监控不当,导致企业不能及时发现和妥善应对被担控或监控不当,导致企业不能及时发现和妥善应对被担保人的异常情况,可能延误处置时机,加剧担保风险,保人的异常情况,可能延
87、误处置时机,加剧担保风险,加重经济损失。加重经济损失。内控应用指引第内控应用指引第1212号号 5日常监控日常监控5.2控制措施:控制措施:a指定专人定期监测被担保人的经营情况和财务状况,对指定专人定期监测被担保人的经营情况和财务状况,对被担保人进行跟踪和监督,了解担保项目的执行、资金被担保人进行跟踪和监督,了解担保项目的执行、资金的使用、贷款的归还、财务运行及风险等情况,促进担的使用、贷款的归还、财务运行及风险等情况,促进担保合同有效履行。企业财会部门要及时,最好是按月或保合同有效履行。企业财会部门要及时,最好是按月或者按季收集、分析被担保人担保期内的财务报告等相关者按季收集、分析被担保人担
88、保期内的财务报告等相关资料,持续关注被担保人的财务状况、经营成果、现金资料,持续关注被担保人的财务状况、经营成果、现金流量以及担保合同的履行情况,积极配合担保经办部门流量以及担保合同的履行情况,积极配合担保经办部门防范担保业务风险。防范担保业务风险。b及时报告被担保人异常情况和重要信息。企业有关部门及时报告被担保人异常情况和重要信息。企业有关部门和人员在实施日常监控过程中发现被担保人经营困难、和人员在实施日常监控过程中发现被担保人经营困难、债务沉重,或者存在违反担保合同的其他各种情况,应债务沉重,或者存在违反担保合同的其他各种情况,应当按照当按照内控指引第内控指引第17号号内部信息传递内部信息
89、传递的要求,的要求,在第一时间向企业有关管理人员作出报告,以便于及时在第一时间向企业有关管理人员作出报告,以便于及时采取有针对性的应对措施。采取有针对性的应对措施。内控应用指引第内控应用指引第1212号号 6会计控制会计控制担保业务直接涉及担保财产、费用收取、财务分析、债担保业务直接涉及担保财产、费用收取、财务分析、债务承担、会计处理和相关信息披露等,决定了会计控制务承担、会计处理和相关信息披露等,决定了会计控制在担保业务经办中具有举足轻重的重要作用。在担保业务经办中具有举足轻重的重要作用。6.1主要风险:主要风险:会计系统控制不力,可能导致担保业务记录残缺不全,会计系统控制不力,可能导致担保
90、业务记录残缺不全,日常监控难以奏效,或者担保会计处理和信息披露不符日常监控难以奏效,或者担保会计处理和信息披露不符合有关监管要求,可能引发行政处罚。合有关监管要求,可能引发行政处罚。6.2控制措施:控制措施:a健全担保业务经办部门与财会部门的信息沟通机制,促健全担保业务经办部门与财会部门的信息沟通机制,促进担保信息及时有效沟通;进担保信息及时有效沟通;b建立担保事项台账,详细记录担保对象、金额、期限、建立担保事项台账,详细记录担保对象、金额、期限、用于抵押和质押的物品或权利以及其他有关事项;同用于抵押和质押的物品或权利以及其他有关事项;同时,及时足额收取担保费用,维护企业担保权益;时,及时足额
91、收取担保费用,维护企业担保权益;内控应用指引第内控应用指引第1212号号 6会计控制会计控制6.2控制措施:控制措施:c严格按照国家统一的会计准则制度进行担保会计处理,严格按照国家统一的会计准则制度进行担保会计处理,发现被担保人出现财务状况恶化、资不抵债、破产清算发现被担保人出现财务状况恶化、资不抵债、破产清算等情形的,应当合理确认预计负债和损失。属于上市公等情形的,应当合理确认预计负债和损失。属于上市公司的,还应当区别不同情况依法予以公告;司的,还应当区别不同情况依法予以公告;d切实加强对反担保财产的管理,妥善保管被担保人用于切实加强对反担保财产的管理,妥善保管被担保人用于反担保的权利凭证,
92、定期核实财产的存续状况和价值,反担保的权利凭证,定期核实财产的存续状况和价值,发现问题及时处理,确保反担保财产安全完整;发现问题及时处理,确保反担保财产安全完整;e夯实担保合同基础管理,妥善保管担保合同、与担保合夯实担保合同基础管理,妥善保管担保合同、与担保合同相关的主合同、反担保函或反担保合同,以及抵押、同相关的主合同、反担保函或反担保合同,以及抵押、质押的权利凭证和有关原始资料,做到担保业务档案完质押的权利凭证和有关原始资料,做到担保业务档案完整无缺。当担保合同到期时,企业要全面清查用于担保整无缺。当担保合同到期时,企业要全面清查用于担保的财产、权利凭证,按照合同约定及时终止担保关系。的财
93、产、权利凭证,按照合同约定及时终止担保关系。内控应用指引第内控应用指引第1212号号 7代为清偿和权利追索代为清偿和权利追索被担保人在担保期间如顺利履行了偿债义务,且向担保被担保人在担保期间如顺利履行了偿债义务,且向担保企业及时足额支付了担保费用,担保合同一般应予终企业及时足额支付了担保费用,担保合同一般应予终止,担保双方可以解除担保权利责任。如被担保人无法止,担保双方可以解除担保权利责任。如被担保人无法偿还到期债务,偿还到期债务,“连累连累”担保企业不得不按照担保合同约担保企业不得不按照担保合同约定承担清偿债务的责任。定承担清偿债务的责任。因此,在代为清偿后依法主张对被担保人的追索权,成因此
94、,在代为清偿后依法主张对被担保人的追索权,成为担保企业降低担保损失的最后一道屏障。为担保企业降低担保损失的最后一道屏障。7.1主要风险:主要风险:a违背担保合同约定不履行代为清偿义务,可能被银行等违背担保合同约定不履行代为清偿义务,可能被银行等债权人诉诸法律成为连带被告,影响企业形象和声誉;债权人诉诸法律成为连带被告,影响企业形象和声誉;b承担代为清偿义务后向被担保人追索权利不力,可能造承担代为清偿义务后向被担保人追索权利不力,可能造成较大经济损失。成较大经济损失。内控应用指引第内控应用指引第1212号号 7代为清偿和权利追索代为清偿和权利追索7.2控制措施:控制措施:a强化法制意识和责任观念
95、,在被担保人确实无力偿付债强化法制意识和责任观念,在被担保人确实无力偿付债务或履行相关合同义务时,自觉按照担保合同承担代偿务或履行相关合同义务时,自觉按照担保合同承担代偿义务,维护企业诚实守信的市场形象;义务,维护企业诚实守信的市场形象;b运用法律武器向被担保人追索赔偿权利,在此过程中,运用法律武器向被担保人追索赔偿权利,在此过程中,企业担保业务经办部门、财会部门、法律部门等应当通企业担保业务经办部门、财会部门、法律部门等应当通力合作,做到在司法程序中举证有力;同时,依法处置力合作,做到在司法程序中举证有力;同时,依法处置被担保人的反担保财产,尽力减少企业经济损失;被担保人的反担保财产,尽力减
96、少企业经济损失;c启动担保业务后评估工作,严格落实担保业务责任追究启动担保业务后评估工作,严格落实担保业务责任追究制度,对在担保中出现重大决策失误、未履行集体审批制度,对在担保中出现重大决策失误、未履行集体审批程序或不按规定管理担保业务的部门及人员,严格追究程序或不按规定管理担保业务的部门及人员,严格追究其行政责任和经济责任,并深入开展总结分析,举一反其行政责任和经济责任,并深入开展总结分析,举一反三,不断完善担保业务内控制度,严控担保风险,促进三,不断完善担保业务内控制度,严控担保风险,促进企业健康稳健发展。企业健康稳健发展。内控应用指引第内控应用指引第1212号号 企业内部控制应用指引第企
97、业内部控制应用指引第13号:业务外包号:业务外包 前车之鉴前车之鉴 业务目标业务目标 业务范围业务范围 业务风险业务风险 总体要求总体要求 控制流程控制流程 控制措施控制措施InformationWeek最近对最近对420家公司的家公司的IT专家进专家进行了调查,行了调查,50%的公司评价他们的外包是成功的,的公司评价他们的外包是成功的,有三分之一的公司持中立态度。但是值得注意的是,有三分之一的公司持中立态度。但是值得注意的是,有近六分之一有近六分之一(17%)的公司认为外包是一场的公司认为外包是一场“灾难灾难”。对于那些期望依靠将对于那些期望依靠将IT业务或者其他商业流程外包业务或者其他商业
98、流程外包而轻松赚钱的公司,这个数据足以让他们三思而后而轻松赚钱的公司,这个数据足以让他们三思而后行。公司同时也要有思想准备,他们的业务可能需行。公司同时也要有思想准备,他们的业务可能需要重新拿回公司来做,这种现象现在已经不足为奇。要重新拿回公司来做,这种现象现在已经不足为奇。调查显示,一半公司都发生过类似事件,而且调查显示,一半公司都发生过类似事件,而且23%是大型项目。是大型项目。业务外包业务外包-前车之鉴前车之鉴内控应用指引第内控应用指引第1313号号 2003年,斯普林特公司年,斯普林特公司(Sprint)委托国际商业机器公司全委托国际商业机器公司全球服务部球服务部(IBMGlobalS
99、ervices,下称,下称IBM)处理一系列核心软处理一系列核心软件开发与件开发与IT管理项目,其中包括开发一个能够让斯普林特快速管理项目,其中包括开发一个能够让斯普林特快速向其他企业与消费者提供新服务的网络环境。向其他企业与消费者提供新服务的网络环境。这是一个这是一个为期为期5年、价值年、价值4亿美元亿美元的项目,大家在最初对该的项目,大家在最初对该项目合作的期望值都很高。斯普林特的项目合作的期望值都很高。斯普林特的CIO迈克尔迈克尔斯陶特斯陶特(MichaelStout)当时宣称这是让电信公司能够当时宣称这是让电信公司能够“集中精力于增集中精力于增长与创新长与创新”的最好办法。的最好办法。
100、三年后,斯陶特已经不再是三年后,斯陶特已经不再是CIO了。斯普林特与奈克斯泰了。斯普林特与奈克斯泰公司公司(Nextel)合并,而合并后的公司将合并,而合并后的公司将IBM告上了法庭,理由告上了法庭,理由是是IBM没有达到其承诺的生产力改进目标。没有达到其承诺的生产力改进目标。在诉讼中,斯普林特称在诉讼中,斯普林特称IBM没有达到合同中约定的提高生没有达到合同中约定的提高生产力的目标,希望产力的目标,希望IBM可以提供额外的可以提供额外的11.9万个小时的免费工作万个小时的免费工作时间,并希望获得不少于时间,并希望获得不少于640万美元的损失赔偿万美元的损失赔偿。业务外包业务外包-前车之鉴前车
101、之鉴内控应用指引第内控应用指引第1313号号 业务外包业务外包-前车之鉴前车之鉴内控应用指引第内控应用指引第1313号号 20092009年年4 4月,万科企业股份月,万科企业股份有限公司董事局主席王石在有限公司董事局主席王石在台北出席一场台北出席一场“道路与梦想道路与梦想走向卓越的华人现代企走向卓越的华人现代企业精神业精神”论坛时表示论坛时表示万科的万科的住宅住宅100%100%交由专业代销公司,交由专业代销公司,未来将继续扩大外包范围,未来将继续扩大外包范围,包括与台湾代理企业的合作。包括与台湾代理企业的合作。王石称,在发展策略上将从王石称,在发展策略上将从销售为重转向为技术研发、销售为重
102、转向为技术研发、增长方式,从规模转向为效增长方式,从规模转向为效益型增长。此外,也会益型增长。此外,也会将业将业务陆续外包,除已将销售交务陆续外包,除已将销售交给中介商外,未来还会将给中介商外,未来还会将财财财财务外包。务外包。务外包。务外包。 潜在的八大危害(吴其伦)潜在的八大危害(吴其伦)竞争能力大为降低竞争能力大为降低 、持续发展能力降低、持续发展能力降低 美誉度将严重受损美誉度将严重受损 、执行力将大打折扣、执行力将大打折扣 项目推进速度受阻项目推进速度受阻 、股东权益将受损失、股东权益将受损失 企业人才结构失衡企业人才结构失衡 、品牌形象将受影响、品牌形象将受影响1.1加强业务外包管
103、理,规范业务外包行为,加强业务外包管理,规范业务外包行为,防范业务外包风险。防范业务外包风险。业务外包业务外包-业务目标业务目标内控应用指引第内控应用指引第1313号号 业务外包业务外包-业务范围业务范围1.1 本指引所称业务外包,是指企业利用专业化本指引所称业务外包,是指企业利用专业化分工优势,将分工优势,将日常经营中的部分业务日常经营中的部分业务委托给委托给 本企业本企业以外的专业服务机构或其他经济组织以外的专业服务机构或其他经济组织(以下简称(以下简称承包方)完成的经营行为。承包方)完成的经营行为。1.2本指引本指引不涉及工程项目外包不涉及工程项目外包。1.3外包业务通常划分为重大外包业
104、务和一般外外包业务通常划分为重大外包业务和一般外包业务。重大外包业务是指对企业生产经营包业务。重大外包业务是指对企业生产经营 有重大有重大影响的外包业务。影响的外包业务。外包业务通常包括:研发、资信调查、可行外包业务通常包括:研发、资信调查、可行性研究、委托加工、物业管理、客户服务、性研究、委托加工、物业管理、客户服务、 IT服务服务等。等。内控应用指引第内控应用指引第1313号号 业务外包业务外包-业务风险业务风险1.1外包范围和价格确定不合理,承包方选择外包范围和价格确定不合理,承包方选择不当,可能导致企业遭受损失。不当,可能导致企业遭受损失。1.2业务外包监控不严、服务质量低劣,可能业务
105、外包监控不严、服务质量低劣,可能导致企业难以发挥业务外包的优势。导致企业难以发挥业务外包的优势。1.3业务外包存在商业贿赂等舞弊行为,可能业务外包存在商业贿赂等舞弊行为,可能导致企业相关人员涉案。导致企业相关人员涉案。内控应用指引第内控应用指引第1313号号 业务外包业务外包-基本要求基本要求1.1企业应当建立和完善业务外包管理制度,企业应当建立和完善业务外包管理制度,规定业务外包的范围、方式、条件、程序规定业务外包的范围、方式、条件、程序和实施等相关内容,明确相关部门和岗位和实施等相关内容,明确相关部门和岗位的职责权限,强化业务外包全过程的监的职责权限,强化业务外包全过程的监控,防范外包风险
106、,充分发挥业务外包的控,防范外包风险,充分发挥业务外包的优势。优势。1.2企业应当权衡利弊,避免核心业务外包。企业应当权衡利弊,避免核心业务外包。内控应用指引第内控应用指引第1313号号 业务外包业务外包-控制流程控制流程内控应用指引第内控应用指引第1313号号 制定业务外包制定业务外包实施方案实施方案审核批准审核批准组织实施业务外包组织实施业务外包验收验收办理索赔等办理索赔等选择承包方选择承包方是否合格是否合格是否存在违约是否存在违约行为并影响履行行为并影响履行签订业务外包合同签订业务外包合同业务外包实施管理业务外包实施管理终止合同终止合同付款付款会计控制会计控制未通过未通过通过通过否否否否
107、是是是是控制措施控制措施业务外包业务外包内控应用指引第内控应用指引第1313号号 1制定业务外包实施方案制定业务外包实施方案企业根据年度生产经营计划和业务外包管理制度,结合企业根据年度生产经营计划和业务外包管理制度,结合确定的业务外包范围,制定业务外包实施方案。确定的业务外包范围,制定业务外包实施方案。1.1主要风险:主要风险:a企业缺乏业务外包管理制度,导致制定实施方案时无据企业缺乏业务外包管理制度,导致制定实施方案时无据可依;可依;b业务外包管理制度未明确业务外包范围,可能导致有关业务外包管理制度未明确业务外包范围,可能导致有关部门在制定实施方案时,将不宜外包的核心业务进行外部门在制定实施
108、方案时,将不宜外包的核心业务进行外包;包;c实施方案不合理、不符合企业生产经营特点或内容不完实施方案不合理、不符合企业生产经营特点或内容不完整,可能导致业务外包失败。整,可能导致业务外包失败。内控应用指引第内控应用指引第1313号号 1制定业务外包实施方案制定业务外包实施方案1.2管控措施:管控措施:a建立和完善业务外包管理制度,根据各类业务与核心主建立和完善业务外包管理制度,根据各类业务与核心主业的关联度、对外包业务的控制程度以及外部市场成熟业的关联度、对外包业务的控制程度以及外部市场成熟度等标准,合理确定业务外包的范围,并根据是否对企度等标准,合理确定业务外包的范围,并根据是否对企业生产经
109、营有重大影响对外包业务实施分类管理,突出业生产经营有重大影响对外包业务实施分类管理,突出管控重点。管控重点。b严格按照业务外包管理制度规定的内容制定实施方案严格按照业务外包管理制度规定的内容制定实施方案【业务外包范围、方式、条件、程序和实施等业务外包范围、方式、条件、程序和实施等】,避免,避免将核心业务外包,同时确保方案的完整性。将核心业务外包,同时确保方案的完整性。c根据企业年度预算以及生产经营计划,对实施方案的重根据企业年度预算以及生产经营计划,对实施方案的重要方面进行深入评估和复核,确保方案的可行性。要方面进行深入评估和复核,确保方案的可行性。【包包括承包方的选择方案、外包业务的成本效益
110、及风险、外括承包方的选择方案、外包业务的成本效益及风险、外包合同期限、外包方式、员工培训计划等。包合同期限、外包方式、员工培训计划等。】d认真听取外部专业人员对业务外包的意见,并根据其合认真听取外部专业人员对业务外包的意见,并根据其合理化建议完善实施方案。理化建议完善实施方案。内控应用指引第内控应用指引第1313号号 2审核批准审核批准企业应当按照规定的权限和程序审核批准业务外包实施企业应当按照规定的权限和程序审核批准业务外包实施方案。方案。2.1主要风险:主要风险:a审批制度不健全,导致对业务外包的审批不规范;审批制度不健全,导致对业务外包的审批不规范;b审批不严格或者越权审批,导致业务外包
111、决策出现重大审批不严格或者越权审批,导致业务外包决策出现重大疏漏,可能引发严重后果;疏漏,可能引发严重后果;c未能对业务外包实施方案是否符合成本效益原则进行合未能对业务外包实施方案是否符合成本效益原则进行合理审核以及做出恰当判断,导致业务外包不经济。理审核以及做出恰当判断,导致业务外包不经济。2.2管控措施:管控措施:a建立和完善业务外包的审核批准制度。明确授权批准的建立和完善业务外包的审核批准制度。明确授权批准的方式、权限、程序、责任和相关控制措施,规定各层级方式、权限、程序、责任和相关控制措施,规定各层级人员应当在授权范围内进行审批,不得超越权限审批。人员应当在授权范围内进行审批,不得超越
112、权限审批。同时加大对分公司重大业务外包的管控力度,避免因分同时加大对分公司重大业务外包的管控力度,避免因分公司越权进行业务外包给企业带来不利后果。公司越权进行业务外包给企业带来不利后果。内控应用指引第内控应用指引第1313号号 2审核批准审核批准2.2管控措施:管控措施:b在对业务外包实施方案进行审查和评价时,应当着重对在对业务外包实施方案进行审查和评价时,应当着重对比分析该业务项目在自营与外包情况下的风险和收益,比分析该业务项目在自营与外包情况下的风险和收益,确定外包的合理性和可行性。确定外包的合理性和可行性。c总会计师或企业分管会计工作的负责人应当参与重大业总会计师或企业分管会计工作的负责
113、人应当参与重大业务外包的决策,对业务外包的经济效益做出合理评价。务外包的决策,对业务外包的经济效益做出合理评价。d对于重大业务外包方案,应当提交董事会或类似权力机对于重大业务外包方案,应当提交董事会或类似权力机构审批。构审批。内控应用指引第内控应用指引第1313号号 3选择承包方选择承包方企业应当按照批准的业务外包实施方案选择承包方。企业应当按照批准的业务外包实施方案选择承包方。3.1主要风险:主要风险:a承包方不是合法设立的法人主体,缺乏应有的专业资承包方不是合法设立的法人主体,缺乏应有的专业资质,从业人员也不具备应有的专业技术资格,缺乏从事质,从业人员也不具备应有的专业技术资格,缺乏从事相
114、关项目的经验,导致企业遭受损失甚至陷入法律纠相关项目的经验,导致企业遭受损失甚至陷入法律纠纷;纷;b外包价格不合理,业务外包成本过高导致难以发挥业务外包价格不合理,业务外包成本过高导致难以发挥业务外包的优势;外包的优势;c存在接受商业贿赂的舞弊行为,导致相关人员涉案。存在接受商业贿赂的舞弊行为,导致相关人员涉案。3.2管控措施:管控措施:a充分调查候选承包方的合法性,即是否为依法成立、合充分调查候选承包方的合法性,即是否为依法成立、合法经营的专业服务机构或经济组织,是否具有相应的经法经营的专业服务机构或经济组织,是否具有相应的经营范围和固定的办公场所。营范围和固定的办公场所。内控应用指引第内控
115、应用指引第1313号号 3选择承包方选择承包方3.2管控措施:管控措施:b调查候选承包方的专业资质、技术实力及其从业人员的调查候选承包方的专业资质、技术实力及其从业人员的履历和专业技能。履历和专业技能。c考察候选承包方从事类似项目的成功案例、业界评价和考察候选承包方从事类似项目的成功案例、业界评价和口碑。口碑。d综合考虑企业内外部因素,对业务外包的人工成本、营综合考虑企业内外部因素,对业务外包的人工成本、营销成本、业务收入、人力资源等指标进行测算分析,合销成本、业务收入、人力资源等指标进行测算分析,合理确定外包价格,严格控制业务外包成本。理确定外包价格,严格控制业务外包成本。e引入竞争机制,按
116、照有关法律法规,遵循公开、公平、引入竞争机制,按照有关法律法规,遵循公开、公平、公正的原则,采用招标方式等适当方式,择优选择承包公正的原则,采用招标方式等适当方式,择优选择承包方。方。f按照规定的程序和权限从候选承包方中做出选择,并建按照规定的程序和权限从候选承包方中做出选择,并建立严格的回避制度和监督处罚制度,避免相关人员在选立严格的回避制度和监督处罚制度,避免相关人员在选择承包方过程中出现受贿和舞弊行为。择承包方过程中出现受贿和舞弊行为。内控应用指引第内控应用指引第1313号号 4签订业务外包合同签订业务外包合同确定承包方后,企业应当及时与选定的承包方签订业务确定承包方后,企业应当及时与选
117、定的承包方签订业务外包合同,约定业务外包的内容和范围,双方权利和义外包合同,约定业务外包的内容和范围,双方权利和义务,服务和质量标准,保密事项,费用结算标准和违约务,服务和质量标准,保密事项,费用结算标准和违约责任等事项。责任等事项。4.1主要风险:主要风险:a合同条款未能针对业务外包风险做出明确的约定,对承合同条款未能针对业务外包风险做出明确的约定,对承办方的违约责任界定不够清晰,导致企业陷入合同纠纷办方的违约责任界定不够清晰,导致企业陷入合同纠纷和诉讼;和诉讼;b合同约定的业务外包价格不合理或成本费用过高,导致合同约定的业务外包价格不合理或成本费用过高,导致企业遭受损失。企业遭受损失。4.
118、2管控措施:管控措施:a在订立外包合同前,充分考虑业务外包方案中识别出的在订立外包合同前,充分考虑业务外包方案中识别出的重要风险因素,并通过合同条款予以有效规避或降低。重要风险因素,并通过合同条款予以有效规避或降低。b在合同的内容和范围方面,明确承包方提供的服务类型、在合同的内容和范围方面,明确承包方提供的服务类型、数量、成本,以及明确界定服务的环节、作业方式、作数量、成本,以及明确界定服务的环节、作业方式、作业时间、服务费用等细节。业时间、服务费用等细节。 内控应用指引第内控应用指引第1313号号 4签订业务外包合同签订业务外包合同4.2管控措施:管控措施:c在合同的权利和义务方面,明确企业
119、有权督促承包方改在合同的权利和义务方面,明确企业有权督促承包方改进服务流程和方法,承包方有责任按照合同协议规定的进服务流程和方法,承包方有责任按照合同协议规定的方式和频率,将外包实施的进度和现状告知企业,并对方式和频率,将外包实施的进度和现状告知企业,并对存在问题进行有效沟通。存在问题进行有效沟通。d在合同的服务和质量标准方面,应当规定外包商最低的在合同的服务和质量标准方面,应当规定外包商最低的服务水平要求以及如果未能满足标准实施的补救措施。服务水平要求以及如果未能满足标准实施的补救措施。e在合同的保密事项方面,应具体约定对于涉及本企业机在合同的保密事项方面,应具体约定对于涉及本企业机密的业务
120、和事项,承包方有责任履行保密义务。密的业务和事项,承包方有责任履行保密义务。f在费用结算标准方面,综合考虑内外部因素,合理确定在费用结算标准方面,综合考虑内外部因素,合理确定外包价格,严格控制业务外包成本。外包价格,严格控制业务外包成本。g在违约责任方面,制定既具原则性又体现一定灵活性的在违约责任方面,制定既具原则性又体现一定灵活性的合同条款,以适应环境、技术和企业自身业务的变化。合同条款,以适应环境、技术和企业自身业务的变化。内控应用指引第内控应用指引第1313号号 5组织实施业务外包组织实施业务外包企业应严格按照业务外包制度、工作流程和相关要求,企业应严格按照业务外包制度、工作流程和相关要
121、求,组织业务外包过程中人、财、物等方面的资源分配,建组织业务外包过程中人、财、物等方面的资源分配,建立与承包方的合作机制,为下一环节的业务外包过程管立与承包方的合作机制,为下一环节的业务外包过程管理做好准备,确保承包方严格履行业务外包合同。企业理做好准备,确保承包方严格履行业务外包合同。企业在组织实施业务外包时,应当根据业务外包合同条款,在组织实施业务外包时,应当根据业务外包合同条款,落实双方应投入的人力资源、资金、硬件及专有资产落实双方应投入的人力资源、资金、硬件及专有资产等,明确承包方提供服务或产品的工作流程、模式、职等,明确承包方提供服务或产品的工作流程、模式、职能架构、项目实施计划等内
122、容。能架构、项目实施计划等内容。5.1主要风险:主要风险:组织实施业务外包的工作不充分或未落实到位,影响下组织实施业务外包的工作不充分或未落实到位,影响下一环节业务外包过程管理的有效实施,导致难以实现业一环节业务外包过程管理的有效实施,导致难以实现业务外包的目标。务外包的目标。内控应用指引第内控应用指引第1313号号 5组织实施业务外包组织实施业务外包5.2管控措施:管控措施:a按照业务外包制度、工作流程和相关要求,制定业务外按照业务外包制度、工作流程和相关要求,制定业务外包实施全过程的管控措施,包括落实与承包方之间的资包实施全过程的管控措施,包括落实与承包方之间的资产管理、信息资料管理、人力
123、资源管理、安全保密管理产管理、信息资料管理、人力资源管理、安全保密管理等机制,确保承包方在履行外包业务合同时有章可循。等机制,确保承包方在履行外包业务合同时有章可循。b做好与承包方的对接工作,通过培训等方式确保承包方做好与承包方的对接工作,通过培训等方式确保承包方充分了解企业的工作流程和质量要求,从价值链的起点充分了解企业的工作流程和质量要求,从价值链的起点开始控制业务质量。开始控制业务质量。c与承包方建立并保持畅通的沟通协调机制,以便及时发与承包方建立并保持畅通的沟通协调机制,以便及时发现并有效解决业务外包过程存在的问题。现并有效解决业务外包过程存在的问题。d梳理有关工作流程,提出每个环节上
124、的岗位职责分工、梳理有关工作流程,提出每个环节上的岗位职责分工、运营模式、管理机制、质量水平等方面的要求,并建立运营模式、管理机制、质量水平等方面的要求,并建立对应的即时监控机制,及时检查、收集和反馈业务外包对应的即时监控机制,及时检查、收集和反馈业务外包实施过程的相关信息。实施过程的相关信息。内控应用指引第内控应用指引第1313号号 6业务外包过程管理业务外包过程管理由于承包方交付成果的方式不同,业务外包过程也有所由于承包方交付成果的方式不同,业务外包过程也有所不同,根据合同约定,承包方可采取在特定时点向企业不同,根据合同约定,承包方可采取在特定时点向企业一次性交付产品或在一定期间内持续提供
125、服务的方式交一次性交付产品或在一定期间内持续提供服务的方式交付业务外包成果。前者的业务外包过程是指承包方对产付业务外包成果。前者的业务外包过程是指承包方对产品的品的设计制造过程设计制造过程,后者的业务外包过程是指承包方,后者的业务外包过程是指承包方持持续提供服务的整个过程续提供服务的整个过程。6.1主要风险:主要风险:a承包方在合同期内因市场变化等原因不能保持履约能承包方在合同期内因市场变化等原因不能保持履约能力,无法继续按照合同约定履行义务,导致业务外包失力,无法继续按照合同约定履行义务,导致业务外包失败和本企业生产经营活动中断;败和本企业生产经营活动中断;b承包方出现未按照业务外包合同约定
126、的质量要求持续提承包方出现未按照业务外包合同约定的质量要求持续提供合格的产品或服务等违约行为,导致企业难以发挥业供合格的产品或服务等违约行为,导致企业难以发挥业务外包优势,甚至遭受重大损失;管控不力,导致商业务外包优势,甚至遭受重大损失;管控不力,导致商业秘密泄漏。秘密泄漏。内控应用指引第内控应用指引第1313号号 6业务外包过程管理业务外包过程管理6.2管控措施:管控措施:a在承包方提供服务或制造产品的过程中,密切关注重大在承包方提供服务或制造产品的过程中,密切关注重大业务外包承包方的履约能力,采取承包方动态管理方业务外包承包方的履约能力,采取承包方动态管理方式,对承包方开展日常绩效评价和定
127、期考核。式,对承包方开展日常绩效评价和定期考核。b对承包方的履约能力进行持续评估,包括承包方对该项对承包方的履约能力进行持续评估,包括承包方对该项目的投入是否能够支持其产品或服务质量达到企业预期目的投入是否能够支持其产品或服务质量达到企业预期目标,承包方自身的财务状况、生产能力、技术创新能目标,承包方自身的财务状况、生产能力、技术创新能力等综合能力是否满足该项目的要求。力等综合能力是否满足该项目的要求。c建立即时监控机制,一旦发现偏离合同目标等情况,应建立即时监控机制,一旦发现偏离合同目标等情况,应及时要求承包方调整改进。及时要求承包方调整改进。d对重大业务外包的各种意外情况做出充分预计,建立
128、相对重大业务外包的各种意外情况做出充分预计,建立相应的应急机制,制定临时替代方案,避免业务外包失败应的应急机制,制定临时替代方案,避免业务外包失败造成企业生产经营活动中断。造成企业生产经营活动中断。内控应用指引第内控应用指引第1313号号 6业务外包过程管理业务外包过程管理6.2管控措施:管控措施:e有确凿证据表明承包方存在重大违约行为,并导致业务有确凿证据表明承包方存在重大违约行为,并导致业务外包合同无法履行的,应当及时终止合同,并指定有关外包合同无法履行的,应当及时终止合同,并指定有关部门按照法律程序向承包方索赔。部门按照法律程序向承包方索赔。f切实加强业务外包过程中形成的商业信息资料的管
129、理。切实加强业务外包过程中形成的商业信息资料的管理。内控应用指引第内控应用指引第1313号号 7验收验收企业应当组织相关部门或人员对已经完成的业务外包合企业应当组织相关部门或人员对已经完成的业务外包合同进行验收。同进行验收。7.1主要风险:主要风险:验收方式与业务外包成果交付方式不匹配,验收标准不验收方式与业务外包成果交付方式不匹配,验收标准不明确,验收程序不规范,使验收工作流于形式,不能及明确,验收程序不规范,使验收工作流于形式,不能及时发现业务外包质量低劣等情况,可能导致企业遭受损时发现业务外包质量低劣等情况,可能导致企业遭受损失。失。7.2管控措施:管控措施:a根据承包方业务外包成果交付
130、方式的特点,制定不同的根据承包方业务外包成果交付方式的特点,制定不同的验收方式。一般而言,可以对最终产品或服务进行一次验收方式。一般而言,可以对最终产品或服务进行一次性验收,也可以在整个外包过程中分阶段验收。性验收,也可以在整个外包过程中分阶段验收。b根据业务外包合同的约定,结合在日常绩效评价基础上根据业务外包合同的约定,结合在日常绩效评价基础上对外包业务质量是否达到预期目标的基本评价,确定验对外包业务质量是否达到预期目标的基本评价,确定验收标准。收标准。内控应用指引第内控应用指引第1313号号 7验收验收7.2管控措施:管控措施:c组织有关职能部门、财会部门、质量控制部门等的相关组织有关职能
131、部门、财会部门、质量控制部门等的相关人员,严格按照验收标准对承包方交付的产品或服务进人员,严格按照验收标准对承包方交付的产品或服务进行审查和全面测试,确保产品或服务符合需求,并出具行审查和全面测试,确保产品或服务符合需求,并出具验收证明。验收证明。d验收过程中发现异常情况的,应当立即报告,查明原验收过程中发现异常情况的,应当立即报告,查明原因,视问题的严重性与承包方协商采取恰当的补救措因,视问题的严重性与承包方协商采取恰当的补救措施,并施,并依法索赔。依法索赔。e根据验收结果对业务外包是否达到预期目标作出总体评根据验收结果对业务外包是否达到预期目标作出总体评价,据此对业务外包管理制度和流程进行
132、改进和优化。价,据此对业务外包管理制度和流程进行改进和优化。内控应用指引第内控应用指引第1313号号 8会计控制会计控制企业应当根据国家统一的会计准则制度,加强对外包业企业应当根据国家统一的会计准则制度,加强对外包业务的核算与监督,并做好外包费用结算工作。务的核算与监督,并做好外包费用结算工作。8.1主要风险:主要风险:a缺乏有效的业务外包会计系统控制,未能全面真实地记缺乏有效的业务外包会计系统控制,未能全面真实地记录和反映企业业务外包各环节的资金流和实物流情况,录和反映企业业务外包各环节的资金流和实物流情况,可能导致企业资产流失或贬损;可能导致企业资产流失或贬损;b业务外包相关会计处理不当,
133、可能导致财务报告信息失业务外包相关会计处理不当,可能导致财务报告信息失真;真;c结算审核不严格、支付方式不恰当、金额控制不严,可结算审核不严格、支付方式不恰当、金额控制不严,可能导致企业资金损失或信用受损。能导致企业资金损失或信用受损。内控应用指引第内控应用指引第1313号号 8会计控制会计控制8.2管控措施:管控措施:a企业财会部门应当根据国家统一的会计准则制度,对业企业财会部门应当根据国家统一的会计准则制度,对业务外包过程中交由承包方使用的资产、涉及资产负债变务外包过程中交由承包方使用的资产、涉及资产负债变动的事项以及外包合同诉讼等加强核算与监督。动的事项以及外包合同诉讼等加强核算与监督。
134、b根据企业会计准则制度的规定,结合外包业务特点和企根据企业会计准则制度的规定,结合外包业务特点和企业管理机制,建立完善外包成本的会计核算方法,进行业管理机制,建立完善外包成本的会计核算方法,进行有关会计处理,并在财务报告中进行必要、充分的披露。有关会计处理,并在财务报告中进行必要、充分的披露。c在向承包方结算费用时,应当依据验收证明,严格按照在向承包方结算费用时,应当依据验收证明,严格按照合同约定的结算条件、方式和标准办理支付。合同约定的结算条件、方式和标准办理支付。内控应用指引第内控应用指引第1313号号 企业内部控制应用指引第企业内部控制应用指引第14号:财务报告号:财务报告 前车之鉴前车
135、之鉴 业务目标业务目标 业务范围业务范围 业务风险业务风险 总体要求总体要求 控制流程控制流程 控制措施控制措施财务报告财务报告-前车之鉴前车之鉴内控应用指引第内控应用指引第1414号号 五粮液合并报表虚计收入五粮液合并报表虚计收入10亿元,股价暴跌,中小股民损失亿元,股价暴跌,中小股民损失50亿,要求索赔。亿,要求索赔。五粮液五粮液9月月9日公告被证监会立案调查两周后,日公告被证监会立案调查两周后,9月月24日证监会确认五粮液日证监会确认五粮液“三宗罪三宗罪”:1、未按规定披露重大证券投资行为及较大投资损失;、未按规定披露重大证券投资行为及较大投资损失;2、未如实披露重大证券投资、未如实披露
136、重大证券投资损失;损失;3、披露的主营业务收入数据存在差错等三项违法违规行为。、披露的主营业务收入数据存在差错等三项违法违规行为。9月月23日,再跌日,再跌4.03%,停盘至停盘至9月月30日复盘又跌日复盘又跌3.22%,收盘价,收盘价20.76元元财务报告财务报告-业务目标业务目标1.1规范企业财务报告,保证财务报告的规范企业财务报告,保证财务报告的真实、完整。真实、完整。内控应用指引第内控应用指引第1414号号 财务报告财务报告-业务范围业务范围1.1本指引所称财务报告,是指反映企业某一本指引所称财务报告,是指反映企业某一特定日期财务状况和某一会计期间经营成特定日期财务状况和某一会计期间经
137、营成果、现金流量的文件。果、现金流量的文件。内控应用指引第内控应用指引第1414号号 财务报告财务报告-业务风险业务风险企业编制、对外提供和分析利用财务报告,至少企业编制、对外提供和分析利用财务报告,至少应当关注下列风险:应当关注下列风险:1.1编制财务报告违反会计法律法规和国家统一的会编制财务报告违反会计法律法规和国家统一的会计准则制度,可能导致企业承担法律责任和声誉计准则制度,可能导致企业承担法律责任和声誉受损。受损。1.2提供虚假财务报告,误导财务报告使用者,造成提供虚假财务报告,误导财务报告使用者,造成决策失误,干扰市场秩序。决策失误,干扰市场秩序。1.3不能有效利用财务报告,难以及时
138、发现企业经营不能有效利用财务报告,难以及时发现企业经营管理中存在的问题,可能导致企业财务和经营风管理中存在的问题,可能导致企业财务和经营风险失控。险失控。内控应用指引第内控应用指引第1414号号 财务报告财务报告-总体要求总体要求1.1规范企业财务报告控制流程,明晰各岗位职责。规范企业财务报告控制流程,明晰各岗位职责。a明确的财务报告编制、报送及分析利用等相关流程,明明确的财务报告编制、报送及分析利用等相关流程,明确规范职责分工、权限范围和审批程序,科学合理地设确规范职责分工、权限范围和审批程序,科学合理地设置机构和配备人员,确保财务报告的编制、披露和审核置机构和配备人员,确保财务报告的编制、
139、披露和审核等不相容岗位相互分离。等不相容岗位相互分离。b由企业的由企业的总会计师或分管会计工作的负责人总会计师或分管会计工作的负责人来组织、领来组织、领导财务报告编制、分析、利用工作,导财务报告编制、分析、利用工作,企业负责人企业负责人对财务对财务报告的真实性和完整性承担责任,企业报告的真实性和完整性承担责任,企业财会部门财会部门负责财负责财务报告编制和分析报告编写工作,企业内部参与财务报务报告编制和分析报告编写工作,企业内部参与财务报告编制的告编制的各部门各部门应当及时向财会部门提供编制财务报告应当及时向财会部门提供编制财务报告所需的信息,参与财务分析会议的所需的信息,参与财务分析会议的部门
140、部门应当积极提出意应当积极提出意见和建议以促进财务报告的有效利用,企业见和建议以促进财务报告的有效利用,企业法律事务部法律事务部门或外聘律师门或外聘律师应当对财务报告对外提供的合法合规性进应当对财务报告对外提供的合法合规性进行审核。行审核。内控应用指引第内控应用指引第1414号号 财务报告财务报告-总体要求总体要求1.2健全财务报告各环节授权批准制度。健全财务报告各环节授权批准制度。企业应当健全财务报告编制、对外提供和分析利用各环企业应当健全财务报告编制、对外提供和分析利用各环节的授权批准制度,具体包括:编制方案的审批、会计节的授权批准制度,具体包括:编制方案的审批、会计政策与会计估计的审批、
141、重大交易和事项会计处理的审政策与会计估计的审批、重大交易和事项会计处理的审批,对财务报告内容的审核审批等。为此,企业应做好批,对财务报告内容的审核审批等。为此,企业应做好以下几项工作:以下几项工作:a根据经济业务性质、组织机构设置和管理层级安排,建根据经济业务性质、组织机构设置和管理层级安排,建立分级管理制度;立分级管理制度;b规范审核审批的手续和流程,确保报送和进行审核审批规范审核审批的手续和流程,确保报送和进行审核审批的级别符合所授的管理权限、申报材料翔实完整,签字的级别符合所授的管理权限、申报材料翔实完整,签字盖章齐全、用印用章符合要求,切实履行检查审核义务盖章齐全、用印用章符合要求,切
142、实履行检查审核义务而非流于形式等;而非流于形式等;c建立相关政策限制对现有财务报告流程进行越权操作。建立相关政策限制对现有财务报告流程进行越权操作。任何越权操作行为,必须另行授权审批后方能进行,且任何越权操作行为,必须另行授权审批后方能进行,且授权审批文件应妥善归档。授权审批文件应妥善归档。内控应用指引第内控应用指引第1414号号 财务报告财务报告-总体要求总体要求1.3建立日常信息核对制度。建立日常信息核对制度。a企业应当从会计记录的源头做起,建立起日常信息定期企业应当从会计记录的源头做起,建立起日常信息定期核对制度,以保证财务报告的真实、完整,防范出于主核对制度,以保证财务报告的真实、完整
143、,防范出于主观故意的编造虚假交易,虚构收入、费用的风险,以及观故意的编造虚假交易,虚构收入、费用的风险,以及由于会计人员业务能力不足导致的会计记录与实际业务由于会计人员业务能力不足导致的会计记录与实际业务发生的金额、内容不符的风险。发生的金额、内容不符的风险。b企业在日常会计处理中应及时进行对账,将会计账簿记企业在日常会计处理中应及时进行对账,将会计账簿记录与实物资产、会计凭证、往来单位或者个人等进行相录与实物资产、会计凭证、往来单位或者个人等进行相互核对,发现差异及时查明原因予以解决,并记录在适互核对,发现差异及时查明原因予以解决,并记录在适当的会计期间,以保证账证相符、账账相符、账实相当的
144、会计期间,以保证账证相符、账账相符、账实相符,确保会计记录的数字真实、内容完整计算准确、依符,确保会计记录的数字真实、内容完整计算准确、依据充分、期间适当。据充分、期间适当。内控应用指引第内控应用指引第1414号号 财务报告财务报告-总体要求总体要求1.4充分利用会计信息技术。充分利用会计信息技术。a企业应当充分利用信息技术,提高工作效率和工作质企业应当充分利用信息技术,提高工作效率和工作质量,减少或避免编制差错和人为调整因素。量,减少或避免编制差错和人为调整因素。b同时,企业也应当注意防范信息技术所带来的特有风同时,企业也应当注意防范信息技术所带来的特有风险,做好以下几项工作:险,做好以下几
145、项工作:b1定期更新和维护会计信息系统,确保取数、计算公式以定期更新和维护会计信息系统,确保取数、计算公式以及数据勾稽及数据勾稽关系准确无误;关系准确无误;b2建立访问安全制度,操作权限、信息使用、信息管理应建立访问安全制度,操作权限、信息使用、信息管理应当有明确规定,确保财务报告数据安全保密,防止对数当有明确规定,确保财务报告数据安全保密,防止对数据的非法修改和删除;据的非法修改和删除;b3对正在使用的会计核算软件进行修改、对通用会计软件对正在使用的会计核算软件进行修改、对通用会计软件进行升级和对计算机硬件设备进行更换时,企业应有规进行升级和对计算机硬件设备进行更换时,企业应有规范的审批流程
146、,并采取替代性措施确保财务报告数据的范的审批流程,并采取替代性措施确保财务报告数据的连续性;连续性;内控应用指引第内控应用指引第1414号号 财务报告财务报告-总体要求总体要求1.4充分利用会计信息技术。充分利用会计信息技术。b同时,企业也应当注意防范信息技术所带来的特有风同时,企业也应当注意防范信息技术所带来的特有风险,做好以下几项工作:险,做好以下几项工作:b4做好数据源的管理,保证原始数据从录入环节的真实、做好数据源的管理,保证原始数据从录入环节的真实、准确、完整,满足财务分析的需要;准确、完整,满足财务分析的需要;b5制定业务操作规范,保证系统各项技术和业务配置维护制定业务操作规范,保
147、证系统各项技术和业务配置维护符合会计准则要求和内部管理规定,月结和年结流程规符合会计准则要求和内部管理规定,月结和年结流程规范、及时,等等;范、及时,等等;b6指定专人负责信息化会计档案的管理,定期备份,做好指定专人负责信息化会计档案的管理,定期备份,做好防消磁、防火、防潮和防尘等工作;对于存储介质保存防消磁、防火、防潮和防尘等工作;对于存储介质保存的会计档案,应当定期检查,防止由于介质损坏而使会的会计档案,应当定期检查,防止由于介质损坏而使会计档案丢失。计档案丢失。内控应用指引第内控应用指引第1414号号 财务报告财务报告-控制流程控制流程内控应用指引第内控应用指引第1414号号 制定财务报
148、告制定财务报告编制方案编制方案确定重大事项确定重大事项的会计处理的会计处理编制母公司编制母公司个别财务报告个别财务报告整改落实整改落实编写财务编写财务分析报告分析报告清查资产核实债务清查资产核实债务编制子公司编制子公司个别财务报表个别财务报表审计审计结账结账编制合并财务报告编制合并财务报告制定财务制定财务分析制度分析制度审核审核提出调提出调整意见整意见通过通过未提出调整意见未提出调整意见对外提供对外提供整理归档整理归档未通过未通过财务报告财务报告控制措施控制措施内控应用指引第内控应用指引第1414号号 1.1财务报告财务报告编制阶段编制阶段6个关键控制点:个关键控制点:制定财务报告编制方案、确
149、定重大事项的会计处理、清制定财务报告编制方案、确定重大事项的会计处理、清查资产核实债务、结账、查资产核实债务、结账、编制个别财务报告、编制合并编制个别财务报告、编制合并财务报告。财务报告。1.2财务报告财务报告对外提供阶段对外提供阶段3个关键控制点:个关键控制点:财务报告对外提供前的审核、财务报告对外提供前的审核、财务报告对外提供前的审财务报告对外提供前的审计、财务报告的对外提供。计、财务报告的对外提供。1.3财务报告财务报告分析利用阶段分析利用阶段3个关键控制点:个关键控制点:制定财务分析制度、编写财务分析报告、整改落实制定财务分析制度、编写财务分析报告、整改落实财务报告财务报告-控制措施控
150、制措施内控应用指引第内控应用指引第1414号号 1制定财务报告编制方案制定财务报告编制方案企业财会部门应在编制财务报告前制定财务报告编制方企业财会部门应在编制财务报告前制定财务报告编制方案,并由财会部门负责人审核。财务报告编制方案应明案,并由财会部门负责人审核。财务报告编制方案应明确财务报告编制方法(包括会计政策和会计估计、合并确财务报告编制方法(包括会计政策和会计估计、合并方法、范围与原则等)、财务报告编制程序、职责分工方法、范围与原则等)、财务报告编制程序、职责分工(包括牵头部门与相关配合部门的分工与责任等)、编(包括牵头部门与相关配合部门的分工与责任等)、编报时间安排等相关内容。报时间安
151、排等相关内容。1.1主要风险:主要风险:a会计政策未能有效更新,不符合有关法律法规;会计政策未能有效更新,不符合有关法律法规;b重要会计政策、会计估计变更未经审批,导致会计政策重要会计政策、会计估计变更未经审批,导致会计政策使用不当;使用不当;c会计政策未能有效贯彻、执行;会计政策未能有效贯彻、执行;d各部门职责、分工不清,导致数据传递出现差错、遗漏、各部门职责、分工不清,导致数据传递出现差错、遗漏、格式不一致等;格式不一致等;e各步骤时间安排不明确,导致整体编制进度延后,违反各步骤时间安排不明确,导致整体编制进度延后,违反相关报送要求。相关报送要求。内控应用指引第内控应用指引第1414号号
152、1制定财务报告编制方案制定财务报告编制方案1.2管控措施:管控措施:a会计政策应符合国家有关会计法规和最新监管要求的规会计政策应符合国家有关会计法规和最新监管要求的规定。企业应按照国家最新会计准则制度规定,结合自身定。企业应按照国家最新会计准则制度规定,结合自身情况,制定企业统一的会计政策。企业应有专人关注与情况,制定企业统一的会计政策。企业应有专人关注与会计相关法律法规、规章制度的变化及监管机构的最新会计相关法律法规、规章制度的变化及监管机构的最新规定等,并及时对企业的内部会计规章制度和财务报告规定等,并及时对企业的内部会计规章制度和财务报告流程等做出相应更改。流程等做出相应更改。b会计政策
153、和会计估计的调整,无论是强制还是自愿,均会计政策和会计估计的调整,无论是强制还是自愿,均需按照规定的权限和程序审批。需按照规定的权限和程序审批。c企业的内部会计规章制度至少要经财会部门负责人审批企业的内部会计规章制度至少要经财会部门负责人审批后生效,财务报告流程、年报编制方案应当经公司分管后生效,财务报告流程、年报编制方案应当经公司分管财务会计工作的负责人核准后签发。财务会计工作的负责人核准后签发。内控应用指引第内控应用指引第1414号号 1制定财务报告编制方案制定财务报告编制方案1.2管控措施:管控措施:d企业应建立完备的信息沟通渠道,将内部会计规章制度企业应建立完备的信息沟通渠道,将内部会
154、计规章制度和财务流程、会计科目表和相关文件及时有效地传达至和财务流程、会计科目表和相关文件及时有效地传达至相关人相关人员,使其了解相关职责要求、掌握适当的会计知员,使其了解相关职责要求、掌握适当的会计知识、会计政策并识、会计政策并加以执行。企业还应通过内部审计等方加以执行。企业还应通过内部审计等方式,定期进行测试,保式,定期进行测试,保证会计政策有效执行,且在不同证会计政策有效执行,且在不同业务部门、不同期间内保持一业务部门、不同期间内保持一致性。致性。e应明确各部门的职责分工,总会计师或分管会计工作的负应明确各部门的职责分工,总会计师或分管会计工作的负责人负责组织领导;财会部门负责财务报告编
155、制工作;各责人负责组织领导;财会部门负责财务报告编制工作;各部门应部门应当及时向财会部门提供编制财务报告所需的信息,当及时向财会部门提供编制财务报告所需的信息,并对所并对所提供信息的真实性和完整性负责。提供信息的真实性和完整性负责。f应根据财务报告的报送要求,倒排工时,为各步骤设置关应根据财务报告的报送要求,倒排工时,为各步骤设置关键时间点,并由财会部门负责督促和考核各部门的工作进键时间点,并由财会部门负责督促和考核各部门的工作进度,及度,及时进行提醒,对未能及时完成的进行相关处罚。时进行提醒,对未能及时完成的进行相关处罚。内控应用指引第内控应用指引第1414号号 2确定重大事项的会计处理确定
156、重大事项的会计处理在编制财务报告前,企业应当确认对当期有重大影响的在编制财务报告前,企业应当确认对当期有重大影响的主要事项,并确定重大事项的会计处理。主要事项,并确定重大事项的会计处理。2.1主要风险:主要风险:重大事项,如债务重组、非货币性交易、公允价值的计重大事项,如债务重组、非货币性交易、公允价值的计量、收购兼并、资产减值等的会计处理不合理,会导致量、收购兼并、资产减值等的会计处理不合理,会导致会计信息扭曲,无法如实反映企业实际情况。会计信息扭曲,无法如实反映企业实际情况。2.2管控措施:管控措施:a企业应对重大事项的予以关注,通常包括以前年度审计企业应对重大事项的予以关注,通常包括以前
157、年度审计调整以及相关事项对当期的影响、会计准则制度的变化调整以及相关事项对当期的影响、会计准则制度的变化及对财务报告的影响、新增业务和其他新发生的事项及及对财务报告的影响、新增业务和其他新发生的事项及对财务报告的影响、年度内合并(汇总)报告范围的变对财务报告的影响、年度内合并(汇总)报告范围的变化及对财务报告的影响等。企业应建立重大事项的处理化及对财务报告的影响等。企业应建立重大事项的处理流程,报适当管理层审批后,予以执行。流程,报适当管理层审批后,予以执行。内控应用指引第内控应用指引第1414号号 2确定重大事项的会计处理确定重大事项的会计处理2.2管控措施:管控措施:b及时沟通需要专业判断
158、的重大会计事项并确定相应会计及时沟通需要专业判断的重大会计事项并确定相应会计处理。企业应规定下属各部门、各单位人员及时将重大处理。企业应规定下属各部门、各单位人员及时将重大事项信息报告至同级财会部门。财会部门应定期研究、事项信息报告至同级财会部门。财会部门应定期研究、分析并与相关部门组织沟通重大事项的会计处理,逐级分析并与相关部门组织沟通重大事项的会计处理,逐级报请总会计师或分管会计工作的负责人审批后下达各相报请总会计师或分管会计工作的负责人审批后下达各相关单位执行。特别是资产减值损失、公允价值计量等涉关单位执行。特别是资产减值损失、公允价值计量等涉及重大判断和估计时,财会部门应定期与资产管理
159、部门及重大判断和估计时,财会部门应定期与资产管理部门进行沟通。进行沟通。内控应用指引第内控应用指引第1414号号 3清查资产核实债务清查资产核实债务企业应在编制财务报告前,组织财务和相关部门进行资企业应在编制财务报告前,组织财务和相关部门进行资产清查、减值测试和债权债务核实工作。产清查、减值测试和债权债务核实工作。3.1主要风险:主要风险:a资产、负债账实不符,虚增或虚减资产、负债;资产、负债账实不符,虚增或虚减资产、负债;b资产计价方法随意变更;资产计价方法随意变更;c提前、推迟甚至不确认资产、负债等。提前、推迟甚至不确认资产、负债等。3.2管控措施:管控措施:a确定具体可行的资产清查、负债
160、核实计划,安排合理的确定具体可行的资产清查、负债核实计划,安排合理的时间和工作进度,配备足够的人员、确定实物资产盘点时间和工作进度,配备足够的人员、确定实物资产盘点的具体方法和过程,同时做好业务准备工作。的具体方法和过程,同时做好业务准备工作。b做好各项资产、负债的清查、核实工作,包括:做好各项资产、负债的清查、核实工作,包括:b1与银行核对对账单、盘点库存现金、核对票据;与银行核对对账单、盘点库存现金、核对票据;b2核查结算款项,包括应收款项、应付款项、应交税金等核查结算款项,包括应收款项、应付款项、应交税金等是否存在,与债务、债权单位的相应债务、债权金额是是否存在,与债务、债权单位的相应债
161、务、债权金额是否一致;否一致;内控应用指引第内控应用指引第1414号号 3清查资产核实债务清查资产核实债务3.2管控措施:管控措施:b3核查原材料、在产品、自制半成品、库存商品等各项存核查原材料、在产品、自制半成品、库存商品等各项存货的实存数量与账面数量是否一致,是否有报废损失和货的实存数量与账面数量是否一致,是否有报废损失和积压物资等;积压物资等;b4核查账面投资是否存在,投资收益是否按照国家统一的核查账面投资是否存在,投资收益是否按照国家统一的会计准则制度规定进行确认和计量;核查房屋建筑物、会计准则制度规定进行确认和计量;核查房屋建筑物、b5机器设备、运输工具等各项固定资产的实存数量与账面
162、机器设备、运输工具等各项固定资产的实存数量与账面数量是否一致,清查土地、房屋的权属证明,确定资产数量是否一致,清查土地、房屋的权属证明,确定资产归属;归属;b6核查在建工程的实际发生额与账面记录是否一致等。核查在建工程的实际发生额与账面记录是否一致等。c对清查过程中发现的差异,应当分析原因,提出处理意对清查过程中发现的差异,应当分析原因,提出处理意见,取得合法证据和按照规定权限经审批,将清查、核见,取得合法证据和按照规定权限经审批,将清查、核实的结果及其处理办法向企业的董事会或者相应机构报实的结果及其处理办法向企业的董事会或者相应机构报告,并根据国家统一的会计准则制度的规定进行相应的告,并根据
163、国家统一的会计准则制度的规定进行相应的会计处理。会计处理。内控应用指引第内控应用指引第1414号号 4结账结账企业在编制年度财务报告前,应在日常定期核对信息的企业在编制年度财务报告前,应在日常定期核对信息的基础上完成对账、调账、差错更正等业务,然后实施关基础上完成对账、调账、差错更正等业务,然后实施关账操作。账操作。4.1主要风险:主要风险:a账务处理存在错误,导致账证、账账不符;账务处理存在错误,导致账证、账账不符;b虚列或隐瞒收入,推迟或提前确认收入;虚列或隐瞒收入,推迟或提前确认收入;c随意改变费用、成本的确认标准或计量方法,虚列、多随意改变费用、成本的确认标准或计量方法,虚列、多列、不
164、列或者少列费用、成本;列、不列或者少列费用、成本;d结账的时间、程序不符合相关规定;结账的时间、程序不符合相关规定;e关账后又随意打开已关闭的会计期间等。关账后又随意打开已关闭的会计期间等。4.2管控措施:管控措施:a核对各会计账簿记录与会计凭证的内容、金额等是否一核对各会计账簿记录与会计凭证的内容、金额等是否一致,记账方向是否相符。致,记账方向是否相符。b检查相关账务处理是否符合国家统一的会计准则制度和检查相关账务处理是否符合国家统一的会计准则制度和企业制定的核算方法。企业制定的核算方法。内控应用指引第内控应用指引第1414号号 4结账结账4.2管控措施:管控措施:c调整有关账项,合理确定本
165、期应计的收入和费用。调整有关账项,合理确定本期应计的收入和费用。例如,计提固定资产折旧、计提坏账准备等;按规定摊例如,计提固定资产折旧、计提坏账准备等;按规定摊配各项待摊费用;确认属于本期的应计收益等。配各项待摊费用;确认属于本期的应计收益等。d检查是否存在因会计差错、会计政策变更等原因需要调检查是否存在因会计差错、会计政策变更等原因需要调整前期或者本期相关项目。整前期或者本期相关项目。对于调整项目,需取得和保留审批文件,以保证调整有对于调整项目,需取得和保留审批文件,以保证调整有据可依。据可依。e不得为了赶编财务报告而提前结账,或把本期发生的经不得为了赶编财务报告而提前结账,或把本期发生的经
166、济业务事项延至下期登帐,也不得先编财务报告后结济业务事项延至下期登帐,也不得先编财务报告后结账,应在当期所有交易或事项处理完毕并经财会部门负账,应在当期所有交易或事项处理完毕并经财会部门负责人审核签字确认后,实施关账和结账操作。责人审核签字确认后,实施关账和结账操作。f如果在关账之后需要重新打开已关闭的会计期间,须填如果在关账之后需要重新打开已关闭的会计期间,须填写相应的申请表,经总会计师或分管会计工作的负责人写相应的申请表,经总会计师或分管会计工作的负责人审批后进行。审批后进行。内控应用指引第内控应用指引第1414号号 5编制个别财务报告编制个别财务报告企业应当按照国家统一的会计准则制度规定
167、的财务报告企业应当按照国家统一的会计准则制度规定的财务报告格式和内容,根据登记完整、核对无误的会计账簿记录格式和内容,根据登记完整、核对无误的会计账簿记录和其他有关资料编制财务报告,做到内容完整、数字真和其他有关资料编制财务报告,做到内容完整、数字真实、计算准确,不得漏报或者任意进行取舍。实、计算准确,不得漏报或者任意进行取舍。5.1主要风险:主要风险:提供虚假财务报告,误导财务报告使用者,造成决策失提供虚假财务报告,误导财务报告使用者,造成决策失误,干扰市场秩序;误,干扰市场秩序;报表数据不完整、不准确;报表种类不完整;报表数据不完整、不准确;报表种类不完整;附注内容不完整等。附注内容不完整
168、等。5.2管控措施:管控措施:a企业财务报告列示的资产、负债、所有者权益金额应当企业财务报告列示的资产、负债、所有者权益金额应当真实可靠。真实可靠。a1一是各项资产计价方法不得随意变更,如有减值,应当一是各项资产计价方法不得随意变更,如有减值,应当合理计提减值准备,严禁虚增或虚减资产。合理计提减值准备,严禁虚增或虚减资产。内控应用指引第内控应用指引第1414号号 5编制个别财务报告编制个别财务报告5.2管控措施:管控措施:a2二是各项负债应当反映企业的现时义务,不得提前、推二是各项负债应当反映企业的现时义务,不得提前、推迟或不确认负债,严禁虚增或虚减负债。迟或不确认负债,严禁虚增或虚减负债。a
169、3三是所有者权益应当反映企业资产扣除负债后由所有者三是所有者权益应当反映企业资产扣除负债后由所有者享有的剩余权益,由实收资本、资本公积、留存收益等享有的剩余权益,由实收资本、资本公积、留存收益等构成。企业应当做好所有者权益保值增值工作,严禁虚构成。企业应当做好所有者权益保值增值工作,严禁虚假出资、抽逃出资、资本不实。假出资、抽逃出资、资本不实。b企业财务报告应当如实列示当期收入、费用和利润。企业财务报告应当如实列示当期收入、费用和利润。b1一是各项收入的确认应当遵循规定的标准,不得虚列或一是各项收入的确认应当遵循规定的标准,不得虚列或者隐瞒收入,推迟或提前确认收入。者隐瞒收入,推迟或提前确认收
170、入。b2二是各项费用、成本的确认应当符合规定,不得随意改二是各项费用、成本的确认应当符合规定,不得随意改变费用、成本的确认标准或计量方法,虚列、多列、不变费用、成本的确认标准或计量方法,虚列、多列、不列或者少列费用、成本。列或者少列费用、成本。b3三是利润由收入减去费用后的净额、直接计入当期利润三是利润由收入减去费用后的净额、直接计入当期利润的利得和损失等构成。不得随意调整利润的计算、分配的利得和损失等构成。不得随意调整利润的计算、分配方法,编造虚假利润。方法,编造虚假利润。内控应用指引第内控应用指引第1414号号 5编制个别财务报告编制个别财务报告c企业财务报告列示的各种现金流量由经营活动、
171、投资活企业财务报告列示的各种现金流量由经营活动、投资活动和筹资活动的现金流量构成,应当按照规定划清各类动和筹资活动的现金流量构成,应当按照规定划清各类交易和事项的现金流量的界限。交易和事项的现金流量的界限。d按照岗位分工和规定的程序编制财务报告。按照岗位分工和规定的程序编制财务报告。d1一是财会部门制定本单位财务报告编制分工表,并由财一是财会部门制定本单位财务报告编制分工表,并由财会部门负责人审核,确保报告编制范围完整。会部门负责人审核,确保报告编制范围完整。d2二是财会部门报告编制岗位按照登记完整、核对无误的二是财会部门报告编制岗位按照登记完整、核对无误的会计账簿记录和其他有关资料对相关信息
172、进行汇总编会计账簿记录和其他有关资料对相关信息进行汇总编制,确保财务报告项目与相关账户对应关系正确,计算制,确保财务报告项目与相关账户对应关系正确,计算公式无误。公式无误。d3三是进行校验审核工作,包括期初数核对、财务报告内三是进行校验审核工作,包括期初数核对、财务报告内有关项目的对应关系审核、报表前后勾稽关系审核、期有关项目的对应关系审核、报表前后勾稽关系审核、期末数与试算平衡表和工作底稿核对、财务报告主表与附末数与试算平衡表和工作底稿核对、财务报告主表与附表之间的平衡及勾稽关系校验等。表之间的平衡及勾稽关系校验等。内控应用指引第内控应用指引第1414号号 5编制个别财务报告编制个别财务报告
173、e按照国家统一的会计准则制度编制附注。附注是财务报按照国家统一的会计准则制度编制附注。附注是财务报告的重要组成部分,企业对反映企业财务状况、经营成告的重要组成部分,企业对反映企业财务状况、经营成果、现金流量的报表中需要说明的事项,作出真实、完果、现金流量的报表中需要说明的事项,作出真实、完整、清晰的说明。检查担保、诉讼、未决事项、资产重整、清晰的说明。检查担保、诉讼、未决事项、资产重组等重大或有事项是否在附注中得到反映和披露。组等重大或有事项是否在附注中得到反映和披露。f财会部门负责人审核报表内容和种类的真实、完整性,财会部门负责人审核报表内容和种类的真实、完整性,通过后予以上报。通过后予以上
174、报。内控应用指引第内控应用指引第1414号号 6编制合并财务报告编制合并财务报告企业集团应当编制合并财务报告,分级收集合并范围内企业集团应当编制合并财务报告,分级收集合并范围内分公司及内部核算单位的财务报告并审核,进而合并全分公司及内部核算单位的财务报告并审核,进而合并全资及控股公司财务报告,如实反映企业集团的财务状况、资及控股公司财务报告,如实反映企业集团的财务状况、经营成果和现金流量。经营成果和现金流量。6.1主要风险:主要风险:a合并范围不完整;合并范围不完整;b合并内部交易和事项不完整;合并内部交易和事项不完整;c合并抵销分录不准确。合并抵销分录不准确。6.2管控措施:管控措施:a编报
175、单位财会部门应依据经同级法律事务部门确认的产编报单位财会部门应依据经同级法律事务部门确认的产权(股权)结构图,并考虑所有相关情况以确定合并范权(股权)结构图,并考虑所有相关情况以确定合并范围符合国家统一的会计准则制度的规定,由财会部门负围符合国家统一的会计准则制度的规定,由财会部门负责人审核、确认合并范围是否完整。责人审核、确认合并范围是否完整。内控应用指引第内控应用指引第1414号号 6编制合并财务报告编制合并财务报告6.2管控措施:管控措施:b财会部门收集、审核下级单位财务报告,并汇总出本级财会部门收集、审核下级单位财务报告,并汇总出本级次的财务报告,经汇总单位财会部门负责人审核。次的财务
176、报告,经汇总单位财会部门负责人审核。c财会部门制定内部交易和事项核对表及填制要求,报财财会部门制定内部交易和事项核对表及填制要求,报财会部门负责人审批后下发纳入合并范围内各单位。财会会部门负责人审批后下发纳入合并范围内各单位。财会部门核对本单位及纳入合并范围内各单位之间内部交易部门核对本单位及纳入合并范围内各单位之间内部交易的事项和金额,如有差异,应及时查明原因并进行调整。的事项和金额,如有差异,应及时查明原因并进行调整。编制内部交易表及内部往来表交财会部门负责人审核。编制内部交易表及内部往来表交财会部门负责人审核。d合并抵销分录应有相应的标准文件和证据进行支持,由合并抵销分录应有相应的标准文
177、件和证据进行支持,由财会部门负责人审核。财会部门负责人审核。e对合并抵销分录实行交叉复核制度,具体编制人完成调对合并抵销分录实行交叉复核制度,具体编制人完成调整分录后即提交相应复核人进行审核,审核通过后才可整分录后即提交相应复核人进行审核,审核通过后才可录入试算平衡表。通过交叉复核,保证合并抵销分录的录入试算平衡表。通过交叉复核,保证合并抵销分录的真实性、完整性。真实性、完整性。内控应用指引第内控应用指引第1414号号 7财务报告对外提供前的审核财务报告对外提供前的审核财务报告对外提供前需按规定程序进行审核,主要包括财务报告对外提供前需按规定程序进行审核,主要包括财会部门负责人审核财务报告的准
178、确性并签名盖章;总财会部门负责人审核财务报告的准确性并签名盖章;总会计师或分管会计工作的负责人审核财务报告的真实性、会计师或分管会计工作的负责人审核财务报告的真实性、完整性、合法合规性,并签名盖章;企业负责人审核财完整性、合法合规性,并签名盖章;企业负责人审核财务报告整体合法合规性,并签名盖章。务报告整体合法合规性,并签名盖章。7.1主要风险:主要风险:在财务报告对外提供前未按规定程序进行审核,对内容在财务报告对外提供前未按规定程序进行审核,对内容的真实性、完整性以及格式的合规性等审核不充分。的真实性、完整性以及格式的合规性等审核不充分。7.2管控措施:管控措施:a企业应严格按照规定的财务报告
179、编制中的审批程序,由企业应严格按照规定的财务报告编制中的审批程序,由各级负责人逐级把关,对财务报告内容的真实性、完整各级负责人逐级把关,对财务报告内容的真实性、完整性,格式的合规性等予以审核。性,格式的合规性等予以审核。b企业应保留审核记录,建立责任追究制度。企业应保留审核记录,建立责任追究制度。c财务报告在对外提供前应当装订成册,加盖公章,并由财务报告在对外提供前应当装订成册,加盖公章,并由企业负责人、总会计师或分管会计工作的负责人、财会企业负责人、总会计师或分管会计工作的负责人、财会部门负责人签名并盖章。部门负责人签名并盖章。内控应用指引第内控应用指引第1414号号 8财务报告对外提供前的
180、审计财务报告对外提供前的审计公司法公司法等法规规定公司年度财务报告需依法经会计等法规规定公司年度财务报告需依法经会计师事务所审计,审计报告应随同财务报告一并对外提供。师事务所审计,审计报告应随同财务报告一并对外提供。关于会计师事务所从事证券、期货相关业务有关问题关于会计师事务所从事证券、期货相关业务有关问题的通知的通知等文件对会计师事务所的资格进行了规定。因等文件对会计师事务所的资格进行了规定。因此,相关企业需按规定在财务报告对外提供前,选择有此,相关企业需按规定在财务报告对外提供前,选择有资格的会计师事务所进行审计。资格的会计师事务所进行审计。8.1主要风险:主要风险:财务报告对外提供前未经
181、审计,审计机构不符合相关法财务报告对外提供前未经审计,审计机构不符合相关法律法规的规定,审计机构与企业串通舞弊。律法规的规定,审计机构与企业串通舞弊。8.2管控措施:管控措施:a企业应根据相关法律法规的规定,选择符合资质的会计企业应根据相关法律法规的规定,选择符合资质的会计师事务所对财务报告进行审计。师事务所对财务报告进行审计。b企业不得干扰审计人员的正常工作,并应对审计意见予企业不得干扰审计人员的正常工作,并应对审计意见予以落实。以落实。c注册会计师及其所在的事务所出具的审计报告,应随财注册会计师及其所在的事务所出具的审计报告,应随财务报告一并提供。务报告一并提供。内控应用指引第内控应用指引
182、第1414号号 9财务报告的对外提供财务报告的对外提供一般企业的财务报告经完整审核并签名盖章后即可对外一般企业的财务报告经完整审核并签名盖章后即可对外提供。上市公司还需经董事会和监事会审批通过后方能提供。上市公司还需经董事会和监事会审批通过后方能对外提供,财务报告应与审计报告一同向投资者、债权对外提供,财务报告应与审计报告一同向投资者、债权人、政府监管部门等报送。人、政府监管部门等报送。9.1主要风险主要风险:a对外提供未遵循相关法律法规的规定,导致承担相应的对外提供未遵循相关法律法规的规定,导致承担相应的法律责任;法律责任;b对外提供的财务报告的编制基础、编制依据、编制原则对外提供的财务报告
183、的编制基础、编制依据、编制原则和方法不一致,影响各方对企业情况的判断和经济决策和方法不一致,影响各方对企业情况的判断和经济决策的作出;的作出;c未能及时对外报送财务报告,导致财务报告信息的使用未能及时对外报送财务报告,导致财务报告信息的使用价值降低,同时也违反有关法律法规;价值降低,同时也违反有关法律法规;d财务报告在对外提供前提前泄露或使不应知晓的对象获财务报告在对外提供前提前泄露或使不应知晓的对象获悉,导致发生内幕交易等,使投资者或企业本身蒙受损悉,导致发生内幕交易等,使投资者或企业本身蒙受损失。失。内控应用指引第内控应用指引第1414号号 9财务报告的对外提供财务报告的对外提供9.2管控
184、措施:管控措施:a企业应根据相关法律法规的要求,在企业相关制度中明企业应根据相关法律法规的要求,在企业相关制度中明确负责财务报告对外提供的对象,在相关制度性文件中确负责财务报告对外提供的对象,在相关制度性文件中予以明确并由企业负责人监督,如:国有企业应当依法予以明确并由企业负责人监督,如:国有企业应当依法定期向监事会提供财务报告,至少每年一次向本企业的定期向监事会提供财务报告,至少每年一次向本企业的职工代表大会公布财务报告。上市公司的财务报告需经职工代表大会公布财务报告。上市公司的财务报告需经董事会、监事会审核通过后向全社会提供。董事会、监事会审核通过后向全社会提供。b企业应严格按照规定的财务
185、报告编制中的审批程序,由企业应严格按照规定的财务报告编制中的审批程序,由财会部门负责人、总会计师或分管会计工作的负责人、财会部门负责人、总会计师或分管会计工作的负责人、企业负责人逐级把关,对财务报告内容的真实性、完整企业负责人逐级把关,对财务报告内容的真实性、完整性,格式的合规性等予以审核,确保提供给投资者、债性,格式的合规性等予以审核,确保提供给投资者、债权人、政府监管部门、社会公众等各方面的财务报告的权人、政府监管部门、社会公众等各方面的财务报告的编制基础、编制依据、编制原则和方法完全一致。编制基础、编制依据、编制原则和方法完全一致。内控应用指引第内控应用指引第1414号号 9财务报告的对
186、外提供财务报告的对外提供9.2管控措施:管控措施:c企业应严格遵守相关法律法规和国家统一的会计准则制企业应严格遵守相关法律法规和国家统一的会计准则制度对报送时间的要求,在财务报告的编制、审核、报送度对报送时间的要求,在财务报告的编制、审核、报送流程中的每一步骤设置时间点,对未能按时及时完成的流程中的每一步骤设置时间点,对未能按时及时完成的相关人员进行处罚。相关人员进行处罚。d企业应设置严格的保密程序,对能够接触财务报告信息企业应设置严格的保密程序,对能够接触财务报告信息的人员进行权限设置,保证财务报告信息在对外提供前的人员进行权限设置,保证财务报告信息在对外提供前控制在适当的范围。并对财务报告
187、信息的访问情况予以控制在适当的范围。并对财务报告信息的访问情况予以记录,以便了解情况,及时发现可能的泄密行为,在泄记录,以便了解情况,及时发现可能的泄密行为,在泄密后也易于找到相应的责任人。密后也易于找到相应的责任人。e企业对外提供的财务报告应当及时整理归档,并按有关企业对外提供的财务报告应当及时整理归档,并按有关规定妥善保存。规定妥善保存。内控应用指引第内控应用指引第1414号号 10制定财务分析制度制定财务分析制度企业财会部门应在对企业基本情况进行分析研究的基础企业财会部门应在对企业基本情况进行分析研究的基础上,提出财务报告分析制度草案,并经财会部门负责人、上,提出财务报告分析制度草案,并
188、经财会部门负责人、总会计师或分管会计工作的负责人、企业负责人检查、总会计师或分管会计工作的负责人、企业负责人检查、修改、审批。修改、审批。10.1主要风险:主要风险:制定的财务分析制度不符合企业实际情况,财务分析制制定的财务分析制度不符合企业实际情况,财务分析制度未充分利用企业现有资源,财务分析的流程、要求不度未充分利用企业现有资源,财务分析的流程、要求不明确,财务分析制度未经审批等。明确,财务分析制度未经审批等。10.2管控措施:管控措施:a企业在对基本情况分析时,应当重点了解企业的发展背企业在对基本情况分析时,应当重点了解企业的发展背景,包括企业的发展史、企业组织机构、产品销售及财景,包括
189、企业的发展史、企业组织机构、产品销售及财务资产变动情况等,熟悉企业业务流程,分析研究企业务资产变动情况等,熟悉企业业务流程,分析研究企业的资产及财务管理活动。的资产及财务管理活动。内控应用指引第内控应用指引第1414号号 10 制定财务分析制度制定财务分析制度10.2管控措施:管控措施:b企业在制定财务报告分析制度时,应重点关注:财务报企业在制定财务报告分析制度时,应重点关注:财务报告分析的时间、组织形式、参加的部门和人员;财务报告分析的时间、组织形式、参加的部门和人员;财务报告分析的内容、分析的步骤、分析方法和指标体系;财告分析的内容、分析的步骤、分析方法和指标体系;财务报告分析报告的编写要
190、求等。务报告分析报告的编写要求等。c财务报告分析制度草案经由财会部门负责人、总会计师财务报告分析制度草案经由财会部门负责人、总会计师或分管会计工作的负责人、企业负责人检查、修改、审或分管会计工作的负责人、企业负责人检查、修改、审批之后,根据制度设计的要求进行试行,发现问题及时批之后,根据制度设计的要求进行试行,发现问题及时总结上报。总结上报。d财会部门根据试行情况进行修正,确定最终的财务报告财会部门根据试行情况进行修正,确定最终的财务报告分析制度文稿,并经财会部门负责人、总会计师或分管分析制度文稿,并经财会部门负责人、总会计师或分管会计工作的负责人、企业负责人进行最终的审批。会计工作的负责人、
191、企业负责人进行最终的审批。内控应用指引第内控应用指引第1414号号 11 编写财务分析报告编写财务分析报告财会部门应按照财务分析制度定期编写财务分析报告,财会部门应按照财务分析制度定期编写财务分析报告,并通过定期召开财务分析会议等形式对分析报告的内容并通过定期召开财务分析会议等形式对分析报告的内容予以完善,以充分利用财务报告反映的综合信息,全面予以完善,以充分利用财务报告反映的综合信息,全面分析企业的经营管理状况和存在的问题,不断提高经营分析企业的经营管理状况和存在的问题,不断提高经营管理水平。管理水平。11.1主要风险:主要风险:a财务分析报告的目的不正确或者不明确,财务分析方法财务分析报告
192、的目的不正确或者不明确,财务分析方法不正确;不正确;b财务分析报告的内容不完整,未对本期生产经营活动中财务分析报告的内容不完整,未对本期生产经营活动中发生的重大事项做专门分析;发生的重大事项做专门分析;c财务分析局限于财会部门,未充分利用相关部门的资财务分析局限于财会部门,未充分利用相关部门的资源,影响质量和可用性;源,影响质量和可用性;d财务分析报告未经审核等。财务分析报告未经审核等。内控应用指引第内控应用指引第1414号号 11编写财务分析报告编写财务分析报告11.2管控措施:管控措施:a编写时要明确分析的目的,运用正确的财务分析方法,编写时要明确分析的目的,运用正确的财务分析方法,并能充
193、分、灵活地运用各项资料。分析内容包括:并能充分、灵活地运用各项资料。分析内容包括:a1分析企业的资产分布、负债水平和所有者权益结构,通分析企业的资产分布、负债水平和所有者权益结构,通过资产负债率、流动比率、资产周转率等指标分析企业过资产负债率、流动比率、资产周转率等指标分析企业的偿债能力和营运能力;分析企业净资产的增减变化,的偿债能力和营运能力;分析企业净资产的增减变化,了解和掌握企业规模和净资产的不断变化过程。了解和掌握企业规模和净资产的不断变化过程。a2分析各项收入、费用的构成及其增减变动情况,通过净分析各项收入、费用的构成及其增减变动情况,通过净资产收益率、每股收益等指标,分析企业的盈利
194、能力和资产收益率、每股收益等指标,分析企业的盈利能力和发展能力,了解和掌握当期利润增减变化的原因和未来发展能力,了解和掌握当期利润增减变化的原因和未来发展趋势。发展趋势。a3分析经营活动、投资活动、筹资活动现金流量的运转情分析经营活动、投资活动、筹资活动现金流量的运转情况,重点关注现金流量能否保证生产经营过程的正常运况,重点关注现金流量能否保证生产经营过程的正常运行,防止现金短缺或闲置。行,防止现金短缺或闲置。内控应用指引第内控应用指引第1414号号 11 编写财务分析报告编写财务分析报告11.2管控措施:管控措施:b总会计师或分管会计工作的负责人应当在财务分析和利总会计师或分管会计工作的负责
195、人应当在财务分析和利用工作中发挥主导作用,负责组织领导。财会部门负责用工作中发挥主导作用,负责组织领导。财会部门负责人审核财务分析报告的准确性,判断是否需要对特殊事人审核财务分析报告的准确性,判断是否需要对特殊事项进行补充说明,并对财务分析报告进行补充说明。对项进行补充说明,并对财务分析报告进行补充说明。对生产经营活动中的重要资料、重大事项以及与上年同期生产经营活动中的重要资料、重大事项以及与上年同期数据相比有较大差异的情况要做重点说明。数据相比有较大差异的情况要做重点说明。c企业财务分析会议应吸收有关部门负责人参加,对各部企业财务分析会议应吸收有关部门负责人参加,对各部门提出的意见,财会部门
196、应充分沟通、分析,进而修改门提出的意见,财会部门应充分沟通、分析,进而修改完善财务分析报告。完善财务分析报告。d修订后的分析报告应及时报送企业负责人,企业负责人修订后的分析报告应及时报送企业负责人,企业负责人负责审批分析报告,并据此进行决策,对于存在的问题负责审批分析报告,并据此进行决策,对于存在的问题及时采取措施。及时采取措施。内控应用指引第内控应用指引第1414号号 12整改落实整改落实财会部门应将经过企业负责人审批的报告及时报送各部财会部门应将经过企业负责人审批的报告及时报送各部门负责人,各部门负责人根据分析结果进行决策和整改门负责人,各部门负责人根据分析结果进行决策和整改落实。落实。1
197、2.1主要风险:主要风险:a财务分析报告的内容传递不畅,未能及时使有关各部门财务分析报告的内容传递不畅,未能及时使有关各部门获悉;获悉;b各部门对财务分析报告不够重视,未对其中的意见进行各部门对财务分析报告不够重视,未对其中的意见进行整改落实。整改落实。12.2管控措施:管控措施:a定期的财务分析报告应构成内部报告的组成部分,并充定期的财务分析报告应构成内部报告的组成部分,并充分利用信息技术和现有内部报告体系在各个层级上进行分利用信息技术和现有内部报告体系在各个层级上进行沟通。沟通。b根据分析报告的意见,明确各部门职责。责任部门按要根据分析报告的意见,明确各部门职责。责任部门按要求落实改正,财
198、会部门负责监督、跟踪责任部门的落实求落实改正,财会部门负责监督、跟踪责任部门的落实情况,并及时向有关负责人反馈落实情况。情况,并及时向有关负责人反馈落实情况。内控应用指引第内控应用指引第1414号号 企业内部控制应用指引第企业内部控制应用指引第15号:全面预算号:全面预算 业务目标业务目标 业务范围业务范围 业务风险业务风险 总体要求总体要求 控制流程控制流程 控制措施控制措施 经验介绍经验介绍全面预算全面预算-业务目标业务目标1.1引导和规范企业加强全面预算管理各环节引导和规范企业加强全面预算管理各环节的风险管控,促进全面预算管理在推动企的风险管控,促进全面预算管理在推动企业实现发展战略过程
199、中发挥积极作用。业实现发展战略过程中发挥积极作用。内控应用指引第内控应用指引第1515号号 全面预算全面预算-业务范围业务范围1.1企业对一定期间经营活动、投资活动、财企业对一定期间经营活动、投资活动、财务活动等作出的预算安排。务活动等作出的预算安排。内控应用指引第内控应用指引第1515号号 全面预算全面预算-业务风险业务风险1.1不编制预算或预算不健全,可能导致企业不编制预算或预算不健全,可能导致企业经营缺乏约束或盲目经营。经营缺乏约束或盲目经营。1.2预算目标不合理、编制不科学,可能导致预算目标不合理、编制不科学,可能导致企业资源浪费或发展战略难以实现。企业资源浪费或发展战略难以实现。1.
200、3预算缺乏刚性、执行不力、考核不严,可预算缺乏刚性、执行不力、考核不严,可能导致预算管理流于形式。能导致预算管理流于形式。内控应用指引第内控应用指引第1515号号 全面预算全面预算-基本要求基本要求1.1企业应当加强全面预算工作的组织领导,明确预算管理企业应当加强全面预算工作的组织领导,明确预算管理体制以及各预算执行单位的职责权限、授权批准程序和体制以及各预算执行单位的职责权限、授权批准程序和工作协调机制。工作协调机制。1.2企业应当设立预算管理委员会履行全面预算管理职责,企业应当设立预算管理委员会履行全面预算管理职责,其成员由企业负责人及内部相关部门负责人组成。其成员由企业负责人及内部相关部
201、门负责人组成。a预算管理委员会主要负责拟定预算目标和预算政策,制预算管理委员会主要负责拟定预算目标和预算政策,制定预算管理的具体措施和办法,组织编制、平衡预算草定预算管理的具体措施和办法,组织编制、平衡预算草案,下达经批准的预算,协调解决预算编制和执行中的案,下达经批准的预算,协调解决预算编制和执行中的问题,考核预算执行情况,督促完成预算目标。问题,考核预算执行情况,督促完成预算目标。b预算管理委员会下设预算管理工作机构,由其履行日常预算管理委员会下设预算管理工作机构,由其履行日常管理职责。预算管理工作机构一般设在财会部门。管理职责。预算管理工作机构一般设在财会部门。1.3总会计师或分管会计工
202、作的负责人应当协助企业负责人总会计师或分管会计工作的负责人应当协助企业负责人负责企业全面预算管理工作的组织领导。负责企业全面预算管理工作的组织领导。内控应用指引第内控应用指引第1515号号 全面预算全面预算-基本要求基本要求1.4企业内部预算责任单位的划分应当遵循分级分层、权责企业内部预算责任单位的划分应当遵循分级分层、权责利相结合、责任可控、目标一致的原则,并与企业的组利相结合、责任可控、目标一致的原则,并与企业的组织机构设置相适应。织机构设置相适应。根据权责范围,企业内部预算责任单位可以分为投资中根据权责范围,企业内部预算责任单位可以分为投资中心、利润中心、成本中心、费用中心和收入中心。心
203、、利润中心、成本中心、费用中心和收入中心。1.5在建立健全全面预算管理体制的基础上,企业应当进一在建立健全全面预算管理体制的基础上,企业应当进一步梳理、制定预算管理工作流程,按照不相容职务相互步梳理、制定预算管理工作流程,按照不相容职务相互分离的原则细化各部门、各岗位在预算管理体系中的职分离的原则细化各部门、各岗位在预算管理体系中的职责、分工与权限,明确预算编制、执行、分析、调整、责、分工与权限,明确预算编制、执行、分析、调整、考核各环节的授权批准制度与程序。考核各环节的授权批准制度与程序。预算管理工作各环节的不相容岗位一般包括:预算编制预算管理工作各环节的不相容岗位一般包括:预算编制与预算审
204、批、预算审批与预算执行、预算执行与预算考与预算审批、预算审批与预算执行、预算执行与预算考核。核。内控应用指引第内控应用指引第1515号号 全面预算的组织体系基本架构全面预算的组织体系基本架构内控应用指引第内控应用指引第1515号号 董事会董事会预算管理委员会预算管理委员会总经理总经理预算管理工作机构预算管理工作机构预算责任中心预算责任中心预算管理决策机构预算管理决策机构预算管理日常工作机构预算管理日常工作机构预算执行单位预算执行单位投资中心利润中心收入中心费用中心成本中心全面预算全面预算-控制流程控制流程内控应用指引第内控应用指引第1515号号 战略规划战略规划绩效考核绩效考核预算编制预算编制
205、预算执行预算执行预算考核预算考核预算编制预算编制预算审批预算审批预算下达预算下达预算指标分解预算指标分解及责任落实及责任落实预算执行控制预算执行控制预算分析预算分析预算调整预算调整预算和绩效考核的目标全面预算流程全面预算全面预算控制措施控制措施内控应用指引第内控应用指引第1515号号 1预算编制预算编制预算编制是企业实施全面预算管理的起点。预算编制是企业实施全面预算管理的起点。1.1主要风险:主要风险:a预算编制以财务部门为主,业务部门参与度较低,可能预算编制以财务部门为主,业务部门参与度较低,可能导致预算编制不合理,预算管理责、权、利不匹配;预导致预算编制不合理,预算管理责、权、利不匹配;预
206、算编制范围和项目不全面,各个预算之间缺乏整合,可算编制范围和项目不全面,各个预算之间缺乏整合,可能导致全面预算难以形成。能导致全面预算难以形成。b预算编制所依据的相关信息不足,可能导致预算目标与预算编制所依据的相关信息不足,可能导致预算目标与战略规划、经营计划、市场环境、企业实际等相脱离;战略规划、经营计划、市场环境、企业实际等相脱离;预算编制基础数据不足,可能导致预算编制准确率降低。预算编制基础数据不足,可能导致预算编制准确率降低。c预算编制程序不规范,横向、纵向信息沟通不畅,可能预算编制程序不规范,横向、纵向信息沟通不畅,可能导致预算目标缺乏准确性、合理性和可行性。导致预算目标缺乏准确性、
207、合理性和可行性。d预算编制方法选择不当,或强调采用单一的方法,可能预算编制方法选择不当,或强调采用单一的方法,可能导致预算目标缺乏科学性和可行性。导致预算目标缺乏科学性和可行性。内控应用指引第内控应用指引第1515号号 1预算编制预算编制预算编制是企业实施全面预算管理的起点。预算编制是企业实施全面预算管理的起点。1.1主要风险:主要风险:e预算目标及指标体系设计不完整、不合理、不科学,可预算目标及指标体系设计不完整、不合理、不科学,可能导致预算管理在实现发展战略和经营目标、促进绩效能导致预算管理在实现发展战略和经营目标、促进绩效考评等方面的功能难以有效发挥。考评等方面的功能难以有效发挥。f编制
208、预算的时间太早或太晚,可能导致预算准确性不编制预算的时间太早或太晚,可能导致预算准确性不高,或影响预算的执行。高,或影响预算的执行。内控应用指引第内控应用指引第1515号号 1预算编制预算编制1.2控制措施:控制措施:a全面性控制。全面性控制。a1明确企业各个部门、单位的预算编制责任,使企业各个明确企业各个部门、单位的预算编制责任,使企业各个部门、单位的业务活动全部纳入预算管理;部门、单位的业务活动全部纳入预算管理;a2将企业经营、投资、财务等各项经济活动的各个方面、将企业经营、投资、财务等各项经济活动的各个方面、各个环节都纳入预算编制范围,形成由经营预算、投资各个环节都纳入预算编制范围,形成
209、由经营预算、投资预算、筹资预算、财务预算等一系列预算组成的相互衔预算、筹资预算、财务预算等一系列预算组成的相互衔接和勾稽的综合预算体系。接和勾稽的综合预算体系。b编制依据和基础控制。编制依据和基础控制。b1制定明确的战略规划,并依据战略规划制定年度经营目制定明确的战略规划,并依据战略规划制定年度经营目标和计划,作为制定预算目标的首要依据,确保预算编标和计划,作为制定预算目标的首要依据,确保预算编制真正成为战略规划和年度经营计划的年度具体行动方制真正成为战略规划和年度经营计划的年度具体行动方案;案;内控应用指引第内控应用指引第1515号号 1预算编制预算编制1.2控制措施:控制措施:b编制依据和
210、基础控制。编制依据和基础控制。b2深入开展企业外部环境的调研和预测,包括对企业预算深入开展企业外部环境的调研和预测,包括对企业预算期内客户需求、同行业发展等市场环境的调研,以及宏期内客户需求、同行业发展等市场环境的调研,以及宏观经济政策等社会环境的调研,确保预算编制以市场预观经济政策等社会环境的调研,确保预算编制以市场预测为依据,与市场、社会环境相适应;测为依据,与市场、社会环境相适应;b3深入分析企业上一期间预算执行情况,充分预计预算期深入分析企业上一期间预算执行情况,充分预计预算期内企业资源状况、生产能力、技术水平等自身环境的变内企业资源状况、生产能力、技术水平等自身环境的变化,确保预算编
211、制符合企业生产经营活动的客观实际;化,确保预算编制符合企业生产经营活动的客观实际;b4重视和加强预算编制基础管理工作,包括历史资料记录、重视和加强预算编制基础管理工作,包括历史资料记录、定额制定与管理、标准化工作、会计核算等,确保预算定额制定与管理、标准化工作、会计核算等,确保预算编制以可靠、翔实、完整的基础数据为依据。编制以可靠、翔实、完整的基础数据为依据。内控应用指引第内控应用指引第1515号号 1预算编制预算编制1.2控制措施:控制措施:c编制程序控制。编制程序控制。企业应当按照上下结合、分级编制、逐级汇总的程序,企业应当按照上下结合、分级编制、逐级汇总的程序,编制年度全面预算。其基本步
212、骤及其控制为:编制年度全面预算。其基本步骤及其控制为:c1建立系统的指标分解体系,并在与各预算责任中心进行建立系统的指标分解体系,并在与各预算责任中心进行充分沟通的基础上分解下达初步预算目标;充分沟通的基础上分解下达初步预算目标;c2各预算责任中心按照下达的预算目标和预算政策,结合各预算责任中心按照下达的预算目标和预算政策,结合自身特点以及预测的执行条件,认真测算并提出本责任自身特点以及预测的执行条件,认真测算并提出本责任中心的预算草案,逐级汇总上报预算管理工作机构;中心的预算草案,逐级汇总上报预算管理工作机构;c3预算管理工作机构进行充分协调、沟通,审查平衡预算预算管理工作机构进行充分协调、
213、沟通,审查平衡预算草案;草案;c4预算管理委员会应当对预算管理工作机构在综合平衡基预算管理委员会应当对预算管理工作机构在综合平衡基础上提交的预算方案进行研究论证,从企业发展全局角础上提交的预算方案进行研究论证,从企业发展全局角度提出进一步调整、修改的建议,形成企业年度全面预度提出进一步调整、修改的建议,形成企业年度全面预算草案,提交董事会;算草案,提交董事会;c5董事会审核全面预算草案,确保全面预算与企业发展战董事会审核全面预算草案,确保全面预算与企业发展战略、年度生产经营计划相协调。略、年度生产经营计划相协调。内控应用指引第内控应用指引第1515号号 1预算编制预算编制1.2控制措施:控制措
214、施:d编制方法控制。编制方法控制。企业应当本着遵循经济活动规律,充分考虑符合企业自企业应当本着遵循经济活动规律,充分考虑符合企业自身经济业务特点、基础数据管理水平、生产经营周期和身经济业务特点、基础数据管理水平、生产经营周期和管理需要的原则,选择或综合运用固定预算、弹性预算、管理需要的原则,选择或综合运用固定预算、弹性预算、滚动预算等方法编制预算。滚动预算等方法编制预算。e预算目标及指标体系设计控制。预算目标及指标体系设计控制。e1按照按照“财务指标为主体、非财务指标为补充财务指标为主体、非财务指标为补充”的原则设的原则设计计预算指标体系;预算指标体系;e2将企业的战略规划、经营目标体现在预算
215、指标体系中;将企业的战略规划、经营目标体现在预算指标体系中;e3将企业产、供、销、投融资等各项活动的各个环节、各将企业产、供、销、投融资等各项活动的各个环节、各个方面的内容都纳入预算指标体系;个方面的内容都纳入预算指标体系;e4将预算指标体系与绩效评价指标协调一致;将预算指标体系与绩效评价指标协调一致;e5按照各责任中心在工作性质、权责范围、业务活动特点按照各责任中心在工作性质、权责范围、业务活动特点等方面的不同,设计不同或各有侧重的预算指标体系。等方面的不同,设计不同或各有侧重的预算指标体系。内控应用指引第内控应用指引第1515号号 1预算编制预算编制1.2控制措施:控制措施:f预算编制时间
216、控制。预算编制时间控制。企业可以根据自身规模大小、组织结构和产品结构的复企业可以根据自身规模大小、组织结构和产品结构的复杂性、预算编制工具和熟练程度、全面预算开展的深度杂性、预算编制工具和熟练程度、全面预算开展的深度和广度等因素,确定合适的全面预算编制时间,并应当和广度等因素,确定合适的全面预算编制时间,并应当在预算年度开始前完成全面预算草案的编制工作。在预算年度开始前完成全面预算草案的编制工作。内控应用指引第内控应用指引第1515号号 2预算审批预算审批2.1主要风险:主要风险:全面预算未经适当审批或超越授权审批,可能导致预算全面预算未经适当审批或超越授权审批,可能导致预算权威性不够、执行不
217、力,或可能因重大差错、舞弊而导权威性不够、执行不力,或可能因重大差错、舞弊而导致损失。致损失。2.2控制措施:控制措施:企业全面预算应当按照企业全面预算应当按照公司法公司法等相关法律法规及企等相关法律法规及企业章程的规定报经审议批准。业章程的规定报经审议批准。内控应用指引第内控应用指引第1515号号 3预算下达预算下达3.1主要风险:主要风险:全面预算下达不及时、不明确,可能导致预算执行或考全面预算下达不及时、不明确,可能导致预算执行或考核无据可查。核无据可查。3.2控制措施:控制措施:企业全面预算经审议批准后应及时以文件形式下达执行。企业全面预算经审议批准后应及时以文件形式下达执行。内控应用
218、指引第内控应用指引第1515号号 4预算指标分解和责任落实预算指标分解和责任落实4.1主要风险:主要风险:a预算指标分解不够详细、具体,可能导致企业的某些岗预算指标分解不够详细、具体,可能导致企业的某些岗位和环节缺乏预算执行和控制依据;位和环节缺乏预算执行和控制依据;b预算指标分解与业绩考核体系不匹配,可能导致预算执预算指标分解与业绩考核体系不匹配,可能导致预算执行不力;行不力;c预算责任体系缺失或不健全,可能导致预算责任无法落预算责任体系缺失或不健全,可能导致预算责任无法落实,预算缺乏强制性与严肃性;实,预算缺乏强制性与严肃性;d预算责任与执行单位或个人的控制能力不匹配,可能导预算责任与执行
219、单位或个人的控制能力不匹配,可能导致预算目标难以实现。致预算目标难以实现。内控应用指引第内控应用指引第1515号号 4预算指标分解和责任落实预算指标分解和责任落实4.2控制措施:控制措施:a企业全面预算一经批准下达,各预算执行单位应当认真企业全面预算一经批准下达,各预算执行单位应当认真组织实施,将预算指标层层分解,横向将预算指标分解组织实施,将预算指标层层分解,横向将预算指标分解为若干相互关联的因素,寻找影响预算目标的关键因素为若干相互关联的因素,寻找影响预算目标的关键因素并加以控制;纵向将各项预算指标层层分解落实到最终并加以控制;纵向将各项预算指标层层分解落实到最终的岗位和个人,明确责任部门
220、和最终责任人;时间上将的岗位和个人,明确责任部门和最终责任人;时间上将年度预算指标分解细化为季度、月度预算,通过实施分年度预算指标分解细化为季度、月度预算,通过实施分期预算控制,实现年度预算目标。期预算控制,实现年度预算目标。b建立预算执行责任制度,对照已确定的责任指标,定期建立预算执行责任制度,对照已确定的责任指标,定期或不定期地对相关部门及人员责任指标完成情况进行检或不定期地对相关部门及人员责任指标完成情况进行检查,实施考评。可以通过签订预算目标责任书等形式明查,实施考评。可以通过签订预算目标责任书等形式明确各预算执行部门的预算责任。确各预算执行部门的预算责任。c分解预算指标和建立预算执行
221、责任制应当遵循定量化、分解预算指标和建立预算执行责任制应当遵循定量化、全局性、可控性原则。全局性、可控性原则。内控应用指引第内控应用指引第1515号号 5预算执行控制预算执行控制5.1主要风险:主要风险:a缺乏严格的预算执行授权审批制度,可能导致预算执行缺乏严格的预算执行授权审批制度,可能导致预算执行随意;随意;b预算审批权限及程序混乱,可能导致越权审批、重复审预算审批权限及程序混乱,可能导致越权审批、重复审批,降低预算执行效率和严肃性;批,降低预算执行效率和严肃性;c预算执行过程中缺乏有效监控,可能导致预算执行不预算执行过程中缺乏有效监控,可能导致预算执行不力,预算目标难以实现;力,预算目标
222、难以实现;d缺乏健全有效的预算反馈和报告体系,可能导致预算执缺乏健全有效的预算反馈和报告体系,可能导致预算执行情况不能及时反馈和沟通,预算差异得不到及时分行情况不能及时反馈和沟通,预算差异得不到及时分析,预算监控难以发挥作用。析,预算监控难以发挥作用。5.2控制措施:控制措施:a加强资金收付业务的预算控制,及时组织资金收入,严加强资金收付业务的预算控制,及时组织资金收入,严格控制资金支付,调节资金收付平衡,防范支付风险。格控制资金支付,调节资金收付平衡,防范支付风险。内控应用指引第内控应用指引第1515号号 5预算执行控制预算执行控制5.2控制措施:控制措施:b严格资金支付业务的审批控制,及时
223、制止不符合预算目严格资金支付业务的审批控制,及时制止不符合预算目标的经济行为,确保各项业务和活动都在授权的范围内标的经济行为,确保各项业务和活动都在授权的范围内运行。运行。b1企业应当就涉及资金支付的预算内事项、超预算事项、企业应当就涉及资金支付的预算内事项、超预算事项、预算外事项建立规范的授权批准制度和程序,避免越权预算外事项建立规范的授权批准制度和程序,避免越权审批、违规审批、重复审批现象的发生。审批、违规审批、重复审批现象的发生。b2对于预算内非常规或金额重大事项,应经过较高的授权对于预算内非常规或金额重大事项,应经过较高的授权批准层(如总经理)审批。批准层(如总经理)审批。b3对于超预
224、算或预算外事项,应当实行严格、特殊的审批对于超预算或预算外事项,应当实行严格、特殊的审批程序,一般须报经总经理办公会或类似权力机构审批;程序,一般须报经总经理办公会或类似权力机构审批;金额重大的,还应报经预算管理委员会或董事会审批。金额重大的,还应报经预算管理委员会或董事会审批。b4预算执行单位提出超预算或预算外资金支付申请,应当预算执行单位提出超预算或预算外资金支付申请,应当提供有关发生超预算或预算外支付的原因、依据、金额提供有关发生超预算或预算外支付的原因、依据、金额测算等资料。测算等资料。内控应用指引第内控应用指引第1515号号 5预算执行控制预算执行控制5.2控制措施:控制措施:c建立
225、预算执行实时监控制度,及时发现和纠正预算执行建立预算执行实时监控制度,及时发现和纠正预算执行中的偏差。中的偏差。c1确保企业办理采购与付款、销售与收款、成本费用、工确保企业办理采购与付款、销售与收款、成本费用、工程项目、对外投融资、研究与开发、信息系统、人力资程项目、对外投融资、研究与开发、信息系统、人力资源、安全环保、资产购置与维护等各项业务和事项,均源、安全环保、资产购置与维护等各项业务和事项,均符合预算要求;符合预算要求;c2对于涉及生产过程和成本费用的,还应严格执行相关计对于涉及生产过程和成本费用的,还应严格执行相关计划、定额、定率标准。划、定额、定率标准。d建立重大预算项目特别关注制
226、度。对于工程项目、对外建立重大预算项目特别关注制度。对于工程项目、对外投融资等重大预算项目,企业应当密切跟踪其实施进度投融资等重大预算项目,企业应当密切跟踪其实施进度和完成情况,实行严格监控。对于重大的关键性预算指和完成情况,实行严格监控。对于重大的关键性预算指标,也要密切跟踪、检查。标,也要密切跟踪、检查。内控应用指引第内控应用指引第1515号号 5预算执行控制预算执行控制5.2控制措施:控制措施:e建立预算执行情况预警机制,科学选择预警指标,合理建立预算执行情况预警机制,科学选择预警指标,合理确定预警范围,及时发出预警信号,积极采取应对措施。确定预警范围,及时发出预警信号,积极采取应对措施
227、。有条件的企业,应当推进和实施预算管理的信息化,通有条件的企业,应当推进和实施预算管理的信息化,通过现代电子信息技术手段控制和监控预算执行,提高预过现代电子信息技术手段控制和监控预算执行,提高预警与应对水平。警与应对水平。f建立健全预算执行情况内部反馈和报告制度,确保预算建立健全预算执行情况内部反馈和报告制度,确保预算执行信息传输及时、畅通、有效。预算管理工作机构应执行信息传输及时、畅通、有效。预算管理工作机构应当加强与各预算执行单位的沟通,运用财务信息和其他当加强与各预算执行单位的沟通,运用财务信息和其他相关资料监控预算执行情况,采用恰当方式及时向预算相关资料监控预算执行情况,采用恰当方式及
228、时向预算管理委员会和各预算执行单位报告、反馈预算执行进度、管理委员会和各预算执行单位报告、反馈预算执行进度、执行差异及其对预算目标的影响,促进企业全面预算目执行差异及其对预算目标的影响,促进企业全面预算目标的实现。标的实现。内控应用指引第内控应用指引第1515号号 6预算分析预算分析6.1主要风险:主要风险:a预算分析不正确、不科学、不及时,可能削弱预算执行预算分析不正确、不科学、不及时,可能削弱预算执行控制的效果,或可能导致预算考评不客观、不公平;控制的效果,或可能导致预算考评不客观、不公平;b对预算差异原因的解决措施不得力,可能导致预算分析对预算差异原因的解决措施不得力,可能导致预算分析形
229、同虚设。形同虚设。6.2控制措施:控制措施:a企业预算管理工作机构和各预算执行单位应当建立预算企业预算管理工作机构和各预算执行单位应当建立预算执行情况分析制度,定期召开预算执行分析会议,通报执行情况分析制度,定期召开预算执行分析会议,通报预算执行情况,研究、解决预算执行中存在的问题,认预算执行情况,研究、解决预算执行中存在的问题,认真分析原因,提出改进措施。真分析原因,提出改进措施。内控应用指引第内控应用指引第1515号号 6预算分析预算分析6.2控制措施:控制措施:b企业应当加强对预算分析流程和方法的控制,确保预算企业应当加强对预算分析流程和方法的控制,确保预算分析结果准确、合理。预算分析流
230、程一般包括确定分析分析结果准确、合理。预算分析流程一般包括确定分析对象、收集资料、确定差异及分析原因、提出措施及反对象、收集资料、确定差异及分析原因、提出措施及反馈报告等环节。馈报告等环节。企业分析预算执行情况,应当充分收集有关财务、业务、企业分析预算执行情况,应当充分收集有关财务、业务、市场、技术、政策、法律等方面的信息资料,根据不同市场、技术、政策、法律等方面的信息资料,根据不同情况分别采用比率分析、比较分析、因素分析等方法,情况分别采用比率分析、比较分析、因素分析等方法,从定量与定性两个层面充分反映预算执行单位的现状、从定量与定性两个层面充分反映预算执行单位的现状、发展趋势及其存在的潜力
231、。发展趋势及其存在的潜力。内控应用指引第内控应用指引第1515号号 6预算分析预算分析6.2控制措施:控制措施:c企业应当采取恰当措施处理预算执行偏差。企业应针对企业应当采取恰当措施处理预算执行偏差。企业应针对造成预算差异的不同原因采取不同的处理措施:造成预算差异的不同原因采取不同的处理措施:c1因内部执行导致的预算差异,应分清责任归属,与预算因内部执行导致的预算差异,应分清责任归属,与预算考评和奖惩挂钩,并将责任单位或责任人的改进措施的考评和奖惩挂钩,并将责任单位或责任人的改进措施的实际执行效果纳入业绩考核;实际执行效果纳入业绩考核;c2因外部环境变化导致的预算差异,应分析该变化是否长因外部
232、环境变化导致的预算差异,应分析该变化是否长期影响企业发展战略的实施,并作为下期预算编制的影期影响企业发展战略的实施,并作为下期预算编制的影响因素。响因素。内控应用指引第内控应用指引第1515号号 7预算调整预算调整7.1主要风险:主要风险:预算调整依据不充分、方案不合理、审批程序不严格,可能预算调整依据不充分、方案不合理、审批程序不严格,可能导导致预算调整随意、频繁,预算失去严肃性和致预算调整随意、频繁,预算失去严肃性和“硬约束硬约束”。7.2控制措施:控制措施:a明确预算调整条件。由于市场环境、国家政策或不可抗力等明确预算调整条件。由于市场环境、国家政策或不可抗力等客客观因素,导致预算执行发
233、生重大差异确需调整预算的,应当履观因素,导致预算执行发生重大差异确需调整预算的,应当履行严格的审批程序。企业应当在有关预算管理制度中明确规定行严格的审批程序。企业应当在有关预算管理制度中明确规定预算调整的条件。预算调整的条件。b强化预算调整原则。强化预算调整原则。b1预算调整应当符合企业发展战略、年度经营目标和现实状况,预算调整应当符合企业发展战略、年度经营目标和现实状况,重点放在预算执行中出现的重要的、非正常的、不符合常规的重点放在预算执行中出现的重要的、非正常的、不符合常规的关键性差异方面;关键性差异方面;b2预算调整方案应当客观、合理、可行,在经济上能够实现最预算调整方案应当客观、合理、
234、可行,在经济上能够实现最优优化;化;b3预算调整应当谨慎,调整频率应予以严格控制,年度调整次数预算调整应当谨慎,调整频率应予以严格控制,年度调整次数应尽量少。应尽量少。内控应用指引第内控应用指引第1515号号 7预算调整预算调整7.2控制措施:控制措施:c规范预算调整程序,严格审批。规范预算调整程序,严格审批。c1调整预算一般由预算执行单位逐级向预算管理委员会提调整预算一般由预算执行单位逐级向预算管理委员会提出书面申请,详细说明预算调整理由、调整建议方案、出书面申请,详细说明预算调整理由、调整建议方案、调整前后预算指标的比较、调整后预算指标可能对企业调整前后预算指标的比较、调整后预算指标可能对
235、企业预算总目标的影响等内容。预算总目标的影响等内容。c2预算管理工作机构应当对预算执行单位提交的预算调整预算管理工作机构应当对预算执行单位提交的预算调整报告进行审核分析,集中编制企业年度预算调整方案,报告进行审核分析,集中编制企业年度预算调整方案,提交预算管理委员会。提交预算管理委员会。c3预算管理委员会应当对年度预算调整方案进行审议,根预算管理委员会应当对年度预算调整方案进行审议,根据预算调整事项性质或预算调整金额的不同,根据授权据预算调整事项性质或预算调整金额的不同,根据授权进行审批,或提交原预算审批机构审议批准,然后下达进行审批,或提交原预算审批机构审议批准,然后下达执行。执行。内控应用
236、指引第内控应用指引第1515号号 7预算调整预算调整7.2控制措施:控制措施:c规范预算调整程序,严格审批。规范预算调整程序,严格审批。c4企业预算管理委员会或董事会审批预算调整方案时,应企业预算管理委员会或董事会审批预算调整方案时,应当依据预算调整条件,并考虑预算调整原则严格把关,当依据预算调整条件,并考虑预算调整原则严格把关,对于不符合预算调整条件的,坚决予以否决;对于预算对于不符合预算调整条件的,坚决予以否决;对于预算调整方案欠妥的,应当协调有关部门和单位研究改进方调整方案欠妥的,应当协调有关部门和单位研究改进方案,并责成预算管案,并责成预算管理工作机构予以修改后再履行审批理工作机构予以
237、修改后再履行审批程序。程序。内控应用指引第内控应用指引第1515号号 8预算考核预算考核8.1主要风险:主要风险:预算考核不严格、不合理、不到位,可能导致预算目标预算考核不严格、不合理、不到位,可能导致预算目标难以实现、预算管理流于形式。难以实现、预算管理流于形式。考核主体和对象的界定是否合理、考核指标是否科学、考核主体和对象的界定是否合理、考核指标是否科学、考核过程是否公开透明、考核结果是否客观公正、奖惩考核过程是否公开透明、考核结果是否客观公正、奖惩措施是否公平合理且能够有效落实。措施是否公平合理且能够有效落实。8.2控制措施:控制措施:a建立健全预算执行考核制度。建立健全预算执行考核制度
238、。a1建立严格的预算执行考核制度,对各预算执行单位和个建立严格的预算执行考核制度,对各预算执行单位和个人进行考核,将预算目标执行情况纳入考核和奖惩范人进行考核,将预算目标执行情况纳入考核和奖惩范围,切实做到有奖有惩、奖惩分明。围,切实做到有奖有惩、奖惩分明。a2制定有关预算执行考核的制度或办法,并认真、严格地制定有关预算执行考核的制度或办法,并认真、严格地组织实施。组织实施。a3定期组织实施预算考核,预算考核的周期一般应当与年定期组织实施预算考核,预算考核的周期一般应当与年度预算细分周期相一致,即一般按照月度、季度实施考度预算细分周期相一致,即一般按照月度、季度实施考评,预算年度结束后再进行年
239、度总考核。评,预算年度结束后再进行年度总考核。内控应用指引第内控应用指引第1515号号 8预算考核预算考核8.2控制措施:控制措施:b合理界定预算考核主体和考核对象。合理界定预算考核主体和考核对象。b1预算考核主体分为两个层次:预算管理委员会和内部各预算考核主体分为两个层次:预算管理委员会和内部各级预算责任单位。级预算责任单位。b2预算考核对象为企业内部各级预算责任单位和相关个人。预算考核对象为企业内部各级预算责任单位和相关个人。b3界定预算考核主体和考核对象应当主要遵循以下原则:界定预算考核主体和考核对象应当主要遵循以下原则:一是上级考核下级原则,即由上级预算责任单位对下级一是上级考核下级原
240、则,即由上级预算责任单位对下级预算责任单位实施考核;预算责任单位实施考核;二是逐级考核原则,即由预算执行单位的直接上级对其二是逐级考核原则,即由预算执行单位的直接上级对其进行考核,间接上级不能隔级考核间接下级;进行考核,间接上级不能隔级考核间接下级;三是预算执行与预算考核相互分离原则,即预算执行单三是预算执行与预算考核相互分离原则,即预算执行单位的预算考核应由其直接上级部门来进行,而绝不能自位的预算考核应由其直接上级部门来进行,而绝不能自己考核自己。己考核自己。内控应用指引第内控应用指引第1515号号 8预算考核预算考核8.2控制措施:控制措施:c科学设计预算考核指标体系。应主要把握以下原则:
241、科学设计预算考核指标体系。应主要把握以下原则:c1预算考核指标要以各责任中心承担的预算指标为主,同预算考核指标要以各责任中心承担的预算指标为主,同时本着相关性原则,增加一些全局性的预算指标和与其时本着相关性原则,增加一些全局性的预算指标和与其关系密切的相关责任中心的预算指标;关系密切的相关责任中心的预算指标;c2考核指标应以定量指标为主,同时根据实际情况辅之以考核指标应以定量指标为主,同时根据实际情况辅之以适当的定性指标;适当的定性指标;c3考核指标应当具有可控性、可达到性和明晰性。考核指标应当具有可控性、可达到性和明晰性。d按照公开、公平、公正原则实施预算考核。按照公开、公平、公正原则实施预
242、算考核。d1考核程序、标准、结果要公开。考核程序、标准、结果要公开。企业应当将全面预算考核程序、考核标准、奖惩办企业应当将全面预算考核程序、考核标准、奖惩办法、考核结果等及时公开。法、考核结果等及时公开。内控应用指引第内控应用指引第1515号号 8预算考核预算考核8.2控制措施:控制措施:d按照公开、公平、公正原则实施预算考核。按照公开、公平、公正原则实施预算考核。d2考核结果要客观公正。考核结果要客观公正。预算考核应当以客观事实作为依据。预算执行单位上报预算考核应当以客观事实作为依据。预算执行单位上报的预算执行报告是预算考核的基本依据,应当经本单位的预算执行报告是预算考核的基本依据,应当经本
243、单位负责人签章确认。负责人签章确认。企业预算管理委员会及其工作机构定期组织预算执行情企业预算管理委员会及其工作机构定期组织预算执行情况考核时,应当将各预算执行单位负责人签字上报的预况考核时,应当将各预算执行单位负责人签字上报的预算执行报告和已掌握的动态监控信息进行核对,确认各算执行报告和已掌握的动态监控信息进行核对,确认各执行单位预算完成情况。必要时,实行预算执行情况内执行单位预算完成情况。必要时,实行预算执行情况内部审计制度。部审计制度。内控应用指引第内控应用指引第1515号号 8预算考核预算考核8.2控制措施:控制措施:d按照公开、公平、公正原则实施预算考核。按照公开、公平、公正原则实施预
244、算考核。d3奖惩措施要公平合理并得以及时落实。奖惩措施要公平合理并得以及时落实。预算考核的结果应当与各执行单位以及员工的薪酬、职预算考核的结果应当与各执行单位以及员工的薪酬、职位等进行挂钩,实施预算奖惩。位等进行挂钩,实施预算奖惩。企业设计预算奖惩方案时,应当以实现全面预算目标为企业设计预算奖惩方案时,应当以实现全面预算目标为首要原则,同时还应遵循公平合理、奖罚并存的原则。首要原则,同时还应遵循公平合理、奖罚并存的原则。奖惩方案要注意各部门利益分配的合理性,要根据各部奖惩方案要注意各部门利益分配的合理性,要根据各部门承担的工作难易程度和技术含量合理确定奖励差距。门承担的工作难易程度和技术含量合
245、理确定奖励差距。要奖罚并举,不能只奖不罚,并防止奖惩实施中的人情要奖罚并举,不能只奖不罚,并防止奖惩实施中的人情因素。因素。内控应用指引第内控应用指引第1515号号 开始开始登录登录系统初始化系统初始化设置编码规则设置编码规则设置组织体系设置组织体系设置预算报表体系设置预算报表体系设置预算项目设置预算项目设置预算报表表内项目设置预算报表表内项目设置各级组织报表体系设置各级组织报表体系设置用户设置用户完成初始化完成初始化结束结束系统管理员系统管理员安装、配置全面预算管理信息系统安装、配置全面预算管理信息系统全全面面预预算算管管理理系系统统初初始始化化成本费用执行与分析子系统成本费用执行与分析子系
246、统成成本本费费用用项项目目控控制制参参数数设设置置设设置置成成本本费费用用控控制制项项目目控控制制项项目目执执行行申申请请控控制制项项目目执执行行审审批批控控制制项项目目执执行行支支付付控控制制项项目目月月预预警警查查询询填填报报、上上报报、汇汇总总实实际际数数据据成本费用执行与分析成本费用执行与分析报报表表查查询询打打印印成成本本费费用用分分析析合同管理合同管理-前车之鉴前车之鉴内控应用指引第内控应用指引第1616号号 用工没合同用工没合同 企业赔了钱企业赔了钱合同管理合同管理-前车之鉴前车之鉴内控应用指引第内控应用指引第1616号号 酒桌上酒桌上的合同的合同合同管理合同管理-业务目标业务目
247、标1.1加强合同管理,规范当事人双方经营行为,维护企业合加强合同管理,规范当事人双方经营行为,维护企业合法权益、防控法律风险,促进企业实现内部控制目标。法权益、防控法律风险,促进企业实现内部控制目标。内控应用指引第内控应用指引第1616号号 康日新被双开康日新被双开合同管理合同管理-业务范围业务范围1.1本指引所称合同,是指企业与自然人、法人本指引所称合同,是指企业与自然人、法人及其他组织等平等主体之间设立、变更、终及其他组织等平等主体之间设立、变更、终 止民事止民事权利义务关系的协议。权利义务关系的协议。1.2企业与职工签订的劳动合同,不适用本指引。企业与职工签订的劳动合同,不适用本指引。内
248、控应用指引第内控应用指引第1616号号 合同管理合同管理-业务风险业务风险1.1未订立合同、未经授权对外订立合同、合同未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大对方主体资格未达要求、合同内容存在重大 疏漏和疏漏和欺诈,可能导致企业合法权益受到侵欺诈,可能导致企业合法权益受到侵害。害。1.2合同未全面履行或监控不当,可能导致企业合同未全面履行或监控不当,可能导致企业诉讼失败、经济利益受损。诉讼失败、经济利益受损。1.3合同纠纷处理不当,可能损害企业利益、信合同纠纷处理不当,可能损害企业利益、信誉和形象。誉和形象。内控应用指引第内控应用指引第1616号号 合同管理
249、合同管理总体要求总体要求1.1建立分级授权管理制度建立分级授权管理制度建立合同分级管理制度。属于上级管理权限的合同,下建立合同分级管理制度。属于上级管理权限的合同,下级单位不得签署。对于重大投资类、融资类、担保类、级单位不得签署。对于重大投资类、融资类、担保类、知识产权类、不动产类合同上级部门应加强管理。上级知识产权类、不动产类合同上级部门应加强管理。上级单位应当加强对下级单位合同订立、履行情况的监督检单位应当加强对下级单位合同订立、履行情况的监督检查。查。1.2实行统一归口管理实行统一归口管理企业可以根据实际情况指定法律部门等作为合同归口管企业可以根据实际情况指定法律部门等作为合同归口管理部
250、门,对合同实施统一规范管理,具体负责制定合同理部门,对合同实施统一规范管理,具体负责制定合同管理制度,审核合同条款的权利义务对等性,管理合同管理制度,审核合同条款的权利义务对等性,管理合同标准文本,管理合同专用章,定期检查和评价合同管理标准文本,管理合同专用章,定期检查和评价合同管理中的薄弱环节,采取相应控制措施,促进合同的有效履中的薄弱环节,采取相应控制措施,促进合同的有效履行等。行等。内控应用指引第内控应用指引第1616号号 合同管理合同管理总体要求总体要求1.3明确职责分工明确职责分工公司各业务部门作为合同的承办部门负责在职责范围内公司各业务部门作为合同的承办部门负责在职责范围内承办相关
251、合同,并履行合同调查、谈判、订立、履行和承办相关合同,并履行合同调查、谈判、订立、履行和终结责任。公司财会部门侧重于履行对合同的财务监督终结责任。公司财会部门侧重于履行对合同的财务监督职责。职责。1.4健全考核与责任追究制度健全考核与责任追究制度企业应当健全合同管理考核与责任追究制度,开展合同企业应当健全合同管理考核与责任追究制度,开展合同后评估,对合同订立、履行过程中出现的违法违规行后评估,对合同订立、履行过程中出现的违法违规行为,应当追究有关机构或人员的责任。为,应当追究有关机构或人员的责任。内控应用指引第内控应用指引第1616号号 合同管理合同管理-控制流程控制流程内控应用指引第内控应用
252、指引第1616号号 通过通过合同调查合同调查合同谈判合同谈判合同签署合同签署合同解除合同解除合同登记合同登记合同文本拟定合同文本拟定合同补充合同补充和变更和变更合同结算合同结算合同审核合同审核合同履行合同履行不不通通过过合合同同订订立立阶阶段段合合同同履履行行阶阶段段合同后评估阶段合同后评估阶段合同管理合同管理控制措施控制措施内控应用指引第内控应用指引第1616号号 1合同调查合同调查合同订立前,企业应当进行合同调查,充分了解合同对合同订立前,企业应当进行合同调查,充分了解合同对方的主体资格、信用状况等有关情况,确保对方当事人方的主体资格、信用状况等有关情况,确保对方当事人具备履约能力。具备履
253、约能力。1.1主要风险:主要风险:a忽视被调查对象的主体资格审查,准合同对象不具有相忽视被调查对象的主体资格审查,准合同对象不具有相应民事权利能力和民事行为能力或不具备特定资质,与应民事权利能力和民事行为能力或不具备特定资质,与不具备代理权或越权代理的主体签订合同,导致合同无不具备代理权或越权代理的主体签订合同,导致合同无效,或引发潜在风险;效,或引发潜在风险;b在合同签订前错误判断被调查对象的信用状况,或在合在合同签订前错误判断被调查对象的信用状况,或在合同履行过程中没有持续关注对方的资信变化,致使企业同履行过程中没有持续关注对方的资信变化,致使企业蒙受损失;蒙受损失;c对被调查对象的履约能
254、力给出不当评价,将不具备履约对被调查对象的履约能力给出不当评价,将不具备履约能力的对象确定为准合同对象,或将具有履约能力的对能力的对象确定为准合同对象,或将具有履约能力的对象排除在准合同对象之外。象排除在准合同对象之外。内控应用指引第内控应用指引第1616号号 1合同调查合同调查1.2管控措施:管控措施:a审查被调查对象的身份证件、法人登记证书、资质证明、审查被调查对象的身份证件、法人登记证书、资质证明、授权委托书等证明原件,必要时,可通过发证机关查询证授权委托书等证明原件,必要时,可通过发证机关查询证书的真书的真实性和合法性,关注授权代理人的行为是否在其被实性和合法性,关注授权代理人的行为是
255、否在其被授权范授权范围内,在充分收集相关证据的基础上评价主体资格围内,在充分收集相关证据的基础上评价主体资格是否恰是否恰当。当。b获取调查对象经审计的财务报告、以往交易记录等财务和获取调查对象经审计的财务报告、以往交易记录等财务和非财务信息,分析其获利能力、偿债能力和营运能力,评非财务信息,分析其获利能力、偿债能力和营运能力,评估其财估其财务风险和信用状况,并在合同履行过程中持续关注务风险和信用状况,并在合同履行过程中持续关注其资信其资信变化,建立和及时更新合同对方的商业信用档案。变化,建立和及时更新合同对方的商业信用档案。c对被调查对象进行现场调查,实地了解和全面评估其生产对被调查对象进行现
256、场调查,实地了解和全面评估其生产能力、技术水平、产品类别和质量等生产经营情况,分析能力、技术水平、产品类别和质量等生产经营情况,分析其合同其合同履约能力。履约能力。d与被调查对象的主要供应商、客户、开户银行、主管税务与被调查对象的主要供应商、客户、开户银行、主管税务机关和机关和工商管理部门等沟通,了解其生产经营、商业信誉、工商管理部门等沟通,了解其生产经营、商业信誉、履约能力等情况。履约能力等情况。内控应用指引第内控应用指引第1616号号 2合同谈判合同谈判初步确定准合同对象后,企业内部的合同承办部门将在初步确定准合同对象后,企业内部的合同承办部门将在授权范围内与对方进行合同谈判,按照自愿、公
257、平原授权范围内与对方进行合同谈判,按照自愿、公平原则,则,磋商合同内容和条款,明确双方的权利义务和违约磋商合同内容和条款,明确双方的权利义务和违约责任。责任。2.1主要风险:主要风险:a忽略合同重大问题或在重大问题上做出不当让步;忽略合同重大问题或在重大问题上做出不当让步;b谈判经验不足,缺乏技术、法律和财务知识的支撑,导谈判经验不足,缺乏技术、法律和财务知识的支撑,导致企业利益损失;致企业利益损失;c泄露本企业谈判策略,导致企业在谈判中处于不利地位。泄露本企业谈判策略,导致企业在谈判中处于不利地位。2.2管控措施:管控措施:a收集谈判对手资料,充分熟悉谈判对手情况,做到知己收集谈判对手资料,
258、充分熟悉谈判对手情况,做到知己知彼;研究国家相关法律法规、行业监管、产业政策、知彼;研究国家相关法律法规、行业监管、产业政策、同类产品或服务价格等与谈判内容相关的信息,正确制同类产品或服务价格等与谈判内容相关的信息,正确制定本企业谈判策略。定本企业谈判策略。内控应用指引第内控应用指引第1616号号 2合同谈判合同谈判2.2主要管控措施:主要管控措施:b关注合同核心内容、条款和关键细节,具体包括合同标关注合同核心内容、条款和关键细节,具体包括合同标的的数量、质量或技术标准,合同价格的确定方式与支的的数量、质量或技术标准,合同价格的确定方式与支付方式,履约期限和方式,违约责任和争议的解决方法、付方
259、式,履约期限和方式,违约责任和争议的解决方法、合同变更或解除条件等。合同变更或解除条件等。c对于影响重大、涉及较高专业技术或法律关系复杂的合对于影响重大、涉及较高专业技术或法律关系复杂的合同,组织法律、技术、财会等专业人员参与谈判,充分同,组织法律、技术、财会等专业人员参与谈判,充分发挥团队智慧,及时总结谈判过程中的得失,研究确定发挥团队智慧,及时总结谈判过程中的得失,研究确定下一步谈判策略。下一步谈判策略。d必要时可聘请外部专家参与相关工作,并充分了解外部必要时可聘请外部专家参与相关工作,并充分了解外部专家的专业资质、胜任能力和职业道德情况。专家的专业资质、胜任能力和职业道德情况。e加强保密
260、工作,严格责任追究制度。加强保密工作,严格责任追究制度。f对谈判过程中的重要事项和参与谈判人员的主要意见,对谈判过程中的重要事项和参与谈判人员的主要意见,予以记录并妥善保存,作为避免合同舞弊的重要手段和予以记录并妥善保存,作为避免合同舞弊的重要手段和责任追究的依据。责任追究的依据。内控应用指引第内控应用指引第1616号号 3合同文本拟定合同文本拟定企业在合同谈判后,根据协商谈判结果,拟定合同文本。企业在合同谈判后,根据协商谈判结果,拟定合同文本。3.1主要风险:主要风险:a选择不恰当的合同形式;选择不恰当的合同形式;b合同与国家法律法规、行业产业政策、企业总体战略目合同与国家法律法规、行业产业
261、政策、企业总体战略目标或特定业务经营目标发生冲突;标或特定业务经营目标发生冲突;c合同内容和条款不完整、表述不严谨准确,或存在重大合同内容和条款不完整、表述不严谨准确,或存在重大疏漏和欺诈,导致企业合法利益受损;疏漏和欺诈,导致企业合法利益受损;d有意拆分合同规避合同管理规定等;有意拆分合同规避合同管理规定等;e对于合同文本须报经国家有关主管部门审查或备案的,对于合同文本须报经国家有关主管部门审查或备案的,未履行相应程序。未履行相应程序。3.2管控措施:管控措施:a企业对外经济行为除即时结清外,应订立书面合同。企业对外经济行为除即时结清外,应订立书面合同。b严格审核合同需求与国家法律法规、产业
262、政策、企业整严格审核合同需求与国家法律法规、产业政策、企业整体战略目标的关系,保证其协调一致;考察合同是否以体战略目标的关系,保证其协调一致;考察合同是否以生产经营计划、项目立项书等为依据,确保完成具体业生产经营计划、项目立项书等为依据,确保完成具体业务经营目标。务经营目标。内控应用指引第内控应用指引第1616号号 3合同文本拟定合同文本拟定3.2管控措施:管控措施:c合同文本一般由业务承办部门起草,法律部门审核;重大合同文本一般由业务承办部门起草,法律部门审核;重大合同或法律关系复杂的特殊合同应当由法律部门参与起草。合同或法律关系复杂的特殊合同应当由法律部门参与起草。国家或行业有合同示范文本
263、的,可以优先选用,对涉及权国家或行业有合同示范文本的,可以优先选用,对涉及权利义务利义务关系的条款应当进行认真审查和作必要的修改。各关系的条款应当进行认真审查和作必要的修改。各部门应部门应当各司其职,保证合同内容和条款的完整、准确。当各司其职,保证合同内容和条款的完整、准确。d通过统一归口管理和授权审批制度,严格合同管理,防止通过统一归口管理和授权审批制度,严格合同管理,防止通过化整为零等方式故意规避招标的做法和越权行为。通过化整为零等方式故意规避招标的做法和越权行为。e由签约对方起草的合同,企业应当认真审查,确保合同内由签约对方起草的合同,企业应当认真审查,确保合同内容准确反映企业诉求和谈判
264、达成的一致意见,特别留意容准确反映企业诉求和谈判达成的一致意见,特别留意“其其他约定他约定事项事项”等需要补充填写的栏目,如不存在其他约定事等需要补充填写的栏目,如不存在其他约定事项时注明项时注明“此处空白此处空白”或或“无其他约定无其他约定”,防止合同被篡改。,防止合同被篡改。f合同文本须报经国家有关主管部门审查或备案的,应当履合同文本须报经国家有关主管部门审查或备案的,应当履行相应程序。行相应程序。内控应用指引第内控应用指引第1616号号 4合同审核合同审核合同文本拟定完成后,企业应进行严格的审核。合同文本拟定完成后,企业应进行严格的审核。4.1主要风险:主要风险:a合同审核人员因专业素质
265、或工作态度原因未能发现合同合同审核人员因专业素质或工作态度原因未能发现合同文本中的不当内容和条款;文本中的不当内容和条款;b审核人员虽然通过审核发现问题但未提出恰当的修订意审核人员虽然通过审核发现问题但未提出恰当的修订意见;见;c合同起草人员没有根据审核人员的改进意见修改合同,合同起草人员没有根据审核人员的改进意见修改合同,导致合同中的不当内容和条款未被纠正。导致合同中的不当内容和条款未被纠正。4.2管控措施:管控措施:a审核人员应当对合同文本的合法性、经济性、可行性和审核人员应当对合同文本的合法性、经济性、可行性和严密性进行重点审核,关注合同的主体、内容和形式是严密性进行重点审核,关注合同的
266、主体、内容和形式是否合法,合同内容是否符合企业的经济利益,对方当事否合法,合同内容是否符合企业的经济利益,对方当事人是否具有履约能力,合同权利和义务、违约责任和争人是否具有履约能力,合同权利和义务、违约责任和争议解决条款是否明确等。议解决条款是否明确等。内控应用指引第内控应用指引第1616号号 4合同审核合同审核4.2管控措施:管控措施:b建立会审制度,对影响重大或法律关系复杂的合同文建立会审制度,对影响重大或法律关系复杂的合同文本,组织财会部门、内部审计部、法律部、业务关联的本,组织财会部门、内部审计部、法律部、业务关联的相关部门进行审核,内部相关部门应当认真履行职责。相关部门进行审核,内部
267、相关部门应当认真履行职责。c慎重对待审核意见,认真分析研究,慎重对待,对审核慎重对待审核意见,认真分析研究,慎重对待,对审核意见准确无误地加以记录,必要时对合同条款作出修改意见准确无误地加以记录,必要时对合同条款作出修改并再次提交审核。并再次提交审核。内控应用指引第内控应用指引第1616号号 5合同签署合同签署企业经审核同意签订的合同,应当与对方当事人正式签企业经审核同意签订的合同,应当与对方当事人正式签署并加盖企业合同专用章。署并加盖企业合同专用章。5.1主要风险:主要风险:超越权限签订合同,合同印章管理不当,签署后的合同超越权限签订合同,合同印章管理不当,签署后的合同被篡改,因手续不全导致
268、合同无效等。被篡改,因手续不全导致合同无效等。5.2管控措施:管控措施:a按照规定的权限和程序与对方当事人签署合同。对外正按照规定的权限和程序与对方当事人签署合同。对外正式对外订立的合同应当由企业法定代表人或由其授权的式对外订立的合同应当由企业法定代表人或由其授权的代理人签名或加盖有关印章。授权签署合同的,应当签代理人签名或加盖有关印章。授权签署合同的,应当签署授权委托书。署授权委托书。内控应用指引第内控应用指引第1616号号 5合同签署合同签署5.2管控措施:管控措施:b严格合同专用章保管制度,合同经编号、审批及企业法严格合同专用章保管制度,合同经编号、审批及企业法定代表人或由其授权的代理人
269、签署后,方可加盖合同专定代表人或由其授权的代理人签署后,方可加盖合同专用章。用印后保管人应当立即收回,并按要求妥善保用章。用印后保管人应当立即收回,并按要求妥善保管,以防止他人滥用。保管人应当记录合同专用章使用管,以防止他人滥用。保管人应当记录合同专用章使用情况以备查,如果发生合同专用章遗失或被盗现象,应情况以备查,如果发生合同专用章遗失或被盗现象,应当立即报告公司负责人并采取妥善措施,如向公安机关当立即报告公司负责人并采取妥善措施,如向公安机关报案、登报声明作废等,以最大限度消除可能带来的负报案、登报声明作废等,以最大限度消除可能带来的负面影响。面影响。c采取恰当措施,防止已签署的合同被篡改
270、,如在合同各采取恰当措施,防止已签署的合同被篡改,如在合同各页码之间加盖骑缝章、使用防伪印记、使用不可编辑的页码之间加盖骑缝章、使用防伪印记、使用不可编辑的电子文档格式等。第四,按照国家有关法律、行政法规电子文档格式等。第四,按照国家有关法律、行政法规规定,需办理批准、登记等手续之后方可生效的合同,规定,需办理批准、登记等手续之后方可生效的合同,企业应当及时按规定办理相关手续。企业应当及时按规定办理相关手续。内控应用指引第内控应用指引第1616号号 6合同履行合同履行合同订立后,企业应当与合同对方当事人一起遵循诚实合同订立后,企业应当与合同对方当事人一起遵循诚实信用原则,根据合同的性质、目的和
271、交易习惯,履行通信用原则,根据合同的性质、目的和交易习惯,履行通知、协助、保密等义务。知、协助、保密等义务。6.1主要风险:主要风险:a本企业或合同对方当事人没有恰当地履行合同中约定的本企业或合同对方当事人没有恰当地履行合同中约定的义务;义务;b合同生效后,对合同条款未明确约定的事项没有及时协合同生效后,对合同条款未明确约定的事项没有及时协议补充,导致合同无法正常履行;议补充,导致合同无法正常履行;c在合同履行过程中,未能及时发现已经或可能导致企业在合同履行过程中,未能及时发现已经或可能导致企业利益受损情况,或未能采取有效措施;利益受损情况,或未能采取有效措施;d合同纠纷处理不当,导致企业遭受
272、外部处罚、诉讼失合同纠纷处理不当,导致企业遭受外部处罚、诉讼失败,损害企业利益、信誉和形象等。败,损害企业利益、信誉和形象等。内控应用指引第内控应用指引第1616号号 6合同履行合同履行6.2管控措施:管控措施:a强化对合同履行情况及效果的检查、分析和验收,全面强化对合同履行情况及效果的检查、分析和验收,全面适当执行本企业义务,敦促对方积极执行合同,确保合适当执行本企业义务,敦促对方积极执行合同,确保合同全面有效履行。同全面有效履行。b对合同对方的合同履行情况实施有效监控,一旦发现有对合同对方的合同履行情况实施有效监控,一旦发现有违约可能或违约行为,应当及时提示风险,并立即采取违约可能或违约行
273、为,应当及时提示风险,并立即采取相应措施将合同损失降到最低。相应措施将合同损失降到最低。c根据需要及时补充、变更甚至解除合同。根据需要及时补充、变更甚至解除合同。c1对于合同没有约定或约定不明确的内容,通过双方协商对于合同没有约定或约定不明确的内容,通过双方协商一致对原有合同进行补充;无法达成补充协议的,按照一致对原有合同进行补充;无法达成补充协议的,按照国家相关法律法规、合同有关条款或者交易习惯确定;国家相关法律法规、合同有关条款或者交易习惯确定;c2对于显失公平、条款有误或存在欺诈行为的合同,以及对于显失公平、条款有误或存在欺诈行为的合同,以及因政策调整、市场变化等客观因素已经或可能导致企
274、业因政策调整、市场变化等客观因素已经或可能导致企业利益受损的合同,按规定程序及时报告,并经双方协商利益受损的合同,按规定程序及时报告,并经双方协商一致,按照规定权限和程序办理合同变更或解除事宜;一致,按照规定权限和程序办理合同变更或解除事宜;内控应用指引第内控应用指引第1616号号 6合同履行合同履行6.2管控措施:管控措施:c3三是对方当事人提出中止、转让、解除合同的,造成企三是对方当事人提出中止、转让、解除合同的,造成企业经济损失的,应向对方当事人书面提出索赔。业经济损失的,应向对方当事人书面提出索赔。d加强合同纠纷管理,在履行合同过程中发生纠纷的,应加强合同纠纷管理,在履行合同过程中发生
275、纠纷的,应当依据国家相关法律法规,在规定时效内与对方当事人当依据国家相关法律法规,在规定时效内与对方当事人协商并按规定权限和程序及时报告。合同纠纷经协商一协商并按规定权限和程序及时报告。合同纠纷经协商一致的,双方应当签订书面协议;合同纠纷经协商无法解致的,双方应当签订书面协议;合同纠纷经协商无法解决的,根据合同约定选择仲裁或诉讼方式解决。企业内决的,根据合同约定选择仲裁或诉讼方式解决。企业内部授权处理合同纠纷,应当签署授权委托书。纠纷处理部授权处理合同纠纷,应当签署授权委托书。纠纷处理过程中,未经授权批准,相关经办人员不得向对方当事过程中,未经授权批准,相关经办人员不得向对方当事人作出实质性答
276、复或承诺。人作出实质性答复或承诺。内控应用指引第内控应用指引第1616号号 7合同结算合同结算合同结算是合同执行的重要环节,既是对合同签订的审合同结算是合同执行的重要环节,既是对合同签订的审查,也是对合同执行的监督,一般由财会部门负责办理。查,也是对合同执行的监督,一般由财会部门负责办理。7.1主要风险:主要风险:a违反合同条款,未按合同规定期限、金额或方式付款;违反合同条款,未按合同规定期限、金额或方式付款;b疏于管理,未能及时催收到期合同款项;疏于管理,未能及时催收到期合同款项;c在没有合同依据的情况下盲目付款等。在没有合同依据的情况下盲目付款等。管控措施:管控措施:a财会部门应当在审核合
277、同条款后办理结算业务,按照合财会部门应当在审核合同条款后办理结算业务,按照合同规定付款,及时催收到期欠款。同规定付款,及时催收到期欠款。b未按合同条款履约或应签订书面合同而未签订的,财会未按合同条款履约或应签订书面合同而未签订的,财会部门有权拒绝付款,并及时向企业有关负责人报告。部门有权拒绝付款,并及时向企业有关负责人报告。内控应用指引第内控应用指引第1616号号 8合同登记合同登记合同登记管理制度体现合同的全过程封闭管理,合同的签署、合同登记管理制度体现合同的全过程封闭管理,合同的签署、履行、结算、补充或变更、解除等都需要进行合同登记。履行、结算、补充或变更、解除等都需要进行合同登记。8.1
278、主要风险:主要风险:合同档案不全,合同泄密,合同滥用等。合同档案不全,合同泄密,合同滥用等。8.2管控措施:管控措施:a合同管理部门应当加强合同登记管理,充分利用信息化手合同管理部门应当加强合同登记管理,充分利用信息化手段,定期对合同进行统计、分类和归档,详细登记合同的订段,定期对合同进行统计、分类和归档,详细登记合同的订立、履行立、履行和变更、终结等情况,合同终结应及时办理销号和和变更、终结等情况,合同终结应及时办理销号和归档手续,以实归档手续,以实行合同的全过程封闭管理。行合同的全过程封闭管理。b建立合同文本统一分类和连续编号制度,以防止或及早发现建立合同文本统一分类和连续编号制度,以防止
279、或及早发现合同文本的遗失。合同文本的遗失。c加强合同信息安全保密工作,未经批准,任何人不得以任何加强合同信息安全保密工作,未经批准,任何人不得以任何形式泄露合同订立与履行过程中涉及的国家或商业秘密。形式泄露合同订立与履行过程中涉及的国家或商业秘密。d规范合同管理人员职责,明确合同流转、借阅和归还的职责规范合同管理人员职责,明确合同流转、借阅和归还的职责权限和审批程序等有关要求。权限和审批程序等有关要求。内控应用指引第内控应用指引第1616号号 9合同管理的后评估合同管理的后评估9.1合同作为企业承担独立民事责任、履行权利义务的重要合同作为企业承担独立民事责任、履行权利义务的重要依据,是企业管理
280、活动的重要痕迹,也是企业风险管理依据,是企业管理活动的重要痕迹,也是企业风险管理的主要载体,为此,合同管理内部控制指引强调企业应的主要载体,为此,合同管理内部控制指引强调企业应当建立合同管理的后评估制度。当建立合同管理的后评估制度。9.2企业应当建立合同履行情况评估制度,至少于每年年末企业应当建立合同履行情况评估制度,至少于每年年末对合同履行的总体情况和重大合同履行的具体情况进行对合同履行的总体情况和重大合同履行的具体情况进行分析评估,对分析评估中发现合同履行中存在的不足,分析评估,对分析评估中发现合同履行中存在的不足,应当及时加以改进。应当及时加以改进。内控应用指引第内控应用指引第1616号
281、号 企业内部控制应用指引第企业内部控制应用指引第17号:内部信息传递号:内部信息传递 一个故事一个故事 业务目标业务目标 业务范围业务范围 业务风险业务风险 总体要求总体要求 控制流程控制流程 控制措施控制措施内部信息传递内部信息传递-一个一个故事故事 一个男人在他妻子洗完澡后准备进浴室洗澡。这时,门铃响了。一个男人在他妻子洗完澡后准备进浴室洗澡。这时,门铃响了。 妻子迅速用浴巾裹住自己冲到门口。妻子迅速用浴巾裹住自己冲到门口。 当她打开门时,邻居鲍勃站在那儿。当她打开门时,邻居鲍勃站在那儿。 在她开口前,鲍勃说,在她开口前,鲍勃说,“你如果把浴巾拿掉,我给你你如果把浴巾拿掉,我给你80080
282、0美元。美元。” ” 想了一会儿,这个女人拿掉浴巾赤裸地站在鲍勃面前。想了一会儿,这个女人拿掉浴巾赤裸地站在鲍勃面前。 几秒钟后,鲍勃递给她几秒钟后,鲍勃递给她800800美元然后离开了。美元然后离开了。 女人重新裹好浴巾回到屋里。女人重新裹好浴巾回到屋里。 当她踏进浴室时,丈夫问她,当她踏进浴室时,丈夫问她,“是谁呀?是谁呀?” “ “是邻居鲍勃。是邻居鲍勃。”她回答。她回答。 “哦,哦,”丈夫说,丈夫说,“他有没有提到还欠我他有没有提到还欠我800800美元?美元?”故事寓意:故事寓意: 及时与同舟共济的股东及时与同舟共济的股东分享重要信息分享重要信息, 将会避免不必要的曝光。将会避免不必
283、要的曝光。内控应用指引第内控应用指引第1717号号 内部信息传递内部信息传递-业务目标业务目标1.1为了促进企业生产经营管理信息在内部各为了促进企业生产经营管理信息在内部各管理层级之间的有效沟通和充分利用。管理层级之间的有效沟通和充分利用。内控应用指引第内控应用指引第1717号号 内部信息传递内部信息传递-业务范围业务范围1.1本指引所称内部信息传递,是指企业内部本指引所称内部信息传递,是指企业内部各管理层级之间通过内部报告形式传递生各管理层级之间通过内部报告形式传递生产经营管理信息的过程。产经营管理信息的过程。内控应用指引第内控应用指引第1717号号 内部信息传递内部信息传递-业务风险业务风
284、险1.1内部报告系统缺失、功能不健全、内容不内部报告系统缺失、功能不健全、内容不完整,可能影响生产经营有序运行。完整,可能影响生产经营有序运行。1.2内部信息传递不通畅、不及时,可能导致内部信息传递不通畅、不及时,可能导致决策失误、相关政策措施难以落实。决策失误、相关政策措施难以落实。1.3内部信息传递中内部信息传递中泄露商业秘密泄露商业秘密,可能削弱,可能削弱企业核心竞争力。企业核心竞争力。内控应用指引第内控应用指引第1717号号 中山市市长李启红涉嫌内幕交易被双规中山市市长李启红涉嫌内幕交易被双规业务外包业务外包-基本要求基本要求1.1真实准确性。真实准确性。虚假或不准确的信息将严重误导信
285、息使用者,甚至导致虚假或不准确的信息将严重误导信息使用者,甚至导致决策失误,造成巨大的经济损失。内部报告的信息应当决策失误,造成巨大的经济损失。内部报告的信息应当与所要表达的现象和状况保持一致,若不能真实反映所与所要表达的现象和状况保持一致,若不能真实反映所计量的经济事项,就不具有可靠性。计量的经济事项,就不具有可靠性。1.2及时有效性。及时有效性。如果信息未能及时提供,或者及时提供的信息不具有相如果信息未能及时提供,或者及时提供的信息不具有相关性,或者提供的相关信息未被有效利用,都可能导致关性,或者提供的相关信息未被有效利用,都可能导致企业决策延误,经营风险增加,甚至可能使企业较高层企业决策
286、延误,经营风险增加,甚至可能使企业较高层次的管理陷入困境,不利于对实际情况进行及时有效的次的管理陷入困境,不利于对实际情况进行及时有效的控制和矫正,同时也将大大降低内部报告的决策相关性。控制和矫正,同时也将大大降低内部报告的决策相关性。只有那些切合具体任务和实际工作,并且能够符合信息只有那些切合具体任务和实际工作,并且能够符合信息使用单位需求的信息才是具有使用价值的。使用单位需求的信息才是具有使用价值的。内控应用指引第内控应用指引第1717号号 业务外包业务外包-基本要求基本要求1.3遵守保密原则。遵守保密原则。企业内部的运营情况、技术水平、财务状况以及有关重企业内部的运营情况、技术水平、财务
287、状况以及有关重大事项等通常涉及到商业秘密,内幕信息知情者(包括大事项等通常涉及到商业秘密,内幕信息知情者(包括董事会成员、监事、高级管理人员及其他涉及信息披露董事会成员、监事、高级管理人员及其他涉及信息披露有关部门的涉密人员)都负有保密义务。这些内部信息有关部门的涉密人员)都负有保密义务。这些内部信息一旦泄露,极有可能导致企业的商业秘密被竞争对手获一旦泄露,极有可能导致企业的商业秘密被竞争对手获知,使企业处于被动境地,甚至造成重大损失。知,使企业处于被动境地,甚至造成重大损失。内控应用指引第内控应用指引第1717号号 内部信息传递内部信息传递-控制流程控制流程内控应用指引第内控应用指引第171
288、7号号 建立内部报告指标建立内部报告指标通过通过收集整理内外部信息收集整理内外部信息定期全面评估定期全面评估形成内部报告形成内部报告保存内部报告保存内部报告有效利用内部报告有效利用内部报告审核内部审核内部报告报告内部报告在规定内部报告在规定的范围内流转的范围内流转未未通通过过内部报告内部报告形成阶段形成阶段内部报告内部报告使用阶段使用阶段内部信息传递内部信息传递控制措施控制措施内控应用指引第内控应用指引第1717号号 1建立内部报告指标体系建立内部报告指标体系内部报告指标体系是否科学直接关系到内部报告反映的内部报告指标体系是否科学直接关系到内部报告反映的信息是否完整和有用,这就要求企业应当根据
289、自身的发信息是否完整和有用,这就要求企业应当根据自身的发展战略、风险控制和业绩考核特点,系统、科学地规范展战略、风险控制和业绩考核特点,系统、科学地规范不同级次内部报告的指标体系,合理设置关键信息指标不同级次内部报告的指标体系,合理设置关键信息指标和辅助信息指标,并与全面预算管理等相结合,同时应和辅助信息指标,并与全面预算管理等相结合,同时应随着环境和业务的变化不断进行修订和完善。在设计内随着环境和业务的变化不断进行修订和完善。在设计内部报告指标体系时,企业应当根据内部各部报告指标体系时,企业应当根据内部各“信息用户信息用户”的的需求选择信息指标,以满足其经营决策、业绩考核、企需求选择信息指标
290、,以满足其经营决策、业绩考核、企业价值与风险评估的需要。业价值与风险评估的需要。1.1主要风险:主要风险:指标体系的设计未能结合企业的发展战略,指标体系级指标体系的设计未能结合企业的发展战略,指标体系级次混乱,与全面预算管理要求相脱节,并且一旦设定后次混乱,与全面预算管理要求相脱节,并且一旦设定后未能根据环境和业务变化作出调整。未能根据环境和业务变化作出调整。内控应用指引第内控应用指引第1717号号 1建立内部报告指标体系建立内部报告指标体系1.2管控措施:管控措施:a企业应认真研究企业的发展战略、风险控制要求和业绩企业应认真研究企业的发展战略、风险控制要求和业绩考核标准,根据各管理层级对信息
291、的需求和详略程度,考核标准,根据各管理层级对信息的需求和详略程度,建立一套级次分明的内部报告指标体系。企业明确的战建立一套级次分明的内部报告指标体系。企业明确的战略目标和具体的战略规划为内部报告控制目标的确定提略目标和具体的战略规划为内部报告控制目标的确定提供了依据。供了依据。b企业内部报告指标确定后,应进行细化,层层分解,使企业内部报告指标确定后,应进行细化,层层分解,使企业中各责任中心及其各相关职能部门都有自己明确的企业中各责任中心及其各相关职能部门都有自己明确的目标,以利于控制风险并进行业绩考核。由此可见,企目标,以利于控制风险并进行业绩考核。由此可见,企业的战略目标、战略规划、内部报告
292、的控制目标、各责业的战略目标、战略规划、内部报告的控制目标、各责任中心以及各职能部门的控制目标,是一个通过内部信任中心以及各职能部门的控制目标,是一个通过内部信息传递相互联系、不断细化的体系。息传递相互联系、不断细化的体系。内控应用指引第内控应用指引第1717号号 1建立内部报告指标体系建立内部报告指标体系1.2管控措施:管控措施:c内部报告需要依据全面预算的标准进行信息反馈,将预内部报告需要依据全面预算的标准进行信息反馈,将预算控制的过程和结果向企业内部管理层报告,以有效控算控制的过程和结果向企业内部管理层报告,以有效控制预算执行情况、明确相关责任、科学考核业绩,并根制预算执行情况、明确相关
293、责任、科学考核业绩,并根据新的环境和业务,调整决策部署,更好地规划和控制据新的环境和业务,调整决策部署,更好地规划和控制企业的资产和收益,实现资源的最有效配置和管理的协企业的资产和收益,实现资源的最有效配置和管理的协同效应。同效应。内控应用指引第内控应用指引第1717号号 2收集内外部信息收集内外部信息为了随时掌握有关市场状况、竞争情况、政策变化及环为了随时掌握有关市场状况、竞争情况、政策变化及环境的变化,保证企业发展战略和经营目标的实现,企业境的变化,保证企业发展战略和经营目标的实现,企业应当完善内外部重要相关信息的收集机制和传递机制,应当完善内外部重要相关信息的收集机制和传递机制,使重要信
294、息能够及时获得并向上级呈报。企业可以通过使重要信息能够及时获得并向上级呈报。企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息;通过财务会计资料、经营管理资料、调研取外部信息;通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内报告、专项信息、内部刊物、办公网络等渠道,获取内部信息。企业应当广泛收集、分析、整理内外部信息,部信息。企业应当广泛收集、分析、整理内外部信息,并通过内部报告传递到企业内部相关
295、管理层级,以便及并通过内部报告传递到企业内部相关管理层级,以便及时采取应对策略。时采取应对策略。2.1主要风险:主要风险:收集的内外部信息过于散乱,不能突出重点;内容准确收集的内外部信息过于散乱,不能突出重点;内容准确性差,据此信息进行的决策容易误导经营活动;获取内性差,据此信息进行的决策容易误导经营活动;获取内外部信息的成本过高,违反了成本效益原则。外部信息的成本过高,违反了成本效益原则。内控应用指引第内控应用指引第1717号号 2收集内外部信息收集内外部信息2.2管控措施:管控措施:a根据特定服务对象的需求,选择信息收集过程中重点关根据特定服务对象的需求,选择信息收集过程中重点关注的信息类
296、型和内容。为特定对象、特定目标服务的信注的信息类型和内容。为特定对象、特定目标服务的信息,具有更高的适用性,对于使用者具有更现实、重要息,具有更高的适用性,对于使用者具有更现实、重要的意义。因此需要根据信息需求者要求按照一定的标准的意义。因此需要根据信息需求者要求按照一定的标准对信息进行分类汇总。对信息进行分类汇总。b对信息进行审核和鉴别,对已经筛选的资料作进一步的对信息进行审核和鉴别,对已经筛选的资料作进一步的检查,确定其真实性和合理性。企业应当检查信息在事检查,确定其真实性和合理性。企业应当检查信息在事实与时间上有无差错,是否合乎逻辑,其来源单位、资实与时间上有无差错,是否合乎逻辑,其来源
297、单位、资料份数、指标等是否完整。料份数、指标等是否完整。c企业应当在收集信息的过程中考虑获取信息的便利性及企业应当在收集信息的过程中考虑获取信息的便利性及其获取成本高低,如果需要较大代价获取信息,则应当其获取成本高低,如果需要较大代价获取信息,则应当权衡其成本与信息的使用价值,确保所获取信息符合成权衡其成本与信息的使用价值,确保所获取信息符合成本效益原则。本效益原则。内控应用指引第内控应用指引第1717号号 3编制及审核内部报告编制及审核内部报告企业各职能部门应将收集的有关资料进行筛选、抽取,企业各职能部门应将收集的有关资料进行筛选、抽取,然后,根据各管理层级对内部报告的信息需求和先前制然后,
298、根据各管理层级对内部报告的信息需求和先前制定的内部报告指标,建立各种分析模型,提取有效数据定的内部报告指标,建立各种分析模型,提取有效数据并进行反馈汇总,在此基础上,对分析模型进一步改并进行反馈汇总,在此基础上,对分析模型进一步改造,进行资料分析,起草内部报告,形成总结性结论,造,进行资料分析,起草内部报告,形成总结性结论,并提出相应的建议,从而对发展趋势、策略规划、前景并提出相应的建议,从而对发展趋势、策略规划、前景预测等提供重要的分析指导,为企业的效益分析、业务预测等提供重要的分析指导,为企业的效益分析、业务拓展提供有力的保障。企业内部报告因报告类型不同、拓展提供有力的保障。企业内部报告因
299、报告类型不同、反映的信息特点不同,内部报告的格式不尽一致。一般反映的信息特点不同,内部报告的格式不尽一致。一般情况下,企业内部报告应当包括报告名、文件号、执行情况下,企业内部报告应当包括报告名、文件号、执行范围、内容、起草或制定部门、报送和抄送部门及时效范围、内容、起草或制定部门、报送和抄送部门及时效要求等。要求等。3.1主要风险是:内部报告未能根据各内部使用单位的需求主要风险是:内部报告未能根据各内部使用单位的需求进行编制,内容不完整,编制不及时,未经审核即向有进行编制,内容不完整,编制不及时,未经审核即向有关部门传递。关部门传递。内控应用指引第内控应用指引第1717号号 3编制及审核内部报
300、告编制及审核内部报告3.2管控措施:管控措施:a企业内部报告的编制单位应紧紧围绕内部报告使用者的企业内部报告的编制单位应紧紧围绕内部报告使用者的信息需求,以内部报告指标体系为基础,编制内容全面、信息需求,以内部报告指标体系为基础,编制内容全面、简洁明了、通俗易懂的内部报告,便于企业各管理层级简洁明了、通俗易懂的内部报告,便于企业各管理层级和全体员工掌握相关信息,正确履行职责。和全体员工掌握相关信息,正确履行职责。b企业应合理设计内部报告编制程序,提高编制效率,保企业应合理设计内部报告编制程序,提高编制效率,保证内部报告能在第一时间提供给相关管理部门。对于重证内部报告能在第一时间提供给相关管理部
301、门。对于重大突发事件应以速度优先,尽可能快的编制出内部报大突发事件应以速度优先,尽可能快的编制出内部报告,向董事会报告。告,向董事会报告。c企业应当建立内部报告审核制度,设定审核权限,确保企业应当建立内部报告审核制度,设定审核权限,确保内部报告信息质量。企业必须对岗位与职责分工进行控内部报告信息质量。企业必须对岗位与职责分工进行控制,内部报告的起草与审核岗位分离,内部报告在传递制,内部报告的起草与审核岗位分离,内部报告在传递前必须经签发部门负责人审核。对于重要信息,企业应前必须经签发部门负责人审核。对于重要信息,企业应当委派专门人员对其传递过程进行复核,确保信息正确当委派专门人员对其传递过程进
302、行复核,确保信息正确的传递给使用者。的传递给使用者。内控应用指引第内控应用指引第1717号号 4构建内部报告流转体系及渠道构建内部报告流转体系及渠道企业应当制定严密的内部报告传递流程,充分利用信息企业应当制定严密的内部报告传递流程,充分利用信息技术,强化内部报告信息集成和共享,将内部报告纳入技术,强化内部报告信息集成和共享,将内部报告纳入企业统一信息平台,构建科学的内部报告网络体系。企企业统一信息平台,构建科学的内部报告网络体系。企业内部各管理层级均应当指定专人负责内部报告工作。业内部各管理层级均应当指定专人负责内部报告工作。正常而言,内部报告应当按照职责分工和权限指引中规正常而言,内部报告应
303、当按照职责分工和权限指引中规定的报告关系传递信息。但为保证信息传递的及时性,定的报告关系传递信息。但为保证信息传递的及时性,重要信息应当及时传递给董事会、监事会和经理层。企重要信息应当及时传递给董事会、监事会和经理层。企业应当拓宽内部报告渠道,通过落实奖励措施等多种有业应当拓宽内部报告渠道,通过落实奖励措施等多种有效方式,广泛收集合理化建议。效方式,广泛收集合理化建议。4.1主要风险:主要风险:缺乏内部报告传递流程,内部报告未按传递流程进行传缺乏内部报告传递流程,内部报告未按传递流程进行传递流转,内部报告流转不及时。递流转,内部报告流转不及时。内控应用指引第内控应用指引第1717号号 4构建内
304、部报告流转体系及渠道构建内部报告流转体系及渠道4.2管控措施:管控措施:a企业应当制定内部报告传递制度。企业可根据信息的重企业应当制定内部报告传递制度。企业可根据信息的重要性、内容等特征,确定不同的流转环节。要性、内容等特征,确定不同的流转环节。b企业应严格按设定的传递流程进行流转。企业各管理层企业应严格按设定的传递流程进行流转。企业各管理层对内部报告的流转应做好记录,对于未按照流转制度进对内部报告的流转应做好记录,对于未按照流转制度进行操作的事件,应当调查原因,并做相应处理。行操作的事件,应当调查原因,并做相应处理。c企业应及时更新信息系统,确保内部报告有效安全的传企业应及时更新信息系统,确
305、保内部报告有效安全的传递。递。d企业应在实际工作中尝试精简信息系统的处理程序,使企业应在实际工作中尝试精简信息系统的处理程序,使信息在企业内部更快地传递。对于重要紧急的信息,可信息在企业内部更快地传递。对于重要紧急的信息,可以越级向董事会、监事会或经理层直接报告,便于相关以越级向董事会、监事会或经理层直接报告,便于相关负责人迅速做出决策。负责人迅速做出决策。内控应用指引第内控应用指引第1717号号 5内部报告有效使用及保密内部报告有效使用及保密企业各级管理人员应当充分利用内部报告进行有效决企业各级管理人员应当充分利用内部报告进行有效决策,管理和指导企业的日常生产经营活动,及时反映全策,管理和指
306、导企业的日常生产经营活动,及时反映全面预算执行情况,协调企业内部相关部门和各单位的运面预算执行情况,协调企业内部相关部门和各单位的运营进度,确保企业实现发展战略和经营目标。营进度,确保企业实现发展战略和经营目标。企业应当有效利用内部报告进行风险评估,准确识别和企业应当有效利用内部报告进行风险评估,准确识别和系统分析企业生产经营活动中的内外部风险,确定风险系统分析企业生产经营活动中的内外部风险,确定风险应对策略,实现对风险的有效控制。应对策略,实现对风险的有效控制。企业应制定严格的内部报告保密制度,明确保密内容、企业应制定严格的内部报告保密制度,明确保密内容、保密措施、密级程度和传递范围,防止泄
307、露商业秘密。保密措施、密级程度和传递范围,防止泄露商业秘密。5.1主要风险:主要风险:a企业管理层在决策时并没有使用内部报告提供的信息;企业管理层在决策时并没有使用内部报告提供的信息;b内部报告未能用于风险识别和控制;内部报告未能用于风险识别和控制;c商业秘密通过企业内部报告被泄露。商业秘密通过企业内部报告被泄露。内控应用指引第内控应用指引第1717号号 5内部报告有效使用及保密内部报告有效使用及保密5.2管控措施:管控措施:a企业在预算控制、生产经营管理决策和业绩考核时充分企业在预算控制、生产经营管理决策和业绩考核时充分使用内部报告提供的信息。企业应当将预算控制和内部使用内部报告提供的信息。
308、企业应当将预算控制和内部报告接轨,通过内部报告及时反映全面预算的执行情报告接轨,通过内部报告及时反映全面预算的执行情况;况;要求企业尽可能利用内部报告的信息对生产、购售、投要求企业尽可能利用内部报告的信息对生产、购售、投资、筹资等业务进行因素分析、对比分析和趋势分析资、筹资等业务进行因素分析、对比分析和趋势分析等,发现存在的问题,及时查明原因并加以改进;将绩等,发现存在的问题,及时查明原因并加以改进;将绩效考评和责任追究制度与内部报告联系起来,依及时、效考评和责任追究制度与内部报告联系起来,依及时、准确、按规范流程提供的信息进行透明、客观的定期业准确、按规范流程提供的信息进行透明、客观的定期业
309、绩考核,并对相关责任人进行追究惩罚。绩考核,并对相关责任人进行追究惩罚。内控应用指引第内控应用指引第1717号号 5内部报告有效使用及保密内部报告有效使用及保密5.2管控措施:管控措施:b企业管理层应通过内部报告提供的信息对企业生产经营企业管理层应通过内部报告提供的信息对企业生产经营管理中存在的风险进行评估,准确识别和系统分析企业管理中存在的风险进行评估,准确识别和系统分析企业生产经营活动中的内外部风险,涉及突出问题和重大风生产经营活动中的内外部风险,涉及突出问题和重大风险的,应当启动应急预案。险的,应当启动应急预案。c企业应从内部信息传递的时间、空间、节点、流程等方企业应从内部信息传递的时间
310、、空间、节点、流程等方面建立控制,通过职责分离、授权接触、监督和检查等面建立控制,通过职责分离、授权接触、监督和检查等手段防止商业秘密泄露。手段防止商业秘密泄露。内控应用指引第内控应用指引第1717号号 6内部报告的保管内部报告的保管在企业的经营管理活动中,会产生大量的数据信息,管在企业的经营管理活动中,会产生大量的数据信息,管理好这些资料,对于分析和解决企业管理中的问题至关理好这些资料,对于分析和解决企业管理中的问题至关重要。重要。6.1主要风险:主要风险:a企业缺少内部报告的保管制度,内部报告的保管存放杂企业缺少内部报告的保管制度,内部报告的保管存放杂乱无序;乱无序;b对重要资料的保管期限
311、过短;对重要资料的保管期限过短;c保密措施不严。保密措施不严。内控应用指引第内控应用指引第1717号号 6内部报告的保管内部报告的保管6.2管控措施:管控措施:第一,企业应当建立内部报告保管制度,各部门应当指定专人第一,企业应当建立内部报告保管制度,各部门应当指定专人按类别保管相应的内部报告。第二,为了便于内部报告的查阅、按类别保管相应的内部报告。第二,为了便于内部报告的查阅、对比分析,改善内部报告的格式,提高内部报告的有用性,企对比分析,改善内部报告的格式,提高内部报告的有用性,企业应按类别保管内部报告,对影响较大的、金额较高的一般要业应按类别保管内部报告,对影响较大的、金额较高的一般要严格
312、保管,如企业重大重组方案、企业债券发行方案等。第三,严格保管,如企业重大重组方案、企业债券发行方案等。第三,企业对不同类别的报告应按其影响程度规定其保管年限,只有企业对不同类别的报告应按其影响程度规定其保管年限,只有超过保管年限的内部报告方可予以销毁。对影响重大的内部报超过保管年限的内部报告方可予以销毁。对影响重大的内部报告,应当永久保管,如公司章程及相应的修改、公司股东登记告,应当永久保管,如公司章程及相应的修改、公司股东登记表等。有条件的企业应当建立电子内部报告保管库,分性质,表等。有条件的企业应当建立电子内部报告保管库,分性质,按照类别、时间、保管年限、影响程序及保密要求等分门别类按照类
313、别、时间、保管年限、影响程序及保密要求等分门别类地储存电子内部报告。第四,企业应当制定严格的内部报告保地储存电子内部报告。第四,企业应当制定严格的内部报告保密制度,明确保密内容、保密措施、密级程度和传递范围,防密制度,明确保密内容、保密措施、密级程度和传递范围,防止泄露商业秘密。有关公司商业秘密的重要文件要由企业较高止泄露商业秘密。有关公司商业秘密的重要文件要由企业较高级别的管理人员负责,具体至少由两人共同管理,放置在专用级别的管理人员负责,具体至少由两人共同管理,放置在专用保险箱内。查阅保密文件,必须经该高层管理人员同意,由两保险箱内。查阅保密文件,必须经该高层管理人员同意,由两人分别开启相
314、应的锁具方可打开。人分别开启相应的锁具方可打开。内控应用指引第内控应用指引第1717号号 6内部报告的保管内部报告的保管6.2管控措施:管控措施:a企业应当建立内部报告保管制度,各部门应当指定专人企业应当建立内部报告保管制度,各部门应当指定专人按类别保管相应的内部报告。按类别保管相应的内部报告。b为了便于内部报告的查阅、对比分析,改善内部报告的为了便于内部报告的查阅、对比分析,改善内部报告的格式,提高内部报告的有用性,企业应按类别保管内部格式,提高内部报告的有用性,企业应按类别保管内部报告,对影响较大的、金额较高的一般要严格保管,如报告,对影响较大的、金额较高的一般要严格保管,如企业重大重组方
315、案、企业债券发行方案等。企业重大重组方案、企业债券发行方案等。c企业对不同类别的报告应按其影响程度规定其保管年企业对不同类别的报告应按其影响程度规定其保管年限,只有超过保管年限的内部报告方可予以销毁。对影限,只有超过保管年限的内部报告方可予以销毁。对影响重大的内部报告,应当永久保管,如公司章程及相应响重大的内部报告,应当永久保管,如公司章程及相应的修改、公司股东登记表等。有条件的企业应当建立电的修改、公司股东登记表等。有条件的企业应当建立电子内部报告保管库,分性质,按照类别、时间、保管年子内部报告保管库,分性质,按照类别、时间、保管年限、影响程序及保密要求等分门别类地储存电子内部报限、影响程序
316、及保密要求等分门别类地储存电子内部报告。告。内控应用指引第内控应用指引第1717号号 7内部报告评估内部报告评估企业对内部报告的评估应当定期进行,至少每年度对内部报企业对内部报告的评估应当定期进行,至少每年度对内部报告进行一次评估。重点关注内部报告的及时性,内告进行一次评估。重点关注内部报告的及时性,内部信息传部信息传递的有效性和安全性。递的有效性和安全性。经过评估发现内部报告存在缺陷的,企业应当及时进行修订经过评估发现内部报告存在缺陷的,企业应当及时进行修订和完善,确保内部报告提供的信息及时、有效。和完善,确保内部报告提供的信息及时、有效。7.1主要风险:主要风险:企业缺乏完善的内部报告评价
317、体系,对各信息传递环节和传企业缺乏完善的内部报告评价体系,对各信息传递环节和传递方式控制不严,针对传递不及时、信息不准确的递方式控制不严,针对传递不及时、信息不准确的内部报告内部报告缺乏相应的惩戒机制。缺乏相应的惩戒机制。7.2管控措施:管控措施:a企业应建立并完善企业对内部报告的评估制度,严格按照评企业应建立并完善企业对内部报告的评估制度,严格按照评估制度对内部报告进行合理评估,考核内部报告在估制度对内部报告进行合理评估,考核内部报告在企业生产企业生产经营活动中所起的真实作用。经营活动中所起的真实作用。b为保证信息传递的及时准确,企业必须执行奖惩机制。对经为保证信息传递的及时准确,企业必须执
318、行奖惩机制。对经常不能及时或准确传递信息的相关人员应当进行批常不能及时或准确传递信息的相关人员应当进行批评和教评和教 育,并与育,并与绩效考核体系挂钩。绩效考核体系挂钩。内控应用指引第内控应用指引第1717号号 8反舞弊反舞弊舞弊是指以故意的行为获得不公平的或者非法的收益,舞弊是指以故意的行为获得不公平的或者非法的收益,主要存在以下领域:主要存在以下领域:虚假财务报告、资产的不适当处置、不恰当的收入和支虚假财务报告、资产的不适当处置、不恰当的收入和支出、故意的不当关联方交易、税务欺诈、贪污以及收受出、故意的不当关联方交易、税务欺诈、贪污以及收受贿赂和回扣等方面。贿赂和回扣等方面。有效的反舞弊机
319、制是企业防范、发现和处理舞弊行为、有效的反舞弊机制是企业防范、发现和处理舞弊行为、优化内部环境的重要制度安排。有效的信息沟通是反舞优化内部环境的重要制度安排。有效的信息沟通是反舞弊程序和控制成功的关键。弊程序和控制成功的关键。企业应当建立反舞弊机制,坚持惩防并举、重在预防的企业应当建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。调查、处理、报告和补救程序。内控应用指引第内控应用指引第1
320、717号号 8反舞弊反舞弊8.1主要风险:主要风险:a忽视了对员工的道德准则体系的培训;忽视了对员工的道德准则体系的培训;b内部审计监察不严,内部人员未经授权或者采取其他不内部审计监察不严,内部人员未经授权或者采取其他不法方式侵占、挪用企业资产;法方式侵占、挪用企业资产;d在财务会计报告和信息披露等方面存在的虚假记录、误在财务会计报告和信息披露等方面存在的虚假记录、误导性陈述或者重大遗漏等;导性陈述或者重大遗漏等;e董事、监事、经理及其他高管人员滥用职权;相关机构董事、监事、经理及其他高管人员滥用职权;相关机构或人员串通舞弊;或人员串通舞弊;f企业对举报人的保护力度小,信访事务处理不及时;企业
321、对举报人的保护力度小,信访事务处理不及时;g缺乏相应的舞弊风险评估机制。缺乏相应的舞弊风险评估机制。内控应用指引第内控应用指引第1717号号 8反舞弊反舞弊8.2控制措施:控制措施:a企业应当重视和加强反舞弊机制建设,对员工进行道德企业应当重视和加强反舞弊机制建设,对员工进行道德准则培训,通过设立员工信箱、投诉热线等方式,鼓励准则培训,通过设立员工信箱、投诉热线等方式,鼓励员工及企业利益相关方举报和投诉企业内部的违法违规、员工及企业利益相关方举报和投诉企业内部的违法违规、舞弊和其他有损企业形象的行为。舞弊和其他有损企业形象的行为。b企业应通过审计委员会对信访、内部审计、监察、接受企业应通过审计
322、委员会对信访、内部审计、监察、接受举报过程中收集的信息进行复查,监督管理层对财务报举报过程中收集的信息进行复查,监督管理层对财务报告施加不当影响的行为、管理层进行的重大不寻常交易、告施加不当影响的行为、管理层进行的重大不寻常交易、以及企业各管理层级的批准、授权、认证等,防止企业以及企业各管理层级的批准、授权、认证等,防止企业资产侵占、资金挪用、虚假财务报告、滥用职权等现象资产侵占、资金挪用、虚假财务报告、滥用职权等现象的发生。的发生。内控应用指引第内控应用指引第1717号号 8反舞弊反舞弊8.2控制措施:控制措施:c企业应当建立反舞弊情况通报制度。企业应定期召开反企业应当建立反舞弊情况通报制度
323、。企业应定期召开反舞弊情况通报会,由审计部门通报反舞弊工作情况,分舞弊情况通报会,由审计部门通报反舞弊工作情况,分析反舞弊形势,评价现有的反舞弊控制措施和程序。析反舞弊形势,评价现有的反舞弊控制措施和程序。d企业应当建立举报人保护制度,设立举报责任主体、举企业应当建立举报人保护制度,设立举报责任主体、举报程序,明确举报投诉处理程序,并做好投诉记录的保报程序,明确举报投诉处理程序,并做好投诉记录的保存。切实落实举报人保护制度是举报投诉制度有效运行存。切实落实举报人保护制度是举报投诉制度有效运行的关键。结合企业的实际情况,企业应明确举报人应向的关键。结合企业的实际情况,企业应明确举报人应向谁举报,
324、以何种方式进行举报,举报内容的界定等;确谁举报,以何种方式进行举报,举报内容的界定等;确定举报责任主体接到投诉报告后进行调查的程序、办理定举报责任主体接到投诉报告后进行调查的程序、办理时限、办结要求及将调查结论提交董事会处理的程序等。时限、办结要求及将调查结论提交董事会处理的程序等。内控应用指引第内控应用指引第1717号号 企业内部控制应用指引第企业内部控制应用指引第18号:信息系统号:信息系统 业务目标业务目标 业务范围业务范围 业务风险业务风险 总体要求总体要求 控制流程控制流程 控制措施控制措施 安全警示安全警示信息系统信息系统-业务目标业务目标1.1促进企业有效实施内部控制,提高企业现
325、促进企业有效实施内部控制,提高企业现代化管理水平,减少人为操纵因素;代化管理水平,减少人为操纵因素;1.2增强信息系统的安全性、可靠性和合理性增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支性,为建立有效的信息与沟通机制提供支持保障。持保障。内控应用指引第内控应用指引第1818号号 信息系统信息系统-业务范围业务范围1.1指企业利用计算机和通信技术,对内部控指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化制进行集成、转化和提升所形成的信息化管理平台。管理平台。内控应用指引第内控应
326、用指引第1818号号 信息系统信息系统-业务风险业务风险1.1信息系统缺乏或规划不合理,可能造成信信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效息孤岛或重复建设,导致企业经营管理效率低下;率低下;1.2系统开发不符合内部控制要求,授权管理系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有不当,可能导致无法利用信息技术实施有效控制;效控制;1.3系统运行维护和安全措施不到位,可能导系统运行维护和安全措施不到位,可能导致致信息泄漏信息泄漏或毁损,系统无法正常运行。或毁损,系统无法正常运行。内控应用指引第内控应用指引第1818号号 信息系统信息系统-基
327、本要求基本要求1.1企业应当重视信息系统在内部控制中的作用,根企业应当重视信息系统在内部控制中的作用,根据内部控制要求,结合组织架构、业务范围、地据内部控制要求,结合组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设整域分布、技术能力等因素,制定信息系统建设整体规划,加大投入力度,有序组织信息系统开发、体规划,加大投入力度,有序组织信息系统开发、运行与维护,优化管理流程,防范经营风险,全运行与维护,优化管理流程,防范经营风险,全面提升企业现代化管理水平。面提升企业现代化管理水平。1.2企业应当指定专门机构对信息系统建设实施归口企业应当指定专门机构对信息系统建设实施归口管理,明确相关
328、单位的职责权限,建立有效工作管理,明确相关单位的职责权限,建立有效工作机制。企业可委托专业机构从事信息系统的开发、机制。企业可委托专业机构从事信息系统的开发、运行和维护工作。运行和维护工作。1.3企业负责人对信息系统建设工作负责。企业负责人对信息系统建设工作负责。内控应用指引第内控应用指引第1818号号 信息系统信息系统-控制流程控制流程内控应用指引第内控应用指引第1818号号 制定信息系统制定信息系统开发战略规划开发战略规划选择信息系统选择信息系统开发方式开发方式信息系统的信息系统的运行与维护运行与维护系统终结系统终结项目项目计划计划需求需求分析分析系统系统上线上线系统系统设计设计编程编程测
329、试测试日常运行维护日常运行维护系统变更系统变更安全管理安全管理自行自行开发开发软件产品选型软件产品选型和供应商选择和供应商选择服务提供服务提供商选择商选择 外购外购调试调试选择外包选择外包服务商服务商签订签订外包合同外包合同持续跟踪评价外包持续跟踪评价外包服务商的服务过程服务商的服务过程业务业务外包外包信息系统信息系统控制措施控制措施内控应用指引第内控应用指引第1818号号 1制定信息系统开发的战略规划制定信息系统开发的战略规划信息系统开发的战略规划是信息化建设的起点,战略规信息系统开发的战略规划是信息化建设的起点,战略规划是以企业发展战略为依据制定的企业信息化建设的全划是以企业发展战略为依据
330、制定的企业信息化建设的全局性、长期性规划。局性、长期性规划。1.1主要风险:主要风险:a缺乏战略规划或规划不合理,可能造成信息孤岛或重复缺乏战略规划或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下。建设,导致企业经营管理效率低下。b没有将信息化与企业业务需求结合,降低了信息系统的没有将信息化与企业业务需求结合,降低了信息系统的应用价值。忽视战略规划的重要性,缺乏整体观念和整应用价值。忽视战略规划的重要性,缺乏整体观念和整合意合意识,导致财务管理信息系统、销售管理信息系统、识,导致财务管理信息系统、销售管理信息系统、生产管理信息系统、人力资源管理系统、办公自动化系生产管理信息系
331、统、人力资源管理系统、办公自动化系统等各自为政、孤立存在的现象,削弱了信息系统的协统等各自为政、孤立存在的现象,削弱了信息系统的协同效用,甚至引发系统冲突。同效用,甚至引发系统冲突。内控应用指引第内控应用指引第1818号号 1制定信息系统开发的战略规划制定信息系统开发的战略规划1.2控制措施:控制措施:a企业必须制定信息系统开发的战略规划和中长期发展计企业必须制定信息系统开发的战略规划和中长期发展计划,并在每年制定经营计划的同时制定年度信息系统建划,并在每年制定经营计划的同时制定年度信息系统建设计划,促进经营管理活动与信息系统的协调统一。设计划,促进经营管理活动与信息系统的协调统一。b企业在制
332、定信息化战略过程中,要充分调动和发挥信息企业在制定信息化战略过程中,要充分调动和发挥信息系统归口管理部门与业务部门的积极性,使各部门广泛系统归口管理部门与业务部门的积极性,使各部门广泛参与,充分沟通,提高战略规划的科学性、前瞻性和适参与,充分沟通,提高战略规划的科学性、前瞻性和适应性。应性。c信息系统战略规划要与企业的组织架构、业务范围、地信息系统战略规划要与企业的组织架构、业务范围、地域分布、技术能力等相匹配,避免相互脱节。域分布、技术能力等相匹配,避免相互脱节。内控应用指引第内控应用指引第1818号号 2选择适当的信息系统开发方式选择适当的信息系统开发方式在将企业的业务流程、内控措施、权限
333、配置、预警指标、在将企业的业务流程、内控措施、权限配置、预警指标、核算方法等固化到信息系统中,因此开发建设的好坏直核算方法等固化到信息系统中,因此开发建设的好坏直接影响信息系统的成败。接影响信息系统的成败。2.1.信息系统开发方式信息系统开发方式开发建设主要有自行开发、外购调试、业务外包等方式。开发建设主要有自行开发、外购调试、业务外包等方式。各种开发方式有各自的优缺点和适用条件,企业应根据各种开发方式有各自的优缺点和适用条件,企业应根据自身实际情况合理选择。自身实际情况合理选择。内控应用指引第内控应用指引第1818号号 2选择适当的信息系统开发方式选择适当的信息系统开发方式2.1.1 自行开
334、发自行开发自行开发是企业依托自身力量完成整个开发过程。自行开发是企业依托自身力量完成整个开发过程。其优点是开发人员熟悉企业情况,可以较好地满足本企其优点是开发人员熟悉企业情况,可以较好地满足本企业的需求,尤其是具有特殊性的业务需求。通过自行开业的需求,尤其是具有特殊性的业务需求。通过自行开发,还可以培养锻炼自己的开发队伍,便于后期的运行发,还可以培养锻炼自己的开发队伍,便于后期的运行和维护。和维护。其缺点是开发周期较长、技术水平和规范程度较难保其缺点是开发周期较长、技术水平和规范程度较难保证,成功率相对较低。证,成功率相对较低。因此,自行开发方式的适用条件通常是企业自身技术力因此,自行开发方式
335、的适用条件通常是企业自身技术力量雄厚,而且市场上没有能够满足企业需求的成熟的商量雄厚,而且市场上没有能够满足企业需求的成熟的商品化软件和解决方案。品化软件和解决方案。内控应用指引第内控应用指引第1818号号 2选择适当的信息系统开发方式选择适当的信息系统开发方式2.1.2 外购调试外购调试外购调式的基本做法是企业购买成熟的商品化软件,通外购调式的基本做法是企业购买成熟的商品化软件,通过参数配置和二次开发满足企业需求。过参数配置和二次开发满足企业需求。其优点是开发建设周期短;成功率较高;成熟的商品化其优点是开发建设周期短;成功率较高;成熟的商品化软件质量稳定,可靠性高;专业的软件提供商实施经验软
336、件质量稳定,可靠性高;专业的软件提供商实施经验丰富。丰富。其缺点是难以满足企业的特殊需求;系统的后期升级进其缺点是难以满足企业的特殊需求;系统的后期升级进度受制于商品化软件供应商产品更新换代的速度,企业度受制于商品化软件供应商产品更新换代的速度,企业自主权不强,较为被动。自主权不强,较为被动。外购调试方式的适用条件通常是企业的特殊需求较少,外购调试方式的适用条件通常是企业的特殊需求较少,市场上已有成熟的商品化软件和系统实施方案。市场上已有成熟的商品化软件和系统实施方案。内控应用指引第内控应用指引第1818号号 2选择适当的信息系统开发方式选择适当的信息系统开发方式2.1.3 业务外包业务外包信
337、息系统的业务外包是指委托其他单位开发信息系统,信息系统的业务外包是指委托其他单位开发信息系统,基本做法是企业将信息系统开发项目外包出去,由专业基本做法是企业将信息系统开发项目外包出去,由专业公司或科研机构负责开发、安装实施,企业直接使用。公司或科研机构负责开发、安装实施,企业直接使用。其优点是企业可以充分利用专业公司的专业优势,量体其优点是企业可以充分利用专业公司的专业优势,量体裁衣,构建全面、高效满足企业需求的个性化系统;企裁衣,构建全面、高效满足企业需求的个性化系统;企业不必培养、维持庞大的开发队伍,相应节约了人力资业不必培养、维持庞大的开发队伍,相应节约了人力资源成本。源成本。其缺点是沟
338、通成本高,系统开发方难以深刻理解企业需其缺点是沟通成本高,系统开发方难以深刻理解企业需求,可能导致开发出的信息系统与企业的期望产生较大求,可能导致开发出的信息系统与企业的期望产生较大偏差;同时,由于外包信息系统与系统开发方的专业技偏差;同时,由于外包信息系统与系统开发方的专业技能、职业道德和敬业精神存在密切关系,也要求企业必能、职业道德和敬业精神存在密切关系,也要求企业必须加大对外包项目的监督力度。业务外包方式的适用条须加大对外包项目的监督力度。业务外包方式的适用条件通常是市场上没有能够满足企业需求的成熟的商品化件通常是市场上没有能够满足企业需求的成熟的商品化软件和解决方案,企业自身技术力量薄
339、弱或出于成本效软件和解决方案,企业自身技术力量薄弱或出于成本效益原则考虑不愿意维持庞大的开发队伍。益原则考虑不愿意维持庞大的开发队伍。内控应用指引第内控应用指引第1818号号 2选择适当的信息系统开发方式选择适当的信息系统开发方式2.2自行开发方式的关键控制点和主要控制措施自行开发方式的关键控制点和主要控制措施虽然信息系统的开发方式有自行开发、外购调试、业务虽然信息系统的开发方式有自行开发、外购调试、业务外包等多种方式,但基本流程大体相似,都包含项目计外包等多种方式,但基本流程大体相似,都包含项目计划、需求分析、系统设计、编程和测试、上线等环节。划、需求分析、系统设计、编程和测试、上线等环节。
340、2.2.1 项目计划环节项目计划环节战略规划通常将完整的信息系统分成若干子系统,并分战略规划通常将完整的信息系统分成若干子系统,并分阶段建设不同的子系统。比如,制造企业可以将信息系阶段建设不同的子系统。比如,制造企业可以将信息系统划分为财务管理系统、人力资源管理系统、统划分为财务管理系统、人力资源管理系统、MRP系统系统(销售、采购、库存、生产)、计算机辅助设计和制造(销售、采购、库存、生产)、计算机辅助设计和制造系统、客户关系系统、电子商务系统等若干子系统。项系统、客户关系系统、电子商务系统等若干子系统。项目就是指本阶段需要建设的相对独立的一个或多个子系目就是指本阶段需要建设的相对独立的一个
341、或多个子系统。统。内控应用指引第内控应用指引第1818号号 2选择适当的信息系统开发方式选择适当的信息系统开发方式项目计划通常包括项目范围说明、项目进度计划、项目项目计划通常包括项目范围说明、项目进度计划、项目质量计划、项目资源计划、项目沟通计划、风险对策计质量计划、项目资源计划、项目沟通计划、风险对策计划、项目采购计划、需求变更控制、配置管理计划等内划、项目采购计划、需求变更控制、配置管理计划等内容。容。项目计划不是完全静止、一成不变的,在项目启动阶项目计划不是完全静止、一成不变的,在项目启动阶段,可以先制定一个较为原则的项目计划,确定项目主段,可以先制定一个较为原则的项目计划,确定项目主要
342、内容和重大事项,然后根据项目的大小和性质以及项要内容和重大事项,然后根据项目的大小和性质以及项目进展情况进行调整、充实和完善。目进展情况进行调整、充实和完善。2.2.1.1主要风险:主要风险:信息系统建设缺乏项目计划或者计划不当,导致项目进信息系统建设缺乏项目计划或者计划不当,导致项目进度滞后、费用超支、质量低下。度滞后、费用超支、质量低下。内控应用指引第内控应用指引第1818号号 2选择适当的信息系统开发方式选择适当的信息系统开发方式2.2.1.2控制措施:控制措施:a企业应当根据信息系统建设整体规划提出分阶段项目的企业应当根据信息系统建设整体规划提出分阶段项目的建设方案,明确建设目标、人员
343、配备、职责分工、经费建设方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的权限和程序审保障和进度安排等相关内容,按照规定的权限和程序审批后实施。批后实施。b企业可以采用标准的项目管理软件(如企业可以采用标准的项目管理软件(如OfficeProject)制定项目计划,并加以跟踪。在关键环节进行阶段性评制定项目计划,并加以跟踪。在关键环节进行阶段性评审,以保证过程可控。审,以保证过程可控。c项目关键环节编制的文档应参照项目关键环节编制的文档应参照GB856788计算机计算机软件产品开发文件编制指南软件产品开发文件编制指南等相关国家标准和行业标等相关国家标准和行业标准进
344、行,以提高项目计划编制水平。准进行,以提高项目计划编制水平。内控应用指引第内控应用指引第1818号号 2选择适当的信息系统开发方式选择适当的信息系统开发方式2.2.2 需求分析环节需求分析环节需求分析的目的是明确信息系统需要实现哪些功能。该需求分析的目的是明确信息系统需要实现哪些功能。该项工作是系统分析人员和用户单位的管理人员、业务人项工作是系统分析人员和用户单位的管理人员、业务人员在深入调查的基础上,详细描述业务活动涉及的各项员在深入调查的基础上,详细描述业务活动涉及的各项工作以及用户的各种需求,从而建立未来目标系统的逻工作以及用户的各种需求,从而建立未来目标系统的逻辑模型。辑模型。2.2.
345、2.1主要风险:主要风险:a需求本身不合理,对信息系统提出的功能、性能、安全需求本身不合理,对信息系统提出的功能、性能、安全性等方面的要求不符合业务处理和控制的需要。性等方面的要求不符合业务处理和控制的需要。b技术上不可行、经济上成本效益倒挂,或与国家有关法技术上不可行、经济上成本效益倒挂,或与国家有关法规制度存在冲突。规制度存在冲突。c需求文档表述不准确、不完整,未能真实全面地表达企需求文档表述不准确、不完整,未能真实全面地表达企业需求,存在表述缺失、表述不一致甚至表述错误等问业需求,存在表述缺失、表述不一致甚至表述错误等问题。题。内控应用指引第内控应用指引第1818号号 2选择适当的信息系
346、统开发方式选择适当的信息系统开发方式2.2.2.2控制措施:控制措施:a信息系统归口管理部门应当组织企业内部各有关部门提信息系统归口管理部门应当组织企业内部各有关部门提出开发需求,加强系统分析人员和有关部门的管理人员、出开发需求,加强系统分析人员和有关部门的管理人员、业务人员的交流,经综合分析提炼后形成合理的需求。业务人员的交流,经综合分析提炼后形成合理的需求。b编制表述清晰、表达准确的需求文档。需求文档是业务编制表述清晰、表达准确的需求文档。需求文档是业务人员和技术人员共同理解信息系统的桥梁,必须准确表人员和技术人员共同理解信息系统的桥梁,必须准确表述系统建设的目标、功能和要求。述系统建设的
347、目标、功能和要求。c企业应当建立健全需求评审和需求变更控制流程。依据企业应当建立健全需求评审和需求变更控制流程。依据需求文档进行设计(含需求变更设计)前,应当评审其需求文档进行设计(含需求变更设计)前,应当评审其可行性,由需求提出人和编制人签字确认,并经业务部可行性,由需求提出人和编制人签字确认,并经业务部门与信息系统归口管理部门负责人审批。门与信息系统归口管理部门负责人审批。内控应用指引第内控应用指引第1818号号 2选择适当的信息系统开发方式选择适当的信息系统开发方式2.2.3 系统设计环节系统设计环节系统设计是根据系统设计是根据系统需求分析系统需求分析阶段所确定的目标系统逻阶段所确定的目
348、标系统逻辑模型,设计出一个能在企业特定的计算机和网络环境辑模型,设计出一个能在企业特定的计算机和网络环境中实现的方案,即建立信息系统的物理模型。中实现的方案,即建立信息系统的物理模型。系统设计包括总体设计和详细设计。系统设计包括总体设计和详细设计。总体设计的主要任务是:第一,设计系统的模块结构,总体设计的主要任务是:第一,设计系统的模块结构,合理划分子系统边界和接口。第二,选择系统实现的技合理划分子系统边界和接口。第二,选择系统实现的技术路线,确定系统的技术架构,明确系统重要组件的内术路线,确定系统的技术架构,明确系统重要组件的内容和行为特征,以及组件之间、组件与环境之间的接口容和行为特征,以
349、及组件之间、组件与环境之间的接口关系。第三,数据库设计,包括主要的数据库表结构设关系。第三,数据库设计,包括主要的数据库表结构设计、存储设计、数据权限和加密设计等。第四,设计系计、存储设计、数据权限和加密设计等。第四,设计系统的网络拓扑结构、系统部署方式等。统的网络拓扑结构、系统部署方式等。详细设计的主要任务包括:程序说明书编制、数据编码详细设计的主要任务包括:程序说明书编制、数据编码规范设计、输入输出界面设计等内容。规范设计、输入输出界面设计等内容。内控应用指引第内控应用指引第1818号号 2选择适当的信息系统开发方式选择适当的信息系统开发方式2.2.3.1主要风险:主要风险:a设计方案不能
350、完全满足用户需求,不能实现需求文档规设计方案不能完全满足用户需求,不能实现需求文档规定的目标。定的目标。b设计方案未能有效控制建设开发成本,不能保证建设质设计方案未能有效控制建设开发成本,不能保证建设质量和进度。量和进度。c设计方案不全面,导致后续变更频繁。第四,设计方案设计方案不全面,导致后续变更频繁。第四,设计方案没有考虑信息系统建成后对企业内部控制的影响,导致没有考虑信息系统建成后对企业内部控制的影响,导致系统运行后衍生新的风险。系统运行后衍生新的风险。内控应用指引第内控应用指引第1818号号 2选择适当的信息系统开发方式选择适当的信息系统开发方式2.2.3.2控制措施:控制措施:a系统
351、设计负责部门应当就总体设计方案与业务部门进行系统设计负责部门应当就总体设计方案与业务部门进行沟通和讨论,说明方案对用户需求的覆盖情况;存在备沟通和讨论,说明方案对用户需求的覆盖情况;存在备选方案的,应当详细说明各方案在成本、建设时间和用选方案的,应当详细说明各方案在成本、建设时间和用户需求响应上的差异;信息系统归口管理部门和业务部户需求响应上的差异;信息系统归口管理部门和业务部门应当对选定的设计方案予以书面确认。门应当对选定的设计方案予以书面确认。b企业应参照企业应参照GB856788计算机软件产品开发文件编计算机软件产品开发文件编制指南制指南等相关国家标准和行业标准,提高系统设计说等相关国家
352、标准和行业标准,提高系统设计说明书的编写质量。明书的编写质量。c企业应建立设计评审制度和设计变更控制流程。企业应建立设计评审制度和设计变更控制流程。d在系统设计时应当充分考虑信息系统建成后的控制环在系统设计时应当充分考虑信息系统建成后的控制环境,将生产经营管理业务流程、关键控制点和处理规程境,将生产经营管理业务流程、关键控制点和处理规程嵌入系统程序,实现手工环境下难以实现的控制功能,嵌入系统程序,实现手工环境下难以实现的控制功能,内控应用指引第内控应用指引第1818号号 2选择适当的信息系统开发方式选择适当的信息系统开发方式2.2.3.2控制措施:控制措施:e应充分考虑信息系统环境下的新的控制
353、风险,比如,要应充分考虑信息系统环境下的新的控制风险,比如,要通过信息系统中的权限管理功能控制用户的操作权限,通过信息系统中的权限管理功能控制用户的操作权限,避免将不相容职务的处理权限授予同一用户。避免将不相容职务的处理权限授予同一用户。f应当针对不同的数据输入方式,强化对进入系统数据的应当针对不同的数据输入方式,强化对进入系统数据的检查和校验功能。比如,凭证的自动平衡校对。检查和校验功能。比如,凭证的自动平衡校对。g系统设计时应当考虑在信息系统中设置操作日志功能,系统设计时应当考虑在信息系统中设置操作日志功能,确保操作的可审计性。对异常的或者违背内部控制要求确保操作的可审计性。对异常的或者违
354、背内部控制要求的交易和数据,应当设计由系统自动报告并设置跟踪处的交易和数据,应当设计由系统自动报告并设置跟踪处理机制。理机制。h预留必要的后台操作通道,对于必需的后台操作,应当预留必要的后台操作通道,对于必需的后台操作,应当加强管理,建立规范的操作流程,确保足够的日志记加强管理,建立规范的操作流程,确保足够的日志记录,保证对后台操作的可监控性。录,保证对后台操作的可监控性。内控应用指引第内控应用指引第1818号号 2选择适当的信息系统开发方式选择适当的信息系统开发方式2.2.4 编程和测试环节编程和测试环节编程阶段是将详细设计方案转换成某种计算机编程语言编程阶段是将详细设计方案转换成某种计算机
355、编程语言的过程。编程阶段完成之后,要进行测试,测试主要有的过程。编程阶段完成之后,要进行测试,测试主要有以下目的:以下目的:一是发现软件开发过程中的错误,分析错误的性质,确一是发现软件开发过程中的错误,分析错误的性质,确定错误的位置并予以纠正。定错误的位置并予以纠正。二是通过某些系统测试,了解系统的响应时间、事务处二是通过某些系统测试,了解系统的响应时间、事务处理吞吐量、载荷能力、失效恢复能力以及系统实用性等理吞吐量、载荷能力、失效恢复能力以及系统实用性等指标,以便对整个系统做出综合评价。指标,以便对整个系统做出综合评价。内控应用指引第内控应用指引第1818号号 2选择适当的信息系统开发方式选
356、择适当的信息系统开发方式2.2.4 编程和测试环节编程和测试环节2.2.4.1主要风险:主要风险:a编程结果与设计不符。编程结果与设计不符。b各程序员编程风格差异大,程序可读性差,导致后期维各程序员编程风格差异大,程序可读性差,导致后期维护困难,维护成本高。护困难,维护成本高。c缺乏有效的程序版本控制,导致重复修改或修改不一致缺乏有效的程序版本控制,导致重复修改或修改不一致等问题。等问题。d测试不充分。单个模块正常运行但多个模块集成运行时测试不充分。单个模块正常运行但多个模块集成运行时出错,开发环境下测试正常而生产环境下运行出错,开出错,开发环境下测试正常而生产环境下运行出错,开发人员自测正常
357、而业务部门用户使用时出错,导致系统发人员自测正常而业务部门用户使用时出错,导致系统上线后可能出现严重问题。上线后可能出现严重问题。内控应用指引第内控应用指引第1818号号 2选择适当的信息系统开发方式选择适当的信息系统开发方式2.2.4 编程和测试环节编程和测试环节2.2.4.2控制措施:控制措施:a项目组应建立并执行严格的代码复查评审制度。项目组应建立并执行严格的代码复查评审制度。b项目组应建立并执行统一的编程规范,在标识符命名、项目组应建立并执行统一的编程规范,在标识符命名、程序注释等方面统一风格。程序注释等方面统一风格。c应使用版本控制软件系统(例如应使用版本控制软件系统(例如CVS),
358、保证所有开发),保证所有开发人员基于相同的组件环境开展项目工作,协调开发人员人员基于相同的组件环境开展项目工作,协调开发人员对程序的修改。对程序的修改。d应区分单元测试、组装测试(集成测试)、系统测试、应区分单元测试、组装测试(集成测试)、系统测试、验收测试等不同测试类型,建立严格的测试工作流程,验收测试等不同测试类型,建立严格的测试工作流程,提高最终用户在测试工作中的参与程度,改进测试用例提高最终用户在测试工作中的参与程度,改进测试用例的编写质量,加强测试分析,尽量采用自动测试工具提的编写质量,加强测试分析,尽量采用自动测试工具提高测试工作的质量和效率。具备条件的企业,应当组织高测试工作的质
359、量和效率。具备条件的企业,应当组织独立于开发建设项目组的专业机构对开发完成的信息系独立于开发建设项目组的专业机构对开发完成的信息系统进行验收测试,确保在功能、性能、控制要求和安全统进行验收测试,确保在功能、性能、控制要求和安全性等方面符合开发需求性等方面符合开发需求内控应用指引第内控应用指引第1818号号 2选择适当的信息系统开发方式选择适当的信息系统开发方式2.2.5 上线环节上线环节系统上线是将开发出的系统(可执行的程序和关联的数系统上线是将开发出的系统(可执行的程序和关联的数据)部署到实际运行的计算机环境中,使信息系统按照据)部署到实际运行的计算机环境中,使信息系统按照既定的用户需求来运
360、转,切实发挥信息系统的作用。既定的用户需求来运转,切实发挥信息系统的作用。2.2.5.1主要风险:主要风险:a缺乏完整可行的上线计划,导致系统上线混乱无序。缺乏完整可行的上线计划,导致系统上线混乱无序。b人员培训不足,不能正确使用系统,导致业务处理错人员培训不足,不能正确使用系统,导致业务处理错误,或者未能充分利用系统功能,导致开发成本浪费。误,或者未能充分利用系统功能,导致开发成本浪费。c初始数据准备设置不合格,导致新旧系统数据不一致、初始数据准备设置不合格,导致新旧系统数据不一致、业务处理错误。业务处理错误。内控应用指引第内控应用指引第1818号号 2选择适当的信息系统开发方式选择适当的信
361、息系统开发方式2.2.5.2控制措施:控制措施:a企业应当制定信息系统上线计划,并经归口管理部门和企业应当制定信息系统上线计划,并经归口管理部门和用户部门审核批准。上线计划一般包括人员培训、数据用户部门审核批准。上线计划一般包括人员培训、数据准备、进度安排、应急预案等内容。准备、进度安排、应急预案等内容。b系统上线涉及新旧系统切换的,企业应当在上线计划中系统上线涉及新旧系统切换的,企业应当在上线计划中明确应急预案,保证新系统失效时能够顺利切换回旧系明确应急预案,保证新系统失效时能够顺利切换回旧系统。统。c系统上线涉及数据迁移的,企业应当制定详细的数据迁系统上线涉及数据迁移的,企业应当制定详细的
362、数据迁移计划,并对迁移结果进行测试。用户部门应当参与数移计划,并对迁移结果进行测试。用户部门应当参与数据迁移过程,对迁移前后的数据予以书面确认。据迁移过程,对迁移前后的数据予以书面确认。内控应用指引第内控应用指引第1818号号 2选择适当的信息系统开发方式选择适当的信息系统开发方式2.3业务外包方式的关键控制点和主要控制措施业务外包方式的关键控制点和主要控制措施在业务外包、外购调试方式下,企业对系统设计、编程、在业务外包、外购调试方式下,企业对系统设计、编程、测试环节的参与程度明显低于自行开发方式,因此可以测试环节的参与程度明显低于自行开发方式,因此可以适当简化相应的风险控制措施,但同时也因开
363、发方式的适当简化相应的风险控制措施,但同时也因开发方式的差异产生一些新风险,需要采取有针对性的控制措施。差异产生一些新风险,需要采取有针对性的控制措施。2.3.1 选择外包服务商选择外包服务商2.3.1.1主要风险主要风险:由于企业与外包服务商之间本质上是一种委托由于企业与外包服务商之间本质上是一种委托代理关代理关系系,合作双方的信息不对称容易诱发道德风险,外包服务合作双方的信息不对称容易诱发道德风险,外包服务商可能会实施损害企业利益的自利行为商可能会实施损害企业利益的自利行为,如偷工减料、放如偷工减料、放松管理、信息泄密等。松管理、信息泄密等。内控应用指引第内控应用指引第1818号号 2选择
364、适当的信息系统开发方式选择适当的信息系统开发方式2.3.1.2控制措施:控制措施:a在选择外包服务商时要充分考虑服务商的市场信誉、资在选择外包服务商时要充分考虑服务商的市场信誉、资质条件、财务状况、服务能力、对本企业业务的熟悉程质条件、财务状况、服务能力、对本企业业务的熟悉程度、既往承包服务成功案例等因素度、既往承包服务成功案例等因素,对外包服务商进行严对外包服务商进行严格筛选。格筛选。b企业可以借助外包业界基准来判断外包服务商的综合实企业可以借助外包业界基准来判断外包服务商的综合实力。力。c企业要严格外包服务审批及管控流程企业要严格外包服务审批及管控流程,对信息系统外包业对信息系统外包业务,
365、原则上应采用公开招标等形式选择外包服务商,并务,原则上应采用公开招标等形式选择外包服务商,并实行集体决策审批。实行集体决策审批。内控应用指引第内控应用指引第1818号号 2选择适当的信息系统开发方式选择适当的信息系统开发方式2.3.2 签订外包合同签订外包合同2.3.2.1主要风险:主要风险:由于合同条款不准确、不完善,可能导致企业的正当权由于合同条款不准确、不完善,可能导致企业的正当权益无法得到有效保障。益无法得到有效保障。2.3.2.2控制措施:控制措施:a企业在与外包服务商签约之前企业在与外包服务商签约之前,应针对外包可能出现的各应针对外包可能出现的各种风险损失种风险损失,恰当拟定合同条
366、款恰当拟定合同条款,对涉及的工作目标、合对涉及的工作目标、合作作范畴、责任划分、所有权归属、付款方式、违约赔偿及范畴、责任划分、所有权归属、付款方式、违约赔偿及合约期限等问题做出详细说明合约期限等问题做出详细说明,并由法律部门或法律顾问并由法律部门或法律顾问审查把关。审查把关。b开发过程中涉及商业秘密、敏感数据的,企业应当与外开发过程中涉及商业秘密、敏感数据的,企业应当与外包服务商签订详细的包服务商签订详细的“保密协定保密协定”,以保证数据安全。,以保证数据安全。c在合同中约定付款事宜时在合同中约定付款事宜时,应当选择分期付款方式,尾款应当选择分期付款方式,尾款应当在系统运行一段时间并经评估验
367、收后再支付。应当在系统运行一段时间并经评估验收后再支付。d应在合同条款中明确要求外包服务商保持专业技术服务应在合同条款中明确要求外包服务商保持专业技术服务团队的稳定性。团队的稳定性。内控应用指引第内控应用指引第1818号号 2选择适当的信息系统开发方式选择适当的信息系统开发方式2.3.3 持续跟踪评价外包服务商的服务过程持续跟踪评价外包服务商的服务过程2.3.3.1主要风险:主要风险:企业缺乏外包服务跟踪评价机制或跟踪评价不到位,可企业缺乏外包服务跟踪评价机制或跟踪评价不到位,可能导致外包服务质量水平不能满足企业信息系统开发需能导致外包服务质量水平不能满足企业信息系统开发需求。求。2.3.3.
368、2控制措施:控制措施:a企业应当规范外包服务评价工作流程,明确相关部门的企业应当规范外包服务评价工作流程,明确相关部门的职责权限,建立外包服务质量考核评价指标体系,定期职责权限,建立外包服务质量考核评价指标体系,定期对外包服务商进行考评对外包服务商进行考评,并公布服务周期的评估结果并公布服务周期的评估结果,实实现现外包服务水平的跟踪评价。外包服务水平的跟踪评价。b必要时,可以引入监理机制,降低外包服务风险。必要时,可以引入监理机制,降低外包服务风险。内控应用指引第内控应用指引第1818号号 2选择适当的信息系统开发方式选择适当的信息系统开发方式2.4外购调试方式的关键控制点和主要控制措施外购调
369、试方式的关键控制点和主要控制措施在外购调试方式下,一方面,企业面临与委托开发方式在外购调试方式下,一方面,企业面临与委托开发方式类似的问题,企业要选择软件产品的供应商和服务供应类似的问题,企业要选择软件产品的供应商和服务供应商、签订合约、跟踪服务质量,因此,企业可采用与委商、签订合约、跟踪服务质量,因此,企业可采用与委托开发方式类似的控制措施;另一方面,外购调试方式托开发方式类似的控制措施;另一方面,外购调试方式也有其特殊之处,企业需要有针对性的强化某些控制措也有其特殊之处,企业需要有针对性的强化某些控制措施。施。内控应用指引第内控应用指引第1818号号 2选择适当的信息系统开发方式选择适当的
370、信息系统开发方式2.4.1 软件产品选型和供应商选择软件产品选型和供应商选择在外购调试方式下,软件供应商的选择和软件产品的选在外购调试方式下,软件供应商的选择和软件产品的选型是密切相关的。型是密切相关的。2.4.1.1主要风险:主要风险:a软件产品选型不当,产品在功能、性能、易用性等方面软件产品选型不当,产品在功能、性能、易用性等方面无法满足企业需求。无法满足企业需求。b软件供应商选择不当,产品的支持服务能力不足,产品软件供应商选择不当,产品的支持服务能力不足,产品的后续升级缺乏保障。的后续升级缺乏保障。2.4.1.2控制措施:控制措施:a企业应明确自身需求,对比分析市场上的成熟软件产企业应明
371、确自身需求,对比分析市场上的成熟软件产品,合理选择软件产品的模块组合和版本。品,合理选择软件产品的模块组合和版本。b企业在软件产品选型时应广泛听取行业专家的意见。企业在软件产品选型时应广泛听取行业专家的意见。c企业在选择软件产品和服务供应商时,不仅要评价其现企业在选择软件产品和服务供应商时,不仅要评价其现有产品的功能、性能,还要考察其服务支持能力和后续有产品的功能、性能,还要考察其服务支持能力和后续产品的升级能力。产品的升级能力。内控应用指引第内控应用指引第1818号号 2选择适当的信息系统开发方式选择适当的信息系统开发方式2.4.2 服务提供商选择服务提供商选择大型企业管理信息系统(例如大型
372、企业管理信息系统(例如ERP系统)的外购实施,系统)的外购实施,不仅需要选择合适的软件供应商和软件产品,也需要选不仅需要选择合适的软件供应商和软件产品,也需要选择合适的咨询公司等服务提供商,指导企业将通用软件择合适的咨询公司等服务提供商,指导企业将通用软件产品与本企业的实际情况有机结合。产品与本企业的实际情况有机结合。2.4.2.1主要风险:主要风险:服务提供商选择不当,削弱了外购软件产品的功能发服务提供商选择不当,削弱了外购软件产品的功能发挥,导致无法有效满足用户需求。挥,导致无法有效满足用户需求。2.4.2.2控制措施:控制措施:在选择服务提供商时,不仅要考核其对软件产品的熟悉、在选择服务
373、提供商时,不仅要考核其对软件产品的熟悉、理解程度,也要考核其是否深刻理解企业所处行业的特理解程度,也要考核其是否深刻理解企业所处行业的特点、是否理解企业的个性化需求、是否有过相同或相近点、是否理解企业的个性化需求、是否有过相同或相近的成功案例。的成功案例。内控应用指引第内控应用指引第1818号号 3信息系统的运行与维护信息系统的运行与维护信息系统的运行与维护主要包含三方面的内容:日常运信息系统的运行与维护主要包含三方面的内容:日常运行维护、系统变更和安全管理。行维护、系统变更和安全管理。3.1日常运行维护日常运行维护日常运行维护的目标是保证系统正常运转,主要工作内日常运行维护的目标是保证系统正
374、常运转,主要工作内容包括系统的日常操作、系统的日常巡检和维修、系统容包括系统的日常操作、系统的日常巡检和维修、系统运行状态监控、异常事件的报告和处理等。运行状态监控、异常事件的报告和处理等。3.1.1 主要风险:主要风险:a没有建立规范的信息系统日常运行管理规范,计算机软没有建立规范的信息系统日常运行管理规范,计算机软硬件的内在隐患易于爆发,可能导致企业信息系统出错。硬件的内在隐患易于爆发,可能导致企业信息系统出错。b没有执行例行检查,导致一些人为恶意攻击会长期隐藏没有执行例行检查,导致一些人为恶意攻击会长期隐藏在系统中,可能造成严重损失。在系统中,可能造成严重损失。c企业信息系统数据未能定期
375、备份,可能导致损坏后无法企业信息系统数据未能定期备份,可能导致损坏后无法恢复,从而造成重大损失。恢复,从而造成重大损失。内控应用指引第内控应用指引第1818号号 3信息系统的运行与维护信息系统的运行与维护3.1.2 控制措施:控制措施:a企业应制定信息系统使用操作程序、信息管理制度以及企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范,及时跟踪、发现和解决各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行。制度和操作规范持续稳定运行。b切实做好系统
376、运行记录,尤其是对于系统运行不正常或切实做好系统运行记录,尤其是对于系统运行不正常或无法运行的情况,应将异常现象、发生时间和可能的原无法运行的情况,应将异常现象、发生时间和可能的原因作出详细记录。因作出详细记录。c要重视系统运行的日常维护,在硬件方面,日常维护主要重视系统运行的日常维护,在硬件方面,日常维护主要包括各种设备的保养与安全管理、故障的诊断与排除、要包括各种设备的保养与安全管理、故障的诊断与排除、易耗品的更换与安装等,这些工作应由专人负责。易耗品的更换与安装等,这些工作应由专人负责。d配备专业人员负责处理信息系统运行中的突发事件,必配备专业人员负责处理信息系统运行中的突发事件,必要时
377、应会同系统开发人员或软硬件供应商共同解决。要时应会同系统开发人员或软硬件供应商共同解决。内控应用指引第内控应用指引第1818号号 3信息系统的运行与维护信息系统的运行与维护3.2系统变更的关键控制点和主要控制措施系统变更的关键控制点和主要控制措施系统变更主要包括硬件的升级扩容、软件的修改与升级系统变更主要包括硬件的升级扩容、软件的修改与升级等。系统变更是为了更好地满足企业需求,但同时应加等。系统变更是为了更好地满足企业需求,但同时应加强对变更申请、变更成本与进度的控制。强对变更申请、变更成本与进度的控制。3.2.1 主要风险:主要风险:a企业没有建立严格的变更申请、审批、执行、测试流企业没有建
378、立严格的变更申请、审批、执行、测试流程,导致系统随意变更。程,导致系统随意变更。b系统变更后的效果达不到预期目标。系统变更后的效果达不到预期目标。内控应用指引第内控应用指引第1818号号 3信息系统的运行与维护信息系统的运行与维护3.2.2 控制措施:控制措施:a企业应当建立标准流程来实施和记录系统变更,保证变企业应当建立标准流程来实施和记录系统变更,保证变更过程得到适当的授权与管理层的批准,并对变更进行更过程得到适当的授权与管理层的批准,并对变更进行测试。信息系统变更应当严格遵照管理流程进行操作。测试。信息系统变更应当严格遵照管理流程进行操作。信息系统操作人员不得擅自进行软件的删除、修改等操
379、信息系统操作人员不得擅自进行软件的删除、修改等操作;不得擅自升级、改变软件版本;不得擅自改变软件作;不得擅自升级、改变软件版本;不得擅自改变软件系统的环境配置。系统的环境配置。b系统变更程序系统变更程序(如软件升级如软件升级)需要遵循与新系统开发项目需要遵循与新系统开发项目同样的验证和测试程序,必要时还应当进行额外测试。同样的验证和测试程序,必要时还应当进行额外测试。c企业应加强紧急变更的控制管理。企业应加强紧急变更的控制管理。d企业应加强对将变更移植到生产环境中的控制管理,包企业应加强对将变更移植到生产环境中的控制管理,包括系统访问授权控制、数据转换控制、用户培训等。括系统访问授权控制、数据
380、转换控制、用户培训等。内控应用指引第内控应用指引第1818号号 3信息系统的运行与维护信息系统的运行与维护3.3安全管理的关键控制点和主要控制措施安全管理的关键控制点和主要控制措施信息系统安全是指信信息系统安全是指信息系统包含的所有硬件、软件和数据受息系统包含的所有硬件、软件和数据受到保护,不因偶然和到保护,不因偶然和恶意的原因而遭到破坏、更改和泄漏,恶意的原因而遭到破坏、更改和泄漏,信息系统能够连续正信息系统能够连续正常运行。常运行。3.3.1主要风险:主要风险:a硬件设备分布物理范围广,设备种类繁多,安全管理难度硬件设备分布物理范围广,设备种类繁多,安全管理难度大,可能导致设备生命周期短。
381、大,可能导致设备生命周期短。b业务部门信息安全意识薄弱,对系统和信息安全缺乏有效的业务部门信息安全意识薄弱,对系统和信息安全缺乏有效的监管手段。少数员工可能恶意或非恶意滥用系统资源,造成监管手段。少数员工可能恶意或非恶意滥用系统资源,造成系统运行系统运行效率降低。效率降低。c对系统程序的缺陷或漏洞安全防护不够,导致遭受黑客攻对系统程序的缺陷或漏洞安全防护不够,导致遭受黑客攻击,造成信息泄露。击,造成信息泄露。d对计算机病毒防范清理不力,致系统运行不稳定甚至瘫痪。对计算机病毒防范清理不力,致系统运行不稳定甚至瘫痪。e缺乏对信息系统操作人员的严密监控,可能导致舞弊和利用缺乏对信息系统操作人员的严密
382、监控,可能导致舞弊和利用计算机犯罪。计算机犯罪。内控应用指引第内控应用指引第1818号号 3信息系统的运行与维护信息系统的运行与维护3.3.2 控制措施:控制措施:a建立信息系统相关资产的管理制度,保证电子设备的安建立信息系统相关资产的管理制度,保证电子设备的安全。硬件和网络设备不仅是信息系统运行的基础载体,全。硬件和网络设备不仅是信息系统运行的基础载体,也是价值昂贵的固定资产。企业应在健全设备管理制度也是价值昂贵的固定资产。企业应在健全设备管理制度的基础上,建立专门的电子设备管控制度,对于关键信的基础上,建立专门的电子设备管控制度,对于关键信息设备,未经授权,不得接触。息设备,未经授权,不得
383、接触。b企业应成立专门的信息系统安全管理机构,由企业主要企业应成立专门的信息系统安全管理机构,由企业主要领导负总责,对企业的信息安全作出总体规划和全方位领导负总责,对企业的信息安全作出总体规划和全方位严格管理,具体实施工作可由企业的信息主管部门负责。严格管理,具体实施工作可由企业的信息主管部门负责。企业应强化全体员工的安全保密意识,特别要对重要岗企业应强化全体员工的安全保密意识,特别要对重要岗位员工进行信息系统安全保密培训,并签署安全保密协位员工进行信息系统安全保密培训,并签署安全保密协议。企业应当建立信息系统安全保密制度和泄密责任追议。企业应当建立信息系统安全保密制度和泄密责任追究制度。究制
384、度。内控应用指引第内控应用指引第1818号号 3信息系统的运行与维护信息系统的运行与维护3.3.2控制措施:控制措施:c企业应当按照国家相关法律法规以及信息安全技术标准,企业应当按照国家相关法律法规以及信息安全技术标准,制定信息系统安全实施细则。根据业务性质、重要程度、制定信息系统安全实施细则。根据业务性质、重要程度、涉密情涉密情况等确定信息系统的安全等级,建立不同等级信息况等确定信息系统的安全等级,建立不同等级信息的授权的授权使用制度,采用相应技术手段保证信息系统运行安使用制度,采用相应技术手段保证信息系统运行安全有序。全有序。对于信息系统的使用者和不同安全等级信息之间对于信息系统的使用者和
385、不同安全等级信息之间的授权关系,应的授权关系,应在系统开发建设阶段就形成方案并加以设在系统开发建设阶段就形成方案并加以设 计,在软件系统中预留计,在软件系统中预留这种对应关系的设置功能,以便根这种对应关系的设置功能,以便根 据使用者岗位职务的变迁进行据使用者岗位职务的变迁进行调整。调整。d企业应当有效利用企业应当有效利用IT技术手段,对硬件配置调整、软件参技术手段,对硬件配置调整、软件参数修改严加控制。例如,企业可利用操作系统、数据库系数修改严加控制。例如,企业可利用操作系统、数据库系统、应统、应用系统提供的安全机制,设置安全参数,保证系统用系统提供的安全机制,设置安全参数,保证系统访问安访问
386、安全;对于重要的计算机设备,企业应当利用技术手全;对于重要的计算机设备,企业应当利用技术手段防止段防止员工擅自安装、卸载软件或者改变软件系统配置,员工擅自安装、卸载软件或者改变软件系统配置,并定期并定期对上述情况进行检查。对上述情况进行检查。内控应用指引第内控应用指引第1818号号 3信息系统的运行与维护信息系统的运行与维护3.3.2 控制措施:控制措施:e企业委托专业机构进行系统运行与维护管理的,应当严企业委托专业机构进行系统运行与维护管理的,应当严格审查其资质条件、市场声誉和信用状况等,并与其签格审查其资质条件、市场声誉和信用状况等,并与其签订正式的服务合同和保密协议。订正式的服务合同和保
387、密协议。f企业应当采取安装安全软件等措施防范信息系统受到病企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。企业应当特别注重加强对毒等恶意软件的感染和破坏。企业应当特别注重加强对服务器等关键部位的防护;对于存在网络应用的企业,服务器等关键部位的防护;对于存在网络应用的企业,应当综合利用防火墙、路由器等网络设备,采用内容过应当综合利用防火墙、路由器等网络设备,采用内容过滤、漏洞扫描、入侵检测等软件技术加强网络安全,严滤、漏洞扫描、入侵检测等软件技术加强网络安全,严密防范来自互联网的黑客攻击和非法侵入。对于通过互密防范来自互联网的黑客攻击和非法侵入。对于通过互联网传输的涉密
388、或者关键业务数据,企业应当采取必要联网传输的涉密或者关键业务数据,企业应当采取必要的技术手段确保信息传递的保密性、准确性、完整性。的技术手段确保信息传递的保密性、准确性、完整性。内控应用指引第内控应用指引第1818号号 3信息系统的运行与维护信息系统的运行与维护3.3.2 控制措施:控制措施:g企业应当建立系统数据定期备份制度,明确备份范围、企业应当建立系统数据定期备份制度,明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。频度、方法、责任人、存放地点、有效性检查等内容。系统首次上线运行时应当完全备份,然后根据业务频率系统首次上线运行时应当完全备份,然后根据业务频率和数据重要性程度
389、,定期做好增量备份。数据正本与备和数据重要性程度,定期做好增量备份。数据正本与备份应分别存放于不同地点,防止因火灾、水灾、地震等份应分别存放于不同地点,防止因火灾、水灾、地震等事故产生不利影响。企业可综合采用磁盘、磁带、光盘事故产生不利影响。企业可综合采用磁盘、磁带、光盘等备份存储介质。等备份存储介质。内控应用指引第内控应用指引第1818号号 3信息系统的运行与维护信息系统的运行与维护h信息系统不相容职务涉及的人员可以分为三类:系统开信息系统不相容职务涉及的人员可以分为三类:系统开发建设人员、系统管理和维护人员、系统操作使用人员。发建设人员、系统管理和维护人员、系统操作使用人员。开发人员在运行
390、阶段不能操作使用信息系统,否则就可开发人员在运行阶段不能操作使用信息系统,否则就可能掌握其中的涉密数据,进行非法利用;能掌握其中的涉密数据,进行非法利用;系统管理和维护人员担任密码保管、授权、系统变更等关系统管理和维护人员担任密码保管、授权、系统变更等关键任务,如果允许其使用信息系统,就可能较为容易地键任务,如果允许其使用信息系统,就可能较为容易地篡改数据,从而达到侵吞财产或滥用计算机信息的目的。篡改数据,从而达到侵吞财产或滥用计算机信息的目的。此外,信息系统使用人员也需要区分不同岗位,包括业务此外,信息系统使用人员也需要区分不同岗位,包括业务数据录入、数据检查、业务批准等,在他们之间也应有必
391、数据录入、数据检查、业务批准等,在他们之间也应有必要的相互牵制。要的相互牵制。企业应建立用户管理制度,加强对重要业务系统的访问权企业应建立用户管理制度,加强对重要业务系统的访问权限管理,避免将不相容职责授予同一用户。限管理,避免将不相容职责授予同一用户。企业应当采用密码控制等技术手段进行用户身份识别。企业应当采用密码控制等技术手段进行用户身份识别。内控应用指引第内控应用指引第1818号号 3信息系统的运行与维护信息系统的运行与维护对于重要的业务系统,应当采用数字证书、生物识别等对于重要的业务系统,应当采用数字证书、生物识别等可靠性强的技术手段识别用户身份。可靠性强的技术手段识别用户身份。对于发
392、生岗位变化或离岗的用户,用户部门应当及时通对于发生岗位变化或离岗的用户,用户部门应当及时通知系统管理人员调整其在系统中的访问权限或者关闭账知系统管理人员调整其在系统中的访问权限或者关闭账号。号。企业应当定期对系统中的账号进行审阅,避免存在授权企业应当定期对系统中的账号进行审阅,避免存在授权不当或非授权账号。不当或非授权账号。对于超级用户,企业应当严格规定其使用条件和操作程对于超级用户,企业应当严格规定其使用条件和操作程序,并对其在系统中的操作全程进行监控或审计。序,并对其在系统中的操作全程进行监控或审计。i企业应积极开展信息系统风险评估工作,定期对信息系企业应积极开展信息系统风险评估工作,定期
393、对信息系统进行安全评估,及时发现系统安全问题并加以整改。统进行安全评估,及时发现系统安全问题并加以整改。内控应用指引第内控应用指引第1818号号 3信息系统的运行与维护信息系统的运行与维护3.4系统终结的关键控制点和主要控制措施系统终结的关键控制点和主要控制措施系统终结是信息系统生命周期的最后一个阶段,在该阶系统终结是信息系统生命周期的最后一个阶段,在该阶段信息系统将停止运行。停止运行的原因通常有:企业段信息系统将停止运行。停止运行的原因通常有:企业破产或被兼并、原有信息系统被新的信息系统代替。破产或被兼并、原有信息系统被新的信息系统代替。3.4.1 主要风险主要风险:a因经营条件发生剧变,数
394、据可能泄密。因经营条件发生剧变,数据可能泄密。b信息档案的保管期限不够长。信息档案的保管期限不够长。3.4.2 控制措施:控制措施:a要做好善后工作,不管因何种情况导致系统停止运行,要做好善后工作,不管因何种情况导致系统停止运行,都应将废弃系统中有价值或者涉密的信息进行销毁、转都应将废弃系统中有价值或者涉密的信息进行销毁、转移。移。b严格按照国家有关法规制度和对电子档案的管理规定严格按照国家有关法规制度和对电子档案的管理规定(比如审计准则对审计证据保管年限的要求),妥善保(比如审计准则对审计证据保管年限的要求),妥善保管相关信息档案。管相关信息档案。内控应用指引第内控应用指引第1818号号 信
395、息系统信息系统-安全警示安全警示内控应用指引第内控应用指引第1818号号 “肉鸡肉鸡”企业内部控制评价指引企业内部控制评价指引1 1 评价指引制定的依据评价指引制定的依据2 2 内部控制评价概述内部控制评价概述3 3 内部控制评价的内容内部控制评价的内容4 4 内部控制评价的程序内部控制评价的程序5 5 内部控制缺陷的认定内部控制缺陷的认定6 6 内部控制评价报告内部控制评价报告1评价指引制定的依据评价指引制定的依据1.1企业内部控制基本规范企业内部控制基本规范第四十六条:第四十六条:“企企业应当结合内部监督情况,定期对内部控制业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内
396、部控制自我的有效性进行自我评价,出具内部控制自我 评价报评价报告告”。1.2为促进企业全面评价内部控制的设计与运行为促进企业全面评价内部控制的设计与运行情况,规范内部控制评价程序和评价报告,情况,规范内部控制评价程序和评价报告, 揭示和揭示和防范风险,特制定防范风险,特制定企业内部控制评企业内部控制评价指引价指引(下称(下称“评价指引评价指引”)。)。内控内控评价评价指引指引 2内部控制评价概述内部控制评价概述2.1内部控制评价的作用。内部控制评价的作用。2.1.1 有助于企业自我完善内控体系。有助于企业自我完善内控体系。内部控制评价是通过评价、反馈、再评价,报告企业在内部控制评价是通过评价、
397、反馈、再评价,报告企业在内部控制建立与实施中存在的问题,并持续地进行自我内部控制建立与实施中存在的问题,并持续地进行自我完善的过程。完善的过程。通过内部控制评价查找、分析内控的缺陷并有针对性地通过内部控制评价查找、分析内控的缺陷并有针对性地督促落实整改,及时堵塞管理漏洞,防范偏离目标的各督促落实整改,及时堵塞管理漏洞,防范偏离目标的各种风险,从设计到执行全方位健全优化管控制度,从而种风险,从设计到执行全方位健全优化管控制度,从而促进企业内控体系的不断完善。促进企业内控体系的不断完善。内控内控评价评价指引指引 2内部控制评价概述内部控制评价概述2.1内部控制评价的作用。内部控制评价的作用。2.1
398、.2 有助于提升企业市场形象和公众认可度。有助于提升企业市场形象和公众认可度。企业开展内部控制评价,需形成评价结论,出具评价报企业开展内部控制评价,需形成评价结论,出具评价报告。通过自我评价报告,将企业的风险管理水平、内部告。通过自我评价报告,将企业的风险管理水平、内部控制状况以及与此相关的发展战略、竞争优势、可持续控制状况以及与此相关的发展战略、竞争优势、可持续发展能力等公布于众,树立诚信、透明、负责任的企业发展能力等公布于众,树立诚信、透明、负责任的企业形象,有利于增强投资者、债权人以及其他利益相关者形象,有利于增强投资者、债权人以及其他利益相关者的信任度和认可度,为自己创造更为有利的外部
399、环境,的信任度和认可度,为自己创造更为有利的外部环境,促进企业的长远可持续发展。促进企业的长远可持续发展。内控内控评价评价指引指引 2内部控制评价概述内部控制评价概述2.1内部控制评价的作用。内部控制评价的作用。2.1.3 有助于实现与政府监管的协调互动。有助于实现与政府监管的协调互动。政府监管部门有权对企业内部控制建立与实施的有效性政府监管部门有权对企业内部控制建立与实施的有效性进行监督检查。进行监督检查。实施企业内控自我评价,能够通过自查及早排查风险、实施企业内控自我评价,能够通过自查及早排查风险、发现问题,并积极整改,有利于在配合政府监管中赢得发现问题,并积极整改,有利于在配合政府监管中
400、赢得主动,并借助政府监管成果进一步改进企业内控实施和主动,并借助政府监管成果进一步改进企业内控实施和评价工作,促进自我评价与政府监管的协调互动。评价工作,促进自我评价与政府监管的协调互动。内控内控评价评价指引指引 2内部控制评价概述内部控制评价概述2.2内部控制评价的对象内部控制评价的对象内部控制评价是对内部控制有效性发表意见。内部控制评价是对内部控制有效性发表意见。所谓内部控制有效性,是指企业建立与实施内部控制对所谓内部控制有效性,是指企业建立与实施内部控制对实现控制目标提供合理保证的程度,包括内部控制实现控制目标提供合理保证的程度,包括内部控制设计设计的有效性和内部控制的有效性和内部控制运
401、行运行的有效性。的有效性。2.2.1 内部控制设计的有效性,是指为实现控制目标所必需的内部控制设计的有效性,是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制要素都存在并且设计恰当;2.2.2 内部控制运行的有效性,是指现有内部控制按照规定程内部控制运行的有效性,是指现有内部控制按照规定程序得到了正确执行。评价内部控制运行的有效性,应当序得到了正确执行。评价内部控制运行的有效性,应当着重考虑以下几个方面:(着重考虑以下几个方面:(1)相关控制在评价期内是如)相关控制在评价期内是如何运行的;(何运行的;(2)相关控制是否得到了持续一致的运行;)相关控制是否得到了持续一致的运行;(
402、3)实施控制的人员是否具备必要的权限和能力。)实施控制的人员是否具备必要的权限和能力。内控内控评价评价指引指引 2内部控制评价概述内部控制评价概述2.2内部控制评价的对象内部控制评价的对象2.2.3 内部控制固有的局限性内部控制固有的局限性即使同时满足设计有效性和运行有效性标准的内部控即使同时满足设计有效性和运行有效性标准的内部控制,受内部控制固有局限影响,也只能为内部控制目标制,受内部控制固有局限影响,也只能为内部控制目标的实现提供合理保证,而不能提供绝对保证,不应不切的实现提供合理保证,而不能提供绝对保证,不应不切实际地期望内部控制能够绝对保证内部控制目标的实实际地期望内部控制能够绝对保证
403、内部控制目标的实现,也现,也不应以内部控制目标的最终实现情况和程度作为不应以内部控制目标的最终实现情况和程度作为唯一依唯一依据直接判断内部控制设计和运行的有效性。据直接判断内部控制设计和运行的有效性。内控内控评价评价指引指引 2内部控制评价概述内部控制评价概述2.3内部控制评价的原则内部控制评价的原则2.3.1 全面性原则。全面性原则。内控评价的涵盖范围应当全面,应当包括内部控制的设内控评价的涵盖范围应当全面,应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。计与运行,涵盖企业及其所属单位的各种业务和事项。2.3.2 重要性原则。重要性原则。在全面性的基础之上,着眼于风险,突
404、出重点。核心要在全面性的基础之上,着眼于风险,突出重点。核心要求主要包括两个方面:一是要坚持风险导向的思路,着求主要包括两个方面:一是要坚持风险导向的思路,着重关注那些影响内部控制目标实现的高风险领域和风险重关注那些影响内部控制目标实现的高风险领域和风险点;二是要坚持重点突出的思路,着重关注那些重要的点;二是要坚持重点突出的思路,着重关注那些重要的业务事项和关键的控制环节,以及重要业务单位。业务事项和关键的控制环节,以及重要业务单位。2.3.3 客观性原则。客观性原则。内部控制评价工作应当准确地揭示经营管理的风险状内部控制评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计和运行的有
405、效性。只有在内况,如实反映内部控制设计和运行的有效性。只有在内部控制评价工作方案制定、实施的全过程中始终坚持客部控制评价工作方案制定、实施的全过程中始终坚持客观性,才能保证评价结果的客观性。观性,才能保证评价结果的客观性。内控内控评价评价指引指引 2内部控制评价概述内部控制评价概述2.4内部控制评价的组织形式和职责安排内部控制评价的组织形式和职责安排评价指引评价指引第四条第四条规定,企业应当根据本评价指引,规定,企业应当根据本评价指引,结合内部控制设计与运行的实际情况,制定具体的内部结合内部控制设计与运行的实际情况,制定具体的内部控制评价办法,规定评价的原则、内容、程序、方法和控制评价办法,规
406、定评价的原则、内容、程序、方法和报告形式等,明确相关机构或岗位的职责权限,落实责报告形式等,明确相关机构或岗位的职责权限,落实责任制,按照规定的办法、程序和要求,有序开展内部控任制,按照规定的办法、程序和要求,有序开展内部控制评价工作。制评价工作。企业内部控制评价办法应当结合企业内部控制评价办法应当结合企业内部控制基本规企业内部控制基本规范范第四十四条第四十四条的规定,具体明确内部控制评价的组织的规定,具体明确内部控制评价的组织形式,特别明确各有关方面在内部控制评价中的职责安形式,特别明确各有关方面在内部控制评价中的职责安排,处理好内部控制评价和内部监督的关系,定期由相排,处理好内部控制评价和
407、内部监督的关系,定期由相对独立的人员对内部控制有效性进行科学的评价,界定对独立的人员对内部控制有效性进行科学的评价,界定内部控制缺陷认定标准,保证内部控制评价有序地开展。内部控制缺陷认定标准,保证内部控制评价有序地开展。内控内控评价评价指引指引 2内部控制评价概述内部控制评价概述2.4.1 内部控制评价的组织形式内部控制评价的组织形式可以授权可以授权内部审计机构内部审计机构或或专门机构专门机构(下称(下称“内部控制内部控制评价机构评价机构”)负责内部控制评价的具体组织实施工作。)负责内部控制评价的具体组织实施工作。内部控制评价机构必须具备一定的设置条件:内部控制评价机构必须具备一定的设置条件:
408、a一是能够独立行使对内部控制系统建立与运行过程及结一是能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力;果进行监督的权力;b二是具备与监督和评价内部控制系统相适应的专业胜任二是具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养;能力和职业道德素养;c三是与企业其他职能机构就监督与评价内部控制系统方三是与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致,在工作中相互配合、相互制约,面应当保持协调一致,在工作中相互配合、相互制约,在效率效果上满足企业对内部控制系统进行监督与评价在效率效果上满足企业对内部控制系统进行监督与评价所提出的有关要求;所提出的有关要求;d
409、四是能够得到企业董事会和经理层的支持,有足够的权四是能够得到企业董事会和经理层的支持,有足够的权威性来保证内部控制评价工作的顺利开展。威性来保证内部控制评价工作的顺利开展。内控内控评价评价指引指引 2内部控制评价概述内部控制评价概述2.4.1 内部控制评价的组织形式内部控制评价的组织形式企业可根据自身特点,决定内部控制评价的组织形式企业可根据自身特点,决定内部控制评价的组织形式a单独设置专门的内部控制评价机构。单独设置专门的内部控制评价机构。b单独设有专门内部控制机构的企业,也可以由内部控制单独设有专门内部控制机构的企业,也可以由内部控制机构来负责内部控制评价的具体组织实施工作。机构来负责内部
410、控制评价的具体组织实施工作。为了保证评价的独立性,负责内部控制设计和评价的部为了保证评价的独立性,负责内部控制设计和评价的部门应适当分离。门应适当分离。c委托会计师事务所等中介机构实施内部控制评价。委托会计师事务所等中介机构实施内部控制评价。此时,董事会(审计委员会)应加强对内部控制评价工此时,董事会(审计委员会)应加强对内部控制评价工作的监督与指导。从业务性质上讲,中介机构受托为企作的监督与指导。从业务性质上讲,中介机构受托为企业实施内部控制评价是一种非保证服务,业实施内部控制评价是一种非保证服务,内部控制评价内部控制评价报告的责任仍然应由企业董事会承担。报告的责任仍然应由企业董事会承担。为
411、保证审计的独立性,为企业提供内控审计的会计师事为保证审计的独立性,为企业提供内控审计的会计师事务所,不得同时为同一家企业提供内控评价服务。务所,不得同时为同一家企业提供内控评价服务。内控内控评价评价指引指引 2内部控制评价概述内部控制评价概述2.4.2 内部控制评价中的职责和任务内部控制评价中的职责和任务无论采取何种组织形式,董事会、经理层和内部控制评无论采取何种组织形式,董事会、经理层和内部控制评价机构在内部控制评价中的职能作用不会发生本质的变价机构在内部控制评价中的职能作用不会发生本质的变化。化。a董事会对内部控制评价承担最终的责任。董事会对内部控制评价承担最终的责任。评价指引评价指引第四
412、条第二款规定,企业董事会应当对内第四条第二款规定,企业董事会应当对内部控制评价报告的真实性负责。董事会可以通过审计委部控制评价报告的真实性负责。董事会可以通过审计委员会来承担对内部控制评价的组织、领导、监督职责。员会来承担对内部控制评价的组织、领导、监督职责。董事会或审计委员会应听取内部控制评价报告,审定内董事会或审计委员会应听取内部控制评价报告,审定内控重大缺陷、重要缺陷整改意见,对内部控制部门在督控重大缺陷、重要缺陷整改意见,对内部控制部门在督促整改中遇到的困难,积极协调,排除障碍。促整改中遇到的困难,积极协调,排除障碍。监事会应审议内部控制评价报告,对董事会建立与实施监事会应审议内部控制
413、评价报告,对董事会建立与实施内部控制进行监督。内部控制进行监督。内控内控评价评价指引指引 2内部控制评价概述内部控制评价概述2.4.2 内部控制评价中的职责和任务内部控制评价中的职责和任务b经理层负责经理层负责组织实施组织实施内部控制评价工作内部控制评价工作实际操作中,可以授权内部控制评价机构组织实施,并实际操作中,可以授权内部控制评价机构组织实施,并积极支持和配合内部控制评价的开展,创造良好的环境积极支持和配合内部控制评价的开展,创造良好的环境和条件。和条件。经理层应结合日常掌握的业务情况,为内部控制评价方经理层应结合日常掌握的业务情况,为内部控制评价方案提出应重点关注的业务或事项,审定内部
414、控制评价方案提出应重点关注的业务或事项,审定内部控制评价方案和听取内部控制评价报告,对于内部控制评价中发现案和听取内部控制评价报告,对于内部控制评价中发现的问题或报告的缺陷,要按照董事会或审计委员会的整的问题或报告的缺陷,要按照董事会或审计委员会的整改意见积极采取有效措施予以整改。改意见积极采取有效措施予以整改。内控内控评价评价指引指引 2内部控制评价概述内部控制评价概述2.4.2 内部控制评价中的职责和任务内部控制评价中的职责和任务c内部控制评价机构内部控制评价机构根据授权承担内部控制评价的根据授权承担内部控制评价的具体组织实施具体组织实施任务。任务。c1通过复核、汇总、分析内部监督资料,结
415、合经理层要通过复核、汇总、分析内部监督资料,结合经理层要求,拟订合理评价工作方案并认真组织实施;求,拟订合理评价工作方案并认真组织实施;c2对于评价过程中发现的重大问题,应及时与董事会、审对于评价过程中发现的重大问题,应及时与董事会、审计委员会或经理层沟通,并认定内部控制缺陷,拟订整计委员会或经理层沟通,并认定内部控制缺陷,拟订整改方案,编写内部控制评价报告,及时向董事会、审计改方案,编写内部控制评价报告,及时向董事会、审计委员会或经理层报告;委员会或经理层报告;c3沟通外部审计师,督促各部门、所属企业对内、外部内沟通外部审计师,督促各部门、所属企业对内、外部内控评价进行整改;根据评价和整改情
416、况拟订内部控制考控评价进行整改;根据评价和整改情况拟订内部控制考核方案。核方案。内控内控评价评价指引指引 2内部控制评价概述内部控制评价概述2.4.2 内部控制评价中的职责和任务内部控制评价中的职责和任务d各专业部门各专业部门应负责组织本部门的内控自查、测试和评价工作,对发应负责组织本部门的内控自查、测试和评价工作,对发现的设计和运行缺陷提出整改方案及具体整改计划,积现的设计和运行缺陷提出整改方案及具体整改计划,积极整改,并报送内部控制机构复核,配合内控机构(部极整改,并报送内部控制机构复核,配合内控机构(部门)及外部审计师开展企业层面的内控评价工作。门)及外部审计师开展企业层面的内控评价工作
417、。e企业所属单位企业所属单位应逐级落实内部控制评价责任,建立日常监控机制,开应逐级落实内部控制评价责任,建立日常监控机制,开展内控自查、测试和定期检查评价,发现问题并认定内展内控自查、测试和定期检查评价,发现问题并认定内部控制有缺陷,需拟订整改方案和计划,报本级管理层部控制有缺陷,需拟订整改方案和计划,报本级管理层审定后,督促整改,编制内部控制评价报告,对内部控审定后,督促整改,编制内部控制评价报告,对内部控制的执行和整改情况进行考核。制的执行和整改情况进行考核。内控内控评价评价指引指引 3内部控制评价的内容内部控制评价的内容3.1内部控制评价内容内部控制评价内容内部控制评价应紧紧围绕内部环境
418、、风险评估、控制活内部控制评价应紧紧围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素进行,企业应结合动、信息与沟通、内部监督五要素进行,企业应结合企业内部控制基本规范企业内部控制基本规范、各项应用指引以及本企业、各项应用指引以及本企业的内部控制制度,确定具体评价内容,对内部控制设计的内部控制制度,确定具体评价内容,对内部控制设计与运行情况进行全面评价。与运行情况进行全面评价。3.2内部控制评价指标体系内部控制评价指标体系3.3内部控制评价工作底稿内部控制评价工作底稿内控内控评价评价指引指引 3内部控制评价的内容内部控制评价的内容3.1.1 内部环境评价内部环境评价应当包括组织架构、
419、发展战略、人力资源、企业文化、应当包括组织架构、发展战略、人力资源、企业文化、社会责任等方面。社会责任等方面。a组织架构评价可以重点从机构设置的整体控制力、权责组织架构评价可以重点从机构设置的整体控制力、权责划分、相互牵制、信息流动路径等方面进行;划分、相互牵制、信息流动路径等方面进行;b发展战略可以重点从发展战略的制定合理性、有效实施发展战略可以重点从发展战略的制定合理性、有效实施和适当调整三方面进行;和适当调整三方面进行;c人力资源评价应当重点从企业人力资源引进结构合理性、人力资源评价应当重点从企业人力资源引进结构合理性、开发机制、激励约束机制等方面进行;开发机制、激励约束机制等方面进行;
420、d企业文化评价应从建设和评估两方面进行,从而促进诚企业文化评价应从建设和评估两方面进行,从而促进诚信、道德价值观的提升,为内部控制的完善夯实人文基信、道德价值观的提升,为内部控制的完善夯实人文基础;础;e社会责任可以从安全生产、产品质量、环境保护与资源社会责任可以从安全生产、产品质量、环境保护与资源节约、促进就业、员工权益保护等方面进行。节约、促进就业、员工权益保护等方面进行。内控内控评价评价指引指引 3内部控制评价的内容内部控制评价的内容3.1.2 风险评估评价风险评估评价应当对日常经营管理过程中的目标设定、风险识别、风应当对日常经营管理过程中的目标设定、风险识别、风险分析、应对策略等进行认
421、定和评价。险分析、应对策略等进行认定和评价。3.1.3 控制活动评价控制活动评价应对企业各类业务的控制措施与流程的设计有效性和运应对企业各类业务的控制措施与流程的设计有效性和运行有效性进行认定和评价。行有效性进行认定和评价。3.1.4 信息与沟通评价信息与沟通评价应当对信息收集、处理和传递的及时性、反舞弊机制的应当对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性进行认定和评价。利用信息系统实施内部控制的有效性进行认定和评价。3.1.5 内部监督评价内部监督评价应当对管理层
422、对于内部监督的基调、监督的有效性及内应当对管理层对于内部监督的基调、监督的有效性及内部控制缺陷认定的科学、客观、合理进行认定和评价。部控制缺陷认定的科学、客观、合理进行认定和评价。内控内控评价评价指引指引 3内部控制评价的内容内部控制评价的内容3.2内部控制核心指标体系内部控制核心指标体系重点关注监事会、审计委员会、内部审计机构等是否在重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥作用。内部控制设计和运行中有效发挥作用。以内部控制五要素为基础,建立内部控制核心指标体以内部控制五要素为基础,建立内部控制核心指标体系,系,在以上评价内容的基础上,层层分解、展开,进一在
423、以上评价内容的基础上,层层分解、展开,进一步细化,步细化,下面列举可供参考核心指标下面列举可供参考核心指标。3.3内部控制评价工作底稿内部控制评价工作底稿具体评价内容确定后,内部控制评价工作应形成工作底具体评价内容确定后,内部控制评价工作应形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、稿,详细记录企业执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定主要风险点、采取的控制措施、有关证据资料以及认定结果等。工作底稿可以是通过一系列评价表格加以实现。结果等。工作底稿可以是通过一系列评价表格加以实现。内控内控评价评价指引指引 3.2.1 内部环境评价内部
424、环境评价-组织架构组织架构内控内控评价评价指引指引 核心指标核心指标参考标准参考标准董事会、董事会、监监事会、事会、经经理理层层的相互制衡的相互制衡董事会及各董事会及各专门专门委委员员会、会、监监事会和事会和经经理理层层的的职责权职责权限、任限、任职资职资格和格和议议事事规规则则是否明确履行是否明确履行董事会、董事会、监监事会、事会、经经理理层层致力于内部控制致力于内部控制建建设设和和执执行行1.是否科学界定了董事会、是否科学界定了董事会、监监事会、事会、经经理理层层在建立与在建立与实实施内部控制中的施内部控制中的职责职责分工分工2.董事会是否采取必要的措施促董事会是否采取必要的措施促进进和推
425、和推动动企企业业内部控制工作,按照内部控制工作,按照职责职责分工分工提出内部控制提出内部控制评评价意价意见见,定期听取内部控制,定期听取内部控制报报告,督促内部控制整改,修告,督促内部控制整改,修订订内部控制要求内部控制要求组织组织机构机构设设置科学、置科学、精精简简、高效、透明、高效、透明、权责权责匹配、相互制衡匹配、相互制衡1.组织组织机构机构设设置是否与企置是否与企业业务业业务特点相一致,能特点相一致,能够够控制各控制各项业务项业务关关键键控制控制环环节节,各司其,各司其职职、各尽其、各尽其责责,不存在冗余的部,不存在冗余的部门门或多余的控制或多余的控制2.是否明确了是否明确了权责权责分
426、配、制定了分配、制定了权权限指引并保持限指引并保持权责权责行使的透明度行使的透明度组织组织架构适架构适应应性性是否定期梳理、是否定期梳理、评评估企估企业业治理治理结结构和内部机构构和内部机构设设置,置,发现问题发现问题及及时时采取措采取措施加以施加以优优化化调调整,是否定期听取董事、整,是否定期听取董事、监监事、高事、高级级管理人管理人员员和其他和其他员员工的工的意意见见,按照,按照规规定的定的权权限和程序限和程序进进行决策行决策审审批批组织组织架构架构对对子公司的子公司的控制力控制力是否通是否通过过合法有效的形式履行出合法有效的形式履行出资资人人职责职责,维护维护出出资资人人权权益,特益,特
427、别别关注异关注异地、境外子公司的地、境外子公司的发发展展战战略、年度略、年度财务预财务预决算、重大投融决算、重大投融资资、重大担保、重大担保、大大额资额资金使用、主要金使用、主要资产处资产处置、重要人事任免,内部控制体系建置、重要人事任免,内部控制体系建设设等重要等重要事事项项3.2.1 内部环境评价内部环境评价发展战略发展战略内控内控评价评价指引指引 核心指标核心指标参考标准参考标准发发展展战战略科学合理,略科学合理,既不缺乏也不激既不缺乏也不激进进,且且实实施到位施到位1.企企业业是否是否综综合考合考虑虑宏宏观经济观经济政策、国内外市政策、国内外市场场需求需求变变化、技化、技术发术发展展趋
428、势趋势、行、行业业及及竞竞争争对对手状况、可利用手状况、可利用资资源水平和自身源水平和自身优优势势与劣与劣势势等影响因素制定科学合理的等影响因素制定科学合理的发发展展战战略略2.是否根据是否根据发发展目展目标标制定制定战战略略规则规则,确定不同,确定不同发发展展阶阶段的具体段的具体目目标标、工件任、工件任务务和和实实施路径施路径3.是否是否设设立立战战略委略委员员会或指定相关机构会或指定相关机构负责发负责发展展战战略管理工件,略管理工件,是否明确是否明确战战略委略委员员会的会的职责职责和和议议事事规则规则并按并按规规定履行定履行职责职责4.是否是否对发对发展展战战略略进进行可行性研究和科学行可
429、行性研究和科学论证论证,并,并报报董事会和董事会和股股东东(大)会(大)会审议审议批准批准发发展展战战略有效略有效实实施施1.是否制定年度工作是否制定年度工作计计划,划,编编制全面制全面预预算,确保算,确保发发展展战战略的有略的有效效实实施施2.是否采取有效方式将是否采取有效方式将发发展展战战略及其分解落略及其分解落实实情况情况传递传递到内部到内部各管理各管理层级层级和全体和全体员员工工发发展展战战略科学略科学调调整整是否及是否及时监时监控控发发展展战战略略实实施情况,并根据施情况,并根据环环境境变变化及化及风险评风险评估估等情况及等情况及时顷发时顷发展展战战略做出略做出调调整整3.2.1 内
430、部环境评价内部环境评价人力资源政策人力资源政策内控内控评价评价指引指引 核心指核心指标标参考参考标标准准人力人力资资源源结结构构合理、能合理、能够满够满足企足企业业需要需要1.人力人力资资源政策是否有利于企源政策是否有利于企业业可持可持续发续发展和内部控制的有效展和内部控制的有效执执行行2.是否明确各是否明确各岗岗位位职责权职责权限、任限、任职职条件和工作要求、条件和工作要求、选选拔是否公开、拔是否公开、公平、公正,是否因事公平、公正,是否因事设岗设岗,以,以岗选岗选人人人力人力资资源开源开发发机制机制键键全有效全有效1.是否制定并是否制定并实实施关于施关于员员工聘用、培工聘用、培训训、辞退与
431、辞、辞退与辞职职、薪酬、考核、薪酬、考核、健康与安全。晋升与健康与安全。晋升与奖惩奖惩等方面的管理制度等方面的管理制度2.是否建立是否建立员员工培工培训长训长效机制,培效机制,培训训是否是否满满足足职职工和工和业务岗业务岗的需要,的需要,是否存在是否存在员员工知工知识识老化老化人力人力资资源激源激劢劢约约束机制健全束机制健全有效有效1.是否是否设设置科学的置科学的业绩业绩考核指考核指标标体系,并体系,并严严格考核格考核评评价,以此作价,以此作为为确定确定员员工薪酬、工薪酬、职级调职级调整和解除整和解除劳动劳动合同等的重要依据合同等的重要依据2.是否存在人才流失是否存在人才流失现现象象3.是否是
432、否对对关关键岗键岗位位员员工有工有强强制休假制度或定期制休假制度或定期轮岗轮岗制度等方面的安制度等方面的安排排4.是否是否对对掌握国家秘密或重要商掌握国家秘密或重要商业业秘密的秘密的员员工高度有限制性的工高度有限制性的规规定定5.是否将有效招待内部控制是否将有效招待内部控制纳纳入企入企业绩业绩效考效考评评体系体系3.2.1 内部环境评价内部环境评价社会责任社会责任内控内控评价评价指引指引 核心指标核心指标参考标准参考标准安全生安全生产产体体系、机制健系、机制健全有效全有效1.是否建立是否建立严严格的安全生格的安全生产产管理体系、操作管理体系、操作规规范和范和应应急急预预案,切案,切实实做到安全
433、生做到安全生产产2.是否落是否落实实安全生安全生产责产责任,任,对对安全生安全生产产的投入,包括人力、物力等,是否能保的投入,包括人力、物力等,是否能保证证及及时发现时发现、排除生、排除生产产安全安全隐隐患患3.发发生生生生产产安全事故,是否妥善安全事故,是否妥善处处理,排除故障,减理,排除故障,减轻损轻损失,追究失,追究责责任,是否有任,是否有迟报迟报、谍报谍报、瞒报瞒报重大生重大生产产安全事故安全事故现现象象产产品品质质量体量体系健全有效系健全有效是否建立是否建立严严格的格的产产品品质质量控制和量控制和检验检验制度并制度并严严格格执执行,是否有良好的售后服行,是否有良好的售后服务务,能能够
434、够妥善妥善处处理消理消费费者提出的投者提出的投诉诉和建和建议议切切实实履行履行环环境保境保护护和和资资源源节约责节约责任任1.是否制定是否制定环环境保境保护护与与资资源源节约节约制度,采取措施促制度,采取措施促进环进环境保境保护护、生、生态态建建设设和和资资源源节约节约并并实现节实现节能减排目能减排目标标2.是否是否实实施水到清施水到清洁洁生生产产,合理开,合理开发发利用不可再生利用不可再生资资源源促促进进就就业业和和保保护员护员工工权权益益1. 是否依法保是否依法保护员护员工的合法工的合法权权益,保持工作益,保持工作岗岗位相位相对稳对稳定,定,积积极促极促进进充分就充分就业业2.是否是否实现
435、实现按按劳劳分配,同工同酬、建立科学的分配,同工同酬、建立科学的员员工薪酬制度和激工薪酬制度和激劢劢机制,是否建机制,是否建立高立高级级管理人管理人员员与与员员工薪酬的正常增工薪酬的正常增长长机制机制3.是否及是否及时办时办理理员员工社会保工社会保险险,足,足额缴纳额缴纳社会保社会保险费险费4.是否是否维护员维护员工健康,落工健康,落实实休息体制制度休息体制制度5.是否是否积积极开展极开展员员工工职业职业教育培教育培训训,创创造平等造平等发发展机会展机会3.2.1 内部环境评价内部环境评价企业文化企业文化内控内控评价评价指引指引 核心指标核心指标参考标准参考标准企企业业文化文化具有凝聚具有凝聚
436、力和力和竞竞争争力,促力,促进进企企业业可持可持续发续发展展1.是否采取有效的措施,是否采取有效的措施,积积极培育具有自身特色的企极培育具有自身特色的企业业文化,打造以主文化,打造以主业业为为核心的企核心的企业业品牌,促品牌,促进进 企企业长远发业长远发展展2.企企业业董事、董事、监监事、事、经经理及其他高理及其他高级级管理人管理人员员是否在文化建是否在文化建设设和履行社会和履行社会责责任中起到表率作用,是否促任中起到表率作用,是否促进进文化建文化建设设在内部各在内部各层级层级的有效沟通的有效沟通3.是否做到文化建是否做到文化建设设与与发发展展战战略的有机略的有机结结合,使合,使员员工的自身价
437、工的自身价值值在企在企业业以以展中得到充分体展中得到充分体现现4.是否重是否重视视并并购购重重组组后的企后的企业业文化建文化建设设,平等,平等对对待被并待被并购购方的方的员员工,促工,促进进并并购购双方的文化融合双方的文化融合企企业业文化文化评评估具有估具有客客观观性、性、实实效性效性1.是否建立企是否建立企业业文化文化评评估制度,重点估制度,重点对对董事、董事、监监事、事、经经理和其他高理和其他高级级管理管理人人员员在企在企业业文化建文化建设设中的中的责责任履行情况,全体任履行情况,全体员员工工对对企企业业核心价核心价值值的的认认同感,企同感,企业经营业经营管理行管理行为为与企与企业业文化的
438、一致性,企文化的一致性,企业业品牌的社会影响力、品牌的社会影响力、参与企参与企业业并并购购重重组组各方文化的融合度,以及各方文化的融合度,以及员员工工对对企企业业未来未来发发展的信心展的信心做出做出评评估估2.是否是否针对评针对评估估结结果是否巩固和果是否巩固和发扬发扬文化建文化建设设成果,成果,进进而研究影响企而研究影响企业业文文化建化建设设的不利因素,分析深的不利因素,分析深层层次的原因,及次的原因,及时时采取措施加以改采取措施加以改进进3.2.2风险评估风险评估内控内控评价评价指引指引 核心指标核心指标参考标准参考标准目目标设标设定定1.企企业层业层面,是否有明确的目面,是否有明确的目标
439、标,目,目标标是否具有广泛的是否具有广泛的认识认识基基础础、企、企业业战战略是否与企略是否与企业业目目标标相匹配相匹配2.业务层业务层面,各面,各业务层业务层面目面目标标是否与企是否与企业业目目标标一致,各一致,各业务层业务层面目面目标标是是否否衔衔接一致、各接一致、各业务层业务层面目面目标标是否具有操作指是否具有操作指导导性性3.是否是否综综合企合企业业的的风险风险偏好,确定相偏好,确定相应应的的风险风险承受度承受度风险识别风险识别1.目目标标是否是否层层层层分解并确立关分解并确立关键业务键业务或事或事项项2.是否持是否持续续性的收集相关信息,内外部性的收集相关信息,内外部风险识别风险识别机
440、制是否健全,是否机制是否健全,是否识识别别影响公司目影响公司目标实现标实现的的风险风险3.是否根据关是否根据关键业务键业务或事或事项项分析关分析关键键成功因素成功因素4.是否影响公司目是否影响公司目标实现标实现的的风险风险风险风险分析分析1.风险风险分析技分析技术术方法的适用性方法的适用性2.结结合合风险发风险发生可能性和影响程度生可能性和影响程度标标准划分准划分风险风险的的级别级别的准确性的准确性3.风险发风险发生后生后负负面影响判断的准确性面影响判断的准确性风险应对风险应对1.风险应对风险应对策略与公司策略与公司战战略、企略、企业业文化的一致性文化的一致性2.风险风险承受度与承受度与风险应
441、对风险应对策略的匹配程度策略的匹配程度3.2.3控制活动控制活动内控内控评价评价指引指引 核心指标核心指标参考标准参考标准(一)控制活(一)控制活动动的的设计设计控制措施足以履盖控制措施足以履盖企企业业重要重要风险风险,不,不存在控制缺失、控存在控制缺失、控制制过过度度1.是否是否针对针对企企业业内部内部环环境境设设立了相立了相应应的控制措施的控制措施2.各各项项控制措施的控制措施的设计设计是否与是否与风险应对风险应对策略相适策略相适应应3.各各项项主要主要业务业务控制措施是否完整、恰当控制措施是否完整、恰当4.是否是否针对针对非常非常规规性、非系性、非系统统性性业务业务事事项项制定相制定相应
442、应的控制措施,的控制措施,并定期并定期对对其其执执行情况行情况进进行行检查检查分析分析5.是否建立重大是否建立重大风险预风险预警机制和突警机制和突发发事件事件应应急机制,相关急机制,相关应应急急预预案的案的处处置程序和置程序和处处理理结结果是否有效果是否有效(二)控制活(二)控制活动动的运行的运行控制活控制活动动运行符合运行符合控制措施控制措施规规定定针对针对各各类业务类业务事事项项的主要的主要风险风险和关和关键环节键环节所制定的各所制定的各类类控制方控制方法和控制措施是否得以有效法和控制措施是否得以有效实实施施3.2.4信息与沟通信息与沟通内控内控评价评价指引指引 核心指标核心指标参考标准参
443、考标准收集收集处处理和理和传递传递及及时时、准确、适用、准确、适用是否有透明高效的信息惧。是否有透明高效的信息惧。处处理、理、传递传递程序,合理程序,合理筛选筛选、核、核对对、整合与、整合与经营经营管理和管理和内部控制相差信息内部控制相差信息反舞弊机制反舞弊机制健全健全1.是否建立健全并有效是否建立健全并有效实实施反舞弊机制健全施反舞弊机制健全2.举报举报投投诉诉制度和制度和举报举报人保人保护护制度是否及制度是否及时时准确准确传传达至企达至企业业全体全体员员工工3.对对舞弊事件和舞弊事件和举报举报所涉及的所涉及的问题问题是否及是否及时时、妥善的作出、妥善的作出处处理理沟通沟通顺畅顺畅1.信息在
444、企信息在企业业内部各内部各层级层级之之间间、企、企业业与外部有关方面之与外部有关方面之间间的沟通是否有效的沟通是否有效2.董事会、董事会、监监事会和事会和经经理理层层是否能是否能够够及及时时掌握掌握经营经营管理和内部控制和重要信息并管理和内部控制和重要信息并进进行行应对应对3.员员工工诉诉求是否有求是否有顺畅顺畅的反映渠道的反映渠道利用信息化利用信息化程度程度1.企企业业是否建立与是否建立与经营经营管理相适管理相适应应的信息系的信息系统统,利用信息技,利用信息技术术提高提高对业务对业务事事项项的自的自动动控制水平控制水平2.在信息系在信息系统统的开的开发过发过程中,是否程中,是否对对信息技信息
445、技术风险进术风险进行行识别识别、评评估和防范估和防范3.信息系信息系统统的一般控制是否涵盖信息系的一般控制是否涵盖信息系统统开开发发与与维护维护、访问访问与与变变更、数据更、数据输输入与入与输输出、文件出、文件储储存与保管、网存与保管、网络络安全、硬件安全、硬件设备设备、操作人、操作人员员等方面,确保信息系等方面,确保信息系统统安全安全稳稳定运行定运行4.信息系信息系统统的的应应用控制是否用控制是否紧紧密密结结合合业务业务事事项进项进行,利用信息技行,利用信息技术术固化流程、提高固化流程、提高效率、减少或清除人效率、减少或清除人为为操操纵纵因素因素5.信息系信息系统统是否建立并保持相差信息交流
446、与沟通的是否建立并保持相差信息交流与沟通的记录记录3.2.5风险评估风险评估内控内控评价评价指引指引 核心指标核心指标参考标准参考标准内部内部监监督能督能够够覆盖并覆盖并监监控企控企业业日常日常业务业务活活动动1.管理管理层层是否定期与内部控制机构沟通是否定期与内部控制机构沟通评评价价结结果,并果,并积积极整改极整改2.是否落是否落实职实职能部能部门门和所属和所属单单位在日常位在日常监监督中的督中的责责任,及任,及时识别环时识别环境和境和业务变业务变化化3.日常日常监监督的内容是否督的内容是否为经过为经过分析确分析确认认的关的关键键控制并有效控制,是否按重要程度将控制并有效控制,是否按重要程度
447、将发现问题发现问题反反馈馈给给内部控制机构,是否内部控制机构,是否积积极采取整改措施极采取整改措施4.日常日常监监督用以督用以证证明内部控制有效性的信息是否适当和充分明内部控制有效性的信息是否适当和充分监监督人督人员员是否具有是否具有胜胜任能力和客任能力和客观观性性5.内部内部审计审计的建立性是否得以保障,的建立性是否得以保障,审计审计委委员员会和内部会和内部审计审计机构是否独立、充分地履行机构是否独立、充分地履行监监督督职责职责,审计监审计监督与内部控制沟通是否督与内部控制沟通是否顺畅顺畅6.是否开展了必要的是否开展了必要的专项监专项监督督7.内部控制机构是否追踪重大内部控制机构是否追踪重大
448、风险风险和重要和重要业务业务,是否制定内部控制自我,是否制定内部控制自我评评价价办办法和考核法和考核奖惩办奖惩办法,法,明确明确评评价主体、价主体、职责权职责权限、工作程序和有关要求,定期限、工作程序和有关要求,定期组织组织开展内部控制自我开展内部控制自我评评价,价,报报送自我送自我评评价价报报告,合理告,合理认认定内部控制缺陷并分析原因,提出整改方案建定内部控制缺陷并分析原因,提出整改方案建议议内部控制缺内部控制缺陷陷认认定科学、定科学、客客观观、合理,、合理,且且报报送机制送机制健全健全1.内部控制机构是否制定科学的内部控制缺陷内部控制机构是否制定科学的内部控制缺陷认认定定标标准并予以一准
449、并予以一贯贯的的执执行行2.是否是否对对控制缺陷控制缺陷进进行全面、深入地研究分析,提出并行全面、深入地研究分析,提出并实实施整改方案,采取适当的形式及施整改方案,采取适当的形式及时时向董向董事会、事会、监监事会或事会或经经理理层报层报告,督促告,督促业务业务部部门门整改,重大缺陷并按整改,重大缺陷并按规规定予以披露定予以披露3.对发现对发现的内部控制重大缺陷,是否追究相差的内部控制重大缺陷,是否追究相差责责任任单单位和位和责责任人的任人的责责任任4.是否建立内部控制缺陷信息数据是否建立内部控制缺陷信息数据库库,并,并对历对历年年发现发现的内部控制缺陷及其整改情况的内部控制缺陷及其整改情况进进
450、行跟踪行跟踪检查检查内部控制建内部控制建设设与与评评价文价文档妥善保管档妥善保管1.是否采取是否采取书书面或其他适当方式面或其他适当方式对对内部控制的建立与内部控制的建立与实实施情况施情况进进行行记录记录2.是否妥善保存内部控制相关是否妥善保存内部控制相关记录记录和和资资料,确保内部控制建立与料,确保内部控制建立与实实施施过过程的可程的可验证验证性性3.对暂对暂未建立健全的有关内部控制文档或未建立健全的有关内部控制文档或记录记录,是否有,是否有证证据表明确已据表明确已实实施了有效控制或者替代控施了有效控制或者替代控制措施制措施4 4 4 4内部控制评价的程序、频率和方法内部控制评价的程序、频率
451、和方法内部控制评价的程序、频率和方法内部控制评价的程序、频率和方法4.1内部控制评价的一般程序内部控制评价的一般程序内部控制评价程序一般包括:制定评价工作方案、组成内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、汇总评价结果、编报评价评价工作组、实施现场测试、汇总评价结果、编报评价报告等。概括而言,主要分为以下几个阶段:报告等。概括而言,主要分为以下几个阶段:4.1.1 准备阶段准备阶段4.1.2 实施阶段实施阶段4.1.3 汇总评价结果、编制评价报告阶段汇总评价结果、编制评价报告阶段4.1.4 报告反馈和跟踪阶段报告反馈和跟踪阶段内控内控评价评价指引指引 4 4内部
452、控制评价的程序、频率和方法内部控制评价的程序、频率和方法4.1内部控制评价的一般程序内部控制评价的一般程序4.1.1 准备阶段准备阶段a制定评价工作方案。制定评价工作方案。内部控制评价机构应当根据企业内部监督情况和管理要内部控制评价机构应当根据企业内部监督情况和管理要求,分析企求,分析企业经营管理过程中的高风险领域和重要业业经营管理过程中的高风险领域和重要业务事项,确定检查评价方法,制定科学合理的评价工作务事项,确定检查评价方法,制定科学合理的评价工作方案,经董事会批准后实施。方案应当明确评价主体范方案,经董事会批准后实施。方案应当明确评价主体范围、工作任务、人员组织、进度安排和费用预算等相关
453、围、工作任务、人员组织、进度安排和费用预算等相关内容。既以全面评价为主,也可以根据需要采用重点评内容。既以全面评价为主,也可以根据需要采用重点评价的方式。价的方式。b组成评价工作组。组成评价工作组。内部控制评价机构根据经批准的评价方案,挑选具备独内部控制评价机构根据经批准的评价方案,挑选具备独立性、业务胜任能力和职业道德素养的评价人员实施评立性、业务胜任能力和职业道德素养的评价人员实施评价。评价工作组成员应当吸收企业内部相关机构熟悉情价。评价工作组成员应当吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。企业应根况、参与日常监控的负责人或业务骨干参加。企业应根据自身条件,尽量建
454、立长效内部控制评价培训机制。据自身条件,尽量建立长效内部控制评价培训机制。内控内控评价评价指引指引 4 4内部控制评价的程序、频率和方法内部控制评价的程序、频率和方法4.1内部控制评价的一般程序内部控制评价的一般程序4.1.2 实施阶段实施阶段a了解被评价单位基本情况。了解被评价单位基本情况。充分与企业沟通企业文化和充分与企业沟通企业文化和发展战略、组织机构设置及职责分工、领导层成员构成发展战略、组织机构设置及职责分工、领导层成员构成及分工等基本情况。及分工等基本情况。b确定检查评价范围和重点。确定检查评价范围和重点。评价工作组根据掌握的情况评价工作组根据掌握的情况进一步确定评价范围、检查重点
455、和抽样数量,并结合评进一步确定评价范围、检查重点和抽样数量,并结合评价人员的专业背景进行合理分工。检查重点和分工情况价人员的专业背景进行合理分工。检查重点和分工情况可以根据需要进行适时调整。可以根据需要进行适时调整。c开展现场检查测试。开展现场检查测试。评价工作组根据评价人员分工,综评价工作组根据评价人员分工,综合运用各种评价方法对内部控制设计与运行的有效性进合运用各种评价方法对内部控制设计与运行的有效性进行现场检查测试,按要求填写工作底稿、记录相关测试行现场检查测试,按要求填写工作底稿、记录相关测试结果,并对发现的内部控制缺陷进行初步认定。结果,并对发现的内部控制缺陷进行初步认定。内控内控评
456、价评价指引指引 4 4内部控制评价的程序、频率和方法内部控制评价的程序、频率和方法4.1内部控制评价的一般程序内部控制评价的一般程序4.1.3汇总评价结果、编制评价报告阶段汇总评价结果、编制评价报告阶段a汇总评价人员的工作底稿,初步认定内部控制缺陷,形成现汇总评价人员的工作底稿,初步认定内部控制缺陷,形成现场评价报告。评价工作底稿应进行交叉复核签字,并由评价场评价报告。评价工作底稿应进行交叉复核签字,并由评价工作组负工作组负责人审核后签字确认。评价工作组将评价结果及现责人审核后签字确认。评价工作组将评价结果及现场评价报告向被场评价报告向被评价单位进行通报,由被评价单位相关责任评价单位进行通报,
457、由被评价单位相关责任 人签字确认后,提交企人签字确认后,提交企业内部控制评价机构。业内部控制评价机构。b内部控制评价机构汇总各评价工作组的评价结果,对工作组内部控制评价机构汇总各评价工作组的评价结果,对工作组现场初步认定的内部控制缺陷进行全面复核、分类汇总;对现场初步认定的内部控制缺陷进行全面复核、分类汇总;对缺陷的成缺陷的成因、表现形式及风险程度进行定量或定性的综合分因、表现形式及风险程度进行定量或定性的综合分析,按照对控制析,按照对控制目标的影响程度判定缺陷等级。目标的影响程度判定缺陷等级。c内部控制评价机构以汇总的评价结果和认定的内部控制缺陷内部控制评价机构以汇总的评价结果和认定的内部控
458、制缺陷为基础,综合内部控制工作整体情况,客观、公正、完整地为基础,综合内部控制工作整体情况,客观、公正、完整地编制内部编制内部控制评价报告,并报送企业经理层、董事会和监事控制评价报告,并报送企业经理层、董事会和监事会,由董事会最会,由董事会最终审定后对外披露。终审定后对外披露。内控内控评价评价指引指引 4 4内部控制评价的程序、频率和方法内部控制评价的程序、频率和方法4.1内部控制评价的一般程序内部控制评价的一般程序4.1.4 报告反馈和跟踪阶段报告反馈和跟踪阶段对于认定的内部控制缺陷,内部控制评价机构应当结合对于认定的内部控制缺陷,内部控制评价机构应当结合董事会和审计委员会要求,提出整改建议
459、,要求责任单董事会和审计委员会要求,提出整改建议,要求责任单位及时整改,并跟踪其整改落实情况;已经造成损失或位及时整改,并跟踪其整改落实情况;已经造成损失或负面影响的,企业应当追究相关人员的责任。负面影响的,企业应当追究相关人员的责任。内控内控评价评价指引指引 4 4 4 4内部控制评价的程序、频率和方法内部控制评价的程序、频率和方法内部控制评价的程序、频率和方法内部控制评价的程序、频率和方法4.2内部控制评价的频率内部控制评价的频率企业每年应对内部控制进行评价并予以披露。但是内部企业每年应对内部控制进行评价并予以披露。但是内部控制自我评价的方式、范围、程序和频率,由企业根据控制自我评价的方式
460、、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实际风经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的,从险水平等自行确定。国家有关法律法规另有规定的,从其规定。其规定。如果内部监督程序无效,或所提供信息不足以说明内部如果内部监督程序无效,或所提供信息不足以说明内部控制有效,应增加评价的频率。控制有效,应增加评价的频率。内控内控评价评价指引指引 4 4 4 4内部控制评价的程序、频率和方法内部控制评价的程序、频率和方法内部控制评价的程序、频率和方法内部控制评价的程序、频率和方法4.3内部控制评价的方法内部控制评价的方法评价指引
461、评价指引第十五条规定,内部控制评价工作组应当第十五条规定,内部控制评价工作组应当对被评价单位进行现场测试,综合运用个别访谈、调查对被评价单位进行现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。作底稿,研究分析内部控制缺陷。内控内控评价评价指引指引 4 4 4 4内部控制评价的程序、频率和方法内部控
462、制评价的程序、频率和方法内部控制评价的程序、频率和方法内部控制评价的程序、频率和方法4.3.1 个别访谈法个别访谈法个别访谈法主要用于了解公司内部控制的现状,在企业个别访谈法主要用于了解公司内部控制的现状,在企业层面评价及业务层面评价的了解阶段经常使用。访谈前层面评价及业务层面评价的了解阶段经常使用。访谈前应根据内部控制评价需求形成访谈提纲,撰写访谈纪应根据内部控制评价需求形成访谈提纲,撰写访谈纪要,记录访谈的内容。要,记录访谈的内容。4.3.2 调查问卷法调查问卷法调查问卷法主要用于企业层面评价。调查问卷应尽量扩调查问卷法主要用于企业层面评价。调查问卷应尽量扩大对象范围,包括企业各个层级员工
463、,应注意事先保密大对象范围,包括企业各个层级员工,应注意事先保密性,题目尽量简单易答(如答案只需为性,题目尽量简单易答(如答案只需为“是是”、“否否”、“有有”、“没有没有”等等)。等等)。内控内控评价评价指引指引 4 4 4 4内部控制评价的程序、频率和方法内部控制评价的程序、频率和方法内部控制评价的程序、频率和方法内部控制评价的程序、频率和方法4.4.4 穿行测试法穿行测试法穿行测试法是指在内部控制流程中任意选取一笔交易作穿行测试法是指在内部控制流程中任意选取一笔交易作为样本,追踪该交易从最初起源直到最终在财务报表或为样本,追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来
464、的过程,即该流程从起点其他经营管理报告中反映出来的过程,即该流程从起点到终点的全过程,以此了解控制措施设计的有效性,并到终点的全过程,以此了解控制措施设计的有效性,并识别出关键控制点。识别出关键控制点。4.4.4 抽样法抽样法抽样法分为随机抽样和其他抽样。随机抽样是指按随机抽样法分为随机抽样和其他抽样。随机抽样是指按随机原则从样本库中抽取一定数量的样本;其他抽样是指人原则从样本库中抽取一定数量的样本;其他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量工任意选取或按某一特定标准从样本库中抽取一定数量的样本。的样本。内控内控评价评价指引指引 4 4 4 4内部控制评价的程序、频率和方法
465、内部控制评价的程序、频率和方法内部控制评价的程序、频率和方法内部控制评价的程序、频率和方法4.3.5 实地查验法实地查验法实地查验法主要针对业务层面控制,它通过使用统一的实地查验法主要针对业务层面控制,它通过使用统一的测试工作表,与实际的业务、财务单证进行核对的方法测试工作表,与实际的业务、财务单证进行核对的方法进行控制测试。如实地盘点某种存货。进行控制测试。如实地盘点某种存货。4.3.6 比较分析法比较分析法比较分析法是指通过数据分析,识别评价关注点的方法。比较分析法是指通过数据分析,识别评价关注点的方法。数据分析可以是与历史数据、行业(公司)标准数据或数据分析可以是与历史数据、行业(公司)
466、标准数据或行业最优数据等进行比较。行业最优数据等进行比较。内控内控评价评价指引指引 4 4 4 4内部控制评价的程序、频率和方法内部控制评价的程序、频率和方法内部控制评价的程序、频率和方法内部控制评价的程序、频率和方法4.3.7 专题讨论法专题讨论法专题讨论法主要是集合有关专业人员就内部控制执行情专题讨论法主要是集合有关专业人员就内部控制执行情况或控制问题进行分析,既可以是控制评价的手段,也况或控制问题进行分析,既可以是控制评价的手段,也是形成缺陷整改方案的途径。是形成缺陷整改方案的途径。此外,还可以使用观察、重新执行等方法,也可以利用此外,还可以使用观察、重新执行等方法,也可以利用信息系统开
467、发检查方法,或利用实际工作和检查测试经信息系统开发检查方法,或利用实际工作和检查测试经验。验。对于企业通过系统采用自动控制、预防控制的,应在方对于企业通过系统采用自动控制、预防控制的,应在方法上注意与人工控制、发现性控制的区别。法上注意与人工控制、发现性控制的区别。内控内控评价评价指引指引 5内部控制缺陷的认定内部控制缺陷的认定企业开展内部控制评价,主要工作内容之一就是要找出企业开展内部控制评价,主要工作内容之一就是要找出内部控制缺陷并有针对性地进行整改。内部控制缺陷并有针对性地进行整改。评价指引评价指引第十六条至第十九条对内部控制缺陷的分第十六条至第十九条对内部控制缺陷的分类、认定作出专门的
468、解释。类、认定作出专门的解释。5.1内部控制缺陷的分类内部控制缺陷的分类5.1.1 按照内部控制按照内部控制缺陷成因或来源缺陷成因或来源,内部控制缺陷包括设计,内部控制缺陷包括设计缺陷和运行缺陷。缺陷和运行缺陷。a设计缺陷是指企业缺少为实现控制目标所必需的控制,设计缺陷是指企业缺少为实现控制目标所必需的控制,或现存控制或现存控制设计不适当,即使正常运行也难以实现控设计不适当,即使正常运行也难以实现控制目标。制目标。b运行缺陷是指设计有效(合理且适当)的内部控制由于运行缺陷是指设计有效(合理且适当)的内部控制由于运行不当(包括由不恰当的人执行、未按设计的方式运运行不当(包括由不恰当的人执行、未按
469、设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等)行、运行的时间或频率不当、没有得到一贯有效运行等)而形成的内部控制缺陷。而形成的内部控制缺陷。内控内控评价评价指引指引 5内部控制缺陷的认定内部控制缺陷的认定5.1内部控制缺陷的分类内部控制缺陷的分类5.1.2按照影响企业内部控制目标实现的严重程度,内部控制缺陷分为重按照影响企业内部控制目标实现的严重程度,内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。大缺陷、重要缺陷和一般缺陷。a重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。当存在任何一个或多个内部控
470、制重大缺陷时,应当在离控制目标。当存在任何一个或多个内部控制重大缺陷时,应当在内部控制评价报告中作出内部控制无效的结论。内部控制评价报告中作出内部控制无效的结论。b重要缺陷,是指一个或多个控制缺陷的组合,其严重程度低于重大重要缺陷,是指一个或多个控制缺陷的组合,其严重程度低于重大缺陷,但仍有可能导致企业偏离控制目标。重要缺陷的严重程度低缺陷,但仍有可能导致企业偏离控制目标。重要缺陷的严重程度低于重大缺陷,不会严重危及内部控制的整体有效性,但也应当引起于重大缺陷,不会严重危及内部控制的整体有效性,但也应当引起董事会、经理层的充分关注。董事会、经理层的充分关注。c一般缺陷,是指除重大缺陷、重要缺陷
471、以外的其他控制缺陷。将内一般缺陷,是指除重大缺陷、重要缺陷以外的其他控制缺陷。将内部控制评价中发现的内部控制缺陷划分为重大缺陷、重要缺陷和一部控制评价中发现的内部控制缺陷划分为重大缺陷、重要缺陷和一般缺陷,需要借助一套可系统遵循的认定标准,认定过程中还需要般缺陷,需要借助一套可系统遵循的认定标准,认定过程中还需要内部控制评价人员充分运用职业判断。一般而言,如果一个企业存内部控制评价人员充分运用职业判断。一般而言,如果一个企业存在的内部控制缺陷达到了重大缺陷的程度,我们就不能说该企业的在的内部控制缺陷达到了重大缺陷的程度,我们就不能说该企业的内部控制是整体有效的。内部控制是整体有效的。内控内控评
472、价评价指引指引 5内部控制缺陷的认定内部控制缺陷的认定5.1内部控制缺陷的分类内部控制缺陷的分类5.1.3 按照具体影响内部控制目标的具体表现形式,还可以将按照具体影响内部控制目标的具体表现形式,还可以将内部控制缺陷分为财务报告缺陷和非财务报告缺陷。内部控制缺陷分为财务报告缺陷和非财务报告缺陷。内控内控评价评价指引指引 5内部控制缺陷的认定内部控制缺陷的认定5.2内部控制缺陷的认定标准内部控制缺陷的认定标准5.2.1 内部控制缺陷的重要性和影响程度内部控制缺陷的重要性和影响程度评价指引评价指引第十六条规定,企业对第十六条规定,企业对内部控制缺陷的认内部控制缺陷的认定定,应当以构成内部控制的内部
473、监督要素中的日常监督,应当以构成内部控制的内部监督要素中的日常监督和专项监督为基础,结合年度内部控制评价,由内部控和专项监督为基础,结合年度内部控制评价,由内部控制评价机构进行综合分析后提出认定意见,按照规定的制评价机构进行综合分析后提出认定意见,按照规定的权限和程序进行审核,权限和程序进行审核,由董事会予以最终确定由董事会予以最终确定。内控内控评价评价指引指引 5内部控制缺陷的认定内部控制缺陷的认定5.2内部控制缺陷的认定标准内部控制缺陷的认定标准5.2.1 内部控制缺陷的重要性和影响程度内部控制缺陷的重要性和影响程度a首先,内部控制评价从属于内部监督,是监督结果的总首先,内部控制评价从属于
474、内部监督,是监督结果的总体体现。在企业正常的生产经营中,内部控制评价倚重体体现。在企业正常的生产经营中,内部控制评价倚重内部监督;内部监督;b其次,充分利用日常监督与专项监督结果的基础上,至其次,充分利用日常监督与专项监督结果的基础上,至少每年由内部控制评价机构对内部控制的五要素相对独少每年由内部控制评价机构对内部控制的五要素相对独立地进行评价,全面地、综合地分析,提出认定意见,立地进行评价,全面地、综合地分析,提出认定意见,报董事会审定;报董事会审定;c第三,企业应当根据评价指引,结合自身情况和关注的第三,企业应当根据评价指引,结合自身情况和关注的重点,自行确定内部控制重大缺陷、重要缺陷和一
475、般缺重点,自行确定内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。陷的具体认定标准。d第四,根据具体认定标准认定企业存在的内部控制缺第四,根据具体认定标准认定企业存在的内部控制缺陷,由董事会最终审定。陷,由董事会最终审定。内控内控评价评价指引指引 5内部控制缺陷的认定内部控制缺陷的认定5.2内部控制缺陷的认定标准内部控制缺陷的认定标准5.2.1 内部控制缺陷的重要性和影响程度内部控制缺陷的重要性和影响程度内部控制缺陷的重要性和影响程度是相对于内部控制目内部控制缺陷的重要性和影响程度是相对于内部控制目标而言的。内控评价指引要求区分财务报告内部控制缺标而言的。内控评价指引要求区分财务报告内部控
476、制缺陷和非财务报告内部控制缺陷分别阐述内部控制缺陷的陷和非财务报告内部控制缺陷分别阐述内部控制缺陷的认定标准。认定标准。内控内控评价评价指引指引 5内部控制缺陷的认定内部控制缺陷的认定5.2.2 财务报告内部控制缺陷的认定标准财务报告内部控制缺陷的认定标准财务报告内部控制是指针对财务报告目标而设计和实施财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。的内部控制。由于财务报告内部控制的目标集中体现为财务报告的可由于财务报告内部控制的目标集中体现为财务报告的可靠性,因而财务报告内部控制的缺陷主要是指不能合理靠性,因而财务报告内部控制的缺陷主要是指不能合理保证财务报告可靠性的内部控制设计
477、和运行缺陷。换句保证财务报告可靠性的内部控制设计和运行缺陷。换句话说,财务报告内部控制的缺陷,是指不能及时防止或话说,财务报告内部控制的缺陷,是指不能及时防止或发现并纠正财务报告错报的内部控制缺陷。发现并纠正财务报告错报的内部控制缺陷。内控内控评价评价指引指引 5内部控制缺陷的认定内部控制缺陷的认定5.2.2财务报告内部控制缺陷的认定标准财务报告内部控制缺陷的认定标准将财务报告内部控制的缺陷划分为重大缺陷、重要缺陷和一般缺将财务报告内部控制的缺陷划分为重大缺陷、重要缺陷和一般缺陷,所采用的认定标准直接取决于由于该内部控制缺陷的存在可能陷,所采用的认定标准直接取决于由于该内部控制缺陷的存在可能导
478、致的财务报告错报的重要程度。这种重要程度主要取决于两个方导致的财务报告错报的重要程度。这种重要程度主要取决于两个方面的因素:面的因素:(1)该缺陷是否具备合理可能性导致企业的内部控制不能及时防)该缺陷是否具备合理可能性导致企业的内部控制不能及时防止或发现并纠正财务报告错报。合理可能性是指大于微小可能性止或发现并纠正财务报告错报。合理可能性是指大于微小可能性(几乎不(几乎不可能发生)的可能性,确定是否具备合理可能性涉及评价可能发生)的可能性,确定是否具备合理可能性涉及评价 人员的职业判断。人员的职业判断。(2)该缺陷单独或连同其他缺陷可能导致的潜)该缺陷单独或连同其他缺陷可能导致的潜在错报金额的
479、大小。在错报金额的大小。另外,一些迹象通常表明财务报告内部控制可能存在重大缺陷:另外,一些迹象通常表明财务报告内部控制可能存在重大缺陷:(1)董事、监事和高级管理人员舞弊;)董事、监事和高级管理人员舞弊;(2)企业更正已公布的财务报告;)企业更正已公布的财务报告;(3)注册会计师发现当期财务报告存在重大错报,而内部控制在)注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报;运行过程中未能发现该错报;(4)企业审计委员会和内部审计机构对内部控制的监督无效。)企业审计委员会和内部审计机构对内部控制的监督无效。内控内控评价评价指引指引 5内部控制缺陷的认定内部控制缺陷的认定
480、5.2.2 财务报告内部控制缺陷的认定标准财务报告内部控制缺陷的认定标准一般而言,如果一项内部控制缺陷单独或连同其他缺陷一般而言,如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报具备合理可能性导致不能及时防止或发现并纠正财务报告中的重大错报,就应将该缺陷认定为重大缺陷。重大告中的重大错报,就应将该缺陷认定为重大缺陷。重大错报中的错报中的“重大重大”,涉及企业管理层确定的财务报告的,涉及企业管理层确定的财务报告的重重要性水平。要性水平。一般企业可以采用绝对金额法或相对比例法来确定重要一般企业可以采用绝对金额法或相对比例法来确定重要性水平。如果企业的财务报告内
481、部控制存在一项或多项性水平。如果企业的财务报告内部控制存在一项或多项重大缺陷,就不能得出该企业的财务报告内部控制有效重大缺陷,就不能得出该企业的财务报告内部控制有效的结论。的结论。一项内部控制缺陷单独或连同其他缺陷具备合理可能性一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中虽然未达到导致不能及时防止或发现并纠正财务报告中虽然未达到和超过重要性水平、但仍应引起董事会和管理层重视的和超过重要性水平、但仍应引起董事会和管理层重视的错报,就应将该缺陷认定为重要缺陷。不构成重大缺陷错报,就应将该缺陷认定为重要缺陷。不构成重大缺陷和重要缺陷的内部控制缺陷,应认定为一
482、般缺陷。和重要缺陷的内部控制缺陷,应认定为一般缺陷。内控内控评价评价指引指引 5内部控制缺陷的认定内部控制缺陷的认定5.2.3 非财务报告内部控制缺陷的认定标准非财务报告内部控制缺陷的认定标准非财务报告内部控制是指针对除财务报告目标之外的其非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制。这些目标一般包括战略目标、资产他目标的内部控制。这些目标一般包括战略目标、资产安全、经营目标、合规目标等。非财务报告评价应当作安全、经营目标、合规目标等。非财务报告评价应当作为企业内部控制评价的重点。为企业内部控制评价的重点。非财务报告内部控制缺陷认定具有涉及面广、认定难度非财务报告内部控制缺
483、陷认定具有涉及面广、认定难度大的特点。企业可以根据风险评估的各项工作,对大的特点。企业可以根据风险评估的各项工作,对企企业内部控制应用指引业内部控制应用指引中每一篇应用指引所阐述的风中每一篇应用指引所阐述的风险,根据自身的实际情况、管理现状和发展要求,加以险,根据自身的实际情况、管理现状和发展要求,加以细化或按内部控制原理补充,参照财务报告内部控制缺细化或按内部控制原理补充,参照财务报告内部控制缺陷的认定标准,合理确定定性和定量的认定标准,根据陷的认定标准,合理确定定性和定量的认定标准,根据其对内部控制目标实现的影响程度认定为一般缺陷、重其对内部控制目标实现的影响程度认定为一般缺陷、重要缺陷和
484、重大缺陷。要缺陷和重大缺陷。内控内控评价评价指引指引 5内部控制缺陷的认定内部控制缺陷的认定5.2.3 非财务报告内部控制缺陷的认定标准非财务报告内部控制缺陷的认定标准为避免企业操纵内部控制评价报告,非财务报告内部控为避免企业操纵内部控制评价报告,非财务报告内部控制缺陷认定标准一经确定,必须在不同评价期间保持一制缺陷认定标准一经确定,必须在不同评价期间保持一致,不得随意变更。致,不得随意变更。需要强调的是,在内部控制的非财务报告目标中,战略需要强调的是,在内部控制的非财务报告目标中,战略和经营目标的实现往往受到企业不可控的诸多外部因素和经营目标的实现往往受到企业不可控的诸多外部因素的影响,企业
485、的内部控制只能合理保证董事会和管理层的影响,企业的内部控制只能合理保证董事会和管理层了解这些目标的实现程度。因而,在认定针对这些控制了解这些目标的实现程度。因而,在认定针对这些控制目标的内部控制缺陷时,我们不能只考虑最终的结果,目标的内部控制缺陷时,我们不能只考虑最终的结果,而主要应该考虑企业制定战略、开展经营活动的机制和而主要应该考虑企业制定战略、开展经营活动的机制和程序是否符合内部控制要求,以及不适当的机制和程序程序是否符合内部控制要求,以及不适当的机制和程序对企业战略及经营目标实现可能造成的影响。对企业战略及经营目标实现可能造成的影响。内控内控评价评价指引指引 5内部控制缺陷的认定内部控
486、制缺陷的认定5.3内部控制缺陷的报告与整改内部控制缺陷的报告与整改5.3.1 内部控制缺陷报告的格式和途径内部控制缺陷报告的格式和途径评价指引评价指引第十九条规定,企业内部控制评价机构应第十九条规定,企业内部控制评价机构应当编制内部控制缺陷认定汇总表,结合日常监督和专项当编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见并以适当的形式向董事会、监全面复核,提出认定意见并以适当的形式向董事
487、会、监事会或者经理层报告。事会或者经理层报告。重大缺陷应当由董事会予以最终认定。企业对于认定的重大缺陷应当由董事会予以最终认定。企业对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在重大缺陷,应当及时采取应对策略,切实将风险控制在可承受度之内,并追究有关部门或相关人员的责任。可承受度之内,并追究有关部门或相关人员的责任。内部控制缺陷报告应当采取书面形式,可以单独报告,内部控制缺陷报告应当采取书面形式,可以单独报告,也可以作为内部控制评价报告的一个重要组成部分。也可以作为内部控制评价报告的一个重要组成部分。内控内控评价评价指引指引 5内部控制缺陷的认定内部控制缺陷的认定5.3内部控制缺陷
488、的报告与整改内部控制缺陷的报告与整改5.3.1 内部控制缺陷报告的格式和途径内部控制缺陷报告的格式和途径内部控制的一般缺陷、重要缺陷应定期(至少每年)报内部控制的一般缺陷、重要缺陷应定期(至少每年)报告,重大缺陷应立即报告。告,重大缺陷应立即报告。对于重大缺陷和重要缺陷及整改方案,应向董事会(审对于重大缺陷和重要缺陷及整改方案,应向董事会(审计委员会)、监事会或经理层报告并审定。计委员会)、监事会或经理层报告并审定。如果出现不适合向经理层报告的情形,例如存在与管理如果出现不适合向经理层报告的情形,例如存在与管理层舞弊相关的内部控制缺陷,或存在管理层凌驾于内部层舞弊相关的内部控制缺陷,或存在管理
489、层凌驾于内部控制之上的情形,应当直接向董事会(审计委员会)、控制之上的情形,应当直接向董事会(审计委员会)、监事会报告。监事会报告。对于一般缺陷,可以与企业经理层报告,并视情况考虑对于一般缺陷,可以与企业经理层报告,并视情况考虑是否需要向董事会(审计委员会)、监事会报告。是否需要向董事会(审计委员会)、监事会报告。内控内控评价评价指引指引 5内部控制缺陷的认定内部控制缺陷的认定5.3.2 内部控制缺陷整改方案及期限内部控制缺陷整改方案及期限企业对于认定的内部控制缺陷,应当及时采取整改措企业对于认定的内部控制缺陷,应当及时采取整改措施,切实将风险控制在可承受度之内,并追究有关机构施,切实将风险控
490、制在可承受度之内,并追究有关机构或相关人员的责任。或相关人员的责任。企业内部控制评价机构应当就发现的内部控制缺陷提出企业内部控制评价机构应当就发现的内部控制缺陷提出整改建议,并报经理层、董事会(审计委员会)、监事整改建议,并报经理层、董事会(审计委员会)、监事会批准。获批后,应制定切实可行的整改方案,包括整会批准。获批后,应制定切实可行的整改方案,包括整改目标、内容、步骤、措施、方法和期限。改目标、内容、步骤、措施、方法和期限。整改期限超过一年的,整改目标应明确近期和远期目标整改期限超过一年的,整改目标应明确近期和远期目标以及相应的整改工作内容。以及相应的整改工作内容。内控内控评价评价指引指引
491、 6内部控制评价报告内部控制评价报告内部控制评价报告是内部控制评价的最终体现,按照编内部控制评价报告是内部控制评价的最终体现,按照编制主体、报送对象和时间,分为制主体、报送对象和时间,分为对内报告对内报告和和对外报告对外报告。a对外报告的内容、格式等强调符合披露要求,时间具有对外报告的内容、格式等强调符合披露要求,时间具有强制性;强制性;b对内报告则主要以符合企业董事会(审计委员对内报告则主要以符合企业董事会(审计委员会)、会)、经理层需要为主,编制主体层级更多、内容上更加详尽、经理层需要为主,编制主体层级更多、内容上更加详尽、格式更加多样,时间可以定期或不定期。格式更加多样,时间可以定期或不
492、定期。c评价指引评价指引第二十条规定,企业应当根据第二十条规定,企业应当根据企业内部企业内部第控制基本规范第控制基本规范、应用指引和本指引,设计内部控制、应用指引和本指引,设计内部控制评价报告的种类、格式和内容,明确内部控制评价报告评价报告的种类、格式和内容,明确内部控制评价报告编制程序和要求,按照规定的权限报经批准后对外报出。编制程序和要求,按照规定的权限报经批准后对外报出。内控内控评价评价指引指引 6内部控制评价报告内部控制评价报告6.1对外报告的内容:对外报告的内容:a董事会声明。董事会声明。声明董事会及全体董事对报告内容的真实声明董事会及全体董事对报告内容的真实性、准确性、完整性承担个
493、别及连带责任,保证报告内性、准确性、完整性承担个别及连带责任,保证报告内容不存在任何虚假记载、误导性陈述或重大遗漏。容不存在任何虚假记载、误导性陈述或重大遗漏。b内部控制评价工作的总体情况。内部控制评价工作的总体情况。明确企业内部控制评价明确企业内部控制评价工作的组织、领导体制、进度安排,是否聘请会计师事工作的组织、领导体制、进度安排,是否聘请会计师事务所对内部控制有效性进行独立审计。务所对内部控制有效性进行独立审计。c内部控制评价的依据。内部控制评价的依据。说明企业开展内部控制评价工作说明企业开展内部控制评价工作所依据的法律法规和规章制度。所依据的法律法规和规章制度。d内部控制评价的范围。内
494、部控制评价的范围。描述内部控制评价所涵盖的被评描述内部控制评价所涵盖的被评价单位,以及纳入评价范围的业务事项,及重点关注的价单位,以及纳入评价范围的业务事项,及重点关注的高风险领域。内部控制评价的范围如有所遗漏的,应说高风险领域。内部控制评价的范围如有所遗漏的,应说明原因,及其对内部控制评价报告真实完整性产生的重明原因,及其对内部控制评价报告真实完整性产生的重大影响等。大影响等。内控内控评价评价指引指引 6内部控制评价报告内部控制评价报告6.1对外报告的内容:对外报告的内容:e内部控制评价的程序和方法。内部控制评价的程序和方法。描述内部控制评价工作遵描述内部控制评价工作遵循的基本流程,以及评价
495、过程中采用的主要方法。循的基本流程,以及评价过程中采用的主要方法。f内部控制缺陷及其认定。内部控制缺陷及其认定。描述适用本企业的内部控制缺描述适用本企业的内部控制缺陷具体认定标准,并声明与以前年度保持一致或做出的陷具体认定标准,并声明与以前年度保持一致或做出的调整及相应原因;根据内部控制缺陷认定标准,确定评调整及相应原因;根据内部控制缺陷认定标准,确定评价期末存在的重大缺陷、重要缺陷和一般缺陷。价期末存在的重大缺陷、重要缺陷和一般缺陷。g内部控制缺陷的整改情况。内部控制缺陷的整改情况。对于评价期间发现、期末已对于评价期间发现、期末已完成整改的重大缺陷,说明企业有足够的测试样本显完成整改的重大缺
496、陷,说明企业有足够的测试样本显示,与该重大缺陷相关的内部控制设计且运行有效。针示,与该重大缺陷相关的内部控制设计且运行有效。针对评价期末存在的内部控制缺陷,公司拟采取的整改措对评价期末存在的内部控制缺陷,公司拟采取的整改措施及预期效果。施及预期效果。内控内控评价评价指引指引 6内部控制评价报告内部控制评价报告6.1 对外报告的内容:对外报告的内容:h内部控制有效性的结论。内部控制有效性的结论。对不存在重大缺陷的情形,出具评价期末内部控制有效结对不存在重大缺陷的情形,出具评价期末内部控制有效结论;论;对存在重大缺陷的情形,不得作出内部控制有效的结论,对存在重大缺陷的情形,不得作出内部控制有效的结
497、论,并需描述该重大缺陷的性质及其对实现相关控制目标的影并需描述该重大缺陷的性质及其对实现相关控制目标的影响程度,可能给公司未来生产经营带来相关风险。自内部响程度,可能给公司未来生产经营带来相关风险。自内部控制评价报告基准日至内部控制评价报告发出日之间发生控制评价报告基准日至内部控制评价报告发出日之间发生重大缺陷的,企业须责成内部控制评价机构予以核实,并重大缺陷的,企业须责成内部控制评价机构予以核实,并根据核查结果对评价结论进行相应调整,说明董事会拟采根据核查结果对评价结论进行相应调整,说明董事会拟采取的措施。取的措施。内控内控评价评价指引指引 6内部控制评价报告内部控制评价报告6.2内部控制评
498、价报告的编制和报送内部控制评价报告的编制和报送评价指引评价指引第二十三条规定,企业应当根据年度内部第二十三条规定,企业应当根据年度内部控制评价结果,结合内部控制评价工作底稿和内部控制控制评价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,按照规定的程序和要求,及时编制缺陷汇总表等资料,按照规定的程序和要求,及时编制内部控制评价报告。内部控制评价报告。内控内控评价评价指引指引 6内部控制评价报告内部控制评价报告6.2内部控制评价报告的编制和报送内部控制评价报告的编制和报送6.2.1 评价报告的编制评价报告的编制6.2.1.1内部控制评价报告的编制时间内部控制评价报告的编制时间内部控制评
499、价报告分为定期内部控制评价报告和非定期内部控制评价报告分为定期内部控制评价报告和非定期内部控制评价报告。内部控制评价报告。企业应该定期进行内部控制评价并发布内部控制评价报企业应该定期进行内部控制评价并发布内部控制评价报告。企业至少应该每年进行一次内部告。企业至少应该每年进行一次内部控制评价并由董事会对外发布内部控制评价报告。年度控制评价并由董事会对外发布内部控制评价报告。年度内部控制评价报告应当以内部控制评价报告应当以12月月31日作为基准日。日作为基准日。非定期内部控制评价报告可以是因特殊事项或原因而对非定期内部控制评价报告可以是因特殊事项或原因而对外发布的内部控制评价报告,也可以是企业针对
500、发现的外发布的内部控制评价报告,也可以是企业针对发现的重大缺陷专项内部控制评价等向董事会(审计委员会)重大缺陷专项内部控制评价等向董事会(审计委员会)或经理层报送的内部报告(即内部控制缺陷报告)。或经理层报送的内部报告(即内部控制缺陷报告)。内控内控评价评价指引指引 6内部控制评价报告内部控制评价报告6.2.1 评价报告的编制评价报告的编制6.2.1.2内部控制评价报告的编制主体内部控制评价报告的编制主体内部控制评价报告的编制主体包括单个企业和企业集团内部控制评价报告的编制主体包括单个企业和企业集团的母公司。的母公司。单个企业内部控制评价报告指某一企业以自身经营业务单个企业内部控制评价报告指某
501、一企业以自身经营业务和管理活动为辐射范围编制的内部控制评价报告,属于和管理活动为辐射范围编制的内部控制评价报告,属于对内报告;对内报告;企业集团母公司内部控制评价报告是企业集团的母公司企业集团母公司内部控制评价报告是企业集团的母公司在汇总、复核、评价、分析后,以母公司及下属(或控在汇总、复核、评价、分析后,以母公司及下属(或控股子公司)的经营业务和管理活动为辐射范围编制的内股子公司)的经营业务和管理活动为辐射范围编制的内部控制评价报告,是对企业集团内部控制设计有效性和部控制评价报告,是对企业集团内部控制设计有效性和运行有效性的总体评价,可以是对内或对外报告。运行有效性的总体评价,可以是对内或对
502、外报告。内控内控评价评价指引指引 6内部控制评价报告内部控制评价报告6.2.2 评价报告的报送评价报告的报送评价指引评价指引第二十四条至二十六条规定了评价报告及第二十四条至二十六条规定了评价报告及内部控制审计报告对外报送的要求。内部控制审计报告对外报送的要求。a内部控制评价报告应当报经董事会或类似权力机构批准后对外披内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。露或报送相关部门。b企业内部控制评价部门应当关注自内部控制评价报告基准日至内部企业内部控制评价部门应当关注自内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并控制评价报告发
503、出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。根据其性质和影响程度对评价结论进行相应调整。c企业内部控制审计报告应当与内部控制评价报告同时对外披露或报企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送。送。d企业应当以企业应当以12月月31日作为年度内部控制评价报告的基准日。日作为年度内部控制评价报告的基准日。e此外,企业内部控制评价报告应按规定报送有关监管部门,例如国此外,企业内部控制评价报告应按规定报送有关监管部门,例如国有控股企业应按要求报送国有资产监督管理部门和财政部门、金融有控股企业应按要求报送国有资产监督管理部门和财政部门、金融企
504、业应按规定报送银行业监督管企业应按规定报送银行业监督管 理部门和保险监督管理部门、公开理部门和保险监督管理部门、公开发行证券的企业应报送证券监督管理部门。发行证券的企业应报送证券监督管理部门。内控内控评价评价指引指引 6内部控制评价报告内部控制评价报告6.3内部控制评价报告的披露和使用内部控制评价报告的披露和使用6.3.1 评价报告的披露评价报告的披露公司的价值创造能力不仅取决于现有的经营基础和目前公司的价值创造能力不仅取决于现有的经营基础和目前的盈利水平,更主要取决于公司的决策科学性和管控能的盈利水平,更主要取决于公司的决策科学性和管控能力。力。公众公司必须向社会披露内部控制评估报告,满足投
505、资公众公司必须向社会披露内部控制评估报告,满足投资者及利益相关者了解企业治理水平、管理规范化和抵御者及利益相关者了解企业治理水平、管理规范化和抵御各类风险的能力的需要,更好地服务于他们做出投资决各类风险的能力的需要,更好地服务于他们做出投资决策和相关决策。策和相关决策。内控内控评价评价指引指引 6内部控制评价报告内部控制评价报告6.3.2 评价报告的使用评价报告的使用企业内部控制评价对外报告的使用者包括政府有关监管企业内部控制评价对外报告的使用者包括政府有关监管部门、投资者以及其他利益相关者、中介机构和研究机部门、投资者以及其他利益相关者、中介机构和研究机构等。构等。对内报告的使用者主要是企业
506、董事会(审计委员会)、对内报告的使用者主要是企业董事会(审计委员会)、各层级管理者以及有关监管部门。各层级管理者以及有关监管部门。在使用内部控制评价报告时,还应注意与内部控制注册在使用内部控制评价报告时,还应注意与内部控制注册会计师审计报告、内部控制监管信息、财务报告信息等会计师审计报告、内部控制监管信息、财务报告信息等相关信息结合使用,以起到全面分析、综合判断、相互相关信息结合使用,以起到全面分析、综合判断、相互验证的效果。验证的效果。内部控制评价的有关文件资料、工作底稿和证明材料等内部控制评价的有关文件资料、工作底稿和证明材料等应当妥善保管,年度报告应永久保存。应当妥善保管,年度报告应永久保存。内控内控评价评价指引指引 谢谢谢谢各各位位,再再见见2010.10.21