關于征求《企業內部控制評價指引》及工程項目等5項內部控制應用指引意見的通知

——更新時間：2009-04-28 02:45:26 點擊率: 4609

財會便[2009]7號

企業內部控制標準委員會委員、咨詢專家，各企業，會計師事務所等有關單位：

　　在修改完善組織架構等10個應用指引項目并征求意見的基礎上，我們又調整修改了《企業內部控制評價指引》和工程項目等5個應用指引，現征求意見。請于2009年2月6日前將意見反饋至企業內部控制標準委員會秘書處(設在財政部會計司)。
　　征求意見稿電子版全文，請在財政部會計司網站或財政部會計準則委員會網站下載，網址是www.mof.gov.cn/kjs/；www.casc.gov.cn。

　　聯系人：王晶米傳軍
　　聯系電話：010-68552552 010-68552550
　　通信地址：北京市西城區三里河南三巷3號財政部會計司綜合處
　　郵政編碼：100820
　　電子郵箱：wangjing1123@mof.gov.cn；michuanjun@mof.gov.cn

　　附件：
　　1．《企業內部控制評價指引》(征求意見稿)
　　2．《企業內部控制應用指引第xx號——工程項目》(征求意見稿)等

　　企業內部控制標準委員會秘書處
　　(財政部會計司)
　　二〇〇九年一月十四日

附件1：
　　企業內部控制評價指引

　　（征求意見稿）
　　第一章總則
　　第一條為了規范企業內部控制評價，全面評估內部控制設計與運行情況，編制內部控制評價報告，根據有關法律法規和《企業內部控制基本規范》，制定本指引。
　　第二條本指引所稱內部控制評價，是指企業董事會（或類似決策機構）或其授權機構，對內部控制設計與運行的有效性進行綜合評估的過程。
　　第三條企業應當根據《企業內部控制基本規范》和本評價指引，結合本企業的實際情況，制定內部控制評價辦法，明確內部控制評價的原則和內容、程序和方法、以及報告形式等相關內容，確保內部控制評價工作落到實處。
　　企業主要負責人應當對內部控制評價結論的真實性負責。
　　第四條企業應當建立內部控制評價結果分析利用和考核制度，將內部控制評價結果和整改情況作為內部績效考評的重要依據。
　　第二章評價的原則和內容
　　第五條企業實施內部控制評價，至少應當遵循全面性、重要性和獨立性原則，確保評價工作標準統一、客觀公正。
　　全面性，是指評價工作應當包括內部控制的設計與運行，涵蓋企業及其所屬單位的各種業務和事項。
　　重要性，是指在全面評價的基礎上關注重要高風險領域。
　　獨立性，是指評價工作應當于內部控制的設計與運行相互分離。
　　第六條企業內部控制評價應當以內部環境為基礎，重點關注：治理結構是否形同虛設；發展戰略是否可行；機構設置是否重疊；權責分配是否明晰；不相容崗位是否分離；人力資源政策和激勵約束機制是否科學合理；企業文化是否促進員工勤勉盡責；社會責任是否有效履行等。
　　第七條企業內部控制評價應當以生產經營活動為重點，至少關注：資金的籌集、投放和營運過程是否存在資金鏈斷裂；資產運行中是否存在效能低下或資產流失；采購與銷售環節是否存在舞弊行為；研發項目是否經過科學論證；工程項目是否存在商業賄賂等。
　　第八條企業內部控制評價應當兼顧控制手段，至少關注：全面預算是否具有約束力；合同履行是否存在糾紛；信息系統是否與內部控制有機結合；內部報告是否及時傳遞和有效溝通等。
　　第三章評價的程序和方法
　　第九條企業應當指定內部審計機構或其他機構具體組織實施內部控制評價工作，根據內部控制評價辦法制定評價方案，組成評價小組，明確分工和進度安排，采取現場檢查等方式開展內部控制評價。
　　企業可以借助中介機構或外部專家實施內部控制評價，參與企業內部控制評價的中介機構不得同時為同一企業提供內部控制審計服務。
　　第十條企業開展內部控制評價，應當編制工作底稿。工作底稿應當由評價小組直接填寫，指定專人嚴格復核。
　　第十一條評價小組可以綜合運用個別訪談、調查問卷、專題討論、穿行測試、統計抽樣、比較分析等多種方法，廣泛收集被評價單位內部控制設計和有效運行的證據，研究認定內部控制設計缺陷和運行缺陷。
　　評價小組研究認定的內部控制缺陷，應當按照規定的權限和程序報經審批后確定。
　　第十二條企業應當對內部控制缺陷進行綜合判斷，按其嚴重程度分為重大缺陷、重要缺陷和一般缺陷。
　　重大缺陷，是指一個或多個控制缺陷的組合，可能導致企業嚴重偏離控制目標的情形。
　　重要缺陷，是指一個或多個控制缺陷的組合，其嚴重程度和經濟后果低于重大缺陷，但仍有可能導致企業偏離控制目標的情形。
　　一般缺陷，是指除重大缺陷、重要缺陷之外的其他控制缺陷。
　　第十三條重大缺陷應當根據本指引第五條、第六條、第七條規定和重大缺陷的定義，結合企業實際情況，具體加以認定。
　　重要缺陷和一般缺陷由企業自行確定。
　　第十四條企業應當建立內部控制缺陷整改機制，明確內部各管理層級和單位整改的職責分工，確保內部控制設計與運行中的主要問題和重大風險得到及時解決和有效控制。
　　董事會負責重大缺陷的整改，接受監事會的監督。經理層負責重要缺陷的整改，接受董事會的監督。內部有關單位負責一般缺陷的整改，接受經理層的監督。
　　第四章內部控制評價報告
　　第十五條企業應當根據內部控制評價結果和整改情況，編制內部控制評價報告。內部控制評價報告至少應當包括下列內容：
　　（一）組織實施內部控制評價的總體情況。
　　（二）內部控制責任主體的聲明。
　　（三）內部控制評價的范圍和內容。
　　（四）內部控制評價的標準和依據。
　　（五）內部控制評價的程序和方法。
　　（六）內部控制重大缺陷及其認定情況。
　　（七）內部控制重大缺陷的整改措施及責任追究情況。
　　（八）內部控制有效性的結論。
　　存在一個或多個內部控制重大缺陷的，應當作出內部控制無效的結論。
　　第十六條企業內部控制評價報告應當報企業經理層審核、董事會審定后公布。
　　第十七條企業應當以12月31日作為年度內部控制評價報告的基準日，也可選擇6月30日為基準日。
　　內部控制評價報告應于基準日后4個月內報出。

附件2：
　　企業內部控制應用指引第xx號--工程項目

　　（征求意見稿）
　　第一章總則
　　第一條為了規范工程項目管理，提高工程項目質量，保證工程項目進度，防范商業賄賂，根據有關法律法規和《企業內部控制基本規范》，制定本指引。
　　第二條本指引所稱工程項目，是指企業自行或者委托其他單位所進行的建造、安裝活動。
　　第三條企業至少應當關注工程項目的下列風險：
　　（一）缺乏科學論證，盲目上馬，可能導致工程失敗。
　　（二）存在商業賄賂舞弊行為，可能導致工程質量低劣和安全隱患。
　　（三）項目資金不到位，可能導致建設項目延期或中斷。
　　第四條企業應當加強工程項目的監控，明確工程立項、招標、建設、驗收等環節的主要風險點，采取相應措施，實施有效控制。
　　第二章立項與招標
　　第五條企業應當根據發展戰略和年度投資計劃，提出項目建議書，進行可行性研究，編制可行性研究報告，重點關注國家產業政策和環境保護要求等因素。
　　企業可以委托專業機構開展可行性研究，并組織專業人員對可行性研究報告進行評審，出具評審意見。
　　第六條企業應當按照規定的權限和程序對工程項目進行決策。重大工程項目，應當報經董事會或者類似決策機構集體審議批準，任何個人不得單獨決策或者擅自改變集體決策意見。
　　工程項目決策失誤應當實行責任追究制度。
　　第七條企業應當根據項目性質和標的金額，明確招標范圍和要求，規范招標程序，不得人為肢解工程項目規避招標。
　　企業通常應當采用招標形式確定設計單位和施工單位，明確工程項目預期實現的目標和具體要求，確保招標過程公開、公正、透明。
　　第三章建設與驗收
　　第八條企業應當加強工程項目建設過程和驗收環節的監控，落實責任制，實行嚴格的概預算管理，嚴把質量關，確保工程項目達到設計要求。
　　第九條企業應當實行嚴格的工程監理制度。工程監理人員應當深入施工現場，監控工程進度和質量，及時發現和糾正建設過程中的問題。
　　工程監理人員應當具備相應的資質和良好的職業操守。
　　第十條企業應當加強對工程價款結算的管理，明確價款結算的條件、方式和金額等內容，確保工程款項按合同約定或工程進度及時、準確支付。
　　第十一條企業應當嚴格控制工程變更。確需變更的工程項目，應當按照規定的權限和程序進行審批。
　　第十二條企業應當及時編制竣工決算，開展決算審計，組織專業人員進行竣工驗收，重點關注項目投資額、概預算執行、資金管理、工程質量等內容。
　　驗收合格的工程項目，應當編制財產清單，及時辦理資產移交手續。
　　第四章評估與披露
　　第十三條　企業應當建立工程項目評估制度，加強對工程立項、招標、建設和驗收過程的跟蹤管理和全面評估，發現異常情況，應當及時報告，采取措施妥善處理。
　　第十四條企業應當披露重大在建項目的主要風險等內容。

　　企業內部控制應用指引第xx號--全面預算

　　（征求意見稿）
　　第一章總則
　　第一條為了促進企業加強全面預算管理，實現發展戰略和生產經營目標，根據有關法律法規和《企業內部控制基本規范》，制定本指引。
　　第二條本指引所稱全面預算，是指企業對一定期間的各項生產經營活動作出的預算安排。
　　第三條企業至少應當關注全面預算管理的下列風險：
　　（一）缺乏預算或預算編制不完整，可能導致企業盲目經營。
　　（二）預算執行不力，可能導致企業無法實現生產經營目標。
　　第四條企業應當建立全面預算管理制度，強化預算約束，明確預算編制、執行、考核等環節的主要風險點，采取相應措施，實施有效控制。
　　第二章編制、執行與考核
　　第五條企業應當根據發展戰略和年度生產經營目標，綜合考慮預算期內市場環境變化等因素，按照上下結合、分級編制、逐級匯總的程序，編制年度全面預算。
　　預算編制應當科學合理、符合實際，避免預算指標過高或過低。
　　第六條企業應當在預算年度開始前編制完成全面預算，按照規定的權限和程序審核批準后，以文件形式下達執行。
　　企業應當將預算指標層層分解，落實到內部各部門、各環節和各崗位，確保預算剛性，嚴格預算執行。
　　第七條企業應當建立預算執行情況的預警機制和報告制度，確定預警和報告指標體系，密切跟蹤預算實施進度和完成情況，采取有效方式對預算執行情況進行分析和監控，發現預算執行差異，及時采取改進措施。
　　第八條企業批準下達的預算應當保持穩定，不得隨意調整。由于市場環境、國家政策或不可抗力等客觀因素，導致預算執行發生重大差異確需調整預算的，應當履行嚴格的審批程序。
　　第九條企業應當建立嚴格的預算執行考核獎懲制度，堅持公開、公正、透明的原則，對所有預算執行單位和個人進行考核，切實做到有獎有懲、獎懲分明，促進企業實現全面預算管理目標。
　　第三章評估與披露
　　第十條　企業應當建立全面預算管理評估制度，對預算編制、執行、考核的過程和結果進行全面評估，發現異常情況，應當及時報告。
　　第十一條企業應當披露預算執行情況和全面預算管理中的主要風險等內容。

　　企業內部控制應用指引第xx號--合同

　　（征求意見稿）
　　第一章總則
　　第一條為了促進企業加強合同管理，維護企業合法權益，根據有關法律法規和《企業內部控制基本規范》，制定本指引。
　　第二條本指引所稱合同，是指企業與自然人、法人及其他組織之間設立、變更、終止民事權利義務關系的協議。
　　企業與職工簽訂的勞動合同，不適用本指引。
　　第三條企業至少應當關注合同管理的下列風險：
　　（一）未簽訂合同或合同內容存在重大疏漏，可能導致企業合法權益受到侵害，經濟利益受損。
　　（二）合同履行不力，可能導致經濟糾紛或法律訴訟，損害企業信譽和形象。
　　第四條企業應當建立合同管理制度，明確合同簽署與履行過程中的主要風險點，采取相應措施，實施有效控制。
　　第二章合同的簽署
　　第五條企業對外發生的重要經濟行為，均應簽訂相關合同。合同簽署前，應當了解調查對方當事人的主體資格、信用狀況等有關情況，確保對方當事人具備履約能力。
　　合同標的物涉及重大事項的，應當進行充分協商，堅持自愿、平等、互利原則，明確雙方的權利義務和違約責任。技術含量較高或法律關系復雜的合同，應當組織專業人員參與談判。
　　第六條企業應當根據協商、談判的結果，擬訂合同文本。合同文本應當符合國家有關法律法規的規定，切實做到條款內容完整，表述嚴謹準確，相關手續齊備，避免出現重大疏漏。
　　第七條企業應當建立合同審核和內部會簽制度，重點審核合同的合規性、經濟性、可行性、嚴密性等相關內容。合同文本涉及相關部門或人員的，應當履行內部審核會簽程序。
　　第八條企業應當按照規定的權限和程序與對方當事人簽署合同。正式對外訂立的合同，應當由企業法定代表人或其授權人簽名并加蓋有關印章。
　　第三章合同的履行
　　第九條企業應當嚴格履行合同，同時監控對方當事人的履約情況。
　　合同履行過程中出現違約情形的，應當嚴格按照合同違約條款承擔或追究違約責任。
　　第十條合同一經簽署，不得隨意變更。因政策調整、市場變化等客觀因素確需變更的，應由雙方協商一致，按照規定的權限和程序辦理變更或終止手續。
　　第十一條企業應當建立合同糾紛處理制度。在合同履行過程中發生糾紛的，應當根據國家有關法律法規，在規定時效內與對方協商解決。協商無效的，應當按照合同約定選擇仲裁或訴訟方式解決。
　　第四章評估與披露
　　第十二條　企業應當建立合同管理評估制度，定期對合同簽署與履行情況進行全面評估，發現異常情況，應當及時報告。
　　第十三條企業應當披露重大合同的履行情況、合同糾紛、法律訴訟以及合同履行中的其他風險等內容。

　　企業內部控制應用指引第xx號--內部報告

　　（征求意見稿）
　　第一章總則
　　第一條為了促進企業有效報告經營管理信息，揭示生產經營管理過程中存在的主要問題和風險，及時采取應對措施，根據《企業內部控制基本規范》，制定本指引。
　　第二條本指引所稱內部報告，是指企業內部層級之間傳遞內部經營管理信息的過程。
　　第三條企業至少應當關注內部報告的下列風險：
　　（一）內部報告信息不準確，可能導致決策失誤。
　　（二）內部報告信息傳遞不及時、不通暢，可能導致風險失控。
　　第四條企業應當建立科學的內部報告機制和信息系統，明確報告內容、傳遞的方式和有效使用等相關要求，落實責任制，確保內部報告信息及時溝通。
　　第二章內部報告的形成
　　第五條企業應當以經營快報等方式，規定不同級次內部報告的指標體系，反映經營管理的主要情況。經營快報的內容和形式應當簡潔明了，通俗易懂，便于管理人員掌握相關信息，及時作出決策。
　　第六條企業應當充分利用信息技術，采集、匯總、生成內部報告信息，構建科學的內部報告網絡體系。企業內部各級次均應當指定專人負責內部報告工作，規定不同級次報告的時點，確保在同一時點上形成分級和匯總信息。
　　重要風險信息可以直接報告高級管理人員。
　　第七條企業應當拓寬內部報告渠道，通過多種有效方式，鼓勵員工為企業經營發展提供合理化建議，反映和舉報生產經營中的違規、舞弊行為。
　　第三章內部報告的使用
　　第八條企業各級管理人員應當充分利用內部報告，管理和指導企業的生產經營，嚴格績效考核和責任追究制度，確保企業實現發展目標。
　　第九條企業對于內部報告反映出的經營管理中存在的突出問題和重大風險，應當啟動應急預案。
　　第十條企業應當建立內部報告的評估制度，對內部報告的形成和使用進行全面評估，重點關注報告信息的準確性和溝通機制的有效性。對于內部報告中發現的問題，應當及時采取改進措施，充分發揮內部報告在經營管理中的重要作用。

　　企業內部控制應用指引第xx號--信息系統

　　（征求意見稿）
　　第一章總則
　　第一條為了發揮信息系統在企業內部控制中的作用，實現信息系統與內部控制的有機結合，根據有關法律法規和《企業內部控制基本規范》，制定本指引。
　　第二條本指引所稱信息系統，是指企業利用計算機和通信技術，對內部控制進行集成、轉化和提升，形成由人員、硬件、軟件、信息、運行規程等組成的管理平臺。
　　第三條企業建立與實施內部控制，應當利用現代管理手段，開發信息系統，優化管理流程，減少人為操縱因素，不斷提高內部控制效能。
　　第四條企業應當加強信息系統建設的組織領導，加大投入，明確相關部門和單位的職責權限，建立有效的工作機制。
　　企業應當指定專門機構對信息系統建設實施歸口管理，可以委托專業服務機構從事信息系統的開發、運行與維護等工作。
　　企業負責人對信息系統建設負責。
　　第五條企業利用信息系統實施內部控制，至少應當關注下列風險：
　　（一）缺乏信息系統建設整體規劃或規劃不當，可能導致重復建設，形成信息孤島，影響企業發展目標的實現。
　　（二）開發不合理或不符合內部控制要求，可能導致無法利用信息系統實施有效控制。
　　（三）授權管理不當，可能導致非法操作和舞弊。
　　（四）安全維護措施不當，可能導致信息泄漏或毀損，系統無法正常運行。
　　第六條企業應當根據發展戰略，結合組織架構、業務范圍、地域分布、技術能力等因素，制定信息系統建設整體規劃，進行統籌安排，明確系統開發、運行與維護中的主要風險點，采取相應措施，實施有效控制。
　　第二章信息系統的開發
　　第七條企業信息系統歸口管理部門應當根據信息系統建設整體規劃，提出信息系統項目建設方案，按規定的權限和程序審批后實施。
　　第八條企業開發信息系統，應當明確提出開發需求和關鍵控制點，采取多種方式與開發單位進行充分溝通，為系統開發奠定良好基礎。
　　企業應當加強信息系統開發全過程的跟蹤管理。
　　第九條企業應當組織專業機構對開發完成的信息系統進行驗收測試，驗收測試與系統開發應當相互分離，確保在功能、性能、控制要求和安全性等方面滿足開發需求。
　　驗收通過的信息系統，應當按照規定的權限和程序審批后上線實施。
　　第十條企業應當切實做好信息系統上線前的各項準備工作，培訓業務操作和系統管理人員，制定科學的上線計劃和新舊系統轉換方案，考慮應急預案，確保新舊系統順利切換和平穩銜接。
　　第三章信息系統的運行與維護
　　第十一條企業應當加強信息系統運行與維護的管理，跟蹤和發現系統運行中存在的問題，不斷進行調整和完善。
　　企業應當建立系統數據定期備份制度，明確備份范圍、備份頻度、備份方法、備份責任人、備份存放地點、備份有效性檢查等內容。
　　第十二條企業應當根據業務性質、重要性程度、涉密情況等確定信息系統的安全等級，采用相應的制度和技術手段，確保信息系統安全、穩定、高效運行。
　　企業應當建立信息系統安全保密和泄密責任追究制度。
　　第十三條企業應當綜合利用防火墻、路由器等網絡設備，漏洞掃描、入侵檢測等軟件技術，以及遠程訪問安全策略等手段加強網絡安全，防范來自網絡的攻擊和非法侵入。
　　通過網絡傳輸的涉密或者關鍵數據，應當采取加密傳輸等措施確保信息傳遞的保密性、準確性和完整性。
　　第十四條企業應當加強服務器等關鍵信息設備的管理，建立良好的物理環境，指定專人負責檢查，及時處理異常情況，任何人未經授權不得接觸關鍵信息設備。
　　第四章評估與披露
　　第十五條　企業應當建立利用信息系統實施內部控制的評估制度，對信息系統開發、運行與維護的全過程進行評估，發現異常情況，應當及時報告。
　　第十六條企業應當披露利用信息系統實施內部控制的情況及存在的主要問題。