关于征求《企业内部控制评价指引》及工程项目等5项内部控制应用指引意见的通知

发布时间:2020-09-29 14:22:15


  财会便[2009]7号

  企业内部控制标准委员会委员、咨询专家,各企业,会计师事务所等有关单位:

  在修改完善组织架构等10个应用指引项目并征求意见的基础上,我们又调整修改了《企业内部控制评价指引》和工程项目等5个应用指引,现征求意见。请于2009年2月6日前将意见反馈至企业内部控制标准委员会秘书处(设在财政部会计司)。

  征求意见稿电子版全文,请在财政部会计司网站或财政部会计准则委员会网站下载。

  联系人:王晶  米传军

  联系电话: 010-68552552   010-68552550

  通信地址:北京市西城区三里河南三巷3号财政部会计司综合处

  邮政编码:100820

  附件:1.《企业内部控制评价指引》(征求意见稿)

  2.《企业内部控制应用指引第xx号——工程项目》(征求意见稿)等

  企业内部控制标准委员会秘书处

  (财政部会计司)

  二〇〇九年一月十四日

  附件1:企业内部控制评价指引(征求意见稿)

  第一章 总 则

  第一条 为了规范企业内部控制评价,全面评估内部控制设计与运行情况,编制内部控制评价报告,根据有关法律法规和《企业内部控制基本规范》,制定本指引。

  第二条 本指引所称内部控制评价,是指企业董事会(或类似决策机构)或其授权机构,对内部控制设计与运行的有效性进行综合评估的过程。

  第三条 企业应当根据《企业内部控制基本规范》和本评价指引,结合本企业的实际情况,制定内部控制评价办法,明确内部控制评价的原则和内容、程序和方法、以及报告形式等相关内容,确保内部控制评价工作落到实处。

  企业主要负责人应当对内部控制评价结论的真实性负责。

  第四条 企业应当建立内部控制评价结果分析利用和考核制度,将内部控制评价结果和整改情况作为内部绩效考评的重要依据。

  第二章 评价的原则和内容

  第五条 企业实施内部控制评价,至少应当遵循全面性、重要性和独立性原则,确保评价工作标准统一、客观公正。

  全面性,是指评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。

  重要性,是指在全面评价的基础上关注重要高风险领域。

  独立性,是指评价工作应当于内部控制的设计与运行相互分离。

  第六条 企业内部控制评价应当以内部环境为基础,重点关注:治理结构是否形同虚设;发展战略是否可行;机构设置是否重叠;权责分配是否明晰;不相容岗位是否分离;人力资源政策和激励约束机制是否科学合理;企业文化是否促进员工勤勉尽责;社会责任是否有效履行等。

  第七条 企业内部控制评价应当以生产经营活动为重点,至少关注:资金的筹集、投放和营运过程是否存在资金链断裂;资产运行中是否存在效能低下或资产流失;采购与销售环节是否存在舞弊行为;研发项目是否经过科学论证;工程项目是否存在商业贿赂等。

  第八条 企业内部控制评价应当兼顾控制手段,至少关注:全面预算是否具有约束力;合同履行是否存在纠纷;信息系统是否与内部控制有机结合;内部报告是否及时传递和有效沟通等。

  第三章 评价的程序和方法

  第九条 企业应当指定内部审计机构或其他机构具体组织实施内部控制评价工作,根据内部控制评价办法制定评价方案,组成评价小组,明确分工和进度安排,采取现场检查等方式开展内部控制评价。

  企业可以借助中介机构或外部专家实施内部控制评价,参与企业内部控制评价的中介机构不得同时为同一企业提供内部控制审计服务。

  第十条 企业开展内部控制评价,应当编制工作底稿。工作底稿应当由评价小组直接填写,指定专人严格复核。

  第十一条 评价小组可以综合运用个别访谈、调查问卷、专题讨论、穿行测试、统计抽样、比较分析等多种方法,广泛收集被评价单位内部控制设计和有效运行的证据,研究认定内部控制设计缺陷和运行缺陷。

  评价小组研究认定的内部控制缺陷,应当按照规定的权限和程序报经审批后确定。

  第十二条 企业应当对内部控制缺陷进行综合判断,按其严重程度分为重大缺陷、重要缺陷和一般缺陷。

  重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标的情形。

  重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标的情形。

  一般缺陷,是指除重大缺陷、重要缺陷之外的其他控制缺陷。

  第十三条 重大缺陷应当根据本指引第五条、第六条、第七条规定和重大缺陷的定义,结合企业实际情况,具体加以认定。

  重要缺陷和一般缺陷由企业自行确定。

  第十四条 企业应当建立内部控制缺陷整改机制,明确内部各管理层级和单位整改的职责分工,确保内部控制设计与运行中的主要问题和重大风险得到及时解决和有效控制。

  董事会负责重大缺陷的整改,接受监事会的监督。经理层负责重要缺陷的整改,接受董事会的监督。内部有关单位负责一般缺陷的整改,接受经理层的监督。

  第四章 内部控制评价报告

  第十五条 企业应当根据内部控制评价结果和整改情况,编制内部控制评价报告。内部控制评价报告至少应当包括下列内容:

  (一)组织实施内部控制评价的总体情况。

  (二)内部控制责任主体的声明。

  (三)内部控制评价的范围和内容。

  (四)内部控制评价的标准和依据。

  (五)内部控制评价的程序和方法。

  (六)内部控制重大缺陷及其认定情况。

  (七)内部控制重大缺陷的整改措施及责任追究情况。

  (八)内部控制有效性的结论。

  存在一个或多个内部控制重大缺陷的,应当作出内部控制无效的结论。

  第十六条 企业内部控制评价报告应当报企业经理层审核、董事会审定后公布。

  第十七条 企业应当以12月31日作为年度内部控制评价报告的基准日,也可选择6月30日为基准日。

  内部控制评价报告应于基准日后4个月内报出。

  附件2:企业内部控制应用指引第xx号——工程项目(征求意见稿)

  第一章 总 则

  第一条 为了规范工程项目管理,提高工程项目质量,保证工程项目进度,防范商业贿赂,根据有关法律法规和《企业内部控制基本规范》,制定本指引。

  第二条 本指引所称工程项目,是指企业自行或者委托其他单位所进行的建造、安装活动。

  第三条 企业至少应当关注工程项目的下列风险:

  (一)缺乏科学论证,盲目上马,可能导致工程失败。

  (二)存在商业贿赂舞弊行为,可能导致工程质量低劣和安全隐患。

  (三)项目资金不到位,可能导致建设项目延期或中断。

  第四条 企业应当加强工程项目的监控,明确工程立项、招标、建设、验收等环节的主要风险点,采取相应措施,实施有效控制。

  第二章 立项与招标

  第五条 企业应当根据发展战略和年度投资计划,提出项目建议书,进行可行性研究,编制可行性研究报告,重点关注国家产业政策和环境保护要求等因素。

  企业可以委托专业机构开展可行性研究,并组织专业人员对可行性研究报告进行评审,出具评审意见。

  第六条 企业应当按照规定的权限和程序对工程项目进行决策。重大工程项目,应当报经董事会或者类似决策机构集体审议批准,任何个人不得单独决策或者擅自改变集体决策意见。

  工程项目决策失误应当实行责任追究制度。

  第七条 企业应当根据项目性质和标的金额,明确招标范围和要求,规范招标程序,不得人为肢解工程项目规避招标。

  企业通常应当采用招标形式确定设计单位和施工单位,明确工程项目预期实现的目标和具体要求,确保招标过程公开、公正、透明。

  第三章 建设与验收

  第八条 企业应当加强工程项目建设过程和验收环节的监控,落实责任制,实行严格的概预算管理,严把质量关,确保工程项目达到设计要求。

  第九条 企业应当实行严格的工程监理制度。工程监理人员应当深入施工现场,监控工程进度和质量,及时发现和纠正建设过程中的问题。

  工程监理人员应当具备相应的资质和良好的职业操守。

  第十条 企业应当加强对工程价款结算的管理,明确价款结算的条件、方式和金额等内容,确保工程款项按合同约定或工程进度及时、准确支付。

  第十一条 企业应当严格控制工程变更。确需变更的工程项目,应当按照规定的权限和程序进行审批。

  第十二条 企业应当及时编制竣工决算,开展决算审计,组织专业人员进行竣工验收,重点关注项目投资额、概预算执行、资金管理、工程质量等内容。

  验收合格的工程项目,应当编制财产清单,及时办理资产移交手续。

  第四章 评估与披露

  第十三条 企业应当建立工程项目评估制度,加强对工程立项、招标、建设和验收过程的跟踪管理和全面评估,发现异常情况,应当及时报告,采取措施妥善处理。

  第十四条 企业应当披露重大在建项目的主要风险等内容。

  企业内部控制应用指引第xx号——全面预算

  (征求意见稿)

  第一章 总 则

  第一条 为了促进企业加强全面预算管理,实现发展战略和生产经营目标,根据有关法律法规和《企业内部控制基本规范》,制定本指引。

  第二条 本指引所称全面预算,是指企业对一定期间的各项生产经营活动作出的预算安排。

  第三条 企业至少应当关注全面预算管理的下列风险:

  (一)缺乏预算或预算编制不完整,可能导致企业盲目经营。

  (二)预算执行不力,可能导致企业无法实现生产经营目标。

  第四条 企业应当建立全面预算管理制度,强化预算约束,明确预算编制、执行、考核等环节的主要风险点,采取相应措施,实施有效控制。

  第二章 编制、执行与考核

  第五条 企业应当根据发展战略和年度生产经营目标,综合考虑预算期内市场环境变化等因素,按照上下结合、分级编制、逐级汇总的程序,编制年度全面预算。

  预算编制应当科学合理、符合实际,避免预算指标过高或过低。

  第六条 企业应当在预算年度开始前编制完成全面预算,按照规定的权限和程序审核批准后,以文件形式下达执行。

  企业应当将预算指标层层分解,落实到内部各部门、各环节和各岗位,确保预算刚性,严格预算执行。

  第七条 企业应当建立预算执行情况的预警机制和报告制度,确定预警和报告指标体系,密切跟踪预算实施进度和完成情况,采取有效方式对预算执行情况进行分析和监控,发现预算执行差异,及时采取改进措施。

  第八条 企业批准下达的预算应当保持稳定,不得随意调整。由于市场环境、国家政策或不可抗力等客观因素,导致预算执行发生重大差异确需调整预算的,应当履行严格的审批程序。

  第九条 企业应当建立严格的预算执行考核奖惩制度,坚持公开、公正、透明的原则,对所有预算执行单位和个人进行考核,切实做到有奖有惩、奖惩分明,促进企业实现全面预算管理目标。

  第三章 评估与披露

  第十条 企业应当建立全面预算管理评估制度,对预算编制、执行、考核的过程和结果进行全面评估,发现异常情况,应当及时报告。

  第十一条 企业应当披露预算执行情况和全面预算管理中的主要风险等内容。

  企业内部控制应用指引第xx号——合同

  (征求意见稿)

  第一章 总 则

  第一条 为了促进企业加强合同管理,维护企业合法权益,根据有关法律法规和《企业内部控制基本规范》,制定本指引。

  第二条 本指引所称合同,是指企业与自然人、法人及其他组织之间设立、变更、终止民事权利义务关系的协议。

  企业与职工签订的劳动合同,不适用本指引。

  第三条 企业至少应当关注合同管理的下列风险:

  (一)未签订合同或合同内容存在重大疏漏,可能导致企业合法权益受到侵害,经济利益受损。

  (二)合同履行不力,可能导致经济纠纷或法律诉讼,损害企业信誉和形象。

  第四条 企业应当建立合同管理制度,明确合同签署与履行过程中的主要风险点,采取相应措施,实施有效控制。

  第二章 合同的签署

  第五条 企业对外发生的重要经济行为,均应签订相关合同。合同签署前,应当了解调查对方当事人的主体资格、信用状况等有关情况,确保对方当事人具备履约能力。

  合同标的物涉及重大事项的,应当进行充分协商,坚持自愿、平等、互利原则,明确双方的权利义务和违约责任。技术含量较高或法律关系复杂的合同,应当组织专业人员参与谈判。

  第六条 企业应当根据协商、谈判的结果,拟订合同文本。合同文本应当符合国家有关法律法规的规定,切实做到条款内容完整,表述严谨准确,相关手续齐备,避免出现重大疏漏。

  第七条 企业应当建立合同审核和内部会签制度,重点审核合同的合规性、经济性、可行性、严密性等相关内容。合同文本涉及相关部门或人员的,应当履行内部审核会签程序。

  第八条 企业应当按照规定的权限和程序与对方当事人签署合同。正式对外订立的合同,应当由企业法定代表人或其授权人签名并加盖有关印章。

  第三章 合同的履行

  第九条 企业应当严格履行合同,同时监控对方当事人的履约情况。

  合同履行过程中出现违约情形的,应当严格按照合同违约条款承担或追究违约责任。

  第十条 合同一经签署,不得随意变更。因政策调整、市场变化等客观因素确需变更的,应由双方协商一致,按照规定的权限和程序办理变更或终止手续。

  第十一条 企业应当建立合同纠纷处理制度。在合同履行过程中发生纠纷的,应当根据国家有关法律法规,在规定时效内与对方协商解决。协商无效的,应当按照合同约定选择仲裁或诉讼方式解决。

  第四章 评估与披露

  第十二条 企业应当建立合同管理评估制度,定期对合同签署与履行情况进行全面评估,发现异常情况,应当及时报告。

  第十三条 企业应当披露重大合同的履行情况、合同纠纷、法律诉讼以及合同履行中的其他风险等内容。

  企业内部控制应用指引第xx号——内部报告

  (征求意见稿)

  第一章 总 则

  第一条 为了促进企业有效报告经营管理信息,揭示生产经营管理过程中存在的主要问题和风险,及时采取应对措施,根据《企业内部控制基本规范》,制定本指引。

  第二条 本指引所称内部报告,是指企业内部层级之间传递内部经营管理信息的过程。

  第三条 企业至少应当关注内部报告的下列风险:

  (一)内部报告信息不准确,可能导致决策失误。

  (二)内部报告信息传递不及时、不通畅,可能导致风险失控。

  第四条 企业应当建立科学的内部报告机制和信息系统,明确报告内容、传递的方式和有效使用等相关要求,落实责任制,确保内部报告信息及时沟通。

  第二章 内部报告的形成

  第五条 企业应当以经营快报等方式,规定不同级次内部报告的指标体系,反映经营管理的主要情况。经营快报的内容和形式应当简洁明了,通俗易懂,便于管理人员掌握相关信息,及时作出决策。

  第六条 企业应当充分利用信息技术,采集、汇总、生成内部报告信息,构建科学的内部报告网络体系。企业内部各级次均应当指定专人负责内部报告工作,规定不同级次报告的时点,确保在同一时点上形成分级和汇总信息。

  重要风险信息可以直接报告高级管理人员。

  第七条 企业应当拓宽内部报告渠道,通过多种有效方式,鼓励员工为企业经营发展提供合理化建议,反映和举报生产经营中的违规、舞弊行为。

  第三章 内部报告的使用

  第八条 企业各级管理人员应当充分利用内部报告,管理和指导企业的生产经营,严格绩效考核和责任追究制度,确保企业实现发展目标。

  第九条 企业对于内部报告反映出的经营管理中存在的突出问题和重大风险,应当启动应急预案。

  第十条 企业应当建立内部报告的评估制度,对内部报告的形成和使用进行全面评估,重点关注报告信息的准确性和沟通机制的有效性。对于内部报告中发现的问题,应当及时采取改进措施,充分发挥内部报告在经营管理中的重要作用。

  企业内部控制应用指引第xx号——信息系统

  (征求意见稿)

  第一章 总 则

  第一条 为了发挥信息系统在企业内部控制中的作用,实现信息系统与内部控制的有机结合,根据有关法律法规和《企业内部控制基本规范》,制定本指引。

  第二条 本指引所称信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升,形成由人员、硬件、软件、信息、运行规程等组成的管理平台。

  第三条 企业建立与实施内部控制,应当利用现代管理手段,开发信息系统,优化管理流程,减少人为操纵因素,不断提高内部控制效能。

  第四条 企业应当加强信息系统建设的组织领导,加大投入,明确相关部门和单位的职责权限,建立有效的工作机制。

  企业应当指定专门机构对信息系统建设实施归口管理,可以委托专业服务机构从事信息系统的开发、运行与维护等工作。

  企业负责人对信息系统建设负责。

  第五条 企业利用信息系统实施内部控制,至少应当关注下列风险:

  (一)缺乏信息系统建设整体规划或规划不当,可能导致重复建设,形成信息孤岛,影响企业发展目标的实现。

  (二)开发不合理或不符合内部控制要求,可能导致无法利用信息系统实施有效控制。

  (三)授权管理不当,可能导致非法操作和舞弊。

  (四)安全维护措施不当,可能导致信息泄漏或毁损,系统无法正常运行。

  第六条 企业应当根据发展战略,结合组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设整体规划,进行统筹安排,明确系统开发、运行与维护中的主要风险点,采取相应措施,实施有效控制。

  第二章 信息系统的开发

  第七条 企业信息系统归口管理部门应当根据信息系统建设整体规划,提出信息系统项目建设方案,按规定的权限和程序审批后实施。

  第八条 企业开发信息系统,应当明确提出开发需求和关键控制点,采取多种方式与开发单位进行充分沟通,为系统开发奠定良好基础。

  企业应当加强信息系统开发全过程的跟踪管理。

  第九条 企业应当组织专业机构对开发完成的信息系统进行验收测试,验收测试与系统开发应当相互分离,确保在功能、性能、控制要求和安全性等方面满足开发需求。

  验收通过的信息系统,应当按照规定的权限和程序审批后上线实施。

  第十条 企业应当切实做好信息系统上线前的各项准备工作,培训业务操作和系统管理人员,制定科学的上线计划和新旧系统转换方案,考虑应急预案,确保新旧系统顺利切换和平稳衔接。

  第三章 信息系统的运行与维护

  第十一条 企业应当加强信息系统运行与维护的管理,跟踪和发现系统运行中存在的问题,不断进行调整和完善。

  企业应当建立系统数据定期备份制度,明确备份范围、备份频度、备份方法、备份责任人、备份存放地点、备份有效性检查等内容。

  第十二条 企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级,采用相应的制度和技术手段,确保信息系统安全、稳定、高效运行。

  企业应当建立信息系统安全保密和泄密责任追究制度。

  第十三条 企业应当综合利用防火墙、路由器等网络设备,漏洞扫描、入侵检测等软件技术,以及远程访问安全策略等手段加强网络安全,防范来自网络的攻击和非法侵入。

  通过网络传输的涉密或者关键数据,应当采取加密传输等措施确保信息传递的保密性、准确性和完整性。

  第十四条 企业应当加强服务器等关键信息设备的管理,建立良好的物理环境,指定专人负责检查,及时处理异常情况,任何人未经授权不得接触关键信息设备。

  第四章 评估与披露

  第十五条 企业应当建立利用信息系统实施内部控制的评估制度,对信息系统开发、运行与维护的全过程进行评估,发现异常情况,应当及时报告。

  第十六条 企业应当披露利用信息系统实施内部控制的情况及存在的主要问题。