企业内部控制评价指引(精选9篇)
企业内部控制评价指引 第1篇
一、上市公司内部控制自我评估必要性
上市公司内部控制自我评估必要性, 具体如下:
(一) 内部控制自我评估的概念
内部控制自我评估就是指公司管理当局以监控公司内部控制执行情况、评估部门业绩及个人表现、改进内部控制及管理缺陷为目的, 按照一定的内控评估标准进行的内部测评、缺陷整改以及最终出具内部控制自我评估报告的系统、连续的过程。
(二) 内部控制自我评估的必要性
第一, 外部信息使用者为了做出有效的重要决策, 对公司内部控制情况了解的需要促使了管理层对内控自评工作的重视。此外, 这也同时考核了公司部门的业绩和员工的表现, 具有监督和威慑作用, 从而减少错误和舞弊的发生。第二, 从理论上讲, 内控信息的披露与财务报告质量在一定程度上存在关联。陈关亭、杨芳在实施了专项问卷调查后, 认同内部控制评估报告对于提高财务报告可靠性的作用。健全、完善、有效的内部控制可以消除财务报告信息失真的产生, 对加工整理过程起到监督作用, 从根本上保证财务报告的质量;可以约束会计人员遵守相关财务法规, 减少会计造假;可以制约管理层粉饰财务报告的行为, 易于查出内部控制存在的缺陷并加以改进, 一定程度上减少了财务报告舞弊的可能性。
二、2009年石油行业上市公司内部控制披露现状
因意识到内控自评的必要性及重要性, 国务院及财政部等五部委依据《基本规范》制订了较为细致的《企业内部控制评价指引》 (以下简称《内控评价指引》) , 并以此规范企业内控自评工作, 逐步要求上市公司对内部控制制度的有效性进行自我评价, 披露年度自我评估报告, 并聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。以2009年石油行业所有上市公司 (共13家) 披露的《内控自评报告》作为样本, 根据《内控评价指引》中对于内控评价内容的要求, 按《基本规范》内控框架五要素对披露的内容进行了归纳, 制成表1。
这13家上市公司按照《基本规范》及《内控评价指引》适当地披露了自家公司的信息, 但是披露的信息有所侧重, 反映出了以下两个问题:
(一) 内控信息披露效用不大
纵观13家上市公司《内控自评报告》均有同样体会——披露的形式很规范、全面, 但批露的内容仍只是表面性文章。13家传达的信息都是内部控制完善、有效等信号, 每一项均是简单几句话, 每一家只挑选其中一两方面进行披露, 且均是对自身有利的内容, 较具形式化。从样本分析来看, 尽管有61.54%的8家上市公司披露了内部控制中存在的问题, 但对于不利消息只是一笔带过、含糊其辞, 而提出的整改意见也只是在XX方面需“加强”、“完善”, 反映出上市公司披露的不足与缺失。而对于信息使用者来说, 并没有从中获得多少有价值的信息。
(二) 内控信息披露评价标准缺乏
尽管本文对上市公司内部控制自我评估现状是按照《基本规范》五要素抽丝剥茧归纳总结的, 但缺乏对内部控制自我评估的统一规范, 虽然国家据此于今年4月出台了《内控评价指引》, 但由于尚未实施, 所以披露的内容侧重不一, 并不全面。其中有4家公司是按照《内控指引》的要求进行披露的, 他们从内控制度建立健全情况、内控监督设置情况、董事会对内控工作安排、财务核算内控制度完善、内控存在缺陷及整改方面进行了陈述, 但是明显内容太过简略, 基本以肯定为主。
三、内部控制披露不足成因分析
信息的供需关系直接影响着厂商与消费者决策的制定。因此《内控自评报告》必须将影响厂商提供信息的动力和成本与信息的使用者结合起来加以考虑分析, 这样才能准确、客观做出判断。
(一) 公司提供内控信息的意愿
第一, 披露动力对内控信息披露的影响。上市公司之所以不愿意对内控信息的真实情况进行全面披露, 归根结底主要还是因为公司自身的经营状况、获利能力存在问题。在信息不对称的市场中, 好公司非常愿意将自己的优势信息 (内部控制完善、有效等) 向信息使用者提供, 从而获得更多投资者的信赖, 占据更多的资源优势;而经营状况较差的公司则不愿向投资者披露他们公司在内部控制方面存在的缺陷和问题, 以防止资源的流失。所以可见, 披露内控信息的动力取决于上市公司经营情况的好坏, 却又决定了内控信息的披露质量。第二, 披露成本对内控信息披露的影响。披露成本同样也直接影响着上市公司对内控信息的披露。若上市公司披露内控信息所花费的人力、物力等成本不仅能在后期能得到补偿, 而且披露还会给公司带来更多的经济利益, 那么, 公司肯定愿意进行披露;但若公司披露内控信息所花费的成本预期得不到补偿, 那么即使国家要求, 公司也不会愿意披露。
(二) 内控信息使用者的需求
国家之所以要求企业在年报中披露《内控自评报告》, 是为了让更多的信息使用者了解掌握更为准确的信息来进行判断决策。内控信息使用者主要包括投资者、债权人以及相关政府部门。这三者对内控信息的需求目的不同, 从而对上市公司所披露信息的关注面不同。投资者希望通过获取内控信息帮助自己做出正确的投资决策、增加经济利益;债权人利用内控信息了解自己出借的资金营运管理情况, 以判断能否按期收回债权, 并适时做出后期的信贷决策;政府部门获取信息则为考察判断上市公司的经营行为有没有违规, 政策法规是不是被公司认真的贯彻执行, 进而在此基础上制定下一步的宏观经济政策。
四、上市公司加强内部控制自我评估的措施
通过对内控信息披露原因的分析可以看到, 我国上市公司内控自评信息披露不足的原因除了上市公司存在披露动力不足、披露成本制约外, 还受到外部信息使用者需求的影响。所以笔者将从这两个方面进行完善, 一方面提出规范的《内控自评报告》的主体内容框架, 另一方面提高我国上市公司披露内控信息的意愿。
(一) 《内控自评报告》主体内容框架
在关注《内控自评报告》的时候, 不能仅仅关注报告的结果, 而应该是注重管理层对于内部控制信息的描述。因此, 《内控自评报告》主体框架应包括以下内容:第一, 内控五要素的评估。一是控制环境。对控制环境的评估应考虑以下因素:公司的治理结构与企业文化;董事会、管理层的经营风格和经营理念;审计委员会与董事会;组织结构与权责分派体系;人员的品行与素质;人力资源政策与实务;管理控制方法、外部环境。二是风险评估。对风险的评估应考虑以下因素:目标的设立与达成;风险识别与分析;改变的管理与应对机制。三是控制活动。对控制活动的评估应考虑以下因素:授权及目标;职责划分;业务流程与操作规程;业务记录 (资产和会计记录) ;规章制度;独立检查规章制度;控制标准;重点控制 (对控股子公司的管理控制、对关联交易、对外担保、募集资金使用、重大投、融资的内部控制、重要财务决策、信息披露的内部控制是否恰当) 。四是信息沟通。对信息沟通的评估可以考虑以下因素:信息披露系统;对内对外的沟通汇报渠道。五是内部监督。对内部监督的评估应考虑以下因素:内部审计 (持续监督程序、独立的审计监察组、内部控制评价小组和外部审计人员的建议) ;自我控制 (自我评价测试、评价的频率和范围、综合检查) 。第二, 公司内部控制情况的整体评估意见。对整体的评估意见可以考虑以下因素:监事会、董事会审计委员会、独立董事独立的评价意见, 包含了对生产经营全过程控制、公司职能划分控制、人员间分工和牵制、控制点设置、建立和执行内部控制所花费的成本和由此带来的经济效益之间的比例、各项具体的控制制度等方面的评价。第三, 公司内部控制存在的问题及改进措施:内部控制缺陷汇总和报告的机制;发现问题的改善或更正措施。
(二) 采取强有力的内控信息披露保障措施
第一, 建立评价、监管机构, 鼓励企业全面准确披露内控信息。虽然国务院及财政部等五部委出台了《内控评价指引》, 相关行业中的企业日渐认识到内部控制的重要性, 聘请了会计师事务所进行审核, 但是内容也归于形式化, 信息质量的准确性、全面性不高, 作用不大。所以, 笔者认为应建立行业评价协会, 可从行业代表性大中小企业中选取代表组成评价协会, 对行业中的企业《内控自评报告》进行抽样检查, 并予以诚信星级评价, 从而提供信息使用者准确的评价信息。对于诚信的企业, 应树立其标杆地位, 鼓励行业中其他企业效仿学习;对于不诚信的企业, 应予以通报, 追究当事企业的法律责任。或者建立类似会计师事务所这样的第三方独立监察机构, 对于监察出来的信息出具评价意见。同时, 为了避免管理层面临不该有的诉讼风险和其它问题, 有关部门应对自愿性信息披露行为加以保护。当然, 自愿性信息作为企业财务报告的组成部分, 一旦对外披露, 必须与强制性披露的信息一样, 接受必要的监管和约束, 对于恶意披露误导投资者的企业应当加以处罚。第二, 建立企业内控信息的披露质量保障机制。企业内控信息的披露质量保障机制由企业参与内控评估的相关部门和各层人员组成的, 它是一个系统, 也是一种机制。因此, 要寻求企业可披露的内控信息与使用者要求披露信息的均衡点, 使信息的供求平衡符合成本效益原则;要提高企业内控评估人员的业务能力, 使信息由企业中经验丰富并有较高职业判断能力的人员持适度谨慎的态度编制完成;要规范内控信息的表述和披露, 以便使用者理解, 同时应注意揭示内控信息的性质、不确定性和风险, 防止使用者盲目依赖, 以减少和避免法律诉讼。
上市公司内部控制自我评估的建立和健全是一个长期的工作, 通过对2009年我国石油行业上市公司《内控自评报告》的分析研究, 不难发现目前我国上市公司内控自评工作还处于起步阶段, 很多内容还不够完善, 因此笔者根据新出台的《基本规范》及《内控评价指引》设计出较为规范全面的《内控自评报告》内容框架, 希望能为内控自评的具体实施提供一个新的视角和参考依据。
参考文献
企业内部控制评价指引 第2篇
1、企业实施内部控制制度就可以达到一切目标。[题号:Qhx009467] 正确答案:B 题目解析:内部控制只能为达到目标提供合理担保。
2、企业应当结合内部监督情况,定期对内部控制有效性进行自我评价,出具内部控制自我评估报告。[题号:Qhx009468]
正确答案:A
3、企业财务部门应当对内部控制评价报告的真实性负责。[题号:Qhx009469] 正确答案:B 题目解析:企业董事会应当对内部控制评价报告的真实性负责。
4、根据内部控制评价的客观性原则,评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。[题号:Qhx009470] 正确答案:A
5、专业部门、审计部门与内部控制部门缺乏良好的沟通机制将影响内部控制评价的客观性。[题号:Qhx009471] 正确答案:A
6、企业组织开展内部环境评价,应当以组织架构、发展战略、信息沟通、企业文化、内部监督等应用指引为依据,结合本企业的内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。[题号:Qhx009472] 正确答案:B 题目解析:企业组织开展内部环境评价,应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合本企业的内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。
7、企业内部控制执行中,对每个重要的经营活动目标都应该确定相应的风险。[题号:Qhx009473] 正确答案:A
8、公司职责的分配、职权的下放和相关政策的制定为确立权利义务、内部控制以及明确个人的角色分工奠定了基础。[题号:Qhx009474] 正确答案:A
9、企业内部控制评价部门应当根据经批准的评价方案,组成内部控制评价工作组,具体实施内部控制评价工作。评价工作组应当吸收企业内部相关机构熟悉情况的业务骨干参加。评价工作组成员应参与对本部门的内部控制评价工作。[题号:Qhx009475] 正确答案:B 题目解析:企业内部控制评价部门应当根据经批准的评价方案,组成内部控制评价工作组,具体实施内部控制评价工作。评价工作组应当吸收企业内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。
10、企业可以委托中介机构实施内部控制评价。为企业提供内部控制审计服务的会计师事务所,可同时为同一企业提供内部控制评价服务。[题号:Qhx009476] 正确答案:B 题目解析:企业可以委托中介机构实施内部控制评价。为企业提供内部控制审计服务的会计师事务所,不得同时为同一企业提供内部控制评价服务。
11、评价企业内部控制运行的有效性主要分析现有企业内部控制是否按照规定程序得到了正确执行。[题号:Qhx009477] 正确答案:A
12、内部控制评价业务规划包括评估信息需求;确定业务的总体范围;建立项目团队,明确工作分工;和独立审计人员协作。[题号:Qhx009478] 正确答案:A
13、内部控制缺陷的整改情况及重大缺陷拟采取的整改措施并不是内部控制评价报告必需的内容。[题号:Qhx009479] 正确答案:B 题目解析:内部控制评价报告至少应当披露下列内容:董事会对内部控制报告真实性的声明;内部控制评价工作的总体情况;内部控制评价的依据;内部控制评价的范围;内部控制评价的程序和方法;内部控制缺陷及其认定情况;内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;内部控制有效性的结论。
14、内部控制缺陷包括管理缺陷和执行缺陷。[题号:Qhx009480] 正确答案:B 题目解析:内部控制缺陷包括设计缺陷和运行缺陷。企业对内部控制缺陷的认定,应当以日常监督和专项监督为基础,结合内部控制评价,由内部控制评价部门进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定
15、企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送。[题号:Qhx009481] 正确答案:A
单选题:
1、内部控制评价,是指()对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。[题号:Qhx009482] A、企业财务部门
B、企业业务部门
C、企业董事会或类似全力机构
D、企业风险管理部门
正确答案:C 题目解析:内部控制评价,是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。
2、内部控制评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项,是指内部控制评价应遵守()原则。[题号:Qhx009483] A、全面性
B、重要性
C、客观性
D、主观性 正确答案:A 题目解析:企业实施内部控制评价应当遵循全面性原则,指评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。
3、内部控制评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域,是指内部控制评价应遵守()原则。[题号:Qhx009484] A、全面性
B、重要性
C、客观性
D、主观性
正确答案:B 题目解析:企业实施内部控制评价应当遵循重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。
4、内部控制评价与设计不独立,将影响内部控制评价的()原则。[题号:Qhx009485] A、全面性
B、重要性
C、客观性
D、主观性
正确答案:C 题目解析:内部控制评价与设计不独立将影响内部控制评价的客观性原则。
5、管理层是否传递一种信息,即在正直守德的价值取向上是不能妥协的,员工也是否收到并理解这种信息。管理者是否立言、立行以昭示其高水平的道德标准。这是评价企业内部控制()方面的内容。[题号:Qhx009486] A、组织结构
B、权责分配
C、胜任能力
D、企业文化
正确答案:D 题目解析:评价企业文化,应该关注管理层是否传递一种信息,即在正直守德的价值取向上是不能妥协的,员工也是否收到并理解这种信息。管理者是否立言、立行以昭示其高水平的道德标准。
6、公司的组织结构既不可过于简单以至于不足以对企业经营进行适当监控,同时也不可过于复杂而阻塞信息流转。高层管理人员应当完全理解其控制责任并具备与其职位相称的必要的经验和知识水平。这是评价企业内部控制()方面的内容。[题号:Qhx009487] A、组织结构
B、权责分配
C、胜任能力
D、企业文化
正确答案:A 题目解析:评价企业组织结构,应该关注公司的组织结构既不可过于简单以至于不足以对企业经营进行适当监控,同时也不可过于复杂而阻塞信息流转。高层管理人员应当完全理解其控制责任并具备与其职位相称的必要的经验和知识水平。
7、以下因素中可能带来企业外生风险的是()。[题号:Qhx009488] A、技术变化
B、人力资源
C、财务状况
D、信息系统
正确答案:A 题目解析:当评价企业是否有充分的机制来发现外生风险。可关注管理层是否考虑过以下因素带来的风险:资源供应、技术变化、债权人的要求、竞争对手的行动、经济环境、政治环境、监管、自然事件。
8、以下因素中可能带来企业内生风险的是()。[题号:Qhx009489] A、经济环境
B、政治环境
C、财务状况
D、自然事件
正确答案:C 题目解析:当评价企业是否有充分的机制来发现内生风险时,可关注管理层是否考虑过以下因素带来的风险:人力资源、财务状况、信息系统。
9、评价企业内部控制设计的有效性,主要是关注()。[题号:Qhx009490] A、是否能够为内部控制目标的实现提供合理的保证
B、相关控制在评价期内是如何运行
C、相关控制是否得到了持续一致的运行
D、实施控制的人员是否具备必要的权限和能力
正确答案:A 题目解析:设计的有效性:是否能够为内部控制目标的实现提供合理的保证。
10、与顾客、供应商和其它外部利益关系者就顾客的需求变化进行沟通是否具有公开性和有效性,这主要与内部控制中()要素相关。[题号:Qhx009491] A、控制环境
B、风险评估
C、控制活动
D、信息与沟通
正确答案:D 题目解析:在信息的处理中,沟通是必要的环节。在更广义的层次上,沟通还包括对员工与组织的目标与职责的定义和描述。有效的沟通存在于企业内部的上行、下达和同级传递中。企业与外部的沟通同样非常重要。
11、对公司具有普遍深入的影响,能够多方面影响内部控制效果的控制属于()层面的控制。[题号:Qhx009492] A、管理
B、业务
C、单位
D、财务
正确答案:C 题目解析:控制在组织内可以分成二个层面:单位层面、业务层面。(1)单位层面:对公司具有普遍深入的影响,能够多方面影响内部控制效果的控制。如,公司的薪酬和雇佣政策或者公司内部各部门沟通信息的方式会对不同交易产生影响;(2)业务层面:仅局限与某种交易类型。如,对现金支出的控制只会影响现金支出本身,而不会对商誉记录或固定资产折旧等其他账目产生影响。
12、注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报。这表明单位内部控制存在的缺陷属于()。[题号:Qhx009493] A、财务报告重大缺陷
B、非财务报告重大缺陷
C、重要缺陷
D、一般缺陷
正确答案:A 题目解析:企业财务报告重大缺陷特征:(1)董事、监事和高级管理人员舞弊;(2)企业更正已公布的财务报告;(3)注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报;(4)企业审计委员会和内部审计机构对内部控制的监督无效
13、违犯国家法律、法规,如环境污染。这表明单位内部控制存在的缺陷属于()。[题号:Qhx009494] A、财务报告重大缺陷
B、非财务报告重大缺陷
C、重要缺陷
D、一般缺陷
正确答案:B 题目解析:非财务报告重大缺陷特征:(1)企业缺乏民主决策程序;(2)违犯国家法律、法规,如环境污染;(3)管理人员或技术人员纷纷流失;(4)媒体负面新闻频现;(5)重要业务缺乏制度控制或制度系统性失效;(6)内部控制评价结果特别是重大缺陷或重要缺陷未得到整改。
14、单位内部控制重大缺陷应该由以下哪个部门最终认定()。[题号:Qhx009495] A、财务部门
B、内部控制评价部门
C、监事会
D、董事会
正确答案:D 题目解析:企业内部控制评价部门应当编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。
15、以下说法中不正确的是()。[题号:Qhx009496] A、企业应当根据内部控制评价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,按照规定的程序和要求,及时编制内部控制评价报告。
B、内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。
C、企业内部控制评价部门不需要关注自内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素。
D、企业应当以12 月31 日作为内部控制评价报告的基准日。内部控制评价报告应于基准日后4 个月内报出。
正确答案:C 题目解析:企业应当根据内部控制评价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,按照规定的程序和要求,及时编制内部控制评价报告。内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。企业内部控制评价部门应当关注自内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。企业应当以12 月31 日作为内部控制评价报告的基准日。内部控制评价报告应于基准日后4 个月内报出。
多选题:
1、根据《企业内部控制基本规范》企业实施内部控制主要为了实现以下哪些目标()。[题号:Qhx009497]
A、企业运作合法合规
B、保障企业资产安全
C、企业财务报告可靠 D、企业运作有效果、有效率
正确答案:ABCD 题目解析:内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程:合法合规;保障资产安全;财务报告可靠;运作有效果、有效率和促进企业发展。
2、内部控制评价程序一般包括以下哪些步骤()。[题号:Qhx009498]
A、制定评价工作方案
B、建立风险评估制度
C、认定控制缺陷 D、编报评价报告
正确答案:ACD 题目解析:内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等。
3、企业组织开展风险评估机制评价,应当以《企业内部控制基本规范》有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本企业的内部控制制度,对日常经营管理过程中的()等内容进行认定和评价。[题号:Qhx009499] A、风险识别
B、风险分析
C、应对策略
D、内部监督
正确答案:ABC 题目解析:企业组织开展风险评估机制评价,应当以《企业内部控制基本规范》有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本企业的内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。
4、控制活动包括一套全面的政策和相关的执行程序,从而确保管理层的指令得到正确执行。这些政策和程序有助于企业采取适当措施,管理风险,从而确保其目标的实现。以下属于控制活动评价内容的是()。[题号:Qhx009500] A、对于企业的每一种活动,是否都存在适当的政策和程序进行规范? B、确定已存在的控制活动是否得以有效实施? C、员工的职责和控制责任是否得到有效沟通?
D、是否保证有畅通的渠道以便员工反映其发现的可疑情况? 正确答案:AB 题目解析:控制活动包括一套全面的政策和相关的执行程序,从而确保管理层的指令得到正确执行。这些政策和程序有助于企业采取适当措施,管理风险,从而确保其目标的实现。(1)对于企业的每一种活动,是否都存在适当的政策和程序进行规范?(2)确定已存在的控制活动是否得以有效实施?
5、内部控制评价工作组应当对被评价单位进行现场测试,综合运用()等方法,充分收集被评价单位内部控制设计和运行是否有效的证据。[题号:Qhx009501] A、个别访谈
B、调查问卷
C、穿行测试
D、实地查验
正确答案:ABCD 题目解析:内部控制评价工作组应当对被评价单位进行现场测试,综合运用个别访谈、调查问卷、专题讨论穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。
6、内部控制评价报告至少应当披露下列哪些内容()。[题号:Qhx009502] A、董事会对内部控制报告真实性的声明
B、内部控制评价工作的总体情况
C、内部控制评价的程序和方法
D、内部控制有效性的结论
企业内部控制评价指引 第3篇
第一条为了促进企业正常组织资金活动, 防范和控制资金风险, 保证资金安全, 提高资金使用效益, 根据有关法律法规和《企业内部控制基本规范》, 制定本指引。
第二条本指引所称资金活动, 是指企业筹资、投资和资金营运等活动的总称。
第三条企业资金活动至少应当关注下列风险:
(一) 筹资决策不当, 引发资本结构不合理或无效融资, 可能导致企业筹资成本过高或债务危机。
(二) 投资决策失误, 引发盲目扩张或丧失发展机遇, 可能导致资金链断裂或资金使用效益低下。
(三) 资金调度不合理、营运不畅, 可能导致企业陷入财务困境或资金冗余。
(四) 资金活动管控不严, 可能导致资金被挪用、侵占、抽逃或遭受欺诈。
第四条企业应当根据自身发展战略, 科学确定投融资目标和规划, 完善严格的资金授权、批准、审验等相关管理制度, 加强资金活动的集中归口管理, 明确筹资、投资、营运等各环节的职责权限和岗位分离要求, 定期或不定期检查和评价资金活动情况, 落实责任追究制度, 确保资金安全和有效运行。
企业财会部门负责资金活动的日常管理, 参与投融资方案等可行性研究。总会计师或分管会计工作的负责人应当参与投融资决策过程。
企业有子公司的, 应当采取合法有效措施, 强化对子公司资金业务的统一监控。有条件的企业集团, 应当探索财务公司、资金结算中心等资金集中管控模式。
第二章筹资
第五条企业应当根据筹资目标和规划, 结合年度全面预算, 拟订筹资方案, 明确筹资用途、规模、结构和方式等相关内容, 对筹资成本和潜在风险作出充分估计。
境外筹资还应考虑所在地的政治、经济、法律、市场等因素。
第六条企业应当对筹资方案进行科学论证, 不得依据未经论证的方案开展筹资活动。重大筹资方案应当形成可行性研究报告, 全面反映风险评估情况。
企业可以根据实际需要, 聘请具有相应资质的专业机构进行可行性研究。
第七条企业应当对筹资方案进行严格审批, 重点关注筹资用途的可行性和相应的偿债能力。重大筹资方案, 应当按照规定的权限和程序实行集体决策或者联签制度。
筹资方案需经有关部门批准的, 应当履行相应的报批程序。筹资方案发生重大变更的, 应当重新进行可行性研究并履行相应审批程序。
第八条企业应当根据批准的筹资方案, 严格按照规定权限和程序筹集资金。银行借款或发行债券, 应当重点关注利率风险、筹资成本、偿还能力以及流动性风险等;发行股票应当重点关注发行风险、市场风险、政策风险以及公司控制权风险等。
企业通过银行借款方式筹资的, 应当与有关金融机构进行洽谈, 明确借款规模、利率、期限、担保、还款安排、相关的权利义务和违约责任等内容。双方达成一致意见后签署借款合同, 据此办理相关借款业务。
企业通过发行债券方式筹资的, 应当合理选择债券种类, 对还本付息方案作出系统安排, 确保按期、足额偿还到期本金和利息。
企业通过发行股票方式筹资的, 应当依照《中华人民共和国证券法》等有关法律法规和证券监管部门的规定, 优化企业组织架构, 进行业务整合, 并选择具备相应资质的中介机构协助企业做好相关工作, 确保符合股票发行条件和要求。
第九条企业应当严格按照筹资方案确定的用途使用资金。筹资用于投资的, 应当分别按照本指引第三章和《企业内部控制应用指引第11号——工程项目》规定, 防范和控制资金使用的风险。
由于市场环境变化等确需改变资金用途的, 应当履行相应的审批程序。严禁擅自改变资金用途。
第十条企业应当加强债务偿还和股利支付环节的管理, 对偿还本息和支付股利等作出适当安排。
企业应当按照筹资方案或合同约定的本金、利率、期限、汇率及币种, 准确计算应付利息, 与债权人核对无误后按期支付。
企业应当选择合理的股利分配政策, 兼顾投资者近期和长远利益, 避免分配过度或不足。股利分配方案应当经过股东 (大) 会批准, 并按规定履行披露义务。
第十一条企业应当加强筹资业务的会计系统控制, 建立筹资业务的记录、凭证和账簿, 按照国家统一会计准则制度, 正确核算和监督资金筹集、本息偿还、股利支付等相关业务, 妥善保管筹资合同或协议、收款凭证、入库凭证等资料, 定期与资金提供方进行账务核对, 确保筹资活动符合筹资方案的要求。
第三章投资
第十二条企业应当根据投资目标和规划, 合理安排资金投放结构, 科学确定投资项目, 拟订投资方案, 重点关注投资项目的收益和风险。企业选择投资项目应当突出主业, 谨慎从事股票投资或衍生金融产品等高风险投资。境外投资还应考虑政治、经济、法律、市场等因素的影响。
企业采用并购方式进行投资的, 应当严格控制并购风险, 重点关注并购对象的隐性债务、承诺事项、可持续发展能力、员工状况及其与本企业治理层及管理层的关联关系, 合理确定支付对价, 确保实现并购目标。
第十三条企业应当加强对投资方案的可行性研究, 重点对投资目标、规模、方式、资金来源、风险与收益等作出客观评价。
企业根据实际需要, 可以委托具备相应资质的专业机构进行可行性研究, 提供独立的可行性研究报告。
第十四条企业应当按照规定的权限和程序对投资项目进行决策审批, 重点审查投资方案是否可行、投资项目是否符合国家产业政策及相关法律法规的规定, 是否符合企业投资战略目标和规划、是否具有相应的资金能力、投入资金能否按时收回、预期收益能否实现, 以及投资和并购风险是否可控等。重大投资项目, 应当按照规定的权限和程序实行集体决策或者联签制度。
投资方案需经有关管理部门批准的, 应当履行相应的报批程序。投资方案发生重大变更的, 应当重新进行可行性研究并履行相应审批程序。
第十五条企业应当根据批准的投资方案, 与被投资方签订投资合同或协议, 明确出资时间、金额、方式、双方权利义务和违约责任等内容, 按规定的权限和程序审批后履行投资合同或协议。
企业应当指定专门机构或人员对投资项目进行跟踪管理, 及时收集被投资方经审计的财务报告等相关资料, 定期组织投资效益分析, 关注被投资方的财务状况、经营成果、现金流量以及投资合同履行情况, 发现异常情况, 应当及时报告并妥善处理。
第十六条企业应当加强对投资项目的会计系统控制, 根据对被投资方的影响程度, 合理确定投资会计政策, 建立投资管理台账, 详细记录投资对象、金额、持股比例、期限、收益等事项, 妥善保管投资合同或协议、出资证明等资料。
企业财会部门对于被投资方出现财务状况恶化、市价当期大幅下跌等情形的, 应当根据国家统一的会计准则制度规定, 合理计提减值准备、确认减值损失。
第十七条企业应当加强投资收回和处置环节的控制, 对投资收回、转让、核销等决策和审批程序作出明确规定。企业应当重视投资到期本金的回收。转让投资应当由相关机构或人员合理确定转让价格, 报授权批准部门批准, 必要时可委托具有相应资质的专门机构进行评估。核销投资应当取得不能收回投资的法律文书和相关证明文件。
企业对于到期无法收回的投资, 应当建立责任追究制度。
第四章营运
第十八条企业应当加强资金营运全过程的管理, 统筹协调内部各机构在生产经营过程中的资金需求, 切实做好资金在采购、生产、销售等各环节的综合平衡, 全面提升资金营运效率。
第十九条企业应当充分发挥全面预算管理在资金综合平衡中的作用, 严格按照预算要求组织协调资金调度, 确保资金及时收付, 实现资金的合理占用和营运良性循环。
企业应当严禁资金的体外循环, 切实防范资金营运中的风险。
第二十条企业应当定期组织召开资金调度会或资金安全检查, 对资金预算执行情况进行综合分析, 发现异常情况, 及时采取措施妥善处理, 避免资金冗余或资金链断裂。
企业在营运过程中出现临时性资金短缺的, 可以通过短期融资等方式获取资金。资金出现短期闲置的, 在保证安全性和流动性的前提下, 可以通过购买国债等多种方式, 提高资金效益。
第二十一条企业应当加强对营运资金的会计系统控制, 严格规范资金的收支条件、程序和审批权限。
企业在生产经营及其他业务活动中取得的资金收入应当及时入账, 不得账外设账, 严禁收款不入账、设立“小金库”。
企业办理资金支付业务, 应当明确支出款项的用途、金额、预算、限额、支付方式等内容, 并附原始单据或相关证明, 履行严格的授权审批程序后, 方可安排资金支出。
企业内部控制审计指引 第4篇
第一章 总则
第一条 为了规范注册会计师执行企业内部控制审计业务,明确工作要求,保证执业质 量,根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准 则,制定本指引。
第二条 本指引所称内部控制审计,是指会计师事务所接受委托,对特定基准日内部控 制设计与运行的有效性进行审计。
第三条 建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会 计师的责任。
第四条 注册会计师执行内部控制审计工作,应当获取充分、适当的证据,为发表内部 控制审计意见提供合理保证。
注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中 注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控 制重大缺陷描述段”予以披露。
第五条 注册会计师可以单独进行内部控制审计,也可将内部控制审计与财务报表审计 整合进行(以下简称整合审计)。
在整合审计中,注册会计师应当对内部控制设计与运行的有效性进行测试,以同时实现 下列目标:
(一)获取充分、适当的证据,支持其在内部控制审计中对内部控制有效性发表的意见。
(二)获取充分、适当的证据,支持其在财务报表审计中对控制风险的评估结果。
第二章 计划审计工作
第六条 注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任能力的项目 组,并对助理人员进行适当的督导。
第七条 在计划审计工作时,注册会计师应当评价下列事项对内部控制、财务报表以及 审计工作的影响:
(一)与企业相关的风险。
(二)相关法律法规和行业概况。
(三)企业组织结构、经营特点和资本结构等相关重要事项。
(四)企业内部控制最近发生变化的程度。
(五)与企业沟通过的内部控制缺陷。
(六)重要性、风险等与确定内部控制重大缺陷相关的因素。
(七)对内部控制有效性的初步判断。
(八)可获取的、与内部控制有效性相关的证据的类型和范围。
第八条 注册会计师应当以风险评估为基础,选择拟测试的控制,确定测试所需收集的 证据。
内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多。
第九条 注册会计师应当对企业内部控制自我评价工作进行评估,判断是否利用企业内 部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度,相应减少可能本 应由注册会计师执行的工作。
注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作,应当对 其专业胜任能力和客观性进行充分评价。
与某项控制相关的风险越高,可利用程度就越低,注册会计师应当更多地对该项控制亲
自进行测试。
注册会计师应当对发表的审计意见独立承担责任,其责任不因为利用企业内部审计人 员、内部控制评价人员和其他相关人员的工作而减轻。
第三章 实施审计工作
第十条 注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会
计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时,可以将企业层 面控制和业务层面控制的测试结合进行。
第十一条 注册会计师测试企业层面控制,应当把握重要性原则,至少应当关注:
(一)与内部环境相关的控制。
(二)针对董事会、经理层凌驾于控制之上的风险而设计的控制。
(三)企业的风险评估过程。
(四)对内部信息传递和财务报告流程的控制。
(五)对控制有效性的内部监督和自我评价。
第十二条 注册会计师测试业务层面控制,应当把握重要性原则,结合企业实际、企业
内部控制各项应用指引的要求和企业层面控制的测试情况,重点对企业生产经营活动中的重 要业务与事项的控制进行测试。
注册会计师应当关注信息系统对内部控制及风险评估的影响。
第十三条 注册会计师在测试企业层面控制和业务层面控制时,应当评价内部控制是否 足以应对舞弊风险。
第十四条 注册会计师应当测试内部控制设计与运行的有效性。
如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行,能够 实现控制目标,表明该项控制的设计是有效的。
如果某项控制正在按照设计运行,执行人员拥有必要授权和专业胜任能力,能够实现控 制目标,表明该项控制的运行是有效的。
第十五条 注册会计师应当根据与内部控制相关的风险,确定拟实施审计程序的性质、时间安排和范围,获取充分、适当的证据。与内部控制相关的风险越高,注册会计师需要获 取的证据应越多。
第十六条 注册会计师在测试控制设计与运行的有效性时,应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。
询问本身并不足以提供充分、适当的证据。
第十七条 注册会计师在确定测试的时间安排时,应当在下列两个因素之间作出平衡,以获取充分、适当的证据:
(一)尽量在接近企业内部控制自我评价基准日实施测试。
(二)实施的测试需要涵盖足够长的期间。
第十八条 注册会计师对于内部控制运行偏离设计的情况(即控制偏差),应当确定该 偏差对相关风险评估、需要获取的证据以及控制运行有效性结论的影响。
第十九条 在连续审计中,注册会计师在确定测试的性质、时间安排和范围时,应当考 虑以前执行内部控制审计时了解的情况。
第四章 评价控制缺陷
第二十条 内部控制缺陷按其成因分为设计缺陷和运行缺陷,按其影响程度分为重大缺 陷、重要缺陷和一般缺陷。
注册会计师应当评价其识别的各项内部控制缺陷的严重程度,以确定这些缺陷单独或组 合起来,是否构成重大缺陷。
第二十一条 在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷
时,注册会计师应当评价补偿性控制(替代性控制)的影响。企业执行的补偿性控制应当具 有同样的效果。
第二十二条 表明内部控制可能存在重大缺陷的迹象,主要包括:
(一)注册会计师发现董事、监事和高级管理人员舞弊。
(二)企业更正已经公布的财务报表。
(三)注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现 该错报。
(四)企业审计委员会和内部审计机构对内部控制的监督无效。
第五章 完成审计工作
第二十三条 注册会计师完成审计工作后,应当取得经企业签署的书面声明。书面声明 应当包括下列内容:
(一)企业董事会认可其对建立健全和有效实施内部控制负责。
(二)企业已对内部控制的有效性作出自我评价,并说明评价时采用的标准以及得出的 结论。
(三)企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础。
(四)企业已向注册会计师披露识别出的所有内部控制缺陷,并单独披露其中的重大缺 陷和重要缺陷。
(五)企业对于注册会计师在以前审计中识别的重大缺陷和重要缺陷,是否已经采 取措施予以解决。
(六)企业在内部控制自我评价基准日后,内部控制是否发生重大变化,或者存在对内 部控制具有重要影响的其他因素。
第二十四条 企业如果拒绝提供或以其他不当理由回避书面声明,注册会计师应当将其 视为审计范围受到限制,解除业务约定或出具无法表示意见的内部控制审计报告。第二十五条 注册会计师应当与企业沟通审计过程中识别的所有控制缺陷。对于其中的 重大缺陷和重要缺陷,应当以书面形式与董事会和经理层沟通。
注册会计师认为审计委员会和内部审计机构对内部控制的监督无效的,应当就此以书面 形式直接与董事会和经理层沟通。
书面沟通应当在注册会计师出具内部控制审计报告之前进行。
第二十六条 注册会计师应当对获取的证据进行评价,形成对内部控制有效性的意见。
第六章 出具审计报告
第二十七条 注册会计师在完成内部控制审计工作后,应当出具内部控制审计报告。标 准内部控制审计报告应当包括下列要素:
(一)标题。
(二)收件人。
(三)引言段。
(四)企业对内部控制的责任段。
(五)注册会计师的责任段。
(六)内部控制固有局限性的说明段。
(七)财务报告内部控制审计意见段。
(八)非财务报告内部控制重大缺陷描述段。
(九)注册会计师的签名和盖章。
(十)会计师事务所的名称、地址及盖章。
(十一)报告日期。
第二十八条 符合下列所有条件的,注册会计师应当对财务报告内部控制出具无保留意
见的内部控制审计报告:
(一)企业按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部 控制评价指引》以及企业自身内部控制制度的要求,在所有重大方面保持了有效的内部控制。
(二)注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作,在 审计过程中未受到限制。
第二十九条 注册会计师认为财务报告内部控制虽不存在重大缺陷,但仍有一项或者多
项重大事项需要提请内部控制审计报告使用者注意的,应当在内部控制审计报告中增加强调 事项段予以说明。
注册会计师应当在强调事项段中指明,该段内容仅用于提醒内部控制审计报告使用者关 注,并不影响对财务报告内部控制发表的审计意见。
第三十条 注册会计师认为财务报告内部控制存在一项或多项重大缺陷的,除非审计范 围受到限制,应当对财务报告内部控制发表否定意见。
注册会计师出具否定意见的内部控制审计报告,还应当包括下列内容:
(一)重大缺陷的定义。
(二)重大缺陷的性质及其对财务报告内部控制的影响程度。
第三十一条 注册会计师审计范围受到限制的,应当解除业务约定或出具无法表示意见 的内部控制审计报告,并就审计范围受到限制的情况,以书面形式与董事会进行沟通。注册会计师在出具无法表示意见的内部控制审计报告时,应当在内部控制审计报告中指 明审计范围受到限制,无法对内部控制的有效性发表意见。
注册会计师在已执行的有限程序中发现财务报告内部控制存在重大缺陷的,应当在内部 控制审计报告中对重大缺陷作出详细说明。
第三十二条 注册会计师对在审计过程中注意到的非财务报告内部控制缺陷,应当区别 具体情况予以处理:
(一)注册会计师认为非财务报告内部控制缺陷为一般缺陷的,应当与企业进行沟通,提醒企业加以改进,但无需在内部控制审计报告中说明。
(二)注册会计师认为非财务报告内部控制缺陷为重要缺陷的,应当以书面形式与企业 董事会和经理层沟通,提醒企业加以改进,但无需在内部控制审计报告中说明。
(三)注册会计师认为非财务报告内部控制缺陷为重大缺陷的,应当以书面形式与企业 董事会和经理层沟通,提醒企业加以改进;同时应当在内部控制审计报告中增加非财务报告 内部控制重大缺陷描述段,对重大缺陷的性质及其对实现相关控制目标的影响程度进行 露,提示内部控制审计报告使用者注意相关风险。
第三十三条 在企业内部控制自我评价基准日并不存在、但在该基准日之后至审计报告
日之前(以下简称期后期间)内部控制可能发生变化,或出现其他可能对内部控制产生重要 影响的因素。注册会计师应当询问是否存在这类变化或影响因素,并获取企业关于这些情况 的书面声明。
注册会计师知悉对企业内部控制自我评价基准日内部控制有效性有重大负面影响的期 后事项的,应当对财务报告内部控制发表否定意见。
注册会计师不能确定期后事项对内部控制有效性的影响程度的,应当出具无法表示意见 的内部控制审计报告。
第七章 记录审计工作
第三十四条 注册会计师应当按照《中国注册会计师审计准则第1131号—审计工作底 稿》的规定,编制内部控制审计工作底稿,完整记录审计工作情况。
第三十五条 注册会计师应当在审计工作底稿中记录下列内容:
(一)内部控制审计计划及重大修改情况。
(二)相关风险评估和选择拟测试的内部控制的主要过程及结果。
(三)测试内部控制设计与运行有效性的程序及结果。
(四)对识别的控制缺陷的评价。
(五)形成的审计结论和意见。
企业内部控制审计指引 第5篇
第一条为了规范注册会计师执行企业内部控制审计业务, 明确工作要求, 保证执业质量, 根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则, 制定本指引。
第二条本指引所称内部控制审计, 是指会计师事务所接受委托, 对特定基准日内部控制设计与运行的有效性进行审计。
第三条建立健全和有效实施内部控制, 评价内部控制的有效性是企业董事会的责任。按照本指引的要求, 在实施审计工作的基础上对内部控制的有效性发表审计意见, 是注册会计师的责任。
第四条注册会计师执行内部控制审计工作, 应当获取充分、适当的证据, 为发表内部控制审计意见提供合理保证。
注册会计师应当对财务报告内部控制的有效性发表审计意见, 并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷, 在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
第五条注册会计师可以单独进行内部控制审计, 也可以将内部控制审计与财务报表审计整合进行 (以下简称整合审计) 。
在整合审计中, 注册会计师应当对内部控制设计与运行的有效性进行测试, 以同时实现下列目标:
(一) 获取充分、适当的证据, 支持其在内部控制审计中对内部控制有效性发表的意见。
(二) 获取充分、适当的证据, 支持其在财务报表审计中对控制风险的评估结果。
第二章计划审计工作
第六条注册会计师应当恰当地计划内部控制审计工作, 配备具有专业胜任能力的项目组, 并对助理人员进行适当的督导。
第七条在计划审计工作时, 注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响:
(一) 与企业相关的风险。 (二) 相关法律法规和行业概况。
(三) 企业组织结构、经营特点和资本结构等相关重要事项。
(四) 企业内部控制最近发生变化的程度。
(五) 与企业沟通过的内部控制缺陷。
(六) 重要性、风险等与确定内部控制重大缺陷相关的因素。
(七) 对内部控制有效性的初步判断。
(八) 可获取的、与内部控制有效性相关的证据的类型和范围。
第八条注册会计师应当以风险评估为基础, 选择拟测试的控制, 确定测试所需收集的证据。
内部控制的特定领域存在重大缺陷的风险越高, 给予该领域的审计关注就越多。
第九条注册会计师应当对企业内部控制自我评价工作进行评估, 判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度, 相应减少可能本应由注册会计师执行的工作。
注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作, 应当对其专业胜任能力和客观性进行充分评价。
与某项控制相关的风险越高, 可利用程度就越低, 注册会计师应当更多地对该项控制亲自进行测试。
注册会计师应当对发表的审计意见独立承担责任, 其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。
第三章实施审计工作
第十条注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时, 可以将企业层面控制和业务层面控制的测试结合进行。
第十一条注册会计师测试企业层面控制, 应当把握重要性原则, 至少应当关注:
(一) 与内部环境相关的控制。
(二) 针对董事会、经理层凌驾于控制之上的风险而设计的控制。
(三) 企业的风险评估过程。
(四) 对内部信息传递和财务报告流程的控制。 (五) 对控制有效性的内部监督和自我评价。
第十二条注册会计师测试业务层面控制, 应当把握重要性原则, 结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况, 重点对企业生产经营活动中的重要业务与事项的控制进行测试。
注册会计师应当关注信息系统对内部控制及风险评估的影响。
第十三条注册会计师在测试企业层面控制和业务层面控制时, 应当评价内部控制是否足以应对舞弊风险。
第十四条注册会计师应当测试内部控制设计与运行的有效性。
如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行, 能够实现控制目标, 表明该项控制的设计是有效的。
如果某项控制正在按照设计运行, 执行人员拥有必要授权和专业胜任能力, 能够实现控制目标, 表明该项控制的运行是有效的。
第十五条注册会计师应当根据与内部控制相关的风险, 确定拟实施审计程序的性质、时间安排和范围, 获取充分、适当的证据。与内部控制相关的风险越高, 注册会计师需要获取的证据应越多。
第十六条注册会计师在测试控制设计与运行的有效性时, 应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。
询问本身并不足以提供充分、适当的证据。
第十七条注册会计师在确定测试的时间安排时, 应当在下列两个因素之间作出平衡, 以获取充分、适当的证据:
(一) 尽量在接近企业内部控制自我评价基准日实施测试。 (二) 实施的测试需要涵盖足够长的期间。
第十八条注册会计师对于内部控制运行偏离设计的情况 (即控制偏差) , 应当确定该偏差对相关风险评估、需要获取的证据以及控制运行有效性结论的影响。
第十九条在连续审计中, 注册会计师在确定测试的性质、时间安排和范围时, 应当考虑以前年度执行内部控制审计时了解的情况。
第四章评价控制缺陷
第二十条内部控制缺陷按其成因分为设计缺陷和运行缺陷, 按其影响程度分为重大缺陷、重要缺陷和一般缺陷。
注册会计师应当评价其识别的各项内部控制缺陷的严重程度, 以确定这些缺陷单独或组合起来, 是否构成重大缺陷。
第二十一条在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时, 注册会计师应当评价补偿性控制 (替代性控制) 的影响。企业执行的补偿性控制应当具有同样的效果。
第二十二条表明内部控制可能存在重大缺陷的迹象, 主要包括:
(一) 注册会计师发现董事、监事和高级管理人员舞弊。 (二) 企业更正已经公布的财务报表。
(三) 注册会计师发现当期财务报表存在重大错报, 而内部控制在运行过程中未能发现该错报。
(四) 企业审计委员会和内部审计机构对内部控制的监督无效。
第五章完成审计工作
第二十三条注册会计师完成审计工作后, 应当取得经企业签署的书面声明。书面声明应当包括下列内容:
(一) 企业董事会认可其对建立健全和有效实施内部控制负责。
(二) 企业已对内部控制的有效性作出自我评价, 并说明评价时采用的标准以及得出的结论。
(三) 企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础。
(四) 企业已向注册会计师披露识别出的所有内部控制缺陷, 并单独披露其中的重大缺陷和重要缺陷。
(五) 企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷, 是否已经采取措施予以解决。
(六) 企业在内部控制自我评价基准日后, 内部控制是否发生重大变化, 或者存在对内部控制具有重要影响的其他因素。
第二十四条企业如果拒绝提供或以其他不当理由回避书面声明, 注册会计师应当将其视为审计范围受到限制, 解除业务约定或出具无法表示意见的内部控制审计报告。
第二十五条注册会计师应当与企业沟通审计过程中识别的所有控制缺陷。对于其中的重大缺陷和重要缺陷, 应当以书面形式与董事会和经理层沟通。
注册会计师认为审计委员会和内部审计机构对内部控制的监督无效的, 应当就此以书面形式直接与董事会和经理层沟通。
书面沟通应当在注册会计师出具内部控制审计报告之前进行。
第二十六条注册会计师应当对获取的证据进行评价, 形成对内部控制有效性的意见。
第六章出具审计报告
第二十七条注册会计师在完成内部控制审计工作后, 应当出具内部控制审计报告。标准内部控制审计报告应当包括下列要素:
(一) 标题。 (二) 收件人。 (三) 引言段。
(四) 企业对内部控制的责任段。 (五) 注册会计师的责任段。
(六) 内部控制固有局限性的说明段。 (七) 财务报告内部控制审计意见段。
(八) 非财务报告内部控制重大缺陷描述段。
(九) 注册会计师的签名和盖章。
(十) 会计师事务所的名称、地址及盖章。 (十一) 报告日期。
第二十八条符合下列所有条件的, 注册会计师应当对财务报告内部控制出具无保留意见的内部控制审计报告:
(一) 企业按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》以及企业自身内部控制制度的要求, 在所有重大方面保持了有效的内部控制。
(二) 注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作, 在审计过程中未受到限制。
第二十九条注册会计师认为财务报告内部控制虽不存在重大缺陷, 但仍有一项或者多项重大事项需要提请内部控制审计报告使用者注意的, 应当在内部控制审计报告中增加强调事项段予以说明。
注册会计师应当在强调事项段中指明, 该段内容仅用于提醒内部控制审计报告使用者关注, 并不影响对财务报告内部控制发表的审计意见。
第三十条注册会计师认为财务报告内部控制存在一项或多项重大缺陷的, 除非审计范围受到限制, 应当对财务报告内部控制发表否定意见。
注册会计师出具否定意见的内部控制审计报告, 还应当包括下列内容:
(一) 重大缺陷的定义。
(二) 重大缺陷的性质及其对财务报告内部控制的影响程度。
第三十一条注册会计师审计范围受到限制的, 应当解除业务约定或出具无法表示意见的内部控制审计报告, 并就审计范围受到限制的情况, 以书面形式与董事会进行沟通。
注册会计师在出具无法表示意见的内部控制审计报告时, 应当在内部控制审计报告中指明审计范围受到限制, 无法对内部控制的有效性发表意见。
注册会计师在已执行的有限程序中发现财务报告内部控制存在重大缺陷的, 应当在内部控制审计报告中对重大缺陷做出详细说明。
第三十二条注册会计师对在审计过程中注意到的非财务报告内部控制缺陷, 应当区别具体情况予以处理:
(一) 注册会计师认为非财务报告内部控制缺陷为一般缺陷的, 应当与企业进行沟通, 提醒企业加以改进, 但无需在内部控制审计报告中说明。
(二) 注册会计师认为非财务报告内部控制缺陷为重要缺陷的, 应当以书面形式与企业董事会和经理层沟通, 提醒企业加以改进, 但无需在内部控制审计报告中说明。
(三) 注册会计师认为非财务报告内部控制缺陷为重大缺陷的, 应当以书面形式与企业董事会和经理层沟通, 提醒企业加以改进;同时应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段, 对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露, 提示内部控制审计报告使用者注意相关风险。
第三十三条在企业内部控制自我评价基准日并不存在、但在该基准日之后至审计报告日之前 (以下简称期后期间) 内部控制可能发生变化, 或出现其他可能对内部控制产生重要影响的因素。注册会计师应当询问是否存在这类变化或影响因素, 并获取企业关于这些情况的书面声明。
注册会计师知悉对企业内部控制自我评价基准日内部控制有效性有重大负面影响的期后事项的, 应当对财务报告内部控制发表否定意见。
注册会计师不能确定期后事项对内部控制有效性的影响程度的, 应当出具无法表示意见的内部控制审计报告。
第七章记录审计工作
第三十四条注册会计师应当按照《中国注册会计师审计准则第1131号——审计工作底稿》的规定, 编制内部控制审计工作底稿, 完整记录审计工作情况。
第三十五条注册会计师应当在审计工作底稿中记录下列内容:
(一) 内部控制审计计划及重大修改情况。
(二) 相关风险评估和选择拟测试的内部控制的主要过程及结果。
(三) 测试内部控制设计与运行有效性的程序及结果。
(四) 对识别的控制缺陷的评价。
(五) 形成的审计结论和意见。
试论企业内部控制应用指引 第6篇
内部控制是指一个单位为了保护企业资产的安全和完整、保证会计资料的真实可靠、维护经济活动的正常进行,利用企业内部分工产生的相互联系、相互制约的关系,制定和实施的一系列具有控制职能的政策和程序,是现代企业管理的重要组成部分。2010年4月26日,财政部、证监会、审计署、银监会、保监会等五部委联合并发布了《企业内部控制配套指引》,包括《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》等,为我国企业内部控制制度的建设提供了依据。同时,为确保企业内控规范体系平稳顺利实施,财政部等五部门还制定了实施时间表:自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。
一、内部控制的涵义及内容
内部控制是指一个单位为了保护企业资产的安全和完整、保证会计资料的真实可靠、维护经济活动的正常进行,利用企业内部分工产生的相互联系、相互制约的关系,制定和实施的一系列具有控制职能的政策和程序。根据控制目的的不同,内部控制可以分为管理控制和会计控制。管理控制是指与促进单位经营政策贯彻执行,维护经营活动有效性等有关的控制;会计控制是指与保证财务活动合法与会计信息真实,维护资产安全完整有关的控制。管理控制与会计控制具有交叉的地方,有些控制措施既可用于管理控制,也可用于会计控制。
内部控制包括控制环境、风险评估、控制活动、信息沟通、监督等五个方面。控制环境分为外部控制环境和内部控制环境,是为实现企业的首要目标而设计的法律和整体结构,为内部控制体系的建设和有效实施提供了基础和保障。外部环境是指影响内部控制体系建立与实施的外部因素,主要包括企业所面临的经济环境、政治环境、法律环境等宏观环境。内部控制环境是指影响内部控制体系建立和实施的内部因素,主要包括企业组织结构、企业文化、人力资源政策、员工个人素质等。控制环境能够对企业文化及员工控制意识产生直接的影响,是其他所有内部控制组成内容的基础,在内部控制体系中占有重要地位。
风险评估主要是认识和分析相关风险,如投资、决策、外汇、市场、技术、信用、产品等,主要包括风险识别、风险分析、风险评价三个步骤。风险识别是指在企业经营活动中查找出潜在的风险;风险分析是指对查找出的风险及其特征进行描述,分析其发生的诱因及概率;风险评价是对风险对企业的影响程度进行评估。
控制活动是具体控制方法,包括批准、授权、核对、审核等一系列的程序和活动,其目的是保证管理层制定的政策、规范在企业中能够得以贯彻执行。控制活动在企业的各个层次上都有体现,例如领导层对企业经营业绩的分析控制,部门控制,对信息处理的控制,实体控制等。
信息与沟通是企业识别、收集、交流内部信息和外部信息的过程,有助于企业管理层对各项活动的监督。企业应当提高信息记录、财务报告等相关信息的真实性和可靠性,建立有效的信息交流和反馈机制,保障信息的顺畅流通与反馈,以保证信息能够及时传递到领导层、投资者、政府机关等利益相关者手中。
监督是对内部控制设计和运行情况进行持续检测和反馈的过程,以保证内部控制能持续有效地运行。为提高监督的有效性,企业应有一套完善的内部控制监督与评价体系,以发现内部控制体系中存在的薄弱环节,并及时进行整改和完善。监督活动包括持续监督与例外评估。持续监督贯穿于企业的整个经营活动中,包括例行的管理和监督活动。在持续监督以外,企业仍需要对内部控制部分程序进行个别评估,这样既可以直接监视内部控制系统的运行效率,又可以对持续性监督程序进行监督。
二、企业构建内部控制体系的意义
第一,内部控制体系能够促进国家方针政策在企业中的贯彻实施。贯彻执行执行国家法律法规是企业进行合法经营的前提条件,国家制定的一系列的财经法律法规都需要企业通过内部控制系统来落实。完善的内部控制可以有效地监督和控制企业各个经营环节,能够及时发现并纠正运营过程中存在的问题。企业通过严格实施内部控制制度进行自我约束,促进了国家方针政策在企业中的贯彻实施。
第二,内部控制有助于企业经营效率的提高。内部控制能够将各部门的制度规划综合统计起来,把各部门工作结合在一起,合理地进行分工协调和控制,增强了部门间的协作性,有利于整体作用的发挥,提高了经营的效率和效果,保证了企业既定目标的实现。健全的内部控制还能对员工工作业绩进行科学合理的监督与考核,能够调动起员工工作的积极性和主动性,促使企业各部门和人员切实担负起自身所负有的工作职责,有利于企业经营效率的提高,为企业生产经营活动高效有序地进行提供了保障。
第三,内部控制提高了企业财务信息的准确性与可靠性。企业会计资料与信息为经营管理者进行正确的决策提供了依据。内部控制通过执行具体的监督和控制活动,将各项工作科学地进行职责分离,能够保证会计资料与信息的采集、归类、记录和汇总是在相互制衡、相互牵制的条件下进行的,有效地防止了错误的发生,提高了企业财务信息的准确性与可靠性。
第四,内部控制能够有效控制、防范企业风险。近几年,市场竞争越来越激烈,企业所面临的风险也有所增加。企业若想稳定健康地生存并取得进一步的发展,就有必要对各类风险进行防范和控制。内部控制体系本身就具有防范、控制风险的功能,是企业规避风险、减少损失的一种有效手段。通过对企业潜在的风险进行预测和评估,内部控制系统能够找出经营过程中存在的薄弱环节并加强对其的控制,从而有效地控制和防范企业风险,避免或减少风险给企业造成的损失。
第五,内部控制保证了企业资产的安全性和完整性。资产安全和完整是企业进行正常经营管理活动的基本保障之一,因此企业需要加强企业资产的管理力度。内部控制通过对资产进行定期的实物盘点、账务核对等控制活动,可对企业资产的采购、计量、验收等环节进行有效的监督和制约,减少了损坏、盗窃、贪污资产等现象的发生,保证了企业资产的安全性和完整性。
三、内部控制指引解读
(一)内部控制应用指引解读
《企业内部控制应用指引》包括组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统等18项内容。在内部控制体系中,组织架构是内部控制体系建设和有效实施的基础和保障。企业应一步完善公司治理结构。董事会在企业管理中位于核心地位,应对内部控制的建设和执行负责。设立风险管理委员会作为内部控制的主要决策机构,风险管理部为主要执行机构。设立内部审计委员会,负责对内部控制状况进行监督和评价。通过两个委员会的相互协作,达到促进内部控制在企业严格执行的目的,并在执行过程中不断对其进行完善,进而提高企业管理水平。
信息系统为企业部门间信息之间的交流提供了一个良好的平台。目前我国多数企业已经不再使用传统的手工记账,而是广泛运用会计软件进行账务处理。会计电算化不仅提高了企业财务人员的工作效率,也为企业建立内部信息交流平台提供了可能。企业应开发和引进先进的财务管理软件,建立起系统的信息网络,使相关信息能够在企业内部进行及时传递以及准确应用,加强各部门间的信息沟通,以便企业管理者能够及时掌握企业的整体运营情况和发生的问题,充分提高企业内部控制的效率和效果。
(二)企业内部控制评价指引解读
企业在进行内部控制评价时,应遵循全面性原则、重要性原则、客观性原则,制定具体的内部控制评价办法,规定评价的原则、内容、程序、方法和报告形式等,明确相关机构或岗位的职责权限,按照规定的办法、程序和要求,有序地开展内部控制评价工作。
企业内部控制评价的内容包括内部环境的评价、风险评估机制的评价、控制活动的评价、信息与沟通的评价、内部监督的评价。在开展内部控制评价时,应形成较为详细的工作底稿,详细记录评价工作的内容。在评价结束时,要形成内部控制评价报告,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容做出披露,为企业进一步完善内部控制体系提供可靠依据。
(三)内部控制审计指引解读
企业内部控制评价指引 第7篇
(一) 建立分级授权管理制度
企业应当根据经济业务性质、组织机构设置和管理层级安排, 建立合同分级管理制度。属于上级管理权限的合同, 下级单位不得签署。对于重大投资类、融资类、担保类、知识产权类、不动产类合同, 上级部门应加强管理。下级单位认为确有需要签署涉及上级管理权限的合同, 应当提出申请, 并经上级合同管理机构批准后办理。上级单位应当加强对下级单位合同订立、履行情况的监督检查。
(二) 实行统一归口管理
企业可以根据实际情况指定法律部门等作为合同归口管理部门, 对合同实施统一规范管理, 具体负责制定合同管理制度, 审核合同条款的权利义务对等性, 管理合同标准文本, 管理合同专用章, 定期检查和评价合同管理中的薄弱环节, 采取相应控制措施, 促进合同的有效履行。
(三) 明确职责分工
公司各业务部门作为合同的承办部门负责在职责范围内承办相关合同, 并履行合同调查、谈判、订立、履行和终结责任。公司财会部门侧重于履行对合同的财务监督职责。
(四) 健全考核与责任追究制度
企业应当健全合同管理考核与责任追究制度, 开展合同后评估, 对合同订立、履行过程中出现的违法违规行为, 应当追究有关机构或人员的责任。
二、合同管理流程
合同管理从大的方面可以划分为合同订立阶段和合同履行阶段 (见图1所示) 。
三、合同各环节的主要风险点及管控措施
(一) 合同调查
合同订立前, 企业应当进行合同调查, 充分了解合同对方的主体资格、信用状况等有关情况, 确保对方当事人具备履约能力。该环节的主要风险是:忽视被调查对象的主体资格审查, 准合同对象不具有相应民事权利能力和民事行为能力或不具备特定资质, 与不具备代理权或越权代理的主体签订合同, 导致合同无效, 或引发潜在风险;在合同签订前错误判断被调查对象的信用状况, 或在合同履行过程中没有持续关注对方的资信变化, 致使企业蒙受损失;对被调查对象的履约能力给出不当评价, 将不具备履约能力的对象确定为准合同对象, 或将具有履约能力的对象排除在准合同对象之外。
主要管控措施:第一, 审查被调查对象的身份证件、法人登记证书、资质证明、授权委托书等证明原件, 必要时, 可通过发证机关查询证书的真实性和合法性, 关注授权代理人的行为是否在其被授权范围内, 在充分收集相关证据的基础上评价主体资格是否恰当。第二, 获取调查对象经审计的财务报告、以往交易记录等财务和非财务信息, 分析其获利能力、偿债能力和营运能力, 评估其财务风险和信用状况, 并在合同履行过程中持续关注其资信变化, 建立和及时更新合同对方的商业信用档案。第三, 对被调查对象进行现场调查, 实地了解和全面评估其生产能力、技术水平、产品类别和质量等生产经营情况, 分析其合同履约能力。第四, 与被调查对象的主要供应商、客户、开户银行、主管税务机关和工商管理部门沟通, 了解其生产经营、商业信誉、履约能力等情况。
(二) 合同谈判
初步确定准合同对象后, 企业内部的合同承办部门将在授权范围内与对方进行合同谈判, 按照自愿、公平原则, 磋商合同内容和条款, 明确双方的权利义务和违约责任。该环节的主要风险是:忽略合同重大问题或在重大问题上做出不当让步;谈判经验不足, 缺乏技术、法律和财务知识的支撑, 导致企业利益损失;泄露本企业谈判策略, 导致企业在谈判中处于不利地位。
主要管控措施:第一, 收集谈判对手资料, 充分熟悉谈判对手情况, 做到知己知彼;研究国家相关法律法规、行业监管、产业政策、同类产品或服务价格等与谈判内容相关的信息, 正确制定本企业谈判策略。第二, 关注合同核心内容、条款和关键细节, 具体包括合同标的的数量、质量或技术标准, 合同价格的确定方式与支付方式, 履约期限和方式, 违约责任和争议的解决方法、合同变更或解除条件等。第三, 对于影响重大、涉及较高专业技术或法律关系复杂的合同, 组织法律、技术、财会等专业人员参与谈判, 充分发挥团队智慧, 及时总结谈判过程中的得失, 研究确定下一步谈判策略。第四, 必要时可聘请外部专家参与相关工作, 并充分了解外部专家的专业资质、胜任能力和职业道德情况。第五, 加强保密工作, 严格责任追究制度。第六, 对谈判过程中的重要事项和参与谈判人员的主要意见, 予以记录并妥善保存, 作为避免合同舞弊的重要手段和责任追究的依据。
(三) 合同文本拟定
该环节的主要风险是:选择不恰当的合同形式;合同与国家法律法规、行业产业政策、企业总体战略目标或特定业务经营目标发生冲突;合同内容和条款不完整、表述不严谨准确, 或存在重大疏漏和欺诈, 导致企业合法利益受损;有意拆分合同规避合同管理规定等;对于合同文本须报经国家有关主管部门审查或备案的, 未履行相应程序。
主要管控措施:第一, 企业对外发生经济行为, 除即时结清方式外, 应当订立书面合同。第二, 严格审核合同需求与国家法律法规、产业政策、企业整体战略目标的关系, 保证其协调一致;考察合同是否以生产经营计划、项目立项书等为依据, 确保完成具体业务经营目标。第三, 合同文本一般由业务承办部门起草, 法律部门审核;重大合同或法律关系复杂的特殊合同应当由法律部门参与起草。国家或行业有合同示范文本的, 可以优先选用, 但对涉及权利义务关系的条款应当进行认真审查, 并根据实际情况进行适当修改。各部门应当各司其职, 保证合同内容和条款的完整准确。第四, 通过统一归口管理和授权审批制度, 严格合同管理, 防止通过化整为零等方式故意规避招标的做法和越权行为。第五, 由签约对方起草的合同, 企业应当认真审查, 确保合同内容准确反映企业诉求和谈判达成的一致意见, 特别留意“其他约定事项”等需要补充填写的栏目, 如不存在其他约定事项时注明“此处空白”或“无其他约定”, 防止合同后续被篡改。第六, 合同文本须报经国家有关主管部门审查或备案的, 应当履行相应程序。
(四) 合同审核
该环节的主要风险是:合同审核人员因专业素质或工作态度原因未能发现合同文本中的不当内容和条款;审核人员虽然通过审核发现问题但未提出恰当的修订意见;合同起草人员没有根据审核人员的改进意见修改合同, 导致合同中的不当内容和条款未被纠正。
主要管控措施:第一, 审核人员应当对合同文本的合法性、经济性、可行性和严密性进行重点审核, 关注合同的主体、内容和形式是否合法, 合同内容是否符合企业的经济利益, 对方当事人是否具有履约能力, 合同权利和义务、违约责任和争议解决条款是否明确。第二, 建立会审制度, 对影响重大或法律关系复杂的合同文本, 组织财会部门、内部审计部、法律部、业务关联的相关部门进行审核, 内部相关部门应当认真履行职责。第三, 慎重对待审核意见, 认真分析研究, 慎重对待, 对审核意见准确无误地加以记录, 必要时对合同条款作出修改并再次提交审核。
(五) 合同签署
该环节的主要风险是:超越权限签订合同, 合同印章管理不当, 签署后的合同被篡改, 因手续不全导致合同无效等。
主要管控措施:第一, 按照规定的权限和程序与对方当事人签署合同。对外正式订立的合同应当由企业法定代表人或由其授权的代理人签名或加盖有关印章。授权签署合同的, 应当签署授权委托书。第二, 严格合同专用章保管制度, 合同经编号、审批及企业法定代表人或由其授权的代理人签署后, 方可加盖合同专用章。用印后保管人应当立即收回, 并按要求妥善保管, 以防止他人滥用。保管人应当记录合同专用章使用情况以备查, 如果发生合同专用章遗失或被盗现象, 应当立即报告公司负责人并采取妥善措施, 如向公安机关报案、登报声明作废等, 以最大限度消除可能带来的负面影响。第三, 采取恰当措施, 防止已签署的合同被篡改, 如在合同各页码之间加盖骑缝章、使用防伪印记、使用不可编辑的电子文档格式等。第四, 按照国家有关法律、行政法规规定, 需办理批准、登记等手续之后方可生效的合同, 企业应当及时按规定办理相关手续。
(六) 合同履行
合同订立后, 企业应当与合同对方当事人一起遵循诚实信用原则, 根据合同的性质、目的和交易习惯履行通知、协助、保密等义务。该环节的主要风险是:本企业或合同对方当事人没有恰当地履行合同中约定的义务;合同生效后, 对合同条款未明确约定的事项没有及时协议补充, 导致合同无法正常履行;在合同履行过程中, 未能及时发现已经或可能导致企业利益受损情况, 或未能采取有效措施;合同纠纷处理不当, 导致企业遭受外部处罚、诉讼失败, 损害企业利益、信誉和形象等。
主要管控措施:第一, 强化对合同履行情况及效果的检查、分析和验收, 全面适当执行本企业义务, 敦促对方积极执行合同, 确保合同全面有效履行。第二, 对合同对方履行情况实施有效监控, 一旦发现有违约可能或违约行为, 应当及时提示风险, 并立即采取相应措施将合同损失降到最低。第三, 根据需要及时补充、变更甚至解除合同。一是对于合同没有约定或约定不明确的内容, 通过双方协商一致对原有合同进行补充;无法达成补充协议的, 按照国家相关法律法规、合同有关条款或者交易习惯确定;二是对于显失公平、条款有误或存在欺诈行为的合同, 以及因政策调整、市场变化等客观因素已经或可能导致企业利益受损的合同, 按规定程序及时报告, 并经双方协商一致, 按照规定权限和程序办理合同变更或解除事宜;三是对方当事人提出中止、转让、解除合同的, 造成企业经济损失的, 应向对方当事人书面提出索赔。第四, 加强合同纠纷管理, 在履行合同过程中发生纠纷的, 应当依据国家相关法律法规, 在规定时效内与对方当事人协商并按规定权限和程序及时报告。合同纠纷经协商一致的, 双方应当签订书面协议;合同纠纷经协商无法解决的, 根据合同约定选择仲裁或诉讼方式解决。企业内部授权处理合同纠纷, 应当签署授权委托书。纠纷处理过程中, 未经授权批准, 相关经办人员不得向对方当事人作出实质性答复或承诺。
(七) 合同结算
合同结算是合同执行的重要环节, 既是对合同签订的审查, 也是对合同执行的监督, 一般由财会部门负责办理。该环节的主要风险是:违反合同条款, 未按合同规定期限、金额或方式付款;疏于管理, 未能及时催收到期合同款项;在没有合同依据的情况下盲目付款。
主要管控措施:第一, 财会部门应当在审核合同条款后办理结算业务, 按照合同规定付款, 及时催收到期欠款。第二, 未按合同条款履约或应签订书面合同而未签订的, 财会部门有权拒绝付款, 并及时向企业有关负责人报告。
(八) 合同登记
合同登记管理制度体现合同的全过程封闭管理, 合同的签署、履行、结算、补充或变更、解除等都需要进行合同登记。该环节的主要风险是:合同档案不全, 合同泄密, 合同滥用。
主要管控措施:第一, 合同管理部门应当加强合同登记管理, 充分利用信息化手段, 定期对合同进行统计、分类和归档, 详细登记合同的订立、履行和变更、终结等情况, 合同终结应及时办理销号和归档手续, 以实行合同的全过程封闭管理。第二, 建立合同文本统一分类和连续编号制度, 以防止或及早发现合同文本的遗失。第三, 加强合同信息安全保密工作, 未经批准, 任何人不得以任何形式泄露合同订立与履行过程中涉及的国家或商业秘密。第四, 规范合同管理人员职责, 明确合同流转、借阅和归还的职责权限和审批程序等有关要求。
四、合同管理的后评估
企业内部控制评价指引 第8篇
企业根据发展战略和业务需要进行信息系统建设, 首先要确立系统建设目标, 根据目标进行系统建设战略规划, 再将规划细化为项目建设方案。企业开展信息系统建设, 可以根据实际情况, 采取自行开发、外购调试或业务外包等方式。选择外购调试或业务外包方式的, 应当采用公开招标等形式择优选择供应商或开发单位。选择自行开发信息系统的, 信息系统归口管理部门应当组织企业内部相关业务部门进行需求分析, 合理配置人员, 明确系统设计、编程、安装调试、验收、上线等全过程的管理要求。企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理, 增进开发单位与企业内部业务部门的日常沟通和协调, 组织独立于开发单位的专业机构对开发完成的信息系统进行检查验收, 并组织系统上线运行。
(一) 制定信息系统开发的战略规划
信息系统开发的战略规划是信息化建设的起点, 战略规划是以企业发展战略为依据制定的企业信息化建设的全局性、长期性规划。该环节的主要风险是:第一, 缺乏战略规划或规划不合理, 可能造成信息孤岛或重复建设, 导致企业经营管理效率低下。第二, 没有将信息化与企业业务需求结合, 降低了信息系统的应用价值。信息孤岛现象是不少企业信息系统建设中存在的普遍问题, 根源在于这些企业往往忽视战略规划的重要性, 缺乏整体观念和整合意识, 常常陷于头痛医头, 脚痛医脚, 这就导致有的企业财务管理信息系统、销售管理信息系统、生产管理信息系统、人力资源管理系统、办公自动化系统等各自为政、孤立存在的现象, 削弱了信息系统的协同效用, 甚至引发系统冲突。
主要管控措施:第一, 企业必须制定信息系统开发的战略规划和中长期发展计划, 并在每年制定经营计划的同时制定年度信息系统建设计划, 促进经营管理活动与信息系统的协调统一。第二, 企业在制定信息化战略过程中, 要充分调动和发挥信息系统归口管理部门与业务部门的积极性, 使各部门广泛参与, 充分沟通, 提高战略规划的科学性、前瞻性和适应性。第三, 信息系统战略规划要与企业的组织架构、业务范围、地域分布、技术能力等相匹配, 避免相互脱节。
(二) 选择适当的信息系统开发方式
在开发建设环节, 要将企业的业务流程、内控措施、权限配置、预警指标、核算方法等固化到信息系统中, 因此开发建设的好坏直接影响信息系统的成败。开发建设主要有自行开发、外购调试、业务外包等方式。各种开发方式有各自的优缺点和适用条件, 企业应根据自身实际情况合理选择。
1.自行开发
自行开发是企业依托自身力量完成整个开发过程。其优点是开发人员熟悉企业情况, 可以较好地满足本企业的需求, 尤其是具有特殊性的业务需求。通过自行开发, 还可以培养锻炼自己的开发队伍, 便于后期的运行和维护。其缺点是开发周期较长、技术水平和规范程度较难保证, 成功率相对较低。因此, 自行开发方式的适用条件通常是企业自身技术力量雄厚, 而且市场上没有能够满足企业需求的成熟的商品化软件和解决方案。比如百度的搜索引擎系统就偏重于自行开发。
2.外购调试
外购调试的基本做法是企业购买成熟的商品化软件, 通过参数配置和二次开发满足企业需求。其优点是开发建设周期短;成功率较高;成熟的商品化软件质量稳定, 可靠性高;专业的软件提供商实施经验丰富。其缺点是难以满足企业的特殊需求;系统的后期升级进度受制于商品化软件供应商产品更新换代的速度, 企业自主权不强, 较为被动。外购调试方式的适用条件通常是企业的特殊需求较少, 市场上已有成熟的商品化软件和系统实施方案。比如大部分企业的财务管理系统、ERP系统、人力资源管理系统等多采用外购调试方式。
3.业务外包
信息系统的业务外包是指委托其他单位开发信息系统, 基本做法是企业将信息系统开发项目外包出去, 由专业公司或科研机构负责开发、安装实施, 由企业直接使用。其优点是企业可以充分利用专业公司的专业优势, 量体裁衣, 构建全面、高效满足企业需求的个性化系统;企业不必培养、维持庞大的开发队伍, 相应节约了人力资源成本。其缺点是沟通成本高, 系统开发方难以深刻理解企业需求, 可能导致开发出的信息系统与企业的期望产生较大偏差;同时, 由于外包信息系统与系统开发方的专业技能、职业道德和敬业精神存在密切关系, 也要求企业必须加大对外包项目的监督力度。业务外包方式的适用条件通常是市场上没有能够满足企业需求的成熟的商品化软件和解决方案, 企业自身技术力量薄弱或出于成本效益原则考虑不愿意维持庞大的开发队伍。
(三) 自行开发方式的关键控制点和主要管控措施
虽然信息系统的开发方式有自行开发、外购调试、业务外包等多种方式, 但基本流程大体相似, 通常包含项目计划、需求分析、系统设计、编程和测试、上线等环节。
1.项目计划环节
战略规划通常将完整的信息系统分成若干子系统, 并分阶段建设不同的子系统。比如, 制造企业可以将信息系统划分为财务管理系统、人力资源管理系统、MRP系统 (销售、采购、库存、生产) 、计算机辅助设计和制造系统、客户关系系统、电子商务系统等若干子系统。项目就是指本阶段需要建设的相对独立的一个或多个子系统。
项目计划通常包括项目范围说明、项目进度计划、项目质量计划、项目资源计划、项目沟通计划、风险对策计划、项目采购计划、需求变更控制、配置管理计划等内容。项目计划不是完全静止、一成不变的, 在项目启动阶段, 可以先制定一个较为原则的项目计划, 确定项目主要内容和重大事项, 然后根据项目的大小和性质以及项目进展情况进行调整、充实和完善。该环节的主要风险是:信息系统建设缺乏项目计划或者计划不当, 导致项目进度滞后、费用超支、质量低下。
主要管控措施:第一, 企业应当根据信息系统建设整体规划提出分阶段项目的建设方案, 明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容, 按照规定的权限和程序审批后实施。第二, 企业可以采用标准的项目管理软件 (比如Office Project) 制定项目计划, 并加以跟踪。在关键环节进行阶段性评审, 以保证过程可控。第三, 项目关键环节编制的文档应参照《GB8567-88计算机软件产品开发文件编制指南》等相关国家标准和行业标准进行, 以提高项目计划编制水平。
2.需求分析环节
需求分析的目的是明确信息系统需要实现哪些功能。该项工作是系统分析人员和用户单位的管理人员、业务人员在深入调查的基础上, 详细描述业务活动涉及的各项工作以及用户的各种需求, 从而建立未来目标系统的逻辑模型。该环节的主要风险是:第一, 需求本身不合理, 对信息系统提出的功能、性能、安全性等方面的要求不符合业务处理和控制的需要。第二, 技术上不可行、经济上成本效益倒挂, 或与国家有关法规制度存在冲突。第三, 需求文档表述不准确、不完整, 未能真实全面地表达企业需求, 存在表述缺失、表述不一致甚至表述错误等问题。
主要管控措施:第一, 信息系统归口管理部门应当组织企业内部各有关部门提出开发需求, 加强系统分析人员和有关部门的管理人员、业务人员的交流, 经综合分析提炼后形成合理的需求。第二, 编制表述清晰、表达准确的需求文档。需求文档是业务人员和技术人员共同理解信息系统的桥梁, 必须准确表述系统建设的目标、功能和要求。企业应当采用标准建模语言 (例如UML) , 综合运用多种建模工具和表现手段, 参照《GB8567-88计算机软件产品开发文件编制指南》等相关标准, 提高系统需求说明书的编写质量。第三, 企业应当建立健全需求评审和需求变更控制流程。依据需求文档进行设计 (含需求变更设计) 前, 应当评审其可行性, 由需求提出人和编制人签字确认, 并经业务部门与信息系统归口管理部门负责人审批。
3.系统设计环节
系统设计是根据系统需求分析阶段所确定的目标系统逻辑模型, 设计出一个能在企业特定的计算机和网络环境中实现的方案, 即建立信息系统的物理模型。系统设计包括总体设计和详细设计。总体设计的主要任务是:第一, 设计系统的模块结构, 合理划分子系统边界和接口。第二, 选择系统实现的技术路线, 确定系统的技术架构, 明确系统重要组件的内容和行为特征, 以及组件之间、组件与环境之间的接口关系。第三, 数据库设计, 包括主要的数据库表结构设计、存储设计、数据权限和加密设计等。第四, 设计系统的网络拓扑结构、系统部署方式等。详细设计的主要任务包括:程序说明书编制、数据编码规范设计、输入输出界面设计等内容。
该环节的主要风险是:第一, 设计方案不能完全满足用户需求, 不能实现需求文档规定的目标。第二, 设计方案未能有效控制建设开发成本, 不能保证建设质量和进度。第三, 设计方案不全面, 导致后续变更频繁。第四, 设计方案没有考虑信息系统建成后对企业内部控制的影响, 导致系统运行后衍生新的风险。
主要管控措施:第一, 系统设计负责部门应当就总体设计方案与业务部门进行沟通和讨论, 说明方案对用户需求的覆盖情况;存在备选方案的, 应当详细说明各方案在成本、建设时间和用户需求响应上的差异;信息系统归口管理部门和业务部门应当对选定的设计方案予以书面确认。第二, 企业应参照《GB8567-88计算机软件产品开发文件编制指南》等相关国家标准和行业标准, 提高系统设计说明书的编写质量。第三, 企业应建立设计评审制度和设计变更控制流程。第四, 在系统设计时应当充分考虑信息系统建成后的控制环境, 将生产经营管理业务流程、关键控制点和处理规程嵌入系统程序, 实现手工环境下难以实现的控制功能, 例如:对于某一财务软件, 当输入支出凭证时, 可以让计算机自动检查银行存款余额, 防止透支。第五, 应充分考虑信息系统环境下的新的控制风险。比如, 要通过信息系统中的权限管理功能控制用户的操作权限, 避免将不相容职务的处理权限授予同一用户。第六, 应当针对不同的数据输入方式, 强化对进入系统数据的检查和校验功能。比如, 凭证的自动平衡校对。第七, 系统设计时应当考虑在信息系统中设置操作日志功能, 确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据, 应当设计由系统自动报告并设置跟踪处理机制。第八, 预留必要的后台操作通道, 对于必需的后台操作, 应当加强管理, 建立规范的操作流程, 确保足够的日志记录, 保证对后台操作的可监控性。
4.编程和测试环节
编程阶段是将详细设计方案转换成某种计算机编程语言的过程。编程阶段完成之后, 要进行测试, 测试主要有以下目的:一是发现软件开发过程中的错误, 分析错误的性质, 确定错误的位置并予以纠正。二是通过某些系统测试, 了解系统的响应时间、事务处理吞吐量、载荷能力、失效恢复能力以及系统实用性等指标, 以便对整个系统做出综合评价。测试环节在系统开发中具有举足轻重的地位。
该环节的主要风险是:第一, 编程结果与设计不符。第二, 各程序员编程风格差异大, 程序可读性差, 导致后期维护困难, 维护成本高。第三, 缺乏有效的程序版本控制, 导致重复修改或修改不一致等问题。第四, 测试不充分。单个模块正常运行但多个模块集成运行时出错, 开发环境下测试正常而生产环境下运行出错, 开发人员自测正常而业务部门用户使用时出错, 导致系统上线后可能出现严重问题。
主要管控措施:第一, 项目组应建立并执行严格的代码复查评审制度。第二, 项目组应建立并执行统一的编程规范, 在标识符命名、程序注释等方面统一风格。第三, 应使用版本控制软件系统 (例如CVS) , 保证所有开发人员基于相同的组件环境开展项目工作, 协调开发人员对程序的修改。第四, 应区分单元测试、组装测试 (集成测试) 、系统测试、验收测试等不同测试类型, 建立严格的测试工作流程, 提高最终用户在测试工作中的参与程度, 改进测试用例的编写质量, 加强测试分析, 尽量采用自动测试工具提高测试工作的质量和效率。具备条件的企业, 应当组织独立于开发建设项目组的专业机构对开发完成的信息系统进行验收测试, 确保在功能、性能、控制要求和安全性等方面符合开发需求。
5.上线环节
系统上线是将开发出的系统 (可执行的程序和关联的数据) 部署到实际运行的计算机环境中, 使信息系统按照既定的用户需求来运转, 切实发挥信息系统的作用。该环节的主要风险是:第一, 缺乏完整可行的上线计划, 导致系统上线混乱无序。第二, 人员培训不足, 不能正确使用系统, 导致业务处理错误, 或者未能充分利用系统功能, 导致开发成本浪费。第三, 初始数据准备设置不合格, 导致新旧系统数据不一致、业务处理错误。
主要管控措施:第一, 企业应当制定信息系统上线计划, 并经归口管理部门和用户部门审核批准。上线计划一般包括人员培训、数据准备、进度安排、应急预案等内容。第二, 系统上线涉及新旧系统切换的, 企业应当在上线计划中明确应急预案, 保证新系统失效时能够顺利切换回旧系统。第三, 系统上线涉及数据迁移的, 企业应当制定详细的数据迁移计划, 并对迁移结果进行测试。用户部门应当参与数据迁移过程, 对迁移前后的数据予以书面确认。
(四) 其他开发方式的关键控制点和主要控制措施
下面介绍其他开发方式 (业务外包、外购调试) 的关键控制点和主要管控措施。
在业务外包、外购调试方式下, 企业对系统设计、编程、测试环节的参与程度明显低于自行开发方式, 因此可以适当简化相应的风险控制措施, 但同时也因开发方式的差异产生一些新的风险, 需要采取有针对性的管控措施。
1.业务外包方式的关键控制点和主要管控措施
(1) 选择外包服务商。该环节的主要风险是:由于企业与外包服务商之间本质上是一种委托———代理关系, 合作双方的信息不对称容易诱发道德风险, 外包服务商可能会实施损害企业利益的自利行为, 如偷工减料、放松管理、信息泄密等。
主要管控措施:第一, 企业在选择外包服务商时要充分考虑服务商的市场信誉、资质条件、财务状况、服务能力、对本企业业务的熟悉程度、既往承包服务成功案例等因素, 对外包服务商进行严格筛选。第二, 企业可以借助外包业界基准来判断外包服务商的综合实力。第三, 企业要严格外包服务审批及管控流程, 对信息系统外包业务, 原则上应采用公开招标等形式选择外包服务商, 并实行集体决策审批。
(2) 签订外包合同。该环节的主要风险是:由于合同条款不准确、不完善, 可能导致企业的正当权益无法得到有效保障。
主要管控措施:第一, 企业在与外包服务商签约之前, 应针对外包可能出现的各种风险损失, 恰当拟定合同条款, 对涉及的工作目标、合作范畴、责任划分、所有权归属、付款方式、违约赔偿及合约期限等问题做出详细说明, 并由法律部门或法律顾问审查把关。第二, 开发过程中涉及商业秘密、敏感数据的, 企业应当与外包服务商签订详细的“保密协定”, 以保证数据安全。第三, 在合同中约定付款事宜时, 应当选择分期付款方式, 尾款应当在系统运行一段时间并经评估验收后再支付。第四, 应在合同条款中明确要求外包服务商保持专业技术服务团队的稳定性。
(3) 持续跟踪评价外包服务商的服务过程。该环节的主要风险是:企业缺乏外包服务跟踪评价机制或跟踪评价不到位, 可能导致外包服务质量水平不能满足企业信息系统开发需求。
主要管控措施:第一, 企业应当规范外包服务评价工作流程, 明确相关部门的职责权限, 建立外包服务质量考核评价指标体系, 定期对外包服务商进行考评, 并公布服务周期的评估结果, 实现外包服务水平的跟踪评价。第二, 必要时, 可以引入监理机制, 降低外包服务风险。
2.外购调试方式的关键控制点和主要管控措施
在外购调试方式下, 一方面, 企业面临与委托开发方式类似的问题, 企业要选择软件产品的供应商和服务供应商、签订合约、跟踪服务质量, 因此, 企业可采用与委托开发方式类似的控制措施;另一方面, 外购调试方式也有其特殊之处, 企业需要有针对性的强化某些控制措施。
(1) 软件产品选型和供应商选择
在外购调试方式下, 软件供应商的选择和软件产品的选型是密切相关的。该环节的主要风险是:第一, 软件产品选型不当, 产品在功能、性能、易用性等方面无法满足企业需求。第二, 软件供应商选择不当, 产品的支持服务能力不足, 产品的后续升级缺乏保障。
主要管控措施:第一, 企业应明确自身需求, 对比分析市场上的成熟软件产品, 合理选择软件产品的模块组合和版本。第二, 企业在软件产品选型时应广泛听取行业专家的意见。第三, 企业在选择软件产品和服务供应商时, 不仅要评价其现有产品的功能、性能, 还要考察其服务支持能力和后续产品的升级能力。
(2) 服务提供商选择。大型企业管理信息系统 (如ERP系统) 的外购实施, 不仅需要选择合适的软件供应商和软件产品, 也需要选择合适的咨询公司等服务提供商, 指导企业将通用软件产品与本企业的实际情况有机结合。该环节的主要风险是:服务提供商选择不当, 削弱了外购软件产品的功能发挥, 导致无法有效满足用户需求。
主要管控措施:在选择服务提供商时, 不仅要考核其对软件产品的熟悉、理解程度, 也要考核其是否深刻理解企业所处行业的特点、是否理解企业的个性化需求、是否有过相同或相近的成功案例。
三、信息系统的运行与维护
信息系统的运行与维护主要包含三方面的内容:日常运行维护、系统变更和安全管理。
(一) 日常运行维护的关键控制点和主要管控措施
日常运行维护的目标是保证系统正常运转, 主要工作内容包括系统的日常操作、系统的日常巡检和维修、系统运行状态监控、异常事件的报告和处理等。该环节的主要风险是:第一, 没有建立规范的信息系统日常运行管理规范, 计算机软硬件的内在隐患易于爆发, 可能导致企业信息系统出错。第二, 没有执行例行检查, 导致一些人为恶意攻击会长期隐藏在系统中, 可能造成严重损失。第三, 企业信息系统数据未能定期备份, 可能导致损坏后无法恢复, 从而造成重大损失。
主要管控措施:第一, 企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范, 及时跟踪、发现和解决系统运行中存在的问题, 确保信息系统按照规定的程序、制度和操作规范持续稳定运行。第二, 切实做好系统运行记录, 尤其是对于系统运行不正常或无法运行的情况, 应将异常现象、发生时间和可能的原因作出详细记录。第三, 企业要重视系统运行的日常维护, 在硬件方面, 日常维护主要包括各种设备的保养与安全管理、故障的诊断与排除、易耗品的更换与安装等, 这些工作应由专人负责。第四, 配备专业人员负责处理信息系统运行中的突发事件, 必要时应会同系统开发人员或软硬件供应商共同解决。
(二) 系统变更的关键控制点和主要管控措施
系统变更主要包括硬件的升级扩容、软件的修改与升级等。系统变更是为了更好地满足企业需求, 但同时应加强对变更申请、变更成本与进度的控制。该环节的主要风险是:第一, 企业没有建立严格的变更申请、审批、执行、测试流程, 导致系统随意变更。第二, 系统变更后的效果达不到预期目标。
主要管控措施是:第一, 企业应当建立标准流程来实施和记录系统变更, 保证变更过程得到适当的授权与管理层的批准, 并对变更进行测试。信息系统变更应当严格遵照管理流程进行操作。信息系统操作人员不得擅自进行软件的删除、修改等操作;不得擅自升级、改变软件版本;不得擅自改变软件系统的环境配置。第二, 系统变更程序 (如软件升级) 需要遵循与新系统开发项目同样的验证和测试程序, 必要时还应当进行额外测试。第三, 企业应加强紧急变更的控制管理。第四, 企业应加强对将变更移植到生产环境中的控制管理, 包括系统访问授权控制、数据转换控制、用户培训等。
(三) 安全管理的关键控制点和主要管控措施
安全管理的目标是保障信息系统安全, 信息系统安全是指信息系统包含的所有硬件、软件和数据受到保护, 不因偶然和恶意的原因而遭到破坏、更改和泄漏, 信息系统能够连续正常运行。该环节的主要风险是:第一, 硬件设备分布物理范围广, 设备种类繁多, 安全管理难度大, 可能导致设备生命周期短。第二, 业务部门信息安全意识薄弱, 对系统和信息安全缺乏有效的监管手段。少数员工可能恶意或非恶意滥用系统资源, 造成系统运行效率降低。第三, 对系统程序的缺陷或漏洞安全防护不够, 导致遭受黑客攻击, 造成信息泄露。第四, 对各种计算机病毒防范清理不力, 导致系统运行不稳定甚至瘫痪。第五, 缺乏对信息系统操作人员的严密监控, 可能导致舞弊和利用计算机犯罪。
主要管控措施:第一, 建立信息系统相关资产的管理制度, 保证电子设备的安全。硬件和网络设备不仅是信息系统运行的基础载体, 也是价值昂贵的固定资产。企业应在健全设备管理制度的基础上, 建立专门的电子设备管控制度, 对于关键信息设备 (例如银行的核心数据库服务器) , 未经授权, 不得接触。
第二, 企业应成立专门的信息系统安全管理机构, 由企业主要领导负总责, 对企业的信息安全作出总体规划和全方位严格管理, 具体实施工作可由企业的信息主管部门负责。企业应强化全体员工的安全保密意识, 特别要对重要岗位员工进行信息系统安全保密培训, 并签署安全保密协议。企业应当建立信息系统安全保密制度和泄密责任追究制度。
第三, 企业应当按照国家相关法律法规以及信息安全技术标准, 制定信息系统安全实施细则。根据业务性质、重要程度、涉密情况等确定信息系统的安全等级, 建立不同等级信息的授权使用制度, 采用相应技术手段保证信息系统运行安全有序。对于信息系统的使用者和不同安全等级信息之间的授权关系, 应在系统开发建设阶段就形成方案并加以设计, 在软件系统中预留这种对应关系的设置功能, 以便根据使用者岗位职务的变迁进行调整。
第四, 企业应当有效利用IT技术手段, 对硬件配置调整、软件参数修改严加控制。例如, 企业可利用操作系统、数据库系统、应用系统提供的安全机制, 设置安全参数, 保证系统访问安全;对于重要的计算机设备, 企业应当利用技术手段防止员工擅自安装、卸载软件或者改变软件系统配置, 并定期对上述情况进行检查。
第五, 企业委托专业机构进行系统运行与维护管理, 应当严格审查其资质条件、市场声誉和信用状况等, 并与其签订正式的服务合同和保密协议。
第六, 企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。企业应当特别注重加强对服务器等关键部位的防护;对于存在网络应用的企业, 应当综合利用防火墙、路由器等网络设备, 采用内容过滤、漏洞扫描、入侵检测等软件技术加强网络安全, 严密防范来自互联网的黑客攻击和非法侵入。对于通过互联网传输的涉密或者关键业务数据, 企业应当采取必要的技术手段确保信息传递的保密性、准确性、完整性。
第七, 企业应当建立系统数据定期备份制度, 明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。系统首次上线运行时应当完全备份, 然后根据业务频率和数据重要性程度, 定期做好增量备份。数据正本与备份应分别存放于不同地点, 防止因火灾、水灾、地震等事故产生不利影响。企业可综合采用磁盘、磁带、光盘等备份存储介质。
第八, 企业应当建立信息系统开发、运行与维护环节的岗位责任制度和不相容职务分离制度, 防范利用计算机舞弊和犯罪。一般而言, 信息系统不相容职务涉及的人员可以分为三类:系统开发建设人员、系统管理和维护人员、系统操作使用人员。开发人员在运行阶段不能操作使用信息系统, 否则就可能掌握其中的涉密数据, 进行非法利用;系统管理和维护人员担任密码保管、授权、系统变更等关键任务, 如果允许其使用信息系统, 就可能较为容易地篡改数据, 从而达到侵吞财产或滥用计算机信息的目的。此外, 信息系统使用人员也需要区分不同岗位, 包括业务数据录入、数据检查、业务批准等, 在他们之间也应有必要的相互牵制。企业应建立用户管理制度, 加强对重要业务系统的访问权限管理, 避免将不相容职责授予同一用户。企业应当采用密码控制等技术手段进行用户身份识别。对于重要的业务系统, 应当采用数字证书、生物识别等可靠性强的技术手段识别用户身份。对于发生岗位变化或离岗的用户, 用户部门应当及时通知系统管理人员调整其在系统中的访问权限或者关闭账号。企业应当定期对系统中的账号进行审阅, 避免存在授权不当或非授权账号。对于超级用户, 企业应当严格规定其使用条件和操作程序, 并对其在系统中的操作全程进行监控或审计。
第九, 企业应积极开展信息系统风险评估工作, 定期对信息系统进行安全评估, 及时发现系统安全问题并加以整改。
(四) 系统终结的关键控制点和主要管控措施
系统终结是信息系统生命周期的最后一个阶段, 在该阶段信息系统将停止运行。停止运行的原因通常有:企业破产或被兼并、原有信息系统被新的信息系统代替。该环节的主要风险是:第一, 因经营条件发生剧变, 数据可能泄密。第二, 信息档案的保管期限不够长。
企业内部控制评价指引 第9篇
第一条 为了促进企业履行社会责任, 实现企业与社会的协调发展, 根据国家有关法律法规和《企业内部控制基本规范》, 制定本指引。
第二条 本指引所称社会责任, 是指企业在经营发展过程中应当履行的社会职责和义务, 主要包括安全生产、产品质量 (含服务, 下同) 、环境保护、资源节约、促进就业、员工权益保护等。
第三条 企业至少应当关注在履行社会责任方面的下列风险:
(一) 安全生产措施不到位, 责任不落实, 可能导致企业发生安全事故。
(二) 产品质量低劣, 侵害消费者利益, 可能导致企业巨额赔偿、形象受损, 甚至破产。
(三) 环境保护投入不足, 资源耗费大, 造成环境污染或资源枯竭, 可能导致企业巨额赔偿、缺乏发展后劲, 甚至停业。
(四) 促进就业和员工权益保护不够, 可能导致员工积极性受挫, 影响企业发展和社会稳定。
第四条 企业应当重视履行社会责任, 切实做到经济效益与社会效益、短期利益与长远利益、自身发展与社会发展相互协调, 实现企业与员工、企业与社会、企业与环境的健康和谐发展。
第二章 安全生产
第五条 企业应当根据国家有关安全生产的规定, 结合本企业实际情况, 建立严格的安全生产管理体系、操作规范和应急预案, 强化安全生产责任追究制度, 切实做到安全生产。
企业应当设立安全管理部门和安全监督机构, 负责企业安全生产的日常监督管理工作。
第六条 企业应当重视安全生产投入, 在人力、物力、资金、技术等方面提供必要的保障, 健全检查监督机制, 确保各项安全措施落实到位, 不得随意降低保障标准和要求。
第七条 企业应当贯彻预防为主的原则, 采用多种形式增强员工安全意识, 重视岗位培训, 对于特殊岗位实行资格认证制度。
企业应当加强生产设备的经常性维护管理, 及时排除安全隐患。
第八条 企业如果发生生产安全事故, 应当按照安全生产管理制度妥善处理, 排除故障, 减轻损失, 追究责任。重大生产安全事故应当启动应急预案, 同时按照国家有关规定及时报告, 严禁迟报、谎报和瞒报。
第三章 产品质量
第九条 企业应当根据国家和行业相关产品质量的要求, 从事生产经营活动, 切实提高产品质量和服务水平, 努力为社会提供优质安全健康的产品和服务, 最大限度地满足消费者的需求, 对社会和公众负责, 接受社会监督, 承担社会责任。
第十条 企业应当规范生产流程, 建立严格的产品质量控制和检验制度, 严把质量关, 禁止缺乏质量保障、危害人民生命健康的产品流向社会。
第十一条 企业应当加强产品的售后服务。售后发现存在严重质量缺陷、隐患的产品, 应当及时召回或采取其他有效措施, 最大限度地降低或消除缺陷、隐患产品的社会危害。
企业应当妥善处理消费者提出的投诉和建议, 切实保护消费者权益。
第四章 环境保护与资源节约
第十二条 企业应当按照国家有关环境保护与资源节约的规定, 结合本企业实际情况, 建立环境保护与资源节约制度, 认真落实节能减排责任, 积极开发和使用节能产品, 发展循环经济, 降低污染物排放, 提高资源综合利用效率。
企业应当通过宣传教育等有效形式, 不断提高员工的环境保护和资源节约意识。
第十三条 企业应当重视生态保护, 加大对环保工作的人力、物力、财力的投入和技术支持, 不断改进工艺流程, 降低能耗和污染物排放水平, 实现清洁生产。
企业应当加强对废气、废水、废渣的综合治理, 建立废料回收和循环利用制度。
第十四条 企业应当重视资源节约和资源保护, 着力开发利用可再生资源, 防止对不可再生资源进行掠夺性或毁灭性开发。
企业应当重视国家产业结构相关政策, 特别关注产业结构调整的发展要求, 加快高新技术开发和传统产业改造, 切实转变发展方式, 实现低投入、低消耗、低排放和高效率。
第十五条 企业应当建立环境保护和资源节约的监控制度, 定期开展监督检查, 发现问题, 及时采取措施予以纠正。污染物排放超过国家有关规定的, 企业应当承担治理或相关法律责任。
发生紧急、重大环境污染事件时, 应当启动应急机制, 及时报告和处理, 并依法追究相关责任人的责任。
第五章 促进就业与员工权益保护
第十六条 企业应当依法保护员工的合法权益, 贯彻人力资源政策, 保护员工依法享有劳动权利和履行劳动义务, 保持工作岗位相对稳定, 积极促进充分就业, 切实履行社会责任。
企业应当避免在正常经营情况下批量辞退员工, 增加社会负担。
第十七条 企业应当与员工签订并履行劳动合同, 遵循按劳分配、同工同酬的原则, 建立科学的员工薪酬制度和激励机制, 不得克扣或无故拖欠员工薪酬。
企业应当建立高级管理人员与员工薪酬的正常增长机制, 切实保持合理水平, 维护社会公平。
第十八条 企业应当及时办理员工社会保险, 足额缴纳社会保险费, 保障员工依法享受社会保险待遇。
企业应当按照有关规定做好健康管理工作, 预防、控制和消除职业危害;按期对员工进行非职业性健康监护, 对从事有职业危害作业的员工进行职业性健康监护。
企业应当遵守法定的劳动时间和休息休假制度, 确保员工的休息休假权利。
第十九条 企业应当加强职工代表大会和工会组织建设, 维护员工合法权益, 积极开展员工职业教育培训, 创造平等发展机会。
企业应当尊重员工人格, 维护员工尊严, 杜绝性别、民族、宗教、年龄等各种歧视, 保障员工身心健康。
第二十条 企业应当按照产学研用相结合的社会需求, 积极创建实习基地, 大力支持社会有关方面培养、锻炼社会需要的应用型人才。
第二十一条 企业应当积极履行社会公益方面的责任和义务, 关心帮助社会弱势群体, 支持慈善事业。
【企业内部控制评价指引】相关文章:
企业内部控制应用指引第17号08-27
中小企业板块上市公司内部审计工作指引06-02
企业内部控制制度评价08-26
企业内部控制评价与内部控制审计比较09-12
大数据环境下企业内部控制评价09-12
企业内部控制的有效性及其评价方法09-11
企业单位内部控制财务体系考核评价问题研究09-11
中小企业内部审计绩效评价研究09-13
企业内部控制的有效性及其评价方法分析09-11
浅谈现代企业内部审计业绩评价模式09-14