财政部解读18项企业内控指引
- 格式:doc
- 大小:694.50 KB
- 文档页数:165
财政部解读18项企业内控指引财政部会计司解读企业内控指引全面提升企业经营管理水平的重要举措 (1)—财政部会计司司长刘玉廷解读《企业内部控制配套指引》 (1) 财政部会计司解读企业内控指引第1号——组织架构 (25)财政部会计司解读企业内控指引第2号——发展战略 (33)财政部会计司解读企业内控指引第3号——人力资源 (43)财政部会计司解读企业内控指引第4号——社会责任 (51)财政部会计司解读企业内控指引第5号——企业文化 (59)财政部会计司解读企业内控指引第6号——资金活动 (66)财政部会计司解读企业内控指引第7号——采购业务 (85)财政部会计司解读企业内控指引第8号——资产管理 (92)财政部会计司解读企业内控指引第9号——销售业务 (106)财政部会计司解读企业内控指引第10号——研究与开发 (113) 财政部会计司解读企业内控指引第11号——工程项目 (118)财政部会计司解读企业内控指引第12号——担保业务 (131)财政部会计司解读企业内控指引第13号——业务外包 (139)财政部会计司解读企业内控指引第14号——财务报告 (145)财政部会计司解读企业内控指引第15号——全面预算 (153)财政部会计司解读企业内控指引第16号——合同管理 (166)财政部会计司解读企业内控指引第17号——内部信息传递 (173) 财政部会计司解读企业内控指引第18号——信息系统 (179)全面提升企业经营管理水平的重要举措—财政部会计司司长刘玉廷解读《企业内部控制配套指引》4月26日,财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会,隆重发布了《企业内部控制配套指引》(以下简称配套指引)。
该配套指引连同2008年5月发布的《企业内部控制基本规范》,共同构建了中国企业内部控制规范体系,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。
优化信息系统提升管理水平——财政部会计司解读《企业内部控制应用指引第18号——信息系统》一、信息系统内部控制概述《企业内部控制应用指引第18号———信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
二、信息系统的开发企业根据发展战略和业务需要进行信息系统建设,首先要确立系统建设目标,根据目标进行系统建设战略规划,再将规划细化为项目建设方案。
选择外购调试或业务外包方式的,应当采用公开招标等形式择优选择供应商或开发单位。
选择自行开发信息系统的,信息系统归口管理部门应当组织企业内部相关业务部门进行需求分析,合理配置人员,明确系统设计、编程、安装调试、验收、上线等全过程的管理要求。
企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理,增进开发单位与企业内部业务部门的日常沟通和协调,组织独立于开发单位的专业机构对开发完成的信息系统进行检查验收,并组织系统上线运行。
三、信息系统的运行与维护信息系统的运行与维护主要包含三方面的内容:日常运行维护、系统变更和安全管理。
(一)日常运行维护的关键控制点和主要控制措施日常运行维护的目标是保证系统正常运转,主要工作内容包括系统的日常操作、系统的日常巡检和维修、系统运行状态监控、异常事件的报告和处理等。
这一环节的主要风险是:第一,没有建立规范的信息系统日常运行管理规范,计算机软硬件的内在隐患易于爆发,可能导致企业信息系统出错。
第二,没有执行例行检查,导致一些人为恶意攻击会长期隐藏在系统中,可能造成严重损失。
第三,企业信息系统数据未能定期备份,可能导致损坏后无法恢复,从而造成重大损失。
主要控制措施:第一,企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行。
信息系统内部控制:过程控制和环境控制的结合—解读《企业内部控制应用指引第18号—信息系统》信息系统生成与经营和财务有关的信息报告,是集系统、信息和控制于一体的一种应用。
由于所有信息都是数据经过输入、处理、输出形成的,因此对信息的任何控制都是对数据输入、处理、输出的控制。
本文结合财政部等五部委出台的企业内部控制基本规范和《内部控制应用指引第18号—信息系统》,将信息系统内部控制按与输入、处理、输出的关系分为终端用户控制、信息处理控制、持续运行控制、硬件保护控制四项内容。
其中,终端用户控制和信息处理控制是信息系统的实体内容,共同构成数据输入、处理和输出的过程控制,前者是对人的控制,后者是对系统的控制;持续运行控制和硬件保护控制是信息系统运行的必备支撑,共同构成系统运行的环境控制,前者是对软环境的控制,后者是对硬环境的控制。
一、终端用户控制(一)授权使用制度企业应当根据业务性质、重要性程度、涉密情况等因素确定信息系统的安全等级,建立不同等级信息的授权使用制度。
一般来说,企业应通过建立权限控制矩阵来指定信息用户所能执行的功能,即控制终端用户的范围及其可执行的操作。
有些用户只能查询有关数据,有些用户则有权查询和修改数据,而另一些用户甚至还可以修改程序。
在企业整体的权限调整、新终端用户的人员增设、原终端用户的权限修改和岗位调离等情况下需要进行权限变更,但必须经过以下步骤:首先,由终端用户填写权限申请表,陈述理由和要求;部门负责人根据终端用户的工作性质决定审核结果;主管领导根据部门职能和部门负责人的意见决定审核结果;最后,由系统维护人员根据审核意见修改权限控制矩阵的内容。
为确保权限授予的准确、高效和有据可查,在维护之前,系统维护人员应与终端用户和部门负责人确认;维护完毕后,应尽快通知相应终端用户、部门负责人和单位主管领导,并将维护日志与授权申请书归档备查。
(二)用户管理制度1.用户访问控制。
终端用户的访问控制有系统的访问控制和系统程序及数据的访问控制两种方式。
目录财政部会计司解读《企业内部控制应用指引第1号——组织架构》 (2)财政部会计司解读《企业内部控制应用指引第2号——发展战略》 (10)财政部会计司解读《企业内部控制应用指引第3号——人力资源》 (19)财政部会计司解读《企业内部控制应用指引第4号——社会责任》 (27)财政部会计司解读《企业内部控制应用指引第5号——企业文化》 (35)财政部会计司解读《企业内部控制应用指引第6号——资金活动》 (41)财政部会计司解读《企业内部控制应用指引第7号——采购业务》 (59)财政部会计司解读《企业内部控制应用指引第8号——资产管理》 (66)财政部会计司解读《企业内部控制应用指引第9号——销售业务》 (79)财政部会计司解读《企业内部控制应用指引第10号--研究与开发》 (84)财政部会计司解读《企业内部控制应用指引第11号——工程项目》 (88)财政部会计司解读《企业内部控制应用指引第12号——担保业务》 (101)财政部会计司解读《企业内部控制应用指引第13号——业务外包》 (108)财政部会计司解读《企业内部控制应用指引第14号——财务报告》 (113)财政部会计司解读《企业内部控制应用指引第15号——全面预算》 (123)财政部会计司解读《企业内部控制应用指引第16号——合同管理》 (136)财政部会计司解读《企业内部控制应用指引第17号——内部信息传递》 (142)财政部会计司解读《企业内部控制应用指引第18号——信息系统》 (149)财政部会计司解读《企业内部控制应用指引》系列财政部会计司解读《企业内部控制应用指引第1号——组织架构》健全组织架构奠定内控基础《企业内部控制应用指引第1号——组织架构》指出,组织架构是指企业按照国家有关法律法规、股东(大)会决议、企业章程,结合本企业实际,明确董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。
财政部解读18项企业内部管理指引
财政部最近发布了18项企业内部管理指引,并解读了这些指
引的关键要点。
这些指引意在提高企业的内部管理水平,加强企业
的财务监督和风险防范能力。
以下是这些指引的主要内容和要点:
1. 财务制度建设:企业应建立健全的财务制度,包括会计制度、财务报告制度等,以规范财务管理行为。
2. 资金管理:企业应加强资金计划和预测管理,合理安排资金
使用,确保资金的合理流动和利用。
3. 财务风险防范:企业应制定风险管理制度和措施,及时发现、分析和应对财务风险,以保障企业的财务安全。
4. 内部控制:企业应建立健全的内部控制制度,包括风险管理、业务流程控制、信息系统控制等,以规范企业的运营活动。
5. 财务会计核算:企业应按照会计准则进行财务会计核算,确
保财务数据的准确性和可靠性。
6. 报告披露:企业应及时、准确地披露财务信息和相关信息,增加信息透明度,保护投资者的权益。
这些指引为企业提供了明确的内部管理要求和操作指南,有助于企业提高财务管理水平和运营效率。
企业应认真履行这些指引,并注重日常实践中的不断改进和完善。
请注意,以上内容仅为财政部对18项企业内部管理指引的解读,具体实施还需根据实际情况和相关法律法规进行判断和调整。
优化信息系统提升管理水平——财政部会计司解读《企业内部控制应用指引第18号——信息系统》一、信息系统内部控制概述《企业内部控制应用指引第18号———信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的目标是促进企业有效实施内部控制,提高企业现代化管理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
现代企业的运营越来越依赖于信息系统。
比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等,没有信息系统的支撑,业务开展就举步维艰、难以为继,企业经营就很可能陷入瘫痪状态。
还有一些新兴产业和新兴企业,其商业模式完全依赖信息系统,比如各种网络公司(新浪、网易、百度)、各种电子商务公司(比如阿里巴巴、卓越公司),没有信息系统,这些企业可能失去生存之基。
同时应当看到,企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险,至少应当关注下列方面:一是信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;二是系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;三是系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用,《企业内部控制应当指引第18号——加之信息系统本身的复杂性和高风险特征,信息系统》规定,企业负责人对信息系统建设工作负责。
换言之,信息系统建设是“一把手”工程。
只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作,才能统一思想、提高认识、加强协调配合,从而推动信息系统建设在整合资源的前提下高效、协调推进。
财政部会计司解读《企业内部控制应用指引》系列目录财政部会计司解读《企业内部控制应用指引第1号——组织架构》 (2)财政部会计司解读《企业内部控制应用指引第2号——发展战略》 (14)财政部会计司解读《企业内部控制应用指引第3号——人力资源》 (28)财政部会计司解读《企业内部控制应用指引第4号——社会责任》 (39)财政部会计司解读《企业内部控制应用指引第5号——企业文化》 (51)财政部会计司解读《企业内部控制应用指引第6号——资金活动》 (60)财政部会计司解读《企业内部控制应用指引第7号——采购业务》 (86)财政部会计司解读《企业内部控制应用指引第8号——资产管理》 (97)财政部会计司解读《企业内部控制应用指引第9号——销售业务》 (117)财政部会计司解读《企业内部控制应用指引第1号——组织架构》发布时间:2010-05-10健全组织架构奠定内控基础《企业内部控制应用指引第1号——组织架构》指出,组织架构是指企业按照国家有关法律法规、股东(大)会决议、企业章程,结合本企业实际,明确董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。
其中,核心是完善公司治理结构、管理体制和运行机制问题。
为什么要制定组织架构指引?该指引的主要内容有哪些?对组织架构的设计和运行等提出了哪些要求?本文就此进行解读。
一、关于组织架构指引的现实和长远意义一个现代企业,无论是处于新建、重组改制还是存续状态,要实现发展战略,就必须把建立和完善组织架构放在首位或重中之重。
否则,其他方面都无从谈起。
第一,建立和完善组织架构可以促进企业建立现代企业制度。
一个企业怎样才能永远保持成功呢?这就要靠制度。
这个制度就是现代企业制度。
它是以完善的企业法人制度为基础,以有限责任制度为保证,以公司制企业为主要形式,以产权清晰、权责明确、政企分开、管理科学为条件的现代企业制度。
可见,现代企业制度的核心是组织架构问题;或者,一个实施现代企业制度的企业,应当具备科学完善的组织架构。
企业内部控制应用指引第18号——信息系统【案例导入】忽略了安全需求的ERPA企业是国内一家从事制造建筑工程施工车辆的公司。
该企业从九十年代就开始准备ERP项目,并在二十世纪九十年代后期选定了软件,开始实施包括财务、分销和制造在内的整合的ERP系统。
为此,A公司专门成立了ERP实施小组,在专业咨询公司的协助下,经过一段时间的需求分析、流程设计、用户培训,实施工作进入了紧张的上线前数据准备的关键阶段。
这时候,采购部门对敏感的采购信息在系统中的安全性提出了质疑,包括对相关采购数据的输入、修改、批准、查询、报告、打印等,提出了一系列要求。
整个采购部门有几十个从事采购相关业务的工作人员,分管几十个大类、数以万计的不同物品的相关采购工作。
根据内控的要求,不同大类物品的采购价格和数量,以及到货时间等诸如此类的定单信息和供应商信息,对其他无关部门,甚至同部门的其他采购人员,都是保密的。
在这样的内控要求下,ERP用户权限的设定,不是仅在功能模块的菜单上设定权限,就能符合岗位隔离的要求的。
不少安全要求,具体到需要对数据库内的数据表的字段做出相应的权限设定。
岗位隔离的要求,形成了一个极其复杂的安全需求矩阵。
在系统实施工作的后期阶段,提出这样的安全要求,对ERP实施小组无疑是个难题。
由于事先准备不足,ERP系统的功能、需求分析、流程设计、项目实施的资源,都没有充分考虑公司内控和信息安全的要求。
上述信息安全和岗位隔离的要求,对采购模块的实施,形成了难以逾越的障碍,并且直接导致:1.采购模块没有和其他模块一起集成上线。
2.应付账款模块、库存管理模块、成本计算功能的应用,都受到了很大的制约。
3.该ERP系统的实施,没能达到产供销财务一体化的目标。
其实,该公司内其他部门也有类似的信息安全的考虑和内控的要求,只不过没有采购部门反应强烈而已。
这些问题深深困扰着A企业……1.在系统分析阶段,开发人员和A企业在哪方面存在重大的失误?2.如果你是A企业的CIO,面对上述问题,你会做出什么样的决策?3.在信息系统的建设过程中,要经历哪些阶段?公司的领导和各部门都起什么作用?一、本指引的现实和长远意义优化信息系统提升管理水平——财政部会计司解读《企业内部控制应用指引第18号——信息系统》《企业内部控制应用指引第18号———信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
内部控制指引18条内部控制指引18条内部控制是指企业内部设立的一套管理制度和操作规范,旨在保证企业资产的安全、保障企业经济效益的稳定发展。
内部控制对于企业的经营管理、财务管理和风险控制都具有重要的意义。
以下是18条内部控制指引:1. 定期了解企业运营状况和财务状况,及时预警和处理问题。
2. 制定完整的财务制度和流程,明确各操作环节的职责和权限。
3. 实施职责分工制度,通过具体的操作规定确保工作流程的规范化。
4. 建立健全的人员管理制度,包括招聘、管理、绩效考核及聘任程序等。
5. 对财务人员进行专业培训,使其熟悉各项财务操作流程及财务法规。
6. 统一收付款制度和账户,建立完备的账户管理和资金监管机制。
7. 实施保密制度,制定保密规定、管理、借阅程序等,并进行保密培训。
8. 建立完善的物资管理流程,包括采购、领用、库存及盘点等环节。
9. 每年进行资产清查,做好资产登记、资产处置等日常工作。
10. 建立风险基础资料管理制度,包括风险报告、汇报制度等。
11. 实施信息技术管理制度,包括办公自动化、网络、信息安全等。
12. 严格执行所有的标准操作程序,杜绝违规操作的现象发生。
13. 建立完善的投资决策流程,严格执行投资决策程序,遵循投资审批规定。
14. 实施资金管理制度,包括资金预算、投资计划、资金监督等。
15. 定期开展内部审计工作,完善内部审计流程、范围和标准。
16. 制定业务风险管理制度,包括风险管理原则、实施流程等。
17. 实施合规管理制度,建立合规档案,定期开展内部合规审计工作。
18. 向员工发出有关内部控制的明确指示,切实增强员工的意识。
同时,对于违反规定的员工,要进行纪律处分。
附件1:企业内部控制应用指引企业内部控制应用指引第1号——组织架构第一章总则第一条为了促进企业实现发展战略,优化治理结构、管理体制和运行机制,建立现代企业制度,根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条本指引所称组织架构,是指企业按照国家有关法律法规、股东(大)会决议和企业章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。
第三条企业至少应当关注组织架构设计与运行中的下列风险:(一)治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略。
(二)内部机构设计不科学,权责分配不合理,可能导致机构重叠、职能交叉或缺失、推诿扯皮,运行效率低下。
第二章组织架构的设计第四条企业应当根据国家有关法律法规的规定,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序,确保决策、执行和监督相互分离,形成制衡。
董事会对股东(大)会负责,依法行使企业的经营决策权。
可按照股东(大)会的有关决议,设立战略、审计、提名、薪酬与考核等专门委员会,明确各专门委员会的职责权限、任职资格、议事规则和工作程序,为董事会科学决策提供支持。
监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责。
经理层对董事会负责,主持企业的生产经营管理工作。
经理和其他高级管理人员的职责分工应当明确。
董事会、监事会和经理层的产生程序应当合法合规,其人员构成、知识结构、能力素质应当满足履行职责的要求。
第五条企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,应当按照规定的权限和程序实行集体决策审批或者联签制度。
任何个人不得单独进行决策或者擅自改变集体决策意见。
重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。
第六条企业应当按照科学、精简、高效、透明、制衡的原则,综合考虑企业性质、发展战略、文化理念和管理要求等因素,合理设置内部职能机构,明确各机构的职责权限,避免职能交叉、缺失或权责过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。
《企业内部控制应用指引》-word全部18个应用指引《企业内部控制应用指引》是一份关于企业内部控制的指导手册,旨在帮助企业建立和完善内部控制体系,确保企业运营的合规性和风险的有效控制。
下面是《企业内部控制应用指引》的完整版,包含了全部18个应用指引,总字数超过1200字。
1.内部控制目标管理内部控制目标管理是指通过设定和管理内部控制目标,确保企业运营的合规性和风险的有效控制。
在内部控制目标管理中,企业应制定明确的内部控制目标,并将其纳入企业的战略规划和运营管理中。
2.风险管理与评估风险管理与评估是指通过识别、分析和评估企业所面临的各种风险,并采取相应的控制措施,以保护企业的利益和资产安全。
3.控制环境建设控制环境建设是指通过建立有利于内部控制的环境和氛围,提高企业内部控制的有效性。
企业应营造积极的工作氛围,重视和加强内部控制的意识和素质培养。
4.控制措施设计与实施控制措施设计与实施是指通过设计和实施有效的控制措施,达到对企业运营活动的规范和监控。
企业应根据其风险评估结果,制定适当的控制策略和措施,并确保其有效实施。
5.资金管理与控制资金管理与控制是指通过合理的资金管理和内部控制手段,提高资金利用效率和资金使用安全性。
企业应建立完善的资金管理制度,规范资金的流动和使用,防范资金风险。
6.采购管理与控制采购管理与控制是指通过规范和监控企业的采购活动,控制采购成本和风险。
企业应建立健全的采购管理制度,明确采购程序和责任分工,加强对供应商的合规性和供应链的管理。
7.销售管理与控制销售管理与控制是指通过规范和监控企业的销售活动,提高销售收入的真实性和合规性。
企业应建立有效的销售管理制度,确保销售活动的合规,预防销售风险。
8.财务会计管理与控制财务会计管理与控制是指通过规范和监控企业的财务会计活动,保证财务信息的准确性和可靠性。
企业应建立健全的财务会计制度,加强对财务信息的披露和审计。
9.成本管理与控制成本管理与控制是指通过规范和监控企业的成本活动,提高成本核算的准确性和成本效益。
化信息系统提升管理水平——财政部会计司解读《企业内部控制应用指引第18号——信息系统》一、信息系统内部控制概述《企业内部控制应用指引第18号———信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的目标是促进企业有效实施内部控制,提高企业现代化管理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
现代企业的运营越来越依赖于信息系统。
比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等,没有信息系统的支撑,业务开展就举步维艰、难以为继,企业经营就很可能陷入瘫痪状态。
还有一些新兴产业和新兴企业,其商业模式完全依赖信息系统,比如各种网络公司(新浪、网易、百度)、各种电子商务公司(比如阿里巴巴、卓越公司),没有信息系统,这些企业可能失去生存之基。
同时应当看到,企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险,至少应当关注下列方面:一是信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;二是系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;三是系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用,加之信息系统本身的复杂性和高风险特征,《企业内部控制应当指引第18号——信息系统》规定,企业负责人对信息系统建设工作负责。
换言之,信息系统建设是“一把手”工程。
只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作,才能统一思想、提高认识、加强协调配合,从而推动信息系统建设在整合资源的前提下高效、协调推进。
关于印发企业内部控制配套指引的通知财会[2010]11号中直管理局,铁道部、国管局,总后勤部、武警总部,各省、自治区、直辖市、计划单列市财政厅(局)、审计厅(局),新疆生产建设兵团财务局、审计局,中国证监会各省、自治区、直辖市、计划单列市监管局,中国证监会上海、深圳专员办,各保监局、保险公司,各银监局、政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、资产管理公司,各省级农村信用联社,银监会直接管理的信托公司、财务公司、租赁公司,有关中央管理企业:为了促进企业建立、实施和评价内部控制,规范会计师事务所内部控制审计行为,根据国家有关法律法规和《企业内部控制基本规范》(财会[2008]7号),财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》(以下简称企业内部控制配套指引),现予印发,自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行;在此基础上,择机在中小板和创业板上市公司施行。
鼓励非上市大中型企业提前执行。
请各上市公司及相关非上市大中型企业切实做好执行前的各项准备工作。
执行《企业内部控制基本规范》及企业内部控制配套指引的上市公司和非上市大中型企业,应当对内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。
上市公司聘请的会计师事务所应当具有证券、期货业务资格;非上市大中型企业聘请的会计师事务所也可以是不具有证券、期货业务资格的大中型会计师事务所。
执行中有何问题,请及时反馈我们。
附件:1.企业内部控制应用指引2.企业内部控制评价指引3.企业内部控制审计指引财政部证监会审计署银监会保监会二○一○年四月十五日附件1:企业内部控制应用指引企业内部控制应用指引第1号——组织架构第一章总则第一条为了促进企业实现发展战略,优化治理结构、管理体制和运行机制,建立现代企业制度,根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》,制定本指引。
附件1:企业内部控制应用指引企业内部控制应用指引第1号——组织架构第一章总则第一条为了促进企业实现发展战略,优化治理结构、管理体制和运行机制,建立现代企业制度,根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条本指引所称组织架构,是指企业按照国家有关法律法规、股东(大)会决议和企业章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。
第三条企业至少应当关注组织架构设计与运行中的下列风险:(一)治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略。
(二)内部机构设计不科学,权责分配不合理,可能导致机构重叠、职能交叉或缺失、推诿扯皮,运行效率低下。
第二章组织架构的设计第四条企业应当根据国家有关法律法规的规定,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序,确保决策、执行和监督相互分离,形成制衡。
董事会对股东(大)会负责,依法行使企业的经营决策权。
可按照股东(大)会的有关决议,设立战略、审计、提名、薪酬与考核等专门委员会,明确各专门委员会的职责权限、任职资格、议事规则和工作程序,为董事会科学决策提供支持。
监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责。
经理层对董事会负责,主持企业的生产经营管理工作。
经理和其他高级管理人员的职责分工应当明确。
董事会、监事会和经理层的产生程序应当合法合规,其人员构成、知识结构、能力素质应当满足履行职责的要求。
第五条企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,应当按照规定的权限和程序实行集体决策审批或者联签制度。
任何个人不得单独进行决策或者擅自改变集体决策意见。
重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。
第六条企业应当按照科学、精简、高效、透明、制衡的原则,综合考虑企业性质、发展战略、文化理念和管理要求等因素,合理设置内部职能机构,明确各机构的职责权限,避免职能交叉、缺失或权责过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。
附件1:企业内部控制应用指引企业内部控制应用指引第1号——组织架构第一章总则第一条为了促进企业实现发展战略,优化治理结构、管理体制和运行机制,建立现代企业制度,根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条本指引所称组织架构,是指企业按照国家有关法律法规、股东(大)会决议和企业章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。
第三条企业至少应当关注组织架构设计与运行中的下列风险:(一)治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略。
(二)内部机构设计不科学,权责分配不合理,可能导致机构重叠、职能交叉或缺失、推诿扯皮,运行效率低下。
第二章组织架构的设计第四条企业应当根据国家有关法律法规的规定,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序,确保决策、执行和监督相互分离,形成制衡。
董事会对股东(大)会负责,依法行使企业的经营决策权。
可按照股东(大)会的有关决议,设立战略、审计、提名、薪酬与考核等专门委员会,明确各专门委员会的职责权限、任职资格、议事规则和工作程序,为董事会科学决策提供支持。
监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责。
经理层对董事会负责,主持企业的生产经营管理工作。
经理和其他高级管理人员的职责分工应当明确。
董事会、监事会和经理层的产生程序应当合法合规,其人员构成、知识结构、能力素质应当满足履行职责的要求。
第五条企业的重大决策、重大事项、重要人事任免与大额资金支付业务等,应当按照规定的权限和程序实行集体决策审批或者联签制度。
任何个人不得单独进行决策或者擅自改变集体决策意见。
重大决策、重大事项、重要人事任免与大额资金支付业务的具体标准由企业自行确定。
第六条企业应当按照科学、精简、高效、透明、制衡的原则,综合考虑企业性质、发展战略、文化理念和管理要求等因素,合理设置内部职能机构,明确各机构的职责权限,避免职能交叉、缺失或权责过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。
财政部会计司解读企业内控指引全面提升企业经营管理水平的重要举措 (1)—财政部会计司司长刘玉廷解读《企业内部控制配套指引》 (1)财政部会计司解读企业内控指引第1号——组织架构 (19)财政部会计司解读企业内控指引第2号——发展战略 (25)财政部会计司解读企业内控指引第3号——人力资源 (32)财政部会计司解读企业内控指引第4号——社会责任 (38)财政部会计司解读企业内控指引第5号——企业文化 (44)财政部会计司解读企业内控指引第6号——资金活动 (49)财政部会计司解读企业内控指引第7号——采购业务 (63)财政部会计司解读企业内控指引第8号——资产管理 (69)财政部会计司解读企业内控指引第9号——销售业务 (80)财政部会计司解读企业内控指引第10号——研究与开发 (85)财政部会计司解读企业内控指引第11号——工程项目 (89)财政部会计司解读企业内控指引第12号——担保业务 (98)财政部会计司解读企业内控指引第13号——业务外包 (104)财政部会计司解读企业内控指引第14号——财务报告 (109)财政部会计司解读企业内控指引第15号——全面预算 (117)财政部会计司解读企业内控指引第16号——合同管理 (126)财政部会计司解读企业内控指引第17号——内部信息传递 (131)财政部会计司解读企业内控指引第18号——信息系统 (137)全面提升企业经营管理水平的重要举措—财政部会计司司长刘玉廷解读《企业内部控制配套指引》4月26日,财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会,隆重发布了《企业内部控制配套指引》(以下简称配套指引)。
该配套指引连同2008年5月发布的《企业内部控制基本规范》,共同构建了中国企业内部控制规范体系,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。
企业内部控制应用指引第18号——信息系统【案例导入】忽略了安全需求的ERPA企业是国内一家从事制造建筑工程施工车辆的公司。
该企业从九十年代就开始准备ERP项目,并在二十世纪九十年代后期选定了软件,开始实施包括财务、分销和制造在内的整合的ERP系统。
为此,A公司专门成立了ERP实施小组,在专业咨询公司的协助下,经过一段时间的需求分析、流程设计、用户培训,实施工作进入了紧张的上线前数据准备的关键阶段。
这时候,采购部门对敏感的采购信息在系统中的安全性提出了质疑,包括对相关采购数据的输入、修改、批准、查询、报告、打印等,提出了一系列要求。
整个采购部门有几十个从事采购相关业务的工作人员,分管几十个大类、数以万计的不同物品的相关采购工作。
根据内控的要求,不同大类物品的采购价格和数量,以及到货时间等诸如此类的定单信息和供应商信息,对其他无关部门,甚至同部门的其他采购人员,都是保密的。
在这样的内控要求下,ERP用户权限的设定,不是仅在功能模块的菜单上设定权限,就能符合岗位隔离的要求的。
不少安全要求,具体到需要对数据库内的数据表的字段做出相应的权限设定。
岗位隔离的要求,形成了一个极其复杂的安全需求矩阵。
在系统实施工作的后期阶段,提出这样的安全要求,对ERP实施小组无疑是个难题。
由于事先准备不足,ERP系统的功能、需求分析、流程设计、项目实施的资源,都没有充分考虑公司内控和信息安全的要求。
上述信息安全和岗位隔离的要求,对采购模块的实施,形成了难以逾越的障碍,并且直接导致:1.采购模块没有和其他模块一起集成上线。
2.应付账款模块、库存管理模块、成本计算功能的应用,都受到了很大的制约。
3.该ERP系统的实施,没能达到产供销财务一体化的目标。
其实,该公司内其他部门也有类似的信息安全的考虑和内控的要求,只不过没有采购部门反应强烈而已。
这些问题深深困扰着A企业……1.在系统分析阶段,开发人员和A企业在哪方面存在重大的失误?2.如果你是A企业的CIO,面对上述问题,你会做出什么样的决策?3.在信息系统的建设过程中,要经历哪些阶段?公司的领导和各部门都起什么作用?一、本指引的现实和长远意义优化信息系统提升管理水平——财政部会计司解读《企业内部控制应用指引第18号——信息系统》《企业内部控制应用指引第18号———信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
财政部会计司解读企业内控指引全面提升企业经营管理水平的重要举措 (1)—财政部会计司司长刘玉廷解读《企业内部控制配套指引》 (1)财政部会计司解读企业内控指引第1号——组织架构 (19)财政部会计司解读企业内控指引第2号——发展战略 (25)财政部会计司解读企业内控指引第3号——人力资源 (32)财政部会计司解读企业内控指引第4号——社会责任 (38)财政部会计司解读企业内控指引第5号——企业文化 (44)财政部会计司解读企业内控指引第6号——资金活动 (49)财政部会计司解读企业内控指引第7号——采购业务 (63)财政部会计司解读企业内控指引第8号——资产管理 (69)财政部会计司解读企业内控指引第9号——销售业务 (80)财政部会计司解读企业内控指引第10号——研究与开发 (85)财政部会计司解读企业内控指引第11号——工程项目 (89)财政部会计司解读企业内控指引第12号——担保业务 (98)财政部会计司解读企业内控指引第13号——业务外包 (104)财政部会计司解读企业内控指引第14号——财务报告 (109)财政部会计司解读企业内控指引第15号——全面预算 (117)财政部会计司解读企业内控指引第16号——合同管理 (126)财政部会计司解读企业内控指引第17号——内部信息传递 (131)财政部会计司解读企业内控指引第18号——信息系统 (137)全面提升企业经营管理水平的重要举措—财政部会计司司长刘玉廷解读《企业内部控制配套指引》4月26日,财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会,隆重发布了《企业内部控制配套指引》(以下简称配套指引)。
该配套指引连同2008年5月发布的《企业内部控制基本规范》,共同构建了中国企业内部控制规范体系,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。
同时,鼓励非上市大中型企业提前执行。
执行企业内部控制规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。
政府监管部门将对相关企业执行内部控制规范体系的情况进行监督检查。
这是全面提升上市公司和非上市大中型企业经营管理水平的重要举措,也是我国应对国际金融危机的重要制度安排。
本人作为配套指引这一重大系统工程“建设”的直接参与者,拟就如何理解和把握其主要内容和精神实质进行解读,供大家参考。
配套指引由21项应用指引(此次发布18项,涉及银行、证券和保险等业务的3项指引暂未发布)、《企业内部控制评价指引》和《企业内部控制审计指引》组成。
其中,应用指引是对企业按照内控原则和内控“五要素”建立健全本企业内部控制所提供的指引,在配套指引乃至整个内部控制规范体系中占居主体地位;企业内部控制评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引;企业内部控制审计指引是为注册会计师和会计师事务所执行内部控制审计业务的执业准则。
三者之间既相互独立,又相互联系,形成一个有机整体。
一、关于应用指引应用指引可以划分为三类,即内部环境类指引、控制活动类指引、控制手段类指引,基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。
(一)内部环境类指引内部环境是企业实施内部控制的基础,支配着企业全体员工的内控意识,影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。
内部环境类指引有5项,包括组织架构、发展战略、人力资源、企业文化和社会责任等指引。
第一,关于组织架构。
组织架构是企业按照国家有关法律法规、股东(大)会决议和企业章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。
企业要实施发展战略,必须要有科学的组织架构,主要包括治理结构和内部机构设置。
如果企业治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,就可能发生经营失败;此外,如果内部机构设计不科学,权责分配不合理,也可能导致机构重叠、职能交叉或缺失,运行效率低下。
为防范和化解组织架构设计和运行中存在的这些重要风险,组织架构应用指引明确提出如下要求:一是,企业应当根据国家有关法律法规的规定,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序,确保决策、执行和监督相互分离,形成制衡。
同时强调,企业的重大决策、重大事项、重要人事任免及大额资金支付业务等(即通常所说的“三重一大”),应当按照规定的权限和程序实行集体决策审批或者联签制度;任何个人不得单独进行决策或者擅自改变集体决策意见。
二是,企业应当按照科学、精简、高效、透明、制衡的原则,综合考虑企业性质、发展战略、文化理念和管理要求等因素,合理设置内部职能机构,明确各机构的职责权限,避免职能交叉、缺失或权责过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。
三是,企业应当根据组织架构的设计规范,对现有治理结构和内部机构设置进行全面梳理,确保本企业治理结构、内部机构设置和运行机制等符合现代企业制度要求。
四是,企业拥有子公司的,应当建立科学的投资管控制度,通过合法有效的形式履行出资人职责、维护出资人权益,重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。
对子公司控制一直是企业集团层面关注的一个重要问题,组织架构应用指引在综合调研的基础上提出此项要求,对实务操作具有重要指导作用。
第二,关于发展战略。
发展战略是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上,制定并实施的长远发展目标与战略规划。
企业作为市场经济的主体,要想求得长期生存和持续发展,关键在于制定并有效实施适应外部环境变化和自身实际情况的发展战略。
调查中我们发现,有些企业缺乏明确的发展战略或发展战略实施不到位,结果导致企业盲目发展,难以形成竞争优势,丧失发展机遇和动力;也有些企业发展战略过于激进,脱离企业实际能力或偏离主业,导致过度扩张、经营失控甚至失败;还有一些企业发展战略频繁变动,导致资源严重浪费,最后危及企业的生存和持续发展。
为此,我们制定了发展战略应用指引,就上述重要风险有针对性地提出了应对措施。
一是,要求企业健全组织机构,在董事会下设立战略委员会,或指定相关机构负责发展战略管理工作。
同时,对战略委员会的成员素质、工作规范也提出了相应要求。
二是,明确要求企业应在充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标,而不是靠拍脑袋,盲目制定发展战略。
在制定目标过程中,应综合考虑宏观经济政策、国内外市场需求变化、技术发展趋势、行业及竞争对手状况、可利用资源水平和自身优势与劣势等影响因素。
三是,强调战略规划应当根据发展目标制定,明确发展的阶段性和发展程度,确定每个发展阶段的具体目标、工作任务和实施路径。
四是,要求董事会从全局性、长期性和可行性等维度,严格审议战略委员会提交的发展战略方案,之后再报经股东(大)会批准实施。
四是,从抓实施的角度,要求企业根据发展战略,制定年度工作计划,编制全面预算,将年度目标分解、落实,确保发展战略有效实施。
五是,设立了发展战略实施后评估制度,要求战略委员会加强对发展战略实施情况的监控,定期收集和分析相关信息。
对发现明显偏离发展战略的情况,要求及时报告;对确需对发展战略作出调整的情形,明确要求企业要遵循规定的权限和程序调整发展战略。
第三,关于人力资源。
人力资源是指企业组织生产经营活动而录(任)用的各种人员,包括董事、监事、高级管理人员和全体员工。
现代企业竞争的关键在于人力资源的竞争。
人力资源对实现企业发展战略起到重要的智力支持作用,实现人力资源的合理配置,可以全面提升企业核心竞争力。
如果人力资源缺乏或过剩、结构不合理、开发机制不健全,企业发展战略可能难以实现;如果人力资源激励约束制度不合理、关键岗位人员管理不完善,则可能导致人才流失、经营效率低下;而如果人力资源退出机制不当,又可能导致法律诉讼或企业声誉受损。
为防范和化解人力资源管理中存在的这些重要风险,人力资源应用指引强调:一是,企业应当根据人力资源总体规划,结合生产经营实际需要,制定年度人力资源需求计划。
也就是说,人力资源要符合发展战略需要,符合生产经营对人力资源的需求,尽可能做到“不缺人手,也不养闲人。
二是,企业应当根据人力资源能力框架要求,明确各岗位的职责权限、任职条件和工作要求,通过公开招聘、竞争上岗等多种方式选聘优秀人才。
这项要求实际上意在强调,企业要选合适的人,要按公开、严格的程序去选人,防止“人情招聘”、暗箱操作。
三是,企业确定选聘人员后,应当依法签订劳动合同,建立劳动用工关系;已选聘人员要进行试用和岗前培训,试用期满考核合格后,方可正式上岗。
四是,企业应当建立和完善人力资源的激励约束机制,设置科学的业绩考核指标体系,对各级管理人员和全体员工进行严格考核与评价,并制定与业绩考核挂钩的薪酬制度。
如何留住引进来的优秀人才,对企业至关重要。
这项要求就是对此提出的指引,企业应当予以足够关注。
五是,企业应当建立健全员工退出(辞职、解除劳动合同、退休等)机制,明确退出的条件和程序,确保员工退出机制得到有效实施。
只有退出机制健全,退出条件和程序清楚,才能够防范和化解当前企业人力资源退出方面存在的诸多问题,使企业人力资源管理步入良性循环的轨道。
第四,关于社会责任。
社会责任是指企业在经营发展过程中应当履行的社会职责和义务,主要包括安全生产、产品质量(含服务,下同)、环境保护、资源节约、促进就业、员工权益保护等。
企业认真履行社会责任,对于实现其与社会、环境的全面协调可持续发展具有重要促进作用。
为促进和规范企业履行社会责任,我们制定了社会责任应用指引,针对当前企业在履行社会责任方面存在的薄弱环节,梳理出四个方面的重要风险,即:安全生产措施不到位,责任不落实,可能导致企业发生安全事故;产品质量低劣,侵害消费者利益,可能导致企业巨额赔偿、形象受损,甚至破产;环境保护投入不足,资源耗费大,造成环境污染或资源枯竭,可能导致企业巨额赔偿、缺乏发展后劲,甚至停业;促进就业和员工权益保护不够,可能导致员工积极性受挫,影响企业发展和社会稳定。
针对这些重要风险,社会责任应用指引提出了积极应对措施:一是,要求企业设立安全管理部门和安全监督机构,建立严格的安全生产管理体系、操作规范和应急预案,强化安全生产责任追究制度,切实做到安全生产。
二是,要求企业规范生产流程,建立严格的产品质量控制和检验制度,严把质量关,禁止缺乏质量保障、危害人民生命健康的产品流向社会。