企業(yè)內(nèi)部控制標準委員會委員���、咨詢專家�����,各企業(yè)�����,會計師事務(wù)所等有關(guān)單位:
在修改完善組織架構(gòu)等10個應(yīng)用指引項目并征求意見的基礎(chǔ)上�����,我們又調(diào)整修改了《企業(yè)內(nèi)部控制評價指引》和工程項目等5個應(yīng)用指引����,現(xiàn)征求意見。請于2009年2月6日前將意見反饋至企業(yè)內(nèi)部控制標準委員會秘書處(設(shè)在財政部會計司)�����。
征求意見稿電子版全文����,請在財政部會計司網(wǎng)站或財政部會計準則委員會網(wǎng)站下載,網(wǎng)址是www.mof.gov.cn/kjs/����;www.casc.gov.cn.
聯(lián)系人:王晶 米傳軍
聯(lián)系電話: 010-68552552 010-68552550
通信地址:北京市西城區(qū)三里河南三巷3號財政部會計司綜合處
郵政編碼:100820
電子郵箱:wangjing1123@mof.gov.cn;michuanjun@mof.gov.cn
附件:1.《企業(yè)內(nèi)部控制評價指引》(征求意見稿)
2.《企業(yè)內(nèi)部控制應(yīng)用指引第xx號——工程項目》(征求意見稿)等
企業(yè)內(nèi)部控制標準委員會秘書處
(財政部會計司)
二〇〇九年一月十四日
附件1:
企業(yè)內(nèi)部控制評價指引(征求意見稿)
第一章 總 則
第一條 為了規(guī)范企業(yè)內(nèi)部控制評價��,全面評估內(nèi)部控制設(shè)計與運行情況����,編制內(nèi)部控制評價報告���,根據(jù)有關(guān)法律法規(guī)和《企業(yè)內(nèi)部控制基本規(guī)范》����,制定本指引。
第二條 本指引所稱內(nèi)部控制評價�����,是指企業(yè)董事會(或類似決策機構(gòu))或其授權(quán)機構(gòu)�����,對內(nèi)部控制設(shè)計與運行的有效性進行綜合評估的過程�����。
第三條 企業(yè)應(yīng)當根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》和本評價指引��,結(jié)合本企業(yè)的實際情況���,制定內(nèi)部控制評價辦法���,明確內(nèi)部控制評價的原則和內(nèi)容、程序和方法�、以及報告形式等相關(guān)內(nèi)容,確保內(nèi)部控制評價工作落到實處�����。
企業(yè)主要負責人應(yīng)當對內(nèi)部控制評價結(jié)論的真實性負責。
第四條 企業(yè)應(yīng)當建立內(nèi)部控制評價結(jié)果分析利用和考核制度�,將內(nèi)部控制評價結(jié)果和整改情況作為內(nèi)部績效考評的重要依據(jù)。
第二章 評價的原則和內(nèi)容
第五條 企業(yè)實施內(nèi)部控制評價����,至少應(yīng)當遵循全面性、重要性和獨立性原則�����,確保評價工作標準統(tǒng)一��、客觀公正��。
全面性����,是指評價工作應(yīng)當包括內(nèi)部控制的設(shè)計與運行,涵蓋企業(yè)及其所屬單位的各種業(yè)務(wù)和事項����。
重要性��,是指在全面評價的基礎(chǔ)上關(guān)注重要高風險領(lǐng)域�����。
獨立性,是指評價工作應(yīng)當于內(nèi)部控制的設(shè)計與運行相互分離���。
第六條 企業(yè)內(nèi)部控制評價應(yīng)當以內(nèi)部環(huán)境為基礎(chǔ)���,重點關(guān)注:治理結(jié)構(gòu)是否形同虛設(shè);發(fā)展戰(zhàn)略是否可行��;機構(gòu)設(shè)置是否重疊����;權(quán)責分配是否明晰;不相容崗位是否分離�;人力資源政策和激勵約束機制是否科學(xué)合理;企業(yè)文化是否促進員工勤勉盡責��;社會責任是否有效履行等�。
第七條 企業(yè)內(nèi)部控制評價應(yīng)當以生產(chǎn)經(jīng)營活動為重點,至少關(guān)注:資金的籌集�、投放和營運過程是否存在資金鏈斷裂;資產(chǎn)運行中是否存在效能低下或資產(chǎn)流失�;采購與銷售環(huán)節(jié)是否存在舞弊行為;研發(fā)項目是否經(jīng)過科學(xué)論證��;工程項目是否存在商業(yè)賄賂等。
第八條 企業(yè)內(nèi)部控制評價應(yīng)當兼顧控制手段���,至少關(guān)注:全面預(yù)算是否具有約束力�����;合同履行是否存在糾紛����;信息系統(tǒng)是否與內(nèi)部控制有機結(jié)合�����;內(nèi)部報告是否及時傳遞和有效溝通等����。
第三章 評價的程序和方法
第九條 企業(yè)應(yīng)當指定內(nèi)部審計機構(gòu)或其他機構(gòu)具體組織實施內(nèi)部控制評價工作,根據(jù)內(nèi)部控制評價辦法制定評價方案�����,組成評價小組����,明確分工和進度安排,采取現(xiàn)場檢查等方式開展內(nèi)部控制評價����。
企業(yè)可以借助中介機構(gòu)或外部專家實施內(nèi)部控制評價,參與企業(yè)內(nèi)部控制評價的中介機構(gòu)不得同時為同一企業(yè)提供內(nèi)部控制審計服務(wù)��。
第十條 企業(yè)開展內(nèi)部控制評價����,應(yīng)當編制工作底稿。工作底稿應(yīng)當由評價小組直接填寫�����,指定專人嚴格復(fù)核�����。
第十一條 評價小組可以綜合運用個別訪談��、調(diào)查問卷�����、專題討論�����、穿行測試、統(tǒng)計抽樣���、比較分析等多種方法����,廣泛收集被評價單位內(nèi)部控制設(shè)計和有效運行的證據(jù)�����,研究認定內(nèi)部控制設(shè)計缺陷和運行缺陷�����。
評價小組研究認定的內(nèi)部控制缺陷����,應(yīng)當按照規(guī)定的權(quán)限和程序報經(jīng)審批后確定。
第十二條 企業(yè)應(yīng)當對內(nèi)部控制缺陷進行綜合判斷�����,按其嚴重程度分為重大缺陷、重要缺陷和一般缺陷�����。
重大缺陷���,是指一個或多個控制缺陷的組合,可能導(dǎo)致企業(yè)嚴重偏離控制目標的情形��。
重要缺陷���,是指一個或多個控制缺陷的組合�����,其嚴重程度和經(jīng)濟后果低于重大缺陷��,但仍有可能導(dǎo)致企業(yè)偏離控制目標的情形�����。
一般缺陷�����,是指除重大缺陷�����、重要缺陷之外的其他控制缺陷��。
第十三條 重大缺陷應(yīng)當根據(jù)本指引第五條�����、第六條��、第七條規(guī)定和重大缺陷的定義���,結(jié)合企業(yè)實際情況��,具體加以認定�。
重要缺陷和一般缺陷由企業(yè)自行確定���。
第十四條 企業(yè)應(yīng)當建立內(nèi)部控制缺陷整改機制���,明確內(nèi)部各管理層級和單位整改的職責分工,確保內(nèi)部控制設(shè)計與運行中的主要問題和重大風險得到及時解決和有效控制��。
董事會負責重大缺陷的整改,接受監(jiān)事會的監(jiān)督��。經(jīng)理層負責重要缺陷的整改�����,接受董事會的監(jiān)督��。內(nèi)部有關(guān)單位負責一般缺陷的整改����,接受經(jīng)理層的監(jiān)督��。
第四章 內(nèi)部控制評價報告
第十五條 企業(yè)應(yīng)當根據(jù)內(nèi)部控制評價結(jié)果和整改情況��,編制內(nèi)部控制評價報告��。內(nèi)部控制評價報告至少應(yīng)當包括下列內(nèi)容:
?����。ㄒ唬┙M織實施內(nèi)部控制評價的總體情況�。
(二)內(nèi)部控制責任主體的聲明��。
(三)內(nèi)部控制評價的范圍和內(nèi)容��。
?��。ㄋ模﹥?nèi)部控制評價的標準和依據(jù)��。
?�。ㄎ澹﹥?nèi)部控制評價的程序和方法��。
?��。﹥?nèi)部控制重大缺陷及其認定情況。
?�。ㄆ撸﹥?nèi)部控制重大缺陷的整改措施及責任追究情況��。
?���。ò耍﹥?nèi)部控制有效性的結(jié)論。
存在一個或多個內(nèi)部控制重大缺陷的�,應(yīng)當作出內(nèi)部控制無效的結(jié)論。
第十六條 企業(yè)內(nèi)部控制評價報告應(yīng)當報企業(yè)經(jīng)理層審核��、董事會審定后公布。
第十七條 企業(yè)應(yīng)當以12月31日作為年度內(nèi)部控制評價報告的基準日��,也可選擇6月30日為基準日����。
內(nèi)部控制評價報告應(yīng)于基準日后4個月內(nèi)報出。
附件2:
企業(yè)內(nèi)部控制應(yīng)用指引第xx號——工程項目(征求意見稿)
第一章 總 則
第一條 為了規(guī)范工程項目管理����,提高工程項目質(zhì)量,保證工程項目進度����,防范商業(yè)賄賂��,根據(jù)有關(guān)法律法規(guī)和《企業(yè)內(nèi)部控制基本規(guī)范》��,制定本指引����。
第二條 本指引所稱工程項目,是指企業(yè)自行或者委托其他單位所進行的建造���、安裝活動����。
第三條 企業(yè)至少應(yīng)當關(guān)注工程項目的下列風險:
(一)缺乏科學(xué)論證���,盲目上馬����,可能導(dǎo)致工程失敗��。
?��。ǘ┐嬖谏虡I(yè)賄賂舞弊行為�����,可能導(dǎo)致工程質(zhì)量低劣和安全隱患��。
?����。ㄈ╉椖抠Y金不到位���,可能導(dǎo)致建設(shè)項目延期或中斷�����。
第四條 企業(yè)應(yīng)當加強工程項目的監(jiān)控�����,明確工程立項����、招標�����、建設(shè)��、驗收等環(huán)節(jié)的主要風險點����,采取相應(yīng)措施�,實施有效控制。
第二章 立項與招標
第五條 企業(yè)應(yīng)當根據(jù)發(fā)展戰(zhàn)略和年度投資計劃�,提出項目建議書,進行可行性研究����,編制可行性研究報告�,重點關(guān)注國家產(chǎn)業(yè)政策和環(huán)境保護要求等因素���。
企業(yè)可以委托專業(yè)機構(gòu)開展可行性研究�����,并組織專業(yè)人員對可行性研究報告進行評審�����,出具評審意見�����。
第六條 企業(yè)應(yīng)當按照規(guī)定的權(quán)限和程序?qū)こ添椖窟M行決策�。重大工程項目�����,應(yīng)當報經(jīng)董事會或者類似決策機構(gòu)集體審議批準�����,任何個人不得單獨決策或者擅自改變集體決策意見。
工程項目決策失誤應(yīng)當實行責任追究制度����。
第七條 企業(yè)應(yīng)當根據(jù)項目性質(zhì)和標的金額,明確招標范圍和要求����,規(guī)范招標程序,不得人為肢解工程項目規(guī)避招標���。
企業(yè)通常應(yīng)當采用招標形式確定設(shè)計單位和施工單位�����,明確工程項目預(yù)期實現(xiàn)的目標和具體要求��,確保招標過程公開���、公正、透明����。
第三章 建設(shè)與驗收
第八條 企業(yè)應(yīng)當加強工程項目建設(shè)過程和驗收環(huán)節(jié)的監(jiān)控��,落實責任制,實行嚴格的概預(yù)算管理�,嚴把質(zhì)量關(guān),確保工程項目達到設(shè)計要求����。
第九條 企業(yè)應(yīng)當實行嚴格的工程監(jiān)理制度。工程監(jiān)理人員應(yīng)當深入施工現(xiàn)場��,監(jiān)控工程進度和質(zhì)量��,及時發(fā)現(xiàn)和糾正建設(shè)過程中的問題�����。
工程監(jiān)理人員應(yīng)當具備相應(yīng)的資質(zhì)和良好的職業(yè)操守�。
第十條 企業(yè)應(yīng)當加強對工程價款結(jié)算的管理,明確價款結(jié)算的條件����、方式和金額等內(nèi)容,確保工程款項按合同約定或工程進度及時�����、準確支付。
第十一條 企業(yè)應(yīng)當嚴格控制工程變更��。確需變更的工程項目�����,應(yīng)當按照規(guī)定的權(quán)限和程序進行審批����。
第十二條 企業(yè)應(yīng)當及時編制竣工決算,開展決算審計���,組織專業(yè)人員進行竣工驗收����,重點關(guān)注項目投資額��、概預(yù)算執(zhí)行��、資金管理���、工程質(zhì)量等內(nèi)容��。
驗收合格的工程項目����,應(yīng)當編制財產(chǎn)清單���,及時辦理資產(chǎn)移交手續(xù)�����。
第四章 評估與披露
第十三條 企業(yè)應(yīng)當建立工程項目評估制度���,加強對工程立項、招標�����、建設(shè)和驗收過程的跟蹤管理和全面評估����,發(fā)現(xiàn)異常情況,應(yīng)當及時報告�����,采取措施妥善處理�。
第十四條 企業(yè)應(yīng)當披露重大在建項目的主要風險等內(nèi)容。
企業(yè)內(nèi)部控制應(yīng)用指引第xx號——全面預(yù)算(征求意見稿)
第一章 總 則
第一條 為了促進企業(yè)加強全面預(yù)算管理,實現(xiàn)發(fā)展戰(zhàn)略和生產(chǎn)經(jīng)營目標�,根據(jù)有關(guān)法律法規(guī)和《企業(yè)內(nèi)部控制基本規(guī)范》,制定本指引�����。
第二條 本指引所稱全面預(yù)算��,是指企業(yè)對一定期間的各項生產(chǎn)經(jīng)營活動作出的預(yù)算安排��。
第三條 企業(yè)至少應(yīng)當關(guān)注全面預(yù)算管理的下列風險:
?���。ㄒ唬┤狈︻A(yù)算或預(yù)算編制不完整,可能導(dǎo)致企業(yè)盲目經(jīng)營���。
?��。ǘ╊A(yù)算執(zhí)行不力,可能導(dǎo)致企業(yè)無法實現(xiàn)生產(chǎn)經(jīng)營目標����。
第四條 企業(yè)應(yīng)當建立全面預(yù)算管理制度,強化預(yù)算約束�����,明確預(yù)算編制、執(zhí)行�����、考核等環(huán)節(jié)的主要風險點�����,采取相應(yīng)措施��,實施有效控制���。
第二章 編制、執(zhí)行與考核
第五條 企業(yè)應(yīng)當根據(jù)發(fā)展戰(zhàn)略和年度生產(chǎn)經(jīng)營目標��,綜合考慮預(yù)算期內(nèi)市場環(huán)境變化等因素���,按照上下結(jié)合��、分級編制�、逐級匯總的程序��,編制年度全面預(yù)算。
預(yù)算編制應(yīng)當科學(xué)合理�����、符合實際����,避免預(yù)算指標過高或過低。
第六條 企業(yè)應(yīng)當在預(yù)算年度開始前編制完成全面預(yù)算���,按照規(guī)定的權(quán)限和程序?qū)徍伺鷾屎?���,以文件形式下達執(zhí)行�。
企業(yè)應(yīng)當將預(yù)算指標層層分解,落實到內(nèi)部各部門��、各環(huán)節(jié)和各崗位��,確保預(yù)算剛性����,嚴格預(yù)算執(zhí)行。
第七條 企業(yè)應(yīng)當建立預(yù)算執(zhí)行情況的預(yù)警機制和報告制度�����,確定預(yù)警和報告指標體系,密切跟蹤預(yù)算實施進度和完成情況�����,采取有效方式對預(yù)算執(zhí)行情況進行分析和監(jiān)控�����,發(fā)現(xiàn)預(yù)算執(zhí)行差異���,及時采取改進措施。
第八條 企業(yè)批準下達的預(yù)算應(yīng)當保持穩(wěn)定���,不得隨意調(diào)整���。由于市場環(huán)境、國家政策或不可抗力等客觀因素��,導(dǎo)致預(yù)算執(zhí)行發(fā)生重大差異確需調(diào)整預(yù)算的�,應(yīng)當履行嚴格的審批程序。
第九條 企業(yè)應(yīng)當建立嚴格的預(yù)算執(zhí)行考核獎懲制度�,堅持公開���、公正、透明的原則�,對所有預(yù)算執(zhí)行單位和個人進行考核,切實做到有獎有懲�����、獎懲分明�����,促進企業(yè)實現(xiàn)全面預(yù)算管理目標�����。
第三章 評估與披露
第十條 企業(yè)應(yīng)當建立全面預(yù)算管理評估制度����,對預(yù)算編制、執(zhí)行�����、考核的過程和結(jié)果進行全面評估���,發(fā)現(xiàn)異常情況��,應(yīng)當及時報告����。
第十一條 企業(yè)應(yīng)當披露預(yù)算執(zhí)行情況和全面預(yù)算管理中的主要風險等內(nèi)容。
企業(yè)內(nèi)部控制應(yīng)用指引第xx號——合同(征求意見稿)
第一章 總 則
第一條 為了促進企業(yè)加強合同管理��,維護企業(yè)合法權(quán)益��,根據(jù)有關(guān)法律法規(guī)和《企業(yè)內(nèi)部控制基本規(guī)范》���,制定本指引��。
第二條 本指引所稱合同,是指企業(yè)與自然人����、法人及其他組織之間設(shè)立、變更�����、終止民事權(quán)利義務(wù)關(guān)系的協(xié)議��。
企業(yè)與職工簽訂的勞動合同,不適用本指引�。
第三條 企業(yè)至少應(yīng)當關(guān)注合同管理的下列風險:
(一)未簽訂合同或合同內(nèi)容存在重大疏漏�����,可能導(dǎo)致企業(yè)合法權(quán)益受到侵害��,經(jīng)濟利益受損���。
?��。ǘ┖贤男胁涣Γ赡軐?dǎo)致經(jīng)濟糾紛或法律訴訟�����,損害企業(yè)信譽和形象����。
第四條 企業(yè)應(yīng)當建立合同管理制度,明確合同簽署與履行過程中的主要風險點���,采取相應(yīng)措施�����,實施有效控制��。
第二章 合同的簽署
第五條 企業(yè)對外發(fā)生的重要經(jīng)濟行為����,均應(yīng)簽訂相關(guān)合同。合同簽署前�,應(yīng)當了解調(diào)查對方當事人的主體資格、信用狀況等有關(guān)情況���,確保對方當事人具備履約能力����。
合同標的物涉及重大事項的����,應(yīng)當進行充分協(xié)商�����,堅持自愿、平等�、互利原則,明確雙方的權(quán)利義務(wù)和違約責任���。技術(shù)含量較高或法律關(guān)系復(fù)雜的合同��,應(yīng)當組織專業(yè)人員參與談判����。
第六條 企業(yè)應(yīng)當根據(jù)協(xié)商��、談判的結(jié)果����,擬訂合同文本。合同文本應(yīng)當符合國家有關(guān)法律法規(guī)的規(guī)定��,切實做到條款內(nèi)容完整�����,表述嚴謹準確�����,相關(guān)手續(xù)齊備,避免出現(xiàn)重大疏漏��。
第七條 企業(yè)應(yīng)當建立合同審核和內(nèi)部會簽制度���,重點審核合同的合規(guī)性��、經(jīng)濟性����、可行性����、嚴密性等相關(guān)內(nèi)容。合同文本涉及相關(guān)部門或人員的����,應(yīng)當履行內(nèi)部審核會簽程序。
第八條 企業(yè)應(yīng)當按照規(guī)定的權(quán)限和程序與對方當事人簽署合同���。正式對外訂立的合同��,應(yīng)當由企業(yè)法定代表人或其授權(quán)人簽名并加蓋有關(guān)印章�����。
第三章 合同的履行
第九條 企業(yè)應(yīng)當嚴格履行合同�,同時監(jiān)控對方當事人的履約情況�。
合同履行過程中出現(xiàn)違約情形的,應(yīng)當嚴格按照合同違約條款承擔或追究違約責任���。
第十條 合同一經(jīng)簽署��,不得隨意變更��。因政策調(diào)整��、市場變化等客觀因素確需變更的��,應(yīng)由雙方協(xié)商一致���,按照規(guī)定的權(quán)限和程序辦理變更或終止手續(xù)。
第十一條 企業(yè)應(yīng)當建立合同糾紛處理制度���。在合同履行過程中發(fā)生糾紛的���,應(yīng)當根據(jù)國家有關(guān)法律法規(guī),在規(guī)定時效內(nèi)與對方協(xié)商解決�。協(xié)商無效的��,應(yīng)當按照合同約定選擇仲裁或訴訟方式解決����。
第四章 評估與披露
第十二條 企業(yè)應(yīng)當建立合同管理評估制度����,定期對合同簽署與履行情況進行全面評估,發(fā)現(xiàn)異常情況�,應(yīng)當及時報告。
第十三條 企業(yè)應(yīng)當披露重大合同的履行情況���、合同糾紛���、法律訴訟以及合同履行中的其他風險等內(nèi)容。
企業(yè)內(nèi)部控制應(yīng)用指引第xx號——內(nèi)部報告(征求意見稿)
第一章 總 則
第一條 為了促進企業(yè)有效報告經(jīng)營管理信息���,揭示生產(chǎn)經(jīng)營管理過程中存在的主要問題和風險��,及時采取應(yīng)對措施��,根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》����,制定本指引。
第二條 本指引所稱內(nèi)部報告����,是指企業(yè)內(nèi)部層級之間傳遞內(nèi)部經(jīng)營管理信息的過程��。
第三條 企業(yè)至少應(yīng)當關(guān)注內(nèi)部報告的下列風險:
?。ㄒ唬﹥?nèi)部報告信息不準確,可能導(dǎo)致決策失誤����。
(二)內(nèi)部報告信息傳遞不及時���、不通暢��,可能導(dǎo)致風險失控����。
第四條 企業(yè)應(yīng)當建立科學(xué)的內(nèi)部報告機制和信息系統(tǒng)�,明確報告內(nèi)容、傳遞的方式和有效使用等相關(guān)要求��,落實責任制���,確保內(nèi)部報告信息及時溝通�����。
第二章 內(nèi)部報告的形成
第五條 企業(yè)應(yīng)當以經(jīng)營快報等方式���,規(guī)定不同級次內(nèi)部報告的指標體系�����,反映經(jīng)營管理的主要情況�����。經(jīng)營快報的內(nèi)容和形式應(yīng)當簡潔明了���,通俗易懂,便于管理人員掌握相關(guān)信息����,及時作出決策。
第六條 企業(yè)應(yīng)當充分利用信息技術(shù)��,采集���、匯總��、生成內(nèi)部報告信息���,構(gòu)建科學(xué)的內(nèi)部報告網(wǎng)絡(luò)體系���。企業(yè)內(nèi)部各級次均應(yīng)當指定專人負責內(nèi)部報告工作���,規(guī)定不同級次報告的時點����,確保在同一時點上形成分級和匯總信息���。
重要風險信息可以直接報告高級管理人員�。
第七條 企業(yè)應(yīng)當拓寬內(nèi)部報告渠道����,通過多種有效方式,鼓勵員工為企業(yè)經(jīng)營發(fā)展提供合理化建議��,反映和舉報生產(chǎn)經(jīng)營中的違規(guī)����、舞弊行為��。
第三章 內(nèi)部報告的使用
第八條 企業(yè)各級管理人員應(yīng)當充分利用內(nèi)部報告���,管理和指導(dǎo)企業(yè)的生產(chǎn)經(jīng)營,嚴格績效考核和責任追究制度����,確保企業(yè)實現(xiàn)發(fā)展目標。
第九條 企業(yè)對于內(nèi)部報告反映出的經(jīng)營管理中存在的突出問題和重大風險�����,應(yīng)當啟動應(yīng)急預(yù)案��。
第十條 企業(yè)應(yīng)當建立內(nèi)部報告的評估制度�,對內(nèi)部報告的形成和使用進行全面評估,重點關(guān)注報告信息的準確性和溝通機制的有效性�。對于內(nèi)部報告中發(fā)現(xiàn)的問題,應(yīng)當及時采取改進措施��,充分發(fā)揮內(nèi)部報告在經(jīng)營管理中的重要作用�。
企業(yè)內(nèi)部控制應(yīng)用指引第xx號——信息系統(tǒng)(征求意見稿)
第一章 總 則
第一條 為了發(fā)揮信息系統(tǒng)在企業(yè)內(nèi)部控制中的作用,實現(xiàn)信息系統(tǒng)與內(nèi)部控制的有機結(jié)合,根據(jù)有關(guān)法律法規(guī)和《企業(yè)內(nèi)部控制基本規(guī)范》�����,制定本指引���。
第二條 本指引所稱信息系統(tǒng)�,是指企業(yè)利用計算機和通信技術(shù)��,對內(nèi)部控制進行集成�、轉(zhuǎn)化和提升,形成由人員��、硬件��、軟件��、信息�����、運行規(guī)程等組成的管理平臺����。
第三條 企業(yè)建立與實施內(nèi)部控制,應(yīng)當利用現(xiàn)代管理手段���,開發(fā)信息系統(tǒng)����,優(yōu)化管理流程�����,減少人為操縱因素�����,不斷提高內(nèi)部控制效能�����。
第四條 企業(yè)應(yīng)當加強信息系統(tǒng)建設(shè)的組織領(lǐng)導(dǎo)��,加大投入����,明確相關(guān)部門和單位的職責權(quán)限,建立有效的工作機制����。
企業(yè)應(yīng)當指定專門機構(gòu)對信息系統(tǒng)建設(shè)實施歸口管理�����,可以委托專業(yè)服務(wù)機構(gòu)從事信息系統(tǒng)的開發(fā)����、運行與維護等工作�。
企業(yè)負責人對信息系統(tǒng)建設(shè)負責。
第五條 企業(yè)利用信息系統(tǒng)實施內(nèi)部控制���,至少應(yīng)當關(guān)注下列風險:
?。ㄒ唬┤狈π畔⑾到y(tǒng)建設(shè)整體規(guī)劃或規(guī)劃不當�����,可能導(dǎo)致重復(fù)建設(shè)����,形成信息孤島����,影響企業(yè)發(fā)展目標的實現(xiàn)���。
(二)開發(fā)不合理或不符合內(nèi)部控制要求�,可能導(dǎo)致無法利用信息系統(tǒng)實施有效控制。
?��。ㄈ┦跈?quán)管理不當����,可能導(dǎo)致非法操作和舞弊���。
?���。ㄋ模┌踩S護措施不當�,可能導(dǎo)致信息泄漏或毀損,系統(tǒng)無法正常運行��。
第六條 企業(yè)應(yīng)當根據(jù)發(fā)展戰(zhàn)略���,結(jié)合組織架構(gòu)���、業(yè)務(wù)范圍�、地域分布��、技術(shù)能力等因素�����,制定信息系統(tǒng)建設(shè)整體規(guī)劃�����,進行統(tǒng)籌安排��,明確系統(tǒng)開發(fā)��、運行與維護中的主要風險點�,采取相應(yīng)措施,實施有效控制���。
第二章 信息系統(tǒng)的開發(fā)
第七條 企業(yè)信息系統(tǒng)歸口管理部門應(yīng)當根據(jù)信息系統(tǒng)建設(shè)整體規(guī)劃�����,提出信息系統(tǒng)項目建設(shè)方案,按規(guī)定的權(quán)限和程序?qū)徟髮嵤?/p>
第八條 企業(yè)開發(fā)信息系統(tǒng)�,應(yīng)當明確提出開發(fā)需求和關(guān)鍵控制點�����,采取多種方式與開發(fā)單位進行充分溝通����,為系統(tǒng)開發(fā)奠定良好基礎(chǔ)���。
企業(yè)應(yīng)當加強信息系統(tǒng)開發(fā)全過程的跟蹤管理����。
第九條 企業(yè)應(yīng)當組織專業(yè)機構(gòu)對開發(fā)完成的信息系統(tǒng)進行驗收測試��,驗收測試與系統(tǒng)開發(fā)應(yīng)當相互分離��,確保在功能����、性能、控制要求和安全性等方面滿足開發(fā)需求���。
驗收通過的信息系統(tǒng)���,應(yīng)當按照規(guī)定的權(quán)限和程序?qū)徟笊暇€實施�����。
第十條 企業(yè)應(yīng)當切實做好信息系統(tǒng)上線前的各項準備工作���,培訓(xùn)業(yè)務(wù)操作和系統(tǒng)管理人員,制定科學(xué)的上線計劃和新舊系統(tǒng)轉(zhuǎn)換方案����,考慮應(yīng)急預(yù)案,確保新舊系統(tǒng)順利切換和平穩(wěn)銜接�。
第三章 信息系統(tǒng)的運行與維護
第十一條 企業(yè)應(yīng)當加強信息系統(tǒng)運行與維護的管理,跟蹤和發(fā)現(xiàn)系統(tǒng)運行中存在的問題�����,不斷進行調(diào)整和完善��。
企業(yè)應(yīng)當建立系統(tǒng)數(shù)據(jù)定期備份制度���,明確備份范圍�、備份頻度�、備份方法、備份責任人、備份存放地點��、備份有效性檢查等內(nèi)容���。
第十二條 企業(yè)應(yīng)當根據(jù)業(yè)務(wù)性質(zhì)、重要性程度�、涉密情況等確定信息系統(tǒng)的安全等級,采用相應(yīng)的制度和技術(shù)手段���,確保信息系統(tǒng)安全��、穩(wěn)定�、高效運行����。
企業(yè)應(yīng)當建立信息系統(tǒng)安全保密和泄密責任追究制度。
第十三條 企業(yè)應(yīng)當綜合利用防火墻���、路由器等網(wǎng)絡(luò)設(shè)備�����,漏洞掃描�����、入侵檢測等軟件技術(shù)��,以及遠程訪問安全策略等手段加強網(wǎng)絡(luò)安全����,防范來自網(wǎng)絡(luò)的攻擊和非法侵入。
通過網(wǎng)絡(luò)傳輸?shù)纳婷芑蛘哧P(guān)鍵數(shù)據(jù)���,應(yīng)當采取加密傳輸?shù)却胧┐_保信息傳遞的保密性����、準確性和完整性��。
第十四條 企業(yè)應(yīng)當加強服務(wù)器等關(guān)鍵信息設(shè)備的管理���,建立良好的物理環(huán)境��,指定專人負責檢查��,及時處理異常情況�����,任何人未經(jīng)授權(quán)不得接觸關(guān)鍵信息設(shè)備�����。
第四章 評估與披露
第十五條 企業(yè)應(yīng)當建立利用信息系統(tǒng)實施內(nèi)部控制的評估制度�����,對信息系統(tǒng)開發(fā)�����、運行與維護的全過程進行評估���,發(fā)現(xiàn)異常情況,應(yīng)當及時報告�����。
第十六條 企業(yè)應(yīng)當披露利用信息系統(tǒng)實施內(nèi)部控制的情況及存在的主要問題����。
責任編輯:阿十
京公網(wǎng)安備 11010802044457號
新用戶掃碼下載
