（三）企业内部风险控制

中央企业全面风险管理指引

（2006年6月6日　国资发改革〔2006〕108号）

第一章　总　　则

第一条　为指导国务院国有资产监督管理委员会（以下简称国资委）履行出资人职责的企业（以下简称中央企业）开展全面风险管理工作，增强企业竞争力，提高投资回报，促进企业持续、健康、稳定发展，根据《中华人民共和国公司法》、《企业国有资产监督管理暂行条例》等法律法规，制定本指引。

第二条　中央企业根据自身实际情况贯彻执行本指引。中央企业中的国有独资公司董事会负责督导本指引的实施；国有控股企业由国资委和国资委提名的董事通过股东（大）会和董事会按照法定程序负责督导本指引的实施。

第三条　本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险（只有带来损失一种可能性）和机会风险（带来损失和盈利的可能性并存）。

第四条　本指引所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

第五条　本指引所称风险管理基本流程包括以下主要工作：

（一）收集风险管理初始信息；

（二）进行风险评估；

（三）制定风险管理策略；

（四）提出和实施风险管理解决方案；

（五）风险管理的监督与改进。

第六条　本指引所称内部控制系统，指围绕风险管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。

第七条　企业开展全面风险管理要努力实现以下风险管理总体目标：

（一）确保将风险控制在与总体目标相适应并可承受的范围内；

（二）确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；

（三）确保遵守有关法律法规；

（四）确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；

（五）确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。

第八条　企业开展全面风险管理工作，应注重防范和控制风险可能给企业造成损失和危害，也应把机会风险视为企业的特殊资源，通过对其管理，为企业创造价值，促进经营目标的实现。

第九条　企业应本着从实际出发，务求实效的原则，以对重大风险、重大事件（指重大风险发生后的事实）的管理和重要流程的内部控制为重点，积极开展全面风险管理工作。具备条件的企业应全面推进，尽快建立全面风险管理体系；其他企业应制定开展全面风险管理的总体规划，分步实施，可先选择发展战略、投资收购、财务报告、内部审计、衍生产品交易、法律事务、安全生产、应收账款管理等一项或多项业务开展风险管理工作，建立单项或多项内部控制子系统。通过积累经验，培养人才，逐步建立健全全面风险管理体系。

第十条　企业开展全面风险管理工作应与其他管理工作紧密结合，把风险管理的各项要求融入企业管理和业务流程中。具备条件的企业可建立风险管理三道防线，即各有关职能部门和业务单位为第一道防线；风险管理职能部门和董事会下设的风险管理委员会为第二道防线；内部审计部门和董事会下设的审计委员会为第三道防线。

第二章　风险管理初始信息

第十一条　实施全面风险管理，企业应广泛、持续不断地收集与该企业风险和风险管理相关的内部、外部初始信息，包括历史数据和未来预测。应把收集初始信息的职责分工落实到各有关职能部门和业务单位。

第十二条　在战略风险方面，企业应广泛收集国内外企业战略风险失控导致企业蒙受损失的案例，并至少收集与该企业相关的以下重要信息：

（一）国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策；

（二）科技进步、技术创新的有关内容；

（三）市场对该企业产品或服务的需求；

（四）与企业战略合作伙伴的关系，未来寻求战略合作伙伴的可能性；

（五）该企业主要客户、供应商及竞争对手的有关情况；

（六）与主要竞争对手相比，该企业实力与差距；

（七）本企业发展战略和规划、投融资计划、年度经营目标、经营战略，以及编制这些战略、规划、计划、目标的有关依据；

（八）该企业对外投融资流程中曾发生或易发生错误的业务流程或环节。

第十三条　在财务风险方面，企业应广泛收集国内外企业财务风险失控导致危机的案例，并至少收集该企业的以下重要信息（其中有行业平均指标或先进指标的，也应尽可能收集）：

（一）负债、或有负债、负债率、偿债能力；

（二）现金流、应收账款及其占销售收入的比重、资金周转率；

（三）产品存货及其占销售成本的比重、应付账款及其占购货额的比重；

（四）制造成本和管理费用、财务费用、营业费用；

（五）盈利能力；

（六）成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节；

（七）与该企业相关的行业会计政策、会计估算、与国际会计制度的差异与调节（如退休金、递延税项等）等信息。

第十四条　在市场风险方面，企业应广泛收集国内外企业忽视市场风险、缺乏应对措施导致企业蒙受损失的案例，并至少收集与该企业相关的以下重要信息：（一）产品或服务的价格及供需变化；（二）能源、原材料、配件等物资供应的充足性、稳定性和价格变化；

（三）主要客户、主要供应商的信用情况；

（四）税收政策和利率、汇率、股票价格指数的变化；

（五）潜在竞争者、竞争者及其主要产品、替代品情况。

第十五条　在运营风险方面，企业应至少收集与该企业、本行业相关的以下信息：

（一）产品结构、新产品研发；

（二）新市场开发，市场营销策略，包括产品或服务定价与销售渠道，市场营销环境状况等；

（三）企业组织效能、管理现状、企业文化，高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验；

（四）期货等衍生产品业务中曾发生或易发生失误的流程和环节；

（五）质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节；

（六）因企业内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵；

（七）给企业造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险；

（八）对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力；

（九）企业风险管理的现状和能力。

第十六条　在法律风险方面，企业应广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例，并至少收集与该企业相关的以下信息：

（一）国内外与该企业相关的政治、法律环境；

（二）影响企业的新法律法规和政策；（三）员工道德操守的遵从性；

（四）该企业签订的重大协议和有关贸易合同；

（五）该企业发生重大法律纠纷案件的情况；

（六）企业和竞争对手的知识产权情况。

第十七条　企业对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合，以便进行风险评估。

第三章　风险评估

第十八条　企业应对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险评估。风险评估包括风险辨识、风险分析、风险评价三个步骤。

第十九条　风险评估应由企业组织有关职能部门和业务单位实施，也可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。

第二十条　风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。风险分析是对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。风险评价是评估风险对企业实现目标的影响程度、风险的价值等。

第二十一条　进行风险辨识、分析、评价，应将定性与定量方法相结合。定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。定量方法可采用统计推论（如集中趋势法）、计算机模拟（如蒙特卡罗分析法）、失效模式与影响分析、事件树分析等。

第二十二条　进行风险定量评估时，应统一制定各风险的度量单位和风险度量模型，并通过测试等方法，确保评估系统的假设前提、参数、数据来源和定量评估程序的合理性和准确性。要根据环境的变化，定期对假设前提和参数进行复核和修改，并将定量评估系统的估算结果与实际效果对比，据此对有关参数进行调整和改进。

第二十三条　风险分析应包括风险之间的关系分析，以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应，从风险策略上对风险进行统一集中管理。

第二十四条　企业在评估多项风险时，应根据对风险发生可能性的高低和对目标的影响程度的评估，绘制风险坐标图，对各项风险进行比较，初步确定对各项风险的管理优先顺序和策略。

第二十五条　企业应对风险管理信息实行动态管理，定期或不定期实施风险辨识、分析、评价，以便对新的风险和原有风险的变化重新评估。

第四章　风险管理策略

第二十六条　本指引所称风险管理策略，指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。

第二十七条　一般情况下，对战略、财务、运营和法律风险，可采取风险承担、风险规避、风险转换、风险控制等方法。对能够通过保险、期货、对冲等金融手段进行理财的风险，可以采用风险转移、风险对冲、风险补偿等方法。

第二十八条　企业应根据不同业务特点统一确定风险偏好和风险承受度，即企业愿意承担哪些风险，明确风险的最低限度和不能超过的最高限度，并据此确定风险的预警线及相应采取的对策。确定风险偏好和风险承受度，要正确认识和把握风险与收益的平衡，防止和纠正忽视风险，片面追求收益而不讲条件、范围，认为风险越大、收益越高的观念和做法；同时，也要防止单纯为规避风险而放弃发展机遇。

第二十九条　企业应根据风险与收益相平衡的原则以及各风险在风险坐标图上的位置，进一步确定风险管理的优选顺序，明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。

第三十条　企业应定期总结和分析已制定的风险管理策略的有效性和合理性，结合实际不断修订和完善。其中，应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效，并提出定性或定量的有效性标准。

第五章　风险管理解决方案

第三十一条　企业应根据风险管理策略，针对各类风险或每一项重大风险制定风险管理解决方案。方案一般应包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具（如：关键风险指标管理、损失事件管理等）。

第三十二条　企业制定风险管理解决的外包方案，应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等，并制定相应的预防和控制措施。

第三十三条　企业制定风险解决的内控方案，应满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。

第三十四条　企业制定内控措施，一般至少包括以下内容：

（一）建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等，任何组织和个人不得超越授权做出风险性决定；

（二）建立内控报告制度。明确规定报告人与接受报告人，报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等；

（三）建立内控批准制度。对内控所涉及的重要事项，明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任；

（四）建立内控责任制度。按照权利、义务和责任相统一的原则，明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度；

（五）建立内控审计检查制度。结合内控的有关要求、方法、标准与流程，明确规定审计检查的对象、内容、方式和负责审计检查的部门等；

（六）建立内控考核评价制度。具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩；

（七）建立重大风险预警制度。对重大风险进行持续不断的监测，及时发布预警信息，制定应急预案，并根据情况变化调整控制措施；

（八）建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设，形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。完善企业重大法律纠纷案件的备案管理制度；

（九）建立重要岗位权力制衡制度，明确规定不相容职责的分离。主要包括：授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责，相互制约；明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任；将该岗位作为内部审计的重点等。

第三十五条　企业应当按照各有关部门和业务单位的职责分工，认真组织实施风险管理解决方案，确保各项措施落实到位。

第六章　风险管理的监督与改进

第三十六条　企业应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。

第三十七条　企业应建立贯穿于整个风险管理基本流程，连接各上下级、各部门和业务单位的风险管理信息沟通渠道，确保信息沟通的及时、准确、完整，为风险管理监督与改进奠定基础。

第三十八条　企业各有关部门和业务单位应定期对风险管理工作进行自查和检验，及时发现缺陷并改进，其检查、检验报告应及时报送企业风险管理职能部门。

第三十九条　企业风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验，要根据本指引第三十条要求对风险管理策略进行评估，对跨部门和业务单位的风险管理解决方案进行评价，提出调整或改进建议，出具评价和建议报告，及时报送企业总经理或其委托分管风险管理工作的高级管理人员。

第四十条　企业内部审计部门应至少每年一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价，监督评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会。此项工作也可结合年度审计、任期审计或专项审计工作一并开展。

第四十一条　企业可聘请有资质、信誉好、风险管理专业能力强的中介机构对企业全面风险管理工作进行评价，出具风险管理评估和建议专项报告。报告一般应包括以下几方面的实施情况、存在缺陷和改进建议：

（一）风险管理基本流程与风险管理策略；

（二）企业重大风险、重大事件和重要管理及业务流程的风险管理及内部控制系统的建设；

（三）风险管理组织体系与信息系统；

（四）全面风险管理总体目标。

第七章　风险管理组织体系

第四十二条　企业应建立健全风险管理组织体系，主要包括规范的公司法人治理结构，风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。

第四十三条　企业应建立健全规范的公司法人治理结构，股东（大）会（对于国有独资公司或国有独资企业，即指国资委，下同）、董事会、监事会、经理层依法履行职责，形成高效运转、有效制衡的监督约束机制。

第四十四条　国有独资公司和国有控股公司应建立外部董事、独立董事制度，外部董事、独立董事人数应超过董事会全部成员的半数，以保证董事会能够在重大决策、重大风险管理等方面作出独立于经理层的判断和选择。

第四十五条　董事会就全面风险管理工作的有效性对股东（大）会负责。董事会在全面风险管理方面主要履行以下职责：

（一）审议并向股东（大）会提交企业全面风险管理年度工作报告；

（二）确定企业风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险管理解决方案；

（三）了解和掌握企业面临的各项重大风险及其风险管理现状，做出有效控制风险的决策；

（四）批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；

（五）批准重大决策的风险评估报告；

（六）批准内部审计部门提交的风险管理监督评价审计报告；

（七）批准风险管理组织机构设置及其职责方案；

（八）批准风险管理措施，纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为；

（九）督导企业风险管理文化的培育；

（十）全面风险管理其他重大事项。

第四十六条　具备条件的企业，董事会可下设风险管理委员会。该委员会的召集人应由不兼任总经理的董事长担任；董事长兼任总经理的，召集人应由外部董事或独立董事担任。该委员会成员中需有熟悉企业重要管理及业务流程的董事，以及具备风险管理监管知识或经验、具有一定法律知识的董事。

第四十七条　风险管理委员会对董事会负责，主要履行以下职责：

（一）提交全面风险管理年度报告；

（二）审议风险管理策略和重大风险管理解决方案；

（三）审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告；

（四）审议内部审计部门提交的风险管理监督评价审计综合报告；

（五）审议风险管理组织机构设置及其职责方案；

（六）办理董事会授权的有关全面风险管理的其他事项。

第四十八条　企业总经理对全面风险管理工作的有效性向董事会负责。总经理或总经理委托的高级管理人员，负责主持全面风险管理的日常工作，负责组织拟订企业风险管理组织机构设置及其职责方案。

第四十九条　企业应设立专职部门或确定相关职能部门履行全面风险管理的职责。该部门对总经理或其委托的高级管理人员负责，主要履行以下职责：

（一）研究提出全面风险管理工作报告；

（二）研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；

（三）研究提出跨职能部门的重大决策风险评估报告；

（四）研究提出风险管理策略和跨职能部门的重大风险管理解决方案，并负责该方案的组织实施和对该风险的日常监控；

（五）负责对全面风险管理有效性评估，研究提出全面风险管理的改进方案；

（六）负责组织建立风险管理信息系统；

（七）负责组织协调全面风险管理日常工作；

（八）负责指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管理工作；

（九）办理风险管理其他有关工作。

第五十条　企业应在董事会下设立审计委员会，企业内部审计部门对审计委员会负责。审计委员会和内部审计部门的职责应符合《中央企业内部审计管理暂行办法》（国资委令第8号）的有关规定。内部审计部门在风险管理方面，主要负责研究提出全面风险管理监督评价体系，制定监督评价相关制度，开展监督与评价，出具监督评价审计报告。

第五十一条　企业其他职能部门及各业务单位在全面风险管理工作中，应接受风险管理职能部门和内部审计部门的组织、协调、指导和监督，主要履行以下职责：

（一）执行风险管理基本流程；

（二）研究提出本职能部门或业务单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；

（三）研究提出本职能部门或业务单位的重大决策风险评估报告；

（四）做好本职能部门或业务单位建立风险管理信息系统的工作；

（五）做好培育风险管理文化的有关工作；

（六）建立健全本职能部门或业务单位的风险管理内部控制子系统；

（七）办理风险管理其他有关工作。

第五十二条　企业应通过法定程序，指导和监督其全资、控股子企业建立与企业相适应或符合全资、控股子企业自身特点、能有效发挥作用的风险管理组织体系。

第八章　风险管理信息系统

第五十三条　企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。

第五十四条　企业应采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未经批准，不得更改。

第五十五条　风险管理信息系统应能够进行对各种风险的计量和定量分析、定量测试；能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态；能够对超过风险预警上限的重大风险实施信息报警；能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。

第五十六条　风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。

第五十七条　企业应确保风险管理信息系统的稳定运行和安全，并根据实际需要不断进行改进、完善或更新。

第五十八条　已建立或基本建立企业管理信息系统的企业，应补充、调整、更新已有的管理流程和管理程序，建立完善的风险管理信息系统；尚未建立企业管理信息系统的，应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行。

第九章　风险管理文化

第五十九条　企业应注重建立具有风险意识的企业文化，促进企业风险管理水平、员工风险管理素质的提升，保障企业风险管理目标的实现。

第六十条　风险管理文化建设应融入企业文化建设全过程。大力培育和塑造良好的风险管理文化，树立正确的风险管理理念，增强员工风险管理意识，将风险管理意识转化为员工的共同认识和自觉行动，促进企业建立系统、规范、高效的风险管理机制。

第六十一条　企业应在内部各个层面营造风险管理文化氛围。董事会应高度重视风险管理文化的培育，总经理负责培育风险管理文化的日常工作。董事和高级管理人员应在培育风险管理文化中起表率作用。重要管理及业务流程和风险控制点的管理人员和业务操作人员应成为培育风险管理文化的骨干。

第六十二条　企业应大力加强员工法律素质教育，制定员工道德诚信准则，形成人人讲道德诚信、合法合规经营的风险管理文化。对于不遵守国家法律法规和企业规章制度、弄虚作假、徇私舞弊等违法及违反道德诚信准则的行为，企业应严肃查处。

第六十三条　企业全体员工尤其是各级管理人员和业务操作人员应通过多种形式，努力传播企业风险管理文化，牢固树立风险无处不在、风险无时不在、严格防控纯粹风险、审慎处置机会风险、岗位风险管理责任重大等意识和理念。

第六十四条　风险管理文化建设应与薪酬制度和人事制度相结合，有利于增强各级管理人员特别是高级管理人员风险意识，防止盲目扩张、片面追求业绩、忽视风险等行为的发生。

第六十五条　企业应建立重要管理及业务流程、风险控制点的管理人员和业务操作人员岗前风险管理培训制度。采取多种途径和形式，加强对风险管理理念、知识、流程、管控核心内容的培训，培养风险管理人才，培育风险管理文化。

第十章　附　　则

第六十六条　中央企业中未设立董事会的国有独资企业，由经理办公会议代行本指引中有关董事会的职责，总经理对本指引的贯彻执行负责。

第六十七条　本指引在中央企业投资、财务报告、衍生产品交易等方面的风险管理配套文件另行下发。

第六十八条　本指引的《附录》对本指引所涉及的有关技术方法和专业术语进行了说明。

第六十九条　本指引由国务院国有资产监督管理委员会负责解释。

第七十条　本指引自印发之日起施行。

财政部、证监会、审计署等关于印发《企业内部控制基本规范》的通知

（2008年5月22日财政部、证监会、审计署、银监会、保监会财会〔2008〕7号令发布　自2009年7月1日起施行）

中直管理局，铁道部、国管局，总后勤部、武警总部，各省、自治区、直辖市、计划单列市财政厅（局）、审计厅（局），新疆生产建设兵团财务局、审计局，中国证监会各省、自治区、直辖市、计划单列市监管局，中国证监会上海、深圳专员办，各保监局、保险公司，各银监局、政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、资产管理公司，各省级农村信用联社，银监会直接管理的信托公司、财务公司、租赁公司，有关中央管理企业：

为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》，现予印发，自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。

执行中有何问题，请及时反馈我们。

附件：企业内部控制基本规范

企业内部控制基本规范

第一章　总　　则

第一条　为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据《中华人民共和国公司法》、《中华人民共和国证券法》、《中华人民共和国会计法》和其他有关法律法规，制定本规范。

第二条　本规范适用于中华人民共和国境内设立的大中型企业。

小企业和其他单位可以参照本规范建立与实施内部控制。

大中型企业和小企业的划分标准根据国家有关规定执行。

第三条　本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

第四条　企业建立与实施内部控制，应当遵循下列原则：

（一）全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。

（二）重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。

（三）制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。

（四）适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。

（五）成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。

第五条　企业建立与实施有效的内部控制，应当包括下列要素：

（一）内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

（二）风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

（三）控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。

（四）信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。

（五）内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。

第六条　企业应当根据有关法律法规、本规范及其配套办法，制定本企业的内部控制制度并组织实施。

第七条　企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。

第八条　企业应当建立内部控制实施的激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系，促进内部控制的有效实施。

第九条　国务院有关部门可以根据法律法规、本规范及其配套办法，明确贯彻实施本规范的具体要求，对企业建立与实施内部控制的情况进行监督检查。

第十条　接受企业委托从事内部控制审计的会计师事务所，应当根据本规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。会计师事务所及其签字的从业人员应当对发表的内部控制审计意见负责。

为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内部控制审计服务。

第二章　内部环境

第十一条　企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。

股东（大）会享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。

董事会对股东（大）会负责，依法行使企业的经营决策权。

监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。

经理层负责组织实施股东（大）会、董事会决议事项，主持企业的生产经营管理工作。

第十二条　董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。

企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。

第十三条　企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。

审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。

第十四条　企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。

企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。

第十五条　企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。

内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。

第十六条　企业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容：

（一）员工的聘用、培训、辞退与辞职。

（二）员工的薪酬、考核、晋升与奖惩。

（三）关键岗位员工的强制休假制度和定期岗位轮换制度。

（四）掌握国家秘密或重要商业秘密的员工离岗的限制性规定。

（五）有关人力资源管理的其他政策。

第十七条　企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。

第十八条　企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。

董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。

企业员工应当遵守员工行为守则，认真履行岗位职责。

第十九条　企业应当加强法制教育，增强董事、监事、经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督，建立健全法律顾问制度和重大法律纠纷案件备案制度。

第三章　风险评估

第二十条　企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。

第二十一条　企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。

风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。

第二十二条　企业识别内部风险，应当关注下列因素：

（一）董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。

（二）组织机构、经营方式、资产管理、业务流程等管理因素。

（三）研究开发、技术投入、信息技术运用等自主创新因素。

（四）财务状况、经营成果、现金流量等财务因素。

（五）营运安全、员工健康、环境保护等安全环保因素。

（六）其他有关内部风险因素。

第二十三条　企业识别外部风险，应当关注下列因素：

（一）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。

（二）法律法规、监管要求等法律因素。

（三）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。

（四）技术进步、工艺改进等科学技术因素。

（五）自然灾害、环境状况等自然环境因素。

（六）其他有关外部风险因素。

第二十四条　企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。

企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。

第二十五条　企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。

企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。

第二十六条　企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。

风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。

风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。

风险分担是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。

风险承受是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。

第二十七条　企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。

第四章　控制活动

第二十八条　企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。

控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

第二十九条　不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。

第三十条　授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。

企业应当编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。

企业各级管理人员应当在授权范围内行使职权和承担责任。

企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。

第三十一条　会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。

企业应当依法设置会计机构，配备会计从业人员。从事会计工作的人员，必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。

大中型企业应当设置总会计师。设置总会计师的企业，不得设置与其职权重叠的副职。

第三十二条　财产保护控制要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。

企业应当严格限制未经授权的人员接触和处置财产。

第三十三条　预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。

第三十四条　运营分析控制要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

第三十五条　绩效考评控制要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。

第三十六条　企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。

第三十七条　企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。

第五章　信息与沟通

第三十八条　企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。

第三十九条　企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。

企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息。

企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。

第四十条　企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。

重要信息应当及时传递给董事会、监事会和经理层。

第四十一条　企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。

企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。

第四十二条　企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。

企业至少应当将下列情形作为反舞弊工作的重点：

（一）未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益。

（二）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。

（三）董事、监事、经理及其他高级管理人员滥用职权。

（四）相关机构或人员串通舞弊。

第四十三条　企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。

举报投诉制度和举报人保护制度应当及时传达至全体员工。

第六章　内部监督

第四十四条　企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。

内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查；专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。

专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。

第四十五条　企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。

内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。

第四十六条　企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。

内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。

国家有关法律法规另有规定的，从其规定。

第四十七条　企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。

第七章　附　　则

第四十八条　本规范由财政部会同国务院其他有关部门解释。

第四十九条　本规范的配套办法由财政部会同国务院其他有关部门另行制定。

第五十条　本规范自2009年7月1日起实施。

财政部、证监会、审计署等关于印发《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》企业内部控制配套指引的通知

（2010年4月15日　财会〔2010〕11号）

中直管理局，铁道部、国管局，总后勤部、武警总部，各省、自治区、直辖市、计划单列市财政厅（局）、审计厅（局），新疆生产建设兵团财务局、审计局，中国证监会各省、自治区、直辖市、计划单列市监管局，中国证监会上海、深圳专员办，各保监局、保险公司，各银监局、政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、资产管理公司，各省级农村信用联社，银监会直接管理的信托公司、财务公司、租赁公司，有关中央管理企业：

为了促进企业建立、实施和评价内部控制，规范会计师事务所内部控制审计行为，根据国家有关法律法规和《企业内部控制基本规范》（财会〔2008〕7号），财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》（以下简称企业内部控制配套指引），现予印发，自2011年1月1日起在境内外同时上市的公司施行，自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行；在此基础上，择机在中小板和创业板上市公司施行。鼓励非上市大中型企业提前执行。请各上市公司及相关非上市大中型企业切实做好执行前的各项准备工作。

执行《企业内部控制基本规范》及企业内部控制配套指引的上市公司和非上市大中型企业，应当对内部控制的有效性进行自我评价，披露年度自我评价报告，同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。上市公司聘请的会计师事务所应当具有证券、期货业务资格；非上市大中型企业聘请的会计师事务所也可以是不具有证券、期货业务资格的大中型会计师事务所。

执行中有何问题，请及时反馈我们。

附件：1.企业内部控制应用指引

2.企业内部控制评价指引

3.企业内部控制审计指引

附件1：企业内部控制应用指引

企业内部控制应用指引第1号——组织架构

第一章　总　　则

第一条　为了促进企业实现发展战略，优化治理结构、管理体制和运行机制，建立现代企业制度，根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条　本指引所称组织架构，是指企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。

第三条　企业至少应当关注组织架构设计与运行中的下列风险：

（一）治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。

（二）内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下。

第二章　组织架构的设计

第四条　企业应当根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡。

董事会对股东（大）会负责，依法行使企业的经营决策权。可按照股东（大）会的有关决议，设立战略、审计、提名、薪酬与考核等专门委员会，明确各专门委员会的职责权限、任职资格、议事规则和工作程序，为董事会科学决策提供支持。

监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。

经理层对董事会负责，主持企业的生产经营管理工作。经理和其他高级管理人员的职责分工应当明确。

董事会、监事会和经理层的产生程序应当合法合规，其人员构成、知识结构、能力素质应当满足履行职责的要求。

第五条　企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度。任何个人不得单独进行决策或者擅自改变集体决策意见。

重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。

第六条　企业应当按照科学、精简、高效、透明、制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。

第七条　企业应当对各机构的职能进行科学合理的分解，确定具体岗位的名称、职责和工作要求等，明确各个岗位的权限和相互关系。

企业在确定职权和岗位分工过程中，应当体现不相容职务相互分离的要求。不相容职务通常包括：可行性研究与决策审批；决策审批与执行；执行与监督检查等。

第八条　企业应当制定组织结构图、业务流程图、岗（职）位说明书和权限指引等内部管理制度或相关文件，使员工了解和掌握组织架构设计及权责分配情况，正确履行职责。

第三章　组织架构的运行

第九条　企业应当根据组织架构的设计规范，对现有治理结构和内部机构设置进行全面梳理，确保本企业治理结构、内部机构设置和运行机制等符合现代企业制度要求。

企业梳理治理结构，应当重点关注董事、监事、经理及其他高级管理人员的任职资格和履职情况，以及董事会、监事会和经理层的运行效果。治理结构存在问题的，应当采取有效措施加以改进。

企业梳理内部机构设置，应当重点关注内部机构设置的合理性和运行的高效性等。内部机构设置和运行中存在职能交叉、缺失或运行效率低下的，应当及时解决。

第十条　企业拥有子公司的，应当建立科学的投资管控制度，通过合法有效的形式履行出资人职责、维护出资人权益，重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。

第十一条　企业应当定期对组织架构设计与运行的效率和效果进行全面评估，发现组织架构设计与运行中存在缺陷的，应当进行优化调整。

企业组织架构调整应当充分听取董事、监事、高级管理人员和其他员工的意见，按照规定的权限和程序进行决策审批。

企业内部控制应用指引第2号——发展战略

第一章　总　　则

第一条　为了促进企业增强核心竞争力和可持续发展能力，根据有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条　本指引所称发展战略，是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上，制定并实施的长远发展目标与战略规划。

第三条　企业制定与实施发展战略至少应当关注下列风险：

（一）缺乏明确的发展战略或发展战略实施不到位，可能导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力。

（二）发展战略过于激进，脱离企业实际能力或偏离主业，可能导致企业过度扩张，甚至经营失败。

（三）发展战略因主观原因频繁变动，可能导致资源浪费，甚至危及企业的生存和持续发展。

第二章　发展战略的制定

第四条　企业应当在充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标。

企业在制定发展目标过程中，应当综合考虑宏观经济政策、国内外市场需求变化、技术发展趋势、行业及竞争对手状况、可利用资源水平和自身优势与劣势等影响因素。

第五条　企业应当根据发展目标制定战略规划。战略规划应当明

确发展的阶段性和发展程度，确定每个发展阶段的具体目标、工作任务和实施路径。

第六条　企业应当在董事会下设立战略委员会，或指定相关机构负责发展战略管理工作，履行相应职责。

企业应当明确战略委员会的职责和议事规则，对战略委员会会议的召开程序、表决方式、提案审议、保密要求和会议记录等作出规定，确保议事过程规范透明、决策程序科学民主。

战略委员会应当组织有关部门对发展目标和战略规划进行可行性研究和科学论证，形成发展战略建议方案；必要时，可借助中介机构和外部专家的力量为其履行职责提供专业咨询意见。

战略委员会成员应当具有较强的综合素质和实践经验，其任职资格和选任程序应当符合有关法律法规和企业章程的规定。

第七条　董事会应当严格审议战略委员会提交的发展战略方案，重点关注其全局性、长期性和可行性。董事会在审议方案中如果发现重大问题，应当责成战略委员会对方案作出调整。

企业的发展战略方案经董事会审议通过后，报经股东（大）会批准实施。

第三章　发展战略的实施

第八条　企业应当根据发展战略，制定年度工作计划，编制全面预算，将年度目标分解、落实；同时完善发展战略管理制度，确保发展战略有效实施。

第九条　企业应当重视发展战略的宣传工作，通过内部各层级会议和教育培训等有效方式，将发展战略及其分解落实情况传递到内部各管理层级和全体员工。

第十条　战略委员会应当加强对发展战略实施情况的监控，定期收集和分析相关信息，对于明显偏离发展战略的情况，应当及时报告。

第十一条　由于经济形势、产业政策、技术进步、行业状况以及不可抗力等因素发生重大变化，确需对发展战略作出调整的，应当按照规定权限和程序调整发展战略。

企业内部控制应用指引第3号——人力资源

第一章　总　　则

第一条　为了促进企业加强人力资源建设，充分发挥人力资源对实现企业发展战略的重要作用，根据有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条　本指引所称人力资源，是指企业组织生产经营活动而录（任）用的各种人员，包括董事、监事、高级管理人员和全体员工。

第三条　企业人力资源管理至少应当关注下列风险：

（一）人力资源缺乏或过剩、结构不合理、开发机制不健全，可能导致企业发展战略难以实现。

（二）人力资源激励约束制度不合理、关键岗位人员管理不完善，可能导致人才流失、经营效率低下或关键技术、商业秘密和国家机密泄露。

（三）人力资源退出机制不当，可能导致法律诉讼或企业声誉受损。

第四条　企业应当重视人力资源建设，根据发展战略，结合人力资源现状和未来需求预测，建立人力资源发展目标，制定人力资源总体规划和能力框架体系，优化人力资源整体布局，明确人力资源的引进、开发、使用、培养、考核、激励、退出等管理要求，实现人力资源的合理配置，全面提升企业核心竞争力。

第二章　人力资源的引进与开发

第五条　企业应当根据人力资源总体规划，结合生产经营实际需要，制定年度人力资源需求计划，完善人力资源引进制度，规范工作流程，按照计划、制度和程序组织人力资源引进工作。

第六条　企业应当根据人力资源能力框架要求，明确各岗位的职责权限、任职条件和工作要求，遵循德才兼备、以德为先和公开、公平、公正的原则，通过公开招聘、竞争上岗等多种方式选聘优秀人才，重点关注选聘对象的价值取向和责任意识。

企业选拔高级管理人员和聘用中层及以下员工，应当切实做到因事设岗、以岗选人，避免因人设事或设岗，确保选聘人员能够胜任岗位职责要求。

企业选聘人员应当实行岗位回避制度。

第七条　企业确定选聘人员后，应当依法签订劳动合同，建立劳动用工关系。

企业对于在产品技术、市场、管理等方面掌握或涉及关键技术、知识产权、商业秘密或国家机密的工作岗位，应当与该岗位员工签订有关岗位保密协议，明确保密义务。

第八条　企业应当建立选聘人员试用期和岗前培训制度，对试用人员进行严格考察，促进选聘员工全面了解岗位职责，掌握岗位基本技能，适应工作要求。试用期满考核合格后，方可正式上岗；试用期满考核不合格者，应当及时解除劳动关系。

第九条　企业应当重视人力资源开发工作，建立员工培训长效机制，营造尊重知识、尊重人才和关心员工职业发展的文化氛围，加强后备人才队伍建设，促进全体员工的知识、技能持续更新，不断提升员工的服务效能。

第三章　人力资源的使用与退出

第十条　企业应当建立和完善人力资源的激励约束机制，设置科学的业绩考核指标体系，对各级管理人员和全体员工进行严格考核与评价，以此作为确定员工薪酬、职级调整和解除劳动合同等的重要依据，确保员工队伍处于持续优化状态。

第十一条　企业应当制定与业绩考核挂钩的薪酬制度，切实做到薪酬安排与员工贡献相协调，体现效率优先，兼顾公平。

第十二条　企业应当制定各级管理人员和关键岗位员工定期轮岗制度，明确轮岗范围、轮岗周期、轮岗方式等，形成相关岗位员工的有序持续流动，全面提升员工素质。

第十三条　企业应当按照有关法律法规规定，结合企业实际，建立健全员工退出（辞职、解除劳动合同、退休等）机制，明确退出的条件和程序，确保员工退出机制得到有效实施。

企业对考核不能胜任岗位要求的员工，应当及时暂停其工作，安排再培训，或调整工作岗位，安排转岗培训；仍不能满足岗位职责要求的，应当按照规定的权限和程序解除劳动合同。

企业应当与退出员工依法约定保守关键技术、商业秘密、国家机密和竞业限制的期限，确保知识产权、商业秘密和国家机密的安全。企业关键岗位人员离职前，应当根据有关法律法规的规定进行工作交接或离任审计。

第十四条　企业应当定期对年度人力资源计划执行情况进行评估，总结人力资源管理经验，分析存在的主要缺陷和不足，完善人力资源政策，促进企业整体团队充满生机和活力。

企业内部控制应用指引第4号——社会责任

第一章　总　则

第一条　为了促进企业履行社会责任，实现企业与社会的协调发展，根据国家有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条　本指引所称社会责任，是指企业在经营发展过程中应当履行的社会职责和义务，主要包括安全生产、产品质量（含服务，下同）、环境保护、资源节约、促进就业、员工权益保护等。

第三条　企业至少应当关注在履行社会责任方面的下列风险：

（一）安全生产措施不到位，责任不落实，可能导致企业发生安全事故。

（二）产品质量低劣，侵害消费者利益，可能导致企业巨额赔偿、形象受损，甚至破产。

（三）环境保护投入不足，资源耗费大，造成环境污染或资源枯竭，可能导致企业巨额赔偿、缺乏发展后劲，甚至停业。

（四）促进就业和员工权益保护不够，可能导致员工积极性受挫，影响企业发展和社会稳定。

第四条　企业应当重视履行社会责任，切实做到经济效益与社会效益、短期利益与长远利益、自身发展与社会发展相互协调，实现企业与员工、企业与社会、企业与环境的健康和谐发展。

第二章　安全生产

第五条　企业应当根据国家有关安全生产的规定，结合本企业实际情况，建立严格的安全生产管理体系、操作规范和应急预案，强化安全生产责任追究制度，切实做到安全生产。

企业应当设立安全管理部门和安全监督机构，负责企业安全生产的日常监督管理工作。

第六条　企业应当重视安全生产投入，在人力、物力、资金、技术等方面提供必要的保障，健全检查监督机制，确保各项安全措施落实到位，不得随意降低保障标准和要求。

第七条　企业应当贯彻预防为主的原则，采用多种形式增强员工安全意识，重视岗位培训，对于特殊岗位实行资格认证制度。

企业应当加强生产设备的经常性维护管理，及时排除安全隐患。

第八条　企业如果发生生产安全事故，应当按照安全生产管理制度妥善处理，排除故障，减轻损失，追究责任。

重大生产安全事故应当启动应急预案，同时按照国家有关规定及时报告，严禁迟报、谎报和瞒报。

第三章　产品质量

第九条　企业应当根据国家和行业相关产品质量的要求，从事生产经营活动，切实提高产品质量和服务水平，努力为社会提供优质安全健康的产品和服务，最大限度地满足消费者的需求，对社会和公众负责，接受社会监督，承担社会责任。

第十条　企业应当规范生产流程，建立严格的产品质量控制和检验制度，严把质量关，禁止缺乏质量保障、危害人民生命健康的产品流向社会。

第十一条　企业应当加强产品的售后服务。售后发现存在严重质量缺陷、隐患的产品，应当及时召回或采取其他有效措施，最大限度地降低或消除缺陷、隐患产品的社会危害。

企业应当妥善处理消费者提出的投诉和建议，切实保护消费者权益。

第四章　环境保护与资源节约

第十二条　企业应当按照国家有关环境保护与资源节约的规定，结合本企业实际情况，建立环境保护与资源节约制度，认真落实节能减排责任，积极开发和使用节能产品，发展循环经济，降低污染物排放，提高资源综合利用效率。

企业应当通过宣传教育等有效形式，不断提高员工的环境保护和资源节约意识。

第十三条　企业应当重视生态保护，加大对环保工作的人力、物力、财力的投入和技术支持，不断改进工艺流程，降低能耗和污染物排放水平，实现清洁生产。

企业应当加强对废气、废水、废渣的综合治理，建立废料回收和循环利用制度。

第十四条　企业应当重视资源节约和资源保护，着力开发利用可再生资源，防止对不可再生资源进行掠夺性或毁灭性开发。

企业应当重视国家产业结构相关政策，特别关注产业结构调整的发展要求，加快高新技术开发和传统产业改造，切实转变发展方式，实现低投入、低消耗、低排放和高效率。

第十五条　企业应当建立环境保护和资源节约的监控制度，定期开展监督检查，发现问题，及时采取措施予以纠正。污染物排放超过国家有关规定的，企业应当承担治理或相关法律责任。

发生紧急、重大环境污染事件时，应当启动应急机制，及时报告和处理，并依法追究相关责任人的责任。

第五章　促进就业与员工权益保护

第十六条　企业应当依法保护员工的合法权益，贯彻人力资源政策，保护员工依法享有劳动权利和履行劳动义务，保持工作岗位相对稳定，积极促进充分就业，切实履行社会责任。

企业应当避免在正常经营情况下批量辞退员工，增加社会负担。

第十七条　企业应当与员工签订并履行劳动合同，遵循按劳分配、同工同酬的原则，建立科学的员工薪酬制度和激励机制，不得克扣或无故拖欠员工薪酬。企业应当建立高级管理人员与员工薪酬的正常增长机制，切实保持合理水平，维护社会公平。

第十八条　企业应当及时办理员工社会保险，足额缴纳社会保险费，保障员工依法享受社会保险待遇。企业应当按照有关规定做好健康管理工作，预防、控制和消除职业危害；按期对员工进行非职业性健康监护，对从事有职业危害作业的员工进行职业性健康监护。

企业应当遵守法定的劳动时间和休息休假制度，确保员工的休息休假权利。

第十九条　企业应当加强职工代表大会和工会组织建设，维护员工合法权益，积极开展员工职业教育培训，创造平等发展机会。

企业应当尊重员工人格，维护员工尊严，杜绝性别、民族、宗教、年龄等各种歧视，保障员工身心健康。

第二十条　企业应当按照产学研用相结合的社会需求，积极创建实习基地，大力支持社会有关方面培养、锻炼社会需要的应用型人才。

第二十一条　企业应当积极履行社会公益方面的责任和义务，关心帮助社会弱势群体，支持慈善事业。

企业内部控制应用指引第5号——企业文化

第一章　总　　则

第一条　为了加强企业文化建设，发挥企业文化在企业发展中的重要作用，根据《企业内部控制基本规范》，制定本指引。

第二条　本指引所称企业文化，是指企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神，以及在此基础上形成的行为规范的总称。

第三条　加强企业文化建设至少应当关注下列风险：

（一）缺乏积极向上的企业文化，可能导致员工丧失对企业的信心和认同感，企业缺乏凝聚力和竞争力。

（二）缺乏开拓创新、团队协作和风险意识，可能导致企业发展目标难以实现，影响可持续发展。

（三）缺乏诚实守信的经营理念，可能导致舞弊事件的发生，造成企业损失，影响企业信誉。

（四）忽视企业间的文化差异和理念冲突，可能导致并购重组失败。

第二章　企业文化的建设

第四条　企业应当采取切实有效的措施，积极培育具有自身特色的企业文化，引导和规范员工行为，打造以主业为核心的企业品牌，形成整体团队的向心力，促进企业长远发展。

第五条　企业应当培育体现企业特色的发展愿景、积极向上的价值观、诚实守信的经营理念、履行社会责任和开拓创新的企业精神，以及团队协作和风险防范意识。

企业应当重视并购重组后的企业文化建设，平等对待被并购方的员工，促进并购双方的文化融合。

第六条　企业应当根据发展战略和实际情况，总结优良传统，挖掘文化底蕴，提炼核心价值，确定文化建设的目标和内容，形成企业文化规范，使其构成员工行为守则的重要组成部分。

第七条　董事、监事、经理和其他高级管理人员应当在企业文化建设中发挥主导和垂范作用，以自身的优秀品格和脚踏实地的工作作风，带动影响整个团队，共同营造积极向上的企业文化环境。

企业应当促进文化建设在内部各层级的有效沟通，加强企业文化的宣传贯彻，确保全体员工共同遵守。

第八条　企业文化建设应当融入生产经营全过程，切实做到文化建设与发展战略的有机结合，增强员工的责任感和使命感，规范员工行为方式，使员工自身价值在企业发展中得到充分体现。

企业应当加强对员工的文化教育和熏陶，全面提升员工的文化修养和内在素质。

第三章　企业文化的评估

第九条　企业应当建立企业文化评估制度，明确评估的内容、程序和方法，落实评估责任制，避免企业文化建设流于形式。

第十条　企业文化评估，应当重点关注董事、监事、经理和其他高级管理人员在企业文化建设中的责任履行情况、全体员工对企业核心价值观的认同感、企业经营管理行为与企业文化的一致性、企业品牌的社会影响力、参与企业并购重组各方文化的融合度，以及员工对企业未来发展的信心。

第十一条　企业应当重视企业文化的评估结果，巩固和发扬文化建设成果，针对评估过程中发现的问题，研究影响企业文化建设的不利因素，分析深层次的原因，及时采取措施加以改进。

企业内部控制应用指引第6号——资金活动

第一章　总　　则

第一条　为了促进企业正常组织资金活动，防范和控制资金风险，保证资金安全，提高资金使用效益，根据有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条　本指引所称资金活动，是指企业筹资、投资和资金营运等活动的总称。

第三条　企业资金活动至少应当关注下列风险：

（一）筹资决策不当，引发资本结构不合理或无效融资，可能导致企业筹资成本过高或债务危机。

（二）投资决策失误，引发盲目扩张或丧失发展机遇，可能导致资金链断裂或资金使用效益低下。

（三）资金调度不合理、营运不畅，可能导致企业陷入财务困境或资金冗余。

（四）资金活动管控不严，可能导致资金被挪用、侵占、抽逃或遭受欺诈。

第四条　企业应当根据自身发展战略，科学确定投融资目标和规划，完善严格的资金授权、批准、审验等相关管理制度，加强资金活动的集中归口管理，明确筹资、投资、营运等各环节的职责权限和岗位分离要求，定期或不定期检查和评价资金活动情况，落实责任追究制度，确保资金安全和有效运行。企业财会部门负责资金活动的日常管理，参与投融资方案等可行性研究。总会计师或分管会计工作的负责人应当参与投融资决策过程。

企业有子公司的，应当采取合法有效措施，强化对子公司资金业务的统一监控。有条件的企业集团，应当探索财务公司、资金结算中心等资金集中管控模式。

第二章　筹　　资

第五条　企业应当根据筹资目标和规划，结合年度全面预算，拟订筹资方案，明确筹资用途、规模、结构和方式等相关内容，对筹资成本和潜在风险作出充分估计。

境外筹资还应考虑所在地的政治、经济、法律、市场等因素。

第六条　企业应当对筹资方案进行科学论证，不得依据未经论证的方案开展筹资活动。重大筹资方案应当形成可行性研究报告，全面反映风险评估情况。企业可以根据实际需要，聘请具有相应资质的专业机构进行可行性研究。

第七条　企业应当对筹资方案进行严格审批，重点关注筹资用途的可行性和相应的偿债能力。重大筹资方案，应当按照规定的权限和程序实行集体决策或者联签制度。

筹资方案需经有关部门批准的，应当履行相应的报批程序。筹资方案发生重大变更的，应当重新进行可行性研究并履行相应审批程序。

第八条　企业应当根据批准的筹资方案，严格按照规定权限和程序筹集资金。银行借款或发行债券，应当重点关注利率风险、筹资成本、偿还能力以及流动性风险等；发行股票应当重点关注发行风险、市场风险、政策风险以及公司控制权风险等。

企业通过银行借款方式筹资的，应当与有关金融机构进行洽谈，明确借款规模、利率、期限、担保、还款安排、相关的权利义务和违约责任等内容。双方达成一致意见后签署借款合同，据此办理相关借款业务。

企业通过发行债券方式筹资的，应当合理选择债券种类，对还本付息方案作出系统安排，确保按期、足额偿还到期本金和利息。

企业通过发行股票方式筹资的，应当依照《中华人民共和国证券法》等有关法律法规和证券监管部门的规定，优化企业组织架构，进行业务整合，并选择具备相应资质的中介机构协助企业做好相关工作，确保符合股票发行条件和要求。

第九条　企业应当严格按照筹资方案确定的用途使用资金。筹资用于投资的，应当分别按照本指引第三章和《企业内部控制应用指引第11号——工程项目》规定，防范和控制资金使用的风险。

由于市场环境变化等确需改变资金用途的，应当履行相应的审批程序。严禁擅自改变资金用途。

第十条　企业应当加强债务偿还和股利支付环节的管理，对偿还本息和支付股利等作出适当安排。企业应当按照筹资方案或合同约定的本金、利率、期限、汇率及币种，准确计算应付利息，与债权人核对无误后按期支付。企业应当选择合理的股利分配政策，兼顾投资者近期和长远利益，避免分配过度或不足。股利分配方案应当经过股东（大）会批准，并按规定履行披露义务。

第十一条　企业应当加强筹资业务的会计系统控制，建立筹资业务的记录、凭证和账簿，按照国家统一会计准则制度，正确核算和监督资金筹集、本息偿还、股利支付等相关业务，妥善保管筹资合同或协议、收款凭证、入库凭证等资料，定期与资金提供方进行账务核对，确保筹资活动符合筹资方案的要求。

第三章　投　　资

第十二条　企业应当根据投资目标和规划，合理安排资金投放结构，科学确定投资项目，拟订投资方案，重点关注投资项目的收益和风险。企业选择投资项目应当突出主业，谨慎从事股票投资或衍生金融产品等高风险投资。

境外投资还应考虑政治、经济、法律、市场等因素的影响。企业采用并购方式进行投资的，应当严格控制并购风险，重点关注并购对象的隐性债务、承诺事项、可持续发展能力、员工状况及其与本企业治理层及管理层的关联关系，合理确定支付对价，确保实现并购目标。

第十三条　企业应当加强对投资方案的可行性研究，重点对投资目标、规模、方式、资金来源、风险与收益等作出客观评价。

企业根据实际需要，可以委托具备相应资质的专业机构进行可行性研究，提供独立的可行性研究报告。

第十四条　企业应当按照规定的权限和程序对投资项目进行决策审批，重点审查投资方案是否可行、投资项目是否符合国家产业政策及相关法律法规的规定，是否符合企业投资战略目标和规划、是否具有相应的资金能力、投入资金能否按时收回、预期收益能否实现，以及投资和并购风险是否可控等。重大投资项目，应当按照规定的权限和程序实行集体决策或者联签制度。

投资方案需经有关管理部门批准的，应当履行相应的报批程序。

投资方案发生重大变更的，应当重新进行可行性研究并履行相应审批程序。

第十五条　企业应当根据批准的投资方案，与被投资方签订投资合同或协议，明确出资时间、金额、方式、双方权利义务和违约责任等内容，按规定的权限和程序审批后履行投资合同或协议。

企业应当指定专门机构或人员对投资项目进行跟踪管理，及时收集被投资方经审计的财务报告等相关资料，定期组织投资效益分析，关注被投资方的财务状况、经营成果、现金流量以及投资合同履行情况，发现异常情况，应当及时报告并妥善处理。

第十六条　企业应当加强对投资项目的会计系统控制，根据对被投资方的影响程度，合理确定投资会计政策，建立投资管理台账，详细记录投资对象、金额、持股比例、期限、收益等事项，妥善保管投资合同或协议、出资证明等资料。

企业财会部门对于被投资方出现财务状况恶化、市价当期大幅下跌等情形的，应当根据国家统一的会计准则制度规定，合理计提减值准备、确认减值损失。

第十七条　企业应当加强投资收回和处置环节的控制，对投资收回、转让、核销等决策和审批程序作出明确规定。

企业应当重视投资到期本金的回收。转让投资应当由相关机构或人员合理确定转让价格，报授权批准部门批准，必要时可委托具有相应资质的专门机构进行评估。核销投资应当取得不能收回投资的法律文书和相关证明文件。

企业对于到期无法收回的投资，应当建立责任追究制度。

第四章　营　　运

第十八条　企业应当加强资金营运全过程的管理，统筹协调内部各机构在生产经营过程中的资金需求，切实做好资金在采购、生产、销售等各环节的综合平衡，全面提升资金营运效率。

第十九条　企业应当充分发挥全面预算管理在资金综合平衡中的作用，严格按照预算要求组织协调资金调度，确保资金及时收付，实现资金的合理占用和营运良性循环。

企业应当严禁资金的体外循环，切实防范资金营运中的风险。

第二十条　企业应当定期组织召开资金调度会或资金安全检查，对资金预算执行情况进行综合分析，发现异常情况，及时采取措施妥善处理，避免资金冗余或资金链断裂。

企业在营运过程中出现临时性资金短缺的，可以通过短期融资等方式获取资金。资金出现短期闲置的，在保证安全性和流动性的前提下，可以通过购买国债等多种方式，提高资金效益。

第二十一条　企业应当加强对营运资金的会计系统控制，严格规范资金的收支条件、程序和审批权限。

企业在生产经营及其他业务活动中取得的资金收入应当及时入账，不得账外设账，严禁收款不入账、设立“小金库”。

企业办理资金支付业务，应当明确支出款项的用途、金额、预算、限额、支付方式等内容，并附原始单据或相关证明，履行严格的授权审批程序后，方可安排资金支出。

企业办理资金收付业务，应当遵守现金和银行存款管理的有关规定，不得由一人办理货币资金全过程业务，严禁将办理资金支付业务的相关印章和票据集中一人保管。

企业内部控制应用指引第7号——采购业务

第一章　总　　则

第一条　为了促进企业合理采购，满足生产经营需要，规范采购行为，防范采购风险，根据有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条　本指引所称采购，是指购买物资（或接受劳务）及支付款项等相关活动。

第三条　企业采购业务至少应当关注下列风险：

（一）采购计划安排不合理，市场变化趋势预测不准确，造成库存短缺或积压，可能导致企业生产停滞或资源浪费。

（二）供应商选择不当，采购方式不合理，招投标或定价机制不科学，授权审批不规范，可能导致采购物资质次价高，出现舞弊或遭受欺诈。

（三）采购验收不规范，付款审核不严，可能导致采购物资、资金损失或信用受损。

第四条　企业应当结合实际情况，全面梳理采购业务流程，完善采购业务相关管理制度，统筹安排采购计划，明确请购、审批、购买、验收、付款、采购后评估等环节的职责和审批权限，按照规定的审批权限和程序办理采购业务，建立价格监督机制，定期检查和评价采购过程中的薄弱环节，采取有效控制措施，确保物资采购满足企业生产经营需要。

第二章　购　　买

第五条　企业的采购业务应当集中，避免多头采购或分散采购，以提高采购业务效率，降低采购成本，堵塞管理漏洞。企业应当对办理采购业务的人员定期进行岗位轮换。重要和技术性较强的采购业务，应当组织相关专家进行论证，实行集体决策和审批。

企业除小额零星物资或服务外，不得安排同一机构办理采购业务全过程。

第六条　企业应当建立采购申请制度，依据购买物资或接受劳务的类型，确定归口管理部门，授予相应的请购权，明确相关部门或人员的职责权限及相应的请购和审批程序。

企业可以根据实际需要设置专门的请购部门，对需求部门提出的采购需求进行审核，并进行归类汇总，统筹安排企业的采购计划。具有请购权的部门对于预算内采购项目，应当严格按照预算执行进度办理请购手续，并根据市场变化提出合理采购申请。对于超预算和预算外采购项目，应先履行预算调整程序，由具备相应审批权限的部门或人员审批后，再行办理请购手续。

第七条　企业应当建立科学的供应商评估和准入制度，确定合格供应商清单，与选定的供应商签订质量保证协议，建立供应商管理信息系统，对供应商提供物资或劳务的质量、价格、交货及时性、供货条件及其资信、经营状况等进行实时管理和综合评价，根据评价结果对供应商进行合理选择和调整。

企业可委托具有相应资质的中介机构对供应商进行资信调查。

第八条　企业应当根据市场情况和采购计划合理选择采购方式。

大宗采购应当采用招标方式，合理确定招投标的范围、标准、实施程序和评标规则；一般物资或劳务等的采购可以采用询价或定向采购的方式并签订合同协议；小额零星物资或劳务等的采购可以采用直接购买等方式。

第九条　企业应当建立采购物资定价机制，采取协议采购、招标采购、谈判采购、询比价采购等多种方式合理确定采购价格，最大限度地减小市场变化对企业采购价格的影响。

大宗采购等应当采用招投标方式确定采购价格，其他商品或劳务的采购，应当根据市场行情制定最高采购限价，并对最高采购限价适时调整。

第十条　企业应当根据确定的供应商、采购方式、采购价格等情况拟订采购合同，准确描述合同条款，明确双方权利、义务和违约责任，按照规定权限签订采购合同。

企业应当根据生产建设进度和采购物资特性，选择合理的运输工具和运输方式，办理运输、投保等事宜。

第十一条　企业应当建立严格的采购验收制度，确定检验方式，由专门的验收机构或验收人员对采购项目的品种、规格、数量、质量等相关内容进行验收，出具验收证明。涉及大宗和新、特物资采购的，还应进行专业测试。

验收过程中发现的异常情况，负责验收的机构或人员应当立即向企业有权管理的相关机构报告，相关机构应当查明原因并及时处理。

第十二条　企业应当加强物资采购供应过程的管理，依据采购合同中确定的主要条款跟踪合同履行情况，对有可能影响生产或工程进度的异常情况，应出具书面报告并及时提出解决方案。

企业应当做好采购业务各环节的记录，实行全过程的采购登记制度或信息化管理，确保采购过程的可追溯性。

第三章　付　　款

第十三条　企业应当加强采购付款的管理，完善付款流程，明确付款审核人的责任和权力，严格审核采购预算、合同、相关单据凭证、审批程序等相关内容，审核无误后按照合同规定及时办理付款。

企业在付款过程中，应当严格审查采购发票的真实性、合法性和有效性。发现虚假发票的，应查明原因，及时报告处理。

企业应当重视采购付款的过程控制和跟踪管理，发现异常情况的，应当拒绝付款，避免出现资金损失和信用受损。

企业应当合理选择付款方式，并严格遵循合同规定，防范付款方式不当带来的法律风险，保证资金安全。

第十四条　企业应当加强预付账款和定金的管理。涉及大额或长期的预付款项，应当定期进行追踪核查，综合分析预付账款的期限、占用款项的合理性、不可收回风险等情况，发现有疑问的预付款项，应当及时采取措施。

第十五条　企业应当加强对购买、验收、付款业务的会计系统控制，详细记录供应商情况、请购申请、采购合同、采购通知、验收证明、入库凭证、商业票据、款项支付等情况，确保会计记录、采购记录与仓储记录核对一致。企业应当指定专人通过函证等方式，定期与供应商核对应付账款、应付票据、预付账款等往来款项。

第十六条　企业应当建立退货管理制度，对退货条件、退货手续、货物出库、退货货款回收等作出明确规定，并在与供应商的合同中明确退货事宜，及时收回退货货款。涉及符合索赔条件的退货，应在索赔期内及时办理索赔。

企业内部控制应用指引第8号——资产管理

第一章　总　　则

第一条　为了提高资产使用效能，保证资产安全，根据有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条　本指引所称资产，是指企业拥有或控制的存货、固定资产和无形资产。

第三条　企业资产管理至少应当关注下列风险：

（一）存货积压或短缺，可能导致流动资金占用过量、存货价值贬损或生产中断。

（二）固定资产更新改造不够、使用效能低下、维护不当、产能过剩，可能导致企业缺乏竞争力、资产价值贬损、安全事故频发或资源浪费。

（三）无形资产缺乏核心技术、权属不清、技术落后、存在重大技术安全隐患，可能导致企业法律纠纷、缺乏可持续发展能力。

第四条　企业应当加强各项资产管理，全面梳理资产管理流程，及时发现资产管理中的薄弱环节，切实采取有效措施加以改进，并关注资产减值迹象，合理确认资产减值损失，不断提高企业资产管理水平。

企业应当重视和加强各项资产的投保工作，采用招标等方式确定保险人，降低资产损失风险，防范资产投保舞弊。

第二章　存　　货

第五条　企业应当采用先进的存货管理技术和方法，规范存货管理流程，明确存货取得、验收入库、原料加工、仓储保管、领用发出、盘点处置等环节的管理要求，充分利用信息系统，强化会计、出入库等相关记录，确保存货管理全过程的风险得到有效控制。

第六条　企业应当建立存货管理岗位责任制，明确内部相关部门和岗位的职责权限，切实做到不相容岗位相互分离、制约和监督。企业内部除存货管理、监督部门及仓储人员外，其他部门和人员接触存货，应当经过相关部门特别授权。

第七条　企业应当重视存货验收工作，规范存货验收程序和方法，对入库存货的数量、质量、技术规格等方面进行查验，验收无误方可入库。

外购存货的验收，应当重点关注合同、发票等原始单据与存货的数量、质量、规格等核对一致。涉及技术含量较高的货物，必要时可委托具有检验资质的机构或聘请外部专家协助验收。

自制存货的验收，应当重点关注产品质量，通过检验合格的半成品、产成品才能办理入库手续，不合格品应及时查明原因、落实责任、报告处理。

其他方式取得存货的验收，应当重点关注存货来源、质量状况、实际价值是否符合有关合同或协议的约定。

第八条　企业应当建立存货保管制度，定期对存货进行检查，重点关注下列事项：

（一）存货在不同仓库之间流动时应当办理出入库手续。

（二）应当按仓储物资所要求的储存条件贮存，并健全防火、防洪、防盗、防潮、防病虫害和防变质等管理规范。

（三）加强生产现场的材料、周转材料、半成品等物资的管理，防止浪费、被盗和流失。

（四）对代管、代销、暂存、受托加工的存货，应单独存放和记录，避免与本单位存货混淆。

（五）结合企业实际情况，加强存货的保险投保，保证存货安全，合理降低存货意外损失风险。

第九条　企业应当明确存货发出和领用的审批权限，大批存货、贵重商品或危险品的发出应当实行特别授权。仓储部门应当根据经审批的销售（出库）通知单发出货物。

第十条　企业仓储部门应当详细记录存货入库、出库及库存情况，做到存货记录与实际库存相符，并定期与财会部门、存货管理部门进行核对。

第十一条　企业应当根据各种存货采购间隔期和当前库存，综合考虑企业生产经营计划、市场供求等因素，充分利用信息系统，合理确定存货采购日期和数量，确保存货处于最佳库存状态。

第十二条　企业应当建立存货盘点清查制度，结合本企业实际情况确定盘点周期、盘点流程等相关内容，核查存货数量，及时发现存货减值迹象。企业至少应当于每年年度终了开展全面盘点清查，盘点清查结果应当形成书面报告。盘点清查中发现的存货盘盈、盘亏、毁损、闲置以及需要报废的存货，应当查明原因、落实并追究责任，按照规定权限批准后处置。

第三章　固定资产

第十三条　企业应当加强房屋建筑物、机器设备等各类固定资产的管理，重视固定资产维护和更新改造，不断提升固定资产的使用效能，积极促进固定资产处于良好运行状态。

第十四条　企业应当制定固定资产目录，对每项固定资产进行编号，按照单项资产建立固定资产卡片，详细记录各项固定资产的来源、验收、使用地点、责任单位和责任人、运转、维修、改造、折旧、盘点等相关内容。

企业应当严格执行固定资产日常维修和大修理计划，定期对固定资产进行维护保养，切实消除安全隐患。

企业应当强化对生产线等关键设备运转的监控，严格操作流程，实行岗前培训和岗位许可制度，确保设备安全运转。

第十五条　企业应当根据发展战略，充分利用国家有关自主创新政策，加大技改投入，不断促进固定资产技术升级，淘汰落后设备，切实做到保持本企业固定资产技术的先进性和企业发展的可持续性。

第十六条　企业应当严格执行固定资产投保政策，对应投保的固定资产项目按规定程序进行审批，及时办理投保手续。

第十七条　企业应当规范固定资产抵押管理，确定固定资产抵押程序和审批权限等。企业将固定资产用作抵押的，应由相关部门提出申请，经企业授权部门或人员批准后，由资产管理部门办理抵押手续。企业应当加强对接收的抵押资产的管理，编制专门的资产目录，合理评估抵押资产的价值。

第十八条　企业应当建立固定资产清查制度，至少每年进行全面清查。对固定资产清查中发现的问题，应当查明原因，追究责任，妥善处理。

企业应当加强固定资产处置的控制，关注固定资产处置中的关联交易和处置定价，防范资产流失。

第四章　无形资产

第十九条　企业应当加强对品牌、商标、专利、专有技术、土地使用权等无形资产的管理，分类制定无形资产管理办法，落实无形资产管理责任制，促进无形资产有效利用，充分发挥无形资产对提升企业核心竞争力的作用。

第二十条　企业应当全面梳理外购、自行开发以及其他方式取得的各类无形资产的权属关系，加强无形资产权益保护，防范侵权行为和法律风险。无形资产具有保密性质的，应当采取严格保密措施，严防泄露商业秘密。

企业购入或者以支付土地出让金等方式取得的土地使用权，应当取得土地使用权有效证明文件。

第二十一条　企业应当定期对专利、专有技术等无形资产的先进性进行评估，淘汰落后技术，加大研发投入，促进技术更新换代，不断提升自主创新能力，努力做到核心技术处于同行业领先水平。

第二十二条　企业应当重视品牌建设，加强商誉管理，通过提供高质量产品和优质服务等多种方式，不断打造和培育主业品牌，切实维护和提升企业品牌的社会认可度。

企业内部控制应用指引第9号——销售业务

第一章　总　　则

第一条　为了促进企业销售稳定增长，扩大市场份额，规范销售行为，防范销售风险，根据有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条　本指引所称销售，是指企业出售商品（或提供劳务）及收取款项等相关活动。

第三条　企业销售业务至少应当关注下列风险：

（一）销售政策和策略不当，市场预测不准确，销售渠道管理不当等，可能导致销售不畅、库存积压、经营难以为继。

（二）客户信用管理不到位，结算方式选择不当，账款回收不力等，可能导致销售款项不能收回或遭受欺诈。

（三）销售过程存在舞弊行为，可能导致企业利益受损。

第四条　企业应当结合实际情况，全面梳理销售业务流程，完善销售业务相关管理制度，确定适当的销售政策和策略，明确销售、发货、收款等环节的职责和审批权限，按照规定的权限和程序办理销售业务，定期检查分析销售过程中的薄弱环节，采取有效控制措施，确保实现销售目标。

第二章　销　　售

第五条　企业应当加强市场调查，合理确定定价机制和信用方式，根据市场变化及时调整销售策略，灵活运用销售折扣、销售折让、信用销售、代销和广告宣传等多种策略和营销方式，促进销售目标实现，不断提高市场占有率。企业应当健全客户信用档案，关注重要客户资信变动情况，采取有效措施，防范信用风险。

企业对于境外客户和新开发客户，应当建立严格的信用保证制度。

第六条　企业在销售合同订立前，应当与客户进行业务洽谈、磋商或谈判，关注客户信用状况、销售定价、结算方式等相关内容。重大的销售业务谈判应当吸收财会、法律等专业人员参加，并形成完整的书面记录。销售合同应当明确双方的权利和义务，审批人员应当对销售合同草案进行严格审核。重要的销售合同，应当征询法律顾问或专家的意见。

第七条　企业销售部门应当按照经批准的销售合同开具相关销售通知。发货和仓储部门应当对销售通知进行审核，严格按照所列项目组织发货，确保货物的安全发运。企业应当加强销售退回管理，分析销售退回原因，及时妥善处理。

企业应当严格按照发票管理规定开具销售发票。严禁开具虚假发票。

第八条　企业应当做好销售业务各环节的记录，填制相应的凭证，设置销售台账，实行全过程的销售登记制度。

第九条　企业应当完善客户服务制度，加强客户服务和跟踪，提升客户满意度和忠诚度，不断改进产品质量和服务水平。

第三章　收　　款

第十条　企业应当完善应收款项管理制度，严格考核，实行奖惩。销售部门负责应收款项的催收，催收记录（包括往来函电）应妥善保存；财会部门负责办理资金结算并监督款项回收。

第十一条　企业应当加强商业票据管理，明确商业票据的受理范围，严格审查商业票据的真实性和合法性，防止票据欺诈。

企业应当关注商业票据的取得、贴现和背书，对已贴现但仍承担收款风险的票据以及逾期票据，应当进行追索监控和跟踪管理。

第十二条　企业应当加强对销售、发货、收款业务的会计系统控制，详细记录销售客户、销售合同、销售通知、发运凭证、商业票据、款项收回等情况，确保会计记录、销售记录与仓储记录核对一致。

企业应当指定专人通过函证等方式，定期与客户核对应收账款、应收票据、预收账款等往来款项。

企业应当加强应收款项坏账的管理。应收款项全部或部分无法收回的，应当查明原因，明确责任，并严格履行审批程序，按照国家统一的会计准则制度进行处理。

企业内部控制应用指引第10号——研究与开发

第一章　总　　则

第一条　为了促进企业自主创新，增强核心竞争力，有效控制研发风险，实现发展战略，根据有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条　本指引所称研究与开发，是指企业为获取新产品、新技术、新工艺等所开展的各种研发活动。

第三条　企业开展研发活动至少应当关注下列风险：

（一）研究项目未经科学论证或论证不充分，可能导致创新不足或资源浪费。

（二）研发人员配备不合理或研发过程管理不善，可能导致研发成本过高、舞弊或研发失败。

（三）研究成果转化应用不足、保护措施不力，可能导致企业利益受损。

第四条　企业应当重视研发工作，根据发展战略，结合市场开拓和技术进步要求，科学制定研发计划，强化研发全过程管理，规范研发行为，促进研发成果的转化和有效利用，不断提升企业自主创新能力。

第二章　立项与研究

第五条　企业应当根据实际需要，结合研发计划，提出研究项目立项申请，开展可行性研究，编制可行性研究报告。

企业可以组织独立于申请及立项审批之外的专业机构和人员进行评估论证，出具评估意见。

第六条　研究项目应当按照规定的权限和程序进行审批，重大研究项目应当报经董事会或类似权力机构集体审议决策。审批过程中，应当重点关注研究项目促进企业发展的必要性、技术的先进性以及成果转化的可行性。

第七条　企业应当加强对研究过程的管理，合理配备专业人员，严格落实岗位责任制，确保研究过程高效、可控。

企业应当跟踪检查研究项目进展情况，评估各阶段研究成果，提供足够的经费支持，确保项目按期、保质完成，有效规避研究失败风险。

企业研究项目委托外单位承担的，应当采用招标、协议等适当方式确定受托单位，签订外包合同，约定研究成果的产权归属、研究进度和质量标准等相关内容。

第八条　企业与其他单位合作进行研究的，应当对合作单位进行尽职调查，签订书面合作研究合同，明确双方投资、分工、权利义务、研究成果产权归属等。

第九条　企业应当建立和完善研究成果验收制度，组织专业人员对研究成果进行独立评审和验收。

企业对于通过验收的研究成果，可以委托相关机构进行审查，确认是否申请专利或作为非专利技术、商业秘密等进行管理。企业对于需要申请专利的研究成果，应当及时办理有关专利申请手续。

第十条　企业应当建立严格的核心研究人员管理制度，明确界定核心研究人员范围和名册清单，签署符合国家有关法律法规要求的保密协议。

企业与核心研究人员签订劳动合同时，应当特别约定研究成果归属、离职条件、离职移交程序、离职后保密义务、离职后竞业限制年限及违约责任等内容。

第三章　开发与保护

第十一条　企业应当加强研究成果的开发，形成科研、生产、市场一体化的自主创新机制，促进研究成果转化。

研究成果的开发应当分步推进，通过试生产充分验证产品性能，在获得市场认可后方可进行批量生产。

第十二条　企业应当建立研究成果保护制度，加强对专利权、非专利技术、商业秘密及研发过程中形成的各类涉密图纸、程序、资料的管理，严格按照制度规定借阅和使用。禁止无关人员接触研究成果。

第十三条　企业应当建立研发活动评估制度，加强对立项与研究、开发与保护等过程的全面评估，认真总结研发管理经验，分析存在的薄弱环节，完善相关制度和办法，不断改进和提升研发活动的管理水平。

企业内部控制应用指引第11号——工程项目

第一章　总　　则

第一条　为了加强工程项目管理，提高工程质量，保证工程进度，控制工程成本，防范商业贿赂等舞弊行为，根据有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条　本指引所称工程项目，是指企业自行或者委托其他单位所进行的建造、安装工程。

第三条　企业工程项目至少应当关注下列风险：

（一）立项缺乏可行性研究或者可行性研究流于形式，决策不当，盲目上马，可能导致难以实现预期效益或项目失败。

（二）项目招标暗箱操作，存在商业贿赂，可能导致中标人实质上难以承担工程项目、中标价格失实及相关人员涉案。

（三）工程造价信息不对称，技术方案不落实，概预算脱离实际，可能导致项目投资失控。

（四）工程物资质次价高，工程监理不到位，项目资金不落实，可能导致工程质量低劣，进度延迟或中断。

（五）竣工验收不规范，最终把关不严，可能导致工程交付使用后存在重大隐患。

第四条　企业应当建立和完善工程项目各项管理制度，全面梳理各个环节可能存在的风险点，规范工程立项、招标、造价、建设、验收等环节的工作流程，明确相关部门和岗位的职责权限，做到可行性研究与决策、概预算编制与审核、项目实施与价款支付、竣工决算与审计等不相容职务相互分离，强化工程建设全过程的监控，确保工程项目的质量、进度和资金安全。

第二章　工程立项

第五条　企业应当指定专门机构归口管理工程项目，根据发展战略和年度投资计划，提出项目建议书，开展可行性研究，编制可行性研究报告。

项目建议书的主要内容包括：项目的必要性和依据、产品方案、拟建规模、建设地点、投资估算、资金筹措、项目进度安排、经济效果和社会效益的估计、环境影响的初步评价等。

可行性研究报告的内容主要包括：项目概况，项目建设的必要性，市场预测，项目建设选址及建设条件论证，建设规模和建设内容，项目外部配套建设，环境保护，劳动保护与卫生防疫，消防、节能、节水，总投资及资金来源，经济、社会效益，项目建设周期及进度安排，招投标法规定的相关内容等。

企业可以委托具有相应资质的专业机构开展可行性研究，并按照有关要求形成可行性研究报告。

第六条　企业应当组织规划、工程、技术、财会、法律等部门的专家对项目建议书和可行性研究报告进行充分论证和评审，出具评审意见，作为项目决策的重要依据。

在项目评审过程中，应当重点关注项目投资方案、投资规模、资金筹措、生产规模、投资效益、布局选址、技术、安全、设备、环境保护等方面，核实相关资料的来源和取得途径是否真实、可靠和完整。企业可以委托具有相应资质的专业机构对可行性研究报告进行评审，出具评审意见。从事项目可行性研究的专业机构不得再从事可行性研究报告的评审。

第七条　企业应当按照规定的权限和程序对工程项目进行决策，决策过程应有完整的书面记录。重大工程项目的立项，应当报经董事会或类似权力机构集体审议批准。总会计师或分管会计工作的负责人应当参与项目决策。

任何个人不得单独决策或者擅自改变集体决策意见。工程项目决策失误应当实行责任追究制度。

第八条　企业应当在工程项目立项后、正式施工前，依法取得建设用地、城市规划、环境保护、安全、施工等方面的许可。

第三章　工程招标

第九条　企业的工程项目一般应当采用公开招标的方式，择优选择具有相应资质的承包单位和监理单位。

在选择承包单位时，企业可以将工程的勘察、设计、施工、设备采购一并发包给一个项目总承包单位，也可以将其中的一项或者多项发包给一个工程总承包单位，但不得违背工程施工组织设计和招标设计计划，将应由一个承包单位完成的工程肢解为若干部分发包给几个承包单位。企业应当依照国家招投标法的规定，遵循公开、公正、平等竞争的原则，发布招标公告，提供载有招标工程的主要技术要求、主要合同条款、评标的标准和方法，以及开标、评标、定标的程序等内容的招标文件。

企业可以根据项目特点决定是否编制标底。需要编制标底的，标底编制过程和标底应当严格保密。

在确定中标人前，企业不得与投标人就投标价格、投标方案等实质性内容进行谈判。

第十条　企业应当依法组织工程招标的开标、评标和定标，并接受有关部门的监督。

第十一条　企业应当依法组建评标委员会。评标委员会由企业的代表和有关技术、经济方面的专家组成。评标委员会应当客观、公正地履行职务、遵守职业道德，对所提出的评审意见承担责任。

企业应当采取必要的措施，保证评标在严格保密的情况下进行。评标委员会应当按照招标文件确定的标准和方法，对投标文件进行评审和比较，择优选择中标候选人。

第十二条　评标委员会成员和参与评标的有关工作人员不得透露对投标文件的评审和比较、中标候选人的推荐情况以及与评标有关的其他情况，不得私下接触投标人，不得收受投标人的财物或者其他好处。

第十三条　企业应当按照规定的权限和程序从中标候选人中确定中标人，及时向中标人发出中标通知书，在规定的期限内与中标人订立书面合同，明确双方的权利、义务和违约责任。

企业和中标人不得再行订立背离合同实质性内容的其他协议。

第四章　工程造价

第十四条　企业应当加强工程造价管理，明确初步设计概算和施工图预算的编制方法，按照规定的权限和程序进行审核批准，确保概预算科学合理。

企业可以委托具备相应资质的中介机构开展工程造价咨询工作。

第十五条　企业应当向招标确定的设计单位提供详细的设计要求和基础资料，进行有效的技术、经济交流。

初步设计应当在技术、经济交流的基础上，采用先进的设计管理实务技术，进行多方案比选。

施工图设计深度及图纸交付进度应当符合项目要求，防止因设计深度不足、设计缺陷，造成施工组织、工期、工程质量、投资失控以及生产运行成本过高等问题。

第十六条　企业应当建立设计变更管理制度。设计单位应当提供全面、及时的现场服务。因过失造成设计变更的，应当实行责任追究制度。

第十七条　企业应当组织工程、技术、财会等部门的相关专业人员或委托具有相应资质的中介机构对编制的概预算进行审核，重点审查编制依据、项目内容、工程量的计算、定额套用等是否真实、完整和准确。工程项目概预算按照规定的权限和程序审核批准后执行。

第五章　工程建设

第十八条　企业应当加强对工程建设过程的监控，实行严格的概预算管理，切实做到及时备料，科学施工，保障资金，落实责任，确保工程项目达到设计要求。

第十九条　按照合同约定，企业自行采购工程物资的，应当按照《企业内部控制应用指引第7号——采购业务》等相关指引的规定，组织工程物资采购、验收和付款；由承包单位采购工程物资的，企业应当加强监督，确保工程物资采购符合设计标准和合同要求。严禁不合格工程物资投入工程项目建设。

重大设备和大宗材料的采购应当根据有关招标采购的规定执行。

第二十条　企业应当实行严格的工程监理制度，委托经过招标确定的监理单位进行监理。工程监理单位应当依照国家法律法规及相关技术标准、设计文件和工程承包合同，对承包单位在施工质量、工期、进度、安全和资金使用等方面实施监督。

工程监理人员应当具备良好的职业操守，客观公正地执行监理任务，发现工程施工不符合设计要求、施工技术标准和合同约定的，应当要求承包单位改正；发现工程设计不符合建筑工程质量标准或者合同约定的质量要求的，应当报告企业要求设计单位改正。

未经工程监理人员签字，工程物资不得在工程上使用或者安装，不得进行下一道工序施工，不得拨付工程价款，不得进行竣工验收。

第二十一条　企业财会部门应当加强与承包单位的沟通，准确掌握工程进度，根据合同约定，按照规定的审批权限和程序办理工程价款结算，不得无故拖欠。

第二十二条　企业应当严格控制工程变更，确需变更的，应当按照规定的权限和程序进行审批。

重大的项目变更应当按照项目决策和概预算控制的有关程序和要求重新履行审批手续。

因工程变更等原因造成价款支付方式及金额发生变动的，应当提供完整的书面文件和其他相关资料，并对工程变更价款的支付进行严格审核。

第六章　工程验收

第二十三条　企业收到承包单位的工程竣工报告后，应当及时编制竣工决算，开展竣工决算审计，组织设计、施工、监理等有关单位进行竣工验收。

第二十四条　企业应当组织审核竣工决算，重点审查决算依据是否完备，相关文件资料是否齐全，竣工清理是否完成，决算编制是否正确。

企业应当加强竣工决算审计，未实施竣工决算审计的工程项目，不得办理竣工验收手续。

第二十五条　企业应当及时组织工程项目竣工验收。交付竣工验收的工程项目，应当符合规定的质量标准，有完整的工程技术经济资料，并具备国家规定的其他竣工条件。

验收合格的工程项目，应当编制交付使用财产清单，及时办理交付使用手续。

第二十六条　企业应当按照国家有关档案管理的规定，及时收集、整理工程建设各环节的文件资料，建立完整的工程项目档案。

第二十七条　企业应当建立完工项目后评估制度，重点评价工程项目预期目标的实现情况和项目投资效益等，并以此作为绩效考核和责任追究的依据。

企业内部控制应用指引第12号——担保业务

第一章　总　　则

第一条　为了加强企业担保业务管理，防范担保业务风险，根据《中华人民共和国担保法》等有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条　本指引所称担保，是指企业作为担保人按照公平、自愿、互利的原则与债权人约定，当债务人不履行债务时，依照法律规定和合同协议承担相应法律责任的行为。

第三条　企业办理担保业务至少应当关注下列风险：

（一）对担保申请人的资信状况调查不深，审批不严或越权审批，可能导致企业担保决策失误或遭受欺诈。

（二）对被担保人出现财务困难或经营陷入困境等状况监控不力，应对措施不当，可能导致企业承担法律责任。

（三）担保过程中存在舞弊行为，可能导致经办审批等相关人员涉案或企业利益受损。

第四条　企业应当依法制定和完善担保业务政策及相关管理制度，明确担保的对象、范围、方式、条件、程序、担保限额和禁止担保等事项，规范调查评估、审核批准、担保执行等环节的工作流程，按照政策、制度、流程办理担保业务，定期检查担保政策的执行情况及效果，切实防范担保业务风险。

第二章　调查评估与审批

第五条　企业应当指定相关部门负责办理担保业务，对担保申请人进行资信调查和风险评估，评估结果应出具书面报告。企业也可委托中介机构对担保业务进行资信调查和风险评估工作。

企业在对担保申请人进行资信调查和风险评估时，应当重点关注以下事项：

（一）担保业务是否符合国家法律法规和本企业担保政策等相关要求。

（二）担保申请人的资信状况，一般包括：基本情况、资产质量、经营情况、偿债能力、盈利水平、信用程度、行业前景等。

（三）担保申请人用于担保和第三方担保的资产状况及其权利归属。

（四）企业要求担保申请人提供反担保的，还应当对与反担保有关的资产状况进行评估。

第六条　企业对担保申请人出现以下情形之一的，不得提供担保：

（一）担保项目不符合国家法律法规和本企业担保政策的。

（二）已进入重组、托管、兼并或破产清算程序的。

（三）财务状况恶化、资不抵债、管理混乱、经营风险较大的。

（四）与其他企业存在较大经济纠纷，面临法律诉讼且可能承担较大赔偿责任的。

（五）与本企业已经发生过担保纠纷且仍未妥善解决的，或不能及时足额交纳担保费用的。

第七条　企业应当建立担保授权和审批制度，规定担保业务的授权批准方式、权限、程序、责任和相关控制措施，在授权范围内进行审批，不得超越权限审批。重大担保业务，应当报经董事会或类似权力机构批准。

经办人员应当在职责范围内，按照审批人员的批准意见办理担保业务。对于审批人超越权限审批的担保业务，经办人员应当拒绝办理。

第八条　企业应当采取合法有效的措施加强对子公司担保业务的统一监控。企业内设机构未经授权不得办理担保业务。企业为关联方提供担保的，与关联方存在经济利益或近亲属关系的有关人员在评估与审批环节应当回避。对境外企业进行担保的，应当遵守外汇管理规定，并关注被担保人所在国家的政治、经济、法律等因素。

第九条　被担保人要求变更担保事项的，企业应当重新履行调查评估与审批程序。

第三章　执行与监控

第十条　企业应当根据审核批准的担保业务订立担保合同。担保合同应明确被担保人的权利、义务、违约责任等相关内容，并要求被担保人定期提供财务报告与有关资料，及时通报担保事项的实施情况。

担保申请人同时向多方申请担保的，企业应当在担保合同中明确约定本企业的担保份额和相应的责任。

第十一条　企业担保经办部门应当加强担保合同的日常管理，定期监测被担保人的经营情况和财务状况，对被担保人进行跟踪和监督，了解担保项目的执行、资金的使用、贷款的归还、财务运行及风险等情况，确保担保合同有效履行。

担保合同履行过程中，如果被担保人出现异常情况，应当及时报告，妥善处理。

对于被担保人未按有法律效力的合同条款偿付债务或履行相关合同项下的义务的，企业应当按照担保合同履行义务，同时主张对被担保人的追索权。

第十二条　企业应当加强对担保业务的会计系统控制，及时足额收取担保费用，建立担保事项台账，详细记录担保对象、金额、期限、用于抵押和质押的物品或权利以及其他有关事项。

企业财会部门应当及时收集、分析被担保人担保期内经审计的财务报告等相关资料，持续关注被担保人的财务状况、经营成果、现金流量以及担保合同的履行情况，积极配合担保经办部门防范担保业务风险。

对于被担保人出现财务状况恶化、资不抵债、破产清算等情形的，企业应当根据国家统一的会计准则制度规定，合理确认预计负债和损失。

第十三条　企业应当加强对反担保财产的管理，妥善保管被担保人用于反担保的权利凭证，定期核实财产的存续状况和价值，发现问题及时处理，确保反担保财产安全完整。

第十四条　企业应当建立担保业务责任追究制度，对在担保中出现重大决策失误、未履行集体审批程序或不按规定管理担保业务的部门及人员，应当严格追究相应的责任。

第十五条　企业应当在担保合同到期时，全面清查用于担保的财产、权利凭证，按照合同约定及时终止担保关系。

企业应当妥善保管担保合同、与担保合同相关的主合同、反担保函或反担保合同，以及抵押、质押的权利凭证和有关原始资料，切实做到担保业务档案完整无缺。

企业内部控制应用指引第13号——业务外包

第一章　总　　则

第一条　为了加强业务外包管理，规范业务外包行为，防范业务外包风险，根据有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条　本指引所称业务外包，是指企业利用专业化分工优势，将日常经营中的部分业务委托给本企业以外的专业服务机构或其他经济组织（以下简称承包方）完成的经营行为。

本指引不涉及工程项目外包。

第三条　企业应当对外包业务实施分类管理，通常划分为重大外包业务和一般外包业务。重大外包业务是指对企业生产经营有重大影响的外包业务。

外包业务通常包括：研发、资信调查、可行性研究、委托加工、物业管理、客户服务、IT服务等。

第四条　企业的业务外包至少应当关注下列风险：

（一）外包范围和价格确定不合理，承包方选择不当，可能导致企业遭受损失。

（二）业务外包监控不严、服务质量低劣，可能导致企业难以发挥业务外包的优势。

（三）业务外包存在商业贿赂等舞弊行为，可能导致企业相关人员涉案。

第五条　企业应当建立和完善业务外包管理制度，规定业务外包的范围、方式、条件、程序和实施等相关内容，明确相关部门和岗位的职责权限，强化业务外包全过程的监控，防范外包风险，充分发挥业务外包的优势。

企业应当权衡利弊，避免核心业务外包。

第二章　承包方选择

第六条　企业应当根据年度生产经营计划和业务外包管理制度，结合确定的业务外包范围，拟定实施方案，按照规定的权限和程序审核批准。

总会计师或分管会计工作的负责人应当参与重大业务外包的决策。

重大业务外包方案应当提交董事会或类似权力机构审批。

第七条　企业应当按照批准的业务外包实施方案选择承包方。承包方至少应当具备下列条件：

（一）承包方是依法成立和合法经营的专业服务机构或其他经济组织，具有相应的经营范围和固定的办公场所。

（二）承包方应当具备相应的专业资质，其从业人员符合岗位要求和任职条件，并具有相应的专业技术资格。

（三）承包方的技术及经验水平符合本企业业务外包的要求。

第八条　企业应当综合考虑内外部因素，合理确定外包价格，严格控制业务外包成本，切实做到符合成本效益原则。

第九条　企业应当引入竞争机制，遵循公开、公平、公正的原则，采用适当方式，择优选择外包业务的承包方。采用招标方式选择承包方的，应当符合招投标法的相关规定。

企业及相关人员在选择承包方的过程中，不得收受贿赂、回扣或者索取其他好处。承包方及其工作人员不得利用向企业及其工作人员行贿、提供回扣或者给予其他好处等不正当手段承揽业务。

第十条　企业应当按照规定的权限和程序从候选承包方中确定最终承包方，并签订业务外包合同。业务外包合同内容主要包括：外包业务的内容和范围，双方权利和义务，服务和质量标准，保密事项，费用结算标准和违约责任等事项。

第十一条　企业外包业务需要保密的，应当在业务外包合同或者另行签订的保密协议中明确规定承包方的保密义务和责任，要求承包方向其从业人员提示保密要求和应承担的责任。

第三章　业务外包实施

第十二条　企业应当加强业务外包实施的管理，严格按照业务外包制度、工作流程和相关要求，组织开展业务外包，并采取有效的控制措施，确保承包方严格履行业务外包合同。

第十三条　企业应当做好与承包方的对接工作，加强与承包方的沟通与协调，及时搜集相关信息，发现和解决外包业务日常管理中存在的问题。

对于重大业务外包，企业应当密切关注承包方的履约能力，建立相应的应急机制，避免业务外包失败造成本企业生产经营活动中断。

第十四条　企业应当根据国家统一的会计准则制度，加强对外包业务的核算与监督，做好业务外包费用结算工作。

第十五条　企业应当对承包方的履约能力进行持续评估，有确凿证据表明承包方存在重大违约行为，导致业务外包合同无法履行的，应当及时终止合同。

承包方违约并造成企业损失的，企业应当按照合同对承包方进行索赔，并追究责任人责任。

第十六条　业务外包合同执行完成后需要验收的，企业应当组织相关部门或人员对完成的业务外包合同进行验收，出具验收证明。验收过程中发现异常情况，应当立即报告，查明原因，及时处理。

企业内部控制应用指引第14号——财务报告

第一章　总　　则

第一条　为了规范企业财务报告，保证财务报告的真实、完整，根据《中华人民共和国会计法》等有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条　本指引所称财务报告，是指反映企业某一特定日期财务状况和某一会计期间经营成果、现金流量的文件。

第三条　企业编制、对外提供和分析利用财务报告，至少应当关注下列风险：

（一）编制财务报告违反会计法律法规和国家统一的会计准则制度，可能导致企业承担法律责任和声誉受损。

（二）提供虚假财务报告，误导财务报告使用者，造成决策失误，干扰市场秩序。

（三）不能有效利用财务报告，难以及时发现企业经营管理中存在的问题，可能导致企业财务和经营风险失控。

第四条　企业应当严格执行会计法律法规和国家统一的会计准则制度，加强对财务报告编制、对外提供和分析利用全过程的管理，明确相关工作流程和要求，落实责任制，确保财务报告合法合规、真实完整和有效利用。

总会计师或分管会计工作的负责人负责组织领导财务报告的编制、对外提供和分析利用等相关工作。

企业负责人对财务报告的真实性、完整性负责。

第二章　财务报告的编制

第五条　企业编制财务报告，应当重点关注会计政策和会计估计，对财务报告产生重大影响的交易和事项的处理应当按照规定的权限和程序进行审批。

企业在编制年度财务报告前，应当进行必要的资产清查、减值测试和债权债务核实。

第六条　企业应当按照国家统一的会计准则制度规定，根据登记完整、核对无误的会计账簿记录和其他有关资料编制财务报告，做到内容完整、数字真实、计算准确，不得漏报或者随意进行取舍。

第七条　企业财务报告列示的资产、负债、所有者权益金额应当真实可靠。

各项资产计价方法不得随意变更，如有减值，应当合理计提减值准备，严禁虚增或虚减资产。

各项负债应当反映企业的现时义务，不得提前、推迟或不确认负债，严禁虚增或虚减负债。

所有者权益应当反映企业资产扣除负债后由所有者享有的剩余权益，由实收资本、资本公积、留存收益等构成。企业应当做好所有者权益保值增值工作，严禁虚假出资、抽逃出资、资本不实。

第八条　企业财务报告应当如实列示当期收入、费用和利润。各项收入的确认应当遵循规定的标准，不得虚列或者隐瞒收入，推迟或提前确认收入。

各项费用、成本的确认应当符合规定，不得随意改变费用、成本的确认标准或计量方法，虚列、多列、不列或者少列费用、成本。利润由收入减去费用后的净额、直接计入当期利润的利得和损失等构成。不得随意调整利润的计算、分配方法，编造虚假利润。

第九条　企业财务报告列示的各种现金流量由经营活动、投资活动和筹资活动的现金流量构成，应当按照规定划清各类交易和事项的现金流量的界限。

第十条　附注是财务报告的重要组成部分，对反映企业财务状况、经营成果、现金流量的报表中需要说明的事项，作出真实、完整、清晰的说明。

企业应当按照国家统一的会计准则制度编制附注。

第十一条　企业集团应当编制合并财务报表，明确合并财务报表的合并范围和合并方法，如实反映企业集团的财务状况、经营成果和现金流量。

第十二条　企业编制财务报告，应当充分利用信息技术，提高工作效率和工作质量，减少或避免编制差错和人为调整因素。

第三章　财务报告的对外提供

第十三条　企业应当依照法律法规和国家统一的会计准则制度的规定，及时对外提供财务报告。

第十四条　企业财务报告编制完成后，应当装订成册，加盖公章，由企业负责人、总会计师或分管会计工作的负责人、财会部门负责人签名并盖章。

第十五条　财务报告须经注册会计师审计的，注册会计师及其所在的事务所出具的审计报告，应当随同财务报告一并提供。

企业对外提供的财务报告应当及时整理归档，并按有关规定妥善保存。

第四章　财务报告的分析利用

第十六条　企业应当重视财务报告分析工作，定期召开财务分析会议，充分利用财务报告反映的综合信息，全面分析企业的经营管理状况和存在的问题，不断提高经营管理水平。

企业财务分析会议应吸收有关部门负责人参加。总会计师或分管会计工作的负责人应当在财务分析和利用工作中发挥主导作用。

第十七条　企业应当分析企业的资产分布、负债水平和所有者权益结构，通过资产负债率、流动比率、资产周转率等指标分析企业的偿债能力和营运能力；分析企业净资产的增减变化，了解和掌握企业规模和净资产的不断变化过程。

第十八条　企业应当分析各项收入、费用的构成及其增减变动情况，通过净资产收益率、每股收益等指标，分析企业的盈利能力和发展能力，了解和掌握当期利润增减变化的原因和未来发展趋势。

第十九条　企业应当分析经营活动、投资活动、筹资活动现金流量的运转情况，重点关注现金流量能否保证生产经营过程的正常运行，防止现金短缺或闲置。

第二十条　企业定期的财务分析应当形成分析报告，构成内部报告的组成部分。

财务分析报告结果应当及时传递给企业内部有关管理层级，充分发挥财务报告在企业生产经营管理中的重要作用。

企业内部控制应用指引第15号——全面预算

第一章　总　　则

第一条　为了促进企业实现发展战略，发挥全面预算管理作用，根据有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条　本指引所称全面预算，是指企业对一定期间经营活动、投资活动、财务活动等作出的预算安排。

第三条　企业实行全面预算管理，至少应当关注下列风险：

（一）不编制预算或预算不健全，可能导致企业经营缺乏约束或盲目经营。

（二）预算目标不合理、编制不科学，可能导致企业资源浪费或发展战略难以实现。

（三）预算缺乏刚性、执行不力、考核不严，可能导致预算管理流于形式。

第四条　企业应当加强全面预算工作的组织领导，明确预算管理体制以及各预算执行单位的职责权限、授权批准程序和工作协调机制。

企业应当设立预算管理委员会履行全面预算管理职责，其成员由企业负责人及内部相关部门负责人组成。

预算管理委员会主要负责拟定预算目标和预算政策，制定预算管理的具体措施和办法，组织编制、平衡预算草案，下达经批准的预算，协调解决预算编制和执行中的问题，考核预算执行情况，督促完成预算目标。预算管理委员会下设预算管理工作机构，由其履行日常管理职责。预算管理工作机构一般设在财会部门。总会计师或分管会计工作的负责人应当协助企业负责人负责企业全面预算管理工作的组织领导。

第二章　预算编制

第五条　企业应当建立和完善预算编制工作制度，明确编制依据、编制程序、编制方法等内容，确保预算编制依据合理、程序适当、方法科学，避免预算指标过高或过低。

企业应当在预算年度开始前完成全面预算草案的编制工作。

第六条　企业应当根据发展战略和年度生产经营计划，综合考虑预算期内经济政策、市场环境等因素，按照上下结合、分级编制、逐级汇总的程序，编制年度全面预算。

企业可以选择或综合运用固定预算、弹性预算、滚动预算等方法编制预算。

第七条　企业预算管理委员会应当对预算管理工作机构在综合平衡基础上提交的预算方案进行研究论证，从企业发展全局角度提出建议，形成全面预算草案，并提交董事会。

第八条　企业董事会审核全面预算草案，应当重点关注预算科学性和可行性，确保全面预算与企业发展战略、年度生产经营计划相协调。

企业全面预算应当按照相关法律法规及企业章程的规定报经审议批准。批准后，应当以文件形式下达执行。

第三章　预算执行

第九条　企业应当加强对预算执行的管理，明确预算指标分解方式、预算执行审批权限和要求、预算执行情况报告等，落实预算执行责任制，确保预算刚性，严格预算执行。

第十条　企业全面预算一经批准下达，各预算执行单位应当认真组织实施，将预算指标层层分解，从横向和纵向落实到内部各部门、各环节和各岗位，形成全方位的预算执行责任体系。

企业应当以年度预算作为组织、协调各项生产经营活动的基本依据，将年度预算细分为季度、月度预算，通过实施分期预算控制，实现年度预算目标。

第十一条　企业应当根据全面预算管理要求，组织各项生产经营活动和投融资活动，严格预算执行和控制。

企业应当加强资金收付业务的预算控制，及时组织资金收入，严格控制资金支付，调节资金收付平衡，防范支付风险。对于超预算或预算外的资金支付，应当实行严格的审批制度。

企业办理采购与付款、销售与收款、成本费用、工程项目、对外投融资、研究与开发、信息系统、人力资源、安全环保、资产购置与维护等业务和事项，均应符合预算要求。涉及生产过程和成本费用的，还应执行相关计划、定额、定率标准。

对于工程项目、对外投融资等重大预算项目，企业应当密切跟踪其实施进度和完成情况，实行严格监控。

第十二条　企业预算管理工作机构应当加强与各预算执行单位的沟通，运用财务信息和其他相关资料监控预算执行情况，采用恰当方式及时向决策机构和各预算执行单位报告、反馈预算执行进度、执行差异及其对预算目标的影响，促进企业全面预算目标的实现。

第十三条　企业预算管理工作机构和各预算执行单位应当建立预算执行情况分析制度，定期召开预算执行分析会议，通报预算执行情况，研究、解决预算执行中存在的问题，提出改进措施。

企业分析预算执行情况，应当充分收集有关财务、业务、市场、技术、政策、法律等方面的信息资料，根据不同情况分别采用比率分析、比较分析、因素分析等方法，从定量与定性两个层面充分反映预算执行单位的现状、发展趋势及其存在的潜力。

第十四条　企业批准下达的预算应当保持稳定，不得随意调整。由于市场环境、国家政策或不可抗力等客观因素，导致预算执行发生重大差异确需调整预算的，应当履行严格的审批程序。

第四章　预算考核

第十五条　企业应当建立严格的预算执行考核制度，对各预算执行单位和个人进行考核，切实做到有奖有惩、奖惩分明。

第十六条　企业预算管理委员会应当定期组织预算执行情况考核，将各预算执行单位负责人签字上报的预算执行报告和已掌握的动态监控信息进行核对，确认各执行单位预算完成情况。必要时，实行预算执行情况内部审计制度。

第十七条　企业预算执行情况考核工作，应当坚持公开、公平、公正的原则，考核过程及结果应有完整的记录。

企业内部控制应用指引第16号——合同管理

第一章　总　　则

第一条　为了促进企业加强合同管理，维护企业合法权益，根据《中华人民共和国合同法》等有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条　本指引所称合同，是指企业与自然人、法人及其他组织等平等主体之间设立、变更、终止民事权利义务关系的协议。

企业与职工签订的劳动合同，不适用本指引。

第三条　企业合同管理至少应当关注下列风险：

（一）未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈，可能导致企业合法权益受到侵害。

（二）合同未全面履行或监控不当，可能导致企业诉讼失败、经济利益受损。

（三）合同纠纷处理不当，可能损害企业利益、信誉和形象。

第四条　企业应当加强合同管理，确定合同归口管理部门，明确合同拟定、审批、执行等环节的程序和要求，定期检查和评价合同管理中的薄弱环节，采取相应控制措施，促进合同有效履行，切实维护企业的合法权益。

第二章　合同的订立

第五条　企业对外发生经济行为，除即时结清方式外，应当订立书面合同。合同订立前，应当充分了解合同对方的主体资格、信用状况等有关内容，确保对方当事人具备履约能力。

对于影响重大、涉及较高专业技术或法律关系复杂的合同，应当组织法律、技术、财会等专业人员参与谈判，必要时可聘请外部专家参与相关工作。

谈判过程中的重要事项和参与谈判人员的主要意见，应当予以记录并妥善保存。

第六条　企业应当根据协商、谈判等的结果，拟订合同文本，按照自愿、公平原则，明确双方的权利义务和违约责任，做到条款内容完整，表述严谨准确，相关手续齐备，避免出现重大疏漏。

合同文本一般由业务承办部门起草、法律部门审核。重大合同或法律关系复杂的特殊合同应当由法律部门参与起草。国家或行业有合同示范文本的，可以优先选用，但对涉及权利义务关系的条款应当进行认真审查，并根据实际情况进行适当修改。

合同文本须报经国家有关主管部门审查或备案的，应当履行相应程序。

第七条　企业应当对合同文本进行严格审核，重点关注合同的主体、内容和形式是否合法，合同内容是否符合企业的经济利益，对方当事人是否具有履约能力，合同权利和义务、违约责任和争议解决条款是否明确等。

企业对影响重大或法律关系复杂的合同文本，应当组织内部相关部门进行审核。相关部门提出不同意见的，应当认真分析研究，慎重对待，并准确无误地加以记录；必要时应对合同条款作出修改。内部相关部门应当认真履行职责。

第八条　企业应当按照规定的权限和程序与对方当事人签署合同。正式对外订立的合同，应当由企业法定代表人或由其授权的代理人签名或加盖有关印章。授权签署合同的，应当签署授权委托书。属于上级管理权限的合同，下级单位不得签署。下级单位认为确有需要签署涉及上级管理权限的合同，应当提出申请，并经上级合同管理机构批准后办理。上级单位应当加强对下级单位合同订立、履行情况的监督检查。

第九条　企业应当建立合同专用章保管制度。合同经编号、审批及企业法定代表人或由其授权的代理人签署后，方可加盖合同专用章。

第十条　企业应当加强合同信息安全保密工作，未经批准，不得以任何形式泄露合同订立与履行过程中涉及的商业秘密或国家机密。

第三章　合同的履行

第十一条　企业应当遵循诚实信用原则严格履行合同，对合同履行实施有效监控，强化对合同履行情况及效果的检查、分析和验收，确保合同全面有效履行。

合同生效后，企业就质量、价款、履行地点等内容与合同对方没有约定或者约定不明确的，可以协议补充；不能达成补充协议的，按照国家相关法律法规、合同有关条款或者交易习惯确定。

第十二条　在合同履行过程中发现有显失公平、条款有误或对方有欺诈行为等情形，或因政策调整、市场变化等客观因素，已经或可能导致企业利益受损，应当按规定程序及时报告，并经双方协商一致，按照规定权限和程序办理合同变更或解除事宜。

第十三条　企业应当加强合同纠纷管理，在履行合同过程中发生纠纷的，应当依据国家相关法律法规，在规定时效内与对方当事人协商并按规定权限和程序及时报告。

合同纠纷经协商一致的，双方应当签订书面协议。合同纠纷经协商无法解决的，应当根据合同约定选择仲裁或诉讼方式解决。

企业内部授权处理合同纠纷的，应当签署授权委托书。纠纷处理过程中，未经授权批准，相关经办人员不得向对方当事人作出实质性答复或承诺。

第十四条　企业财会部门应当根据合同条款审核后办理结算业务。未按合同条款履约的，或应签订书面合同而未签订的，财会部门有权拒绝付款，并及时向企业有关负责人报告。

第十五条　合同管理部门应当加强合同登记管理，充分利用信息化手段，定期对合同进行统计、分类和归档，详细登记合同的订立、履行和变更等情况，实行合同的全过程封闭管理。

第十六条　企业应当建立合同履行情况评估制度，至少于每年年末对合同履行的总体情况和重大合同履行的具体情况进行分析评估，对分析评估中发现合同履行中存在的不足，应当及时加以改进。

企业应当健全合同管理考核与责任追究制度。对合同订立、履行过程中出现的违法违规行为，应当追究有关机构或人员的责任。

企业内部控制应用指引第17号——内部信息传递

第一章　总　　则

第一条　为了促进企业生产经营管理信息在内部各管理层级之间的有效沟通和充分利用，根据《企业内部控制基本规范》，制定本指引。

第二条　本指引所称内部信息传递，是指企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。

第三条　企业内部信息传递至少应当关注下列风险：

（一）内部报告系统缺失、功能不健全、内容不完整，可能影响生产经营有序运行。

（二）内部信息传递不通畅、不及时，可能导致决策失误、相关政策措施难以落实。

（三）内部信息传递中泄露商业秘密，可能削弱企业核心竞争力。第四条企业应当加强内部报告管理，全面梳理内部信息传递过程中的薄弱环节，建立科学的内部信息传递机制，明确内部信息传递的内容、保密要求及密级分类、传递方式、传递范围以及各管理层级的职责权限等，促进内部报告的有效利用，充分发挥内部报告的作用。

第二章　内部报告的形成

第五条　企业应当根据发展战略、风险控制和业绩考核要求，科学规范不同级次内部报告的指标体系，采用经营快报等多种形式，全面反映与企业生产经营管理相关的各种内外部信息。

内部报告指标体系的设计应当与全面预算管理相结合，并随着环境和业务的变化不断进行修订和完善。设计内部报告指标体系时，应当关注企业成本费用预算的执行情况。

内部报告应当简洁明了、通俗易懂、传递及时，便于企业各管理层级和全体员工掌握相关信息，正确履行职责。

第六条　企业应当制定严密的内部报告流程，充分利用信息技术，强化内部报告信息集成和共享，将内部报告纳入企业统一信息平台，构建科学的内部报告网络体系。

企业内部各管理层级均应当指定专人负责内部报告工作，重要信息应及时上报，并可以直接报告高级管理人员。

企业应当建立内部报告审核制度，确保内部报告信息质量。

第七条　企业应当关注市场环境、政策变化等外部信息对企业生产经营管理的影响，广泛收集、分析、整理外部信息，并通过内部报告传递到企业内部相关管理层级，以便采取应对策略。

第八条　企业应当拓宽内部报告渠道，通过落实奖励措施等多种有效方式，广泛收集合理化建议。

企业应当重视和加强反舞弊机制建设，通过设立员工信箱、投诉热线等方式，鼓励员工及企业利益相关方举报和投诉企业内部的违法违规、舞弊和其他有损企业形象的行为。

第三章　内部报告的使用

第九条　企业各级管理人员应当充分利用内部报告管理和指导企业的生产经营活动，及时反映全面预算执行情况，协调企业内部相关部门和各单位的运营进度，严格绩效考核和责任追究，确保企业实现发展目标。

第十条　企业应当有效利用内部报告进行风险评估，准确识别和系统分析企业生产经营活动中的内外部风险，确定风险应对策略，实现对风险的有效控制。

企业对于内部报告反映出的问题应当及时解决；涉及突出问题和重大风险的，应当启动应急预案。

第十一条　企业应当制定严格的内部报告保密制度，明确保密内容、保密措施、密级程度和传递范围，防止泄露商业秘密。

第十二条　企业应当建立内部报告的评估制度，定期对内部报告的形成和使用进行全面评估，重点关注内部报告的及时性、安全性和有效性。

企业内部控制应用指引第18号——信息系统

第一章　总　　则

第一条　为了促进企业有效实施内部控制，提高企业现代化管理水平，减少人为因素，根据有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条　本指引所称信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。

第三条　企业利用信息系统实施内部控制至少应当关注下列风险：

（一）信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。

（二）系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。

（三）系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。

第四条　企业应当重视信息系统在内部控制中的作用，根据内部控制要求，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设整体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。

企业应当指定专门机构对信息系统建设实施归口管理，明确相关单位的职责权限，建立有效工作机制。企业可委托专业机构从事信息系统的开发、运行和维护工作。企业负责人对信息系统建设工作负责。

第二章　信息系统的开发

第五条　企业应当根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施。

企业信息系统归口管理部门应当组织内部各单位提出开发需求和关键控制点，规范开发流程，明确系统设计、编程、安装调试、验收、上线等全过程的管理要求，严格按照建设方案、开发流程和相关要求组织开发工作。

企业开发信息系统，可以采取自行开发、外购调试、业务外包等方式。选定外购调试或业务外包方式的，应当采用公开招标等形式择优确定供应商或开发单位。

第六条　企业开发信息系统，应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能。

企业在系统开发过程中，应当按照不同业务的控制要求，通过信息系统中的权限管理功能控制用户的操作权限，避免将不相容职责的处理权限授予同一用户。

企业应当针对不同数据的输入方式，考虑对进入系统数据的检查和校验功能。对于必需的后台操作，应当加强管理，建立规范的流程制度，对操作情况进行监控或者审计。企业应当在信息系统中设置操作日志功能，确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据，应当设计由系统自动报告并设置跟踪处理机制。

第七条　企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理，组织开发单位与内部各单位的日常沟通和协调，督促开发单位按照建设方案、计划进度和质量要求完成编程工作，对配备的硬件设备和系统软件进行检查验收，组织系统上线运行等。

第八条　企业应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试，确保在功能、性能、控制要求和安全性等方面符合开发需求。

第九条　企业应当切实做好信息系统上线的各项准备工作，培训业务操作和系统管理人员，制定科学的上线计划和新旧系统转换方案，考虑应急预案，确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的，还应制定详细的数据迁移计划。

第三章　信息系统的运行与维护

第十条　企业应当加强信息系统运行与维护的管理，制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。

企业应当建立信息系统变更管理流程，信息系统变更应当严格遵照管理流程进行操作。信息系统操作人员不得擅自进行系统软件的删除、修改等操作；不得擅自升级、改变系统软件版本；不得擅自改变软件系统环境配置。

第十一条　企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级，建立不同等级信息的授权使用制度，采用相应技术手段保证信息系统运行安全有序。

企业应当建立信息系统安全保密和泄密责任追究制度。委托专业机构进行系统运行与维护管理的，应当审查该机构的资质，并与其签订服务合同和保密协议。

企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。

第十二条　企业应当建立用户管理制度，加强对重要业务系统的访问权限管理，定期审阅系统账号，避免授权不当或存在非授权账号，禁止不相容职务用户账号的交叉操作。

第十三条　企业应当综合利用防火墙、路由器等网络设备，漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段，加强网络安全，防范来自网络的攻击和非法侵入。

企业对于通过网络传输的涉密或关键数据，应当采取加密措施，确保信息传递的保密性、准确性和完整性。

第十四条　企业应当建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。

第十五条　企业应当加强服务器等关键信息设备的管理，建立良好的物理环境，指定专人负责检查，及时处理异常情况。未经授权，任何人不得接触关键信息设备。

附件2：企业内部控制评价指引

第一章　总　　则

第一条　为了促进企业全面评价内部控制的设计与运行情况，规范内部控制评价程序和评价报告，揭示和防范风险，根据有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条　本指引所称内部控制评价，是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。

第三条　企业实施内部控制评价至少应当遵循下列原则：

（一）全面性原则。评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。

（二）重要性原则。评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。

（三）客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。

第四条　企业应当根据本评价指引，结合内部控制设计与运行的实际情况，制定具体的内部控制评价办法，规定评价的原则、内容、程序、方法和报告形式等，明确相关机构或岗位的职责权限，落实责任制，按照规定的办法、程序和要求，有序开展内部控制评价工作。

企业董事会应当对内部控制评价报告的真实性负责。

第二章　内部控制评价的内容

第五条　企业应当根据《企业内部控制基本规范》、应用指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。

第六条　企业组织开展内部环境评价，应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据，结合本企业的内部控制制度，对内部环境的设计及实际运行情况进行认定和评价。

第七条　企业组织开展风险评估机制评价，应当以《企业内部控制基本规范》有关风险评估的要求，以及各项应用指引中所列主要风险为依据，结合本企业的内部控制制度，对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。

第八条　企业组织开展控制活动评价，应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据，结合本企业的内部控制制度，对相关控制措施的设计和运行情况进行认定和评价。

第九条　企业组织开展信息与沟通评价，应当以内部信息传递、财务报告、信息系统等相关应用指引为依据，结合本企业的内部控制制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价。

第十条　企业组织开展内部监督评价，应当以《企业内部控制基本规范》有关内部监督的要求，以及各项应用指引中有关日常管控的规定为依据，结合本企业的内部控制制度，对内部监督机制的有效性进行认定和评价，重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。

第十一条　内部控制评价工作应当形成工作底稿，详细记录企业执行评价工作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿应当设计合理、证据充分、简便易行、便于操作。

第三章　内部控制评价的程序

第十二条　企业应当按照内部控制评价办法规定的程序，有序开展内部控制评价工作。

内部控制评价程序一般包括：制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。

企业可以授权内部审计部门或专门机构（下称“内部控制评价部门”）负责内部控制评价的具体组织实施工作。

第十三条　企业内部控制评价部门应当拟订评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经董事会或其授权机构审批后实施。

第十四条　企业内部控制评价部门应当根据经批准的评价方案，组成内部控制评价工作组，具体实施内部控制评价工作。评价工作组应当吸收企业内部相关机构熟悉情况的业务骨干参加。

评价工作组成员对本部门的内部控制评价工作应当实行回避制度。

企业可以委托中介机构实施内部控制评价。为企业提供内部控制审计服务的会计师事务所，不得同时为同一企业提供内部控制评价服务。

第十五条　内部控制评价工作组应当对被评价单位进行现场测试，综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。

第四章　内部控制缺陷的认定

第十六条　内部控制缺陷包括设计缺陷和运行缺陷。企业对内部控制缺陷的认定，应当以日常监督和专项监督为基础，结合年度内部控制评价，由内部控制评价部门进行综合分析后提出认定意见，按照规定的权限和程序进行审核后予以最终认定。

第十七条　企业在日常监督、专项监督和年度评价工作中，应当充分发挥内部控制评价工作组的作用。内部控制评价工作组应当根据现场测试获取的证据，对内部控制缺陷进行初步认定，并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。

重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。

重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。

一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。

重大缺陷、重要缺陷和一般缺陷的具体认定标准，由企业根据上述要求自行确定。

第十八条　企业内部控制评价工作组应当建立评价质量交叉复核制度，评价工作组负责人应当对评价工作底稿进行严格审核，并对所认定的评价结果签字确认后，提交企业内部控制评价部门。

第十九条　企业内部控制评价部门应当编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。

企业对于认定的重大缺陷，应当及时采取应对策略，切实将风险控制在可承受度之内，并追究有关部门或相关人员的责任。

第五章　内部控制评价报告

第二十条　企业应当根据《企业内部控制基本规范》、应用指引和本指引，设计内部控制评价报告的种类、格式和内容，明确内部控制评价报告编制程序和要求，按照规定的权限报经批准后对外报出。

第二十一条　内部控制评价报告应当分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计，对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。

第二十二条　内部控制评价报告至少应当披露下列内容：

（一）董事会对内部控制报告真实性的声明。

（二）内部控制评价工作的总体情况。

（三）内部控制评价的依据。

（四）内部控制评价的范围。

（五）内部控制评价的程序和方法。

（六）内部控制缺陷及其认定情况。

（七）内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。

（八）内部控制有效性的结论。

第二十三条　企业应当根据年度内部控制评价结果，结合内部控制评价工作底稿和内部控制缺陷汇总表等资料，按照规定的程序和要求，及时编制内部控制评价报告。

第二十四条　内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。

企业内部控制评价部门应当关注自内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素，并根据其性质和影响程度对评价结论进行相应调整。

第二十五条　企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送。

第二十六条　企业应当以12月31日作为年度内部控制评价报告的基准日。

内部控制评价报告应于基准日后4个月内报出。

第二十七条　企业应当建立内部控制评价工作档案管理制度。内部控制评价的有关文件资料、工作底稿和证明材料等应当妥善保管。

附件3：企业内部控制审计指引

第一章　总　　则

第一条　为了规范注册会计师执行企业内部控制审计业务，明确工作要求，保证执业质量，根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则，制定本指引。

第二条　本指引所称内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。

第三条　建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。按照本指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。

第四条　注册会计师执行内部控制审计工作，应当获取充分、适当的证据，为发表内部控制审计意见提供合理保证。

注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

第五条　注册会计师可以单独进行内部控制审计，也可以将内部控制审计与财务报表审计整合进行（以下简称整合审计）。

在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现下列目标：

（一）获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见；

（二）获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。

第二章　计划审计工作

第六条　注册会计师应当恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。

第七条　在计划审计工作时，注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响：

（一）与企业相关的风险；

（二）相关法律法规和行业概况；

（三）企业组织结构、经营特点和资本结构等相关重要事项；

（四）企业内部控制最近发生变化的程度；

（五）与企业沟通过的内部控制缺陷；

（六）重要性、风险等与确定内部控制重大缺陷相关的因素；

（七）对内部控制有效性的初步判断；

（八）可获取的、与内部控制有效性相关的证据的类型和范围。

第八条　注册会计师应当以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。

内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多。

第九条　注册会计师应当对企业内部控制自我评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度，相应减少可能本应由注册会计师执行的工作。

注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作，应当对其专业胜任能力和客观性进行充分评价。

与某项控制相关的风险越高，可利用程度就越低，注册会计师应当更多地对该项控制亲自进行测试。

注册会计师应当对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。

第三章　实施审计工作

第十条　注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行。

第十一条　注册会计师测试企业层面控制，应当把握重要性原则，至少应当关注：

（一）与内部环境相关的控制；

（二）针对董事会、经理层凌驾于控制之上的风险而设计的控制；

（三）企业的风险评估过程；

（四）对内部信息传递和财务报告流程的控制；

（五）对控制有效性的内部监督和自我评价。

第十二条　注册会计师测试业务层面控制，应当把握重要性原则，结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试。

注册会计师应当关注信息系统对内部控制及风险评估的影响。

第十三条　注册会计师在测试企业层面控制和业务层面控制时，应当评价内部控制是否足以应对舞弊风险。

第十四条　注册会计师应当测试内部控制设计与运行的有效性。

如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行，能够实现控制目标，表明该项控制的设计是有效的。

如果某项控制正在按照设计运行，执行人员拥有必要授权和专业胜任能力，能够实现控制目标，表明该项控制的运行是有效的。

第十五条　注册会计师应当根据与内部控制相关的风险，确定拟实施审计程序的性质、时间安排和范围，获取充分、适当的证据。与内部控制相关的风险越高，注册会计师需要获取的证据应越多。

第十六条　注册会计师在测试控制设计与运行的有效性时，应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。

询问本身并不足以提供充分、适当的证据。

第十七条　注册会计师在确定测试的时间安排时，应当在下列两个因素之间作出平衡，以获取充分、适当的证据：

（一）尽量在接近企业内部控制自我评价基准日实施测试；

（二）实施的测试需要涵盖足够长的期间。

第十八条　注册会计师对于内部控制运行偏离设计的情况（即控制偏差），应当确定该偏差对相关风险评估、需要获取的证据以及控制运行有效性结论的影响。

第十九条　在连续审计中，注册会计师在确定测试的性质、时间安排和范围时，应当考虑以前年度执行内部控制审计时了解的情况。

第四章　评价控制缺陷

第二十条　内部控制缺陷按其成因分为设计缺陷和运行缺陷，按其影响程度分为重大缺陷、重要缺陷和一般缺陷。

注册会计师应当评价其识别的各项内部控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷。

第二十一条　在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时，注册会计师应当评价补偿性控制（替代性控制）的影响。企业执行的补偿性控制应当具有同样的效果。

第二十二条　表明内部控制可能存在重大缺陷的迹象，主要包括：

（一）注册会计师发现董事、监事和高级管理人员舞弊；

（二）企业更正已经公布的财务报表；

（三）注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报；

（四）企业审计委员会和内部审计机构对内部控制的监督无效。

第五章　完成审计工作

第二十三条　注册会计师完成审计工作后，应当取得经企业签署的书面声明。书面声明应当包括下列内容：

（一）企业董事会认可其对建立健全和有效实施内部控制负责；

（二）企业已对内部控制的有效性作出自我评价，并说明评价时采用的标准以及得出的结论；

（三）企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础；

（四）企业已向注册会计师披露识别出的所有内部控制缺陷，并单独披露其中的重大缺陷和重要缺陷；

（五）企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷，是否已经采取措施予以解决；

（六）企业在内部控制自我评价基准日后，内部控制是否发生重大变化，或者存在对内部控制具有重要影响的其他因素。

第二十四条　企业如果拒绝提供或以其他不当理由回避书面声明，注册会计师应当将其视为审计范围受到限制，解除业务约定或出具无法表示意见的内部控制审计报告。

第二十五条　注册会计师应当与企业沟通审计过程中识别的所有控制缺陷。对于其中的重大缺陷和重要缺陷，应当以书面形式与董事会和经理层沟通。

注册会计师认为审计委员会和内部审计机构对内部控制的监督无效的，应当就此以书面形式直接与董事会和经理层沟通。

书面沟通应当在注册会计师出具内部控制审计报告之前进行。

第二十六条　注册会计师应当对获取的证据进行评价，形成对内部控制有效性的意见。

第六章　出具审计报告

第二十七条　注册会计师在完成内部控制审计工作后，应当出具内部控制审计报告。标准内部控制审计报告应当包括下列要素：

（一）标题；

（二）收件人；

（三）引言段；

（四）企业对内部控制的责任段；

（五）注册会计师的责任段；

（六）内部控制固有局限性的说明段；

（七）财务报告内部控制审计意见段；

（八）非财务报告内部控制重大缺陷描述段；

（九）注册会计师的签名和盖章；

（十）会计师事务所的名称、地址及盖章；

（十一）报告日期。

第二十八条　符合下列所有条件的，注册会计师应当对财务报告内部控制出具无保留意见的内部控制审计报告：

（一）企业按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》以及企业自身内部控制制度的要求，在所有重大方面保持了有效的内部控制；

（二）注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作，在审计过程中未受到限制。

第二十九条　注册会计师认为财务报告内部控制虽不存在重大缺陷，但仍有一项或者多项重大事项需要提请内部控制审计报告使用者注意的，应当在内部控制审计报告中增加强调事项段予以说明。

注册会计师应当在强调事项段中指明，该段内容仅用于提醒内部控制审计报告使用者关注，并不影响对财务报告内部控制发表的审计意见。

第三十条　注册会计师认为财务报告内部控制存在一项或多项重大缺陷的，除非审计范围受到限制，应当对财务报告内部控制发表否定意见。

注册会计师出具否定意见的内部控制审计报告，还应当包括下列内容：

（一）重大缺陷的定义；

（二）重大缺陷的性质及其对财务报告内部控制的影响程度。

第三十一条　注册会计师审计范围受到限制的，应当解除业务约定或出具无法表示意见的内部控制审计报告，并就审计范围受到限制的情况，以书面形式与董事会进行沟通。

注册会计师在出具无法表示意见的内部控制审计报告时，应当在内部控制审计报告中指明审计范围受到限制，无法对内部控制的有效性发表意见。

注册会计师在已执行的有限程序中发现财务报告内部控制存在重大缺陷的，应当在内部控制审计报告中对重大缺陷做出详细说明。

第三十二条　注册会计师对在审计过程中注意到的非财务报告内部控制缺陷，应当区别具体情况予以处理：

（一）注册会计师认为非财务报告内部控制缺陷为一般缺陷的，应当与企业进行沟通，提醒企业加以改进，但无需在内部控制审计报告中说明；

（二）注册会计师认为非财务报告内部控制缺陷为重要缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进，但无需在内部控制审计报告中说明；

（三）注册会计师认为非财务报告内部控制缺陷为重大缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进；同时应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险。

第三十三条　在企业内部控制自我评价基准日并不存在、但在该基准日之后至审计报告日之前（以下简称期后期间）内部控制可能发生变化，或出现其他可能对内部控制产生重要影响的因素。注册会计师应当询问是否存在这类变化或影响因素，并获取企业关于这些情况的书面声明。

注册会计师知悉对企业内部控制自我评价基准日内部控制有效性有重大负面影响的期后事项的，应当对财务报告内部控制发表否定意见。

注册会计师不能确定期后事项对内部控制有效性的影响程度的，应当出具无法表示意见的内部控制审计报告。

第七章　记录审计工作

第三十四条　注册会计师应当按照《中国注册会计师审计准则第1131号——审计工作底稿》的规定，编制内部控制审计工作底稿，完整记录审计工作情况。

第三十五条　注册会计师应当在审计工作底稿中记录下列内容：

（一）内部控制审计计划及重大修改情况；

（二）相关风险评估和选择拟测试的内部控制的主要过程及结果；

（三）测试内部控制设计与运行有效性的程序及结果；

（四）对识别的控制缺陷的评价；

（五）形成的审计结论和意见；

（六）其他重要事项。

附录：内部控制审计报告的参考格式

1.标准内部控制审计报告

内部控制审计报告

××股份有限公司全体股东：

按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了××股份有限公司（以下简称××公司）××年×月×日的财务报告内部控制的有效性。

一、企业对内部控制的责任

按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》的规定，建立健全和有效实施内部控制，并评价其有效性是企业董事会的责任。

二、注册会计师的责任

我们的责任是在实施审计工作的基础上，对财务报告内部控制的有效性发表审计意见，并对注意到的非财务报告内部控制的重大缺陷进行披露。

三、内部控制的固有局限性

内部控制具有固有局限性，存在不能防止和发现错报的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制审计结果推测未来内部控制的有效性具有一定风险。

四、财务报告内部控制审计意见

我们认为，××公司按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。

五、非财务报告内部控制的重大缺陷

在内部控制审计过程中，我们注意到××公司的非财务报告内部控制存在重大缺陷[描述该缺陷的性质及其对实现相关控制目标的影响程度]。由于存在上述重大缺陷，我们提醒本报告使用者注意相关风险。需要指出的是，我们并不对××公司的非财务报告内部控制发表意见或提供保证。本段内容不影响对财务报告内部控制有效性发表的审计意见。

××会计师事务所　　　中国注册会计师：

×××（签名并盖章）

（盖章）　　　中国注册会计师：

×××（签名并盖章）

中国××市　　　××年×月×日

2.带强调事项段的无保留意见内部控制审计报告

内部控制审计报告

××股份有限公司全体股东：

按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了××股份有限公司（以下简称××公司）××年×月×日的财务报告内部控制的有效性。

[“一、企业对内部控制的责任”至“五、非财务报告内部控制的重大缺陷”参见标准内部控制审计报告相关段落表述。]

六、强调事项

我们提醒内部控制审计报告使用者关注，（描述强调事项的性质及其对内部控制的重大影响）。本段内容不影响已对财务报告内部控制发表的审计意见。

××会计师事务所　　　中国注册会计师：

×××（签名并盖章）

（盖章）　　　中国注册会计师：

×××（签名并盖章）

中国××市　　　××年×月×日

3.否定意见内部控制审计报告

内部控制审计报告

××股份有限公司全体股东：

按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了××股份有限公司（以下简称××公司）××年×月×日的财务报告内部控制的有效性。[“一、企业对内部控制的责任”至“三、内部控制的固有局限性”参见标准内部控制审计报告相关段落表述。]

四、导致否定意见的事项

重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。

[指出注册会计师已识别出的重大缺陷，并说明重大缺陷的性质及其对财务报告内部控制的影响程度。]

有效的内部控制能够为财务报告及相关信息的真实完整提供合理保证，而上述重大缺陷使××公司内部控制失去这一功能。

五、财务报告内部控制审计意见

我们认为，由于存在上述重大缺陷及其对实现控制目标的影响，××公司未能按照《企业内部控制基本规范》和相关规定在所有重大方面保持有效的财务报告内部控制。

六、非财务报告内部控制的重大缺陷

[参见标准内部控制审计报告相关段落表述。]

××会计师事务所　　　中国注册会计师：

×××（签名并盖章）

（盖章）　　　中国注册会计师：

×××（签名并盖章）

中国××市　　　××年×月×日

4.无法表示意见内部控制审计报告

内部控制审计报告

××股份有限公司全体股东：

我们接受委托，对××股份有限公司（以下简称××公司）××年×月×日的财务报告内部控制进行审计。

[删除注册会计师的责任段，“一、企业对内部控制的责任”和“二、内部控制的固有局限性”参见标准内部控制审计报告相关段落表述。]

三、导致无法表示意见的事项

[描述审计范围受到限制的具体情况。]

四、财务报告内部控制审计意见

由于审计范围受到上述限制，我们未能实施必要的审计程序以获取发表意见所需的充分、适当证据，因此，我们无法对××公司财务报告内部控制的有效性发表意见。

五、识别的财务报告内部控制重大缺陷（如在审计范围受到限制前，执行有限程序未能识别出重大缺陷，则应删除本段）

重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。

尽管我们无法对××公司财务报告内部控制的有效性发表意见，但在我们实施的有限程序的过程中，发现了以下重大缺陷：

[指出注册会计师已识别出的重大缺陷，并说明重大缺陷的性质及其对财务报告内部控制的影响程度。]

有效的内部控制能够为财务报告及相关信息的真实完整提供合理保证，而上述重大缺陷使××公司内部控制失去这一功能。

六、非财务报告内部控制的重大缺陷

[参见标准内部控制审计报告相关段落表述。]

××会计师事务所　　　中国注册会计师：

×××（签名并盖章）

（盖章）　　　中国注册会计师：

×××（签名并盖章）

中国××市　　　××年×月×日

财政部关于印发企业内部控制规范体系实施中相关问题解释第1号的通知

（2012年2月23日　财会[2012]3号）

中共中央直属机关事务管理局，铁道部、国务院机关事务管理局，解放军总后勤部、武警部队后勤部，各省、自治区、直辖市、计划单列市财政厅（局），新疆生产建设兵团财务局，各中央管理企业、上市公司：

《企业内部控制基本规范》（财会[2008]7号）及其配套指引已于2011年1月1日起在境内外同时上市的公司和部分在境内主板上市的公司实施和试点。具体执行过程中，企业反映了一些问题，我部会同证监会、审计署、银监会、保监会对这些问题进行了研究，并征求了有关上市公司、咨询公司等单位的意见，在此基础上制定了《企业内部控制规范体系实施中相关问题解释第1号》。经会签证监会、审计署、银监会、保监会，现予印发。

附件：企业内部控制规范体系实施中相关问题解释第1号

根据财政部等五部委的要求，《企业内部控制基本规范》（财会[2008]7号）及其配套指引已于2011年1月1日起在境内外同时上市的69家公司实施。同时，财政部、证监会又选择了200多家在境内主板上市的公司进行试点。实施一年总体进展顺利，但也存在一定问题。为推动《企业内部控制基本规范》及其配套指引的顺利实施，现对有关问题解释如下：

1.如何把握企业内部控制规范体系的强制性与指导性的关系？

答：在实施试点中，一些企业反映，《企业内部控制基本规范》及其配套指引的规定是否需要逐条执行。

《企业内部控制基本规范》是内部控制建设与实施应该遵循的基本原则和总体要求，具有强制性，纳入实施范围的企业应当遵照执行。《企业内部控制配套指引》（财会[2010]11号，包括18个应用指引、1个评价指引和1个审计指引）是对《企业内部控制基本规范》相关规定的进一步补充和说明，具有指导性和示范性，纳入实施范围的企业可以结合所在行业要求和企业自身特点，参照配套指引的规定开展内部控制建设与实施工作。

2.已经完全按照境外监管机构要求建设与实施内部控制的境内外同时上市的公司，是否需要执行我国的企业内部控制规范体系？

答：目前，许多国家和地区对公众公司内部控制都有相关的规定和要求。我国企业内部控制规范体系在充分借鉴国际上先进经验和做法的同时，更多地适应了我国国情，尤其是充分考虑了我国目前法律法规体系、公司治理结构、企业管理体制、风险管控实务等具体情况，提出了内部控制的目标、原则、要素等，且不局限于财务报告内部控制，更多突出全面内部控制的要求。因此，境内外同时上市的公司应当在满足境外监管机构要求的基础上，对照我国企业内部控制规范体系，特别是应当围绕《企业内部控制基本规范》提出的内部控制五目标，对相关控制措施进行适当调整或补充完善。

3.企业按照企业内部控制规范体系建设与实施内部控制，是否还需要遵守我国行业主管部门和市场监管部门对内部控制的有关要求？

答：《企业内部控制基本规范》及其配套指引是对不同行业、各类企业提出的一般性要求，具有普适性。行业主管或监管部门对所辖企业的内部控制管理规定，是不同行业内部控制的特殊要求，也是《企业内部控制基本规范》的重要补充。企业应当按照《企业内部控制基本规范》及其配套指引规定和行业管理、市场监管的要求，建设与实施内部控制。

4.如何协调好内部控制与风险管理的关系？

答：《企业内部控制基本规范》及其配套指引，充分吸收了全面风险管理的理念和方法，强调了内部控制与风险管理的统一。内部控制的目标就是防范和控制风险，促进企业实现发展战略，风险管理的目标也是促进企业实现发展战略，二者都要求将风险控制在可承受范围之内。因此，内部控制与风险管理二者不是对立的，而是协调统一的整体。

在实际工作中，一些企业的内部控制和风险管理工作由不同机构负责。对此，企业可以对有关机构和业务进行整合，从工作内容、目标、要求以及具体工作执行的方法、程序等方面，将内部控制建设和风险管理工作有机结合起来，避免职能交叉、资源浪费、重复劳动，降低企业管理成本，提高工作效率和效果。

5.对于《企业内部控制配套指引》尚未规范的领域，应如何处理？

答：由于企业所面临的客观环境和自身的经营管理活动比较复杂，目前的《企业内部控制配套指引》仅对企业常见的、一般性生产经营过程的主要方面和环节进行了规范。在建设与实施内部控制的过程中，对于《企业内部控制配套指引》尚未规范的业务领域，企业应当遵循《企业内部控制基本规范》的原则和要求，按照内部控制建设与实施的基本原理和一般方法，从企业经营目标出发，识别和评估相关风险，梳理关键业务流程，根据风险评估的结果，制定和执行相应控制措施。

6.如何权衡内部控制的实施成本与预期效益？

答：企业按照《企业内部控制基本规范》及其配套指引的要求建设与实施内部控制，必然需要支付一定的成本，可能会发生内部控制制度和流程的设计与实施费用、聘请专业机构提供咨询服务费用、建立融入内部控制要求的信息系统费用、聘请会计师事务所开展内部控制审计费用，等等。建设与实施内部控制应当从提高企业长期效益出发，从促进企业可持续发展出发，将内部控制作为一项常规性工作，贯穿于企业管理之中，加大投入。同时，应当按照重要性原则，关注重要业务事项和高风险领域，抓住关键风险控制点。集团性企业可以采取分类试点、逐步推广的方式，选择下属不同类型的企业试点，形成范本，减少重复建设。

聘请会计师事务所开展内部控制审计是建设与实施内部控制的重要环节，是检验内部控制有效性的重要手段和有力保证。内部控制审计费用是企业实施内部控制规范体系应当承担的成本，企业应安排相应经费确保审计工作的及时、有效开展。内部控制审计是一项区别于财务报告审计的独立业务，企业应就该项业务与会计师事务所签订单独的业务约定书。同时，企业也应权衡审计成本与审计效益，在业务约定书中明确有关费用标准，并对会计师事务所审计资源的投入和审计质量提出明确要求。

7.如何协调好内部控制与其他管理体系的关系？

答：内部控制贯穿于整个企业管理，与其他管理体系相辅相成、密不可分，是企业管理的重要组成部分。企业现有管理体系的设计、运行以及审核认证需要遵循已经发布的国家标准或行业标准。这些标准与企业内部控制规范体系的原则和要求并不矛盾。在实际工作中，个别企业的内部控制体系建设与管理体系运行发生冲突，原因可能是企业采用的方式方法出现了偏差，如简单照搬内部控制应用指引的规定，没有考虑企业的实际情况，为控制而控制，导致控制设计不合理，出现控制过度或控制冗余；也可能是企业经营管理部门对内部控制的重要性认识不足，不愿意受到更多的牵制和监督，从而以影响经营效率和目标为借口，拒绝必要的内部控制；等等。对此，企业应当立足管理现状，全面梳理各项管理制度和管理体系，从管理体制、机制以及落实各级权利责任等方面，将内部控制的要求融入各项管理体系中，形成内部控制的长效机制，使内部控制真正为经营管理服务；应当从总体目标出发，通过培训教育提高企业经营管理人员对内部控制的理解和认识，将内部控制的要求纳入绩效考核体系以加强执行；可以利用信息技术固化业务流程，提高业务处理效率和信息共享水平，从而尽可能减少内部控制与其他经营管理体系的冲突。

8.企业如何确定内部控制缺陷的认定标准？

答：查找并纠正企业内部控制设计和运行中的缺陷，是开展企业内部控制评价的一项重要工作，是不断完善企业内部控制的重要手段。由于企业所处行业、经营规模、发展阶段、风险偏好等存在差异，《企业内部控制基本规范》及其配套指引没有对内部控制缺陷的认定标准进行统一规定。企业可以根据《企业内部控制基本规范》及其配套指引，结合企业规模、行业特征、风险水平等因素，研究确定适合本企业的内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。企业确定的内部控制缺陷标准应当从定性和定量的角度综合考虑，并保持相对稳定。通过不断的实践，总结经验，形成一套行之有效的内部控制缺陷认定方法。

企业在开展内部控制监督检查中，对发现的内部控制缺陷，应当及时分析缺陷性质和产生原因，并提出整改方案，采取适当形式向董事会、监事会或者管理层报告。对于重大缺陷，企业应当在内部控制评价报告中进行披露。

财政部将会同证监会、审计署、银监会、保监会等有关部门，根据首次执行和试点情况，分行业、分类型总结企业的内部控制缺陷认定标准，供参考。

9.实施《企业内部控制基本规范》及其配套指引的企业，是否需要设置专门的内部控制机构？

答：根据《企业内部控制基本规范》的规定，企业董事会负责内部控制的建立健全和有效实施。为便于董事会履行好企业内部控制规范体系的设计、建立、运行与改进方面的职责，董事会应当指定专门委员会负责指导内部控制建设与实施工作。一般情况下企业应当成立专门机构负责组织协调内部控制的建立实施及日常工作。

对于少数企业受制于岗位编制、专业人员等条件限制，目前尚不具备成立专门的内部控制管理机构的，可暂将内部控制管理职能划归现有机构。随着企业内部控制建设的持续深入和相关条件的不断成熟，企业应考虑成立专门机构，保证有足够的资源支持和协调内部控制工作的开展，确保内部控制工作的相对独立性。

10.如何编制和披露企业内部控制评价报告？

答：企业内部控制评价是企业董事会对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。开展内部控制评价，可以及时发现和纠正企业内部控制建设与实施中存在的问题，并持续自我完善。企业可以独立开展内部控制评价工作，也可以委托不承担本企业内部控制审计的中介机构协助开展内部控制评价工作。

根据《企业内部控制基本规范》、《企业内部控制评价指引》的要求，我们制定了企业内部控制评价报告的格式，供企业编制评价报告时参考，企业也可以根据实际情况对具体的报告方式作适当调整，但有关内容原则上应体现在年度报告中。

附：XX公司20xx年度内部控制评价报告

xx公司全体股东：

根据《企业内部控制基本规范》及其配套指引的规定和要求，结合本公司（以下简称公司）内部控制制度和评价办法，在内部控制日常监督和专项监督的基础上，我们对公司内部控制的有效性进行了自我评价。

一、董事会声明

公司董事会及全体董事保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带责任。

建立健全并有效实施内部控制是公司董事会的责任；监事会对董事会建立与实施内部控制进行监督；经理层负责组织领导公司内部控制的日常运行。

公司内部控制的目标是：[一般包括合理保证经营合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进实现发展战略]。由于内部控制存在固有局限性，故仅能对实现上述目标提供合理保证。

二、内部控制评价工作的总体情况

公司董事会授权内部审计机构[或其他专门机构]负责内部控制评价的具体组织实施工作，对纳入评价范围的高风险领域和单位进行评价[描述评价工作的组织领导体制，一般包括评价工作组织结构图、主要负责人及汇报途径等]。

公司[是/否]聘请了专业机构[中介机构名称]提供内部控制咨询服务；公司[是/否]聘请了专业机构[中介机构名称]协助开展内部控制评价工作；公司[是/否]聘请会计师事务所[会计师事务所名称]对公司内部控制进行独立审计。

三、内部控制评价的范围

内部控制评价的范围涵盖了公司及其所属单位的主要业务和事项[列明评价范围占公司总资产比例或占公司收入比例等]，重点关注下列高风险领域：

[列示公司根据风险评估结果确定的内部控制前“十大”主要风险]

纳入评价范围的单位包括：

[无需罗列单位名称，而是描述纳入评价范围单位的行业性质、层级等]

纳入评价范围的业务和事项包括（根据实际情况调整，未尽事项可以充实）：

（一）组织架构

（二）发展战略

（三）人力资源

（四）社会责任

（五）企业文化

（六）资金活动

（七）采购业务

（八）资产管理

（九）销售业务

（十）研究与开发

（十一）工程项目

（十二）担保业务

（十三）业务外包

（十四）财务报告

（十五）全面预算

（十六）合同管理

（十七）内部信息传递

（十八）信息系统

上述业务和事项的内部控制涵盖了公司经营管理的主要方面，不存在重大遗漏。

（如存在重大遗漏）公司本年度未能对以下构成内部控制重要方面的单位或业务（事项）进行内部控制评价：

[逐条说明未纳入评价范围的重要单位或业务（事项），包括单位或业务（事项）描述、未纳入的原因、对内部控制评价报告真实完整性产生的重大影响等]

四、内部控制评价的程序和方法

内部控制评价工作严格遵循基本规范、评价指引及公司内部控制评价办法规定的程序执行[描述公司开展内部控制检查评价工作的基本流程]。

评价过程中，我们采用了（个别访谈、调查问题、专题讨论、穿行测试、实地查验、抽样和比较分析）等适当方法，广泛收集公司内部控制设计和运行是否有效的证据，如实填写评价工作底稿，分析、识别内部控制缺陷[说明评价方法的适当性及证据的充分性]。

五、内部控制缺陷及其认定

公司董事会根据基本规范、评价指引对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险偏好和风险承受度等因素，研究确定了适用本公司的内部控制缺陷具体认定标准，并与以前年度保持了一致[描述公司内部控制缺陷的定性及定量标准]，或作出了调整[描述具体调整标准及原因]。

根据上述认定标准，结合日常监督和专项监督情况，我们发现报告期内存在[数量]个缺陷，其中重大缺陷[数量]个，重要缺陷[数量]个。重大缺陷分别为：[对重大缺陷进行描述，并说明其对实现相关控制目标的影响程度]。

六、内部控制缺陷的整改情况

针对报告期内发现的内部控制缺陷（含上一期间未完成整改的内部控制缺陷），公司采取了相应的整改措施[描述整改措施的具体内容和实际效果]。对于整改完成的重大缺陷，公司有足够的测试样本显示，与重大缺陷[描述该重大缺陷]相关的内部控制设计且运行有效（运行有效的结论需提供90天内有效运行的证据）。

经过整改，公司在报告期末仍存在[数量]个缺陷，其中重大缺陷[数量]个，重要缺陷[数量]个。重大缺陷分别为：[对重大缺陷进行描述]。

针对报告期末未完成整改的重大缺陷，公司拟进一步采取相应措施加以整改[描述整改措施的具体内容及预期达到的效果]。

七、内部控制有效性的结论

公司已经根据基本规范、评价指引及其他相关法律法规的要求，对公司截至20xx年12月31日的内部控制设计与运行的有效性进行了自我评价。

（存在重大缺陷的情形）报告期内，公司在内部控制设计与运行方面存在尚未完成整改的重大缺陷[描述该缺陷的性质及其对实现相关控制目标的影响程度]。由于存在上述缺陷，可能会给公司未来生产经营带来相关风险[描述该风险]。

（不存在重大缺陷的情形）报告期内，公司对纳入评价范围的业务与事项均已建立了内部控制，并得以有效执行，达到了公司内部控制的目标，不存在重大缺陷。

自内部控制评价报告基准日至内部控制评价报告发出日之间[是/否]发生对评价结论产生实质性影响的内部控制的重大变化。[如存在，描述该事项对评价结论的影响及董事会拟采取的应对措施]。

我们注意到，内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。[简要描述下一年度内部控制工作计划]未来期间，公司将继续完善内部控制制度，规范内部控制制度执行，强化内部控制监督检查，促进公司健康、可持续发展。

董事长：[签名]

XX公司

20xx年xx月xx日

财政部关于印发企业内部控制规范体系实施中相关问题解释第2号的通知

（2012年9月24日　财会〔2012〕18号）

中共中央直属机关事务管理局，铁道部、国务院机关事务管理局，解放军总后勤部、武警部队后勤部，各省、自治区、直辖市、计划单列市财政厅（局），新疆生产建设兵团财务局，各中央管理企业、上市公司：

《企业内部控制基本规范》（财会〔2008〕7号）和《企业内部控制配套指引》（财会〔2010〕11号）已于2011年在境内外同时上市的公司平稳实施。对实施中出现的问题，2012年2月我部会同相关部门通过印发《企业内部控制规范体系实施中相关问题解释第1号》（财会〔2012〕3号）加以明确，对推动企业内部控制规范体系有效实施发挥了积极的作用。随着境内主板上市公司2012年正式实施内部控制规范体系，也出现了一些新情况、新问题，如内控组织实施、内控实施的进度与重点、内控人才队伍培养、小型企业内控建设等，需要研究解决。为此，我部会同证监会、审计署、银监会、保监会、国资委，对这些新情况、新问题进行了认真研究，并征求了有关上市公司、咨询机构和有关部门的意见，形成了《企业内部控制规范体系实施中相关问题解释第2号》。经会签证监会、审计署、银监会、保监会、国资委，现予印发。

附件：企业内部控制规范体系实施中相关问题解释第2号

企业内部控制规范体系正式实施一年多来，总体平稳，但在具体实施过程中，部分企业还存在理解认识上的不到位和实际执行上的偏差。为了稳步推进企业内部控制规范体系贯彻实施，经研究，现就有关问题解释如下：

1.企业应如何正确把握内部控制的组织实施工作？

答：企业在开始实施内部控制时，应当按照《企业内部控制基本规范》（财会〔2008〕7号）（以下简称基本规范）确定的内部控制目标、要素、原则和具体要求开展工作，强化组织领导，夯实内部控制基础。董事会负责内部控制的建立健全和有效实施，监事会对董事会建立与实施内部控制进行监督，经理层负责组织领导企业内部控制的日常运行，全体员工广泛参与内部控制的具体实施。企业的内部控制部门应结合实际，制定内部控制体系建设的分阶段目标，围绕内部控制的五个要素扎实开展工作，深入宣传、认真执行、严格监督、严肃考核，保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，规避生产经营风险。随着实施工作的不断深入，企业应当加强内部控制全员、全面、全过程管理，进一步推动管理创新，不断提升管理水平，有效防控经营风险，保证实现价值目标，最终促进企业实现发展战略。

企业应当结合所在行业要求和自身特点，按照基本规范的要求，参照《企业内部控制配套指引》（财会〔2010〕11号）（以下简称配套指引）的规定开展内部控制实施工作。目前配套指引针对企业一般性的业务和重点环节制定了原则性的要求，未涵盖行业特点突出的具体业务。在实施过程中，企业应当全面执行基本规范，以配套指引为参考，结合行业管理要求，从自身经营管理的实际出发，识别和评估相关风险，加强对关键和重点业务的控制，保持信息沟通的顺畅，对实施效果做好监督评价，努力构建一套符合实际、业务规范、控制合理、管理有效的内部控制体系。

2.不同的企业应如何把握好内部控制实施工作的进度和重点？

答：对于即将启动或刚刚启动内部控制实施工作的上市公司、国有企业和集团企业，应按照相关业务主管部门、监管部门等的要求加快推动，并根据企业实际全面实施；对于已经在部分下属分公司和子公司建立了较为完善的内部控制体系的企业，应当总结和借鉴已经开展内部控制建设的分公司和子公司的经验和做法，将其推广至全公司范围；对于已经在全公司范围内建立起覆盖全过程、各层级内部控制体系的企业，应将工作重心放在内部控制的持续改进上，充分运用内部控制自我评价的方法和手段，按照有关要求对实施情况进行常规、持续的监督检查，查找实施中的缺陷与不足，促进内部控制的持续改进和不断优化。

对于非上市的企业或企业集团，应从实际情况出发，根据下属公司的经营性质、业务规模等特点制定切实可行的内部控制实施方案，分类分步推进，全面启动内部控制建设与实施工作。企业集团也可以根据业务板块、管理特点等，先在部分企业建立起较为完善的内部控制体系，再逐步建立覆盖企业集团的内部控制体系，体现集团管控的要求。

3.企业应如何改善内部控制专业人才缺乏的状况？

答：为解决企业内部控制专业人才紧缺状况，企业可以抽调财会、审计和生产管理等业务骨干开展内部控制管理工作，同时应当有计划地培养内部控制专业人才。一是通过参加政府部门、中介机构、企业内部举办的培训学习等，促使内控人员掌握相关知识；二是让从事内部控制的专业人员，在工作实践中不断探索学习，以内部控制基础理论、基本规范及配套指引为指针，借鉴其他企业的经验，结合实际，自我学习、自我积累，探索创新，不断提升个人的业务能力和企业的内控管理水平；三是在聘请中介机构开展内部控制咨询、审计服务时，充分利用中介机构的专业力量，通过业务沟通交流和参与实际运作来锻炼培养企业专业人才队伍。

企业领导要高度重视内部控制专业人才队伍建设，在强调全员参与内部控制的基础上，采取多种措施，建立激励机制，鼓励从事内部控制的专业人员岗位成才。对于为企业内部控制建设做出贡献的专业人员应当给予奖励，以调动内部控制专业人才队伍的工作积极性。

4.集团性企业应如何确定内部控制评价的范围？

答：集团性企业在确认内部控制评价范围时，应当遵循全面性、重要性、客观性原则，在对集团总部及下属不同业务类型、不同规模的企业进行全面、客观评价的基础上，关注重要业务单位、重大事项和高风险业务。

重要业务单位一般以资产、收入、利润等作为判定标准。包括集团总部、资产占合并资产总额比例较高的分公司和子公司，营业收入占合并营业收入比例较高的分公司和子公司以及利润占合并利润比例较高的分公司和子公司等。

重大事项一般是指重大投资决策项目，兼并重组、资产调整、产权转让项目，期权、期货等金融衍生业务，融资、担保项目，重大的生产经营安排，重要设备和技术引进，采购大宗物资和购买服务，重大工程建设项目，年度预算内大额度资金调动和使用，以及其他大额度资金运作事项等。

高风险业务一般是指经过风险评估后确定为较高或高风险的业务，也包括特殊行业及特殊业务，国家法律、法规有特殊管制或监管要求的业务等。

5.企业在选择中介机构协助开展内部控制体系建设与实施工作时，应重点考虑哪些因素？

答：企业建设与实施内部控制，应当按照基本规范及配套指引的要求，原则上要立足于行业特点和企业实际，倡导自上而下、自主开展内部控制建设与实施工作。

如果企业确有需要选择中介机构协助开展工作，可重点考虑以下几个因素：一是中介机构的专业性，如内控咨询团队的专业知识及项目管理经验等；二是服务内容与企业需求的匹配程度，如实施方案是否符合企业实际情况等；三是团队的配置水平，如人员数量是否适当、团队的整体知识结构、过去的成功案例情况及客户评价等；四是服务报价合理性等，企业对收费明显偏离合理性的中介机构，应防范服务质量风险。

企业在聘请中介机构协助开展内部控制体系建设与实施工作中，应当采取有效的方式保护企业核心商业秘密和国家机密，防范泄密风险。

6.企业应采用何种组织形式开展内部控制评价工作？

答：内部控制评价是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。同时也是企业内部涉及业务面广、专业性强的工作，包括日常检查评价和专项检查评价。

企业可以授权内部审计机构具体实施内部控制有效性的定期评价工作。由于内部审计机构在企业内部处于相对独立的地位，该机构的工作内容、性质和人员的业务专长与内部控制评价工作有着密切的关联，因此内部审计机构可以负责内部控制评价的具体实施工作。

成立了专门的内部控制机构的企业，由内部控制机构负责组织协调内部控制的建立实施及日常管理工作，其工作直接向董事会或类似权力机构负责。企业的内部控制机构可以组织实施内部控制评价工作。内部控制机构可以组织审计、财务、生产管理等专业人员，对内部控制全面或某一方面进行日常和专项检查评价，也可以对认定的重大风险进行专项监督，定期出具内部控制评价报告，报董事会或类似权力机构审核。

企业也可以根据自身特点，成立内部控制评价工作的非常设机构，比如，抽调内部审计、内部控制等相关机构的人员组成内部控制评价小组，具体组织实施内部控制评价工作。

此外，企业可以委托中介机构实施内部控制评价。

7.企业应如何对待内部控制评价中发现的缺陷？

答：内部控制缺陷按照成因分为设计缺陷和运行缺陷。对于设计缺陷，应从企业内部的管理制度入手查找原因，需要更新、调整、废止的制度要及时进行处理，并同时改进内部控制体系的设计，弥补设计缺陷的漏洞。对于运行缺陷，则应分析出现的原因，查清责任人，并有针对性地进行整改。

内部控制缺陷按照影响程度分为重大缺陷、重要缺陷和一般缺陷。对于重大缺陷，应当由董事会予以最终认定，企业要及时采取应对策略，切实将风险控制在可承受度之内。对于重要缺陷和一般缺陷，企业应当及时采取措施，避免发生损失。

企业应当编制内部控制缺陷认定汇总表，结合实际情况对内部控制缺陷的成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见和改进建议，确保整改到位，并以适当形式向董事会、监事会或者经理层报告。

对于因内部控制缺陷造成经济损失的，企业应当查明原因，追究相关部门和人员的责任。

8.如果会计师事务所将其内部控制咨询业务和内部控制审计业务进行分离后，是否可以为同一企业提供内部控制审计和咨询服务？

答：基本规范及配套指引的发布实施，拓宽了会计师事务所的业务领域。随着2012年国内主板上市公司分类分批实施，内部控制咨询、内部控制评价、内部控制审计的需求会很大。当前，我国会计师事务所在内部控制咨询和内部控制审计方面的专业人才和技术力量有限。据了解，很多会计师事务所为了执行基本规范第十条的规定，主动开展了内部体制机制整合。

会计师事务所在受聘为企业提供有关内部控制咨询或审计服务时，应坚持独立性原则，严格遵守《中国注册会计师职业道德守则》要求，不得与具有网络关系的中介机构同时为同一企业提供内部控制咨询和审计服务。

有的会计师事务所采取内部隔离方式，即在内部成立咨询部门和审计部门，两个部门之间相互独立，人员不交叉使用，在形式上建立了内部的“防火墙”。这种方式难以有效地将内部控制咨询和内部控制审计业务进行分离，不符合独立性要求。

也有会计师事务所新设立了具有法人资格的咨询机构，如果新设立的咨询机构与原事务所构成网络关系，则违反独立性原则，也不能同时为同一家企业提供内控咨询和审计服务。

9.注册会计师在开展内部控制审计时应如何安排时间？

答：按照配套指引中《企业内部控制审计指引》的要求，注册会计师在确定测试的时间安排时，应当尽量在接近企业内部控制自我评价基准日实施测试，实施的测试需要涵盖足够长的时间。

企业应按照要求及时委托会计师事务所开展内部控制审计业务，保证按期对外披露或报送内部控制审计报告。首次进行内部控制审计时，企业和注册会计师应当在当期会计年度的上半年即开始准备该年度的内部控制审计工作，从而保证整改后的控制运行有足够长的时间。对于认定为缺陷的业务，如果企业在基准日前对其进行了整改，但整改后的业务控制尚没有运行足够长的时间，注册会计师应当将其认定为内部控制在审计基准日存在缺陷。注册会计师在接受或开展内部控制审计业务时，应当尽早与企业沟通内部控制审计计划，并合理安排内部控制测试的时间。

在连续进行内部控制审计的过程中，注册会计师应当考虑以前年度执行内部控制审计时所了解的情况以及当年企业发生的相关变化，在此基础上确定适当的内部控制审计工作方案和时间安排。

10.与大、中型企业相比，小型企业在实施内部控制时应有哪些特殊的考虑？

答：小型企业通常是指具有业务比较单一、所有权和管理权集中、管理层级较少、部门设置简单等特征的企业。小型企业根据基本规范及配套指引实施内部控制时，在保证有效性的基础上，可结合企业特点进行适当调整。

小型企业的管理层级一般较少，所有权、决策权和管理权较为集中，治理层通常密切参与公司日常经营及管理活动，使企业的控制力和执行力得到了提高，但也容易导致决策失误或舞弊风险，因此要提高董事会的集体决策能力，加强企业决策过程的控制。

小型企业应明确内部控制目标，准确评估经营风险，建立健全各项制度，将决策过程和各项业务流程制度化、规范化；明确不同层级部门和人员的权限和职责，强化岗位制衡，做到适度授权和分权；重点关注与企业资金、资产、资本、财务报告等关键业务有关的风险的控制。

小型企业应提高财务、会计和审计人员的素质，培养和聘用内部控制专业人才，加强对财务会计工作和财务报告的重视程度。小型企业的机构设置简单，管理资源易于整合，可以根据企业所面临的主要风险和相关控制的效果，适当简化内部控制体系建设，灵活设计、选择控制流程和控制活动，达到有效控制风险和防范舞弊的目的。

基于效率的考虑，小型企业应当提高信息技术的应用，结合业务风险和信息系统风险评估，加强信息系统控制的应用，采取手工控制与自动控制相结合的方式，将风险控制在可承受度之内。

小型企业应建立健全内部控制的监督机制，持续监控和定期评价内部控制的有效性，尤其要对会计信息、资金运转、资产安全、采购及销售等方面加强监控，及时发现和纠正缺陷，确保内部控制在企业不同成长阶段、不同环境下的持续有效改进。

企业法律风险管理指南（GB/T　27914-2011）

（2011年12月30日国家标准管理委员会公告2011年第23号发布　2012年2月1日实施）

目　　次

前言

1　范围

2　规范性引用文件

3　术语和定义

4　企业法律风险管理原则

5　企业法律风险管理过程

6　企业法律风险管理的实施

附录A　法律风险识别框架示例

附录B　法律风险清单示例

附录C　法律风险可能性分析示例

附录D　法律风险影响程度分析示例

前　　言

本标准在GB/T 24353-2009《风险管理　原则与实施指南》的指导下，结合我国企业法律风险管理的实践经验编制而成。

本标准的附录A、附录B、附录C、附录D为资料性附录。

本标准由全国风险管理标准化技术委员会（SAC/TC 310）提出并归口。

本标准起草单位：中国标准化研究院、中国移动通信集团公司、第一会达风险管理科技有限公司、中华全国工商业联合会、北京市展达律师事务所、中国电子信息产业集团公司、中国建筑工程总公司。

本标准主要起草人：高晓红、叶小忠、吕多加、薄勇、王志华、白莲湘、崔艳武、刘瑛、孔雪屏、秦玉秀

1　范　围

本标准提供了企业实施法律风险管理的通用指南。

本标准适用于各种类型和规模的企业，可指导企业在其整个生命周期和所有经营环节中开展法律风险管理活动。

本标准是通用指南，不作为行业性专用标准使用，企业应根据行业特点，结合自身情况和实际需要应用本标准实施法律风险管理。

中小企业可以根据自身管理基础、资源以及管理需求，对本标准提供的法律风险管理过程和相关的配套保障措施进行简化或采取递进式建设，逐步达到本标准要求，从而确保本企业的法律风险管理资源投入与企业的目标相契合，达到管理本企业法律风险的目标。

2　规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

GB/T 23694-2009风险管理术语（ISO/IEC Guide73：2002，IDT）

3　术语和定义

GB/T 23694-2009中界定的术语和定义适用于本标准。

3.1　企业法律风险

企业法律风险是指基于法律规定、监管要求或合同约定，由于企业外部环境及其变化，或企业及其利益相关者的作为或不作为，对企业目标产生的影响。

4　企业法律风险管理原则

为了有效管理法律风险，支持企业的决策和经营管理活动，企业进行法律风险管理时可遵循以下原则：

（1）以企业战略目标为导向的原则

企业法律风险管理目的在于促进企业战略目标的实现。在法律风险评估和应对等企业法律风险管理活动中应充分考虑法律风险与企业战略目标之间的相互关系、影响等因素。

（2）审慎管理的原则

由于法律风险的特殊性，对于法律风险应坚持审慎管理的原则。要在尊重法律、保持诚信前提下，开展法律风险管理活动，风险管理的策略和方法不应违反法律的强制性和义务性规定。

（3）与企业整体管理水平相适应的原则

法律风险管理是企业管理的有机组成部分，和企业战略管理、流程管理、绩效管理、信息管理等密切相关。法律风险的识别、分析、评价和控制等活动只有与企业整体管理水平相适应，才能取得良好的效果。

（4）融入企业经营管理过程的原则

法律风险发生于企业的经营管理活动，其识别、分析、评价和应对都不可能脱离企业经营管理过程，法律风险管理必须融入企业经营管理过程，成为其有机组成部分。

（5）纳入决策过程的原则

企业所有决策都应综合考虑风险，以便将风险控制在企业可接受的范围内。法律风险作为企业的重要风险范畴，应纳入企业决策过程，作为企业决策应考虑的重要因素。

（6）纳入企业全面风险管理体系的原则

法律风险管理是企业风险管理体系的组成部分，应与其他风险的管理整合，以提高风险管理的整体效率和效果。

（7）全员参与、全过程开展的原则

法律风险产生于企业经营管理的各个环节，因此法律风险管理需要企业所有员工的参与并承担相关责任，其中特别包括企业专职的法律管理部门（或人员）。各方人员分工负责，以形成法律风险管理的长效机制。

（8）持续改进的原则

法律风险管理是适应企业内外部法律环境变化的动态过程，其各步骤之间形成一个循环往复的闭环。随着内外部法律环境的变化，企业面临的法律风险也在不断发生变化。企业应该持续不断地对各种变化保持敏感并做出恰当反应。

5　企业法律风险管理过程

5.1　概述

法律风险管理是企业全面风险管理的组成部分，贯穿于企业决策和经营管理的各个环节。法律风险管理过程由5.2到5.5所描述的活动组成，即明确法律风险环境信息、法律风险评估、法律风险应对、监督和检查，如图1所示。其中，法律风险评估包括法律风险识别、法律风险分析和法律风险评价等三个步骤。

沟通和记录非常重要，应贯穿于企业法律风险管理过程的各项活动中，5.6将对其进行详细说明。

5.2　明确法律风险环境信息

5.2.1 概述

明确法律风险环境信息是应用适当的方法，对企业内外部环境中与法律风险相关的信息进行收集、分析、整理、归纳的一系列过程。

明确法律风险环境信息是后续法律风险管理活动得以顺利实施的必要基础。明确法律风险环境信息是一个动态的过程，应保持法律风险环境信息的持续更新。

5.2.2 外部法律风险环境信息

外部法律风险环境信息是指与企业法律风险管理相关的政治、经济、文化、法律等各种相关信息。

企业应根据本行业和企业业务经营管理的特点，具体分析明确外部法律风险环境信息的收集范围和分析方式，为法律风险评估和应对提供充分的信息保障。

外部法律风险环境信息包括但不限于：

——本行业的业务模式及特点；

——国内外与本企业相关的政治、经济、文化、技术以及自然环境等；

——国内外与本企业相关的立法、司法、执法和守法情况及其变化；

——与本企业相关的监管体制、机构、政策以及执行等情况；

——与本企业相关的市场竞争情况；

——本企业在产业价值链中的定位及与其他主体之间的关系；

——企业主要的外部利益相关者及其对法律、合同、道德操守等的遵从情况；

——与企业法律风险及管理相关的其他信息。

地区间的环境差异是普遍存在的。对于跨区域经营的企业，在进行外部法律风险环境调查时，应特别关注不同地区间可能存在的环境差异。

5.2.3 内部法律风险环境信息

内部法律环境信息是与企业法律风险及其管理相关的各种信息，包括法律风险和法律风险管理的历史及现状。

内部法律风险环境信息包括但不限于：

——企业的战略目标；

——企业盈利模式和业务模式；

——企业的主要经营管理流程/活动、部门职能分工等相关信息；

——企业在法律风险管理方面的使命、愿景、价值理念；

——企业法律风险管理工作的目标、职责、相关制度和资源配置情况；

——企业法律事务工作及法律风险管理现状，其中对法律风险管理现状可从方针、组织职能和资源配置、制度和流程内控、沟通和报告、法律风险管理文化和技术手段等要素分析；

——内部利益相关者的法律遵从情况和激励约束方式；

——本企业签订的重大合同及其管理情况；

——本企业发生的重大法律纠纷案件或法律风险事件的情况，本企业相关的法律规范库和法律风险库；

——本企业知识产权管理情况；

——与法律风险及其管理相关的其他信息。

以上法律风险环境信息的收集范围和内容，应根据企业的法律风险状况变化及企业的管理需要进行补充调整。

5.2.4 企业法律风险准则

企业法律风险准则是衡量法律风险重要程度所依据的标准，应体现企业对法律风险管理的目标、价值观、资源、偏好和承受度。企业法律风险准则应在法律风险管理工作开始实施前制定，并根据实际情况进行相应调整。

确定法律风险准则时要考虑但不限于以下因素：

——本企业法律风险管理的范围、对象，以及法律风险的分类；

——法律风险发生可能性、影响程度以及法律风险的度量方法；

——法律风险等级的划分标准；

——利益相关者可接受的法律风险或可容许的法律风险等级；

——重大法律风险的确定原则。

5.3　法律风险评估

5.3.1 概述

法律风险评估包括风险识别、风险分析和风险评价三个环节。

5.3.2 法律风险识别

5.3.2.1 概述

法律风险的识别，首先是查找企业各业务单元、各项重要经营活动、重要业务流程中存在的法律风险，然后对查找出的法律风险进行描述、分类，对其原因、影响范围、潜在的后果等进行分析归纳，最终生成企业的法律风险清单。

法律风险识别的目的是全面、系统和准确地描述企业法律风险的状况，为下一步的法律风险分析明确对象和范围。进行法律风险识别时要掌握相关的和最新的信息，必要时，需包括适用的背景信息，特别是法律法规的变化信息。除了识别可能发生的法律风险事件外，还要考虑其可能的原因和可能导致的后果，包括所有重要的原因和后果。不论法律风险事件的风险源是否在企业的控制之下，或其原因是否已知，都应对其进行识别。

识别法律风险需要所有相关人员的参与。企业所采用的风险识别工具和技术应当适合于其目标、能力及其所处环境。

5.3.2.2 构建法律风险识别框架

为保证法律风险识别的全面性、准确性和系统性，企业应构建符合自身经营管理需求的法律风险识别框架，该框架提供一些方便识别法律风险的角度，这些角度包括但不限于以下方面：

——根据企业主要的经营管理活动识别，即通过对企业主要的经营管理活动（如生产活动、市场营销、物资采购、对外投资、人事管理、财务管理等）的梳理，发现每一项经营管理活动可能存在的法律风险。

——根据企业组织机构设置识别，即根据企业各业务管理职能部门/岗位的业务管理范围和工作职责的梳理，发现各机构内可能存在的法律风险。

——根据利益相关者识别，即通过对企业的利益相关者（如股东、客户、供应商、员工、政府等）的梳理，发现与每一利益相关者相关的法律风险。

——根据法律风险源识别，即通过对法律环境、违规、违约、侵权、怠于行使权利、行为不当等梳理，发现企业存在的法律风险。

——根据法律风险发生后承担的责任梳理，即通过对刑事法律风险、行政法律风险、民事法律风险的梳理，发现不同责任下企业存在的法律风险。

——根据不同法律领域的识别，即通过对不同的法律领域（如合同、知识产权、招投标、劳动用工、税务、诉讼仲裁等）的梳理，发现不同领域内存在的法律风险。

——根据法律法规识别，即通过对与企业相关的法律法规的梳理，发现不同法律法规中存在的法律风险。

——根据以往发生的案例识别，即通过对本企业或本行业发生的案例的梳理，发现企业存在的法律风险。

企业可以根据自身的不同需要，选择以上不同的角度或组合，构建法律风险识别框架。

附录A中给出了从引发法律风险原因的分类和企业经营管理活动过程两个角度构建风险识别框架的示例。

5.3.2.3 进行法律风险识别

根据构建的法律风险识别框架，可采用问卷调查、访谈调研、头脑风暴、德尔菲法、检查表法等方法进行法律风险识别，并确定分类和命名规则，对每个法律风险设置相应的编号或名称。

以从引发法律风险源分类和企业经营管理活动过程两个角度构建的法律风险识别框架为例，此时需要逐一判断每一经营管理活动中是否可能存在某种法律风源或法律风险事件，并尽可能地列举这些事件。同一经营管理活动中同一种类的法律风险事件可归属于同一法律风险类别，并据此确定该法律风险的名称，如XX违规风险、XX侵权风险等（XX为某一经营管理活动的名称）。

5.3.2.4 形成法律风险清单

在法律风险事件及法律风险名称确定后，应将这些事件统一列表，并在列表中补充每一风险事件适用的法律法规、风险动因、可能产生的法律后果、相关的案例、法律分析意见及其涉及的部门、经营管理流程等信息，最终形成企业的法律风险清单。法律风险清单的示例见附录B。

5.3.3 法律风险分析

5.3.3.1 概述

法律风险分析是指对识别出的法律风险进行定性、定量的分析，考虑法律风险源或导致法律风险事件的具体原因、法律风险事件的发生的可能性及其后果，影响后果和可能性的因素，为法律风险的评价和应对提供支持。

根据法律风险分析的目的、可获得的信息数据和资源，法律风险分析可以有不同的详细程度，可以是定性的、半定量的、定量的分析，也可以是这些分析的组合。在实践中经常首先采用定性分析以一般了解法律风险等级和揭示主要法律风险。在可能和适当的时候，应当进一步进行更具体和定量的法律风险分析。

对于法律风险事件发生的可能性和影响程度的分析应综合采用建模和专家意见以及经验推导来确定，要注意与企业内外部相关利益者的沟通，同时要考虑模型和专家意见本身的局限性。

5.3.3.2 法律风险可能性分析

对法律风险发生可能性进行分析时，可以考虑但不限于以下因素：

——外部监管执行力度，包括企业外部相关政策、法律法规的完善程度，以及相关监管部门的执行力度等；

——内控制度的完善与执行，包括企业内部用以控制相关法律风险的规章、制度的完善程度及执行力度等；

——相关人员法律素质，包括企业内部相关人员对相关政策、法律法规、企业规章制度以及法律风险控制技巧的了解、掌握程度等；

——利益相关者的综合状况，包括利益相关者的综合资质、履约能力、过往记录、法律风险偏好的表达等；

——所涉及工作的频次，指与法律风险相关的工作在一定周期内发生的次数。

对于不同类型的法律风险来说，影响其发生可能性的因素会有所不同。各种因素对可能性影响程度的权重也是不同的，并且各因素之间的权重比会因法律风险类型的不同而有所差异。附录C中给出了法律风险可能性分析的示例。

5.3.3.2 法律风险影响程度分析

对法律风险影响程度进行分析时，可以考虑但不限于以下因素：

——后果的类型，包括财产类的损失和非财产类的损失等；

——后果的严重程度，包括财产损失金额的大小、非财产损失的影响范围、利益相关者的反应等。

附录D中给出了法律风险影响程度分析的示例。

此外，法律风险与其他风险在一定条件下具有伴生性和相互转化性，企业要对法律风法律风险与其它风险之间的关联性进行分析，明确各风险事件之间的影响路径和传递关系，明确法律风险与其它风险之间的组合效应，从而在风险策略上对法律风险和其他相关风险进行统一集中的管理。

5.3.4 法律风险评价

法律风险评价是指将法律风险分析的结果与企业的法律风险准则相比较，或在各种风险的分析结果之间进行比较，确定法律风险等级，以帮助企业做出法律风险应对的决策。

在法律风险分析的基础上，综合考虑法律风险管理的目标、成本和收益、资源的投入安排等因素，对法律风险进行不同维度的排序，包括法律风险事件发生可能性的高低、影响程度的大小以及风险水平的高低。

在法律风险水平排序的基础上，对照企业法律风险准则，可以对法律风险进行分级，具体等级划分的层次可以根据企业的管理需要设定。

在法律风险排序和分级的基础上，企业可以根据其管理需要，进一步确定需要重点关注和优先应对的法律风险。

5.4　法律风险应对

5.4.1 概述

法律风险应对是指企业针对法律风险或法律风险事件采取相应措施，将法律风险控制在企业可承受的范围。法律风险应对包括选择法律风险应对策略、评估法律风险应对现状、制定和实施法律风险应对计划三个环节。

5.4.2 选择法律风险应对策略

法律风险应对策略包括规避风险、控制风险、转移风险、接受风险和其他策略等。

选择法律风险应对策略应该至少考虑以下几方面的因素：

——企业的战略目标、核心价值观和社会责任等；

——企业对法律风险管理的目标、价值观、资源、偏好和承受度等；

——法律风险应对策略的实施成本与预期收益；

——选择几种应对策略，将其单独或组合使用；

——利益相关者的诉求和价值观、对法律风险的认知和承受度以及对某些法律风险应对策略的偏好。

5.4.3 评估法律风险应对现状

如果企业对某些法律风险选取了规避、控制或转移的应对策略，则应该对这些法律风险的应对现状予以进一步的评估，以了解目前的法律风险应对存在哪些不足和缺陷，为制定法律风险应对计划提供支撑。

评估法律风险应对现状至少应考虑以下几方面的因素：

——资源配置，即企业内部的相关机构设置能否满足法律风险应对需要、用于法律风险应对的人员配备是否充足以及用于法律风险控制的经费是否充足等；

——职责权限，即是否明确与风险应对相关的职责和权限；

——过程监控，即是否要求对持续性业务/管理活动进行定期或不定期的监督和控制/证据资料保留/信息沟通、告警；

——奖惩机制，即对相关工作、管理人员在法律风险应对工作中的表现、成绩是否设立了奖惩机制等；

——执行者能力要求，即企业对与法律风险应对相关的内部执行者（公司内部领导、员工）是否有明确的资质、能力要求（业务资质、业务技能、法律素质等）；

——部门内法律审查，即是否要求业务部门内部对一般性的法律问题进行审查（一般性法律问题指从事某项业务必须掌握的基础性、常识性的法律问题，各部门人员可以通过培训掌握相关内容）；

——专业法律审查，即是否要求法律部门或专业律师对专业性法律问题进行审查或提供相关法律意见；

——风险意识，即工作、管理人员对风险的存在、风险将会造成的后果，以及如何开展风险应对等方面是否有必要的认识和理解；

——外部法律风险环境，即有关法律环境是否完善、稳定，社会守法状况，执法力度和司法方式等。

5.4.4 制定和实施法律风险应对计划

应对措施通常包括以下几种类型：

——资源配置类，指设立或调整与法律风险应对相关的机构、人员，补充经费或风险准备金等；

——制度、流程类，指制定或完善与法律风险应对相关的制度、流程；

——标准、指引类，指针对特定法律风险，编撰指引、标准类文件，供业务人员使用；

——技术手段类，指利用技术手段规避、控制或转移某些法律风险；

——信息类，指针对某些法律风险事件发布告警或预警信息；

——活动类，指开展某些专项活动，规避、控制或转移某些法律风险；

——培训类，指对某些关键岗位人员进行法律风险培训，提高其法律风险意识和法律风险管理技能。

在法律风险应对措施确定之后，应该制定应对措施的实施计划。实施计划中至少应该包括以下信息：

——实施法律风险应对措施的机构、人员安排，明确责任和奖惩；

——应对措施涉及的具体业务及管理活动；

——报告和监督、检查的要求；

——资源需求和配置方案；

——实施法律风险应对措施的优先次序和条件；

——实施时间表。

法律风险应对是一个递进的动态过程，需要根据内外部法律风险环境变化对制定的措施进行评估调整，以确保措施的实时有效性。企业在制定法律风险应对措施后应评估其剩余风险（剩余风险是指预期采取法律风险应对措施后的法律风险）是否可以承受。如果不可承受，应调整或制定新的法律风险应对措施，并评估新的措施的效果，直到剩余风险可以承受。执行法律风险应对措施会引起组织风险情况的改变，需要跟踪、监督有关风险应对的效果和组织的环境信息，并对变化的风险进行评估，必要时重新制订法律风险应对措施。

5.5　监督和检查

企业应实时跟踪内外部法律风险环境的变化，及时监督和检查法律风险管理流程的运行状况，以确保法律风险应对计划的有效执行，并根据发现的问题对法律风险管理工作进行持续改进。法律风险管理的监督和检查环节使得法律风险管理流程形成可持续运转的闭环，是法律风险管理能够持续改进的不可缺少的组成部分。

企业法律风险管理监督和检查的内容应包括但不限于以下内容：

——内外部法律风险环境的发展变化，如法律法规、相关政策的出台和变化、司法、执法及社会守法环境的变化、企业自身战略的调整改变等；

——监测法律风险事件，分析趋势及其变化并从中吸取教训；

——对照法律风险应对计划检查工作进度与计划的偏差，保证风险应对措施的设计和执行有效；

——报告关于法律风险变化、风险应对计划的进度和风险管理方针的遵循情况；

——实施法律风险管理绩效评估。

另外，企业可根据自身的需求和资源状况，选择建立重大法律风险预警制度，即根据对内外部法律风险环境变化的监控结果，及时发布法律风险预警信息，并制定相应的应急预案。应急预案要明确应急处理的相关组织机构、处理流程、沟通机制、应急措施和资源的配置保障，确保企业对突发法律风险事件的快速反应，有效控制突发法律风险事件对企业造成的影响。

5.6　沟通和记录

5.6.1 沟通

企业在法律风险管理过程的每个阶段都应当与内外部利益相关者有效沟通，以保证实施法律风险管理的相关人员和利益相关者能够充分了解企业面临的法律风险及其给企业带来的影响，正确理解企业法律风险管理决策的依据，并根据相关信息做出恰当决定，有效执行管理活动。

由于企业各层级人员及相关利益相关者的价值观、诉求、假设、认知和关注点不同，造成其法律风险偏好和对法律风险管理的期望不同，这些对法律风险管理的决策和执行有重要影响。因此，企业在法律风险决策过程和法律风险管理执行中应当与内外部利益相关者进行充分沟通，并保存相关记录。为保障这种沟通能够顺利进行，企业应保证法律风险管理的责任部门能够与企业相关人员充分沟通，能够获取履行职责所需的相关记录或档案材料，并且与监管机构、立法及司法机关等外部利益相关者建立顺畅的沟通渠道。

5.6.2 记录

在法律风险管理过程中，记录是实施和改进整个法律风险管理过程的必要工作。

建立记录应当考虑以下方面：

——出于管理的目的而重复使用信息的需要；

——进一步分析法律风险和调整风险应对措施的需要；

——法律风险管理活动的可追溯要求；

——沟通的需要；

——法律法规和操作上对记录的需要；

——企业本身持续学习的需要；

——建立和维护记录所需的成本和工作量；

——获取信息的方法、读取信息的容易程度和储存媒介；

——记录保留期限管理。

6　企业法律风险管理的实施

6.1　概述

法律风险管理流程的组织实施需要一个法律风险管理体系，包括风险管理的方针、组织职能、资源配置、信息沟通传递机制等相关基础配套设施。主要包括：

——法律风险管理方针；

——与法律风险管理目标匹配的组织职能和资源保障；

——相关的制度和内部流程控制，使法律风险管理嵌入到组织的所有活动和过程中；

——与内外部利益相关者关于法律风险管理的沟通机制；

——法律风险管理文化；

——法律风险管理的技术手段、方法、工具等。

6.2　法律风险管理方针

法律风险管理方针应明确下列事项：

——法律风险管理理念；

——最高管理者对法律风险管理的承诺；

——法律风险管理的目标；

——企业的法律风险偏好；

——法律风险管理目标与企业的目标及其它风险管理目标的关系；

——法律风险管理目标的层次分解和细化；

——持续改进的承诺。

6.3　法律风险管理的组织职能

企业可以根据现有的组织结构和风险管理职能设置原则，明确法律风险管理的组织架构、职责和内容。需明确：

——本企业法律风险管理的组织结构和人员组成，如外部法律顾问、企业内部法律顾问/法律部门/法律岗位等的构成关系；

——内外部法律风险管理资源的分工和合作方式；

——明确法律风险管理体系的制定、实施和维护人员的职责；

——明确执行法律风险应对措施、维护法律风险管理体系和报告相关风险信息人员的职责；

——明确全体员工在其本职工作中有关法律风险管理方面的职责；

——建立批准、授权制度；

——建立考核方法、奖惩制度。

6.4　法律风险管理的制度流程

企业应当根据法律风险管理的目标，建立完善适当的配套制度和行为规范，建立法律风险管理的工作程序，同时结合企业内部控制管理工作，将法律风险纳入到流程控制中，确保法律风险管理工作切实融入到企业的日常管理工作中，确保法律风险管理在企业内部的统一理解和执行。具体要考虑：

——本企业法律风险管理工作的范围和内容；

——法律风险管理制度、规范的制定要考虑企业现有的制度管理体系和风险管理的制度，确保一致性，提高效率；

——形成对制度规范的定期更新和修订，确保其时效性；

——应当具体分析可纳入流程管理的法律风险，其相关管理措施与其他风险控制点的嵌套关系。

6.5　法律风险管理的资源配置

企业需根据法律风险管理计划，制定可行的方法，为法律风险管理分配适当的资源。具体要考虑下列各项：

——法律风险管理相关人员的技术、经验和能力要求；

——法律风险管理过程每一阶段所需要的人力、资金及其他资源；

——法律风险管理目标、成本和收益的关系，提高法律风险管理的收益水平。

——根据企业内部条件和管理需求，可引入信息和知识管理系统，提高信息沟通和管理的效率。

6.6　法律风险管理的沟通和报告机制

企业要建立内部沟通和报告机制，以保证：

——法律风险管理体系的关键组成部分及其调整得到适当的沟通；

——在企业内部充分报告法律风险应对计划实施的效果和效率；

——在适当的层次和时间提供法律风险管理的相关信息；

——建立与内部利益相关者协商的程序。

企业需建立与外部利益相关者沟通的机制。这种机制应当保证：

——企业的对外报告符合法律法规和公司治理要求；

——企业与外部利益相关者保持有效的信息沟通；

——在外部利益相关者中建立对组织的信心；

——在发生突发事件、危机和紧急状况时与利益相关者沟通；

——为企业提供外部利益相关者的报告和反馈。

企业法律风险管理信息的沟通和报告机制要考虑与其他风险信息报送的衔接关系，以保证相关部门信息的互动沟通，有助于对风险信息的组合分析，提高管理效率。

6.7　法律风险管理文化

企业应当注重法律风险意识和风险管理文化的培养，从而促进法律风险管理的贯彻实施，保障法律风险管理目标的实现。具体应考虑：

——树立法律风险管理是企业全体员工共同责任的理念，需在不同层次上履行防范法律风险的职责；

——法律风险管理专业机构应当制定系统化的法律风险管理培训计划，包括一般的普法宣传和专项的法律知识培训，从而提高全体员工知法、守法和用法水平；

——加强法律风险管理机构专业人员的法律实务水平和风险管理水平，加强提升对企业业务管理的深入理解和支撑服务能力，主动积极地为企业的经营决策和管理活动提供法律支持；

——采用多种途径加强对企业法律风险管理理念、知识、方法和流程的培训，以便于企业各层形成共识；

——企业应当加强对内部违法违规行为的惩处力度，形成良好的法律风险管理文化；

——重视企业领导层对法律风险管理工作的态度和管理理念以及管理承诺。

附录A

法律风险识别框架示例

法律风险的识别框架可以从两个角度来构建。

一个角度是引发企业法律风险的原因，可分为法律环境、违规行为、违约行为、侵权行为、不当行为和怠于行使权利六种；另一个角度是企业所从事的各类经营/管理活动。具体如表A.1所示：

附录B

法律风险清单示例

法律风险清单可以划分为三个信息区。第一部分为基础信息区，主要内容为法律风险及引发风险的具体行为，为便于今后的使用和管理，这里还可以为每个法律风险及风险行为设置不同的编码；第二部分为法律信息区，包括风险涉及到的法规、法条、案例、法律责任和后果、法律建议等；第三部分为管理信息区，包括风险涉及到的企业内部部门、外部主体、经营管理活动或流程等。具体如表B.1示：

附录C

法律风险可能性分析示例

风险事件的发生可能性是指在公司目前的管理水平下，风险事件发生概率的大小或者发生的频繁程度。对法律风险发生可能性的量化分析，可以从以下五个维度进行，每个维度可以进一步细化为若干评分标准，以下示例影响程度分为5个等级，分别赋予1分至5分，表示发生可能性依次加强，得分越高意味风险发生的可能性越大。对照该评分标准，同时根据不同维度对风险发生可能性影响程度的不同，为各维度设定权重系数，并确定计算公式，最终即可计算出该风险发生可能性的得分。

附录D

法律风险影响程度分析示例

风险事件的影响程度是指该风险事件会对公司的经营管理和业务发展所产生影响的大小。对法律风险影响程度的量化分析，可以从以下三个维度进行，每个维度可以进一步细化为若干评分标准，以下示例影响程度分为5个等级，分别赋予1分至5分，表示影响程度依次加强，得分越高意味风险影响程度越大。对照该评分标准，同时根据不同维度与风险影响程度相关性的不同，为各维度设定权重系数，并确定计算公式，最终即可计算出该风险影响程度的得分。

国家发展改革委办公厅关于进一步强化企业债券风险防范管理有关问题的通知

（2012年12月11日　发改办财金〔2012〕3451号）

各省、自治区、直辖市及计划单列市、新疆生产建设兵团发展改革委：

为进一步加强企业债券偿债风险防范管理，促进企业债券市场持续健康发展，现就有关问题通知如下：

一、根据发行主体资产负债率情况细化风险防范措施

对于部分企业资产负债率偏高，相应偿债保障措施比较薄弱的情况，在已有措施基础上，根据发行人最近一年末经审计财务数据计算的资产负债率水平分别采取不同的偿债保障措施。

（一）资产负债率在65%至80%之间的发债申请企业，在审核工作中对偿债风险实行“重点关注”。

主承销商在其出具的《发行人偿债能力分析报告》中，增加发行人资产负债率水平对偿债能力的影响分析。有关分析应至少包括：发行人最近三年的资产负债率情况、发行人所在行业的资产负债率情况、发行人有息负债情况、有息负债在未来五年内还本付息的时点及金额分布情况、发行人特殊负债情况等。重点是审核发行人偿债保障措施，根据负债期限时点分布，考察偿债压力水平和有关措施的保障程度。

另外，对负债率低于65%但负债绝对额较大的发债申请企业，在审核中也给予“重点关注”。应关注其流动比率、利息保障倍数、现金流、可变现资产规模等情况，必要时要求其安排担保措施。

对能够提供有效抵质押担保或第三方担保措施的“重点关注”类企业，将优先核准发债申请。

（二）资产负债率在80%至90%之间的发债申请企业，原则上必须提供担保措施。

（三）资产负债率超过90%，债务负担沉重，偿债风险较大的企业发债，不予核准发债。但实行有效的多种复合性风险防范措施的企业，可适当放宽资产负债率要求。

（四）特定行业企业资产负债率水平要求可适当放宽。

对拥有公路业务板块的企业因财政性资金计入负债以及二级公路停止收费但负债仍由原企业承担造成资产负债率较高；房地产行业企业因售房预收款等导致资产负债率较高的两类行业企业，按剔除特殊因素后计算的负债率水平安排相应偿债保障措施。

铁路、地铁、电力特别是水电企业因投资规模较大、投资期限较长，资产负债率较高。物流贸易企业和建筑施工企业自有资金杠杆率较高，大量占用资金，资产负债率较高。上述行业企业因行业特点，对资产负债率要求可适当放宽，负债率超过85%应安排担保措施，超过90%不宜发债。

二、根据发债主体信用等级完善相应偿债保障措施

对城投类企业和完全竞争产业类企业两类主体的偿债保障措施拟根据评级情况做如下规定：

（一）产业类企业主体评级为AA-及以下的，应采取抵质押或第三方担保等措施。

（二）城投类企业主体评级在AA-及以下的，应采取签订政府（或高信用企业）回购协议等保障措施或提供担保。

三、完善保障房项目手续条件

为贯彻《国务院办公厅关于保障性安居工程建设和管理的指导意见》（国办发[2011]45号）中规范利用企业债券融资支持保障房建设的精神，对于募集资金主要用于保障房建设的发债申请列入审核绿色通道，优先办理。对保障房类项目手续提出以下要求。

（一）发债募集资金拟投入的保障房项目应纳入省级保障房计划，或省级政府与地市政府签订的保障房建设目标责任书，并严格限定在公租房、廉租房、经济适用房、限价商品房和各类棚户区改造的范围内。对省级计划和目标责任书之外的住房建设项目发债融资，按照一般企业债对待。

（二）保障房项目的审批、土地、环保等文件应齐备，偿债资金来源明确。

（三）一般性旧城改造、城乡一体化项目仍按照正常发债申请对待。

四、根据募集资金投向细化分类管理

（一）募集资金用于旅游基础设施建设、物流园区建设、开发区建设、产业园建设、水利、公路等基础设施投资为主的地方国有企业发债，因涉及政府投资计划及各项政策，不按完全竞争的产业类企业对待，原则上按政府投融资平台公司进行管理。

（二）按照国务院文件的要求，具有完全公益性的社会事业项目如体育中心、艺术馆、博物馆、图书馆等项目的建设，应根据地方财力和公共服务的需要量力而行，不宜通过发行企业债券筹集建设资金。

五、进一步规范企业债券担保行为

为了规范企业担保行为，防止担保流于形式，切实防范债券风险，要采取以下措施：

（一）禁止发债企业互相担保或连环担保。

（二）对发债企业为其他企业发债提供担保的，在考察资产负债率指标时按担保额一半计入本企业负债额。

（三）政府投融资平台公司为其他企业发行债券提供担保的，按担保额的三分之一计入该平台公司已发债余额。

（四）加强对抵质押担保行为的监管。抵质押物须经过具有证券从业资格的评估机构进行价值评估。在债券征信工作中，关注发行人是否有不良征信记录情况，发行人在综合信用承诺书中要对抵质押物没有“一物多押”进行承诺。加强对债券存续期抵质押资产状况的监管和信息披露。

六、规范信用评级，防止评级虚高

为规范信用评级机构的评级行为，防止以高评级招揽客户、“以价定级”、跟踪评级不尽职、出现兑付风险事件而不及时揭示风险等行为，将采取以下措施：

（一）加强评级机构自身信用记录的采集使用，强化综合信用承诺制度，对以高评级招揽客户、“以价定级”等行为进行处罚。

（二）我委将组织市场机构投资者定期对评级机构进行评价，加强对评级机构企业债券评级行为的监督。对评级质量差，风险揭示严重缺失的评级机构实行禁入制度。

（三）鼓励举报不规范评级行为，一经查实，按规定处罚。

七、加大对主承销商尽职工作的监管力度

为进一步规范主承销商的承销债券行为，将采取以下行为：

（一）对于发行人首次发行债券的，主承销商应提供发行人辅导报告。

（二）对于再次申请发债的，主承销商应提供发行人在存续期信息披露、募集资金使用和兑付本息情况的报告。

（三）切实提高发债材料质量，主承销商应建立完整的企业基本情况的尽职调查工作底稿，以备检查。主承销商应提供质量（风险）控制机构的审查报告。

（四）建立主承销商企业债券主办人制度，券商应提供主办人员教育背景及业绩记录，在我委备案。发债材料应由两名主办人员签字，并签署书面诚信尽职承诺。

（五）我委将加强对发债材料审核，审核中发现发债材料存在重大瑕疵、重大遗漏、披露不实不清或出现明显文字错误等情况的，将直接退回发债申请，并对主办人员给予批评，记入档案，要求主承销商进行整改。

（六）建立发债材料披露质量专家评议制度，拟邀请投资者代表定期对披露的发债材料质量进行评价。

（七）完善主承销商的自身信用记录并做好信用审核工作，逐步建立主承销商综合信用承诺制度。

八、加强对城投公司注入资产及重组的管理

（一）注入资产必须为经营性资产。政府办公场所、公园、学校等纯公益性资产不得注入城投公司。

（二）注入资产必须经具有证券从业资格的资产评估机构评估，由有关主管部门办理相关权属转移登记及变更工商登记。

（三）作为企业注册资本注入的土地资产除经评估外，必须取得土地使用权证，属于划拨、变更土地使用权人的，应证明原土地使用证已经注销。