【总结】内部控制应用指引-18罗汉

优化信息系统提升管理水平——财政部会计司解读《企业内部控制应用指引第18号——信息系统》一、信息系统内部控制概述《企业内部控制应用指引第18号———信息系统》中所指信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。

信息系统内部控制的主要对象是信息系统，由计算机硬件、软件、人员、信息流和运行规程等要素组成。

二、信息系统的开发企业根据发展战略和业务需要进行信息系统建设，首先要确立系统建设目标，根据目标进行系统建设战略规划，再将规划细化为项目建设方案。

选择外购调试或业务外包方式的，应当采用公开招标等形式择优选择供应商或开发单位。

选择自行开发信息系统的，信息系统归口管理部门应当组织企业内部相关业务部门进行需求分析，合理配置人员，明确系统设计、编程、安装调试、验收、上线等全过程的管理要求。

企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理，增进开发单位与企业内部业务部门的日常沟通和协调，组织独立于开发单位的专业机构对开发完成的信息系统进行检查验收，并组织系统上线运行。

三、信息系统的运行与维护信息系统的运行与维护主要包含三方面的内容：日常运行维护、系统变更和安全管理。

（一）日常运行维护的关键控制点和主要控制措施日常运行维护的目标是保证系统正常运转，主要工作内容包括系统的日常操作、系统的日常巡检和维修、系统运行状态监控、异常事件的报告和处理等。

这一环节的主要风险是：第一，没有建立规范的信息系统日常运行管理规范，计算机软硬件的内在隐患易于爆发，可能导致企业信息系统出错。

第二，没有执行例行检查，导致一些人为恶意攻击会长期隐藏在系统中，可能造成严重损失。

第三，企业信息系统数据未能定期备份，可能导致损坏后无法恢复，从而造成重大损失。

主要控制措施：第一，企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。

2010年07月09日第07版优化信息系统提升管理水平———财政部会计司解读《企业内部控制应用指引第18号———信息系统》作者：来源：字数：10890一、信息系统内部控制概述《企业内部控制应用指引第18号—————信息系统》中所指信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。

信息系统内部控制的目标是促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操纵因素；同时，增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。

信息系统内部控制的主要对象是信息系统，由计算机硬件、软件、人员、信息流和运行规程等要素组成。

现代企业的运营越来越依赖于信息系统。

比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等，没有信息系统的支撑，业务开展就举步维艰、难以为继，企业经营就很可能陷入瘫痪状态。

还有一些新兴产业和新兴企业，其商业模式完全依赖信息系统，比如各种网络公司（新浪、网易、百度）、各种电子商务公司（比如阿里巴巴、卓越公司），没有信息系统，这些企业可能会失去生存之基。

同时应当看到，企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险，至少应当关注下列方面：一是信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下；二是系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制；三是系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。

鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用，加之信息系统本身的复杂性和高风险特征，《企业内部控制应用指引第18号———信息系统》规定，企业负责人对信息系统建设工作负责。

换言之，信息系统建设是“一把手”工程。

只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作，才能统一思想、提高认识、加强协调配合，从而推动信息系统建设在整合资源的前提下高效、协调推进。

信息系统内部控制：过程控制和环境控制的结合—解读《企业内部控制应用指引第18号—信息系统》信息系统生成与经营和财务有关的信息报告，是集系统、信息和控制于一体的一种应用。

由于所有信息都是数据经过输入、处理、输出形成的，因此对信息的任何控制都是对数据输入、处理、输出的控制。

本文结合财政部等五部委出台的企业内部控制基本规范和《内部控制应用指引第18号—信息系统》，将信息系统内部控制按与输入、处理、输出的关系分为终端用户控制、信息处理控制、持续运行控制、硬件保护控制四项内容。

其中，终端用户控制和信息处理控制是信息系统的实体内容，共同构成数据输入、处理和输出的过程控制，前者是对人的控制，后者是对系统的控制；持续运行控制和硬件保护控制是信息系统运行的必备支撑，共同构成系统运行的环境控制，前者是对软环境的控制，后者是对硬环境的控制。

一、终端用户控制（一）授权使用制度企业应当根据业务性质、重要性程度、涉密情况等因素确定信息系统的安全等级，建立不同等级信息的授权使用制度。

一般来说，企业应通过建立权限控制矩阵来指定信息用户所能执行的功能，即控制终端用户的范围及其可执行的操作。

有些用户只能查询有关数据，有些用户则有权查询和修改数据，而另一些用户甚至还可以修改程序。

在企业整体的权限调整、新终端用户的人员增设、原终端用户的权限修改和岗位调离等情况下需要进行权限变更，但必须经过以下步骤：首先，由终端用户填写权限申请表，陈述理由和要求；部门负责人根据终端用户的工作性质决定审核结果；主管领导根据部门职能和部门负责人的意见决定审核结果；最后，由系统维护人员根据审核意见修改权限控制矩阵的内容。

为确保权限授予的准确、高效和有据可查，在维护之前，系统维护人员应与终端用户和部门负责人确认；维护完毕后，应尽快通知相应终端用户、部门负责人和单位主管领导，并将维护日志与授权申请书归档备查。

（二）用户管理制度1.用户访问控制。

终端用户的访问控制有系统的访问控制和系统程序及数据的访问控制两种方式。

企业内部控制规范第一部分企业内部控制基本规范第二部分企业内部控制配套指引第一部分企业内部控制基本规范第一章总则第一条为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据《中华人民共和国公司法》、《中华人民共和国证券法》、《中华人民共和国会计法》和其他有关法律法规，制定本规范。

第二条本规范适用于中华人民共和国境内设立的大中型企业。

小企业和其他单位可以参照本规范建立与实施内部控制。

大中型企业和小企业的划分标准根据国家有关规定执行。

第三条本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

第四条企业建立与实施内部控制，应当遵循下列原则：（一）全面性原则。

内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。

（二）重要性原则。

内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。

（三）制衡性原则。

内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。

（四）适应性原则。

内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。

（五）成本效益原则。

内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。

第五条企业建立与实施有效的内部控制，应当包括下列要素：（一）内部环境。

内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

（二）风险评估。

风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

（三）控制活动。

控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。

18项《企业内部控制应用指引》《企业内部控制评价指引》和《企业内部控制审计指引》考虑企业生产经营计划、市场供求等因素，充分利用信息系统，合理确定存货采购日期和数量，确保存货处于最佳库存状态。

第十二条企业应当建立存货盘点清查制度，结合本企业实际情况确定盘点周期、盘点流程等相关内容，核查存货数量，及时发现存货减值迹象。

企业至少应当于每年年度终了开展全面盘点清查，盘点清查结果应当形成书面报告。

盘点清查中发现的存货盘盈、盘亏、毁损、闲置以及需要报废的存货，应当查明原因、落实并追究责任，按照规定权限批准后处置。

第三章固定资产第十三条企业应当加强房屋建筑物、机器设备等各类固定资产的管理，重视固定资产维护和更新改造，不断提升固定资产的使用效能，积极促进固定资产处于良好运行状态。

企业应当严格执行固定资产日常维修和大修理计划，定期对固定资产进行维护保养，切实消除安全隐患。

企业应当强化对生产线等关键设备运转的监控，严格操作流程，实行岗前培训和岗位许可制度，确保设备安全运转。

36第十五条企业应当根据发展战略，充分利用国家有关自主创新政策，加大技改投入，不断促进固定资产技术升级，淘汰落后设备，切实做到保持本企业固定资产技术的先进性和企业发展的可持续性。

第十六条企业应当严格执行固定资产投保政策，对应投保的固定资产项目按规定程序进行审批，及时办理投保手续。

第十七条企业应当规范固定资产抵押管理，确定固定资产抵押程序和审批权限等。

企业将固定资产用作抵押的，应由相关部门提出申请，经企业授权部门或人员批准后，由资产管理部门办理抵押手续。

企业应当加强对接收的抵押资产的管理，编制专门的资产目录，合理评估抵押资产的价值。

第十八条企业应当建立固定资产清查制度，至少每年进行全面清查。

对固定资产清查中发现的问题，应当查明原因，追究责任，妥善处理。

企业应当加强固定资产处置的控制，关注固定资产处置中的关联交易和处置定价，防范资产流失。

第四章无形资产第十九条企业应当加强对品牌、商标、专利、专有技术、土地使用权等无形资产的管理，分类制定无形资产管理办法，落实无形资37产管理责任制，促进无形资产有效利用，充分发挥无形资产对提升企业核心竞争力的作用。

财政部证监会审计署文件银监会保监会财会[2010]11号财政部证监会审计署银监会保监会关于印发企业内部控制配套指引的通知中直管理局，铁道部、国管局，总后勤部、武警总部，各省、自治区、直辖市、计划单列市财政厅（局）、审计厅（局），新疆生产建设兵团财务局、审计局，中国证监会各省、自治区、直辖市、计划单列市监管局，中国证监会上海、深圳专员办，各保监局、保险公司，各银监局、政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、资产管理公司，各省级农村信用联社，银监会直接管理的信托公司、财务公司、租赁公司，有关中央管理企业：为了促进企业建立、实施和评价内部控制，规范会计师事务所内部控制审计行为，根据国家有关法律法规和《企业内部控制基本规范》（财会［2008］7号），财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》（以下简称企业内部控制配套指引），现予印发，自2011年1月1日起在境内外同时上市的公司施行，自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行；在此基础上，择机在中小板和创业板上市公司施行。

鼓励非上市大中型企业提前执行。

请各上市公司及相关非上市大中型企业切实做好执行前的各项准备工作。

执行《企业内部控制基本规范》及企业内部控制配套指引的上市公司和非上市大中型企业，应当对内部控制的有效性进行自我评价，披露年度自我评价报告，同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。

上市公司聘请的会计师事务所应当具有证券、期货业务资格；非上市大中型企业聘请的会计师事务所也可以是不具有证券、期货业务资格的大中型会计师事务所。

执行中有何问题，请及时反馈我们。

附件：1.企业内部控制应用指引2.企业内部控制评价指引3.企业内部控制审计指引财政部证监会审计署银监会保监会二○一○年四月十五日附件1：企业内部控制应用指引企业内部控制应用指引第 1 号——组织架构第一章总则第一条为了促进企业实现发展战略，优化治理结构、管理体制和运行机制，建立现代企业制度，根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》，制定本指引。

第六章风险管理框架下的内部控制本章主要讲述两大部分内容：内部控制和公司治理机制基本原则。

其中，亮点内容为“十八罗汉”，即十八项应用指引的学习和掌握。

除上述“十八罗汉”是复习备考本章的挑战和障碍外，其余内容较为简单理解和掌握。

一、本章主要考点掌握要求总说1、内部控制和风险管理的关系★★2、内部控制规范的框架体系★★★3、内部控制基本规范理论要点★★★4、内部控制应用指引★★5、内部控制评价指引★★6、内部控制审计指引★7、审计委员会在内部控制中的作用★★★8、公司治理机制的基本原则★★9、风险管理、内部控制、公司治理三者的关系★★★二、主要知识点掌握内容总结、分析与点评【知识点1】内部控制和风险管理的关系1、内部控制与风险管理关系不同观点（1）观点1：内部控制包含风险管理（2）观点2：风险管理包含内部控制（3）观点3：内部控制与风险管理是一对既互相联系又互相差别的概念。

2、内部控制与风险管理的异同（第3种观点）（1）两者均是合理保证目标实现的过程（相同点）（2）风险管理更偏向这一过程的前端，更偏向对影响目标实现的因素的分析、评估与应对（不同点）（3）相对于内部控制，风险管理是一个更为独立的过程。

内部控制更加重视实施，嵌入企业各业务流程的具体业务活动中（不同点）【知识点2】内部控制规范的框架体系一个规范，三个指引1、《企业内部控制基本规范》（核心统领）2、《企业内部控制应用指引》（应用指引）3、《企业内部控制评价指引》（事后鉴定）4、《企业内部控制审计指引》（事后鉴定）【知识点3】内部控制基本规范理论要点1、《企业内部控制基本规范》的五个要素（1）内部环境（2）风险评估（3）控制活动（4）信息与沟通（5）内部监督2、《企业内部控制应用指引》分类（1）内部环境类指引：组织结构、发展战略、人力资源、社会责任、企业文化（2）控制活动类指引：资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告（3）控制手段类指引：全面预算、合同管理、内部信息传递、信息系统3、内部控制定义由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

2014年《公司战略与风险管理》知识点：内部控制应用指引18知识点：内部控制应用指引十八、信息系统《企业内部控制应用指引第18号——信息系统》所称信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。

（一）利用信息系统实施内部控制需关注的主要风险（1）信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。

（2）系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。

（3）系统运行维护和安全措施不到位，可能导致信息泄露或毁损，系统无法正常运行。

（二）内部控制要求与措施1.信息系统的开发（1）提出项目建设方案，按照规定的权限和程序审批后实施。

企业开发信息系统，可以采取自行开发、外购调试、业务外包等方式。

选定外购调试或业务外包方式的，应当采用公开招标等形式择优确定供应商或开发单位。

（2）【开发信息系统的一些要求】应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能。

按照不同业务的控制要求，通过信息系统中的权限管理功能控制用户的操作权限，避免将不相容职责的处理权限授予同一用户。

针对不同数据的输入方式，考虑对进入系统数据的检查和校验功能。

对于必需的后台操作，应当加强管理。

在信息系统中设置操作日志功能，确保操作的可审计性。

对异常的或者违背内部控制要求的交易和数据，应当设计由系统自动报告并设置跟踪处理机制。

（3）企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理。

（4）企业应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试。

（5）企业应当切实做好信息系统上线工作。

2.信息系统的运行与维护。

（1）企业应当加强信息系统运行与维护的管理。

企业应当建立信息系统变更管理流程。

信息系统操作人员不得擅自进行系统软件的删除、修改等操作；不得擅自升级、改变系统软件版本；不得擅自改变软件系统环境配置。

吕鹏老师总结：18个应用指引吕鹏老师总结：18个应用指引18个应用指引是公司战略考试中非常重要的内容，吕鹏老师对相关内容进行了总结，希望帮助大家学习~内部控制应用指引第1号——组织结构企业在设计组织结构时应遵守的四大原则：1、按照国家法律法规、企业章程，建立规范的公司治理结构，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行及监督等方面的职责权限互相分离，形成制衡。

2、企业应当按照科学、精简、高效、透明、制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。

3、企业应当根据组织结构的设计规范，对现有治理结构和内部机构设置进行全面梳理，确保企业治理结构、内部职能机构设置和运行机制等符合现代企业制度要求。

4、企业拥有子公司的，应当建立科学的投资管控制度，通过合法有效的形式履行出资人职责、维护出资人权益，重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。

“三重一大”，即：重大决策、重大事项、重要人事任免，大额资金使用。

内部控制应用指引第2号——战略发展战略发展——风险：1、缺乏明确的发展战略或实施不到位而导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力的风险；2、发展战略过于激进，脱离企业实际能力或偏离主业导致企业过度扩张，甚至经营失败的风险；3、发展战略因主观原因频繁变动导致企业资源浪费，甚至危及企业的生存和持续发展的风险。

战略发展——应对措施：1、要求企业在董事会下设战略委员会，或指定相关机构负责发展战略管理工作，履行相应职责。

2、进行充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标。

3、战略规划应根据企业的发展目标制定，明确发展的阶段性和发展程度，确定每个发展阶段的具体目标、工作任务和实施路径。

企业内部控制应用指引第18号企业内部控制应用指引第 18 号——信息系统第一章总则第一条为了促进企业有效实施内部控制，提高企业现代化管理水平，减少人为因素，根据有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条本指引所称信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。

第三条企业利用信息系统实施内部控制至少应当关注下列风险：（一）信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。

（二）系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。

（三）系统运行维护和安全措施不到位，可能导致信息泄漏或损，系统无法正常运行。

第四条企业应当重视信息系统在内部控制中的作用，根据内部控制要求，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设整体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。

企业应当指定专门机构对信息系统建设实施归口管理，明确相关位的职责权限，建立有效工作机制。

企业可委托专业机构从事信息系统的开发、运行和维护工作。

企业负责人对信息系统建设工作负责。

第二章信息系统的开发第五条企业应当根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施。

企业信息系统归口管理部门应当组织内部各单位提出开发需求和关键控制点，规范开发流程，明确系统设计、编程、安装调试、验收、上线等全过程的管理要求，严格按照建设方案、开发流程和相关要求组织开发工作。

企业开发信息系统，可以采取自行开发、外购调试、业务外包等方式。

选定外购调试或业务外包方式的，应当采用公开招标等形式择优确定供应商或开发单位。

第六条企业开发信息系统，应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能。

注册会计师内部控制18个指引注册会计师内部控制18个指引，是企业内部控制的重要准则，具有指导企业实施内部控制的作用。

在企业管理和财务报告方面，内部控制是不可或缺的一环。

注册会计师通过对企业内部控制的审核，提高了财务报告的可靠性和透明度，保障了投资者的利益和社会公众的信任。

首先，内部控制的建立是企业管理的基础。

注册会计师内部控制18个指引对企业内部控制的建立提供了具体的指导方针。

企业在制定内部控制政策和程序时，可以参考这些指引，确保内部控制体系健全完善。

其次，内部控制有助于防止和发现财务风险。

注册会计师内部控制18个指引中，包含了涵盖企业各个方面的控制要点，如资产管理、财务报告、内部审计等。

企业可以根据这些指引建立健全的内部控制机制，及时发现和解决潜在的风险，提高财务管理的效率和准确性。

另外，内部控制有助于提高企业的经营效率。

注册会计师内部控制18个指引要求企业建立明确的控制目标和责任分工，加强内部流程和程序的规范性和效率性。

这有助于企业减少管理成本，提高资源利用效率，增强竞争力。

此外，内部控制可以增强企业的治理和监督机制。

注册会计师内部控制18个指引规定了企业内部控制的审计和监督要求，帮助企业建立有效的内部监督机制。

企业可以通过内部控制的自审、外审和持续改进，实现对内部决策和运营的监督和管理，确保企业的长期可持续发展。

总的来说，注册会计师内部控制18个指引是企业内部控制制度的基础和指导原则，对企业的管理和财务报告具有重要的意义。

企业可以通过遵循这些指引，建立高效、健全的内部控制机制，提升管理水平和财务报告的透明度，增强企业的竞争力和可持续发展能力。

同时，注册会计师在审核企业内部控制时，也能够更加深入全面地了解企业的经营情况和风险状况，为投资者提供更为可靠的信息，维护市场秩序和投资者权益。

18项《企业内部控制应用指引》《企业内部控制评价指引》和《企业内部控制审计指引》附件1：企业内部控制应用指引企业内部控制应用指引第1号，组织架构第一章总则第一条为了促进企业实现发展战略，优化治理结构、管理体制和运行机制，建立现代企业制度，根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条本指引所称组织架构，是指企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。

第三条企业至少应当关注组织架构设计与运行中的下列风险：（一）治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。

（二）内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下。

第二章组织架构的设计第四条企业应当根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡。

董事会对股东（大）会负责，依法行使企业的经营决策权。

可按照股东（大）会的有关决议，设立战略、审计、提名、薪酬与考核等专门委员会，明确各专门委员会的职责权限、任职资格、议事规则和工作程序，为董事会科学决策提供支持。

监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。

经理层对董事会负责，主持企业的生产经营管理工作。

经理和其他高级管理人员的职责分工应当明确。

董事会、监事会和经理层的产生程序应当合法合规，其人员构成、知识结构、能力素质应当满足履行职责的要求。

第五条企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度。

任何个人不得单独进行决策或者擅自改变集体决策意见。

重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。

18项《企业内部控制应用指引》《企业内部控制评价指引》和《企业内部控制审计指引》附件1：企业内部控制应用指引企业内部控制应用指引第1号，组织架构第一章总则第一条为了促进企业实现发展战略，优化治理结构、管理体制和运行机制，建立现代企业制度，根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条本指引所称组织架构，是指企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。

第三条企业至少应当关注组织架构设计与运行中的下列风险：（一）治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。

（二）内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下。

第二章组织架构的设计第四条企业应当根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡。

董事会对股东（大）会负责，依法行使企业的经营决策权。

可按照股东（大）会的有关决议，设立战略、审计、提名、薪酬与考核等专门委员会，明确各专门委员会的职责权限、任职资格、议事规则和工作程序，为董事会科学决策提供支持。

监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。

经理层对董事会负责，主持企业的生产经营管理工作。

经理和其他高级管理人员的职责分工应当明确。

董事会、监事会和经理层的产生程序应当合法合规，其人员构成、知识结构、能力素质应当满足履行职责的要求。

第五条企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度。

任何个人不得单独进行决策或者擅自改变集体决策意见。

重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。

附件1：企业内部控制应用指引企业内部控制应用指引第1号——组织架构第一章总则第一条为了促进企业实现发展战略，优化治理结构、管理体制和运行机制，建立现代企业制度，根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条本指引所称组织架构，是指企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。

第三条企业至少应当关注组织架构设计与运行中的下列风险：（一）治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。

（二）内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下。

第二章组织架构的设计第四条企业应当根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡。

董事会对股东（大）会负责，依法行使企业的经营决策权。

可按照股东（大）会的有关决议，设立战略、审计、提名、薪酬与考核等专门委员会，明确各专门委员会的职责权限、任职资格、议事规则和工作程序，为董事会科学决策提供支持。

监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。

经理层对董事会负责，主持企业的生产经营管理工作。

经理和其他高级管理人员的职责分工应当明确。

董事会、监事会和经理层的产生程序应当合法合规，其人员构成、知识结构、能力素质应当满足履行职责的要求。

第五条企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度。

任何个人不得单独进行决策或者擅自改变集体决策意见。

重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。

第六条企业应当按照科学、精简、高效、透明、制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。

附件1：企业内部控制应用指引企业内部控制应用指引第1号—-组织架构第一章总则第一条为了促进企业实现发展战略,优化治理结构、管理体制和运行机制，建立现代企业制度,根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》,制定本指引。

第二条本指引所称组织架构，是指企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际，明确股东（大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。

第三条企业至少应当关注组织架构设计与运行中的下列风险：（一)治理结构形同虚设,缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略.（二）内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮,运行效率低下。

第二章组织架构的设计第四条企业应当根据国家有关法律法规的规定,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离,形成制衡.董事会对股东（大）会负责，依法行使企业的经营决策权。

可按照股东（大）会的有关决议,设立战略、审计、提名、薪酬与考核等专门委员会，明确各专门委员会的职责权限、任职资格、议事规则和工作程序，为董事会科学决策提供支持。

监事会对股东(大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责.经理层对董事会负责,主持企业的生产经营管理工作.经理和其他高级管理人员的职责分工应当明确。

董事会、监事会和经理层的产生程序应当合法合规，其人员构成、知识结构、能力素质应当满足履行职责的要求。

第五条企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,应当按照规定的权限和程序实行集体决策审批或者联签制度。

任何个人不得单独进行决策或者擅自改变集体决策意见。

重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。

第六条企业应当按照科学、精简、高效、透明、制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。