《企业内部控制应用指引》第三章控制手段类指引

第三章控制手段类指引

控制手段类指引偏重于“工具”性质，往往涉及企业整体业务或管理。此类指引有4项，包括全面预算、合同管理、内部信息传递和信息系统等指引。

一、内部控制应用指引第15号——全面预算

全面预算是企业对一定期间经营活动、投资活动、财务活动等作出的预算安排。

企业要想使全面预算管理达到预期的效果，必须要特别关注和防范预算管理中的风险，主要包括：不编制预算或预算不健全，可能导致企业经营缺乏约束或盲目发展；预算目标不合理、编制不科学，可能导致企业资源浪费或发展目标难以实现；预算缺乏刚性、执行不力、考核不严，可能导致预算管理流于形式。

为此，全面预算应用指引要求企业在加强全面预算工作的组织领导，明确预算管理体制以及各预算执行单位的职责权限、授权批准程序和工作协调机制的基础上，着重做到以下几点：

1.企业应当建立和完善预算编制工作制。

2.企业应当根据发展战略和年度生产经营计划，综合考虑预算期内经济政策、市场环境等因素，按照上下结合、分级编制、逐级汇总的程序，编制年度全面预算。

3.企业应当加强对预算执行的管理。

4.企业应当建立严格的预算执行考核制度。

二、内部控制应用指引第16号——合同管理

1.合同管理中常见的风险：

（1）企业未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈，会导致企业合法权益受到侵害；

（2）合同未全面履行或监控不当；

（3）合同纠纷处理不当，则会损害企业利益、信誉和形象。

2.针对合同管理的风险的应对措施：

（1）企业对外发生经济行为，除即时结清方式外，应当订立书面合同。

（2）企业应当根据协商、谈判结果，拟定合同文本，明确双方的权利义务和违约责任，并严格进行审核。

（3）企业应当按照规定的权限和程序与对方当事人签署合同。

（4）企业应当加强合同信息安全保密工作。

（5）企业应当遵循诚实信用原则严格履行合同，对合同履行实施有效监控。

（6）企业应当建立合同履行情况评估制度，至少于每年年末对合同履行的总体情况和重大合同履行的具体情况进行分析评估，对分析评估中发现的不足或问题应及时加以改进。

三、内部控制应用指引第17号——内部信息传递

内部信息传递是企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。

1.内部信息传递的相关重要风险：

（1）企业内部报告系统缺失、功能不健全，内容不完整，可能会影响生产经营有序运行；

（2）内部信息传递不通畅、不及时，则可能导致企业决策失误、相关政策措施难以落实；

（3）内部信息传递中泄露商业秘密，则会削弱企业核心竞争力。

2.针对内部信息传递的风险的管控措施：

（1）企业应当根据发展战略、风险控制和业绩考核要求，规范不同级次内部报告的指标体系，全面反映与企业生产经营管理相关的各种内外部信息。

（2）企业应当制定严密的内部报告流程，充分利用信息技术，强化内部报告信息集成和共享，将内部报告纳入企业统一信息平台，构建科学的内部报告网络体系。

（3）企业应当拓宽内部报告的渠道，广泛收集合理化建议。

（4）企业应当重视内部报告的使用。企业各级管理人员应当充分利用内部报告管理和指导企业的生产经营活动，及时反映全面预算执行情况。

四、内部控制应用指引第18号——信息系统

信息系统是信息内部传递和信息对外报告的技术手段，是企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。

1.信息系统常见风险：

（1）信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下；

（2）系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制；

（3）系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。

2.针对信息系统的风险的管控措施：

（1）企业应当根据信息系统建设整体规划提出项目建设方案，按照规定的权限和程序审批后实施。

（2）企业开发信息系统，应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序。

（3）企业应当加强信息系统开发全过程的跟踪管理。

（4）企业应当加强信息系统运行与维护的管理，制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。

（5）企业应当重视信息系统运行中的安全保密工作，确定信息系统的安全等级，并定期对数据进行备份，避免损失。

对于服务器等关键信息设备，未经授权，任何人不得接触。