企业内部控制应用指引信息系统一般控制
企业内部控制应用指引第 16 号
企业内部控制应用指引第 16 号
根据企业内部控制应用指引第 16 号,企业应建立健全的内部控制制度,包括但不限于以下方面:
1. 内部审计:建立内部审计部门或委托专业机构进行内部审计,对企业各项业务活动进行全面审计和监督,及时发现和纠正存在的问题。
2. 财务管理:建立完善的财务管理制度,包括资金管理、财务报告、成本控制等方面,确保财务活动合规、透明和有效。
3. 风险管理:建立风险管理制度,对企业可能面临的各类风险进行评估和控制,确保企业经营稳健和可持续发展。
4. 内部监督:建立内部监督机制,对企业各项业务活动进行监督和检查,发现问题及时处理,防止违规行为发生。
5. 信息系统控制:建立信息系统控制制度,确保企业信息系统的安全、稳定和高效运行,防范信息泄露和网络攻击。
企业应根据自身实际情况,结合相关法律法规和行业规范,制定符合企业特点和发展需求的内部控制制度,不断完善和提升内部控制水平,确保企业运营活动的合规性和有效性。
财政部会计司解读《企业内部控制应用指引第18号——信息系统》-精简
优化信息系统提升管理水平——财政部会计司解读《企业内部控制应用指引第18号——信息系统》一、信息系统内部控制概述《企业内部控制应用指引第18号———信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
二、信息系统的开发企业根据发展战略和业务需要进行信息系统建设,首先要确立系统建设目标,根据目标进行系统建设战略规划,再将规划细化为项目建设方案。
选择外购调试或业务外包方式的,应当采用公开招标等形式择优选择供应商或开发单位。
选择自行开发信息系统的,信息系统归口管理部门应当组织企业内部相关业务部门进行需求分析,合理配置人员,明确系统设计、编程、安装调试、验收、上线等全过程的管理要求。
企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理,增进开发单位与企业内部业务部门的日常沟通和协调,组织独立于开发单位的专业机构对开发完成的信息系统进行检查验收,并组织系统上线运行。
三、信息系统的运行与维护信息系统的运行与维护主要包含三方面的内容:日常运行维护、系统变更和安全管理。
(一)日常运行维护的关键控制点和主要控制措施日常运行维护的目标是保证系统正常运转,主要工作内容包括系统的日常操作、系统的日常巡检和维修、系统运行状态监控、异常事件的报告和处理等。
这一环节的主要风险是:第一,没有建立规范的信息系统日常运行管理规范,计算机软硬件的内在隐患易于爆发,可能导致企业信息系统出错。
第二,没有执行例行检查,导致一些人为恶意攻击会长期隐藏在系统中,可能造成严重损失。
第三,企业信息系统数据未能定期备份,可能导致损坏后无法恢复,从而造成重大损失。
主要控制措施:第一,企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行。
第19章《企业内部控制应用指引第18号——信息系统》讲解
第十九章 《企业内部控制应用指引第18号——信息系统》讲解《企业内部控制应用指引第18号——信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的目标是促进企业有效实施内部控制,提高企业现代化管理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
信息系统内部控制包括一般控制和应用控制。
一般控制,是指对企业信息系统开发、运行和维护的控制;应用控制,是指利用信息系统对业务处理实施的控制(见图19-1)。
现代企业的运营越来越依赖于信息系统。
比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等,没有信息系统的支撑,业务开展就会举步维艰、难以为继,企业经营就很可能陷入瘫痪状态。
还有一些新兴产业和新兴企业,其商业模式完全依赖信息系统,比如各种网络公司(新浪、网易、百度)、各种电子商务公司(比如阿里巴巴、卓越公司),没有信息系统,这些企业可能会失去生存之基。
鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用,加之信息系统本身的复杂性和高风险特征,《企业内部控制应用指引第18号——信息系统》规定,企业负责人对信息系统建设工作负责。
换言之,信息系统建设是“一把手”工程。
只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作,才能统一思想、提高认识、加强协调配合,从而推动信息系统建设在整合资源的前提下高效、协调推进。
企业应当重视信息系统在内部控制中的作用,根据内部控制要求,结合组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设总体规划,加大投入力度,有序组织信息系统开发、运行与维护,优化管理流程,防范经营风险,全面提升企业现代化管理水平。
企业内部控制应用指引第17号——内部信息传递
《企业内部控制应用指引第17号——内部信息传递》一、信息系统内部控制概述《企业内部控制应用指引第18号——信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的目标是促进企业有效实施内部控制,提高企业现代化管理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
企业信息系统内部控制以及利用信息系统实施内部控制至少应当关注下列方面:1、信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;2、系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;3、系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
二、信息系统的开发企业根据发展战略和业务需要进行信息系统建设,首先要确立系统建设目标,根据目标进行系统建设战略规划,再将规划细化为项目建设方案。
企业开展信息系统建设,可以根据实际情况,选择自行开发、外购调试或业务外包等方式。
选择外购调试或业务外包方式的,应当采用公开招标等形式择优选择供应商或开发单位。
选择自行开发信息系统的,信息系统归口管理部门应当组织企业内部相关业务部门进行需求分析,合理配置人员,明确系统设计、编程、安装调试、验收、上线等全过程的管理要求。
企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理,增进开发单位与企业内部业务部门的日常沟通和协调,组织独立于开发单位的专业机构对开发完成的信息系统进行检查验收,并组织系统上线运行。
(一)制定信息系统开发的战略规划信息系统开发的战略规划是信息化建设的起点。
战略规划是以企业发展战略为依据制定的企业信息化建设的全局性、长期性规划。
企业内部控制应用指引
企业内部控制应用指引企业内部控制应当遵循全面性、重要性、制衡性、适应性和成本效益原则制定。
对企业的所有业务重新树立,优化内部环境,搞好风险评估,加强控制活动,确保信息畅通,强化内部监督,促进企业实现发展战略。
1、完善制度建设、实施内部控制。
以《企业内部控制规范-基本规范》、《企业内部控制基本规范》、《企业内部控制配套指引》等文件为依据,结合企业实际情况,全面梳理原有管理制度,在符合内部控制要求的前提下,着眼于管理创新、建立适合本企业的内部控制管理体系,明确相关部门人员的指责和权限,推行全面管理,提倡全员参与,建立彼此牵制、彼此连接、彼此制约的内控制度。
2、明确控制目标,优化内部控制环境。
内部控制制度重点是围绕会计核算和会计监督环节来设置的。
一般说来,健全的内部控制制度应能有效预防错误和舞弊的发生。
即使发生了,也容易及时发觉和纠正。
因此,在设计时必须明确控制目标,充分考虑各项内部控制制度是否符合内部控制基本原则,认真检查关键控制点是否进行了控制,所有的控制目标是否已达到。
控制环境是指对建立或实施某项政策发生影响的各种因素,主要反映单位管理者和其他人员对控制的态度、认识和行动。
企业内部控制应当建立在共同的道德规范的基础上,强调沟通和感情的交流,消除管理者和被管理者之间的隔膜,强调每一个人的积极性,形成真正意义上的团队精神。
只有当企业凝聚起来一种文化氛围、企业价值观、企业精神、经营境界和广大员工所认同的道德规范和行为方式,才能为内部控制程序的执行创造良好的人文环境,也只有企业中的每一个员工目标明确,观念相同,内部控制才能更有效。
3、提高会计人员素质。
会计人员素质是加强内部控制的关键,企业要通过科学合理的聘用、培训、轮岗、考核、奖励、晋升、淘汰等办法,提高财会人员整体素质。
在聘用会计人员上,要制定严格的招聘程序,不仅要选择业务能力强的人,更要注意选择那些具有良好的道德观、价值观的人才。
在会计人员安排上,要实行工作岗位轮换制,通过轮换及时发现存在的问题,抑制部分人员的不良动机。
《企业内部控制应用指引第18号——信息系统》解读 财政部会计司
建 设 , 致 企 业 经 营 管 理 效 率 低 下 。 二 ,没 有 将 信 息 化 与 导 第
2 1 0 财务与会计 57 0 1 6.
南鸯 骠
企业 业务 需 求结 合, 降低 了信息 系统 的应用价 值。信息孤 岛
已有成 熟的商品化软件和系统 实施方案 。比如大部分 企业的
同时应当看 到 , 企业 信息系 统 内部控 制以及 利用信息 系 统实 施 内部控 制也 面 临诸 多风 险,至少应 当关注 下 列方 面:
一
是信 息 系统 缺 乏 或 规 划不 合 理 , 能 造 成信 息 孤 岛或 重 可
单 位与企 业 内部业务 部 门的 日常 沟 通和 协调 , 组织 独立于 开
企 业 负 责 人 对 信 息 系 统 建 设 工 作 负 责 。换 言 之 , 系 统 建 信
划 是 以 企 业 发 展 战 略 为 依 据 制 定 的 企 业 信 息 化 建 设 的 全 局
性 、长期性 规 划 。 制定 信息 系统 战略 规划 的主要 风 险是 :第
一
,
缺 乏 战略规 划或 规划 不合 理 , 可能 造成信 息孤 岛或重 复
财 政 部 会 计 司
一
、
信息系统 内部控制概述
设 是“ 一把手 ” 工程 。 只有企 业负责人 站在 战略和 全局 的高度
亲 自组织 领导信 息系统 建设 工作 , 才能统 一思想 、 高认 识、 提
《 业 内部 控制 应用指 引第 1 号 —— 信 息系 统 中所 指 企 8 信 息系 统,是指企 业 利用计 算机 和通 信 技术 , 内部 控制 进 对 行 集成 、 化和 提 升所 形成 的信息化 管理 平 台。信息 系统 内 转
解读《企业内部控制应用指引第18号—信息系统》
信息系统内部控制:过程控制和环境控制的结合—解读《企业内部控制应用指引第18号—信息系统》信息系统生成与经营和财务有关的信息报告,是集系统、信息和控制于一体的一种应用。
由于所有信息都是数据经过输入、处理、输出形成的,因此对信息的任何控制都是对数据输入、处理、输出的控制。
本文结合财政部等五部委出台的企业内部控制基本规范和《内部控制应用指引第18号—信息系统》,将信息系统内部控制按与输入、处理、输出的关系分为终端用户控制、信息处理控制、持续运行控制、硬件保护控制四项内容。
其中,终端用户控制和信息处理控制是信息系统的实体内容,共同构成数据输入、处理和输出的过程控制,前者是对人的控制,后者是对系统的控制;持续运行控制和硬件保护控制是信息系统运行的必备支撑,共同构成系统运行的环境控制,前者是对软环境的控制,后者是对硬环境的控制。
一、终端用户控制(一)授权使用制度企业应当根据业务性质、重要性程度、涉密情况等因素确定信息系统的安全等级,建立不同等级信息的授权使用制度。
一般来说,企业应通过建立权限控制矩阵来指定信息用户所能执行的功能,即控制终端用户的范围及其可执行的操作。
有些用户只能查询有关数据,有些用户则有权查询和修改数据,而另一些用户甚至还可以修改程序。
在企业整体的权限调整、新终端用户的人员增设、原终端用户的权限修改和岗位调离等情况下需要进行权限变更,但必须经过以下步骤:首先,由终端用户填写权限申请表,陈述理由和要求;部门负责人根据终端用户的工作性质决定审核结果;主管领导根据部门职能和部门负责人的意见决定审核结果;最后,由系统维护人员根据审核意见修改权限控制矩阵的内容。
为确保权限授予的准确、高效和有据可查,在维护之前,系统维护人员应与终端用户和部门负责人确认;维护完毕后,应尽快通知相应终端用户、部门负责人和单位主管领导,并将维护日志与授权申请书归档备查。
(二)用户管理制度1.用户访问控制。
终端用户的访问控制有系统的访问控制和系统程序及数据的访问控制两种方式。
《企业内部控制应用指引》解读及运用讲义
第一章内部环境类应用指引字体:大中小打印:省纸版>> 清晰版>>自定义>>行距:单倍 1.2单倍 1.5倍 1.7倍2倍字体:大中小隐藏:答疑编号手写板序言2010年4月26日,财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会,隆重发布了《企业内部控制配套指引》(以下简称配套指引)。
该配套指引连同2008年5月发布的《企业内部控制基本规范》,共同构建了中国企业内部控制规范体系,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。
同时,鼓励非上市大中型企业提前执行。
配套指引由21项应用指引(此次发布18项,涉及银行、证券和保险等业务的3项指引暂未发布)、《企业内部控制评价指引》和《企业内部控制审计指引》组成。
关于应用指引的分类应用指引可以划分为三类,即内部环境类指引、控制活动类指引、控制手段类指引,基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。
对比:基本规范五要素:内部环境、风险评估、控制活动、信息与沟通和内部监督。
内部控制基本规范五要素与应用指引对比表内部环境内部环境内部控制应用指引第1号——组织架构风险评估内部控制应用指引第2号——发展战略内部控制应用指引第3号——人力资源内部控制应用指引第4号——社会责任内部控制应用指引第5号——企业文化控制活动控制活动内部控制应用指引第6号——资金活动内部控制应用指引第7号——采购业务内部控制应用指引第8号——资产管理内部控制应用指引第9号——销售业务内部控制应用指引第10号——研究与开发内部控制应用指引第11号——工程项目内部控制应用指引第12号——担保业务内部控制应用指引第13号——业务外包内部控制应用指引第14号——财务报告内部监督控制手段内部控制应用指引第15号——全面预算内部控制应用指引第16号——合同管理信息与沟通内部控制应用指引第17号——内部信息传递内部控制应用指引第18号——信息系统第一章内部环境类应用指引内部环境是企业实施内部控制的基础,支配着企业全体员工的内控意识,影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。
企业内部控制应用指引(1)
企业内部控制应用指引(征求意见稿)企业内部控制应用指引第xx号——资金(征求意见稿)第一章总则第一条为了引导企业加强对资金的内部控制,保证资金的安全,提高资金的使用效益,根据国家有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条本指引所称资金,是指企业所拥有或控制的现金、银行存款和其他资金。
第三条企业至少应当关注涉及资金管理的下列风险:(一)资金管理违反国家法律法规,可能遭受外部处罚、经济损失和信誉损失。
(二)资金管理未经适当审批或超越授权审批,可能因重大差错、舞弊、欺诈而导致损失。
(三)银行账户的开立、审批、使用、核对和清理不符合国家有关法律法规要求,可能导致受到处罚造成资金损失。
(四)资金记录不准确、不完整,可能造成账实不符或导致财务报表信息失真。
(五)有关票据的遗失、变造、伪造、被盗用以及非法使用印章,可能导致资产损失、法律诉讼或信用损失。
第四条企业在建立与实施资金内部控制中,至少应当强化对下列关键方面或者关键环节的控制:(一)职责分工、权限范围和授权审批程序应当明确规范,机构设置和人员配备应当科学合理。
(二)现金、银行存款的管理应当合法合规,银行账户的开立、审批、使用、核对、清理严格有效,现金盘点和银行对账单的核对应当按规定严格执行。
(三)资金的会计记录应当真实、准确、完整和及时。
(四)票据的购买、保管、使用、销毁等应当有完整记录,银行预留印鉴和有关印章的管理应当严格有效。
第二章职责分工与授权批准第五条企业应当建立资金业务的岗位责任制,明确相关部门和岗位的职责权限,确保办理资金业务的不相容岗位相互分离、制约和监督。
资金业务的不相容岗位至少应当包括:(一)资金支付的审批与执行。
(二)资金的保管、记录与盘点清查。
(三)资金的会计记录与审计监督。
出纳人员不得兼任稽核、会计档案保管和收入、支出、费用、债权债务账目的登记工作。
第六条企业应当配备合格的人员办理资金业务,并结合企业实际情况,对办理资金业务的人员定期进行岗位轮换。
18项《企业内部控制应用指引》《企业内部控制评价指引》及《企业内部控制审计指引》
附件1:企业内部控制应用指引企业内部控制应用指引第1号——组织架构第一章总则第一条为了促进企业实现发展战略,优化治理结构、管理体制和运行机制,建立现代企业制度,根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条本指引所称组织架构,是指企业按照国家有关法律法规、股东(大)会决议和企业章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。
第三条企业至少应当关注组织架构设计与运行中的下列风险:(一)治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略。
(二)内部机构设计不科学,权责分配不合理,可能导致机构重叠、职能交叉或缺失、推诿扯皮,运行效率低下。
第二章组织架构的设计第四条企业应当根据国家有关法律法规的规定,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序,确保决策、执行和监督相互分离,形成制衡。
董事会对股东(大)会负责,依法行使企业的经营决策权。
可按照股东(大)会的有关决议,设立战略、审计、提名、薪酬与考核等专门委员会,明确各专门委员会的职责权限、任职资格、议事规则和工作程序,为董事会科学决策提供支持。
监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责。
经理层对董事会负责,主持企业的生产经营管理工作。
经理和其他高级管理人员的职责分工应当明确。
董事会、监事会和经理层的产生程序应当合法合规,其人员构成、知识结构、能力素质应当满足履行职责的要求。
第五条企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,应当按照规定的权限和程序实行集体决策审批或者联签制度。
任何个人不得单独进行决策或者擅自改变集体决策意见。
重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。
第六条企业应当按照科学、精简、高效、透明、制衡的原则,综合考虑企业性质、发展战略、文化理念和管理要求等因素,合理设置内部职能机构,明确各机构的职责权限,避免职能交叉、缺失或权责过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。
2019年18项《企业内部控制应用指引》《企业内部控制评价指引》和《企业内部控制审计指引》.doc
附件1:企业内部控制应用指引企业内部控制应用指引第1号——组织架构第一章总则第一条为了促进企业实现发展战略,优化治理结构、管理体制和运行机制,建立现代企业制度,根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条本指引所称组织架构,是指企业按照国家有关法律法规、股东(大)会决议和企业章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。
第三条企业至少应当关注组织架构设计与运行中的下列风险:(一)治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略。
(二)内部机构设计不科学,权责分配不合理,可能导致机构重叠、职能交叉或缺失、推诿扯皮,运行效率低下。
第二章组织架构的设计第四条企业应当根据国家有关法律法规的规定,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序,确保决策、执行和监督相互分离,形成制衡。
董事会对股东(大)会负责,依法行使企业的经营决策权。
可按照股东(大)会的有关决议,设立战略、审计、提名、薪酬与考核等专门委员会,明确各专门委员会的职责权限、任职资格、议事规则和工作程序,为董事会科学决策提供支持。
监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责。
经理层对董事会负责,主持企业的生产经营管理工作。
经理和其他高级管理人员的职责分工应当明确。
董事会、监事会和经理层的产生程序应当合法合规,其人员构成、知识结构、能力素质应当满足履行职责的要求。
第五条企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,应当按照规定的权限和程序实行集体决策审批或者联签制度。
任何个人不得单独进行决策或者擅自改变集体决策意见。
重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。
第六条企业应当按照科学、精简、高效、透明、制衡的原则,综合考虑企业性质、发展战略、文化理念和管理要求等因素,合理设置内部职能机构,明确各机构的职责权限,避免职能交叉、缺失或权责过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。
企业内部控制应用指引第16号
企业内部控制应用指引第16号第一章总则第一条为了加强企业内部控制,提高企业管理水平,防范经营风险,根据《中华人民共和国公司法》、《中华人民共和国企业内部控制基本规范》等法律法规,制定本指引。
第二条本指引适用于中华人民共和国境内依法设立的企业。
国家有关法律法规对特定类型企业的内部控制有特殊规定的,从其规定。
第三条企业内部控制是指为实现经营目标,合理保证企业资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略,在企业内部采取的一系列制度安排、组织措施、业务流程、信息交流和监督评价等控制活动。
第四条企业内部控制应遵循以下原则:(一)全面性原则。
内部控制应涵盖企业及其所属单位的各种业务和事项。
(二)重要性原则。
内部控制应对企业重要业务和事项实施重点控制。
(三)制衡性原则。
内部控制应在企业内部形成相互制约、相互监督的机制。
(四)适应性原则。
内部控制应与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时调整。
(五)成本效益原则。
内部控制应权衡实施成本与预期效益,以适当的成本实现有效控制。
第二章内部控制环境第五条企业应建立和完善内部控制环境,包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计等方面。
第六条企业应建立健全公司治理结构,明确董事会、监事会和经理层的职责权限,形成科学有效的职责分工和制衡机制。
第七条企业应根据业务特点和规模,合理设置内部组织机构,明确各机构的职责权限,避免职能交叉、缺失或权责过于集中。
第八条企业应加强企业文化建设,培育积极向上的价值观和社会责任感,树立诚实守信、合规经营的理念。
第九条企业应制定人力资源政策,包括招聘、培训、评价、激励等方面,确保员工具备履行职责所需的专业胜任能力和道德素质。
第十条企业应设立内部审计机构,对内部控制的有效性进行监督和评价,及时报告内部控制存在的缺陷。
第三章风险评估第十一条企业应建立风险评估机制,对内部和外部风险进行识别、分析和评价,确定风险应对策略。
《企业内部控制应用指引》第三章控制手段类指引
第三章控制手段类指引控制手段类指引偏重于“工具”性质,往往涉及企业整体业务或管理。
此类指引有4项,包括全面预算、合同管理、内部信息传递和信息系统等指引。
一、内部控制应用指引第15号——全面预算全面预算是企业对一定期间经营活动、投资活动、财务活动等作出的预算安排。
企业要想使全面预算管理达到预期的效果,必须要特别关注和防范预算管理中的风险,主要包括:不编制预算或预算不健全,可能导致企业经营缺乏约束或盲目发展;预算目标不合理、编制不科学,可能导致企业资源浪费或发展目标难以实现;预算缺乏刚性、执行不力、考核不严,可能导致预算管理流于形式。
为此,全面预算应用指引要求企业在加强全面预算工作的组织领导,明确预算管理体制以及各预算执行单位的职责权限、授权批准程序和工作协调机制的基础上,着重做到以下几点:1.企业应当建立和完善预算编制工作制。
2.企业应当根据发展战略和年度生产经营计划,综合考虑预算期内经济政策、市场环境等因素,按照上下结合、分级编制、逐级汇总的程序,编制年度全面预算。
3.企业应当加强对预算执行的管理。
4.企业应当建立严格的预算执行考核制度。
二、内部控制应用指引第16号——合同管理1.合同管理中常见的风险:(1)企业未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈,会导致企业合法权益受到侵害;(2)合同未全面履行或监控不当;(3)合同纠纷处理不当,则会损害企业利益、信誉和形象。
2.针对合同管理的风险的应对措施:(1)企业对外发生经济行为,除即时结清方式外,应当订立书面合同。
(2)企业应当根据协商、谈判结果,拟定合同文本,明确双方的权利义务和违约责任,并严格进行审核。
(3)企业应当按照规定的权限和程序与对方当事人签署合同。
企业内部控制的应用指引
财政部解读企业内控指引序言财政部会计司司长刘玉廷解读《企业内部控制配套指引》 (1)第一章《企业内部控制应用指引第1号-- -组织架构》 (28)第二章《企业内部控制应用指引第2号——发展战略》 (34)第三章《企业内部控制应用指引第3号-- -人力资源》 (41)第四章《企业内部控制应用指引第4号-- -社会责任》 (47)第五章《企业内部控制应用指引第5号-- -企业文化》 (53)序言财政部会计司司长刘玉廷解读《企业内部控制配套指引》4月26日,财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会,隆重发布了《企业内部控制配套指引》(以下简称配套指引)。
该配套指引连同2008年5月发布的《企业内部控制基本规范》,共同构建了中国企业内部控制规范体系,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。
同时,鼓励非上市大中型企业提前执行。
执行企业内部控制规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。
政府监管部门将对相关企业执行内部控制规范体系的情况进行监督检查。
这是全面提升上市公司和非上市大中型企业经营管理水平的重要举措,也是我国应对国际金融危机的重要制度安排。
本人作为配套指引这一重大系统工程“建设”的直接参与者,拟就如何理解和把握其主要内容和精神实质进行解读,供大家参考。
配套指引由21项应用指引(此次发布18项,涉及银行、证券和保险等业务的3项指引暂未发布)、《企业内部控制评价指引》和《企业内部控制审计指引》组成。
其中,应用指引是对企业按照内控原则和内控“五要素”建立健全本企业内部控制所提供的指引,在配套指引乃至整个内部控制规范体系中占居主体地位;企业内部控制评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引;企业内部控制审计指引是为注册会计师和会计师事务所执行内部控制审计业务的执业准则。
企业内部控制应用指引第18号--信息系统-财会[2010]11号
![企业内部控制应用指引第18号--信息系统-财会[2010]11号](https://img.taocdn.com/s3/m/59b22cdbd4bbfd0a79563c1ec5da50e2524dd1dc.png)
企业内部控制应用指引第18号--信息系统正文:----------------------------------------------------------------------------------------------------------------------------------------------------企业内部控制应用指引第18号--信息系统(财政部、中国证券监督管理委员会、审计署、中国银行业监督管理委员会、中国保险监督管理委员会财会[2010]11号2010年4月15日)第一章总则第一条为了促进企业有效实施内部控制,提高企业现代化管理水平,减少人为因素,根据有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条本指引所称信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
第三条企业利用信息系统实施内部控制至少应当关注下列风险:(一)信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下。
(二)系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。
(三)系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
第四条企业应当重视信息系统在内部控制中的作用,根据内部控制要求,结合组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设整体规划,加大投入力度,有序组织信息系统开发、运行与维护,优化管理流程,防范经营风险,全面提升企业现代化管理水平。
企业应当指定专门机构对信息系统建设实施归口管理,明确相关单位的职责权限,建立有效工作机制。
企业可委托专业机构从事信息系统的开发、运行和维护工作。
企业负责人对信息系统建设工作负责。
第二章信息系统的开发第五条企业应当根据信息系统建设整体规划提出项目建设方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的权限和程序审批后实施。
《企业内部控制应用指引》-word(完整版)全部18个应用指引
《企业内部控制应用指引》-word(完整版)全部18个应用指引附件1:企业内部控制应用指引企业内部控制应用指引第1号——组织架构第一章总则第一条为了促进企业实现发展战略,优化治理结构、管理体制和运行机制,建立现代企业制度,根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条本指引所称组织架构,是指企业按照国家有关法律法规、股东(大)会决议和企业章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。
第三条企业至少应当关注组织架构设计与运行中的下列风险:(一)治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略。
(二)内部机构设计不科学,权责分配不合理,可能导致机构重叠、职能交叉或缺失、推诿扯皮,运行效率低下。
第二章组织架构的设计第四条企业应当根据国家有关法律法规的规定,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序,确保决策、执行和监督相互分离,形成制衡。
董事会对股东(大)会负责,依法行使企业的经营决策权。
可按照股东(大)会的有关决议,设立战略、审计、提名、薪酬与考核等专门委员会,明确各专门委员会的职责权限、任职资格、议事规则和工作程序,为董事会科学决策提供支持。
监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责。
经理层对董事会负责,主持企业的生产经营管理工作。
经理和其他高级管理人员的职责分工应当明确。
董事会、监事会和经理层的产生程序应当合法合规,其人员构成、知识结构、能力素质应当满足履行职责的要求。
第五条企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,应当按照规定的权限和程序实行集体决策审批或者联签制度。
任何个人不得单独进行决策或者擅自改变集体决策意见。
重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
企业内部控制应用指引--信息系统一般控制.txt 时尚,就是让年薪八千的人看上去像年薪十万。
我们总是要求男人有孩子一样的眼神,父亲一样的能力。
一分钟就可以遇见一个人,一小时喜欢上一个人,一天爱上一个人,但需要花尽一生的时间去忘记一个人。
中国的C-SOX 借鉴了美国及日本的法案,并体现了中国一贯喜欢的大而全的特点,并且专门制定了信息系统控制的指引:《企业内部控制应用指引--信息系统一般控制》。
附:信息系统一般控制全文
第一章总则
第一条为了引导企业充分利用信息系统规范交易行为,提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性,降低人为因素导致内部控制失效的可能性,形成良好的信息传递渠道,根据国家有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条本指引所称信息系统是指利用计算机技术对业务和信息进行集成处理的程序、数据和文档等的总称。
第三条企业至少应当关注涉及信息系统一般控制的下列风险:
(一)信息系统开发与使用违反国家法律法规,可能遭受外部处罚、经济损失和信誉损失。
(二)信息系统开发与使用未经适当审核或超越授权审批,可能因重大差错、舞弊、欺诈而导致损失。
(三)信息系统设计功能不科学、维护与变更程序不规范,可能导致企业经营效率与效果低
下。
(四)信息系统外包服务未恰当履行或监控不当,可能导致企业权益受损或违约损失。
(五)信息系统访问安全措施不当,可能导致商业秘密泄露。
(六)信息系统硬件管理不当,可能导致企业资产或股东权益受损。
第四条企业在建立与实施信息系统内部控制中,至少应当强化对下列关键方面或者关键环节的控制:
(一)职责分工、权限范围和审批程序应当明确规范,机构设置和人员配备应当科学合理,重大信息系统开发与使用事项应履行审批程序。
(二)信息系统开发、变更和维护流程应当清晰合理。
(三)应当建立访问安全制度,操作权限、信息使用、信息管理应当有明确规定。
(四)硬件管理事项和审批程序应当科学合理。
(五)会计信息系统流程应当规范,会计信息系统操作管理、硬件、软件和数据管理、会计信息化档案管理应当完善。
第二章岗位分工与授权审批第五条企业应当建立计算机信息系统岗位责任制。
计算机信息系统岗位一般包括:
(一)系统分析:分析用户的信息需求,并据此制定设计或修改程序的方案。
(二)编程:编写计算机程序来执行系统分析岗位的设计或修改方案。
(三)测试:设计测试方案,对计算机程序是否满足设计或修改方案进行测试,并通过反馈给编程岗位以修改程序并最终满足方案。
(四)程序管理:负责保障并监控应用程序正常运行。
(五)数据库管理:对信息系统中的数据进行存储、处理、管理,维护组织数据资源。
(六)数据控制:负责维护计算机路径代码的注册,确保原始数据经过正确授权,监控信息系统工作流程,协调输入和输出,将输入的错误数据反馈到输入部门并跟踪监控其纠正过程,将输出信息分发给经过授权的用户。
(七)终端操作:终端用户负责记录交易内容,授权处理数据,并利用系统输出的结果。
系统开发和变更过程中不相容岗位(或职责)一般应包括:开发(或变更)立项、审批、编程、测试。
系统访问过程中不相容岗位(或职责)一般应包括:申请、审批、操作、监控。
第六条企业计算机信息系统战略规划、重要信息系统政策等重大事项应当经由董事会(或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构,以下简称董事会)审批通过后,方可实施。
信息系统战略规划应当与企业业务目标保持一致。
信息系统使用部门应该参与信息系统战略规划、重要信息系统政策等的制定。
第七条企业可以指定专门部门(或岗位,下称归口管理部门)对计算机信息系统实施归口管理,负责信息系统开发、变更、运行、维护等工作。
财会部门负责信息系统中各项业务账务处理的准确性和及时性;会计电算化制度的制定;财务系统操作规定等。
生产、销售、仓储及其他部门(下称用户部门)应当根据本部门在信息系统中的职能定位,参与信息系统建设,按照归口管理部门制定的管理标准、规范、规章来操作和运用信息系统。
企业管理层应该明确定义系统归口管理部门和用户部门(含财会部门)在保证系统正常安全运行过程中各自承担的职责,制定部门之间的职责分工表。
第三章信息系统开发、变更与维护控制第八条计算机信息系统开发包括自行设计、外购调试和外包合作开发。
企业在开发信息系统时,应当充分考虑业务和信息的集成性,优化流程,并将相应的处理规则(交易权限)嵌入到系统程序中,以预防、检查、纠正错误和舞弊行为,确保企业业务活动的真实性、合法性和效益性。
第九条企业计算机信息系统开发应当遵循以下原则:
(一)因地制宜原则:企业应当根据行业特点、企业规模、管理理念、组织结构、核算方法等因素设计适合本单位的计算机信息系统。
(二)成本效益原则:计算机信息系统的建设应当能起到降低成本、纠正偏差的作用,根据成本效益原则,企业可以选择对重要领域中关键因素进行信息系统改造。
(三)理念与技术并重原则:计算机信息系统建设应当将信息系统技术与信息系统管理理念整合,企业应当倡导全体员工积极参与信息系统建设,正确理解和使用信息系统,提高信息系统运作效率。
第十条信息系统开发必须经过正式授权。
具体程序包括: 用户部门提出需求;归口管理部门审核;企业负责人授权批准;系统分析人员设计方案;程序员编写代码;测试员进行测试;系统最终上线;系统维护等。
第十一条企业应当成立项目管理小组,负责信息系统的开发,对项目整个过程实施监控。
对于外包合作开发的项目,企业应当加强对外包第三方的监控。