第十六条 企业应当建立合同履行情况评估制度,至少于每年年 末对合同履行的总体情况和重大合同履行的具体情况进行分析评估, 对分析评估中发现合同履行中存在的不足,应当及时加以改进。
企业应当健全合同管理考核与责任追究制度。对合同订立、履行过程中出现的违法违规行为,应当追究有关机构或人员的责任。
第一章 总 则
第一条 为了促进企业生产经营管理信息在内部各管理层级之间 的有效沟通和充分利用,根据《
企业内部控制基本规范》,制定本指 引。
第二条 本指引所称内部信息传递,是指企业内部各管理层级之 间通过内部报告形式传递生产经营管理信息的过程。
第三条 企业内部信息传递至少应当关注下列风险:
(一)内部报告系统缺失、功能不健全、内容不完整,可能影响 生产经营有序运行。
(二)内部信息传递不通畅、不及时,可能导致决策失误、相关 政策措施难以落实。
(三)内部信息传递中泄露商业秘密,可能削弱企业核心竞争力。 第四条 企业应当加强内部报告管理,全面梳理内部信息传递过 程中的薄弱环节,建立科学的内部信息传递机制,明确内部信息传递 的内容、保密要求及密级分类、传递方式、传递范围以及各管理层级 的职责权限等,促进内部报告的有效利用,充分发挥内部报告的作用。
第二章 内部报告的形成
第五条 企业应当根据发展战略、风险控制和业绩考核要求,科 学规范不同级次内部报告的指标体系,采用经营快报等多种形式,全面反映与企业生产经营管理相关的各种内外部信息。
内部报告指标体系的设计应当与全面预算管理相结合,并随着环 境和业务的变化不断进行修订和完善。设计内部报告指标体系时,应 当关注企业成本费用预算的执行情况。
内部报告应当简洁明了、通俗易懂、传递及时,便于企业各管理 层级和全体员工掌握相关信息,正确履行职责。
第六条 企业应当制定严密的内部报告流程,充分利用信息技术, 强化内部报告信息集成和共享,将内部报告纳入企业统一信息平台, 构建科学的内部报告网络体系。
企业内部各管理层级均应当指定专人负责内部报告工作,重要信 息应及时上报,并可以直接报告高级管理人员。
企业应当建立内部报告审核制度,确保内部报告信息质量。
第七条 企业应当关注市场环境、政策变化等外部信息对企业生 产经营管理的影响,广泛收集、分析、整理外部信息,并通过内部报 告传递到企业内部相关管理层级,以便采取应对策略。
第八条 企业应当拓宽内部报告渠道,通过落实奖励措施等多种 有效方式,广泛收集合理化建议。
企业应当重视和加强反舞弊机制建设,通过设立员工信箱、投诉 热线等方式,鼓励员工及企业利益相关方举报和投诉企业内部的违法 违规、舞弊和其他有损企业形象的行为。
第三章 内部报告的使用
第九条 企业各级管理人员应当充分利用内部报告管理和指导企业的生产经营活动,及时反映全面预算执行情况,协调企业内部相 关部门和各单位的运营进度,严格绩效考核和责任追究,确保企业实 现发展目标。
第十条 企业应当有效利用内部报告进行风险评估,准确识别和 系统分析企业生产经营活动中的内外部风险,确定风险应对策略,实 现对风险的有效控制。
企业对于内部报告反映出的问题应当及时解决;涉及突出问题和 重大风险的,应当启动应急预案。
第十一条 企业应当制定严格的内部报告保密制度,明确保密内 容、保密措施、密级程度和传递范围,防止泄露商业秘密。
第十二条 企业应当建立内部报告的评估制度,定期对内部报告 的形成和使用进行全面评估,重点关注内部报告的及时性、安全性和 有效性。
第一章 总 则
第一条 为了促进企业有效实施内部控制,提高企业现代化管理 水平,减少人为因素,根据有关法律法规和《
企业内部控制基本规范》, 制定本指引。
第二条 本指引所称信息系统,是指企业利用计算机和通信技 术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
第三条 企业利用信息系统实施内部控制至少应当关注下列风险:
(一)信息系统缺乏或规划不合理,可能造成信息孤岛或重复建 设,导致企业经营管理效率低下。
(二)系统开发不符合内部控制要求,授权管理不当,可能导致 无法利用信息技术实施有效控制。
(三)系统运行维护和安全措施不到位,可能导致信息泄漏或毁 损,系统无法正常运行。
第四条 企业应当重视信息系统在内部控制中的作用,根据内部 控制要求,结合组织架构、业务范围、地域分布、技术能力等因素, 制定信息系统建设整体规划,加大投入力度,有序组织信息系统开发、 运行与维护,优化管理流程,防范经营风险,全面提升企业现代化管 理水平。
企业应当指定专门机构对信息系统建设实施归口管理,明确相关单位的职责权限,建立有效工作机制。企业可委托专业机构从事信息系统的开发、运行和维护工作。 企业负责人对信息系统建设工作负责。
第二章 信息系统的开发
第五条 企业应当根据信息系统建设整体规划提出项目建设方 案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相 关内容,按照规定的权限和程序审批后实施。
企业信息系统归口管理部门应当组织内部各单位提出开发需求 和关键控制点,规范开发流程,明确系统设计、编程、安装调试、验 收、上线等全过程的管理要求,严格按照建设方案、开发流程和相关 要求组织开发工作。
企业开发信息系统,可以采取自行开发、外购调试、业务外包等 方式。选定外购调试或业务外包方式的,应当采用公开招标等形式择 优确定供应商或开发单位。
第六条 企业开发信息系统,应当将生产经营管理业务流程、关 键控制点和处理规则嵌入系统程序,实现手工环境下难以实现的控制 功能。
企业在系统开发过程中,应当按照不同业务的控制要求,通过信 息系统中的权限管理功能控制用户的操作权限,避免将不相容职责的 处理权限授予同一用户。
企业应当针对不同数据的输入方式,考虑对进入系统数据的检查和校验功能。对于必需的后台操作,应当加强管理,建立规范的流程制度,对操作情况进行监控或者审计。 企业应当在信息系统中设置操作日志功能,确保操作的可审计
性。对异常的或者违背内部控制要求的交易和数据,应当设计由系统 自动报告并设置跟踪处理机制。
第七条 企业信息系统归口管理部门应当加强信息系统开发全 过程的跟踪管理,组织开发单位与内部各单位的日常沟通和协调,督 促开发单位按照建设方案、计划进度和质量要求完成编程工作,对配 备的硬件设备和系统软件进行检查验收,组织系统上线运行等。
第八条 企业应当组织独立于开发单位的专业机构对开发完成 的信息系统进行验收测试,确保在功能、性能、控制要求和安全性等 方面符合开发需求。
第九条 企业应当切实做好信息系统上线的各项准备工作,培训 业务操作和系统管理人员,制定科学的上线计划和新旧系统转换方 案,考虑应急预案,确保新旧系统顺利切换和平稳衔接。系统上线涉 及数据迁移的,还应制定详细的数据迁移计划。
第三章 信息系统的运行与维护
第十条 企业应当加强信息系统运行与维护的管理,制定信息系 统工作程序、信息管理制度以及各模块子系统的具体操作规范,及时 跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的 程序、制度和操作规范持续稳定运行。
企业应当建立信息系统变更管理流程,信息系统变更应当严格遵照管理流程进行操作。信息系统操作人员不得擅自进行系统软件的删 除、修改等操作;不得擅自升级、改变系统软件版本;不得擅自改变 软件系统环境配置。
第十一条 企业应当根据业务性质、重要性程度、涉密情况等确 定信息系统的安全等级,建立不同等级信息的授权使用制度,采用相 应技术手段保证信息系统运行安全有序。
企业应当建立信息系统安全保密和泄密责任追究制度。委托专业 机构进行系统运行与维护管理的,应当审查该机构的资质,并与其签 订服务合同和保密协议。
企业应当采取安装安全软件等措施防范信息系统受到病毒等恶 意软件的感染和破坏。
第十二条 企业应当建立用户管理制度,加强对重要业务系统的 访问权限管理,定期审阅系统账号,避免授权不当或存在非授权账号, 禁止不相容职务用户账号的交叉操作。
第十三条 企业应当综合利用防火墙、路由器等网络设备,漏洞 扫描、入侵检测等软件技术以及远程访问安全策略等手段,加强网络 安全,防范来自网络的攻击和非法侵入。
企业对于通过网络传输的涉密或关键数据,应当采取加密措施, 确保信息传递的保密性、准确性和完整性。
第十四条 企业应当建立系统数据定期备份制度,明确备份范 围、频度、方法、责任人、存放地点、有效性检查等内容。
第十五条 企业应当加强服务器等关键信息设备的管理,建立良好的物理环境,指定专人负责检查,及时处理异常情况。未经授权,任何人不得接触关键信息设备。
附件2:
企业内部控制评价指引
第一章 总则
第一条 为了促进企业全面评价内部控制的设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范风险,根据有关法律法规和《
企业内部控制基本规范》,制定本指引。
第二条 本指引所称内部控制评价,是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。
第三条 企业实施内部控制评价至少应当遵循下列原则:
(一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。
(二)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。
(三)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
第四条 企业应当根据本评价指引,结合内部控制设计与运行的实际情况,制定具体的内部控制评价办法,规定评价的原则、内容、程序、方法和报告形式等,明确相关机构或岗位的职责权限,落实责任制,按照规定的办法、程序和要求,有序开展内部控制评价工作。
企业董事会应当对内部控制评价报告的真实性负责。
第二章 内部控制评价的内容
第五条 企业应当根据《
企业内部控制基本规范》、应用指引以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。
第六条 企业组织开展内部环境评价,应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合本企业的内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。
第七条 企业组织开展风险评估机制评价,应当以《
企业内部控制基本规范》有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本企业的内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。
第八条 企业组织开展控制活动评价,应当以《
企业内部控制基本规范》和各项应用指引中的控制措施为依据,结合本企业的内部控制制度,对相关控制措施的设计和运行情况进行认定和评价。
第九条 企业组织开展信息与沟通评价,应当以内部信息传递、财务报告、信息系统等相关应用指引为依据,结合本企业的内部控制制度,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。
第十条 企业组织开展内部监督评价,应当以《
企业内部控制基本规范》有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合本企业的内部控制制度,对内部监督机制的有效性进行认定和评价,重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。
