企業(yè)内部控制基本規範

企業(yè)内部控制基本規範

第一(yī)章 總 則

    第一(yī)條 為(wèi)了加強和規範企業(yè)内部控制，提高(gāo)企業(yè)經營管理水(shuǐ)平和風險防範能(néng)力，促進企業(yè)可持續發展，維護社會(huì)主義市(shì)場經濟秩序和社會(huì)公衆利益，根據《中華人民(mín)共和國(guó)公司法》、《中華人民(mín)共和國(guó)證券法》、《中華人民(mín)共和國(guó)會(huì)計法》和其他有關法律法規，制定本規範。

    第二條 本規範适用于中華人民(mín)共和國(guó)境内設立的大中型企業(yè)。

    小(xiǎo)企業(yè)和其他單位可以參照(zhào)本規範建立與實施内部控制。

    大中型企業(yè)和小(xiǎo)企業(yè)的劃分标準根據國(guó)家有關規定執行。

    第三條 本規範所稱内部控制，是由企業(yè)董事(shì)會(huì)、監事(shì)會(huì)、經理層和全體員(yuán)工(gōng)實施的、旨在實現控制目标的過程。

    内部控制的目标是：合理保證企業(yè)經營管理合法合規、資産安全、财務報(bào)告及相(xiàng)關信息真實完整，提高(gāo)經營效率和效果，促進企業(yè)實現發展戰略。

    第四條 企業(yè)建立與實施内部控制，應當遵循下(xià)列原則：

    （一(yī)）全面性原則。内部控制應當貫穿決策、執行和監督全過程，覆蓋企業(yè)及其所屬單位的各種業(yè)務和事(shì)項。

    （二）重要性原則。内部控制應當在全面控制的基礎上(shàng)，關注重要業(yè)務事(shì)項和高(gāo)風險領域。

    （三）制衡性原則。内部控制應當在治理結構、機(jī)構設置及權責分配、業(yè)務流程等方面形成相(xiàng)互制約、相(xiàng)互監督，同時兼顧運營效率。

    （四）适應性原則。内部控制應當與企業(yè)經營規模、業(yè)務範圍、競争狀況和風險水(shuǐ)平等相(xiàng)适應，并随著(zhe)情況的變化及時加以調整。

    （五）成本效益原則。内部控制應當權衡實施成本與預期效益，以适當的成本實現有效控制。

    第五條 企業(yè)建立與實施有效的内部控制，應當包括下(xià)列要素：

    （一(yī)）内部環境。内部環境是企業(yè)實施内部控制的基礎，一(yī)般包括治理結構、機(jī)構設置及權責分配、内部審計、人力資源政策、企業(yè)文化等。

    （二）風險評估。風險評估是企業(yè)及時識别、系統分析經營活動中與實現内部控制目标相(xiàng)關的風險，合理确定風險應對策略。

    （三）控制活動。控制活動是企業(yè)根據風險評估結果，采用相(xiàng)應的控制措施，将風險控制在可承受度之内。

    （四）信息與溝通(tōng)。信息與溝通(tōng)是企業(yè)及時、準确地收集、傳遞與内部控制相(xiàng)關的信息，确保信息在企業(yè)内部、企業(yè)與外部之間進行有效溝通(tōng)。

    （五）内部監督。内部監督是企業(yè)對内部控制建立與實施情況進行監督檢查，評價内部控制的有效性，發現内部控制缺陷，應當及時加以改進。

    第六條 企業(yè)應當根據有關法律法規、本規範及其配套辦法，制定本企業(yè)的内部控制制度并組織實施。

    第七條 企業(yè)應當運用信息技(jì)術(shù)加強内部控制，建立與經營管理相(xiàng)适應的信息系統，促進内部控制流程與信息系統的有機(jī)結合，實現對業(yè)務和事(shì)項的自(zì)動控制，減少或消除人為(wèi)操縱因素。

    第八條 企業(yè)應當建立内部控制實施的激勵約束機(jī)制，将各責任單位和全體員(yuán)工(gōng)實施内部控制的情況納入績效考評體系，促進内部控制的有效實施。

    第九條 國(guó)務院有關部門(mén)可以根據法律法規、本規範及其配套辦法，明确貫徹實施本規範的具體要求，對企業(yè)建立與實施内部控制的情況進行監督檢查。

    第十條 接受企業(yè)委托從(cóng)事(shì)内部控制審計的會(huì)計師(shī)事(shì)務所，應當根據本規範及其配套辦法和相(xiàng)關執業(yè)準則，對企業(yè)内部控制的有效性進行審計，出具審計報(bào)告。會(huì)計師(shī)事(shì)務所及其簽字的從(cóng)業(yè)人員(yuán)應當對發表的内部控制審計意見(jiàn)負責。

    為(wèi)企業(yè)内部控制提供咨詢的會(huì)計師(shī)事(shì)務所，不得同時為(wèi)同一(yī)企業(yè)提供内部控制審計服務。

第二章 内部環境

    第十一(yī)條 企業(yè)應當根據國(guó)家有關法律法規和企業(yè)章程，建立規範的公司治理結構和議事(shì)規則，明确決策、執行、監督等方面的職責權限，形成科學有效的職責分工(gōng)和制衡機(jī)制。

    股東（大）會(huì)享有法律法規和企業(yè)章程規定的合法權利，依法行使企業(yè)經營方針、籌資、投資、利潤分配等重大事(shì)項的表決權。

    董事(shì)會(huì)對股東（大）會(huì)負責，依法行使企業(yè)的經營決策權。

    監事(shì)會(huì)對股東（大）會(huì)負責，監督企業(yè)董事(shì)、經理和其他高(gāo)級管理人員(yuán)依法履行職責。

    經理層負責組織實施股東（大）會(huì)、董事(shì)會(huì)決議事(shì)項，主持企業(yè)的生(shēng)産經營管理工(gōng)作。

    第十二條 董事(shì)會(huì)負責内部控制的建立健全和有效實施。監事(shì)會(huì)對董事(shì)會(huì)建立與實施内部控制進行監督。經理層負責組織領導企業(yè)内部控制的日常運行。

    企業(yè)應當成立專門(mén)機(jī)構或者指定适當的機(jī)構具體負責組織協調内部控制的建立實施及日常工(gōng)作。

    第十三條 企業(yè)應當在董事(shì)會(huì)下(xià)設立審計委員(yuán)會(huì)。審計委員(yuán)會(huì)負責審查企業(yè)内部控制，監督内部控制的有效實施和内部控制自(zì)我評價情況，協調内部控制審計及其他相(xiàng)關事(shì)宜等。

    審計委員(yuán)會(huì)負責人應當具備相(xiàng)應的獨立性、良好的職業(yè)操守和專業(yè)勝任能(néng)力。

    第十四條 企業(yè)應當結合業(yè)務特點和内部控制要求設置内部機(jī)構，明确職責權限，将權利與責任落實到(dào)各責任單位。

    企業(yè)應當通(tōng)過編制内部管理手冊，使全體員(yuán)工(gōng)掌握内部機(jī)構設置、崗位職責、業(yè)務流程等情況，明确權責分配，正确行使職權。

    第十五條 企業(yè)應當加強内部審計工(gōng)作，保證内部審計機(jī)構設置、人員(yuán)配備和工(gōng)作的獨立性。

    内部審計機(jī)構應當結合内部審計監督，對内部控制的有效性進行監督檢查。内部審計機(jī)構對監督檢查中發現的内部控制缺陷，應當按照(zhào)企業(yè)内部審計工(gōng)作程序進行報(bào)告；對監督檢查中發現的内部控制重大缺陷，有權直接向董事(shì)會(huì)及其審計委員(yuán)會(huì)、監事(shì)會(huì)報(bào)告。

    第十六條 企業(yè)應當制定和實施有利于企業(yè)可持續發展的人力資源政策。人力資源政策應當包括下(xià)列内容：

    （一(yī)）員(yuán)工(gōng)的聘用、培訓、辭退與辭職。

    （二）員(yuán)工(gōng)的薪酬、考核、晉升與獎懲。

    （三）關鍵崗位員(yuán)工(gōng)的強制休假制度和定期崗位輪換制度。

    （四）掌握國(guó)家秘密或重要商業(yè)秘密的員(yuán)工(gōng)離崗的限制性規定。

    （五）有關人力資源管理的其他政策。

    第十七條 企業(yè)應當将職業(yè)道德修養和專業(yè)勝任能(néng)力作為(wèi)選拔和聘用員(yuán)工(gōng)的重要标準，切實加強員(yuán)工(gōng)培訓和繼續教育，不斷提升員(yuán)工(gōng)素質。

    第十八條 企業(yè)應當加強文化建設，培育積極向上(shàng)的價值觀和社會(huì)責任感，倡導誠實守信、愛崗敬業(yè)、開(kāi)拓創新和團隊協作精神，樹立現代管理理念，強化風險意識。

    董事(shì)、監事(shì)、經理及其他高(gāo)級管理人員(yuán)應當在企業(yè)文化建設中發揮主導作用。

    企業(yè)員(yuán)工(gōng)應當遵守員(yuán)工(gōng)行為(wèi)守則，認真履行崗位職責。

    第十九條 企業(yè)應當加強法制教育，增強董事(shì)、監事(shì)、經理及其他高(gāo)級管理人員(yuán)和員(yuán)工(gōng)的法制觀念，嚴格依法決策、依法辦事(shì)、依法監督，建立健全法律顧問制度和重大法律糾紛案件(jiàn)備案制度。

第三章 風險評估

    第二十條 企業(yè)應當根據設定的控制目标，全面系統持續地收集相(xiàng)關信息，結合實際情況，及時進行風險評估。

    第二十一(yī)條 企業(yè)開(kāi)展風險評估，應當準确識别與實現控制目标相(xiàng)關的内部風險和外部風險，确定相(xiàng)應的風險承受度。

    風險承受度是企業(yè)能(néng)夠承擔的風險限度，包括整體風險承受能(néng)力和業(yè)務層面的可接受風險水(shuǐ)平。

    第二十二條 企業(yè)識别内部風險，應當關注下(xià)列因素：

    （一(yī)）董事(shì)、監事(shì)、經理及其他高(gāo)級管理人員(yuán)的職業(yè)操守、員(yuán)工(gōng)專業(yè)勝任能(néng)力等人力資源因素。

    （二）組織機(jī)構、經營方式、資産管理、業(yè)務流程等管理因素。

    （三）研究開(kāi)發、技(jì)術(shù)投入、信息技(jì)術(shù)運用等自(zì)主創新因素。

    （四）财務狀況、經營成果、現金流量等财務因素。

    （五）營運安全、員(yuán)工(gōng)健康、環境保護等安全環保因素。

    （六）其他有關内部風險因素。

    第二十三條 企業(yè)識别外部風險，應當關注下(xià)列因素：

    （一(yī)）經濟形勢、産業(yè)政策、融資環境、市(shì)場競争、資源供給等經濟因素。

    （二）法律法規、監管要求等法律因素。

    （三）安全穩定、文化傳統、社會(huì)信用、教育水(shuǐ)平、消費(fèi)者行為(wèi)等社會(huì)因素。

    （四）技(jì)術(shù)進步、工(gōng)藝改進等科學技(jì)術(shù)因素。

    （五）自(zì)然災害、環境狀況等自(zì)然環境因素。

    （六）其他有關外部風險因素。

    第二十四條 企業(yè)應當采用定性與定量相(xiàng)結合的方法，按照(zhào)風險發生(shēng)的可能(néng)性及其影響程度等，對識别的風險進行分析和排序，确定關注重點和優先控制的風險。

    企業(yè)進行風險分析，應當充分吸收專業(yè)人員(yuán)，組成風險分析團隊，按照(zhào)嚴格規範的程序開(kāi)展工(gōng)作，确保風險分析結果的準确性。

    第二十五條 企業(yè)應當根據風險分析的結果，結合風險承受度，權衡風險與收益，确定風險應對策略。

    企業(yè)應當合理分析、準确掌握董事(shì)、經理及其他高(gāo)級管理人員(yuán)、關鍵崗位員(yuán)工(gōng)的風險偏好，采取适當的控制措施，避免因個(gè)人風險偏好給企業(yè)經營帶來重大損失。

    第二十六條 企業(yè)應當綜合運用風險規避、風險降低(dī)、風險分擔和風險承受等風險應對策略，實現對風險的有效控制。

    風險規避是企業(yè)對超出風險承受度的風險，通(tōng)過放(fàng)棄或者停止與該風險相(xiàng)關的業(yè)務活動以避免和減輕損失的策略。

    風險降低(dī)是企業(yè)在權衡成本效益之後，準備采取适當的控制措施降低(dī)風險或者減輕損失，将風險控制在風險承受度之内的策略。

    風險分擔是企業(yè)準備借助他人力量，采取業(yè)務分包、購買保險等方式和适當的控制措施，将風險控制在風險承受度之内的策略。

    風險承受是企業(yè)對風險承受度之内的風險，在權衡成本效益之後，不準備采取控制措施降低(dī)風險或者減輕損失的策略。

    第二十七條 企業(yè)應當結合不同發展階段和業(yè)務拓展情況，持續收集與風險變化相(xiàng)關的信息，進行風險識别和風險分析，及時調整風險應對策略。

第四章 控制活動

    第二十八條 企業(yè)應當結合風險評估結果，通(tōng)過手工(gōng)控制與自(zì)動控制、預防性控制與發現性控制相(xiàng)結合的方法，運用相(xiàng)應的控制措施，将風險控制在可承受度之内。

    控制措施一(yī)般包括：不相(xiàng)容職務分離控制、授權審批控制、會(huì)計系統控制、财産保護控制、預算(suàn)控制、運營分析控制和績效考評控制等。

    第二十九條 不相(xiàng)容職務分離控制要求企業(yè)全面系統地分析、梳理業(yè)務流程中所涉及的不相(xiàng)容職務，實施相(xiàng)應的分離措施，形成各司其職、各負其責、相(xiàng)互制約的工(gōng)作機(jī)制。

    第三十條 授權審批控制要求企業(yè)根據常規授權和特别授權的規定，明确各崗位辦理業(yè)務和事(shì)項的權限範圍、審批程序和相(xiàng)應責任。

    企業(yè)應當編制常規授權的權限指引，規範特别授權的範圍、權限、程序和責任，嚴格控制特别授權。常規授權是指企業(yè)在日常經營管理活動中按照(zhào)既定的職責和程序進行的授權。特别授權是指企業(yè)在特殊情況、特定條件(jiàn)下(xià)進行的授權。

    企業(yè)各級管理人員(yuán)應當在授權範圍内行使職權和承擔責任。

    企業(yè)對于重大的業(yè)務和事(shì)項，應當實行集體決策審批或者聯簽制度，任何個(gè)人不得單獨進行決策或者擅自(zì)改變集體決策。國(guó)務院“三重一(yī)大”也有要求。

    第三十一(yī)條 會(huì)計系統控制要求企業(yè)嚴格執行國(guó)家統一(yī)的會(huì)計準則制度，加強會(huì)計基礎工(gōng)作，明确會(huì)計憑證、會(huì)計賬簿和财務會(huì)計報(bào)告的處理程序，保證會(huì)計資料真實完整。

    企業(yè)應當依法設置會(huì)計機(jī)構，配備會(huì)計從(cóng)業(yè)人員(yuán)。從(cóng)事(shì)會(huì)計工(gōng)作的人員(yuán)，必須取得會(huì)計從(cóng)業(yè)資格證書。會(huì)計機(jī)構負責人應當具備會(huì)計師(shī)以上(shàng)專業(yè)技(jì)術(shù)職務資格。

    大中型企業(yè)應當設置總會(huì)計師(shī)。設置總會(huì)計師(shī)的企業(yè)，不得設置與其職權重疊的副職。

    第三十二條 财産保護控制要求企業(yè)建立财産日常管理制度和定期清查制度，采取财産記錄、實物(wù)保管、定期盤點、賬實核對等措施，确保财産安全。

    企業(yè)應當嚴格限制未經授權的人員(yuán)接觸和處置财産。

    第三十三條 預算(suàn)控制要求企業(yè)實施全面預算(suàn)管理制度，明确各責任單位在預算(suàn)管理中的職責權限，規範預算(suàn)的編制、審定、下(xià)達和執行程序，強化預算(suàn)約束。

    第三十四條 運營分析控制要求企業(yè)建立運營情況分析制度，經理層應當綜合運用生(shēng)産、購銷、投資、籌資、财務等方面的信息，通(tōng)過因素分析、對比分析、趨勢分析等方法，定期開(kāi)展運營情況分析，發現存在的問題，及時查明原因并加以改進。

    第三十五條 績效考評控制要求企業(yè)建立和實施績效考評制度，科學設置考核指标體系，對企業(yè)内部各責任單位和全體員(yuán)工(gōng)的業(yè)績進行定期考核和客觀評價，将考評結果作為(wèi)确定員(yuán)工(gōng)薪酬以及職務晉升、評優、降級、調崗、辭退等的依據。

    第三十六條 企業(yè)應當根據内部控制目标，結合風險應對策略，綜合運用控制措施，對各種業(yè)務和事(shì)項實施有效控制。

    第三十七條 企業(yè)應當建立重大風險預警機(jī)制和突發事(shì)件(jiàn)應急處理機(jī)制，明确風險預警标準，對可能(néng)發生(shēng)的重大風險或突發事(shì)件(jiàn)，制定應急預案、明确責任人員(yuán)、規範處置程序，确保突發事(shì)件(jiàn)得到(dào)及時妥善處理。

第五章 信息與溝通(tōng)

    第三十八條 企業(yè)應當建立信息與溝通(tōng)制度，明确内部控制相(xiàng)關信息的收集、處理和傳遞程序，确保信息及時溝通(tōng)，促進内部控制有效運行。

    第三十九條 企業(yè)應當對收集的各種内部信息和外部信息進行合理篩選、核對、整合，提高(gāo)信息的有用性。

    企業(yè)可以通(tōng)過财務會(huì)計資料、經營管理資料、調研報(bào)告、專項信息、内部刊物(wù)、辦公網絡等渠道，獲取内部信息。

    企業(yè)可以通(tōng)過行業(yè)協會(huì)組織、社會(huì)中介機(jī)構、業(yè)務往來單位、市(shì)場調查、來信來訪、網絡媒體以及有關監管部門(mén)等渠道，獲取外部信息。

    第四十條 企業(yè)應當将内部控制相(xiàng)關信息在企業(yè)内部各管理級次、責任單位、業(yè)務環節之間，以及企業(yè)與外部投資者、債權人、客戶、供應商、中介機(jī)構和監管部門(mén)等有關方面之間進行溝通(tōng)和反饋。信息溝通(tōng)過程中發現的問題，應當及時報(bào)告并加以解決。

    重要信息應當及時傳遞給董事(shì)會(huì)、監事(shì)會(huì)和經理層。

    第四十一(yī)條 企業(yè)應當利用信息技(jì)術(shù)促進信息的集成與共享，充分發揮信息技(jì)術(shù)在信息與溝通(tōng)中的作用。

    企業(yè)應當加強對信息系統開(kāi)發與維護、訪問與變更、數據輸入與輸出、文件(jiàn)儲存與保管、網絡安全等方面的控制，保證信息系統安全穩定運行。

    第四十二條 企業(yè)應當建立反舞弊機(jī)制，堅持懲防并舉、重在預防的原則，明确反舞弊工(gōng)作的重點領域、關鍵環節和有關機(jī)構在反舞弊工(gōng)作中的職責權限，規範舞弊5案件(jiàn)的舉報(bào)、調查、處理、報(bào)告和補救程序。

    企業(yè)至少應當将下(xià)列情形作為(wèi)反舞弊工(gōng)作的重點：

    （一(yī)）未經授權或者采取其他不法方式侵占、挪用企業(yè)資産，牟取不當利益。

    （二）在财務會(huì)計報(bào)告和信息披露等方面存在的虛假記載、誤導性陳述或者重大遺漏等。

    （三）董事(shì)、監事(shì)、經理及其他高(gāo)級管理人員(yuán)濫用職權。

    （四）相(xiàng)關機(jī)構或人員(yuán)串通(tōng)舞弊。

    第四十三條 企業(yè)應當建立舉報(bào)投訴制度和舉報(bào)人保護制度，設置舉報(bào)專線，明确舉報(bào)投訴處理程序、辦理時限和辦結要求，确保舉報(bào)、投訴成為(wèi)企業(yè)有效掌握信息的重要途徑。

    舉報(bào)投訴制度和舉報(bào)人保護制度應當及時傳達至全體員(yuán)工(gōng)。

第六章 内部監督

    第四十四條 企業(yè)應當根據本規範及其配套辦法，制定内部控制監督制度，明确内部審計機(jī)構（或經授權的其他監督機(jī)構）和其他内部機(jī)構在内部監督中的職責權限，規範内部監督的程序、方法和要求。

    内部監督分為(wèi)日常監督和專項監督。日常監督是指企業(yè)對建立與實施内部控制的情況進行常規、持續的監督檢查；專項監督是指在企業(yè)發展戰略、組織結構、經營活動、業(yè)務流程、關鍵崗位員(yuán)工(gōng)等發生(shēng)較大調整或變化的情況下(xià)，對内部控制的某一(yī)或者某些方面進行有針對性的監督檢查。

    專項監督的範圍和頻率應當根據風險評估結果以及日常監督的有效性等予以确定。

    第四十五條 企業(yè)應當制定内部控制缺陷認定标準，對監督過程中發現的内部控制缺陷，應當分析缺陷的性質和産生(shēng)的原因，提出整改方案，采取适當的形式及時向董事(shì)會(huì)、監事(shì)會(huì)或者經理層報(bào)告。

    内部控制缺陷包括設計缺陷和運行缺陷。企業(yè)應當跟蹤内部控制缺陷整改情況，并就(jiù)内部監督中發現的重大缺陷，追究相(xiàng)關責任單位或者責任人的責任。

    第四十六條 企業(yè)應當結合内部監督情況，定期對内部控制的有效性進行自(zì)我評價，出具内部控制自(zì)我評價報(bào)告。

    内部控制自(zì)我評價的方式、範圍、程序和頻率，由企業(yè)根據經營業(yè)務調整、經營環境變化、業(yè)務發展狀況、實際風險水(shuǐ)平等自(zì)行确定。

    國(guó)家有關法律法規另有規定的，從(cóng)其規定。

    第四十七條 企業(yè)應當以書面或者其他适當的形式，妥善保存内部控制建立與實施過程中的相(xiàng)關記錄或者資料，确保内部控制建立與實施過程的可驗證性。

第七章 附 則

    第四十八條 本規範由财政部會(huì)同國(guó)務院其他有關部門(mén)解釋。

    第四十九條 本規範的配套辦法由财政部會(huì)同國(guó)務院其他有關部門(mén)另行制定。

 第五十條 本規範自(zì)2009年(nián)7月(yuè)1日起實施。                                                    二OO八年(nián)五月(yuè)二十二日