企業内部控制基本規範

企業内部控制基本規範

第一章 總 則

    第一條 為(wèi)了加強和規範企業内部控制，提高企業經營管理(lǐ)水平和風險防範能(néng)力，促進企業可(kě)持續發展，維護社會主義市場經濟秩序和社會公(gōng)衆利益，根據《中(zhōng)華人民(mín)共和國(guó)公(gōng)司法》、《中(zhōng)華人民(mín)共和國(guó)證券法》、《中(zhōng)華人民(mín)共和國(guó)會計法》和其他(tā)有(yǒu)關法律法規，制定本規範。

    第二條 本規範适用(yòng)于中(zhōng)華人民(mín)共和國(guó)境内設立的大中(zhōng)型企業。

    小(xiǎo)企業和其他(tā)單位可(kě)以參照本規範建立與實施内部控制。

    大中(zhōng)型企業和小(xiǎo)企業的劃分(fēn)标準根據國(guó)家有(yǒu)關規定執行。

    第三條 本規範所稱内部控制，是由企業董事會、監事會、經理(lǐ)層和全體(tǐ)員工(gōng)實施的、旨在實現控制目标的過程。

    内部控制的目标是：合理(lǐ)保證企業經營管理(lǐ)合法合規、資産(chǎn)安(ān)全、财務(wù)報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。

    第四條 企業建立與實施内部控制，應當遵循下列原則：

    （一）全面性原則。内部控制應當貫穿決策、執行和監督全過程，覆蓋企業及其所屬單位的各種業務(wù)和事項。

    （二）重要性原則。内部控制應當在全面控制的基礎上，關注重要業務(wù)事項和高風險領域。

    （三）制衡性原則。内部控制應當在治理(lǐ)結構、機構設置及權責分(fēn)配、業務(wù)流程等方面形成相互制約、相互監督，同時兼顧運營效率。

    （四）适應性原則。内部控制應當與企業經營規模、業務(wù)範圍、競争狀況和風險水平等相适應，并随着情況的變化及時加以調整。

    （五）成本效益原則。内部控制應當權衡實施成本與預期效益，以适當的成本實現有(yǒu)效控制。

    第五條 企業建立與實施有(yǒu)效的内部控制，應當包括下列要素：

    （一）内部環境。内部環境是企業實施内部控制的基礎，一般包括治理(lǐ)結構、機構設置及權責分(fēn)配、内部審計、人力資源政策、企業文(wén)化等。

    （二）風險評估。風險評估是企業及時識别、系統分(fēn)析經營活動中(zhōng)與實現内部控制目标相關的風險，合理(lǐ)确定風險應對策略。

    （三）控制活動。控制活動是企業根據風險評估結果，采用(yòng)相應的控制措施，将風險控制在可(kě)承受度之内。

    （四）信息與溝通。信息與溝通是企業及時、準确地收集、傳遞與内部控制相關的信息，确保信息在企業内部、企業與外部之間進行有(yǒu)效溝通。

    （五）内部監督。内部監督是企業對内部控制建立與實施情況進行監督檢查，評價内部控制的有(yǒu)效性，發現内部控制缺陷，應當及時加以改進。

    第六條 企業應當根據有(yǒu)關法律法規、本規範及其配套辦(bàn)法，制定本企業的内部控制制度并組織實施。

    第七條 企業應當運用(yòng)信息技(jì )術加強内部控制，建立與經營管理(lǐ)相适應的信息系統，促進内部控制流程與信息系統的有(yǒu)機結合，實現對業務(wù)和事項的自動控制，減少或消除人為(wèi)操縱因素。

    第八條 企業應當建立内部控制實施的激勵約束機制，将各責任單位和全體(tǐ)員工(gōng)實施内部控制的情況納入績效考評體(tǐ)系，促進内部控制的有(yǒu)效實施。

    第九條 國(guó)務(wù)院有(yǒu)關部門可(kě)以根據法律法規、本規範及其配套辦(bàn)法，明确貫徹實施本規範的具(jù)體(tǐ)要求，對企業建立與實施内部控制的情況進行監督檢查。

    第十條 接受企業委托從事内部控制審計的會計師事務(wù)所，應當根據本規範及其配套辦(bàn)法和相關執業準則，對企業内部控制的有(yǒu)效性進行審計，出具(jù)審計報告。會計師事務(wù)所及其簽字的從業人員應當對發表的内部控制審計意見負責。

    為(wèi)企業内部控制提供咨詢的會計師事務(wù)所，不得同時為(wèi)同一企業提供内部控制審計服務(wù)。

第二章 内部環境

    第十一條 企業應當根據國(guó)家有(yǒu)關法律法規和企業章程，建立規範的公(gōng)司治理(lǐ)結構和議事規則，明确決策、執行、監督等方面的職責權限，形成科(kē)學(xué)有(yǒu)效的職責分(fēn)工(gōng)和制衡機制。

    股東（大）會享有(yǒu)法律法規和企業章程規定的合法權利，依法行使企業經營方針、籌資、投資、利潤分(fēn)配等重大事項的表決權。

    董事會對股東（大）會負責，依法行使企業的經營決策權。

    監事會對股東（大）會負責，監督企業董事、經理(lǐ)和其他(tā)高級管理(lǐ)人員依法履行職責。

    經理(lǐ)層負責組織實施股東（大）會、董事會決議事項，主持企業的生産(chǎn)經營管理(lǐ)工(gōng)作(zuò)。

    第十二條 董事會負責内部控制的建立健全和有(yǒu)效實施。監事會對董事會建立與實施内部控制進行監督。經理(lǐ)層負責組織領導企業内部控制的日常運行。

    企業應當成立專門機構或者指定适當的機構具(jù)體(tǐ)負責組織協調内部控制的建立實施及日常工(gōng)作(zuò)。

    第十三條 企業應當在董事會下設立審計委員會。審計委員會負責審查企業内部控制，監督内部控制的有(yǒu)效實施和内部控制自我評價情況，協調内部控制審計及其他(tā)相關事宜等。

    審計委員會負責人應當具(jù)備相應的獨立性、良好的職業操守和專業勝任能(néng)力。

    第十四條 企業應當結合業務(wù)特點和内部控制要求設置内部機構，明确職責權限，将權利與責任落實到各責任單位。

    企業應當通過編制内部管理(lǐ)手冊，使全體(tǐ)員工(gōng)掌握内部機構設置、崗位職責、業務(wù)流程等情況，明确權責分(fēn)配，正确行使職權。

    第十五條 企業應當加強内部審計工(gōng)作(zuò)，保證内部審計機構設置、人員配備和工(gōng)作(zuò)的獨立性。

    内部審計機構應當結合内部審計監督，對内部控制的有(yǒu)效性進行監督檢查。内部審計機構對監督檢查中(zhōng)發現的内部控制缺陷，應當按照企業内部審計工(gōng)作(zuò)程序進行報告；對監督檢查中(zhōng)發現的内部控制重大缺陷，有(yǒu)權直接向董事會及其審計委員會、監事會報告。

    第十六條 企業應當制定和實施有(yǒu)利于企業可(kě)持續發展的人力資源政策。人力資源政策應當包括下列内容：

    （一）員工(gōng)的聘用(yòng)、培訓、辭退與辭職。

    （二）員工(gōng)的薪酬、考核、晉升與獎懲。

    （三）關鍵崗位員工(gōng)的強制休假制度和定期崗位輪換制度。

    （四）掌握國(guó)家秘密或重要商(shāng)業秘密的員工(gōng)離崗的限制性規定。

    （五）有(yǒu)關人力資源管理(lǐ)的其他(tā)政策。

    第十七條 企業應當将職業道德(dé)修養和專業勝任能(néng)力作(zuò)為(wèi)選拔和聘用(yòng)員工(gōng)的重要标準，切實加強員工(gōng)培訓和繼續教育，不斷提升員工(gōng)素質(zhì)。

    第十八條 企業應當加強文(wén)化建設，培育積極向上的價值觀和社會責任感，倡導誠實守信、愛崗敬業、開拓創新(xīn)和團隊協作(zuò)精(jīng)神，樹立現代管理(lǐ)理(lǐ)念，強化風險意識。

    董事、監事、經理(lǐ)及其他(tā)高級管理(lǐ)人員應當在企業文(wén)化建設中(zhōng)發揮主導作(zuò)用(yòng)。

    企業員工(gōng)應當遵守員工(gōng)行為(wèi)守則，認真履行崗位職責。

    第十九條 企業應當加強法制教育，增強董事、監事、經理(lǐ)及其他(tā)高級管理(lǐ)人員和員工(gōng)的法制觀念，嚴格依法決策、依法辦(bàn)事、依法監督，建立健全法律顧問制度和重大法律糾紛案件備案制度。

第三章 風險評估

    第二十條 企業應當根據設定的控制目标，全面系統持續地收集相關信息，結合實際情況，及時進行風險評估。

    第二十一條 企業開展風險評估，應當準确識别與實現控制目标相關的内部風險和外部風險，确定相應的風險承受度。

    風險承受度是企業能(néng)夠承擔的風險限度，包括整體(tǐ)風險承受能(néng)力和業務(wù)層面的可(kě)接受風險水平。

    第二十二條 企業識别内部風險，應當關注下列因素：

    （一）董事、監事、經理(lǐ)及其他(tā)高級管理(lǐ)人員的職業操守、員工(gōng)專業勝任能(néng)力等人力資源因素。

    （二）組織機構、經營方式、資産(chǎn)管理(lǐ)、業務(wù)流程等管理(lǐ)因素。

    （三）研究開發、技(jì )術投入、信息技(jì )術運用(yòng)等自主創新(xīn)因素。

    （四）财務(wù)狀況、經營成果、現金流量等财務(wù)因素。

    （五）營運安(ān)全、員工(gōng)健康、環境保護等安(ān)全環保因素。

    （六）其他(tā)有(yǒu)關内部風險因素。

    第二十三條 企業識别外部風險，應當關注下列因素：

    （一）經濟形勢、産(chǎn)業政策、融資環境、市場競争、資源供給等經濟因素。

    （二）法律法規、監管要求等法律因素。

    （三）安(ān)全穩定、文(wén)化傳統、社會信用(yòng)、教育水平、消費者行為(wèi)等社會因素。

    （四）技(jì )術進步、工(gōng)藝改進等科(kē)學(xué)技(jì )術因素。

    （五）自然災害、環境狀況等自然環境因素。

    （六）其他(tā)有(yǒu)關外部風險因素。

    第二十四條 企業應當采用(yòng)定性與定量相結合的方法，按照風險發生的可(kě)能(néng)性及其影響程度等，對識别的風險進行分(fēn)析和排序，确定關注重點和優先控制的風險。

    企業進行風險分(fēn)析，應當充分(fēn)吸收專業人員，組成風險分(fēn)析團隊，按照嚴格規範的程序開展工(gōng)作(zuò)，确保風險分(fēn)析結果的準确性。

    第二十五條 企業應當根據風險分(fēn)析的結果，結合風險承受度，權衡風險與收益，确定風險應對策略。

    企業應當合理(lǐ)分(fēn)析、準确掌握董事、經理(lǐ)及其他(tā)高級管理(lǐ)人員、關鍵崗位員工(gōng)的風險偏好，采取适當的控制措施，避免因個人風險偏好給企業經營帶來重大損失。

    第二十六條 企業應當綜合運用(yòng)風險規避、風險降低、風險分(fēn)擔和風險承受等風險應對策略，實現對風險的有(yǒu)效控制。

    風險規避是企業對超出風險承受度的風險，通過放棄或者停止與該風險相關的業務(wù)活動以避免和減輕損失的策略。

    風險降低是企業在權衡成本效益之後，準備采取适當的控制措施降低風險或者減輕損失，将風險控制在風險承受度之内的策略。

    風險分(fēn)擔是企業準備借助他(tā)人力量，采取業務(wù)分(fēn)包、購(gòu)買保險等方式和适當的控制措施，将風險控制在風險承受度之内的策略。

    風險承受是企業對風險承受度之内的風險，在權衡成本效益之後，不準備采取控制措施降低風險或者減輕損失的策略。

    第二十七條 企業應當結合不同發展階段和業務(wù)拓展情況，持續收集與風險變化相關的信息，進行風險識别和風險分(fēn)析，及時調整風險應對策略。

第四章 控制活動

    第二十八條 企業應當結合風險評估結果，通過手工(gōng)控制與自動控制、預防性控制與發現性控制相結合的方法，運用(yòng)相應的控制措施，将風險控制在可(kě)承受度之内。

    控制措施一般包括：不相容職務(wù)分(fēn)離控制、授權審批控制、會計系統控制、财産(chǎn)保護控制、預算控制、運營分(fēn)析控制和績效考評控制等。

    第二十九條 不相容職務(wù)分(fēn)離控制要求企業全面系統地分(fēn)析、梳理(lǐ)業務(wù)流程中(zhōng)所涉及的不相容職務(wù)，實施相應的分(fēn)離措施，形成各司其職、各負其責、相互制約的工(gōng)作(zuò)機制。

    第三十條 授權審批控制要求企業根據常規授權和特别授權的規定，明确各崗位辦(bàn)理(lǐ)業務(wù)和事項的權限範圍、審批程序和相應責任。

    企業應當編制常規授權的權限指引，規範特别授權的範圍、權限、程序和責任，嚴格控制特别授權。常規授權是指企業在日常經營管理(lǐ)活動中(zhōng)按照既定的職責和程序進行的授權。特别授權是指企業在特殊情況、特定條件下進行的授權。

    企業各級管理(lǐ)人員應當在授權範圍内行使職權和承擔責任。

    企業對于重大的業務(wù)和事項，應當實行集體(tǐ)決策審批或者聯簽制度，任何個人不得單獨進行決策或者擅自改變集體(tǐ)決策。國(guó)務(wù)院“三重一大”也有(yǒu)要求。

    第三十一條 會計系統控制要求企業嚴格執行國(guó)家統一的會計準則制度，加強會計基礎工(gōng)作(zuò)，明确會計憑證、會計賬簿和财務(wù)會計報告的處理(lǐ)程序，保證會計資料真實完整。

    企業應當依法設置會計機構，配備會計從業人員。從事會計工(gōng)作(zuò)的人員，必須取得會計從業資格證書。會計機構負責人應當具(jù)備會計師以上專業技(jì )術職務(wù)資格。

    大中(zhōng)型企業應當設置總會計師。設置總會計師的企業，不得設置與其職權重疊的副職。

    第三十二條 财産(chǎn)保護控制要求企業建立财産(chǎn)日常管理(lǐ)制度和定期清查制度，采取财産(chǎn)記錄、實物(wù)保管、定期盤點、賬實核對等措施，确保财産(chǎn)安(ān)全。

    企業應當嚴格限制未經授權的人員接觸和處置财産(chǎn)。

    第三十三條 預算控制要求企業實施全面預算管理(lǐ)制度，明确各責任單位在預算管理(lǐ)中(zhōng)的職責權限，規範預算的編制、審定、下達和執行程序，強化預算約束。

    第三十四條 運營分(fēn)析控制要求企業建立運營情況分(fēn)析制度，經理(lǐ)層應當綜合運用(yòng)生産(chǎn)、購(gòu)銷、投資、籌資、财務(wù)等方面的信息，通過因素分(fēn)析、對比分(fēn)析、趨勢分(fēn)析等方法，定期開展運營情況分(fēn)析，發現存在的問題，及時查明原因并加以改進。

    第三十五條 績效考評控制要求企業建立和實施績效考評制度，科(kē)學(xué)設置考核指标體(tǐ)系，對企業内部各責任單位和全體(tǐ)員工(gōng)的業績進行定期考核和客觀評價，将考評結果作(zuò)為(wèi)确定員工(gōng)薪酬以及職務(wù)晉升、評優、降級、調崗、辭退等的依據。

    第三十六條 企業應當根據内部控制目标，結合風險應對策略，綜合運用(yòng)控制措施，對各種業務(wù)和事項實施有(yǒu)效控制。

    第三十七條 企業應當建立重大風險預警機制和突發事件應急處理(lǐ)機制，明确風險預警标準，對可(kě)能(néng)發生的重大風險或突發事件，制定應急預案、明确責任人員、規範處置程序，确保突發事件得到及時妥善處理(lǐ)。

第五章 信息與溝通

    第三十八條 企業應當建立信息與溝通制度，明确内部控制相關信息的收集、處理(lǐ)和傳遞程序，确保信息及時溝通，促進内部控制有(yǒu)效運行。

    第三十九條 企業應當對收集的各種内部信息和外部信息進行合理(lǐ)篩選、核對、整合，提高信息的有(yǒu)用(yòng)性。

    企業可(kě)以通過财務(wù)會計資料、經營管理(lǐ)資料、調研報告、專項信息、内部刊物(wù)、辦(bàn)公(gōng)網絡等渠道，獲取内部信息。

    企業可(kě)以通過行業協會組織、社會中(zhōng)介機構、業務(wù)往來單位、市場調查、來信來訪、網絡媒體(tǐ)以及有(yǒu)關監管部門等渠道，獲取外部信息。

    第四十條 企業應當将内部控制相關信息在企業内部各管理(lǐ)級次、責任單位、業務(wù)環節之間，以及企業與外部投資者、債權人、客戶、供應商(shāng)、中(zhōng)介機構和監管部門等有(yǒu)關方面之間進行溝通和反饋。信息溝通過程中(zhōng)發現的問題，應當及時報告并加以解決。

    重要信息應當及時傳遞給董事會、監事會和經理(lǐ)層。

    第四十一條 企業應當利用(yòng)信息技(jì )術促進信息的集成與共享，充分(fēn)發揮信息技(jì )術在信息與溝通中(zhōng)的作(zuò)用(yòng)。

    企業應當加強對信息系統開發與維護、訪問與變更、數據輸入與輸出、文(wén)件儲存與保管、網絡安(ān)全等方面的控制，保證信息系統安(ān)全穩定運行。

    第四十二條 企業應當建立反舞弊機制，堅持懲防并舉、重在預防的原則，明确反舞弊工(gōng)作(zuò)的重點領域、關鍵環節和有(yǒu)關機構在反舞弊工(gōng)作(zuò)中(zhōng)的職責權限，規範舞弊5案件的舉報、調查、處理(lǐ)、報告和補救程序。

    企業至少應當将下列情形作(zuò)為(wèi)反舞弊工(gōng)作(zuò)的重點：

    （一）未經授權或者采取其他(tā)不法方式侵占、挪用(yòng)企業資産(chǎn)，牟取不當利益。

    （二）在财務(wù)會計報告和信息披露等方面存在的虛假記載、誤導性陳述或者重大遺漏等。

    （三）董事、監事、經理(lǐ)及其他(tā)高級管理(lǐ)人員濫用(yòng)職權。

    （四）相關機構或人員串通舞弊。

    第四十三條 企業應當建立舉報投訴制度和舉報人保護制度，設置舉報專線(xiàn)，明确舉報投訴處理(lǐ)程序、辦(bàn)理(lǐ)時限和辦(bàn)結要求，确保舉報、投訴成為(wèi)企業有(yǒu)效掌握信息的重要途徑。

    舉報投訴制度和舉報人保護制度應當及時傳達至全體(tǐ)員工(gōng)。

第六章 内部監督

    第四十四條 企業應當根據本規範及其配套辦(bàn)法，制定内部控制監督制度，明确内部審計機構（或經授權的其他(tā)監督機構）和其他(tā)内部機構在内部監督中(zhōng)的職責權限，規範内部監督的程序、方法和要求。

    内部監督分(fēn)為(wèi)日常監督和專項監督。日常監督是指企業對建立與實施内部控制的情況進行常規、持續的監督檢查；專項監督是指在企業發展戰略、組織結構、經營活動、業務(wù)流程、關鍵崗位員工(gōng)等發生較大調整或變化的情況下，對内部控制的某一或者某些方面進行有(yǒu)針對性的監督檢查。

    專項監督的範圍和頻率應當根據風險評估結果以及日常監督的有(yǒu)效性等予以确定。

    第四十五條 企業應當制定内部控制缺陷認定标準，對監督過程中(zhōng)發現的内部控制缺陷，應當分(fēn)析缺陷的性質(zhì)和産(chǎn)生的原因，提出整改方案，采取适當的形式及時向董事會、監事會或者經理(lǐ)層報告。

    内部控制缺陷包括設計缺陷和運行缺陷。企業應當跟蹤内部控制缺陷整改情況，并就内部監督中(zhōng)發現的重大缺陷，追究相關責任單位或者責任人的責任。

    第四十六條 企業應當結合内部監督情況，定期對内部控制的有(yǒu)效性進行自我評價，出具(jù)内部控制自我評價報告。

    内部控制自我評價的方式、範圍、程序和頻率，由企業根據經營業務(wù)調整、經營環境變化、業務(wù)發展狀況、實際風險水平等自行确定。

    國(guó)家有(yǒu)關法律法規另有(yǒu)規定的，從其規定。

    第四十七條 企業應當以書面或者其他(tā)适當的形式，妥善保存内部控制建立與實施過程中(zhōng)的相關記錄或者資料，确保内部控制建立與實施過程的可(kě)驗證性。

第七章 附 則

    第四十八條 本規範由财政部會同國(guó)務(wù)院其他(tā)有(yǒu)關部門解釋。

    第四十九條 本規範的配套辦(bàn)法由财政部會同國(guó)務(wù)院其他(tā)有(yǒu)關部門另行制定。

 第五十條 本規範自2009年7月1日起實施。                                                    二OO八年五月二十二日