1、中国企业内控及风险管理法规资料汇编企业内部控制基本规范企业内部控制配套指引财政部会计司解读企业内部控制指引沪深证券交易所内部控制指引中央企业全面风险管理指引企业法律风险管理指南大企业税务风险管理指引(试行)小企业内部控制规范(试行) 目 录财政部 证监会 审计署 银监会 保监会关于印发企业内部控制基本规范的通知1企业内部控制基本规范2第一章总则2第二章内部环境3第三章风险评估5第四章控制活动7第五章信息与沟通8第六章内部监督9第七章附则10关于发布上海证券交易所上市公司内部控制指引的通知11上海证券交易所上市公司内部控制指引11第一章 总则11第二章 内部控制的框架11第三章 专项风险的内部控
2、制14第一节对附属公司的管理控制14第二节金融衍生品交易的内部控制14第三节其他风险的内部控制15第四章 内部控制的检查监督15第五章 内部控制的信息披露16第六章 附则17关于发布深圳证券交易所上市公司内部控制指引的通知18深圳证券交易所上市公司内部控制指引18第一章 总则18第二章 基本要求19第三章 重点关注的控制活动21第一节对控股子公司的管理控制21第二节关联交易的内部控制21第三节对外担保的内部控制23第四节募集资金使用的内部控制24第五节重大投资的内部控制25第六节信息披露的内部控制25第四章 内部控制的检查和披露26第五章 附则28深圳证券交易所上市公司规范运作指引 (内部控制
3、部分)29深圳证券交易所主板上市公司规范运作指引 第七章内部控制31第一节总体要求31第二节对控股子公司的管理控制32第三节关联交易的内部控制32第四节对外担保的内部控制34第五节重大投资的内部控制35第六节信息披露的内部控制36第七节内部控制的检查和披露36深圳证券交易所中小企业板上市公司规范运作指引 第七章内部控制39第一节总体要求39第二节对控股子公司的管理控制40第三节关联交易的内部控制40第四节对外担保的内部控制42第五节重大投资的内部控制43第六节信息披露的内部控制44第七节内部审计工作规范44第八节内部控制的检查和披露49深圳证券交易所创业板上市公司规范运作指引 第七章 内部控制
4、52第一节总体要求52第二节对控股子公司的管理控制53第三节关联交易的内部控制53第四节对外担保的内部控制55第五节重大投资的内部控制56第六节信息披露的内部控制56第七节内部控制的检查和披露57国务院国有资产监督管理委员会 关于印发中央企业全面风险管理指引的通知62中央企业全面风险管理指引62第一章总则62第二章风险管理初始信息64第三章风险评估66第四章风险管理策略67第五章风险管理解决方案68第六章风险管理的监督与改进69第七章风险管理组织体系70第八章风险管理信息系统73第九章风险管理文化73第十章附则74风险管理专业术语解释81财政部 证监会 审计署 银监会 保监会关于印发企业内部控
5、制配套指引的通知83企业内部控制应用指引85控制环境类指引85企业内部控制应用指引第 1 号组织架构85第一章总则85第二章组织架构的设计85第三章组织架构的运行86企业内部控制应用指引第 2 号发展战略88第一章总则88第二章发展战略的制定88第三章发展战略的实施89企业内部控制应用指引第 3 号人力资源90第一章总则90第二章人力资源的引进与开发90第三章人力资源的使用与退出91企业内部控制应用指引第 4 号社会责任92第一章总则92第二章安全生产92第三章产品质量93第四章环境保护与资源节约93第五章促进就业与员工权益保护94企业内部控制应用指引第 5 号企业文化95第一章总则95第二章
6、企业文化的建设95第三章企业文化的评估96控制活动类指引97企业内部控制应用指引第 6 号资金活动97第一章总则97第二章筹资97第三章投资99第四章营运100企业内部控制应用指引第 7 号采购业务102第一章总则102第二章购买102第三章付款104企业内部控制应用指引第 8 号资产管理105第一章总则105第二章存货105第三章固定资产107第四章无形资产108企业内部控制应用指引第 9 号销售业务109第一章总则109第二章销售109第三章收款110企业内部控制应用指引第 10 号研究与开发111第一章总则111第二章立项与研究111第三章开发与保护112企业内部控制应用指引第 11 号
7、工程项目113第一章总则113第二章工程立项113第三章工程招标114第四章工程造价115第五章工程建设116第六章工程验收117企业内部控制应用指引第12号担保业务118第一章总则118第二章调查评估与审批118第三章执行与监控119企业内部控制应用指引第 13 号业务外包121第一章总则121第二章承包方选择121第三章业务外包实施122企业内部控制应用指引第 14 号财务报告124第一章总则124第二章财务报告的编制124第三章财务报告的对外提供125第四章财务报告的分析利用126控企业内部控制应用指引第 15 号全面预算127第一章总则127第二章预算编制127第三章预算执行128第四
8、章预算考核129企业内部控制应用指引第 16 号合同管理130第一章总则130第二章合同的订立130第三章合同的履行131企业内部控制应用指引第 17 号内部信息传递133第一章总则133第二章内部报告的形成133第三章内部报告的使用134企业内部控制应用指引第 18 号信息系统135第一章总则135第二章信息系统的开发135第三章信息系统的运行与维护136企业内部控制评价指引138第一章总则138第二章内部控制评价的内容138第三章内部控制评价的程序139第四章内部控制缺陷的认定140第五章内部控制评价报告141企业内部控制审计指引143第一章总则143第二章计划审计工作144第三章实施审计
9、工作145第四章评价控制缺陷146第五章完成审计工作146第六章出具审计报告147第七章记录审计工作149附录:内部控制审计报告的参考格式1501. 标准内部控制审计报告1502. 带强调事项段的无保留意见内部控制审计报告1513. 否定意见内部控制审计报告1524. 无法表示意见内部控制审计报告153发布实施内控规范 服务经济社会发展 财政部副部长王军在企业内部控制配套指引发布会上的讲话155全面提升企业经营管理水平的重要举措 财政部会计司司长刘玉廷解读企业内部控制配套指引163一、关于应用指引163(一)内部环境类指引163(二)控制活动类指引167(三)控制手段类指引173二、关于内部控
10、制评价指引176三、关于内部控制审计指引178四、关于企业执行内部控制规范体系的准备工作180五、关于企业内部控制规范体系实施的监督评价181财政部会计司解读企业内部控制应用指引183控制环境类指引183健全组织架构 奠定内控基础 财政部会计司解读企业内部控制应用指引第1号组织架构183强化发展战略管理 促进企业长远发展 财政部会计司解读企业内部控制应用指引第2号发展战略191加强人力资源建设 夯实企业发展基石 财政部会计司解读企业内部控制应用指引第3号人力资源199履行社会责任是企业应尽的义务和使命 财政部会计司解读企业内部控制应用指引第4号社会责任206加强企业文化建设 提升企业软实力 财
11、政部会计司解读企业内部控制应用指引第5号企业文化214强化资金风险管控 不断提升企业效益 财政部会计司解读企业内部控制应用指引第6号资金活动219强化采购风险管控提高企业采购效能 财政部会计司解读企业内部控制应用指引第7号采购业务230保障企业资产安全全面提升资产效能 财政部会计司解读企业内部控制应用指引第8号资产管理234规范销售行为 扩大市场份额 财政部会计司解读企业内部控制应用指引第9号销售业务243促进企业自主创新 全面提升核心竞争力 财政部会计司解读企业内部控制应用指引第10号研究与开发247强化风险管控确保工程质量 财政部会计司解读企业内部控制应用指引第11号工程项目250严控担保
12、风险促进企业稳健发展 财政部会计司解读企业内部控制应用指引第12号担保业务263加强业务外包管理 防范业务外包风险 财政部会计司解读企业内部控制应用指引第13号业务外包268提高财务报告质量夯实企业发展基础 财政部会计司解读企业内部控制应用指引第14号财务报告272控制手段类指引279强化全面预算管理促进实现发展战略 财政部会计司解读企业内部控制应用指引第15号全面预算279提高合同管理效能维护企业合法权益 财政部会计司解读企业内部控制应用指引第16号合同管理287有效管控内部信息传递 促进企业经营管理决策优化 财政部会计司解读企业内部控制应用指引第17号内部信息传递292优化信息系统 提升管
13、理水平 财政部会计司解读企业内部控制应用指引第18号信息系统297切实做好内部控制评价,不断实现内部控制自我提升 财政部会计司解读企业内部控制评价指引305一、内部控制评价概述305(一)内部控制评价的作用305(二)内部控制评价的对象306(三)内部控制评价的原则306(四)内部控制评价的组织形式和职责安排307二、关于内部控制评价的内容309(一)内部控制评价的内容和工作底稿设计309三、关于内部控制评价的程序310(一)内部控制评价的一般程序310(二)内部控制评价的频率311(三)内部控制评价的方法311四、内部控制缺陷的认定312(一)内部控制缺陷的分类313(二)内部控制缺陷的认定
14、标准314(三)内部控制缺陷的报告与整改316五、关于内部控制评价报告316(一)内部控制评价报告的内容和格式317(二)内部控制评价报告的编制和报送318附件1:内部控制评价核心指标320附件2:股份有限公司20年度内部控制评价报告328注册会计师审计是提升企业内控有效性的重要制度安排 财政部会计司(刘玉廷 王宏执笔)332规范内控审计行为 促进内控有效实施 财政部会计司、中注协解读企业内部控制审计指引344企业内部控制规范体系实施中相关问题解释第1号362企业内部控制规范体系实施中相关问题解释第2号366国资委财政部关于加快构建中央企业内部控制体系 有关事项的通知372上市公司实施企业内部
15、控制规范体系监管问题解答375行政事业单位内部控制规范(试行)379第一章总则379第二章风险评估和控制方法380第三章 单位层面内部控制382第四章 业务层面内部控制383第一节 预算业务控制383第二节 收支业务控制384第三节 政府采购业务控制385第四节 资产控制386第五节 建设项目控制388第六节 合同控制389第五章 评价与监督390第六章 附 则390企业法律风险管理指南391大企业税务风险管理指引(试行)414小企业内部控制规范(试行)423439财政部证监会审计署文件银监会保监会财会20087号财政部 证监会 审计署 银监会 保监会关于印发企业内部控制基本规范的通知中直管理
16、局,铁道部、国管局,总后勤部、武警总部,各省、自治区、直辖市、计划单列市财政厅(局)、审计厅(局),新疆生产建设兵团财务局、审计局,中国证监会各省、自治区、直辖市、计划单列市监管局,中国证监会上海、深圳专员办,各保监局、保险公司,各银监局、政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、资产管理公司,各省级农村信用联社,银监会直接管理的信托公司、财务公司、租赁公司,有关中央管理企业:为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益,根据国家有关法律法规,财政部会同证监会、审计署、银监会、保监会制定了企业内部控制基
17、本规范,现予印发,自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。执行中有何问题,请及时反馈我们。附件:企业内部控制基本规范财政部 证监会 审计署 银监会 保监会 二八年五月二十二日附件:企业内部控制基本规范第一章总则第一条为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益,根据中华人民共和国公司法、中华人民共和国证券法、中华人民共和国会计法和
18、其他有关法律法规,制定本规范。第二条本规范适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。大中型企业和小企业的划分标准根据国家有关规定执行。第三条本规范所称内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。第四条企业建立与实施内部控制,应当遵循下列原则:(一)全面性原则。内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项。(二)重要性原则。内部控制应当在全面控制的基础上
19、,关注重要业务事项和高风险领域。(三)制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。(四)适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。(五)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。第五条企业建立与实施有效的内部控制,应当包括下列要素:(一)内部环境。内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。(二)风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标
20、相关的风险,合理确定风险应对策略。(三)控制活动。控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。(四)信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。(五)内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。第六条企业应当根据有关法律法规、本规范及其配套办法,制定本企业的内部控制制度并组织实施。第七条企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动
21、控制,减少或消除人为操纵因素。第八条企业应当建立内部控制实施的激励约束机制,将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系,促进内部控制的有效实施。第九条国务院有关部门可以根据法律法规、本规范及其配套办法,明确贯彻实施本规范的具体要求,对企业建立与实施内部控制的情况进行监督检查。第十条接受企业委托从事内部控制审计的会计师事务所,应当根据本规范及其配套办法和相关执业准则,对企业内部控制的有效性进行审计,出具审计报告。会计师事务所及其签字的从业人员应当对发表的内部控制审计意见负责。为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务。第二章内部环境第十一条企业应当
22、根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。股东(大)会享有法律法规和企业章程规定的合法权利,依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。董事会对股东(大)会负责,依法行使企业的经营决策权。监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责。经理层负责组织实施股东(大)会、董事会决议事项,主持企业的生产经营管理工作。第十二条董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。企业应当成立专
23、门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。第十三条企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。第十四条企业应当结合业务特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任单位。企业应当通过编制内部管理手册,使全体员工掌握内部机构设置、岗位职责、业务流程等情况,明确权责分配,正确行使职权。第十五条企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当
24、结合内部审计监督,对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。第十六条企业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容:(一)员工的聘用、培训、辞退与辞职。(二)员工的薪酬、考核、晋升与奖惩。(三)关键岗位员工的强制休假制度和定期岗位轮换制度。(四)掌握国家秘密或重要商业秘密的员工离岗的限制性规定。(五)有关人力资源管理的其他政策。第十七条企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,切实加强
25、员工培训和继续教育,不断提升员工素质。第十八条企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识。董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。企业员工应当遵守员工行为守则,认真履行岗位职责。第十九条企业应当加强法制教育,增强董事、监事、经理及其他高级管理人员和员工的法制观念,严格依法决策、依法办事、依法监督,建立健全法律顾问制度和重大法律纠纷案件备案制度。第三章风险评估第二十条企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估。第二十一条企业开展风险评
26、估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。风险承受度是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。第二十二条企业识别内部风险,应当关注下列因素:(一)董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。(二)组织机构、经营方式、资产管理、业务流程等管理因素。(三)研究开发、技术投入、信息技术运用等自主创新因素。(四)财务状况、经营成果、现金流量等财务因素。(五)营运安全、员工健康、环境保护等安全环保因素。(六)其他有关内部风险因素。第二十三条企业识别外部风险,应当关注下列因素:(一)经济形势、产业政策、融
27、资环境、市场竞争、资源供给等经济因素。(二)法律法规、监管要求等法律因素。(三)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。(四)技术进步、工艺改进等科学技术因素。(五)自然灾害、环境状况等自然环境因素。(六)其他有关外部风险因素。第二十四条企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。企业进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。第二十五条企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。企业应当合
28、理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。第二十六条企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。风险规避是企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险降低是企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。风险分担是企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。风险承受是企业对风险承受度之内的风险,在权
29、衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。第二十七条企业应当结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。第四章控制活动第二十八条企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。第二十九不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约
30、的工作机制。第三十条授权审批控制要求企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业应当编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,严格控制特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。企业各级管理人员应当在授权范围内行使职权和承担责任。企业对于重大的业务和事项,应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。第三十一条会计系统控制要求企业严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会
31、计报告的处理程序,保证会计资料真实完整。企业应当依法设置会计机构,配备会计从业人员。从事会计工作的人员,必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。大中型企业应当设置总会计师。设置总会计师的企业,不得设置与其职权重叠的副职。第三十二条财产保护控制要求企业建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。企业应当严格限制未经授权的人员接触和处置财产。第三十三条预算控制要求企业实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。第三十四条运营分析控制要求企业
32、建立运营情况分析制度,经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。第三十五条绩效考评控制要求企业建立和实施绩效考评制度,科学设置考核指标体系,对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。第三十六条企业应当根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。第三十七条企业应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发
33、事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。第五章信息与沟通第三十八条企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。第三十九条企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息。企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。第四十条企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环
34、节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。第四十一条企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。第四十二条企业应当建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。企业至
35、少应当将下列情形作为反舞弊工作的重点:(一)未经授权或者采取其他不法方式侵占、挪用企业资产,牟取不当利益。(二)在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。(三)董事、监事、经理及其他高级管理人员滥用职权。(四)相关机构或人员串通舞弊。第四十三条企业应当建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。第六章内部监督第四十四条企业应当根据本规范及其配套办法,制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部
36、机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查;专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。第四十五条企业应当制定内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷,应当分析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及时向董事会、监事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。企业应当
37、跟踪内部控制缺陷整改情况,并就内部监督中发现的重大缺陷,追究相关责任单位或者责任人的责任。第四十六条企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的,从其规定。第四十七条企业应当以书面或者其他适当的形式,妥善保存内部控制建立与实施过程中的相关记录或者资料,确保内部控制建立与实施过程的可验证性。第七章附则第四十八条本规范由财政部会同国务院其他有关部门解释。第四十九条本规范的配套办法由财政部会同国务院其他有关部门另行
38、制定。第五十条本规范自2009年7月1日起实施。关于发布上海证券交易所上市公司内部控制指引的通知各上市公司为推动和指导上市公司建立健全内部控制制度,提高公司风险管理水平,保护投资者的合法权益,根据公司法、证券法、国务院批转证监会关于提高上市公司质量意见的通知等法律法规及规范性文件和上海证券交易所股票上市规则的规定,本所制定了上海证券交易所上市公司内部控制指引,现予以发布实施。上海证券交易所2006年6月5日上海证券交易所上市公司内部控制指引第一章 总则第一条为推动和指导上海证券交易所(以下简称本所)上市公司建立健全和有效实施内部控制制度,提高上市公司风险管理水平,保护投资者的合法权益,依据公司
39、法、证券法、国务院批转证监会的通知等法律法规及规范性文件和上海证券交易所股票上市规则的规定,制定本指引。第二条内部控制是指上市公司(以下简称公司)为了保证公司战略目标的实现,而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排。它是由公司董事会、管理层及全体员工共同参与的一项活动。第三条在本所上市的公司应当按照法律、行政法规、部门规章以及本所股票上市规则的规定建立健全内部控制制度(以下简称内控制度),保证内控制度的完整性、合理性及实施的有效性,以提高公司经营的效果与效率,增强公司信息披露的可靠性,确保公司行为合法合规。第四条公司董事会对公司内控制度的建立健全、有效实施及其检查监督负责,
40、董事会及其全体成员应保证内部控制相关信息披露内容的真实、准确、完整。第二章 内部控制的框架第五条公司内控制度应力求全面、完整,至少在以下层面作出安排:(一)公司层面;(二)公司下属部门及附属公司层面;(三)公司各业务环节层面。第六条公司建立和实施内控制度时,应考虑以下基本要素:(一)目标设定,指董事会和管理层根据公司的风险偏好设定战略目标。(二)内部环境,指公司的组织文化以及其他影响员工风险意识的综合因素,包括员工对风险的看法、管理层风险管理理念和风险偏好、职业道德规范和工作氛围、董事会和监事会对风险的关注和指导等。(三)风险确认,指董事会和管理层确认影响公司目标实现的内部和外部风险因素。(四
41、)风险评估,指董事会和管理层根据风险因素发生的可能性和影响,确定管理风险的方法。(五)风险管理策略选择,指董事会和管理层根据公司风险承受能力和风险偏好选择风险管理策略。(六)控制活动,指为确保风险管理策略有效执行而制定的制度和程序,包括核准、授权、验证、调整、复核、定期盘点、记录核对、职能分工、资产保全、绩效考核等。(七)信息沟通,指产生服务于规划、执行、监督等管理活动的信息并适时向使用者提供的过程。(八)检查监督,指公司自行检查和监督内部控制运行情况的过程。第七条公司应在符合总体战略目标的基础上,针对各下属部门、附属公司以及各业务环节的特点,建立相应的内控制度。第八条公司内部控制通常应涵盖经
42、营活动中所有业务环节,包括但不限于:(一)销货及收款环节:包括订单处理、信用管理、运送货物、开出销货发票、确认收入及应收账款、收到现款及其记录等。(二)采购及付款环节:包括采购申请、处理采购单、验收货物、填写验收报告或处理退货、记录应付账款、核准付款、支付现款及其记录等。(三)生产环节:包括拟定生产计划、开出用料清单、储存原材料、投入生产、计算存货生产成本、计算销货成本、质量控制等。(四)固定资产管理环节:包括固定资产的自建、购置、处置、维护、保管与记录等。(五)货币资金管理环节:包括货币资金的入账、划出、记录、报告、出纳人员和财务人员的授权等。(六)关联交易环节:包括关联方的界定,关联交易的
43、定价、授权、执行、报告和记录等。(七)担保与融资环节:包括借款、担保、承兑、租赁、发行新股、发行债券等的授权、执行与记录等。(八)投资环节:包括投资有价证券、股权、不动产、经营性资产、金融衍生品及其他长、短期投资、委托理财、募集资金使用的决策、执行、保管与记录等。(九)研发环节:包括基础研究、产品设计、技术开发、产品测试、研发记录及文件保管等。(十)人事管理环节:包括雇用、签订聘用合同、培训、请假、加班、离岗、辞退、退休、计时、计算薪金、计算个人所得税及各项代扣款、薪资记录、薪资支付、考勤及考核等。公司在内控制度制定过程中,可以根据自身所处行业及生产经营特点对上述业务环节进行调整。第九条公司内
44、控制度除涵盖对经营活动各环节的控制外,还包括贯穿于经营活动各环节之中的各项管理制度,包括但不限于:印章使用管理、票据领用管理、预算管理、资产管理、质量管理、担保管理、职务授权及代理制度、定期沟通制度、信息披露管理制度及对附属公司的管理制度等。第十条公司使用计算机信息系统的,还应制定信息管理的内控制度。信息管理的内控制度至少应涵盖下列内容:(一)信息处理部门与使用部门权责的划分;(二)信息处理部门的功能及职责划分;(三)系统开发及程序修改的控制;(四)程序及资料的存取、数据处理的控制;(五)档案、设备、信息的安全控制;(六)在本所网站或公司网站上进行公开信息披露活动的控制。第十一条公司应根据国家财政主管部门的有关规定,建立内部会计控制规范。第十二条金融等特殊行业的公司建立内控制度,还应遵循有关主管部门的规定。第十三条公司应根据自身业务特点建立相应的内控制度,本所鼓励公司聘请中介机构协助建立内控制度。第三章 专项风险的内部控制第一节对附属公司的管理控制第十四条公司应对控股子公司实行管理控制,主要包括:(一)依法建立对控股子公司的控制架构,确定控股子公司章程的主要条款,选任董事、监事、经理及财务负责人。(二)根据公司的战略规划,协调控股子公司的经营策略和风险管理策略,督促控股子公司据以制定相关业务经营计划、风险