关于印发《企业内部控制基本规范》的通知，自治区、直辖市、计划单列市、新疆生产建设兵团财政局、审计局、各省监察局、，自治区、直辖市和中国证券监督管理委员会国家计划单列市，

    中国证监会上海、深圳特派员办公室、各保险监管局、保险公司、各银监局、政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、资产管理公司、各省级农村信用社、信托公司、，金融公司、银监会直接管理的租赁公司及相关集中管理企业：

    为加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，

    为维护社会主义市场经济秩序和社会公众利益，财政部会同中国证监会、国家审计署、银监会、中国保监会，根据国家有关法律法规，制定了《企业内部控制基本规范》，现印发，自2003年7月1日起在上市公司范围内实施，鼓励非上市大中型企业实施。执行本准则的上市公司应当对内部控制的有效性进行自我评价，披露年度自我评价报告，

    可以聘请具有证券期货业务资格的会计师事务所对内部控制的有效性进行审计。

    如果在实施过程中出现任何问题，请及时反馈给我们。

    附件：《企业内部控制基本规范》

    财政部审计署中国证券监督管理委员会中国银行业监督管理委员会中国保险监督管理委员会

    2008年5月22日

    附件：《企业内部控制基本规范》

    第一章总则

    第一条根据《中华人民共和国公司法》、《中华人民共和国证券法》、《中华人民共和国会计法》的规定，

    为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公共利益等相关法律法规。

    第二条本规范适用于在中华人民共和国境内设立的大中型企业。

    小企业和其他单位可以参照本规范建立和实施内部控制。

    大中型企业和小企业的划分标准，按照国家有关规定执行。

    第三条本规范所称内部控制是指企业董事会、监事会、管理层和全体员工为实现控制目标而实施的过程。

    内部控制的目标是合理确保企业经营管理的合法合规性、资产安全性、财务报告及相关信息的真实性和完整性，提高经营效率和效果，促进企业发展战略的实现。

    第四条企业建立和实施内部控制，应当遵循下列原则：

    （一） 全面性原则。内部控制贯穿于决策、实施和监督的全过程，涵盖企业及其所属单位的各项业务和事项。

    （二） 重要原则。内部控制应在全面控制的基础上关注重要业务事项和高风险领域。

    （3） 制衡原则。内部控制在治理结构、制度设置、权责分配、业务流程等方面形成相互制约和监督，

    并考虑运营效率。

    （四） 适应性原则。内部控制应当与企业的业务规模、业务范围、竞争和风险水平相适应，并随着形势的变化及时调整。

    （五） 成本效益原则。内部控制应权衡实施成本和预期收益，以适当的成本实现有效控制。

    第五条企业建立和实施有效的内部控制，应当包括下列内容：

    （一） 内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构，

    机构设置和权责分配、内部审计、人力资源政策、企业文化等。

    （二） 风险评估。风险评估是及时识别和系统分析业务活动中与实现内部控制目标有关的风险，合理确定风险应对策略。

    （三） 控制活动。

    控制活动是指企业根据风险评估结果采取相应的控制措施，将风险控制在可容忍的范围内。

    （四） 信息和通信。

    信息与沟通是企业及时、准确地收集和传递与内部控制有关的信息，以确保企业内部以及企业与外部之间的有效沟通。

    （五） 内部监督。内部监督是指对内部控制的建立和实施情况进行监督检查，评价内部控制的有效性，及时改进发现的内部控制缺陷。

    第六条企业应当依照有关法律、法规、本规范及其配套办法，制定本企业内部控制制度并组织实施。

    第七条企业应当利用信息技术加强内部控制，建立适合经营管理的信息系统，促进内部控制流程与信息系统的有机结合，实现业务和事项的自动控制，减少或消除人为操纵因素。

    第八条企业应当建立内部控制实施的激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考核体系，促进内部控制的有效实施。

    第九条国务院有关部门可以：，

    根据法律法规、本规范及其配套措施，明确实施本规范的具体要求，并对企业内部控制的建立和实施情况进行监督检查。

    第十条企业委托的会计师事务所进行内部控制审计，应当按照本规范、配套办法和相关专业标准，对企业内部控制的有效性进行审计，并出具审计报告。会计师事务所及其签字员工对出具的内部控制审计意见负责。

    为企业内部控制提供咨询的会计师事务所不得同时为同一企业提供内部控制审计服务。

    第二章内部环境

    第十一条企业应当依照国家有关法律、法规和本章程的规定，建立规范的公司治理结构和议事规则，明确决策、实施和监督的职责和权限，形成科学有效的职责分工和制衡机制。

    股东大会（股东大会）享有法律法规和企业章程规定的法定权利，对企业的经营方针、融资、投资、利润分配等重大事项依法行使表决权。

    董事会对股东会负责，依法行使企业经营决策权。

    监事会对股东会负责，监督企业董事、经理和其他高级管理人员依法履行职责。

    管理层负责组织实施股东会和董事会的决议，主持企业的生产经营管理工作。

    第十二条董事会负责内部控制的建立、完善和有效实施。监事会对董事会内部控制的建立和实施情况进行监督。管理层负责组织和领导企业内部控制的日常运作。

    企业应当设立专门机构或者指定适当的机构，具体负责组织协调内部控制的建立、实施和日常工作。

    第十三条企业应当在董事会下设审计委员会。审计委员会负责审核企业内部控制，监督内部控制的有效实施和内部控制的自我评价，协调内部控制审计等相关事项。

    审计委员会负责人应具有相应的独立性、良好的职业道德和专业能力。

    第十四条企业应当结合业务特点和内部控制要求，设立内部机构，明确职责权限，对各责任单位落实权利和责任。

    企业应编制内部管理手册，使全体员工掌握内部组织机构设置、岗位职责、业务流程等，明确权责分配，正确行使职权。

    第十五条企业应当加强内部审计工作，确保内部审计机构的设置、人员配备和工作独立性。

    内部审计机构应当：，

    结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构应当按照企业内部审计程序报告监督检查中发现的内部控制缺陷；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。

    第十六条企业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应包括以下内容：

    （一） 就业,培训,，

    解雇和辞职雇员。

    （二） 员工的薪酬、考核、晋升、奖惩。

    （三） 关键岗位员工的强制休假制度和定期轮岗制度。

    （四） 对掌握国家秘密或重要商业秘密的员工离职的限制性规定。

    （五） 与人力资源管理有关的其他政策。

    第十七条企业应当将职业道德和职业能力作为选聘职工的重要标准，切实加强职工培训和继续教育，不断提高职工素质。

    第十八条企业应当加强文化建设，

    培养积极的价值观和社会责任感，倡导诚实守信、爱心奉献、开拓创新、团队合作，树立现代管理理念，强化风险意识。

    董事、监事、经理和其他高级管理人员应当在企业文化建设中发挥主导作用。

    企业员工应当遵守员工行为准则，认真履行岗位职责。

    第十九条企业应当加强法制教育，增强董事、监事、经理及其他高级管理人员和职工的法制观念，严格依法决策、依法办事、依法监督，

    建立健全法律顾问制度和重大法律纠纷案件立案制度。

    第三章风险评估

    第二十条企业应当按照设定的控制目标，全面、系统、持续地收集相关信息，并结合实际情况及时进行风险评估。

    第二十一条企业进行风险评估时，应当准确识别与实现控制目标有关的内外部风险，并确定相应的风险承受能力。

    风险承受能力是企业能够承受的风险限度，包括整体风险承受能力和业务层面可接受的风险水平。

    第二十二条企业识别内部风险，应当注意下列因素：

    （一） 董事、监事、经理和其他高级管理人员的职业道德以及员工的职业能力等人力资源因素。

    （二） 组织结构、业务模式、资产管理、业务流程等管理因素。

    （三） 研究开发、技术投入、信息技术应用等自主创新因素。

    （四） 财务状况、经营成果、现金流量等财务因素。

    （五） 作业安全、员工健康、环境保护等安全环保因素。

    （6） 其他相关内部风险因素。

    第二十三条企业识别外部风险，应当注意下列因素：

    （一） 经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。

    （二） 法律法规、监管要求和其他法律因素。

    （三） 安全稳定、文化传统、社会信用、教育水平、消费行为等社会因素。

    （4） 技术进步、工艺改进等科技因素。

    （5） 自然灾害、环境条件等自然环境因素。

    （6） 其他相关的外部风险因素。

    第二十四条企业应当采取定性与定量相结合的方法，根据风险发生的可能性及其影响程度，对识别出的风险进行分析和排序，确定关注的重点和首先控制的风险。

    企业进行风险分析时，应当充分吸收专业人员，组建风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。

    第二十五条企业应当根据风险分析结果，结合风险承受能力，权衡风险和收益，确定风险应对策略。

    企业应当合理分析和准确把握董事、经理、其他高级管理人员和关键岗位员工的风险偏好，并采取相应的控制措施，避免因个人风险偏好给企业经营造成重大损失。

    第二十六条企业应当综合运用风险规避、风险降低、风险分担、风险承受等风险应对策略，实现有效的风险控制。

    风险规避是企业通过放弃或停止与超出风险承受能力的风险相关的业务活动来避免和减轻损失的一种策略。

    风险降低是企业在权衡成本和收益后，采取适当的控制措施，降低风险或减少损失，将风险控制在风险承受能力之内的一种战略。

    风险共担是企业准备通过业务分包、保险购买和适当的控制措施，在他人的帮助下，将风险控制在风险承受能力之内的一种策略。

    风险承受能力是指企业在权衡成本效益后，不准备采取控制措施来降低风险或减少损失的一种战略。

    第二十七条企业应当结合不同的发展阶段和业务拓展，持续收集与风险变化有关的信息，

    进行风险识别和风险分析，及时调整风险应对策略。

    第四章管制活动

    第二十八条企业应当结合风险评估结果，采取手动控制与自动控制、预防控制与发现控制相结合的相应控制措施，将风险控制在可承受的范围内。

    控制措施一般包括：不相容的职务分离控制、授权审批控制、会计制度控制、财产保护控制、预算控制、运营分析控制、绩效考核控制。

    第二十九条不相容职责分离控制要求企业全面、系统地分析、梳理业务流程中涉及的不相容职责，落实相应的分离措施，形成履行职责的工作机制，各负其责,相互制约。

    第三十条授权审批控制要求企业按照常规授权和特殊授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应职责。

    企业应当制定日常授权的权限指南，规范授权范围，

    特殊授权的权限、程序和职责，严格控制特殊授权。

    日常授权是指企业在日常经营管理活动中，按照既定的职责和程序进行的授权。特殊授权是指企业在特殊情况和特定条件下进行的授权。

    企业各级管理人员在授权范围内行使职权，承担责任。

    企业对重大业务和事项实行集体决策审批或联署制度。

    任何个人不得单独作出决定，也不得擅自改变集体决定。

    第三十一条会计制度管理要求企业严格执行国家统一的会计准则体系，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料的真实性和完整性。

    企业应当依法设立会计机构，配备会计从业人员。从事会计工作的人员必须取得会计资格证书。

    会计机构负责人应当具有会计专业技术职务资格以上。

    大中型企业应当设置总会计师。企业设总会计师的，不得设置职权交叉的副会计师职务。

    第三十二条财产保护和管理要求企业建立日常财产管理制度和定期盘点制度，采取财产记录、实物保管、定期盘点、账务核实等措施，确保财产安全。

    企业应当严格限制未经授权的人员接触和处分财产。

    第三十三条预算控制要求企业实行全面预算管理制度，明确各责任单位在预算管理中的职责和权限，规范预算编制、审查、发布和执行程序，强化预算约束。

    第三十四条经营分析控制要求企业建立经营分析制度。管理层应综合利用生产、购销、投资、融资、财务等信息，通过因子分析、比较分析、趋势分析等方法定期进行经营分析，找出存在的问题，

    找出原因，及时改进。

    第三十五条绩效考核管理要求企业建立和实施绩效考核制度，科学设置考核指标体系，定期考核和客观评价企业内各责任单位和全体员工的绩效，

    考核结果作为确定员工工资、晋升、考核、降职、转岗、辞退等的依据。

    第三十六条企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各项业务和事项进行有效控制。

    第三十七条企业应当建立重大风险预警机制和突发事件应急处置机制，明确风险预警标准，制定可能发生的重大风险或突发事件应急预案，明确责任人，规范处置程序，确保突发事件得到及时、妥善处理。

    第五章信息和通信

    第三十八条企业应当建立信息沟通制度，明确内部控制相关信息的收集、处理和传递程序，保证信息的及时沟通，促进内部控制的有效运行。

    第三十九条企业应当合理筛选、检查和整合收集的各种内外部信息，提高信息的有用性。

    企业可以通过财务会计资料、经营管理资料、研究报告、专题信息、内部刊物、办公网络等渠道获取内部信息。

    企业可以通过行业协会、社会中介机构、业务单位、市场调研、信访、网络媒体和相关监管机构获取外部信息。

    第四十条企业应当在管理层之间沟通和反馈与内部控制有关的信息，

    企业内部以及企业与外部投资者、债权人、客户、供应商、中介机构、监管机构和其他相关方之间的责任单位和业务联系。信息沟通过程中发现的问题应及时报告并解决。

    重要信息应及时传递给董事会、监事会和管理层。

    第四十一条企业应当利用信息技术促进信息的集成和共享，充分发挥信息技术在信息通信中的作用。

    企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件存储与保管、网络安全等方面的控制，确保信息系统安全稳定运行。

    第四十二条企业应当建立反欺诈机制，坚持惩防结合、预防为主的原则，明确反欺诈工作的重点领域和关键环节，明确相关机构在反欺诈工作中的职责权限，规范举报、调查、举报等行为，欺诈案件的处理、报告和补救程序。

    企业在反欺诈工作中应至少关注以下情况：

    （1） 挪用或者擅自挪用企业资产或者以其他非法手段谋取不正当利益的。

    （2） 财务会计报告和信息披露中的虚假记载、误导性陈述或者重大遗漏。

    （3） 董事、监事、经理及其他高级管理人员滥用职权。

    （4） 相关机构或人员串通欺诈。

    第四十三条企业应当建立举报投诉制度和举报人保护制度，建立举报渠道，明确举报投诉处理程序、处理期限和完成要求，

    确保举报投诉成为企业有效掌握信息的重要途径。

    报告和投诉制度以及举报人保护制度应及时传达给所有员工。

    第六章内部监督

    第四十四条企业应当根据本规范及其配套措施，制定内部控制监督制度，明确内部审计机构（或其他授权监督机构）和其他内部机构在内部监督中的职责和权限，规范内部监督的程序、方法和要求。

    内部监督分为日常监督和专项监督。日常监督是指对企业内部控制的建立和实施情况进行例行、持续的监督检查；专项监督是指在企业发展战略、组织结构、业务活动、业务流程和关键岗位员工发生重大调整或变化时，对内部控制的一个或某些方面进行有针对性的监督检查。

    专项监管的范围和频率应根据风险评估结果和日常监管的有效性确定。

    第四十五条企业应当制定内部控制缺陷识别标准，对监督过程中发现的内部控制缺陷进行调查，

    分析缺陷的性质和原因，提出整改方案，并以适当的形式及时向董事会、监事会或管理层报告。

    内部控制缺陷包括设计缺陷和操作缺陷。企业应对内部控制缺陷的整改情况进行跟踪，对内部监督中发现的重大缺陷，追究相关责任单位或人员的责任。

    第四十六条企业应当定期对内部控制的有效性进行自我评价，并结合内部监督情况出具内部控制自我评价报告。

    内部控制自我评价的方法、范围、程序和频率由企业根据业务调整、经营环境变化、业务发展状况、实际风险水平等情况确定。

    国家有关法律、法规另有规定的，从其规定。

    第四十七条企业应当以书面或者其他适当形式妥善保存内部控制建立和实施的相关记录或者资料，确保内部控制的建立和实施具有可验证性。

    第七章附则

    第四十八条本办法由财政部会同国务院有关部门负责解释。

    第四十九条本规范的配套措施由财政部会同国务院有关部门另行制定。

    第五十条本准则自2014年7月1日起施行。

    

    

本文来源 ：用友畅捷通全国服务联盟，原文地址：/yonyou/kmyyrj/2962.html