企业内部控制应用指引第18号——信息系统

化信息系统提升管理水平

——财政部会计司解读《企业内部控制应用指引第18号——信息系统》

一、信息系统内部控制概述

《企业内部控制应用指引第18号———信息系统》中所指信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。信息系统内部控制的目标是促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操纵因素；同时，增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。信息系统内部控制的主要对象是信息系统，由计算机硬件、软件、人员、信息流和运行规程等要素组成。

现代企业的运营越来越依赖于信息系统。比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等，没有信息系统的支撑，业务开展就举步维艰、难以为继，企业经营就很可能陷入瘫痪状态。还有一些新兴产业和新兴企业，其商业模式完全依赖信息系统，比如各种网络公司（新浪、网易、百度）、各种电子商务公司（比如阿里巴巴、卓越公司），没有信息系统，这些企业可能失去生存之基。

同时应当看到，企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险，至少应当关注下列方面：一是信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下；二是系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制；三是系统运行维护和安

全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。

鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用，加之信息系统本身的复杂性和高风险特征，《企业内部控制应当指引第18号——信息系统》规定，企业负责人对信息系统建设工作负责。换言之，信息系统建设是“一把手”工程。只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作，才能统一思想、提高认识、加强协调配合，从而推动信息系统建设在整合资源的前提下高效、协调推进。企业应当重视信息系统在内部控制中的作用，根据内部控制要求，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设总体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。

二、信息系统的开发

企业根据发展战略和业务需要进行信息系统建设，首先要确立系统建设目标，根据目标进行系统建设战略规划，再将规划细化为项目建设方案。企业开展信息系统建设，可以根据实际情况，采取自行开发、外购调试或业务外包等方式。选择外购调试或业务外包方式的，应当采用公开招标等形式择优选择供应商或开发单位。选择自行开发信息系统的，信息系统归口管理部门应当组织企业内部相关业务部门进行需求分析，合理配置人员，明确系统设计、编程、安装调试、验收、上线等全过程的管理要求。企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理，增进开发单位与企业内部业务部门的日常沟通和协调，组织独立于开发单位的专业机构对开发完成的信息系统进行检查验收，并组织系统上线运行。

（一）制定信息系统开发的战略规划

信息系统开发的战略规划是信息化建设的起点，战略规划是以企业发展战略为依据制定的企业信息化建设的全局性、长期性规划。制定信息系统战略规划的主要风险是：第一，缺乏战略规划或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。第二，没有将信息化与企业业务需求结合，降低了信息系统的应用价值。信息孤岛现象是不少企业信息系统建设中存在的普遍问题，根源在于这些企业往往忽视战略规划的重要性，缺乏整体观念和整合意识，常常陷于头痛医头，脚痛医脚，这就导致有的企业财务管理信息系统、销售管理信息系统、生产管理信息系统、人力资源管理系统、办公自动化系统等各自为政、孤立存在的现象，削弱了信息系统的协同效用，甚至引发系统冲突。

主要控制措施：第一，企业必须制定信息系统开发的战略规划和中长期发展计划，并在每年制定经营计划的同时制定年度信息系统建设计划，促进经营管理活动与信息系统的协调统一。第二，企业在制定信息化战略过程中，要充分调动和发挥信息系统归口管理部门与业务部门的积极性，使各部门广泛参与，充分沟通，提高战略规划的科学性、前瞻性和适应性。第三，信息系统战略规划要与企业的组织架构、业务范围、地域分布、技术能力等相匹配，避免相互脱节。

（二）选择适当的信息系统开发方式

信息系统的开发建设是信息系统生命周期中技术难度最大的环节。在开发建设环节，要将企业的业务流程、内控措施、权限配置、预警指标、核算方法等固化到信息系统中，因此开发建设的好坏直

接影响信息系统的成败。

开发建设主要有自行开发、外购调试、业务外包等方式。各种开发方式有各自的优缺点和适用条件，企业应根据自身实际情况合理选择。

1．自行开发

自行开发是企业依托自身力量完成整个开发过程。其优点是开发人员熟悉企业情况，可以较好地满足本企业的需求，尤其是具有特殊性的业务需求。通过自行开发，还可以培养锻炼自己的开发队伍，便于后期的运行和维护。其缺点是开发周期较长、技术水平和规范程度较难保证，成功率相对较低。因此，自行开发方式的适用条件通常是企业自身技术力量雄厚，而且市场上没有能够满足企业需求的成熟的商品化软件和解决方案。比如百度的搜索引擎系统就偏重于自行开发。

2．外购调试

外购调式的基本做法是企业购买成熟的商品化软件，通过参数配置和二次开发满足企业需求。其优点是开发建设周期短；成功率较高；成熟的商品化软件质量稳定，可靠性高；专业的软件提供商实施经验丰富。其缺点是难以满足企业的特殊需求；系统的后期升级进度受制于商品化软件供应商产品更新换代的速度，企业自主权不强，较为被动。外购调试方式的适用条件通常是企业的特殊需求较少，市场上已有成熟的商品化软件和系统实施方案。比如大部分企业的财务管理系统、ERP系统、人力资源管理系统等多采用外购调试方式。

3．业务外包

信息系统的业务外包是指委托其他单位开发信息系统，基本做法是企业将信息系统开发项目外包出去，由专业公司或科研机构负责开发、安装实施，由企业直接使用。其优点是企业可以充分利用专业公司的专业优势，量体裁衣，构建全面、高效满足企业需求的个性化系统；企业不必培养、维持庞大的开发队伍，相应节约了人力资源成本。其缺点是沟通成本高，系统开发方难以深刻理解企业需求，可能导致开发出的信息系统与企业的期望产生较大偏差；同时，由于外包信息系统与系统开发方的专业技能、职业道德和敬业精神存在密切关系，也要求企业必须加大对外包项目的监督力度。业务外包方式的适用条件通常是市场上没有能够满足企业需求的成熟的商品化软件和解决方案，企业自身技术力量薄弱或出于成本效益原则考虑不愿意维持庞大的开发队伍。

（三）自行开发方式的关键控制点和主要控制措施

虽然信息系统的开发方式有自行开发、外购调试、业务外包等多种方式，但基本流程大体相似，通常包含项目计划、需求分析、系统设计、编程和测试、上线等环节。

1．项目计划环节

战略规划通常将完整的信息系统分成若干子系统，并分阶段建设不同的子系统。比如，制造企业可以将信息系统划分为财务管理系统、人力资源管理系统、MRP系统（销售、采购、库存、生产）、计算机辅助设计和制造系统、客户关系系统、电子商务系统等若干子系统。项目就是指本阶段需要建设的相对独立的一个或多个子系统。

项目计划通常包括项目范围说明、项目进度计划、项目质量计

划、项目资源计划、项目沟通计划、风险对策计划、项目采购计划、需求变更控制、配置管理计划等内容。项目计划不是完全静止、一成不变的，在项目启动阶段，可以先制定一个较为原则的项目计划，确定项目主要内容和重大事项，然后根据项目的大小和性质以及项目进展情况进行调整、充实和完善。项目计划环节的主要风险是：信息系统建设缺乏项目计划或者计划不当，导致项目进度滞后、费用超支、质量低下。

主要控制措施：第一，企业应当根据信息系统建设整体规划提出分阶段项目的建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施。第二，企业可以采用标准的项目管理软件（比如Office Project）制定项目计划，并加以跟踪。在关键环节进行阶段性评审，以保证过程可控。第三，项目关键环节编制的文档应参照《GB8567－88

计算机软件产品开发文件编制指南》等相关国家标准和行业标准进行，以提高项目计划编制水平。

2．需求分析环节

需求分析的目的是明确信息系统需要实现哪些功能。该项工作是系统分析人员和用户单位的管理人员、业务人员在深入调查的基础上，详细描述业务活动涉及的各项工作以及用户的各种需求，从而建立未来目标系统的逻辑模型。这一环节的主要风险是：第一，需求本身不合理，对信息系统提出的功能、性能、安全性等方面的要求不符合业务处理和控制的需要。第二，技术上不可行、经济上成本效益倒挂，或与国家有关法规制度存在冲突。第三，需求文档表述不准确、不完整，未能真实全面地表达企业需求，存在表述缺

失、表述不一致甚至表述错误等问题。

主要控制措施：第一，信息系统归口管理部门应当组织企业内部各有关部门提出开发需求，加强系统分析人员和有关部门的管理人员、业务人员的交流，经综合分析提炼后形成合理的需求。第二，编制表述清晰、表达准确的需求文档。需求文档是业务人员和技术人员共同理解信息系统的桥梁，必须准确表述系统建设的目标、功能和要求。企业应当采用标准建模语言(例如UML)，综合运用多种建模工具和表现手段，参照《GB8567－88计算机软件产品开发文件编制指南》等相关标准，提高系统需求说明书的编写质量。第三，企业应当建立健全需求评审和需求变更控制流程。依据需求文档进行设计（含需求变更设计）前，应当评审其可行性，由需求提出人和编制人签字确认，并经业务部门与信息系统归口管理部门负责人审批。

3．系统设计环节

系统设计是根据系统需求分析阶段所确定的目标系统逻辑模型，设计出一个能在企业特定的计算机和网络环境中实现的方案，即建立信息系统的物理模型。系统设计包括总体设计和详细设计。总体设计的主要任务是：第一，设计系统的模块结构，合理划分子系统边界和接口。第二，选择系统实现的技术路线，确定系统的技术架构，明确系统重要组件的内容和行为特征，以及组件之间、组件与环境之间的接口关系。第三，数据库设计，包括主要的数据库表结构设计、存储设计、数据权限和加密设计等。第四，设计系统的网络拓扑结构、系统部署方式等。详细设计的主要任务包括：程序说明书编制、数据编码规范设计、输入输出界面设计等内容。系统设计环

节的主要风险是：第一，设计方案不能完全满足用户需求，不能实现需求文档规定的目标。第二，设计方案未能有效控制建设开发成本，不能保证建设质量和进度。第三，设计方案不全面，导致后续变更频繁。第四，设计方案没有考虑信息系统建成后对企业内部控制的影响，导致系统运行后衍生新的风险。

主要控制措施：第一，系统设计负责部门应当就总体设计方案与业务部门进行沟通和讨论，说明方案对用户需求的覆盖情况；存在备选方案的，应当详细说明各方案在成本、建设时间和用户需求响应上的差异；信息系统归口管理部门和业务部门应当对选定的设计方案予以书面确认。第二，企业应参照《GB8567－88计算机软件产品开发文件编制指南》等相关国家标准和行业标准，提高系统设计说明书的编写质量。第三，企业应建立设计评审制度和设计变更控制流程。第四，在系统设计时应当充分考虑信息系统建成后的控制环境，将生产经营管理业务流程、关键控制点和处理规程嵌入系统程序，实现手工环境下难以实现的控制功能，例如：对于某一财务软件，当输入支出凭证时，可以让计算机自动检查银行存款余额，防止透支。第五，应充分考虑信息系统环境下的新的控制风险，比如，要通过信息系统中的权限管理功能控制用户的操作权限，避免将不相容职务的处理权限授予同一用户。第六，应当针对不同的数据输入方式，强化对进入系统数据的检查和校验功能。比如，凭证的自动平衡校对。第七，系统设计时应当考虑在信息系统中设置操作日志功能，确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据，应当设计由系统自动报告并设置跟踪处理机制。第八，预留必要的后台操作通道，对于必需的后台操作，应当加强

管理，建立规范的操作流程，确保足够的日志记录，保证对后台操作的可监控性。

4．编程和测试环节

编程阶段是将详细设计方案转换成某种计算机编程语言的过程。编程阶段完成之后，要进行测试，测试主要有以下目的：一是发现软件开发过程中的错误，分析错误的性质，确定错误的位置并予以纠正。二是通过某些系统测试，了解系统的响应时间、事务处理吞吐量、载荷能力、失效恢复能力以及系统实用性等指标，以便对整个系统做出综合评价。测试环节在系统开发中具有举足轻重的地位。

这一环节的主要风险是：第一，编程结果与设计不符。第二，各程序员编程风格差异大，程序可读性差，导致后期维护困难，维护成本高。第三，缺乏有效的程序版本控制，导致重复修改或修改不一致等问题。第四，测试不充分。单个模块正常运行但多个模块集成运行时出错，开发环境下测试正常而生产环境下运行出错，开发人员自测正常而业务部门用户使用时出错，导致系统上线后可能出现严重问题。

主要控制措施：第一，项目组应建立并执行严格的代码复查评审制度。第二，项目组应建立并执行统一的编程规范，在标识符命名、程序注释等方面统一风格。第三，应使用版本控制软件系统（例如CVS），保证所有开发人员基于相同的组件环境开展项目工作，协调开发人员对程序的修改。第四，应区分单元测试、组装测试（集成测试）、系统测试、验收测试等不同测试类型，建立严格的测试工作流程，提高最终用户在测试工作中的参与程度，改进测试用例

的编写质量，加强测试分析，尽量采用自动测试工具提高测试工作的质量和效率。具备条件的企业，应当组织独立于开发建设项目组的专业机构对开发完成的信息系统进行验收测试，确保在功能、性能、控制要求和安全性等方面符合开发需求。

5．上线环节

系统上线是将开发出的系统（可执行的程序和关联的数据）部署到实际运行的计算机环境中，使信息系统按照既定的用户需求来运转，切实发挥信息系统的作用。这一环节的主要风险是：第一，缺乏完整可行的上线计划，导致系统上线混乱无序。第二，人员培训不足，不能正确使用系统，导致业务处理错误，或者未能充分利用系统功能，导致开发成本浪费。第三，初始数据准备设置不合格，导致新旧系统数据不一致、业务处理错误。

主要控制措施：第一，企业应当制定信息系统上线计划，并经归口管理部门和用户部门审核批准。上线计划一般包括人员培训、数据准备、进度安排、应急预案等内容。第二，系统上线涉及新旧系统切换的，企业应当在上线计划中明确应急预案，保证新系统失效时能够顺利切换回旧系统。第三，系统上线涉及数据迁移的，企业应当制定详细的数据迁移计划，并对迁移结果进行测试。用户部门应当参与数据迁移过程，对迁移前后的数据予以书面确认。

（四）其他开发方式的关键控制点和主要控制措施

下面介绍其他开发方式（业务外包、外购调试）的关键控制点和主要控制措施。

在业务外包、外购调试方式下，企业对系统设计、编程、测试环节的参与程度明显低于自行开发方式，因此可以适当简化相应的

风险控制措施，但同时也因开发方式的差异产生一些新的风险，需要采取有针对性的控制措施。

1．业务外包方式的关键控制点和主要控制措施

（1）选择外包服务商

这一环节的主要风险是：由于企业与外包服务商之间本质上是一种委托—代理关系,合作双方的信息不对称容易诱发道德风险，外包服务商可能会实施损害企业利益的自利行为,如偷工减料、放松管理、信息泄密等。

主要控制措施：第一，企业在选择外包服务商时要充分考虑服务商的市场信誉、资质条件、财务状况、服务能力、对本企业业务的熟悉程度、既往承包服务成功案例等因素,对外包服务商进行严格筛选。第二，企业可以借助外包业界基准来判断外包服务商的综合实力。第三，企业要严格外包服务审批及管控流程,对信息系统外包业务，原则上应采用公开招标等形式选择外包服务商，并实行集体决策审批。

（2）签订外包合同

这一环节的主要风险是：由于合同条款不准确、不完善，可能导致企业的正当权益无法得到有效保障。

主要控制措施：第一，企业在与外包服务商签约之前,应针对外包可能出现的各种风险损失,恰当拟定合同条款,对涉及的工作目标、合作范畴、责任划分、所有权归属、付款方式、违约赔偿及合约期限等问题做出详细说明,并由法律部门或法律顾问审查把关。第二，开发过程中涉及商业秘密、敏感数据的，企业应当与外包服务商签订详细的“保密协定”，以保证数据安全。第三，在合同中约定付款事

宜时,应当选择分期付款方式，尾款应当在系统运行一段时间并经评估验收后再支付。第四，应在合同条款中明确要求外包服务商保持专业技术服务团队的稳定性。

（3）持续跟踪评价外包服务商的服务过程

这一环节的主要风险是：企业缺乏外包服务跟踪评价机制或跟踪评价不到位，可能导致外包服务质量水平不能满足企业信息系统开发需求。

主要控制措施：第一，企业应当规范外包服务评价工作流程，明确相关部门的职责权限，建立外包服务质量考核评价指标体系，定期对外包服务商进行考评,并公布服务周期的评估结果,实现外包服务水平的跟踪评价。第二，必要时，可以引入监理机制，降低外包服务风险。

2．外购调试方式的关键控制点和主要控制措施

在外购调试方式下，一方面，企业面临与委托开发方式类似的问题，企业要选择软件产品的供应商和服务供应商、签订合约、跟踪服务质量，因此，企业可采用与委托开发方式类似的控制措施；另一方面，外购调试方式也有其特殊之处，企业需要有针对性的强化某些控制措施。

（1）软件产品选型和供应商选择

在外购调试方式下，软件供应商的选择和软件产品的选型是密切相关的。这一环节的主要风险是：第一，软件产品选型不当，产品在功能、性能、易用性等方面无法满足企业需求。第二，软件供应商选择不当，产品的支持服务能力不足，产品的后续升级缺乏保障。

主要控制措施：第一，企业应明确自身需求，对比分析市场上的成熟软件产品，合理选择软件产品的模块组合和版本。第二，企业在软件产品选型时应广泛听取行业专家的意见。第三，企业在选择软件产品和服务供应商时，不仅要评价其现有产品的功能、性能，还要考察其服务支持能力和后续产品的升级能力。

（2）服务提供商选择

大型企业管理信息系统（例如ERP系统）的外购实施，不仅需要选择合适的软件供应商和软件产品，也需要选择合适的咨询公司等服务提供商，指导企业将通用软件产品与本企业的实际情况有机结合。这一环节的主要风险是：服务提供商选择不当，削弱了外购软件产品的功能发挥，导致无法有效满足用户需求。

主要控制措施：在选择服务提供商时，不仅要考核其对软件产品的熟悉、理解程度，也要考核其是否深刻理解企业所处行业的特点、是否理解企业的个性化需求、是否有过相同或相近的成功案例。

三、信息系统的运行与维护

信息系统的运行与维护主要包含三方面的内容：日常运行维护、系统变更和安全管理。

（一）日常运行维护的关键控制点和主要控制措施

日常运行维护的目标是保证系统正常运转，主要工作内容包括系统的日常操作、系统的日常巡检和维修、系统运行状态监控、异常事件的报告和处理等。这一环节的主要风险是：第一，没有建立规范的信息系统日常运行管理规范，计算机软硬件的内在隐患易于爆发，可能导致企业信息系统出错。第二，没有执行例行检查，导致一些人为恶意攻击会长期隐藏在系统中，可能造成严重损失。第

三，企业信息系统数据未能定期备份，可能导致损坏后无法恢复，从而造成重大损失。

主要控制措施：第一，企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。第二，切实做好系统运行记录，尤其是对于系统运行不正常或无法运行的情况，应将异常现象、发生时间和可能的原因作出详细记录。第三，企业要重视系统运行的日常维护，在硬件方面，日常维护主要包括各种设备的保养与安全管理、故障的诊断与排除、易耗品的更换与安装等，这些工作应由专人负责。第四，配备专业人员负责处理信息系统运行中的突发事件，必要时应会同系统开发人员或软硬件供应商共同解决。

（二）系统变更的关键控制点和主要控制措施

系统变更主要包括硬件的升级扩容、软件的修改与升级等。系统变更是为了更好地满足企业需求，但同时应加强对变更申请、变更成本与进度的控制。这一环节的主要风险是：第一，企业没有建立严格的变更申请、审批、执行、测试流程，导致系统随意变更。第二，系统变更后的效果达不到预期目标。

主要控制措施：第一，企业应当建立标准流程来实施和记录系统变更，保证变更过程得到适当的授权与管理层的批准，并对变更进行测试。信息系统变更应当严格遵照管理流程进行操作。信息系统操作人员不得擅自进行软件的删除、修改等操作；不得擅自升级、改变软件版本；不得擅自改变软件系统的环境配置。第二，系统变更程序(如软件升级)需要遵循与新系统开发项目同样的验证和测试

程序，必要时还应当进行额外测试。第三，企业应加强紧急变更的控制管理。第四，企业应加强对将变更移植到生产环境中的控制管理，包括系统访问授权控制、数据转换控制、用户培训等。

（三）安全管理的关键控制点和主要控制措施

安全管理的目标是保障信息系统安全，信息系统安全是指信息系统包含的所有硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄漏，信息系统能够连续正常运行。这一环节的主要风险是：第一，硬件设备分布物理范围广，设备种类繁多，安全管理难度大，可能导致设备生命周期短。第二，业务部门信息安全意识薄弱，对系统和信息安全缺乏有效的监管手段。少数员工可能恶意或非恶意滥用系统资源，造成系统运行效率降低。第三，对系统程序的缺陷或漏洞安全防护不够，导致遭受黑客攻击，造成信息泄露。第四，对各种计算机病毒防范清理不力，导致系统运行不稳定甚至瘫痪。第五，缺乏对信息系统操作人员的严密监控，可能导致舞弊和利用计算机犯罪。

主要控制措施是：

第一，建立信息系统相关资产的管理制度，保证电子设备的安全。硬件和网络设备不仅是信息系统运行的基础载体，也是价值昂贵的固定资产。企业应在健全设备管理制度的基础上，建立专门的电子设备管控制度，对于关键信息设备（例如银行的核心数据库服务器），未经授权，不得接触。

第二，企业应成立专门的信息系统安全管理机构，由企业主要领导负总责，对企业的信息安全作出总体规划和全方位严格管理，具体实施工作可由企业的信息主管部门负责。企业应强化全体员工

的安全保密意识，特别要对重要岗位员工进行信息系统安全保密培训，并签署安全保密协议。企业应当建立信息系统安全保密制度和泄密责任追究制度。

第三，企业应当按照国家相关法律法规以及信息安全技术标准，制定信息系统安全实施细则。根据业务性质、重要程度、涉密情况等确定信息系统的安全等级，建立不同等级信息的授权使用制度，采用相应技术手段保证信息系统运行安全有序。对于信息系统的使用者和不同安全等级信息之间的授权关系，应在系统开发建设阶段就形成方案并加以设计，在软件系统中预留这种对应关系的设置功能，以便根据使用者岗位职务的变迁进行调整。

第四，企业应当有效利用IT技术手段，对硬件配置调整、软件参数修改严加控制。例如，企业可利用操作系统、数据库系统、应用系统提供的安全机制，设置安全参数，保证系统访问安全；对于重要的计算机设备，企业应当利用技术手段防止员工擅自安装、卸载软件或者改变软件系统配置，并定期对上述情况进行检查。

第五，企业委托专业机构进行系统运行与维护管理的，应当严格审查其资质条件、市场声誉和信用状况等，并与其签订正式的服务合同和保密协议。

第六，企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。企业应当特别注重加强对服务器等关键部位的防护；对于存在网络应用的企业，应当综合利用防火墙、路由器等网络设备，采用内容过滤、漏洞扫描、入侵检测等软件技术加强网络安全，严密防范来自互联网的黑客攻击和非法侵入。对于通过互联网传输的涉密或者关键业务数据，企业应当采取必要的

技术手段确保信息传递的保密性、准确性、完整性。

第七，企业应当建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。系统首次上线运行时应当完全备份，然后根据业务频率和数据重要性程度，定期做好增量备份。数据正本与备份应分别存放于不同地点，防止因火灾、水灾、地震等事故产生不利影响。企业可综合采用磁盘、磁带、光盘等备份存储介质。

第八，企业应当建立信息系统开发、运行与维护等环节的岗位责任制度和不相容职务分离制度，防范利用计算机舞弊和犯罪。一般而言，信息系统不相容职务涉及的人员可以分为三类：系统开发建设人员、系统管理和维护人员、系统操作使用人员。开发人员在运行阶段不能操作使用信息系统，否则就可能掌握其中的涉密数据，进行非法利用；系统管理和维护人员担任密码保管、授权、系统变更等关键任务，如果允许其使用信息系统，就可能较为容易地篡改数据，从而达到侵吞财产或滥用计算机信息的目的。此外，信息系统使用人员也需要区分不同岗位，包括业务数据录入、数据检查、业务批准等，在他们之间也应有必要的相互牵制。企业应建立用户管理制度，加强对重要业务系统的访问权限管理，避免将不相容职责授予同一用户。企业应当采用密码控制等技术手段进行用户身份识别。对于重要的业务系统，应当采用数字证书、生物识别等可靠性强的技术手段识别用户身份。对于发生岗位变化或离岗的用户，用户部门应当及时通知系统管理人员调整其在系统中的访问权限或者关闭账号。企业应当定期对系统中的账号进行审阅，避免存在授权不当或非授权账号。对于超级用户，企业应当严格规定其使用条

件和操作程序，并对其在系统中的操作全程进行监控或审计。

第九，企业应积极开展信息系统风险评估工作，定期对信息系统进行安全评估，及时发现系统安全问题并加以整改。

（四）系统终结的关键控制点和主要控制措施

系统终结是信息系统生命周期的最后一个阶段，在该阶段信息系统将停止运行。停止运行的原因通常有：企业破产或被兼并、原有信息系统被新的信息系统代替。这一环节的主要风险是，第一，因经营条件发生剧变，数据可能泄密。第二，信息档案的保管期限不够长。

主要控制措施：第一，要做好善后工作，不管因何种情况导致系统停止运行，都应将废弃系统中有价值或者涉密的信息进行销毁、转移。第二，严格按照国家有关法规制度和对电子档案的管理规定（比如审计准则对审计证据保管年限的要求），妥善保管相关信息档案。

内部控制制度-信息系统一般控制

内部控制制度 ——信息系统一般控制 第一章总则 第一条为了充分利用某某公司（以下简称“公司”）信息系统，规范交易行为，提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性，降低人为因素导致内部控制失效的可能性，形成良好的信息传递渠道，根据国家有关法律法规和《企业内部控制基本规范》，制定本制度。 第二条本制度所称信息系统是指利用计算机技术对业务和信息进行集成处理的程序、数据和文档等的总称。 第三条公司在信息系统管理过程中，至少应关注涉及信息系统一般控制的下列风险： （一）信息系统开发与使用违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。 （二）信息系统开发与使用未经适当审核或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失。 （三）信息系统设计功能不科学、维护与变更程序不规范，可能导致公司经营效率与效果低下。 （四）信息系统外包服务未恰当履行或监控不当，可能导致公司权益受损或违约损失。 （五）信息系统访问安全措施不当，可能导致商业秘密泄露。 （六）信息系统硬件管理不当，可能导致公司资产或股东权益受损。 第四条公司在建立与实施信息系统内部控制过程中，至少应强化对下列关键方面或关键环节的控制： （一）职责分工、权限范围和审批程序应明确规范，机构设置和人员配备应科学合理，重大信息系统开发与使用事项应履行审批程序。 （二）信息系统开发、变更和维护流程应清晰合理。

（三）应建立访问安全制度，操作权限、信息使用、信息管理应有明确规定。 （四）硬件管理事项和审批程序应科学合理。 （五）会计信息系统流程应规范，会计信息系统操作管理、硬件、软件和数据管理、会计信息化档案管理应完善。 第二章岗位分工与授权审批 第五条公司应建立计算机信息系统岗位责任制。计算机信息系统岗位一般包括： （一）系统分析：分析用户的信息需求，并据此制定设计或修改程序的方案。 （二）编程：编写计算机程序来执行系统分析岗位的设计或修改方案。 （三）测试：设计测试方案，对计算机程序是否满足设计或修改方案进行测试，并通过反馈给编程岗位以修改程序并最终满足方案。 （四）程序管理：负责保障并监控应用程序正常运行。 （五）数据库管理：对信息系统中的数据进行存储、处理、管理，维护组织数据资源。 （六）数据控制：负责维护计算机路径代码的注册，确保原始数据经过正确授权，监控信息系统工作流程，协调输入和输出，将输入的错误数据反馈到输入部门并跟踪监控其纠正过程，将输出信息分发给经过授权的用户。 （七）终端操作：终端用户负责记录交易内容，授权处理数据，并利用系统输出的结果。系统开发和变更过程中不相容岗位（或职责）一般应包括：开发（或变更）立项、审批、编程、测试。系统访问过程中不相容岗位（或职责）一般应包括：申请、审批、操作、监控。 第六条公司计算机信息系统战略规划、重要信息系统政策等重大事项应经由董事会审批通过后，方可实施。信息系统战略规划应与公司业务目标保持一致。信息系统使用部门应该参与信息系统战略规划、重要信息系统政策等的制定。 第七条公司应指定专门部门（或岗位，下称归口管理部门）对计算机信息系统实施归口管理，负责信息系统开发、变更、运行、维护等工作。财会部门负

内部控制信息系统建设方案 (2)

内部控制信息系统建设方案 为了整合和优化内部控制系统，利用信息化手段建设单位内部控制体系，特制定本方案。 （一）内部控制信息系统建设的基本模式 1.独立模式 即建立独立运行的内部控制信息系统。建立独立的内部控制信息系统、便于单位管理层和内部控制职能部门使用该系统开展内部控制设计与运行工作。该模式常见于单位内部控制体系建设初期，通常需将系统开发工作外包给有丰富内部控制管理系统开发经验的第三方软件公司，对单位自身的信息化水平要求不高，但随着单位内部控制体系建设工作的深入，需要将内部控制信息系统与单位管理信息系统、业务系统进行集成，实现内部控制信息系统的拓展及与其他系统的融合。 2.整合模式 即利用现有管理系统进行整合。整合模式是指将多个与内部控制密切相关的管理系统和业务系统与内部控制信息系统进行集成，形成单位整体的管控体系。比如，单位在内部控制信息系统中建立流程管理、风险管理、控制点管理、

自我评价管理、缺陷整合管理和内部控制报告等核心模块及功能，并建立该系统与单位ERP系统、办公系统、流程管理系统、审计系统、绩效考核系统、综合报告系统等管理系统和业务系统的集成关系，实现内部控制信息系统与其他各类系统的数据共享。整合模式下，内部控制信息系统与单位管理信息系统和业务系统的边界逐渐模糊，内部控制将完全融入单位的管理决策和日常经营活动之中。 3.附加模式 即在现有管理系统中增加内部控制管理功能。对于内部控制信息基础较好，且有较强自主开发能力的单位，可以采用附加模式对已有系统进行升级改造，比如，单位可以在已有审计系统或流程管理系统基础上，增加内部控制管理功能模块。附加模式可利用已有的信息技术基础和管理基础，开发成本较低，但内部控制管理功能模块后续扩展可能会受到原系统架构和现有开发能力的限制。 （二）内部控制信息系统建设的主要步骤 单位内部控制信息系统建设应当以较为完善的内部控制体系建设为基础和起点。单位在开展内部控制体系建设的同时规划内部控制信息系统建设，一般采用以下四个步骤： 1.内部控制体系建立 单位根据内部控制规范体系的要求，结合业务现状以及相关业务流程，梳理单位内部业务流程、主要风险及控制点，

企业内控指引(全套1-18)

附件1： 企业内部控制应用指引 企业内部控制应用指引第1号——组织架构 第一章总则 第一条 为了促进企业实现发展战略，优化治理结构、管理体制和运行机制，建立现代企业制度，根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》，制定本指引。 第二条 本指引所称组织架构，是指企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。 第三条 企业至少应当关注组织架构设计与运行中的下列风险：（一）治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。 （二）内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下。 第二章组织架构的设计 第四条 企业应当根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保

决策、执行和监督相互分离，形成制衡。 董事会对股东（大）会负责，依法行使企业的经营决策权。可按照股东（大）会的有关决议，设立战略、审计、提名、薪酬与考核等专门委员会，明确各专门委员会的职责权限、任职资格、议事规则和工作程序，为董事会科学决策提供支持。 监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。 经理层对董事会负责，主持企业的生产经营管理工作。经理和其他高级管理人员的职责分工应当明确。 董事会、监事会和经理层的产生程序应当合法合规，其人员构成、知识结构、能力素质应当满足履行职责的要求。 第五条 企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度。任何个人不得单独进行决策或者擅自改变集体决策意见。 重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。 第六条 企业应当按照科学、精简、高效、透明、制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。 第七条 企业应当对各机构的职能进行科学合理的分解，确定具

企业内部控制应用指引--题目及答案

企业内部控制应用指引 单项选择题 1、安全生产措施不到位，责任不落实，可能导致的风险有（企业发生安全事故）。重要说明：考试所选科目为内部控制1-14讲 2、按规定办理需要有关负责人签字或盖章的经济业务时，签章手续要怎样办理（严格履行签字盖章手续）。 3、按照销售通知项目组织发货的部门是（发货和仓储部门）。 4、不在企业销售退回承诺范围之内的退货业务，企业应怎样处理（由独立于销售部门的销货争议处理机构调查原因）。 5、保证合同的当事人不包括（中介机构）。 6、采购验收不规范，付款审核不严，可能导致的风险是（信用受损）。 7、存货的保管于下列哪项职务是不相容的（存货的会计记录） 8、参与固定资产投资决策，分析、评价各种投资方案的部门是（财务部门）。 9、存货归口分级管理的主要部门是（财务管理部门）。 10、存货的保管于下列哪项职务是不相容的（存货的会计记录）。 11、存货积压或短缺，可能导致的风险不包括（缺乏竞争力）。 12、大额客户订单的签字权限在（销售部门主管）。 13、当担保申请人已进入重组、托管、兼并或破产清算程序，企业应（不得提供担保）。 14、对担保申请人的资信状况调查不深，审批不严或越权审批，可能导致的风险是（担保决策失误）。 15、担保企业决定是否提供对外担保的依据和基础是（担保项目评估的结论）。 16、对被担保人出现财务困难或经营陷入困境等状况监控不力，应对措施不当，可能导致的风险是（企业承担法律责任）。 17、担保业务单笔担保额越小，受保企业单笔贷款额就会（越小）。 18、当企业售后发现存在严重质量缺陷、隐患的产品时，应当采取的措施不包括（封锁消息）。 19、对财务报告的真实性、完整性负责的是（企业负责人）。 20、对财务报告中需要说明的事项作出真实、完整、清晰说明，属于财务报告重要组成部分的是（附注）。 21、对发展战略实施情况进行监控的机构是（战略委员会） 22、对销售通知进行审核的部门是（发货和仓储部门）。 23、对发展战略实施情况进行监控的机构是（战略委员会）。 24、对担保业务执行情况进行监测的部门是（执行部门）。 25、当受保企业资产负债率超过一定比例时，担保企业应拒绝担保，该比例是（70%）。 26、对于重大的无形资产处置，企业应当怎样确定处置价格（委托具有资质的中介机构进行资产评估） 27、对研发项目立项出具评估意见的机构是（独立于申请及立项审批之外的专业机构）。28、负责应收款项的催收工作的部门是（销售部门）。 28、负责办理资金结算并监督款项回收的部门是（财务部门）。 29、负责行使企业经营决策权的组织机构是（董事会）。 30、负责制定公司人力资源的战略规划的是（人力资源部经理）。 31、负责主持企业的生产经营管理工作的组织机构是（经理层）。

企业内部控制基本规范及配套指引

企业内部控制基本规范及配套指引 目录 企业内部控制基本规范 (4) 第一章总则 (4) 第二章内部环境 (5) 第三章风险评估 (6) 第四章控制活动 (7) 第五章信息与沟通 (8) 第六章内部监督 (8) 第七章附则 (9) 企业内部控制应用指引 (9) 企业内部控制应用指引第1号——组织架构 (9) 第一章总则 (9) 第二章组织架构的设计 (9) 第三章组织架构的运行 (10) 企业内部控制应用指引第2号——发展战略 (11) 第一章总则 (11) 第二章发展战略的制定 (11) 第三章发展战略的实施 (11) 企业内部控制应用指引第3号——人力资源 (13) 第一章总则 (13) 第二章人力资源的引进与开发 (13) 第三章人力资源的使用与退出 (13) 企业内部控制应用指引第4号——社会责任 (15) 第一章总则 (15) 第二章安全生产 (15) 第三章产品质量 (15) 第四章环境保护与资源节约 (16) 第五章促进就业与员工权益保护 (16) 企业内部控制应用指引第5号——企业文化 (17) 第一章总则 (17) 第二章企业文化的培育 (17) 第三章企业文化的评估 (17) 企业内部控制应用指引第6号——资金活动 (19) 第一章总则 (19) 第二章筹资 (19) 第三章投资 (20) 第四章营运 (21) 企业内部控制应用指引第7号——采购业务 (22) 第一章总则 (22) 第二章购买 (22)

企业内部控制应用指引第8号——资产管理 (24) 第一章总则 (24) 第二章存货管理 (24) 第三章固定资产管理 (25) 第四章无形资产管理 (25) 企业内部控制应用指引第9号——销售业务 (27) 第一章总则 (27) 第二章销售 (27) 第三章收款 (27) 企业内部控制应用指引第10号——研究与开发 (29) 第一章总则 (29) 第二章立项与研究 (29) 第三章开发与保护 (30) 企业内部控制应用指引第11号——工程项目 (31) 第一章总则 (31) 第二章工程立项 (31) 第三章工程招标 (32) 第四章工程造价 (32) 第五章工程建设 (33) 第六章工程验收 (33) 企业内部控制应用指引第12号——担保业务 (35) 第一章总则 (35) 第二章调查评估与审批 (35) 第三章执行与监控 (36) 企业内部控制应用指引第13号——业务外包 (37) 第一章总则 (37) 第二章承包方选择 (37) 第三章外包业务实施 (38) 企业内部控制应用指引第14号——财务报告 (39) 第一章总则 (39) 第二章财务报告的编制 (39) 第三章财务报告的对外提供 (40) 第四章财务报告的分析利用 (40) 企业内部控制应用指引第15号——全面预算 (42) 第一章总则 (42) 第二章预算编制 (42) 第三章预算执行 (42) 第四章预算考核 (43) 企业内部控制应用指引第16号——合同管理 (44) 第一章总则 (44) 第二章合同的订立 (44) 第三章合同的履行 (45) 企业内部控制应用指引第17号——内部信息传递 (46)

行政事业单位内部控制工作基本指引

行政事业单位内部 控制工作 基 本 指 引 浙江省财政厅

目录 第一部分：使用说明 第二部分：内部控制工作开展步骤及流程 一、工作步骤 二、工作流程图 三、主要经济活动的管理结构 第三部分：经济活动内部控制 第一节预算业务控制 一、工作步骤示意图 二、工作流程图 三、风险点及主要防控措施一览表 第二节收支业务控制 一、工作步骤示意图 二、风险点及主要防控措施一览表 第三节政府采购业务控制 一、工作步骤示意图 二、工作流程图 三、风险点及主要防控措施一览表 第四节资产业务控制 一、工作步骤示意图

二、风险点及主要防控措施一览表第五节建设项目业务控制 一、工作步骤示意图 二、风险点及主要防控措施一览表第六节合同业务控制 一、工作步骤示意图 二、工作流程图 三、风险点及主要防控措施一览表第四部分：配套工作

第一部分使用说明 为便于理解和掌握内控原理，具体操作实施路径和流程，引导各单位顺利完成内部控制制度建立和完善工作，我们制定了本指引。 1.本指引是按照内控规范要求对行政事业单位经济活动风险进行防范和管控的指导，单位的非经济活动要按照相关法律法规的规定和要求进行控制和管理。 2.本指引是根据行政事业单位内控规范要求，围绕行政事业内控机制和六项经济业务所建立的基本指引，对本指引内容，请根据本部门或单位的经济业务内容和规模参照使用。 3.对规模较小，经济业务简单的行政事业单位，在控制有效、保证经济活动安全的情况下，在机构设置、工作环节、制度建设上可在本指引基础上适度简化。 4.对规模较大、经济业务复杂的行政事业单位，在认真执行内控规范的基础上，如存在本规范未控制的经济业务，鼓励根据实际需要制定内控措施，提高单位的管理水平。 5.由于涉及行政事业单位的法律法规规章制度众多，本指引中第五部分

企业内部控制应用指引(全套)

企业内部控制应用指引 控制环境类指引 企业内部控制应用指引第 1 号——组织架构 第一章总则 第一条为了促进企业实现发展战略，优化治理结构、管理体制和运行机制，建立现代企业制度，根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》，制定本指引。 第二条本指引所称组织架构，是指企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。 第三条企业至少应当关注组织架构设计与运行中的下列风险： （一）治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。 （二）内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下。 第二章组织架构的设计 第四条企业应当根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡。 董事会对股东（大）会负责，依法行使企业的经营决策权。可按照股东（大）会的有关决议，设立战略、审计、提名、薪酬与考核等专门委员会，明确各专门委员会的职责权限、任职资格、议事规则和工作程序，为董事会科学决策提供支持。 监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。 经理层对董事会负责，主持企业的生产经营管理工作。经理和其他高级管理人员的职责分工应当明确。 董事会、监事会和经理层的产生程序应当合法合规，其人员构成、知识结构、能力素质应当满足履行职责的要求。 第五条企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度。任何个人不得单独进行决策或者擅自改变集体决策意见。 重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。 第六条企业应当按照科学、精简、高效、透明、制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的

内部控制信息系统建设方案

内部控制信息系统建设方案 建立健全有效的内部控制是企事业单位健康发展的前提。内部控制能够发挥识别并降低企业内部和外部风险，合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企事业实现发展战略。内部控制的定义：内部控制是指企事业为了保证业务活动的有效进行和资产的安全完整，防止、发现和纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策、措施和程序。 《企事业内部控制基本规范》将企事业内部控制分为控制环境、风险评估、控制活动、信息与沟通和监督五要素。内部控制主要有内部会计控制、内部管理控制、内部审计控制三种内部控制的主要作用： （一）保证国家的方针、政策和法规在企事业内部的贯彻实施。健全完善的内部控制。通过对企事业内部的任何部门、任何流转环节进行有效的监督和控制，对所发生的各类问题，都能及时反映，及时纠正，从而有利于保证国家方针政策和法规得到有效的执行。 （二）保证会计信息的真实性和准确性。健全的内部控制，可以保证会计信息的采集、归类、记录和汇总过程，从而真实的反映企业的生产经营活动的实际情况，并及时发现和纠正各种错弊．从而保证会计信息的真实性和准确性。

（三）有效的防范企事业经营风险。在企事业的生产经营活动中，企事业要达到生存发展的目标．就必须对各类风险进行有效的预防和控制，内部控制作为企事业管理的中枢环节．是防范企事业风险最为行之有效的一种手段。 （四）维护财产和资源的安全完整。健全完善的内部控制能够科学有效的监督和制约财产物资的采购、计量、验收等各个环节．从而确保财产物资的安全完整，并能有效的纠正各种损失浪费现象的发生。 （五）促进企事业的有效经营。健全有效的内部控制，可以利用会计、统计、业务等各部门的制度规划及有关报告，把企业的生产、营销、财务等各部门及其工作结合在一起，从而是各部门密切配合，充分发挥整体的作用，以顺利达到企事业的经营目标。当前我国内部控制的现状： （一）对内部控制规范理解不深刻，执行不得力 当前，我国很大一部分企事业（特别是中小企业）经营管理者不了解内部控制的真正内涵，轻视内部控制，没有充分意识到内部控制的重要性，对内部控制存在许多误区，使得企事业的内部控制没有成为管理的内在需求，即使已建立了相关的内部控制制度，也只是“印在纸上、挂在墙上”，以应付有关部门的检查、审计，而不管内部控制制度执行情况如何，这也是内部控制流于形式的症结。 （二）内部控制环境弱化，控制体系不完善

企业内部控制应用指引汇编

附件2： 企业内部控制应用指引 （征求意见稿） 企业内部控制应用指引第xx号——资金 （征求意见稿） 第一章总则 第一条为了引导企业加强对资金的内部控制，保证资金的安全，提高资金的使用效益，根据国家有关法律法规和《企业内部控制基本规范》，制定本指引。 第二条本指引所称资金，是指企业所拥有或控制的现金、银行存款和其他资金。 第三条企业至少应当关注涉及资金管理的下列风险： （一）资金管理违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。 （二）资金管理未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失。 （三）银行账户的开立、审批、使用、核对和清理不符合国家有关法律法规要求，可能导致受到处罚造成资金损失。 （四）资金记录不准确、不完整，可能造成账实不符或导致财务

报表信息失真。 （五）有关票据的遗失、变造、伪造、被盗用以及非法使用印章，可能导致资产损失、法律诉讼或信用损失。 第四条企业在建立与实施资金内部控制中，至少应当强化对下列关键方面或者关键环节的控制： （一）职责分工、权限范围和授权审批程序应当明确规范，机构设置和人员配备应当科学合理。 （二）现金、银行存款的管理应当合法合规，银行账户的开立、审批、使用、核对、清理严格有效，现金盘点和银行对账单的核对应当按规定严格执行。 （三）资金的会计记录应当真实、准确、完整和及时。 （四）票据的购买、保管、使用、销毁等应当有完整记录，银行预留印鉴和有关印章的管理应当严格有效。 第二章职责分工与授权批准 第五条企业应当建立资金业务的岗位责任制，明确相关部门和岗位的职责权限，确保办理资金业务的不相容岗位相互分离、制约和监督。 资金业务的不相容岗位至少应当包括： （一）资金支付的审批与执行。 （二）资金的保管、记录与盘点清查。 （三）资金的会计记录与审计监督。

企业内部控制——信息系统管理

企业内部控制——信息系统管理 18．3 信息系统开发、变更与维护控制 18．3．2 信息系统开发、变更与维护管理制度 信息系统开发变更与维护管理制度对进行该工作的各个事项进行了规范，为相关工作人员提供了指导。下面是某企业的信息系统开发、变更与维护管理制度，供读者参考。 信息系统开发、变更与维护管理制度 第1章总则 第1条为了提高企业的经营绩效与工作效率,提升企业信息系统的可靠性、稳定性与安全性,特制定本制度。 第2条本制度适用于信息部以及各用户部门涉及使用企业信息系统的相关人员。 第2章系统开发与变更 第3条企业信息系统开发所遵循的原则 1. 因地制宜原则 应根据行业特点、企业规模、管理理念、组织结构、核算方法等因素设计适合本单位的计算机信息系统。 2. 成本效益原则 计算机信息系统的建设应当能起到降低成本、纠正偏差的作用,根据成本效益原则,企业可以选择对重要领域中的关键因素进行信息系统改造。 3. 理念与技术并重原则 信息系统建设应当将信息系统技术与信息系统管理理念整合,倡导全体员工积极参与信息系统建设,正确理解和使用信息系统,提高信息系统的运作效率。

第4条项目部人员在信息系统开发中要将相应的交易权限嵌入到系统程序中,以便检查、纠正错误和舞弊行为。 第5条系统开发任务书内容 1. 信息系统名称。 2. 信息系统应该达到的技术性能。 3. 信息系统的操作环境。 4. 开发信息系统的具体工作计划。 5. 开发信息系统的人员与协作单位。 6. 开发信息系统的费用预算。 第6条所选的外包合作开发信息系统的机构必须有合作开发信息系统的经验,并加强对其的监控力度。 第7条测试专员需将系统测试中所出现的问题记录成册,定期交予信息部经理。 第8条在信息系统安装调试前的必要工作如下。 1. 制定紧急预案,以确保新系统发生故障时能切回到旧系统。 2. 必须完成整体测试和用户验收测试后才可安装调试。 第9条新旧系统切换时,进行数据迁移必须建立数据迁移计划并对迁移结果进行测试。 第10条安装后的信息系统功能变更时,须重新按照系统开发的有关程序进行。 第3章信息系统的维护 第11条对于企业自主开发的信息系统,根据其大小及性能定期检测、定期维护。 第12条数据库管理专员将数据库中的数据定期备份,以防止系统出现问题时数据丢失。 第13条信息系统出现问题时,信息部员工按应急预案进行处理。 第4章附则

企业内部控制基本规范及配套指引(全文)

企业内部控制基本规范 企业内部控制基本规范 (1) 第一章总则 (1) 第二章内部环境 (2) 第三章风险评估 (3) 第四章控制活动 (4) 第五章信息与沟通 (5) 第六章内部监督 (6) 第七章附则 (7) 企业内部控制应用指引 (8) 企业内部控制应用指引第1号——组织架构 (8) 第一章总则 (8) 第二章组织架构的设计 (8) 第三章组织架构的运行 (9) 企业内部控制应用指引第2号——发展战略 (10) 第一章总则 (10) 第二章发展战略的制定 (10) 第三章发展战略的实施 (11) 企业内部控制应用指引第3号——人力资源 (12) 第一章总则 (12) 第二章人力资源的引进与开发 (12) 第三章人力资源的使用与退出 (13) 企业内部控制应用指引第4号——社会责任 (15) 第一章总则 (15) 第二章安全生产 (15) 第三章产品质量 (15) 第四章环境保护与资源节约 (16) 第五章促进就业与员工权益保护 (16) 企业内部控制应用指引第5号——企业文化 (18) 第一章总则 (18) 第二章企业文化的建设 (18) 第三章企业文化的评估 (19) 企业内部控制应用指引第6号——资金活动 (20) 第一章总则 (20) 第二章筹资 (20) 第三章投资 (22) 第四章营运 (23) 企业内部控制应用指引第7号——采购业务 (25) 第一章总则 (25)

第二章购买 (25) 第三章付款 (27) 企业内部控制应用指引第8号——资产管理 (28) 第一章总则 (28) 第二章存货 (28) 第三章固定资产 (29) 第四章无形资产 (30) 企业内部控制应用指引第9号——销售业务 (32) 第一章总则 (32) 第二章销售 (32) 第三章收款 (33) 企业内部控制应用指引第10号——研究与开发 (34) 第一章总则 (34) 第二章立项与研究 (34) 第三章开发与保护 (35) 企业内部控制应用指引第11号——工程项目 (36) 第一章总则 (36) 第二章工程立项 (36) 第三章工程招标 (37) 第四章工程造价 (38) 第五章工程建设 (39) 第六章工程验收 (40) 企业内部控制应用指引第12号——担保业务 (41) 第一章总则 (41) 第二章调查评估与审批 (41) 第三章执行与监控 (42) 企业内部控制应用指引第13号——业务外包 (43) 第一章总则 (43) 第二章承包方选择 (43) 第三章业务外包实施 (44) 企业内部控制应用指引第14号——财务报告 (46) 第一章总则 (46) 第二章财务报告的编制 (46) 第三章财务报告的对外提供 (47) 第四章财务报告的分析利用 (48) 企业内部控制应用指引第15号——全面预算 (49) 第一章总则 (49) 第二章预算编制 (49) 第三章预算执行 (50) 第四章预算考核 (51) 企业内部控制应用指引第16号——合同管理 (52) 第一章总则 (52) 第二章合同的订立 (52) 第三章合同的履行 (53)

企业内部控制应用指引―固定资产

企业内部控制应用指引—固定资产 （征求意见稿） 第一章总则 第一条为了引导企业加强对固定资产的内部控制，防止并及时发现和纠正固定资产业务中的各种差错和舞弊，保护固定资产的安全完整，提高固定资产的使用效率，根据国家有关法律法规和《企业内部控制基本规范》，制定本指引。 第二条本指引所称固定资产，是指为生产商品、提供劳务、出租或经营管理而持有的，使用寿命超过一个会计年度的有形资产。 第三条企业至少应当关注涉及固定资产的下列风险： （一）固定资产业务违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。 （二）固定资产业务未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致资产损失。 （三）固定资产购买、建造决策失误，可能造成企业资产损失或资源浪费。 （四）固定资产使用、维护不当和管理不善，可能造成企业资产使用效率低下或资产损失。 （五）固定资产处置不当，可能造成企业资产损失。 （六）固定资产会计处理和相关信息不合法、真实、完整，可能导致企业资产账实不符或资产损失。 第四条企业在建立与实施固定资产内部控制中，至少应当强化对下列关键方面或者关键环节的控制：

（一）职责分工、权限范围和审批程序应当明确规范，机构设置和人员配备应当科学合理。 （二）固定资产取得依据应当充分适当，决策过程应当科学规范。 （三）固定资产取得、验收、使用、维护、处置和转移等环节的控制流程应当清晰严密。 （四）固定资产的确认、计量和报告应当符合国家统一的会计准则制度的规定。 第二章职责分工与授权批准 第五条企业应当建立固定资产业务的岗位责任制，明确相关部门和岗位的职责、权限，确保办理固定资产业务的不相容岗位相互分离、制约和监督。同一部门或个人不得办理固定资产业务的全过程。 固定资产业务不相容岗位至少包括： （一）固定资产投资预算的编制与审批。 （二）固定资产投资预算的审批与执行。 （三）固定资产采购、验收与款项支付。 （四）固定资产投保的申请与审批。（五）固定资产处置的审批与执行。 （六）固定资产取得与处置业务的执行与相关会计记录。 第六条企业应当配备合格的人员办理固定资产业务。办理固定资产业务的人员应当具备良好的业务素质和职业道德。 第七条企业应当对固定资产业务建立严格的授权批准制度，明确授权批准的方式、权限、程序、责任和相关控制措施，规定经办人的职责范围和工作要求。严禁未经授权的机构或人员办理固定资产业务。 第八条审批人应当根据固定资产业务授权批准制度的规定，在授权范围内进行审批，不得超越审批权限。

内部控制信息系统用户管理制度

内部控制信息系统用户管理制度

信息系统账号管理制度 第一节总则 第一条为加强用户账号管理，规范用户账号的使用，提高用户账号的安全性，特制定本制度。 第二条本制度中系统账号是指应用层面及系统层面（操作系统、数据库、防火墙及其它网络设备）的用户账号。 第三条本规定所指账号管理包括： 1、应用层面用户账号的申请、审批、分配、删除/禁用等的 管理。 2、系统层面用户账号的申请、审批、分配、删除/禁用等的 管理 3、用户账号密码的管理。 第四条系统拥有部门负责建立《岗位权限对照表》（附件一），制定工作岗位与系统权限的对应关系和互斥原则，对具体岗位 做出具体的权限管理规定。 第五条信息技术部根据系统拥有部门提交的《岗位权限对照表》增加系统中进行必要有效的逻辑控制。 第六条用户账号申请、审批及设置由不同人员负责。

第二节普通账号管理 第七条申请人使用统一而规范的《账号/权限申请表》（附件二）提出用户账号创立、修改、删除/禁用等申请。 第八条账号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》审核申请人所申请的权限是否与其岗位一 致，确保权限分配的合理性、必要性和符合职责分工的要 求。 第九条在受理申请时，权限管理人员根据申请配置权限，在系统条件具备的情况下，给用户分配独有的用户账号或禁用用户账 号权限，以使用户对其行为负责。一旦分配好账号，用户不 得使用她人账号或者允许她人使用自己的账号。 第十条新员工入职或员工岗位发生变化时，应主动申请所需系统的账号及权限。 第十一条人员离职的情况下，该员工的账户应当被及时的禁用。离职人员的离职手续办理完毕后，人力资源部需经过邮件或书面 的方式通知员工所属部门主管负责该员工权限收回的工作。 员工所属部门主管根据该用户的岗位申请删除离职人员账号 及权限。 第十二条账号管理人员建立各种账号的文档记录，记录用户账号的相关信息，并在账号变动时同时更新此记录。

企业内部控制应用指引第12号

《企业内部控制应用指引第12号—担保业务》中所称担保，是指企业作为担保人按照公平、自愿、互利的原则与债权人约定，当债务人不履行债务时，依照法律规定和合同协议承担相应法律责任的行为。 担保制度起源于商品交易活动，但早期的简单商品交易，往往是以物易物，或者是钱货两清的即时交易，交易主体间失信问题不突出，也就没有担保的必要。随着商品交换形式不断发展，非即时交易大量出现，商品和货币的交付有了时间差，债权债务应运而生，随之而来的问题就是，在对债务人没有百分之百信赖的情形下，债权人需要通过某种方式确保债权的实现，而担保制度正好满足了这种需要。在现代市场经济中，担保制度一方面有利于银行等债权人降低贷款风险，另一方面使债权人与债务人形成了稳定可靠的资金供需关系。 但是，必须看到担保业务具有“双刃剑”特征，一些企业包括上市公司陷入担保怪圈和旷日持久的诉讼拉锯战，导致重大经济损失案件时有发生。财政部会计司发布的《我国上市公司2007年执行新会计准则情况分析报告》显示，在1570家上市公司中，有287家存在预计负债，占 18.28%，这287家上市公司2007年确认的预计负债总额为148.50亿元，其中，因担保事项确认的预计负债达到22.26亿元，占到了14.99%。另有研究资料表明，我国上市公司担保业务增速快、金额大、风险高、违规情况较为严重，仅2001年至2004年，平均每年新增121家上市公司涉及担保事项，年均增速达到35%；截至2004年10月，837家沪市上市公司中，有180家存在违规担保情况，涉及金额为279.98亿元，违规担保金额占上市公司担保总额的26.72%；在深市505家上市公司中，涉及担保的公司有311家，担保总额达420亿元，其中违规担保金额为131亿元，占担保总额的31.19%。鉴于担保业务的“双刃剑”特征，《企业内部控制应用指引第12号—担保业务》对严控担保风险提出了一系列有针对性的管控措施。 一、担保业务一般流程 企业办理担保业务，一般包括受理申请、调查评估、审批、签订担保合同、进行日常监控等流程。具体而言，一是担保申请人提出担保申请；二是担保人对担保项目和被担保人资信状况进行调查，对担保业务进行风险评估；三是担保人根据调查评估结果，结合本企业担保政策和授权审批制度，对担保业务进行审批，重大担保业务应提交董事会或类似权力机构批准；四是担保人依据既定权限和程序，与被担保人签订担保合同；五是担保人切实加强对担保合同的日常管理，对被担保人经营情况、财务状况和担保项目执行情况等进行跟踪监控；六是如果被担保人不能如期偿债，担保人应履行代为清偿义务并向被担保人追偿债务；同时，应当按照本企业担保业务责任追究制度，严格追 究有关人员的责

内部控制-信息系统用户管理制度

信息系统账号管理制度 第一节总则 第一条为加强用户账号管理，规范用户账号的使用，提高用户账号的安全性，特制定本制度。 第二条本制度中系统账号是指应用层面及系统层面（操作系统、数据库、防火墙及其它网络设备）的用户账号。 第三条本规定所指账号管理包括： 1、应用层面用户账号的申请、审批、分配、删除/禁用等的管理。 2、系统层面用户账号的申请、审批、分配、删除/禁用等的管理 3、用户账号密码的管理。 第四条系统拥有部门负责建立《岗位权限对照表》（附件一），制定工作岗位与系统权限的对应关系和互斥原则，对具体岗位做出具体的权限管理规定。 第五条信息技术部根据系统拥有部门提交的《岗位权限对照表》增加系统中进行必要有效的逻辑控制。 第六条用户账号申请、审批及设置由不同人员负责。 第二节普通账号管理 第七条申请人使用统一而规范的《账号/权限申请表》（附件二）提出用户账号创建、修改、删除/禁用等申请。 第八条账号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》审核申请人所申请的权限是否与其岗位一致，确保权限分配的合理性、必要性和 符合职责分工的要求。 第九条在受理申请时，权限管理人员根据申请配置权限，在系统条件具备的情况下，给用户分配独有的用户账号或禁用用户账号权限，以使用户对其行为负责。一 旦分配好账号，用户不得使用他人账号或者允许他人使用自己的账号。 第十条新员工入职或员工岗位发生变化时，应主动申请所需系统的账号及权限。 第十一条人员离职的情况下，该员工的账户应当被及时的禁用。离职人员的离职手续办

理完毕后，人力资源部需通过邮件或书面的方式通知员工所属部门主管负责该 员工权限收回的工作。员工所属部门主管根据该用户的岗位申请删除离职人员 账号及权限。 第十二条账号管理人员建立各种账号的文档记录，记录用户账号的相关信息，并在账号变动时同时更新此记录。 第三节特权账号和超级用户账号管理 第十三条特权账号指在系统中有专用权限的账号，如备份账号、权限管理账号、系统维护账号等。超级用户账号指系统中最高权限账号，如administrator（或 admin）、root等管理员账号。 第十四条只有经授权的用户才可使用特权账号和超级用户账号，严禁共享账号。 第十五条信息技术部每季度查看系统日志，监督特权账号和超级用户账号使用情况，并填写《系统日志审阅表》（附件三）。 第十六条尽量避免特权账号和超级用户账号的临时使用，确需使用时必须履行正规的申请及审批流程，并保留相应的文档。 第十七条临时使用超级用户账号必须有监督人员在场记录其工作内容。 第十八条超级用户账号临时使用完毕后，账号管理人员立即更改账号密码。 第四节用户账号及权限审阅 第十九条系统拥有部门指定专人负责每季度对系统应用层面账号及权限进行审阅，并填写《账号/权限清理清单》（附件四）。 第二十条信息技术部指定专人负责每季度对系统层面账号及权限进行审阅，并填写《账号/权限清理清单》。 第二十一条员工离职后，账号管理人员及时禁用或删除离职人员所使用的账号。如果离职人员是系统管理员，则及时更改特权账号或超级用户口令。

内部控制信息系统维护

信息系统维护管理细则 1目的 为了保障信息系统安全、平稳运行，确保数据安全，依据相关法律法规和公司内部 控制手册，制定本细则。 适用范围与定义 本细则适用于信息管理部门及相关部门实施信息维护相关事项。 本细则所称信息系统维护包括日常运行维护、系统变更、安全管理等方面。 引用标准及关联制度 《企业内部控制基本规范》 《企业内部控制应用指引第18号-------- 信息系统》《ABC公司内部控制手册2012》职责 信息管理部门负责信息系统的运行维护管理。 信息系统使用部门负责系统的使用，用户管理。 内容、要求与程序 系统日常运行维护公司信息系统的维护归口统一由信息管理部负责管理。 系统使用部门（单位）负责业务流程、业务工作标准、数据维护、用户管理、数 据使用安全、知识产权合法性使用及相关制度的制定和落实等工作，对有关数据的日常更新等作运行操作记录；对关键用户与一般用户进行培训和培训考核，培训记录和考核成绩提交人力资源部备案。 信息管理部负责日常软硬件系统维护、设备保养、故障的诊断与排除、易耗品的 更换与安装、网络安全、环境保持、应急处理等工作，保证信息系统安全、稳定运行,

并做《应急事故处理记录》和《运行维护记录》 。《应急事故处理记录》和《运行维护记 录》由信息管理部门经理签字。需委托进行维护的信息系统，由信息管理部门审查系统 服务商资质，并签订系统维护服务合同；由信息管理部自行维护的，应指定专人负责维 护，制定岗位职责。 系统变更 系统如在使用中有变更要求，可向总经理办公室提出书面要求并填写《系统变更 表》，由申请部门分管副总签字后，交信息管理部统一安排进行。变更完成后由申请部 门相关人员签字确认。信息系统操作人员不得擅自进行软件的删除、修改等操作；不得 擅自升级、改变软件版本；不得擅自改变软件系统的环境配置。 信息管理部门应利用技术手段防止员工擅自安装、 卸载软件或者改变软件系统配 置，并定期进行检查。 系统使用部门（单位）会同信息管理部按照业务需求，对业务流程与系统功能进 行评价，需要重大改进的，提出《系统升级报告》 ，由公司分管业务副总经理签字确认， 报财务总监审核，由信息化领导小组审批。 系统使用部门（单位）会同信息管理部组织系统升级的实施和验收。 实施的具体流程参见《信息系统外购管理细则、 》） 操作系统、数据库系统用户的新增、变更，须填写《系统用户申请表》 管理部审批后，被赋予唯一的用户名、用户ID （UID ）,方可进入公司信息系统进行电脑 使用。信息管理部门经理至少每季度审核一次《系统用户记录表》 。 信息系统数据安全管理 由信息管理部负责信息系统数据的安全管理，包括日常备份、恢复和数据安全工作 详见《备份制度》）。 数据保密性管理 重要数据的处理过程中，被批准使用数据人员以外的其它人员不应进入机房工作； 处理结束后，应清除不能带走的本作业数据；妥善处理打印结果，任何记有重要信息的 废弃物在处理前应进行粉碎。未经允许，不准将机房设备、维护用品、软盘、资料等私 自带出机房，如有特殊情况，需经负责人同意并进行登记后方可带出。 数据备份管理 每日进行系统数据库自动备份并做完整性查验， 每周一次手动备份到移动硬盘或其 他电脑的硬盘，每两周一次由专人将移动硬盘送往银行保管箱予以存放，并填写《数据 备份记录表》，由负责系统维护人员及信息管理部门经理签字，每年进行一次备份的恢系统升级 ，经信息

行政事业单位的内部控制基本操作指引

附件 行政事业单位内部控制 基 本 操 作 指 引 湖南省财政厅

目录 第一部分：使用说明 第二部分：内部控制工作开展步骤及流程 一、工作步骤 二、工作流程图 三、主要经济活动的管理结构 第三部分：经济活动内部控制 第一节预算业务控制 一、工作步骤示意图 二、工作流程图 三、风险点及主要防控措施一览表 第二节收支业务控制 一、工作步骤示意图 二、风险点及主要防控措施一览表 第三节政府采购业务控制 一、工作步骤示意图 二、工作流程图 三、风险点及主要防控措施一览表 第四节资产业务控制 一、工作步骤示意图 二、风险点及主要防控措施一览表

第五节建设项目业务控制 一、工作步骤示意图 二、风险点及主要防控措施一览表第六节合同业务控制 一、工作步骤示意图 二、工作流程图 三、风险点及主要防控措施一览表第四部分：配套工作

第一部分使用说明 为便于理解和掌握内控原理，具体操作实施路径和流程，引导各单位顺利完成内部控制制度建立和完善工作，我们制定了本指引。 1.本指引是按照内控规范要求对行政事业单位经济活动风险进行防范和管控的指导,单位的非经济活动要按照相关法律法规的规定和要求进行控制和管理。 2.本指引是根据《行政事业单位内部控制规范（试行）》（财会[2012]21号）的要求，围绕行政事业单位内控机制和六项经济业务所建立的基本指引，对本指引内容，请根据本部门或单位的经济业务内容和规模参照使用。 3.对于规模较小，经济业务简单的行政事业单位，在控制有效、保证经济活动安全的情况下，在机构设置、工作环节、制度建设上可在本指引基础上适度简化。 4.对于规模较大、经济业务复杂的行政事业单位，在认真执行内控规范的基础上，如存在本规范未列示的经济业务，可根据实际需要拓展本指引基本框架所规定的内容，以更好的满足单位内部管理需求。