企业内部制约规例资料

1、【最新资料，Word版录可自由编辑！】二、企业内部控制基本规范 三、企业内部控制配套指引 .企业内部控制应用指引 企业内部控制应用指引第1号一一组织架构 企业内部控制应用指引第2号一一发展战略 企业内部控制应用指引第3号一一人力资源企业内部控制应用指引第4号一一社会责任 企业内部控制应用指引第5号一一企业文化 企业内部控制应用指引第6号一一资金活动 企业内部控制应用指引第7号一一采购业务 企业内部控制应用指引第8号一一资产管理 企业内部控制应用指引第9号一一销售业务 企业内部控制应用指引第企业内部控制应用指引第企业内部控制应用指引第企业内部控制应用指引第企业内部控制应用指引第企业内部控制应用指

2、引第企业内部控制应用指引第企业内部控制应用指引第企业内部控制应用指引第10号一一研究与开发11号一一工程项目12号一一担保业务13号一一业务外包14号一一财务报告15号一一全面预算16号一一合同管理17号一一内部信息传递18号一一信息系统.企业内部控制评价指引 .企业内部控制审计指引 四、企业内部控制指引解读 .企业内部控制指引总体解读 .企业内部控制应用指引解读企业内部控制应用指引解读企业内部控制应用指引解读企业内部控制应用指引解读企业内部控制应用指引解读企业内部控制应用指引解读企业内部控制应用指引解读企业内部控制应用指引解读企业内部控制应用指引解读企业内部控制应用指引解读企业内部控制应用指

3、引解读企业内部控制应用指引解读企业内部控制应用指引解读企业内部控制应用指引解读企业内部控制应用指引解读企业内部控制应用指引解读企业内部控制应用指引解读企业内部控制应用指引解读企业内部控制应用指引解读.企业内部控制评价指引解读.企业内部控制审计指引解读.组织架构发展战略人力晟源社会责任企业文化战金活动米购业务资产管理9销售业务10一研究与开发11 工程项目12担彳业务业务外包财务 全面预算16合同管理内部信息传递信息系统一、企业全面风险管理指引第一章总则第一条公司股东会为指导企业发展委员会开展全面风险管理工 作，增强企业竞争力，提高投资回报，促进企业持续、健康、稳定发 展，根据公司法等法律法规，

4、制定本指引。第二条 股东会根据企业自身实际情况制定本指引。企业中的董事 会负责督导本指引的实施。第三条 本指引所称企业风险，指未来的不确定性对企业实现其经 营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、 运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将 风险分为纯粹风险（只有带来损失一种可能性）和机会风险（带来损失和盈 利的可能性并存）。第四条 本指引所称全面风险管理，指企业围绕总体经营目标，通 过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育 良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策 略、风险理财措施、风险管理的组织职能体系、风

5、险管理信息系统和内 部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方 法。第五条 本指引所称风险管理基本流程包括以下主要工作：（一）收集风险管理初始信息；（二）进行风险评估；（三）制定风险管理策略;（四）提出和实施风险管理解决方案；（五）风险管理的监督与改进。第六条 本指引所称内部控制系统，指围绕风险管理策略目标，针 对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、 法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生 产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基 本流程，制定并执行的规章制度、程序和措施。第七条 企业开展全面风险管理要努力

6、实现以下风险管理总体目 标：（一）确保将风险控制在与总体目标相适应并可承受的范围内；（二）确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟 通，包括编制和提供真实、可靠的财务报告；（三）确保遵守有关法律法规；（四）确保企业有关规章制度和为实现经营目标而采取重大措施的贯 彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实 现经营目标的不确定性；（五）确保企业建立针对各项重大风险发生后的危机处理计划，保护 企业不因灾害性风险或人为失误而遭受重大损失。第八条企业开展全面风险管理工作，应注重防范和控制风险可能 给企业造成损失和危害，也应把机会风险视为企业的特殊资源，通过对 其管理，为

7、企业创造价值，促进经营目标的实现。第九条 企业应本着从实际出发，务求实效的原则，以对重大风 险、重大事件（指重大风险发生后的事实）的管理和重要流程的内部控制 为重点，积极开展全面风险管理工作。具备条件的企业应全面推进，尽 快建立全面风险管理体系；其他企业应制定开展全面风险管理的总体规 划，分步实施，可先选择发展战略、投资收购、财务报告、内部审计、 法律事务、安全生产、应收账款管理等一项或多项业务开展风险管理工 作，建立单项或多项内部控制子系统。通过积累经验，培养人才，逐步 建立健全全面风险管理体系。第十条企业开展全面风险管理工作应与其他管理工作紧密结合， 把风险管理的各项要求融入企业管理和业务

8、流程中。具备条件的企业可 建立风险管理三道防线，即各有关职能部门和业务单位为第一道防线； 风险管理职能部门和董事会下设的风险管理委员会为第二道防线；内部 审计部门和董事会下设的审计委员会为第三道防线。第二章风险管理初始信息第十一条 实施全面风险管理，企业应广泛、持续不断地收集与本 企业风险和风险管理相关的内部、外部初始信息，包括历史数据和未来 预测。应把收集初始信息的职责分工落实到各有关职能部门和业务单 位。第十二条 在战略风险方面，企业应广泛收集国内外企业战略风险 失控导致企业蒙受损失的案例，并至少收集与本企业相关的以下重要信 息：（一）国内外宏观经济政策以及经济运行情况、本行业状况、国家产

9、 业政策；（二）科技进步、技术创新的有关内容；（三）市场对本企业产品或服务的需求；（四）与企业战略合作伙伴的关系，未来寻求战略合作伙伴的可能 性；（五）本企业主要客户、供应商及竞争对手的有关情况；（六）与主要竞争对手相比，本企业实力与差距；（七）本企业发展战略和规划、投融资计划、年度经营目标、经营战 略，以及编制这些战略、规划、计划、目标的有关依据；（八）本企业对外投融资流程中曾发生或易发生错误的业务流程或环 节。第十三条 在财务风险方面，企业应广泛收集国内外企业财务风险 失控导致危机的案例，并至少收集本企业的以下重要信息 （其中有行业平 均指标或先进指标的，也应尽可能收集）：（一）负债、或有

10、负债、负债率、偿债能力；（二）现金流、应收账款及其占销售收入的比重、资金周转率;（三）产品存货及其占销售成本的比重、应付账款及其占购货额的比（四）制造成本和管理费用、财务费用、营业费用；（五）盈利能力；（六）成本核算、资金结算和现金管理业务中曾发生或易发生错误的 业务流程或环节；（七）与本企业相关的行业会计政策、会计估算、与国际会计制度的 差异与调节（如退休金、递延税项等）等信息。第十四条 在市场风险方面，企业应广泛收集国内外企业忽视市场 风险、缺乏应对措施导致企业蒙受损失的案例，并至少收集与本企业相 关的以下重要信息：（一）产品或服务的价格及供需变化；（二）能源、原材料、配件等物资供应的充足

11、性、稳定性和价格变 化；（三）主要客户、主要供应商的信用情况；（四）税收政策和利率、汇率、股票价格指数的变化；（五）潜在竞争者、竞争者及其主要产品、替代品情况。第十五条 在运营风险方面，企业应至少收集与本企业、本行业相 关的以下信息：（一）产品结构、新产品研发;（二）新市场开发，市场营销策略，包括产品或服务定价与销售渠 道，市场营销环境状况等；（三）企业组织效能、管理现状、企业文化，高、中层管理人员和重 要业务流程中专业人员的知识结构、专业经验；（四）业务中曾发生或易发生失误的流程和环节；（五）质量、安全、环保、信息安全等管理中曾发生或易发生失误的 业务流程或环节；（六）因企业内、外部人员的道

12、德风险致使企业遭受损失或业务控制 系统失灵；（七）给企业造成损失的自然灾害以及除上述有关情形之外的其他纯 粹风险；（八）对现有业务流程和信息系统操作运行情况的监管、运行评价及 持续改进能力；（九）企业风险管理的现状和能力。第十六条 在法律风险方面，企业应广泛收集国内外企业忽视法律 法规风险、缺乏应对措施导致企业蒙受损失的案例，并至少收集与本企 业相关的以下信息：（一）国内外与本企业相关的政治、法律环境；（二）影响企业的新法律法规和政策;（三）员工道德操守的遵从性;（四）本企业签订的重大协议和有关贸易合同；（五）本企业发生重大法律纠纷案件的情况；（六）企业和竞争对手的知识产权情况。第十七条 企业

13、对收集的初始信息应进行必要的筛选、提炼、对 比、分类、组合，以便进行风险评估。第三章风险评估第十八条企业应对收集的风险管理初始信息和企业各项业务管理 及其重要业务流程进行风险评估。风险评估包括风险辨识、风险分析、 风险评价三个步骤。第十九条 风险评估应由企业组织有关职能部门和业务单位实施， 也可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。第二十条风险辨识是指查找企业各业务单元、各项重要经营活动 及其重要业务流程中有无风险，有哪些风险。风险分析是对辨识出的风 险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、 风险发生的条件。风险评价是评估风险对企业实现目标的影响程度、

14、风 险的价值等。第二十一条 进行风险辨识、分析、评价，应将定性与定量方法相 结合。定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政 策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。定量方法可采用统计推论（如集中趋势法）、计算机模拟（如蒙特卡 罗分析法）、失效模式与影响分析、事件树分析等。第二十二条进行风险定量评估时，应统一制定各风险的度量单位 和风险度量模型，并通过测试等方法，确保评估系统的假设前提、参 数、数据来源和定量评估程序的合理性和准确性。要根据环境的变化， 定期对假设前提和参数进行复核和修改，并将定量评估系统的估算结果 与实际效果对比，据此对有关参数进行调

15、整和改进。第二十三条 风险分析应包括风险之间的关系分析，以便发现各风 险之间的自然对冲、风险事件发生的正负相关性等组合效应，从风险策 略上对风险进行统一集中管理。第二十四条 企业在评估多项风险时，应根据对风险发生可能性的 高低和对目标的影响程度的评估，绘制风险坐标图，对各项风险进行比 较，初步确定对各项风险的管理优先顺序和策略。第二十五条企业应对风险管理信息实行动态管理，定期或不定期 实施风险辨识、分析、评价，以便对新的风险和原有风险的变化重新评 估。第四章风险管理策略第二十六条 本指引所称风险管理策略，指企业根据自身条件和外 部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有 效

16、性标准，选择风险承担、风险规避、风险转移、风险转换、风险对 冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风 险管理所需人力和财力资源的配置原则。第二十七条 一般情况下，对战略、财务、运营和法律风险，可采 取风险承担、风险规避、风险转换、风险控制等方法。对能够通过保 险、期货、对冲等金融手段进行理财的风险，可以采用风险转移、风险 对冲、风险补偿等方法。第二十八条企业应根据不同业务特点统一确定风险偏好和风险承 受度，即企业愿意承担哪些风险，明确风险的最低限度和不能超过的最 高限度，并据此确定风险的预警线及相应采取的对策。确定风险偏好和 风险承受度，要正确认识和把握风险与收益的平衡，

17、防止和纠正忽视风 险，片面追求收益而不讲条件、范围，认为风险越大、收益越高的观念 和做法；同时，也要防止单纯为规避风险而放弃发展机遇。第二十九条企业应根据风险与收益相平衡的原则以及各风险在风 险坐标图上的位置，进一步确定风险管理的优选顺序，明确风险管理成 本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安 排。第三十条企业应定期总结和分析已制定的风险管理策略的有效性 和合理性，结合实际不断修订和完善。其中，应重点检查依据风险偏 好、风险承受度和风险控制预警线实施的结果是否有效，并提出定性或 定量的有效性标准。第五章风险管理解决方案第三十一条企业应根据风险管理策略，针对各类风险或每一项

18、重 大风险制定风险管理解决方案。方案一般应包括风险解决的具体目标， 所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具 （如：关键风险指标管理、损失事件管理等）。第三十二条企业制定风险管理解决的外包方案，应注重成本与收 益的平衡、外包工作的质量、自身商业秘密的保护以及防止自身对风险 解决外包产生依赖性风险等，并制定相应的预防和控制措施。第三十三条 企业制定风险解决的内控方案，应满足合规的要求， 坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原 则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全 流

19、程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制 点，采取相应的控制措施。第三十四条 企业制定内控措施，一般至少包括以下内容：（一）建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权 的对象、条件、范围和额度等，任何组织和个人不得超越授权做出风险 性决定；（二）建立内控报告制度。明确规定报告人与接受报告人，报告的时 间、内容、频率、传递路线、负责处理报告的部门和人员等；（三）建立内控批准制度。对内控所涉及的重要事项，明确规定批准 的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其 相应责任；（四）建立内控责任制度。按照权利、义务和责任相统一的原则，明 确规定各有关部

20、门和业务单位、岗位、人员应负的责任和奖惩制度；（五）建立内控审计检查制度。结合内控的有关要求、方法、标准与 流程，明确规定审计检查的对象、内容、方式和负责审计检查的部门 等；（六）建立内控考核评价制度。具备条件的企业应把各业务单位风险 管理执行情况与绩效薪酬挂钩；（七）建立重大风险预警制度。对重大风险进行持续不断的监测，及 时发布预警信息，制定应急预案，并根据情况变化调整控制措施；（八）建立健全以总法律顾问制度为核心的企业法律顾问制度。大力 加强企业法律风险防范机制建设，形成由企业决策层主导、企业总法律 顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险 责任体系。完善企业重大法律

21、纠纷案件的备案管理制度；（九）建立重要岗位权力制衡制度，明确规定不相容职责的分离。主 要包括：授权批准、业务经办、会计记录、财产保管和稽核检查等职 责。对内控所涉及的重要岗位可设置一岗双人、双职、双责，相互制 约；明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督 责任；将该岗位作为内部审计的重点等。第三十五条企业应当按照各有关部门和业务单位的职责分工，认 真组织实施风险管理解决方案，确保各项措施落实到位。第六章风险管理的监督与改进第三十六条 企业应以重大风险、重大事件和重大决策、重要管理 及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、 关键控制活动及风险管理解决方案的

22、实施情况进行监督，采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有 效性进行检验，根据变化情况和存在的缺陷及时加以改进。第三十七条企业应建立贯穿于整个风险管理基本流程，连接各上 下级、各部门和业务单位的风险管理信息沟通渠道，确保信息沟通的及 时、准确、完整，为风险管理监督与改进奠定基础。第三十八条企业各有关部门和业务单位应定期对风险管理工作进 行自查和检验，及时发现缺陷并改进，具检查、检验报告应及时报送企 业风险管理职能部门。第三十九条 企业风险管理职能部门应定期对各部门和业务单位风 险管理工作实施情况和有效性进行检查和检验，要根据本指引第三十条 要求对风险管理策略进行

23、评估，对跨部门和业务单位的风险管理解决方 案进行评价，提出调整或改进建议，出具评价和建议报告，及时报送企 业总经理或其委托分管风险管理工作的高级管理人员。第四十条 企业内部审计部门应至少每年一次对包括风险管理职能 部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作 及其工作效果进行监督评价，监督评价报告应直接报送董事会或董事会 下设的风险管理委员会和审计委员会。此项工作也可结合年度审计、任 期审计或专项审计工作一并开展。第四十一条 企业可聘请有资质、信誉好、风险管理专业能力强的 中介机构对企业全面风险管理工作进行评价，出具风险管理评估和建议 专项报告。报告一般应包括以下几方面的实施

24、情况、存在缺陷和改进建 议：（一）风险管理基本流程与风险管理策略;（二）企业重大风险、重大事件和重要管理及业务流程的风险管理及内部控制系统的建设；（三）风险管理组织体系与信息系统；（四）全面风险管理总体目标。第七章风险管理组织体系第四十二条 企业应建立健全风险管理组织体系，主要包括规范的 公司法人治理结构，风险管理职能部门、内部审计部门和法律事务部门 以及其他有关职能部门、业务单位的组织领导机构及其职责。第四十三条企业应建立健全规范的公司法人治理结构，股东（大） 会、董事会、监事会、经理层依法履行职责，形成高效运转、有效制衡 的监督约束机制。第四十四条 公司应建立外部董事、独立董事制度，外部董

25、事、独 立董事人数应超过董事会全部成员的半数，以保证董事会能够在重大决 策、重大风险管理等方面作出独立于经理层的判断和选择。第四十五条 董事会就全面风险管理工作的有效性对股东（大）会负 责。董事会在全面风险管理方面主要履行以下职责：（一）审议并向股东（大）会提交企业全面风险管理年度工作报告；（二）确定企业风险管理总体目标、风险偏好、风险承受度，批准风 险管理策略和重大风险管理解决方案；（三）了解和掌握企业面临的各项重大风险及其风险管理现状，做出 有效控制风险的决策；（四）批准重大决策、重大风险、重大事件和重要业务流程的判断标 准或判断机制；（五）批准重大决策的风险评估报告；（六）批准内部审计部

26、门提交的风险管理监督评价审计报告；（七）批准风险管理组织机构设置及其职责方案；（八）批准风险管理措施，纠正和处理任何组织或个人超越风险管理 制度做出的风险性决定的行为；（九）督导企业风险管理文化的培育；（十）全面风险管理其他重大事项。第四十六条企业发展到条件具备的时候，董事会可下设风险管理 委员会。该委员会的召集人应由不兼任总经理的董事长担任；董事长兼 任总经理的，召集人应由外部董事或独立董事担任。该委员会成员中需 有熟悉企业重要管理及业务流程的董事，以及具备风险管理监管知识或 经验、具有一定法律知识的董事。第四十七条 风险管理委员会对董事会负责，主要履行以下职责：（一）提交全面风险管理年度报

27、告；（二）审议风险管理策略和重大风险管理解决方案;（三）审议重大决策、重大风险、重大事件和重要业务流程的判断标 准或判断机制，以及重大决策的风险评估报告；（四）审议内部审计部门提交的风险管理监督评价审计综合报告；（五）审议风险管理组织机构设置及其职责方案；（六）办理董事会授权的有关全面风险管理的其他事项。第四十八条 企业总经理对全面风险管理工作的有效性向董事会负 责。总经理或总经理委托的高级管理人员，负责主持全面风险管理的日 常工作，负责组织拟订企业风险管理组织机构设置及其职责方案。第四十九条 企业应设立专职部门或确定相关职能部门履行全面风 险管理的职责。该部门对总经理或其委托的高级管理人员负

28、责，主要履 行以下职责：（一）研究提出全面风险管理工作报告；（二）研究提出跨职能部门的重大决策、重大风险、重大事件和重要 业务流程的判断标准或判断机制；（三）研究提出跨职能部门的重大决策风险评估报告；（四）研究提出风险管理策略和跨职能部门的重大风险管理解决方 案，并负责该方案的组织实施和对该风险的日常监控；（五）负责对全面风险管理有效性评估，研究提出全面风险管理的改 进方案；（六）负责组织建立风险管理信息系统;（七）负责组织协调全面风险管理日常工作;（八）负责指导、监督有关职能部门、各业务单位以及全资、控股子 企业开展全面风险管理工作；（九）办理风险管理其他有关工作。第五十条 企业应在董事会下

29、设立审计委员会，企业内部审计部门 对审计委员会负责。审计委员会和内部审计部门的职责应符合企业内部 审计管理暂行办法的有关规定。内部审计部门在风险管理方面，主要负 责研究提出全面风险管理监督评价体系，制定监督评价相关制度，开展 监督与评价，出具监督评价审计报告。第五十一条企业其他职能部门及各业务单位在全面风险管理工作 中，应接受风险管理职能部门和内部审计部门的组织、协调、指导和监 督，主要履行以下职责：（一）执行风险管理基本流程；（二）研究提出本职能部门或业务单位重大决策、重大风险、重大事 件和重要业务流程的判断标准或判断机制；（三）研究提出本职能部门或业务单位的重大决策风险评估报告；（四）做好

30、本职能部门或业务单位建立风险管理信息系统的工作；（五）做好培育风险管理文化的有关工作；（六）建立健全本职能部门或业务单位的风险管理内部控制子系统；（七）办理风险管理其他有关工作。第五十二条 企业应通过法定程序，指导和监督其全资、控股子企 业建立与企业相适应或符合全资、控股子企业自身特点、能有效发挥作 用的风险管理组织体系。第八章风险管理信息系统第五十三条 企业应将信息技术应用于风险管理的各项工作，建立 涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包 括信息的采集、存储、加工、分析、测试、传递、报告、披露等。第五十四条企业应采取措施确保向风险管理信息系统输入的业务 数据和风险量化

31、值的一致性、准确性、及时性、可用性和完整性。对输 入信息系统的数据，未经批准，不得更改。第五十五条风险管理信息系统应能够进行对各种风险的计量和定 量分析、定量测试；能够实时反映风险矩阵和排序频谱、重大风险和重 要业务流程的监控状态；能够对超过风险预警上限的重大风险实施信息 报警；能够满足风险管理内部信息报告制度和企业对外信息披露管理制 度的要求。第五十六条 风险管理信息系统应实现信息在各职能部门、业务单 位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企 业整体和跨职能部门、业务单位的风险管理综合要求。第五十七条企业应确保风险管理信息系统的稳定运行和安全，并 根据实际需要不断进行改

32、进、完善或更新。第五十八条已建立或基本建立企业管理信息系统的企业，应补 充、调整、更新已有的管理流程和管理程序，建立完善的风险管理信息系统；尚未建立企业管理信息系统的，应将风险管理与企业各项管理业 务流程、管理软件统一规划、统一设计、统一实施、同步运行。第九章风险管理文化第五十九条企业应注重建立具有风险意识的企业文化，促进企业 风险管理水平、员工风险管理素质的提升，保障企业风险管理目标的实 现。第六十条风险管理文化建设应融入企业文化建设全过程。大力培 育和塑造良好的风险管理文化，树立正确的风险管理理念，增强员工风 险管理意识，将风险管理意识转化为员工的共同认识和自觉行动，促进 企业建立系统、规

33、范、高效的风险管理机制。第六十一条 企业应在内部各个层面营造风险管理文化氛围。董事 会应高度重视风险管理文化的培育，总经理负责培育风险管理文化的日 常工作。董事和高级管理人员应在培育风险管理文化中起表率作用。重 要管理及业务流程和风险控制点的管理人员和业务操作人员应成为培育 风险管理文化的骨干。第六十二条企业应大力加强员工法律素质教育，制定员工道德诚 信准则，形成人人讲道德诚信、合法合规经营的风险管理文化。对于不 遵守国家法律法规和企业规章制度、弄虚作假、徇私舞弊等违法及违反 道德诚信准则的行为，企业应严肃查处。第六十三条企业全体员工尤其是各级管理人员和业务操作人员应 通过多种形式，努力传播企

34、业风险管理文化，牢固树立风险无处不在、风险无时不在、严格防控纯粹风险、审慎处置机会风险、岗位风险管理 责任重大等意识和理念。第六十四条 风险管理文化建设应与薪酬制度和人事制度相结合， 有利于增强各级管理人员特别是高级管理人员风险意识，防止盲目扩 张、片面追求业绩、忽视风险等行为的发生。第六十五条企业应建立重要管理及业务流程、风险控制点的管理 人员和业务操作人员岗前风险管理培训制度。采取多种途经和形式，加 强对风险管理理念、知识、流程、管控核心内容的培训，培养风险管理 人才，培育风险管理文化。第十章附则第六十六条董事会办公会议具体履行董事会的职责，总经理对本 指引的贯彻执行负责。第六十七条本指引

35、在企业投资、财务报告等方面的风险管理配套 文件另行下发。第六十八条本指引的附录对本指引所涉及的有关技术方法和专 业术语进行了说明。第六十九条本指引由企业发展委员会负责解释。第七十条 本指引自印发之日起施行。二、企业内部控制基本规范第一章总则第一条为了加强和规范企业内部控制，提高企业经营管理水平和风险防 范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众 利益，根据中华人民共和国公司法、中华人民共和国会计法和其 他有关法律法规，制定本规范。第二条本规范适用于本企业给予本企业有关联之资产。第三条本规范所称内部控制，是由企业董事会、监事会、经理层和全体 员工实施的、旨在实现控制目标的过程

36、。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报 告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战 略。第四条企业建立与实施内部控制，应当遵循下列原则：（一）全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企 业及其所属单位的各种业务和事项。（二）重要性原则。内部控制应当在全面控制的基础上，关注重要业务事 项和高风险领域。（三）制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业 务流程等方面形成相互制约、相互监督，同时兼顾运营效率。（四）适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况 和风险水平等相适应，并随着情况的变化及时加以调整。（五

37、）成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的 成本实现有效控制。第五条企业建立与实施有效的内部控制，应当包括下列要素:（一）内部环境。内部环境是企业实施内部控制的基础，一般包括治理结 构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。（二）风险评估。风险评估是企业及时识别、系统分析经营活动中与实现 内部控制目标相关的风险，合理确定风险应对策略。（三）控制活动。控制活动是企业根据风险评估结果，采用相应的控制措 施，将风险控制在可承受度之内。（四）信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控 制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。（五

38、）内部监督。内部监督是企业对内部控制建立与实施情况进行监督检 查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。第六条企业应当根据有关法律法规、本规范及其配套办法，制定本企业 的内部控制制度并组织实施。第七条企业应当运用信息技术加强内部控制，建立与经营管理相适应的 信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事 项的自动控制，减少或消除人为操纵因素。第八条企业应当建立内部控制实施的激励约束机制，将各责任单位和全 体员工实施内部控制的情况纳入绩效考评体系，促进内部控制的有效实 施。第九条企业各部门可以根据法律法规、本规范及其配套办法，明确贯彻 实施本规范的具体要求，对

39、企业建立与实施内部控制的情况进行监督检 查。第十条接受企业委托从事内部控制审计的会计师事务所，应当根据本规 范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。会计师事务所及其签字的从业人员应当对发表的内部控 制审计意见负责。为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内 部控制审计服务。第二章内部环境第十一条企业应当根据国家有关法律法规和企业章程，建立规范的公司 治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成 科学有效的职责分工和制衡机制。股东（大）会享有法律法规和企业章程规定的合法权利，依法行使企业经 营方针、筹资、投资、利润分配等重

40、大事项的表决权。董事会对股东（大）会负责，依法行使企业的经营决策权。监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依 法履行职责。经理层负责组织实施股东（大）会、董事会决议事项，主持企业的生产经 营管理工作。第十二条董事会负责内部控制的建立健全和有效实施。监事会对董事会 建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日 常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制 的建立实施及日常工作。第十三条企业应当在董事会下设立审计委员会。审计委员会负责审查企 业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调 内部控制审计及其他相关事宜

41、等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任 能力。第十四条企业应当结合业务特点和内部控制要求设置内部机构，明确职 责权限，将权利与责任落实到各责任单位。企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位 职责、业务流程等情况，明确权责分配，正确行使职权。第十五条企业应当加强内部审计工作，保证内部审计机构设置、人员配 备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检 查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内 部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有 权直接向董事会及其审计委员会、监事会

42、报告。第十六条企业应当制定和实施有利于企业可持续发展的人力资源政策。 人力资源政策应当包括下列内容：（一）员工的聘用、培训、辞退与辞职。（二）员工的薪酬、考核、晋升与奖惩。（三）关键岗位员工的强制休假制度和定期岗位轮换制度。（四）掌握企业秘密或重要商业秘密的员工离岗的限制性规定。（五）有关人力资源管理的其他政策。第十七条企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工 的重要标准，切实加强员工培训和继续教育，不断提升员工素质。第十八条企业应当加强文化建设，培育积极向上的价值观和社会责任 感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管 理理念，强化风险意识。董事、监事、经理

43、及其他高级管理人员应当在企业文化建设中发挥主导 作用。企业员工应当遵守员工行为守则，认真履行岗位职责。第十九条企业应当加强法制教育，增强董事、监事、经理及其他高级管 理人员和员工的法制观念，严格依法决策、依法办事、依法监督，建立 健全法律顾问制度和重大法律纠纷案件备案制度。第三章风险评估第二十条企业应当根据设定的控制目标，全面系统持续地收集相关信 息，结合实际情况，及时进行风险评估。第二十一条企业开展风险评估，应当准确识别与实现控制目标相关的内 部风险和外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务 层面的可接受风险水平。第二十二条企业识别内部风

44、险，应当关注下列因素：（一）董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任 能力等人力资源因素。（二）组织机构、经营方式、资产管理、业务流程等管理因素。（三）研究开发、技术投入、信息技术运用等自主创新因素。（四）财务状况、经营成果、现金流量等财务因素。（五）营运安全、员工健康、环境保护等安全环保因素。（六）其他有关内部风险因素。第二十三条企业识别外部风险，应当关注下列因素：（一）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因 素。（二）法律法规、监管要求等法律因素。（三）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因 素。（四）技术进步、工艺改进等科学技术因素

45、。（五）自然灾害、环境状况等自然环境因素。（六）其他有关外部风险因素。第二十四条企业应当采用定性与定量相结合的方法，按照风险发生的可 能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和 优先控制的风险。企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照 严格规范的程序开展工作，确保风险分析结果的准确性。第二十五条企业应当根据风险分析的结果，结合风险承受度，权衡风险 与收益，确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗 位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业 经营带来重大损失。第二十六条企业应当综合运用风险规避、

46、风险降低、风险分担和风险承 受等风险应对策略，实现对风险的有效控制。风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险 相关的业务活动以避免和减轻损失的策略。风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降低风 险或者减轻损失，将风险控制在风险承受度之内的策略。风险分担是企业准备借助他人力量，采取业务分包、购买保险等方式和 适当的控制措施，将风险控制在风险承受度之内的策略。风险承受是企业对风险承受度之内的风险，在权衡成本效益之后，不准 备采取控制措施降低风险或者减轻损失的策略。第二十七条企业应当结合不同发展阶段和业务拓展情况，持续收集与风 险变化相关的信息，进行风险识别和

47、风险分析，及时调整风险应对策 略。第四章控制活动第二十八条企业应当结合风险评估结果，通过手工控制与自动控制、预 防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控 制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控 制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。第二十九条不相容职务分离控制要求企业全面系统地分析、梳理业务流 程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负 其责、相互制约的工作机制。第三十条授权审批控制要求企业根据常规授权和特别授权的规定，明确 各岗位办理业务和事项的权限范围、审批程序和相应责任。企业应当编制常

48、规授权的权限指引，规范特别授权的范围、权限、程序 和责任，严格控制特别授权。常规授权是指企业在日常经营管理活动中 按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特 定条件下进行的授权。企业各级管理人员应当在授权范围内行使职权和承担责任。企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任 何个人不得单独进行决策或者擅自改变集体决策。第三十一条会计系统控制要求企业严格执行国家统一的会计准则制度， 加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程 序，保证会计资料真实完整。企业应当依法设置会计机构，配备会计从业人员。从事会计工作的人 员，必须取得会计从业资格证

49、书。会计机构负责人应当具备会计师以上 专业技术职务资格。大中型企业应当设置总会计师。设置总会计师的企业，不得设置与其职 权重叠的副职。第三十二条财产保护控制要求企业建立财产日常管理制度和定期清查制 度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产 安全。企业应当严格限制未经授权的人员接触和处置财产 第三十三条预算控制要求企业实施全面预算管理制度，明确各责任单位 在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序， 强化预算约束。第三十四条运营分析控制要求企业建立运营情况分析制度，经理层应当 综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分 析、对比分析、趋势

50、分析等方法，定期开展运营情况分析，发现存在的 问题，及时查明原因并加以改进。第三十五条绩效考评控制要求企业建立和实施绩效考评制度，科学设置 考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核 和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降 级、调岗、辞退等的依据。第三十六条企业应当根据内部控制目标，结合风险应对策略，综合运用 控制措施，对各种业务和事项实施有效控制。第三十七条企业应当建立重大风险预警机制和突发事件应急处理机制， 明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预 案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。第五章信息与沟通第

51、三十八条企业应当建立信息与沟通制度，明确内部控制相关信息的收 集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。第三十九条企业应当对收集的各种内部信息和外部信息进行合理筛选、 核对、整合，提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内 部刊物、办公网络等渠道，获取内部信息。企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调 查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。第四十条企业应当将内部控制相关信息在企业内部各管理级次、责任单 位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、 中介机构和监管部门等有关方面之间

52、进行沟通和反馈。信息沟通过程中 发现的问题，应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。第四十一条企业应当利用信息技术促进信息的集成与共享，充分发挥信 息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、 文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运 行。第四十二条企业应当建立反舞弊机制，坚持惩防并举、重在预防的原 则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中 的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。企业至少应当将下列情形作为反舞弊工作的重点：（一）未经授权或者采取其他不法方式

53、侵占、挪用企业资产，牟取不当利 益。（二）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或 者重大遗漏等。（三）董事、监事、经理及其他高级管理人员滥用职权。（四）相关机构或人员串通舞弊。 第四十三条企业应当建立举报投诉制度和举报人保护制度，设置举报专 线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成 为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。第六章内部监督第四十四条企业应当根据本规范及其配套办法，制定内部控制监督制 度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内 部监督中的职责权限，规范内部监督的程序、方法和要求

54、。内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内 部控制的情况进行常规、持续的监督检查；专项监督是指在企业发展战 略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或 变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检 查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等 予以确定。第四十五条企业应当制定内部控制缺陷认定标准，对监督过程中发现的 内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采 取适当的形式及时向董事会、监事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整 改情况，并就内部监督中发

55、现的重大缺陷，追究相关责任单位或者责任 人的责任。第四十六条企业应当结合内部监督情况，定期对内部控制的有效性进行 自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调 整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的，从其规定。第四十七条企业应当以书面或者其他适当的形式，妥善保存内部控制建 立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的 可验证性。第七章附则第四十八条本规范由财政部会同国务院其他有关部门解释。第四十九条本规范的配套办法由财政部会同国务院其他有关部门另行制 定。第五十条本规范自2011

56、年7月1日起实施。三、企业内部控制配套指引.企业内部控制应用指引.企业内部控制评价指引.企业内部控制审计指引.企业内部控制应用指引企业内部控制应用指引第1号一一组织架构第一章总则第一条为了促进企业实现发展战略，优化治理结构、管理体制和运 行机制，建立现代企业制度，根据中华人民共和国公司法等有关法律 法规和企业内部控制基本规范，制定本指引。第二条本指引所称组织架构，是指企业按照国家有关法律法规、股 东（大）会决议和企业章程，结合本企业实际，明确股东（大）会、董事 会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编 制、工作程序和相关要求的制度安排。第三条企业至少应当关注组织架构设计与运

57、行中的下列风险：（一） 治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致 企业经营失败，难以实现发展战略。（二）内部机构设计不科学，权责分配不合理，可能导致机构重叠、 职能交叉或缺失、推诿扯皮，运行效率低下。第二章组织架构的设计第四条企业应当根据国家有关法律法规的规定，明确董事会、监事 会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、 执行和监督相互分离，形成制衡。董事会对股东（大）会负责，依法行使企业的经营决策权。可按照股 东（大）会的有关决议，设立战略、审计、提名、薪酬与考核等专门委员 会，明确各专门委员会的职责权限、任职资格、议事规则和工作程序， 为董事会科学

58、决策提供支持。监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人 员依法履行职责。经理层对董事会负责，主持企业的生产经营管理工作。经理和其他 高级管理人员的职责分工应当明确。董事会、监事会和经理层的产生程序应当合法合规，具人员构成、 知识结构、能力素质应当满足履行职责的要求。第五条企业的重大决策、重大事项、重要人事任免及大额资金支付 业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度。 任何个人不得单独进行决策或者擅自改变集体决策意见。重大决策、重大事项、重要人事任免及大额资金支付业务的具体标 准由企业自行确定。第六条企业应当按照科学、精简、高效、透明、制衡的原则，综合 考

59、虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部 职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集 中，形成各司其职、各负其责、相互制约、相互协调的工作机制。第七条企业应当对各机构的职能进行科学合理的分解，确定具体岗 位的名称、职责和工作要求等，明确各个岗位的权限和相互关系。企业在确定职权和岗位分工过程中，应当体现不相容职务相互分离 的要求。不相容职务通常包括：可行性研究与决策审批；决策审批与执 行；执行与监督检查等。第八条企业应当制定组织结构图、业务流程图、岗（职）位说明书和 权限指引等内部管理制度或相关文件，使员工了解和掌握组织架构设计 及权责分配情况，正确履行职

60、责。第三章组织架构的运行第九条企业应当根据组织架构的设计规范，对现有治理结构和内部 机构设置进行全面梳理，确保本企业治理结构、内部机构设置和运行机 制等符合现代企业制度要求。企业梳理治理结构，应当重点关注董事、监事、经理及其他高级管 理人员的任职资格和履职情况，以及董事会、监事会和经理层的运行效 果。治理结构存在问题的，应当采取有效措施加以改进。企业梳理内部机构设置，应当重点关注内部机构设置的合理性和运 行的高效性等。内部机构设置和运行中存在职能交叉、缺失或运行效率 低下的，应当及时解决。第十条企业拥有子公司的，应当建立科学的投资管控制度，通过合 法有效的形式履行出资人职责、维护出资人权益，重