福建省人民政府国有资产监督管理委员会
所出资企业内部控制管理暂行办法
第一章 总 则
第一条 为引导和推动福建省人民政府国有资产监督管理委员会(以下简称省国资委)履行出资人职责企业(以下简称企业)建立健全内部控制体系,提升企业风险管理水平,保障国有资产安全,促进企业可持续发展,根据《中华人民共和国公司法》、《企业国有资产监督管理暂行条例》和国家有关法律法规,制定本办法。
第二条 企业及全资、控股子企业的内部控制管理,适用本办法。
第三条 本办法所称内部控制,是指企业为实现经营目标,保障严格遵循有关法律法规和规章制度,保证财务会计信息真实可靠,保护资产安全和完整,提高企业运营的效率和效益而制定和实施的相关制度和程序。
第四条 本办法所称内部控制管理,是指企业建立内部控制体系、评价内部控制有效性、调整(变更)内部控制的过程。
第五条 企业应当根据国家有关法律法规、规章和本办法,建立健全适合本企业业务特点和管理要求、与经营管理制度和措施有机结合的内部控制体系,并组织实施。
第六条 省国资委依法指导和监督企业建立健全内部控制体系,并根据需要组织对企业内部控制体系进行评价。
第二章 建立内部控制体系的目标和原则
第七条 企业建立内部控制体系的基本目标,是促进企业实现科学决策、规范运行、高效管理和持续健康发展。企业建立内部控制体系应当实现以下目标:
(一)保障法律法规和企业内部规章制度的贯彻执行;
(二)建立健全符合现代企业制度要求的法人治理结构,形成科学合理的决策机制;
(三)提高经营管理的效率和效益,实现发展战略和经营目标;
(四)保护企业资产的安全、完整及对其的有效使用;
(五)预防和控制各种错误和弊端,及时采取有效纠正措施,防范经营管理中的各种风险;
(六)确保企业业务记录、财务信息和其他管理信息的及时、真实和完整。
第八条 企业建立内部控制体系应当遵循以下原则:
(一)合法合规性原则。企业内部控制制度与程序应当符合有关法律、法规和规章。
(二)全面性原则。企业内部控制在层次上应当涵盖企业决策层、管理层和全体员工,在对象上应当覆盖企业各项业务和管理活动,在流程上应当渗透到决策、执行、监督、反馈等各个环节,避免内部控制出现空白和漏洞。
(三)有效性原则。企业的内部控制在经营管理活动中应当切合企业实际情况,且能够得到贯彻执行并发挥作用,实现内部控制目标;应当合理体现企业经营规模、业务范围与特点、风险状况以及所处具体环境等方面的要求,并随着企业外部环境的变化、经营业务的调整、管理要求的提高不断改进和完善。
(四)制衡性原则。企业的机构、岗位设置和权责分配应当科学合理并符合内部控制的基本要求,确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。履行内部控制监督检查职责的部门应当具有良好的独立性。任何人不得拥有凌驾于内部控制制度之上的特殊权力。
(五)重要性原则。内部控制制度应当在兼顾全面的基础上突出重点,针对重要业务与事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷,能够对企业的重大风险进行有效的预防和控制。
(六)成本效益原则。应当在保证内部控制有效性的前提下,合理权衡成本与效益的关系,争取以合理的成本实现更为有效的控制。
第三章 企业内部控制体系的构成
第九条 企业内部控制体系应当包括控制环境、风险评估、控制措施、信息与沟通、监督检查五方面内容。企业建立内部控制体系,应以控制环境为前提,以风险评估为基础,制定控制制度与程序,加强信息沟通和持续的监督检查,保证内部控制程序持续有效的运转。
第十条 控制环境。控制环境分为外部环境和内部环境。外部环境是指影响企业内部控制体系建立与执行的外部氛围,包括企业所面临的政治制度、应遵循的法律法规、所处经济周期、行业变化、技术进步等;内部环境是指影响企业内部控制体系建立与执行的内部因素,包括企业的治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计和反舞弊机制等。
(一)在建立内部控制体系时,应当充分考虑企业所面临的各种内外部环境,制定科学有效且切实可行的内部控制制度与程序。企业应根据外部环境的变化,随时调整并修正内部控制环境,以保证内部控制体系的科学与有效。
(二)企业应当建立规范的法人治理结构,科学界定决策、管理、执行、监督各层面的权责与义务,形成有效的分工和制衡机制。合理设置内部机构,明确高级管理人员、各职能部门和分支机构、以及基层作业单位的职责权限,将权利与责任分解到具体岗位,为内部控制体系的建立和有效实施创造良好条件。
(三)企业应当建立健全反舞弊机制,明确有关部门在反舞弊工作中的职责权限和协调机制,规范反舞弊调查处理程序,建立情况通报制度,及时防范因舞弊而导致内部控制措施失效、影响内部控制目标实现的风险。
第十一条 风险评估。风险评估是为识别、分析、管理与企业相关的各种风险并采取应对策略的过程。
(一)企业应当在充分调研和科学分析的基础上,准确识别影响企业内部控制目标实现的内部风险因素和外部风险因素,建立涵盖企业全部系统和业务流程的风险评估机制,对企业的各类风险进行持续有效的识别与评估。
(二)企业应当确定风险控制点和重点防范领域,组织对高风险项目、重要管理部位和资金流通环节等可能发生风险的事项进行定期评价和随时监测,以防范风险发生。企业应对下列事项的风险进行重点关注和评估:
1、采购、销售、基建、货币流动等重要经营环节;
2、各种投资活动;
3、高风险业务;
4、境外子企业的运营情况;
5、其他可能存在重大风险的环节。
(三)企业应当根据风险分析情况,确定风险应对策略,建立有效的风险应急和应对机制,针对经营管理和内部控制中的潜在隐患以及可能发生的突发事件,制定应急预案、明确责任人员、规范处置程序和信息发布,做好善后处理和总结评估。
(四)企业应在内外部环境发生变化时,及时地修正风险评估机制,确保新的风险得到及时有效的控制。企业应开发和运用一定的风险评估方法和模型,对风险进行持续动态的监控和定期评估。
第十二条 控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段。控制措施主要包括:职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
(一)企业应合理设置职能部门和工作岗位,形成职责明确、相互制约的工作机制。在确定各部门、各岗位的职责权限过程中,应当充分考虑不相容职务相互分离的制衡要求,建立分工合理职责明确的岗位责任制,结合岗位特点和重要程度,建立规范的岗位轮换制度。
(二)企业应当建立完善的授权与执行体系,所有的经营活动都要有适当的授权。企业内部各级管理人员必须在授权范围内行使职权和承担责任,业务经办人员必须在授权范围内办理业务,对于重大事项应当实行集体决策审批或者联签制度,规范临时性授权的范围、权限、程序、责任和相关的记录措施。
(三)企业应建立健全预算管理体系,加强预算编制、执行、分析、考核等各环节的管理,明确预算项目,建立预算标准,及时分析和控制预算差异,采取改进措施,确保预算的有效执行。
(四)企业应加强会计系统控制,充分发挥会计的监督职能,确保凭证、记录和财务会计报告真实、准确、完整。
(五)企业应充分考虑计算机系统环境下的业务运行特征,建立与本企业经营管理业务相适应的信息化控制流程,建立计算机信息系统安全管理体系,确保计算机信息系统软硬件、数据、系统运行和系统环境的安全和有效。
第十三条 信息与沟通。信息与沟通是指及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程。
企业应当建立有效的信息交流和反馈机制,确保信息沟通渠道的畅通,实现信息在内部各层次和员工中的顺畅流通与反馈,按规定及时、准确地向投资者、管理层、政府主管机关和供应商等提供相应真实有效的信息。
第十四条 监督检查。监督检查是指企业对其内部控制的健全性、合理性进行监督检查与评估,形成书面报告并做出相应处理的过程。
(一)企业应当建立有效的内部控制监督与评价体系,对内部控制目标实现程度,法律、法规及监管要求的遵守程度,事故和其他不良事项的内部控制情况等进行监督、记录及处理。
(二)企业应当赋予内部控制管理机构监督内部控制体系建立和实施的相应职权,保证其具有良好的独立性和履行职能相适应的人员及工作条件。企业内部控制管理机构应当至少每年一次对内部控制制度的建立与实施情况进行监督检查,发现内部控制缺陷,形成检查结论并出具书面检查报告。
(三)企业应当分析内部控制缺陷产生的原因,并及时进行整改和完善。对在监督检查中发现的违反内部控制规定的行为,及时通报情况和反馈信息,并严格追究相关责任人的责任,维护内部控制的严肃性和权威性。
第四章 内部控制的评价
第十五条 企业应当实行内部控制评价制度,定期对内部控制体系进行测试,对内部控制体系的健全性、合理性和有效性进行自我评价,形成书面评价报告。
第十六条 测试标准。内部控制测试基本标准为健全性、合理性、有效性。健全性是指企业的内部控制制度是否全面、完整;合理性是指企业内部控制制度是否符合国家有关规定,是否存在缺陷,是否有助于提高企业的经济效益;有效性是指企业的内部控制是否得到有效执行。
第十七条 评价标准。内部控制评价工作实施人员应依据内部控制评价报告的不同用途,合理制定相应的内部控制缺陷或失效评价标准。具体包括定性标准和定量标准。
第十八条 评价结果。内部控制评价采取评分制。对内部控制的过程和结果分别设置一定的标准分值,并根据评价得分确定内部控制等级。企业的内部控制评价等级分为有效、基本有效、有缺陷和有重大缺陷四种类型。
第十九条 评价工作的组织。企业开展内部控制评价工作,应当根据经营管理需要采取灵活的评价方式。企业总部可以从各职能部门中抽调有关人员组成评价小组,负责实施具体的评价工作;也可以指定由内部审计部门负责实施;必要时也可以聘请社会中介和咨询专家协助实施评价工作。
第二十条 企业每年应向省国资委报送上年度内部控制自我评价报告,作为企业负责人经营业绩考核的重要依据。自我评价报告应当包括以下内容:
(一)企业内部控制体系的整体评价;
(二)内部控制自我评价结果。结果如为有缺陷或有重大缺陷,还应具体说明缺陷内容、影响以及拟采取的改进措施;
(三)企业法定代表人对内部控制自我评价报告负责的承诺;
(四)总会计师或分管财务领导对会计控制报告负责的承诺;
(五)企业法务负责人对法律风险控制报告负责的承诺;
(六)省国资委规定的其他资料。
第二十一条 企业的内部控制发生重大调整的,包括:外部环境重大改变、治理结构发生改变、组织结构重大改变、业务方向发生根本改变、管理方式方法发生重大改变等,应当对内部控制体系进行整体评价。
第二十二条 企业会计控制、法律风险控制等评价实施细则和评价报告格式由省国资委另行制定。
第五章 内部控制管理工作责任
第二十三条 企业内部控制是管理者实施的管理行为,经营管理者应当对内部控制的日常运行负责,董事会(不设董事会的企业则由经营班子)负责对内控的建立健全和有效实施进行指导和监督。
第二十四条 企业法定代表人全面负责内部控制工作,应当履行以下职责:
(一)负责建立和完善企业内部控制体系,制定内部控制的各项政策和程序;
(二)对企业的内部控制体系进行评价,并对内部控制自我评价报告负责;
(三)对企业内部控制制度的有效实施进行监督检查,追究违反内部控制制度的相关人员的责任。
第二十五条 企业总会计师或分管财务领导负责企业财务与会计控制工作,应当履行以下职责:
(一)研究制定本企业财会内部控制制度,促进建立健全企业财会内部控制体系,保证企业财务报告的公允性和合法性;
(二)组织评估、测试财会内部控制制度的有效性,对会计控制报告负责;
(三)组织建立多层次的监督体制,落实财会内部控制责任,对本单位经济活动的全过程进行财务监督和控制;
(四)组织建立和完善企业财务风险预警与控制机制;
(五)协调外部审计机构对内部控制进行的评价工作。
第二十五条 企业法务负责人负责企业法律风险控制工作,应当履行以下职责:
(一)全面负责企业法律事务工作,统一协调处理企业决策经营和管理中的法律事务;
(二)参与企业重大经营决策,保证决策的合法性,并对相关法律风险提出防范意见;
(三)参与企业重要规章制度的制定和实施,建立健全企业法律风险防范机制;
(四)对企业及下属单位违反法律、法规的行为提出纠正意见,监督或者协助有关部门予以整改。
第二十六条 企业内部控制管理机构负责对内部控制进行审计,应当履行以下职责:
(一)对内部控制的执行情况进行监督和检查;
(二)对内部控制体系进行具体评价;
(三)定期向管理层提交内部控制审计报告,对企业内部控制提出整改意见和建议;
(四)根据企业具体情况和审计发现问题的性质,采取合理方式对企业内部控制整改情况进行后续审计;
(五)选择、组织外部中介机构开展内部控制评价。
第二十七条 企业业务部门负责职责范围内内部控制流程的建立和完善工作,应当履行以下职责:
(一)按照内部控制要求,开展业务活动;
(二)负责提出和完善本部门的业务流程;
(三)接受监管部门、企业内控管理机构的内部控制评价和监督。
第六章 罚 则
第二十八条 企业发生重大资产损失和重大事故,应当组织对相关的内部控制进行评价,分清责任,对相关责任人进行追究,视情节严重,给予相关责任人纪律处分或经济处罚。
第二十九条 承担企业内部控制评价的中介机构及相关人员弄虚作假,造成评价结果严重不实的,应当追究相关机构和人员的责任。涉嫌犯罪的,依法移交司法机关处理。
第三十条 省国资委相关工作人员在企业内部控制监督指导过程中造成重大工作失误,依法给予纪律处分。
第七章 附 则
第三十一条 企业应当通过法定程序,指导和监督其全资、控股子企业的内部控制工作,可依据本办法结合本企业实际情况,制定内部控制管理的实施细则。
第三十二条 本办法由省国资委负责解释。
第三十三条 本办法自发布之日起施行。
