内部控制管理办法

(讨论稿)

第一章 总 则

第一条为推动国有资产监督管理委员会(以下简称国资委)履行出资人职责企业(以下简称企业)建立和健全内部控制体系，防范和降低风险，保障国有资产安全，促进企业可持续发展，根据《中华人民共和国公司法》、《企业国有资产监督管理暂行条例》和国家有关法律法规，制定本办法，

第二条企业及各级子企业的内部控制管理，适用本办法。 第三条本办法所称内部控制，是指企业为实现经营目标，保障严格遵循有关法律法规和规章制度，确保财务会计信息真实可靠，保护资产安全和完整，提高企业运营的经济性、效率性和效果性而制定和实施相关、程序的过程。

第四条国资委依法指导和监督企业建立健全内部控制体系，并负责组织对企业内部控制有效性进行评价。

第二章 内部控制目标

第五条 企业建立内部控制制度的基本目标，是促进企业实现决策科学、运行规范、管理高效和企业持续健康的发展，企业内部控制应当达到以下具体目标：

（一）保障国家法律法规和企业内部规章制度的贯彻执行; (二)建立健全符合现代企业制度要求的法人治理结构，形成利学合理的决策机制；

(三)促进企业提高经营管理的效率和效益，实现发展战略和经营目标；

(四)确保企业业务记录、财务信息和其他管理信息的及时、真实和完整；

(五)保护企业资产的安全、完整及对其的有效使用； (六)预防和控制各种错误和弊端，及时采取有效纠正措施，防范经营管理中的各种风险。

第六条 企业建立内部控制体系应当遵循以下原则： (一)合法合规性原则。企业内部控制制度与程序应当符合国家有关法律、法规和规章的要求。‘ (二)全面性原则。企业内部控制应覆盖经营的全过程及所有部门和岗位。

(三)有效性原则。企业的内部控制在经营管理活动中应当切合企业实际情况；并能够得到贯彻执行并发挥作用，实现内部控制目标。

(四)风险导向性原则。内部控制应当能够对企业的各种风险进行有效的预防和控制。

第七条 企业建立内部控制系统，．应充分考虑控制环境，以风险评估为基础，制定控制制度与程序，．加强信息沟通和持续的监督，以保证内部控制程序持续有效的运转。

第三章控制环境

第控制环境是影响企业内部控制建立和作用发挥的重要

因素；是构建企业内部控制系统的基础。控制环境分为外部环境和外

部环境。

(一)外部环境_外部环境是指影响企业内部控制体系建立与作用发挥的外部控制氛围，包括企业所面临的政治制度、应遵循的法律法规、所处经济周期、行业变化、技术进步等。

(二)内部环境。内部环境是指影响企业内部控制体系建立与作用发挥的内部控制氛围，包括企业的治理结构、领导者经营理念与风格、企业文化、员工素质等。

第九条在制定内部控制体系时，应当充分考虑企业所面临的各种内外部环境，制定科学有效并切实可行的内部控制制度与程序。 (一)按照有关规定建立适合企业发展的内部治理结构，合理设置组织机构和责权分配体系；

(二)健全母子公司管理，合理设置管理层次，公司结构一般应控制在三层以内，以加强管理力度和效率；

(三)制定符合企业自身发展的战略目标，树立科学的经营理念； (四)根据企业发展的需要，制定完善的公司章程，并采取措施确保公司章程得到有效执行；

(五)完善人力资源培养与管理，完善分配制度，建立科学有效的激励与约束机制；

(六)培育健康的与企业实际相协调的企业文化，引导并规范员工行为，等等。

第十条：企业应根据外部环境的变化，随时调整并修正内部控制环境，以保证内部控制体系的科学与有效．

第四章：风险评估

第十一条 风险评估是为识别、分析、管理与企业活动相关的市场风险、风险、法律风险、汇率风险、经营风险等各种风险而建立的机制。

第十二条 风险评估机制应当能够对企业所面临的重点风险进行识别，确定风险控制点和重点防范领域，对企业的各类风险进行持续有效的识别与评估，并基于这些风险产生的可能性和影响性采取适当的防范措施。

第十三条 企业应当建立涵盖企业全部系统和业务流程的风险评估机制，并根据风险评估控制需要，明确相关职责、权限以及控制的策略、方法和时限要求等内容，提供有力的资源保证。 第十四条 企业应当组织对高风险项目、重要管理部位和资金流通环节等可能发生风险的事项进行定期评价和随时监测，以防范风险发生。企业应对下列事项的风险进行重点关注和评估： (一)采购、销售、基建、货币流动等重要经营环节； (二)各种投资活动；

(三)证券、期货等高风险业务； (四)境外子企业的运营情况； (五)其他可能存在重大风险的环节。

第十五条 企业应当建立有效的风险应急和应对机制，建立相应风险应急管理机构，制定风险应对措施．

第十六条 企业应紧跟内外部坏境的变化，在环境和条件发生变

化时，及时地修正风险评估机制；确保新的风险得到及时有效的控制。

第十七条企业应开发和运用一定的风险评估方法和模型，对风险进行持续动态的监控和定期评估。

第五章 控制活动

第十 控制活动是企业为确保目标得以实现以及内部各项管理控制指令能够得以有效的实施而制定的有关和程序。 第十九条企业应当根据所处内外部环境和风险评估情况，结合自身的经营管理水平和业务发展需要，制定有效的内部控制与程序。

(一)企业所有的经营活动要有适当的授权，建立完善的授权与执行体系，加强对业务执行的控制，提高决策的速度和应对市场变化的能力。

(二)建立系统规范的业务流程。企业应当结合实际制定和完善采购、生产、销售等生产经营环节的业务流程，明确关键控制点，强化流程管理，并采取措施保证各项流程有效实施。

(三)不相容职务应当分离。企业应建立分工合理职责明确的岗位责任制，对于不相容岗位进行分离，降低经营风险。

(四)确保凭证和记录真实完整。企业应记录内控制度相关活动的过程，以保证会计信息的正确性、财务收支的合法性，以及维护财产物资的安全与完整。

第二十条企业应充分考虑计算机系统环境下的业务运行特征，

加强信息化建设。

(一)建立信息安全管理体系，对硬件、操作系统和应用程序、数据和操作环境，以及设计、采购、安全和使用实施控制： (二)明确计算机信息系统开发部门、管理部门与应用部门的职责，建立和健全计算机信息系统风险防范的制度，确保计算机信息系统设备、数据、系统运行和系统环境的安全。

第六章信息沟通

第二十一条 信息沟通是企业确认、获取、处理和保存各种与企业内外部活动有关的信息以及将信息在企业内部各个层面和人员中传递的过程。

第二十二条 企业应当在公司内部建立有效的信息交流和反馈机制，确保信息沟通渠道的畅通，实现信息在内部各层次和员工中的顺畅流通与反馈，及时、准确地向投资者、管理层、主管机关和供应商等提供各种真实有效的信息。

(一)企业应按照国家规定和出资人的要求，定期报送财务会计资料，不得漏报和瞒报。

(二)企业应当按照监管机构的要求及时披露有关信息，并确保披露信息真实完整。

(三)企业应当保证信息记录、报告，会计、统计的真实性和完整性，并促使信息在内部进行有效的传达。

第七章持续监督

第二十三条 持续监督是指企业为确保内部控制能持续有效

地运行而通过规定的检测程序和方法，对评估内部控制设计和运行情况进行持续检测和反馈的过程。

第二十四条 为实现有效的监控，企业应建立有效的内部控制监督与评价体系，对内部控制进行检查评价，对违规行为进行反馈与纠止。

(一)企业应当对内部控制目标实现程度，法律、法规及监管要求的遵循程度，事故和其他不良事项的内部控制情况等进行监督、纪录及处理。

(二)企业应当按照现代企业制度要求设立的内部审计部门，建立内部审计制度，定期开展内部审计工作，发现内部控制的薄弱环节，并及时进行整改和完善。

(三)企业应当建立科学合理的绩效评价体系，准确评判经营管理人员的工作业绩，建立有效的激励与约束机制。

第二十五条 企业集团应当指导和监督子企业的内部控制工作，确保子企业的内部控制符合集团公司的要求。

第二十六条 企业应当按照有关要求定期对内部控制体系进行测试，确保内部控制体系的健全性、合理性和有效性，并保证内控体系得到持续、有效的改进。

第八章 组织与实施

第二十七条 企业应当根据经营环境和活动变化及时修订和完善内部控制体系，企业的内部控制应当广泛征求职工意见，并将内部控制制度汇编成册，确保每个员工了解和执行内控制度。

第二十 企业应当建立内部控制评价制度，原则上每个年度终了和子企业负责人任期届满都应当进行内部控制评价。在企业内部控制评价工作起步阶段，可以选择一些内部控制制度较为健全且能有效实施的子企业试点。

第二十九条 内部控制评价应从健全性、合理性、有效性等三 个方面进行。

(一)健全性是指企业的内部控制制度是否全面、完整； (二)合理性是指企业内部控制制度是否符合国家有关规定，是 否存在缺陷，是否提高企业的经济效益；

(三)有效性是指企业的内部控制是否得到有效执行。 第三十条 企业内部控制评价采取评分制。对内部控制的过程和结果分别设置一定的标准分值，并根据评价得分确定内部控制等级。企业的内部控制评价等级分为有效、基本有效、有缺陷和有重大缺陷四种类型。

第三十一条 企业开展内部控制评价工作，应当根据经营管理需要采取灵活的评价方式。企业总部可以从各职能部门中抽调有关人员组成评价小组，负责实施具体的评价工作；也可以指定由内部审计部门负责实施；必要时也可以聘请社会中介和咨询专家协助实施评价工作。

第三十二条 符合下列情形之一，企业应当向国资委报送年度相关企业内部控制评价报告。

(一)在境外上市的企业或核心子企业；

(二)年度业绩考核达到A级标准的企业； (三)内部控制评价为重大缺陷等级的企业；

(四)内部控制体系连续在三次评价得不到改善的企业； (五)国资委规定的其他情形。

第三十三条 企业向国资委报送的内部控制评价报告，应当包括下列资料：

(一)企业自我评价报告；

(二)企业负责人对内部控制的承诺函； (三)总会计师对会计控制的承诺函； (四)中介机构出具的内部控制评价报告； (五)国资委规定的其他资料。

第三十四条 企业负责人全面负责内部控制工作，应当履行以下职责：

(一)负责建立和完善企业内部控制体系，制定内部控制的各项和程序；

(二)负责对企业的内部控制进行测试和评价，并编制内部控制评价报告。

(三)负责企业内控控制程序的有效执行，对违反内部控制程序相关人员进行责任追究。

第三十五条 企业总会计师负责企业财务与会计控制工作，应当履行以下职责：

(一)保证企业财务报告的公允性和合法性；

(二)负责企业财务人员遵循有关财务会计制度；

(三)协调内审部门聘请的外部审计机构对内部控制进行的评价工作；

第三十六条 企业内部审计机构负责对内部控制进行审计，应当履行以下职责：

(一)对内部控制的执行情况进行监督和检查； (二)对内部控制的效率性和效果性进行检查和评价； (三)定期向管理层提交内部控制审计报告，对企业内部控制提出整改意见和建议；

(四)根据企业具体情况和审计发现问题的性质，采取合理方式对企业内部控制整改情况进行后续审计；

(五)选择、组织外部中介机构开展内部控制评价。

第三十七条 企业业务部门负责职责范围内部控制流程控制建立和完善工作，应当履行以下职责： (一)按照内部控制要求，开展业务活动； (二)负责提出和完善本部门的业务流程； (三)接受审计部门的内部控制评价和监督。

第三十 国资委根据风险大小和重要性确定对企业及其控股企业内部控制评价的频率和范围，当企业发生管理层重大变动、重大的并购或处置、重大的经营范围改变或财务信息处理方式改变等情况，应当对企业内部控制进行整体评价。

第三十九条 国资委可根据需要委托外部中介机构对企业内

部控制体系进行评价。受托中介机构和人员应当具备企业内部控制体系建立或评价方面的经验，并满足一定的资质要求。

第四十条 国资委应当对内部控制体系的改进情况进行后续跟踪，责令被评价企业针对发现的违规或风险隐患制定整改措施，并对整改情况及其有效性进行跟踪检查。

第九章 工作责任

第四十一条 企业内部控制是管理者实施的管理行为，经营管理者应当对内部控制的日常运行负责，董事会应当负责对内部控制的建立健全和有效实施进行监督检查。

第四十二条 符合下列条件之一，视情节严重，给予总会计师和企业负责人纪律处分或者扣发企业负责人的绩效年薪。涉嫌犯罪的，移交司法机关处理。

(一)企业内部控制存在重大缺陷，导致年度财务决算严重不实，或被社会中介机构出具无法表示意见或否定意见审计报告的； (二)国资委组织对企业的内部控制评价为“重大缺陷”等级的；

(三)国资委组织对企业的内部控制评价连续两次为“有缺陷”等级的；

(四)本办法实施三年内企业内部控制评价达不到“基本有效”等级的。

符合以上两款(含)以上或故意瞒报的，加重处罚。

第四十三条 企业发生重大资产损失和重大事故，应当组织对

相关的内部控制进行评价，分清责任，对相关责任人进行追究，视情节严重，给与相关责任人纪律处分或经济处罚。 (一)违反内部控制相关规定的；

(二)员工未履行或未正确履行工作职责，造成过错或过失的； (三)管理者未履行或未正确履行职责，造成内部控制有严重缺陷的。

第四十四条 承担企业内部控制评价的中介机构及相关人员参与作假，提供虚明，造成评价结果严重不实的，国资委应当视情节严重，依法追究相关机构和人员的责任。涉嫌犯罪的，依法移交司法机关处理。

第四十五条 国资委相关工作人员在企业内部控制监督指导过程中，造成重大工作过错、过失或者泄露企业商业秘密的，依法给予纪律处分。

第十章附则

第四十六条各企业可依据本办法结合本企业实际情况，制定内部控制的相关规定和实施细则。

第四十七条 各省、自治区、直辖市国有资产监督管理机构可参照本办法，结合本地区实际制定本地区相关工作规范。 第四十 本办法自2005年月 日起施行。