企业内部控制应用指引第 8 号——资产管理

第一章    总  则

第一条  为了提高资产使用效能，保证资产安全，根据有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条  本指引所称资产，是指企业拥有或控制的存货、固定资产和无形资产。

第三条  企业资产管理至少应当关注下列风险：

（一）存货积压或短缺，可能导致流动资金占用过量、存货价值贬损或生产中断。

（二）固定资产更新改造不够、使用效能低下、维护不当、产能过剩，可能导致企业缺乏竞争力、资产价值贬损、安全事故频发或资源浪费。

（三）无形资产缺乏核心技术、权属不清、技术落后、存在重大技术安全隐患，可能导致企业法律纠纷、缺乏可持续发展能力。

第四条  企业应当加强各项资产管理，全面梳理资产管理流程，及时发现资产管理中的薄弱环节，切实采取有效措施加以改进，并关注资产减值迹象，合理确认资产减值损失，不断提高企业资产管理水平。

企业应当重视和加强各项资产的投保工作，采用招标等方式确定保险人，降低资产损失风险，防范资产投保舞弊。

第二章    存  货

第五条  企业应当采用先进的存货管理技术和方法，规范存货管理流程，明确存货取得、验收入库、原料加工、仓储保管、领用发出、盘点处置等环节的管理要求，充分利用信息系统，强化会计、出入库等相关记录，确保存货管理全过程的风险得到有效控制。

第六条  企业应当建立存货管理岗位责任制，明确内部相关部门和岗位的职责权限，切实做到不相容岗位相互分离、制约和监督。

企业内部除存货管理、监督部门及仓储人员外，其他部门和人员接触存货，应当经过相关部门特别授权。

第七条  企业应当重视存货验收工作，规范存货验收程序和方法，对入库存货的数量、质量、技术规格等方面进行查验，验收无误方可入库。

外购存货的验收，应当重点关注合同、发票等原始单据与存货的数量、质量、规格等核对一致。涉及技术含量较高的货物，必要时可委托具有检验资质的机构或聘请外部专家协助验收。

自制存货的验收，应当重点关注产品质量，通过检验合格的半成品、产成品才能办理入库手续，不合格品应及时查明原因、落实责任、报告处理。

其他方式取得存货的验收，应当重点关注存货来源、质量状况、实际价值是否符合有关合同或协议的约定。

第八条  企业应当建立存货保管制度，定期对存货进行检查，重点关注下列事项：

（一）存货在不同仓库之间流动时应当办理出入库手续。

（二）应当按仓储物资所要求的储存条件贮存，并健全防火、防洪、防盗、防潮、防病虫害和防变质等管理规范。

（三）加强生产现场的材料、周转材料、半成品等物资的管理，防止浪费、被盗和流失。

（四）对代管、代销、暂存、受托加工的存货，应单独存放和记录，避免与本单位存货混淆。

（五）结合企业实际情况，加强存货的保险投保，保证存货安全，合理降低存货意外损失风险。

第九条  企业应当明确存货发出和领用的审批权限，大批存货、贵重商品或危险品的发出应当实行特别授权。仓储部门应当根据经审批的销售（出库）通知单发出货物。

第十条  企业仓储部门应当详细记录存货入库、出库及库存情况，做到存货记录与实际库存相符，并定期与财会部门、存货管理部门进行核对。

第十一条  企业应当根据各种存货采购间隔期和当前库存，综合考虑企业生产经营计划、市场供求等因素，充分利用信息系统，合理确定存货采购日期和数量，确保存货处于最佳库存状态。

第十二条  企业应当建立存货盘点清查制度，结合本企业实际情况确定盘点周期、盘点流程等相关内容，核查存货数量，及时发现存货减值迹象。企业至少应当于每年年度终了开展全面盘点清查，盘点清查结果应当形成书面报告。

盘点清查中发现的存货盘盈、盘亏、毁损、闲置以及需要报废的存货，应当查明原因、落实并追究责任，按照规定权限批准后处置。

第三章    固定资产

第十三条  企业应当加强房屋建筑物、机器设备等各类固定资产的管理，重视固定资产维护和更新改造，不断提升固定资产的使用效能，积极促进固定资产处于良好运行状态。

第十四条  企业应当制定固定资产目录，对每项固定资产进行编号，按照单项资产建立固定资产卡片，详细记录各项固定资产的来源、验收、使用地点、责任单位和责任人、运转、维修、改造、折旧、盘点等相关内容。

企业应当严格执行固定资产日常维修和大修理计划，定期对固定资产进行维护保养，切实消除安全隐患。

企业应当强化对生产线等关键设备运转的监控，严格操作流程，实行岗前培训和岗位许可制度，确保设备安全运转。

第十五条  企业应当根据发展战略，充分利用国家有关自主创新政策，加大技改投入，不断促进固定资产技术升级，淘汰落后设备，切实做到保持本企业固定资产技术的先进性和企业发展的可持续性。

第十六条  企业应当严格执行固定资产投保政策，对应投保的固定资产项目按规定程序进行审批，及时办理投保手续。

第十七条  企业应当规范固定资产抵押管理，确定固定资产抵押程序和审批权限等。

企业将固定资产用作抵押的，应由相关部门提出申请，经企业授权部门或人员批准后，由资产管理部门办理抵押手续。

企业应当加强对接收的抵押资产的管理，编制专门的资产目录，合理评估抵押资产的价值。

第十八条  企业应当建立固定资产清查制度，至少每年进行全面清查。对固定资产清查中发现的问题，应当查明原因，追究责任，妥善处理。

企业应当加强固定资产处置的控制，关注固定资产处置中的关联交易和处置定价，防范资产流失。

第四章    无形资产

第十九条  企业应当加强对品牌、商标、专利、专有技术、土地使用权等无形资产的管理，分类制定无形资产管理办法，落实无形资产管理责任制，促进无形资产有效利用，充分发挥无形资产对提升企业核心竞争力的作用。

第二十条  企业应当全面梳理外购、自行开发以及其他方式取得的各类无形资产的权属关系，加强无形资产权益保护，防范侵权行为和法律风险。无形资产具有保密性质的，应当采取严格保密措施，严防泄露商业秘密。

企业购入或者以支付土地出让金等方式取得的土地使用权，应当取得土地使用权有效证明文件。

第二十一条  企业应当定期对专利、专有技术等无形资产的先进性进行评估，淘汰落后技术，加大研发投入，促进技术更新换代，不断提升自主创新能力，努力做到核心技术处于同行业领先水平。

第二十二条  企业应当重视品牌建设，加强商誉管理，通过提供高质量产品和优质服务等多种方式，不断打造和培育主业品牌，切实维护和提升企业品牌的社会认可度。

 

企业内部控制应用指引第 17 号——内部信息传递

第一章    总  则

第一条  为了促进企业生产经营管理信息在内部各管理层级之间的有效沟通和充分利用，根据《企业内部控制基本规范》，制定本指引。

第二条  本指引所称内部信息传递，是指企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。

第三条  企业内部信息传递至少应当关注下列风险：

（一）内部报告系统缺失、功能不健全、内容不完整，可能影响生产经营有序运行。

（二）内部信息传递不通畅、不及时，可能导致决策失误、相关政策措施难以落实。

（三）内部信息传递中泄露商业秘密，可能削弱企业核心竞争力。

第四条  企业应当加强内部报告管理，全面梳理内部信息传递过程中的薄弱环节，建立科学的内部信息传递机制，明确内部信息传递的内容、保密要求及密级分类、传递方式、传递范围以及各管理层级的职责权限等，促进内部报告的有效利用，充分发挥内部报告的作用。

第二章    内部报告的形成

第五条  企业应当根据发展战略、风险控制和业绩考核要求，科学规范不同级次内部报告的指标体系，采用经营快报等多种形式，全面反映与企业生产经营管理相关的各种内外部信息。

内部报告指标体系的设计应当与全面预算管理相结合，并随着环境和业务的变化不断进行修订和完善。设计内部报告指标体系时，应当关注企业成本费用预算的执行情况。

内部报告应当简洁明了、通俗易懂、传递及时，便于企业各管理层级和全体员工掌握相关信息，正确履行职责。

第六条  企业应当制定严密的内部报告流程，充分利用信息技术，强化内部报告信息集成和共享，将内部报告纳入企业统一信息平台，构建科学的内部报告网络体系。

企业内部各管理层级均应当指定专人负责内部报告工作，重要信息应及时上报，并可以直接报告高级管理人员。

企业应当建立内部报告审核制度，确保内部报告信息质量。

第七条  企业应当关注市场环境、政策变化等外部信息对企业生产经营管理的影响，广泛收集、分析、整理外部信息，并通过内部报告传递到企业内部相关管理层级，以便采取应对策略。

第八条  企业应当拓宽内部报告渠道，通过落实奖励措施等多种有效方式，广泛收集合理化建议。

企业应当重视和加强反舞弊机制建设,通过设立员工信箱、投诉热线等方式，鼓励员工及企业利益相关方举报和投诉企业内部的违法违规、舞弊和其他有损企业形象的行为。

第三章.    内部报告的使用

第九条  企业各级管理人员应当充分利用内部报告管理和指导企业的生产经营活动，及时反映全面预算执行情况，协调企业内部相关部门和各单位的运营进度，严格绩效考核和责任追究，确保企业实现发展目标。

第十条  企业应当有效利用内部报告进行风险评估，准确识别和系统分析企业生产经营活动中的内外部风险，确定风险应对策略，实现对风险的有效控制。

企业对于内部报告反映出的问题应当及时解决；涉及突出问题和重大风险的，应当启动应急预案。

第十一条  企业应当制定严格的内部报告保密制度，明确保密内容、保密措施、密级程度和传递范围，防止泄露商业秘密。

第十二条  企业应当建立内部报告的评估制度，定期对内部报告的形成和使用进行全面评估，重点关注内部报告的及时性、安全性和有效性。

 

 

企业内部控制应用指引第 18 号——信息系统

第一章    总    则

第一条  为了促进企业有效实施内部控制，提高企业现代化管理水平，减少人为因素，根据有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条  本指引所称信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。

第三条  企业利用信息系统实施内部控制至少应当关注下列风险：

（一）信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。

（二）系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。

（三）系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。

第四条  企业应当重视信息系统在内部控制中的作用，根据内部控制要求，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设整体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。

企业应当指定专门机构对信息系统建设实施归口管理，明确相关单位的职责权限，建立有效工作机制。企业可委托专业机构从事信息系统的开发、运行和维护工作。

企业负责人对信息系统建设工作负责

第二章    信息系统的开发

第五条  企业应当根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施。

企业信息系统归口管理部门应当组织内部各单位提出开发需求和关键控制点，规范开发流程，明确系统设计、编程、安装调试、验收、上线等全过程的管理要求，严格按照建设方案、开发流程和相关要求组织开发工作。

企业开发信息系统，可以采取自行开发、外购调试、业务外包等方式。选定外购调试或业务外包方式的，应当采用公开招标等形式择优确定供应商或开发单位。

第六条  企业开发信息系统，应当将生产经营管理业务流程、关控制点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能。

企业在系统开发过程中，应当按照不同业务的控制要求，通过信息系统中的权限管理功能控制用户的操作权限，避免将不相容职责的处理权限授予同一用户

企业应当针对不同数据的输入方式，考虑对进入系统数据的检查和校验功能。对于必需的后台操作，应当加强管理，建立规范的流程制度，对操作情况进行监控或者审计。

企业应当在信息系统中设置操作日志功能，确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据，应当设计由系统自动报告并设置跟踪处理机制。

第七条  企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理，组织开发单位与内部各单位的日常沟通和协调，督促开发单位按照建设方案、计划进度和质量要求完成编程工作，对配备的硬件设备和系统软件进行检查验收，组织系统上线运行等。

第八条  企业应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试，确保在功能、性能、控制要求和安全性等方面符合开发需求。

第九条  企业应当切实做好信息系统上线的各项准备工作，培训业务操作和系统管理人员，制定科学的上线计划和新旧系统转换方案，考虑应急预案，确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的，还应制定详细的数据迁移计划。

第三章    信息系统的运行与维护

第十条  企业应当加强信息系统运行与维护的管理，制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。

企业应当建立信息系统变更管理流程，信息系统变更应当严格遵照管理流程进行操作。信息系统操作人员不得擅自进行系统软件的删除、修改等操作；不得擅自升级、改变系统软件版本；不得擅自改变软件系统环境配置。

第十一条  企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级，建立不同等级信息的授权使用制度，采用相应技术手段保证信息系统运行安全有序。

企业应当建立信息系统安全保密和泄密责任追究制度。委托专业机构进行系统运行与维护管理的，应当审查该机构的资质，并与其签订服务合同和保密协议。

企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。

第十二条  企业应当建立用户管理制度，加强对重要业务系统的访问权限管理，定期审阅系统账号，避免授权不当或存在非授权账号，禁止不相容职务用户账号的交叉操作。

第十三条  企业应当综合利用防火墙、路由器等网络设备，漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段，加强网络安全，防范来自网络的攻击和非法侵入。

企业对于通过网络传输的涉密或关键数据，应当采取加密措施，确保信息传递的保密性、准确性和完整性。

第十四条  企业应当建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。

第十五条  企业应当加强服务器等关键信息设备的管理，建立良好的物理环境，指定专人负责检查，及时处理异常情况。未经授权，任何人不得接触关键信息设备。