企業(yè)內(nèi)部控制應(yīng)用指引第 17、18號(hào)

1、PAGE PAGE 9企業(yè)內(nèi)部控制應(yīng)應(yīng)用指引第 17、188號(hào)企業(yè)內(nèi)部控制應(yīng)應(yīng)用指引第 17 號(hào)內(nèi)部信息息傳遞第一章 總則第一條 為了促促進(jìn)企業(yè)生產(chǎn)產(chǎn)經(jīng)營(yíng)管理信信息在內(nèi)部各各管理層級(jí)之之間的有效溝溝通和充分利利用，根據(jù)企企業(yè)內(nèi)部控制制基本規(guī)范，制制定本指引。第二條 本指引引所稱(chēng)內(nèi)部信信息傳遞，是是指企業(yè)內(nèi)部部各管理層級(jí)級(jí)之間通過(guò)內(nèi)內(nèi)部報(bào)告形式式傳遞生產(chǎn)經(jīng)經(jīng)營(yíng)管理信息息的過(guò)程。第三條 企業(yè)內(nèi)內(nèi)部信息傳遞遞至少應(yīng)當(dāng)關(guān)關(guān)注下列風(fēng)險(xiǎn)險(xiǎn)：（一）內(nèi)部報(bào)告告系統(tǒng)缺失、功功能不健全、內(nèi)內(nèi)容不完整，可可能影響生產(chǎn)產(chǎn)經(jīng)營(yíng)有序運(yùn)運(yùn)行。（二）內(nèi)部信息息傳遞不通暢暢、不及時(shí)，可可能導(dǎo)致決策策失誤、相關(guān)關(guān)政策措施難難以落

2、實(shí)。（三）內(nèi)部信息息傳遞中泄露露商業(yè)秘密，可可能削弱企業(yè)業(yè)核心競(jìng)爭(zhēng)力力。 第四條 企業(yè)應(yīng)應(yīng)當(dāng)加強(qiáng)內(nèi)部部報(bào)告管理，全全面梳理內(nèi)部部信息傳遞過(guò)過(guò)程中的薄弱弱環(huán)節(jié)，建立立科學(xué)的內(nèi)部部信息傳遞機(jī)機(jī)制，明確內(nèi)內(nèi)部信息傳遞遞的內(nèi)容、保保密要求及密密級(jí)分類(lèi)、傳傳遞方式、傳傳遞范圍以及及各管理層級(jí)級(jí)的職責(zé)權(quán)限限等，促進(jìn)內(nèi)內(nèi)部報(bào)告的有有效利用，充充分發(fā)揮內(nèi)部部報(bào)告的作用用。第二章 內(nèi)部報(bào)報(bào)告的形成第五條 企業(yè)應(yīng)應(yīng)當(dāng)根據(jù)發(fā)展展戰(zhàn)略、風(fēng)險(xiǎn)險(xiǎn)控制和業(yè)績(jī)績(jī)考核要求，科科學(xué)規(guī)范不同同級(jí)次內(nèi)部報(bào)報(bào)告的指標(biāo)體體系，采用經(jīng)經(jīng)營(yíng)快報(bào)等多多種形式，全全面反映與企企業(yè)生產(chǎn)經(jīng)營(yíng)營(yíng)管理相關(guān)的的各種內(nèi)外部部信息。內(nèi)部報(bào)告指標(biāo)體體系的設(shè)計(jì)應(yīng)

3、應(yīng)當(dāng)與全面預(yù)預(yù)算管理相結(jié)結(jié)合，并隨著著環(huán)境和業(yè)務(wù)務(wù)的變化不斷斷進(jìn)行修訂和和完善。設(shè)計(jì)計(jì)內(nèi)部報(bào)告指指標(biāo)體系時(shí)，應(yīng)應(yīng)當(dāng)關(guān)注企業(yè)業(yè)成本費(fèi)用預(yù)預(yù)算的執(zhí)行情情況。內(nèi)部報(bào)告應(yīng)當(dāng)簡(jiǎn)簡(jiǎn)潔明了、通通俗易懂、傳傳遞及時(shí)，便便于企業(yè)各管管理層級(jí)和全全體員工掌握握相關(guān)信息，正正確履行職責(zé)責(zé)。第六條 企業(yè)應(yīng)應(yīng)當(dāng)制定嚴(yán)密密的內(nèi)部報(bào)告告流程，充分分利用信息技技術(shù)，強(qiáng)化內(nèi)內(nèi)部報(bào)告信息息集成和共享享，將內(nèi)部報(bào)報(bào)告納入企業(yè)業(yè)統(tǒng)一信息平平臺(tái)，構(gòu)建科科學(xué)的內(nèi)部報(bào)報(bào)告網(wǎng)絡(luò)體系系。企業(yè)內(nèi)部各管理理層級(jí)均應(yīng)當(dāng)當(dāng)指定專(zhuān)人負(fù)負(fù)責(zé)內(nèi)部報(bào)告告工作，重要要信息應(yīng)及時(shí)時(shí)上報(bào)，并可可以直接報(bào)告告高級(jí)管理人人員。企業(yè)應(yīng)當(dāng)建立內(nèi)內(nèi)部報(bào)告審核核制度，確保保內(nèi)

4、部報(bào)告信信息質(zhì)量。第七條 企業(yè)應(yīng)應(yīng)當(dāng)關(guān)注市場(chǎng)場(chǎng)環(huán)境、政策策變化等外部部信息對(duì)企業(yè)業(yè)生產(chǎn)經(jīng)營(yíng)管管理的影響，廣廣泛收集、分分析、整理外外部信息，并并通過(guò)內(nèi)部報(bào)報(bào)告?zhèn)鬟f到企企業(yè)內(nèi)部相關(guān)關(guān)管理層級(jí)，以以便采取應(yīng)對(duì)對(duì)策略。第八條 企業(yè)應(yīng)應(yīng)當(dāng)拓寬內(nèi)部部報(bào)告渠道，通通過(guò)落實(shí)獎(jiǎng)勵(lì)勵(lì)措施等多種種有效方式，廣廣泛收集合理理化建議。企業(yè)應(yīng)當(dāng)重視和和加強(qiáng)反舞弊弊機(jī)制建設(shè),通過(guò)設(shè)立員員工信箱、投投訴熱線等方方式，鼓勵(lì)員員工及企業(yè)利利益相關(guān)方舉舉報(bào)和投訴企企業(yè)內(nèi)部的違違法違規(guī)、舞舞弊和其他有有損企業(yè)形象象的行為。第三章 內(nèi)部報(bào)報(bào)告的使用第九條 企業(yè)各各級(jí)管理人員員應(yīng)當(dāng)充分利利用內(nèi)部報(bào)告告管理和指導(dǎo)導(dǎo)企業(yè)的生產(chǎn)產(chǎn)經(jīng)營(yíng)活動(dòng)，

5、及及時(shí)反映全面面預(yù)算執(zhí)行情情況，協(xié)調(diào)企企業(yè)內(nèi)部相關(guān)關(guān)部門(mén)和各單單位的運(yùn)營(yíng)進(jìn)進(jìn)度，嚴(yán)格績(jī)績(jī)效考核和責(zé)責(zé)任追究，確確保企業(yè)實(shí)現(xiàn)現(xiàn)發(fā)展目標(biāo)。第十條 企業(yè)應(yīng)應(yīng)當(dāng)有效利用用內(nèi)部報(bào)告進(jìn)進(jìn)行風(fēng)險(xiǎn)評(píng)估估，準(zhǔn)確識(shí)別別和系統(tǒng)分析析企業(yè)生產(chǎn)經(jīng)經(jīng)營(yíng)活動(dòng)中的的內(nèi)外部風(fēng)險(xiǎn)險(xiǎn)，確定風(fēng)險(xiǎn)險(xiǎn)應(yīng)對(duì)策略，實(shí)實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的的有效控制。企業(yè)對(duì)于內(nèi)部報(bào)報(bào)告反映出的的問(wèn)題應(yīng)當(dāng)及及時(shí)解決；涉涉及突出問(wèn)題題和重大風(fēng)險(xiǎn)險(xiǎn)的，應(yīng)當(dāng)啟啟動(dòng)應(yīng)急預(yù)案案。第十一條 企業(yè)業(yè)應(yīng)當(dāng)制定嚴(yán)嚴(yán)格的內(nèi)部報(bào)報(bào)告保密制度度，明確保密密內(nèi)容、保密密措施、密級(jí)級(jí)程度和傳遞遞范圍，防止止泄露商業(yè)秘秘密。第十二條 企業(yè)業(yè)應(yīng)當(dāng)建立內(nèi)內(nèi)部報(bào)告的評(píng)評(píng)估制度，定定期對(duì)內(nèi)部報(bào)報(bào)告的形成和和

6、使用進(jìn)行全全面評(píng)估，重重點(diǎn)關(guān)注內(nèi)部部報(bào)告的及時(shí)時(shí)性、安全性性和有效性。企業(yè)內(nèi)部控制應(yīng)應(yīng)用指引第 18 號(hào)信息系統(tǒng)統(tǒng)第一章 總則第一條 為了促促進(jìn)企業(yè)有效效實(shí)施內(nèi)部控控制，提高企企業(yè)現(xiàn)代化管管理水平，減減少人為因素素，根據(jù)有關(guān)關(guān)法律法規(guī)和和企業(yè)內(nèi)部部控制基本規(guī)規(guī)范，制定定本指引。第二條 本指引引所稱(chēng)信息系系統(tǒng)，是指企企業(yè)利用計(jì)算算機(jī)和通信技技術(shù)，對(duì)內(nèi)部部控制進(jìn)行集集成、轉(zhuǎn)化和和提升所形成成的信息化管管理平臺(tái)。第三條 企業(yè)利利用信息系統(tǒng)統(tǒng)實(shí)施內(nèi)部控控制至少應(yīng)當(dāng)當(dāng)關(guān)注下列風(fēng)風(fēng)險(xiǎn)：（一）信息系統(tǒng)統(tǒng)缺乏或規(guī)劃劃不合理，可可能造成信息息孤島或重復(fù)復(fù)建設(shè)，導(dǎo)致致企業(yè)經(jīng)營(yíng)管管理效率低下下。（二）系統(tǒng)開(kāi)發(fā)發(fā)不符

7、合內(nèi)部部控制要求，授授權(quán)管理不當(dāng)當(dāng)，可能導(dǎo)致致無(wú)法利用信信息技術(shù)實(shí)施施有效控制。（三）系統(tǒng)運(yùn)行行維護(hù)和安全全措施不到位位，可能導(dǎo)致致信息泄漏或或損，系統(tǒng)無(wú)無(wú)法正常運(yùn)行行。第四條 企業(yè)應(yīng)應(yīng)當(dāng)重視信息息系統(tǒng)在內(nèi)部部控制中的作作用，根據(jù)內(nèi)內(nèi)部控制要求求，結(jié)合組織織架構(gòu)、業(yè)務(wù)務(wù)范圍、地域域分布、技術(shù)術(shù)能力等因素素，制定信息息系統(tǒng)建設(shè)整整體規(guī)劃，加加大投入力度度，有序組織織信息系統(tǒng)開(kāi)開(kāi)發(fā)、運(yùn)行與與維護(hù)，優(yōu)化化管理流程，防防范經(jīng)營(yíng)風(fēng)險(xiǎn)險(xiǎn)，全面提升升企業(yè)現(xiàn)代化化管理水平。企業(yè)應(yīng)當(dāng)指定專(zhuān)專(zhuān)門(mén)機(jī)構(gòu)對(duì)信信息系統(tǒng)建設(shè)設(shè)實(shí)施歸口管管理，明確相相關(guān)位的職責(zé)責(zé)權(quán)限，建立立有效工作機(jī)機(jī)制。企業(yè)可可委托專(zhuān)業(yè)機(jī)機(jī)構(gòu)從事信息息系

8、統(tǒng)的開(kāi)發(fā)發(fā)、運(yùn)行和維維護(hù)工作。企業(yè)負(fù)責(zé)人對(duì)信信息系統(tǒng)建設(shè)設(shè)工作負(fù)責(zé)。第二章 信息系系統(tǒng)的開(kāi)發(fā)第五條 企業(yè)應(yīng)應(yīng)當(dāng)根據(jù)信息息系統(tǒng)建設(shè)整整體規(guī)劃提出出項(xiàng)目建設(shè)方方案，明確建建設(shè)目標(biāo)、人人員配備、職職責(zé)分工、經(jīng)經(jīng)費(fèi)保障和進(jìn)進(jìn)度安排等相相關(guān)內(nèi)容，按按照規(guī)定的權(quán)權(quán)限和程序?qū)弻徟髮?shí)施。企業(yè)信息系統(tǒng)歸歸口管理部門(mén)門(mén)應(yīng)當(dāng)組織內(nèi)內(nèi)部各單位提提出開(kāi)發(fā)需求求和關(guān)鍵控制制點(diǎn)，規(guī)范開(kāi)開(kāi)發(fā)流程，明明確系統(tǒng)設(shè)計(jì)計(jì)、編程、安安裝調(diào)試、驗(yàn)驗(yàn)收、上線等等全過(guò)程的管管理要求，嚴(yán)嚴(yán)格按照建設(shè)設(shè)方案、開(kāi)發(fā)發(fā)流程和相關(guān)關(guān)要求組織開(kāi)開(kāi)發(fā)工作。企業(yè)開(kāi)發(fā)信息系系統(tǒng)，可以采采取自行開(kāi)發(fā)發(fā)、外購(gòu)調(diào)試試、業(yè)務(wù)外包包等方式。選選定外購(gòu)調(diào)試試或業(yè)務(wù)外包

9、包方式的，應(yīng)應(yīng)當(dāng)采用公開(kāi)開(kāi)招標(biāo)等形式式擇優(yōu)確定供供應(yīng)商或開(kāi)發(fā)發(fā)單位。第六條 企業(yè)開(kāi)開(kāi)發(fā)信息系統(tǒng)統(tǒng)，應(yīng)當(dāng)將生生產(chǎn)經(jīng)營(yíng)管理理業(yè)務(wù)流程、關(guān)關(guān)鍵控制點(diǎn)和和處理規(guī)則嵌嵌入系統(tǒng)程序序，實(shí)現(xiàn)手工工環(huán)境下難以以實(shí)現(xiàn)的控制制功能。企業(yè)在系統(tǒng)開(kāi)發(fā)發(fā)過(guò)程中，應(yīng)應(yīng)當(dāng)按照不同同業(yè)務(wù)的控制制要求，通過(guò)過(guò)信息系統(tǒng)中中的權(quán)限管理理功能控制用用戶(hù)的操作權(quán)權(quán)限，避免將將不相容職責(zé)責(zé)的處理權(quán)限限授予同一用用戶(hù)。企業(yè)應(yīng)當(dāng)針對(duì)不不同數(shù)據(jù)的輸輸入方式，考考慮對(duì)進(jìn)入系系統(tǒng)數(shù)據(jù)的檢檢查和校驗(yàn)功功能。對(duì)于必必需的后臺(tái)操操作，應(yīng)當(dāng)加加強(qiáng)管理，建建立規(guī)范的流流程制度，對(duì)對(duì)操作情況進(jìn)進(jìn)行監(jiān)控或者者審計(jì)。企業(yè)應(yīng)當(dāng)在信息息系統(tǒng)中設(shè)置置操作日志功功能，確

10、保操操作的可審計(jì)計(jì)性。對(duì)異常常的或者違背背內(nèi)部控制要要求的交易和和數(shù)據(jù)，應(yīng)當(dāng)當(dāng)設(shè)計(jì)由系統(tǒng)統(tǒng)自動(dòng)報(bào)告并并設(shè)置跟蹤處處理機(jī)制。第七條 企業(yè)信信息系統(tǒng)歸口口管理部門(mén)應(yīng)應(yīng)當(dāng)加強(qiáng)信息息系統(tǒng)開(kāi)發(fā)全全過(guò)程的跟蹤蹤管理，組織織開(kāi)發(fā)單位與與內(nèi)部各單位位的日常溝通通和協(xié)調(diào)，督督促開(kāi)發(fā)單位位按照建設(shè)方方案、計(jì)劃進(jìn)進(jìn)度和質(zhì)量要要求完成編程程工作，對(duì)配配備的硬件設(shè)設(shè)備和系統(tǒng)軟軟件進(jìn)行檢查查驗(yàn)收，組織織系統(tǒng)上線運(yùn)運(yùn)行等第八條 企業(yè)應(yīng)應(yīng)當(dāng)組織獨(dú)立立于開(kāi)發(fā)單位位的專(zhuān)業(yè)機(jī)構(gòu)構(gòu)對(duì)開(kāi)發(fā)完成成的信息系統(tǒng)統(tǒng)進(jìn)行驗(yàn)收測(cè)測(cè)試，確保在在功能、性能能、控制要求求和安全性等等方面符合開(kāi)開(kāi)發(fā)需求。第九條 企業(yè)應(yīng)應(yīng)當(dāng)切實(shí)做好好信息系統(tǒng)上上線的各項(xiàng)準(zhǔn)

11、準(zhǔn)備工作，培培訓(xùn)業(yè)務(wù)操作作和系統(tǒng)管理理人員，制定定科學(xué)的上線線計(jì)劃和新舊舊系統(tǒng)轉(zhuǎn)換方方案，考慮應(yīng)應(yīng)急預(yù)案，確確保新舊系統(tǒng)統(tǒng)順利切換和和平穩(wěn)銜接。系系統(tǒng)上線涉及及數(shù)據(jù)遷移的的，還應(yīng)制定定詳細(xì)的數(shù)據(jù)據(jù)遷移計(jì)劃。第三章 信息系系統(tǒng)的運(yùn)行與與維護(hù)第十條 企業(yè)應(yīng)應(yīng)當(dāng)加強(qiáng)信息息系統(tǒng)運(yùn)行與與維護(hù)的管理理，制定信息息系統(tǒng)工作程程序、信息管管理制度以及及各模塊子系系統(tǒng)的具體操操作規(guī)范，及及時(shí)跟蹤、發(fā)發(fā)現(xiàn)和解決系系統(tǒng)運(yùn)行中存存在的問(wèn)題，確確保信息系統(tǒng)統(tǒng)按照規(guī)定的的程序、制度度和操作規(guī)范范持續(xù)穩(wěn)定運(yùn)運(yùn)行。企業(yè)應(yīng)當(dāng)建立信信息系統(tǒng)變更更管理流程，信信息系統(tǒng)變更更應(yīng)當(dāng)嚴(yán)格遵遵照管理流程程進(jìn)行操作。信信息系統(tǒng)操作作人員不得

12、擅擅自進(jìn)行系統(tǒng)統(tǒng)軟件的刪除除、修改等操操作；不得擅擅自升級(jí)、改改變系統(tǒng)軟件件版本；不得得擅自改變軟軟件系統(tǒng)環(huán)境境配置。第十一條 企業(yè)業(yè)應(yīng)當(dāng)根據(jù)業(yè)業(yè)務(wù)性質(zhì)、重重要性程度、涉涉密情況等確確定信息系統(tǒng)統(tǒng)的安全等級(jí)級(jí)，建立不同同等級(jí)信息的的授權(quán)使用制制度，采用相相應(yīng)技術(shù)手段段保證信息系系統(tǒng)運(yùn)行安全全有序。企業(yè)應(yīng)當(dāng)建立信信息系統(tǒng)安全全保密和泄密密責(zé)任追究制制度。委托專(zhuān)專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行行系統(tǒng)運(yùn)行與與維護(hù)管理的的，應(yīng)當(dāng)審查查該機(jī)構(gòu)的資資質(zhì)，并與其其簽訂服務(wù)合合同和保密協(xié)協(xié)議。企業(yè)應(yīng)當(dāng)采取安安裝安全軟件件等措施防范范信息系統(tǒng)受受到病毒等惡惡意軟件的感感染和破壞。第十二條 企業(yè)業(yè)應(yīng)當(dāng)建立用用戶(hù)管理制度度，加強(qiáng)對(duì)重重要業(yè)務(wù)系統(tǒng)統(tǒng)的訪問(wèn)權(quán)限限管理，定期期審閱系統(tǒng)賬賬號(hào)，避免授授權(quán)不當(dāng)或存存在非授權(quán)賬賬號(hào)，禁止不不相容職務(wù)用用戶(hù)賬號(hào)的交交叉操作。第十三條 企業(yè)業(yè)應(yīng)當(dāng)綜合利利用防火墻、路路由器等網(wǎng)絡(luò)絡(luò)設(shè)備，漏洞洞掃描、入侵侵檢測(cè)等軟件件技術(shù)以及遠(yuǎn)遠(yuǎn)程訪問(wèn)安全全策略等手段段，加強(qiáng)網(wǎng)絡(luò)絡(luò)安全，防范范來(lái)自網(wǎng)絡(luò)的的攻擊和非法法侵入。企業(yè)對(duì)于通