您好,欢迎来到99网。
科技 教育 生活 旅游 时尚 美容 美食 健康 体育 游戏 汽车 家电
搜索
您的当前位置:首页企业内部控制应用指引解读

企业内部控制应用指引解读

来源:99网
规范销售行为 扩大市场占有

——财政部会计司解读《企业内部控制应用指引第9号——销售业务》

销售业务是指企业出售商品(或提供劳务)及收取款项等相关活动。企业生存、发展、

壮大的过程,在相当程度上就是不断加大销售力度、拓宽销售渠道、扩大市场占有的过程。生产企业的产品或流通企业的商品如不能实现销售的稳定增长,售出的货款如不能足额收回或不能及时收回,必将导致企业持续经营受阻、难以为继。正因为如此,《企业内部控制应用指引第9号——销售业务》以促进企业销售稳定增长、扩大市场份额为出发点,提出了销售业务应当关注的主要风险以及相应的管控措施。本文就此进行解读。 一、销售业务流程

企业强化销售业务管理,应当对现行销售业务流程进行全面梳理,查找管理漏洞,及时采取切实措施加以改正;与此同时,还应当注重健全相关管理制度,明确以风险为导向的、符合成本效益原则的销售管控措施,实现与生产、资产、资金等方面管理的衔接,落实责任制,有效防范和化解经营风险。

以下综合不同类型企业形成的销售业务流程图,具有普适性。企业在实际操作中,应当充分结合自身业务特点和管理要求,构建和优化销售业务流程。

二、各流程的主要风险及管控措施

企业销售业务流程,主要包括销售计划管理、客户开发与信用管理、销售定价、订立销售合同、发货、收款、客户服务和会计系统控制等环节。

(一)销售计划管理

销售计划是指在进行销售预测的基础上,结合企业生产能力,设定总体目标额及不同产品的销售目标额,进而为能实现该目标而设定具体营销方案和实施计划,以支持未来一定期间内销售额的实现。该环节主要风险是:销售计划缺乏或不合理,或未经授权审批,导致产品结构和生产安排不合理,难以实现企业生产经营的良性循环。

主要管控措施:第一,企业应当根据发展战略和年度生产经营计划,结合企业实际情况,制定年度销售计划,在此基础上,结合客户订单情况,制定月度销售计划,并按规定的权限和程序审批后下达执行。第二,定期对各产品(商品)的区域销售额、进销差价、销售计划与实际销售情况等进行分析,结合生产现状,及时调整销售计划,调整后的销售计划需履行相应的审批程序。

(二)客户开发与信用管理

企业应当积极开拓市场份额,加强现有客户维护,开发潜在目标客户,对有销售意向的客户进行资信评估,根据企业自身风险接受程度确定具体的信用等级。该环节的主要风险是:现有客户管理不足、潜在市场需求开发不够,可能导致客户丢失或市场拓展不利;客户档案不健全,缺乏合理的资信评估,可能导致客户选择不当,销售款项不能收回或遭受欺诈,从而影响企业的资金流转和正常经营。

主要管控措施:第一,企业应当在进行充分市场调查的基础上,合理细分市场并确定目标市场,根据不同目标群体的具体需求,确定定价机制和信用方式,灵活运用销售折扣、销售折让、信用销售、代销和广告宣传等多种策略和营销方式,促进销售目标实现,不断提高市场占有率。第二,建立和不断更新维护客户信用动态档案,由与销售部门相对的信用管理部门对客户付款情况进行持续跟踪和监控,提出划分、调整客户信用等级的方案。根据客户信用等级和企业信用,拟定客户赊销限额和时限,经销售、财会等部门具有相关权限的人员审批。对于境外客户和新开发客户,应当建立严格的信用保证制度。 (三)销售定价

销售定价是指商品价格的确定、调整及相应审批。该环节的主要风险是:定价或调价不符合价格,未能结合市场供需状况、盈利测算等进行适时调整,造成价格过高或过低、销售受损;商品销售价格未经恰当审批,或存在舞弊,可能导致损害企业经济利益或者企业形象。

主要管控措施:第一,应根据有关价格、综合考虑企业财务目标、营销目标、产品成本、市场状况及竞争对手情况等多方面因素,确定产品基准定价。定期评价产品基准价格的合理性,定价或调价需经具有相应权限人员的审核批准。第二,在执行基准定价的基础上,针对某些商品可以授予销售部门一定限度的价格浮动权,销售部门可结合产品市场特点,将价格浮动权向下实行逐级递减分配,同时明确权限执行人。价格浮动权限执行人必须严格遵守规定的价格浮动范围,不得擅自突破。第三,销售折扣、销售折让等的制定应由具有相应权限人员审核批准。销售折扣、销售折让授予的实际金额、数量、原因及对象应予以记录,并归档备查。 (四)订立销售合同

企业与客户订立销售合同,明确双方权利和义务,以此作为开展销售活动的基本依据。该环节的主要风险是:合同内容存在重大疏漏和欺诈,未经授权对外订立销售合同,可能导致企业合法权益受到侵害;销售价格、收款期限等违背企业销售,可能导致企业经济利益受损。

主要管控措施:第一,订立销售合同前,企业应当指定专门人员与客户进行业务洽谈、磋商或谈判,关注客户信用状况,明确销售定价、结算方式、权利与义务条款等相关内容。重大的销售业务谈判还应当吸收财会、法律等专业人员参加,并形成完整的书面记录。第二,企业应当建立健全销售合同订立及审批管理制度,明确必须签订合同的范围,规范合同订立程序,确定具体的审核、审批程序和所涉及的部门人员及相应权责。审核、审批应当重点关注销售合同草案中提出的销售价格、信用、发货及收款方式等。重要的销售合同,应当征询法律专业人员的意见。第三,销售合同草案经审批同意后,企业应授权有关人员与客户

签订正式销售合同。 (五)发货

发货是根据销售合同的约定向客户提供商品的环节。该环节的主要风险是:未经授权发货或发货不符合合同约定,可能导致货物损失或客户与企业的销售争议、销售款项不能收回。 主要管控措施:第一,销售部门应当按照经审核后的销售合同开具相关的销售通知交仓储部门和财会部门。第二,仓储部门应当落实出库、计量、运输等环节的岗位责任,对销售通知进行审核,严格按照所列的发货品种和规格、发货数量、发货时间、发货方式、接货地点等,按规定时间组织发货,形成相应的发货单据,并应连续编号。第三,应当以运输合同或条款等形式明确运输方式、商品短缺、毁损或变质的责任、到货验收方式、运输费用承担、保险等内容,货物交接环节应做好装卸和检验工作,确保货物的安全发运,由客户验收确认。第四,应当做好发货各环节的记录,填制相应的凭证,设置销售台账,实现全过程的销售登记制度。 (六)收款

收款指企业经授权发货后与客户结算的环节。按照发货时是否收到货款,可分为现销和赊销。该环节的主要风险是:企业信用管理不到位,结算方式选择不当,票据管理不善,账款回收不力,导致销售款项不能收回或遭受欺诈;收款过程中存在舞弊,使企业经济利益受损。

主要管控措施:

第一,结合公司销售,选择恰当的结算方式,加快款项回收,提高资金的使用效率。对于商业票据,结合销售和信用,明确应收票据的受理范围和管理措施。第二,建立票据管理制度,特别是加强商业汇票的管理:一是,对票据的取得、贴现、背书、保管等活动予以明确规定;二是,严格审查票据的真实性和合法性,防止票据欺诈;三是,由专人保管应收票据,对即将到期的应收票据,及时办理托收,定期核对盘点;四是,票据贴现、背书应经恰当审批。第三,加强赊销管理。一是,需要赊销的商品,应由信用管理部门按照

客户信用等级审核,并经具有相应权限的人员审批。二是,赊销商品一般应取得客户的书面确认,必要时,要求客户办理资产抵押、担保等收款保证手续。三是,应完善应收款项管理制度,落实责任、严格考核、实行奖惩。销售部门负责应收款项的催收,催收记录(包括往来函电)应妥善保存。第四,加强代销业务款项的管理,及时与代销商结算款项。第五,收取的现金、银行本票、汇票等应及时缴存银行并登记入账。防止由销售人员直接收取款项,如必须由销售人员收取的,应由财会部门加强监控。 (七)客户服务

客户服务是在企业与客户之间建立信息沟通机制,对客户提出的问题,企业应予以及时解答或反馈、处理,不断改进商品质量和服务水平,以提升客户满意度和忠诚度。客户服务包括产品维修、销售退回、维护升级等。该环节的主要风险是:客户服务水平低,消费者满意度不足,影响公司品牌形象,造成客户流失。

主要管控措施:第一,结合竞争对手客户服务水平,建立和完善客户服务制度,包括客户服务内容、标准、方式等。第二,设专人或部门进行客户服务和跟踪。有条件的企业可以按产品线或地理区域建立客户服务中心。加强售前、售中和售后技术服务,实行客户服务人员的薪酬与客户满意度挂钩。第三,建立产品质量管理制度,加强销售、生产、研发、质量检验等相关部门之间的沟通协调。第四,做好客户回访工作,定期或不定期开展客户满意度调查;建立客户投诉制度,记录所有的客户投诉,并分析产生原因及解决措施。第五,加强销售退回控制。销售退回需经具有相应权限的人员审批后方可执行;销售退回的商品应当参照物资采购入库管理。 (八)会计系统控制

会计系统控制是指利用记账、核对、岗位职责落实和相互分离、档案管理、工作交接程序等会计控制方法,确保企业会计信息真实、准确、完整。会计系统控制包括销售收入的确认、应收款项的管理、坏账准备的计提和冲销、销售退回的处理等内容。该环节的主要风险是:缺乏有效的销售业务会计系统控制,可能导致企业账实不符、账证不符、账账不符或者

账表不符,影响销售收入、销售成本、应收款项等会计核算的真实性和可靠性。

主要管控措施:第一,企业应当加强对销售、发货、收款业务的会计系统控制,详细记录销售客户、销售合同、销售通知、发运凭证、商业票据、款项收回等情况,确保会计记录、销售记录与仓储记录核对一致。具体为:财会部门开具时,应当依据相关单据(计量单、出库单、货款结算单、销售通知单等)并经相关岗位审核。销售应遵循有关管理规定,严禁开具虚假。财会部门对销售报表等原始凭证审核销售价格、数量等,并根据国家统一的会计准则制度确认销售收入,登记入账。财会部门与相关部门月末应核对当月销售数量,保证各部门销售数量的一致性。第二,建立应收账款清收核查制度,销售部门应定期与客户对账,并取得书面对账凭证,财会部门负责办理资金结算并监督款项回收。第三,及时收集应收账款相关凭证资料并妥善保管;及时要求客户提供担保;对未按时还款的客户,采取申请支付令、申请诉前保全和起诉等方式及时清收欠款。对收回的非货币性资产应经评估和恰当审批。第四,企业对于可能成为坏账的应收账款,应当按照国家统一的会计准则规定计提坏账准备,并按照权限范围和审批程序进行审批。对确定发生的各项坏账,应当查明原因,明确责任,并在履行规定的审批程序后作出会计处理。企业核销的坏账应当进行备查登记,做到账销案存。已核销的坏账又收回时应当及时入账,防止形成账外资金。

促进企业自主创新 全面提升核心竞争力

——财政部会计司解读《企业内部控制应用指引第10号—研究与开发》

研究与开发是企业核心竞争力的本源,是促进企业自主创新的重要体现,是企业加快转变经济发展方式的强大推动力。钱学森同志曾经说过,科技创新就是自主研发拥有曾经“买不到、买不起、买回来已落后”的核心技术;即使买到产品,也买不到产权;买到产权,买

不到知识;买到知识,买不到人才。由此说明,创新、产权、知识、人才是核心资源,自主创新是第一要务。在经济全球化背景下,特别是为了抢抓后危机时期重要发展机遇,企业应坚定不移地走自主创新之路,重视和加强研究与开发,并将相关成果转化为生产力,在竞争中赢得主动权,夺得先机。《企业内部控制应用指引第10号—— —研究与开发》旨在有效控制研发风险,提升企业自主创新能力,充分发挥科技的支撑引领作用,促进实现企业发展战略。本文就此进行解读。

一、研究与开发业务流程

企业应当着力梳理研究与开发业务流程,针对主要风险点和关键环节,制定切实有效的控制措施,不断提升研发活动全过程的风险管控效能。

图1列示了一般生产企业研究与开发活动的业务流程图。

立项申请、评审和审批是否通过是研究过程管理结题验收是否通过是研究成果开发研发成果保护评估与改进

图1 一般生产企业研究与开发活动的业务流程图

二、研究与开发业务的主要风险及管控措施

如图1所示,研究与开发的基本流程,主要涉及立项、研发过程管理、结题验收、研究成果的开发和保护等。

(一)立项

立项主要包括立项申请、评审和审批。该环节的主要风险是:研发计划与国家(或企业)科技发展战略不匹配,研发承办单位或专题负责人不具有相应资质,研究项目未经科学论证

否结束否或论证不充分,评审和审批环节把关不严,可能导致创新不足或资源浪费。

主要的管控措施:

第一,建立完善的立项、审批制度,确定研究开发计划制定原则和审批人,审查承办单位或专题负责人的资质条件和评估、审批流程等。

第二,结合企业发展战略、市场及技术现状,制定研究项目开发计划。

第三,企业应当根据实际需要,结合研发计划,提出研究项目立项申请,开展可行性研究,编制可行性研究报告。企业可以组织于申请及立项审批之外的专业机构和人员进行评估论证,出具评估意见。

第四,研究项目应当按照规定的权限和程序进行审批,重大研究项目应当报经董事会或类似权力机构集体审议决策。审批过程中,应当重点关注 研究项目促进企业发展的必要性、技术的先进性以及成果转化的可行性。

第五,制定开题计划和报告,开题计划经科研管理部门负责人审批,开题报告应对市场需求与效益、国内外在该方向的研究现状、主要技术路线、研究开发目标与进度、已有条件与基础、经费等进行充分论证、分析,保证项目符合企业需求。

(二)研发过程管理

研发过程是研发的核心环节。实务中,研发通常分为自主研发、委托研发和合作研发。 1.自主研发。自主研发是指企业依靠自身的科研力量,完成项目,包括原始创新、集成创新和在引进消化基础上的再创新三种类型。其主要风险包括:第一,研究人员配备不合理,导致研发成本过高、舞弊或研发失败。第二,研发过程管理不善,费用失控或科技收入形成账外资产,影响研发效率,提高研发成本甚至造成资产流失。第三,多个项目同时进行时,相互争夺资源,出现资源的短期局部缺乏,可能造成研发效率下降。第四,研究过程中未能及时发现错误,导致修正成本提高。第五,科研合同管理不善,导致权属不清,知识产权存在争议。

主要的管控措施:第一,建立研发项目管理制度和技术标准,建立信息 反馈制度和研发项目重大事项报告制度;严格落实岗位责任制。第二,合理设计项目实施进度计划和组织结构,跟踪项目进展,建立良好的工作机制,保证项目顺利实施。第三,精确预计工作量和所需资源,提高资源使用效率。第四,建立科技开发费用报销制度,明确费用支付标准及审批权限,遵循不相容岗位牵制原则,完善科技经费入账管理程序,按项目正确划分资本性支出和费用性支出,准确开展会计核算,建立科技收入管理制度。第五,开展项目中期评审,及时纠偏调整;优化研发项目管理的任务分配方式。

2.委托(合作)研发。委托研发是指企业委托具有资质的外部承办单位进行研究和开发。合作研发是指合作双方基于研发协议,就共同的科研项目,以某种合作形式进行研究或开发。

委托(合作)研发的主要风险是:委托(合作)单位选择不当,知识产权界定不清。合作研发还包括与合作单位沟通障碍、合作方案设计不合理、权责利不能合理分配、资源整合不当等风险。

主要的管控措施:第一,加强委托(合作)研发单位资信、专业能力等方面管理。第二,委托研发应采用招标、议标等方式确定受托单位,制定规范详尽的委托研发合同,明确产权归属、研究进度和质量标准等相关内容。第三,合作研发应对合作单位进行 尽职调查,签订书面合作研究合同,明确双方投资、分工、权利义务、研究成果产权归属等。第三,加强项目的管理监督,严格控制项目费用,防止挪用、侵占等。第四,根据项目进展情况、国内外技术最新发展趋势和市场需求变化情况,对项目的目标、内容、进度、资金进行适当调整。

(三)结题验收

结题验收是对研究过程形成的交付物进行质量验收。结题验收分检测鉴定、专家评审、专题会议等三种方式。其主要风险包括:由于验收人员的技术、能力、性等造成验收成果与事实不符;测试与鉴定投入不足,导致测试与鉴定的不充分,不能有效地降低技术失败的风险。

主要的管控措施:第一,建立健全技术验收制度,严格执行测试程序。第二,对验收过程中发现的异常情况应重新进行验收申请或补充进行研发,直至研发项目达到研发标准为止。第三,落实技术主管部门验收责任,由的、具备专业胜任能力测试人员进行鉴定试验,并按计划进行正式的、系统的、严格的评审。第四,加大企业在测试和鉴定阶段的投入,对重要的研究项目可以组织外部专家参加鉴定。

(四)研究成果开发研究

成果开发是指企业将研究成果经过开发过程转换为企业的产品。其主要风险包括:研究成果转化应用不足,导致资源闲置;新产品未经充分测试,导致大批量生产不成熟或成本过高;营销策略与市场需求不符,导致营销失败。

主要的管控措施:第一,建立健全研究成果开发制度,促进成果及时有效转化。第二,科学鉴定大批量生产的技术成熟度,力求降低产品成本。第三,坚持开展以市场为导向的新产品开发消费者测试。第四,建立研发项目档案,推进有关信息资源的共享和应用。

(五)研究成果保护研究

成果保护是企业研发管理工作的有机组成部分。有效的研发成果保护,可保护研发企业

的合法权益。

其主要风险是:未能有效识别和保护知识产权,权属未能得到明确规范,开发出的新技术或产品被使用;核心研究人员缺乏管理激励制度,导致形成新的竞争对手或技术秘密外泄。

主要的管控措施:第一,进行知识产权评审,及时取得权属。第二,研发完成后确定采取专利或技术秘密等不同保护方式。第三,利用专利文献选择较好的工艺路线。第四,建立研究成果保护制度,加强对专利权、非专利技术、商业秘密及研发过程中形成的各类涉密图纸、程序、资料的管理,严格按照制度规定借阅和使用。禁止无关人员接触研究成果。第五,建立严格的核心研究人员管理制度,明确界定核心研究人员范围和名册清单并与之签署保密协议。第六,企业与核心研究人员签订劳动合同时,应当特别约定研究成果归属、离职条件、离职移交程序、离职后保密义务、离职后竞业年限及违约责任等内容。第七,实施合理有效的研发绩效管理,制定科学的核心研发人员激励体系,注重长效激励。

后评估是研究与开发内部控制建设的重要环节。企业应当建立研发活动评估制度,加强对立项与研究、开发与保护等过程的全面评估,认真总结研发管理经验,分析存在的薄弱环节,完善相关制度和办法,不断改进和提升研发活动的管理水平。

总之,研究与开发是企业持久发展的不竭动力,始终坚持把研究与开发作为企业发展的重要战略,紧密跟踪科技发展趋势,是切实提升核心竞争力、增强企业国际竞争力的重要保证。

强化风险管控确保工程质量

——财政部会计司解读《企业内部控制应用指引第11号——工程项目》

工程项目是企业自行或者委托其他单位进行的建造、安装活动。重大工程项目往往体现企业发展战略和中长期发展规划,对于提高企业再生产能力和支撑保障能力、促进企业可持续发展具有关键作用。国有及国有控股大型企业的重大工程项目,在调整经济结构、转变经济发展方式、促进产业升级和技术进步中更是举足轻重。同时应当看到,由于工程项目投入资源多、占用资金大、建设工期长、涉及环节多、多种利益关系错综复杂,构成经济犯罪和问题的“高危区”。现实中,工程资金高估冒算,招投标环节的暗箱操作,曝光的“豆腐渣”工程,以及相关经济犯罪和案例时有发生,引发社会各界对工程领域的批评和关注。针对工程项目的特点和存在的问题,《企业内部控制应用指引第11号——工程项目》全面梳

理了立项、设计、招标、建设和竣工验收等主要流程(见图1),找出各流程环节的主要风险,并提出了相应的管控措施。

一、工程立项

工程立项属于项目决策过程,是对拟建项目的必要性和可行性进行技术经济论证,对不同建设方案进行技术经济比较并做出判断和决定的过程。立项决策正确与否,直接关系到项目建设成败。

(一)工程立项流程

工程立项阶段的主要工作包括编制项目建议书、可行性研究、项目评估和决策,具体流程见图2。

(二)工程立项环节的主要风险及管控措施 1.编制项目建议书

项目建议书是企业(项目建设单位)根据工程投资意向、综合考虑产业、发展战略、经营计划等提出的建设某一工程项目的建议文件,是对拟建项目提出的框架性总体设想。对于非重大项目,也可以不编制项目建议书,但仍需开展可行性研究。项目建议书的内容一般包括:(1)项目的必要性和依据;(2)产品方案、拟建规模和建设地点的初步

设想;(3)投资估算、资金筹措方案设想;(4)项目的进度安排;(5)经济效果和社会效益的初步估计;(6)环境影响的初步评价等。项目建议书编制完成后,应报企业决策机构审议批准,并视法规要求和具体情况报有关部门审批或备案。该环节的主要风险是:投资意向与国家产业和企业发展战略脱节;项目建议书内容不合规、不完整,项目性质、用途模糊,拟建规模、标准不明确,项目投资估算和进度安排不协调。

主要管控措施:第一,企业应当明确投资分析、编制和评审项目建议书的职责分工。第二,企业应当全面了解所处行业和地区的相关规定,以法律法规和规定为依据,结合实际建设条件和经济环境变化趋势,客观分析投资机会,确定工程投资意向。第三,企业应当根据国家和行业有关要求,结合本企业实际,规定项目建议书的主要内容和格式,明确编制要求;在编制过程中,要对工程质量标准、投资规模和进度计划等进行分析论证,做到协调平衡。第四,对于专业性较强和较为复杂的工程项目,可以委托专业机构进行工程投资分析,编制项目建议书。第五,企业决策机构应当对项目建议书进行集体审议,必要时,可以成立专家组或委托专业机构进行评审;承担评审任务的专业机构不得参与项目建议书的编制。第六,根据国家规定应当报批的项目建议书必须及时报批并取得有效批文。

2.可行性研究

企业应当根据经批准的项目建议书开展可行性研究、编制可行性研究报告。可行性研究报告的主要内容包括:(1)项目概况;(2)项目建设的必要性和市场预测;(3)项目建设选址及建设条件论证;(4)建设规模和建设内容;(5)项目外部配套建设;(6)环境保护,劳动保护与卫生防疫,消防、节能、节水;(7)总投资及资金来源;(8)经济、社会效益;(9)项目建设周期及进度安排;(10)招投标法规定的相关内容等。项目建议书和可行性研究报告中的投资估算,是项目立项的重要依据,也是研究、分析项目投资经济效果的重要条件。可行性研究报告一经批准,投资估算就是具体项目投资的最高限额,其误差一般应控制在10%以内。该环节的主要风险是:缺乏可行性研究,或可行性研究流于形式,导致决策不当,难以实现预期效益,甚至可能导致项目失败;可行性研究的深度达不到质量标准和实际要求,无法为项目决策提供充分、可靠的依据;

主要管控措施:第一,企业应当根据国家和行业有关规定以及本企业实际,确定可行性研究报告的内容和格式,明确编制要求。第二,委托专业机构进行可行性研究的,应当制定专业机构的选择标准,确保可行性研究科学、准确、公正。在选择专业机构时,应当重点关注其专业资质、业绩和声誉、专业人员素质、相关业务经验等。第三,切实做到投资、质量和进度控制的有机统一,即技术先进性和经济可行性要有机结合。建设标准要符合企业

实际情况和财力、物力的承受能力,技术要先进适用,对于拟采用的工艺,既要考虑其对产品质量的提升作用,又要考虑企业营销状况和走势,避免盲目追求技术先进而造成投资损失浪费。

3.项目评审与决策

可行性研究报告形成后,企业应当组织有关部门或委托具有相应资质的专业机构,对可行性研究报告进行全面审核和评价,提出评审意见,作为项目决策的重要依据。该环节的主要风险是:项目评审流于形式,误导项目决策;权限配置不合理,或者决策程序不规范,导致决策失误,给企业带来巨大经济损失。

主要管控措施:第一,企业应当组建项目评审组或委托具有资质的专业机构对可行性研究报告进行评审。项目评审组成员不得参与可行性研究,委托专业机构进行评审的,该专业机构不得参与项目可行性研究;评审组成员应当熟悉工程业务,并具有较广泛的代表性;评审组的决策机制不能简单采用“少数服从多数”原则,而要充分兼顾项目投资、质量、进度各方面的不同意见;项目评审应实行问责制,评审组成员要对其出具的评审意见承担责任。第二,在项目评审中,要重点关注项目投资方案、投资规模、资金筹措、生产规模、布局选址、技术、安全、环境保护等方面情况,核实相关资料的来源和取得途径是否真实、可靠,特别要对经济技术可行性进行深入分析和全面论证。第三,企业应当按照规定的权限和程序对工程项目进行决策,决策过程必须有完整的书面记录,并实行决策责任追究制度。重大工程项目,应当报经董事会或者类似决策机构集体审议批准,任何个人不得单独决策或者擅自改变集体决策意见,防止出现“一言堂”、“一支笔”。

工程项目立项后、正式施工前,建设单位(为同后文中出现的设计单位、监理单位、施工单位等区分,下文中将一律以“建设单位”替代“企业”)还应当依法取得建设用地、城市规划、环境保护、安全、施工等方面的许可。例如:通过“招标、拍卖、挂牌”等方式获得土地使用权,向人防主管部门报批人防规划设计,向园林主管部门报批绿化规划方案,在开工前向建设行政主管部门申请办理施工许可证等。

二、工程设计 (一)工程设计流程

项目立项后,能否保证工程质量,加快建设进度,节省工程投资,设计工作十分重要。根据国家规定,一般工业项目设计可按初步设计和施工图设计两个阶段进行,对于技术上复杂、在设计时有一定难度的工程,可以按初步设计、技术设计和施工图设计三个阶段

进行。对于大型建设项目,如大型矿区、油田等的设计除按上述规定分为三个阶段外,还应进行总体规划设计或总体设计;对于小型工程项目,也可以简化为施工图设计一个阶段。本文主要介绍初步设计和施工图设计。

(二)工程设计环节的主要风险及管控措施 1.初步设计

建设单位可以自行完成初步设计或委托其他单位进行初步设计。初步设计是整个设计构思基本形成的阶段。通过初步设计可以明确拟建工程在指定地点和规定期限内建设的技术可行性和经济合理性,同时确定主要技术方案、工程总造价和主要技术经济指标。初步设计阶段的一项重要工作是编制设计概算。设计概算是在投资估算的控制下由设计单位根据初步设计的图纸及说明,利用国家或地区发布的概算指标、概算定额或综合指标预算定额、设备材料预算价格等资料,运用科学的方法计算和确定建筑安装工程全部建设费用的经济文件。设计概算是编制项目投资计划、确定和控制项目投资的依据,也是签订施工合同的基础依据。该环节存在的主要风险是:设计单位不符合项目资质要求;初步设计未进行多方案比选;设计人员对相关资料研究不透彻,初步设计出现较大疏漏;设计深度不足,造成施工组织不周密、工程质量存隐患、投资失控以及投产后运行成本过高等。

主要管控措施:第一,建设单位应当引入竞争机制,尽量采用招标方式确定设计单位,根据项目特点选择具有相应资质和经验的设计单位。第二,在工程设计合同中,要细化设计单位的权利和义务,特别是一个项目由几个单位共同设计时,要指定一个设计单位为主体设计单位,主体设计单位对建设项目设计的合理性和整体性负责。第三,建设单位应当向设计单位提供开展设计所需的详细的基础资料,并进行有效的技术经济交流,避免因资料不完整造成设计保守、投资失控等问题。第四,建立严格的初步设计审查和批准制度,通过严格的复核、专家评议等制度,层层把关,确保评审工作质量。在初步设计审查中,技术方案是审查的核心和重点,重大技术方案必须进行技术经济分析比较、多方案比选。此外,还应关注初步设计规模是否与可行性研究报告、设计任务书一致,有无夹带项目、超规模、超面积和超标准的问题。

2.施工图设计

施工图设计主要是通过图纸,把设计者的意图和全部设计结果表达出来,作为施工建造的依据。与施工图设计直接关联的是施工图预算。施工图预算是在施工图设计完成后、工程开工前,根据已批准的施工图纸、现行的预算定额、费用定额和所在地区人工、材料、设备与机械台班等资源价格,按照规定的计算程序确定工程造价的技术经济文件。对建设单

位而言,施工图预算是确定工程招标控制价的依据,也是拨付工程款及办理工程结算的依据。对施工单位而言,施工图预算是施工单位投标报价的参考依据,也是安排调配施工力量,组织材料供应的依据。该环节存在的主要风险是:概预算严重脱离实际,导致项目投资失控;工程设计与后续施工未有效衔接或过早衔接,导致技术方案未得到有效落实,影响工程质量,或造成工程变更,发生重大经济损失。

主要管控措施:第一,建立严格的概预算编制与审核制度。概预算的编制要严格执行国家、行业和地方有关建设和造价管理的各项规定和标准,完整、准确地反映设计内容和当时当地的价格水平。建设单位应当组织工程、技术、财会等部门的相关专业人员或委托具有相应资质的中介机构对编制的概算进行审核,重点审查编制依据、项目内容、工程量的计算、定额套用等是否真实、完整和准确。如发现施工图预算如超过初步设计批复的投资概算规模,应对项目概算进行修正,并经审批。第二,建立严格的施工图设计管理制度和交底制度。在对施工图设计进行审查时,应重点关注施工图设计深度能否满足全面施工及各类设备安装要求,施工图设计质量是否符合国家和行业规定,各专业工种之间是否做到了有效配合等。施工图设计基本完成后,应召开施工图会审会议,由建设单位、设计单位、施工单位、监理单位等共同审阅施工图文件,设计单位应进行技术交底,介绍设计意图和技术要求,及时沟通问题,修改不符合实际和有错误的图纸,会议应形成书面纪要。第三,制定严格的设计变更管理制度。设计单位应当提供全面、及时的现场服务,避免设计与施工相脱节的现象发生,减少设计变更的发生。对确需进行的变更,应尽量控制在设计阶段,采用层层审批等方法,以使投资得到有效控制。因设计单位的过失造成设计变更的,应由设计单位承担相应责任。第四,建设单位应当严格按照国家法律法规和本单位管理要求执行各项设计报批要求,上一环节尚未批准的,不得进入下一环节,杜绝出现边勘察、边设计、边施工的“三边”现象。第五,可以引入设计监理,提高设计质量。

三、工程招标

工程招标是指建设单位在立项之后、项目发包之前,依照法定程序,以公开招标或邀请招标等方式,鼓励潜在的投标人依据招标文件参与竞争,通过评标择优选定中标人的一种经济活动。实行招投标是提高工程项目建设相关工作公开性、公平性、公正性和透明度的重要制度安排,是防范和遏制工程领域商业贿赂的有效举措。

(一)工程招标流程

工程招标一般包括招标、投标、开标、评标和定标五个主要环节(见图3)。

(二)工程招标环节的主要风险及管控措施 1.招标

这一阶段的主要工作包括招标前期准备和招标公告、资格预审公告的编制与发布。在招标前期准备阶段,应确定招标组织方式(自行招标、委托招标)和招标方式(公开招标、邀请招标)等。招标公告、资格预审公告可以由招标人自行编制,也可以委托专业招标机构编制。投标资格的审查可以在投标前审查(资格预审),也可以在开标后审查(资格后审)。该环节存在的主要风险是:招标人肢解建设项目,致使招标项目不完整,或逃避公开招标;投标资格条件因人而设,未做到公平、合理,可能导致中标人并非最优选择;相关人员违法违纪泄露标底,存在舞弊行为。

主要管控措施:第一,建设单位应当按照《招标投标法》、《工程建设施工招标投标管理办法》等相关法律法规,结合本单位实际情况,本着公开、公正、平等竞争的原则,建立健全本单位的招投标管理制度,明确应当进行招标的工程项目范围、招标方式、招标程序,以及投标、开标、评标、定标等各环节的管理要求。第二,工程立项后,对于是否采用招标,以及招标方式、标段划分等,应由建设单位工程管理部门牵头提出方案,报经建设单位招标决策机构集体审议通过后执行。第三,建设单位确需划分标段组织招标的,应当进行科学分析和评估,提出专业意见;划分标段时,应当考虑项目的专业要求、管理要求、对工程投资的影响以及各项工作的衔接,不得违背工程施工组织设计和招标设计方案,将应当由一个承包单位完成的工程项目肢解成若干部分发包给几个承包单位。第四,招标公告的编制要公开、透明,严格根据项目特点确定投标人的资格要求,不得根据“意向中标人”的实际情

况确定投标人资格要求。建设单位不具备自行招标能力的,应当委托具有相应资质的招标机构代理招标。第五,建设单位应当根据项目特点决定是否编制标底;需要编制标底的,标底编制过程和标底应当严格保密。

2.投标

投标主要包括项目现场考察、投标预备会、投标文件的编制和递交。招标人可以根据招标项目的具体情况,组织投标人考察项目现场,以便投标人更为深入地了解项目情况。招标人可以召开投标预备会,解答投标人对工程项目提出的具体问题。之后,投标人应当按照招标文件的要求编制投标文件,投标文件必须对招标文件提出的实质性要求和条件作出响应。该环节存在的主要风险是:招标人与投标人串通投标,存在舞弊行为;投标人的资质条件不符合要求或挂靠、冒用他人名义投标,可能导致工程质量难以达到规定标准等。

主要管控措施:第一,对投标人的信息采取严格的保密措施,防止投标人之间串通舞弊。第二,科学编制招标公告,合理确定投标人资格要求,尽量扩大潜在投标人的范围,增强市场竞争性。第三,严格按照招标公告或资格预审文件中确定的投标人资格条件对投标人进行实质审查,通过查验资质原件、实地考察,或到工商和税务机关调查核实等方式,确定投标人的实际资质,预防假资质中标。第四,建设单位应当履行完备的标书签收、登记和保管手续。签收人要记录投标文件签收日期、地点和密封状况,签收标书后应将投标文件存放在安全保密的地方,任何人不得在开标前开启投标文件。

3.开标、评标和定标

投标工作结束后,建设单位应当组织开标、评标和定标。开标时间和地点应当在招标文件中预先确定。评标由招标人依法组建的评标委员会负责。评标委员会应当按照招标文件确定的评标标准和方法,对投标文件进行评审和比较,推荐合格的中标候选人。建设单位应当按照规定的权限和程序从中标候选人中确定中标人,向中标人发出中标通知书。开标、评标和定标环节存在的主要风险是:开标不公开、不透明,损害投标人利益;评标委员会成员缺乏专业水平,或者建设单位向评标委员会施加影响,致使评标流于形式;评标委员会成员与投标人串通作弊,损害招标人利益。

主要管控措施:第一,开标过程应邀请所有投标人或其代表出席,并委托公证机构进行检查和公证。第二,依法组建评标委员会,确保其成员具有较高的职业道德水平,并具备招标项目专业知识和丰富经验。评标委员会成员名单在中标结果确定前应当严格保密。评标委员会成员和参与评标的有关工作人员不得私下接触投标人,不

得收受投标人任何形式的商业贿赂。第三,建设单位应当为保证评标委员会、客观地进行评标工作创造良好条件,不得向评标委员会成员施加影响,干扰其客观评判。第四,评标委员会应当在评标报告中详细说明每位成员的评价意见以及集体评审结果,对于中标候选人和落标人要分别陈述具体理由。每位成员应对其出具的评审意见承担个人责任。第五,中标候选人是1个以上时,招标人应当按照规定的程序和权限,由决策机构审议决定中标人。

4.签订合同

中标人确定后,建设单位应当在规定期限内同中标人订立书面合同,双方不得另行订立背离招标文件实质性内容的其他协议。在工程项目的合同管理方面,除应当遵循《企业内部控制应用指引第16号——合同管理》的统一要求外,还应特别注意以下几个方面。第一,建设单位应当制定工程合同管理制度,明确各部门在工程合同管理和履行中的职责,严格按照合同行使权力和履行义务。第二,建设工程施工合同、各类分包合同、工程项目施工内部承包合同应当按照国家或本建设单位制定的示范文本的内容填写,清楚列明质量、进度、资金、安全等各项具体标准,有施工图纸的,施工图纸是合同的重要附件,与合同具有同等法律效力。第三,建设单位应当建立合同履行执行情况台账,记录合同的实际履约情况,并随时督促对方当事人及时履行其义务,建设单位的履约情况也应及时做好记录并经对方确认。

四、工程建设

本指引中的工程建设指的是工程建设实施,即施工阶段。建设成本、进度和质量的具体控制主要就在这一阶段。基本流程见图4。

在工程建设阶段,有几项重要工作穿插在施工过程中,包括工程监理、工程物资采购和工程价款结算等。工程监理是指具有相关资质的监理单位受建设单位的委托,依据国家批准的工程项目建设文件、有关工程建设的法律、法规和工程建设监理合同及其他工程建设合同,代替建设单位对承建单位的工程建设实施监控的一种专业化服务活动。监理单位接受委任后应组建现场监理机构,并在发布开工通知前进驻工地,及时开展监理工作。工程监理本身就是工程中一项重要的监控措施,它与建设期间的其他工作是紧密联系在一起的,相关风险及管控措施结合其他环节一并说明,不再单列。

下面将侧重介绍工程施工过程中的质量、进度、安全控制,物资采购控制,以及工程价款结算控制和工程变更控制等。

(一)施工质量、进度和安全的主要管控措施

建设单位和承包单位(施工单位)应按设计和开工前签订的合同所确定的工期、进度计划等相关要求进行施工建设,并采用科学规范的管理方式保证施工质量、进度和安全。

该环节存在的主要风险有:盲目赶进度,牺牲质量、费用目标,导致质量低劣,费用超支;质量、安全监管不到位,存在质量隐患。主要管控措施如下。

在工程进度管控方面:第一,监理单位应当建立监理进度控制体系,明确相关程序、要求和责任。第二,承包单位应按合同规定的工程进度编制详细的分阶段或分项进度计划,报送监理机构审批后,严格按照进度计划开展工作。制定的进度计划应当适合建设工程的实际条件和施工现场的实际情况,并与承包单位劳动力、材料、机械设备的供应计划协调一致。确需调整进度的,必须优先保证质量,并同建设单位、监理机构达成一致意见。第三,承包单位至少应按月对完成投资情况进行统计、分析和对比,工程的实际进度与批准的合同进度计划不符时,承包单位应提交修订合同进度计划的申请报告,并附原因分析和相关措施,报监理机构审批。

在工程质量管控方面:第一,承包单位应当建立全面的质量控制制度,按照国家相关法律法规和本单位质量控制体系进行建设,并在施工前列出重要的质量控制点,报经监理机构同意后,在此基础上实施质量预控。质量控制点中的重点控制对象包括:人的行为,关键过程、关键操作,施工设备材料的性能和质量,施工技术参数,某些工序之间的作业顺序,有些作业之间的技术间歇时间、新工艺、新技术、新材料的应用,对工程质量产生重大影响的施工方法等。第二,承包单位应按合同约定对材料、工程设备以及工程的所有部位及其施工工艺进行全过程的质量检查和检验,定期编制工程质量报表,报送监理机构审查。关键工序作业人员必须持证上岗。第三,监理机构有权对工程的所有部位及其施工工艺进行检查验收,发现工程质量不符合要求的,应当要求承包单位立即返工修改,直至符合验收标准为止。对于主要工序作业,只有监理机构审验后,才能进行下道工序。

在安全建设管控方面:第一,建设单位应当加强对施工单位的安全检查,并授权监理机构按合同约定的安全工作内容监督、检查承包单位安全工作的实施。此外,建设单位不得对承包单位、监理机构等提出不符合建设工程安全生产法律、法规和强制性标准规定的要求,不得压缩合同约定的工期。建设单位在编制工程概算时,应当确定建设工程安全作业环境及安全施工措施所需费用。第二,工程监理单位和监理工程师应当按照法律、法规和工

程建设强制性标准实施监理,并对建设工程安全生产承担监理责任。在实施监理过程中,发现存在安全事故隐患的,应当要求施工单位整改;情况严重的,应当要求施工单位暂时停止施工,并及时报告建设单位。第三,承包单位应当设立安全生产管理机构,配备专职安全生产管理人员,依法建立安全生产、文明施工管理制度,细化各项安全防范措施。承包单位应当对所承担的建设工程进行定期和专项安全检查,并做好安全检查记录。

施工过程中的造价控制主要体现在编制资金使用计划和工程款结算方面,可参见“工程价款结算”部分。

(二)工程物资采购的主要管控措施

工程物资包括材料和设备。为了保证项目顺利进行,需要按照施工进度需要,及时购置材料和设备。材料和设备采购一般占到工程总造价的60%以上,对工程投资、进度、质量等具有重大影响。该环节的主要风险是:工程物资采购过程控制不力,材料和设备质次价高,不符合设计标准和合同要求,影响工程质量和进度。在工程物资采购管理方面,除应当遵循《企业内部控制应用指引第7号——采购业务》的统一要求外,还应当特别关注以下方面:第一,重大设备和大宗材料的采购应当采用招标方式。第二,对于由承包单位购买的工程物资,建设单位应当采取必要措施,确保工程物资符合设计标准和合同要求。首先,在施工合同中,建设单位应具体说明建筑材料和设备应达到的质量标准,明确责任追究方式。其次,对于承包单位提供的重要材料和工程设备,应由监理机构进行检验,查验材料合格证明和产品合格证书,一般材料要进行抽检。未经监理人员签字,工程物资不得在工程上使用或安装,不得进行下一道工序施工。再次,运入施工场地的材料、工程设备,包括备品、备件、安装专用工器具等,必须专用于合同工程,未经监理人员同意,承包单位不得运出施工场地或挪作他用。

(三)工程价款结算的主要管控措施

建设单位与承包单位之间的工程价款结算是建设期间的一项重要内容。根据财政部、建设部《建设工程价款结算暂行办法》的规定,工程价款结算,是指对建设工程的发包承包合同价款进行约定和依据合同约定进行工程预付款、工程进度款、工程竣工价款结算的活动。施工合同签订后,建设单位一般先向承包单位支付一笔预付款,之后,按周期或项目目标拨付工程进度款。实际工作中,工程进度款大部分按月结算。年终或工程竣工后进行清算(工程进度款结算程序见图5)。该环节存在的主要风险是建设资金使用管理混乱,项目资金不落实,导致工程进度延迟或中断。

主要管控措施:第一,建设单位应当建立完善的工程价款结算制度,明确工作流程和职责权限划分,并切实遵照执行。财会部门应当安排专职的工程财会人员,认真开展工程项目核算与财务管理工作。第二,资金筹集和使用应与工程进度协调一致,建设单位应当根据项目组成(分部、分项工程)结合时间进度编制资金使用计划,作为资产管控和工程价款结算的重要依据。这方面的管控措施同时可参照《企业内部控制应有指引第6号——资金活动》。第三,建设单位财会部门应当加强与承包单位和监理机构的沟通,准确掌握工程进度,确保财务报表能够准确、全面地反映资产价值,并根据施工合同约定,按照规定的审批权限和程序办理工程价款结算。建设单位财会部门应认真审核相关凭证,严格按合同规定的付款方式付款,既不应违规预支,也不得无故拖欠。第四,施工过程中,如果工程的实际成本突破了工程项目预算,建设单位应当及时分析原因,按照规定的程序予以处理。

(四)工程变更的主要管控措施

工程建设周期通常较长。在建设过程中由于某些情况发生变化,如建设单位对工程提出新要求、出现设计错误、外部环境条件产生变化等,有时需要对工程进行必要变更。工程变更包括工程量变更、项目内容的变更、进度计划的变更、施工条件的变更等,但最终往往表现为设计变更(以设计变更为例,基本流程见图6)。该环节存在的主要风险是现场控制不当,工程变更频繁,导致费用超支、工期延误。

主要管控措施:第一,建设单位要建立严格的工程变更审批制度,严格控制工程变更,确需变更的,要按照规定程序尽快办理变更手续,减少经济损失。对于重大的变更事项,必须经建设单位、监理机构和承包单位集体商议,同时严加审核文件,提高审批层级,依法需报有关部门审批的,必须取得同意变更的批复文件。第二,工程变更获得批准后,应尽快落实变更设计和施工,承包单位应在规定期限内全面落实变更指令。第三,如因人为原因引发工程变更,如设计失误、施工缺陷等,应当追究当事单位和人员的责任。第四,对工程变更价款的支付实施更为严格的审批制度,变更文件必须齐备,变更工程量的计算必须经过监理机构复核并签字确认,防止承包单位虚列工程费用。

五、工程验收 (一)竣工验收流程

竣工验收指工程项目竣工后由建设单位会同设计、施工、监理单位以及工程质量监督部门等,对该项目是否符合规划设计要求以及建筑施工和设备安装质量进行全面检验的过程。竣工验收一般建立在分阶段验收的基础之上,前一阶段已经完成验收的工程项目在全部工程验收时原则上不再重新验收。竣工验收是全面检验建设项目质量和投资使用情况的重要环节,其基本流程见图7。

(二)竣工验收环节的主要风险及管控措施

在竣工验收环节,除对工程质量进行验收,还有竣工结算和竣工决算两项重要工作。工程竣工结算是指承包单位按照合同规定的内容全部完成所承包的工程,经验收质量合格并符合合同要求之后,与建设单位进行的最终工程价款结算。竣工结算由承包单位编制,建设单位可直接进行审查,也可以委托具有相应资质的工程造价咨询机构进行审查。竣工结算办理完毕,建设单位应根据确认的竣工结算书在合同约定时间内向承包单位支付工程竣工结算价款。竣工决算是以实物数量和货币指标为计量单位,综合反映竣工项目从筹建开始到项目竣工交付使用为止的全部建设费用、财务情况和投资效果的总结性文件。建设单位应在收到工程竣工验收报告后,及时编制竣工决算。竣工决算是办理固定资产交付使用手续的依据,竣工验收环节存在的主要风险是:竣工验收不规范,质量检验把关不严,可能导致工程存在重大质量隐患;虚报项目投资完成额、虚列建设成本或者隐匿结余资金,竣工决算失真;固定资产达到预定可使用状态后,未及时进行估价、结转。

主要管控措施:第一,建设单位应当健全竣工验收各项管理制度,明确竣工验收的条件、标准、程序、组织管理和责任追究等。第二,竣工验收必须履行规定的程序,至少应经过承包单位初检、监理机构审核、正式竣工验收三个程序。正式竣工验收前,根据合同规定应当进行试运行的,应当由建设单位、监理单位和承包单位共同参与试运行。试运行符合要求的,才能进行正式验收。正式验收时,应当组成由建设单位、设计单位、施工单位、监理单位等组成的验收组,共同审验。重大项目的验收,可吸收相关方面专家组进行评审。第三,初检后,确定固定资产达到预定可使用状态的,承包单位应及时通知建设单位,建设单位会同监理单位初验后应及时对项目价值进行暂估,转入固定资产核算。建设单位财务部门应定期根据所掌握的工程项目进度核对项目固定资产暂估记录。第四,建设单位应当加强对工程竣工决算的审核,应先自行审核,再委托具有相应资质的中介机构实施审计;未经审计的,不得办理竣工验收手续。第五,建设单位要加强对完工后剩余物资的管理。工程竣工后,建设单位对各种节约的材料、设备、施工机械工具等,要清理核实,妥善处理。第六,建设单位应当按照国家有关档案管理的规定,及时收集、整理工程建设各环节的文件资料,建立工程项目档案。需报有关部门备案的,应当及时备案。

工程项目后评估是指在建设项目已经完成并运行一段时间后,对项目的目的、执行过程、效益、作用和影响进行系统的、客观的分析和总结的一种技术经济活动。项目后评估通常安排在工程项目竣工验收后6个月或1年后,多为效益后评价和过程后评价。工程项目后评估本身就是一项重要的管控措施,建设单位要予以重视并认真用好。首先,建设单位应当建立健全完工项目的后评估制度,对完工工程项目预期目标的实现情况和项目投资效益等

进行综合分析与评价,总结经验教训,为未来项目的决策和提高投资决策管理水平提出建议。其次,建设单位应当采取切实有效措施,保证项目后评估的公开、客观和公正。原则上,凡是承担项目可行性研究报告编制、立项决策、设计、监理、施工等业务的机构不得从事该项目的后评估工作,以保证后评估的性。最后,要严格落实工程项目决策及执行相关环节责任追究制度,项目后评估结果应当作为绩效考核和责任追究的依据。

严控担保风险 促进稳健发展

——财政部会计司解读《企业内部控制应用指引第12号担保业务》

《企业内部控制应用指引第12号——担保》中所称担保,是指企业作为

担保人按照公平、自愿、互利的原则与债权人约定,当债务人不履行债务时,依照法律规定和合同协议承担相应法律责任的行为。担保制度起源于商品交易活动,但早期的简单商品交易,往往是以物易物,或者是钱货两清的即时交易,交易主体间失信问题不突出,也就没有担保的必要。随着商品交换形式不断发展,非即时交易大量出现,商品和货币的交付有了时间差,债权债务应运而生,随之而来的问题就是,在对债务人没有百分之百信赖的情形下,债权人需要通过某种方式确保债权的实现,而担保制度正好满足了这种需要。在现代市场经济中,担保一方面有利于银行等债权人降低贷款风险,另一方面使债权人与债务人形成了稳定可靠的资金供需关系。

但是,必须看到担保业务具有“双刃剑”特征,一些企业包括上市公司陷入担保怪圈和旷日持久的诉讼拉锯战,导致发生重大经济损失的案件时有发生。财政部会计司发布的《我国上市公司2007年执行新会计准则情况分析报告》显示,在1570家上市公司中,有287家存在预计负债,占18.28%,这287家上市公司2007年确认的预计负债总额为148.50亿元,其中,因担保事项

确认的预计负债达到22.26亿元,占到了14.99%。另有研究资料表明,我国上市公司担保业务增速快、金额大、风险高、违规情况较为严重,仅2001~2004年,平均每年新增121家上市公司涉及担保事项,年均增速达到35%;截至2004年10月,837家沪市上市公司中,有180家存在违规担保情况,涉及金额为279.98亿元,违规担保金额占上市公司担保总额的26.72%;在深市505家上市公司中,涉及担保的公司311家,担保总额达420亿元,其中违规担保金额为131亿元,占担保总额的31.19%。鉴于担保业务的“双刃剑”特征,《企业内部控制应用指引第12号——担保业务》对严控担保风险提出了一系列有针对性的管控措施。 一、担保业务一般流程

企业办理担保业务,一般包括受理申请、调查评估、审批、签订担保合同、进行日常监控等流程。具体而言,一是担保申请人提出担保申请;二是担保人对担保项目和被担保人资信状况进行调查,对担保业务进行风险评估;三是担保人根据调查评估结果,结合本企业担保和授权审批制度,对担保业务进行审批,重大担保业务应提交董事会或类似权力机构批准;四是担保人依据既定权限和程序,与被担保人签订担保合同;五是担保人切实加强对担保合同的日常管理,对被担保人经营情况、财务状况和担保项目执行情况等进行跟踪监控;六是如果被担保人不能如期偿债,担保人应履行代为清偿义务并向被担保人追偿债务;同时,应当按照本企业担保业务责任追究制度,严格追究有关人员的责任。具体流程如下图所示,该图列示的担保流程适用于各类企业的一般担保业务,具有通用性。企业在开展担保业务时,可以参照此流程并结合自身情况予以扩充和细化。

担保业务流程图

二、担保业务关键控制点和主要控制措施 (一)受理申请

受理申请是企业办理担保业务的第一道关口,其主要风险是:企业担保和相关管理制度不健全,导致难以对担保申请人提出的担保申请进行初步评价和审核;或者虽然建立了担保和相关管理制度,但对担保申请人提出的担保申请审查把关不严,导致申请受理流于形式。

这一业务环节的主要控制措施:第一,依法制定和完善本企业的担保和相关管理制度,明确担保的对象、范围、方式、条件、程序、担保限额和禁止担保的事项;第二,严格按照担保和相关管理制度对担保申请人提出的担保申请进行审核。比如,担保申请人是否属于可以提供担保的对象。一般而言,对于与本企业存在密切业务关系需要互保的企业、与本企业有潜在重要业务关系的企业、本企业的子公司及具有控制关系的其他企业等,可以考虑提供担保,反之,则必须十分慎重。又如,对担保申请人整体实力、经营状况、信用水平的了解情况。如果担保申请人实力较强、经营良好、恪守信用,可以考虑接受申请,反之不应受理。再如,担保申请人申请资料的完备情况,如果资料完备、情况翔实,可予受理,反之不予受理。 (二)调查和评估

企业在受理担保申请后对担保申请人进行资信调查和风险评估,是办理担保业务中不可或缺的重要环节,在相当程度上影响甚至决定担保业务的未来走向。这一环节的主要风险是:对担保申请人的资信调查不深入、不透彻,对担

保项目的风险评估不全面、不科学,导致企业担保决策失误或遭受欺诈,为担保业务埋下巨大隐患。

主要控制措施:第一,委派具备胜任能力的专业人员开展调查和评估。调查评估人员与担保业务审批人员应当分离。担保申请人为企业关联方的,与关联方存在经济利益或近亲属关系的有关人员不得参与调查评估。企业可以自行对担保申请人进行资信调查和风险评估,也可以委托中介机构承担这一工作,同时应加强对中介机构工作情况的监控。第二,对担保申请人资信状况和有关情况进行全面、客观的调查评估。在调查和评估中,应当重点关注以下事项:1.担保业务是否符合国家法律法规和本企业担保的要求,凡与国家法律法规和本企业担保相抵触的业务,一律不得提供担保;2.担保申请人的资信状况,包括基本情况、资产质量、财务状况、经营情况、信用程度、行业前景等;3.担保申请人用于担保和第三方担保的资产状况及其权利归属;4.企业要求担保申请人提供反担保的,还应对与反担保有关的资产状况进行评估。企业应当综合运用各种行之有效的方式方法,对担保申请人的资信状况进行调查了解,务求真实准确。比如,在对担保申请人财务状况进行调查时,要深入分析其短期偿债能力、长期偿债能力、盈利能力、资产管理能力和可持续发展能力等核心指标,从而做到胸有成竹、防患未然。涉及对境外企业提供担保的,还应特别关注担保申请人所在国家和地区的政治、经济、法律等因素,并评估外汇、汇率变动等可能对担保业务造成的影响。第三,对担保项目经营前景和盈利能力进行合理预测。企业整体的资信状况和担保项目的预期运营情况,构成判断担保申请人偿债能力的两大重要方面,应当予以重视。第四,划定不予担保的“红线”,并结合调查评估情况作出判断。《企业内部控制应用指引第12号——担保》明确规定了以下5类不予担保的情形:1.担保项目不符合国家法律法规和本企业担保的;2.担保申请人已进入重组、托管、兼并或破产清算程序的;3.担保申请人财务状况恶化、资不抵债、管理混乱、经营风险

较大的;4.担保申请人与其他企业存在较大经济纠纷,面临法律诉讼且可能承担较大赔偿责任的;5.担保申请人与本企业已经发生过担保纠纷且仍未妥善解决的,或不能及时足额交纳担保费用的。各企业应当将上述5类情形作为办理担保业务的“高压线”,严格遵守、不得突破;同时,可以结合企业自身的实际情况,进一步充实、完善有关管理要求,切实防范为“带病”企业提供担保。第五,形成书面评估报告,全面反映调查评估情况,为担保决策提供第一手资料。企业应当规范评估报告的形式和内容,妥善保管评估报告,并作为日后追究有关人员担保责任的重要依据。 (三)审批

审批环节在担保业务中具有承上启下的作用,既是对调查评估结果的判断和认定,也是担保业务能否进入实际执行阶段的必经之路。这一环节的主要风险是:授权审批制度不健全,导致对担保业务的审批不规范;审批不严格或者越权审批,导致担保决策出现重大疏漏,可能引发严重后果;审批过程存在舞弊行为,可能导致经办审批等相关人员涉案或企业利益受损。

主要控制措施:第一,建立和完善担保授权审批制度,明确授权批准的方式、权限、程序、责任和相关控制措施,规定各层级人员应当在授权范围内进行审批,不得超越权限审批。企业内设机构不得以企业名义对外提供担保。企业应当加大对分公司对外提供担保的管控力度,严格分公司担保行为,避免因分公司违规担保为本企业带来不利后果。第二,建立和完善重大担保业务的集体决策审批制度。企业应当根据《公司法》等国家法律法规,结合企业章程和有关管理制度,明确重大担保业务的判断标准、审批权限和程序。上市公司的重大对外担保,应取得董会全体成员2/3以上签署同意或者经股东大会批准,未经董事会或者类似权力机构批准,不得对外提供重大担保。第三,认真审查对担保申请人的调查评估报告,在充分了解掌握有关情况的基础上,权衡比较本企业净资产状况、担保限额与担保申请人提出的担保金额,确保将担保

金额控制在企业设定的担保限额之内。第四,从严办理担保变更审批。被担保人要求变更担保事项的,企业应当重新履行调查评估程序,根据新的调查评估报告重新履行审批手续。 (四)签订担保合同

担保合同是审批机构同意办理担保业务的直接体现,也是约定担保双方权利义务的基础载体。签订担保合同的主要风险是:未经授权对外订立担保合同,或者担保合同内容存在重大疏漏和欺诈,可能导致企业诉讼失败、权利追索被动、经济利益和形象信誉受损。

主要控制措施:第一,严格按照经审核批准的担保业务订立担保合同。合同订立经办人员应当在职责范围内,按照审批人员的批准意见拟订合同条款。第二,认真审核合同条款,确保担保合同条款内容完整、表述严谨准确、相关手续齐备。在担保合同中应明确被担保人的权利、义务、违约责任等相关内容,并要求被担保人定期提供财务报告和有关资料,及时通报担保事项的实施情况。如果担保申请人同时向多方申请担保的,企业应当在担保合同中明确约定本企业的担保份额和相应的责任。第三,实行担保合同会审联签。除担保业务经办部门之外,鼓励和倡导企业法律部门、财会部门、内审部门等参与担保合同会审联签,增强担保合同的合法性、规范性、完备性,有效避免权利义务约定、合同文本表述等方面的疏漏。第四,加强对有关身份证明和印章的管理。比如,在担保合同签订过程中,依照法律规定和企业内部管理制度,往往需要提供、使用企业法定代表人的身份证明、个人印章和担保合同专用章等。从近年来暴露出来的一些担保典型案例看,由于一些企业在有关人员身份证明、印章管理中存在薄弱环节,导致身份证明和印章被盗用,造成了难以挽回的严重后果。因此,必须加强对身份证明和印章的管理,保证担保合同用章用印符合当事人真实意愿。第五,规范担保合同记录、传递和保管,确保担保合同运转轨迹清晰完整、有案可查。

(五)日常监控

担保合同的签订,标志着企业的担保权利和担保责任进入法律意义上的实际履行阶段。切实加强对担保合同执行情况的日常监控,通过及时、准确、全面地了解掌握被担保人的经营状况、财务状况和担保项目运行情况,最大限度地实现企业担保权益,最大限度地降低企业担保责任,是一项艰巨而重要的任务。这一环节的主要风险是:重合同签订,轻后续管理,对担保合同履行情况疏于监控或监控不当,导致企业不能及时发现和妥善应对被担保人的异常情况,可能延误处置时机,加剧担保风险,加重经济损失。

主要控制措施:第一,指定专人定期监测被担保人的经营情况和财务状况,对被担保人进行跟踪和监督,了解担保项目的执行、资金的使用、贷款的归还、财务运行及风险等情况,促进担保合同有效履行。企业财会部门要及时,最好是按月或者按季收集、分析被担保人担保期内的财务报告等相关资料,持续关注被担保人的财务状况、经营成果、现金流量以及担保合同的履行情况,积极配合担保经办部门防范担保业务风险。第二,及时报告被担保人异常情况和重要信息。企业有关部门和人员在实施日常监控过程中发现被担保人经营困难、债务沉重,或者存在违反担保合同的其他各种情况,应当按照《企业内部控制应用指引第17号——内部信息传递》的要求,在第一时间向企业有关管理人员作出报告,以便于及时采取有针对性的应对措施。 (六)会计控制

担保业务直接涉及担保财产、费用收取、财务分析、债务承担、会计处理和相关信息披露等,决定了会计控制在担保业务经办中具有举足轻重的重要作用。这一环节的主要风险是:会计系统控制不力,可能导致担保业务记录残缺不全,日常监控难以奏效,或者担保会计处理和信息披露不符合有关监管要求,可能引发行政处罚。

主要控制措施:第一,健全担保业务经办部门与财会部门的信息沟通机制,

促进担保信息及时有效沟通;第二,建立担保事项台账,详细记录担保对象、金额、期限、用于抵押和质押的物品或权利以及其他有关事项;同时,及时足额收取担保费用,维护企业担保权益;第三,严格按照国家统一的会计准则制度进行担保会计处理,发现被担保人出现财务状况恶化、资不抵债、破产清算等情形的,应当合理确认预计负债和损失。属于上市公司的,还应当区别不同情况依法予以公告;第四,切实加强对反担保财产的管理,妥善保管被担保人用于反担保的权利凭证,定期核实财产的存续状况和价值,发现问题及时处理,确保反担保财产安全完整;第五,夯实担保合同基础管理,妥善保管担保合同、与担保合同相关的主合同、反担保函或反担保合同,以及抵押、质押的权利凭证和有关原始资料,做到担保业务档案完整无缺。当担保合同到期时,企业要全面清查用于担保的财产、权利凭证,按照合同约定及时终止担保关系。 (七)代为清偿和权利追索

被担保人在担保期间如果顺利履行了对银行等债权人的偿债义务,且向担保企业及时足额支付了担保费用,担保合同一般应予终止,担保双方可以解除担保权利责任。但在实践中,由于各方面因素的影响,部分被担保人无法偿还到期债务,“连累”担保企业不得不按照担保合同约定承担清偿债务的责任。因此,在代为清偿后依法主张对被担保人的追索权,成为担保企业降低担保损失的最后一道屏障。这一环节的主要风险是:违背担保合同约定不履行代为清偿义务,可能被银行等债权人诉诸法律成为连带被告,影响企业形象和声誉;承担代为清偿义务后向被担保人追索权利不力,可能造成较大经济损失。 主要控制措施:第一,强化法制意识和责任观念,在被担保人确实无力偿付债务或履行相关合同义务时,自觉按照担保合同承担代偿义务,维护企业诚实守信的市场形象;第二,运用法律武器向被担保人追索赔偿权利,在此过程中,企业担保业务经办部门、财会部门、法律部门等应当通力合作,做到在司法程序中举证有力;同时,依法处置被担保人的反担保财产,尽力减少企业经

济损失;第三,启动担保业务后评估工作,严格落实担保业务责任追究制度,对在担保中出现重大决策失误、未履行集体审批程序或不按规定管理担保业务的部门及人员,严格追究其行政责任和经济责任,并深入开展总结分析,举一反三,不断完善担保业务内控制度,严控担保风险,促进企业健康稳健发展。

加强业务外包管理 防范业务外包风险

——财政部会计司解读《企业内部控制应用指引第13号——业务外包》

《企业内部控制应用指引第13号——业务外包》所称的业务外包,是指企业利用专业化分工优势,将日常经营中的部分业务委托给本企业以外的专业服务机构或经济组织(以下简称承包方)完成的经营行为,通常包括研发、资信调查、可行性研究、委托加工、物业管理、客户服务、IT服务等。随着社会主义市场发展及国际产业分工呈细化趋势,我国业务外包市场必将有较大发展。适应这种发展趋势,财政部研究制定了《企业内部控制应用指引第13号——业务外包》,对于规范业务外包行为,防范业务外包风险,具有重要的意义。本文就此进行解读。 一、业务外包流程

业务外包流程主要包括:制定业务外包实施方案、审核批准、选择承包方、签订业务外包合同、组织实施业务外包活动、业务外包过程管理、验收、会计控制等环节。如下图所示。该图列示的业务外包流程适用于各类企业的一般业务外包,具有通用性。企业在实际开展业务外包时,可以参照此流程,并结合自身情况予以扩充和具体化。

业务外包基本流程图

二、各环节的主要风险点及管控措施 (一)制定业务外包实施方案

制定业务外包实施方案,是指企业根据年度生产经营计划和业务外包管理制度,结合确定的业务外包范围,制定实施方案。该环节的风险主要是:企业缺乏业务外包管理制度,导致制定实施方案时无据可依;业务外包管理制度未明确业务外包范围,可能导致有关部门在制定实施方案时,将

不宜外包的核心业务进行外包;实施方案不合理、不符合企业生产经营特点或内容不完整,可能导致业务外包失败。

主要管控措施:第一,建立和完善业务外包管理制度,根据各类业务与核心主业的关联度、对外包业务的控制程度以及外部市场成熟度等标准,合理确定业务外包的范围,并根据是否对企业生产经营有重大影响对外包业务实施分类管理,以突出管控重点,同时明确规定业务外包的方式、条件、程序和实施等相关内容。第二,严格按照业务外包管理制度规定的业务外包范围、方式、条件、程序和实施等内容制定实施方案,避免将核心业务外包,同时确保方案的完整性。第三,根据企业年度预算以及生产经营计划,对实施方案的重要方面进行深入评估以及复核,包括承包方的选择方案、外包业务的成本效益及风险、外包合同期限、外包方式、员工培训计划等,确保方案的可行性。第四,认真听取外部专业人员对业务外包的意见,并根据其合理化建议完善实施方案。 (二)审核批准

审核批准,是指企业应当按照规定的权限和程序审核批准业务外包实施方案。该环节的主要风险是:审批制度不健全,导致对业务外包的审批不规范;审批不严格或者越权审批,导致业务外包决策出现重大疏漏,可能引发严重后果;未能对业务外包实施方案是否符合成本效益原则进行合理审核以及做出恰当判断,导致业务外包不经济。

主要管控措施:第一,建立和完善业务外包的审核批准制度。明确授权批准的方式、权限、程序、责任和相关控制措施,规定各层级人员应当在授权范围内进行审批,不得超越权限审批。同时加大对分公司重大业务外包的管控力度,避免因分公司越权进行业务外包给企业带来不利后果。第二,在对业务外包实施方案进行审查和评价时,应当着重对比分析该业务项目在自营与外包情况下的风险和收益,确定外包的合理性和可行性。第三,总会计师或企业分管会计工作的负责人应当参与重大业务外包的决策,对业务外包的经济效益做出合理评价。第四,对于重大业务外包方案,应当提交董事会或类似权力机构审批。 (三)选择承包方

选择承包方,是指企业应当按照批准的业务外包实施方案选择承包方。该环节的主要风险是:

承包方不是合法设立的法人主体,缺乏应有的专业资质,从业人员也不具备应有的专业技术资格,缺乏从事相关项目的经验,导致企业遭受损失甚至陷入法律纠纷;外包价格不合理,业务外包成本过高导致难以发挥业务外包的优势;存在接受商业贿赂的舞弊行为,导致相关人员涉案。 主要管控措施:第一,充分调查候选承包方的合法性,即是否为依法成立、合法经营的专业服务机构或经济组织,是否具有相应的经营范围和固定的办公场所。第二,调查候选承包方的专业资质、技术实力及其从业人员的履历和专业技能。第三,考察候选承包方从事类似项目的成功案例、业界评价和口碑。第四,综合考虑企业内外部因素,对业务外包的人工成本、营销成本、业务收入、人力资源等指标进行测算分析,合理确定外包价格,严格控制业务外包成本。第五,引入竞争机制,按照有关法律法规,遵循公开、公平、公正的原则,采用招标方式等适当方式,择优选择承包方。第六,按照规定的程序和权限从候选承包方中做出选择,并建立严格的回避制度和监督处罚制度,避免相关人员在选择承包方过程中出现受贿和舞弊行为。 (四)签订业务外包合同

确定承包方后,企业应当及时与选定的承包方签订业务外包合同,约定业务外包的内容和范围,双方权利和义务,服务和质量标准,保密事项,费用结算标准和违约责任等事项。该环节的主要风险是:合同条款未能针对业务外包风险做出明确的约定,对承办方的违约责任界定不够清晰,导致企业陷入合同纠纷和诉讼;合同约定的业务外包价格不合理或成本费用过高,导致企业遭受损失。 主要管控措施:第一,在订立外包合同前,充分考虑业务外包方案中识别出的重要风险因素,并通过合同条款予以有效规避或降低。第二,在合同的内容和范围方面,明确承包方提供的服务类型、数量、成本,以及明确界定服务的环节、作业方式、作业时间、服务费用等细节。第三,在合同的权利和义务方面,明确企业有权督促承包方改进服务流程和方法,承包方有责任按照合同协议规定的方式和频率,将外包实施的进度和现状告知企业,并对存在问题进行有效沟通。第四,在合同的服务和质量标准方面,应当规定外包商最低的服务水平要求以及如果未能满足标准实施的补救措施。第五,在合同的保密事项方面,应具体约定对于涉及本企业机密的业务和事项,承包方有责任履行保密义务。第六,在费用结算标准方面,综合考虑内外部因素,合理确定外包价格,严格控

制业务外包成本。第七,在违约责任方面,制定既具原则性又体现一定灵活性的合同条款,以适应环境、技术和企业自身业务的变化。 (五)组织实施业务外包

组织实施业务外包,是指企业严格按照业务外包制度、工作流程和相关要求,组织业务外包过程中人、财、物等方面的资源分配,建立与承包方的合作机制,为下一环节的业务外包过程管理做好准备,确保承包方严格履行业务外包合同。企业在组织实施业务外包时,应当根据业务外包合同条款,落实双方应投入的人力资源、资金、硬件及专有资产等,明确承包方提供服务或产品的工作流程、模式、职能架构、项目实施计划等内容。该环节的主要风险是:组织实施业务外包的工作不充分或未落实到位,影响下一环节业务外包过程管理的有效实施,导致难以实现业务外包的目标。 主要管控措施:第一,按照业务外包制度、工作流程和相关要求,制定业务外包实施全过程的管控措施,包括落实与承包方之间的资产管理、信息资料管理、人力资源管理、安全保密管理等机制,确保承包方在履行外包业务合同时有章可循。第二,做好与承包方的对接工作,通过培训等方式确保承包方充分了解企业的工作流程和质量要求,从价值链的起点开始控制业务质量。第三,与承包方建立并保持畅通的沟通协调机制,以便及时发现并有效解决业务外包过程存在的问题。第四,梳理有关工作流程,提出每个环节上的岗位职责分工、运营模式、管理机制、质量水平等方面的要求,并建立对应的即时监控机制,及时检查、收集和反馈业务外包实施过程的相关信息。 (六)业务外包过程管理

根据业务外包合同的约定,承包方会采取在特定时点向企业一次性交付产品或在一定期间内持续提供服务的方式交付业务外包成果。由于承包方交付成果的方式不同,业务外包过程也有所不同,前者的业务外包过程是指承包方对产品的设计制造过程,后者的业务外包过程是指承包方持续提供服务的整个过程。该环节的主要风险是:承包方在合同期内因市场变化等原因不能保持履约能力,无法继续按照合同约定履行义务,导致业务外包失败和本企业生产经营活动中断;承包方出现未按照业务外包合同约定的质量要求持续提供合格的产品或服务等违约行为,导致企业难以发挥业务外包优势,甚至遭受重大损失;管控不力,导致商业秘密泄漏。

主要管控措施:第一,在承包方提供服务或制造产品的过程中,密切关注重大业务外包承包方的履约能力,采取承包方动态管理方式,对承包方开展日常绩效评价和定期考核。第二,对承包方的履约能力进行持续评估,包括承包方对该项目的投入是否能够支持其产品或服务质量达到企业预期目标,承包方自身的财务状况、生产能力、技术创新能力等综合能力是否满足该项目的要求。第三,建立即时监控机制,一旦发现偏离合同目标等情况,应及时要求承包方调整改进。第四,对重大业务外包的各种意外情况做出充分预计,建立相应的应急机制,制定临时替代方案,避免业务外包失败造成企业生产经营活动中断。第五,有确凿证据表明承包方存在重大违约行为,并导致业务外包合同无法履行的,应当及时终止合同,并指定有关部门按照法律程序向承包方索赔。第六,切实加强对业务外包过程中形成的商业信息资料的管理。 (七)验收

在业务外包合同执行完成后需要验收的,企业应当组织相关部门或人员对完成的业务外包合同进行验收。该环节的主要风险是:验收方式与业务外包成果交付方式不匹配,验收标准不明确,验收程序不规范,使验收工作流于形式,不能及时发现业务外包质量低劣等情况,可能导致企业遭受损失。

主要管控措施:第一,根据承包方业务外包成果交付方式的特点,制定不同的验收方式。一般而言,可以对最终产品或服务进行一次性验收,也可以在整个外包过程中分阶段验收。第二,根据业务外包合同的约定,结合在日常绩效评价基础上对外包业务质量是否达到预期目标的基本评价,确定验收标准。第三,组织有关职能部门、财会部门、质量控制部门等的相关人员,严格按照验收标准对承包方交付的产品或服务进行审查和全面测试,确保产品或服务符合需求,并出具验收证明。第四,验收过程中发现异常情况的,应当立即报告,查明原因,视问题的严重性与承包方协商采取恰当的补救措施,并依法索赔。第五,根据验收结果对业务外包是否达到预期目标作出总体评价,据此对业务外包管理制度和流程进行改进和优化。 (八)会计控制

会计控制是指企业应当根据国家统一的会计准则制度,加强对外包业务的核算与监督,并做好

外包费用结算工作。该环节的主要风险是:缺乏有效的业务外包会计系统控制,未能全面真实地记录和反映企业业务外包各环节的资金流和实物流情况,可能导致企业资产流失或贬损;业务外包相关会计处理不当,可能导致财务报告信息失真;结算审核不严格、支付方式不恰当、金额控制不严,可能导致企业资金损失或信用受损。

主要管控措施:第一,企业财会部门应当根据国家统一的会计准则制度,对业务外包过程中交由承包方使用的资产、涉及资产负债变动的事项以及外包合同诉讼等加强核算与监督。第二,根据企业会计准则制度的规定,结合外包业务特点和企业管理机制,建立完善外包成本的会计核算方法,进行有关会计处理,并在财务报告中进行必要、充分的披露。第三,在向承包方结算费用时,应当依据验收证明,严格按照合同约定的结算条件、方式和标准办理支付。

提高财务报告质量夯实企业发展基础

——财政部会计司解读《企业内部控制应用指引第14号——财务报告》

财务报告是企业投资者、债权人做出科学投资、信贷决策的重要依据。近年来,国内外发生的安然、世通、银广夏、琼民源等财务丑闻事件都产生了较为严重的不良后果,原因之一是由于企业财务报告内部控制缺失或不健全所致。为了防范和化解企业法律责任,确保财务报告信息真实可靠,提升企业治理和经营管理水平,促进资本市场和市场经济健康可持续发展,应当强化财务报告内部控制。研究制定《企业内部控制应用指引第14号——财务报告》(以下简称“财务报告内控指引”),

就是为了引导和规范企业加强财务报告内部控制,防范财务报告风险。本文就此进行解读。 一、财务报告内部控制的总体要求

(一)规范企业财务报告控制流程,明晰各岗位职责

企业应当制定明确的财务报告编制、报送及分析利用等相关流程,职责分工、权限范围和审批程序应当明确规范,机构设置和人员配备应当科学合理,并确保全过程中财务报告的编制、披露和审核等不相容岗位相互分离。企业总会计师或分管会计工作的负责人负责组织领导财务报告编制和分析利用工作,企业负责人对财务报告的真实性和完整性承担责任,企业财会部门负责财务报告编制和分析报告编写工作,企业内部参与财务报告编制的各部门应当及时向财会部门提供编制财务报告所需的信息,参与财务分析会议的部门应当积极提出意见和建议以促进财务报告的有效利用,企业法律事务部门或外聘律师应当对财务报告对外提供的合法合规性进行审核。 (二)健全财务报告各环节授权批准制度

企业应当健全财务报告编制、对外提供和分析利用各环节的授权批准制度,具体包括:编制方案的审批、会计与会计估计的审批、重大交易和事项会计处理的审批,对财务报告内容的审核审批等。为此,企业应做好以下几项工作:第一,根据经济业务性质、组织机构设置和管理层级安排,建立分级管理制度;第二,规范审核审批的手续和流程,确保报送和进行审核审批的级别符合所授的管理权限、申报材料翔实完整,签字盖章齐全、用印用章符合要求,切实履行检查审核义务而非流于形式等;第三,建立相关,对现有财务报告流程进行越权操作。任何越权操作行为,必须另行授权审批后方能进行,且授权审批文件应妥善归档。 (三)建立日常信息核对制度

企业应当从会计记录的源头做起,建立起日常信息定期核对制度,以保证财务报告的真实、完整,防范出于主观故意的编造虚假交易,虚构收入、费用的风险,以及由于会计人员业务能力不足导致的会计记录与实际业务发生的金额、内容不符的风险。企业在日常会计处理中应及时进行对账,将会计账簿记录与实物资产、会计凭证、往来单位或者个人等进行相互核对,发现差异及时查明原因予以解决,并记录在适当的会计期间,以保证账证相符、账账相符、账实相符,确保会计记录的

数字真实、内容完整计算准确、依据充分、期间适当。 (四)充分利用会计信息技术

企业应当充分利用信息技术,提高工作效率和工作质量,减少或避免编制差错和人为调整因素。同时,企业也应当注意防范信息技术所带来的特有风险,做好以下几项工作:第一,定期更新和维护会计信息系统,确保取数、计算公式以及数据勾稽关系准确无误;第二,建立访问安全制度,操作权限、信息使用、信息管理应当有明确规定,确保财务报告数据安全保密,防止对数据的非法修改和删除;第三,对正在使用的会计核算软件进行修改、对通用会计软件进行升级和对计算机硬件设备进行更换时,企业应有规范的审批流程,并采取替代性措施确保财务报告数据的连续性;第四,做好数据源的管理,保证原始数据从录入环节的真实、准确、完整,满足财务分析的需要;第五,制定业务操作规范,保证系统各项技术和业务配置维护符合会计准则要求和内部管理规定,月结和年结流程规范、及时,等等;第六,指定专人负责信息化会计档案的管理,定期备份,做好防消磁、防火、防潮和防尘等工作;对于存储介质保存的会计档案,应当定期检查,防止由于介质损坏而使会计档案丢失。

二、财务报告业务流程

财务报告流程由财务报告编制流程、财务报告对外提供流程、财务报告分析利用流程三个阶段组成。其通用流程如下图所示。企业在实际操作中,应当充分结合自身业务特点和管理要求,构建和优化财务报告内部控制流程。

三、财务报告编制阶段的主要风险点及管控措施 (一)制定财务报告编制方案

企业财会部门应在编制财务报告前制定财务报告编制方案,并由财会部门负责人审核。财务报告编制方案应明确财务报告编制方法(包括会计和会计估计、合并方法、范围与原则等)、财务报告编制程序、职责分工(包括牵头部门与相关配合部门的分工与责任等)、编报时间安排等相关内容。

该环节的主要风险是:会计未能有效更新,不符合有关法律法规;重要会计、会计估计变更未经审批,导致会计使用不当;会计未能有效贯彻、执行;各部门职责、分工不清,导致数据传递出现差错、遗漏、格式不一致等;各步骤时间安排不明确,导致整体编制进度延后,违反相关报送要求。

主要管控措施:第一,会计应符合国家有关会计法规和最新监管要求的规定。企业应按照国家最新会计准则制度规定,结合自身情况,制定企业统一的会计。企业应有专人关注与会计相关法律法规、规章制度的变化及监管机构的最新规定等,并及时对企业的内部会计规章制度和财务报告流程等做出相应更改。第二,会计和会计估计的调整,无论是强制还是自愿,均需按照规定的权限和程序审批。第三,企业的内部会计规章制度至少要经财会部门负责人审批后生效,财务报告流程、年报编制方案应当经公司分管财务会计工作的负责人核准后签发。第四,企业应建立完备的信息沟通渠道,将内部会计规章制度和财务流程、会计科目表和相关文件及时有效地传达至相关人员,使其了解相关职责要求、掌握适当的会计知识、会计并加以执行。企业还应通过内部审计等方式,定期进行测试,保证会计有效执行,且在不同业务部门、不同期间内保持一致性。第五,应明确各部门的职责分工,总会计师或分管会计工作的负责人负责组织领导;财会部门负责财务报告编制工作;各部门应当及时向财会部门提供编制财务报告所需的信息,并对所提供信息的真实性和完整性负责。第六,应根据财务报告的报送要求,倒排工时,为各步骤设置关键时间点,并由财会部门负责督促和考核各部门的工作进度,及时进行提醒,对未能及时完成的进行相关处罚。

(二)确定重大事项的会计处理

在编制财务报告前,企业应当确认对当期有重大影响的主要事项,并确定重大事项的会计处理。

该环节的主要风险是:重大事项,如债务重组、非货币性交易、公允价值的计量、收购兼并、资产减值等的会计处理不合理,会导致会计信息扭曲,无法如实反映企业实际情况。

主要管控措施:第一,企业应对重大事项的予以关注,通常包括以前年度审计调整以及相关事项对当期的影响、会计准则制度的变化及对财务报告的影响、新增业务和其他新发生的事项及对财务报告的影响、年度内合并(汇总)报告范围的变化及对财务报告的影响等。企业应建立重大事项的处理流程,报适当管理层审批后,予以执行。第二,及时沟通需要专业判断的重大会计事项并确定相应会计处理。企业应规定下属各部门、各单位人员及时将重大事项信息报告至同级财会部门。财会部门应定期研究、分析并与相关部门组织沟通重大事项的会计处理,逐级报请总会计师或分管会计工作的负责人审批后下达各相关单位执行。特别是资产减值损失、公允价值计量等涉及重大判断和估计时,财会部门应定期与资产管理部门进行沟通。 (三)清查资产核实债务

企业应在编制财务报告前,组织财务和相关部门进行资产清查、减值测试和债权债务核实工作。该环节的主要风险是:资产、负债账实不符,虚增或虚减资产、负债;资产计价方法随意变更;提前、推迟甚至不确认资产、负债等。

主要管控措施:第一,确定具体可行的资产清查、负债核实计划,安排合理的时间和工作进度,配备足够的人员、确定实物资产盘点的具体方法和过程,同时做好业务准备工作。第二,做好各项资产、负债的清查、核实工作,包括:与银行核对对账单、盘点库存现金、核对票据;核查结算款项,包括应收款项、应付款项、应交税金等是否存在,与债务、债权单位的相应债务、债权金额是否一致;核查原材料、在产品、自制半成品、库存商品等各项存货的实存数量与账面数量是否一致,是否有报废损失和积压物资等;核查账面投资是否存在,投资收益是否按照国家统一的会计准则制度规定进行确认和计量;核查房屋建筑物、机器设备、运输工具等各项固定资产的实存数量与账面数量是否一致,清查土地、房屋的权属证明,确定资产归属;核查在建工程的实际发生额与账面记录是否一致等。第三,对清查过程中发现的差异,应当分析原因,提出处理意见,取得合法证据和按照规定权限经审批,将清查、核实的结果及其处理办法向企业的董事会或者相应机构报告,并根

据国家统一的会计准则制度的规定进行相应的会计处理。 (四)结账

企业在编制年度财务报告前,应在日常定期核对信息的基础上完成对账、调账、差错更正等业务,然后实施关账操作。该环节的主要风险是:账务处理存在错误,导致账证、账账不符;虚列或隐瞒收入,推迟或提前确认收入;随意改变费用、成本的确认标准或计量方法,虚列、多列、不列或者少列费用、成本;结账的时间、程序不符合相关规定;关账后又随意打开已关闭的会计期间等。 主要管控措施:第一,核对各会计账簿记录与会计凭证的内容、金额等是否一致,记账方向是否相符。第二,检查相关账务处理是否符合国家统一的会计准则制度和企业制定的核算方法。第三,调整有关账项,合理确定本期应计的收入和应计的费用。例如,计提固定资产折旧、计提坏账准备等;各项待摊费用按规定摊配并分别计入本期有关科目;属于本期的应计收益应确认计入本期收入等。第四,检查是否存在因会计差错、会计变更等原因需要调整前期或者本期相关项目。对于调整项目,需取得和保留审批文件,以保证调整有据可依。第五,不得为了赶编财务报告而提前结账,或把本期发生的经济业务事项延至下期登帐,也不得先编财务报告后结账,应在当期所有交易或事项处理完毕并经财会部门负责人审核签字确认后,实施关账和结账操作。第六,如果在关账之后需要重新打开已关闭的会计期间,须填写相应的申请表,经总会计师或分管会计工作的负责人审批后进行。

(五)编制个别财务报告

企业应当按照国家统一的会计准则制度规定的财务报告格式和内容,根据登记完整、核对无误的会计账簿记录和其他有关资料编制财务报告,做到内容完整、数字真实、计算准确,不得漏报或者任意进行取舍。该环节的主要风险是:提供虚假财务报告,误导财务报告使用者,造成决策失误,干扰市场秩序;报表数据不完整、不准确;报表种类不完整;附注内容不完整等。

主要管控措施:第一,企业财务报告列示的资产、负债、所有者权益金额应当真实可靠。一是各项资产计价方法不得随意变更,如有减值,应当合理计提减值准备,严禁虚增或虚减资产。二是各项负债应当反映企业的现时义务,不得提前、推迟或不确认负债,严禁虚增或虚减负债。三是所

有者权益应当反映企业资产扣除负债后由所有者享有的剩余权益,由实收资本、资本公积、留存收益等构成。企业应当做好所有者权益保值增值工作,严禁虚假出资、抽逃出资、资本不实。第二,企业财务报告应当如实列示当期收入、费用和利润。一是各项收入的确认应当遵循规定的标准,不得虚列或者隐瞒收入,推迟或提前确认收入。二是各项费用、成本的确认应当符合规定,不得随意改变费用、成本的确认标准或计量方法,虚列、多列、不列或者少列费用、成本。三是利润由收入减去费用后的净额、直接计入当期利润的利得和损失等构成。不得随意调整利润的计算、分配方法,编造虚假利润。第三,企业财务报告列示的各种现金流量由经营活动、投资活动和筹资活动的现金流量构成,应当按照规定划清各类交易和事项的现金流量的界限。第四,按照岗位分工和规定的程序编制财务报告。一是财会部门制定本单位财务报告编制分工表,并由财会部门负责人审核,确保报告编制范围完整。二是财会部门报告编制岗位按照登记完整、核对无误的会计账簿记录和其他有关资料对相关信息进行汇总编制,确保财务报告项目与相关账户对应关系正确,计算公式无误。三是进行校验审核工作,包括期初数核对、财务报告内有关项目的对应关系审核、报表前后勾稽关系审核、期末数与试算平衡表和工作底稿核对、财务报告主表与附表之间的平衡及勾稽关系校验等。第五,按照国家统一的会计准则制度编制附注。附注是财务报告的重要组成部分,企业对反映企业财务状况、经营成果、现金流量的报表中需要说明的事项,作出真实、完整、清晰的说明。检查担保、诉讼、未决事项、资产重组等重大或有事项是否在附注中得到反映和披露。第六,财会部门负责人审核报表内容和种类的真实、完整性,通过后予以上报。 (六)编制合并财务报告

企业集团应当编制合并财务报告,分级收集合并范围内分公司及内部核算单位的财务报告并审核,进而合并全资及控股公司财务报告,如实反映企业集团的财务状况、经营成果和现金流量。该环节的主要风险是:合并范围不完整;合并内部交易和事项不完整;合并抵销分录不准确。 主要管控措施:第一,编报单位财会部门应依据经同级法律事务部门确认的产权(股权)结构图,并考虑所有相关情况以确定合并范围符合国家统一的会计准则制度的规定,由财会部门负责人审核、确认合并范围是否完整。第二,财会部门收集、审核下级单位财务报告,并汇总出本级次的

财务报告,经汇总单位财会部门负责人审核。第三,财会部门制定内部交易和事项核对表及填制要求,报财会部门负责人审批后下发纳入合并范围内各单位。财会部门核对本单位及纳入合并范围内各单位之间内部交易的事项和金额,如有差异,应及时查明原因并进行调整。编制内部交易表及内部往来表交财会部门负责人审核。第四,合并抵销分录应有相应的标准文件和证据进行支持,由财会部门负责人审核。第五,对合并抵销分录实行交叉复核制度,具体编制人完成调整分录后即提交相应复核人进行审核,审核通过后才可录入试算平衡表。通过交叉复核,保证合并抵销分录的真实性、完整性。

四、财务报告对外提供阶段的主要风险点及管控措施 (一)财务报告对外提供前的审核

财务报告对外提供前需按规定程序进行审核,主要包括财会部门负责人审核财务报告的准确性并签名盖章;总会计师或分管会计工作的负责人审核财务报告的真实性、完整性、合法合规性,并签名盖章;企业负责人审核财务报告整体合法合规性,并签名盖章。该环节的主要风险是:在财务报告对外提供前未按规定程序进行审核,对内容的真实性、完整性以及格式的合规性等审核不充分。 主要管控措施:第一,企业应严格按照规定的财务报告编制中的审批程序,由各级负责人逐级把关,对财务报告内容的真实性、完整性,格式的合规性等予以审核。第二,企业应保留审核记录,建立责任追究制度。第三,财务报告在对外提供前应当装订成册,加盖公章,并由企业负责人、总会计师或分管会计工作的负责人、财会部门负责人签名并盖章。 (二)财务报告对外提供前的审计

《公司法》等法律法规规定了公司应编制的年度财务报告需依法经会计师事务所审计,审计报告应随同财务报告一并对外提供。《关于会计师事务所从事证券、期货相关业务有关问题的通知》等还对为特定公司进行审计的会计师事务所的资格进行了规定。因此,相关企业需按规定在财务报告对外提供前,选择具有相关业务资格的会计师事务所进行审计。该环节的主要风险是:财务报告对外提供前未经审计,审计机构不符合相关法律法规的规定,审计机构与企业串通舞弊。 主要管控措施:第一,企业应根据相关法律法规的规定,选择符合资质的会计师事务所对财务

报告进行审计。第二,企业不得干扰审计人员的正常工作,并应对审计意见予以落实。第三,注册会计师及其所在的事务所出具的审计报告,应随财务报告一并提供。 (三)财务报告的对外提供

一般企业的财务报告经完整审核并签名盖章后即可对外提供。上市公司还需经董事会和监事会审批通过后方能对外提供,财务报告应与审计报告一同向投资者、债权人、监管部门等报送。该环节的主要风险是:对外提供未遵循相关法律法规的规定,导致承担相应的法律责任;对外提供的财务报告的编制基础、编制依据、编制原则和方法不一致,影响各方对企业情况的判断和经济决策的作出;未能及时对外报送财务报告,导致财务报告信息的使用价值降低,同时也违反有关法律法规;财务报告在对外提供前提前泄露或使不应知晓的对象获悉,导致发生内幕交易等,使投资者或企业本身蒙受损失。

主要管控措施:第一,企业应根据相关法律法规的要求,在企业相关制度中明确负责财务报告对外提供的对象,在相关制度性文件中予以明确并由企业负责人监督,如:国有企业应当依法定期向监事会提供财务报告,至少每年一次向本企业的职工代表大会公布财务报告。上市公司的财务报告需经董事会、监事会审核通过后向全社会提供。第二,企业应严格按照规定的财务报告编制中的审批程序,由财会部门负责人、总会计师或分管会计工作的负责人、企业负责人逐级把关,对财务报告内容的真实性、完整性,格式的合规性等予以审核,确保提供给投资者、债权人、监管部门、社会公众等各方面的财务报告的编制基础、编制依据、编制原则和方法完全一致。第三,企业应严格遵守相关法律法规和国家统一的会计准则制度对报送时间的要求,在财务报告的编制、审核、报送流程中的每一步骤设置时间点,对未能按时及时完成的相关人员进行处罚。第四,企业应设置严格的保密程序,对能够接触财务报告信息的人员进行权限设置,保证财务报告信息在对外提供前控制在适当的范围。并对财务报告信息的访问情况予以记录,以便了解情况,及时发现可能的泄密行为,在泄密后也易于找到相应的责任人。第五,企业对外提供的财务报告应当及时整理归档,并按有关规定妥善保存。

五、财务报告分析利用阶段的主要风险点及管控措施

(一)制定财务分析制度

企业财会部门应在对企业基本情况进行分析研究的基础上,提出财务报告分析制度草案,并经财会部门负责人、总会计师或分管会计工作的负责人、企业负责人检查、修改、审批。该环节的主要风险是:制定的财务分析制度不符合企业实际情况,财务分析制度未充分利用企业现有资源,财务分析的流程、要求不明确,财务分析制度未经审批等。

主要管控措施:第一,企业在对基本情况分析时,应当重点了解企业的发展背景,包括企业的发展史、企业组织机构、产品销售及财务资产变动情况等,熟悉企业业务流程,分析研究企业的资产及财务管理活动。第二,企业在制定财务报告分析制度时,应重点关注:财务报告分析的时间、组织形式、参加的部门和人员;财务报告分析的内容、分析的步骤、分析方法和指标体系;财务报告分析报告的编写要求等。第三,财务报告分析制度草案经由财会部门负责人、总会计师或分管会计工作的负责人、企业负责人检查、修改、审批之后,根据制度设计的要求进行试行,发现问题及时总结上报。第四,财会部门根据试行情况进行修正,确定最终的财务报告分析制度文稿,并经财会部门负责人、总会计师或分管会计工作的负责人、企业负责人进行最终的审批。 (二)编写财务分析报告

财会部门应按照财务分析制度定期编写财务分析报告,并通过定期召开财务分析会议等形式对分析报告的内容予以完善,以充分利用财务报告反映的综合信息,全面分析企业的经营管理状况和存在的问题,不断提高经营管理水平。该环节的主要风险是:财务分析报告的目的不正确或者不明确,财务分析方法不正确;财务分析报告的内容不完整,未对本期生产经营活动中发生的重大事项做专门分析;财务分析局限于财会部门,未充分利用相关部门的资源,影响质量和可用性;财务分析报告未经审核等。

主要管控措施:第一,编写时要明确分析的目的,运用正确的财务分析方法,并能充分、灵活地运用各项资料。分析内容包括:一是企业的资产分布、负债水平和所有者权益结构,通过资产负债率、流动比率、资产周转率等指标分析企业的偿债能力和营运能力;分析企业净资产的增减变化,了解和掌握企业规模和净资产的不断变化过程。二是分析各项收入、费用的构成及其增减变动情况,

通过净资产收益率、每股收益等指标,分析企业的盈利能力和发展能力,了解和掌握当期利润增减变化的原因和未来发展趋势。三是分析经营活动、投资活动、筹资活动现金流量的运转情况,重点关注现金流量能否保证生产经营过程的正常运行,防止现金短缺或闲置。第二,总会计师或分管会计工作的负责人应当在财务分析和利用工作中发挥主导作用,负责组织领导。财会部门负责人审核财务分析报告的准确性,判断是否需要对特殊事项进行补充说明,并对财务分析报告进行补充说明。对生产经营活动中的重要资料、重大事项以及与上年同期数据相比有较大差异的情况要做重点说明。第三,企业财务分析会议应吸收有关部门负责人参加,对各部门提出的意见,财会部门应充分沟通、分析,进而修改完善财务分析报告。第四,修订后的分析报告应及时报送企业负责人,企业负责人负责审批分析报告,并据此进行决策,对于存在的问题及时采取措施。 (三)整改落实

财会部门应将经过企业负责人审批的报告及时报送各部门负责人,各部门负责人根据分析结果进行决策和整改落实。该环节的主要风险是:财务分析报告的内容传递不畅,未能及时使有关各部门获悉;各部门对财务分析报告不够重视,未对其中的意见进行整改落实。

主要管控措施:第一,定期的财务分析报告应构成内部报告的组成部分,并充分利用信息技术和现有内部报告体系在各个层级上进行沟通。第二,根据分析报告的意见,明确各部门职责。责任部门按要求落实改正,财会部门负责监督、跟踪责任部门的落实情况,并及时向有关负责人反馈落实情况。

强化全面预算管理 促进实现发展战略

——财政部会计司解读《企业内部控制应用指引第15号——全面预算》

全面预算是指企业对一定期间的经营活动、投资活动、财务活动等作出的预算安排。

全面预算作为一种全方位、全过程、全员参与编制与实施的预算管理模式,凭借其计划、协调、控制、激励、评价等综合管理功能,整合和优化配置企业资源,提升企业运行效率,成为促进实现企业发展战略的重要抓手。正如美国著名管理学家戴维·奥利所指出的那样:全面预算管理是为数不多的几个能把组织的所有关键问题融合于一个体系之中的管理控制方法之一。制定和实施《企业内部控制应用指引第15号——全面预算》,旨在引导和规范企业加强全面预算管理各环节的风险管控,促进全面预算管理在推动企业实现发展战略过程中发挥积极作用。本文就此进行解读。 一、如何正确认识和理解全面预算

正确认识和理解全面预算的内涵、本质及作用,应当把握以下几个方面: (一)全方位、全过程、全员参与编制与实施的预算管理模式

全面预算的“全方位”,体现在企业的一切经济活动,包括经营、投资、财务等各项活动,以及企业的人、财、物各个方面,供、产、销各个环节,都必须纳入预算管理。因此,全面预算是由经营预算(也称业务预算)、投资预算、筹资预算、财务预算等一系列预算组成的相互衔接和勾稽的综合预算体系。全面预算的“全过程”,体现在企业组织各项经济活动的事前、事中和事后都必须纳入预算管理,即全面预算不仅限于预算编制、分解和下达,而是由预算编制、执行、分析、调整、考核、奖惩等一系列环节所组成的管理活动。全面预算的“全员”参与,指企业内部各部门、各单位、各岗位,上至最高负责人,下至各部门负责人、各岗位员工都必须参与预算编制与实施。

(二)企业实施内部控制、防范风险的重要手段和措施

全面预算的本质是企业内部管理控制的一项工具,即预算本身不是最终目标,而是为实现企业目标所采用的管理与控制手段,从而有效控制企业风险。全面预算的制定和实施过程,就是企业不断用量化的工具,使自身所处的经营环境与拥有的资源和企业的发展目标保持动态平衡的过程,也是企业在此过程中所面临的各种风险的识别、预测、评估与控制过程。因此,《企业内部控制基本规范》将预算控制列为重要的控制活动和风险控制措施。

(三)企业实现发展战略和年度经营目标的有效方法和工具

“三分战略、七分执行”,企业战略制定得再好,如果得不到有效实施,终不能将美好蓝图和“愿景”转变为现实,甚至可能因实际运营背离战略目标而导致经营失败。通过实施全面预算,将根据发展战略制定的年度经营目标进行分解、落实,可以使企业的长期战略规划和年度具体行动方案紧密结合,从而实现“化战略为行动”,确保企业发展目标的实现。《企业内部控制应用指引第2号——发展战略》中明确规定企业应当编制全面预算。 (四)有利于企业优化资源配置、提高经济效益

全面预算是为数不多的能够将企业的资金流、实物流、业务流、信息流、人力流等相整合的管理控制方法之一。全面预算以经营目标为起点,以提高投入产出比为目的,其编制和执行过程就是将企业有限的资源加以整合,协调分配到能够提高企业经营效率效果的业务、活动、环节中去,从而实现企业资源的优化配置,增强资源的价值创造能力,提高企业经济效益。

(五)有利于实现制约和激励

全面预算可以将企业各层级之间、各部门之间、各责任单位之间等内部权、责、利关系予以规范化、明细化、具体化、可度量化,从而实现出资者对经营者的有效制约,以及经营者对企业经营活动、企业员工的有效计划、控制和管理。通过全面预算的编制,企业可以规范内部各个利益主体对企业具体的约定投入、约定效果及相应的约定利益;通过全面预算执行及监控,可以真实反馈内部各个利益主体的实际投入及其对企业的影响并加以制约;通过全面预算执行结果的考核,可以检查契约的履行情况并实施相应的奖惩,从而调动和激励员工的积极性,最终实现企业目标。 二、全面预算的组织

全面预算组织领导与运行健全,是防止预算管理松散、随意,预算编制、执行、考核等各环节流于形式,预算管理的作用得不到有效发挥的关键。为此,全面预算指引提出了明确的控制要求,即:企业应当加强全面预算工作的组织领导,明确预算管理以及各预

算执行单位的职责权限、授权批准程序和工作协调机制。 (一)健全预算管理

企业设置全面预算管理,应遵循合法科学、高效有力、经济适度、全面系统、权责明确等基本原则,一般具备全面预算管理决策机构、工作机构和执行单位三个层次的基本架构。

1.全面预算管理决策机构——预算管理委员会

企业应当设立预算管理委员会,作为专门履行全面预算管理职责的决策机构。预算管理委员会成员由企业负责人及内部相关部门负责人组成,总会计师或分管会计工作的负责人应当协助企业负责人负责企业全面预算管理工作的组织领导。具体而言,预算管理委员会一般由企业负责人(董事长或总经理)任主任,总会计师(或财务总监、分管财会工作的副总经理)任副主任,其成员一般还包括各副总经理、主要职能部门(财务、战略发展、生产、销售、投资、人力资源等部门)、分(子)公司负责人等。

预算管理委员会的主要职责一般是:(1)制定颁布企业全面预算管理制度,包括预算管理的、措施、办法、要求等;(2)根据企业战略规划和年度经营目标,拟定预算目标,并确定预算目标分解方案、预算编制方法和程序;(3)组织编制、综合平衡预算草案;(4)下达经批准的正式年度预算;(5)协调解决预算编制和执行中的重大问题;(6)审议预算调整方案,依据授权进行审批;(7)审议预算考核和奖惩方案;(8)对企业全面预算总的执行情况进行考核;(9)其他全面预算管理事宜。 2.全面预算管理工作机构

由于预算管理委员会一般为非常设机构,企业应当在该委员会下设立预算管理工作机构,由其履行预算管理委员会的日常管理职责。预算管理工作机构一般设在财会部门,其主任一般由总会计师(或财务总监、分管财会工作的副总经理)兼任,工作人员除了财务部门人员外,还应有计划、人力资源、生产、销售、研发等业务部门人员参加。

预算管理工作机构的主要职责一般是:(1)拟订企业各项全面预算管理制度,并负责

检查落实预算管理制度的执行;(2)拟定年度预算总目标分解方案及有关预算编制程序、方法的草案,报预算管理委员会审定;(3)组织和指导各级预算单位开展预算编制工作;(4)预审各预算单位的预算初稿,进行综合平衡,并提出修改意见和建议;(5)汇总编制企业全面预算草案,提交预算管理委员会审查;(6)跟踪、监控企业预算执行情况;(7)定期汇总、分析各预算单位预算执行情况,并向预算管理委员会提交预算执行分析报告,为委员会进一步采取行动拟定建议方案;(8)接受各预算单位的预算调整申请,根据企业预算管理制度进行审查,集中制定年度预算调整方案,报预算管理委员会审议;(9)协调解决企业预算编制和执行中的有关问题;(10)提出预算考核和奖惩方案,报预算管理委员会审议;(11)组织开展对企业二级预算执行单位(企业内部各职能部门、所属分(子)企业等,下同)预算执行情况的考核,提出考核结果和奖惩建议,报预算管理委员会审议;(12)预算管理委员会授权的其他工作。 3.全面预算执行单位

全面预算执行单位是指根据其在企业预算总目标实现过程中的作用和职责划分的,承担一定经济责任,并享有相应权利和利益的企业内部单位,包括企业内部各职能部门、所属分(子)企业等。企业内部预算责任单位的划分应当遵循分级分层、权责利相结合、责任可控、目标一致的原则,并与企业的组织机构设置相适应。根据权责范围,企业内部预算责任单位可以分为投资中心、利润中心、成本中心、费用中心和收入中心。预算执行单位在预算管理部门(指预算管理委员会及其工作机构,下同)的指导下,组织开展本部门或本企业全面预算的编制工作,严格执行批准下达的预算。

各预算执行单位的主要职责一般是:(1)提供编制预算的各项基础资料;(2)负责本单位全面预算的编制和上报工作;(3)将本单位预算指标层层分解,落实到各部门、各环节和各岗位;(4)严格执行经批准的预算,监督检查本单位预算执行情况;(5)及时分析、报告本单位的预算执行情况,解决预算执行中的问题;(6)根据内外部环境变化及企业预算管理制度,提出预算调整申请;(7)组织实施本单位内部的预算考核和奖惩工作;

(8)配合预算管理部门做好企业总预算的综合平衡、执行监控、考核奖惩等工作;(9)执行预算管理部门下达的其他预算管理任务。

各预算执行单位负责人应当对本单位预算的执行结果负责。 企业全面预算管理组织体系的基本架构如图1所示。

图1 全面预算管理组织体系基本架构图

(二)明确各环节授权批准程序和工作协调机制

在建立健全全面预算管理的基础上,企业应当进一步梳理、制定预算管理工作流程,按照不相容职务相互分离的原则细化各部门、各岗位在预算管理体系中的职责、分工与权限,明确预算编制、执行、分析、调整、考核各环节的授权批准制度与程序。预算管理工作各环

节的不相容岗位一般包括:预算编制与预算审批、预算审批与预算执行、预算执行与预算考核。

在全面预算管理各个环节中,预算管理部门主要起决策、组织、领导、协调、平衡的作用。企业可以根据自身的组织结构、业务特点和管理需要,责成内部生产、市场、投资、技术、人力资源等各预算归口管理部门负责所归口管理预算的编制、执行监控、分析等工作,并配合预算管理部门做好企业总预算综合平衡、执行监控、分析、考核等工作。 三、全面预算基本业务流程

企业全面预算业务的基本流程一般包括预算编制、预算执行和预算考核三个阶段。其中,预算编制阶段包括预算编制、预算审批、预算下达等具体环节;预算执行阶段设计预算指标分解和责任落实、预算执行控制、预算分析、预算调整等具体环节。这些业务环节相互关联、相互作用、相互衔接,周而复始地循环,从而实现对企业全面经济活动的控制。图2列示了各类企业全面预算的基本业务流程。

如前所述,全面预算是企业加强内部控制、实现发展战略的重要工具和手段,但同时也是企业内部控制的对象。企业应当参照图2的基本流程,结合自身情况及管理要求,制定具体的全面预算业务流程。

图2 全面预算基本业务流程图

四、预算流程主要业务风险及控制措施 (一)预算编制

预算编制是企业实施全面预算管理的起点。预算编制环节的主要风险是:第一,预算编制以财务部门为主,业务部门参与度较低,可能导致预算编制不合理,预算管理责、权、利不匹配;预算编制范围和项目不全面,各个预算之间缺乏整合,可能导致全面预算难以形成。第二,预算编制所依据的相关信息不足,可能导致预算目标与战略规划、经营计划、市场环境、企业实际等相脱离;预算编制基础数据不足,可能导致预算编制准确率降低。第三,预

算编制程序不规范,横向、纵向信息沟通不畅,可能导致预算目标缺乏准确性、合理性和可行性。第四,预算编制方法选择不当,或强调采用单一的方法,可能导致预算目标缺乏科学性和可行性。第五,预算目标及指标体系设计不完整、不合理、不科学,可能导致预算管理在实现发展战略和经营目标、促进绩效考评等方面的功能难以有效发挥。第六,编制预算的时间太早或太晚,可能导致预算准确性不高,或影响预算的执行。 主要控制措施:

第一,全面性控制。一是明确企业各个部门、单位的预算编制责任,使企业各个部门、单位的业务活动全部纳入预算管理;二是将企业经营、投资、财务等各项经济活动的各个方面、各个环节都纳入预算编制范围,形成由经营预算、投资预算、筹资预算、财务预算等一系列预算组成的相互衔接和勾稽的综合预算体系。

第二,编制依据和基础控制。一是制定明确的战略规划,并依据战略规划制定年度经营目标和计划,作为制定预算目标的首要依据,确保预算编制真正成为战略规划和年度经营计划的年度具体行动方案;二是深入开展企业外部环境的调研和预测,包括对企业预算期内客户需求、同行业发展等市场环境的调研,以及宏观经济等社会环境的调研,确保预算编制以市场预测为依据,与市场、社会环境相适应;三是深入分析企业上一期间的预算执行情况,充分预计预算期内企业资源状况、生产能力、技术水平等自身环境的变化,确保预算编制符合企业生产经营活动的客观实际;四是重视和加强预算编制基础管理工作,包括历史资料记录、定额制定与管理、标准化工作、会计核算等,确保预算编制以可靠、翔实、完整的基础数据为依据。

第三,编制程序控制。企业应当按照上下结合、分级编制、逐级汇总的程序,编制年度全面预算。其基本步骤及其控制为:一是建立系统的指标分解体系,并在与各预算责任中心进行充分沟通的基础上分解下达初步预算目标;二是各预算责任中心按照下达的预算目标和预算,结合自身特点以及预测的执行条件,认真测算并提出本责任中心的预算草案,逐级汇总上报预算管理工作机构; 三是预算管理工作机构进行充分协调、沟通,审查平衡预

算草案;四是预算管理委员会应当对预算管理工作机构在综合平衡基础上提交的预算方案进行研究论证,从企业发展全局角度提出进一步调整、修改的建议,形成企业年度全面预算草案,提交董事会;五是董事会审核全面预算草案,确保全面预算与企业发展战略、年度生产经营计划相协调。

第四,编制方法控制。企业应当本着遵循经济活动规律,充分考虑符合企业自身经济业务特点、基础数据管理水平、生产经营周期和管理需要的原则,选择或综合运用固定预算、弹性预算、滚动预算等方法编制预算。

第五,预算目标及指标体系设计控制。一是按照“财务指标为主体、非财务指标为补充”的原则设计预算指标体系;二是将企业的战略规划、经营目标体现在预算指标体系中;三是将企业产、供、销、投融资等各项活动的各个环节、各个方面的内容都纳入预算指标体系;四是将预算指标体系与绩效评价指标协调一致;五是按照各责任中心在工作性质、权责范围、业务活动特点等方面的不同,设计不同或各有侧重的预算指标体系。

第六,预算编制时间控制。企业可以根据自身规模大小、组织结构和产品结构的复杂性、预算编制工具和熟练程度、全面预算开展的深度和广度等因素,确定合适的全面预算编制时间,并应当在预算年度开始前完成全面预算草案的编制工作。 (二)预算审批

预算审批环节的主要风险是:全面预算未经适当审批或超越授权审批,可能导致预算权威性不够、执行不力,或可能因重大差错、舞弊而导致损失。

主要控制措施:企业全面预算应当按照《公司法》等相关法律法规及企业章程的规定报经审议批准。 (三)预算下达

预算下达环节的主要风险是:全面预算下达不力,可能导致预算执行或考核无据可查。 主要控制措施:企业全面预算经审议批准后应及时以文件形式下达执行。 (四)预算指标分解和责任落实

该环节的主要风险是:预算指标分解不够详细、具体,可能导致企业的某些岗位和环节缺乏预算执行和控制依据;预算指标分解与业绩考核体系不匹配,可能导致预算执行不力;预算责任体系缺失或不健全,可能导致预算责任无法落实,预算缺乏强制性与严肃性;预算责任与执行单位或个人的控制能力不匹配,可能导致预算目标难以实现。 主要控制措施:

第一,企业全面预算一经批准下达,各预算执行单位应当认真组织实施,将预算指标层层分解,横向将预算指标分解为若干相互关联的因素,寻找影响预算目标的关键因素并加以控制;纵向将各项预算指标层层分解落实到最终的岗位和个人,明确责任部门和最终责任人;时间上将年度预算指标分解细化为季度、月度预算,通过实施分期预算控制,实现年度预算目标。

第二,建立预算执行责任制度,对照已确定的责任指标,定期或不定期地对相关部门及人员责任指标完成情况进行检查,实施考评。可以通过签订预算目标责任书等形式明确各预算执行部门的预算责任。

第三,分解预算指标和建立预算执行责任制应当遵循定量化、全局性、可控性原则。即:预算指标的分解要明确、具体,便于执行和考核;预算指标的分解要有利于企业经营总目标的实现;赋予责任部门和责任人的预算指标应当是通过该责任部门或责任人的努力可以达到的,责任部门或责任人以其责权范围为限,对预算指标负责。 (五)预算执行控制

预算执行控制环节的主要风险是:缺乏严格的预算执行授权审批制度,可能导致预算执行随意;预算审批权限及程序混乱,可能导致越权审批、重复审批,降低预算执行效率和严肃性;预算执行过程中缺乏有效监控,可能导致预算执行不力,预算目标难以实现;缺乏健全有效的预算反馈和报告体系,可能导致预算执行情况不能及时反馈和沟通,预算差异得不到及时分析,预算监控难以发挥作用。 主要控制措施:

第一,加强资金收付业务的预算控制,及时组织资金收入,严格控制资金支付,调节资金收付平衡,防范支付风险。

第二,严格资金支付业务的审批控制,及时制止不符合预算目标的经济行为,确保各项业务和活动都在授权的范围内运行。企业应当就涉及资金支付的预算内事项、超预算事项、预算外事项建立规范的授权批准制度和程序,避免越权审批、违规审批、重复审批现象的发生。对于预算内非常规或金额重大事项,应经过较高的授权批准层(如总经理)审批。对于超预算或预算外事项,应当实行严格、特殊的审批程序,一般须报经总经理办公会或类似权力机构审批;金额重大的,还应报经预算管理委员会或董事会审批。预算执行单位提出超预算或预算外资金支付申请,应当提供有关发生超预算或预算外支付的原因、依据、金额测算等资料。

第三,建立预算执行实时监控制度,及时发现和纠正预算执行中的偏差。确保企业办理采购与付款、销售与收款、成本费用、工程项目、对外投融资、研究与开发、信息系统、人力资源、安全环保、资产购置与维护等各项业务和事项,均符合预算要求;对于涉及生产过程和成本费用的,还应严格执行相关计划、定额、定率标准。

第四,建立重大预算项目特别关注制度。对于工程项目、对外投融资等重大预算项目,企业应当密切跟踪其实施进度和完成情况,实行严格监控。对于重大的关键性预算指标,也要密切跟踪、检查。

第五,建立预算执行情况预警机制,科学选择预警指标,合理确定预警范围,及时发出预警信号,积极采取应对措施。有条件的企业,应当推进和实施预算管理的信息化,通过现代电子信息技术手段控制和监控预算执行,提高预警与应对水平。

第六,建立健全预算执行情况内部反馈和报告制度,确保预算执行信息传输及时、畅通、有效。预算管理工作机构应当加强与各预算执行单位的沟通,运用财务信息和其他相关资料监控预算执行情况,采用恰当方式及时向预算管理委员会和各预算执行单位报告、反馈预算执行进度、执行差异及其对预算目标的影响,促进企业全面预算目标的实现。

(六)预算分析

预算分析环节的主要风险是:预算分析不正确、不科学、不及时,可能削弱预算执行控制的效果,或可能导致预算考评不客观、不公平;对预算差异原因的解决措施不得力,可能导致预算分析形同虚设。 主要控制措施:

第一,企业预算管理工作机构和各预算执行单位应当建立预算执行情况分析制度,定期召开预算执行分析会议,通报预算执行情况,研究、解决预算执行中存在的问题,认真分析原因,提出改进措施。

第二,企业应当加强对预算分析流程和方法的控制,确保预算分析结果准确、合理。预算分析流程一般包括确定分析对象、收集资料、确定差异及分析原因、提出措施及反馈报告等环节。企业分析预算执行情况,应当充分收集有关财务、业务、市场、技术、、法律等方面的信息资料,根据不同情况分别采用比率分析、比较分析、因素分析等方法,从定量与定性两个层面充分反映预算执行单位的现状、发展趋势及其存在的潜力。

第三,企业应当采取恰当措施处理预算执行偏差。企业应针对造成预算差异的不同原因采取不同的处理措施:因内部执行导致的预算差异,应分清责任归属,与预算考评和奖惩挂钩,并将责任单位或责任人的改进措施的实际执行效果纳入业绩考核;因外部环境变化导致的预算差异,应分析该变化是否长期影响企业发展战略的实施,并作为下期预算编制的影响因素。

(七)预算调整

预算调整环节的主要风险是:预算调整依据不充分、方案不合理、审批程序不严格,可能导致预算调整随意、频繁,预算失去严肃性和“硬约束”。 主要控制措施:

第一,明确预算调整条件。由于市场环境、国家或不可抗力等客观因素,导致预算执行发生重大差异确需调整预算的,应当履行严格的审批程序。企业应当在有关预算管理制

度中明确规定预算调整的条件。

第二,强化预算调整原则。一是预算调整应当符合企业发展战略、年度经营目标和现实状况,重点放在预算执行中出现的重要的、非正常的、不符合常规的关键性差异方面;二是预算调整方案应当客观、合理、可行,在经济上能够实现最优化;三是预算调整应当谨慎,调整频率应予以严格控制,年度调整次数应尽量少。

第三,规范预算调整程序,严格审批。调整预算一般由预算执行单位逐级向预算管理委员会提出书面申请,详细说明预算调整理由、调整建议方案、调整前后预算指标的比较、调整后预算指标可能对企业预算总目标的影响等内容。预算管理工作机构应当对预算执行单位提交的预算调整报告进行审核分析,集中编制企业年度预算调整方案,提交预算管理委员会。预算管理委员会应当对年度预算调整方案进行审议,根据预算调整事项性质或预算调整金额的不同,根据授权进行审批,或提交原预算审批机构审议批准,然后下达执行。企业预算管理委员会或董事会审批预算调整方案时,应当依据预算调整条件,并考虑预算调整原则严格把关,对于不符合预算调整条件的,坚决予以否决;对于预算调整方案欠妥的,应当协调有关部门和单位研究改进方案,并责成预算管理工作机构予以修改后再履行审批程序。 (八)预算考核

预算考核环节的主要风险是:预算考核不严格、不合理、不到位,可能导致预算目标难以实现、预算管理流于形式。其中,预算考核是否合理受到考核主体和对象的界定是否合理、考核指标是否科学、考核过程是否公开透明、考核结果是否客观公正、奖惩措施是否公平合理且能够落实等因素的影响。 主要控制措施:

第一,建立健全预算执行考核制度。一是建立严格的预算执行考核制度,对各预算执行单位和个人进行考核,将预算目标执行情况纳入考核和奖惩范围,切实做到有奖有惩、奖惩分明。二是制定有关预算执行考核的制度或办法,并认真、严格地组织实施。三是定期组织实施预算考核,预算考核的周期一般应当与年度预算细分周期相一致,即一般按照月度、季

度实施考评,预算年度结束后再进行年度总考核。

第二,合理界定预算考核主体和考核对象。预算考核主体分为两个层次:预算管理委员会和内部各级预算责任单位。预算考核对象为企业内部各级预算责任单位和相关个人。界定预算考核主体和考核对象应当主要遵循以下原则:一是上级考核下级原则,即由上级预算责任单位对下级预算责任单位实施考核;二是逐级考核原则,即由预算执行单位的直接上级对其进行考核,间接上级不能隔级考核间接下级;三是预算执行与预算考核相互分离原则,即预算执行单位的预算考核应由其直接上级部门来进行,而绝不能自己考核自己。

第三,科学设计预算考核指标体系。应主要把握以下原则:预算考核指标要以各责任中心承担的预算指标为主,同时本着相关性原则,增加一些全局性的预算指标和与其关系密切的相关责任中心的预算指标;考核指标应以定量指标为主,同时根据实际情况辅之以适当的定性指标;考核指标应当具有可控性、可达到性和明晰性。

第四,按照公开、公平、公正原则实施预算考核。一是考核程序、标准、结果要公开。企业应当将全面预算考核程序、考核标准、奖惩办法、考核结果等及时公开。二是考核结果要客观公正。预算考核应当以客观事实作为依据。预算执行单位上报的预算执行报告是预算考核的基本依据,应当经本单位负责人签章确认。企业预算管理委员会及其工作机构定期组织预算执行情况考核时,应当将各预算执行单位负责人签字上报的预算执行报告和已掌握的动态监控信息进行核对,确认各执行单位预算完成情况。必要时,实行预算执行情况内部审计制度。三是奖惩措施要公平合理并得以及时落实。预算考核的结果应当与各执行单位以及员工的薪酬、职位等进行挂钩,实施预算奖惩。企业设计预算奖惩方案时,应当以实现全面预算目标为首要原则,同时还应遵循公平合理、奖罚并存的原则。奖惩方案要注意各部门利益分配的合理性,要根据各部门承担的工作难易程度和技术含量合理确定奖励差距。要奖罚并举,不能只奖不罚,并防止奖惩实施中的人情添加因素。

提高合同管理效能 维护企业合法权益

——财政部会计司解读《企业内部控制应用指引第16号——合同管理》

合同是企业与自然人、法人及其他组织等平等主体之间设立、变更、终止民事权利义

务关系的协议。加强合同管理,有利于规范、约束市场主体交易行为,优化资源配置,维护市场秩序。制定和实施《企业内部控制应用指引第16号——合同管理》,旨在帮助企业规范当事人双方经营行为,维护自身合法权益、防控法律风险,促进实现内部控制目标。本文就此进行解读。

一、 合同管理的总体要求

企业需要建立一系列制度体系和机制保障,促进合同管理的作用得到有效发挥。 (一)建立分级授权管理制度

企业应当根据经济业务性质、组织机构设置和管理层级安排,建立合同分级管理制度。属于上级管理权限的合同,下级单位不得签署。对于重大投资类、融资类、担保类、知识产权类、不动产类合同上级部门应加强管理。下级单位认为确有需要签署涉及上级管理权限的合同,应当提出申请,并经上级合同管理机构批准后办理。上级单位应当加强对下级单位合同订立、履行情况的监督检查。 (二)实行统一归口管理

企业可以根据实际情况指定法律部门等作为合同归口管理部门,对合同实施统一规范管理,具体负责制定合同管理制度,审核合同条款的权利义务对等性,管理合同标准文本,管理合同专用章,定期检查和评价合同管理中的薄弱环节,采取相应控制措施,促进合同的有效履行等。

(三)明确职责分工

公司各业务部门作为合同的承办部门负责在职责范围内承办相关合同,并履行合同调查、谈判、订立、履行和终结责任。公司财会部门侧重于履行对合同的财务监督职责。 (四)健全考核与责任追究制度

企业应当健全合同管理考核与责任追究制度,开展合同后评估,对合同订立、履行过程中出现的违法违规行为,应当追究有关机构或人员的责任。 二、 合同管理流程

合同管理从大的方面可以划分为合同订立阶段和合同履行阶段。合同订立阶段包括合同调查、合同谈判、合同文本拟定、合同审批、合同签署等环节;合同履行阶段涉及合同履行、合同补充和变更、合同解除、合同结算、合同登记等环节。下图列示的合同管理流程具有一定通用性。

三、 合同各环节的主要风险点及管控措施 (一)合同调查

合同订立前,企业应当进行合同调查,充分了解合同对方的主体资格、信用状况等有关情况,确保对方当事人具备履约能力。该环节的主要风险是:忽视被调查对象的主体资格审查,准合同对象不具有相应民事权利能力和民事行为能力或不具备特定资质,与不具备代理权或越权代理的主体签订合同,导致合同无效,或引发潜在风险;在合同签订前错误判断被调查对象的信用状况,或在合同履行过程中没有持续关注对方的资信变化,致使企业蒙受损失;对被调查对象的履约能力给出不当评价,将不具备履约能力的对象确定为准合同对象,或将具有履约能力的对象排除在准合同对象之外。

主要管控措施:第一,审查被调查对象的身份证件、法人登记证书、资质证明、授权委托书等证明原件,必要时,可通过发证机关查询证书的真实性和合法性,关注授权代理人的行为是否在其被授权范围内,在充分收集相关证据的基础上评价主体资格是否恰当。第二,获取调查对象经审计的财务报告、以往交易记录等财务和非财务信息,分析其获利能力、偿债能力和营运能力,评估其财务风险和信用状况,并在合同履行过程中持续关注其资信变化,建立和及时更新合同对方的商业信用档案。第三,对被调查对象进行现场调查,实地了解和全面评估其生产能力、技术水平、产品类别和质量等生产经营情况,分析其合同履约能力。第四,与被调查对象的主要供应商、客户、开户银行、主管税务机关和工商管理部门等沟通,了解其生产经营、商业信誉、履约能力等情况。 (二)合同谈判

初步确定准合同对象后,企业内部的合同承办部门将在授权范围内与对方进行合同谈判,按照自愿、公平原则,磋商合同内容和条款,明确双方的权利义务和违约责任。该环节的主要风险是:忽略合同重大问题或在重大问题上做出不当让步;谈判经验不足,缺乏技术、法律和财务知识的支撑,导致企业利益损失;泄露本企业谈判策略,导致企业在谈判中处于

不利地位。

主要管控措施:第一,收集谈判对手资料,充分熟悉谈判对手情况,做到知己知彼;研究国家相关法律法规、行业监管、产业、同类产品或服务价格等与谈判内容相关的信息,正确制定本企业谈判策略。第二,关注合同核心内容、条款和关键细节,具体包括合同标的的数量、质量或技术标准,合同价格的确定方式与支付方式,履约期限和方式,违约责任和争议的解决方法、合同变更或解除条件等。第三,对于影响重大、涉及较高专业技术或法律关系复杂的合同,组织法律、技术、财会等专业人员参与谈判,充分发挥团队智慧,及时总结谈判过程中的得失,研究确定下一步谈判策略。第四,必要时可聘请外部专家参与相关工作,并充分了解外部专家的专业资质、胜任能力和职业道德情况。第五,加强保密工作,严格责任追究制度。第六,对谈判过程中的重要事项和参与谈判人员的主要意见,予以记录并妥善保存,作为避免合同舞弊的重要手段和责任追究的依据。 (三)合同文本拟定

企业在合同谈判后,根据协商谈判结果,拟定合同文本。该环节的主要风险是:选择不恰当的合同形式;合同与国家法律法规、行业产业、企业总体战略目标或特定业务经营目标发生冲突;合同内容和条款不完整、表述不严谨准确,或存在重大疏漏和欺诈,导致企业合法利益受损;有意拆分合同规避合同管理规定等;对于合同文本须报经国家有关主管部门审查或备案的,未履行相应程序。

主要管控措施:第一,企业对外发生经济行为,除即时结清方式外,应当订立书面合同。第二,严格审核合同需求与国家法律法规、产业、企业整体战略目标的关系,保证其协调一致;考察合同是否以生产经营计划、项目立项书等为依据,确保完成具体业务经营目标。第三,合同文本一般由业务承办部门起草,法律部门审核;重大合同或法律关系复杂的特殊合同应当由法律部门参与起草。国家或行业有合同示范文本的,可以优先选用,但对涉及权利义务关系的条款应当进行认真审查,并根据实际情况进行适当修改。各部门应当各司其职,保证合同内容和条款的完整准确。第四,通过统一归口管理和授权审批制度,严格合同管理,

防止通过化整为零等方式故意规避招标的做法和越权行为。第五,由签约对方起草的合同,企业应当认真审查,确保合同内容准确反映企业诉求和谈判达成的一致意见,特别留意“其他约定事项”等需要补充填写的栏目,如不存在其他约定事项时注明“此处空白”或“无其他约定”,防止合同后续被篡改。第六,合同文本须报经国家有关主管部门审查或备案的,应当履行相应程序。 (四)合同审核

合同文本拟定完成后,企业应进行严格的审核。该环节的主要风险是:合同审核人员因专业素质或工作态度原因未能发现合同文本中的不当内容和条款;审核人员虽然通过审核发现问题但未提出恰当的修订意见;合同起草人员没有根据审核人员的改进意见修改合同,导致合同中的不当内容和条款未被纠正。

主要管控措施:第一,审核人员应当对合同文本的合法性、经济性、可行性和严密性进行重点审核,关注合同的主体、内容和形式是否合法,合同内容是否符合企业的经济利益,对方当事人是否具有履约能力,合同权利和义务、违约责任和争议解决条款是否明确等。第二,建立会审制度,对影响重大或法律关系复杂的合同文本,组织财会部门、内部审计部、法律部、业务关联的相关部门进行审核,内部相关部门应当认真履行职责。第三,慎重对待审核意见,认真分析研究,慎重对待,对审核意见准确无误地加以记录,必要时对合同条款作出修改并再次提交审核。 (五)合同签署

企业经审核同意签订的合同,应当与对方当事人正式签署并加盖企业合同专用章。该环节的主要风险是:超越权限签订合同,合同印章管理不当,签署后的合同被篡改,因手续不全导致合同无效等。

主要管控措施:第一,按照规定的权限和程序与对方当事人签署合同。对外正式对外订立的合同应当由企业法定代表人或由其授权的代理人签名或加盖有关印章。授权签署合同的,应当签署授权委托书。第二,严格合同专用章保管制度,合同经编号、审批及企业法定

代表人或由其授权的代理人签署后,方可加盖合同专用章。用印后保管人应当立即收回,并按要求妥善保管,以防止他人滥用。保管人应当记录合同专用章使用情况以备查,如果发生合同专用章遗失或被盗现象,应当立即报告公司负责人并采取妥善措施,如向机关报案、登报声明作废等,以最大限度消除可能带来的负面影响。第三,采取恰当措施,防止已签署的合同被篡改,如在合同各页码之间加盖骑缝章、使用防伪印记、使用不可编辑的电子文档格式等。第四,按照国家有关法律、行规规定,需办理批准、登记等手续之后方可生效的合同,企业应当及时按规定办理相关手续。 (六)合同履行

合同订立后,企业应当与合同对方当事人一起遵循诚实信用原则,根据合同的性质、目的和交易习惯履行通知、协助、保密等义务。该环节的主要风险是:本企业或合同对方当事人没有恰当地履行合同中约定的义务;合同生效后,对合同条款未明确约定的事项没有及时协议补充,导致合同无法正常履行;在合同履行过程中,未能及时发现已经或可能导致企业利益受损情况,或未能采取有效措施;合同纠纷处理不当,导致企业遭受外部处罚、诉讼失败,损害企业利益、信誉和形象等。

主要管控措施:第一,强化对合同履行情况及效果的检查、分析和验收,全面适当执行本企业义务,敦促对方积极执行合同,确保合同全面有效履行。第二,对合同对方的合同履行情况实施有效监控,一旦发现有违约可能或违约行为,应当及时提示风险,并立即采取相应措施将合同损失降到最低。第三,根据需要及时补充、变更甚至解除合同。一是对于合同没有约定或约定不明确的内容,通过双方协商一致对原有合同进行补充;无法达成补充协议的,按照国家相关法律法规、合同有关条款或者交易习惯确定;二是,对于显失公平、条款有误或存在欺诈行为的合同,以及因调整、市场变化等客观因素已经或可能导致企业利益受损的合同,按规定程序及时报告,并经双方协商一致,按照规定权限和程序办理合同变更或解除事宜;三是对方当事人提出中止、转让、解除合同的,造成企业经济损失的,应向对方当事人书面提出索赔。第四,加强合同纠纷管理,在履行合同过程中发生纠纷的,应当

依据国家相关法律法规,在规定时效内与对方当事人协商并按规定权限和程序及时报告。合同纠纷经协商一致的,双方应当签订书面协议;合同纠纷经协商无法解决的,根据合同约定选择仲裁或诉讼方式解决。企业内部授权处理合同纠纷,应当签署授权委托书。纠纷处理过程中,未经授权批准,相关经办人员不得向对方当事人作出实质性答复或承诺。 (七)合同结算

合同结算是合同执行的重要环节,既是对合同签订的审查,也是对合同执行的监督,一般由财会部门负责办理。该环节的主要风险是:违反合同条款,未按合同规定期限、金额或方式付款;疏于管理,未能及时催收到期合同款项;在没有合同依据的情况下盲目付款等。 主要管控措施:第一,财会部门应当在审核合同条款后办理结算业务,按照合同规定付款,及时催收到期欠款。第二,未按合同条款履约或应签订书面合同而未签订的,财会部门有权拒绝付款,并及时向企业有关负责人报告。 (四)合同登记

合同登记管理制度体现合同的全过程封闭管理,合同的签署、履行、结算、补充或变更、解除等都需要进行合同登记。该环节的主要风险是:合同档案不全,合同泄密,合同滥用等。 主要管控措施:第一,合同管理部门应当加强合同登记管理,充分利用信息化手段,定期对合同进行统计、分类和归档,详细登记合同的订立、履行和变更、终结等情况,合同终结应及时办理销号和归档手续,以实行合同的全过程封闭管理。第二,建立合同文本统一分类和连续编号制度,以防止或及早发现合同文本的遗失。第三,加强合同信息安全保密工作,未经批准,任何人不得以任何形式泄露合同订立与履行过程中涉及的国家或商业秘密。第四,规范合同管理人员职责,明确合同流转、借阅和归还的职责权限和审批程序等有关要求。 四、 合同管理的后评估

合同作为企业承担民事责任、履行权利义务的重要依据,是企业管理活动的重要痕迹,也是企业风险管理的主要载体,为此,合同管理内部控制指引强调企业应当建立合同管理的后评估制度。企业应当建立合同履行情况评估制度,至少于每年年末对合同履行的总体

情况和重大合同履行的具体情况进行分析评估,对分析评估中发现合同履行中存在的不足,应当及时加以改进。

有效管控内部信息传递促进企业经营管理决策优化

—财政部会计司解读《企业内部控制应用指引第17号—— —内部信息传递》

信息资源是一个企业赖以生存的重要因素之一,企业在制定决策和日常运作中需要各种形式的信息。内部信息传递是企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。企业的内部控制活动离不开信息的沟通和传递。信息在企业内部进行有目的地传递,对贯彻落实企业发展战略、执行企业全面预算、识别企业生产经营活动中的内外部风险具有重要作用。《企业内部控制基本规范》十分重视信息与沟通这一控制要素。为了促进企业生产经营管理信息在内部各管理层级之间的有效沟通和充分利用,财政部等五部委专门制定了《企业内部控制应用指引第17号—— —内部信息传递》(下称“《内部信息传递》”),突出强调了内部报告的形成、使用和评估,提出了内部信息传递应当关注的主要风险以及相应的管控措施。本文就此进行解读。

一、内部信息传递的总体要求

为服务于企业生产经营管理决策,做好各项内部报告工作,企业管理人员需要从各种渠道获取相应的信息。企业内部信息有来自业务第一线人员根据市场或业务工作整理的信息,也有来自管理人员根据相关内部信息对所负责部门形成的指示或情况通报。尽管有关信息的来源、内容、提供者、传递方式和渠道等各不相同,但收集和传递相关信息一般应遵循以下原则。

(一)真实准确性。虚假或不准确的信息将严重误导信息使用者,甚至导致决策失误,造成巨大的经济损失。内部报告的信息应当与所要表达的现象和状况保持一致,若不能真实反映所计量的经济事项,就不具有可靠性。

(二)及时有效性。如果信息未能及时提供,或者及时提供的信息不具有相关性,或者提供的相关信息未被有效利用,都可能导致企业决策延误,经营风险增加,甚至可能使企业较高层次的管理陷入困境,不利于对实际情况进行及时有效的控制和矫正,同时也将大大降低内部报告的决策相关性。只有那些切合具体任务和实际工作,并且能够符合信息使用单位需求的信息才是具有使用价值的。

(三)遵守保密原则。企业内部的运营情况、技术水平、财务状况以及有关重大事项等通常涉及到商业秘密,内幕信息知情者(包括董事会成员、监事、高级管理人员及其他涉及信息披露有关部门的涉密人员)都负有保密义务。这些内部信息一旦泄露,极有可能导致企业的商业秘密被竞争对手获知,使企业处于被动境地,甚至造成重大损失。

二、内部信息传递流程

企业应当加强内部报告管理,全面梳理内部信息传递过程中的薄弱环节,建立科学的内部信息传递机制,明确内部信息传递具体要求,关注内部报告的有效性、及

时性和安全性,促进内部报告的有效利用,充分发挥内部报告的作用。

下图列示的内部信息传递流程具有普适性。企业在实际操作中,应当充分结合自身业务特点和管理要求,构建和优化内部信息传 递流程。

三、内部信息传递流程的主要风险点及管控措施

(一)建立内部报告指标体系内部报告指标体系是否科学直接关系到内部报告反映的信息是否完整和有用,这就要求企业应当根据自身的发展战略、风险控制和业绩考核特点,系统、科学地规范不同级次内部报告的指标体系,合理设置关键信息指标和辅助信息指标,并与全面预算管理等相结合,同时应随着环境和业务的变化不断进行修订和完善。在设计内部报告指标体系时,企业应当根据内部各“信息用户”的需求选择信息指标,以满足其经营决策、业绩考核、企业价值与风险评估的需要。该环节的主要风险是:指标体系的设计未能结合企业的发展战略,指标体系级次混乱,与全面预算管理要求相脱节,并且一旦设定后未能根据环境和业务变化有所调整。 主要管控措施:第一,企业应认真研究企业的发展战略、风险控制要求和业绩考核标准,根据各管理层级对信息的需求和详略程度,建立一套级次分明的内部报告指标体系。企业明确的战略目标和具体的战略规划为内部报告控制目标的确定提供了依据。第二,企业内部报告指标确定后,应进行细化,层层分解,使企业中各责任中心及其各相关职能部门都有自己明确的目标,以利于控制风险并进行业绩考核。 由此可见,企业的战略目标、战略规划、内部报告的控制目标、各责任中心以及各职能部门的控制目标,是一个通过内部信息传递相互联系、不断细化的体系。第三,内部报告需要依据全面预算的标准进行信息反馈,将预算控制的过程和结果向企业内部管理层报告,以有效控制预算执行情况、明确相关责任、科学考核业绩,并根据新的环境和业务,调整决策部署,更好地规划和控制企业的资产和收益,实现资源的最有效配置和管理的协同效应。

(二)收集内外部信息为了随时掌握有关市场状况、竞争情况、变化及环境的变化,保证企业发展战略和经营目标的实现,企业应当完善内外部重要相关信息的收集机制和传递机制,使重要信息能够及时获得并向上级呈报。企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息;通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息。企业应当广泛收集、分析、整理内外部信息,并通过内部报告传递到企业内部相关管理层级,以便及时采取应对策略。该环节的主要风险是:收集的内外部信息过于散乱,不能突出重点;内容准确性差,据此信息进行的决策容易误导经营活动;获取内外部信息的成本过高,违反了成本效益原则。

主要管控措施:第一,根据特定服务对象的需求,选择信息收集过程中重点关注的信息类型和内容。

为特定对象、特定目标服务的信息,具有更高的适用性,对于使用者具有更现实、重要的意义。因此需要根据信息需求者要求按照一定的标准对信息进行分类汇总。第二,对信息进行审核和鉴别,对已经筛选的资料作进一步的检查,确定其真实性 和合理性。企业应当检查信息在事实与时间上有无差错,是否合乎逻辑,其来源单位、资料份数、指标等是否完整。第三,企业应当在收集信息的过程中考虑获取信息的便利性及其获取成本高低,如果需要较大代价获取信息,则应当权衡其成本与信息的使

用价值,确保所获取信息符合成本效益原则。

(三)编制及审核内部报告企业各职能部门应将收集的有关资料进行筛选、抽取,然后,根据各管理层级对内部报告的信息需求和先前制定的内部报告指标,建立各种分析模型,提取有效数据并进行反馈汇总,在此基础上,对分析模型进一步改造,进行资料分析,起草内部报告,形成总结性结论,并提出相应的建议,从而对发展趋势、策略规划、前景预测等提供重要的分析指导,为企业的效益分析、业务拓展提供有力的保障。企业内部报告因报告类型不同、反映的信息特点不同,内部报告的格式不尽一致。一般情况下,企业内部报告应当包括报告名、文件号、执行范围、内容、起草或制定部门、报送和抄送部门及时效要求等。该环节的主要风险是:内部报告未能根据各内部使用单位的需求进行编制,内容不完整,编制不及时,未经审核即向有关部门传递。

主要管控措施:第一,企业内部报告的编制单位应紧紧围绕内部报告使用者的信息需求,以内部报告指标体系为基础,编制内容全面、简洁明了、通俗易懂的内部报告,便于企业各管理层级和全体员工掌握相关信息,正确履行职责。第二,企业应合理设计内部报告编制程序,提高编制效率,保证内部报告能在第一时间提供给相关管理部门。对于重大突发事件应以速度优先,尽可能快的编制出内部报告,向董事会报告。第三,企业应当建立内部报告审核制度,设定审核权限,确保内部报告信息质量。企业必须对岗位与职责分工进行控制,内部报告的起草与审核岗位分离,内部报告在传递前必须经签发部门负责人审核。

对于重要信息,企业应当委派专门人员对其传递过程进行复核,确保信息正确的传递给使用者。

(四)构建内部报告流转体系及渠道企业应当制定严密的内部报告传递流程,充分利用信息技术,强化内部报告信息集成和共享,将内部报告纳入企业统一信息平台,构建科学的内部报告网络体系。企业内部各管理层级均应当指定专人负责内部报告工作。正常而言,内部报告应当按照职责分工和权限指引中规定的报告关系传递信息。但为保证信息传递的及时性,重要信息应当及时传递给董事会、监事会和经理层。企业应当拓宽内部报告渠道,通过落实奖励措施等多种有效方式,广泛收集合理化建议。该环节的主要风险是:缺乏内部报告传递流程,内部报告未按传递流程进行传递流转,内部报告流转不及时。

主要管控措施:第一,企业应当制定内部报告传递制度。企业可根据信息的重要性、内容等特征,确定不同的流转环节。第二,企业应严格按设定的传递流程进行流转。企业各管理层对内部报告的流转应做好记录,对于未按照流转制度进行操作的事件,应当调查原因,并做相应处理。第三,企业应及时更新信息系统,确保内部报告有效安全的传递。

企业应在实际工作中尝试精简信息系统的处理程序,使信息在企业内部更快地传递。对于重要紧急的信 息,可以越级向董事会、监事会或经理层直接报告,便于相关负责人迅速做出决策。

(五)内部报告有效使用及保密要求企业各级管理人员应当充分利用内部报告进行有效决策,管理和指导企业的日常生产经营活动,及时反映全面预算执行情况,协调企业内部相关部门和各单位的运营进度,严格绩效考核和责任追究,确保企业实现发展战略和经营目标。

企业应当有效利用内部报告进行风险评估,准确识别和系统分析企业生产经营

活动中的内外部风险,确定风险应对策略,实现对风险的有效控制。企业对于内部报告反映出的问题应当及时解决。企业应当制定严格的内部报告保密制度,明确保密内容、保密措施、密级程度和传递范围,防止泄露商业秘密。该环节的主要风险是:企业管理层在决策时并没有使用内部报告提供的信息,内部报告未能用于风险识别和控制,商业秘密通过企业内部报告被泄露。

主要管控措施:第一,企业在预算控制、生产经营管理决策和业绩考核时充分使用内部报告提供的信息。企业应当将预算控制和内部报告接轨,通过内部报告及时反映全面预算的执行情况;要求企业尽可能利用内部报告的信息对生产、购售、投资、筹资等业务进行因素分析、对比分析和趋势分析等,发现存在的问题,及时查明原因并加以改进;将绩效考评和责任追究制度与内部报告联系起来,依据及时、准确、按规范流程提供的信息进行透明、客观的定期业绩考核,并对相关责任人进行追究惩罚。第二,企业管理层应通过内部报告提供的信息对企业生产经营管理中存在的风险进行评估,准确识别和系统分析企业生产经营活动中的内外部风险,涉及突出问题和重大风险的,应当启动应急预案。第三,企业应从内部信息传递的时间、空间、节点、流程等方面建立控制,通过职责分离、授权接触、监督和检查等手段防止商业秘密泄露。 (六)内部报告的保管在企业的经营管理活动中,会产生大量的数据信息,管理好这些资料,对于分析和解决企业管理中的问题至关重要。但是,有些企业对这些管理中产生的大量数据记录采取粗放经营的态度,甚至使一些重要数据丢失,造成不可挽回的损失。

例如,在原材料采购和商品销售过程中,市场价格的调查资料、对供应商和销售商做出选择的依据、对方企业的资金信用状况等数据资料,不仅是企业以后购销工作的重要参考依据,同时也是实行财务监督的重要依据,但是许多企业对以上资料不做长期保留,致使发生了原材料质量问题或者是应收账款变成坏账等问题以后,都找不到企业内部的责任者,分析不出失误的原因,更找不到解决问题的方法。该环节的主要风险是:企业缺少内部报告的保管制度,内部报告的保管存放杂乱无序,对重要资料的保管期限过短,保密措施不严。

主要管控措施:第一,企业应当建立内部报告保管制度,各部门应当指定专人按类别保管相应的内部报告。第二,为了便于内部报告的查阅、对比分析,改善内部报告的格式,提高内部报告的有用性,企业应按类别保管内部报告,对影响较大的、金额较高的一般要严格保管,如企业重大重组方案、企业债券发行 方案等。第三,企业对不同类别的报告应按其影响程度规定其保管年限,只有超过保管年限的内部报告方可予以销毁。对影响重大的内部报告,应当永久保管,如公司章程及相应的修改、公司股东登记表等。有条件的企业应当建立电子内部报告保管库,分性质,按照类别、时间、保管年限、影响程序及保密要求等分门别类地储存电子内部报告。第四,企业应当制定严格的内部报告保密制度,明确保密内容、保密措施、密级程度和传递范围,防止泄露商业秘密。有关公司商业秘密的重要文件要由企业较高级别的管理人员负责,具体至少由两人共同管理,放置在专用保险箱内。查阅保密文件,必须经该高层管理人员同意,由两人分别开启相应的锁具方可打开。

(七)内部报告评估由于内部报告传递对企业具有重要影响,《内部信息传递》强调企业应当建立内部报告评价制度。企业应当对内部报告是否全面、完整、内部信息传递是否及时、有效,对内部报告的利用是否符合预期数做到心中有数,这就要求企业建立内部报告评估制度,通过对一段时间内部报告的编制和利用情况进行全面的

回顾和评价,掌握内部信息的真实状况。企业对内部报告的评估应当定期进行,具体由企业根据自身管理要求做出规定,至少每年度对内部报告进行一次评估。企业应当重点关注内部报告的及时性,内部信息传递的有效性和安全性。经过评估发现内部报告存在缺陷的,企业应当及时进行修订和完善,确保内部报告提供的信息及时、有效。该环节主要风险点:企业缺乏完善的内部报告评价体系,对各信息传递环节和传递方式控制不严,针对传递不及时、信息不准确的内部报告缺乏相应的惩戒机制。 主要管控措施:第一,企业应建立并完善企业对内部报告的评估制度,严格按照评估制度对内部报告进行合理评估,考核内部报告在企业生产经营活动中所起的真实作用。第二,为保证信息传递的及时准确,企业必须执行奖惩机制。对经常不能及时或准确传递信息的相关人员应当进行批评和教育,并与绩效考核体系挂钩。

四、反舞弊

舞弊是指以故意的行为获得不公平的或者非法的收益,主要存在 以下领域:虚假财务报告、资产的不适当处置、不恰当的收入和支出、故意的不当关联方交易、税务欺诈、贪污以及收受贿赂和回扣等方面。有效的反舞弊机制,是企业防范、发现和处理舞弊行为、优化内部环境的重要制度安排。有效的信息沟通是反舞弊程序和控制成功的关键。如果信息交流机制不畅通,就会产生信息不对称的问题,舞弊行为产生的机会就会增大。企业应当建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。该环节的主要风险是:忽视了对员工的道德准则体系的培训,内部审计监察不严,内部人员未经授权或者采取其他不法方式侵占、挪用企业资产,在财务会计报告和信息披露等方面存在的虚假记录、误导性陈述或者重大遗漏等,董事、监事、经理及其他高管人员滥用职权,相关机构或人员串通舞弊,企业对举报人的保护力度小,信访事务处理不及时,缺乏相应的舞弊风险评估机制。

主要控制措施:第一,企业应当重视和加强反舞弊机制建设,对员工进行道德准则培训,通过设立员工信箱、投诉热线等方式,鼓励员工及企业利益相关方举报和投诉企业内部的违法违规、舞弊和其他有损企业形象的行为。第二,企业应通过审计委员会对信访、内部审计、监察、接受举报过程中收集的信息进行复查,监督管理层对财务报告施加不当影响的行为、管理层进行的重大不寻常交易、以及企业各管理层级的批准、授权、认证等,防止企业资产侵占、资金挪用、虚假财务报告、滥用职权等现象的发生。第三,企业应当建立反舞弊情况通报制度。企业应定期召开反舞弊情况通报会,由审计部门通报反舞弊工作情况,分析反舞弊形势,评价现有的反舞弊控制措施和程序。第四,企业应当建立举报人保护制度,设立举报责任主体、举报程序,明确举报投诉处理程序,并做好投诉记录的保存。切实落实举报人保护制度是举报投诉制度有效运行的关键。结合企业的实际情况,企业应明确举报人应向谁举报,以何种方式进行举报,举报内容的界定等;确定举报责任主体接到投诉报告后进行调查的程序、办理时限、办结要求及将调查结论提交董事会处理的程序等。

优化信息系统 提升管理水平

——财政部会计司解读《企业内部控制应用指引第18号——信息系统》

一、信息系统内部控制概述

《企业内部控制应用指引第18号———信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。信息系统内部控制的目标是促进企业有效实施内部控制,提高企业现代化管理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障。信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。

现代企业的运营越来越依赖于信息系统。比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等,没有信息系统的支撑,业务开展就举步维艰、难以为继,企业经营就很可能陷入瘫痪状态。还有一些新兴产业和新兴企业,其商业模式完全依赖信息系统,比如各种网络公司(新浪、网易、百度)、各种电子商务公司(比如阿里巴巴、卓越公司),没有信息系统,这些企业可能失去生存之基。

同时应当看到,企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险,至少应当关注下列方面:一是信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;二是系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;三是系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。

鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用,加之信息系统本身的复杂性和高风险特征,《企业内部控制应当指引第18号——信息系统》规定,企业负责人对信息系统建设工作负责。换言之,信息系统建设是“一把手”工程。只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作,才能统一思想、提高认识、加强协调配合,从而推动信息系统建设在整合资源的前提下高效、协调推进。企业应当重视信息系统在内部控制中的作用,根据内部控制要求,结合组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设总体规划,加大投入力度,有序组织信息系统开发、运行与维护,优化管理流程,防范经营风险,全面提升企业现代化管理水平。 二、信息系统的开发

企业根据发展战略和业务需要进行信息系统建设,首先要确立系统建设目标,根据目标进行系统建设战略规划,再将规划细化为项目建设方案。企业开展信息系统建设,可以根据实际情况,采取自行开发、外购调试或业务外包等方式。选择外购调试或业务外包方式的,应当采用公开招标等形式择优选择供应商或开发单位。选择自行开发信息系统的,信息系统归口管理部门应当组织企业内部相关业务部门进行需求分析,合理配置人员,明确系统设计、编程、安装调试、验收、上线等全过程的管理要求。企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理,增进开发单位与企业内部业务部门的日常沟通和协调,组织于开发单位的专业机构对开发完成的信息系统进行检查验收,并组织系统上线运行。 (一)制定信息系统开发的战略规划

信息系统开发的战略规划是信息化建设的起点,战略规划是以企业发展战略为依据制定的企业信息化建设的全局性、长期性规划。制定信息系略规

划的主要风险是:第一,缺乏战略规划或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下。第二,没有将信息化与企业业务需求结合,降低了信息系统的应用价值。信息孤岛现象是不少企业信息系统建设中存在的普遍问题,根源在于这些企业往往忽视战略规划的重要性,缺乏整体观念和整合意识,常常陷于头痛医头,脚痛医脚,这就导致有的企业财务管理信息系统、销售管理信息系统、生产管理信息系统、人力资源管理系统、办公自动化系统等各自为政、孤立存在的现象,削弱了信息系统的协同效用,甚至引发系统冲突。

主要控制措施:第一,企业必须制定信息系统开发的战略规划和中长期发展计划,并在每年制定经营计划的同时制定年度信息系统建设计划,促进经营管理活动与信息系统的协调统一。第二,企业在制定信息化战略过程中,要充分调动和发挥信息系统归口管理部门与业务部门的积极性,使各部门广泛参与,充分沟通,提高战略规划的科学性、前瞻性和适应性。第三,信息系略规划要与企业的组织架构、业务范围、地域分布、技术能力等相匹配,避免相互脱节。

(二)选择适当的信息系统开发方式

信息系统的开发建设是信息系统生命周期中技术难度最大的环节。在开发建设环节,要将企业的业务流程、内控措施、权限配置、预警指标、核算方法等固化到信息系统中,因此开发建设的好坏直接影响信息系统的成败。 开发建设主要有自行开发、外购调试、业务外包等方式。各种开发方式有各自的优缺点和适用条件,企业应根据自身实际情况合理选择。 1.自行开发

自行开发是企业依托自身力量完成整个开发过程。其优点是开发人员熟悉企业情况,可以较好地满足本企业的需求,尤其是具有特殊性的业务需求。通

过自行开发,还可以培养锻炼自己的开发队伍,便于后期的运行和维护。其缺点是开发周期较长、技术水平和规范程度较难保证,成功率相对较低。因此,自行开发方式的适用条件通常是企业自身技术力量雄厚,而且市场上没有能够满足企业需求的成熟的商品化软件和解决方案。比如百度的搜索引擎系统就偏重于自行开发。 2.外购调试

外购调式的基本做法是企业购买成熟的商品化软件,通过参数配置和二次开发满足企业需求。其优点是开发建设周期短;成功率较高;成熟的商品化软件质量稳定,可靠性高;专业的软件提供商实施经验丰富。其缺点是难以满足企业的特殊需求;系统的后期升级进度受制于商品化软件供应商产品更新换代的速度,企业自主权不强,较为被动。外购调试方式的适用条件通常是企业的特殊需求较少,市场上已有成熟的商品化软件和系统实施方案。比如大部分企业的财务管理系统、ERP系统、人力资源管理系统等多采用外购调试方式。 3.业务外包

信息系统的业务外包是指委托其他单位开发信息系统,基本做法是企业将信息系统开发项目外包出去,由专业公司或科研机构负责开发、安装实施,由企业直接使用。其优点是企业可以充分利用专业公司的专业优势,量体裁衣,构建全面、高效满足企业需求的个性化系统;企业不必培养、维持庞大的开发队伍,相应节约了人力资源成本。其缺点是沟通成本高,系统开发方难以深刻理解企业需求,可能导致开发出的信息系统与企业的期望产生较大偏差;同时,由于外包信息系统与系统开发方的专业技能、职业道德和敬业精神存在密切关系,也要求企业必须加大对外包项目的监督力度。业务外包方式的适用条件通常是市场上没有能够满足企业需求的成熟的商品化软件和解决方案,企业自身技术力量薄弱或出于成本效益原则考虑不愿意维持庞大的开发队伍。

(三)自行开发方式的关键控制点和主要控制措施

虽然信息系统的开发方式有自行开发、外购调试、业务外包等多种方式,但基本流程大体相似,通常包含项目计划、需求分析、系统设计、编程和测试、上线等环节。 1.项目计划环节

战略规划通常将完整的信息系统分成若干子系统,并分阶段建设不同的子系统。比如,制造企业可以将信息系统划分为财务管理系统、人力资源管理系统、MRP系统(销售、采购、库存、生产)、计算机辅助设计和制造系统、客户关系系统、电子商务系统等若干子系统。项目就是指本阶段需要建设的相对的一个或多个子系统。

项目计划通常包括项目范围说明、项目进度计划、项目质量计划、项目资源计划、项目沟通计划、风险对策计划、项目采购计划、需求变更控制、配置管理计划等内容。项目计划不是完全静止、一成不变的,在项目启动阶段,可以先制定一个较为原则的项目计划,确定项目主要内容和重大事项,然后根据项目的大小和性质以及项目进展情况进行调整、充实和完善。项目计划环节的主要风险是:信息系统建设缺乏项目计划或者计划不当,导致项目进度滞后、费用超支、质量低下。

主要控制措施:第一,企业应当根据信息系统建设整体规划提出分阶段项目的建设方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的权限和程序审批后实施。第二,企业可以采用标准的项目管理软件(比如Office Project)制定项目计划,并加以跟踪。在关键环节进行阶段性评审,以保证过程可控。第三,项目关键环节编制的文档应参照《GB8567-88计算机软件产品开发文件编制指南》等相关国家标准和行业标准进行,以提高项目计划编制水平。

2.需求分析环节

需求分析的目的是明确信息系统需要实现哪些功能。该项工作是系统分析人员和用户单位的管理人员、业务人员在深入调查的基础上,详细描述业务活动涉及的各项工作以及用户的各种需求,从而建立未来目标系统的逻辑模型。这一环节的主要风险是:第一,需求本身不合理,对信息系统提出的功能、性能、安全性等方面的要求不符合业务处理和控制的需要。第二,技术上不可行、经济上成本效益倒挂,或与国家有关法规制度存在冲突。第三,需求文档表述不准确、不完整,未能真实全面地表达企业需求,存在表述缺失、表述不一致甚至表述错误等问题。

主要控制措施:第一,信息系统归口管理部门应当组织企业内部各有关部门提出开发需求,加强系统分析人员和有关部门的管理人员、业务人员的交流,经综合分析提炼后形成合理的需求。第二,编制表述清晰、表达准确的需求文档。需求文档是业务人员和技术人员共同理解信息系统的桥梁,必须准确表述系统建设的目标、功能和要求。企业应当采用标准建模语言(例如UML),综合运用多种建模工具和表现手段,参照《GB8567-88计算机软件产品开发文件编制指南》等相关标准,提高系统需求说明书的编写质量。第三,企业应当建立健全需求评审和需求变更控制流程。依据需求文档进行设计(含需求变更设计)前,应当评审其可行性,由需求提出人和编制人签字确认,并经业务部门与信息系统归口管理部门负责人审批。 3.系统设计环节

系统设计是根据系统需求分析阶段所确定的目标系统逻辑模型,设计出一个能在企业特定的计算机和网络环境中实现的方案,即建立信息系统的物理模型。系统设计包括总体设计和详细设计。总体设计的主要任务是:第一,设计系统的模块结构,合理划分子系统边界和接口。第二,选择系统实现的技术路

线,确定系统的技术架构,明确系统重要组件的内容和行为特征,以及组件之间、组件与环境之间的接口关系。第三,数据库设计,包括主要的数据库表结构设计、存储设计、数据权限和加密设计等。第四,设计系统的网络拓扑结构、系统部署方式等。详细设计的主要任务包括:程序说明书编制、数据编码规范设计、输入输出界面设计等内容。系统设计环节的主要风险是:第一,设计方案不能完全满足用户需求,不能实现需求文档规定的目标。第二,设计方案未能有效控制建设开发成本,不能保证建设质量和进度。第三,设计方案不全面,导致后续变更频繁。第四,设计方案没有考虑信息系统建成后对企业内部控制的影响,导致系统运行后衍生新的风险。

主要控制措施:第一,系统设计负责部门应当就总体设计方案与业务部门进行沟通和讨论,说明方案对用户需求的覆盖情况;存在备选方案的,应当详细说明各方案在成本、建设时间和用户需求响应上的差异;信息系统归口管理部门和业务部门应当对选定的设计方案予以书面确认。第二,企业应参照《GB8567-88计算机软件产品开发文件编制指南》等相关国家标准和行业标准,提高系统设计说明书的编写质量。第三,企业应建立设计评审制度和设计变更控制流程。第四,在系统设计时应当充分考虑信息系统建成后的控制环境,将生产经营管理业务流程、关键控制点和处理规程嵌入系统程序,实现手工环境下难以实现的控制功能,例如:对于某一财务软件,当输入支出凭证时,可以让计算机自动检查银行存款余额,防止透支。第五,应充分考虑信息系统环境下的新的控制风险,比如,要通过信息系统中的权限管理功能控制用户的操作权限,避免将不相容职务的处理权限授予同一用户。第六,应当针对不同的数据输入方式,强化对进入系统数据的检查和校验功能。比如,凭证的自动平衡校对。第七,系统设计时应当考虑在信息系统中设置操作日志功能,确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据,应当设计由系

统自动报告并设置跟踪处理机制。第八,预留必要的后台操作通道,对于必需的后台操作,应当加强管理,建立规范的操作流程,确保足够的日志记录,保证对后台操作的可监控性。 4.编程和测试环节

编程阶段是将详细设计方案转换成某种计算机编程语言的过程。编程阶段完成之后,要进行测试,测试主要有以下目的:一是发现软件开发过程中的错误,分析错误的性质,确定错误的位置并予以纠正。二是通过某些系统测试,了解系统的响应时间、事务处理吞吐量、载荷能力、失效恢复能力以及系统实用性等指标,以便对整个系统做出综合评价。测试环节在系统开发中具有举足轻重的地位。

这一环节的主要风险是:第一,编程结果与设计不符。第二,各程序员编程风格差异大,程序可读性差,导致后期维护困难,维护成本高。第三,缺乏有效的程序版本控制,导致重复修改或修改不一致等问题。第四,测试不充分。单个模块正常运行但多个模块集成运行时出错,开发环境下测试正常而生产环境下运行出错,开发人员自测正常而业务部门用户使用时出错,导致系统上线后可能出现严重问题。

主要控制措施:第一,项目组应建立并执行严格的代码复查评审制度。第二,项目组应建立并执行统一的编程规范,在标识符命名、程序注释等方面统一风格。第三,应使用版本控制软件系统(例如CVS),保证所有开发人员基于相同的组件环境开展项目工作,协调开发人员对程序的修改。第四,应区分单元测试、组装测试(集成测试)、系统测试、验收测试等不同测试类型,建立严格的测试工作流程,提高最终用户在测试工作中的参与程度,改进测试用例的编写质量,加强测试分析,尽量采用自动测试工具提高测试工作的质量和效率。具备条件的企业,应当组织于开发建设项目组的专业机构对开发

完成的信息系统进行验收测试,确保在功能、性能、控制要求和安全性等方面符合开发需求。 5.上线环节

系统上线是将开发出的系统(可执行的程序和关联的数据)部署到实际运行的计算机环境中,使信息系统按照既定的用户需求来运转,切实发挥信息系统的作用。这一环节的主要风险是:第一,缺乏完整可行的上线计划,导致系统上线混乱无序。第二,人员培训不足,不能正确使用系统,导致业务处理错误,或者未能充分利用系统功能,导致开发成本浪费。第三,初始数据准备设置不合格,导致新旧系统数据不一致、业务处理错误。

主要控制措施:第一,企业应当制定信息系统上线计划,并经归口管理部门和用户部门审核批准。上线计划一般包括人员培训、数据准备、进度安排、应急预案等内容。第二,系统上线涉及新旧系统切换的,企业应当在上线计划中明确应急预案,保证新系统失效时能够顺利切换回旧系统。第三,系统上线涉及数据迁移的,企业应当制定详细的数据迁移计划,并对迁移结果进行测试。用户部门应当参与数据迁移过程,对迁移前后的数据予以书面确认。 (四)其他开发方式的关键控制点和主要控制措施

下面介绍其他开发方式(业务外包、外购调试)的关键控制点和主要控制措施。

在业务外包、外购调试方式下,企业对系统设计、编程、测试环节的参与程度明显低于自行开发方式,因此可以适当简化相应的风险控制措施,但同时也因开发方式的差异产生一些新的风险,需要采取有针对性的控制措施。 1.业务外包方式的关键控制点和主要控制措施 (1)选择外包服务商

这一环节的主要风险是:由于企业与外包服务商之间本质上是一种委托—

代理关系,合作双方的信息不对称容易诱发道德风险,外包服务商可能会实施损害企业利益的自利行为,如偷工减料、放松管理、信息泄密等。

主要控制措施:第一,企业在选择外包服务商时要充分考虑服务商的市场信誉、资质条件、财务状况、服务能力、对本企业业务的熟悉程度、既往承包服务成功案例等因素,对外包服务商进行严格筛选。第二,企业可以借助外包业界基准来判断外包服务商的综合实力。第三,企业要严格外包服务审批及管控流程,对信息系统外包业务,原则上应采用公开招标等形式选择外包服务商,并实行集体决策审批。 (2)签订外包合同

这一环节的主要风险是:由于合同条款不准确、不完善,可能导致企业的正当权益无法得到有效保障。

主要控制措施:第一,企业在与外包服务商签约之前,应针对外包可能出现的各种风险损失,恰当拟定合同条款,对涉及的工作目标、合作范畴、责任划分、所有权归属、付款方式、违约赔偿及合约期限等问题做出详细说明,并由法律部门或法律顾问审查把关。第二,开发过程中涉及商业秘密、敏感数据的,企业应当与外包服务商签订详细的“保密协定”,以保证数据安全。第三,在合同中约定付款事宜时,应当选择分期付款方式,尾款应当在系统运行一段时间并经评估验收后再支付。第四,应在合同条款中明确要求外包服务商保持专业技术服务团队的稳定性。

(3)持续跟踪评价外包服务商的服务过程

这一环节的主要风险是:企业缺乏外包服务跟踪评价机制或跟踪评价不到位,可能导致外包服务质量水平不能满足企业信息系统开发需求。

主要控制措施:第一,企业应当规范外包服务评价工作流程,明确相关部门的职责权限,建立外包服务质量考核评价指标体系,定期对外包服务商进行

考评,并公布服务周期的评估结果,实现外包服务水平的跟踪评价。第二,必要时,可以引入监理机制,降低外包服务风险。 2.外购调试方式的关键控制点和主要控制措施

在外购调试方式下,一方面,企业面临与委托开发方式类似的问题,企业要选择软件产品的供应商和服务供应商、签订合约、跟踪服务质量,因此,企业可采用与委托开发方式类似的控制措施;另一方面,外购调试方式也有其特殊之处,企业需要有针对性的强化某些控制措施。 (1)软件产品选型和供应商选择

在外购调试方式下,软件供应商的选择和软件产品的选型是密切相关的。这一环节的主要风险是:第一,软件产品选型不当,产品在功能、性能、易用性等方面无法满足企业需求。第二,软件供应商选择不当,产品的支持服务能力不足,产品的后续升级缺乏保障。

主要控制措施:第一,企业应明确自身需求,对比分析市场上的成熟软件产品,合理选择软件产品的模块组合和版本。第二,企业在软件产品选型时应广泛听取行业专家的意见。第三,企业在选择软件产品和服务供应商时,不仅要评价其现有产品的功能、性能,还要考察其服务支持能力和后续产品的升级能力。

(2)服务提供商选择

大型企业管理信息系统(例如ERP系统)的外购实施,不仅需要选择合适的软件供应商和软件产品,也需要选择合适的咨询公司等服务提供商,指导企业将通用软件产品与本企业的实际情况有机结合。这一环节的主要风险是:服务提供商选择不当,削弱了外购软件产品的功能发挥,导致无法有效满足用户需求。

主要控制措施:在选择服务提供商时,不仅要考核其对软件产品的熟悉、

理解程度,也要考核其是否深刻理解企业所处行业的特点、是否理解企业的个性化需求、是否有过相同或相近的成功案例。 三、信息系统的运行与维护

信息系统的运行与维护主要包含三方面的内容:日常运行维护、系统变更和安全管理。

(一)日常运行维护的关键控制点和主要控制措施

日常运行维护的目标是保证系统正常运转,主要工作内容包括系统的日常操作、系统的日常巡检和维修、系统运行状态监控、异常事件的报告和处理等。这一环节的主要风险是:第一,没有建立规范的信息系统日常运行管理规范,计算机软硬件的内在隐患易于爆发,可能导致企业信息系统出错。第二,没有执行例行检查,导致一些人为恶意攻击会长期隐藏在系统中,可能造成严重损失。第三,企业信息系统数据未能定期备份,可能导致损坏后无法恢复,从而造成重大损失。

主要控制措施:第一,企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行。第二,切实做好系统运行记录,尤其是对于系统运行不正常或无法运行的情况,应将异常现象、发生时间和可能的原因作出详细记录。第三,企业要重视系统运行的日常维护,在硬件方面,日常维护主要包括各种设备的保养与安全管理、故障的诊断与排除、易耗品的更换与安装等,这些工作应由专人负责。第四,配备专业人员负责处理信息系统运行中的突发事件,必要时应会同系统开发人员或软硬件供应商共同解决。

(二)系统变更的关键控制点和主要控制措施

系统变更主要包括硬件的升级扩容、软件的修改与升级等。系统变更是为

了更好地满足企业需求,但同时应加强对变更申请、变更成本与进度的控制。这一环节的主要风险是:第一,企业没有建立严格的变更申请、审批、执行、测试流程,导致系统随意变更。第二,系统变更后的效果达不到预期目标。 主要控制措施:第一,企业应当建立标准流程来实施和记录系统变更,保证变更过程得到适当的授权与管理层的批准,并对变更进行测试。信息系统变更应当严格遵照管理流程进行操作。信息系统操作人员不得擅自进行软件的删除、修改等操作;不得擅自升级、改变软件版本;不得擅自改变软件系统的环境配置。第二,系统变更程序(如软件升级)需要遵循与新系统开发项目同样的验证和测试程序,必要时还应当进行额外测试。第三,企业应加强紧急变更的控制管理。第四,企业应加强对将变更移植到生产环境中的控制管理,包括系统访问授权控制、数据转换控制、用户培训等。 (三)安全管理的关键控制点和主要控制措施

安全管理的目标是保障信息系统安全,信息系统安全是指信息系统包含的所有硬件、软件和数据受到保护,不因偶然和恶意的原因而遭到破坏、更改和泄漏,信息系统能够连续正常运行。这一环节的主要风险是:第一,硬件设备分布物理范围广,设备种类繁多,安全管理难度大,可能导致设备生命周期短。第二,业务部门信息安全意识薄弱,对系统和信息安全缺乏有效的监管手段。少数员工可能恶意或非恶意滥用系统资源,造成系统运行效率降低。第三,对系统程序的缺陷或漏洞安全防护不够,导致遭受黑客攻击,造成信息泄露。第四,对各种计算机病毒防范清理不力,导致系统运行不稳定甚至瘫痪。第五,缺乏对信息系统操作人员的严密监控,可能导致舞弊和利用计算机犯罪。 主要控制措施是:

第一,建立信息系统相关资产的管理制度,保证电子设备的安全。硬件和网络设备不仅是信息系统运行的基础载体,也是价值昂贵的固定资产。企业应

在健全设备管理制度的基础上,建立专门的电子设备管控制度,对于关键信息设备(例如银行的核心数据库服务器),未经授权,不得接触。

第二,企业应成立专门的信息系统安全管理机构,由企业主要领导负总责,对企业的信息安全作出总体规划和全方位严格管理,具体实施工作可由企业的信息主管部门负责。企业应强化全体员工的安全保密意识,特别要对重要岗位员工进行信息系统安全保密培训,并签署安全保密协议。企业应当建立信息系统安全保密制度和泄密责任追究制度。

第三,企业应当按照国家相关法律法规以及信息安全技术标准,制定信息系统安全实施细则。根据业务性质、重要程度、涉密情况等确定信息系统的安全等级,建立不同等级信息的授权使用制度,采用相应技术手段保证信息系统运行安全有序。对于信息系统的使用者和不同安全等级信息之间的授权关系,应在系统开发建设阶段就形成方案并加以设计,在软件系统中预留这种对应关系的设置功能,以便根据使用者岗位职务的变迁进行调整。

第四,企业应当有效利用IT技术手段,对硬件配置调整、软件参数修改严加控制。例如,企业可利用操作系统、数据库系统、应用系统提供的安全机制,设置安全参数,保证系统访问安全;对于重要的计算机设备,企业应当利用技术手段防止员工擅自安装、卸载软件或者改变软件系统配置,并定期对上述情况进行检查。

第五,企业委托专业机构进行系统运行与维护管理的,应当严格审查其资质条件、市场声誉和信用状况等,并与其签订正式的服务合同和保密协议。 第六,企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。企业应当特别注重加强对服务器等关键部位的防护;对于存在网络应用的企业,应当综合利用防火墙、路由器等网络设备,采用内容过滤、漏洞扫描、入侵检测等软件技术加强网络安全,严密防范来自互联网的黑客攻

击和非法侵入。对于通过互联网传输的涉密或者关键业务数据,企业应当采取必要的技术手段确保信息传递的保密性、准确性、完整性。

第七,企业应当建立系统数据定期备份制度,明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。系统首次上线运行时应当完全备份,然后根据业务频率和数据重要性程度,定期做好增量备份。数据正本与备份应分别存放于不同地点,防止因火灾、水灾、地震等事故产生不利影响。企业可综合采用磁盘、磁带、光盘等备份存储介质。

第八,企业应当建立信息系统开发、运行与维护等环节的岗位责任制度和不相容职务分离制度,防范利用计算机舞弊和犯罪。一般而言,信息系统不相容职务涉及的人员可以分为三类:系统开发建设人员、系统管理和维护人员、系统操作使用人员。开发人员在运行阶段不能操作使用信息系统,否则就可能掌握其中的涉密数据,进行非法利用;系统管理和维护人员担任密码保管、授权、系统变更等关键任务,如果允许其使用信息系统,就可能较为容易地篡改数据,从而达到侵吞财产或滥用计算机信息的目的。此外,信息系统使用人员也需要区分不同岗位,包括业务数据录入、数据检查、业务批准等,在他们之间也应有必要的相互牵制。企业应建立用户管理制度,加强对重要业务系统的访问权限管理,避免将不相容职责授予同一用户。企业应当采用密码控制等技术手段进行用户身份识别。对于重要的业务系统,应当采用数字证书、生物识别等可靠性强的技术手段识别用户身份。对于发生岗位变化或离岗的用户,用户部门应当及时通知系统管理人员调整其在系统中的访问权限或者关闭账号。企业应当定期对系统中的账号进行审阅,避免存在授权不当或非授权账号。对于超级用户,企业应当严格规定其使用条件和操作程序,并对其在系统中的操作全程进行监控或审计。

第九,企业应积极开展信息系统风险评估工作,定期对信息系统进行安全

评估,及时发现系统安全问题并加以整改。 (四)系统终结的关键控制点和主要控制措施

系统终结是信息系统生命周期的最后一个阶段,在该阶段信息系统将停止运行。停止运行的原因通常有:企业破产或被兼并、原有信息系统被新的信息系统代替。这一环节的主要风险是,第一,因经营条件发生剧变,数据可能泄密。第二,信息档案的保管期限不够长。

主要控制措施:第一,要做好善后工作,不管因何种情况导致系统停止运行,都应将废弃系统中有价值或者涉密的信息进行销毁、转移。第二,严格按照国家有关法规制度和对电子档案的管理规定(比如审计准则对审计证据保管年限的要求),妥善保管相关信息档案。

因篇幅问题不能全部显示,请点此查看更多更全内容

查看全文

Copyright © 2019- 99spj.com 版权所有 湘ICP备2022005869号-5

违法及侵权请联系:TEL:199 18 7713 E-MAIL:2724546146@qq.com

本站由北京市万商天勤律师事务所王兴未律师提供法律服务