第七章企業(yè)內(nèi)部控制支持系統(tǒng)

1、第七章 企業(yè)內(nèi)部控制支持系統(tǒng)教學(xué)目標掌握企業(yè)內(nèi)部控制應(yīng)用指引全面預(yù)算掌握企業(yè)內(nèi)部控制應(yīng)用指引合同管理掌握企業(yè)內(nèi)部控制應(yīng)用指引內(nèi)部信息傳遞掌握企業(yè)內(nèi)部控制應(yīng)用指引信息系統(tǒng)如何理解預(yù)算管理中的常見現(xiàn)象： （1）預(yù)算管理就是吵架的錯誤認識； （2）頭戴三尺帽，見面砍一刀； （3）期末狂歡，年底突擊花錢； （4）一刀切導(dǎo)致的鞭打快牛現(xiàn)象； （5）一天輕松，一年難過；一天難過，一年輕松的死豬不怕開水燙現(xiàn)象。第一節(jié) 全面預(yù)算管理一、全面預(yù)算的概念全面預(yù)算是指企業(yè)對一定期間的經(jīng)營活動、投資活動、財務(wù)活動等作出的預(yù)算安排。1、全面預(yù)算是一種全方位、全過程、全員參與的預(yù)算管理模式2、籌資方案論證2、全面預(yù)算是企

2、業(yè)實施內(nèi)部控制、防范風險的重要手段和措施3、全面預(yù)算是企業(yè)實現(xiàn)發(fā)展戰(zhàn)略和年度經(jīng)營目標的有效方法和工具4、全面預(yù)算有利于企業(yè)優(yōu)化資源配置、提高經(jīng)濟效益5、全面預(yù)算有利于實現(xiàn)制約和激勵第一節(jié) 全面預(yù)算管理二、全面預(yù)算的組織（一）健全預(yù)算管理體制1、全面預(yù)算管理決策機構(gòu)預(yù)算管理委員會2、全面預(yù)算管理工作機構(gòu)3、全面預(yù)算執(zhí)行單位（二）明確各環(huán)節(jié)授權(quán)批準程序和工作協(xié)調(diào)機制預(yù)算管理工作各環(huán)節(jié)的不相容崗位一般包括：預(yù)算編制與預(yù)算審批、預(yù)算審批與預(yù)算執(zhí)行、預(yù)算執(zhí)行與預(yù)算考核。三、全面預(yù)算的業(yè)務(wù)流程企業(yè)全面預(yù)算業(yè)務(wù)的基本流程一般包括預(yù)算編制預(yù)算編制、預(yù)算執(zhí)行預(yù)算執(zhí)行和預(yù)算考核預(yù)算考核3個階段。其中，預(yù)算編制階段

3、包括預(yù)算編制、預(yù)算審批、預(yù)算下達等具體環(huán)節(jié)；預(yù)算執(zhí)行階段涉及預(yù)算指標分解和責任落實、預(yù)算執(zhí)行控制、預(yù)算分析、預(yù)算調(diào)整等具體環(huán)節(jié)。四、全面預(yù)算各環(huán)節(jié)的主要業(yè)務(wù)風險及管控措施（一）預(yù)算編制階段1、預(yù)算編制預(yù)算編制是企業(yè)實施全面預(yù)算管理的起點。主要風險風險：預(yù)算編制以財務(wù)部門為主，業(yè)務(wù)部門參與度較低，可能導(dǎo)致預(yù)算管理責、權(quán)、利不匹配；預(yù)算編制范圍和項目不全面，可能導(dǎo)致全面預(yù)算難以形成。相關(guān)信息不足，可能導(dǎo)致預(yù)算目標與戰(zhàn)略規(guī)劃、經(jīng)營計劃、市場環(huán)境、企業(yè)實際等相脫離。編制程序不規(guī)范，橫向、縱向信息溝通不暢，可能導(dǎo)致預(yù)算目標缺乏準確性、合理性和可行性。編制方法不當，可能導(dǎo)致預(yù)算目標缺乏科學(xué)性和可行性。目標

4、及指標體系設(shè)計不完整、不合理、不科學(xué)，可能導(dǎo)致預(yù)算管理在實現(xiàn)發(fā)展戰(zhàn)略和經(jīng)營目標、促進績效考評等方面的功能難以有效發(fā)揮。編制時間太早或太晚，可能導(dǎo)致預(yù)算準確性不高并影響預(yù)算的執(zhí)行。四、全面預(yù)算各環(huán)節(jié)的主要業(yè)務(wù)風險及管控措施主要管控措施管控措施：全面性控制。全面性控制。一、明確企業(yè)各個部門的預(yù)算編制責任，使企業(yè)各個部門、單位的業(yè)務(wù)活動全部納入預(yù)算管理；二、將企業(yè)經(jīng)營、投資、財務(wù)等各項經(jīng)濟活動的各個方面、各個環(huán)節(jié)都納入預(yù)算編制范圍，形成由經(jīng)營預(yù)算、投資預(yù)算、籌資預(yù)算、財務(wù)預(yù)算等一系列預(yù)算組成的相互銜接和勾稽的綜合預(yù)算體系。編制依據(jù)和基礎(chǔ)控制。編制依據(jù)和基礎(chǔ)控制。一、制定明確的戰(zhàn)略規(guī)劃，并依據(jù)戰(zhàn)略規(guī)劃

5、制定年度經(jīng)營目標和計劃；二、深入開展對企業(yè)外部環(huán)境的調(diào)研和預(yù)測，確保預(yù)算編制以市場預(yù)測為依據(jù)；三、深入分析企業(yè)上一期間的預(yù)算執(zhí)行情況，充分預(yù)計預(yù)算期內(nèi)企業(yè)資源狀況、生產(chǎn)能力、技術(shù)水平等自身環(huán)境的變化；四、重視和加強預(yù)算編制基礎(chǔ)管理工作，確保預(yù)算編制以可靠、翔實、完整的基礎(chǔ)數(shù)據(jù)為依據(jù)。四、全面預(yù)算各環(huán)節(jié)的主要業(yè)務(wù)風險及管控措施主要管控措施管控措施：編制程序控制。編制程序控制。企業(yè)應(yīng)當按照上下結(jié)合、分級編制、逐級匯總的程序，編制年度全面預(yù)算。其基本步驟及其控制為：一、建立系統(tǒng)的指標分解體系，并在與各預(yù)算責任中心進行充分溝通的基礎(chǔ)上分解下達初步預(yù)算目標；二、各預(yù)算責任中心按照下達的預(yù)算目標和預(yù)算政策

6、，結(jié)合自身特點以及預(yù)測的執(zhí)行條件，認真測算并提出本責任中心的預(yù)算草案，逐級匯總上報預(yù)算管理工作機構(gòu)；三、預(yù)算管理工作機構(gòu)進行充分協(xié)調(diào)、溝通，審查平衡預(yù)算草案；四是預(yù)算管理委員會應(yīng)當對預(yù)算管理工作機構(gòu)在綜合平衡基礎(chǔ)上提交的預(yù)算方案進行研究論證，從企業(yè)發(fā)展全局角度提出進一步調(diào)整、修改的建議，形成企業(yè)年度全面預(yù)算草案，提交董事會；五是董事會審核全面預(yù)算草案，確保全面預(yù)算與企業(yè)發(fā)展戰(zhàn)略、年度生產(chǎn)經(jīng)營計劃相協(xié)調(diào)。編制方法控制。編制方法控制。四、全面預(yù)算各環(huán)節(jié)的主要業(yè)務(wù)風險及管控措施主要管控措施管控措施：預(yù)算目標及指標體系設(shè)計控制。預(yù)算目標及指標體系設(shè)計控制。一、按照“財務(wù)指標為主體、非財務(wù)指標為補充”的

7、原則設(shè)計預(yù)算指標體系；二、將企業(yè)的戰(zhàn)略規(guī)劃、經(jīng)營目標體現(xiàn)在預(yù)算指標體系中；三、將企業(yè)產(chǎn)、供、銷、投融資等各項活動的各個環(huán)節(jié)、各個方面的內(nèi)容都納入預(yù)算指標體系；四、將預(yù)算指標體系與績效評價指標協(xié)調(diào)一致；五、按照各責任中心在工作性質(zhì)、權(quán)責范圍、業(yè)務(wù)活動特點等方面的不同，設(shè)計不同或各有側(cè)重的預(yù)算指標體系。預(yù)算編制時間控制。預(yù)算編制時間控制。四、全面預(yù)算各環(huán)節(jié)的主要業(yè)務(wù)風險及管控措施2.預(yù)算審批預(yù)算審批主要風險：全面預(yù)算未經(jīng)適當審批或超越授權(quán)審批，可能導(dǎo)致預(yù)算權(quán)威性不夠、執(zhí)行不力，或可能因出現(xiàn)重大差錯、舞弊而導(dǎo)致?lián)p失。主要控制措施：企業(yè)全面預(yù)算應(yīng)當按照公司法等相關(guān)法律法規(guī)及企業(yè)章程的規(guī)定報經(jīng)審議批準。

8、四、全面預(yù)算各環(huán)節(jié)的主要業(yè)務(wù)風險及管控措施3.預(yù)算下達預(yù)算下達主要風險：全面預(yù)算下達不力，可能導(dǎo)致預(yù)算執(zhí)行或考核無據(jù)可查。主要控制措施：企業(yè)全面預(yù)算經(jīng)審議批準后應(yīng)及時以文件形式下達執(zhí)行。四、全面預(yù)算各環(huán)節(jié)的主要業(yè)務(wù)風險及管控措施（二）預(yù)算執(zhí)行階段（二）預(yù)算執(zhí)行階段預(yù)算執(zhí)行階段包括預(yù)算指標分解和責任落實、預(yù)算執(zhí)行控制、預(yù)算分析、預(yù)算調(diào)整等具體環(huán)節(jié)。1、預(yù)算編指標分解和責任落實主要風險風險：預(yù)算指標分解不夠詳細、具體，可能導(dǎo)致企業(yè)的某些崗位和環(huán)節(jié)缺乏預(yù)算執(zhí)行和控制依據(jù)；預(yù)算指標分解與業(yè)績考核體系不匹配，可能導(dǎo)致預(yù)算執(zhí)行不力；預(yù)算責任體系缺失或不健全，可能導(dǎo)致預(yù)算責任無法落實，預(yù)算缺乏強制性與嚴肅性

9、；預(yù)算責任與執(zhí)行單位或個人的控制能力不匹配，可能導(dǎo)致預(yù)算目標難以實現(xiàn)。四、全面預(yù)算各環(huán)節(jié)的主要業(yè)務(wù)風險及管控措施主要控制措施控制措施：企業(yè)全面預(yù)算一經(jīng)批準下達，各預(yù)算執(zhí)行單位應(yīng)當認真組織實施，將預(yù)算指標層層分解，橫向?qū)㈩A(yù)算指標分解為若干相互關(guān)聯(lián)的因素，尋找影響預(yù)算目標的關(guān)鍵因素并加以控制；縱向?qū)⒏黜楊A(yù)算指標層層分解落實到最終的崗位和個人，明確責任部門和最終責任人；時間上將年度預(yù)算指標分解細化為季度、月度預(yù)算，通過實施分期預(yù)算控制，實現(xiàn)年度預(yù)算目標。建立預(yù)算執(zhí)行責任制度，對照已確定的責任指標，定期或不定期地對相關(guān)部門及人員責任指標完成情況進行檢查，實施考評?？梢酝ㄟ^簽訂預(yù)算目標責任書等形式明確各

10、預(yù)算執(zhí)行部門的預(yù)算責任。分解預(yù)算指標和建立預(yù)算執(zhí)行責任制應(yīng)當遵循定量化、全局性、可控性原則。預(yù)算指標的分解要明確、具體，便于執(zhí)行和考核；預(yù)算指標的分解要有利于企業(yè)經(jīng)營總目標的實現(xiàn)；賦予責任部門和責任人的預(yù)算指標應(yīng)當是通過該責任部門或責任人的努力可以達到的，責任部門或責任人以其責權(quán)范圍為限，對預(yù)算指標負責。四、全面預(yù)算各環(huán)節(jié)的主要業(yè)務(wù)風險及管控措施2.預(yù)算執(zhí)行控制預(yù)算執(zhí)行控制主要風險風險：缺乏嚴格的預(yù)算執(zhí)行授權(quán)審批制度，可能導(dǎo)致預(yù)算執(zhí)行隨意；預(yù)算審批權(quán)限及程序混亂，可能導(dǎo)致越權(quán)審批、重復(fù)審批，降低預(yù)算執(zhí)行效率和嚴肅性；預(yù)算執(zhí)行過程中缺乏有效監(jiān)控，可能導(dǎo)致預(yù)算執(zhí)行不力，預(yù)算目標難以實現(xiàn)；缺乏健全有

11、效的預(yù)算反饋和報告體系，可能導(dǎo)致預(yù)算執(zhí)行情況不能及時反饋和溝通，預(yù)算差異得不到及時分析，預(yù)算監(jiān)控難以發(fā)揮作用。四、全面預(yù)算各環(huán)節(jié)的主要業(yè)務(wù)風險及管控措施主要控制措施控制措施：加強資金收付業(yè)務(wù)的預(yù)算控制，及時組織資金收入，嚴格控制資金支付，調(diào)節(jié)資金收付平衡，防范支付風險。嚴格資金支付業(yè)務(wù)的審批控制，及時制止不符合預(yù)算目標的經(jīng)濟行為。企業(yè)應(yīng)當就涉及資金支付的預(yù)算內(nèi)事項、超預(yù)算事項、預(yù)算外事項建立規(guī)范的授權(quán)批準制度和程序，避免越權(quán)審批、違規(guī)審批、重復(fù)審批現(xiàn)象的出現(xiàn)。建立預(yù)算執(zhí)行實時監(jiān)控制度，及時發(fā)現(xiàn)和糾正預(yù)算執(zhí)行中的偏差。確保企業(yè)辦理采購與付款、銷售與收款、成本費用、工程項目、對外投融資、研究與開發(fā)

12、、信息系統(tǒng)、人力資源、安全環(huán)保、資產(chǎn)購置與維護等各項業(yè)務(wù)和事項，均符合預(yù)算要求。四、全面預(yù)算各環(huán)節(jié)的主要業(yè)務(wù)風險及管控措施主要控制措施控制措施：建立重大預(yù)算項目特別關(guān)注制度。對于工程項目、對外投融資等重大預(yù)算項目，企業(yè)應(yīng)當密切跟蹤其實施進度和完成情況，實行嚴格監(jiān)控。對于重大的關(guān)鍵性預(yù)算指標，也要密切跟蹤、檢查。建立預(yù)算執(zhí)行情況預(yù)警機制，科學(xué)選擇預(yù)警指標，合理確定預(yù)警范圍，及時發(fā)出預(yù)警信號，積極采取應(yīng)對措施。有條件的企業(yè)，應(yīng)當推進和實施預(yù)算管理的信息化，通過現(xiàn)代電子信息技術(shù)手段控制和監(jiān)控預(yù)算執(zhí)行，提高預(yù)警與應(yīng)對水平。建立健全預(yù)算執(zhí)行情況內(nèi)部反饋和報告制度，確保預(yù)算執(zhí)行信息傳輸及時、暢通、有效。四

13、、全面預(yù)算各環(huán)節(jié)的主要業(yè)務(wù)風險及管控措施3.預(yù)算分析預(yù)算分析主要風險風險：預(yù)算分析不正確、不科學(xué)、不及時，可能削弱預(yù)算執(zhí)行控制的效果，或可能導(dǎo)致預(yù)算考評不客觀、不公平；對預(yù)算差異原因的解決措施不得力，可能導(dǎo)致預(yù)算分析形同虛設(shè)。四、全面預(yù)算各環(huán)節(jié)的主要業(yè)務(wù)風險及管控措施主要控制措施控制措施：企業(yè)預(yù)算管理工作機構(gòu)和各預(yù)算執(zhí)行單位應(yīng)當建立預(yù)算執(zhí)行情況分析制度，定期召開預(yù)算執(zhí)行分析會議，通報預(yù)算執(zhí)行情況，研究、解決預(yù)算執(zhí)行中存在的問題，認真分析原因，提出改進措施。企業(yè)應(yīng)當加強對預(yù)算分析流程和方法的控制，確保預(yù)算分析結(jié)果準確、合理。預(yù)算分析流程一般包括確定分析對象、收集資料、確定差異及分析原因、提出措施

14、及反饋報告等環(huán)節(jié)。企業(yè)分析預(yù)算執(zhí)行情況，應(yīng)當充分收集有關(guān)財務(wù)、業(yè)務(wù)、市場、技術(shù)、政策、法律等方面的信息資料，根據(jù)不同情況分別采用比率分析、比較分析、因素分析等方法，從定量與定性兩個層面充分反映預(yù)算執(zhí)行單位的現(xiàn)狀、發(fā)展趨勢及其存在的潛力。企業(yè)應(yīng)當采取恰當措施處理預(yù)算執(zhí)行偏差。因內(nèi)部執(zhí)行導(dǎo)致的預(yù)算差異，應(yīng)分清責任歸屬，與預(yù)算考評和獎懲掛鉤，并將責任單位或責任人的改進措施的實際執(zhí)行效果納入業(yè)績考核；因外部環(huán)境變化導(dǎo)致的預(yù)算差異，應(yīng)分析該變化是否長期影響企業(yè)發(fā)展戰(zhàn)略的實施，并作為下期預(yù)算編制的影響因素。小提示處于不同生命周期的企業(yè)或產(chǎn)品的預(yù)算管理重心不一樣：（1）進入期。品牌認知（2）成長期。銷售量（

15、市場占有率）（3）成熟期。成本控制（4）衰退期。若看作是落湯狗，則重點是現(xiàn)金回收；若看作是看門狗，則重點是行業(yè)壁壘效應(yīng)四、全面預(yù)算各環(huán)節(jié)的主要業(yè)務(wù)風險及管控措施4.預(yù)算調(diào)節(jié)預(yù)算調(diào)節(jié)主要風險風險：預(yù)算調(diào)整依據(jù)不充分、方案不合理、審批程序不嚴格，可能導(dǎo)致預(yù)算調(diào)整隨意、頻繁，預(yù)算失去嚴肅性和“硬約束”。四、全面預(yù)算各環(huán)節(jié)的主要業(yè)務(wù)風險及管控措施主要控制措施控制措施：明確預(yù)算調(diào)整條件。由于市場環(huán)境、國家政策或不可抗力等客觀因素，導(dǎo)致預(yù)算執(zhí)行發(fā)生重大差異確需調(diào)整預(yù)算的，應(yīng)當履行嚴格的審批程序。企業(yè)應(yīng)當在有關(guān)預(yù)算管理制度中明確規(guī)定預(yù)算調(diào)整的條件。強化預(yù)算調(diào)整原則。一是預(yù)算調(diào)整應(yīng)當符合企業(yè)發(fā)展戰(zhàn)略、年度經(jīng)營

16、目標和現(xiàn)實狀況，重點放在預(yù)算執(zhí)行中出現(xiàn)的重要的、非正常的、不符合常規(guī)的關(guān)鍵性差異方面；二是預(yù)算調(diào)整方案應(yīng)當客觀、合理、可行，在經(jīng)濟上能夠?qū)崿F(xiàn)最優(yōu)化；三是預(yù)算調(diào)整應(yīng)當謹慎，調(diào)整頻率應(yīng)予以嚴格控制，年度調(diào)整次數(shù)應(yīng)盡量少。規(guī)范預(yù)算調(diào)整程序，嚴格審批。預(yù)算管理工作機構(gòu)應(yīng)當對預(yù)算執(zhí)行單位提交的預(yù)算調(diào)整報告進行審核分析，集中編制企業(yè)年度預(yù)算調(diào)整方案，提交預(yù)算管理委員會。預(yù)算管理委員會應(yīng)當對年度預(yù)算調(diào)整方案進行審議，根據(jù)預(yù)算調(diào)整事項性質(zhì)或預(yù)算調(diào)整金額的不同，根據(jù)授權(quán)進行審批，或提交原預(yù)算審批機構(gòu)審議批準，然后下達執(zhí)行。四、全面預(yù)算各環(huán)節(jié)的主要業(yè)務(wù)風險及管控措施（三）預(yù)算考核階段（三）預(yù)算考核階段主要風險風險

17、：預(yù)算考核不嚴格、不合理、不到位，可能導(dǎo)致預(yù)算目標難以實現(xiàn)、預(yù)算管理流于形式。其中，預(yù)算考核是否合理受到考核主體和對象的界定是否合理、考核指標是否科學(xué)、考核過程是否公開透明、考核結(jié)果是否客觀公正、獎懲措施是否公平合理且能夠落實等因素的影響。四、全面預(yù)算各環(huán)節(jié)的主要業(yè)務(wù)風險及管控措施主要控制措施控制措施：建立健全預(yù)算執(zhí)行考核制度。建立健全預(yù)算執(zhí)行考核制度。一、建立嚴格的預(yù)算執(zhí)行考核制度，對各預(yù)算執(zhí)行單位和個人進行考核，將預(yù)算目標執(zhí)行情況納入考核和獎懲范圍，切實做到有獎有懲、獎懲分明。二、制定有關(guān)預(yù)算執(zhí)行考核的制度或辦法，并認真、嚴格地組織實施。三、定期組織實施預(yù)算考核，預(yù)算考核的周期一般應(yīng)當與年

18、度預(yù)算細分周期相一致。合理界定預(yù)算考核主體和考核對象。合理界定預(yù)算考核主體和考核對象。界定預(yù)算考核主體和考核對象應(yīng)當主要遵循以下原則：一、上級考核下級原則，即由上級預(yù)算責任單位對下級預(yù)算責任單位實施考核；二、逐級考核原則，即由預(yù)算執(zhí)行單位的直接上級對其進行考核，間接上級不能隔級考核間接下級；三、預(yù)算執(zhí)行與預(yù)算考核相互分離原則，即預(yù)算執(zhí)行單位的預(yù)算考核應(yīng)由其直接上級部門來進行，而絕不能自己考核自己。四、全面預(yù)算各環(huán)節(jié)的主要業(yè)務(wù)風險及管控措施科學(xué)設(shè)計預(yù)算考核指標體系?？茖W(xué)設(shè)計預(yù)算考核指標體系。應(yīng)主要把握以下原則：預(yù)算考核指標要以各責任中心承擔的預(yù)算指標為主，同時本著相關(guān)性原則，增加一些全局性的預(yù)算

19、指標和與其關(guān)系密切的相關(guān)責任中心的預(yù)算指標；考核指標應(yīng)以定量指標為主，同時根據(jù)實際情況輔之以適當?shù)亩ㄐ灾笜?；考核指標?yīng)當具有可控性、可達到性和明晰性。按照公開、公平、公正原則實施預(yù)算考核。按照公開、公平、公正原則實施預(yù)算考核。一、考核程序、標準、結(jié)果要公開。企業(yè)應(yīng)當將全面預(yù)算考核程序、考核標準、獎懲辦法、考核結(jié)果等及時公開。二、考核結(jié)果要客觀公正。預(yù)算考核應(yīng)當以客觀事實作為依據(jù)。預(yù)算執(zhí)行單位上報的預(yù)算執(zhí)行報告是預(yù)算考核的基本依據(jù)，應(yīng)當經(jīng)本單位負責人簽章確認。企業(yè)預(yù)算管理委員會及其工作機構(gòu)定期組織預(yù)算執(zhí)行情況考核時，應(yīng)當將各預(yù)算執(zhí)行單位負責人簽字上報的預(yù)算執(zhí)行報告和已掌握的動態(tài)監(jiān)控信息進行核對，

20、確認各執(zhí)行單位預(yù)算完成情況。必要時，實行預(yù)算執(zhí)行情況內(nèi)部審計制度。三、獎懲措施要公平合理并得以及時落實。第二節(jié) 合同管理一、合同管理概述合同管理指的是以自身為當事人的合同依法進行訂立、履行、變更、解除、轉(zhuǎn)讓、終止，以及審查、監(jiān)督、控制等一系列行為的總稱。訂立、履行、變更、解除、轉(zhuǎn)讓、終止是合同管理的內(nèi)容；審查、監(jiān)督、控制是合同管理的手段。（1）實行統(tǒng)一歸口管理。（2）建立分級授權(quán)管理制度。（3）明確職責分工。二、合同管理的業(yè)務(wù)流程合同履行合同補充、變更合同解除合同結(jié)算合同登記合同調(diào)查訂立前的談判合同文本擬定合同審批合同簽署合同訂立階段合同履行階段合同管理三、合同管理各環(huán)節(jié)的主要風險點及管控措施

21、（一）合同訂立階段（一）合同訂立階段1.合同調(diào)查合同調(diào)查主要風險風險：忽視被調(diào)查對象的主體資格審查，對方當事人不具有相應(yīng)民事權(quán)利能力和民事行為能力，或不具備特定資質(zhì)，或與無權(quán)代理人、無處分權(quán)代理人簽訂合同，導(dǎo)致合同無效，或引發(fā)潛在風險；在合同簽訂前錯誤判斷被調(diào)查對象的信用狀況，或在合同履行過程中沒有持續(xù)關(guān)注對方的資信變化，致使企業(yè)蒙受損失；對被調(diào)查對象的履約能力給出不當評價，導(dǎo)致合同對方當事人難以滿足生產(chǎn)經(jīng)營需要。三、合同管理各環(huán)節(jié)的主要風險點及管控措施 主要管控措施管控措施：審查被調(diào)查對象的身份證件、法人登記證書、資質(zhì)證明、授權(quán)委托書等證明原件，必要時，可通過發(fā)證機關(guān)查詢證書的真實性和合法性

22、，在充分收集相關(guān)證據(jù)的基礎(chǔ)上評價主體資格是否恰當。獲取調(diào)查對象經(jīng)審計的財務(wù)報告、以往交易記錄等財務(wù)和非財務(wù)信息，分析其獲利能力、償債能力和營運能力，評估其財務(wù)風險和信用狀況，并在合同履行過程中持續(xù)關(guān)注其資信變化，建立和及時更新合同對方的商業(yè)信用檔案。對被調(diào)查對象進行現(xiàn)場調(diào)查，實地了解和全面評估其生產(chǎn)能力、技術(shù)水平、產(chǎn)品類別和質(zhì)量等生產(chǎn)經(jīng)營情況，分析其合同履約能力。與被調(diào)查對象的主要供應(yīng)商、客戶、開戶銀行、主管稅務(wù)機關(guān)和工商管理部門等溝通，了解其生產(chǎn)經(jīng)營、商業(yè)信譽、履約能力等情況。三、合同管理各環(huán)節(jié)的主要風險點及管控措施（一）合同訂立階段（一）合同訂立階段2.合同談判合同談判主要風險：忽略合同重

23、大問題或在重大問題上做出不恰當讓步；談判經(jīng)驗不足，缺乏技術(shù)、法律和財務(wù)知識的支撐，導(dǎo)致企業(yè)利益受損；泄露本企業(yè)談判策略，導(dǎo)致企業(yè)在談判中處于不利地位。三、合同管理各環(huán)節(jié)的主要風險點及管控措施主要管控措施管控措施：收集談判對手資料，充分熟悉談判對手情況，做到知己知彼；研究國家相關(guān)法律法規(guī)、行業(yè)監(jiān)管、產(chǎn)業(yè)政策、同類產(chǎn)品或服務(wù)價格等與談判內(nèi)容相關(guān)的信息，正確制定本企業(yè)談判策略。關(guān)注合同核心內(nèi)容、條款和關(guān)鍵細節(jié)。具體包括合同標的的數(shù)量、質(zhì)量或技術(shù)標準，合同價格的確定方式與支付方式，履約期限和方式，違約責任和爭議的解決方法、合同變更或解除條件等。對于影響重大、涉及較高專業(yè)技術(shù)或法律關(guān)系復(fù)雜的合同，組織法

24、律、技術(shù)、財會等專業(yè)人員參與談判，充分發(fā)揮團隊智慧，及時總結(jié)談判過程中的得失，研究確定下一步談判策略。必要時可聘請外部專家參與相關(guān)工作，并充分了解外部專家的專業(yè)資質(zhì)、勝任能力和職業(yè)道德情況。加強保密工作，建立嚴格的責任追究制度。對談判過程中的重要事項和參與談判人員的主要意見，予以記錄并妥善保存，作為避免合同舞弊的重要手段和責任追究的依據(jù)。三、合同管理各環(huán)節(jié)的主要風險點及管控措施（一）合同訂立階段（一）合同訂立階段3.合同文本擬定合同文本擬定主要風險風險：選擇不恰當?shù)暮贤问剑缓贤c國家法律法規(guī)、行業(yè)產(chǎn)業(yè)政策、企業(yè)總體戰(zhàn)略目標或特定業(yè)務(wù)經(jīng)營目標發(fā)生沖突；合同內(nèi)容和條款不完整、表述不嚴謹、不準確，

25、或存在重大疏漏和欺詐，導(dǎo)致企業(yè)合法利益受損；有意拆分合同、規(guī)避合同管理規(guī)定等；對于合同文本須報經(jīng)國家有關(guān)主管部門審查或備案的，未履行相應(yīng)程序。三、合同管理各環(huán)節(jié)的主要風險點及管控措施主要管控措施管控措施：企業(yè)對外發(fā)生經(jīng)濟行為，除即時結(jié)清方式外，應(yīng)當訂立書面合同。嚴格審核合同需求與國家法律法規(guī)、產(chǎn)業(yè)政策、企業(yè)整體戰(zhàn)略目標的關(guān)系，保證其協(xié)調(diào)一致；考察合同是否以生產(chǎn)經(jīng)營計劃、項目立項書等為依據(jù)，確保完成具體業(yè)務(wù)經(jīng)營目標。合同文本一般由業(yè)務(wù)承辦部門起草，法律部門審核；重大合同或法律關(guān)系復(fù)雜的特殊合同應(yīng)當由法律部門參與起草；國家或行業(yè)有合同示范文本的，可以優(yōu)先選用，但對涉及權(quán)利義務(wù)關(guān)系的條款應(yīng)當進行認真

26、審查，并根據(jù)實際情況進行適當修改。各部門應(yīng)當各司其職，保證合同內(nèi)容和條款的完整準確。通過統(tǒng)一歸口管理和授權(quán)審批制度，嚴格合同管理，防止通過化整為零等方式故意規(guī)避招標的做法和越權(quán)行為。由簽約對方起草的合同，企業(yè)應(yīng)當認真審查，確保合同內(nèi)容準確反映企業(yè)訴求和談判達成的一致意見，特別留意“其他約定事項”等需要補充填寫的欄目，如不存在其他約定事項時注明“此處空白”或“無其他約定”，防止合同后續(xù)被篡改。合同文本須報經(jīng)國家有關(guān)主管部門審查或備案的，應(yīng)當履行相應(yīng)程序。三、合同管理各環(huán)節(jié)的主要風險點及管控措施（一）合同訂立階段（一）合同訂立階段4.合同審核合同審核主要風險風險：合同審核人員因?qū)I(yè)素質(zhì)或工作態(tài)度等

27、原因，未能發(fā)現(xiàn)合同文本中的不當內(nèi)容和條款；審核人員雖然通過審核發(fā)現(xiàn)問題但未提出恰當?shù)男抻喴庖?；合同起草人員沒有根據(jù)審核人員的改進意見修改合同，導(dǎo)致合同中的不當內(nèi)容和條款未被糾正。主要管控措施管控措施：審核人員應(yīng)當對合同文本的合法性、經(jīng)濟性、可行性和嚴密性進行重點審核，關(guān)注合同的主體、內(nèi)容和形式是否合法，合同內(nèi)容是否符合企業(yè)的經(jīng)濟利益，對方當事人是否具有履約能力，合同權(quán)利和義務(wù)、違約責任和爭議解決條款是否明確等。建立會審制度，對影響重大或法律關(guān)系復(fù)雜的合同文本，組織財會部門、內(nèi)部審計部、法律部、業(yè)務(wù)關(guān)聯(lián)的相關(guān)部門進行審核，各相關(guān)部門應(yīng)當認真履行職責。認真分析研究，慎重對待審核意見，對審核意見準確

28、無誤地加以記錄，必要時對合同條款作出修改并再次提交審核。三、合同管理各環(huán)節(jié)的主要風險點及管控措施（一）合同訂立階段（一）合同訂立階段5.合同簽署合同簽署主要風險風險：超越權(quán)限簽訂合同，合同印章管理不當，簽署后的合同被篡改，因手續(xù)不全導(dǎo)致合同無效等。三、合同管理各環(huán)節(jié)的主要風險點及管控措施主要管控措施管控措施：按照規(guī)定的權(quán)限和程序與對方當事人簽署合同。對外正式對外訂立的合同應(yīng)當由企業(yè)法定代表人或由其授權(quán)的代理人簽名或加蓋有關(guān)印章。授權(quán)簽署合同的，應(yīng)當簽署授權(quán)委托書。嚴格合同專用章保管制度，合同經(jīng)編號、審批及企業(yè)法定代表人或由其授權(quán)的代理人簽署后，方可加蓋合同專用章。用印后保管人應(yīng)當立即收回，并按

29、要求妥善保管，以防止他人濫用。保管人應(yīng)當記錄合同專用章使用情況以備查，如果發(fā)生合同專用章遺失或被盜現(xiàn)象，應(yīng)當立即報告公司負責人并采取妥善措施，如向公安機關(guān)報案、登報聲明作廢等，以最大限度消除可能帶來的負面影響。采取恰當措施，防止已簽署的合同被篡改，如在合同各頁碼之間加蓋騎縫章、使用防偽印記、使用不可編輯的電子文檔格式等。按照國家有關(guān)法律、行政法規(guī)規(guī)定，需辦理批準、登記等手續(xù)之后方可生效的合同，企業(yè)應(yīng)當及時按規(guī)定辦理相關(guān)手續(xù)。三、合同管理各環(huán)節(jié)的主要風險點及管控措施（二）合同簽署階段（二）合同簽署階段1、合同履行、合同履行主要風險風險：本企業(yè)或合同對方當事人沒有恰當?shù)芈男泻贤屑s定的義務(wù)；合同生

30、效后，對合同條款未明確約定的事項沒有及時協(xié)議補充，導(dǎo)致合同無法正常履行；在合同履行過程中，未能及時發(fā)現(xiàn)已經(jīng)或可能導(dǎo)致企業(yè)利益受損情況，或未能采取有效措施；合同糾紛處理不當，導(dǎo)致企業(yè)遭受外部處罰、訴訟失敗，損害企業(yè)利益、信譽和形象等。三、合同管理各環(huán)節(jié)的主要風險點及管控措施主要管控措施管控措施：強化對合同履行情況及效果的檢查、分析和驗收，全面適當執(zhí)行本企業(yè)義務(wù)，敦促對方積極執(zhí)行合同，確保合同全面有效履行。對合同對方的合同履行情況實施有效監(jiān)控，一旦發(fā)現(xiàn)有違約可能或違約行為，應(yīng)當及時提示風險，并立即采取相應(yīng)措施將合同損失降到最低。根據(jù)需要及時補充、變更甚至解除合同。對于合同沒有約定或約定不明確的內(nèi)容

31、，通過雙方協(xié)商一致對原有合同進行補充；無法達成補充協(xié)議的，按照國家相關(guān)法律法規(guī)、合同有關(guān)條款或者交易習慣確定；對于顯失公平、條款有誤或存在欺詐行為的合同，以及因政策調(diào)整、市場變化等客觀因素已經(jīng)或可能導(dǎo)致企業(yè)利益受損的合同，按規(guī)定程序及時報告，并經(jīng)雙方協(xié)商一致，按照規(guī)定權(quán)限和程序辦理合同變更或解除事宜。加強合同糾紛管理，合同糾紛經(jīng)協(xié)商一致的，雙方應(yīng)當簽訂書面協(xié)議；合同糾紛經(jīng)協(xié)商無法解決的，根據(jù)合同約定選擇仲裁或訴訟方式解決。企業(yè)內(nèi)部授權(quán)處理合同糾紛，應(yīng)當簽署授權(quán)委托書。糾紛處理過程中，未經(jīng)授權(quán)批準，相關(guān)經(jīng)辦人員不得向?qū)Ψ疆斒氯俗鞒鰧嵸|(zhì)性答復(fù)或承諾。三、合同管理各環(huán)節(jié)的主要風險點及管控措施（二）合

32、同簽署階段（二）合同簽署階段2、合同結(jié)算、合同結(jié)算主要風險風險：違反合同條款，未按合同規(guī)定期限、金額或方式付款；疏于管理，未能及時催收到期合同款項；在沒有合同依據(jù)的情況下盲目付款等。主要管控措施：財會部門應(yīng)當在審核合同條款后辦理結(jié)算業(yè)務(wù)，按照合同規(guī)定付款，及時催收到期欠款。未按合同條款履約或應(yīng)簽訂書面合同而未簽訂的，財會部門有權(quán)拒絕付款，并及時向企業(yè)有關(guān)負責人報告。三、合同管理各環(huán)節(jié)的主要風險點及管控措施（二）合同簽署階段（二）合同簽署階段3、合同登記、合同登記主要風險風險：合同檔案不全，合同泄密，合同濫用等。主要管控措施管控措施：合同管理部門應(yīng)當加強合同登記管理，充分利用信息化手段，定期對合

33、同進行統(tǒng)計、分類和歸檔，詳細登記合同的訂立、履行和變更、終結(jié)等情況，合同終結(jié)應(yīng)及時辦理銷號和歸檔手續(xù)，以實行合同的全過程封閉管理。建立合同文本統(tǒng)一分類和連續(xù)編號制度，以防止或及早發(fā)現(xiàn)合同文本的遺失。加強合同信息安全保密工作，未經(jīng)批準，任何人不得以任何形式泄露合同訂立與履行過程中涉及的國家或商業(yè)秘密。規(guī)范合同管理人員職責，明確合同流轉(zhuǎn)、借閱和歸還的職責權(quán)限和審批程序等有關(guān)要求。三、合同管理各環(huán)節(jié)的主要風險點及管控措施（三）合同管理的后評估階段（三）合同管理的后評估階段合同作為企業(yè)承擔獨立民事責任、履行權(quán)利義務(wù)的重要依據(jù)，是企業(yè)管理活動的重要痕跡，也是企業(yè)風險管理的主要載體，為此，合同管理內(nèi)部控制

34、指引強調(diào)企業(yè)應(yīng)當建立合同管理的后評估制度，至少于每年年末對合同履行的總體情況和重大合同履行的具體情況進行分析評估，對分析評估中發(fā)現(xiàn)合同履行中存在的不足，應(yīng)當及時采取有效措施加以改進。第三節(jié) 內(nèi)部信息傳遞一、內(nèi)部信息傳遞概述內(nèi)部信息傳遞是企業(yè)內(nèi)部各管理層級之間通過內(nèi)部報告形式傳遞生產(chǎn)經(jīng)營管理信息的過程。（1）真實準確性（2）及時有效性（3）遵守保密原則二、內(nèi)部信息傳遞的業(yè)務(wù)流程內(nèi)部報告評估內(nèi)部報告的保管信息形成階段信息使用階段 信息形成構(gòu)建內(nèi)部報告指流轉(zhuǎn)體系及渠道建立內(nèi)部報告指標體系收集內(nèi)外部信息編制及審核內(nèi)部報告內(nèi)部報告有效使用及保密三、內(nèi)部信息傳遞個環(huán)節(jié)的主要風險點及管控措施（一）信息形成階

35、段（一）信息形成階段1.建立內(nèi)部報告指標體系建立內(nèi)部報告指標體系主要風險風險：指標體系的設(shè)計未能結(jié)合企業(yè)的發(fā)展戰(zhàn)略，指標體系級次混亂，與全面預(yù)算管理要求相脫節(jié)，并且一旦設(shè)定后未能根據(jù)環(huán)境和業(yè)務(wù)變化有所調(diào)整。主要管控措施管控措施：企業(yè)應(yīng)認真研究企業(yè)的發(fā)展戰(zhàn)略、風險控制要求和業(yè)績考核標準，根據(jù)各管理層級對信息的需求和詳略程度，建立一套級次分明的內(nèi)部報告指標體系。企業(yè)明確的戰(zhàn)略目標和具體的戰(zhàn)略規(guī)劃為內(nèi)部報告控制目標的確定提供了依據(jù)。企業(yè)內(nèi)部報告指標確定后，應(yīng)進行細化，層層分解，使企業(yè)中各責任中心及其各相關(guān)職能部門都有自己明確的目標，以利于控制風險并進行業(yè)績考核。內(nèi)部報告需要依據(jù)全面預(yù)算的標準進行信息

36、反饋，將預(yù)算控制的過程和結(jié)果向企業(yè)內(nèi)部管理層報告，以有效控制預(yù)算執(zhí)行情況、明確相關(guān)責任、科學(xué)考核業(yè)績，并根據(jù)新的環(huán)境和業(yè)務(wù)，調(diào)整決策部署，更好地規(guī)劃和控制企業(yè)的資產(chǎn)和收益，實現(xiàn)資源的最有效配置和管理的協(xié)同效應(yīng)。三、內(nèi)部信息傳遞個環(huán)節(jié)的主要風險點及管控措施（一）信息形成階段（一）信息形成階段2.收集內(nèi)外部信息收集內(nèi)外部信息主要風險風險：收集的內(nèi)外部信息過于散亂，不能突出重點；內(nèi)容準確性差，據(jù)此信息進行的決策容易誤導(dǎo)經(jīng)營活動；獲取內(nèi)外部信息的成本過高，違反了成本效益原則。主要管控措施管控措施：根據(jù)特定服務(wù)對象的需求，選擇信息收集過程中重點關(guān)注的信息類型和內(nèi)容，并根據(jù)信息需求者要求按照一定的標準對信

37、息進行分類匯總。對信息進行審核和鑒別，對已經(jīng)篩選的資料作進一步的檢查，確定其真實性和合理性。企業(yè)應(yīng)當檢查信息在事實與時間上有無差錯，是否合乎邏輯，其來源單位、資料份數(shù)、指標等是否完整。對收集信息的成本進行成本收益權(quán)衡。企業(yè)應(yīng)當在收集信息的過程中考慮獲取信息的成本高低，確保其滿足成本收益原則。三、內(nèi)部信息傳遞個環(huán)節(jié)的主要風險點及管控措施（一）信息形成階段（一）信息形成階段3.編制及審核內(nèi)部報告編制及審核內(nèi)部報告主要風險風險：內(nèi)部報告未能根據(jù)各內(nèi)部使用單位的需求進行編制，內(nèi)容不完整，編制不及時，未經(jīng)審核即向有關(guān)部門傳遞。主要管控措施管控措施：企業(yè)內(nèi)部報告的編制單位應(yīng)緊緊圍繞內(nèi)部報告使用者的信息需求

38、，編制內(nèi)容全面、簡潔明了、通俗易懂。企業(yè)應(yīng)合理設(shè)計內(nèi)部報告編制程序，提高編制效率，保證內(nèi)部報告能在第一時間提供給相關(guān)管理部門。企業(yè)應(yīng)當建立內(nèi)部報告審核制度，設(shè)定審核權(quán)限，確保內(nèi)部報告信息質(zhì)量。對于重要信息，企業(yè)應(yīng)當委派專門人員對其傳遞過程進行復(fù)核，確保信息正確的傳遞給使用者。三、內(nèi)部信息傳遞個環(huán)節(jié)的主要風險點及管控措施（二）信息使用階段（二）信息使用階段1.構(gòu)建內(nèi)部報告流轉(zhuǎn)體系及渠道構(gòu)建內(nèi)部報告流轉(zhuǎn)體系及渠道主要風險風險：缺乏內(nèi)部報告?zhèn)鬟f流程，內(nèi)部報告未按傳遞流程進行傳遞流轉(zhuǎn)，內(nèi)部報告流轉(zhuǎn)不及時。主要管控措施管控措施：企業(yè)應(yīng)當制定內(nèi)部報告?zhèn)鬟f制度。企業(yè)可根據(jù)信息的重要性、內(nèi)容等特征，確定不同的

39、流轉(zhuǎn)環(huán)節(jié)。企業(yè)應(yīng)嚴格按設(shè)定的傳遞流程進行流轉(zhuǎn)。企業(yè)各管理層對內(nèi)部報告的流轉(zhuǎn)應(yīng)做好記錄，對于未按照流轉(zhuǎn)制度進行操作的事件，應(yīng)當調(diào)查原因，并做相應(yīng)處理。企業(yè)應(yīng)及時更新信息系統(tǒng)，確保內(nèi)部報告有效安全的傳遞。實際工作中應(yīng)精簡信息系統(tǒng)的處理程序，使信息在企業(yè)內(nèi)部更快地傳遞。對于重要緊急的信息，可以越級向董事會、監(jiān)事會或經(jīng)理層直接報告，便于相關(guān)負責人迅速做出決策。三、內(nèi)部信息傳遞個環(huán)節(jié)的主要風險點及管控措施（二）信息使用階段（二）信息使用階段2.內(nèi)部報告有效使用及保密內(nèi)部報告有效使用及保密主要風險風險：企業(yè)管理層在決策時并沒有使用內(nèi)部報告提供的信息，內(nèi)部報告未能用于風險識別和控制，商業(yè)秘密通過企業(yè)內(nèi)部報告

40、被泄露。主要管控措施管控措施：企業(yè)在預(yù)算控制、生產(chǎn)經(jīng)營管理決策和業(yè)績考核時充分使用內(nèi)部報告提供的信息。企業(yè)應(yīng)當將預(yù)算控制和內(nèi)部報告接軌，通過內(nèi)部報告及時反映全面預(yù)算的執(zhí)行情況，并將績效考評和責任追究制度與內(nèi)部報告聯(lián)系起來，對相關(guān)責任人的績效進行考核，并追究責任。企業(yè)管理層應(yīng)通過內(nèi)部報告提供的信息對企業(yè)生產(chǎn)經(jīng)營管理中存在的風險進行評估，準確識別和系統(tǒng)分析企業(yè)生產(chǎn)經(jīng)營活動中的內(nèi)外部風險，涉及突出問題和重大風險的，應(yīng)當啟動應(yīng)急預(yù)案。企業(yè)應(yīng)從內(nèi)部信息傳遞的時間、空間、節(jié)點、流程等方面建立控制，通過職責分離、授權(quán)接觸、監(jiān)督和檢查等手段防止商業(yè)秘密泄露。三、內(nèi)部信息傳遞個環(huán)節(jié)的主要風險點及管控措施（二）信

41、息使用階段（二）信息使用階段3.內(nèi)部報告的保管內(nèi)部報告的保管主要風險風險：企業(yè)缺少內(nèi)部報告的保管制度，內(nèi)部報告的保管存放雜亂無序，對重要資料的保管期限過短，保密措施不嚴。三、內(nèi)部信息傳遞個環(huán)節(jié)的主要風險點及管控措施主要管控措施管控措施：企業(yè)應(yīng)當建立內(nèi)部報告保管制度，各部門應(yīng)當指定專人按類別保管相應(yīng)的內(nèi)部報告。為了便于內(nèi)部報告的查閱、對比分析，改善內(nèi)部報告的格式，提高內(nèi)部報告的有用性，企業(yè)應(yīng)按類別保管內(nèi)部報告，對影響較大的、金額較高的一般要嚴格保管，如企業(yè)重大重組方案、企業(yè)債券發(fā)行方案等。企業(yè)對不同類別的報告應(yīng)按其影響程度規(guī)定其保管年限，只有超過保管年限的內(nèi)部報告方可予以銷毀。對影響重大的內(nèi)部報

42、告，應(yīng)當永久保管，如公司章程及相應(yīng)的修改、公司股東登記表等。企業(yè)應(yīng)當制定嚴格的內(nèi)部報告保密制度，明確保密內(nèi)容、保密措施、密級程度和傳遞范圍，防止泄露商業(yè)秘密。有關(guān)公司商業(yè)秘密的重要文件要由企業(yè)較高級別的管理人員負責，具體至少由兩人共同管理，放置在專用保險箱內(nèi)。查閱保密文件，必須經(jīng)該高層管理人員同意，由兩人分別開啟相應(yīng)的鎖具方可打開。三、內(nèi)部信息傳遞個環(huán)節(jié)的主要風險點及管控措施（二）信息使用階段（二）信息使用階段4.內(nèi)部報告評估內(nèi)部報告評估主要風險風險：企業(yè)缺乏完善的內(nèi)部報告評價體系，對各信息傳遞環(huán)節(jié)和傳遞方式控制不嚴，針對傳遞不及時、信息不準確的內(nèi)部報告缺乏相應(yīng)的懲戒機制。主要管控措施管控措施

43、：企業(yè)應(yīng)建立并完善企業(yè)對內(nèi)部報告的評估制度，嚴格按照評估制度對內(nèi)部報告進行合理評估，考核內(nèi)部報告在企業(yè)生產(chǎn)經(jīng)營活動中所起的真實作用。為保證信息傳遞的及時準確，企業(yè)必須執(zhí)行獎懲機制。對經(jīng)常不能及時或準確傳遞信息的相關(guān)人員應(yīng)當進行批評和教育，并與績效考核體系掛鉤。第四節(jié) 信息系統(tǒng)一、信息系統(tǒng)內(nèi)部控制概述信息系統(tǒng)是指企業(yè)利用計算機和通信技術(shù)，對內(nèi)部控制進行集成、轉(zhuǎn)化和提升所形成的信息化管理平臺。二、信息系統(tǒng)的開發(fā)主要風險風險：缺乏戰(zhàn)略規(guī)劃或規(guī)劃不合理，可能造成信息孤島或重復(fù)建設(shè)。沒有將信息化與企業(yè)業(yè)務(wù)需求結(jié)合，降低了信息系統(tǒng)的應(yīng)用價值。主要控制措施：制定信息系統(tǒng)開發(fā)的戰(zhàn)略規(guī)劃和中長期發(fā)展計劃，并在每

44、年制定經(jīng)營計劃的同時制定年度信息系統(tǒng)建設(shè)計劃，促進經(jīng)營管理活動與信息系統(tǒng)的協(xié)調(diào)統(tǒng)一。在制定信息化戰(zhàn)略過程中，充分調(diào)動和發(fā)揮信息系統(tǒng)歸口管理部門與業(yè)務(wù)部門的積極性。信息系統(tǒng)戰(zhàn)略規(guī)劃要與企業(yè)的組織架構(gòu)、業(yè)務(wù)范圍、地域分布、技術(shù)能力等相匹配，避免相互脫節(jié)。三、自行開發(fā)方式下信息系統(tǒng)開發(fā)的關(guān)鍵控制點和主要控制措施通常包含項目計劃項目計劃、需求分析需求分析、系統(tǒng)設(shè)計系統(tǒng)設(shè)計、編程和測試編程和測試、上線上線等環(huán)節(jié)。1.項目計劃環(huán)節(jié)項目計劃環(huán)節(jié)項目計劃通常包括項目范圍說明、項目進度計劃、項目質(zhì)量計劃、項目資源計劃、項目溝通計劃、風險對策計劃、項目采購計劃、需求變更控制、配置管理計劃等內(nèi)容。主要風險風險：信息

45、系統(tǒng)建設(shè)缺乏項目計劃或者計劃不當，導(dǎo)致項目進度滯后、費用超支、質(zhì)量低下。主要控制措施控制措施：根據(jù)信息系統(tǒng)建設(shè)整體規(guī)劃提出分階段項目的建設(shè)方案，明確建設(shè)目標、人員配備、職責分工、經(jīng)費保障和進度安排等相關(guān)內(nèi)容，按照規(guī)定的權(quán)限和程序?qū)徟髮嵤?。采用標準的項目管理軟件制定項目計劃，并加以跟蹤。關(guān)鍵環(huán)節(jié)編制應(yīng)參照國家標準和行業(yè)標準進行。三、自行開發(fā)方式下信息系統(tǒng)開發(fā)的關(guān)鍵控制點和主要控制措施2.需求分析環(huán)節(jié)需求分析環(huán)節(jié)需求分析的目的是明確信息系統(tǒng)需要實現(xiàn)哪些功能。主要風險風險：需求本身不合理，對信息系統(tǒng)提出的功能、性能、安全性等方面的要求不符合業(yè)務(wù)處理和控制的需要。技術(shù)上不可行、經(jīng)濟上成本效益倒掛，或

46、與國家有關(guān)法規(guī)制度存在沖突。需求文檔表述不準確、不完整。主要控制措施控制措施：信息系統(tǒng)歸口管理部門應(yīng)當組織企業(yè)內(nèi)部各有關(guān)部門提出開發(fā)需求，加強系統(tǒng)分析人員和有關(guān)部門的管理人員、業(yè)務(wù)人員的交流。編制表述清晰、表達準確的需求文檔。企業(yè)應(yīng)當建立健全需求評審和需求變更控制流程。三、自行開發(fā)方式下信息系統(tǒng)開發(fā)的關(guān)鍵控制點和主要控制措施3.系統(tǒng)設(shè)計環(huán)節(jié)系統(tǒng)設(shè)計環(huán)節(jié)系統(tǒng)設(shè)計是根據(jù)系統(tǒng)需求分析階段所確定的目標系統(tǒng)邏輯模型，設(shè)計出一個能在企業(yè)特定的計算機和網(wǎng)絡(luò)環(huán)境中實現(xiàn)的方案。系統(tǒng)設(shè)計包括總體設(shè)計和詳細設(shè)計。主要風險風險：設(shè)計方案不能完全滿足用戶需求，不能實現(xiàn)需求文檔規(guī)定的目標。設(shè)計方案未能有效控制建設(shè)開發(fā)成本

47、，不能保證建設(shè)質(zhì)量和進度。設(shè)計方案不全面，導(dǎo)致后續(xù)變更頻繁。設(shè)計方案沒有考慮信息系統(tǒng)建成后對企業(yè)內(nèi)部控制的影響，導(dǎo)致系統(tǒng)運行后衍生新的風險。三、自行開發(fā)方式下信息系統(tǒng)開發(fā)的關(guān)鍵控制點和主要控制措施主要控制措施控制措施：系統(tǒng)設(shè)計負責部門應(yīng)當就總體設(shè)計方案與業(yè)務(wù)部門進行溝通和討論，說明方案對用戶需求的覆蓋情況。企業(yè)應(yīng)參照GB856788計算機軟件產(chǎn)品開發(fā)文件編制指南等相關(guān)國家標準和行業(yè)標準，提高系統(tǒng)設(shè)計說明書的編寫質(zhì)量。企業(yè)應(yīng)建立設(shè)計評審制度和設(shè)計變更控制流程。在系統(tǒng)設(shè)計時應(yīng)當充分考慮信息系統(tǒng)建成后的控制環(huán)境，將生產(chǎn)經(jīng)營管理業(yè)務(wù)流程、關(guān)鍵控制點和處理規(guī)程嵌入系統(tǒng)程序。應(yīng)充分考慮信息系統(tǒng)環(huán)境下的新的

48、控制風險，避免將不相容職務(wù)的處理權(quán)限授予同一用戶。應(yīng)當針對不同的數(shù)據(jù)輸入方式，強化對進入系統(tǒng)數(shù)據(jù)的檢查和校驗功能。系統(tǒng)設(shè)計時應(yīng)當考慮在信息系統(tǒng)中設(shè)置操作日志功能，確保操作的可審計性。預(yù)留必要的后臺操作通道，建立規(guī)范的操作流程，確保足夠的日志記錄，保證對后臺操作的可監(jiān)控性。三、自行開發(fā)方式下信息系統(tǒng)開發(fā)的關(guān)鍵控制點和主要控制措施4.編程和測試環(huán)節(jié)編程和測試環(huán)節(jié)編程階段是將詳細設(shè)計方案轉(zhuǎn)換成某種計算機編程語言的過程。主要風險風險：編程結(jié)果與設(shè)計不符。各程序員編程風格差異大，程序可讀性差，導(dǎo)致后期維護困難，維護成本高。缺乏有效的程序版本控制，導(dǎo)致重復(fù)修改或修改不一致等問題。測試不充分。三、自行開發(fā)方

49、式下信息系統(tǒng)開發(fā)的關(guān)鍵控制點和主要控制措施主要控制措施控制措施：項目組應(yīng)建立并執(zhí)行嚴格的代碼復(fù)查評審制度。項目組應(yīng)建立并執(zhí)行統(tǒng)一的編程規(guī)范，在標識符命名、程序注釋等方面統(tǒng)一風格。應(yīng)使用版本控制軟件系統(tǒng)，保證所有開發(fā)人員基于相同的組件環(huán)境開展項目工作，協(xié)調(diào)開發(fā)人員對程序的修改。應(yīng)區(qū)分單元測試、組裝測試（集成測試）、系統(tǒng)測試、驗收測試等不同測試類型，建立嚴格的測試工作流程，提高最終用戶在測試工作中的參與程度，改進測試用例的編寫質(zhì)量。三、自行開發(fā)方式下信息系統(tǒng)開發(fā)的關(guān)鍵控制點和主要控制措施5.上線環(huán)節(jié)上線環(huán)節(jié)系統(tǒng)上線是將開發(fā)出的系統(tǒng)部署到實際運行的計算機環(huán)境中，使信息系統(tǒng)按照既定的用戶需求來運轉(zhuǎn)，切

50、實發(fā)揮信息系統(tǒng)的作用。主要風險風險：缺乏完整可行的上線計劃，導(dǎo)致系統(tǒng)上線混亂無序。人員培訓(xùn)不足，不能正確使用系統(tǒng)，導(dǎo)致業(yè)務(wù)處理錯誤，或者未能充分利用系統(tǒng)功能，導(dǎo)致開發(fā)成本浪費。初始數(shù)據(jù)準備設(shè)置不合格，導(dǎo)致新舊系統(tǒng)數(shù)據(jù)不一致、業(yè)務(wù)處理錯誤。主要控制措施：企業(yè)應(yīng)當制定信息系統(tǒng)上線計劃，并經(jīng)歸口管理部門和用戶部門審核批準。系統(tǒng)上線涉及新舊系統(tǒng)切換的，企業(yè)應(yīng)當在上線計劃中明確應(yīng)急預(yù)案，保證新系統(tǒng)失效時能夠順利切換回舊系統(tǒng)。系統(tǒng)上線涉及數(shù)據(jù)遷移的，企業(yè)應(yīng)當制定詳細的數(shù)據(jù)遷移計劃，并對遷移結(jié)果進行測試。四、業(yè)務(wù)外包方式下信息系統(tǒng)開發(fā)的關(guān)鍵控制點和主要控制措施1.選擇外包服務(wù)商選擇外包服務(wù)商主要風險風險：由

51、于企業(yè)與外包服務(wù)商之間本質(zhì)上是一種“委托代理”關(guān)系,合作雙方的信息不對稱容易誘發(fā)道德風險，外包服務(wù)商可能會實施損害企業(yè)利益的自利行為,如偷工減料、放松管理、信息泄密等。主要控制措施控制措施：企業(yè)在選擇外包服務(wù)商時要充分考慮服務(wù)商的市場信譽、資質(zhì)條件、財務(wù)狀況、服務(wù)能力、對本企業(yè)業(yè)務(wù)的熟悉程度、既往承包服務(wù)成功案例等因素,對外包服務(wù)商進行嚴格篩選。企業(yè)可以借助外包業(yè)界基準來判斷外包服務(wù)商的綜合實力。企業(yè)要嚴格外包服務(wù)審批及管控流程,對信息系統(tǒng)外包業(yè)務(wù)，原則上應(yīng)采用公開招標等形式選擇外包服務(wù)商，并實行集體決策審批。四、業(yè)務(wù)外包方式下信息系統(tǒng)開發(fā)的關(guān)鍵控制點和主要控制措施2.簽訂外包合同簽訂外包合同

52、主要風險風險：由于合同條款不準確、不完善，可能導(dǎo)致企業(yè)的正當權(quán)益無法得到有效保障。主要控制措施控制措施：企業(yè)在與外包服務(wù)商簽約之前,應(yīng)針對外包可能出現(xiàn)的各種風險損失,恰當擬定合同條款,對涉及的工作目標、合作范疇、責任劃分、所有權(quán)歸屬、付款方式、違約賠償及合約期限等問題做出詳細說明,并由法律部門或法律顧問審查把關(guān)。開發(fā)過程中涉及商業(yè)秘密、敏感數(shù)據(jù)的，企業(yè)應(yīng)當與外包服務(wù)商簽訂詳細的“保密協(xié)定”，以保證數(shù)據(jù)安全。在合同中約定付款事宜時,應(yīng)當選擇分期付款方式，尾款應(yīng)當在系統(tǒng)運行一段時間并經(jīng)評估驗收后再支付。應(yīng)在合同條款中明確要求外包服務(wù)商保持專業(yè)技術(shù)服務(wù)團隊的穩(wěn)定性。四、業(yè)務(wù)外包方式下信息系統(tǒng)開發(fā)的關(guān)鍵控制點和主要控制措施3.持續(xù)跟蹤評價外包服務(wù)商的服務(wù)過程持續(xù)跟蹤評價外包服務(wù)商的服務(wù)過程主要風險風險：企業(yè)缺乏外包服務(wù)跟蹤評價機制或跟蹤評價不到位，可能導(dǎo)致外包服務(wù)質(zhì)量水平不能滿足企業(yè)信息系統(tǒng)開發(fā)需求。主要控制措施控制措施：企業(yè)應(yīng)當規(guī)范外包服務(wù)評價工作流程，明確相關(guān)部門的職責權(quán)限，建立外包服務(wù)質(zhì)量考核評價指標體系，定期對外包服務(wù)商進行考評,公布服務(wù)周期的評估結(jié)果,現(xiàn)對外包服務(wù)水平的跟蹤評價。必要時，可以引入監(jiān)理機制，降低外包服務(wù)風險。五、外購調(diào)試方式下信息系統(tǒng)開發(fā)的關(guān)鍵控制點和主要控制措施1.軟件產(chǎn)品選型和供應(yīng)商選擇軟件產(chǎn)品選型和供應(yīng)商選擇主要風險風險：軟件產(chǎn)品選