企業(yè)內部控制應用指引第 17、18號

1、PAGE PAGE 9企業(yè)內部控制應應用指引第 17、188號企業(yè)內部控制應應用指引第 17 號內部信息息傳遞第一章 總則第一條 為了促促進企業(yè)生產產經營管理信信息在內部各各管理層級之之間的有效溝溝通和充分利利用，根據(jù)企企業(yè)內部控制制基本規(guī)范，制制定本指引。第二條 本指引引所稱內部信信息傳遞，是是指企業(yè)內部部各管理層級級之間通過內內部報告形式式傳遞生產經經營管理信息息的過程。第三條 企業(yè)內內部信息傳遞遞至少應當關關注下列風險險：（一）內部報告告系統(tǒng)缺失、功功能不健全、內內容不完整，可可能影響生產產經營有序運運行。（二）內部信息息傳遞不通暢暢、不及時，可可能導致決策策失誤、相關關政策措施難難以落

2、實。（三）內部信息息傳遞中泄露露商業(yè)秘密，可可能削弱企業(yè)業(yè)核心競爭力力。 第四條 企業(yè)應應當加強內部部報告管理，全全面梳理內部部信息傳遞過過程中的薄弱弱環(huán)節(jié)，建立立科學的內部部信息傳遞機機制，明確內內部信息傳遞遞的內容、保保密要求及密密級分類、傳傳遞方式、傳傳遞范圍以及及各管理層級級的職責權限限等，促進內內部報告的有有效利用，充充分發(fā)揮內部部報告的作用用。第二章 內部報報告的形成第五條 企業(yè)應應當根據(jù)發(fā)展展戰(zhàn)略、風險險控制和業(yè)績績考核要求，科科學規(guī)范不同同級次內部報報告的指標體體系，采用經經營快報等多多種形式，全全面反映與企企業(yè)生產經營營管理相關的的各種內外部部信息。內部報告指標體體系的設計應

3、應當與全面預預算管理相結結合，并隨著著環(huán)境和業(yè)務務的變化不斷斷進行修訂和和完善。設計計內部報告指指標體系時，應應當關注企業(yè)業(yè)成本費用預預算的執(zhí)行情情況。內部報告應當簡簡潔明了、通通俗易懂、傳傳遞及時，便便于企業(yè)各管管理層級和全全體員工掌握握相關信息，正正確履行職責責。第六條 企業(yè)應應當制定嚴密密的內部報告告流程，充分分利用信息技技術，強化內內部報告信息息集成和共享享，將內部報報告納入企業(yè)業(yè)統(tǒng)一信息平平臺，構建科科學的內部報報告網(wǎng)絡體系系。企業(yè)內部各管理理層級均應當當指定專人負負責內部報告告工作，重要要信息應及時時上報，并可可以直接報告告高級管理人人員。企業(yè)應當建立內內部報告審核核制度，確保保內

4、部報告信信息質量。第七條 企業(yè)應應當關注市場場環(huán)境、政策策變化等外部部信息對企業(yè)業(yè)生產經營管管理的影響，廣廣泛收集、分分析、整理外外部信息，并并通過內部報報告?zhèn)鬟f到企企業(yè)內部相關關管理層級，以以便采取應對對策略。第八條 企業(yè)應應當拓寬內部部報告渠道，通通過落實獎勵勵措施等多種種有效方式，廣廣泛收集合理理化建議。企業(yè)應當重視和和加強反舞弊弊機制建設,通過設立員員工信箱、投投訴熱線等方方式，鼓勵員員工及企業(yè)利利益相關方舉舉報和投訴企企業(yè)內部的違違法違規(guī)、舞舞弊和其他有有損企業(yè)形象象的行為。第三章 內部報報告的使用第九條 企業(yè)各各級管理人員員應當充分利利用內部報告告管理和指導導企業(yè)的生產產經營活動，

5、及及時反映全面面預算執(zhí)行情情況，協(xié)調企企業(yè)內部相關關部門和各單單位的運營進進度，嚴格績績效考核和責責任追究，確確保企業(yè)實現(xiàn)現(xiàn)發(fā)展目標。第十條 企業(yè)應應當有效利用用內部報告進進行風險評估估，準確識別別和系統(tǒng)分析析企業(yè)生產經經營活動中的的內外部風險險，確定風險險應對策略，實實現(xiàn)對風險的的有效控制。企業(yè)對于內部報報告反映出的的問題應當及及時解決；涉涉及突出問題題和重大風險險的，應當啟啟動應急預案案。第十一條 企業(yè)業(yè)應當制定嚴嚴格的內部報報告保密制度度，明確保密密內容、保密密措施、密級級程度和傳遞遞范圍，防止止泄露商業(yè)秘秘密。第十二條 企業(yè)業(yè)應當建立內內部報告的評評估制度，定定期對內部報報告的形成和和

6、使用進行全全面評估，重重點關注內部部報告的及時時性、安全性性和有效性。企業(yè)內部控制應應用指引第 18 號信息系統(tǒng)統(tǒng)第一章 總則第一條 為了促促進企業(yè)有效效實施內部控控制，提高企企業(yè)現(xiàn)代化管管理水平，減減少人為因素素，根據(jù)有關關法律法規(guī)和和企業(yè)內部部控制基本規(guī)規(guī)范，制定定本指引。第二條 本指引引所稱信息系系統(tǒng)，是指企企業(yè)利用計算算機和通信技技術，對內部部控制進行集集成、轉化和和提升所形成成的信息化管管理平臺。第三條 企業(yè)利利用信息系統(tǒng)統(tǒng)實施內部控控制至少應當當關注下列風風險：（一）信息系統(tǒng)統(tǒng)缺乏或規(guī)劃劃不合理，可可能造成信息息孤島或重復復建設，導致致企業(yè)經營管管理效率低下下。（二）系統(tǒng)開發(fā)發(fā)不符

7、合內部部控制要求，授授權管理不當當，可能導致致無法利用信信息技術實施施有效控制。（三）系統(tǒng)運行行維護和安全全措施不到位位，可能導致致信息泄漏或或損，系統(tǒng)無無法正常運行行。第四條 企業(yè)應應當重視信息息系統(tǒng)在內部部控制中的作作用，根據(jù)內內部控制要求求，結合組織織架構、業(yè)務務范圍、地域域分布、技術術能力等因素素，制定信息息系統(tǒng)建設整整體規(guī)劃，加加大投入力度度，有序組織織信息系統(tǒng)開開發(fā)、運行與與維護，優(yōu)化化管理流程，防防范經營風險險，全面提升升企業(yè)現(xiàn)代化化管理水平。企業(yè)應當指定專專門機構對信信息系統(tǒng)建設設實施歸口管管理，明確相相關位的職責責權限，建立立有效工作機機制。企業(yè)可可委托專業(yè)機機構從事信息息系

8、統(tǒng)的開發(fā)發(fā)、運行和維維護工作。企業(yè)負責人對信信息系統(tǒng)建設設工作負責。第二章 信息系系統(tǒng)的開發(fā)第五條 企業(yè)應應當根據(jù)信息息系統(tǒng)建設整整體規(guī)劃提出出項目建設方方案，明確建建設目標、人人員配備、職職責分工、經經費保障和進進度安排等相相關內容，按按照規(guī)定的權權限和程序審審批后實施。企業(yè)信息系統(tǒng)歸歸口管理部門門應當組織內內部各單位提提出開發(fā)需求求和關鍵控制制點，規(guī)范開開發(fā)流程，明明確系統(tǒng)設計計、編程、安安裝調試、驗驗收、上線等等全過程的管管理要求，嚴嚴格按照建設設方案、開發(fā)發(fā)流程和相關關要求組織開開發(fā)工作。企業(yè)開發(fā)信息系系統(tǒng)，可以采采取自行開發(fā)發(fā)、外購調試試、業(yè)務外包包等方式。選選定外購調試試或業(yè)務外包

9、包方式的，應應當采用公開開招標等形式式擇優(yōu)確定供供應商或開發(fā)發(fā)單位。第六條 企業(yè)開開發(fā)信息系統(tǒng)統(tǒng)，應當將生生產經營管理理業(yè)務流程、關關鍵控制點和和處理規(guī)則嵌嵌入系統(tǒng)程序序，實現(xiàn)手工工環(huán)境下難以以實現(xiàn)的控制制功能。企業(yè)在系統(tǒng)開發(fā)發(fā)過程中，應應當按照不同同業(yè)務的控制制要求，通過過信息系統(tǒng)中中的權限管理理功能控制用用戶的操作權權限，避免將將不相容職責責的處理權限限授予同一用用戶。企業(yè)應當針對不不同數(shù)據(jù)的輸輸入方式，考考慮對進入系系統(tǒng)數(shù)據(jù)的檢檢查和校驗功功能。對于必必需的后臺操操作，應當加加強管理，建建立規(guī)范的流流程制度，對對操作情況進進行監(jiān)控或者者審計。企業(yè)應當在信息息系統(tǒng)中設置置操作日志功功能，確

10、保操操作的可審計計性。對異常常的或者違背背內部控制要要求的交易和和數(shù)據(jù)，應當當設計由系統(tǒng)統(tǒng)自動報告并并設置跟蹤處處理機制。第七條 企業(yè)信信息系統(tǒng)歸口口管理部門應應當加強信息息系統(tǒng)開發(fā)全全過程的跟蹤蹤管理，組織織開發(fā)單位與與內部各單位位的日常溝通通和協(xié)調，督督促開發(fā)單位位按照建設方方案、計劃進進度和質量要要求完成編程程工作，對配配備的硬件設設備和系統(tǒng)軟軟件進行檢查查驗收，組織織系統(tǒng)上線運運行等第八條 企業(yè)應應當組織獨立立于開發(fā)單位位的專業(yè)機構構對開發(fā)完成成的信息系統(tǒng)統(tǒng)進行驗收測測試，確保在在功能、性能能、控制要求求和安全性等等方面符合開開發(fā)需求。第九條 企業(yè)應應當切實做好好信息系統(tǒng)上上線的各項準

11、準備工作，培培訓業(yè)務操作作和系統(tǒng)管理理人員，制定定科學的上線線計劃和新舊舊系統(tǒng)轉換方方案，考慮應應急預案，確確保新舊系統(tǒng)統(tǒng)順利切換和和平穩(wěn)銜接。系系統(tǒng)上線涉及及數(shù)據(jù)遷移的的，還應制定定詳細的數(shù)據(jù)據(jù)遷移計劃。第三章 信息系系統(tǒng)的運行與與維護第十條 企業(yè)應應當加強信息息系統(tǒng)運行與與維護的管理理，制定信息息系統(tǒng)工作程程序、信息管管理制度以及及各模塊子系系統(tǒng)的具體操操作規(guī)范，及及時跟蹤、發(fā)發(fā)現(xiàn)和解決系系統(tǒng)運行中存存在的問題，確確保信息系統(tǒng)統(tǒng)按照規(guī)定的的程序、制度度和操作規(guī)范范持續(xù)穩(wěn)定運運行。企業(yè)應當建立信信息系統(tǒng)變更更管理流程，信信息系統(tǒng)變更更應當嚴格遵遵照管理流程程進行操作。信信息系統(tǒng)操作作人員不得

12、擅擅自進行系統(tǒng)統(tǒng)軟件的刪除除、修改等操操作；不得擅擅自升級、改改變系統(tǒng)軟件件版本；不得得擅自改變軟軟件系統(tǒng)環(huán)境境配置。第十一條 企業(yè)業(yè)應當根據(jù)業(yè)業(yè)務性質、重重要性程度、涉涉密情況等確確定信息系統(tǒng)統(tǒng)的安全等級級，建立不同同等級信息的的授權使用制制度，采用相相應技術手段段保證信息系系統(tǒng)運行安全全有序。企業(yè)應當建立信信息系統(tǒng)安全全保密和泄密密責任追究制制度。委托專專業(yè)機構進行行系統(tǒng)運行與與維護管理的的，應當審查查該機構的資資質，并與其其簽訂服務合合同和保密協(xié)協(xié)議。企業(yè)應當采取安安裝安全軟件件等措施防范范信息系統(tǒng)受受到病毒等惡惡意軟件的感感染和破壞。第十二條 企業(yè)業(yè)應當建立用用戶管理制度度，加強對重重要業(yè)務系統(tǒng)統(tǒng)的訪問權限限管理，定期期審閱系統(tǒng)賬賬號，避免授授權不當或存存在非授權賬賬號，禁止不不相容職務用用戶賬號的交交叉操作。第十三條 企業(yè)業(yè)應當綜合利利用防火墻、路路由器等網(wǎng)絡絡設備，漏洞洞掃描、入侵侵檢測等軟件件技術以及遠遠程訪問安全全策略等手段段，加強網(wǎng)絡絡安全，防范范來自網(wǎng)絡的的攻擊和非法法侵入。企業(yè)對于通