企业内部控制应用指引第 16 号——合同管理
第一章 总则
第一条 为了促进企业加强合同管理,维护企业合法权益,根据《中华人民共和国合同法》等有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条 本指引所称合同,是指企业与自然人、法人及其他组织等平等主体之间设立、变更、终止民事权利义务关系的协议。
企业与职工签订的劳动合同,不适用本指引。
第三条 企业合同管理至少应当关注下列风险:
(一)未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈,可能导致企业合法权益受到侵害。
(二)合同未全面履行或监控不当,可能导致企业诉讼失败、经济利益受损。
(三)合同纠纷处理不当,可能损害企业利益、信誉和形象。
第四条 企业应当加强合同管理,确定合同归口管理部门,明确合同拟定、审批、执行等环节的程序和要求,定期检查和评价合同管理中的薄弱环节,采取相应控制措施,促进合同有效履行,切实维护企业的合法权益。
第二章 合同的订立
第五条 企业对外发生经济行为,除即时结清方式外,应当订立书面合同。合同订立前,应当充分了解合同对方的主体资格、信用状况等有关内容,确保对方当事人具备履约能力。
对于影响重大、涉及较高专业技术或法律关系复杂的合同,应当组织法律、技术、财会等专业人员参与谈判,必要时可聘请外部专家参与相关工作。谈判过程中的重要事项和参与谈判人员的主要意见,应当予以记录并妥善保存。
第六条 企业应当根据协商、谈判等的结果,拟订合同文本,按照自愿、公平原则,明确双方的权利义务和违约责任,做到条款内容完整,表述严谨准确,相关手续齐备,避免出现重大疏漏。
合同文本一般由业务承办部门起草、法律部门审核。重大合同或法律关系复杂的特殊合同应当由法律部门参与起草。国家或行业有合同示范文本的,可以优先选用,但对涉及权利义务关系的条款应当进行认真审查,并根据实际情况进行适当修改。
合同文本须报经国家有关主管部门审查或备案的,应当履行相应程序。
第七条 企业应当对合同文本进行严格审核,重点关注合同的主体、内容和形式是否合法,合同内容是否符合企业的经济利益,对方当事人是否具有履约能力,合同权利和义务、违约责任和争议解决条款是否明确等。
企业对影响重大或法律关系复杂的合同文本,应当组织内部相关部门进行审核。相关部门提出不同意见的,应当认真分析研究,慎重对待,并准确无误地加以记录;必要时应对合同条款作出修改。内部相关部门应当认真履行职责。
第八条 企业应当按照规定的权限和程序与对方当事人签署合同。正式对外订立的合同,应当由企业法定代表人或由其授权的代理人签名或加盖有关印章。授权签署合同的,应当签署授权委托书。属于上级管理权限的合同,下级单位不得签署。下级单位认为确有需要签署涉及上级管理权限的合同,应当提出申请,并经上级合同管理机构批准后办理。上级单位应当加强对下级单位合同订立、履行情况的监督检查。
第九条 企业应当建立合同专用章保管制度。合同经编号、审批及企业法定代表人或由其授权的代理人签署后,方可加盖合同专用章。
第十条 企业应当加强合同信息安全保密工作,未经批准,不得以任何形式泄露合同订立与履行过程中涉及的商业秘密或国家机密。
第三章 合同的履行
第十一条 企业应当遵循诚实信用原则严格履行合同,对合同履行实施有效监控,强化对合同履行情况及效果的检查、分析和验收,确保合同全面有效履行。
合同生效后,企业就质量、价款、履行地点等内容与合同对方没有约定或者约定不明确的,可以协议补充;不能达成补充协议的,按照国家相关法律法规、合同有关条款或者交易习惯确定。
第十二条 在合同履行过程中发现有显失公平、条款有误或对方有欺诈行为等情形,或因政策调整、市场变化等客观因素,已经或可能导致企业利益受损,应当按规定程序及时报告,并经双方协商一致,
按照规定权限和程序办理合同变更或解除事宜。
第十三条 企业应当加强合同纠纷管理,在履行合同过程中发生纠纷的,应当依据国家相关法律法规,在规定时效内与对方当事人协商并按规定权限和程序及时报告。
合同纠纷经协商一致的,双方应当签订书面协议。合同纠纷经协商无法解决的,应当根据合同约定选择仲裁或诉讼方式解决。
企业内部授权处理合同纠纷的,应当签署授权委托书。纠纷处理过程中,未经授权批准,相关经办人员不得向对方当事人作出实质性答复或承诺。
第十四条 企业财会部门应当根据合同条款审核后办理结算业务。未按合同条款履约的,或应签订书面合同而未签订的,财会部门有权拒绝付款,并及时向企业有关负责人报告。
第十五条 合同管理部门应当加强合同登记管理,充分利用信息化手段,定期对合同进行统计、分类和归档,详细登记合同的订立、履行和变更等情况,实行合同的全过程封闭管理。
第十六条 企业应当建立合同履行情况评估制度,至少于每年年末对合同履行的总体情况和重大合同履行的具体情况进行分析评估,对分析评估中发现合同履行中存在的不足,应当及时加以改进。
企业应当健全合同管理考核与责任追究制度。对合同订立、履行过程中出现的违法违规行为,应当追究有关机构或人员的责任。
企业内部控制应用指引第 17 号——内部信息传递
第一章 总则
第一条 为了促进企业生产经营管理信息在内部各管理层级之间的有效沟通和充分利用,根据《企业内部控制基本规范》,制定本指引。
第二条 本指引所称内部信息传递,是指企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。
第三条 企业内部信息传递至少应当关注下列风险:
(一)内部报告系统缺失、功能不健全、内容不完整,可能影响生产经营有序运行。
(二)内部信息传递不通畅、不及时,可能导致决策失误、相关政策措施难以落实。
(三)内部信息传递中泄露商业秘密,可能削弱企业核心竞争力。
第四条 企业应当加强内部报告管理,全面梳理内部信息传递过程中的薄弱环节,建立科学的内部信息传递机制,明确内部信息传递的内容、保密要求及密级分类、传递方式、传递范围以及各管理层级的职责权限等,促进内部报告的有效利用,充分发挥内部报告的作用。
第二章 内部报告的形成
第五条 企业应当根据发展战略、风险控制和业绩考核要求,科学规范不同级次内部报告的指标体系,采用经营快报等多种形式,全面反映与企业生产经营管理相关的各种内外部信息。
内部报告指标体系的设计应当与全面预算管理相结合,并随着环境和业务的变化不断进行修订和完善。设计内部报告指标体系时,应当关注企业成本费用预算的执行情况。
内部报告应当简洁明了、通俗易懂、传递及时,便于企业各管理层级和全体员工掌握相关信息,正确履行职责。
第六条 企业应当制定严密的内部报告流程,充分利用信息技术,强化内部报告信息集成和共享,将内部报告纳入企业统一信息平台,构建科学的内部报告网络体系。
企业内部各管理层级均应当指定专人负责内部报告工作,重要信息应及时上报,并可以直接报告高级管理人员。
企业应当建立内部报告审核制度,确保内部报告信息质量。
第七条 企业应当关注市场环境、政策变化等外部信息对企业生产经营管理的影响,广泛收集、分析、整理外部信息,并通过内部报告传递到企业内部相关管理层级,以便采取应对策略。
第八条 企业应当拓宽内部报告渠道,通过落实奖励措施等多种有效方式,广泛收集合理化建议。
企业应当重视和加强反舞弊机制建设,通过设立员工信箱、投诉热线等方式,鼓励员工及企业利益相关方举报和投诉企业内部的违法违规、舞弊和其他有损企业形象的行为。
第三章 内部报告的使用
第九条 企业各级管理人员应当充分利用内部报告管理和指导企业的生产经营活动,及时反映全面预算执行情况,协调企业内部相关部门和各单位的运营进度,严格绩效考核和责任追究,确保企业实现发展目标。
第十条 企业应当有效利用内部报告进行风险评估,准确识别和系统分析企业生产经营活动中的内外部风险,确定风险应对策略,实现对风险的有效控制。
企业对于内部报告反映出的问题应当及时解决;涉及突出问题和重大风险的,应当启动应急预案。
第十一条 企业应当制定严格的内部报告保密制度,明确保密内容、保密措施、密级程度和传递范围,防止泄露商业秘密。
第十二条 企业应当建立内部报告的评估制度,定期对内部报告的形成和使用进行全面评估,重点关注内部报告的及时性、安全性和有效性。
企业内部控制应用指引第 18 号——信息系统
第一章 总则
第一条 为了促进企业有效实施内部控制,提高企业现代化管理水平,减少人为因素,根据有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条 本指引所称信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
第三条 企业利用信息系统实施内部控制至少应当关注下列风险:
(一)信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下。
(二)系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。
(三)系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
第四条 企业应当重视信息系统在内部控制中的作用,根据内部控制要求,结合组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设整体规划,加大投入力度,有序组织信息系统开发、运行与维护,优化管理流程,防范经营风险,全面提升企业现代化管理水平。
企业应当指定专门机构对信息系统建设实施归口管理,明确相关单位的职责权限,建立有效工作机制。企业可委托专业机构从事信息系统的开发、运行和维护工作。
企业负责人对信息系统建设工作负责。
第二章 信息系统的开发
第五条 企业应当根据信息系统建设整体规划提出项目建设方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的权限和程序审批后实施。
企业信息系统归口管理部门应当组织内部各单位提出开发需求和关键控制点,规范开发流程,明确系统设计、编程、安装调试、验收、上线等全过程的管理要求,严格按照建设方案、开发流程和相关要求组织开发工作。
企业开发信息系统,可以采取自行开发、外购调试、业务外包等方式。选定外购调试或业务外包方式的,应当采用公开招标等形式择优确定供应商或开发单位。
第六条 企业开发信息系统,应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序,实现手工环境下难以实现的控制功能。
企业在系统开发过程中,应当按照不同业务的控制要求,通过信息系统中的权限管理功能控制用户的操作权限,避免将不相容职责的处理权限授予同一用户。
企业应当针对不同数据的输入方式,考虑对进入系统数据的检查和校验功能。对于必需的后台操作,应当加强管理,建立规范的流程制度,对操作情况进行监控或者审计。
企业应当在信息系统中设置操作日志功能,确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据,应当设计由系统自动报告并设置跟踪处理机制。
第七条 企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理,组织开发单位与内部各单位的日常沟通和协调,督促开发单位按照建设方案、计划进度和质量要求完成编程工作,对配备的硬件设备和系统软件进行检查验收,组织系统上线运行等。
第八条 企业应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试,确保在功能、性能、控制要求和安全性等方面符合开发需求。
第九条 企业应当切实做好信息系统上线的各项准备工作,培训业务操作和系统管理人员,制定科学的上线计划和新旧系统转换方案,考虑应急预案,确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的,还应制定详细的数据迁移计划。
第三章 信息系统的运行与维护
第十条 企业应当加强信息系统运行与维护的管理,制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行。
企业应当建立信息系统变更管理流程,信息系统变更应当严格遵照管理流程进行操作。信息系统操作人员不得擅自进行系统软件的删除、修改等操作;不得擅自升级、改变系统软件版本;不得擅自改变软件系统环境配置。
第十一条 企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级,建立不同等级信息的授权使用制度,采用相应技术手段保证信息系统运行安全有序。
企业应当建立信息系统安全保密和泄密责任追究制度。委托专业机构进行系统运行与维护管理的,应当审查该机构的资质,并与其签订服务合同和保密协议。
企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。
第十二条 企业应当建立用户管理制度,加强对重要业务系统的访问权限管理,定期审阅系统账号,避免授权不当或存在非授权账号,禁止不相容职务用户账号的交叉操作。
第十三条 企业应当综合利用防火墙、路由器等网络设备,漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段,加强网络安全,防范来自网络的攻击和非法侵入。
企业对于通过网络传输的涉密或关键数据,应当采取加密措施,确保信息传递的保密性、准确性和完整性。
第十四条 企业应当建立系统数据定期备份制度,明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。
第十五条 企业应当加强服务器等关键信息设备的管理,建立良好的物理环境,指定专人负责检查,及时处理异常情况。未经授权,任何人不得接触关键信息设备。