【文章內容簡介】 審計機構、加強內部審計監(jiān)督是營造守法、公平、正直的內部環(huán)境的重要保證。企業(yè)應當加強內部審計工作，在企業(yè)內部形成有權必有責、用權受監(jiān)督的良好氛圍。第二十七條 在董事會下設立審計委員會的企業(yè)，應當保證審計委員會成員具備良好的職業(yè)操守和專業(yè)勝任能力，審計委員會及其成員應當具有相應的獨立性。審計委員會應當直接對董事會負責。上市公司的審計委員會主席一般應由獨立董事?lián)?，非上市公司的審計委員會主席應由獨立于企業(yè)管理層的人員擔任。第二十八條 企業(yè)應當賦予審計委員會監(jiān)督企業(yè)內部控制建立和實施情況的相應職權。審計委員會在企業(yè)內部控制建立和實施中承擔的職責一般包括：（一）審核企業(yè)內部控制及其實施情況，并向董事會作出報告；（二）指導企業(yè)內部審計機構的工作，監(jiān)督檢查企業(yè)的內部審計制度及其實施情況；（三）處理有關投訴與舉報，督促企業(yè)建立暢通的投訴與舉報途徑；（四）審核企業(yè)的財務報告及有關信息披露內容；（五）負責內部審計與外部審計之間的溝通協(xié)調。未設立審計委員會的企業(yè)，應當由董事會授權或者企業(yè)章程規(guī)定的有關機構承擔上述職責。第二十九條 設立專門的內部審計機構的企業(yè)，應當保證內部審計機構具有相應的獨立性，并配備與履行內部審計職能相適應的人員和工作條件。未設立內部審計機構的企業(yè)，應當由董事會授權或者企業(yè)章程規(guī)定的有關機構承擔上述職責。內部審計機構的組織領導體制，依照法律規(guī)定和企業(yè)章程確定。內部審計機構不得置于財會機構的領導之下或者與財會機構合署辦公。內部審計機構依照法律規(guī)定和企業(yè)授權開展審計監(jiān)督，其工作范圍不應受到人為限制。內部審計機構對審計過程中發(fā)現(xiàn)的重大問題，視具體情況，可以直接向審計委員會或者董事會報告。內部審計人員應當具備內審人員從業(yè)資格，擁有與工作職責相匹配備的道德操守和專業(yè)勝任能力。第五節(jié) 反舞弊機制第三十條 有效的反舞弊機制，是企業(yè)防范、發(fā)現(xiàn)和處理舞弊行為、優(yōu)化內部環(huán)境的重要制度安排。企業(yè)應當建立健全反舞弊機制，明確有關部門在反舞弊工作中的職責權限和協(xié)調機制，規(guī)范反舞弊調查處理程序，建立情況通報制度，及時防范因舞弊而導致內部控制措施失效、影響內部控制目標實現(xiàn)的風險。第三十一條 企業(yè)應當結合自身的經(jīng)營范圍、業(yè)務流程和其他情況，明確反舞弊的重點領域、關鍵環(huán)節(jié)和主要內容。企業(yè)反舞弊工作至少應當關注：（一）在財務報告和信息披露方面弄虛作假；（二）未經(jīng)授權、濫用職權或者采取其他不法方式侵占、挪用企業(yè)資產(chǎn)；（三）在開展業(yè)務活動中非法使用企業(yè)資產(chǎn)牟取不當利益；（四）企業(yè)高級管理人員舞弊給企業(yè)內部控制和經(jīng)營管理可能造成的重大影響；（五）員工單獨或者串通舞弊給企業(yè)造成損失。第三十二條 企業(yè)應當完善投訴、舉報管理制度，必要時可考慮設置舞弊舉報熱線，明確投訴、舉報處理程序、辦理時限和辦結要求，確保投訴、舉報成為企業(yè)反舞弊和加強內部控制的重要途徑。企業(yè)應當確保投訴舉報管理制度及時、有效地傳達至全體員工。第三章 風險評估第三十三條 不同的企業(yè)、同一企業(yè)在不同的時期以及同一企業(yè)內部不同的內部環(huán)境、業(yè)務層面和工作環(huán)節(jié)，可能面臨不同的風險，企業(yè)應當按照立足實際、突出重點、體現(xiàn)差異、適應變化的原則，有針對性地開展風險評估。風險，是指對實現(xiàn)內部控制目標可能產(chǎn)生負面影響的不確定性因素。風險評估，是指及時識別、科學分析影響企業(yè)內部控制目標實現(xiàn)的各種不確定因素并采取應對策略的過程。第三十四條 風險評估一般應當按照目標設定、風險識別、風險分析、風險應對等程序進行。第三十五條 目標設定是風險識別、風險分析和風險應對的前提。企業(yè)應當按照戰(zhàn)略目標，設定相關的經(jīng)營目標、財務報告目標、合規(guī)性目標與資產(chǎn)安全完整目標，并根據(jù)設定的目標合理確定企業(yè)整體風險承受能力和具體業(yè)務層次上的可接受的風險水平。第三十六條 企業(yè)應當在充分調研和科學分析的基礎上，準確識別影響企業(yè)內部控制目標實現(xiàn)的內部風險因素和外部風險因素。應當關注的內部風險因素一般包括：高級管理人員職業(yè)操守、員工專業(yè)勝任能力、團隊精神等人員素質因素；經(jīng)營方式、資產(chǎn)管理、業(yè)務流程設計、財務報告編制與信息披露等管理因素；財務狀況、經(jīng)營成果、現(xiàn)金流量等基礎實力因素；研究開發(fā)、技術投入、信息技術運用等技術因素；營運安全、員工健康、環(huán)境污染等安全環(huán)保因素。應當關注的外部風險因素一般包括：經(jīng)濟形勢、產(chǎn)業(yè)政策、資源供給、利率調整、匯率變動、融資環(huán)境、市場競爭等經(jīng)濟因素；法律法規(guī)、監(jiān)管要求等法律因素；文化傳統(tǒng)、社會信用、教育基礎、消費者行為等社會因素；技術進步、工藝改進、電子商務等科技因素；自然災害、環(huán)境狀況等自然環(huán)境因素。第三十七條 企業(yè)在進行風險識別時，可以采取座談討論、問卷調查、案例分析、咨詢專業(yè)機構意見等方法識別相關的風險因素，特別應注意總結、吸取企業(yè)過去的經(jīng)驗教訓和同行業(yè)的經(jīng)驗教訓，加強對高危性、多發(fā)性風險因素的關注。第三十八條 企業(yè)應當針對已識別的風險因素，從風險發(fā)生的可能性和影響程度兩個方面進行分析。企業(yè)應當根據(jù)實際情況，針對不同的風險類別確定科學合理的定性、定量分析標準。 企業(yè)應當根據(jù)風險分析的結果，依據(jù)風險的重要性水平，運用專業(yè)判斷，按照風險發(fā)生的可能性大小及其對企業(yè)影響的嚴重程度進行風險排序，確定應當重點關注的重要風險。第三十九條 企業(yè)應當根據(jù)風險分析情況，結合風險成因、企業(yè)整體風險承受能力和具體業(yè)務層次上的可接受風險水平，確定風險應對策略。風險應對策略一般包括風險回避、風險承擔、風險降低和風險分擔等。企業(yè)對超出整體風險承受能力或者具體業(yè)務層次上的可接受風險水平的風險，應當實行風險回避。企業(yè)對在整體風險承受能力和具體業(yè)務層次上的可接受風險水平之內的風險，在權衡成本效益之后無意采取進一步控制措施的，可以實行風險承擔。企業(yè)對在整體風險承受能力和具體業(yè)務層次上的可接受風險水平之內的風險，在權衡成本效益之后愿意單獨采取進一步的控制措施以降低風險、提高收益或者減輕損失的，可以實行風險降低。企業(yè)對在整體風險承受能力和具體業(yè)務層次上的可接受風險水平之內的風險，在權衡成本效益之后愿意借助他人力量，采取包括業(yè)務分包、購買保險等進一步的控制措施以降低風險、提高收益或者減輕損失的，可以實行風險分擔。風險應對策略與企業(yè)的具體業(yè)務或者事項相聯(lián)系，不同的業(yè)務或事項可以采取不同的風險應對策略，同一業(yè)務或事項在不同的時期可以采取不同的風險應對策略，同一業(yè)務或事項在同一時期也可以綜合運用風險降低和風險分擔應對策略。第四十條 企業(yè)按照規(guī)定的程序和方法開展風險評估后，可以結合業(yè)務流程、風險因素、重要性水平和風險應對策略，在對可能存在的風險進行分析的基礎上，設立風險清單，建立企業(yè)風險數(shù)據(jù)庫，為持續(xù)開展和不斷改進風險評估提供充分、有效的數(shù)據(jù)支持。企業(yè)應當重視風險評估的持續(xù)性，及時收集風險及與風險變化相關的各種信息，定期或者不定期地開展風險評估，適時更新、維護風險數(shù)據(jù)庫。第四章 控制措施第四十一條 控制措施，是指企業(yè)根據(jù)風險評估結果，結合風險應對策略，確保內部控制目標得以實現(xiàn)的方法和手段。 第四十二條 企業(yè)應當綜合運用控制措施實現(xiàn)對具體業(yè)務與事項的控制，合理保證將剩余風險控制在可接受水平之內。 剩余風險是指企業(yè)采取控制措施之后仍可能發(fā)生的風險。控制措施的運用，并不能保證企業(yè)可以杜絕全部風險，但可以合理保證將剩余風險控制在可接受水平之內，可以合理保證企業(yè)不出現(xiàn)內部控制的重大缺陷，可以合理保證企業(yè)內部控制目標的實現(xiàn)?？刂拼胧┩ǔ０氊煼止た刂啤⑹跈嗫刂?、審核批準控制、預算控制、財產(chǎn)保護控制、會計系統(tǒng)控制、內部報告控制、經(jīng)濟活動分析控制、績效考評控制、信息技術控制等。第四十三條 職責分工控制要求根據(jù)企業(yè)目標和職能任務，按照科學、精簡、高效的原則，合理設置職能部門和工作崗位，明確各部門、各崗位的職責權限，形成各司其職、各負其責、便于考核、相互制約的工作機制。企業(yè)在確定職責分工過程中，應當充分考慮不相容職務相互分離的制衡要求。不相容職務通常包括：授權、批準、業(yè)務經(jīng)辦、會計記錄、財產(chǎn)保管、稽核檢查等。企業(yè)應當根據(jù)各項經(jīng)濟業(yè)務與事項的流程和特點，系統(tǒng)、完整地分析、梳理執(zhí)行該經(jīng)濟業(yè)務與事項涉及的不相容職務，并結合崗位職責分工采取分離措施。有條件的企業(yè)，可以借助計算機信息技術系統(tǒng)，通過權限設定等方式自動實現(xiàn)不相容職務的相互分離。企業(yè)應當結合崗位特點和重要程度，明確財會等關鍵崗位員工輪崗的期限和有關要求，建立規(guī)范的崗位輪換制度，對關鍵崗位的員工，可以實行強制休假制度，并確保在最長不超過五年的時間內進行崗位輪換，防范并及時發(fā)現(xiàn)崗位職責履行過程中可能存在的重要風險，以強化職責分工控制的有效性。第四十四條 授權控制要求企業(yè)根據(jù)職責分工，明確各部門、各崗位辦理經(jīng)濟業(yè)務與事項的權限范圍、審批程序和相應責任等內容。企業(yè)內部各級管理人員必須在授權范圍內行使職權和承擔責任，業(yè)務經(jīng)辦人員必須在授權范圍內辦理業(yè)務。授權一般包括常規(guī)性授權和臨時性授權。常規(guī)性授權是指企業(yè)在日常經(jīng)營管理活動中按照既定的職責和程序進行的授權，臨時性授權是指企業(yè)在特殊情況、特定條件下進行的應急性授權。企業(yè)可以根據(jù)常規(guī)性授權編制權限指引并以適當形式予以公布，提高權限的透明度，加強對權限行使的監(jiān)督和管理。企業(yè)應當加強對臨時性授權的管理，規(guī)范臨時性授權的范圍、權限、程序、責任和相關的記錄措施。有條件的企業(yè)，可以采用遠程辦公等方式逐步減少臨時性授權。企業(yè)對于金額重大、重要性高、技術性強、影響范圍廣的經(jīng)濟業(yè)務與事項，應當實行集體決策審批或者聯(lián)簽制度，任何個人不得單獨進行決策或者擅自改變集體決策意見。未經(jīng)授權的部門和人員，不得辦理企業(yè)各類經(jīng)濟業(yè)務與事項。第四十五條 審核批準控制要求企業(yè)各部門、各崗位按照規(guī)定的授權和程序，對相關經(jīng)濟業(yè)務和事項的真實性、合規(guī)性、合理性以及有關資料的完整性進行復核與審查，通過簽署意見并簽字或者簽章，做出批準、不予批準或者作其他處理的決定。第四十六條 預算控制要求企業(yè)加強預算編制、執(zhí)行、分析、考核等各環(huán)節(jié)的管理，明確預算項目，建立預算標準，規(guī)范預算的編制、審定、下達和執(zhí)行程序，及時分析和控制預算差異，采取改進措施，確保預算的執(zhí)行。第四十七條 財產(chǎn)保護控制要求企業(yè)限制未經(jīng)授權的人員對財產(chǎn)的直接接觸和處置，采取財產(chǎn)記錄、實物保管、定期盤點、賬實核對、財產(chǎn)保險等措施，確保財產(chǎn)的安全完整。 第四十八條 會計系統(tǒng)控制要求企業(yè)依據(jù)《中華人民共和國會計法》、國家統(tǒng)一的會計制度，制定適合本企業(yè)的會計制度，明確會計憑證、會計賬簿和財務報告以及相關信息披露的處理程序，規(guī)范會計政策的選用標準和審批程序，建立、完善會計檔案保管和會計工作交接辦法，實行會計人員崗位責任制，充分發(fā)揮會計的監(jiān)督職能，確保企業(yè)財務報告真實、可靠和完整。第四十九條 內部報告控制要求企業(yè)建立和完善內部報告制度，明確相關信息的收集、分析、報告和處理程序，及時提供業(yè)務活動中的重要信息，全面反映經(jīng)濟活動情況，增強內部管理的時效性和針對性。內部報告方式通常包括例行報告、實時報告、專題報告、綜合報告等。第五十條 經(jīng)濟活動分析控制要求企業(yè)綜合運用生產(chǎn)、購銷、投資、財務等方面的信息，利用比較分析、比率分析、因素分析、趨勢分析等方法，定期對企業(yè)經(jīng)營管理活動進行分析，發(fā)現(xiàn)存在的問題，查找原因，并提出改進意見和應對措施。第五十一條 績效考評控制要求企業(yè)科學設置業(yè)績考核指標體系，對照預算指標、盈利水平、投資回報率、安全生產(chǎn)目標等方面的業(yè)績指標，對各部門和員工當期業(yè)績進行考核和評價，兌現(xiàn)獎懲，強化對各部門和員工的激勵與約束。第五十二條 信息系統(tǒng)控制要求企業(yè)結合實際情況和計算機信息技術應用程度，建立與本企業(yè)經(jīng)營管理業(yè)務相適應的信息化控制流程，提高業(yè)務處理效率，減少和消除人為操縱因素，同時加強對計算機信息系統(tǒng)開發(fā)與維護、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡安全等方面的控制，保證信息系統(tǒng)安全、有效運用。第五十三條 企業(yè)應當以書面形式或者其他適當?shù)男问?，記錄企業(yè)制定的控制措施，促進控制措施的有效執(zhí)行。企業(yè)應當完整收集、妥善保存控制措施實施過程中的相關記錄或者資料，確?？刂拼胧嵤┻^程的可驗證性。第五章 信息與溝通第五十四條 企業(yè)應當建立有效的信息收集系統(tǒng)和信息溝通渠道，確保與影響內部環(huán)境、風險評估、控制措施、監(jiān)督檢查有關的信息有效傳遞，促進企業(yè)董事會、管理層和員工正確履行相應的職責。信息與溝通，是指及時、準確、完整地收集與企業(yè)經(jīng)營管理相關的各種信息，并使這些信息以適當?shù)姆绞皆谄髽I(yè)有關層級之間進行及時傳遞、有效溝通和正確應用的過程。第五十五條 企業(yè)收集的信息應當真實、準確、完整、及時、相關。第五十六條 企業(yè)應當準確識別、全面收集來源于企業(yè)外部及內部、與企業(yè)經(jīng)營管理相關的財務及非財務信息，為內部控制的有效運行提供信息支持。第五十七條 內部信息主要包括會計信息、生產(chǎn)經(jīng)營信息、資本運作信息、人員變動信息、技術創(chuàng)新信息、綜合管理信息等。企業(yè)可以通過會計資料、經(jīng)營管理資料、調查研究報告、會議記錄紀要、專項信息反饋、內部報刊網(wǎng)絡等渠道和方式獲取所需的內部信息。第五十八條 外部信息主要包括政策法規(guī)信息、經(jīng)濟形勢信息、監(jiān)管要求信息、市場競爭信息、行業(yè)動態(tài)信息、客戶信用信息、社會文化信息、科技進步信息等。企業(yè)可以通過立法監(jiān)管部門、社會中介機構、行業(yè)協(xié)會組織、業(yè)務往來單位、市場調查研究、外部來信來訪、新聞傳播媒體等渠道和方式獲取所需的外部信息。第五十九條 企業(yè)應當采取互聯(lián)網(wǎng)絡、電子郵件、電話傳真、信息快報、例行會議、專題報告、調查研究、員工手冊、教育培訓、內部刊物等多種方式，實現(xiàn)所需的內部信息、外部信息在企業(yè)內部準確、及時傳遞和共享，確保董事會、管理層和企業(yè)員工之間有效溝通。有效的信息溝通需要合理考慮來自不同部門和崗位、不同渠道的相關信息進行合理篩選和相互核對。第六十條 企業(yè)有責任建立良好的外部溝通渠道，對外部有關方面的建議、投訴和收到的其他信息進行記錄，并及時予以處理、反饋。外部溝通應當重點關注以下方面：（一）與投資者和債權人的溝通。企業(yè)應當根據(jù)《中華人民共和國公司法》、《中華人民共和國證券法》等法律法規(guī)、企業(yè)章程的規(guī)定，通過股東大會、投資者會議、定