切实做好内部控制评价，不断实现内部控制自我提升
——财政部会计司解读《企业内部控制评价指引》
来源：中国财经报

《周易》：“君子终日乾乾，夕惕若，厉，无咎。”是说君子能整天整日显示出自强不息的行为状态，是因为到晚间，也要保持戒慎，即检查自己在白天的所作所为，不要把过错带进第二天。对内部控制的建立、实施进行评价，是优化内部控制自我监督机制的一项重要制度安排，是内部控制的重要组成部分，与内部控制的建立、实施，共同构成有机循环。《企业内部控制基本规范》第四十六条：“企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告”。因此，为促进企业全面评价内部控制的设计与运行情况，规范内部控制评价程序和评价报告，揭示和防范风险，专门制定了《企业内部控制评价指引》（下称“《评价指引》”）。
《评价指引》第二条规定，企业内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。

一、内部控制评价概述
（一）内部控制评价的作用
第一，内部控制评价有助于企业自我完善内控体系。内部控制评价是通过评价、反馈、再评价，报告企业在内部控制建立与实施中存在的问题，并持续地进行自我完善的过程。通过内部控制评价查找、分析内部控制缺陷并有针对性地督促落实整改，可以及时堵塞管理漏洞，防范偏离目标的各种风险，并举一反三，从设计和执行等全方位健全优化管控制度，从而促进企业内控体系的不断完善。
第二，内部控制评价有助于提升企业市场形象和公众认可度。企业开展内部控制评价，需形成评价结论，出具评价报告。通过自我评价报告，将企业的风险管理水平、内部控制状况以及与此相关的发展战略、竞争优势、可持续发展能力等公布于众，树立诚信、透明、负责任的企业形象，有利于增强投资者、债权人以及其他利益相关者的信任度和认可度，为自己创造更为有利的外部环境，促进企业的长远可持续发展。
第三，内部控制评价有助于实现与政府监管的协调互动。政府监管部门有权对企业内部控制建立与实施的有效性进行监督检查。事实上，在有关政府部门，比如审计机关开展的国有企业负责人离任经济责任审计中，已将企业内部控制的有效性，以及企业负责人组织领导内控体系建立与实施情况纳入审计范围，并日益成为十分重要的一部分。尽管政府部门实施企业内控监督检查有其自身的做法和特点，但监督检查的重点部位是基本一致的，比如大多涉及重大经营决策的科学性、合规性以及重要业务事项管控的有效性等。实施企业内控自我评价，能够通过自查及早排查风险、发现问题，并积极整改，有利于在配合政府监管中赢得主动，并借助政府监管成果进一步改进企业内控实施和评价工作，促进自我评价与政府监管的协调互动。
（二）内部控制评价的对象
内部控制评价是对内部控制有效性发表意见。所谓内部控制有效性，是指企业建立与实施内部控制对实现控制目标提供合理保证的程度，包括内部控制设计的有效性和内部控制运行的有效性。其中，内部控制设计的有效性，是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；内部控制运行的有效性，是指现有内部控制按照规定程序得到了正确执行。评价内部控制运行的有效性，应当着重考虑以下几个方面：
（１）相关控制在评价期内是如何运行的；
（２）相关控制是否得到了持续一致的运行；
（３）实施控制的人员是否具备必要的权限和能力。
需要强调的是，即使同时满足设计有效性和运行有效性标准的内部控制，受内部控制固有局限影响，也只能为内部控制目标的实现提供合理保证，而不能提供绝对保证，不应不切实际地期望内部控制能够绝对保证内部控制目标的实现，也不应以内部控制目标的最终实现情况和程度作为唯一依据直接判断内部控制设计和运行的有效性。
（三）内部控制评价的原则
内部控制评价的原则是开展评价工作应该注意的原则，与内部控制的原则不完全相同。根据《评价指引》第三条规定，企业对内部控制评价至少遵循以下原则：全面性原则、重要性原则和客观性原则。
１．全面性原则。全面性原则强调的是内部控制评价的涵盖范围应当全面，具体来说，是指内部控制评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。
２．重要性原则。重要性原则强调内部控制评价应当在全面性的基础之上，着眼于风险，突出重点。具体来说，主要体现在制订和实施评价工作方案、分配评价资源的过程之中，它的核心要求主要包括两个方面：一是要坚持风险导向的思路，着重关注那些影响内部控制目标实现的高风险领域和风险点；二是要坚持重点突出的思路，着重关注那些重要的业务事项和关键的控制环节，以及重要业务单位。
３．客观性原则。客观性原则强调内部控制评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计和运行的有效性。只有在内部控制评价工作方案制定、实施的全过程中始终坚持客观性，才能保证评价结果的客观性。
（四）内部控制评价的组织形式和职责安排
《评价指引》第四条规定，企业应当根据本评价指引，结合内部控制设计与运行的实际情况，制定具体的内部控制评价办法，规定评价的原则、内容、程序、方法和报告形式等，明确相关机构或岗位的职责权限，落实责任制，按照规定的办法、程序和要求，有序开展内部控制评价工作。
企业内部控制评价办法应当结合《企业内部控制基本规范》第四十四条的规定，具体明确内部控制评价的组织形式，特别明确各有关方面在内部控制评价中的职责安排，处理好内部控制评价和内部监督的关系，定期由相对独立的人员对内部控制有效性进行科学的评价，界定内部控制缺陷认定标准，保证内部控制评价有序地开展。
１．内部控制评价的组织形式企业可以授权内部审计机构或专门机构（下称“内部控制评价机构”）负责内部控制评价的具体组织实施工作。
内部控制评价机构必须具备一定的设置条件：一是能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力；二是具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养；三是与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致，在工作中相互配合、相互制约，在效率效果上满足企业对内部控制系统进行监督与评价所提出的有关要求；四是能够得到企业董事会和经理层的支持，有足够的权威性来保证内部控制评价工作的顺利开展。
具体来说，企业可根据自身特点，决定是否单独设置专门的内部控制评价机构。对于单独设有专门内部控制机构的企业，也可以由内部控制机构来负责内部控制评价的具体组织实施工作。
为了保证评价的独立性，负责内部控制设计和评价的部门应适当分离。
企业可以委托会计师事务所等中介机构实施内部控制评价。此时，董事会（审计委员会）应加强对内部控制评价工作的监督与指导。从业务性质上讲，中介机构受托为企业实施内部控制评价是一种非保证服务，内部控制评价报告的责任仍然应由企业董事会承担。另外，为保证审计的独立性，为企业提供内部控制审计的会计师事务所，不得同时为同一家企业提供内部控制评价服务。
２．有关方面在内部控制评价中的职责和任务无论采取何种组织形式，董事会、经理层和内部控制评价机构在内部控制评价中的职能作用不会发生本质的变化。一般来说：（１）董事会对内部控制评价承担最终的责任。《评价指引》第四条第二款规定，企业董事会应当对内部控制评价报告的真实性负责。董事会可以通过审计委员会来承担对内部控制评价的组织、领导、监督职责。董事会或审计委员会应听取内部控制评价报告，审定内控重大缺陷、重要缺陷整改意见，对内部控制部门在督促整改中遇到的困难，积极协调，排除障碍。监事会应审议内部控制评价报告，对董事会建立与实施内部控制进行监督。
（２）经理层负责组织实施内部控制评价工作，实际操作中，可以授权内部控制评价机构组织实施，并积极支持和配合内部控制评价的开展，创造良好的环境和条件。经理层应结合日常掌握的业务情况，为内部控制评价方案提出应重点关注的业务或事项，审定内部控制评价方案和听取内部控制评价报告，对于内部控制评价中发现的问题或报告的缺陷，要按照董事会或审计委员会的整改意见积极采取有效措施予以整改。
（３）内部控制评价机构根据授权承担内部控制评价的具体组织实施任务，通过复核、汇总、分析内部监督资料，结合经理层要求，拟订合理评价工作方案并认真组织实施；对于评价过程中发现的重大问题，应及时与董事会、审计委员会或经理层沟通，并认定内部控制缺陷，拟订整改方案，编写内部控制评价报告，及时向董事会、审计委员会或经理层报告；沟通外部审计师，督促各部门、所属企业对内、外部内控评价进行整改；根据评价和整改情况拟订内部控制考核方案。
（４）各专业部门应负责组织本部门的内控自查、测试和评价工作，对发现的设计和运行缺陷提出整改方案及具体整改计划，积极整改，并报送内部控制机构复核，配合内控机构（部门）及外部审计师开展企业层面的内控评价工作。
（５）企业所属单位，也应逐级落实内部控制评价责任，建立日常监控机制，开展内控自查、测试和定期检查评价，发现问题并认定内部控制有缺陷，需拟订整改方案和计划，报本级管理层审定后，督促整改，编制内部控制评价报告，对内部控制的执行和整改情况进行考核。
企业内部控制评价办法中的原则、内容、程序、方法和报告形式参考本解读其他部分的规定。

二、关于内部控制评价的内容
（一）内部控制评价的内容和工作底稿设计《评价指引》第五条到第十条具体介绍了内部控制评价内容。内部控制评价应紧紧围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素进行，企业应结合《企业内部控制基本规范》、各项应用指引以及本企业的内部控制制度，确定具体评价内容，对内部控制设计与运行情况进行全面评价。
内部环境评价应当包括组织架构、发展战略、人力资源、企业文化、社会责任等方面。组织架构评价可以重点从机构设置的整体控制力、权责划分、相互牵制、信息流动路径等方面进行；发展战略可以重点从发展战略的制定合理 性、有效实施和适当调整三方面进行；人力资源评价应当重点从企业人力资源引进结构合理性、开发机制、激励约束机制等方面进行；企业文化评价应从建设和评估两方面进行，从而促进诚信、道德价值观的提升，为内部控制的完善夯实人文基础；社会责任可以从安全生产、产品质量、环境保护与资源节约、促进就业、员工权益保护等方面进行。
风险评估评价应当对日常经营管理过程中的目标设定、风险识别、风险分析、应对策略等进行认定和评价。
控制活动评价应对企业各类业务的控制措施与流程的设计有效性和运行有效性进行认定和评价。
信息与沟通评价应当对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性进行认定和评价。
内部监督评价应当对管理层对于内部监督的基调、监督的有效性及内部控制缺陷认定的科学、客观、合理进行认定和评价。
重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥作用。
企业应当以内部控制五要素为基础，建立内部控制核心指标体系，在以上评价内容的基础上，层层分解、展开，进一步细化，以下列举了可供参考核心指标（见第4版附件１）。对于内容不能详尽的，如控制活动涉及方方面面的业务，可以另外按业务列表增加。
具体评价内容确定后，根据《评价指引》第十一条规定，内部控制评价工作应形成工作底稿，详细记录企业执行评价工作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。工作底稿可以是通过一系列评价表格加以实现。

三、关于内部控制评价的程序
《评价指引》第十二条至第十四条对企业组织内部控制评价程序和人员、预算作出具体规定。
内部控制评价的一般程序内部控制评价程序一般包括：制定评价工作方案、组成评价工作组、实施现场测试、汇总评价结果、编报评价报告等。概括而言，主要分为以下几个阶段：
１．准备阶段
（１）制定评价工作方案。内部控制评价机构应当根据企业内部监督情况和管理要求，分析企业经营管理过程中的高风险领域和重要业务事项，确定检查评价方法，制定科学合理的评价工作方案，经董事会批准后实施。评价工作方案应当明确评价主体范围、工作任务、人员组织、进度安排和费用预算等相关内容。评价工作方案既以全面评价为主，也可以根据需要采用重点评价的方式。
（２）组成评价工作组。评价工作组是在内部控制评价机构领导下，具体承担内部控制检查评价任务。内部控制评价机构根据经批准的评价方案，挑选具备独立性、业务胜任能力和职业道德素养的评价人员实施评价。评价工作组成员应当吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。企业应根据自身条件，尽量建立长效内部控制评价培训机制。
２．实施阶段
（１）了解被评价单位基本情况。充分与企业沟通企业文化和发展战略、组织机构设置及职责分工、领导层成员构成及分工等基本情况。
（２）确定检查评价范围和重点。评价工作组根据掌握的情况进一步确定评价范围、检查重点和抽样数量，并结合评价人员的专业背景进行合理分工。
检查重点和分工情况可以根据需要进行适时调整。
（３）开展现场检查测试。评价工作组根据评价人员分工，综合运用各种评价方法对内部控制设计与运行的有效性进行现场检查测试，按要求填写工作底稿、记录相关测试结果，并对发现的内部控制缺陷进行初步认定。
３．汇总评价结果、编制评价报告阶段
评价工作组汇总评价人员的工作底稿，初步认定内部控制缺陷，形成现场评价报告。评价工作底稿应进行交叉复核签字，并由评价工作组负责人审核后签字确认。评价工作组将评价结果及现场评价报告向被评价单位进行通报，由被评价单位相关责任人签字确认后，提交企业内部控制评价机构。
内部控制评价机构汇总各评价工作组的评价结果，对工作组现场初步认定的内部控制缺陷进行全面复核、分类汇总；对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析，按照对控制目标的影响程度判定缺陷等级。
内部控制评价机构以汇总的评价结果和认定的内部控制缺陷为基础，综合内部控制工作整体情况，客观、公正、完整地编制内部控制评价报告，并报送企业经理层、董事会和监事会，由董事会最终审定后对外披露。
４．报告反馈和跟踪阶段
（一）对于认定的内部控制缺陷，内部控制评价机构应当结合董事会和审计委员会要求，提出整改建议，要求责任单位及时整改，并跟踪其整改落实情况；已经造成损失或负面影响的，企业应当追究相关人员的责任。
（二）内部控制评价的频率企业每年应对内部控制进行评价并予以披露。但是内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的，从其规定。
另外，如果内部监督程序无效，或所提供信息不足以说明内部控制有效，应增加评价的频率。
（三）内部控制评价的方法《评价指引》第十五条规定，内部控制评价工作组应当对被评价单位进行现场测试，综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。
１．个别访谈法个别访谈法主要用于了解公司内部控制的现状，在企业层面评价及业务层面评价的了解阶段经常使用。访谈前应根据内部控制评价需求形成访谈提纲，撰写访谈纪要，记录访谈的内容。
２．调查问卷法调查问卷法主要用于企业层面评价。调查问卷应尽量扩大对象范围，包括企业各个层级员工，应注意事先保密性，题目尽量简单易答（如答案只需为“是”、“否”、“有”、“没有”等等）。
３．穿行测试法穿行测试法是指在内部控制流程中任意选取一笔交易作为样本，追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程，即该流程从起点到终点的全过程（例如，在保险公司的内部控制评价中，选取一笔保险新单，追踪其从投保申请到财务入账的全过程），以此了解控制措施设计的有效性，并识别出关键控制点。
４．抽样法抽样法分为随机抽样和其他抽样。
随机抽样是指按随机原则从样本库中抽取一定数量的样本；其他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量的样本。
５．实地查验法实地查验法主要针对业务层面控制，它通过使用统一的测试工作表，与实际的业务、财务单证进行核对的方法进行控制测试。如实地盘点某种存货。
６．比较分析法比较分析法是指通过数据分析，识别评价关注点的方法。数据分析可以是与历史数据、行业（公司）标准数据或行业最优数据等进行比较。
７．专题讨论法专题讨论法主要是集合有关专业人员就内部控制执行情况或控制问题进行分析，既可以是控制评价的手段，也是形成缺陷整改方案的途径。
此外，还可以使用观察、重新执行等方法，也可以利用信息系统开发检查方法，或利用实际工作和检查测试经验。对于企业通过系统采用自动控制、预防控制的，应在方法上注意与人工控制、发现性控制的区别。

四、内部控制缺陷的认定
内部控制缺陷是描述内部控制有效性的一个负向的维度。企业开展内部控制评价，主要工作内容之一就是要找出内部控制缺陷并有针对性地进行整改。
内部控制缺陷认定在一定程度上决定内部控制评价的成效，且具有一定难度，还需要运用职业判断。为了指导企业科学、合理地认定内部控制缺陷，切实帮助企业有效开展内部控制评价，《评价指引》第十六条至第十九条对内部控制缺陷的分类、认定作出专门的解释。
（一）内部控制缺陷的分类
１．按照内部控制缺陷成因或来源，内部控制缺陷包括设计缺陷和运行缺陷。设计缺陷是指企业缺少为实现控制目标所必需的控制，或现存控制设计不适当，即使正常运行也难以实现控制目标。运行缺陷是指设计有效（合理且适当）的内部控制由于运行不当（包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等）而形成的内部控制缺陷。
内部控制存在设计缺陷和运行缺陷，会影响内部控制的设计有效性和运行有效性。
２．按照影响企业内部控制目标实现的严重程度，内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。当存在任何一个或多个内部控制重大缺陷时，应当在内部控制评价报告中作出内部控制无效的结论。
重要缺陷，是指一个或多个控制缺陷的组合，其严重程度低于重大缺陷，但仍有可能导致企业偏离控制目标。重要缺陷的严重程度低于重大缺陷，不会严重危及内部控制的整体有效性，但也应当引起董事会、经理层的充分关注。
一般缺陷，是指除重大缺陷、重要缺陷以外的其他控制缺陷。
将内部控制评价中发现的内部控制缺陷划分为重大缺陷、重要缺陷和一般缺陷，需要借助一套可系统遵循的认定标准，认定过程中还需要内部控制评价人员充分运用职业判断。一般而言，如果一个企业存在的内部控制缺陷达到了重大缺陷的程度，我们就不能说该企业的内部控制是整体有效的。
３．按照具体影响内部控制目标的具体表现形式，还可以将内部控制缺陷分为财务报告缺陷和非财务报告缺陷。
（二）内部控制缺陷的认定标准
１．部控制缺陷的重要性和影响程度《评价指引》第十六条规定，企业对内部控制缺陷的认定，应当以构成内部控制的内部监督要素中的日常监督和专项监督为基础，结合年度内部控制评价，由内部控制评价机构进行综合分析后提出认定意见，按照规定的权限和程序进行审核，由董事会予以最终确定。
首先，内部控制评价从属于内部监督，是监督结果的总体体现。在企业正常的生产经营中，内部控制评价倚重内部监督；其次，充分利用日常监督与专项监督结果的基础上，至少每年由内部控制评价机构对内部控制的五要素相对独立地进行评价，全面地、综合地分析，提出认定意见，报董事会审定；第三，企业应当根据评价指引，结合自身情况和关注的重点，自行确定内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。第四，根据具体认定标准认定企业存在的内部控制缺陷，由董事会最终审定。企业在确定内部控制缺陷的认定标准时，应当充分考虑内部控制缺陷的重要性及其影响程度。
内部控制缺陷的重要性和影响程度是相对于内部控制目标而言的。按照对财务报告目标和其他内部控制目标实现的影响的具体表现形式，下面区分财务报告内部控制缺陷和非财务报告内部控制缺陷分别阐述内部控制缺陷的认定标准。
２．财务报告内部控制缺陷的认定标准财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。由于财务报告内部控制的目标集中体现为财务报告的可靠性，因而财务报告内部控制的缺陷主要是指不能合理保证财务报告可靠性的内部控制设计和运行缺陷。
换句话说，财务报告内部控制的缺陷，是指不能及时防止或发现并纠正财务报告错报的内部控制缺陷。
将财务报告内部控制的缺陷划分为重大缺陷、重要缺陷和一般缺陷，所采用的认定标准直接取决于由于该内部控制缺陷的存在可能导致的财务报告错报的重要程度。这种重要程度主要取决于两个方面的因素：（１）该缺陷是否具备合理可能性导致企业的内部控制不能及时防止或发现并纠正财务报告错报。合理可能性是指大于微小可能性（几乎不可能发生）的可能性，确定是否具备合理可能性涉及评价人员的职业判断。（２）该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。另外，一些迹象通常表明财务报告内部控制可能存在重大缺陷：（１）董事、监事和高级管理人员舞弊；（２）企业更正已公布的财务报告；（３）注册会计师发现当期财务报告存在重大错报，而内部控制在运行过程中未能发现该错报；（４）企业审计委员会和内部审计机构对内部控制的监督无效。
一般而言，如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中的重大错报，就应将该缺陷认定为重大缺陷。重大错报中的“重大”，涉及企业管理层确定的财务报告的重要性水平。
一般企业可以采用绝对金额法（例如，规定金额超过１００００元的错报应当认定为重大错报）或相对比例法（例如，规定超过资产总额１％的错报应当认定为重大错报）来确定重要性水平。如果企业的财务报告内部控制存在一项或多项重大缺陷，就不能得出该企业的财务报告内部控制有效的结论。
一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中虽然未达到和超过重要性水平、但仍应引起董事会和管理层重视的错报，就应将该缺陷认定为重要缺陷。不构成重大缺陷和重要缺陷的内部控制缺陷，应认定为一般缺陷。
３．非财务报告内部控制缺陷的认定标准非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制。这些目标一般包括战略目标、资产安全、经营目标、合规目标等。非财务报告评价应当作为企业内部控制评价的重点。
非财务报告内部控制缺陷认定具有涉及面广、认定难度大的特点。企业可以根据风险评估的各项工作，对《企业内部控制应用指引》中每一篇应用指引所阐述的风险，根据自身的实际情况、管理现状和发展要求，加以细化或按内部控制原理补充，参照财务报告内部控制缺陷的认定标准，合理确定定性和定量的认定标准，根据其对内部控制目标实现的影响程度认定为一般缺陷、重要缺陷和重大缺陷。其中：定量标准，即涉及金额大小，既可以根据造成直接财产损失绝对金额制定，也可以根据其直接损失占本企业资产、销售收入及利润等的比率确定；定性标准，即涉及业务性质的严重程度，可根据其直接或潜在负面影响的性质、影响的范围等因素确定。以下迹象通常表明非财务报告内部控制可能存在重大缺陷：（１）国有企业缺乏民主决策程序，如缺乏“三重一大”决策程序；（２）企业决策程序不科学，如决策失误，导致并购不成功；（３）违犯国家法律、法规，如环境污染；（４）管理人员或技术人员纷纷流失；（５）媒体负面新闻频现；（６）内部控制评价的结果特别是重大或重要缺陷未得到整改。（７）重要业务缺乏制度控制或制度系统性失效。
为避免企业操纵内部控制评价报告，非财务报告内部控制缺陷认定标准一经确定，必须在不同评价期间保持一致，不得随意变更。
需要强调的是，在内部控制的非财务报告目标中，战略和经营目标的实现往往受到企业不可控的诸多外部因素的影响，企业的内部控制只能合理保证董事会和管理层了解这些目标的实现程度。因而，在认定针对这些控制目标的内部控制缺陷时，我们不能只考虑最终的结果，而主要应该考虑企业制定战略、开展经营活动的机制和程序是否符合内部控制要求，以及不适当的机制和程序对企业战略及经营目标实现可能造成的影响。
（三）内部控制缺陷的报告与整改
１．内部控制缺陷报告的格式和途径《评价指引》第十九条规定，企业内部控制评价机构应当编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见（针对财务报告内部控制的缺陷，一般还应当反映缺陷对财务报告的具体影响），并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。企业对于认定的重大缺陷，应当及时采取应对策略，切实将风险控制在可承受度之内，并追究有关部门或相关人员的责任。
内部控制缺陷报告应当采取书面形式，可以单独报告，也可以作为内部控制评价报告的一个重要组成部分。一般而言，内部控制的一般缺陷、重要缺陷应定期（至少每年）报告，重大缺陷应立即报告。对于重大缺陷和重要缺陷及整改方案，应向董事会（审计委员会）、监事会或经理层报告并审定。如果出现不适合向经理层报告的情形，例如存在与管理层舞弊相关的内部控制缺陷，或存在管理层凌驾于内部控制之上的情形，应当直接向董事会（审计委员会）、监事会报告。
对于一般缺陷，可以与企业经理层报告，并视情况考虑是否需要向董事会（审计委员会）、监事会报告。
２．内部控制缺陷整改方案及期限企业对于认定的内部控制缺陷，应当及时采取整改措施，切实将风险控制在可承受度之内，并追究有关机构或相关人员的责任。
企业内部控制评价机构应当就发现的内部控制缺陷提出整改建议，并报经理层、董事会（审计委员会）、监事会批准。获批后，应制定切实可行的整改方案，包括整改目标、内容、步骤、措施、方法和期限。整改期限超过一年的，整改目标应明确近期和远期目标以及相应的整改工作内容。

五、关于内部控制评价报告
内部控制评价报告是内部控制评价的最终体现，按照编制主体、报送对象和时间，分为对内报告和对外报告。对外报告的内容、格式等强调符合披露要求，时间具有强制性，对内报告则主要以符合企业董事会（审计委员会）、经理层需要为主，编制主体层级更多、内容上更加详尽、格式更加多样，时间可以定期或不定期。《评价指引》第二十条规定，企业应当根据《企业内部控制基本规范》、应用指引和本指引，设计内部控制评价报告的种类、格式和内容，明确内部控制评价报告编制程序和要求，按照规定的权限报经批准后对外报出。
（一）内部控制评价报告的内容和格式
《评价指引》第二十一条和二十二条规定了对外披露的内容，内部控制评价对外报告一般包括以下内容：１．董事会声明。声明董事会及全体董事对报告内容的真实性、准确性、完整性承担个别及连带责任，保证报告内容不存在任何虚假记载、误导性陈述或重大遗漏。
２．内部控制评价工作的总体情况。明确企业内部控制评价工作的组织、领导体制、进度安排，是否聘请会计师事务所对内部控制有效性进行独立审计。
３．内部控制评价的依据。说明企业开展内部控制评价工作所依据的法律法规和规章制度。
４．内部控制评价的范围。描述内部控制评价所涵盖的被评价单位，以及纳入评价范围的业务事项，及重点关注的高风险领域。内部控制评价的范围如有所遗漏的，应说明原因，及其对内部控制评价报告真实完整性产生的重大影响等。
５．内部控制评价的程序和方法。描述内部控制评价工作遵循的基本流程，以及评价过程中采用的主要方法。
６．内部控制缺陷及其认定。描述适用本企业的内部控制缺陷具体认定标准，并声明与以前年度保持一致或做出的调整及相应原因；根据内部控制缺陷认定标准，确定评价期末存在的重大缺陷、重要缺陷和一般缺陷。
７．内部控制缺陷的整改情况。对于评价期间发现、期末已完成整改的重大缺陷，说明企业有足够的测试样本显示，与该重大缺陷相关的内部控制设计且运行有效。针对评价期末存在的内部控制缺陷，公司拟采取的整改措施及预期效果。
８．内部控制有效性的结论。对不存在重大缺陷的情形，出具评价期末内部控制有效结论；对存在重大缺陷的情形，不得作出内部控制有效的结论，并需描述该重大缺陷的性质及其对实现相关控制目标的影响程度，可能给公司未来生产经营带来相关风险。自内部控制评价报告基准日至内部控制评价报告发出日之间发生重大缺陷的，企业须责成内部控制评价机构予以核实，并根据核查结果对评价结论进行相应调整，说明董事会拟采取的措施。
内部控制评价报告的参考格式（见附件2：××股份有限公司２０××年度内部控制评价报告）
对内报告的格式、内容应该在符合以上要求的基础上进一步详尽地设计和表达。
（二）内部控制评价报告的编制和报送
《评价指引》第二十三条规定，企业应当根据年度内部控制评价结果，结合内部控制评价工作底稿和内部控制缺陷汇总表等资料，按照规定的程序和要求，及时编制内部控制评价报告。
１．评价报告的编制（１）内部控制评价报告的编制时间企业应当根据内部控制评价结果和整改情况，编制内部控制评价报告。内部控制评价报告分为定期内部控制评价报告和非定期内部控制评价报告。
企业应该定期进行内部控制评价并发布内部控制评价报告。企业至少应该每年进行一次内部控制评价并由董事会对外发布内部控制评价报告。年度内部控制评价报告应当以１２月３１日作为基准日。
非定期内部控制评价报告可以是因特殊事项或原因（如企业因目标变化或提升）而对外发布的内部控制评价报告，也可以是企业针对发现的重大缺陷专项内部控制评价等向董事会（审计委员会）或经理层报送的内部报告（即内部控制缺陷报告）。
（２）内部控制评价报告的编制主体内部控制评价报告的编制主体包括单个企业和企业集团的母公司。单个企业内部控制评价报告指某一企业以自身经营业务和管理活动为辐射范围编制的内部控制评价报告，属于对内报告；企业集团母公司内部控制评价报告是企业集团的母公司在汇总、复核、评价、分析后，以母公司及下属（或控股子公司）的经营业务和管理活动为辐射范围编制的内部控制评价报告，是对企业集团内部控制设计有效性和运行有效性的总体评价，可以是对内或对外报告。
２．评价报告的报送《评价指引》第二十四条至二十六条规定了评价报告及内部控制审计报告对外报送的要求。
此外，企业内部控制评价报告应按规定报送有关监管部门，例如国有控股企业应按要求报送国有资产监督管理部门和财政部门、金融企业应按规定报送银行业监督管理部门和保险监督管理部门、公开发行证券的企业应报送证券监督管理部门。
（三）内部控制评价报告的披露和使用
１．评价报告的披露公司的价值创造能力不仅取决于现有的经营基础和目前的盈利水平，更主要取决于公司的决策科学性和管控能力。公众公司必须向社会披露内部控制评估报告，满足投资者及利益相关者了解企业治理水平、管理规范化和抵御各类风险的能力的需要，更好地服务于他们做出投资决策和相关决策。
２．评价报告的使用企业内部控制评价对外报告的使用者包括政府有关监管部门、投资者以及其他利益相关者、中介机构和研究机构等。对内报告的使用者主要是企业董事会（审计委员会）、各层级管理者以及有关监管部门。
内部控制评价是企业董事会对本企业内部控制有效性的自我评价，具有一定的主观性，在此基础上形成的内部控制评价报告也因此只能作为有关方面了解企业内部控制设计与运行情况的途径之一。在使用内部控制评价报告时，还应注意与内部控制注册会计师审计报告、内部控制监管信息、财务报告信息等相关信息结合使用，以起到全面分析、综合判断、相互验证的效果。
《评价指引》第二十七条规定，建立内部控制评价工作档案管理制度。内部控制评价的有关文件资料、工作底稿和证明材料等应当妥善保管，年度报告应永久保存。

解读《企业内部控制应用指引第17号——内部信息传递》
发布时间：2010年7月23日     来源： 中国会计报

解读《企业内部控制应用指引第10号——研究与开发》
2010年6月25日     来源：中国会计报

研究与开发是企业核心竞争力的本源，是促进企业自主创新的重要体现，是企业加快转变经济发展方式的强大推动力。钱学森同志曾经说过，科技创新就是自主研发拥有曾经“买不到、买不起、买回来已落后”的核心技术；即使买到产品，也买不到产权；买到产权，买不到知识；买到知识，买不到人才。由此说明，创新、产权、知识、人才是核心资源，自主创新是第一要务。在经济全球化背景下，特别是为了抢抓后危机时期重要发展机遇，企业应坚定不移地走自主创新之路，重视和加强研究与开发，并将相关成果转化为生产力，在竞争中赢得主动权，夺得先机。《企业内部控制应用指引第10号—— —研究与开发》旨在有效控制研发风险，提升企业自主创新能力，充分发挥科技的支撑引领作用，促进实现企业发展战略。本文就此进行解读。
一、研究与开发业务流程
企业应当着力梳理研究与开发业务流程，针对主要风险点和关键环节，制定切实有效的控制措施，不断提升研发活动全过程的风险管控效能。
图１列示了一般生产企业研究与开发活动的业务流程图。

二、研究与开发业务的主要风险及管控措施
如图１所示，研究与开发的基本流程，主要涉及立项、研发过程管理、结题验收、研究成果的开发和保护等。
（一）立项立项主要包括立项申请、评审和审批。该环节的主要风险是：研发计划与国家（或企业）科技发展战略不匹配，研发承办单位或专题负责人不具有相应资质，研究项目未经科学论证或论证不充分，评审和审批环节把关不严，可能导致创新不足或资源浪费。
主要的管控措施：第一，建立完善的立项、审批制度，确定研究开发计划制定原则和审批人，审查承办单位或专题负责人的资质条件和评估、审批流程等。第二，结合企业发展战略、市场及技术现状，制定研究项目开发计划。第三，企业应当根据实际需要，结合研发计划，提出研究项目立项申请，开展可行性研究，编制可行性研究报告。企业可以组织独立于申请及立项审批之外的专业机构和人员进行评估论证，出具评估意见。
第四，研究项目应当按照规定的权限和程序进行审批，重大研究项目应当报经董事会或类似权力机构集体审议决策。审批过程中，应当重点关注 研究项目促进企业发展的必要性、技术的先进性以及成果转化的可行性。
第五，制定开题计划和报告，开题计划经科研管理部门负责人审批，开题报告应对市场需求与效益、国内外在该方向的研究现状、主要技术路线、研究开发目标与进度、已有条件与基础、经费等进行充分论证、分析，保证项目符合企业需求。
（二）研发过程管理研发过程是研发的核心环节。
实务中，研发通常分为自主研发、委托研发和合作研发。
1.自主研发。自主研发是指企业依靠自身的科研力量，独立完成项目，包括原始创新、集成创新和在引进消化基础上的再创新三种类型。其主要风险包括：第一，研究人员配备不合理，导致研发成本过高、舞弊或研发失败。第二，研发过程管理不善，费用失控或科技收入形成账外资产，影响研发效率，提高研发成本甚至造成资产流失。第三，多个项目同时进行时，相互争夺资源，出现资源的短期局部缺乏，可能造成研发效率下降。第四，研究过程中未能及时发现错误，导致修正成本提高。第五，科研合同管理不善，导致权属不清，知识产权存在争议。
主要的管控措施：第一，建立研发项目管理制度和技术标准，建立信息反馈制度和研发项目重大事项报告制度；严格落实岗位责任制。第二，合理设计项目实施进度计划和组织结构，跟踪项目进展，建立良好的工作机制，保证项目顺利实施。第三，精确预计工作量和所需资源，提高资源使用效率。
第四，建立科技开发费用报销制度，明确费用支付标准及审批权限，遵循不相容岗位牵制原则，完善科技经费入账管理程序，按项目正确划分资本性支出和费用性支出，准确开展会计核算，建立科技收入管理制度。第五，开展项目中期评审，及时纠偏调整；优化研发项目管理的任务分配方式。
2.委托（合作）研发。委托研发是指企业委托具有资质的外部承办单位进行研究和开发。合作研发是指合作双方基于研发协议,就共同的科研项目，以某种合作形式进行研究或开发。
委托（合作）研发的主要风险是：委托（合作）单位选择不当，知识产权界定不清。合作研发还包括与合作单位沟通障碍、合作方案设计不合理、权责利不能合理分配、资源整合不当等风险。
主要的管控措施：第一，加强委托（合作）研发单位资信、专业能力等方面管理。第二，委托研发应采用招标、议标等方式确定受托单位，制定规范详尽的委托研发合同，明确产权归属、研究进度和质量标准等相关内容。第三，合作研发应对合作单位进行 尽职调查，签订书面合作研究合同，明确双方投资、分工、权利义务、研究成果产权归属等。第三，加强项目的管理监督，严格控制项目费用，防止挪用、侵占等。第四，根据项目进展情况、国内外技术最新发展趋势和市场需求变化情况，对项目的目标、内容、进度、资金进行适当调整。
（三）结题验收结题验收是对研究过程形成的交付物进行质量验收。结题验收分检测鉴定、专家评审、专题会议等三种方式。其主要风险包括：由于验收人员的技术、能力、独立性等造成验收成果与事实不符；测试与鉴定投入不足，导致测试与鉴定的不充分，不能有效地降低技术失败的风险。
主要的管控措施：第一，建立健全技术验收制度，严格执行测试程序。第二，对验收过程中发现的异常情况应重新进行验收申请或补充进行研发，直至研发项目达到研发标准为止。第三，落实技术主管部门验收责任，由独立的、具备专业胜任能力测试人员进行鉴定试验，并按计划进行正式的、系统的、严格的评审。第四，加大企业在测试和鉴定阶段的投入，对重要的研究项目可以组织外部专家参加鉴定。
（四）研究成果开发研究成果开发是指企业将研究成果经过开发过程转换为企业的产品。其主要风险包括：研究成果转化应用不足，导致资源闲置；新产品未经充分测试，导致大批量生产不成熟或成本过高；营销策略与市场需求不符，导致营销失败。主要的管控措施：第一，建立健全研究成果开发制度，促进成果及时有效转化。
第二，科学鉴定大批量生产的技术成熟度，力求降低产品成本。第三，坚持开展以市场为导向的新产品开发消费者测试。第四，建立研发项目档案，推进有关信息资源的共享和应用。
（五）研究成果保护研究成果保护是企业研发管理工作的有机组成部分。有效的研发成果保护，可保护研发企业的合法权益。
其主要风险是：未能有效识别和保护知识产权，权属未能得到明确规范，开发出的新技术或产品被限制使用；核心研究人员缺乏管理激励制度，导致形成新的竞争对手或技术秘密外泄。
主要的管控措施：第一，进行知识产权评审，及时取得权属。第二，研发完成后确定采取专利或技术秘密等不同保护方式。第三，利用专利文献选择较好的工艺路线。第四，建立研究成果保护制度，加强对专利权、非专利技术、商业秘密及研发过程中形成的各类涉密图纸、程序、资料的管理，严格按照制度规定借阅和使用。禁止无关人员接触研究成果。第五，建立严格的核心研究人员管理制度，明确界定核心研究人员范围和名册清单并与之签署保密协议。
第六，企业与核心研究人员签订劳动合同时，应当特别约定研究成果归属、离职条件、离职移交程序、离职后保密义务、离职后竞业限制年限及违约责任等内容。第七，实施合理有效的研发绩效管理，制定科学的核心研发人员激励体系，注重长效激励。
后评估是研究与开发内部控制建设的重要环节。企业应当建立研发活动评估制度，加强对立项与研究、开发与保护等过程的全面评估，认真总结研发管理经验，分析存在的薄弱环节，完善相关制度和办法，不断改进和提升研发活动的管理水平。
总之，研究与开发是企业持久发展的不竭动力，始终坚持把研究与开发作为企业发展的重要战略，紧密跟踪科技发展趋势，是切实提升核心竞争力、增强企业国际竞争力的重要保证。

解读《企业内部控制应用指引第18号——信息系统》

一、信息系统内部控制概述

　　《企业内部控制应用指引第18号———信息系统》中所指信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。信息系统内部控制的目标是促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操纵因素；同时，增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。信息系统内部控制的主要对象是信息系统，由计算机硬件、软件、人员、信息流和运行规程等要素组成。

解读《企业内部控制应用指引第16号——合同管理》

合同是企业与自然人、法人及其他组织等平等主体之间设立、变更、终止民事权利义务关系的协议。加强合同管理,有利于规范、约束市场主体交易行为，优化资源配置，维护市场秩序。制定和实施《企业内部控制应用指引第16号——合同管理》，旨在帮助企业规范当事人双方经营行为，维护自身合法权益、防控法律风险，促进实现内部控制目标。本文就此进行解读。

　　一、 合同管理的总体要求

　　企业需要建立一系列制度体系和机制保障，促进合同管理的作用得到有效发挥。

　　（一）建立分级授权管理制度

　　企业应当根据经济业务性质、组织机构设置和管理层级安排，建立合同分级管理制度。属于上级管理权限的合同，下级单位不得签署。对于重大投资类、融资类、担保类、知识产权类、不动产类合同上级部门应加强管理。下级单位认为确有需要签署涉及上级管理权限的合同，应当提出申请，并经上级合同管理机构批准后办理。上级单位应当加强对下级单位合同订立、履行情况的监督检查。

　　（二）实行统一归口管理

　　企业可以根据实际情况指定法律部门等作为合同归口管理部门，对合同实施统一规范管理，具体负责制定合同管理制度，审核合同条款的权利义务对等性，管理合同标准文本，管理合同专用章，定期检查和评价合同管理中的薄弱环节，采取相应控制措施，促进合同的有效履行等。

　　（三）明确职责分工

　　公司各业务部门作为合同的承办部门负责在职责范围内承办相关合同，并履行合同调查、谈判、订立、履行和终结责任。公司财会部门侧重于履行对合同的财务监督职责。

　　（四）健全考核与责任追究制度

　　企业应当健全合同管理考核与责任追究制度，开展合同后评估，对合同订立、履行过程中出现的违法违规行为，应当追究有关机构或人员的责任。

　　二、 合同管理流程

　　合同管理从大的方面可以划分为合同订立阶段和合同履行阶段。合同订立阶段包括合同调查、合同谈判、合同文本拟定、合同审批、合同签署等环节；合同履行阶段涉及合同履行、合同补充和变更、合同解除、合同结算、合同登记等环节。下图列示的合同管理流程具有一定通用性。

　　三、 合同各环节的主要风险点及管控措施

　　（一）合同调查

　　合同订立前，企业应当进行合同调查，充分了解合同对方的主体资格、信用状况等有关情况，确保对方当事人具备履约能力。该环节的主要风险是：忽视被调查对象的主体资格审查，准合同对象不具有相应民事权利能力和民事行为能力或不具备特定资质，与不具备代理权或越权代理的主体签订合同，导致合同无效，或引发潜在风险；在合同签订前错误判断被调查对象的信用状况，或在合同履行过程中没有持续关注对方的资信变化，致使企业蒙受损失；对被调查对象的履约能力给出不当评价，将不具备履约能力的对象确定为准合同对象，或将具有履约能力的对象排除在准合同对象之外。

　　主要管控措施：第一，审查被调查对象的身份证件、法人登记证书、资质证明、授权委托书等证明原件，必要时，可通过发证机关查询证书的真实性和合法性，关注授权代理人的行为是否在其被授权范围内，在充分收集相关证据的基础上评价主体资格是否恰当。第二，获取调查对象经审计的财务报告、以往交易记录等财务和非财务信息，分析其获利能力、偿债能力和营运能力，评估其财务风险和信用状况，并在合同履行过程中持续关注其资信变化，建立和及时更新合同对方的商业信用档案。第三，对被调查对象进行现场调查，实地了解和全面评估其生产能力、技术水平、产品类别和质量等生产经营情况，分析其合同履约能力。第四，与被调查对象的主要供应商、客户、开户银行、主管税务机关和工商管理部门等沟通，了解其生产经营、商业信誉、履约能力等情况。

　　（二）合同谈判

　　初步确定准合同对象后，企业内部的合同承办部门将在授权范围内与对方进行合同谈判，按照自愿、公平原则，磋商合同内容和条款，明确双方的权利义务和违约责任。该环节的主要风险是：忽略合同重大问题或在重大问题上做出不当让步；谈判经验不足，缺乏技术、法律和财务知识的支撑，导致企业利益损失；泄露本企业谈判策略，导致企业在谈判中处于不利地位。

　　主要管控措施：第一，收集谈判对手资料，充分熟悉谈判对手情况，做到知己知彼；研究国家相关法律法规、行业监管、产业政策、同类产品或服务价格等与谈判内容相关的信息，正确制定本企业谈判策略。第二，关注合同核心内容、条款和关键细节，具体包括合同标的的数量、质量或技术标准，合同价格的确定方式与支付方式，履约期限和方式，违约责任和争议的解决方法、合同变更或解除条件等。第三，对于影响重大、涉及较高专业技术或法律关系复杂的合同，组织法律、技术、财会等专业人员参与谈判，充分发挥团队智慧，及时总结谈判过程中的得失，研究确定下一步谈判策略。第四，必要时可聘请外部专家参与相关工作，并充分了解外部专家的专业资质、胜任能力和职业道德情况。第五，加强保密工作，严格责任追究制度。第六，对谈判过程中的重要事项和参与谈判人员的主要意见，予以记录并妥善保存，作为避免合同舞弊的重要手段和责任追究的依据。

　　（三）合同文本拟定

　　企业在合同谈判后，根据协商谈判结果，拟定合同文本。该环节的主要风险是：选择不恰当的合同形式；合同与国家法律法规、行业产业政策、企业总体战略目标或特定业务经营目标发生冲突；合同内容和条款不完整、表述不严谨准确，或存在重大疏漏和欺诈，导致企业合法利益受损；有意拆分合同规避合同管理规定等；对于合同文本须报经国家有关主管部门审查或备案的，未履行相应程序。

　　主要管控措施：第一，企业对外发生经济行为，除即时结清方式外，应当订立书面合同。第二，严格审核合同需求与国家法律法规、产业政策、企业整体战略目标的关系，保证其协调一致；考察合同是否以生产经营计划、项目立项书等为依据，确保完成具体业务经营目标。第三，合同文本一般由业务承办部门起草，法律部门审核；重大合同或法律关系复杂的特殊合同应当由法律部门参与起草。国家或行业有合同示范文本的，可以优先选用，但对涉及权利义务关系的条款应当进行认真审查，并根据实际情况进行适当修改。各部门应当各司其职，保证合同内容和条款的完整准确。第四，通过统一归口管理和授权审批制度，严格合同管理，防止通过化整为零等方式故意规避招标的做法和越权行为。第五，由签约对方起草的合同，企业应当认真审查，确保合同内容准确反映企业诉求和谈判达成的一致意见，特别留意“其他约定事项”等需要补充填写的栏目，如不存在其他约定事项时注明“此处空白”或“无其他约定”，防止合同后续被篡改。第六，合同文本须报经国家有关主管部门审查或备案的，应当履行相应程序。

　　（四）合同审核

　　合同文本拟定完成后，企业应进行严格的审核。该环节的主要风险是：合同审核人员因专业素质或工作态度原因未能发现合同文本中的不当内容和条款；审核人员虽然通过审核发现问题但未提出恰当的修订意见；合同起草人员没有根据审核人员的改进意见修改合同，导致合同中的不当内容和条款未被纠正。

　　主要管控措施：第一，审核人员应当对合同文本的合法性、经济性、可行性和严密性进行重点审核，关注合同的主体、内容和形式是否合法，合同内容是否符合企业的经济利益，对方当事人是否具有履约能力，合同权利和义务、违约责任和争议解决条款是否明确等。第二，建立会审制度，对影响重大或法律关系复杂的合同文本，组织财会部门、内部审计部、法律部、业务关联的相关部门进行审核，内部相关部门应当认真履行职责。第三，慎重对待审核意见，认真分析研究，慎重对待，对审核意见准确无误地加以记录，必要时对合同条款作出修改并再次提交审核。

　　（五）合同签署

　　企业经审核同意签订的合同，应当与对方当事人正式签署并加盖企业合同专用章。该环节的主要风险是：超越权限签订合同，合同印章管理不当，签署后的合同被篡改，因手续不全导致合同无效等。

　　主要管控措施：第一，按照规定的权限和程序与对方当事人签署合同。对外正式对外订立的合同应当由企业法定代表人或由其授权的代理人签名或加盖有关印章。授权签署合同的，应当签署授权委托书。第二，严格合同专用章保管制度，合同经编号、审批及企业法定代表人或由其授权的代理人签署后，方可加盖合同专用章。用印后保管人应当立即收回，并按要求妥善保管，以防止他人滥用。保管人应当记录合同专用章使用情况以备查，如果发生合同专用章遗失或被盗现象，应当立即报告公司负责人并采取妥善措施，如向公安机关报案、登报声明作废等，以最大限度消除可能带来的负面影响。第三，采取恰当措施，防止已签署的合同被篡改，如在合同各页码之间加盖骑缝章、使用防伪印记、使用不可编辑的电子文档格式等。第四，按照国家有关法律、行政法规规定，需办理批准、登记等手续之后方可生效的合同，企业应当及时按规定办理相关手续。

　　（六）合同履行

　　合同订立后，企业应当与合同对方当事人一起遵循诚实信用原则，根据合同的性质、目的和交易习惯履行通知、协助、保密等义务。该环节的主要风险是：本企业或合同对方当事人没有恰当地履行合同中约定的义务；合同生效后，对合同条款未明确约定的事项没有及时协议补充，导致合同无法正常履行；在合同履行过程中，未能及时发现已经或可能导致企业利益受损情况，或未能采取有效措施；合同纠纷处理不当，导致企业遭受外部处罚、诉讼失败，损害企业利益、信誉和形象等。

　　主要管控措施：第一，强化对合同履行情况及效果的检查、分析和验收，全面适当执行本企业义务，敦促对方积极执行合同，确保合同全面有效履行。第二，对合同对方的合同履行情况实施有效监控，一旦发现有违约可能或违约行为，应当及时提示风险，并立即采取相应措施将合同损失降到最低。第三，根据需要及时补充、变更甚至解除合同。一是对于合同没有约定或约定不明确的内容，通过双方协商一致对原有合同进行补充；无法达成补充协议的，按照国家相关法律法规、合同有关条款或者交易习惯确定；二是，对于显失公平、条款有误或存在欺诈行为的合同，以及因政策调整、市场变化等客观因素已经或可能导致企业利益受损的合同，按规定程序及时报告，并经双方协商一致，按照规定权限和程序办理合同变更或解除事宜；三是对方当事人提出中止、转让、解除合同的，造成企业经济损失的，应向对方当事人书面提出索赔。第四，加强合同纠纷管理，在履行合同过程中发生纠纷的，应当依据国家相关法律法规，在规定时效内与对方当事人协商并按规定权限和程序及时报告。合同纠纷经协商一致的，双方应当签订书面协议；合同纠纷经协商无法解决的，根据合同约定选择仲裁或诉讼方式解决。企业内部授权处理合同纠纷，应当签署授权委托书。纠纷处理过程中，未经授权批准，相关经办人员不得向对方当事人作出实质性答复或承诺。

　　（七）合同结算

　　合同结算是合同执行的重要环节，既是对合同签订的审查，也是对合同执行的监督，一般由财会部门负责办理。该环节的主要风险是：违反合同条款，未按合同规定期限、金额或方式付款；疏于管理，未能及时催收到期合同款项；在没有合同依据的情况下盲目付款等。

　　主要管控措施：第一，财会部门应当在审核合同条款后办理结算业务，按照合同规定付款，及时催收到期欠款。第二，未按合同条款履约或应签订书面合同而未签订的，财会部门有权拒绝付款，并及时向企业有关负责人报告。

　　（四）合同登记

　　合同登记管理制度体现合同的全过程封闭管理，合同的签署、履行、结算、补充或变更、解除等都需要进行合同登记。该环节的主要风险是：合同档案不全，合同泄密，合同滥用等。

　　主要管控措施：第一，合同管理部门应当加强合同登记管理，充分利用信息化手段，定期对合同进行统计、分类和归档，详细登记合同的订立、履行和变更、终结等情况，合同终结应及时办理销号和归档手续，以实行合同的全过程封闭管理。第二，建立合同文本统一分类和连续编号制度，以防止或及早发现合同文本的遗失。第三，加强合同信息安全保密工作，未经批准，任何人不得以任何形式泄露合同订立与履行过程中涉及的国家或商业秘密。第四，规范合同管理人员职责，明确合同流转、借阅和归还的职责权限和审批程序等有关要求。

　　四、 合同管理的后评估

　　合同作为企业承担独立民事责任、履行权利义务的重要依据，是企业管理活动的重要痕迹，也是企业风险管理的主要载体，为此，合同管理内部控制指引强调企业应当建立合同管理的后评估制度。企业应当建立合同履行情况评估制度，至少于每年年末对合同履行的总体情况和重大合同履行的具体情况进行分析评估，对分析评估中发现合同履行中存在的不足，应当及时加以改进。

　解读《企业内部控制应用指引第15号——全面预算》

全面预算是指企业对一定期间的经营活动、投资活动、财务活动等作出的预算安排。全面预算作为一种全方位、全过程、全员参与编制与实施的预算管理模式，凭借其计划、协调、控制、激励、评价等综合管理功能，整合和优化配置企业资源，提升企业运行效率，成为促进实现企业发展战略的重要抓手。正如美国著名管理学家戴维·奥利所指出的那样：全面预算管理是为数不多的几个能把组织的所有关键问题融合于一个体系之中的管理控制方法之一。制定和实施《企业内部控制应用指引第15号——全面预算》，旨在引导和规范企业加强全面预算管理各环节的风险管控，促进全面预算管理在推动企业实现发展战略过程中发挥积极作用。本文就此进行解读。

　　一、如何正确认识和理解全面预算

　　正确认识和理解全面预算的内涵、本质及作用，应当把握以下几个方面：

　　（一）全方位、全过程、全员参与编制与实施的预算管理模式

　　全面预算的“全方位”，体现在企业的一切经济活动，包括经营、投资、财务等各项活动，以及企业的人、财、物各个方面，供、产、销各个环节，都必须纳入预算管理。因此，全面预算是由经营预算（也称业务预算）、投资预算、筹资预算、财务预算等一系列预算组成的相互衔接和勾稽的综合预算体系。全面预算的“全过程”，体现在企业组织各项经济活动的事前、事中和事后都必须纳入预算管理，即全面预算不仅限于预算编制、分解和下达，而是由预算编制、执行、分析、调整、考核、奖惩等一系列环节所组成的管理活动。全面预算的“全员”参与，指企业内部各部门、各单位、各岗位，上至最高负责人，下至各部门负责人、各岗位员工都必须参与预算编制与实施。

　　（二）企业实施内部控制、防范风险的重要手段和措施

　　全面预算的本质是企业内部管理控制的一项工具，即预算本身不是最终目标，而是为实现企业目标所采用的管理与控制手段，从而有效控制企业风险。全面预算的制定和实施过程，就是企业不断用量化的工具，使自身所处的经营环境与拥有的资源和企业的发展目标保持动态平衡的过程，也是企业在此过程中所面临的各种风险的识别、预测、评估与控制过程。因此，《企业内部控制基本规范》将预算控制列为重要的控制活动和风险控制措施。

　　（三）企业实现发展战略和年度经营目标的有效方法和工具

　　“三分战略、七分执行”，企业战略制定得再好，如果得不到有效实施，终不能将美好蓝图和“愿景”转变为现实，甚至可能因实际运营背离战略目标而导致经营失败。通过实施全面预算，将根据发展战略制定的年度经营目标进行分解、落实，可以使企业的长期战略规划和年度具体行动方案紧密结合，从而实现“化战略为行动”，确保企业发展目标的实现。《企业内部控制应用指引第2号——发展战略》中明确规定企业应当编制全面预算。

　　（四）有利于企业优化资源配置、提高经济效益

　　全面预算是为数不多的能够将企业的资金流、实物流、业务流、信息流、人力流等相整合的管理控制方法之一。全面预算以经营目标为起点，以提高投入产出比为目的，其编制和执行过程就是将企业有限的资源加以整合，协调分配到能够提高企业经营效率效果的业务、活动、环节中去，从而实现企业资源的优化配置，增强资源的价值创造能力，提高企业经济效益。

　　（五）有利于实现制约和激励

　　全面预算可以将企业各层级之间、各部门之间、各责任单位之间等内部权、责、利关系予以规范化、明细化、具体化、可度量化，从而实现出资者对经营者的有效制约，以及经营者对企业经营活动、企业员工的有效计划、控制和管理。通过全面预算的编制，企业可以规范内部各个利益主体对企业具体的约定投入、约定效果及相应的约定利益；通过全面预算执行及监控，可以真实反馈内部各个利益主体的实际投入及其对企业的影响并加以制约；通过全面预算执行结果的考核，可以检查契约的履行情况并实施相应的奖惩，从而调动和激励员工的积极性，最终实现企业目标。

　　二、全面预算的组织

　　全面预算组织领导与运行体制健全，是防止预算管理松散、随意，预算编制、执行、考核等各环节流于形式，预算管理的作用得不到有效发挥的关键。为此，全面预算指引提出了明确的控制要求，即：企业应当加强全面预算工作的组织领导，明确预算管理体制以及各预算执行单位的职责权限、授权批准程序和工作协调机制。

　　（一）健全预算管理体制

　　企业设置全面预算管理体制，应遵循合法科学、高效有力、经济适度、全面系统、权责明确等基本原则，一般具备全面预算管理决策机构、工作机构和执行单位三个层次的基本架构。

　　1.全面预算管理决策机构——预算管理委员会

　　企业应当设立预算管理委员会，作为专门履行全面预算管理职责的决策机构。预算管理委员会成员由企业负责人及内部相关部门负责人组成，总会计师或分管会计工作的负责人应当协助企业负责人负责企业全面预算管理工作的组织领导。具体而言，预算管理委员会一般由企业负责人（董事长或总经理）任主任，总会计师（或财务总监、分管财会工作的副总经理）任副主任，其成员一般还包括各副总经理、主要职能部门（财务、战略发展、生产、销售、投资、人力资源等部门）、分（子）公司负责人等。

　　预算管理委员会的主要职责一般是：（1）制定颁布企业全面预算管理制度，包括预算管理的政策、措施、办法、要求等；（2）根据企业战略规划和年度经营目标，拟定预算目标，并确定预算目标分解方案、预算编制方法和程序；（3）组织编制、综合平衡预算草案；（4）下达经批准的正式年度预算；（5）协调解决预算编制和执行中的重大问题；（6）审议预算调整方案，依据授权进行审批；（7）审议预算考核和奖惩方案；（8）对企业全面预算总的执行情况进行考核；（9）其他全面预算管理事宜。

　　2.全面预算管理工作机构

　　由于预算管理委员会一般为非常设机构，企业应当在该委员会下设立预算管理工作机构，由其履行预算管理委员会的日常管理职责。预算管理工作机构一般设在财会部门，其主任一般由总会计师（或财务总监、分管财会工作的副总经理）兼任，工作人员除了财务部门人员外，还应有计划、人力资源、生产、销售、研发等业务部门人员参加。

　　预算管理工作机构的主要职责一般是：（1）拟订企业各项全面预算管理制度，并负责检查落实预算管理制度的执行；（2）拟定年度预算总目标分解方案及有关预算编制程序、方法的草案，报预算管理委员会审定；（3）组织和指导各级预算单位开展预算编制工作；（4）预审各预算单位的预算初稿，进行综合平衡，并提出修改意见和建议；（5）汇总编制企业全面预算草案，提交预算管理委员会审查；（6）跟踪、监控企业预算执行情况；（7）定期汇总、分析各预算单位预算执行情况，并向预算管理委员会提交预算执行分析报告，为委员会进一步采取行动拟定建议方案；（8）接受各预算单位的预算调整申请，根据企业预算管理制度进行审查，集中制定年度预算调整方案，报预算管理委员会审议；（9）协调解决企业预算编制和执行中的有关问题；（10）提出预算考核和奖惩方案，报预算管理委员会审议；（11）组织开展对企业二级预算执行单位（企业内部各职能部门、所属分（子）企业等，下同）预算执行情况的考核，提出考核结果和奖惩建议，报预算管理委员会审议；（12）预算管理委员会授权的其他工作。

　　3．全面预算执行单位

　　全面预算执行单位是指根据其在企业预算总目标实现过程中的作用和职责划分的，承担一定经济责任，并享有相应权利和利益的企业内部单位，包括企业内部各职能部门、所属分（子）企业等。企业内部预算责任单位的划分应当遵循分级分层、权责利相结合、责任可控、目标一致的原则，并与企业的组织机构设置相适应。根据权责范围，企业内部预算责任单位可以分为投资中心、利润中心、成本中心、费用中心和收入中心。预算执行单位在预算管理部门（指预算管理委员会及其工作机构，下同）的指导下，组织开展本部门或本企业全面预算的编制工作，严格执行批准下达的预算。

　　各预算执行单位的主要职责一般是：（1）提供编制预算的各项基础资料；（2）负责本单位全面预算的编制和上报工作；（3）将本单位预算指标层层分解，落实到各部门、各环节和各岗位；（4）严格执行经批准的预算，监督检查本单位预算执行情况；（5）及时分析、报告本单位的预算执行情况，解决预算执行中的问题；（6）根据内外部环境变化及企业预算管理制度，提出预算调整申请；（7）组织实施本单位内部的预算考核和奖惩工作；（8）配合预算管理部门做好企业总预算的综合平衡、执行监控、考核奖惩等工作；（9）执行预算管理部门下达的其他预算管理任务。

　　各预算执行单位负责人应当对本单位预算的执行结果负责。

　　企业全面预算管理组织体系的基本架构如图1所示。

图1 全面预算管理组织体系基本架构图

　　（二）明确各环节授权批准程序和工作协调机制

　　在建立健全全面预算管理体制的基础上，企业应当进一步梳理、制定预算管理工作流程，按照不相容职务相互分离的原则细化各部门、各岗位在预算管理体系中的职责、分工与权限，明确预算编制、执行、分析、调整、考核各环节的授权批准制度与程序。预算管理工作各环节的不相容岗位一般包括：预算编制与预算审批、预算审批与预算执行、预算执行与预算考核。

　　在全面预算管理各个环节中，预算管理部门主要起决策、组织、领导、协调、平衡的作用。企业可以根据自身的组织结构、业务特点和管理需要，责成内部生产、市场、投资、技术、人力资源等各预算归口管理部门负责所归口管理预算的编制、执行监控、分析等工作，并配合预算管理部门做好企业总预算综合平衡、执行监控、分析、考核等工作。

　　三、全面预算基本业务流程

　　企业全面预算业务的基本流程一般包括预算编制、预算执行和预算考核三个阶段。其中，预算编制阶段包括预算编制、预算审批、预算下达等具体环节；预算执行阶段设计预算指标分解和责任落实、预算执行控制、预算分析、预算调整等具体环节。这些业务环节相互关联、相互作用、相互衔接，周而复始地循环，从而实现对企业全面经济活动的控制。图2列示了各类企业全面预算的基本业务流程。

　　如前所述，全面预算是企业加强内部控制、实现发展战略的重要工具和手段，但同时也是企业内部控制的对象。企业应当参照图2的基本流程，结合自身情况及管理要求，制定具体的全面预算业务流程。

　　图2 全面预算基本业务流程图

　　四、预算流程主要业务风险及控制措施

　　（一）预算编制

　　预算编制是企业实施全面预算管理的起点。预算编制环节的主要风险是：第一，预算编制以财务部门为主，业务部门参与度较低，可能导致预算编制不合理，预算管理责、权、利不匹配；预算编制范围和项目不全面，各个预算之间缺乏整合，可能导致全面预算难以形成。第二，预算编制所依据的相关信息不足，可能导致预算目标与战略规划、经营计划、市场环境、企业实际等相脱离；预算编制基础数据不足，可能导致预算编制准确率降低。第三，预算编制程序不规范，横向、纵向信息沟通不畅，可能导致预算目标缺乏准确性、合理性和可行性。第四，预算编制方法选择不当，或强调采用单一的方法，可能导致预算目标缺乏科学性和可行性。第五，预算目标及指标体系设计不完整、不合理、不科学，可能导致预算管理在实现发展战略和经营目标、促进绩效考评等方面的功能难以有效发挥。第六，编制预算的时间太早或太晚，可能导致预算准确性不高，或影响预算的执行。

　　主要控制措施：

　　第一，全面性控制。一是明确企业各个部门、单位的预算编制责任，使企业各个部门、单位的业务活动全部纳入预算管理；二是将企业经营、投资、财务等各项经济活动的各个方面、各个环节都纳入预算编制范围，形成由经营预算、投资预算、筹资预算、财务预算等一系列预算组成的相互衔接和勾稽的综合预算体系。

　　第二，编制依据和基础控制。一是制定明确的战略规划，并依据战略规划制定年度经营目标和计划，作为制定预算目标的首要依据，确保预算编制真正成为战略规划和年度经营计划的年度具体行动方案；二是深入开展企业外部环境的调研和预测，包括对企业预算期内客户需求、同行业发展等市场环境的调研，以及宏观经济政策等社会环境的调研，确保预算编制以市场预测为依据，与市场、社会环境相适应；三是深入分析企业上一期间的预算执行情况，充分预计预算期内企业资源状况、生产能力、技术水平等自身环境的变化，确保预算编制符合企业生产经营活动的客观实际；四是重视和加强预算编制基础管理工作，包括历史资料记录、定额制定与管理、标准化工作、会计核算等，确保预算编制以可靠、翔实、完整的基础数据为依据。

　　第三，编制程序控制。企业应当按照上下结合、分级编制、逐级汇总的程序，编制年度全面预算。其基本步骤及其控制为：一是建立系统的指标分解体系，并在与各预算责任中心进行充分沟通的基础上分解下达初步预算目标；二是各预算责任中心按照下达的预算目标和预算政策，结合自身特点以及预测的执行条件，认真测算并提出本责任中心的预算草案，逐级汇总上报预算管理工作机构； 三是预算管理工作机构进行充分协调、沟通，审查平衡预算草案；四是预算管理委员会应当对预算管理工作机构在综合平衡基础上提交的预算方案进行研究论证，从企业发展全局角度提出进一步调整、修改的建议，形成企业年度全面预算草案，提交董事会；五是董事会审核全面预算草案，确保全面预算与企业发展战略、年度生产经营计划相协调。

　　第四，编制方法控制。企业应当本着遵循经济活动规律，充分考虑符合企业自身经济业务特点、基础数据管理水平、生产经营周期和管理需要的原则，选择或综合运用固定预算、弹性预算、滚动预算等方法编制预算。

　　第五，预算目标及指标体系设计控制。一是按照“财务指标为主体、非财务指标为补充”的原则设计预算指标体系；二是将企业的战略规划、经营目标体现在预算指标体系中；三是将企业产、供、销、投融资等各项活动的各个环节、各个方面的内容都纳入预算指标体系；四是将预算指标体系与绩效评价指标协调一致；五是按照各责任中心在工作性质、权责范围、业务活动特点等方面的不同，设计不同或各有侧重的预算指标体系。

　　第六，预算编制时间控制。企业可以根据自身规模大小、组织结构和产品结构的复杂性、预算编制工具和熟练程度、全面预算开展的深度和广度等因素，确定合适的全面预算编制时间，并应当在预算年度开始前完成全面预算草案的编制工作。

　　（二）预算审批

　　预算审批环节的主要风险是：全面预算未经适当审批或超越授权审批，可能导致预算权威性不够、执行不力，或可能因重大差错、舞弊而导致损失。

　　主要控制措施：企业全面预算应当按照《公司法》等相关法律法规及企业章程的规定报经审议批准。

　　（三）预算下达

　　预算下达环节的主要风险是：全面预算下达不力，可能导致预算执行或考核无据可查。

　　主要控制措施：企业全面预算经审议批准后应及时以文件形式下达执行。

　　（四）预算指标分解和责任落实

　　该环节的主要风险是：预算指标分解不够详细、具体，可能导致企业的某些岗位和环节缺乏预算执行和控制依据；预算指标分解与业绩考核体系不匹配，可能导致预算执行不力；预算责任体系缺失或不健全，可能导致预算责任无法落实，预算缺乏强制性与严肃性；预算责任与执行单位或个人的控制能力不匹配，可能导致预算目标难以实现。

　　主要控制措施：

　　第一，企业全面预算一经批准下达，各预算执行单位应当认真组织实施，将预算指标层层分解，横向将预算指标分解为若干相互关联的因素，寻找影响预算目标的关键因素并加以控制；纵向将各项预算指标层层分解落实到最终的岗位和个人，明确责任部门和最终责任人；时间上将年度预算指标分解细化为季度、月度预算，通过实施分期预算控制，实现年度预算目标。

　　第二，建立预算执行责任制度，对照已确定的责任指标，定期或不定期地对相关部门及人员责任指标完成情况进行检查，实施考评。可以通过签订预算目标责任书等形式明确各预算执行部门的预算责任。

　　第三，分解预算指标和建立预算执行责任制应当遵循定量化、全局性、可控性原则。即：预算指标的分解要明确、具体，便于执行和考核；预算指标的分解要有利于企业经营总目标的实现；赋予责任部门和责任人的预算指标应当是通过该责任部门或责任人的努力可以达到的，责任部门或责任人以其责权范围为限，对预算指标负责。

　　（五）预算执行控制

　　预算执行控制环节的主要风险是：缺乏严格的预算执行授权审批制度，可能导致预算执行随意；预算审批权限及程序混乱，可能导致越权审批、重复审批，降低预算执行效率和严肃性；预算执行过程中缺乏有效监控，可能导致预算执行不力，预算目标难以实现；缺乏健全有效的预算反馈和报告体系，可能导致预算执行情况不能及时反馈和沟通，预算差异得不到及时分析，预算监控难以发挥作用。

　　主要控制措施：

　　第一，加强资金收付业务的预算控制，及时组织资金收入，严格控制资金支付，调节资金收付平衡，防范支付风险。

　　第二，严格资金支付业务的审批控制，及时制止不符合预算目标的经济行为，确保各项业务和活动都在授权的范围内运行。企业应当就涉及资金支付的预算内事项、超预算事项、预算外事项建立规范的授权批准制度和程序，避免越权审批、违规审批、重复审批现象的发生。对于预算内非常规或金额重大事项，应经过较高的授权批准层（如总经理）审批。对于超预算或预算外事项，应当实行严格、特殊的审批程序，一般须报经总经理办公会或类似权力机构审批；金额重大的，还应报经预算管理委员会或董事会审批。预算执行单位提出超预算或预算外资金支付申请，应当提供有关发生超预算或预算外支付的原因、依据、金额测算等资料。

　　第三，建立预算执行实时监控制度，及时发现和纠正预算执行中的偏差。确保企业办理采购与付款、销售与收款、成本费用、工程项目、对外投融资、研究与开发、信息系统、人力资源、安全环保、资产购置与维护等各项业务和事项，均符合预算要求；对于涉及生产过程和成本费用的，还应严格执行相关计划、定额、定率标准。

　　第四，建立重大预算项目特别关注制度。对于工程项目、对外投融资等重大预算项目，企业应当密切跟踪其实施进度和完成情况，实行严格监控。对于重大的关键性预算指标，也要密切跟踪、检查。

　　第五，建立预算执行情况预警机制，科学选择预警指标，合理确定预警范围，及时发出预警信号，积极采取应对措施。有条件的企业，应当推进和实施预算管理的信息化，通过现代电子信息技术手段控制和监控预算执行，提高预警与应对水平。

　　第六，建立健全预算执行情况内部反馈和报告制度，确保预算执行信息传输及时、畅通、有效。预算管理工作机构应当加强与各预算执行单位的沟通，运用财务信息和其他相关资料监控预算执行情况，采用恰当方式及时向预算管理委员会和各预算执行单位报告、反馈预算执行进度、执行差异及其对预算目标的影响，促进企业全面预算目标的实现。

　　（六）预算分析

　　预算分析环节的主要风险是：预算分析不正确、不科学、不及时，可能削弱预算执行控制的效果，或可能导致预算考评不客观、不公平；对预算差异原因的解决措施不得力，可能导致预算分析形同虚设。

　　主要控制措施：

　　第一，企业预算管理工作机构和各预算执行单位应当建立预算执行情况分析制度，定期召开预算执行分析会议，通报预算执行情况，研究、解决预算执行中存在的问题，认真分析原因，提出改进措施。

　　第二，企业应当加强对预算分析流程和方法的控制，确保预算分析结果准确、合理。预算分析流程一般包括确定分析对象、收集资料、确定差异及分析原因、提出措施及反馈报告等环节。企业分析预算执行情况，应当充分收集有关财务、业务、市场、技术、政策、法律等方面的信息资料，根据不同情况分别采用比率分析、比较分析、因素分析等方法，从定量与定性两个层面充分反映预算执行单位的现状、发展趋势及其存在的潜力。

　　第三，企业应当采取恰当措施处理预算执行偏差。企业应针对造成预算差异的不同原因采取不同的处理措施：因内部执行导致的预算差异，应分清责任归属，与预算考评和奖惩挂钩，并将责任单位或责任人的改进措施的实际执行效果纳入业绩考核；因外部环境变化导致的预算差异，应分析该变化是否长期影响企业发展战略的实施，并作为下期预算编制的影响因素。

　　（七）预算调整

　　预算调整环节的主要风险是：预算调整依据不充分、方案不合理、审批程序不严格，可能导致预算调整随意、频繁，预算失去严肃性和“硬约束”。

　　主要控制措施：

　　第一，明确预算调整条件。由于市场环境、国家政策或不可抗力等客观因素，导致预算执行发生重大差异确需调整预算的，应当履行严格的审批程序。企业应当在有关预算管理制度中明确规定预算调整的条件。

　　第二，强化预算调整原则。一是预算调整应当符合企业发展战略、年度经营目标和现实状况，重点放在预算执行中出现的重要的、非正常的、不符合常规的关键性差异方面；二是预算调整方案应当客观、合理、可行，在经济上能够实现最优化；三是预算调整应当谨慎，调整频率应予以严格控制，年度调整次数应尽量少。

　　第三，规范预算调整程序，严格审批。调整预算一般由预算执行单位逐级向预算管理委员会提出书面申请，详细说明预算调整理由、调整建议方案、调整前后预算指标的比较、调整后预算指标可能对企业预算总目标的影响等内容。预算管理工作机构应当对预算执行单位提交的预算调整报告进行审核分析，集中编制企业年度预算调整方案，提交预算管理委员会。预算管理委员会应当对年度预算调整方案进行审议，根据预算调整事项性质或预算调整金额的不同，根据授权进行审批，或提交原预算审批机构审议批准，然后下达执行。企业预算管理委员会或董事会审批预算调整方案时，应当依据预算调整条件，并考虑预算调整原则严格把关，对于不符合预算调整条件的，坚决予以否决；对于预算调整方案欠妥的，应当协调有关部门和单位研究改进方案，并责成预算管理工作机构予以修改后再履行审批程序。

　　（八）预算考核

　　预算考核环节的主要风险是：预算考核不严格、不合理、不到位，可能导致预算目标难以实现、预算管理流于形式。其中，预算考核是否合理受到考核主体和对象的界定是否合理、考核指标是否科学、考核过程是否公开透明、考核结果是否客观公正、奖惩措施是否公平合理且能够落实等因素的影响。

　　主要控制措施：

　　第一，建立健全预算执行考核制度。一是建立严格的预算执行考核制度，对各预算执行单位和个人进行考核，将预算目标执行情况纳入考核和奖惩范围，切实做到有奖有惩、奖惩分明。二是制定有关预算执行考核的制度或办法，并认真、严格地组织实施。三是定期组织实施预算考核，预算考核的周期一般应当与年度预算细分周期相一致，即一般按照月度、季度实施考评，预算年度结束后再进行年度总考核。

　　第二，合理界定预算考核主体和考核对象。预算考核主体分为两个层次：预算管理委员会和内部各级预算责任单位。预算考核对象为企业内部各级预算责任单位和相关个人。界定预算考核主体和考核对象应当主要遵循以下原则：一是上级考核下级原则，即由上级预算责任单位对下级预算责任单位实施考核；二是逐级考核原则，即由预算执行单位的直接上级对其进行考核，间接上级不能隔级考核间接下级；三是预算执行与预算考核相互分离原则，即预算执行单位的预算考核应由其直接上级部门来进行，而绝不能自己考核自己。

　　第三，科学设计预算考核指标体系。应主要把握以下原则：预算考核指标要以各责任中心承担的预算指标为主，同时本着相关性原则，增加一些全局性的预算指标和与其关系密切的相关责任中心的预算指标；考核指标应以定量指标为主，同时根据实际情况辅之以适当的定性指标；考核指标应当具有可控性、可达到性和明晰性。

　　第四，按照公开、公平、公正原则实施预算考核。一是考核程序、标准、结果要公开。企业应当将全面预算考核程序、考核标准、奖惩办法、考核结果等及时公开。二是考核结果要客观公正。预算考核应当以客观事实作为依据。预算执行单位上报的预算执行报告是预算考核的基本依据，应当经本单位负责人签章确认。企业预算管理委员会及其工作机构定期组织预算执行情况考核时，应当将各预算执行单位负责人签字上报的预算执行报告和已掌握的动态监控信息进行核对，确认各执行单位预算完成情况。必要时，实行预算执行情况内部审计制度。三是奖惩措施要公平合理并得以及时落实。预算考核的结果应当与各执行单位以及员工的薪酬、职位等进行挂钩，实施预算奖惩。企业设计预算奖惩方案时，应当以实现全面预算目标为首要原则，同时还应遵循公平合理、奖罚并存的原则。奖惩方案要注意各部门利益分配的合理性，要根据各部门承担的工作难易程度和技术含量合理确定奖励差距。要奖罚并举，不能只奖不罚，并防止奖惩实施中的人情添加因素。

解读《企业内部控制应用指引第13号——业务外包》

《企业内部控制应用指引第13号——业务外包》所称的业务外包，是指企业利用专业化分工优势，将日常经营中的部分业务委托给本企业以外的专业服务机构或经济组织（以下简称承包方）完成的经营行为，通常包括研发、资信调查、可行性研究、委托加工、物业管理、客户服务、IT服务等。随着社会主义市场发展及国际产业分工呈细化趋势，我国业务外包市场必将有较大发展。适应这种发展趋势，财政部研究制定了《企业内部控制应用指引第13号——业务外包》，对于规范业务外包行为，防范业务外包风险，具有重要的意义。本文就此进行解读。

　　一、业务外包流程

　　业务外包流程主要包括：制定业务外包实施方案、审核批准、选择承包方、签订业务外包合同、组织实施业务外包活动、业务外包过程管理、验收、会计控制等环节。如下图所示。该图列示的业务外包流程适用于各类企业的一般业务外包，具有通用性。企业在实际开展业务外包时，可以参照此流程，并结合自身情况予以扩充和具体化。

　　　　　　  业务外包基本流程图

　　二、各环节的主要风险点及管控措施

　　（一）制定业务外包实施方案

　　制定业务外包实施方案，是指企业根据年度生产经营计划和业务外包管理制度，结合确定的业务外包范围，制定实施方案。该环节的风险主要是：企业缺乏业务外包管理制度，导致制定实施方案时无据可依；业务外包管理制度未明确业务外包范围，可能导致有关部门在制定实施方案时，将不宜外包的核心业务进行外包；实施方案不合理、不符合企业生产经营特点或内容不完整，可能导致业务外包失败。

　　主要管控措施：第一，建立和完善业务外包管理制度，根据各类业务与核心主业的关联度、对外包业务的控制程度以及外部市场成熟度等标准，合理确定业务外包的范围，并根据是否对企业生产经营有重大影响对外包业务实施分类管理，以突出管控重点，同时明确规定业务外包的方式、条件、程序和实施等相关内容。第二，严格按照业务外包管理制度规定的业务外包范围、方式、条件、程序和实施等内容制定实施方案，避免将核心业务外包，同时确保方案的完整性。第三，根据企业年度预算以及生产经营计划，对实施方案的重要方面进行深入评估以及复核，包括承包方的选择方案、外包业务的成本效益及风险、外包合同期限、外包方式、员工培训计划等，确保方案的可行性。第四，认真听取外部专业人员对业务外包的意见，并根据其合理化建议完善实施方案。

　　（二）审核批准

　　审核批准，是指企业应当按照规定的权限和程序审核批准业务外包实施方案。该环节的主要风险是：审批制度不健全，导致对业务外包的审批不规范；审批不严格或者越权审批，导致业务外包决策出现重大疏漏，可能引发严重后果；未能对业务外包实施方案是否符合成本效益原则进行合理审核以及做出恰当判断，导致业务外包不经济。

　　主要管控措施：第一，建立和完善业务外包的审核批准制度。明确授权批准的方式、权限、程序、责任和相关控制措施，规定各层级人员应当在授权范围内进行审批，不得超越权限审批。同时加大对分公司重大业务外包的管控力度，避免因分公司越权进行业务外包给企业带来不利后果。第二，在对业务外包实施方案进行审查和评价时，应当着重对比分析该业务项目在自营与外包情况下的风险和收益，确定外包的合理性和可行性。第三，总会计师或企业分管会计工作的负责人应当参与重大业务外包的决策，对业务外包的经济效益做出合理评价。第四，对于重大业务外包方案，应当提交董事会或类似权力机构审批。

　　（三）选择承包方

　　选择承包方，是指企业应当按照批准的业务外包实施方案选择承包方。该环节的主要风险是：承包方不是合法设立的法人主体，缺乏应有的专业资质，从业人员也不具备应有的专业技术资格，缺乏从事相关项目的经验，导致企业遭受损失甚至陷入法律纠纷；外包价格不合理，业务外包成本过高导致难以发挥业务外包的优势；存在接受商业贿赂的舞弊行为，导致相关人员涉案。

　　主要管控措施：第一，充分调查候选承包方的合法性，即是否为依法成立、合法经营的专业服务机构或经济组织，是否具有相应的经营范围和固定的办公场所。第二，调查候选承包方的专业资质、技术实力及其从业人员的履历和专业技能。第三，考察候选承包方从事类似项目的成功案例、业界评价和口碑。第四，综合考虑企业内外部因素，对业务外包的人工成本、营销成本、业务收入、人力资源等指标进行测算分析，合理确定外包价格，严格控制业务外包成本。第五，引入竞争机制，按照有关法律法规，遵循公开、公平、公正的原则，采用招标方式等适当方式，择优选择承包方。第六，按照规定的程序和权限从候选承包方中做出选择，并建立严格的回避制度和监督处罚制度，避免相关人员在选择承包方过程中出现受贿和舞弊行为。

　　（四）签订业务外包合同

　　确定承包方后，企业应当及时与选定的承包方签订业务外包合同，约定业务外包的内容和范围，双方权利和义务，服务和质量标准，保密事项，费用结算标准和违约责任等事项。该环节的主要风险是：合同条款未能针对业务外包风险做出明确的约定，对承办方的违约责任界定不够清晰，导致企业陷入合同纠纷和诉讼；合同约定的业务外包价格不合理或成本费用过高，导致企业遭受损失。

　　主要管控措施：第一，在订立外包合同前，充分考虑业务外包方案中识别出的重要风险因素，并通过合同条款予以有效规避或降低。第二，在合同的内容和范围方面，明确承包方提供的服务类型、数量、成本，以及明确界定服务的环节、作业方式、作业时间、服务费用等细节。第三，在合同的权利和义务方面，明确企业有权督促承包方改进服务流程和方法，承包方有责任按照合同协议规定的方式和频率，将外包实施的进度和现状告知企业，并对存在问题进行有效沟通。第四，在合同的服务和质量标准方面，应当规定外包商最低的服务水平要求以及如果未能满足标准实施的补救措施。第五，在合同的保密事项方面，应具体约定对于涉及本企业机密的业务和事项，承包方有责任履行保密义务。第六，在费用结算标准方面，综合考虑内外部因素，合理确定外包价格，严格控制业务外包成本。第七，在违约责任方面，制定既具原则性又体现一定灵活性的合同条款，以适应环境、技术和企业自身业务的变化。

　　（五）组织实施业务外包

　　组织实施业务外包，是指企业严格按照业务外包制度、工作流程和相关要求，组织业务外包过程中人、财、物等方面的资源分配，建立与承包方的合作机制，为下一环节的业务外包过程管理做好准备，确保承包方严格履行业务外包合同。企业在组织实施业务外包时，应当根据业务外包合同条款，落实双方应投入的人力资源、资金、硬件及专有资产等，明确承包方提供服务或产品的工作流程、模式、职能架构、项目实施计划等内容。该环节的主要风险是：组织实施业务外包的工作不充分或未落实到位，影响下一环节业务外包过程管理的有效实施，导致难以实现业务外包的目标。

　　主要管控措施：第一，按照业务外包制度、工作流程和相关要求，制定业务外包实施全过程的管控措施，包括落实与承包方之间的资产管理、信息资料管理、人力资源管理、安全保密管理等机制，确保承包方在履行外包业务合同时有章可循。第二，做好与承包方的对接工作，通过培训等方式确保承包方充分了解企业的工作流程和质量要求，从价值链的起点开始控制业务质量。第三，与承包方建立并保持畅通的沟通协调机制，以便及时发现并有效解决业务外包过程存在的问题。第四，梳理有关工作流程，提出每个环节上的岗位职责分工、运营模式、管理机制、质量水平等方面的要求，并建立对应的即时监控机制，及时检查、收集和反馈业务外包实施过程的相关信息。

　　（六）业务外包过程管理

　　根据业务外包合同的约定，承包方会采取在特定时点向企业一次性交付产品或在一定期间内持续提供服务的方式交付业务外包成果。由于承包方交付成果的方式不同，业务外包过程也有所不同，前者的业务外包过程是指承包方对产品的设计制造过程，后者的业务外包过程是指承包方持续提供服务的整个过程。该环节的主要风险是：承包方在合同期内因市场变化等原因不能保持履约能力，无法继续按照合同约定履行义务，导致业务外包失败和本企业生产经营活动中断；承包方出现未按照业务外包合同约定的质量要求持续提供合格的产品或服务等违约行为，导致企业难以发挥业务外包优势，甚至遭受重大损失；管控不力，导致商业秘密泄漏。

　　主要管控措施：第一，在承包方提供服务或制造产品的过程中，密切关注重大业务外包承包方的履约能力，采取承包方动态管理方式，对承包方开展日常绩效评价和定期考核。第二，对承包方的履约能力进行持续评估，包括承包方对该项目的投入是否能够支持其产品或服务质量达到企业预期目标，承包方自身的财务状况、生产能力、技术创新能力等综合能力是否满足该项目的要求。第三，建立即时监控机制，一旦发现偏离合同目标等情况，应及时要求承包方调整改进。第四，对重大业务外包的各种意外情况做出充分预计，建立相应的应急机制，制定临时替代方案，避免业务外包失败造成企业生产经营活动中断。第五，有确凿证据表明承包方存在重大违约行为，并导致业务外包合同无法履行的，应当及时终止合同，并指定有关部门按照法律程序向承包方索赔。第六，切实加强对业务外包过程中形成的商业信息资料的管理。

　　（七）验收

　　在业务外包合同执行完成后需要验收的，企业应当组织相关部门或人员对完成的业务外包合同进行验收。该环节的主要风险是：验收方式与业务外包成果交付方式不匹配，验收标准不明确，验收程序不规范，使验收工作流于形式，不能及时发现业务外包质量低劣等情况，可能导致企业遭受损失。

　　主要管控措施：第一，根据承包方业务外包成果交付方式的特点，制定不同的验收方式。一般而言，可以对最终产品或服务进行一次性验收，也可以在整个外包过程中分阶段验收。第二，根据业务外包合同的约定，结合在日常绩效评价基础上对外包业务质量是否达到预期目标的基本评价，确定验收标准。第三，组织有关职能部门、财会部门、质量控制部门等的相关人员，严格按照验收标准对承包方交付的产品或服务进行审查和全面测试，确保产品或服务符合需求，并出具验收证明。第四，验收过程中发现异常情况的，应当立即报告，查明原因，视问题的严重性与承包方协商采取恰当的补救措施，并依法索赔。第五，根据验收结果对业务外包是否达到预期目标作出总体评价，据此对业务外包管理制度和流程进行改进和优化。

　　（八）会计控制

　　会计控制是指企业应当根据国家统一的会计准则制度，加强对外包业务的核算与监督，并做好外包费用结算工作。该环节的主要风险是：缺乏有效的业务外包会计系统控制，未能全面真实地记录和反映企业业务外包各环节的资金流和实物流情况，可能导致企业资产流失或贬损；业务外包相关会计处理不当，可能导致财务报告信息失真；结算审核不严格、支付方式不恰当、金额控制不严，可能导致企业资金损失或信用受损。

　　主要管控措施：第一，企业财会部门应当根据国家统一的会计准则制度，对业务外包过程中交由承包方使用的资产、涉及资产负债变动的事项以及外包合同诉讼等加强核算与监督。第二，根据企业会计准则制度的规定，结合外包业务特点和企业管理机制，建立完善外包成本的会计核算方法，进行有关会计处理，并在财务报告中进行必要、充分的披露。第三，在向承包方结算费用时，应当依据验收证明，严格按照合同约定的结算条件、方式和标准办理支付。

解读《企业内部控制应用指引第12号——担保业务》

《企业内部控制应用指引第12号——担保业务》中所称担保，是指企业作为担保人按照公平、自愿、互利的原则与债权人约定，当债务人不履行债务时，依照法律规定和合同协议承担相应法律责任的行为。担保制度起源于商品交易活动，但早期的简单商品交易，往往是以物易物，或者是钱货两清的即时交易，交易主体间失信问题不突出，也就没有担保的必要。随着商品交换形式不断发展，非即时交易大量出现，商品和货币的交付有了时间差，债权债务应运而生，随之而来的问题就是，在对债务人没有百分之百信赖的情形下，债权人需要通过某种方式确保债权的实现，而担保制度正好满足了这种需要。在现代市场经济中，担保一方面有利于银行等债权人降低贷款风险，另一方面使债权人与债务人形成了稳定可靠的资金供需关系。

　　但是，必须看到担保业务具有“双刃剑”特征，一些企业包括上市公司陷入担保怪圈和旷日持久的诉讼拉锯战，导致发生重大经济损失的案件时有发生。财政部会计司发布的《我国上市公司2007年执行新会计准则情况分析报告》显示，在1570家上市公司中，有287家存在预计负债，占18.28%，这287家上市公司2007年确认的预计负债总额为148.50亿元，其中，因担保事项确认的预计负债达到22.26亿元，占到了14.99%。另有研究资料表明，我国上市公司担保业务增速快、金额大、风险高、违规情况较为严重，仅2001～2004年，平均每年新增121家上市公司涉及担保事项，年均增速达到35%；截至2004年10月，837家沪市上市公司中，有180家存在违规担保情况，涉及金额为279.98亿元，违规担保金额占上市公司担保总额的26.72%；在深市505家上市公司中，涉及担保的公司311家，担保总额达420亿元，其中违规担保金额为131亿元，占担保总额的31.19%。鉴于担保业务的“双刃剑”特征，《企业内部控制应用指引第12号——担保业务》对严控担保风险提出了一系列有针对性的管控措施。

　　一、担保业务一般流程

　　企业办理担保业务，一般包括受理申请、调查评估、审批、签订担保合同、进行日常监控等流程。具体而言，一是担保申请人提出担保申请；二是担保人对担保项目和被担保人资信状况进行调查，对担保业务进行风险评估；三是担保人根据调查评估结果，结合本企业担保政策和授权审批制度，对担保业务进行审批，重大担保业务应提交董事会或类似权力机构批准；四是担保人依据既定权限和程序，与被担保人签订担保合同；五是担保人切实加强对担保合同的日常管理，对被担保人经营情况、财务状况和担保项目执行情况等进行跟踪监控；六是如果被担保人不能如期偿债，担保人应履行代为清偿义务并向被担保人追偿债务；同时，应当按照本企业担保业务责任追究制度，严格追究有关人员的责任。具体流程如下图所示，该图列示的担保流程适用于各类企业的一般担保业务，具有通用性。企业在开展担保业务时，可以参照此流程并结合自身情况予以扩充和细化。

　　　　　　　　 担保业务流程图