企业内部控制应用指引第xx号——人力资源政策

（征求意见稿）

第一章  总 则

第一条  为了引导企业加强对人力资源的管理，优化企业内部控制环境，根据国家有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条  本指引所称的人力资源政策包括岗位职责和人力资源计划、招聘、培训、离职、考核、薪酬等一系列有关人事的活动和程序。

第三条  企业至少应当关注涉及人力资源政策的下列风险：

（一）人力资源政策违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。

（二）人力资源需求计划不合理，岗位职责安排不科学，可能导致企业无法获得经营管理所需员工。

（三）员工业务能力或者道德素养无法满足所属岗位要求，可能导致企业目标无法实现或者发生欺诈、舞弊等损害企业利益的行为。

（四）人力资源考核政策和薪酬制度不合理，可能导致企业员工流失或者业绩低下。

第四条  企业在建立与实施人力资源政策内部控制中，应当至少强化对下列关键方面或者关键环节的控制：

（一）岗位职责和任职要求应当明确规范，人力资源需求计划应当科学合理。

（二）招聘及离职程序应当规范，人员聘用应当引入竞争机制，培训工作应当能够提高员工道德素养和专业胜任能力。

（三）人力资源考核制度应当科学合理，应当能够引导员工实现企业目标。

（四）薪酬制度应当能保持和吸引优秀人才，并符合国家有关法律法规的要求，薪酬发放标准和程序应当规范。

第二章  岗位职责与人力资源需求计划

第五条  企业应当建立岗位说明制度，明确所有岗位的主要职责、资历、经验要求等，并定期组织内部各单位、各部门对工作岗位进行分析，确保各岗位配备胜任的人员，避免因人设岗。

第六条  企业应当建立岗位责任制，明确岗位职责及其分工情况，确保不相容岗位相互分离、制约和监督。

第七条  对于在产品技术、市场、管理等方面涉及或掌握企业知识产权、专有技术、商业秘密等的工作岗位，企业应当与该岗位工作人员签订有关岗位保密协议，明确其保密义务。

第八条  企业应当建立良好的人力资源政策反映渠道，确保有关人力资源政策的建议得以传递和落实，保证人力资源运用效率的提高和人员任用的公平合理。

第九条  企业可以根据自身经营管理实践经验，对某些控制薄弱、易发生舞弊行为的岗位实行轮岗制度或强制休假制度。

第十条  企业内部各单位、各部门应当根据岗位设置现状，结合工作开展需要及时向有关部门提交人力资源需求计划，注明所需人员的职位、数量、专业胜任能力、时间要求以及其他的备注事项。

第十一条  企业制定人力资源需求计划，应当注意与企业战略目标、发展方向、生产经营要求、组织机构的变更等相适应，并考虑进行一定的人才储备。

第三章  招聘、培训与离职

第十二条  企业应当根据人力资源需求计划，采取外部招聘、内部选拔或委托第三方招聘等方式，对关键岗位和紧缺人才进行选拔。招聘工作一般可以按照资格初审、专业知识和综合素质测评、面试与答辩、专家组评审等程序进行。在整个招聘过程中的审核记录和相关资料均需妥善归档保存。

第十三条  企业招聘人员应当特别关注招聘对象的职业道德。对于会计、出纳、信息系统操作等易发生舞弊行为的岗位以及中、高级管理人员的招聘，企业应当专门审核招聘对象是否有违法犯罪、行政处罚、商业欺诈等前科。

第十四条  企业招聘人员应当关注招聘对象的专业胜任能力。对专业技术有特殊要求的岗位，企业应当要求招聘对象具有相应的从业资格证书，并检查其真实性。

第十五条  企业应当根据实际需要制定培训计划，对培训目的、培训人员、培训时间、培训方式、培训预算等作出适当安排，确保员工专业知识和业务能力达到岗位要求。

第十六条  企业可以采取工作轮换、入职培训、脱产培训等方式对员工进行培训。培训期末应当由培训单位进行考核，并将考核结果及时报企业人力资源管理部门进行评价。

第十七条  企业应当将人力资源招聘与培训的费用纳入预算，明确费用开支范围和开支标准，并指定有关责任人对招聘和培训费用实施控制。

第十八条  员工因个人原因提出辞职申请时，企业应当根据劳动合同协议的规定，要求其提前向有关部门或人员提交辞职报告，并按规定办理有关离职交接手续。

第十九条  企业应当对董事、经理及其他高级管理人员进行离任审计。

对于企业其他管理人员（如部门主管、敏感岗位人员、财会、采购、销售、仓库人员等）的离任审计，由经理根据实际需要确定。

第二十条  企业应当完善员工辞职交接程序，并要求辞职员工退还所有属于企业的财产，包括实物资产和各种信息资料。

第二十一条  企业辞退员工应当符合国家有关法律法规的规定，由部门负责人或上级主管提出违纪事实报告，并经违纪员工在违纪事实报告上签字确认后，方可实施辞退。对高级管理人员的违纪行为实施辞退处罚，应当经董事会批准后方可执行。

第四章  人力资源考核政策

第二十二条  企业应当制定科学合理的人力资源考核制度，对员工履行职责、完成任务的情况实施全面、公正、准确的考核，客观评价员工的工作表现，引导员工实现企业经营目标。

第二十三条  企业应当根据岗位特征制定不同的考核评价方法。考核内容一般应该涵盖员工的个人素质、工作态度、专业知识、工作能力、工作成果等。

第二十四条  企业应当对试用期满的新聘人员的工作表现进行综合性考核，以作为其转正定级的依据。

第二十五条  企业对正式人员的考核可以分为年终考核和专项考核。

年终考核是指企业于每年年初，对员工上一年度的工作情况进行全面综合的评价。年终考核可以具体分解到季度和月度考核。

专项考核是指企业就某一具体项目对所属员工的品德、学识、能力、经验、工作业绩、项目质量等进行考核。

第二十六条  年终考核和专项考核的结果应当作为员工薪酬水平以及职务晋升、评优、降级、调岗等的依据。

第二十七条  企业应当建立顺畅的考核沟通渠道，及时与员工就考核结果进行充分沟通，并为员工职业发展提供咨询和指导。

第二十八条  企业应当建立正式的人力资源考核记录制度。确保考核记录完整保存。

第五章  薪酬及激励政策

第二十九条  企业应当制定与人力资源考核相挂钩的薪酬制度，规范分配行为，调动员工积极性和创造性，促进企业及员工自身的发展。

企业在设计薪酬制度时，应当体现对员工的激励作用和对人力资源的保护作用，注重长期激励与短期激励相结合、物质激励与精神激励相结合，应当有利于保持和吸引优秀的人才。

第三十条  企业可以在董事会下设薪酬委员会，负责制定本单位的薪酬制度，并监督实施。

第三十一条  企业的薪酬一般由基本工资、绩效工资和年终奖励等组成。基本工资及其变动应当根据企业所在地的生活水平和国家有关规定合理确定；绩效工资应当根据考核结果确定，并明确标准和发放程序；年终奖励应当明确奖励的范围、标准和发放程序。

有条件的企业可以实行年金、股权激励等福利与激励计划。

第三十二条  企业应当根据有关法律法规、国家统一的会计准则制度的规定，准确确认、计量并发放员工薪酬，并对薪酬发放的真实性、合规性和准确性进行严格的审核，以防虚报冒领等行为。在发放薪酬的同时，企业应当向员工提供薪酬清单，供员工核对确认。

第三十三条  企业应当制定薪酬制度评价机制，及时对薪酬制度的合理性及其执行效果进行评价，并根据评价结果修订完善。

企业内部控制应用指引第xx号——信息系统一般控制

（征求意见稿）

第一章  总 则

第一条  为了引导企业充分利用信息系统规范交易行为，提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性，降低人为因素导致内部控制失效的可能性，形成良好的信息传递渠道，根据国家有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条  本指引所称信息系统是指利用计算机技术对业务和信息进行集成处理的程序、数据和文档等的总称。

第三条  企业至少应当关注涉及信息系统一般控制的下列风险：

（一）信息系统开发与使用违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。

（二）信息系统开发与使用未经适当审核或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失。

（三）信息系统设计功能不科学、维护与变更程序不规范，可能导致企业经营效率与效果低下。

（四）信息系统外包服务未恰当履行或监控不当，可能导致企业权益受损或违约损失。

（五）信息系统访问安全措施不当，可能导致商业秘密泄露。

（六）信息系统硬件管理不当，可能导致企业资产或股东权益受损。

第四条  企业在建立与实施信息系统内部控制中，至少应当强化对下列关键方面或者关键环节的控制：

（一）职责分工、权限范围和审批程序应当明确规范，机构设置和人员配备应当科学合理，重大信息系统开发与使用事项应履行审批程序。

（二）信息系统开发、变更和维护流程应当清晰合理。

（三）应当建立访问安全制度，操作权限、信息使用、信息管理应当有明确规定。

（四）硬件管理事项和审批程序应当科学合理。

（五）会计信息系统流程应当规范，会计信息系统操作管理、硬件、软件和数据管理、会计信息化档案管理应当完善。

第二章  岗位分工与授权审批

第五条  企业应当建立计算机信息系统岗位责任制。计算机信息系统岗位一般包括：

（一）系统分析：分析用户的信息需求，并据此制定设计或修改程序的方案。

（二）编程：编写计算机程序来执行系统分析岗位的设计或修改方案。

（三）测试：设计测试方案，对计算机程序是否满足设计或修改方案进行测试，并通过反馈给编程岗位以修改程序并最终满足方案。

（四）程序管理：负责保障并监控应用程序正常运行。

（五）数据库管理：对信息系统中的数据进行存储、处理、管理，维护组织数据资源。

（六）数据控制：负责维护计算机路径代码的注册，确保原始数据经过正确授权，监控信息系统工作流程，协调输入和输出，将输入的错误数据反馈到输入部门并跟踪监控其纠正过程，将输出信息分发给经过授权的用户。

（七）终端操作：终端用户负责记录交易内容，授权处理数据，并利用系统输出的结果。

系统开发和变更过程中不相容岗位（或职责）一般应包括：开发（或变更）立项、审批、编程、测试。

系统访问过程中不相容岗位（或职责）一般应包括：申请、审批、操作、监控。

第六条  企业计算机信息系统战略规划、重要信息系统政策等重大事项应当经由董事会（或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构，以下简称董事会）审批通过后，方可实施。

信息系统战略规划应当与企业业务目标保持一致。信息系统使用部门应该参与信息系统战略规划、重要信息系统政策等的制定。

第七条  企业可以指定专门部门（或岗位，下称归口管理部门）对计算机信息系统实施归口管理，负责信息系统开发、变更、运行、维护等工作。

财会部门负责信息系统中各项业务账务处理的准确性和及时性；会计电算化制度的制定；财务系统操作规定等。

生产、销售、仓储及其他部门（下称用户部门）应当根据本部门在信息系统中的职能定位，参与信息系统建设，按照归口管理部门制定的管理标准、规范、规章来操作和运用信息系统。

企业管理层应该明确定义系统归口管理部门和用户部门（含财会部门）在保证系统正常安全运行过程中各自承担的职责，制定部门之间的职责分工表。

第三章  信息系统开发、变更与维护控制

第八条  计算机信息系统开发包括自行设计、外购调试和外包合作开发。企业在开发信息系统时，应当充分考虑业务和信息的集成性，优化流程，并将相应的处理规则（交易权限）嵌入到系统程序中，以预防、检查、纠正错误和舞弊行为，确保企业业务活动的真实性、合法性和效益性。

第九条  企业计算机信息系统开发应当遵循以下原则：

（一）因地制宜原则：企业应当根据行业特点、企业规模、管理理念、组织结构、核算方法等因素设计适合本单位的计算机信息系统。

（二）成本效益原则：计算机信息系统的建设应当能起到降低成本、纠正偏差的作用，根据成本效益原则，企业可以选择对重要领域中关键因素进行信息系统改造。

（三）理念与技术并重原则：计算机信息系统建设应当将信息系统技术与信息系统管理理念整合，企业应当倡导全体员工积极参与信息系统建设，正确理解和使用信息系统，提高信息系统运作效率。

第十条  信息系统开发必须经过正式授权。具体程序包括:用户部门提出需求；归口管理部门审核；企业负责人授权批准；系统分析人员设计方案；程序员编写代码；测试员进行测试；系统最终上线；系统维护等。

第十一条  企业应当成立项目管理小组，负责信息系统的开发，对项目整个过程实施监控。

对于外包合作开发的项目，企业应当加强对外包第三方的监控。

第十二条  外购调试或外包合作开发等需要进行招投标的信息系统开发项目，企业应当保证招投标过程公平、公正、公开。

第十三条  企业应当制定详细的信息系统上线计划。对涉及新旧系统切换的情形，企业应当在上线计划中明确应急预案，保证新系统一旦失效，能够顺利切换回旧的系统状态。

第十四条  新旧系统切换时，如涉及数据迁移，企业应当制定详细的数据迁移计划。

用户部门应当积极参与数据迁移过程，对数据迁移结果进行测试，并在测试报告上确认。

第十五条  信息系统在投入使用前应当至少完成整体测试和用户验收测试，以确保系统的正常运转。

第十六条  信息系统原设计功能未能正常实现时，企业应当指定相关人员负责详细记录，并及时报告归口管理部门。归口管理部门负责系统程序修正和软件参数调整，以实现设计功能。

第十七条  信息系统上线后，发生的功能变更，应当参照上款有关系统开发的审批和上线程序执行。

第十八条  企业应当积极倡导采用预防性措施，确保计算机信息系统的持续运行。常见预防性措施包括但不限于日常检测、设立容错冗余、编制应急预案等。

第四章  信息系统访问安全

第十九条  企业应当制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范。

第二十条  计算机信息系统操作人员不得擅自进行系统软件的删除、修改等操作，不得擅自升级、改变系统软件版本，不得擅自改变软件系统环境配置。

第二十一条  企业应当对信息系统操作人员的账号、密码和使用权限进行严格规范，建立相应的操作管理制度。未经操作培训的人员不得作为操作人员。

第二十二条  企业应当建立账号审批制度，加强对重要业务系统的访问权限管理。

对于发生岗位变化或离岗的用户，企业应当及时调整其在系统中的访问权限。

企业应当定期对系统中的账号进行审阅，避免有授权不当或非授权账号存在。

对于超级用户等特权用户，企业应该严格限制其使用，并对其在系统中的操作全程进行监控。使用完毕后，应当由不相容岗位对其操作日志进行审阅。

第二十三条  企业应当充分利用操作系统、数据库、应用系统自身提供的安全性能，在系统中设置安全参数，以加强系统访问安全。禁止未经授权人员擅自调整、删除或修改系统中设置的各项参数。

涉及上网操作的，企业应当加强防火墙、路由器等网络安全方面的管理。

第二十四条  企业可以结合实际情况，本着审慎、稳健的原则，将信息系统访问安全事项交由第三方管理。在此情形下，企业应当加强对第三方的监控。

第二十五条  企业应当定期检测信息系统运行情况，及时进行计算机病毒的预防、检查工作，禁止用户安装非法防病毒软件和私自卸载企业要求安装的防病毒软件。

第二十六条  信息系统操作人员应当在权限范围内进行操作，不得利用他人的口令和密码进入软件系统。更换操作人员或密码泄露后，必须及时更改密码。操作人员如果离开工作现场，必须在离开前锁定或退出已经运行的程序，防止其他人员利用自身账号操作。

第二十七条  企业应当利用计算机信息系统建立信息化平台，规范信息的使用和传递，促进业务流程与信息流程的统一，提高经营管理的效率和效果。

第二十八条  企业应当对所有的重要信息进行密级划分，包括书面形式和电子媒介形式保存的信息。

企业可以根据信息的重要性程度和泄密风险损失等划分标准，将信息分为绝密类、机密类、秘密类和重要类等，并建立不同类别信息的授权使用制度。

第二十九条  企业计算机信息系统应当划分为生产、销售、存储等子系统，及时反映和记录交易。交易责任部门在其授权范围内对子系统录入信息的真实性、完整性、准确性和及时性负责，并定期检查、核对所录信息。

第三十条  企业财会部门应当认真审核采购、生产、销售、仓库等部门与财务相关的关键业务数据，保证会计信息与业务流程在时间、数量和价值上的统一。

第三十一条  企业应当建立信息数据变更处理（包括数据导入、数据提取、数据修改等）规范。一经发现已输入数据信息有误，必须按照信息系统操作规定加以修正。

第三十二条  企业应当建立数据信息定期备份制度和数据批处理或实时处理的处理前自动备份制度。并在备份完毕后，将备份介质异地保存。

第三十三条  企业应当编制完整、具体的灾难恢复计划。同时应当定期检测、及时修正该计划。

第五章  硬件管理

第三十四条  企业应当制定计算机信息系统硬件管理制度，对设备的新增、报废、流转等情况建档登记，统一管理。

第三十五条  企业应当将计算机硬件设备放置在合适的物理环境中，由专人负责管理和检查，其他任何人未经授权不得接触计算机信息系统硬件设备。对于主要系统服务器应当配备不中断电源供给设备。

第三十六条  硬件设备的更新、扩充、修复等工作应当由相关人员提出申请，报上级主管负责人审批。

第三十七条  企业操作人员应当严格遵守用电安全，不得在计算机专用线路上使用其他用电设备。

第三十八条  企业应当完善计算机信息系统硬件设备异常状况处理制度。一经发生异常状况（如冒烟、打火、异常声响等），应当立即通知有关部门，并按处理制度进行处理。

第六章  会计信息化及其控制

第三十九条  企业应当加强会计信息化工作，并对其工作流程进行有效控制。

本指引所称会计信息化是指利用计算机信息技术代替人工进行财务信息处理，以及替代部分由人工完成的对会计信息的分析和判断的过程。

第四十条  企业应当建立会计信息化操作管理制度，明确会计信息系统的合法有权使用人员及其操作权限和操作程序，形成分工牵制的控制形式。企业出纳人员不得兼任电算化系统管理员，不得兼任记账凭证的审核工作。

第四十一条  企业应当建立会计信息系统硬件、软件和数据管理制度，重点关注下列风险和控制点：

（一）对正在使用的会计核算软件进行修改、对通用会计软件进行升级和对计算机硬件设备进行更换时，企业应有规范的审批流程，并采取替代性措施确保会计数据的连续性。

（二）企业应当健全计算机硬件和软件出现故障时进行排除的管理措施，保证会计数据的完整性。

（三）确保会计数据安全保密，防止对数据的非法修改和删除。

第四十二条  企业应当建立信息化会计档案管理制度。

本指引所称信息化会计档案是指存储在磁性介质或光盘介质的会计数据和计算机打印出来的书面等形式的会计数据，包括记账凭证、会计账簿、会计报表（包括报表格式和计算公式）等数据。

企业应当指定专人负责信息化会计档案的管理，做好防消磁、防火、防潮和防尘等工作；对于存储介质保存的会计档案，应当定期检查，防止由于介质损坏而使会计档案丢失。