内部控制指引13流程图——业务外包

78．675．83加强业务外包管理防范业务外包风险——财政部会计司解读《企业内部控制应用指引第13号——业务外包》《企业内部控制应用指引第13号——业务外包》所称的业务外包，是指企业利用专业化分工优势，将日常经营中的部分业务委托给本企业以外的专业服务机构或经济组织（以下简称承包方）完成的经营行为，通常包括研发、资信调查、可行性研究、委托加工、物业管理、客户服务、IT服务等。

随着社会主义市场发展及国际产业分工呈细化趋势，我国业务外包市场必将有较大发展。

适应这种发展趋势，财政部研究制定了《企业内部控制应用指引第13号——业务外包》，对于规范业务外包行为，防范业务外包风险，具有重要的意义。

本文就此进行解读。

一、业务外包流程业务外包流程主要包括：制定业务外包实施方案、审核批准、选择承包方、签订业务外包合同、组织实施业务外包活动、业务外包过程管理、验收、会计控制等环节。

如下图所示。

该图列示的业务外包流程适用于各类企业的一般业务外包，具有通用性。

企业在实际开展业务外包时，可以参照此流程，并结合自身情况予以扩充和具体化。

业务外包基本流程图二、各环节的主要风险点及管控措施（一）制定业务外包实施方案制定业务外包实施方案，是指企业根据年度生产经营计划和业务外包管理制度，结合确定的业务外包范围，制定实施方案。

该环节的风险主要是：企业缺乏业务外包管理制度，导致制定实施方案时无据可依；业务外包管理制度未明确业务外包范围，可能导致有关部门在制定实施方案时，将不宜外包的核心业务进行外包；实施方案不合理、不符合企业生产经营特点或内容不完整，可能导致业务外包失败。

主要管控措施：第一，建立和完善业务外包管理制度，根据各类业务与核心主业的关联度、对外包业务的控制程度以及外部市场成熟度等标准，合理确定业务外包的范围，并根据是否对企业生产经营有重大影响对外包业务实施分类管理，以突出管控重点，同时明确规定业务外包的方式、条件、程序和实施等相关内容。

序言2010年4月26日，财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会，隆重发布了《企业内部控制配套指引》（以下简称配套指引）。

该配套指引连同2008年5月发布的《企业内部控制基本规范》，共同构建了中国企业内部控制规范体系，自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行。

同时，鼓励非上市大中型企业提前执行。

配套指引由21项应用指引（此次发布18项，涉及银行、证券和保险等业务的3项指引暂未发布）、《企业内部控制评价指引》和《企业内部控制审计指引》组成。

关于应用指引的分类应用指引可以划分为三类，即内部环境类指引、控制活动类指引、控制手段类指引，基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。

对比：基本规范五要素：内部环境、风险评估、控制活动、信息与沟通和内部监督。

内部控制基本规范五要素与应用指引对比表第一章内部环境类应用指引内部环境是企业实施内部控制的基础，支配着企业全体员工的内控意识，影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。

内部环境类指引有5项，包括组织架构、发展战略、人力资源、企业文化和社会责任等指引。

内部环境类应用指引框架一、内部控制应用指引第1号——组织架构《企业内部控制应用指引第1号——组织架构》指出，组织架构是指企业按照国家有关法律法规、股东（大）会决议、企业章程，结合本企业实际，明确董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。

组织架构指引着力解决企业应如何进行组织架构设计和运行，核心是如何加强组织架构方面的风险管控。

（一）关于组织架构的本质组织架构的本质，可从治理结构和内部机构两个层面理解。

治理结构即企业治理层面的组织架构。

它是企业成为可以与外部主体发生各项经济关系的法人所必备的组织基础。

加强业务外包管理防范业务外包风险——财政部会计司解读《企业内部控制应用指引第13号——业务外包》《企业内部控制应用指引第13号——业务外包》所称的业务外包，是指企业利用专业化分工优势，将日常经营中的部分业务委托给本企业以外的专业服务机构或经济组织（以下简称承包方）完成的经营行为，通常包括研发、资信调查、可行性研究、委托加工、物业管理、客户服务、IT服务等。

随着社会主义市场发展及国际产业分工呈细化趋势，我国业务外包市场必将有较大发展。

适应这种发展趋势，财政部研究制定了《企业内部控制应用指引第13号——业务外包》，对于规范业务外包行为，防范业务外包风险，具有重要的意义。

本文就此进行解读。

一、业务外包流程业务外包流程主要包括：制定业务外包实施方案、审核批准、选择承包方、签订业务外包合同、组织实施业务外包活动、业务外包过程管理、验收、会计控制等环节。

如下图所示。

该图列示的业务外包流程适用于各类企业的一般业务外包，具有通用性。

企业在实际开展业务外包时，可以参照此流程，并结合自身情况予以扩充和具体化。

业务外包基本流程图二、各环节的主要风险点及管控措施（一）制定业务外包实施方案制定业务外包实施方案，是指企业根据年度生产经营计划和业务外包管理制度，结合确定的业务外包范围，制定实施方案。

该环节的风险主要是：企业缺乏业务外包管理制度，导致制定实施方案时无据可依；业务外包管理制度未明确业务外包范围，可能导致有关部门在制定实施方案时，将不宜外包的核心业务进行外包；实施方案不合理、不符合企业生产经营特点或内容不完整，可能导致业务外包失败。

主要管控措施：第一，建立和完善业务外包管理制度，根据各类业务与核心主业的关联度、对外包业务的控制程度以及外部市场成熟度等标准，合理确定业务外包的范围，并根据是否对企业生产经营有重大影响对外包业务实施分类管理，以突出管控重点，同时明确规定业务外包的方式、条件、程序和实施等相关内容。

第二，严格按照业务外包管理制度规定的业务外包范围、方式、条件、程序和实施等内容制定实施方案，避免将核心业务外包，同时确保方案的完整性。

企业内部控制应用指引目录企业内部控制应用指引第1号——组织架构企业内部控制应用指引第2号——发展战略企业内部控制应用指引第3号-—人力资源企业内部控制应用指引第4号——社会责任企业内部控制应用指引第5号--企业文化企业内部控制应用指引第6号——资金活动企业内部控制应用指引第7号-—采购业务企业内部控制应用指引第8号——资产管理企业内部控制应用指引第9号——销售业务企业内部控制应用指引第10号—-研究与开发企业内部控制应用指引第11号——工程项目企业内部控制应用指引第12号——担保业务企业内部控制应用指引第13号——业务外包企业内部控制应用指引第14号——财务报告企业内部控制应用指引第15号——全面预算企业内部控制应用指引第16号—-合同管理企业内部控制应用指引第17号——内部信息传递企业内部控制应用指引第18号——信息系统企业内部控制评价指引企业内部控制审计指引企业内部控制应用指引第1号-—组织架构第一章总则第一条为了促进企业实现发展战略,优化治理结构、管理体制和运行机制,建立现代企业制度，根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条本指引所称组织架构，是指企业按照国家有关法律法规、股东（大）会决议和企业章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。

第三条企业至少应当关注组织架构设计与运行中的下列风险：(一）治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略.(二）内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下。

第二章组织架构的设计第四条企业应当根据国家有关法律法规的规定,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡。

业内部控制流程——业务外包近年来，随着企业规模的不断扩大和业务范围的逐步增加，许多企业开始将一部分业务外包给专业的服务提供商。

业务外包能够有效减轻企业运营压力，提高效率，降低成本。

然而，在进行业务外包的过程中，企业也面临着一些风险和挑战。

为了保障企业的利益和确保外包业务顺利进行，建立业内部控制流程显得尤为重要。

一、业务外包风险分析在进行业务外包之前，企业需要对外包业务的风险进行全面分析。

首先要对外包服务提供商的资质和信誉进行评估，确保其具备足够的实力和能力来完成外包业务。

其次，要对外包业务涉及的各方合同条款和责任进行详细审查，防范因合同漏洞带来的法律风险。

同时，还需要考虑到外包过程中可能出现的数据安全、信息泄露等风险，建立相应的防范机制和监控措施。

二、建立业内部控制流程为了有效应对业务外包风险，企业需要建立完善的业内部控制流程。

首先要确定外包业务的范围和目标，明确双方责任与权利，建立明确的合作框架和目标管理机制。

其次，要建立信息交流与沟通机制，确保外包服务提供商能够及时了解企业的需求和变化，提高响应速度和处理能力。

同时，要建立监督和评估机制，定期对外包服务的执行情况和效果进行评估，及时调整业务策略和流程，确保外包业务达到预期效果。

三、加强风险监控与应对业内部控制流程建立后，企业还需要加强对风险的监控和应对。

首先要建立风险预警机制，定期对外包业务可能面临的风险进行分析和评估，预判可能的风险发生概率和影响程度，及时采取相应的风险化解措施。

其次，要建立紧急应对机制，一旦出现重大风险事件，企业能够及时启动应急预案，减少损失和影响，保障企业持续经营和发展。

综上所述，建立完善的业内部控制流程对于企业进行业务外包至关重要。

只有通过全面的风险分析、建立规范的控制流程和加强风险监控与应对，企业才能最大程度地保障利益，确保外包业务的顺利进行，实现合作共赢的目标。

在未来的发展中，企业应继续加强对业内部控制流程的改进和优化，以适应不断变化的市场环境和外部风险，实现可持续发展和竞争优势。

第十八章业务外包(OS)18.1 总述业务外包是指企业利用专业化分工优势，将日常经营中的部分业务委托给本企业以外的专业服务机构或经济组织完成的经营行为。

18.2控制目标18.2.1合规目标代加工合同符合合同法等国家法律、法规、国家政策和公司内部规章制度。

18.2.2财务目标保证采购、费用支出、存货信息等账目信息记录的真实、准确、完整。

18.2.3 经营目标确保公司合理筹划业务外包，促进企业扩大产能，满足市场需求。

18.2.4 资产目标严格遵守规范代加工合同中的保密条款，加强专有技术、专利的保护。

18.3 业务流程管控18.3.1流程责任部门物流管理部、东升公司为本流程的主要责任部门。

18.3.2流程范围业务外包包括以下二级流程：方案审批、承包方管理、外包过程管理。

18.3.3总体控制政策1)建立和完善业务外包管理制度，规定业务外包的范围、方式、条件、程序和实施等相关内容，明确相关部门和岗位的职责权限。

2)强化业务外包全过程的监控，防范外包风险，充分发挥业务外包的优势。

3)在执行业务外包过程中，应确保不相容职责相分离，如下岗位必须分离：-承包方选择与确定承包方；-外包合同的订立与审批；-承包方的确定与验收。

18.3.4风险控制矩阵1)“风险控制矩阵”纵向将本流程划分为若干逻辑相关的二级流程（请参见18.3.2），反映该流程涉及的主要业务内容。

2)“风险控制矩阵”横向列示了各二级流程潜在的风险因素，并据此设计具体的内部控制措施。

此外，“风险控制矩阵”还包括该流程相关责任主体，以及体现相应内部控制措施的制度、单据。

本流程的“风险控制矩阵”，请详见下页“表18-1”。

18.3.5权限指引本流程关键环节所涉及的管理、决策权限分配情况，如“表18-2”所示。

表18-1：风险控制矩阵–业务外包(OS)345表18-2：权限指引-业务外包权限指引（OS）6。

企业内部控制应用指引目录1、企业内部控制应用指引第1号-—组织架构2、企业内部控制应用指引第2号——发展战略3、企业内部控制应用指引第3号-—人力资源4、企业内部控制应用指引第4号——社会责任5、企业内部控制应用指引第5号--企业文化6、企业内部控制应用指引第6号——资金活动7、企业内部控制应用指引第7号--采购业务8、企业内部控制应用指引第8号——资产管理9、企业内部控制应用指引第9号——销售业务10、企业内部控制应用指引第10号——研究与开发11、企业内部控制应用指引第11号——工程项目12、企业内部控制应用指引第12号——担保业务13、企业内部控制应用指引第13号-—业务外包14、企业内部控制应用指引第14号--财务报告15、企业内部控制应用指引第15号-—全面预算16、企业内部控制应用指引第16号-—合同管理17、企业内部控制应用指引第17号-—内部信息传递18、企业内部控制应用指引第18号--信息系统企业内部控制应用指引第1号——组织架构第一章总则第一条为了促进企业实现发展战略,优化治理结构、管理体制和运行机制，建立现代企业制度，根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》，制定本指引.第二条本指引所称组织架构,是指企业按照国家有关法律法规、股东(大）会决议和企业章程，结合本企业实际，明确董事会、监事会、经理层和企业内部各层级机构设置、人员编制、职责权限、工作程序和相关要求的制度安排。

第三条企业至少应当关注组织架构设计与运行中的下列风险：(一）治理结构形同虚设，缺乏科学决策和良性运行机制,可能导致企业经营失败,难以实现发展战略。

（二)组织架构设计不科学，权责分配不合理,可能导致机构重叠、职能交叉、推诿扯皮，运行效率低下。

第二章组织架构的设计第四条企业应当根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离,形成制衡。

第1 条目的为加强对公司各部门业务外包的管理和外包工作的内部控制，规范参预业务外包人员的行为，特制定本制度。

第2 条业务外包责任岗位1 ．董事会及审计委员会。

2 ．董事长、总经理。

3 ．财务总监。

4 ．法律顾问。

5 ．归口管理部门负责人。

6 ．归口管理部门专员。

7 ．职能部门相关负责人。

8 ．资产管理部门负责人。

9 ．财务部经理。

10 ．财务部会计。

11．财务部出纳。

第3 条董事会及审计委员会1．主要职责(1)审议、审批重大或者核心业务外包项目计划书。

(2)确定外包业务的归口管理部门。

2．不相容职责申请与执行业务外包项目计划。

第4 条董事长、总经理1．主要职责(1)审批外包业务流程管理制度。

(2)审议非核心业务或者涉及金额较少的外包项目计划书。

(3)审定最终的承包方。

(4)审议、批准外包合同书。

(5)审批外包业务付费款项。

(6)审议因承包方提供附加产品而产生的额外付费。

2．不相容职责(1)申请与执行业务外包项目计划。

(2)订立外包业务合同书。

(3)支付外包业务付费款项。

第5 条财务总监1．主要职责(1)审核外包业务固定资产、流动资产、存货各项制度。

(2)审批盘盈盘亏的资产、存货。

(3)审批资产、存货的会计处理结果。

2．不相容职责(1)编制外包业务固定资产、流动资产、存货各项制度。

(2)执行会计处理。

第6 条法律顾问1．主要职责(1)审核外包的法律性协议或者合同文件。

(2)参预外包业务的谈判。

(3)解释协议或者合同条款，处理相关法律事务。

2．不相容职责审批外包合同。

第7 条归口管理部门负责人1．主要责任(1)审核外包业务流程管理制度，并监督其执行情况。

(2)从审核遴选出的有资质的承包方中，确定1~3 个承包方。

(3)审核外包合同协议。

(4)培训涉及业务外包流程的员工。

(5)定期检查和评价外包业务发展情况。

(6)主持验收外包业务成果。

(7)确认外包业务付费款项。

2．不相容职责(1)审批外包项目计划书。

业内部控制流程——业务外包业务外包是指企业将部分非核心业务委托给外部供应商进行管理和执行的一种商业模式。

外包能够帮助企业减少成本、提高效率、降低风险，但同时也带来了一些风险和挑战。

为了保障业务外包的顺利进行以及防范潜在的风险，企业需要建立有效的内部控制流程。

下面是一个关于业务外包的内部控制流程示例，供参考：一、风险评估与选择供应商1.对要外包的业务进行风险评估，包括评估该业务外包的风险和潜在影响。

2.根据风险评估结果，制定业务外包的策略和目标，并制定相应的服务要求和合同条款。

3.选择符合要求的供应商，并进行供应商的尽职调查，包括供应商的信用状况、运营能力、信息安全保障能力等方面。

二、合同管理与监督1.确定合同的主要内容，包括服务范围、服务水平要求、价格、责任和风险分担等。

2.对合同进行严格的审核，明确各方的权益和责任，并确保合同与实际需求相匹配。

3.建立合同管理制度，包括签约、履约和变更管理等，确保合同的执行和控制。

4.对供应商的履约情况进行监督和评估，定期进行供应商绩效评价，确保外包服务按照合同要求提供。

三、信息安全保障1.确定业务外包所涉及的核心数据和敏感信息，并对其进行分类和保护处理。

2.确立信息安全管理制度，包括制定保密协议、限制数据访问权限、加强网络安全等措施。

3.对供应商的信息安全措施进行评估和监督，确保其能够对所托管的数据进行有效的保护。

四、日常监控与报告1.建立业务外包的日常监控机制，包括收集、记录和分析与外包业务相关的数据和信息。

2.设定关键指标和监测点，对业务外包的关键环节进行监测和评估，及时发现问题并采取措施进行纠正。

3.定期向管理层报告业务外包的执行情况、风险分析和改进建议，以供管理层决策参考。

五、变更管理与扩展1.对业务外包的变更进行严格管控，包括变更的审批、变更的风险评估和变更后的测试与验收等。

2.确保变更过程的可追溯性和变更后的业务流程的有效性。

3.如需扩展外包业务，需要评估供应商的扩展能力，并与供应商协商和签订相应的合同进行管理。