企業內部控制評價指引

第一章　總則[編輯]

第一條　為了促進企業全面評價內部控制的設計與運行情況，規範內部控制評價程序和評價報告，揭示和防範風險，根據有關法律法規和《企業內部控制基本規範》，制定本指引。

第二條　本指引所稱內部控制評價，是指企業董事會或類似權力機構對內部控制的有效性進行全面評價、形成評價結論、出具評價報告的過程。

第三條　企業實施內部控制評價至少應當遵循下列原則：

（一）全面性原則。評價工作應當包括內部控制的設計與運行，涵蓋企業及其所屬單位的各種業務和事項。

（二）重要性原則。評價工作應當在全面評價的基礎上，關注重要業務單位、重大業務事項和高風險領域。

（三）客觀性原則。評價工作應當準確地揭示經營管理的風險狀況，如實反映內部控制設計與運行的有效性。

第四條　企業應當根據本評價指引，結合內部控制設計與運行的實際情況，制定具體的內部控制評價辦法，規定評價的原則、內容、程序、方法和報告形式等，明確相關機構或崗位的職責權限，落實責任制，按照規定的辦法、程序和要求，有序開展內部控制評價工作。企業董事會應當對內部控制評價報告的真實性負責。

第二章　內部控制評價的內容[編輯]

第五條　企業應當根據《企業內部控制基本規範》、應用指引以及本企業的內部控制制度，圍繞內部環境、風險評估、控制活動、信息與溝通、內部監督等要素，確定內部控制評價的具體內容，對內部控制設計與運行情況進行全面評價。

第六條　企業組織開展內部環境評價，應當以組織架構、發展戰略、人力資源、企業文化、社會責任等應用指引為依據，結合本企業的內部控制制度，對內部環境的設計及實際運行情況進行認定和評價。

第七條　企業組織開展風險評估機制評價，應當以《企業內部控制基本規範》有關風險評估的要求，以及各項應用指引中所列主要風險為依據，結合本企業的內部控制制度，對日常經營管理過程中的風險識別、風險分析、應對策略等進行認定和評價。

第八條　企業組織開展控制活動評價，應當以《企業內部控制基本規範》和各項應用指引中的控制措施為依據，結合本企業的內部控制制度，對相關控制措施的設計和運行情況進行認定和評價。

第九條　企業組織開展信息與溝通評價，應當以內部信息傳遞、財務報告、信息系統等相關應用指引為依據，結合本企業的內部控制制度，對信息收集、處理和傳遞的及時性、反舞弊機制的健全性、財務報告的真實性、信息系統的安全性，以及利用信息系統實施內部控制的有效性等進行認定和評價。

第十條　企業組織開展內部監督評價，應當以《企業內部控制基本規範》有關內部監督的要求，以及各項應用指引中有關日常管控的規定為依據，結合本企業的內部控制制度，對內部監督機制的有效性進行認定和評價，重點關注監事會、審計委員會、內部審計機構等是否在內部控制設計和運行中有效發揮監督作用。

第十一條　內部控制評價工作應當形成工作底稿，詳細記錄企業執行評價工作的內容，包括評價要素、主要風險點、採取的控制措施、有關證據資料以及認定結果等。評價工作底稿應當設計合理、證據充分、簡便易行、便於操作。

第三章　內部控制評價的程序[編輯]

第十二條　企業應當按照內部控制評價辦法規定的程序，有序開展內部控制評價工作。內部控制評價程序一般包括：制定評價工作方案、組成評價工作組、實施現場測試、認定控制缺陷、匯總評價結果、編報評價報告等環節。企業可以授權內部審計部門或專門機構（以下簡稱內部控制評價部門）負責內部控制評價的具體組織實施工作。

第十三條　企業內部控制評價部門應當擬訂評價工作方案，明確評價範圍、工作任務、人員組織、進度安排和費用預算等相關內容，報經董事會或其授權機構審批後實施。

第十四條　企業內部控制評價部門應當根據經批准的評價方案，組成內部控制評價工作組，具體實施內部控制評價工作。評價工作組應當吸收企業內部相關機構熟悉情況的業務骨幹參加。評價工作組成員對本部門的內部控制評價工作應當實行迴避制度。企業可以委託中介機構實施內部控制評價。為企業提供內部控制審計服務的會計師事務所，不得同時為同一企業提供內部控制評價服務。

第十五條　內部控制評價工作組應當對被評價單位進行現場測試，綜合運用個別訪談、調查問卷、專題討論、穿行測試、實地查驗、抽樣和比較分析等方法，充分收集被評價單位內部控制設計和運行是否有效的證據，按照評價的具體內容，如實填寫評價工作底稿，研究分析內部控制缺陷。

第四章　內部控制缺陷的認定[編輯]

第十六條　內部控制缺陷包括設計缺陷和運行缺陷。企業對內部控制缺陷的認定，應當以日常監督和專項監督為基礎，結合年度內部控制評價，由內部控制評價部門進行綜合分析後提出認定意見，按照規定的權限和程序進行審核後予以最終認定。

第十七條　企業在日常監督、專項監督和年度評價工作中，應當充分發揮內部控制評價工作組的作用。內部控制評價工作組應當根據現場測試獲取的證據，對內部控制缺陷進行初步認定，並按其影響程度分為重大缺陷、重要缺陷和一般缺陷。

重大缺陷，是指一個或多個控制缺陷的組合，可能導致企業嚴重偏離控制目標。

重要缺陷，是指一個或多個控制缺陷的組合，其嚴重程度和經濟後果低於重大缺陷，但仍有可能導致企業偏離控制目標。

一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。重大缺陷、重要缺陷和一般缺陷的具體認定標準，由企業根據上述要求自行確定。

第十八條　企業內部控制評價工作組應當建立評價質量交叉覆核制度，評價工作組負責人應當對評價工作底稿進行嚴格審核，並對所認定的評價結果簽字確認後，提交企業內部控制評價部門。

第十九條　企業內部控制評價部門應當編制內部控制缺陷認定匯總表，結合日常監督和專項監督發現的內部控制缺陷及其持續改進情況，對內部控制缺陷及其成因、表現形式和影響程度進行綜合分析和全面覆核，提出認定意見，並以適當的形式向董事會、監事會或者經理層報告。重大缺陷應當由董事會予以最終認定。企業對於認定的重大缺陷，應當及時採取應對策略，切實將風險控制在可承受度之內，並追究有關部門或相關人員的責任。

第五章　內部控制評價報告[編輯]

第二十條　企業應當根據《企業內部控制基本規範》、應用指引和本指引，設計內部控制評價報告的種類、格式和內容，明確內部控制評價報告編製程序和要求，按照規定的權限報經批准後對外報出。

第二十一條　內部控制評價報告應當分別內部環境、風險評估、控制活動、信息與溝通、內部監督等要素進行設計，對內部控制評價過程、內部控制缺陷認定及整改情況、內部控制有效性的結論等相關內容作出披露。

第二十二條　內部控制評價報告至少應當披露下列內容：

（一）董事會對內部控制報告真實性的聲明。

（二）內部控制評價工作的總體情況。

（三）內部控制評價的依據。

（四）內部控制評價的範圍。

（五）內部控制評價的程序和方法。

（六）內部控制缺陷及其認定情況。

（七）內部控制缺陷的整改情況及重大缺陷擬採取的整改措施。

（八）內部控制有效性的結論。

第二十三條　企業應當根據年度內部控制評價結果，結合內部控制評價工作底稿和內部控制缺陷匯總表等資料，按照規定的程序和要求，及時編制內部控制評價報告。

第二十四條內部控制評價報告應當報經董事會或類似權力機構批准後對外披露或報送相關部門。企業內部控制評價部門應當關注自內部控制評價報告基準日至內部控制評價報告發出日之間是否發生影響內部控制有效性的因素，並根據其性質和影響程度對評價結論進行相應調整。

第二十五條　企業內部控制審計報告應當與內部控制評價報告同時對外披露或報送。

第二十六條　企業應當以12月31日作為年度內部控制評價報告的基準日。內部控制評價報告應於基準日後4個月內報出。

第二十七條　企業應當建立內部控制評價工作檔案管理制度。內部控制評價的有關文件資料、工作底稿和證明材料等應當妥善保管。