《企业内部控制评价指引》

附件1：

企业内部控制评价指引

（征求意见稿）

第一章总则

第一条为规范企业内部控制评价工作，及时发现企业内部控制缺陷，提出和实施改进方案，确保内部控制有效运行，根据国家有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条本指引适用于中华人民共和国境内设立的大中型企业。

第三条本指引所称内部控制评价，是指由企业董事会和管理层实施的，对企业内部控制有效性进行评价，形成评价结论，出具评价报告的过程。

内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。

第四条企业应当根据国家有关法律法规和《企业内部控制基本规范》的要求，结合企业实际情况，对战略目标、经营管理的效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。

第五条企业实施内部控制评价，应当遵循下列原则：

（一）风险导向原则。内部控制评价应当以风险评估为基础，根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。

（二）一致性原则。内部控制评价应当采用统一可比的评价方法和标准，保证评价结果的可比性。

（三）公允性原则。内部控制评价应当以事实为依据，评价结果应当有适当的证据支持。

（四）独立性原则。内部控制评价机构的确定及评价工作的组织实施应当保持相应的独立性。

（五）成本效益原则。内部控制评价应当以适当的成本实现科学有效的评价。

第六条企业董事会及其审计委员会负责领导本企业的内部控制评价工作。监事会对董事会实施内部控制评价进行监督。

第七条企业可以授权内部审计部门负责组织和实施内部控制评价工作。具备条件的企业，可以设立专门的内部控制评价机构（以下合称内部控制评价机构）。

第八条企业内部控制评价，一般包括年度评价和专项评价。

年度评价是指企业根据内部控制目标，对企业某一年度建立与实施内部控制的有效性进行的评价；专项评价是指企业在特定时点对特定范围的内部控制的有效性进行的评价。

第二章内部控制评价的内容和标准

第九条企业应当对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针对性的评价。

第十条企业实施内部控制评价，包括对内部控制设计有效性和运行有效性的评价。

内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。

第十一条应用信息系统加强内部控制的企业，应当对信息系统的有效性进行评价，包括信息系统一般控制评价和信息系统应用控制评价。

一般控制评价应当着重考虑与信息系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求，是否有利于企业内部控制目标的实现，并以此评价信息系统的安全性、可靠性和合理性。

应用控制评价应当结合企业业务流程特点，着重考虑信息系统中与业务流程相关的控制点，并以此评价相关应用系统操作数据的真实性、准确性和合规性。

第十二条企业应当根据《企业内部控制基本规范》及其应用指引的有关规定，建立与实施内部控制，并以此为依据和标准组织开展内部控制评价工作。

第十三条企业集团对被评价单位内部控制的有效性进行评价，应当至少涉及下列内容：

（一）被评价单位内部控制是否在风险评估的基础上涵盖了企业层面的风险和所有重要的业务流程层面的风险。

（二）被评价单位内部控制设计的方法是否适当，内部控制建设的时间进度安排是否科学、阶段性工作要求是否合理。

（三）被评价单位内部控制设计和运行的组织是否有效，人员配备、职责分工和授权是否合理。

（四）被评价单位是否开展内部控制自查并上报有关自查报告。

（五）被评价单位是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。

（六）被评价单位在评价期间是否出现过重大风险事故等。

第三章内部控制评价的程序和方法

第十四条企业应当按照制定评价方案、实施评价活动、编制评价报告等程序开展内部控制评价。

第十五条内部控制评价机构应当根据企业整体控制目标，制定内部控制评价工作方案，明确评价目的、范围、组织、标准、方法、进度安排和费用预算等内容，报管理层和董事会审批。

第十六条内部控制评价范围的确定应当遵循风险导向、自上而下的原则来确定需要评价的分支机构、重要业务单元、重点业务领域或流程环节。

第十七条内部控制评价机构应当根据审批通过的评价方案组织实施内部控制评价工作，通过适当的方法收集、确认、分析相关信息，确定与实现整体控制目标相关的风险及细化控制目标，并在此基础上辨识与细化控制目标相对应的控制活动，然后针对控制活动进行必要的测试，获取充分、相关、可靠的证据对内部控制的有效性进行评价，并做出书面记录。

第十八条内部控制评估和测试的方法主要包括：

（一）个别访谈法。是指企业根据检查评价需要，对被查单位员工进行单独访谈，以获取有关信息。

（二）调查问卷法。是指企业设置问卷调查表，分别对不同层次的员工进行问卷调查，根据调查结果对相关项目作出评价。

（三）比较分析法。是指通过分析、比较数据间的关系、趋势或比率来取得评价证据的方法。

（四）标杆法。是指通过与组织内外部相同或相似经营活动的最佳实务进行比较而对控制设计有效性评价的方法。

（五）穿行测试法。是指通过抽取一份全过程的文件，来了解整个业务流程执行情况的评估评价方法。

（六）抽样法。是指企业针对具体的内部控制业务流程，按照业务发生频率及固有风险的高低，从确定的抽样总体中抽取一定比例的业务样本，对业务样本的符合性进行判断，进而对业务流程控制运行的有效性作出评价。

（七）实地查验法。是指企业对财产进行盘点、清查，以及对存货出、入库等控制环节进行现场查验。

（八）重新执行法。是指通过对某一控制活动全过程的重新执行来评估控制执行情况的方法。

（九）专题讨论会法。是指通过召集与业务流程相关的管理人员就业务流程的特定项目或具体问题进行讨论及评估的一种方法。

第十九条企业应当根据通过评估和测试获取与内部控制有效性相关的证据，并合理保证证据的充分性和适当性。

证据的充分性是指获取证据的数量应当能合理保证相关控制的有效；证据的适当性是指获取的证据应当与相关控

制的设计与运行有关，并能可靠地反映控制的实际运行状况。

第二十条企业应当根据所收集的证据，判断相关控制的设计与运行是否有效。企业在判断内部控制设计与运行有效性时，应当充分考虑下列因素:

（一）是否针对风险设置了合理的细化控制目标。

（二）是否针对细化控制目标设置了对应的控制活动。

（三）相关控制活动是如何运行的。

（四）相关控制活动是否得到了持续一致的运行。

（五）实施相关控制活动的人员是否具备必需的权限和能力。

第二十一条企业应当充分评估下列因素导致内部控制失效的风险：

（一）控制活动的类型，一般包括人工控制和自动控制、预防性控制和发现性控制等。

（二）控制活动的复杂性，通常与企业组织结构、市场环境、经营规模、人员素质等相关。

（三）管理层逾越内部控制的风险。

（四）实施控制活动所需要的职业判断的程度。

（五）控制活动所针对风险事项的性质及其重要性。

（六）一项控制活动对其他控制活动有效性的依赖程度。

第二十二条企业应当及时记录开展内部控制评价工作的方法和程序，并以适当形式妥善保存相关证据。

第二十三条内部控制评价机构应当根据评估结果和经核实的证据，确认内部控制缺陷，出具评价结论，编制评价报告，报送管理层和董事会审阅。

第四章内部控制缺陷认定和评价报告

第二十四条企业在内部控制评价中，应对内部控制缺陷进行分类分析。内部控制缺陷一般可分为设计缺陷和运行缺陷。

（一）设计缺陷是指缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。

（二）运行缺陷是指现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。

第二十五条企业对内部控制评价过程中发现的问题，应当从定量和定性等方面进行衡量，判断是否构成内部控制缺陷。

存在下列情况之一，企业应当认定内部控制存在设计或运行缺陷：

（一）未实现规定的控制目标。

（二）未执行规定的控制活动。

（三）突破规定的权限。

（四）不能及时提供控制运行有效的相关证据。

第二十六条企业应当根据内部控制缺陷影响整体控制目标实现的严重程度，将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷（也称实质性漏洞，以下统称重大缺陷）。

重大缺陷，是指一个或多个一般缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。

重要缺陷，是指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大，须引起企业管理层关注。

内部控制评价机构和管理层应当合理确定相关目标发生偏差的可容忍水平，从而对严重偏离的情形予以确定。

第二十七条企业判断和认定内部控制缺陷是否构成重大缺陷，应当考虑下列因素：

（一）影响整体控制目标实现的多个一般缺陷的组合是否构成重大缺陷。

（二）针对同一细化控制目标所采取的不同控制活动之间的相互作用。

（三）针对同一细化控制目标是否存在其他补偿性控制活动。

第二十八条企业应当根据内部控制评价过程中发现的内部控制缺陷，督促相关单位或部门进行整改，并对整改结果进行核查和确认。

第二十九条对于为实现单个或整体控制目标而设计与运行的控制不存在重大缺陷的情形，企业应当认定针对这些整体控制目标的内部控制是有效的。

对于为实现某一整体控制目标而设计与运行的控制存在一个或多个重大缺陷的情形，企业应当认定针对该项整体控制目标的内部控制是无效的。

第三十条对于因业务流程外包等原因造成企业无法评价特定业务、特定流程的内部控制有效性的情形，内部控制评价机构应当充分考虑该项业务流程及其相关控制的重要性，确定其对整体控制目标有效性评价的影响。

第三十一条企业应当结合年末控制缺陷的整改结果，编制年度内部控制评价报告。

内部控制评价报告至少应当包括下列内容：

（一）内部控制评价的目的和责任主体。

（二）内部控制评价的内容和所依据的标准。

（三）内部控制评价的程序和所采用的方法。

（四）衡量重大缺陷严重偏离的定义，以及确定严重偏离的方法。

（五）被评估的内部控制整体目标是否有效的结论。

（六）被评估的内部控制整体目标如果无效，存在的重大缺陷及其可能的影响。

（七）造成重大缺陷的原因及相关责任人。

（八）所有在评估过程中发现的控制缺陷，以及针对这些缺陷的补救措施及补救措施的实施计划等。

第三十二条企业可以根据被评估的整体控制目标的不同，适当调整评价报告的内容。

企业应当在评价报告中明确财务报表日之后截至内部控制评价日发生的、可能影响财务报告控制目标有效性的所有重大变化。

第三十三条企业应当定期对内部控制整体有效性进行评价、出具评价报告，并向董事会、监事会和管理层报告内部控制设计与运行环节存在的主要问题以及将要采取的整改措施。

第三十四条企业应当将内部控制评价报告作为进一步完善内部控制、提高经营管理水平和风险防范能力的重要依据。

企业对于内部控制评价报告中列示的问题，应当采取适当的措施进行改进，并追究相关人员的责任。

企业管理层和董事会应当根据评价结论对相关单位、部门或人员实施适当的奖励和惩戒。

第五章附则

第三十五条本指引由中华人民共和国财政部会同国务院其他有关部门解释。

第三十六条本指引的实施细则由中华人民共和国财政部会同国务院其他有关部门另行制定。第三十七条本指引自

年月日起施行。