附件1：

企业内部控制评价指引

（征求意见稿）

第一章  总 则

第一条  为规范企业内部控制评价工作，及时发现企业内部控制缺陷，提出和实施改进方案，确保内部控制有效运行，根据国家有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条  本指引适用于中华人民共和国境内设立的大中型企业。

第三条  本指引所称内部控制评价，是指由企业董事会和管理层实施的，对企业内部控制有效性进行评价，形成评价结论，出具评价报告的过程。

内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。

第四条  企业应当根据国家有关法律法规和《企业内部控制基本规范》的要求，结合企业实际情况，对战略目标、经营管理的效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。

第五条  企业实施内部控制评价，应当遵循下列原则：

（一）风险导向原则。内部控制评价应当以风险评估为基础，根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。

（二）一致性原则。内部控制评价应当采用统一可比的评价方法和标准，保证评价结果的可比性。

（三）公允性原则。内部控制评价应当以事实为依据，评价结果应当有适当的证据支持。

（四）独立性原则。内部控制评价机构的确定及评价工作的组织实施应当保持相应的独立性。

（五）成本效益原则。内部控制评价应当以适当的成本实现科学有效的评价。

第六条  企业董事会及其审计委员会负责领导本企业的内部控制评价工作。监事会对董事会实施内部控制评价进行监督。

第七条  企业可以授权内部审计部门负责组织和实施内部控制评价工作。具备条件的企业，可以设立专门的内部控制评价机构（以下合称内部控制评价机构）。

第八条  企业内部控制评价，一般包括年度评价和专项评价。

年度评价是指企业根据内部控制目标，对企业某一年度建立与实施内部控制的有效性进行的评价；专项评价是指企业在特定时点对特定范围的内部控制的有效性进行的评价。

第二章  内部控制评价的内容和标准

第九条  企业应当对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针对性的评价。

第十条  企业实施内部控制评价，包括对内部控制设计有效性和运行有效性的评价。

内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。

第十一条  应用信息系统加强内部控制的企业，应当对信息系统的有效性进行评价，包括信息系统一般控制评价和信息系统应用控制评价。

一般控制评价应当着重考虑与信息系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求，是否有利于企业内部控制目标的实现，并以此评价信息系统的安全性、可靠性和合理性。

应用控制评价应当结合企业业务流程特点，着重考虑信息系统中与业务流程相关的控制点，并以此评价相关应用系统操作数据的真实性、准确性和合规性。

第十二条  企业应当根据《企业内部控制基本规范》及其应用指引的有关规定，建立与实施内部控制，并以此为依据和标准组织开展内部控制评价工作。

第十三条  企业集团对被评价单位内部控制的有效性进行评价，应当至少涉及下列内容：

（一）被评价单位内部控制是否在风险评估的基础上涵盖了企业层面的风险和所有重要的业务流程层面的风险。

（二）被评价单位内部控制设计的方法是否适当，内部控制建设的时间进度安排是否科学、阶段性工作要求是否合理。

（三）被评价单位内部控制设计和运行的组织是否有效，人员配备、职责分工和授权是否合理。

（四）被评价单位是否开展内部控制自查并上报有关自查报告。

（五）被评价单位是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。

（六）被评价单位在评价期间是否出现过重大风险事故等。

第三章  内部控制评价的程序和方法

第十四条  企业应当按照制定评价方案、实施评价活动、编制评价报告等程序开展内部控制评价。

第十五条  内部控制评价机构应当根据企业整体控制目标，制定内部控制评价工作方案，明确评价目的、范围、组织、标准、方法、进度安排和费用预算等内容，报管理层和董事会审批。

第十六条  内部控制评价范围的确定应当遵循风险导向、自上而下的原则来确定需要评价的分支机构、重要业务单元、重点业务领域或流程环节。

第十七条  内部控制评价机构应当根据审批通过的评价方案组织实施内部控制评价工作，通过适当的方法收集、确认、分析相关信息，确定与实现整体控制目标相关的风险及细化控制目标，并在此基础上辨识与细化控制目标相对应的控制活动，然后针对控制活动进行必要的测试，获取充分、相关、可靠的证据对内部控制的有效性进行评价，并做出书面记录。

第十八条  内部控制评估和测试的方法主要包括：

（一）个别访谈法。是指企业根据检查评价需要，对被查单位员工进行单独访谈，以获取有关信息。

（二）调查问卷法。是指企业设置问卷调查表，分别对不同层次的员工进行问卷调查，根据调查结果对相关项目作出评价。

（三）比较分析法。是指通过分析、比较数据间的关系、趋势或比率来取得评价证据的方法。

（四）标杆法。是指通过与组织内外部相同或相似经营活动的最佳实务进行比较而对控制设计有效性评价的方法。

（五）穿行测试法。是指通过抽取一份全过程的文件，来了解整个业务流程执行情况的评估评价方法。

（六）抽样法。是指企业针对具体的内部控制业务流程，按照业务发生频率及固有风险的高低，从确定的抽样总体中抽取一定比例的业务样本，对业务样本的符合性进行判断，进而对业务流程控制运行的有效性作出评价。

（七）实地查验法。是指企业对财产进行盘点、清查，以及对存货出、入库等控制环节进行现场查验。

（八）重新执行法。是指通过对某一控制活动全过程的重新执行来评估控制执行情况的方法。

（九）专题讨论会法。是指通过召集与业务流程相关的管理人员就业务流程的特定项目或具体问题进行讨论及评估的一种方法。

第十九条  企业应当根据通过评估和测试获取与内部控制有效性相关的证据，并合理保证证据的充分性和适当性。

证据的充分性是指获取证据的数量应当能合理保证相关控制的有效；证据的适当性是指获取的证据应当与相关控制的设计与运行有关，并能可靠地反映控制的实际运行状况。

第二十条  企业应当根据所收集的证据，判断相关控制的设计与运行是否有效。企业在判断内部控制设计与运行有效性时，应当充分考虑下列因素：

（一）是否针对风险设置了合理的细化控制目标。

（二）是否针对细化控制目标设置了对应的控制活动。

（三）相关控制活动是如何运行的。

（四）相关控制活动是否得到了持续一致的运行。

（五）实施相关控制活动的人员是否具备必需的权限和能力。

第二十一条  企业应当充分评估下列因素导致内部控制失效的风险：

（一）控制活动的类型，一般包括人工控制和自动控制、预防性控制和发现性控制等。

（二）控制活动的复杂性，通常与企业组织结构、市场环境、经营规模、人员素质等相关。

（三）管理层逾越内部控制的风险。

（四）实施控制活动所需要的职业判断的程度。

（五）控制活动所针对风险事项的性质及其重要性。

（六）一项控制活动对其他控制活动有效性的依赖程度。

第二十二条  企业应当及时记录开展内部控制评价工作的方法和程序，并以适当形式妥善保存相关证据。

第二十三条  内部控制评价机构应当根据评估结果和经核实的证据，确认内部控制缺陷，出具评价结论，编制评价报告，报送管理层和董事会审阅。