【文章內(nèi)容簡介】 制評價指引附件1：企業(yè)內(nèi)部控制評價指引（征求意見稿）第一章總 則第一條為規(guī)范企業(yè)內(nèi)部控制評價工作，及時發(fā)現(xiàn)企業(yè)內(nèi)部控制缺陷，提出和實施改進方案，確保內(nèi)部控制有效運行，根據(jù)國家有關(guān)法律法規(guī)和《企業(yè)內(nèi)部控制基本規(guī)范》，制定本指引。第二條本指引適用于中華人民共和國境內(nèi)設(shè)立的大中型企業(yè)。第三條本指引所稱內(nèi)部控制評價，是指由企業(yè)董事會和管理層實施的，對企業(yè)內(nèi)部控制有效性進行評價，形成評價結(jié)論，出具評價報告的過程。內(nèi)部控制有效性是指企業(yè)建立與實施內(nèi)部控制能夠為控制目標的實現(xiàn)提供合理的保證。第四條企業(yè)應(yīng)當根據(jù)國家有關(guān)法律法規(guī)和《企業(yè)內(nèi)部控制基本規(guī)范》的要求，結(jié)合企業(yè)實際情況，對戰(zhàn)略目標、經(jīng)營管理的效率和效果目標、財務(wù)報告及相關(guān)信息真實完整目標、資產(chǎn)安全目標、合法合規(guī)目標等單個或整體控制目標的實現(xiàn)進行評價。第五條企業(yè)實施內(nèi)部控制評價，應(yīng)當遵循下列原則：（一）風險導向原則。內(nèi)部控制評價應(yīng)當以風險評估為基礎(chǔ)，根據(jù)風險發(fā)生的可能性和對企業(yè)單個或整體控制目標造成的影響程度來確定需要評價的重點業(yè)務(wù)單元、重要業(yè)務(wù)領(lǐng)域或流程環(huán)節(jié)。（二）一致性原則。內(nèi)部控制評價應(yīng)當采用統(tǒng)一可比的評價方法和標準，保證評價結(jié)果的可比性。（三）公允性原則。內(nèi)部控制評價應(yīng)當以事實為依據(jù)，評價結(jié)果應(yīng)當有適當?shù)淖C據(jù)支持。（四）獨立性原則。內(nèi)部控制評價機構(gòu)的確定及評價工作的組織實施應(yīng)當保持相應(yīng)的獨立性。（五）成本效益原則。內(nèi)部控制評價應(yīng)當以適當?shù)某杀緦崿F(xiàn)科學有效的評價。第六條企業(yè)董事會及其審計委員會負責領(lǐng)導本企業(yè)的內(nèi)部控制評價工作。監(jiān)事會對董事會實施內(nèi)部控制評價進行監(jiān)督。第七條企業(yè)可以授權(quán)內(nèi)部審計部門負責組織和實施內(nèi)部控制評價工作。具備條件的企業(yè)，可以設(shè)立專門的內(nèi)部控制評價機構(gòu)（以下合稱內(nèi)部控制評價機構(gòu)）。第八條企業(yè)內(nèi)部控制評價，一般包括評價和專項評價。評價是指企業(yè)根據(jù)內(nèi)部控制目標，對企業(yè)某一建立與實施內(nèi)部控制的有效性進行的評價；專項評價是指企業(yè)在特定時點對特定范圍的內(nèi)部控制的有效性進行的評價。第二章內(nèi)部控制評價的內(nèi)容和標準第九條企業(yè)應(yīng)當對與實現(xiàn)整體控制目標相關(guān)的內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督等內(nèi)部控制要素進行全面系統(tǒng)、有針對性的評價。第十條企業(yè)實施內(nèi)部控制評價，包括對內(nèi)部控制設(shè)計有效性和運行有效性的評價。內(nèi)部控制設(shè)計有效性是指為實現(xiàn)控制目標所必需的內(nèi)部控制要素都存在并且設(shè)計恰當；內(nèi)部控制運行有效性是指現(xiàn)有內(nèi)部控制按照規(guī)定程序得到了正確執(zhí)行。第十一條應(yīng)用信息系統(tǒng)加強內(nèi)部控制的企業(yè)，應(yīng)當對信息系統(tǒng)的有效性進行評價，包括信息系統(tǒng)一般控制評價和信息系統(tǒng)應(yīng)用控制評價。一般控制評價應(yīng)當著重考慮與信息系統(tǒng)開發(fā)有關(guān)的信息技術(shù)控制目標、程序變更、計算機運行和對數(shù)據(jù)的接觸是否符合企業(yè)內(nèi)部控制的要求，是否有利于企業(yè)內(nèi)部控制目標的實現(xiàn)，并以此評價信息系統(tǒng)的安全性、可靠性和合理性。應(yīng)用控制評價應(yīng)當結(jié)合企業(yè)業(yè)務(wù)流程特點，著重考慮信息系統(tǒng)中與業(yè)務(wù)流程相關(guān)的控制點，并以此評價相關(guān)應(yīng)用系統(tǒng)操作數(shù)據(jù)的真實性、準確性和合規(guī)性。第十二條企業(yè)應(yīng)當根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》及其應(yīng)用指引的有關(guān)規(guī)定，建立與實施內(nèi)部控制，并以此為依據(jù)和標準組織開展內(nèi)部控制評價工作。第十三條企業(yè)集團對被評價單位內(nèi)部控制的有效性進行評價，應(yīng)當至少涉及下列內(nèi)容：（一）被評價單位內(nèi)部控制是否在風險評估的基礎(chǔ)上涵蓋了企業(yè)層面的風險和所有重要的業(yè)務(wù)流程層面的風險。（二）被評價單位內(nèi)部控制設(shè)計的方法是否適當，內(nèi)部控制建設(shè)的時間進度安排是否科學、階段性工作要求是否合理。（三）被評價單位內(nèi)部控制設(shè)計和運行的組織是否有效，人員配備、職責分工和授權(quán)是否合理。（四）被評價單位是否開展內(nèi)部控制自查并上報有關(guān)自查報告。（五）被評價單位是否建立有利于促進內(nèi)部控制各項政策措施落實和問題整改的機制。（六）被評價單位在評價期間是否出現(xiàn)過重大風險事故等。第三章內(nèi)部控制評價的程序和方法第十四條企業(yè)應(yīng)當按照制定評價方案、實施評價活動、編制評價報告等程序開展內(nèi)部控制評價。第十五條內(nèi)部控制評價機構(gòu)應(yīng)當根據(jù)企業(yè)整體控制目標，制定內(nèi)部控制評價工作方案，明確評價目的、范圍、組織、標準、方法、進度安排和費用預算等內(nèi)容，報管理層和董事會審批。第十六條內(nèi)部控制評價范圍的確定應(yīng)當遵循風險導向、自上而下的原則來確定需要評價的分支機構(gòu)、重要業(yè)務(wù)單元、重點業(yè)務(wù)領(lǐng)域或流程環(huán)節(jié)。第十七條內(nèi)部控制評價機構(gòu)應(yīng)當根據(jù)審批通過的評價方案組織實施內(nèi)部控制評價工作，通過適當?shù)姆椒ㄊ占⒋_認、分析相關(guān)信息，確定與實現(xiàn)整體控制目標相關(guān)的風險及細化控制目標，并在此基礎(chǔ)上辨識與細化控制目標相對應(yīng)的控制活動，然后針對控制活動進行必要的測試，獲取充分、相關(guān)、可靠的證據(jù)對內(nèi)部控制的有效性進行評價，并做出書面記錄。第十八條內(nèi)部控制評估和測試的方法主要包括：（一）個別訪談法。是指企業(yè)根據(jù)檢查評價需要，對被查單位員工進行單獨訪談，以獲取有關(guān)信息。（二）調(diào)查問卷法。是指企業(yè)設(shè)臵問卷調(diào)查表，分別對不同層次的員工進行問卷調(diào)查，根據(jù)調(diào)查結(jié)果對相關(guān)項目作出評價。（三）比較分析法。是指通過分析、比較數(shù)據(jù)間的關(guān)系、趨勢或比率來取得評價證據(jù)的方法。（四）標桿法。是指通過與組織內(nèi)外部相同或相似經(jīng)營活動的最佳實務(wù)進行比較而對控制設(shè)計有效性評價的方法。（五）穿行測試法。是指通過抽取一份全過程的文件，來了解整個業(yè)務(wù)流程執(zhí)行情況的評估評價方法。（六）抽樣法。是指企業(yè)針對具體的內(nèi)部控制業(yè)務(wù)流程，按照業(yè)務(wù)發(fā)生頻率及固有風險的高低，從確定的抽樣總體中抽取一定比例的業(yè)務(wù)樣本，對業(yè)務(wù)樣本的符合性進行判斷，進而對業(yè)務(wù)流程控制運行的有效性作出評價。（七）實地查驗法。是指企業(yè)對財產(chǎn)進行盤點、清查，以及對存貨出、入庫等控制環(huán)節(jié)進行現(xiàn)場查驗。（八）重新執(zhí)行法。是指通過對某一控制活動全過程的重新執(zhí)行來評估控制執(zhí)行情況的方法。（九）專題討論會法。是指通過召集與業(yè)務(wù)流程相關(guān)的管理人員就業(yè)務(wù)流程的特定項目或具體問題進行討論及評估的一種方法。第十九條企業(yè)應(yīng)當根據(jù)通過評估和測試獲取與內(nèi)部控制有效性相關(guān)的證據(jù)，并合理保證證據(jù)的充分性和適當性。證據(jù)的充分性是指獲取證據(jù)的數(shù)量應(yīng)當能合理保證相關(guān)控制的有效；證據(jù)的適當性是指獲取的證據(jù)應(yīng)當與相關(guān)控制的設(shè)計與運行有關(guān)，并能可靠地反映控制的實際運行狀況。第二十條企業(yè)應(yīng)當根據(jù)所收集的證據(jù)，判斷相關(guān)控制的設(shè)計與運行是否有效。企業(yè)在判斷內(nèi)部控制設(shè)計與運行有效性時，應(yīng)當充分考慮下列因素：（一）是否針對風險設(shè)臵了合理的細化控制目標。（二）是否針對細化控制目標設(shè)臵了對應(yīng)的控制活動。（三）相關(guān)控制活動是如何運行的。（四）相關(guān)控制活動是否得到了持續(xù)一致的運行。（五）實施相關(guān)控制活動的人員是否具備必需的權(quán)限和能力。第二十一條 企業(yè)應(yīng)當充分評估下列因素導致內(nèi)部控制失效的風險：（一）控制活動的類型，一般包括人工控制和自動控制、預防性控制和發(fā)現(xiàn)性控制等。（二）控制活動的復雜性，通常與企業(yè)組織結(jié)構(gòu)、市場環(huán)境、經(jīng)營規(guī)模、人員素質(zhì)等相關(guān)。（三）管理層逾越內(nèi)部控制的風險。（四）實施控制活動所需要的職業(yè)判斷的程度。（五）控制活動所針對風險事項的性質(zhì)及其重要性。（六）一項控制活動對其他控制活動有效性的依賴程度。第二十二條企業(yè)應(yīng)當及時記錄開展內(nèi)部控制評價工作的方法和程序，并以適當形式妥善保存相關(guān)證據(jù)。第二十三條內(nèi)部控制評價機構(gòu)應(yīng)當根據(jù)評估結(jié)果和經(jīng)核實的證據(jù)，確認內(nèi)部控制缺陷，出具評價結(jié)論，編制評價報告，報送管理層和董事會審閱。第四章內(nèi)部控制缺陷認定和評價報告第二十四條 企業(yè)在內(nèi)部控制評價中，應(yīng)對內(nèi)部控制缺陷進行分類分析。內(nèi)部控制缺陷一般可分為設(shè)計缺陷和運行缺陷。（一）設(shè)計缺陷是指缺少為實現(xiàn)控制目標所必需的控制，或現(xiàn)存控制設(shè)計不適當、即使正常運行也難以實現(xiàn)控制目標。（二）運行缺陷是指現(xiàn)存設(shè)計完好的控制沒有按設(shè)計意圖運行，或執(zhí)行者沒有獲得必要授權(quán)或缺乏勝任能力以有效地實施控制。第二十五條企業(yè)對內(nèi)部控制評價過程中發(fā)現(xiàn)的問題，應(yīng)當從定量和定性等方面進行衡量，判斷是否構(gòu)成內(nèi)部控制缺陷。存在下列情況之一，企業(yè)應(yīng)當認定內(nèi)部控制存在設(shè)計或運行缺陷：（一）未實現(xiàn)規(guī)定的控制目標。（二）未執(zhí)行規(guī)定的控制活動。（三）突破規(guī)定的權(quán)限。（四）不能及時提供控制運行有效的相關(guān)證據(jù)。第二十六條企業(yè)應(yīng)當根據(jù)內(nèi)部控制缺陷影響整體控制目標實現(xiàn)的嚴重程度，將內(nèi)部控制缺陷分為一般缺陷、重要缺陷和重大缺陷（也稱實質(zhì)性漏洞，以下統(tǒng)稱重大缺陷）。重大缺陷，是指一個或多個一般缺陷的組合，可能嚴重影響內(nèi)部整體控制的有效性，進而導致企業(yè)無法及時防范或發(fā)現(xiàn)嚴重偏離整體控制目標的情形。重要缺陷，是指一個或多個一般缺陷的組合，其嚴重程度低于重大缺陷，但導致企業(yè)無法及時防范或發(fā)現(xiàn)偏離整體控制目標的嚴重程度依然重大，須引起企業(yè)管理層關(guān)注。內(nèi)部控制評價機構(gòu)和管理層應(yīng)當合理確定相關(guān)目標發(fā)生偏差的可容忍水平，從而對嚴重偏離的情形予以確定。第二十七條企業(yè)判斷和認定內(nèi)部控制缺陷是否構(gòu)成重大缺陷，應(yīng)當考慮下列因素：（一）影響整體控制目標實現(xiàn)的多個一般缺陷的組合是否構(gòu)成重大缺陷。（二）針對同一細化控制目標所采取的不同控制活動之間的相互作用。（三）針對同一細化控制目標是否存在其他補償性控制活動。第二十八條企業(yè)應(yīng)當根據(jù)內(nèi)部控制評價過程中發(fā)現(xiàn)的內(nèi)部控制缺陷，督促相關(guān)單位或部門進行整改，并對整改結(jié)果進行核查和確認。第二十九條對于為實現(xiàn)單個或整體控制目標而設(shè)計與運行的控制不存在重大缺陷的情形，企業(yè)應(yīng)當認定針對這些整體控制目標的內(nèi)部控制是有效的。對于為實現(xiàn)某一整體控制目標而設(shè)計與運行的控制存在一個或多個重大缺陷的情形，企業(yè)應(yīng)當認定針對該項整體控制目標的內(nèi)部控制是無效的。第三十條對于因業(yè)務(wù)流程外包等原因造成企業(yè)無法評價特定業(yè)務(wù)、特定流程的內(nèi)部控制有效性的情形，內(nèi)部控制評價機構(gòu)應(yīng)當充分考慮該項業(yè)務(wù)流程及其相關(guān)控制的重要性，確定其對整體控制目標有效性評價的影響。第三十一條企業(yè)應(yīng)當結(jié)合年末控制缺陷的整改結(jié)果，編制內(nèi)部控制評價報告。內(nèi)部控制評價報告至少應(yīng)當包括下列內(nèi)容：（一）內(nèi)部控制評價的目的和責任主體。（二）內(nèi)部控制評價的內(nèi)容和所依據(jù)的標準。（三）內(nèi)部控制評價的程序和所采用的方法。（四）衡量重大缺陷嚴重偏離的定義，以及確定嚴重偏離的方法。（五）被評估的內(nèi)部控制整體目標是否有效的結(jié)論。（六）被評估的內(nèi)部控制整體目標如果無效，存在的重大缺陷及其可能的影響。（七）造成重大缺陷的原因及相關(guān)責任人。（八）所有在評估過程中發(fā)現(xiàn)的控制缺陷，以及針對這些缺陷的補救措施及補救措施的實施計劃等。第三十二條企業(yè)可以根據(jù)被評估的整體控制目標的不同，適當調(diào)整評價報告的內(nèi)容。企業(yè)應(yīng)當在評價報告中明確財務(wù)報表日之后截至內(nèi)部控制評價日發(fā)生的、可能影響財務(wù)報告控制目標有效性的所有重大變化。第三十三條企業(yè)應(yīng)當定期對內(nèi)部控制整體有效性進行評價、出具評價報告，并向董事會、監(jiān)事會和管理層報告內(nèi)部控制設(shè)計與運行環(huán)節(jié)存在的主要問題以及將要采取的整改措施。第三十四條企業(yè)應(yīng)當將內(nèi)部控制評價報告作為進一步完善內(nèi)部控制、提高經(jīng)營管理水平和風險防范能力的重要依據(jù)。企業(yè)對于內(nèi)部控制評價報告中列示的問題，應(yīng)當采取適當?shù)拇胧┻M行改進，并追究相關(guān)人員的責任。企業(yè)管理層和董事會應(yīng)當根據(jù)評價結(jié)論對相關(guān)單位、部門或人員實施適當?shù)莫剟詈蛻徒?。第五章?則第三十五條 本指引由中華人民共和國財政部會同國務(wù)院其他有關(guān)部門解釋。第三十六條 本指引的實施細