企业内部控制评价指引第一节企业内部控制评价指引的概念一、企业内部控制评价指引的目的及依据为了促进企业全面评价内部控制的设计与运行情况，规范内部控制评价程序和评价报告，揭示和防范风险，根据有关法律法规和《企业内部控制——基本规范》，制定本指引。

二、企业内部控制评价指引的基本目标及原则本指引所称内部控制评价，是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。

企业应当根据本评价指引，结合内部控制设计与运行的实际情况，制定具体的内部控制评价办法，规定评价的原则、内容、程序、方法和报告形式等，明确相关机构或岗位的职责权限，落实责任制，按照规定的办法、程序和要求，有序开展内部控制评价工作。

企业董事会应当对内部控制评价报告的真实性负责。

企业实施内部控制评价至少应当遵循下列原则：（一）全面性原则。

评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。

（二）重要性原则。

评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。

（三）客观性原则。

评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。

三、内部控制评价的重用作用在企业内部控制实务中，内部控制评价是极为重要的一环。

《企业内部控制基本规范》及配套指引，在保持框架大体一致的前提下，立足中国经济、社会、文化及管理的现实，进行了一系列改进，较世界主要市场经济体的通行做法，又有很多适应我国社会主义市场经济发展要求的特色。

无论是制度要求的口径和范围，还是具体要素和业务活动的内容及相互关系中均加入了与中国企业相适应的条例。

《企业内部控制评价指引》的制定发布，为企业开展内部控制自我评价提供了一个共同遵循的标准，为参与国际竞争的中国企业在内部控制建设方面提供了自律性要求，有利于提高投资者、社会公众乃至国际资本市场对中国企业素质的信任度。

第二节内部控制评价的内容评价指引对内部控制评价内容的有关规定，是我国内部控制规范体系建设的一大创新。

企业应当根据《企业内部控制基本规范》、应用指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。

在发达市场经济国家或地区，内部控制评价通行做法是要求企业对与财务报告相关的内部控制有效性进行自我评价。

我国内部控制评价指引则在此基础上更进一步，还进一步要求企业根据基本规范、应用指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，对内部控制有效性进行全面评价，包括财务报告内部控制有效性和非财务报告内部控制有效性。

这一模式从根本上改变了内控制度的执行对下不对上的问题，将内控成为从上至下相互制约的主体，因而得到了国内企业董事长和总会计师的广泛认可和好评。

内部控制评价真正抓住了企业“一把手”关心重视的焦点，最大限度地释放了内部控制的作用和效力。

一、内部控制评价——环境企业组织开展内部环境评价，应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据，结合本企业的内部控制制度，对内部环境的设计及实际运行情况进行认定和评价。

强有力的组织领导体制是内部控制评价工作能否有效实施的基本保证。

企业组织开展控制活动评价，应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据，结合本企业的内部控制制度，对相关控制措施的设计和运行情况进行认定和评价。

内部控制评价工作对大多数国内企业而言仍是新生事物，为切实指导企业做好该项工作，评价指引专门就内部控制评价的组织领导体制作出明确要求，具体的要求包括：1.授权审批内部控制基本规范及评价指引要求企业授权内部审计机构或者其他专门机构作为内部控制评价机构，负责内部控制评价的具体组织实施工作，即为企业内部控制评价工作的开展设置了专门的职能机构。

同时，为了确保内部控制评价机构职能的有效发挥，内部控制基本规范及评价指引要求内部控制评价机构必须具备一定的设置条件：（1）具有相对独立性。

能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力；（2）胜任能力的要求。

授权内部审计机构或者其他专门机构应具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养；（3）协调与制约。

授权内部审计机构或者其他专门机构与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致，在工作中相互配合、相互制约，在效率上满足企业对内部控制系统进行监督与评价所提出的有关要求；（4）支持与监督。

授权内部审计机构或者其他专门机构能够得到企业董事会和经理层的支持，通常直接接受董事会及其审计委员会的领导和监事会的监督，有足够的权威性来保证内部控制评价工作的顺利开展。

2.职责分工在设置内部控制评价机构的基础上，还要求企业成立专门的评价工作组，接受内部控制评价机构的领导，具体承担内部控制评价工作的组织。

（1）评价指引要求内部控制评价机构根据经批准的评价方案，挑选具备独立性、业务胜任能力和职业道德素养的评价人员，组成评价工作组，具体实施内部控制评价工作。

（2）评价工作组成员应当吸收企业内部相关机构熟悉情况的业务骨干参加。

实施评价工作前，评价人员需要接受相关培训，培训内容一般包括内部控制专业知识及相关规章制度、评价工作流程、检查评价方法、工作底稿填写要求、缺陷认定标准、评价人员的权利与义务及评价中需重点关注的问题等。

通过内部控制职能机构和评价工作组这种矩阵式的组织设置，可以有效促进内部控制评价工作的开展。

二、内部控制评价——风险评估机制企业组织开展风险评估机制评价，应当以《企业内部控制基本规范》有关风险评估的要求，以及各项应用指引中所列主要风险为依据，结合本企业的内部控制制度，对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。

风险评估，作为内部控制的组成部分，与计划、程序或其他管理层认为必要来处理风险的行为是有区别的。

这些行为，如同前面所讨论的，是更大范围管理过程的一部分，而非内控系统的组成部分。

与管理风险的行动联系在一起的，是确立程序使管理层能对这些行动的执行和效果予以追踪。

例如，企业一项用于防范电脑服务损失风险的措施就是制定一个系统灾难恢复计划。

然后实施相应的程序以确保计划制定和执行适当。

内部控制评价就是要评价风险评估是否能将企业所面临的风险因素进行评估，确定必要的风险防范机制。

风险分析并非只是理论上的。

它通常对企业的成功很重要。

当它涵盖了所有重大业务过程中的风险识别时，最为有效。

它可能涉及过程分析，主要依赖方面和关键控制点的识别、确定明晰的职责。

有效的过程分析特别关注组织内的横向关联，对例如数据的来源、储存、如何转化为有用信息和谁使用这些信息加以识别确认。

大型组织特别需要警惕公司内部和公司之间的交易和主要关联。

评价风险评估的的有效性，有助于企业的风险规避与防范。

评估者会重点关注管理层设立目标、风险分析和应对变化的过程，包括它们的联系和与业务活动的相关性。

下面所列的是评估者可能会考虑的事项。

这一列示并非涵盖了全部，也不是对每个企业都适用；但是，可以作为一个起点。

1.企业层面目标企业层面目标对企业需要实现什么提供充分广泛声明和指导，且足够明确并直接与本企业相关。

（1）企业层面目标向雇员和董事会传递的有效性。

（2）企业层面目标和企业策略的相关性和一致性。

（3）企业计划和预算与企业层面目标、战略规划和现时条件的一致性。

2.操作层面目标（1）操作层面目标和企业层面目标以及战略规划之间的联系。

（2）操作层面目标之间的一致性。

（3）操作层面目标与所有重大业务流程的相关性。

（4）操作层面目标的专属性。

（5）与目标相关的资源的充分性。

识别对实现企业层面目标的重要目标（关键成功因素）。

各级管理层对制定目标的参与及其对于目标的义务。

三、内部控制评价——控制活动企业组织开展控制活动评价，应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据，结合本企业的内部控制制度，对相关控制措施的设计和运行情况进行认定和评价。

控制活动包括政策和程序，是人们执行政策的行为，用以保证管理层进行风险管理的必要指示得以执行。

控制活动依据与之相关目标的性质可分为三类：经营性，财务报告，或遵循性。

虽然一些控制活动仅与某一方面有关，但是控制活动之间常常是相互联系的。

根据情况的不同，一项特定的控制活动可能有助于实现企业不止一类的目标。

因此，经营控制也可能有助于保证可靠的财务报告，财务报告控制也可能对遵循性目标产生影响。

在风险评估同时，管理层为了管理风险，应确定相应的行动并使之有效。

被确定用于管理风险的行动也用于重点关注控制活动是否已经到位，以有助于确保正确、及时地执行这些行动。

控制活动很大程度上是企业尽力实现其商业目标的过程的一部分。

控制活动不单纯出于自身的原因或因为它看上去是“正确的应该”去做的事。

在此例中，管理层需要采取步骤以保证销售目标得以实现。

控制活动是用于管理目标实现的机制。

这些行为可能包括跟踪既定时间段的客户购买历史发展的过程，以及确保报告数据准确性的措施。

在此意义上，控制直接进入了管理过程。

必须按照管理层针对企业每项重要业务的既定目标而做出的风险管理的指示，对控制活动进行评估。

因此，评估者将考虑控制活动是否与风险评估过程相关，以及它们是否恰当地保证了管理层的指示得以实施。

这种评估将针对每项重大的业务活动，包括对计算机信息系统的一般性控制。

评估者将不仅考虑确定的控制活动是否与风险估计过程相关，而且还考虑它们的应用是否正确。

四、内部控制评价——信息与沟通企业组织开展信息与沟通评价，应当以内部信息传递、财务报告、信息系统等相关应用指引为依据，结合本企业的内部控制制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价。

评估者会考虑信息和沟通系统对企业需要的恰当性。

下面所列出的事项是人们会考虑到的。

但列出的并不是全部，也不是对每个企业都适用，然而，这些可以作为一个起点。

（一）信息（1）获取外部与内部的信息，向管理层提供与确定目标相关的、关于企业业绩的必要的报告。

（2）及时向相应的人提供详细的信息，使他们能有效地行使自己的职责。

（3）与企业的整体战略联系在一起，根据信息系统的战略性计划来发展或修改信息系统，并对企业层面和行为层面的目标作出反应。

（4）管理层对于必要的信息系统的支持要由相应资源——人力和财务——的运用来证明。

（二）沟通（1）在沟通员工职责与控制责任时的有效性。

（2）为人们报告可疑的不正当行为建立沟通的渠道。

（3）管理层对员工所建议的提高产量、质量以及类似改进的方法的接受性。