企業內部控制評價指引

（2010年4月15日財政部 證監會 審計署 銀監會 保監會財會〔2010〕11號）

為了促進企業建立、實施和評價內部控制，規範會計師事務所內部控制審計行為，根據國家有關法律法規和《企業內部控制基本規範》（財會〔2008〕7號），財政部會同證監會、審計署、銀監會、保監會制定了《企業內部控制套用指引第1號——組織架構》等18項套用指引、《企業內部控制評價指引》和《企業內部控制審計指引》（以下簡稱企業內部控制配套指引），現予印發，自2011年1月1日起在境內外同時上市的公司施行，自2012年1月1日起在上海證券交易所、深圳證券交易所主機板上市公司施行；在此基礎上，擇機在中小板和創業板上市公司施行。鼓勵非上市大中型企業提前執行。請各上市公司及相關非上市大中型企業切實做好執行前的各項準備工作。

執行《企業內部控制基本規範》及企業內部控制配套指引的上市公司和非上市大中型企業，應當對內部控制的有效性進行自我評價，披露年度自我評價報告，同時應當聘請會計師事務所對財務報告內部控制的有效性進行審計並出具審計報告。上市公司聘請的會計師事務所應當具有證券、期貨業務資格；非上市大中型企業聘請的會計師事務所也可以是不具有證券、期貨業務資格的大中型會計師事務所。

執行中有何問題，請及時反饋我們。

附屬檔案：1.企業內部控制套用指引

2.企業內部控制評價指引

3.企業內部控制審計指引

財政部 證監會 審計署 銀監會保監會

二○一○年四月十五日

為了促進企業全面評價內部控制的設計與運行情況，規範內部控制評價程式和評價報告，揭示和防範風險，根據有關法律法規和《企業內部控制基本規範》，制定本指引。

本指引所稱內部控制評價，是指企業董事會或類似權利機構對內部控制的有效性進行全面評價、形成評價結論、出具評價報告的過程。

企業實施內部控制評價至少應當遵循下列原則：

（一）全面性原則。評價工作應當包括內部控制的設計與運行，涵蓋企業及其所屬單位的各種業務和事項。

（二）重要性原則。評價工作應當在全面評價的基礎上，關注重要業務單位、重大業務事項和高風險領域。

（三）客觀性原則。評價工作應當準確地揭示經營管理的風險狀況，如實反映內部控制設計與運行的有效性。

企業應當根據本評價指引，結合內部控制設計與運行的實際情況，制定具體的內部控制評價辦法，規定評價的原則、內容、程式、方法和報告形式等，明確相關機構或崗位的職責許可權，落實責任制，按照規定的辦法、程式和要求，有序開展內部控制評價工作。

企業董事會應當對內部控制評價報告的真實性負責。

企業應當根據《企業內部控制基本規範》、套用指引以及本企業的內部控制制度，圍繞內部環境、風險評估、控制活動、信息與溝通、內部監督等要素，確定內部控制評價的具體內容，對內部控制設計與運行情況進行全面評價。

企業組織開展內部環境評價，應當以組織架構、發展戰略、人力資源、企業文化、社會責任等套用指引為依據，結合本企業的內部控制制度，對內部環境的設計及實際運行情況進行認定和評價。

企業組織開展風險評估機制評價，應當以《企業內部控制基本規範》有關風險評估的要求，以及各項套用指引中所列主要風險為依據，結合本企業的內部控制制度，對日常經營管理過程中的風險識別、風險分析、應對策略等進行認定和評價。

企業組織開展控制活動評價，應當以《企業內部控制基本規範》和各項套用指引中的控制措施為依據，結合本企業的內部控制制度，對相關控制措施的設計和運行情況進行認定和評價。

企業組織開展信息與溝通評價，應當以內部信息傳遞、財務報告、信息系統等相關套用指引為依據，結合本企業的內部控制制度，對信息收集、處理和傳遞的及時性、反舞弊機制的健全性、財務報告的真實性、信息系統的安全性，以及利用信息系統實施內部控制的有效性等進行認定和評價。

企業組織開展內部監督評價，應當以《企業內部控制基本規範》有關內部監督的要求，以及各項套用指引中有關日常管控的規定為依據，結合本企業的內部控制制度，對內部監督機制的有效性進行認定和評價，重點關注監事會、審計委員會、內部審計機構等是否在內部控制設計和運行中有效發揮監督作用。

內部控制評價工作應當形成工作底稿，詳細記錄企業執行評價工作的內容，包括評價要素、主要風險點、採取的控制措施、有關證據資料以及認定結果等。

評價工作底稿應當設計合理、證據充分、簡便易行、便於操作。

企業應當按照內部控制評價辦法規定的程式，有序開展內部控制評價工作。

內部控制評價程式一般包括：制定評價工作方案、組成評價工作組、實施現場測試、認定控制缺陷、匯總評價結果、編報評價報告等環節。

企業可以授權內部審計部門或專門機構（下稱“內部控制評價部門”）負責內部控制評價的具體組織實施工作。

企業內部控制評價部門應當擬訂評價工作方案，明確評價範圍、工作任務、人員組織、進度安排和費用預算等相關內容，報經董事會或其授權機構審批後實施。

企業內部控制評價部門應當根據經批准的評價方案，組成內部控制評價工作組，具體實施內部控制評價工作。評價工作組應當吸收企業內部相關機構熟悉情況的業務骨幹參加。

評價工作組成員對本部門的內部控制評價工作應當實行迴避制度。

企業可以委託中介機構實施內部控制評價。為企業提供內部控制審計服務的會計師事務所，不得同時為同一企業提供內部控制評價服務。

內部控制評價工作組應當對被評價單位進行現場測試，綜合運用個別訪談、調查問卷、專題討論、穿行測試、實地查驗、抽樣和比較分析等方法，充分收集被評價單位內部控制設計和運行是否有效的證據，按照評價的具體內容，如實填寫評價工作底稿，研究分析內部控制缺陷。

內部控制缺陷包括設計缺陷和運行缺陷。企業對內部控制缺陷的認定，應當以日常監督和專項監督為基礎，結合年度內部控制評價，由內部控制評價部門進行綜合分析後提出認定意見，按照規定的許可權和程式進行審核後予以最終認定。

企業在日常監督、專項監督和年度評價工作中，應當充分發揮內部控制評價工作組的作用。內部控制評價工作組應當根據現場測試獲取的證據，對內部控制缺陷進行初步認定，並按其影響程度分為重大缺陷、重要缺陷和一般缺陷。

重大缺陷，是指一個或多個控制缺陷的組合，可能導致企業嚴重偏離控制目標。

重要缺陷，是指一個或多個控制缺陷的組合，其嚴重程度和經濟後果低於重大缺陷，但仍有可能導致企業偏離控制目標。

一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。

重大缺陷、重要缺陷和一般缺陷的具體認定標準，由企業根據上述要求自行確定。

企業內部控制評價工作組應當建立評價質量交叉覆核制度，評價工作組負責人應當對評價工作底稿進行嚴格審核，並對所認定的評價結果簽字確認後，提交企業內部控制評價部門。

企業內部控制評價部門應當編制內部控制缺陷認定匯總表，結合日常監督和專項監督發現的內部控制缺陷及其持續改進情況，對內部控制缺陷及其成因、表現形式和影響程度進行綜合分析和全面覆核，提出認定意見，並以適當的形式向董事會、監事會或者經理層報告。重大缺陷應當由董事會予以最終認定。

企業對於認定的重大缺陷，應當及時採取應對策略，切實將風險控制在可承受度之內，並追究有關部門或相關人員的責任。

企業應當根據《企業內部控制基本規範》、套用指引和本指引，設計內部控制評價報告的種類、格式和內容，明確內部控制評價報告編製程序和要求，按照規定的許可權報經批准後對外報出。

內部控制評價報告應當分別內部環境、風險評估、控制活動、信息與溝通、內部監督等要素進行設計，對內部控制評價過程、內部控制缺陷認定及整改情況、內部控制有效性的結論等相關內容作出披露。

內部控制評價報告至少應當披露下列內容：

（一）董事會對內部控制報告真實性的聲明。

（二）內部控制評價工作的總體情況。

（三）內部控制評價的依據。

（四）內部控制評價的範圍。

（五）內部控制評價的程式和方法。

（六）內部控制缺陷及其認定情況。

（七）內部控制缺陷的整改情況及重大缺陷擬採取的整改措施。

（八）內部控制有效性的結論。

企業應當根據年度內部控制評價結果，結合內部控制評價工作底稿和內部控制缺陷匯總表等資料，按照規定的程式和要求，及時編制內部控制評價報告。

內部控制評價報告應當報經董事會或類似權力機構批准後對外披露或報送相關部門。

企業內部控制評價部門應當關注自內部控制評價報告基準日至內部控制評價報告發出日之間是否發生影響內部控制有效性的因素，並根據其性質和影響程度對評價結論進行相應調整。

企業內部控制審計報告應當與內部控制評價報告同時對外披露或報送。

企業應當以每年的12月31日作為年度內部控制評價報告的基準日。

內部控制評價報告應於基準日後4個月內報出。

企業應當建立內部控制評價工作檔案管理制度。內部控制評價的有關檔案資料、工作底稿和證明材料等應當妥善保管。