原則：

風險導向原則

1、一致性原則

2、公允性原則

3、獨立性原則

4、成本效益原則

5、年度評價和專項評價

企業(yè)實施內(nèi)部控制評價，包括對內(nèi)部控制設(shè)計有效性和運行有效性的評價。

應(yīng)用信息系統(tǒng)加強內(nèi)部控制的企業(yè)，應(yīng)當對信息系統(tǒng)的有效性進行評價，包括信息系統(tǒng)一般控制評價和信息系統(tǒng)應(yīng)用控制評價。

一、企業(yè)集團對被評價單位內(nèi)部控制的有效性進行評價，應(yīng)當至少涉及下列內(nèi)容：

1、被評價單位內(nèi)部控制是否在風險評估的基礎(chǔ)上涵蓋了企業(yè)層面的風險和所有重要的業(yè)務(wù)流程層面的風險。

2、被評價單位內(nèi)部控制設(shè)計的方法是否適當，內(nèi)部控制建設(shè)的時間進度安排是否科學、階段性工作要求是否合理。

3、被評價單位內(nèi)部控制設(shè)計和運行的組織是否有效，人員配備、職責分工和授權(quán)是否合理。

4、被評價單位是否開展內(nèi)部控制自查并上報有關(guān)自查報告。

5、被評價單位是否建立有利于促進內(nèi)部控制各項政策措施落實和問題整改的機制。

6、被評價單位在評價期間是否出現(xiàn)過重大風險事故等。

二、企業(yè)在判斷內(nèi)部控制設(shè)計與運行有效性時，應(yīng)當充分考慮下列因素：

1、是否針對風險設(shè)置了合理的細化控制目標。

2、是否針對細化控制目標設(shè)置了對應(yīng)的控制活動。

3、相關(guān)控制活動是如何運行的。

4、相關(guān)控制活動是否得到了持續(xù)一致的運行。

5、實施相關(guān)控制活動的人員是否具備必需的權(quán)限和能力

三、存在下列情況之一，企業(yè)應(yīng)當認定內(nèi)部控制存在設(shè)計或運行缺陷：

1、未實現(xiàn)規(guī)定的控制目標。

2、未執(zhí)行規(guī)定的控制活動。

3、突破規(guī)定的權(quán)限。

4、不能及時提供控制運行有效的相關(guān)證據(jù)。

5、內(nèi)部控制缺陷：一般缺陷、重要缺陷和重大缺陷

四、內(nèi)部控制評估和測試的方法：

1、個別訪談法  2調(diào)查問卷法

3、比較分析法  4、標桿法

5、穿行測試法  6、抽樣法

7、實地查驗法  8、重新執(zhí)行法

9、專題討論會法

五、企業(yè)判斷和認定內(nèi)部控制缺陷是否構(gòu)成重大缺陷，應(yīng)當考慮下列因素：

1、影響整體控制目標實現(xiàn)的多個一般缺陷的組合是否構(gòu)成重大缺陷。

2、針對同一細化控制目標所采取的不同控制活動之間的相互作用。

3、針對同一細化控制目標是否存在其他補償性控制活動。

六、企業(yè)應(yīng)當充分評估下列因素導致內(nèi)部控制失效的風險：

1、控制活動的類型，一般包括人工控制和自動控制、預(yù)防性控制和發(fā)現(xiàn)性控制等。

2、控制活動的復雜性，通常與企業(yè)組織結(jié)構(gòu)、市場環(huán)境、經(jīng)營規(guī)模、人員素質(zhì)等相關(guān)。

3、管理層逾越內(nèi)部控制的風險。

七、內(nèi)部控制評價報告內(nèi)容：

1、內(nèi)部控制評價的目的和責任主體。

2、內(nèi)部控制評價的內(nèi)容和所依據(jù)的標準。

3、內(nèi)部控制評價的程序和所采用的方法。

4、衡量重大缺陷嚴重偏離的定義，以及確定嚴重偏離的方法。

5、被評估的內(nèi)部控制整體目標是否有效的結(jié)論。

6、被評估的內(nèi)部控制整體目標如果無效，存在的重大缺陷及其可能的影響。

7、造成重大缺陷的原因及相關(guān)責任人。

8、所有在評估過程中發(fā)現(xiàn)的控制缺陷，以及針對缺陷的補救措施及補救措施的實施計劃等。