原則：

風險導向原則

1、一致性原則

2、公允性原則

3、獨立性原則

4、成本效益原則

5、年度評價和專項評價

企業實施內部控制評價，包括對內部控制設計有效性和運行有效性的評價。

應用信息系統加強內部控制的企業，應當對信息系統的有效性進行評價，包括信息系統一般控制評價和信息系統應用控制評價。

一、企業集團對被評價單位內部控制的有效性進行評價，應當至少涉及下列內容：

1、被評價單位內部控制是否在風險評估的基礎上涵蓋了企業層面的風險和所有重要的業務流程層面的風險。

2、被評價單位內部控制設計的方法是否適當，內部控制建設的時間進度安排是否科學、階段性工作要求是否合理。

3、被評價單位內部控制設計和運行的組織是否有效，人員配備、職責分工和授權是否合理。

4、被評價單位是否開展內部控制自查并上報有關自查報告。

5、被評價單位是否建立有利于促進內部控制各項政策措施落實和問題整改的機制。

6、被評價單位在評價期間是否出現過重大風險事故等。

二、企業在判斷內部控制設計與運行有效性時，應當充分考慮下列因素：

1、是否針對風險設置了合理的細化控制目標。

2、是否針對細化控制目標設置了對應的控制活動。

3、相關控制活動是如何運行的。

4、相關控制活動是否得到了持續一致的運行。

5、實施相關控制活動的人員是否具備必需的權限和能力

三、存在下列情況之一，企業應當認定內部控制存在設計或運行缺陷：

1、未實現規定的控制目標。

2、未執行規定的控制活動。

3、突破規定的權限。

4、不能及時提供控制運行有效的相關證據。

5、內部控制缺陷：一般缺陷、重要缺陷和重大缺陷

四、內部控制評估和測試的方法：

1、個別訪談法  2調查問卷法

3、比較分析法  4、標桿法

5、穿行測試法  6、抽樣法

7、實地查驗法  8、重新執行法

9、專題討論會法

五、企業判斷和認定內部控制缺陷是否構成重大缺陷，應當考慮下列因素：

1、影響整體控制目標實現的多個一般缺陷的組合是否構成重大缺陷。

2、針對同一細化控制目標所采取的不同控制活動之間的相互作用。

3、針對同一細化控制目標是否存在其他補償性控制活動。

六、企業應當充分評估下列因素導致內部控制失效的風險：

1、控制活動的類型，一般包括人工控制和自動控制、預防性控制和發現性控制等。

2、控制活動的復雜性，通常與企業組織結構、市場環境、經營規模、人員素質等相關。

3、管理層逾越內部控制的風險。

七、內部控制評價報告內容：

1、內部控制評價的目的和責任主體。

2、內部控制評價的內容和所依據的標準。

3、內部控制評價的程序和所采用的方法。

4、衡量重大缺陷嚴重偏離的定義，以及確定嚴重偏離的方法。

5、被評估的內部控制整體目標是否有效的結論。

6、被評估的內部控制整體目標如果無效，存在的重大缺陷及其可能的影響。

7、造成重大缺陷的原因及相關責任人。

8、所有在評估過程中發現的控制缺陷，以及針對缺陷的補救措施及補救措施的實施計劃等。