原则：

风险导向原则

1、一致性原则

2、公允性原则

3、独立性原则

4、成本效益原则

5、年度评价和专项评价

企业实施内部控制评价，包括对内部控制设计有效性和运行有效性的评价。

应用信息系统加强内部控制的企业，应当对信息系统的有效性进行评价，包括信息系统一般控制评价和信息系统应用控制评价。

一、企业集团对被评价单位内部控制的有效性进行评价，应当至少涉及下列内容：

1、被评价单位内部控制是否在风险评估的基础上涵盖了企业层面的风险和所有重要的业务流程层面的风险。

2、被评价单位内部控制设计的方法是否适当，内部控制建设的时间进度安排是否科学、阶段性工作要求是否合理。

3、被评价单位内部控制设计和运行的组织是否有效，人员配备、职责分工和授权是否合理。

4、被评价单位是否开展内部控制自查并上报有关自查报告。

5、被评价单位是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。

6、被评价单位在评价期间是否出现过重大风险事故等。

二、企业在判断内部控制设计与运行有效性时，应当充分考虑下列因素：

1、是否针对风险设置了合理的细化控制目标。

2、是否针对细化控制目标设置了对应的控制活动。

3、相关控制活动是如何运行的。

4、相关控制活动是否得到了持续一致的运行。

5、实施相关控制活动的人员是否具备必需的权限和能力

三、存在下列情况之一，企业应当认定内部控制存在设计或运行缺陷：

1、未实现规定的控制目标。

2、未执行规定的控制活动。

3、突破规定的权限。

4、不能及时提供控制运行有效的相关证据。

5、内部控制缺陷：一般缺陷、重要缺陷和重大缺陷

四、内部控制评估和测试的方法：

1、个别访谈法  2调查问卷法

3、比较分析法  4、标杆法

5、穿行测试法  6、抽样法

7、实地查验法  8、重新执行法

9、专题讨论会法

五、企业判断和认定内部控制缺陷是否构成重大缺陷，应当考虑下列因素：

1、影响整体控制目标实现的多个一般缺陷的组合是否构成重大缺陷。

2、针对同一细化控制目标所采取的不同控制活动之间的相互作用。

3、针对同一细化控制目标是否存在其他补偿性控制活动。

六、企业应当充分评估下列因素导致内部控制失效的风险：

1、控制活动的类型，一般包括人工控制和自动控制、预防性控制和发现性控制等。

2、控制活动的复杂性，通常与企业组织结构、市场环境、经营规模、人员素质等相关。

3、管理层逾越内部控制的风险。

七、内部控制评价报告内容：

1、内部控制评价的目的和责任主体。

2、内部控制评价的内容和所依据的标准。

3、内部控制评价的程序和所采用的方法。

4、衡量重大缺陷严重偏离的定义，以及确定严重偏离的方法。

5、被评估的内部控制整体目标是否有效的结论。

6、被评估的内部控制整体目标如果无效，存在的重大缺陷及其可能的影响。

7、造成重大缺陷的原因及相关责任人。

8、所有在评估过程中发现的控制缺陷，以及针对缺陷的补救措施及补救措施的实施计划等。