原則

全面性原則；重要性原則和客觀性原則。

內容

1.企業應當根據《企業內部控制基本規范》、應用指引以及本企業的內部控制制度，圍繞內部控制環境、風險評估、控制活動、信息與溝通、內部監督等要素，確定內部控制評價的具體內容，對內部控制設計與運行情況進行全面評價。

2.企業組織開展內部控制環境評價，應當以組織架構、發展戰略、人力資源、企業文化、社會責任等應用指引為依據，結合本企業的內部控制制度，對內部控制環境的設計及實際運行情況進行認定和評價。

3．企業開展風險評估機制評價，應當以《企業內部控制基本規范》有關風險評估的要求，以及各項應用指引中所列示主要風險為依據，結合本企業的內部控制制度，對日常經營管理過程中的風險識別、風險分析、應對策略等進行認定和評價。

4.企業組織開展控制活動評價，應當以《企業內部控制基本規范》和各項應用指引中的控制措施為依據，結合本企業的內部控制制度，對相關控制措施的設計和運行情況進行認定和評價。

5.企業組織開展信息與溝通評價，應當以內部信息傳遞、財務報告、信息系統等相關應用指引為依據，結合本企業的內部控制制度，對信息收集、處理和傳遞的及時性、反舞弊機制的健全性、財務報告的真實性、信息系統的安全性，以及利用信息系統實施內部控制的有效性等進行認定和評價。

6.企業組織開展內部控制監督評價，應當以《企業內部控制基本規范》有關內部監督的要求，以及各項應用指引中有關日常管控的規定為依據，結合本企業的內部控制制度，對內部監督機制的有效性進行認定和評價，重點關注監事會、審計委員會、內部審計機構等是否在內部控制設計和運行中有效發揮監督作用。

7.內部控制評價工作應當形成工作底稿，詳細記錄企業執行評價工作的內容，包括評價要素、主要風險點、采取的控制措施、有關證據資料以及認定結果等。

程序

1.制定評價方案；

2.組成評價工作組；

3.實施評價工作與測試；

4.匯總評價結果。

內部控制缺陷的認定

按照內部控制缺陷的本質分類：

（1）設計缺陷。是指企業缺少為實現控制目標的必需控制，或現存的控制并不合理及未能滿足控制目標。

（2）運行缺陷。是指設計合理及有效的內部控制，但在運作上沒有被正確地執行。

按照內部控制嚴重程度分類：

（1）重大缺陷。是指一個或多個控制缺陷組合，可能嚴重影響內部整體控制的有效性，進而導致企業無法及時防范或發現嚴重偏離整體控制目標的情形。

（2）重要缺陷。是指一個或多個一般缺陷的組合，其嚴重程度低于重大缺陷，但導致企業無法及時防范或發現嚴重偏離整體控制目標的嚴重程度依然重大，需引起管理層關注。

（3）一般缺陷。是指除重要缺陷、重大缺陷外的其他缺陷。

對于重大缺陷和重要缺陷的整改方案，應向董事會（審計委員會）、監事會或經理層報告并審定；對于一般缺陷，可以與企業管理層報告，并視情況考慮是否需要向董事會（審計委員會）、監事會報告。

內部控制評價報告

內部控制評價報告應當報經董事會或類似權力機構批準后對外披露或報送相關部門。評價報告至少披露以下內容：

1.董事會對內部控制報告真實性的聲明。

2.內部控制評價工作的總體情況。

3.內部控制評價工作的依據。

4.內部控制評價的范圍。

5.內部控制評價的方法和程序。

6. 內部控制缺陷及其認定情況。

7.內部控制缺陷的整改情況及重大缺陷擬采取的整改措施。

8.內部控制有效性結論。