内控手册-第五章 内部控制评价与监督

第五章内部控制评价与监督

内部控制评价与监督是单位内部控制得以有效实施的保障机制，是保证内部控制建设得

以开展并有效实施的重要环节。为了有效开展行政事业单位内部控制评价工作，促进行政

事业单位建立健全内部控制体系，加强财务风险防控与廉政机制建设，提高水平，本手册依

据《中华人民共和国会计法》、《行政事业单位内部控制规范（试行）》与《行政事业单位内

部控制评价暂行办法》等法律法规和有关规定确立的内部控制评价与监督的约束机制，充分

考虑行政事业单位的特点，吸纳或借鉴国内外对行政事业单位内部控制评价、企业内部控制

评价的最新研究成果以及实践经验，旨在确保单位内部控制自我评价的有效实施，建立内部

控制自我评价制度，明确各有关职能部门及岗位在内部控制自我评价中的职责权限，规范了

单位实施内部控制评价与监督的内容、相关程序流程、方法和要求及其实施步骤。内部控制

评价与监督主要可以分为：内部控制自我评价工作与内部审计工作。

第一节内部控制自我评价

一、内部控制自我评价综述

内部控制自我评价是指由单位负责人负责实施的，对单位内部控制的有效性进行评价,

形成评价结论，出具评价报告的过程。单位每年至少进行一次全面性自我评价，以每年年末

作为年度内部控制自我评价报告的基准日，于基准口后一定时间内与自计报告一同报出内部

控制自我评价报告。单位通过内部控制自我评价发现内部控制的高风险点和薄弱环节，有

针对性的修补管控过程的漏洞，从而实现内部控制的不断完善。

1.3评价目标

进行行政事业单位内部控制评价，旨在实现以下目标：

（1）揭示单位内部控制存在的缺陷，促进单位建立健全内部控制体系。

（2）揭示单位活动的合法合规性，促进单位规范行为。

（3）揭示单位资产的安全和使用有效性，促进单位加强对资产的管理。

（4）揭示单位财务信息的真实、完整与及时性，促进单位保证与提高财务信息的质量。

（5）揭示单位的财务风险防控与廉政机制情况，促进单位加强财务风险防控与廉政机

制建设。

1.4评价原则

对行政事业单位内部控制进行评价，应该遵循以下原则：

（-）合规性原则。对单位内部控制进行评价应以国家的相关法律法规、上级单位的有

关制度规范以及单位内部的管理规定为依据。

（二）重要性原则。对单位内部控制进行评价时，应配合单位中心工作，讲究成本效益，

重点关注单位重大事项和高风险领域。

（三）客观性原则。对单位内部控制的评价，应如实反映单位内部控制的设计有效性与

运行有效性，揭示内部控制缺陷。

（四）综合性原则。对单位由部控制评价，应综合各方面反映的问题或意见，既要包括

单位内部各级部门或单位领导及员工反映的问题或意见，也要包括单位外部财政、审计、纪

检等机关和中介机构以及服务对象反映的问题或意见。

二、内部控制自我评价内容

内部控制自我评价是对包括单位层面与业务层面两个方面单位内部控制有效性发表意

见，内部控制有效性包括内部控制设计的有效性和内部控制执行的有效性。

（1）内部控制设计有效性，是指单位为实现控制目标所依据的内部控制制度合规健全，

运行机制、业务流程以及控制环芋与要求的设计科学合理，包括设计完整性与设计适当性两

个方面。

评价内部控制设计完整性应着重考虑单位是否根据国家的有关规定与风险防控的需要

进行内部控制体系设计，能够对单位活动的全过程实施控制。当单位业务发生调整变化时,

内部控制体系是否能够随之完善。

评价内部控制设计适当性应着重考虑单位是否根据自身的环境与业务内容，对单位内部

控制机制与业务进行风险识别和评估，确定控制环节及其控制要求，能够对控制目标的实现

提供合理保证。

（2）内部控制的运行有效性，是指单位制定的内部控制制度及其设计的运行机制、业

务流程以及控制环节与要求在实际工作中都按规定得到了执行。

评价内部控制运行有效性应着重考虑有关控制要求是如何执行的,有关控制要求是否得

到了持续一致的执行，实施控制的有关人员是否具备必要的权限和能力。

内部控制运行有效的前提是内部控制设计的有效，如果评价证据表明内部控制设计存在

缺陷，即使内部控制按照设计的要求得到了持续一致的执行，也不能认定内部控制的运行是

有效的。

1.对单位层面内部控制的评价应包括但并不限于以下内容：

（1）内部控制工作的组织情况：重点关注内部控制主管处室是否已经确定、是否建立

单位各处室在内部控制中的沟通协调和联动机制，确保风险防范及内部控制体系在组织及人

员方面有充分的保障、各相关处室有效的进行协作。

（2）内部控制机制的建设情况：关注单位的经济活动的决策、执行、监督是否实现有

效分离；权责是否对等、是否建立健全；关注单位的议事决策机制、岗位责任制、内部监督

等机制。不相容岗位相互分离、相互制约和相互监督制度及其实施情况；岗位人员配备制度

及其实施情况；单位部门预算、大额资金使用、大宗设备采购或重大服务购买、基本建设等

重大财务事项的领导集体研究决定制度及其实施情况；

（3）内部管理制度的完善情况：关注单位内部管理制度是否健全、执行是否有效，单

位是否建立完善内部管理制度，明确经济活动流程、岗位职责和审批权限制度及其实施情况,

使单位经济活动有据可依、有章可循。

（4）内部控制关键岗位工作人员的管理情况：关注单位对内部控制关键岗位工作人员

的管理情况，包括是否建立工作人员的培训I、评价、轮岗、相关人员回避制度及其实施情况，

以及工作人员是否具备相应的资格和能力等。对不具备轮岗条件的替代措施及其实施情况;

（5）财务信息的编报情况：关注重点财务信息的编报情况，包括是否按照国家统一的

会计制度对经济业务事项进行账务处理；是否按照国家统一的会计制度编制财务会计报告;

是否能够全面、客观、总括反映单位的所有经济活动。电子信息管理制度及其实施情况；

（6）其他情况：关注单位其他与经济活动风险有关的制度安排和机制设计。信息沟通、

文件会签制度及其实施情况；风险评估制度及其实施情况；风险应对机制及其实施情况；内

部审计制度、财务监督检查机制及其实施情况；反舞弊机制及其实施情况；内部控制评价制

度及其实施情况；内部控制缺陷跟踪与改进制度及其实施情况；

2.对业务层面内部控制的评价包括但不限于如下内容：

（1）预算管理情况：包括但不限于在预算编制过程中单位内部各职能处室间沟通协调

是否充分，预算编制与资产配置是否相结合、与具体工作是否相对应；是否按照批复的额度

和开支范围执行预算，进度是否合理，是否存在无预算、超预算支出等问题；决算编报是否

真实、完整、准确、及时。

（2）收支管理情况：包括但不限于收入是否实现归口管理，是否按照规定及时向计财

处提供收入的有关凭据，是否按照规定保管和使用印章和票据，是否有隐瞒收入的情况等；

发生支出事项时是否按照规定审核各类凭据的真实性、合法性，是否存在使用虚假票据套取

资金的情形。

（3）政府采购管理情况：包括但不限于是否按照预算和计划组织政府采购业务；是否

按照规定组织政府采购活动和执行验收程序；是否按照规定保存政府采购业务相关档案。

（4）资产管理情况：包括但不限于是否实现资产归口管理并明确使用责任；是否定期

对资产进行清查盘点，对账实不符的情况及时进行处理；是否按照规定处置资产。

（5）合同管理情况：包括但不限于是否实现合同归口管理；是否明确应签订合同的经

济活动范围和条件；是否有效监控合同履行情况，是否建立合同纠纷协调机制。

（6）基建内部控制制度及其实施情况；

（7）债务、担保管理内部控制制度及其实施情况。

（8）其他情况：包括单位在业务层面还存在的与经济活动风险有关的其他制度安排、

内控措施设计及执行情况。

三、内部控制自我评价工作组织与分工

为了内部控制自我评价工作的有序、高效开展，单位明确了内部控制自我评价的组织机

构。单位各处室在内部控制自我评价中的职责划分以分工制衡、协调工作、提高效率为宗旨。

为了保证内控评价的客观性和公正性，保证单位决策权、执行权、监督权的相互制约、相互

协调，内控自我评价机构与内控建设机构相对独立。一般而言，参与单位内部控制自我评价

的岗位和处室主要包括单位负责人、审计处和纪检监察处。根据实际情况，单位也可以成立

跨处室的内控自我评价工作小组开展内控自我评价工作。单位审计处是内部控制自我评价的

归口管理部门，负责组织本单位的各职能处室开展内部控制自我评价工作。各职能处室按照

内部控制自我评价要求，配合财务处完成各项工作。

各方的职责如下：

（1）单位负责人对内部控制自我评价承担最终责任，对内部控制自我评价报告的真实

性负责。单位负责人需审议内部控制自我评价报告的内容，审定内部控制重大缺陷、重要缺

陷整改意见，协调内部控制自我评价工作实施过程中的困难与问题。

（2）审计处作为内部控制自我评价的牵头机构，在单位负责人的授权范围内组织、领

导、监督单位的自我评价工作。参与审议内部控制自我评价报告的内容，审定内部控制重大

缺陷、重要缺陷整改意见，协调解决权限与能力范围的困难与问题，及时向单位负责人汇报

自评工作进度与情况。

（3）纪检监察处侧重管理内部党员职工工作中违反党风廉政建设、贪污腐败的监督监

察工作，从“管人”角度疝参与单位各业务流程的内部控制环节之中的相关岗位人员进行

监督。纪检监察处需审核内部控制自我评价报告，监督领导班子在建立与实施内部控制过程

中的责任履行，监督重要及特殊事务的处理程序的规范。

（4）在单位管理成熟且条件允许的情况下，通过单位负责人的授权，可以组建内部控

制自我评价工作小组来独立开展内控自我评价工作。内部控制自我评价工作小组可以由跨处

室的人员组建，对单位内部控制设计及运行的有效性进行评价，出具内部控制自我评价报告,

向单位负责人汇报内控评价的结果，督促内控缺陷的落实整改。

（5）单位内部控制自我评价工作必须得到单位领导班子的高度重视和大力支持，使单

位内控自我评价机构有充分的权威性。同时，内控评价人员必须具备相关的专业胜任能力和

职业道德素质。

（6）在实践中，如果单位内部考虑到人手缺乏、力量单薄、专业胜任能力不足等因素，

可以委托具有专业能力的中介机构实施内部控制评价。此时，审计处须加强对内部控制评价

工作的监督与指导。从业务性质上讲，中介机构受托为单位实施内部控制评价是一种非保证

服务，内部控制评价报告的责任仍然应由单位负责人承担。

四、自我评价方法与程序

内部控制自我评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、

汇总评价结果、编报评价报告等。一般而言，内部控制自我评价工作流程包括评价准备、评

价实施、评价及整改三个阶段，内部控制自我评价工作流程图如下：

开始

财务管理内控财务管理内控评财务管理内部控

制定评价实施计划评价工作规划价年度工作计划制评价项目计划

实施内控评价

分析测试结果，确内控评价结果备忘

定内控缺陷等级录/缺陷汇总表

持

编制财务管理内部少财务管理内部控制续

控制评价报告/评价报告评

价

机

提出整改建议，被

制

评价单位进行整改

内控缺陷整改

小

跟踪明细表

对整改结果进行

回访测试

结束

图3—1行政事业单位财务管理内部控制评价工作程序

1.准备阶段

（1）制定评价计划及工作方案

内部控制自我评价机构须根据单位日常监督与专项监督情况和管理要求，分析单位经济

活动管理过程中的高风险领域和重要.业务事项，确定检查评价方法，制定科学合理的评价规

划及工作方案，经单位领导班子批准后实施。

行政事业单位负责内部控制评价工作的部门应该制定《内部控制评价工作规划》并上报

单位领导层审批。《内部控制评价工作规划》应包括以下主要内容：

（1）单位内部控制评价制度体系的构建。

（2）对单位层面内部控制评价所涉及的主要控制环节。

（3）对业务层面内部控制评价所涉及的主要控制环节。

（4）进行内部控制评价的覆盖面安排。对于所属单位数量较多，难以在一个年度内完

成对内部控制评价的，可以对所属单位进行分组，以2~3年为一个评价周期，对所有所属单

位进行循环评价，以保证每个所属单位均能在评价周期内得到评价。

行政事业单位负责内部控制评价工作的部门应每年编制《内部控制评价年度工作计划》

（参见模板1）并报分管领导审批。《内部控制评价年度工作计划》应包括以下主要内容：

（1）本年内部控制评价工作的目标。根据《内部控制评价工作规划》，明确本年的内部

控制评价工作目标。

（2）本年内部控制评价工作的覆盖面安排。根据《内部控制评价工作规划》，确定本年

的被评价单位或部门。

（3）本年内部控制评价工作的内容以及关注点。根据《内部控制评价工作规划》与被

评价单位或部门的具体情况，明确列入本年内部控制评价的单位层面与业务层面内部控制机

制、流程以及关注点。

（4）本年内部控制评价工作的人员与时间安排。根据被评价单位或部门的业务量及其

业务复杂性，进行年度内部控制工作总体安排，包括评价项目组组成、项目负责人、实施时

间等。对于委托第三方进行内部控制评价的，应明确委托第三方的具体要求。

根据审批后的《年度内部控制评价工作计划》对每个被评价单位或部门的具体要求，内

部控制评价项目组负责人应制定评价工作方案和《内部控制评价项目计戈I》（参见模板2）,

报经负责内部控制评价部门负责人批准后实施。《内部控制评价项目计划表》应包括以下主

要内容：

（1）评价准备，包括项目组的认知准备、被评价单位或部门的准备以及评价准备沟通

事项等。

（2）评价实施，包括所要进行的访谈、穿行测试、控制测试、信息反馈以及对所发现

缺陷的认定分析与整改建议。

（3）评价报告，包括内部控制评价报告的形成及审核。

评价工作方案须明确评价主体范围、工作任务、人员组织、进度安排和费用预算等相关

内容。评价工作方案既可以以全面评价为主，也可以根据需要采用重点评价的方式。

评价项目组在进行评价工作之前，应由单位负责内部控制评价工作的部门对被评价单位

或部门下发《内部控制评价通知书》（参见模板3）。《内部控制评价通知书》应包括以下主要

内容：

（1）项目工作目的。

（2）项目涉及的单位层面与业务层面内部控制机制、流程。

（3）项目的主要工作内容。

（4）项目需要提交的资料清单。

（5）项目需要协助的人员。

（6）项目预计起讫时间。

⑦应注意的事项。

（2）组成评价工作组：评价工作组是在内部控制自我评价机构领导下，具体承担内部

控制检查评价任务。内部控制自我评价机构根据经批准的评价方案，挑选具备独立性、业务

胜任能力和职业道德素养的评价人员实施评价。评价工作组成员须吸收单位内部相关处室熟

悉情况、参与日常监控的负责人或业务骨干参加。单位根据自身条件，建立长效内部控制评

价培训机制。

2.实施阶段

项目进入实施阶段后，各项目负责人应根据工作进展情况对下面内容的测试，填写《内

部控制评价工作项目控制记录》（参见模板4）,直至项目结束。

（1）了解被评价单位基本情况：充分与单位沟通组织文化和发展战略、组织机构设置

及职责分工、领导班子成员构成及分工等基本情况。

（2）确定检查评价范围和重点：评价工作组根据掌握的情况进一步确定评价范围、检

查重点和抽样数量，并结合评价人员的专业背景进行合理分工。检查直点和分工情况可以根

据需要进行适时调整。

（3）开展现场检杳测试：评价工作组根据评价人员分工，综合运用个别访谈、调杳问

卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，对内部控制设计与运行的有

效性进行现场检查测试，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评

价的具体内容，按要求填写工作底稿、记录相关测试结果，并对发现的内部控制缺陷进行研

究分析并初步认定。

3.2审阅内部控制文档

内部控制文档是指对单位层面与业务层面内部控制机制、流程确定的控制环节、控制要

求、控制活动以及控制职责岗位传出描述的书面规定，包括的业务流程图。

审阅内部控制文档工作程序如图3-3所示。

图3-3审阅财务管理内部控制文档工作程序

3.2.1审阅内部控制文档

评价人员应从以下几个方面复核单位内部控制文档，并确定内部控制设计有效性：

（1）内部控制是否包含了内部控制机制的所有重要内容与的主要业务，并对控制环节

进行了合理的确定。

（2）业务流程图表述的流程路径是否清晰，是否存在交叉，是否与实际操作相符合。

（3）对所有的重要内部控制环节是否具有明确的控制要求。

（4）对所有的重要内部控制环节是否具有明确的控制活动描述。

（5）对所有的重要内部控制环节是否具有明确的控制职责岗位。

（6）对内部控制文档是否随着单位环境及其业务变化得到及时更新。

3.2.2记录内部控制文档复核结果

评价人员审阅内部控制文档后，应编制《内部控制文档复核结果备忘录》（参见模板5）,

逐条列明评价人员在内部控制文档复核工作中发现的所有重要问题，并按照以下情况对这些

问题进行分类：

（1）内部控制未能包含的单位层面或业务层面的重要内部控制机制或业务，并对控制

环节未能进行合理的确定。

（2）业务流程图未能反映实际业务操作。

（3）的重要内部控制环节缺乏明确合理的控制要求。

（4）的重要内部控制环节缺乏明确的控制活动描述。

（5）的重要内部控制环节缺乏明确的控制职责岗位。

（6）内部控制文档未能得到及时更新。

被评价单位或部门应根据评价组编制的《内部控制文档复核结果各忘录》中列明的问题,

修订完善内部控制文档记录。

3.3内部控制评价测试

对单位的内部控制评价测试包括穿行测试与控制测试。

3.3.1穿行测试

穿行测试是指选择某项业务事项作为测试样本，对贯穿业务流程的所有控制环节进行检

查的活动。穿行测试的目的在于，在单位内部控制体系中任意抽取一笔业务事项作为样本,

追踪这笔业务事项从业务流程的起点到终点的全过程，以此来测试验证业务流程及其控制环

节的设计是否完整适当，实际运行是否符合设计的要求，从而揭示单位是否存在内部控制设

计缺陷或执行缺陷。

穿行测试的工作程序如图3-4所示。

图3-4穿行测试工作程序

穿行测试应按如下原则选取样本:

（1）样本应该是能够代表所测试的业务流程的典型业务事项。

（2）样本应该能够覆盖所测试的业务流程的所有控制环节。

（3）对于那些确实无法覆盖的控制环节，应该选取额外样本进行测试。

（4）对于人工控制的样本应该以历史数据以及文档为主，系统测试的样本应该选择当

期的样本。

评价项目组应采用统一的《内部控制穿行测试文档》（参见模板6）进行以下穿行测试

样本记录：

（1）样本基本信息，包括样本涉及的业务、涉及的业务或管理部门负责人与岗位责任

人以及测试的控制环节。

（2）对选定的穿行测试样本描述，包括样本的具体业务事项、样本选取方法（例如随

机选取）。

（3）穿行测试全过程描述，包括测试的业务流程顺序的各个控制环节。

（4）测试中发现的异常描述，包括某些控制环节设计不合理或运行中未按要求进行操

作的情形（如购入办公用品与采购单数量不符，没有相应的入库验收记录等），对于测试中

发现的异常，应由涉及的部门与有关岗位的责任人签字确认。

（5）对内部控制设计完整适当性、运行与设计要求相符性的测试结论。

对于穿行测试过程中取得的样本资料应进行复印、编号，并单独存档保管。

3.3.2控制测试

控制测试是指根据既定的抽样原则、方法和样本量规定，对控制环节是否按照内部控制

设计的要求持续有效的执行进行检查的活动。控制测试的目的在于，确认单位内部控制的各

个控制环节是否按照设计的要求持续有效执行，从而揭示单位是否存在内部控制执行缺陷。

控制测试的工作程序如图3-5所示。

图3-5控制测试工作程序

控制测试可以采用以下测试方法：

（1）询问。询问控制执行人是否了解控制环节的控制要求与控制活动，在FI常工作中

是否实施了控制,具体如何操作。在询问中,应重点关注操作所保留的证据或所留下的痕迹。

（2）观察。观察员工执行控制步骤，必要时需要其他跟进测试。对于执行的员工、执

行的时间以及观察的结果需要进行文档记录。

（3）审阅、检查控制执行证据。首先需要获得控制执行有关证据（例如经审批的文件、

经复核签字的工作底稿等）；然后审阅文档记录或报告，检查是否留有控制执行的痕迹；进

而评价控制执行是否符合规定（例如审批是否符合规定，执行时间是否符合规定等），判断

其有效性；最后记录所获取的证据，并对测试过程、测试结果及结论进行书面记录。

（4）测试执行人重新执行控制操作以验证控制执行是否有效。

控制测试应按以下原则选取样本：

（1）针对每个控制环节独立选取样本，样本只需覆盖被测试控制环节即可。

（2）必须随机选取，采用统计抽样的方法。

（3）避免选取穿行测试中已经测试的样本，若穿行测试中测试的为唯一样本，则控制

测试可以直接确认穿行测试结果。

控制测试应按以下原则确定控制测试的样本数量与测试结论：

（1）对于每周多次发生的常规业务，在全年随机抽取25个样本，且样本至少分布于3

个月中。若3个或以上样本存在异常，则测试结论为控制失效；若2个样本出现异常，需增

加15个样本进行补充测试，补充的任何个样本出现异常，则测试结论为控制失效；其余

情况视为控制被有效执行。

（2）对于发生频率介于每周一次至每月一次的业务，在全年随机抽取10个样本，且样

本至少分布于3个月中。若2个及以上样本存在异常，则测试结论为控制失效；若其中一个

样本出现异常，需增加6个样本在行补充测试，补充的任何一个样本出现异常，则测试结论

为控制失效；其余情况视为控制被有效执行。

（3）对于发生频率介于每月一次至每季度一次的业务，在全年随机抽取3个样本。若

2个及以上样本存在异常，则测试结论为控制失效；若其中一个样本出现异常，需增加2个

样本进行补充测试，补充样本的任何一个出现异常，则测试结论为控制失效；其余情况视为

控制被有效执行。

（4）对于发生频率介于每季度一次至每半年一次的业务，在全年随机选取2个样本。

若任何一个样本出现异常，则测试结论为控制失效；其余情况视为控制被有效执行。

（5）对于发生频率介于每半年一次至每年一次的业务，在全年随机选取2个样本。若

任何一个样本出现异常，则测试结论为控制失效；其余情况视为控制被有效执行。

（6）对于每年发生一次的业务，直接选取该笔业务。若该笔业务出现异常，则测试结

论为控制失效；其余情况视为控制被有效执行。

样本数量和测试结论的确定如表3—1所示。

3-1控制测试样本数量与测试结论

序号发生频率选定样本数量异常样本数量补充样本数量新异常样本数量测试结论

0——控制有效

1常规业务25

1——控制有效

0控制有效

215

控制失效

23——控制失效

0——控制有效

0控制有效

每周发生

21016

一次

控制失效

22——控制失效

0——控制有效

0控制有效

每月发生

3312

一次

21控制失效

22——控制失效

0——控制有效

每季度发

42

生一次

21——控制失效

0——控制有效

每半年发

52

生一次

2——控制失效

0——控制有效

每年发生

61

一次

1——控制失效

由于控制测试的样本选取较为狂杂，为更好地规划测试工作，明确责任人以及控制测试

成本，在正式进行控制测试之前应该拟定《内部控制测试计划》（参见模板7）。《内部控制测

试计划》的内容包括测试的内部控制环节、测试所涉及到的职能部门与岗位、测试时间、测

试负责人及其测试人员安排等。

评价项目组应采用统一的《内部控制测试文档》（参见模板8）进行以下控制测试样本

记录：

（1）样本基本信息，包括样本涉及的单位层面的内部控制机制或业务层面的业务、涉

及的管理或业务部门负责人。

（2）对选定的控制测试样本描述，包括样本的取样方法及取样数量。

（3）测试文档记录。其中对于控制测试过程中取得的无异常样本，不需要复卬留底；

对于存在异常内容的样本，均需要进行复印、编号，并单独存档保管。

（4）计划采用的测试方法，包括询问、观察、审阅以及测试执行人重新执行控制操作

等方法。

（5）测试异常描述，对于控制测试中发现的某些控制环节未按设计要求执行的异常情

况进行描述。对于测试中发现的异常，应由有关岗位的责任人签字确认。

（6）对内部控制运行有效性的测试结论（控制有效或控制失效）。

3.汇总评价结果、编制评价报告阶段

（1）评价工作组汇总评价人员的工作底稿，初步认定内部控制缺陷，形成现场评价报

告。评价工作底稿须进行交叉复核签字，并由评价工作组负责人审核后签字确认。评价工作

组将评价结果及现场评价报告向被评价单位进行通报，由被评价单位相关责任人签字确认

后，提交内部控制自我评价机构。

在完成测试后，测试人员需要分类汇总被评价单位内部控制测试过程发现的全部异常情

况。

测试结果汇总工作程序如图3-6所示。

图3-6测试结果汇总工作程序

汇总后的异常情况由内部控制测试人员编制形成《内部控制评价结果备忘录》（参见模

板9）,并需经被评价单位或所涉及的被评价内部控制机制或业务部门负责人签字确认。

（2）内部控制自我评价机构汇总各评价工作组的评价结果，对工作组现场初步认定的

内部控制缺陷进行全面复核、分类汇总；对缺陷的成因、表现形式及风险程度进行定量或定

性的综合分析，按照对控制目标的影响程度判定缺陷等级。

内部控制评价项目负责人汇总所有内部控制环节的《内部控制评价结果备忘录》后，应

该分析这些异常情况中属于内部控制缺陷的事项，将所有内部控制缺陷进行分类评级后，编

制《内部控制缺陷汇总表》（参见模板10）。

内部控制缺陷按照缺陷的成因或来源，分为设计缺陷和运行缺陷两类：

（1）设计缺陷是指单位缺少为实现控制目标所必需的控制，或现有控制设计不健全、

不适当，即使正常运行也难以实现控制目标。

（2）运行缺陷是指内部控制设计健全、适当的情况下，实际运行过程中因未能严格按

照设计要求执行，例如执行人员操作不当、执行人员未获得必要的授权或峡乏胜任能力、运

行时间或频率不当等，导致内部控制运行与设计不符，未能有效地实施控制。

内部控制缺陷按照缺陷对控制目标的影响程度，分为重大缺陷、直要缺陷和一般缺陷三

类等级：

（1）重大缺陷是指一个或多个控制缺陷的组合，可能严重影响单位内部控制的有效性，

导致单位无法及时防范或发现严直偏离控制目标的情形。

(2)重要缺陷是指一个或多个控制缺陷的组合，其严重程度虽低于重大缺陷，但仍有

可能导致单位无法及时防范或发现严重偏离控制目标的情形。

(3)一般缺陷是指除重大缺陷、重要缺陷之外的其他缺陷。

内部控制缺陷等级根据由其导致的风险的影响程度和发生可能性确定，具体可以通过计

算内部控制缺陷数值来进行认定。内部控制缺陷数值的计算公式为：

财务管理内部—财务管理内部控制*财务管理内部控制

控制缺陷数值一风险的影响程度"风险发生的可能性

内部控制风险的影响程度可以从合法合规、控制措施、决策程序、内部监督、反舞弊机

制、资产损失、财务信息披露、信息安全、声誉以及缺陷整改等10人影响要素综合判断，

每个影响要素均由低至高分为1、2、3三个等级，综合影响取适用要素的最大分值。各影响

要素风险影响程度的具体评定标准如表3-2所示。

表3-2各影响要素风险影响程度评定标准

等级

321

影响要

严重违反法规，导致违反法规，导致立案存在违反单位内部规

重大诉讼，或导致监调查或诉讼，或导致定或轻微违反法规的

管机构的调查、责令监管机构罚款并没收问题，或导致监管机

合法合规

整顿、追究刑事责任违法所得、责令限期构的不良意见反馈。

或撤换单位管理层人整改、警告、通报批

员/直接责任人员。评。

一个或多个业务条线一个或多个业务条线未根据实际情况，对

缺乏书面化的制度，虽有书面化的制度，一个或多个业务条线

控制措施未明确任何控制目标但仅有目标性的描的现有制度进行实时

和措施。述，未明确具体的控更新O

制措施。

违反“三重一大”决违反决策程序或决策违反决策程序或决策

策程序，违反决策程程度不科学而导致重程序不科学而导致一

决策程序序或决策程序不科学要决策失误。般决策失误。

而导致重大决策失

误。

管理层和内部审计机管理层和内部审计机管理层和内部审计机

内部监督构对内部控制的监督构对内部控制的监督构对内部控制的监督

无效。部分失效。薄弱。

反舞弊机制失效而导反舞弊机制的失效而反舞弊机制的失效而

反舞弊机制致领导层的舞弊导致其他管理干部的导致一般管理人员或

舞弊其他员工舞弊

发生重大或特别重大发生较大资产损失，发生较小资产损失，

资产损失，损失金额损失金额大于50万元损失金额小于等于50

资产损失大于1500万元或者超小于等于1500万元或万元，或者小于等于

过单位资产总额的者超过单位资产总额单位资产总额的5%。

10%。的5%小于等于10%o

错报金额大于等于重错报金额大于等于错报金额小于25%重

财务信息披露要性水平。25%重要性水平小于要性水平。

重要性水平。

绝密级信息泄漏，或机密级信息泄漏，或秘密级信息泄漏，或

对单个关键系统或多对单个重要系统数据对非重要、非关键系

个重要系统数据的完的完整性和准确性产统数据的完整性和准

整性和准确性产生重生重要影响，数据的确性产生一定影响，

信息安全

大影响，数据的非授非授权改动、泄露带数据的非授权改动、

权改动、泄露带来重来一定损失或对财务泄露带来轻微损失或

大损失或造成财务记数据记录的准确性产对财务数据记录的准

录的重大错误。生一定的影响。确性产生轻微影响。

负面消息蔓延，对单负面消息大面积传出现负面消息，对单

位声誉造成无法弥补播，对单位声誉造成位声誉造成轻微影

声誉

的影响，难以恢复声一定损害，需要较长响，且可在短期内消

誉。时间恢复声誉。除影响。

重大缺陷未及时整重要缺陷未及时整一般缺陷未及时整

缺陷整改

改。改。改。

风险发生可能性分为基本确定、很可能、可能、不太可能、几乎K可能五个等级并相应

给予5~1的赋值，五个等级的具体评定标准如表3—3所示。

表3-3风险发生可能性评定标准

发生可能性

赋值针对事件针对日常营运

（发生概率）

基本确定（280%）5今后1年内至少发生1次常常会发生

很可能(50^80%)4今后1年内可能发生1次较多情况下发生

可能(20^50%)3今后2飞年内可能发生1次某些情况下发生

不太可能（5~20%）2今后5~10年内可能发生1次极少情况下才发生

几乎不可能（V5%）1今后10年内发生的可能少于1次-一般情况下不会发生

根据内部控制缺陷数值的计算公式，缺陷数值的确定按如表3-4所示“

表3-4缺陷数值的确定

风险影响程度

321

515105

41284

风唆发生可能

3963

性

2642

1321

内部控制缺陷等级按以下规则进行认定：

（1）当内部控制缺陷数值210时，认定为重大缺陷。

（2）当内部控制6W缺陷数值V10时，认定为重要缺陷。

（3）当内部控制缺陷数值V5时，认定为一般缺陷。

对所有缺陷进行分类分级后，内部控制评价项目负责人应将汇总的《内部控制缺陷汇总

表》，上报负责内部控制评价部门负责人审阅。

（三）内部控制自我评价的评分方法

1.内部控制自我评价分值分配

表4-1自我评价分值分配表

指标要素分类评价维度合计

建设情况执行情况

单位层面20%20%40%

业务层面30%30%60%

合计50%50%100%

注：表中分值可以根据实际情况进行调整。

2.单位层面指标要素综合评价

表4-2单位层面指标要素综合评价计算表

一级二级权重评价人员评分要素综合评分

评价要素评价要素%①建设情况②执行情况③建设情况②执行情况③

组织架构部门机构设置

部门职责划分

单位领导分工

运行机制三权分离机制

三重一大机制

领导问责机制

关键岗位岗位职责确定

轮岗制度

绩效考核制度

关键岗位人人员录用制度

员人员培训制度

奖励与处分

会计系统会计机构设置

会计信息质量

会计档案管理

信息系统系统运行维护

信息安全控制

评分标准:

1.建设情况：尚未完成0~11分，基本完成12~16,完成17~20分。

2.执行情况：尚未完成0~11分，基本完成12~16,完成17~20分。

注：表中二级评价要素可以根据实际情况进行调整。

3.业务层面指标要素综合评价

一级评价要级评价要素权重评价人员评分要素综合评分

素%①建设情况②执行情况③%①建设情况②

预算业务预算编报

预算下达

预算执行

决算管理

收支业务财务票据管理

工资发放

货币资金支付

采购.业务采购审批

采购验收

采购结算

资产管理货币资金管理

实物资产领用

固定资产维修

实物资产处置

表4-3业务层面指标要素综合评价计算表

建设项目项目立项

工程招标

工程结算

工程变更

合同业务合同订立

合同履行

合同归档

评分标准：

1.建设情况：尚未完成0~11分，基本完成12~16,完成17~20分。

2.执行情况：尚未完成0~11分，基本完成12~16,完成17~20分。

注：表中二级评价要素可以根据实际情况进行调整。

4.自我评价评分结果

由评价人员对单位内部控制设计有效性和执行有效性进行综合评价打分，设定“优、良、

中、差、较差”五个评价等级，对应的评价分数如下表：

表4-4自我评价评分结果

综合评价得分评分对应等级

90-100优

80-90良

70-80中

60-70差

0~60较差

(3)内部控制自我评价机构以汇总的评价结果和认定的内部控制缺陷为基础，综合内

部控制工作整体情况，客观、公正、完整地编制内部控制评价报告，并报送单位领导班子。

编制内部控制评价报告工作程序如图3-7所示。

性、图3—7编制内部控制评价报告工作程序g

或重大遗漏。

(2)内部控制自我评价工作的总体情况：明确单位内部控制自我评价工作的组织、领

导体制、进度安排。

(3)内部控制自我评价的依据：说明单位开展内部控制自我评价工作所依据的法律法

规和规章制度。

(4)内部控制自我评价的范围与内容：描述内部控制自我评价所涵盖的被评价单位，

以及纳入评价范围的业务事项，及重点关注的高风险领域。内部控制自我评价的范围如有所

遗漏的，须说明原因，及其对内部控制自我评价报告真实完整性产生的重大影响等。

(5)内部控制自我评价的程序和方法：描述内部控制自我评价工作遵循的基本流程，

以及评价过程中采用的主要方法。

(6)内部控制效果分析，对内部控制设计与运行有效性的概括评价：分析内部控制实

施后，对单位各项业务与内部管理提升的促进作用。

（7）内部控制重大和重要内部控制缺陷认定及其成因分析：描述适用本单位的内部控

制缺陷具体认定标准，并声明与以前年度保持一致或做出的调整及相应原因；根据内部控制

缺陷认定标准，确定评价期末存在的重大缺陷、重要缺陷和一般缺陷，并对缺陷进行分析,

阐述发生原因与源头，提出详细的整改方式与计划。

（8）内部控制缺陷的整改建议情况：对于评价期间发现、期末已完成整改的重大缺陷，

须阐述单位的整改结果。对于评价期末存在的内部控制缺陷，须阐述度位拟采取的整改措施

及预期效果。

（9）内部控制有效性的结论与完善对策：对不存在重大缺陷的情形，出具评价期末内

部控制有效结论；对存在重大缺陷的情形，不得作出内部控制有效的结论，并须描述该重大

缺陷的性质及其对实现相关控制目标的影响程度，以及可能给单位未来运行带来的相关风

险。自内部控制评价报告基准日至内部控制评价报告发出日之间发生重大缺陷的，单位须责

成内部控制评价机构予以核实，并根据核查结果对评价结论进行相应调整，说明单位拟采取

的措施。无论单位内部控制是否有效，都需针对本单位在内控建设中遇到的障碍与问题提出

建议。

《内部控制评价报告》经负责内部控制评价部门负责人审阅后上报分管领导审批，提交

负责内部控制评价部门汇总。

4.报告反馈和跟踪阶段

对于认定的内部控制缺陷，齿部控制自我评价机构结合单位领导班子要求，提出整改建

议，及时采取整改措施，要求责任单位及时整改，并跟踪其整改落实情况，切实将风险控制

在可承受度之内，并落实有关机构或相关人员的整改责任；已经造成损失或负面影响的，追

究相关人员的责任。

根据内部控制评价的结果，应制定整改计划实施整改。内部控制整改工作程序如图3—

8所示。

图3-8财务管理内部控制整改工作程序

内部控制评价项目组针对评价过程中发现的问题向被评价单位或部门提出整改建议，并

在《内部控制缺陷汇总表》中进行明确。

被评价单位或部门收到汇总的《内部控制缺陷汇总表》后，组织各内部控制机制与业务

流程负责人针对发现的各项内部控制问题，并参考内部控制评价项目组提出的改进建议，制

定整改计划，并报单位领导班子批准。获批后，各职能处室须制定切实可行的整改措施，包

括整改目标、内容、步骤、措施、方法、期限和责任人等。整改期限超过一年的，整改目标

须明确近期和远期目标以及相应的整改工作内容。

整改计划应根据设计缺陷和执行缺陷制定不同的整改方式。对于设计缺陷，应该组织人

力补充编写或修改已有的控制管理制度；对于执行缺陷，应该明确整改操作的具体方法。

被评价单位或部门各内部控制机制与业务流程负责人制定整改计划后报单位或部门负

责内部控制评价分管领导审批确认后，报内部控制评价项目组备案，并组织被评价单位或部

门部门有关岗位进行整改。

评价项目组须跟进内控缺陷的整改情况，对整改效果进行评价，督促各职能处室不断完

善自身的内控流程。单位内部控制自我评价机构根据收到的被评价单位或部门整改计划安排

后续的整改测试工作。对于控制设计缺陷，整改后再测试时主要关注有关内部控制管理制度

是否得到了合理的补充或修改，经过补充或修改的内部控制管理制度是否按照单位或部门既

有规定经过了有效的审批，新的内部控制管理制度是否己经被有效执行;对于控制运行缺陷，

采用与评价时相同的控制测试方法对整改后的样本进行抽样测试，测试结果仍按评价时的有

关要求记录于《控制测试文档》中，形成整改测试文档。最后根据整改测试结果编制《内部

控制缺陷整改跟踪明细表》（参见模板12）。

《内部控制缺陷整改跟踪明细表》应包括但不限于以下内容：

（1）按照被评价单位或部门，分单位层面的内部控制机制与业务层面的业务汇总所有

在内部控制评价工作中发现的内部控制缺陷。

（2）根据被评价单位或部门制定的整改方案，标注各个内部控制缺陷是否都列入整改

范围，没有列入整改范围的，需注明原因。

（3）列入整改范围的控制环节的再测试结果。

评价项目组可依据《内部控制缺陷整改跟踪明细表》编制被评价邑位或部门内部控制整

改工作总结，提交单位负责内部控制评价部门汇总。

3.7评价工作基础资料与文件的归档管理

单位负责内部控制评价部门负责内部控制评价工作中有关基础资料及文件的归档管理

工作，建立评价档案，包括内部控制评价通知书、评价方案、评价工作测试底稿和相关支持

性证据；、审阅的基础资料与文件、评价结果备忘录、整改测试文档记录及内部控制评价报

告，其他应归入评价档案的文件资料v等.

内部控制评价工作基础资料及文件应顺序编号并装订成册，同时建立评价工作文档目录。

并按照档案相关管理制度规定定期将所有内部控制评价有关基础资料及文件应送单位档案

室归档，且年度内部控制评价报告应永久保存。

第二节内部监督与审计

（一）内部监督

1.内部监督的含义

内部控制的内部监督是单位对其自身内部控制的建立与实施情况进行监督检查。

2.内部监督的实施主体

内部控制内部监督应当与内部控制的建立和实施保持相对独立，内部控制监督不能由

内部具体组织实施和日常管理的工作部门承担。对于设立了独立内部审计部门或者专职内

审岗位的单位，应当指定内审部门或者岗位作为内部监督的实施主体；对于没有内审部门

或岗位的单位，单位内部控制建设领导小组应当指定部门或岗位作为实施监督的责任主体;

对于将所有下属单位纳入内部监控建设实施范围统一开展内部控制建设的上级单位，其内

部监督实施主体同是也可以作为下属单位内部监督的实施主体。

XXX建设局内部监督责任岗位为纪检委员。

3.内部监督的内容及要求

负责内部监督的部门或岗位应当定期或不定期检查单位内部管理制度和机制的建立与

执行情况，以及内部控制关键岗位及人员的设置情况等，及时发现内部控制存在的问题并

提出改进建议。单位应当根据本单位实际情况确定内部监督检查的方法、范围和频率，通

常不能少于一年一次。

4.内部监督的方式

（1）日常监督

纪检委员对本单位建立与实施内部控制的情况进行常规、持续的监督检查，对内部监

督过程中发现的内部控制缺陷进行整理和汇总，分析缺陷性质（设计缺陷或执行缺陷）和产

生的原因提出改进建议。

（2）专项监督

纪检委员在单位职能定位、组织结构、业务活动、业务流程、关键岗位等发生较大调

整和变化的情况下对内部控制某或某些方面进行有针对性的监督检查。

（3）自我评价报告

内控自我评价报告是单位内部监督的一种形式，是建立在日常监督和专项监督基础上,

定期对内部控制的有效性进行综合评价并出具自我评价报告的过程。