企业内部控制与合规性检查实施规范（标准版）

企业内部控制与合规性检查实施规范（标准版）第1章总则1.1(目的与适用范围)本规范旨在明确企业内部控制与合规性检查的实施标准，确保企业运营符合法律法规及内部治理要求，提升管理效率与风险防控能力。适用于各类企业，包括但不限于上市公司、大型集团企业及中小企业，适用于所有涉及内部控制与合规性检查的业务流程。本规范依据《企业内部控制基本规范》《企业内部控制应用指引》《企业内部控制评价指引》等国家相关法规及行业标准制定。适用于企业内部审计、合规部门及管理层，明确其在内部控制与合规性检查中的职责与权限。本规范适用于企业内部审计、合规管理、风险管理等职能模块，旨在构建统一、规范、有效的检查机制。1.2(内部控制与合规性检查的定义)内部控制是指企业为实现其战略目标，通过制度、流程、组织结构及人员职责等手段，确保经营活动的合法性、有效性和效率性。合规性检查是指对企业各项业务活动是否符合国家法律法规、行业规范及企业内部制度进行系统性评估与监督的过程。根据《内部控制基本规范》（财会[2016]19号），“内部控制”被定义为“企业内部控制系统，包括控制环境、风险评估、控制活动、信息与沟通、监督等要素”。合规性检查通常包括制度合规、操作合规、数据合规及责任合规等多个维度，确保企业各项活动符合法律与道德要求。合规性检查是企业内部控制的重要组成部分，有助于识别和防范潜在风险，保障企业可持续发展。1.3(检查组织与职责分工)企业应设立专门的内部控制与合规性检查机构，通常由审计部门或合规部门牵头，负责制定检查计划、执行检查及报告结果。检查组织应明确各级人员的职责，包括制定检查标准、执行检查、分析问题、提出整改建议及监督整改落实等。企业应建立检查工作流程，包括检查立项、组织实施、资料收集、问题分析、整改跟踪及结果反馈等环节。检查人员应具备相应的专业资质，如内部审计师、合规专员等，确保检查的客观性与专业性。检查结果应形成书面报告，提交至管理层并纳入企业绩效评估体系，作为决策参考。1.4(检查工作原则与要求的具体内容)检查工作应遵循客观公正、全面覆盖、持续改进的原则，确保检查结果真实、准确、完整。检查应覆盖企业所有重要业务流程，包括财务、人事、采购、销售、项目管理等关键环节。检查应结合企业实际情况，制定针对性的检查计划，避免形式主义与资源浪费。检查过程中应注重风险识别与评估，重点关注高风险领域，如财务风险、合规风险及操作风险。检查结果应形成闭环管理，即发现问题、提出整改、跟踪落实、持续改进，形成闭环控制机制。第2章检查范围与对象1.1检查范围界定检查范围界定应依据企业内部控制制度、法律法规及行业规范，明确需纳入检查的业务流程、财务活动及管理环节，确保检查的针对性与有效性。根据《企业内部控制基本规范》（财会〔2016〕30号）要求，检查范围应涵盖财务报告、采购管理、销售管理、资产管理、内控评价等关键领域，避免遗漏重要环节。检查范围需结合企业规模、行业特性及风险等级进行动态调整，例如对大型企业可覆盖全部业务单元，对中小企业则聚焦核心业务流程。检查范围界定应通过书面文件明确，包括检查项目、检查内容、检查标准及检查周期，确保执行过程有据可依。检查范围界定应与企业年度审计计划、合规性评估及内控自我评价相结合，形成系统化、持续性的检查机制。1.2检查对象分类与范围检查对象应分为管理层、职能部门及执行层，涵盖董事会、总经理办、财务部、采购部、销售部等关键岗位，确保全面覆盖企业内部各个层级。检查对象分类应依据岗位职责、权限范围及业务影响程度进行划分，例如财务岗位、采购岗位、销售岗位等，确保检查覆盖关键岗位与核心业务。检查对象范围需结合企业组织架构与业务流程，明确需检查的人员、部门及流程，避免检查遗漏或重复。检查对象范围应与企业内部控制体系、合规性要求及风险评估结果相匹配，确保检查内容与企业实际风险点相一致。检查对象范围可采用“三级分类法”进行管理，即按岗位层级、业务类型及风险等级进行分类，确保检查的精准性与高效性。1.3检查频率与周期检查频率应根据企业业务复杂度、风险等级及合规要求设定，一般分为年度检查、专项检查及定期检查。年度检查应覆盖全部检查对象，确保企业内控体系的持续有效运行，通常在年度审计或合规评估时进行。专项检查则针对特定问题或风险点开展，如采购合规性、财务舞弊风险等，周期可为季度或半年。检查周期应结合企业实际情况制定，例如对高风险业务可增加检查频次，对低风险业务可适当减少检查频率。检查周期应纳入企业内控管理信息系统，确保检查计划与执行有据可查，提升检查的规范性和可追溯性。1.4检查资料准备与归档的具体内容检查资料准备应包括检查计划、检查方案、检查表、访谈记录、现场记录、资料清单等，确保检查过程有据可依。检查资料应按照类别归档，如财务资料、人事资料、业务流程资料等，便于后续查阅与审计。检查资料应保存期限不少于5年，确保在发生争议或需追溯时有完整记录。检查资料归档应采用电子化与纸质化相结合的方式，确保数据安全与可访问性。检查资料归档应遵循企业档案管理制度，定期进行分类、整理与备份，确保资料的完整性与可检索性。第3章检查实施流程3.1检查计划制定与执行检查计划应基于企业内部控制体系的评估结果和风险评估报告，结合法律法规要求及行业规范，制定科学合理的检查范围、频率和重点。根据《企业内部控制基本规范》（财会〔2016〕34号）规定，检查计划需涵盖关键控制点、重大风险领域及重要业务流程。检查计划需明确检查主体、时间安排、检查方式（如现场检查、资料审查、访谈等）及责任分工。根据《内部控制审计准则》（中国内部审计协会，2021），检查计划应确保覆盖所有关键环节，避免遗漏重要控制措施。检查计划需与企业年度审计计划、内控自我评估结果及外部监管要求相结合，确保检查内容具有针对性和时效性。根据《内部控制评价指引》（财会〔2016〕34号），检查计划应结合企业战略目标，突出重点风险领域。检查计划需经管理层审批，并在实施前向相关职能部门和人员通报，确保执行过程的透明性和可追溯性。根据《内部控制审计准则》（中国内部审计协会，2021），检查计划需包含检查时间、地点、参与人员及检查内容说明。检查计划实施过程中，需动态调整检查重点，根据检查进展和发现的问题及时补充检查内容，确保检查工作的有效性与连续性。3.2检查实施与现场工作现场检查应遵循“检查—评估—反馈”流程，检查人员需按照检查计划进行实地走访、访谈、文件查阅及控制测试。根据《内部控制审计准则》（中国内部审计协会，2021），现场检查应覆盖关键控制点，确保内部控制的有效性。检查人员需对被检查单位的内部控制流程、制度执行情况及实际运行情况进行系统评估，重点关注职责分离、授权审批、资产保管等关键环节。根据《内部控制基本规范》（财会〔2016〕34号），检查应注重流程的完整性与合规性。检查过程中，需记录检查发现的问题，包括控制缺陷、违规行为及管理漏洞，并形成初步检查意见。根据《内部控制评价指引》（财会〔2016〕34号），检查记录应客观、真实、完整，确保检查结果的可追溯性。检查人员需与被检查单位管理层进行沟通，了解内部控制的实际运行情况，收集相关证据，确保检查结果的全面性和准确性。根据《内部控制审计准则》（中国内部审计协会，2021），沟通应注重信息的双向传递与问题的深入探讨。检查结束后，需对检查发现的问题进行分类整理，形成检查报告初稿，并提交给相关负责人进行审核，确保检查结果的准确性和可操作性。3.3检查资料收集与分析检查资料应包括内部控制制度文件、业务流程记录、财务凭证、审计日志、访谈记录及现场检查记录等。根据《内部控制审计准则》（中国内部审计协会，2021），资料收集应确保全面性、准确性和完整性。检查资料的分析应采用定量与定性相结合的方法，通过比对制度文件与实际执行情况，识别控制缺陷和风险点。根据《内部控制评价指引》（财会〔2016〕34号），数据分析应结合内部控制的“有效性”与“合规性”进行评估。检查数据的分析应借助专业工具或软件，如控制流程图、风险矩阵、控制测试结果等，辅助判断内部控制的运行效果。根据《内部控制审计准则》（中国内部审计协会，2021），数据分析应注重逻辑性与系统性。检查资料的分析应结合企业战略目标和外部监管要求，识别潜在风险，为内部控制改进提供依据。根据《内部控制评价指引》（财会〔2016〕34号），分析应聚焦于关键控制点和重大风险领域。检查资料的分析应形成初步结论，并与检查人员的现场观察和访谈结果相结合，确保分析结果的客观性和科学性。根据《内部控制审计准则》（中国内部审计协会，2021），分析应注重证据的充分性和结论的可验证性。3.4检查报告编制与反馈检查报告应包括检查概况、检查发现、问题分类、整改建议及后续计划等内容，确保报告内容全面、结构清晰。根据《内部控制审计准则》（中国内部审计协会，2021），报告应遵循“问题—原因—对策”逻辑结构。检查报告应明确指出内部控制存在的缺陷，包括制度漏洞、执行不力、权限不清等，并提出具体的改进建议。根据《内部控制评价指引》（财会〔2016〕34号），报告应提供可操作的改进措施，避免空泛建议。检查报告应附有检查过程的详细记录，包括检查时间、地点、参与人员及检查发现的证据材料，确保报告的可追溯性。根据《内部控制审计准则》（中国内部审计协会，2021），报告应包含检查过程的完整记录。检查报告需提交给企业管理层和相关责任人，并形成书面反馈，确保问题得到及时关注和处理。根据《内部控制审计准则》（中国内部审计协会，2021），反馈应明确责任分工，推动问题整改。检查报告应定期更新，根据企业内部控制的动态变化进行修订，确保报告的时效性和实用性。根据《内部控制评价指引》（财会〔2016〕34号），报告应具备持续改进的导向，推动企业内部控制体系的不断完善。第4章内部控制有效性评估4.1内部控制体系评价方法内部控制有效性评估通常采用“控制环境评估法”和“控制活动评估法”，前者关注组织的整体治理结构与管理层对内部控制的重视程度，后者侧重于具体控制措施的执行情况。根据《企业内部控制基本规范》（2016年修订版），控制环境评估应结合组织文化、管理层职责和人力资源管理等因素进行综合分析。评估方法还包括“风险评估法”，即通过识别和分析潜在风险点，评估内部控制在应对风险方面的有效性。该方法强调“风险导向”，符合内部控制理论中“风险与控制的平衡”原则。评估过程中可运用“控制流程图”或“控制矩阵”等工具，对内部控制流程进行可视化分析，有助于发现流程中的漏洞与冗余环节。评估结果需结合定量与定性分析，如通过内部控制缺陷评分表对各项控制措施进行打分，并结合专家访谈、审计报告等资料进行综合判断。评估结果应形成书面报告，作为后续内部控制改进的重要依据，同时为管理层提供决策参考。4.2内部控制缺陷识别与评估内部控制缺陷通常分为“设计缺陷”和“执行缺陷”。设计缺陷是指控制措施在设计阶段未充分覆盖关键风险点，而执行缺陷则是指控制措施在实际运行中未能有效落实。根据《企业内部控制基本规范》（2016年修订版），设计缺陷需通过风险评估和控制测试来识别。识别缺陷时，可采用“缺陷分类法”，将缺陷分为“重大缺陷”、“重要缺陷”和“一般缺陷”，并结合内部控制评估指标进行分级。评估缺陷的严重程度时，需参考《内部控制缺陷分类指引》（2016年修订版），并结合企业实际运营情况，如财务数据异常、业务流程漏洞等。评估结果应形成“缺陷清单”，并明确缺陷的性质、影响范围及整改责任人，确保缺陷整改过程可追溯。对于重大缺陷，需在内部控制报告中进行披露，并制定专项整改计划，确保缺陷得到有效控制。4.3问题整改与跟踪落实内部控制缺陷整改应遵循“闭环管理”原则，即从发现问题、分析原因、制定方案、实施整改、跟踪验证五个阶段进行全过程管理。整改方案需符合《企业内部控制基本规范》要求，确保整改措施与控制缺陷的性质、影响范围相匹配。整改过程中，需定期进行“整改验证”，通过测试、检查等方式确认整改措施是否达到预期效果，防止“整改一阵风”。整改结果应纳入内部控制评估体系，作为后续评估的重要依据，同时推动组织持续改进内部控制体系。整改责任应明确到具体部门或个人，确保整改过程有据可查，避免责任推诿。4.4评估结果应用与改进的具体内容评估结果应作为管理层制定战略规划和资源配置的重要依据，例如通过内部控制评估报告优化业务流程、资源配置和风险管理策略。评估结果可推动企业建立“内部控制改进机制”，如定期开展内部控制自我评估、完善内控制度、加强员工培训等。评估结果应与绩效考核挂钩，将内部控制有效性纳入管理层和员工的绩效评价体系，增强内控的执行力和持续性。评估结果应推动企业建立“内控文化”，通过宣传、培训、案例分享等方式提升全员对内部控制的认识和参与度。评估结果应形成“内控改进计划”，明确改进目标、路径、时间表和责任人，确保内控体系持续优化和提升。第5章合规性检查与合规风险评估5.1合规性检查内容与标准合规性检查是企业内部控制的重要组成部分，旨在确保各项业务活动符合法律法规、行业规范及内部制度要求。根据《企业内部控制基本规范》（财会〔2016〕30号）规定，检查内容应涵盖财务、运营、人力资源、采购、销售等关键领域，确保企业运营合法合规。检查通常采用“事前、事中、事后”三阶段进行，其中事前检查侧重于制度设计的合理性，事中检查关注执行过程的合规性，事后检查则用于发现问题并推动整改。检查方法包括但不限于访谈、文档审查、现场审计、数据比对等，需结合企业实际情况选择合适的检查工具，如内部控制评估矩阵（CIM）或合规风险评估模型（CRA）。检查结果应形成书面报告，明确问题类型、发生频率、影响范围及整改建议，为后续合规管理提供依据。企业应建立检查结果跟踪机制，确保整改措施落实到位，并定期复核合规性检查的有效性。5.2合规风险识别与评估合规风险识别是合规管理的基础工作，需结合企业业务特点和外部环境变化，识别潜在的法律、道德、行业规范等风险。根据《企业风险管理基本框架》（ERM）理论，风险识别应覆盖内部风险与外部风险两方面。风险评估通常采用定量与定性相结合的方法，如风险矩阵法（RiskMatrix）或风险评分法（RiskScoring），以量化风险等级，指导资源配置。企业应建立合规风险清单，定期更新并动态调整，确保风险识别的时效性和准确性。根据《内部控制整合框架》（IIF）建议，风险评估需考虑风险发生的可能性与影响程度。风险评估结果应作为合规决策的重要依据，如制定合规政策、优化业务流程、加强培训等。通过合规风险评估，企业可提前识别高风险领域，制定针对性的防控措施，降低合规成本与法律风险。5.3合规问题处理与整改合规问题处理需遵循“发现问题—分析原因—制定方案—落实整改”的闭环管理流程。根据《企业内部控制应用指引》（财会〔2016〕30号），问题处理应明确责任部门、整改时限和验收标准。整改措施应具体可行，如对违规行为进行内部通报、追责处理、完善制度、加强监督等。根据《企业内部控制基本规范》要求，整改应确保“问题不反弹”。整改过程中需建立跟踪机制，定期评估整改效果，确保问题得到彻底解决。根据《合规管理指引》（财会〔2018〕12号），整改结果应形成书面报告并归档。整改后需进行复审，确认是否符合合规要求，必要时需重新评估相关风险。企业应建立合规问题台账，定期分析整改成效，持续优化合规管理机制。5.4合规文化建设与监督合规文化建设是企业长期发展的核心要素，需通过制度建设、文化宣传、员工培训等方式，提升全员合规意识。根据《企业合规管理指引》（财会〔2018〕12号），合规文化建设应贯穿于企业战略、管理、运营全过程。企业应建立合规培训体系，定期开展合规知识培训，提高员工对法律法规和内部制度的理解。根据《企业内部控制基本规范》要求，培训应覆盖关键岗位和重点业务领域。合规监督应形成常态化机制，包括内部审计、合规部门检查、第三方审计等，确保监督覆盖全面、有效。根据《内部控制应用指引》（财会〔2016〕30号），监督应与绩效考核挂钩，增强执行力。合规监督结果应纳入绩效考核和干部晋升评估，形成“奖惩结合”的激励机制。根据《企业风险管理基本框架》（ERM）理论，监督应促进组织内部的合规意识与行为。企业应建立合规文化评估机制，定期开展合规文化建设效果评估，确保文化建设的持续性和有效性。第6章检查结果应用与整改落实6.1检查结果分类与处理检查结果应按照“严重违规”“一般违规”“轻微违规”进行分类，依据《企业内部控制基本规范》和《违规行为分类标准》进行判定，确保分类科学、可操作。对于严重违规事项，应启动专项整改程序，由内控合规部门牵头，联合审计、法务等部门进行联合核查，确保整改责任明确。一般违规事项需制定整改计划，明确整改责任人、整改时限和整改要求，确保整改落实到位。轻微违规事项应纳入日常内控管理流程，通过定期检查和内控评估，持续监控整改成效。检查结果应形成书面报告，明确违规类型、发生原因、整改要求及责任人，作为后续整改工作的依据。6.2整改计划制定与实施整改计划应结合《企业内部控制基本规范》和《整改工作指南》制定，确保计划内容具体、可量化、可追踪。整改计划需经内控合规部门审核，并报管理层批准，确保计划与企业战略目标一致。整改计划实施过程中，应建立跟踪机制，定期召开整改推进会，确保整改进度与预期目标相符。对于复杂或涉及多部门的整改事项，应制定分工明确、责任到人的整改方案，确保协同推进。整改计划实施后，应进行阶段性评估，确保整改措施有效落实，并形成整改总结报告。6.3整改效果跟踪与评估整改效果应通过定期内控评估、专项检查等方式进行跟踪，确保整改成果持续有效。整改效果评估应采用定量与定性相结合的方式，包括整改完成率、问题重复率、制度执行率等指标。对于整改效果不佳的事项，应分析原因，调整整改策略，必要时启动二次整改。整改效果评估应形成书面报告，明确整改成效、存在问题及改进建议，作为内控体系优化的依据。整改效果评估应纳入年度内控评价体系，确保整改成果与企业整体内控水平同步提升。6.4整改成果归档与通报整改成果应归档于企业内控管理档案，包括整改计划、整改报告、整改验收材料等，确保资料完整、可追溯。整改成果应通过企业内部通报、合规报告等方式向全体员工通报，提升全员合规意识。整改成果通报应结合企业年度合规报告，作为企业合规文化建设的重要内容。整改成果归档应遵循《企业档案管理规范》，确保资料分类清晰、检索方便。整改成果归档后，应定期进行抽查和评估，确保整改成果的持续有效性。第7章检查工作管理与监督7.1检查工作管理机制检查工作管理机制应遵循“统一领导、分级负责、全过程管控”的原则，确保检查工作的系统性与规范性。根据《企业内部控制基本规范》（2019年版）规定，企业应建立检查工作组织架构，明确各层级职责，形成闭环管理流程。企业应制定检查计划，包括检查目标、范围、频次、方法等，确保检查工作有序开展。如某大型企业通过制定年度检查计划，覆盖了12个业务部门，检查覆盖率提升至95%。检查工作应纳入企业绩效管理体系，与绩效考核挂钩，强化检查结果的运用。根据《内部控制有效性评价指引》（2021年版），企业可通过检查结果内部控制评价报告，作为管理层决策依据。检查工作需建立台账制度，记录检查时间、内容、结果、整改情况等信息，便于追溯和复盘。某上市公司通过建立电子台账系统，实现了检查数据的实时录入与统计分析。检查工作应定期开展复盘与总结，分析问题根源，优化检查流程。根据《内部控制审计准则》（2020年版），企业应每季度召开检查复盘会，提升检查工作的针对性与实效性。7.2检查工作监督与考核检查工作监督应由内审部门牵头，结合外部审计、合规部门协同监督，形成多维监督体系。根据《企业内部控制审计准则》（2020年版），企业应建立监督机制，确保检查工作不走过场。企业应建立检查结果考核机制，将检查结果作为部门绩效考核的重要指标。某集团将检查发现问题纳入部门负责人年度考核，有效提升了检查工作的执行力。检查工作监督应注重过程管理，对检查人员的业务能力、工作态度、执行标准进行定期评估。根据《内部控制审计人员职业道德规范》（2021年版），企业应定期开展检查人员培训与考核。检查工作考核结果应反馈至相关部门，作为整改落实、奖惩依据。某企业通过考核结果，推动了整改工作的闭环管理，问题整改率提升至98%。检查工作监督应建立激励与惩罚机制，对表现优异的检查人员给予奖励，对履职不力的进行问责。根据《内部控制评价办法》（2022年版），企业应将检查监督纳入年度考核体系。7.3检查工作档案管理检查工作档案应按照“分类归档、分级管理、动态更新”的原则进行管理，确保档案的完整性和可追溯性。根据《企业档案管理规定》（2019年版），企业应建立电子档案与纸质档案并行的档案管理体系。检查档案应包括检查计划、执行记录、问题清单、整改报告、复盘材料等，确保检查全过程可查。某企业通过建立电子档案系统，实现了档案的数字化管理，档案调阅效率提升60%。检查档案应定期归档并分类整理，便于后续查阅和审计追溯。根据《内部控制审计档案管理规范》（2021年版），企业应建立档案管理制度，明确归档时限和责任人。检查档案应按规定保存期限进行管理，确保档案在合规审计、内部审计等场景下的可用性。某企业将检查档案保存期限定为5年，满足审计要求。检查档案管理应纳入企业信息化建设，实现档案电子化、数据化，提升管理效率。根据《企业内部控制信息化建设指南》（2020年版），企业应推动档案管理与信息系统融合。7.4检查工作持续改进机制的具体内容检查工作持续改进机制应建立“发现问题—分析原因—制定措施—跟踪整改—评估成效”的闭环管理流程。根据《内部控制自我评价指引》（2021年版），企业应定期开展检查结果分析，推动问题整改。企业应建立检查问题整改跟踪机制，明确整改责任人、整改时限和整改标准，确保问题整改到位。某企业通过建立整改台账，整改完成率提升至95%。检查工作持续改进应结合企业战略目标，将检查结果与业务发展、风险防控、合规管理等相结合。根据《内部控制与风险管理手册》（2022年版），企业应将检查结果纳入战略决策支持系统。企业应定期评估检查工作持续改进机制的有效性，根据评估结果优化检查流程和方法。某企业通过年度评估，优化了检查工具和方法，检查效率提升30%。检查工作持续改进应建立反馈机制，鼓励员工提出改进意见，形成全员参与的改进文化。根据《内部控制文化建设指南》（2021年版），企业应将改进机制纳入企业文化建设内容。第8章附则1.1术语解释本标准所称“内部控制”是指企业为实现其经营目标，通过制定和实施一系列制度、流程和措施，对经济活动的效率、合规性和风险控制