行分析并指出不足之处。评价工作组与被评价单位进行充分沟通，了解其经营业务范围、
企业文化、发展战略、组织结构、人力资源等内部环境及内部控制内容中五个要素的运作情
况。

（2）了解各业务层面的主要流程及风险。这阶段，评价工作组把工作重点放在主要

业务流程中，如资金管理流程、销售流程、采购流程等。

固有风险是指假设不存在相关的内部控制，某一业务风险事项发生的可能性。

（3）确定检查评价范围和重点。评价工作组根据掌握的情况确定评价范围、检查重点

和抽样数量，进行分工与测试。

（4）开展现场检查测试。评价工作组可综合运用个别访谈、调查问卷、专题讨论、穿行

测试、实地查验、抽样和比较分析等评价方法，收集被评价单位内部控制设计与运行是否
有效的证据，按照要求填写工作底稿、记录有关测试结果。

评价方法：
①个别访谈。评价工作组人员可以个别访谈企业或被评价单位的不同人员，了解公司

内部控制的现状与运行。个别访谈通常用于企业层面与业务层面评价的阶段。

②调查问卷。调查问卷多用于企业层面的评价。
③专题讨论。这是一种集合企业中有关专业人员就内部控制执行情况或控制问题进行

分析和讨论。

④穿行测试。穿行测试是指在流程中任意选取一项交易为样本，获取原始单据、跟踪

交易从最初起源，到会计处理，信息系统和财务报告编制，直到这项交易在财务报表中
报告出来的全过程。

⑤实地查验。这是一个用于

业务层面评价的方法。

⑥抽样。抽样方法可以分为

随机抽样和其他抽样法

。随机抽样一般被认为是最具有代

表性或是基于统计学的取样方式。

⑦比较分析。这是一种通过数据分析，识别评价关注点的方法。
⑧审阅与检查。这也是在

业务层面

评价的常用方法，通过核对有关证据而获取有关控

制的运行状况。

4.汇总评价结果

    

评价工作组人员应当在其工作底稿中，记录评价所实施的程序及有关结果。
企业内部控制评价部门或机构应编制内部控制缺陷认定汇总表，结合日常监督和专

项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影
响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向董事会、监事会或者
经理层报告。

重大缺陷应当由董事会予以最终认定。

企业对于认定的重大缺陷，应当及时

采取应对策略，切实将风险控制在可承受度之内，并追究有关部门或相关人员的责任。

（三）内部控制缺陷的认定
1.内部控制缺陷的分类
（1）按照内部控制缺陷的本质分类：

内部控制缺陷分为设计缺陷和运行缺陷

。

①设计缺陷是指缺少为实现控制目标所必需的控制，或者现有控制设计不适当，即

使正常运行也难以实现控制目标。

②运行缺陷是指设计适当的控制没有按设计意图运行，或者执行人员缺乏必要授权

或专业胜任能力，无法有效实施控制。

“

”

例如 未建立定期的现金盘点程序 即属于控制设计问题。设计缺陷既可以是系统的设

计缺陷，也可以是系统外手工控制的设计缺陷。而运行缺陷是指设计合理及有效的内部控
制，但在运作上没有被正确地执行。这包括不恰当的人员执行，未按设计的方式运行，如

“

频率不当等。例如： 物资采购申请金额已超其采购权限，却未向上级公司申请安排大宗