财政部、证监会、审计署、银监会、保监会在国家有关法律法规和《企业内部控制基本规范》的基础上，于二○一○年四月十五日以“财会[2010]11号《关于印发企业内部控制配套指引的通知》”联合发布《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，连同此前发布的《企业内部控制基本规范》，这些文件的出台标志着适应我国企业实际情况、融合国际先进经验的企业内部控制规范体系基本建成,为中国企业构建和实施企业内部控制提供了具体指南,细化了基本规范的内容,增强了基本规范的可操作性,促进企业建立、实施和评价内部控制,规范会计师事务所内部控制审计行为,发展了我国企业内部控制理论,是对世界范围内企业内部控制领域的重要贡献。其中，《企业内部控制评价指引》的制定发布，为企业开展内部控制自我评价提供了一个共同遵循的标准，为参与国际竞争的中国企业在内部控制建设方面提供了自律性要求，有利于提高投资者、社会公众乃至国际资本市场对中国企业素质的信任度。内部控制评价在企业内部控制实务中占据相当重要的地位，内部控制评价是指企业董事会或类似决策机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程，“内部控制评价指引”，着重就企业如何做好内部控制自我评价工作提出指导性意见。同样，这套内控评价指引也是为适应我国社会主义市场经济发展要求的特色，参考发达市场国家或地区的现成做法，在内控基本规范的前提下，在内控评价口径、范围、要素和评价活动等内容作出了具体规范，成为我国企业内部控制规范体系中的一个重要部分。通知要求，该配套指引自2011年1月1日起在境内外同时上市的公司施行，自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行；在此基础上，择机在中小板和创业板上市公司施行。鼓励非上市大中型企业提前执行。请各上市公司及相关非上市大中型企业切实做好执行前的各项准备工作。通知还要求，执行《企业内部控制基本规范》及《企业内部控制配套指引》的上市公司和非上市大中型企业，应当对内部控制的有效性进行自我评价，披露年度自我评价报告，同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。上市公司聘请的会计师事务所应当具有证券、期货业务资格。今后企业施行内部控制规范体系的情况将成为政府监管部门进行监督检查的重点，成为全面提升上市公司和非上市大中型企业经营管理水平的重要举措。

“企业内部控制基本规范”明确要求，企业应当根据国家有关法律、行政法规和本规范，结合部门或者系统有关内部控制规定，在对现有经营管理制度、措施及其实施情况进行全面分析、总结的基础上，制定适合本企业业务特点和管理要求、与经营管理制度和措施有机结合的内部控制制度，并组织实施。为此，基本规范还就董事会、董事长、经理、总会计师提出基本要求：（1）企业董事会应当充分认识自身对企业内部控制所承担的责任，加强对本企业内部控制建立和实施情况的指导和监督。（2）董事长（或者法定代表人、代表企业行使职权的主要负责人）对本企业内部控制的建立健全和有效实施负责。3、经理（或者总裁、厂长）根据法定职权、企业章程和董事会的授权，负责组织领导本企业内部控制的日常运行。4、总会计师（或者财务总监、分管财务会计工作的负责人）在董事长和经理的领导下，主要负责与财务报告的真实可靠、资产的安全完整密切相关的内部控制的建立健全与有效执行。同时，基本规范要求企业健全内部审计机构、加强内部审计监督。如在董事会下设立审计委员会的企业，应当保证审计委员会成员具备良好的职业操守和专业胜任能力，审计委员会及其成员应当具有相应的独立性。审计委员会应当直接对董事会负责。审计委员会在企业内部控制建立和实施中承担的职责一般包括：（1）审核企业内部控制及其实施情况，并向董事会作出报告；（2）指导企业内部审计机构的工作，监督检查企业的内部审计制度及其实施情况；（3）处理有关投诉与举报，督促企业建立畅通的投诉与举报途径；（4）审核企业的财务报告及有关信息披露内容；（5）负责内部审计与外部审计之间的沟通协调。其次，规范要求企业在企业内部设立专门的内部审计机构，应当保证内部审计机构具有相应的独立性，并配备与履行内部审计职能相适应的人员和工作条件。未设立内部审计机构的企业，应当由董事会授权或者企业章程规定的有关机构承担上述职责。

在设立内部审计机构的基础上，企业须对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面检查报告并作出相应处理。企业应当利用信息与沟通情况，提高监督检查工作的针对性和时效性；同时，通过实施监督检查，不断提高信息与沟通的质量和效率。此次“企业内部控制评价指引”则在此基础上,更进一步要求企业根据基本规范、应用指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督“五要素”，对内部控制有效性进行全面评价，包括财务报告内部控制有效性和非财务报告内部控制有效性。企业建立有效的内部控制，至少考虑五基本要素：（1）内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。（2）风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。（3）控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段，是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。（4）信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。（5）监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并作出相应处理的过程，是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行持续性监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查的一项重要内容。内部控制是由企业董事会、管理层及全体员工共同参与的一个过程，旨在确保企业行为符合法规要求、保护资产安全、提高经营的效果与效率，企业董事会应对内控制度的建立健全、有效实施及其检查监督负责，董事会应认真审阅内部控制自我评估报告，以及会计师事务所对内部控制自我评估报告的评价意见。内部控制自我评估报告至少应包括如下内容：内控制度是否建立健全、内控制度是否有效实施、内部控制检查监督工作的情况、内控制度及其实施过程中出现的重大风险及其处理情况、对本年度内部控制检查监督工作计划完成情况的评价、完善内控制度的有关措施和下一年度内部控制有关工作计划。例如：金陵药业股份有限公司（上市公司）在2010年年初公布“金陵药业2009年度内部控制自我评价报告”，报告说金陵药业公司对生产经营、财务报告、信息披露等相关的内部控制制度的建立和实施情况、内部控制有效性进行了全面自查，形成了公司内部控制自我评价报告。具体有以下几个方面：1、公司内部控制综述；（1）公司内部控制的组织架构；（2）内部控制制度建立健全情况；（3）内部审计部门的设立情况；（4）2009年公司为建立和完善内部控制所进行的重要活动、工作及成效。2、公司内部重点控制活动；（1）公司控股子公司情况表；（2）公司控股子公司的内部控制情况；（3）公司关联交易的内部控制情况；（4）公司对外担保的控制情况；（5）公司募集资金使用的内部控制情况；（6）公司重大投资的内部控制情况；（7）公司信息披露的内部控制情况；3、公司内部控制的后续完善计划；4、公司内部控制情况的总体评价。该公司董事会认为：“公司内部控制在内部环境、风险评估、控制活动、信息与沟通、内部监督等各个方面发挥了较好的管理控制作用。总体上符合深圳证券交易所《上市公司内部控制指引》的相关要求。”5、公司监事会对内部控制自我评价的意见。6、公司独立董事对内部控制自我评价的意见。金陵药业这份自查评价报告公布在此次财政部“企业内部控制评价指引”发布前，此前，上海、深圳证券交易所发布了《上市公司内部控制指引》，部分上市公司已经尝试对外披露内部控制评价报告。但由于缺少统一的指导，这些对外披露的评价报告格式五花八门、质量参差不齐，不具可比性，也不利于报告使用者理解。因此，财政部这次颁发的“企业内部控制评价指引”专门对内部控制评价报告进行规范，要求企业在评价报告中至少披露以下内容：（1）董事会对内部控制报告真实性的声明，实质就是董事会全体成员对内部控制有效性负责；（2）内部控制评价工作的总体情况；（3）内部控制评价的依据，一般指基本规范、评价指引及企业在此基础上制定的评价办法；（4）内部控制评价的范围，描述内部控制评价所涵盖的被评价单位，以及纳入评价范围的业务事项；（5）内部控制评价的程序和方法；（6）内部控制缺陷及其认定情况，主要描述适用本企业的内部控制缺陷具体认定标准，并声明与以前年度保持一致，同时，根据内部控制缺陷认定标准，确定评价期末存在的重大缺陷、重要缺陷和一般缺陷；（7）内部控制缺陷的整改情况及重大缺陷拟采取的整改措施；（8）内部控制有效性的结论，对不存在重大缺陷的情形，出具评价期末内部控制有效结论，对存在重大缺陷的情形，不得作出内部控制有效的结论，并需描述该重大缺陷的成因、表现形式及其对实现相关控制目标的重要程度。

企业内部控制的有效性，包括财务报告内部控制有效性和非财务报告内部控制有效性。内部控制制度的重点是严格会计管理，设计合理有效的组织机构和职务分工，实施岗位责任分明的标准化业务处理程序。按其作用范围大体可以分为以下两个方面：1、内部会计控制：内部会计控制其范围直接涉及会计事项各方面的业务，主要是指财会部门为了防止侵吞财物和其他违法行为的发生，以及保护企业财产的安全所制定的各种会计处理程序和控制措施。有效的会计系统应当做到：（1）确认并记录所有真实的经济业务，及时并充分详细地描述经济业务，以便在财务会计报告中对经济业务作出适当的分类。（2）计量经济业务的价值，以便在财务会计报告中记录其适当的货币价值。（3）确定经济业务发生的时间，以便将经济业务记录在适当的会计期间。（4）在财务会计报告中适当地表达经济业务和披露相关事项。2、内部管理控制：内部管理控制范围涉及企业生产、技术、经营、管理的各部门、各层次、各环节。其目的是为了提高企业管理水平，确保企业经营目标和有关方针、政策的贯彻执行。从事前防范的环节来说，首先，企业需要根据内部控制规范及指引，结合企业实际情况，建立一套严格的内控规章制度，包括《企业财务管理办法》、《企业预算管理办法》、《资金计划管理办法》、《企业资金授权审批管理办法》等制度。内部会计控制制度设计的组织者必须是企业管理当局。设计者既要熟知企业经营政策和业务性质，了解经营理念和管理目标，还应熟悉内部控制原理和方法，有较强的综合分析和文字表达能力。如果企业内部具备这样的人才，企业可自行设计内部会计控制制度，否则应聘请外部专家来设计。设计时要注重选择关键的控制点，只有找出企业会计工作和管理工作中的这些关键环节，才能有针对性地设置相应内部控制制度，做到防范于未然。同时设计者必须明确控制目标，充分考虑各项内部会计控制制度是否符合内部控制基本原则，认真检查关键控制点是否进行了控制，所有的控制目标是否已达到。其次，在制度的基础上，要合理设置职能部门，明确各部门的职责，各司其职，建立财务、业务等控制和职能分离体系。充分考虑不兼容职务和相互分离的制衡要求，各部门、各岗位形成相互制约、相互监督的格局。如会计工作中的会计和出纳就属不相容职务，需要分离。应当加以分离的职务通常有：授权进行某项经济业务的职务要分离；执行某项经济业务的职务与审核该项业务的职务要分离；执行某项经济业务的职务与记录该项业务的职务要分离；保管某项财产的职务与记录该项财产的职务要分离等等。各组织机构的职责权限必须得到授权，并保证在授权范围内的职权不受外界干预；每类经济业务在运行中必须经过不同的部门并保证在有关部门进行相互检查；在对每项经济业务的检查中，检查者不应从属于被检查者，以保证被检查出的问题得以迅速解决。当某项经济业务的数额超过某部门的批准权限时，只有经过特定授权批准才能处理。授权批准控制的基本要求是要明确一般授权与特定授权的界限和责任；还要明确每类经济业务的授权批准程序；再次，要建立必要的检查制度，以保证经授权后所处理的经济业务的工作质量。企业设置内部审计机构或建立内部控制自我评估系统，要加强对本企业内部会计控制的监督和评估，及时发现内部控制中的漏洞和隐患，并针对出现的新问题、新情况及内部控制执行中的薄弱环节，及时修正或改进控制政策，做到有章必循、违章必究、违规必罚、以罚促纠，以期能更好地完成内部控制目标。另外，还要关注人员素质，会计人员在现代经济发展的新形势下，仅仅具有较高的专业素质还是不够的，要加强对会计人员的品德教育、职业道德教育，在专业人员的选拔任用方面以德为先，净化专业队伍，造就一支综合素质较高的会计队伍，才能保证企业的经济管理工作沿着健康有序的轨道良性运转。从事中控制环节来说，事中控制主要体现在安全性、完整性、合法性和效益性的控制，主要方法有：账实盘点控制、库存限额控制、实物隔离控制等。从事后监督环节来说，除事前防范，事中控制环节之外，事后监督也是必不可少的环节。如，在每个会计期间或每项重大经济活动完成之后，内部审计监督部门都应按照有效的监督程序，审计各项经济业务活动，及时发现内部控制的漏洞和薄弱环节。对内部控制及其实施情况的监督检查方式主要包括持续性监督检查和专项监督检查等。（1）持续性监督检查，是指企业对建立和实施内部控制的整体情况所进行的连续的、全面的、系统的、动态的监督检查。（2）专项监督检查，是指企业对内部控制建立与实施的某一方面或者某些方面的情况所进行的不定期的、有针对性的监督检查。持续性监督检查和专项监督检查应当有机结合。就内部审计应发挥的支持内部管理的作用来看，我国目前大多数企业的内部审计，无论从机构的设置、工作重点，还是内部审计内容的深度和广度、审计方式和规范管理等方面还有较大的距离，无法适应现代企业建立健全内部控制制度的要求，更有相当一部分企业尚未意识到内部控制的重要性,对内部控制存在许多误解,甚至概念模糊,治理结构先天不足,再加上内部控制固有的局限性,使企业内部控制薄弱,经济业务随意性大,缺乏有效的内部控制审计机制。如，目前企业大部分的内部审计部门,基本上与其他职能部门平行,有些中小企业甚至还没有独立的内部审计部门,这种状况使内部审计机构及人员往往受利益因素制约、人际关系影响,无法独立、客观、真实、公正、深入地开展工作,做出的审计处理也往往因管理体制的制约得不到有效贯彻落实,久而久之就失去了内部审计的权威性,成了企业可有可无的部门,难以在内部控制监督、评价中取得满意的效果；又如有的企业的内部审计人员往往将大部分精力投入到财务数据的真实性、合法性的查证及生产经营的监督上,其主要职能是查错防弊而不是对企业管理作出分析、评价和作出管理建议,审计的对象主要是会计报表、帐本、凭证及其相关资料,工作都集中在财务领域而未深入到管理和经营领域；从审计方式看,目前,一般企业的内部审计都是事后审计,只将内部控制评价作为审计的一种手段而不是独立的审计内容,无法做到对企业内部控制进行全过程、全方位的监督和评价,实现事前预防和事中控制,及时发现各个环节存在的问题,把企业的风险降到最低程度；等等。有鉴于此，此次颁发的“企业内部控制评价指引”要求企业实施内部控制评价，应当遵循下列原则：（1）风险导向原则。内部控制评价应当以风险评估为基础，根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。（2）一致性原则。内部控制评价应当采用统一可比的评价方法和标准，保证评价结果的可比性。（3）公允性原则。内部控制评价应当以事实为依据，评价结果应当有适当的证据支持。（4）独立性原则。内部控制评价机构的确定及评价工作的组织实施应当保持相应的独立性。（5）成本效益原则。内部控制评价应当以适当的成本实现科学有效的评价。之所以将风险导向原则列为内控评价原则的首条，是为了更多地将风险导向中的“风险”扩大为企业在经营过程中面临的不能实现其目标的各种风险，根据风险管理的需要,寻找所有可能降低风险的途径, 结合企业目标,评价企业现有控制措施能否将其存在的风险降低至可接受水平,以风险评估的结果来主导内部控制评价重点,根据风险的性质、影响程度、可接受水平,评价内部控制的恰当性和有效性,提出管理、控制风险的建议和方法,将评价、审计结果直接与企业经营目标和风险控制联系在一起。近年来以风险为导向的现代内部控制评价方法不断涌现,主要方法有标杆比较法、风险矩阵法、控制自我评估法等。传统内部控制评价方法主要描述和分析内部控制机制的恰当性和有效性,以及在完成所指派职责时的执行效果。其对内部控制的测试与评价所遵循的逻辑顺序是“控制→风险→评价控制目的是否实现”,可见, 传统内部控制评价方法更多的是一种事后的反馈,在确认内部控制薄弱环节之后,提供信息以帮助管理层增强和完善内部控制。而基于风险管理的现代内部控制评价方法，其内部控制的测试与评价遵循的逻辑顺序是“目标→风险→控制”,同时将根据企业风险评估调整评价、审计战略,确定评价、审计重点,紧密关注高风险的领域,以提供更相关、更符合管理层和董事会需求的确证信息,从而保证要素投入主体的利益。其中，（1）标杆比较法：标杆比较法(benchmark)就是将本企业各项活动与从事该项活动最佳者进行比较,从而提出行动方法,以弥补自身的不足。它一般分为以下两个步骤:首先,企业需要建立或确认自身所在行业的最佳实务。其次,了解企业风险管理整体框架实际情况并将其与最佳实务进行对比,用定量或定性方式评估差距。（2）风险控制矩阵：风险控制矩阵(Risk and Control Matrix, RCM) 是审计人员根据企业经营目标、风险与控制之间的联系,为确保审计建议，针对重要的风险而建立的一张工作表。风险控制矩阵是差距分析和审计过程中的一个关键文档。RCM为公司相关的风险、需要达到的控制及当前控制状态等提供了一个控制范例。（3）控制自我评价法：内部控制自我评价(Control Self-assessment,CSA)是近年来产生的一种新的内部控制评价方法,体现了内部控制评价的新观念控制自我评估。控制自我评价法是在1987年由加拿大海湾资源有限公司首先采用的,是一种用来检查和评估内部控制有效性的新方法,是由组织成员在内部审计机构的推进和协助下评估组织活动的风险和控制的过程。CSA强调内部控制系统既不是内部审计工作的责任,也不仅仅是高级管理层应关心的问题,相反,应该把它看成是所有雇员共同的责任。控制自我评估体现了应该最先询问那些参与了风险评估过程以及执行了整个控制过程的人,它所包含的不断改善理念与现代的全面质量管理概念非常匹配,与整体协作的概念及群体学习的模式也有相通之处,因而在今天的商业社会中存在着巨大的潜能。据悉，财政部将在内部控制规范讲解中对内部控制评价报告的内容提供进一步指引，包括探索引入使用内部控制评价表，作为对内部控制评价报告的进一步补充。所谓内部控制评价表，就是对评价过程中形成的评价工作底稿的全面整理和综合汇总，是企业对内部控制各构成要素的结论性评估表格，一般由评价内容、业务描述、有效性／缺陷、评价记录等栏目组成。通过使用内部控制评价表，可以使不同企业的内部控制评价报告更具可比性，同时也有利于报告使用者阅读和理解。

企业实施内部控制评价，包括对内部控制设计有效性和运行有效性的评价。“内部控制设计有效性”是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；“内部控制运行有效性”是指现有内部控制按照规定程序得到了正确执行。内部控制评价必须审查单位内部控制度是否健全、运转功能是否正常、自我调节能力是否具备或良好。如果只审计企业财务数据,却对企业内部控制制度不给予系统性评价,在此情况下,是绝对无法发现并客观评价企业内部潜在风险的,实质性和预防性的管理意见和建议就更加不可能被提出。在企业实际管理中,常见风险有信息量不足或虚假而导致决策错误;信息系统故障;未做到职责分离等。评估风险时,常采用定量或定性的方法,既要分析判断风险发生的可能性,又要分析风险对实现企业目标产生影响的严重程度。目前，企业内部控制评价工作中比较困难的是有关内部控制缺陷的认定，尤其是非财务报告内部控制缺陷的认定。内部控制缺陷，是指内部控制的设计存在漏洞、不能有效防范错误与舞弊，或者内部控制的运行存在弱点和偏差、不能及时发现并纠正错误与舞弊的情形。重大缺陷，是指业已发现的内部控制缺陷可能严重影响财务报告的真实可靠和资产的安全完整。财务报告内部控制缺陷一般可以通过定量的方式予以确定。相对而言，非财务报告内部控制缺陷的认定很难形成统一的标准，企业可以根据自身的实际情况，参照财务报告内部控制缺陷的认定标准，合理确定非财务报告内部控制缺陷的定量和定性认定标准。其中：定量标准，既可以根据缺陷造成直接财产损失的绝对金额制定，也可以根据缺陷的直接损失占本企业资产、销售收入或利润等的比率确定；定性标准，可以根据缺陷潜在负面影响的性质、范围等因素确定。关于定性评价方法的选择，有些企业为了更清晰地反映企业整体内部控制的概况和特征,让管理者直观了解内部控制的运行状况,从而发现内部控制中的不足,而采用流程图法。有的企业根据相关评价指标和权重,结合各业务单位的财务、业务情况在定量评价表中为各项指标打分，根据各业务单位的打分信息生成综合评价表中的各项指标的值。关于定量评价方法的选择，有的企业根据国资委印发的《中央企业财务内部控制评价工作指引(2007年度试行)》的相关公司财务内部控制的评价体系,并结合权值因子确定法来对制定公司总部和其子公司的各项财务内部控制指标,分为健全合理性与有效性两方面,并赋予相应权重,以便于量化。在综合评价表中将计算出公司总部和各子公司最后的评价得分结果。为了让管理者更清晰地看出各业务单位的评价结果以及内部控制的健全和有效性,系统将以最后的评分结果为依据来对所有业务单位进行排名,并以另一工作表的形式来显示最后的排名信息给评价小组,为评价报告提供量化数据。常见的是，企业的内部控制定性评价的结果未能被定量评价使用,而定量评价又没有相应的定性评价结果作为基础,则很难从整体的角度来反映企业整体的内部控制评价现状。因此,定性评价和定量评价的有机、合理的结合，并形成相应的体系，对于完善企业内部控制评价是非常必要的。

　　关于对信息系统的有效性进行评价，包括信息系统一般控制评价和信息系统应用控制评价。信息系统的“一般控制评价”应当着重考虑与信息系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求，是否有利于企业内部控制目标的实现，并以此评价信息系统的安全性、可靠性和合理性。信息系统的“应用控制评价”应当结合企业业务流程特点，着重考虑信息系统中与业务流程相关的控制点，并以此评价相关应用系统操作数据的真实性、准确性和合规性。目前大多数大中型企业都建构了信息交流平台、ERP系统与会计信息系统,这些信息系统已成为企业内部控制的一部分。信息系统是信息内部传递和信息对外报告的技术手段，是企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。通过信息系统强化内部控制，有利于减少人为因素，提高控制的效率和效果。当然，信息系统自身也存在风险，需要加强管理和控制。“企业内部控制应用指引”中的“信息系统应用”指引指出，企业应当结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设整体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险。如，根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施；企业开发信息系统，应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能；加强信息系统开发全过程的跟踪管理，组织开发单位与内部各单位的日常沟通和协调，督促开发单位按时保质完成编程工作，对配备的硬件设备和系统软件进行检查验收，组织系统上线运行；加强信息系统运行与维护的管理，制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行；等。2007年2月日本企业会计审议会发布了《关于财务报告内部控制评价与审计准则及其实施准则的制定(意见书)》，意见书中,将信息化（IT）对应作为内部控制的一个基本要素,要求对组织内外IT环境和IT的使用和控制与内部控制的其他要素作为一个整体进行评价。这是日本评估和审计财务报告内部控制的一个重要特征。实施准则从以下四个方面对使用IT的内部控制进行评价:一是使用IT的内部控制的评价。在这一内部控制中,既包括计算机程序之中的自动化的内部控制,也包括手工操作与计算机处理为一体发挥职能的内部控制。二是评价范围的决定。三是评价单位的认定。四是使用IT的内部控制的构建状况和运行状况有效性的评价。具体地说,IT的控制评价分为IT总体控制的评价和IT业务处理控制的评价。其中,IT总体控制是为确保业务处理控制有效地发挥职能的环境而进行的控制活动,通常是指与多数业务过程控制有关的政策和程序。IT业务处理控制是指为确保所有经过授权的经济活动在企业业务管理系统中正确的处理、记录的控制活动。该实施准则列举了评估IT总体控制的设计和运行有效性的具体实例,如系统的开发和维护、系统的运用和管理、系统安全性的确保、委托加工物资的契约管理等。关于评估IT业务处理控制的设计和运行的有效性,该实施准则也列示了考虑的要点,包括关于录入信息的完整性、正确性、正当性等确保的控制,错误的修正和再处理,主要数据的维护和管理等。我国目前的情况是，财政部前几年颁布了《会计核算软件基本功能规范》，因此，会计信息系统在系统开发的各个阶段，应注意审查和考核下列问题： 1.系统的功能是否恰当、完备，是否符合财政部颁布的《会计核算软件基本功能规范》中的相关要求，能否满足用户核算和管理的要求；2.系统的数据流程、处理方法是否符合会计制度、法规、法令和财经纪律；3.系统是否建立了恰当的程序控制，以防止或及时发现无意的差错或有意的舞弊；4.系统是否保留了充分的审计线索，能否为日后顺利开展审计提供必要的条件；5.系统的安全保密措施和管理制度是否健全、有效，能否为系统日后安全可靠的运行提供保证；6.系统是否预留了公共数据接口，以便审计抽样；7.在整个设计和开发过程中是否遵守执行了系统的开发控制。审计人员还应参加电算化会计系统的调试、检测和验收工作，尽可能及时发现系统的问题，及时提出改进的建议。至于ERP软件，目前我国还没有一部对其进行规范的比较全面的法规出台。而我国比较著名的软件开发商如“用友”、“金蝶”等厂家，各自开发的ERP软件都不尽相同，各自的客户实行各自的实施方案，审计人员在对其客户进行内部控制评价时，需了解其ERP软件，大多停留在表面的评价上，并未对该ERP软件所涉及到的采购、销售、生产、仓储、运输、成本管理等内部环节的准确性、完整性测试。在信息化条件下，资料是存储在磁性介质上的，修改起来不留痕迹，因此舞弊行为较难发现，从而增加了内部审计人员的检查、评价风险。因此，在信息化系统中，内控评价与审计的内容以及评价方法、审计方法都受到影响，制定一套适应有关计算机评价与审计的标准也就迫在眉睫。应尽快在原有的评价指引、审计准则的基础上，建立一系列的新的评价标准、审计标准和准则，以规范内控的计算机评价、审计的开展，维护内部评价、外部审计的独立性、客观性和公正性。（完）