企业内控管理制度（内附制度参考及注意要点）｜iLaw

内控是什么？

企业内控管理制度，简单来说，就是企业内部的一套自我调节、自我约束的机制，确保企业运营的健康与稳定 。在现代化的企业管理中，内控早已成为不可或缺的重要手段。

从定义上看，企业内控是由企业董事会、监事会、经理层和全体员工共同实施的，旨在实现控制目标的过程。这些控制目标涵盖了企业运营的方方面面，包括合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略 。

举个例子，在一家电商企业中，内控管理制度就体现在各个环节。从采购部门选择供应商，到销售部门处理订单，再到财务部门核算账目，每个流程都有明确的规范和监督机制。采购部门不能随意选择供应商，而需要经过严格的筛选和审批流程，以确保所采购的商品质量合格、价格合理；销售部门在处理订单时，要遵循一定的操作流程，保证订单信息的准确无误；财务部门则要对每一笔资金的流动进行详细记录和审核，防止出现财务漏洞。通过这样一套完善的内控管理制度，电商企业能够有效降低经营风险，提高运营效率，增强市场竞争力。

内控为什么重要？

企业内控管理制度的重要性不言而喻，它贯穿于企业运营的每一个环节，对企业的生存与发展起着决定性的作用。

从保护资产安全的角度来看，内控管理制度就像是企业资产的坚固盾牌。它通过建立严格的资产管理制度，对企业的资金、存货、固定资产等各类资产进行全面的监控和管理。例如，在资产的采购环节，通过规范的审批流程和供应商评估机制，确保采购的资产性价比高、质量可靠；在资产的保管环节，明确责任分工，采取有效的安全防护措施，防止资产被盗、损坏或滥用。有一家制造企业，曾经因为内控缺失，仓库管理混乱，导致大量原材料丢失，给企业带来了巨大的经济损失。后来，企业建立了完善的内控管理制度，加强了对仓库的管理，明确了出入库流程和责任人员，有效地杜绝了此类问题的再次发生。

确保财务报告准确是内控管理制度的另一项重要使命。准确的财务报告是企业决策的重要依据，它能够真实反映企业的财务状况和经营成果。内控管理制度通过规范财务核算流程、加强财务监督和审计等措施，保证财务信息的真实性、完整性和准确性。比如，在财务核算过程中，严格遵循会计准则和企业内部的财务制度，对每一笔经济业务进行准确的记录和分类；定期进行财务审计，及时发现和纠正财务报表中的错误和漏洞。如果企业的财务报告不准确，可能会导致管理层做出错误的决策，误导投资者，甚至引发法律风险。

在当今复杂多变的市场环境下，合规经营是企业发展的底线。内控管理制度能够帮助企业确保各项经营活动符合国家法律法规、行业规范以及企业内部的规章制度。它通过建立合规管理体系，对企业的经营行为进行全面的监督和评估，及时发现和纠正违规行为。以金融行业为例，监管部门对金融机构的合规要求非常严格，金融机构必须建立完善的内控管理制度，加强对信贷业务、资金交易等关键环节的合规管理，以避免因违规操作而受到严厉的处罚。一旦金融机构违反相关法规，不仅会面临巨额罚款，还可能会失去经营资格，对企业造成致命打击。

内控管理制度还能有效提升企业的运营效率。它通过优化业务流程、明确职责分工、加强内部协作等方式，减少企业运营中的不必要环节和浪费，提高工作效率和质量。例如，在企业的生产流程中，通过合理的工序安排和资源配置，提高生产效率，降低生产成本；在跨部门协作中，明确各部门的职责和权限，建立有效的沟通协调机制，避免出现推诿扯皮、重复劳动等现象。一家电商企业通过实施内控管理制度，优化了订单处理流程，缩短了订单处理时间，提高了客户满意度，同时也降低了运营成本，提升了企业的竞争力。

内控管什么？

企业内控管理制度涵盖的内容丰富而广泛，主要包括控制环境、风险评估、控制活动、信息与沟通、监控这几个关键方面，它们相互关联、相互影响，共同构成了一个完整的内部控制体系。

控制环境是内控的基石，为其他内控要素的有效实施提供了基础和氛围。控制环境涵盖了企业的治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等多个层面。一个良好的治理结构能够明确董事会、监事会等治理主体的职责和权限，形成有效的权力制衡机制，防止权力过度集中。合理的机构设置和权责分配可以确保各部门和岗位之间分工明确、协作顺畅，避免出现职责不清、推诿扯皮的现象。内部审计作为企业内部控制的重要监督力量，能够对企业的财务收支、经济活动和内部控制的有效性进行独立、客观的审查和评价，及时发现问题并提出改进建议。人力资源政策则关系到企业员工的招聘、培训、考核、晋升等方面，通过吸引和留住优秀人才，提高员工的素质和能力，为企业的内部控制提供有力的人力资源支持。企业文化是企业的灵魂，它所蕴含的价值观、经营理念和道德规范等，能够潜移默化地影响员工的行为和态度，营造出积极向上、诚实守信的企业氛围，促进内部控制的有效实施。例如，一家以创新为核心价值观的科技企业，在企业文化的引领下，员工们积极创新、勇于尝试，同时也注重遵守企业的各项规章制度，为企业的发展注入了强大的动力。

风险评估帮助企业及时识别和分析经营活动中可能面临的各种风险，从而制定相应的应对策略。在风险评估过程中，企业需要对市场风险、信用风险、操作风险、财务风险等各类风险进行全面的识别和评估。通过收集和分析相关的数据和信息，运用定性和定量的方法，评估风险发生的可能性和影响程度。例如，一家外贸企业在进行风险评估时，考虑到国际市场汇率波动频繁，可能会对企业的出口业务造成影响，于是通过对历史汇率数据的分析和市场趋势的预测，评估出汇率波动的风险程度，并制定了相应的套期保值策略，以降低汇率风险对企业的影响。

控制活动是企业根据风险评估结果，为将风险控制在可承受范围内而采取的一系列具体措施。控制活动包括授权审批、职责分离、实物控制、会计系统控制、预算控制等多种方式。授权审批制度明确了不同层级人员的审批权限和范围，确保各项业务活动经过适当的授权和审批，防止未经授权的行为发生。职责分离则是将不相容职务进行分离，避免由一个人或一个部门同时负责多项可能导致舞弊或错误的工作，例如，会计和出纳的职责分离，能够有效防止财务舞弊行为的发生。实物控制通过对资产的实物保护措施，如限制资产的接触、定期盘点等，确保资产的安全完整。会计系统控制要求企业建立健全的会计核算体系，保证会计信息的真实性、准确性和完整性。预算控制则是通过制定和执行预算，对企业的各项经济活动进行规划和控制，确保企业的经营目标得以实现。以一家制造企业为例，在采购环节，通过严格的授权审批制度，采购人员必须按照规定的审批流程进行采购，只有经过相关领导的审批后才能进行采购活动；同时，将采购、验收、付款等职责进行分离，由不同的部门或人员负责，防止采购过程中的舞弊行为；对原材料和产成品进行定期盘点，确保资产的数量和价值准确无误；通过预算控制，合理安排采购资金，控制采购成本，提高企业的经济效益。

信息与沟通确保企业内部各部门、各层级之间以及企业与外部之间能够及时、准确地传递和共享信息，使企业的各项经营活动能够协调有序地进行。信息与沟通包括内部信息的传递和外部信息的获取。企业需要建立健全的信息系统，收集、整理和传递内部经营管理所需的各种信息，如财务信息、业务信息、人力资源信息等，确保信息在企业内部的畅通无阻。同时，企业还需要关注外部环境的变化，及时获取与企业经营相关的外部信息，如市场动态、政策法规变化、竞争对手信息等，为企业的决策提供参考依据。有效的沟通机制也是信息与沟通的重要组成部分，它包括企业内部的沟通和企业与外部的沟通。企业内部通过定期召开会议、发布文件、建立内部沟通平台等方式，促进部门之间、员工之间的沟通与协作；企业与外部通过与供应商、客户、监管机构等的沟通交流，及时了解市场需求和监管要求，维护良好的合作关系。比如，一家互联网企业通过建立内部的信息管理系统，实现了各部门之间信息的实时共享和传递，提高了工作效率；同时，通过与客户的密切沟通，及时了解客户的需求和反馈，不断优化产品和服务，提升了客户满意度。

监控是对内部控制的建立与实施情况进行持续的监督和检查，评价内部控制的有效性，及时发现并纠正内部控制存在的缺陷和问题。监控包括日常监控和专项监控。日常监控是企业在日常经营活动中对内部控制的运行情况进行的持续监督，如管理层对各项业务活动的日常检查、内部审计部门的日常审计等。专项监控则是针对特定的业务领域、重大事项或内部控制的薄弱环节进行的专门监督和检查，如对重大投资项目的专项审计、对新业务流程的内部控制评估等。通过监控，企业能够及时发现内部控制存在的问题，并采取相应的措施进行改进和完善，确保内部控制的有效性和适应性。例如，一家企业通过定期开展内部审计工作，对企业的财务收支、内部控制制度的执行情况进行全面检查，发现了一些财务核算不规范、内部控制执行不到位的问题，及时提出了整改建议，并跟踪整改情况，使企业的内部控制得到了进一步加强。

内控怎么建？

（一）构建良好的控制环境

控制环境是内部控制的基石，它为内部控制的有效实施提供了基础和氛围。企业应营造积极向上的控制氛围，明确各部门和岗位的职责权限，建立合理的组织结构。同时，培育良好的企业文化，增强员工的内部控制意识，使内部控制成为员工的自觉行为。

（二）开展全面的风险评估

风险评估是识别、分析和应对风险的过程。企业应建立健全风险评估机制，全面识别和评估经营活动中面临的各种风险，包括市场风险、信用风险、操作风险等。根据风险评估结果，制定相应的风险应对策略，将风险控制在可承受范围内。

（三）实施有效的控制活动

控制活动是确保管理层的指令得以执行的政策和程序。企业应针对不同的业务环节和风险点，制定相应的控制措施，如授权审批、职责分离、财产保全、预算控制等。通过实施有效的控制活动，规范企业的经营行为，防范风险的发生。

（四）加强信息与沟通

信息与沟通是内部控制的重要组成部分，它确保企业内部各部门之间、企业与外部利益相关者之间能够及时、准确地传递和共享信息。企业应建立畅通的信息传递渠道，加强内部信息系统建设，提高信息的传递效率和质量。同时，建立有效的沟通机制，促进内部各部门之间的协作与交流。

（五）强化监控与评价

监控与评价是对内部控制的有效性进行监督和评估的过程。企业应定期对内部控制制度的执行情况进行监督检查，及时发现和纠正存在的问题。同时，建立健全内部控制评价机制，对内部控制的有效性进行全面、客观的评价，为内部控制的持续改进提供依据。

内控实例看

成功案例：华为的内控之道

华为作为全球知名的通信技术企业，其内部控制体系堪称典范。在构建内部控制体系的过程中，华为高度重视风险管理，建立了一套完善的风险评估机制。通过对市场、技术、竞争等多方面风险的全面识别和深入分析，华为能够提前制定应对策略，有效降低风险带来的影响。

在合规性管理方面，华为始终坚守法律底线，严格遵守国内外的法律法规和行业标准。无论是在数据安全、知识产权保护，还是在商业行为规范等方面，华为都建立了严格的内部控制制度，确保公司的每一项业务活动都合法合规。

华为还将内部控制与企业文化紧密结合，形成了独特的内控文化。这种文化强调诚信、责任和自律，让每一位员工都深刻认识到内部控制的重要性，并将其融入到日常工作中。在华为，员工们自觉遵守公司的各项规章制度，积极参与内部控制的建设和执行，形成了良好的内部控制氛围。

通过这些内部控制措施，华为取得了显著的成效。公司的运营效率得到了大幅提升，业务流程更加顺畅，决策更加科学高效。在面对复杂多变的市场环境和激烈的竞争时，华为能够保持稳定的发展态势，不断推出创新的产品和解决方案，赢得了客户的信任和市场的认可。 此外，华为的财务状况也更加稳健，财务报告的真实性和准确性得到了充分保障，为投资者提供了可靠的决策依据。

失败案例：安然公司的惨痛教训

曾经辉煌一时的美国安然公司，在 2001 年却因内部控制失效而轰然倒塌，成为了内部控制失败的典型案例。安然公司的董事会及审计委员会在公司运营中采取了不干预的监控模式，对管理层的监督形同虚设。这使得管理层能够肆意妄为，利用创新的会计方法进行财务造假，虚报利润，隐瞒债务。

由于公司过于重视短期的业绩指标，管理层的薪酬与股票表现紧密挂钩，这进一步诱发了管理层的造假行为。他们为了获取丰厚的奖金和红利，不惜违背职业道德和法律法规，严重损害了公司的利益和声誉。

安然公司虽然采用了先进的风险量化方法监控期货风险，但在营运风险的内部控制方面却存在严重缺陷。管理高层常常藐视或推翻公司制定的内控制度，使得内部控制体系无法发挥应有的作用。

随着美国证监会的调查深入，安然公司的财务造假丑闻被曝光，股价暴跌，最终不得不申请破产保护。这一事件不仅给投资者带来了巨大的损失，也对美国资本市场造成了严重的冲击。

安然公司的失败给我们敲响了警钟，让我们深刻认识到内部控制失效的严重后果。一个企业如果缺乏有效的内部控制，即使拥有先进的技术和强大的市场地位，也难以在激烈的市场竞争中长久立足。

写在最后

企业内控管理制度是企业稳健发展的基石，它贯穿于企业运营的全过程，从保护资产安全到确保财务报告准确，从保障合规经营到提升运营效率，每一个环节都离不开内控的有力支撑。通过构建良好的控制环境、开展全面的风险评估、实施有效的控制活动、加强信息与沟通以及强化监控与评价，企业能够建立起一套科学、完善的内控体系。

成功企业的经验和失败企业的教训都深刻地告诉我们，内控管理的优劣直接关系到企业的兴衰成败。在竞争日益激烈的市场环境中，企业应高度重视内控建设，将其作为一项长期而重要的任务，不断完善和优化内控体系。只有这样，企业才能在复杂多变的市场中稳健前行，实现可持续发展的目标，为自身的长远发展铸就坚实的保障。

企业内控管理制度

一、总则

（一）目的

为了加强企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护投资者合法权益，根据《中华人民共和国公司法》《中华人民共和国会计法》等法律法规和企业实际情况，特制定本制度。

（二）适用范围

本制度适用于企业总部及下属各分公司、子公司和其他分支机构（以下统称 “各单位”）。

（三）基本原则

全面性原则：内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。

重要性原则：内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。

制衡性原则：内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。

适应性原则：内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。

成本效益原则：内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。

二、内部环境

（一）治理结构

股东会：股东会是企业的权力机构，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。股东会会议应当按照公司章程的规定定期召开，会议记录应当完整保存。

董事会：董事会对股东会负责，依法行使企业的经营决策权。董事会应当设立战略、审计、提名、薪酬与考核等专门委员会，明确各专门委员会的职责权限、任职资格和议事规则。

监事会：监事会对股东会负责，监督企业董事、经理和其他高级管理人员依法履行职责。监事会应当制定监事会议事规则，明确监事会的议事方式和表决程序。

经理层：经理层负责组织实施股东会、董事会决议事项，主持企业的生产经营管理工作。经理层应当制定经理办公会议事规则，明确经理层的职责权限和议事程序。

（二）机构设置与权责分配

** 企业应当根据经营战略、业务特点和内部控制要求，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中。

** 各单位应当根据业务流程和内部控制要求，制定岗位说明书，明确各岗位的职责、权限和任职资格，确保不相容岗位相互分离、制约和监督。不相容岗位主要包括授权批准与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与稽核检查、授权批准与监督检查等。

（三）内部审计

** 企业应当设立独立的内部审计机构，配备与内部审计工作相适应的审计人员。内部审计机构应当在董事会或审计委员会的领导下开展工作，对企业内部控制的有效性进行监督检查。

** 内部审计机构应当制定内部审计工作制度，明确内部审计的职责权限、工作程序和方法。内部审计人员应当具备良好的职业道德和专业胜任能力，依法履行职责。

（四）人力资源政策

** 企业应当制定科学合理的人力资源政策，包括员工招聘、培训、绩效考核、薪酬福利等方面的政策，吸引、开发和留住优秀人才。

** 企业应当加强员工培训，提高员工的业务素质和职业道德水平。培训内容应当包括法律法规、企业规章制度、业务知识和技能等方面。

** 企业应当建立健全绩效考核制度，对员工的工作业绩、工作能力和工作态度等进行全面考核，考核结果应当与员工的薪酬、晋升、奖励等挂钩。

（五）企业文化

** 企业应当培育积极向上的企业文化，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神。

** 企业应当加强企业文化建设，通过宣传教育、培训、活动等方式，使企业文化深入人心，成为全体员工的共同价值观和行为准则。

三、风险评估

（一）目标设定

** 企业应当根据发展战略和经营计划，设定合理的经营目标、财务目标、合规目标等，并将目标分解到各部门和各岗位。

** 目标设定应当符合企业的实际情况，具有可操作性和可衡量性。同时，应当考虑目标的风险因素，确保目标的实现不会给企业带来重大风险。

（二）风险识别

** 企业应当采用定性与定量相结合的方法，识别内外部风险。内部风险主要包括人力资源风险、财务风险、运营风险、技术风险等；外部风险主要包括市场风险、法律风险、政治风险、自然灾害风险等。

** 企业应当建立健全风险识别机制，定期开展风险识别工作。可以通过问卷调查、访谈、数据分析、案例分析等方式，识别企业面临的各种风险。

（三）风险分析

** 企业应当对识别出的风险进行分析，评估风险发生的可能性和影响程度。可以采用风险矩阵、风险坐标图等方法，对风险进行排序和分级。

** 风险分析应当考虑风险的关联性和复杂性，以及风险对企业战略目标、经营目标和财务目标的影响。同时，应当分析风险产生的原因和条件，为制定风险应对策略提供依据。

（四）风险应对

** 企业应当根据风险分析的结果，结合风险承受度，选择合适的风险应对策略，包括风险规避、风险降低、风险分担和风险承受等。

** 风险应对策略应当与企业的战略目标、经营目标和财务目标相适应，同时应当考虑成本效益原则。企业应当制定风险应对方案，明确风险应对的措施、责任人和时间要求。

四、控制活动

（一）不相容职务分离控制

** 企业应当全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。

** 企业应当定期对不相容职务分离控制的执行情况进行检查，发现问题及时整改。

（二）授权审批控制

** 企业应当根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权；特别授权是指企业在特殊情况、特定条件下进行的授权。

** 企业应当严格控制特别授权。对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。

** 企业应当建立健全授权审批制度，明确授权审批的范围、层次、程序和责任。授权审批制度应当符合企业的实际情况，具有可操作性和可监督性。

（三）会计系统控制

** 企业应当严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。

** 企业应当依法设置会计机构，配备会计人员。会计人员应当具备相应的专业知识和技能，遵守职业道德规范。

** 企业应当加强会计档案管理，建立健全会计档案的立卷、归档、保管、查阅和销毁等管理制度，保证会计档案的安全完整。

（四）财产保护控制

** 企业应当建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。

** 企业应当严格限制未经授权的人员接触和处置财产。对于重要财产，应当采取双重保管、定期盘点等措施，确保财产的安全完整。

（五）预算控制

** 企业应当实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。

** 企业应当加强预算编制的科学性和合理性，结合企业的战略目标、经营计划和市场情况，制定切实可行的预算方案。

** 企业应当加强预算执行的监控和分析，及时发现预算执行中存在的问题，并采取相应的措施加以解决。对于预算的调整，应当严格按照规定的程序进行审批。

（六）运营分析控制

** 企业应当建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

** 企业应当加强对运营分析结果的应用，将运营分析结果作为企业决策、预算调整、绩效考核等的重要依据。

（七）绩效考评控制

** 企业应当建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。

** 绩效考评制度应当与企业的战略目标、经营目标和财务目标相适应，具有可操作性和可衡量性。考核指标应当包括财务指标和非财务指标，全面反映企业的经营业绩和管理水平。

五、信息与沟通

（一）信息收集与整理

** 企业应当建立健全信息收集制度，通过各种渠道收集与企业经营管理相关的内外部信息，包括财务信息、市场信息、政策法规信息、技术信息等。

** 企业应当对收集到的信息进行整理、筛选和分析，确保信息的真实性、准确性和及时性。同时，应当建立信息数据库，对信息进行分类管理和存储，方便信息的查询和使用。

（二）信息传递与共享

** 企业应当建立健全信息传递制度，明确信息传递的方式、渠道和责任，确保信息在企业内部各层级、各部门之间的有效传递。

** 企业应当加强信息系统建设，利用现代信息技术手段，实现信息的集中管理和共享。同时，应当建立信息安全管理制度，保障信息的安全可靠。

（三）内部报告

** 企业应当建立内部报告制度，明确内部报告的种类、格式、内容、报送程序和报送范围。内部报告应当及时、准确、完整地反映企业的经营管理情况和存在的问题。

** 企业应当加强内部报告的分析和利用，将内部报告作为企业决策、预算调整、绩效考核等的重要依据。同时，应当对内部报告的执行情况进行跟踪和监督，确保内部报告的有效实施。

（四）外部沟通

** 企业应当加强与投资者、债权人、客户、供应商、监管机构等外部利益相关者的沟通和交流，及时了解外部利益相关者的需求和期望，维护企业的良好形象和声誉。

** 企业应当建立健全外部沟通制度，明确外部沟通的方式、渠道和责任，确保外部沟通的有效进行。同时，应当加强对外部沟通信息的管理和控制，避免信息泄露和不当传播。

六、内部监督

（一）日常监督

** 企业各部门和各岗位应当在日常工作中对内部控制的执行情况进行自我检查和监督，及时发现和纠正内部控制存在的问题。

** 企业应当建立健全内部控制自我评估制度，定期对内部控制的有效性进行自我评价。自我评价应当包括内部控制的设计有效性和运行有效性，评价结果应当形成书面报告，并向董事会、监事会和经理层报告。

（二）专项监督

** 企业应当根据内部监督情况和外部监管要求，定期或不定期地开展专项监督检查。专项监督检查的范围和频率应当根据企业的实际情况和风险状况确定。

** 专项监督检查应当针对内部控制的重点领域、关键环节和高风险业务进行，检查内容包括内部控制的设计有效性和运行有效性。专项监督检查结果应当形成书面报告，并向董事会、监事会和经理层报告。

（三）缺陷认定与整改

** 企业应当建立健全内部控制缺陷认定标准，对内部控制缺陷进行分类和分级。内部控制缺陷分为设计缺陷和运行缺陷，根据缺陷的影响程度分为重大缺陷、重要缺陷和一般缺陷。

** 企业应当对发现的内部控制缺陷进行及时整改，明确整改责任人和整改期限。对于重大缺陷和重要缺陷，应当制定专项整改方案，并跟踪整改情况，确保整改措施的有效实施。

七、附则

（一）本制度由企业董事会负责解释和修订。

（二）本制度自发布之日起施行。