内部控制认证系统的建立是一个系统工程，根据我国企业内部控制实际情况，在三维立体内部控制网架构的基础上，构建基于使命驱动的内部控制评价系统，需坚持一致性、全面性、系统性、重要性、可比性、定性与定量相结合等原则。

目前世界上最为权威的内部控制标准体系是COSO《内部控制—— —整合框架》，优化了内部控制的结构与体系，整合了对内部控制的不同理解，构造了一个共识性的概念平台和框架，因此得到了广泛认可和应用。我国发布的《企业内部控制基本规范》及其配套指引借鉴了COSO的内部控制五要素框架，并结合中国国情进行了创新，提出了内部控制的体系。为了顺利推动企业内部控制的认证工作，减轻认证企业的工作量，采用《企业内部控制评价指引》中确立的内部控制核心指标中的5个一级指标，作为整个内部控制认证系统的基本逻辑框架，结合三维立体内控体系，基于企业使命重新设计二、三、四级指标。

根据内部控制认证系统设计原则和《企业内部控制评价指引》，结合我国上市公司内部控制基本情况，同时借鉴国内外已有的内部控制评价研究，确定了内部环境、风险评估、控制活动、信息与沟通、内部监督等5个一级评价指标，每一评价指标又由一系列细分的评价指标构成。对于5项一级指标，内部环境包含组织架构、发展战略、人力资源政策、社会责任、企业文化等二级指标和若干经过细化的三级指标和四级指标；风险评估包含目标设定、风险识别、风险分析和风险应对等二级指标和若干经过细化的三级指标和四级指标；控制活动包含不相容职责分离及授权审批控制、会计控制、财产安全控制、预算控制、运行分析控制、绩效控制、突发事件控制等二级指标和若干经过细化的三级指标和四级指标；信息与沟通包含信息收集、信息沟通（内部沟通、外部沟通、信息完整性、准确性和及时性）、信息系统、反舞弊等二级指标和若干经过细化的三级指标和四级指标；内部监督包含内部监督检查、内控缺陷、内部控制信息披露行为等二级指标和若干经过细化的三级指标和四级指标。

企业内部控制认证要真正发挥效用，就必须内控流程化，流程信息化。内部控制信息化就是指根据内部控制规范要求，将企业生产经营各个环节的流程、关键控制点等固化在信息系统中，促进各单位内部控制规范制度的设计与运行更加有效。同时要求企业按照内部控制要素和统一规范化格式，编制内部控制评价认证报告，提供给投资者等报告使用者分析判断企业的可持续发展能力，从而作出相关决策。

在保证内部控制质量方面，内部控制认证—— —内控质量—— —企业使命之间存在顺循环关系，在提高企业内部控制质量方面，内部控制认证不同于企业的自我评价，也有别于审计师的鉴定。内部控制认证向市场传递的信号不存在二次信号失灵等诸多问题，提高了信息的决策有用性。