風險評估：風險評估是及時識別、科學分析和評價影響企業內部控制目標實現的各種不正確因素并采取應對策略的過程，是實施內部控制的重要環節。

風險評估主要包括目標設定，風險識別、風險分析和風險應對。

我國企業內部控制規范體系的構成

　　2011年4月26日，財政部會同證監會、審計署、銀監會、保監會在北京聯合發布了《企業內部控制規范配套指引》。該配套指引由21項應用指引（此次發布了18項，涉及銀行、證券、保險等業務的3項指引暫未發布）、《企業內部控制評價指引》與《企業內部控制審計指引》（兩者以下合稱為評價與審計指引）所組成，自2011年1月1日起首先在境內外同時上市的公司施行，自2012年1月1日起擴大到在上海證券交易所、深圳證券交易所主板上市的公司施行，并計劃在上述施行公司的基礎上，擇機在中小板和創業板上市的公司中施行。同時，鼓勵非上市大中型企業提前執行。

　　《企業內部控制規范配套指引》連同2008年5月發布的《企業內部控制基本規范》（自2009年7月1日在上市公司范圍內施行，鼓勵非上市大中型企業執行，以下簡稱為基本規范）共同構成了中國企業內部控制規范體系。如果說目前已在上市公司實施的《企業內部控制基本規范》還只是一個框架結構，主要界定內部控制的內涵、目標、要素，說明制定企業內部控制規范的目的、依據及該規范的適用范圍，操作性指導還不強，還是一個方向性指南的話，那么，《企業內部控制規范配套指引》則是企業加強和改進內部控制具體的、具有操作性的指南。

　　二、對我國企業內部控制規范體系的評價

　　（一）對基本規范的評價

　　從基本規范來看，主要涉及到內部控制的基本理論問題，包括內部控制的本質、目標、原則、要素（對象）與方法。規范提出的內部控制五原則：全面性、重要性、制衡性、適應性、成本效益性原則具有重要指導意義。

　　在控制要素（對象）上，基本規范采用的是1994年COSO報告中的五要素觀，而沒有采用2004年風險管理框架的八要素觀，是實事求是的做法。實際上，這也涉及到內部控制與風險管理的關系問題。內部控制主要體現在流程管理上。流程管理的內容主要包括兩個方面：一是業務流程，即規定完成業務的先后順序；二是管理流程，主要是對各風險管理點的標準。二者結合在一起才是真正的流程管理”。

　　對于五要素之間的關系，內部控制環境是基礎（說明在什么樣的環境下開展控制活動），風險評估是前提（說明要重點針對什么活動和在該活動的什么方面進行控制），控制活動是核心（說明對需要重點控制的活動或環節運用什么方法進行控制），信息與溝通是橋梁（以一定的方法對風險評估確定的應該控制的活動和環節開展控制，沒有信息的支持是無法達成目標的），監督是保障（沒有監督作為保障，控制的好壞在管理上沒有區別，則無法達到控制的目標）。就內部控制的方法來說，應該涉及到全部五個要素，既有內部控制環境的評價、改進方法，也有風險評估、風險管理策略的選擇方法；既有直接運用于控制活動的方法，也應有信息生產與溝通、監督的方法。

　　基本規范存在的不足主要體現在：1.在控制要素上僅提到內部監督，難以指導企業內部控制規范指引，也說明基本規范與指引有不相銜接的地方；2.對控制方法的說明不集中，僅在第28條較詳細地闡述了控制活動的方法，對其他要素控制的方法很少說明，如風險評價的方法、信息生產與溝通的方法、監督的方法等；3.如何建立反舞弊機制問題放在信息與溝通要素部分不恰當，筆者認為這應該是內部監督的內容；4.對董事會、監事會、經理層、審計委員會、內部審計部門的職責劃分不清。如第12條規定，董事會負責內部控制的建立健全和有效實施，監事會對董事會建立與實施內部控制進行監督，經理層負責組織領導內部控制的日常運行。但第13條又規定企業應在董事會下設立審計委員會，審計委員會負責審查企業內部控制，監督內部控制的有效實施和內部控制自我評價情況（而在自我評價規范中又沒有具體涉及到審計委員會），協調內部控制審計及其他相關事宜。從這些規定中可以看出，我國仍然沒有處理好內部公司治理問題。

　　（二）對18項應用指引的評價

　　應用指引是對內部控制要素進行控制時的具體應用指南。從已公布的各項具體應用指引來看，重點突出了對風險的關注，這點值得肯定。已公布的18項應用指引都在總則部分說明了企業應關注的風險，這可看成企業風險評價的基礎和指南。就其他四個方面的要素來看，內部控制環境涉及到組織架構、發展戰略、人力資源、社會責任和企業文化5個具體指引。就控制活動來說，涉及到資金活動、采購業務、資產管理、銷售業務、研究與開發、工程項目、擔保業務、業務外包、財務報告9個具體指引，存在的主要問題是沒有生產控制的內容。在過去的征求意見稿中有一個成本費用規范，現在也取消了。過去征求意見稿中沒有全面預算規范，現在加了一個全面預算規范，筆者認為應將過去的成本費用規范與現在的全面預算規范結合起來。關于信息與溝通要素，涉及到內部信息傳遞和信息系統兩個具體指引。此次公布的18項應用指引歸為三大類，第一類為環境類指引，第二類為控制活動類指引，第三類為控制手段類指引，包括全面預算、合同管理、內部信息傳遞和信息系統4項。第三類作為方法也可以，但并沒有和內部控制要素間的銜接。

企業內部控制的五個要素：

　　1、內部環境。內部環境是影響、制約企業內部控制建立與執行的各種內部因素的總稱，是實施內部控制的基礎。內部環境主要包括治理結構、組織機構設置與權責分配、企業文化、人力資源政策、內部審計機構設置、反舞弊機制等。

　　2、風險評估。風險評估是及時識別、科學分析和評價影響企業內部控制目標實現的各種不確定因素并采取應對策略的過程，是實施內部控制的重要環節。風險評估主要包括目標設定、風險識別、風險分析和風險應對。

　　3、控制活動。控制活動是根據風險評估結果、結合風險應對策略所采取的確保企業內部控制目標得以實現的方法和手段，是實施內部控制的具體方式。控制活動結合企業具體業務和事項的特點與要求制定，主要包括職責分工控制、授權控制、審核批準控制、預算控制、財產保護控制、會計系統控制、內部報告控制、經濟活動分析控制、績效考評控制、信息技術控制等。

　　4、信息與溝通。信息與溝通是及時、準確、完整地收集與企業經營管理相關的各種信息，并使這些信息以適當的方式在企業有關層級之間進行及時傳遞、有效溝通和正確應用的過程，是實施內部控制的重要條件。信息與溝通主要包括信息的收集機制及在企業內部和與企業外部有關方面的溝通機制等。

　　5、對控制的監督。監督檢查是企業對其內部控制的健全性、合理性和有效性進行監督檢查與評估，形成書面報告并作出相應處理的過程，是實施內部控制的重要保證。監督檢查主要包括對建立并執行內部控制的整體情況進行持續性監督檢查，對內部控制的某一方面或者某些方面進行專項監督檢查，以及提交相應的檢查報告、提出有針對性的改進措施等。企業內部控制自我評估是內部控制監督檢查的一項重要內容。

五要素啊：內部環境、風險評估、控制活動、信息與溝通、內部監督。建議配備一本指導書，作為工具挺好的。

這五項要素既相互獨立又相互聯系，形成一個有機統一體，對不斷變化 的環境自動作出反應。內部控制制度與企業的經營行為緊密相連，因基 本的商業動機而存在。

內部控制既能在人數有限的小部門實施也能在人數眾多的大部門通過職責分離來實現。內部控制包括五個相關的要素:

　　⑴控制環境:包括全體員工的正直性、道德價值觀及能力等要素。管理哲學及運營風格也是一個極為重要的因素。高級管理層及董事會的關注及引導以控制環境有著極在的影響。

　　⑵風險評估:每個組織或部門都面臨著各種外來的或內部的風險。管理層必須鑒別與管理這些相關風險以實現組織的目標。管理層也必須能處理與變化的經濟、產業、規章及運營環境相關的風險。

　　⑶控制活動:控制活動是協助確保管理指令執行的政策與程序。除了職責分離外內部控制活動還包括批準程序、授權、審核、確認與復審等及資產安全。

　　⑷信息與勾通:必須在合適的時間與地點鑒別、取得及交流有關信息以使人們能履行自己的職責。這個要素對內部控制來說是很重要的。它不僅包括產生經營、財務與遵循性信息報告的信息系統而且包括員工、督導與高層管理層的日常交流過程。縱貫組織結構、部門與分部的信息與交流也是極為重要的。

　　⑸監督:事后評估內部控制質量的程序是必要的。可通過不間斷的監督、單獨的評估或兩者結合來實現。不間斷的監督包括管理層、督導的每天督導行為。管理層與內部審計師則都可以進行單獨評估。

內部控制應包括的五要素為：

（一）內部控制環境；

（二）風險識別與評估；

（三）內部控制措施；

（四）信息交流與反饋；

（五）監督評價與糾正。

通過內部控制要素和舞弊分析可知，內部控制與舞弊行為之間有非常密切的聯系。

內部控制的缺陷容易滋生舞弊行為，完善的內部控制可以有效的防范舞弊行為，因此建立健全內部控制制度是當前防范舞弊行為的一個有效途徑，可以達到事前控制的目的。