2006年高级会计师资格考试内部控制制度三

（四）内部控制的要素
　　通过对内部控制历史沿革的分析，可以看出，内部控制的要素，已由20世纪80年代的3要素、20世纪90年代的5要素，发展至目前的8要素。但是，由于《企业风险管理——整合框架》发表的时间不长，其实践效果有待进一步检验，加之《内部控制——整体框架》在10多年的应用实践中已得到了广泛认可，因此，一般地，仍以5要素为基础建立和评价内部控制制度。
　　1.控制环境
　　控制环境规定单位的纪律与架构，影响经营管理目标的制定，塑造单位文化氛围并影响员工的控制意识，是其他内部控制组成要素的基础。它通常包括下列方面：（1）单位整体的风险意识和风险管理理念；（2）董事会或类似决策机构（以下合称董事会职能的发挥，比如董事会与管理层之间的适当分离，董事会成员
　　的道德、经验和才干，董事会对经营管理重大决策的参与和监督力度等；（3）经理层的诚信和道德价值观，包括其对投资者、董事会、员工、客户的诚信等；（4）员工的职业道德和工作胜任能力，以及管理层为提升员工操守和胜任能力所作出的努力；（5）单位的组织结构设计，尽管没有统一模式，但所采用的组织结构
　　应当有利于提升管理效能，并保证信息通畅流动；（6）权力和职责的分配，比如，授权应当适当、对权力应有监督等。一般而言，董事会及单位负责人在塑造良好的内部环境中发挥关键作用
2.风险评估
　　风险，是指一个潜在事项的发生对目标实现产生影响的可性。风险本来包括正面影响和负面影响两个方面，但在内部控制中，通常将风险界定为产生负面影响的可能性。风险评估是指分析和辨认实现有关目标可能发生的负面风险，以便形成确定应该如何对它们进行管理的依据。风险与可能被影响的目标，包括战略目标、营运目标、报告目标、资产目标和合规目标等相关联。单位必须制定与生产、销售、财务等业务相关的目标，设立可辨认、分析和管理相关风险的机制，以了解单位所面临的来自内部和外部的各种不同风险。这些风险通常表现为各种潜在事项和因素，包括经济因素、自然因素、政治因素、社会因素、技术革新因素等外部因素以及组织结构、人员素质、业务流程、信息系统等内部因素。在充分识别各种潜在风险因素后，要对固有风险，即不采取任何防范措施可能造成的损失程度进行评估，同时，重点评估剩余风险，即采取了相应应对措施之后仍可能造成的损失程度。确保数据来源的可靠性是评估风险的基础，因此，进行行业纵向和横向比较是风险评估中的常用方法。单位管理层在评估了相关风险的可能性和后果，以及成本效益之后，要选择一系列措施使剩余风险处于期望的风险容限以内。常用的风险应对措施有：风险回避，即改变或回避相关业务，不承担相应风险；风险承担，即比较风险与收益后，愿意无条件承担全部风险；风险降低，即采取一切措施降低发生不利后果的可能性；风险分担，即通过购买保险、外包业务等方式来分担一部分风险。风险应对措施往往是结合运用的。
　　3.控制活动
　　控制活动是指单位管理层制定和实施政策与程序，以帮助管理层所选择的风险应对措施得以有效实施。常见的控制活动有：授权批准、实物控制、职责分离、预算控制、会计系统控制、信息系统控制等。
　　4.信息与沟通
　　信息与沟通是指单位为了提高管理效能、促进员工全面正确履行职责而搜集、识别、交流各种内部和外部信息。信息与沟通的主要环节有：确认、计量、记录有效的经济业务；在财务报告中恰当揭示财务状况、经营成果和现金流量；保证管理层与单位内部、外部的顺畅沟通，包括与利益相关者、监管部门、注册会计师、供应商等的沟通。信息与沟通的方式是灵活多样的，但无论哪种方式，都应当保证信息的真实性、及时性和有用性。
　　5.监控
　　监控是指由适当的人员评估内部控制的设计和监控内部控制运行情况的过程。监控活动包括持续监督、个别评估或者两者有机结合。监控情况应当形成书面报告，并在报告中揭示内部控制的重要缺陷。监控报告应当有畅通的报告渠道，确保发现的重要问题能送达管理层；同时，应当建立内部控制缺陷纠正、改进机制，充分发挥监控效力。