内部控制理论及要素分析

（一）内部控制的概念

我国对内部控制最早的定义是：内控是一种管理手段和方法，它是在企业内部运用和实施的。定义并没有对内控进行进一步深挖和说明。我国对内控概念的定义，笔者是这样理解的：内控的执行主体是组织内部职能机构、部门和工作人员，内控的主要任务是在组织经济业务过程中的一种联系并制约的管理方法。

内部控制包括三个基本方面：第一，内控要确认组织内部行政管理人员和各职能部门的权责，在这基础上确定其在处理经济业务过程中所具有的价值和作用；第二，内控要确定每项经济业务的手续和规范流程，即每项经济业务必须通过哪些手续，明确负责办理的人员，他们之间交流联系的方法，了解所要采用的具体处理办法等；第三，内控需要制定处理每项经济业务的处理者之间的相互制约的机制，即办理业务的人员在办理之前需要经过相关规定者的批准，并明确对这些办理业务人员的监督办法，相互之间形成制约关系。

（二）内部控制要素

内部控制要素总共有八个：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。

内部环境是组织看待风险的基础。企业的内部环境会影响战略和目标的制定、组织业务的活动方式以及在经营过程中对风险的识别、反应，还会影响企业控制活动、信息和沟通系统以及监控活动的设计和执行。

目标设定是企业管理者必须先设定企业的目标，然后才能预测在目标实现过程中有潜在影响的事项。而企业风险管理就是提供给企业管理者一个适当的平台，既能够帮助管理者制定企业目标，又能够将目标与企业的任务或预期联系在一起，同时保证已制定的目标在合理预期内，与风险偏好相一致。(www.xing528.com)

事项识别是指在企业的运营管理中必须识别影响组织目标实现的大小事件，分清哪些是风险，哪些是机会。管理层制定战略或目标时应考虑到机会。任何事情都具有不确定性，潜在的不确定事项可能是机会，也可能是风险，或者两者都有。因此，管理者有必要对其进行评估和判断。

风险评估是指企业通过分析风险，判断风险发生的概率以及可能会产生的影响，在此基础上制定应对风险的措施。

风险应对包括规避风险、减少风险、共担风险和接受风险四类。规避风险是指退出会给企业带来风险的活动。减少风险是指减少风险发生的可能概率和风险的影响或两者同时减少。共担风险是指通过转嫁风险或与其他人共担风险，降低风险发生的可能性或降低风险影响。接受风险则是指不采取任何行动而接受可能发生的风险及其影响。对于每一个大的风险，企业都应全面考虑风险方案。管理者应选择能使风险发生的概率和影响都在风险容忍度内的风险反应方案。选定某一风险反应方案后，管理者应在残存风险的基础上重新评估风险，采取一定的措施对该风险进行复合式评估，最终选择最佳的风险反应方案。

控制活动是指保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各个部分、各个层面。

信息与沟通和来自企业内、外部的相关信息，必须在一定的时间，以一定的格式进行确认、捕捉和传递，以保证企业的每个员工执行好各自的职责。有效沟通，包括企业内自上而下、自下而上以及横向沟通，同时将相关信息与企业外部相关各方的有效沟通和交换。

监控是对企业风险管理的监控。是指评估风险管理要素的内容和运行以及一段时期的执行质量的一个过程。企业可以通过持续监控和个别评估两种方式对风险管理进行监控。持续监控和个别评估都是用来保证企业的风险管理在企业内各管理层面和各部门持续得到执行的。