內(nèi)部控制八大要素分析（企業(yè)為例）

一、八大要素為：

1.內(nèi)部控制環(huán)境

企業(yè)內(nèi)部環(huán)境是影響、制約組織內(nèi)部控制建立與執(zhí)行的各種內(nèi)部因素的總稱，是實施內(nèi)部控制的基礎(chǔ)。主要包括了：治理結(jié)構(gòu)、組織機構(gòu)設(shè)置與權(quán)責分配、企業(yè)文化、人力資源政策、內(nèi)部審計機構(gòu)設(shè)置、反舞弊機制等。

董事會是內(nèi)部環(huán)境的重要組成部分，對其他內(nèi)部環(huán)境要素有重要的影響。企業(yè)的管理者也是內(nèi)部環(huán)境的一部分，其職責是建立企業(yè)風險管理理念，確定企業(yè)的風險偏好，營造企業(yè)的風險文化，并將企業(yè)的風險管理和相關(guān)的初步行動結(jié)合起來。

舉例：執(zhí)行信用政策的基礎(chǔ)（人，權(quán)責）：如內(nèi)審部門獨立和權(quán)力、財務(wù)部門權(quán)力、信用政策相關(guān)員工的能力和道德，激勵與約束懲罰政策等

2.目標制定

目標設(shè)定是指企業(yè)在確立其使命及愿景規(guī)劃的前提下，制定企業(yè)的戰(zhàn)略目標，選擇戰(zhàn)略并設(shè)定相關(guān)的經(jīng)營目標、報告目標、資源目標和合規(guī)目標，并根據(jù)所設(shè)定的目標合理確定主體整體風險承受能力和具體業(yè)務(wù)層次上可接受的風險水平。

舉例：分解目標，經(jīng)營目標，利潤=收入-費用——增源節(jié)流，收入，費用繼續(xù)細化分解。

3.事項識別

不確定性的存在，使得企業(yè)的管理者需要對這些事項進行識別。事項是源于內(nèi)部或外部的影響目標實現(xiàn)的事故或事件，對企業(yè)可能有正面的影響（機會）、負面的影響（風險）或者兩者兼而有之。組織應(yīng)當在充分調(diào)研和科學分析的基礎(chǔ)上，準確識別影響主題目標實現(xiàn)的內(nèi)部和外部事項，區(qū)分風險與機會。

舉例：影響增源節(jié)流的因素（風險，如市場環(huán)境等）—促銷（競爭市場）—賒銷（兩難）

4.風險評估

組織應(yīng)當針對易識別的風險因素，從兩個方面對風險進行評估——風險發(fā)生的可能性和影響程度，并根據(jù)實際情況，針對不同的風險類別確定科學合理的定性、定量分析標準。

風險發(fā)生的可能性是指某一特定事項發(fā)生的可能性，影響則是指事項的發(fā)生將會帶來的影響。對于風險的評估應(yīng)從企業(yè)戰(zhàn)略和目標的角度進行。首先，應(yīng)對企業(yè)的固有風險進行評估，確定對固有風險的風險反應(yīng)模式能夠確定對固有風險的管理措施。其次，企業(yè)應(yīng)在對固有風險采取有關(guān)管理措施的基礎(chǔ)上，對企業(yè)的殘存風險進行評估。

舉例：量化分析應(yīng)收賬款多與少的風險。

5.風險反應(yīng)

組織應(yīng)當根據(jù)風險評估情況，結(jié)合風險成因、整體風險承受能力和具體業(yè)務(wù)層次上可接受的風險水平，確定風險應(yīng)對策略。

風險反應(yīng)可以分為規(guī)避風險、減少風險、共擔風險和接受風險四類。對于每一個重要的風險，企業(yè)都應(yīng)考慮所有的風險反應(yīng)方案。選定某一風險反應(yīng)方案后，管理者應(yīng)在殘存風險的基礎(chǔ)上重新評估風險，即從企業(yè)總體的角度、或者組合風險的角度重新計量風險。各部門的管理者應(yīng)采取一定的措施對該部門的風險進行復合式評估并選擇相應(yīng)的風險反應(yīng)方案。

舉例：綜合應(yīng)用四種措施，平衡銷量與壞賬

6.控制活動

控制活動是指制訂和執(zhí)行政策與程序以幫助確保風險應(yīng)對得以有效實施?？刂苹顒拥闹贫ㄒY(jié)合主體具體的業(yè)務(wù)和事項的特點與要求。

控制活動主要包括職責分工控制、授權(quán)控制、審核批準控制、預算控制、財產(chǎn)保護控制、會計信息系統(tǒng)控制、內(nèi)部報告控制、經(jīng)濟活動分析控制、績效考評控制、信息技術(shù)控制等。

舉例：適度的信用政策：客戶，額度，期限，現(xiàn)金折扣等

7.信息和溝通

信息與溝通是指及時、準確、完美地手機與主體經(jīng)營管理相關(guān)的各種信息，并使這些信息以適當?shù)姆绞皆谥黝}有關(guān)層級間進行傳遞、有效溝通和正確應(yīng)用的過程，是實施內(nèi)部控制的重要條件。信息與溝通主要包括信息的手機機制和組織內(nèi)部與外部有關(guān)方面的溝通機制等。

舉例：財務(wù)部門與銷售部門

8.監(jiān)控（監(jiān)控）

監(jiān)控是評估風險管理要素的內(nèi)容和運行以及一段時期的執(zhí)行質(zhì)量，形成書面報告并作出相應(yīng)處理的過程，是實施內(nèi)部控制的重要保障。企業(yè)可以通過兩種方式對風險管理進行監(jiān)控——持續(xù)監(jiān)控和個別評估。

對企業(yè)風險管理進行記錄的程度根據(jù)企業(yè)的規(guī)模、經(jīng)營的復雜性和其他因素的影響而有所不同。適當?shù)挠涗浲ǔ癸L險管理的監(jiān)控更為有效果和有效率。當企業(yè)管理者打算向外部相關(guān)方提供關(guān)于企業(yè)風險管理效率的報告時，他們應(yīng)考慮為企業(yè)風險管理設(shè)計一套記錄模式并保持有關(guān)的記錄。

舉例：內(nèi)審部門內(nèi)部審計等

二、聯(lián)系：

企業(yè)內(nèi)部環(huán)境是其他所有風險管理要素的基礎(chǔ)，為其他要素提供規(guī)則和結(jié)構(gòu)。企業(yè)的內(nèi)部環(huán)境不僅影響企業(yè)戰(zhàn)略和目標的制定、業(yè)務(wù)活動的組織和對風險的識別、評估和反應(yīng)，還影響企業(yè)控制活動、信息和溝通系統(tǒng)以及監(jiān)控活動的設(shè)計和執(zhí)行。

目標制定是是想識別、風險評估和風險應(yīng)對的前提。

識別的機會可以在企業(yè)戰(zhàn)略或目標制定的過程中加以考慮，以確定有關(guān)行動抓住機遇。識別的風險則應(yīng)在風險的評估和反應(yīng)階段予以考慮。

風險評估可以使管理者了解潛在事項如何影響企業(yè)目標的實現(xiàn)。

控制活動是根據(jù)風險評估結(jié)果、結(jié)合風險應(yīng)對策略所采取的確保企業(yè)內(nèi)部控制目標得以實現(xiàn)的方法和手段，是事實內(nèi)部控制的具體方式。

信息與溝通和監(jiān)控則貫穿始終，為其他要素的實現(xiàn)提供橋梁和調(diào)整途徑。