06 内部控制的五大基本要素是什么？

内部控制的五大基本要素包括内部环境、风险评估、控制活动、信息与沟通、内部监督。

（1）内部环境是影响、制约企业内部控制制度建立与执行的各种内部因素的总称，是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、内部审计机制、人力资源政策、企业文化、反舞弊机制等内容。

（2）风险评估是及时识别、科学分析影响企业战略和经营管理目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节和内容。风险评估主要包括目标设定、风险识别、风险分析和风险应对。

（3）控制活动是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段，是实施内部控制的具体方式和载体。控制活动结合企业具体业务和事项的特点与要求制订，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。

（4）信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。

（5）内部监督是企业对其内部控制制度的健全性、合理性和有效性进行监督检查与评估，形成书面报告并作出相应处理的过程，是实施内部控制的重要保证。内部监督主要包括对建立并执行内部控制制度的整体情况进行持续性监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部监督工作中的一项重要内容。

内部控制五要素的相互关系如图1-1所示。

图1-1 内部控制五要素的相互关系

从图1-1可以看出，内部环境是基础，是企业建设内部控制（以下简称“内控”）的土壤，是一切内控制度、流程、控制点得以实施的根本条件。评价一个企业内控的好坏，首先应该对其内部环境进行评价，如果内部环境不好，就需要更仔细和深入地进行建设。换句话说，如果环境建设得好，具备良好的风险意识和内控文化，即使在一些小方面存在控制不足，也容易改进。

风险评估、控制活动、信息与沟通是内部控制体系的三个核心环节。风险评估是内部控制建设的依据或者向导。建立健全企业内部控制，并不是说企业任何业务环节都需要管控，都需要使用无比烦琐的流程进行防范。内部控制体系强调成本效益原则，注重企业经营效果、效率，就必须注重风险评估，以风险为导向建设内部控制体系，对于非重大风险可以酌情简化，但是对于重大风险就需要认真将制度、流程和控制环节建设好。控制活动是内部控制体系的核心环节，应该嵌入业务流程当中得以保证实施，并应该注意留下控制痕迹以供检查监督。信息与沟通包括信息传递和信息系统两个部分。信息传递指的是企业部门之间、上下级之间、各管理级次之间是否存在良好的沟通渠道。信息系统主要包括信息系统基础环境、总体控制和应用层面控制三部分。

内部监督是使企业内部控制成为闭环的重要组成部分。内部监督方式包括自我评价和独立评价，从实施频率来分可以分为日常监督和专项监督。缺乏这个环节，内部控制工作就不是一个PDCA循环 [1]，或者说就不能不断优化和提升，体系就是静态而非动态的。

总的来说，内部环境是基础，风险评估是依据，控制活动是手段，信息与沟通是载体，内部监督是保证。