内部控制的风险范文篇1

【关键词】试论公司内部控制风险管理机制

中国的许多公司关于内部的控制建设都比较落后，内部控制也只是止步于理论阶段，极少有公司完善了内部控制的控制制度，对于风险的防范能力也比较差。在2008年金融危机爆发之后公司内部控制建设所存在的问题越来越多的暴露出来。对于国内公司在风险管理机制方面存在的不足之处，下面将进行一定的分析，并提出一些改进的方法。

一、内部控制风险管理的不足

1.缺少合适的公司组织架构

如今我国有很多公司，管理公司的结构模式比较落后，比如在对某些问题进行决定的时候，公司的管理层有着百分之百的决定性，这样做的坏处是决策往往带有较多决策者的主观，而缺乏客观依据。如果企业没有一个合理完善的组织架构那么对于风险管理的机制可能无法落实，这样导致机制变成了摆设，无法起到真正的作用。在我国，有许多公司没有一个较为完善的董事会制度，即使有，也很难发挥出本应发挥的作用。这是因为有些董事会的名额被内部人员占有，在较大程度上降低了执行力度。风险管理以及内部控制的机制不够完善可能会带来严重的后果，比如中国航油投资石油期权所发生的亏损事件。很多这样的事件都是由于管理层在某些决策上过于主观所造成的。

2.公司缺少合适的金融风险管理体制

如果一个公司没有建立较为完善的风险控制机制的话，当公司运营遭遇风险的时候，可能没办法拿出很好的应对措施，从而遭受经济损失。在我国的很多企业中，根本就没有专门应对风险的管理部门。但是随着时代的发展，全球经济化的脚步日益加快，在带来更多机遇的同时也带来了更多风险，这就要求公司应对风险的能力必须加强。尤其是金融业的相关衍生产品在公司里的运用，让公司面对了更大的挑战。但是很多公司没有应对风险的部门，也缺乏这方面的人才，这样面对风险时的处理效率就会比较低。还有，当公司面对风险时，往往无法对风险进行较为全面的评估，这是因为缺少相应的评估体系。如果能够让风险辨别以及评估体系得到完善，就可以让公司内部的许多功能发挥其作用。

3.公司缺少监督体制

现今，中国的许多公司都缺少一个较为健全的监督体制。这样就会导致公司的内部的相应监督体制无法发挥出其该有的作用。因此有些公司发现了内部控制体制的重要性，于是公司制定了内部控制的相应的规章制度，但是这样的规章制度在实施的时候往往难以落到实处，造成这样结果的原因是很多公司缺乏相应的监管体制。这样就会造成内部监控体制变成摆设，而公司依然处于危险之中。

4.缺少应对来自海外风险的能力

目前经济全球化发展的步伐日益加剧，中国公司所要面临的不再只是国内市场的竞争压力，还有来自国外的市场竞争压力，这也就导致了公司所要应对的风险增多，因此风险管理机制就显得更为重要了。但是如今我国的许多公司缺少风险防范意识，也缺乏应对经济全球化所带来的风险的能力。许多公司的管理层对于风险的管理与控制都还只是停留在财务方面，没有相应的国际视野。公司如果要进入金融市场，能够避免因为汇率以及原材料价格的变动而带来的影响，但是同时又带了金融风险。比如在2008年的金融危机中，参与交易金融衍生品的公司，绝大多数都遇到了亏损。但是遇到亏损与公司的内部控制机制不完善也有不小的关系。

二、完善公司内部风险管理机制

1.完善公司内部机构以及有关部门的设置

完善公司内部机构以及有关部门的设置，让内部治理结构得到优化。只有做到了这些才可以给内部控制以及管理风险提供执行的相应基础。要让公司内部治理结构不断优化要从下面几个部分做好工作：第一，要确定企业的地位以及性质，要建立在市场化为指导的基础上。对于企业现有的结构进行完善与改革，与此同时还可以吸引投资商，这样可以让公司的股权结构得到改善，提升管理与经营的效率。第二，提升独立董事的权利。要让独立董事在公司内部治理时充分发挥出自己的作用。让独立董事的决定权以及话语权得到提高，并把这些权利落到实处，而不是只有一个形式。通过种种方式让独立董事实实在在地参与到治理企业中去。第三，让公司内部的法律环境更加完善，这样好为风险管理机制提供相应的法律保障。规模比较大的公司，需要让公司法律顾问制度得到进一步的完善。只有做到这些，才能给公司的管理与经营提供法律上的支持，让公司避免因为违反经营等一些行为所带来的法律层面上的风险。

2.让公司的管理风险体系得到完善

公司应该对公司内部的风险管理体制进行完善，这有利于企业提升面对风险的能力。让公司的管理风险体制得到完善应该要做到以下几个方面：第一，公司要成立专门的管理风险的部门，这个部门的职责是较为全面地管理公司的风险，其中包括分析潜在的风险。还要引进一些专业的管理风险的人员，尤其是对金融市场有研究的专业的人员，有助于提升公司对于市场风险的应对能力。第二，公司应该对风险定期进行评估与分类，然后将这些风险进行分类，使用不同的方法进行管理。与此同时公司还应该依据公司本身的特点，对于管理风险的体制的内容不断进行完善，只有这样才会让风险管理体制发挥其应有的作用。

3.建立严格的监督机制

在公司内部建立比较严格的监督机制，可以让监督机制发挥其应有的作用。提升监督的作用，就能够让公司的风险管理能力得到极大的提升。首先可以在企业内部建立严格的审计制度，并保证这个部门的权威性与独立性，提升审计部门的可执行性。这样还可以给公司管理层的一些决策提供可靠地根据。然后，还可以将风险管理工作和审计制度相互结合起来。建立这种以风险为导向的审计制度是非常必要的，建立之后让相关审计工作人员参与到对于风险的预测、管理以及评估中来。这样就可以让实际工作和审计工作的结合起来，最大限度的发挥审计监督机制的功能。

4.管理理念全球化

如今中国公司所在的背景是经济全球化，公司所要面临的风险不仅仅来自国内，因此公司对于经济风险进行评估时，应该立足于国际市场的大环境，对于有可能发生的种种经济风险做出自己的评估，以加强内部控制体制的风险管理的相关建设。要重视金融衍生品有可能带来的风险。建立对于金融风险的防范意识，使用现代化的管理风险的方式来控制与管理风险，可以在一定程度上减小风险。另外，公司还应该建立对于财务风险的预警机制，通过完善财务系统来让公司内部风险管理的能力得到提高。比如企业对于金融资产以及长期股权投资的公允价值变动损益。而且在末期对于变动进行详细的记录，还有处理。要对企业的相应财务信息进行规范与管理，还要建立一系列财务报表，方便记录与管理企业的财务信息。

三、总结

建立公司内部的管理风险的机制对于公司的可持续性发展来说很重要。但是如今国内的很多公司内部管理风险的内部控制机制还存在各种各样的漏洞，需要不断地完善。比如公司缺少应对来自海外风险的能力，缺少合适的金融风险管理体制等。这些问题的存在阻碍的企业发展的脚步，可以让管理理念全球化，建立严格的监督机制等措施，让公司得到更好的发展。

【参考文献】

[1]谢艳丽。探析我国企业风险管理与内部控制[J].国际商务财会，2011(02)

[2]谢琼。企业内部控制与风险管理研究[J].现代经济信息，2011(04)

内部控制的风险范文

[关键词]企业内部控制；风险管理机制；探析

[中图分类号]F272.35[文献标识码]B

我国的很多企业的内部控制建设非常落后，对于内部控制仅仅停留于理论阶段，很少有企业建立了完善的内部控制制度，企业的风险管理能力也非常低。2006年国资委颁布了《中央企业全面风险管理指引》，为央企的风险管理机制建设提供了规范。2008年金融危机之后，更多的企业开始暴露出内部控制建设不完善，风险管理能力薄弱的问题，因此，针对我国企业在内部控制的风险管理机制建设方面的不足，笔者提出相应的改进建议和措施。

一、我国企业内部控制的风险管理机制中存在的问题

（一）企业缺乏全球化背景下的风险应对能力

随着经济全球化进程的不断发展，我国企业面对的国内外竞争的压力越来越大，企业也面临着越来越复杂的市场风险。然而，由于我国经济开放的时间相对较晚，企业参与国际竞争的时间也较短，很多企业的风险控制意识比较薄弱，尤其是对于来自全球化竞争背景下的风险防范能力比较差。我国很多企业的管理层缺乏国际化视野和现代企业的经营管理理念，对于风险的理解还停留在企业的财务风险方面，企业内部控制建设比较落后，缺乏风险控制和风险管理意识。

我国很多企业参与经济全球化的进程之后，出于避免因汇率，原材料价格等波动给企业的经营和发展带来风险和压力的考虑，很多企业开始利用金融市场、期货市场，参与金融衍生品交易来进行套期保值和风险规避。但是，这也给很多企业埋下了金融风险的隐患。2008年金融危机之后，我国大量的企业因参与金融衍生品交易而导致了巨额亏损，其中以中航油的期权业务亏损和中信泰富的杠杆式外汇产品交易亏损最为严重，给国家带来了巨大的损失。这些事件的发生，与我国企业的内部控制体系存在缺陷，风险管理机制不完善有着很大的关系，尤其是对于存在杠杆效应的金融衍生品带来的风险估计不足，没有建立科学合理的风险管理机制。

（二）企业缺乏现代化公司治理结构

完善的公司治理结构是公司内部控制制度有效运行的必要条件。我国的很多企业缺乏现代化的公司治理结构，经营管理仍然是由少数的管理者来领导和决策，存在很大的主观性和随意性。企业的经营管理层是企业内部控制执行的主体，没有完善的公司治理结构的保障，企业的内部控制和风险管理机制很难得到有效的执行，作用也很难发挥。根据现代公司治理结构的要求，公司需要以董事会作为内部控制和风险管理的核心，董事会需要在内部控制的风险管理机制运行中发挥主要的作用。但是，我国很多企业的董事会制度并不完善，一些董事会很难有效的行使其职能，还有一些董事会被公司的内部人员大量占据，使内部控制和风险管理机制很难得以有效的发挥。例如，2003年发生的中航油投资石油期权发生的重大亏损事件，就是因为公司的内部控制和风险管理机制不完善，公司的董事长陈久霖在投资决策上过于主观决断，而给企业造成重大损失。

（三）企业缺乏先进的金融风险管理机制

我国很多企业都没有建立健全的风险控制体系，对于可能发生的风险难以进行有效的评估和防范。首先，很多企业没有建立专门的风险管理部门。随着经济全球化的发展，企业面临的风险越来越多，风险的复杂性也越来越大，对于企业的风险管理能力提出了越来越高的要求。尤其是随着金融衍生产品在企业中的大量运用，使企业面临着更加复杂的局面，尤其是被杠杆效应放大的风险一旦发生，给企业带来的损失将是空前的。然而，我国的大多数企业没有重视到这一问题，企业没有设立专门的风险管理部门来针对风险进行识别、评估和控制，企业也缺乏专业的人才来从事这些工作。其次，我国的企业缺少对于风险的全面评估。企业经营风险的产生和企业的内控体系以及风险管理体系是否健全有着非常紧密的联系。企业内部体系能够发挥其作用的前提是完善的风险识别和评估体系，企业需要建立可识别、可分析、可管理的风险管理机制。尤其是对于一些使用金融衍生品的企业，在对于金融衍生工具的选择和使用时，要严格的进行风险评估和控制，建立科学的风险评估模型，对金融衍生品的风险情况和交易目标完成情况进行衡量。

（四）企业的内部控制监督机制不健全

企业内部控制的执行和实施，需要有健全的监督机制来进行约束，从而保障其有效的发挥作用。我国大多数企业的内部控制监督机制都不健全，很多企业虽然制定了一套内部控制的规章制度，但是由于缺乏监督，导致内部控制的规章制度难以得到有效的执行。另外，我国很多企业不重视内部审计独立监督作用的发挥，一些企业没有设置专门的内部审计部门，导致企业的一些领导的行为难以被有效的监督和控制。例如，中信泰富发生的外汇杠杆合约亏损事件，就是因为公司的财务总监和董事的行为没有被内部审计人员监督和发现，导致公司出现巨大亏损，给公司带来很大的财务风险。

二、完善企业内部控制的风险管理机制的对策

（一）树立全球化背景下的风险管理理念

在经济全球化背景下，企业会面临着越来越多，越来越复杂的市场经济活动风险问题。企业要从市场大环境和内部的经营管理环境出发，对可能发生的经济活动风险做好充分的评估，加强内部控制体系建设。尤其是对于金融衍生品可能带来的风险，要提高重视，树立金融风险防范意识，通过现代化的风险管理手段来对风险进行很好的管理和控制。另外，企业要建立财务风险预警系统，通过财务系统的完善，加强对于金融衍生品的控制和管理。例如，公司对于长期股权投资和金融资产的公允价值变动损益，于期末一定要进行详细的变动记录和处理；要对公司的财务信息进行严格的管理和规范，通过构建资产负债表，现金流量表等财务报表来对财务信息进行记录和管理。

（二）不断优化公司内部治理结构

企业必须完善内部机构和部门的设置，优化内部治理结构，为内部控制和风险管理机制发挥作用提供良好的内部环境。首先，企业要明晰公司的性质和地位，要以市场化作为指导，通过现代企业制度对公司的结构进行改革和完善。促进企业股权多元化，积极引入外部投资者，改善企业的股权结构，从而提高其经营管理效率。其次，企业要重视发挥独立董事在企业内部治理中的作用。发挥独立董事在内部控制中的核心监督作用，提高独立董事的话语权和决策权，避免将独立董事制度形式化和边缘化，让独立董事真正的参与到公司的治理中来。另外，企业要不断健全内部的法律环境，为内部控制风险管理机制的发挥提供良好的法律保障。规模较大的企业要建立健全以总法律顾问制度为核心的企业法律顾问制度，为企业的经营和管理提供法律支撑，使企业避免因违反经营等行为带来的法律风险，并提高全球化背景下的企业市场竞争力。

（三）完善企业的风险管理体系

企业要对于风险管理体系不断的进行完善，从而使其能够很好的应对各种复杂的风险问题。首先，企业要设立专门的风险管理部门，对于企业经营和管理中可能发生的风险进行全面的管理和控制。企业要引入专业的风险管理人员，尤其是对于金融市场的风险比较了解的人员，提高企业应对新形势下的市场风险的能力。其次，企业要对于风险进行分类和评估工作，从而有针对性的对于各种不同层次不同程度的风险进行管理和控制。企业要根据自身的特点，选择适合自身的风险管理方法和手段，不断完善企业的风险管理体系。

（四）建立严格的内部审计制度，发挥内部审计的独立监督作用

企业要建立严格的内部审计制度，发挥内部审计的独立监督作用，从而提高企业风险管理的能力。首先，企业要建立严格的内部审计制度，并保证内部审计部门的独立性和权威性，使内部审计部门能够很好的对企业经营管理的各个环节进行全面充分的监督，及时发现存在的风险问题，并为企业管理层进行风险管理工作提供依据。其次，要让审计制度与风险管理工作充分结合起来。企业可以建立一种以风险为导向的内部审计制度，使审计人员全面的参与到企业经营管理的各个环节中去，尤其是在风险预测、风险评估和风险管理环节，要将审计人员的优势充分的发挥出来，提高企业风险管理水平。

[参考文献]

[1]黄翠竹.中国上市公司内部治理审计研究[D].辽宁大学，2010

[2]周继军.企业内部控制与管理者问题研究[D].华中科技大学，2011

内部控制的风险范文

关键词：内部控制风险管理风险导向

中图分类号：F270.7文献标识码：A

文章编号：1004-4914(2010)09-020-02

在1992年《企业内部控制――整体框架》报告的基础之上，结合《萨班斯――奥克斯利法案》(Sarbanes―OxleyAct，以下简称萨奥法案)的相关要求进行扩展研究，美国科索委员会COSO在2004年正式《企业风险管理――整体框架》，指出：“内部控制是企业风险管理的有机组成部分，企业风险管理包含内部控制，并形成一个比内部控制更广泛的管理概念和工具。”该框架对内部控制的内涵进行了扩展：监督成为企业风险管理的要素之一，对企业风险管理进行监督以确定企业风险的运行是否有效，监督对象在目标、方法、内容等方面进行了扩展，但仍然遵循了内部控制监督的基本原则和方法。COSO委员会于2009年1月了《监督内部控制系统的指南》(Guidance0nMonitoringInternalControlSyslems,以下简称监督指南)。该指南以风险导向为核心理念，以将监督有效地植入公司的持续控制过程为根本目标，从而能最小化内部控制失败，并提高决策所需信息的可靠性，它在实质上推动了内部控制监督要素的应用性发展。我国自2009年7月1日起施行《企业内部控制基本规范》，也强调了风险管理。

但是，很多研究结果表明，当前的内部控制框架有一定的局限性，尤其是对风险管理的强调不够，使企业的内部控制与风险管理无法有机结合，所以应该加强基于风险管理的内控。

一、内部控制和风险管理基本理论

1.内部控制理论。内部控制是指被审计单位为了保证业务活动的有效进行，保护资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监督。

内部控制理论是内部控制框架和标准制定的基础，在整个内部控制体系中起基础性作用。在我国，吴水澎，邵贤弟，陈汉文(2000)、杨雄胜(2005，2006)、潘琰，郑仙萍(2008)、毛新述，杨有红(2009)等从不同的视角对内部控制理论进行了探讨。谢志华探讨了内部控制的本质和结构，陈关亭讨论了企业内部控制的假说。

2.风险管理理论。(1)风险的概念。人们在特定客观条件下和特定时期内，对于某一事件或行为产生的预期结果与实际结果之间的差异程度就是风险。这种差异程度在本质上体现了预期主体之间的价值调整。(2)风险的特征。风险的主要特征包括：风险是客观存在的，风险是相对且可以变化的，风险是可以预测的，风险在一定程度上是可以控制的，风险损失与风险价值的对立统一性。(3)风险管理理论。风险管理是企业在识别风险、分析风险、衡量风险的基础上寻求有效控制风险的途径，并用最经济合理的方法来处置风险，以实现最大安全保障的科学管理方法。

企业风险管理的目标是通过对企业的风险进行控制和管理，尽可能使得某一风险事件或行为造成的损失比预期小，创造的价值比预期大，即风险溢价最大化。设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。企业风险管理目的在于企业同标的实现，保证股东财富的最大化。

二、内部控制、风险管理之间的关系

内部控制与风险管理并非平行的关系，应该说内部控制是风险管理的一个重要组成部分，而风险管理则是内部控制的发展和延续。内控主要是针对常规性风险，风险管理主要针对非常规性风险。

理论界和实务界对内部控制与风险管理的关系观点不一，目前具有代表性的三种观点是：内部控制包括风险管理；内部控制就是风险管理；风险管理包括内部控制。

1.内部控制包括风险管理。COCO的报告认为，风险识别、风险评估、风险应对、风险监控是企业内部控制的关键要素。CICA(1998)阐明了风险管理和内部控制之间的关系，即内部控制包括风险管理。

2.内部控制就是风险管理。Blackhum(1999)认为风险管理与内部控制仅仅是人为的分离，在现实的经营活动中，两者是相同内容的不同表达形式而已；MatthewLeitch(2004)认为，理论上风险管理系统和内部控制系统没有实质上的区别，随着这两个概念的内涵不断外延，两者正趋同一致，即内部控制就是风险管理。陈关亭(2005)认为风险管理与内部控制并不是包含关系，而是完全等价的。

3.风险管理包括内部控制。美国科索委员会COSO于2004年正式的ERM--IF表明了内部控制是风险管理不可分割的一部分。风险管理的目标有四类，其中三类与内部控制相重合，即报告类目标、经营类目标和遵循类目标。2009年的《监督内部控制系统的指南》也体现出了类似理念。通过分析，笔者倾向于第三种观点，认为风险管理的范围大于内部控制，且二者逐渐在融合。原因主要在于：(1)按风险管理和内部控制的发展进程来看，内部控制早于风险管理；(2)COSO于2004年9月正式颁布的ERM--IF指出：“内部控制是企业风险管理的有机组成部分，企业风险管理包含内部控制，并形成一个比内部控制更为广泛的管理概念和工具。”所以，在当前大力提倡建立完善的内部控制的大环境下，必须要基于风险管理来开展。

根据上述分析，企业风险管理和内部控制融合关系框架如图l所示。从图中我们可以看出：内部控制、风险管理之间的关系非常密切。因此，必须把这两者融入企业日常的经营管理之中，充分考虑在实现企业战略目标过程中的风险，并针对风险采取有效的措施加强内控控制。

企业实现管理目标的前提是防范风险，防范风险的内在机制在于内部控制。目前，我国内部控制制度及实施情况仍然比较落后，还存在着许多问题。

1.风险管理与内控脱节。一些企业由于风险问题而损失严重，甚至倒闭，不是因为没有内部控制体系、风险控制制度，而是根本就未有力执行，公司治理控制没有很好地发挥作用，治理层风险意识单薄，人员职业道德偏低，从而未起到强有力的制衡作用，导致管理层无视企业的制度，按自己的意图肆意妄为。这有待于通过改善公司治理结构、强化外部监管来强制企业按制度办事，并针对违规行为制定严厉的惩戒措施来逐渐改善，使得风险管理与企业的内部控制有机结合。

2.企业缺乏良好的风险管理及控制环境。我国企业对风险管理的重视程度不够，普遍缺乏足够的风险意识和风险管理文化，企业及高管很少具备进行风险管理所需要的科学知识结构，企业存在的环境是风险管理的基础，为其他要素提供合理的氛围。在实践中，内部环境受企业历史

和文化的影响，具体包括企业员工的道德观和胜任能力、员工的培训、管理者的管理风格和经营哲学、企业文化等。在风险管理过程中，治理层、高管层和基层必须保持高度的风险意识和遵守业务工作流程，因为在风险面前，任何一个疏于坚持原则的行为或判断，都很可能导致控制失败，给企业带来巨大的损失。我国很多企业发生风险管理失败的重要原因之一是缺乏高度的风险意识和坚定的原则操守，这很大程度上是由于缺乏关注风险管理的企业文化等内部环境。制度规范、市场等企业生存的外部环境也是影响风险管理和内控实施的重要因素。

3.监督机构不健全，独立性不强。要确保内部控制制度被切实地执行且执行的效果良好，必须有良好的监督约束机制。内部审计机构在其间发挥着重要的内部监督作用。为此，审计署颁布了《关于内部审计工作的规定》，批准公布了《内部审计准则》，以加强内部审计在内控中的监督作用。由于内部审计机构的独立性及监督能力受到管理体制、外部干预等多种因素的影响，所能发挥的监督作用有限。许多企业的内部审计部门形同虚设，不独立于企业的其他部门，不具有监督所应有的权利和地位，内部审计人员的素质参差不齐，有些企业的内部审计人员甚至不具备最基本的财会知识，因此，行使监督职能时就会力不从心，不少企业的内部审计仅仅流于形式，大多数不能发挥其应有的作用。

4.缺乏有效的风险评估体系。目前我国企业内部控制评价主观性大、评价标准不统一、风险评估体系不完善，没有形成一套有效的风险评估体系对风险进行评估。对风险的识别和衡量更多的是依赖经验，模型分析和量化分析较少，找不到关键控制点，这导致企业风险管理及控制徒有虚名，给企业运营带来严重后果。

5.信息和沟通渠道不畅通。企业的各个部门，以及企业与外部不能进行有效沟通，不能及时获取有用信息会妨碍风险管理和控制。尤其是在当前信息化和网络化快速发展的时代，会导致很多信息的流失，这都会导致风险管理和控制措施不能有效地实施。

四、完善我国企业内部控制的措施

1.强化风险管理在我国企业内部控制中的核心地位。随着我国制度和规范的健全，我国企业的内部控制不是缺乏制度和政策。而是缺乏让制度得以执行到底的风险措施或流程。工作流程的根本任务就是将技术和人有效运作在企业组织之中，从而推进企业的技术性(技术、标准、程序、结构等)和社会性(行为规范、企业文化、激励和约束机制等)发挥整体绩效的功能。企业在制定工作流程时可以将企业的制度和执行人有效地衔接起来，从而增加工作的价值，提高工作效率，并能减少错误降低风险。所以，在当前必须要强化风险管理，否则有效的内控也难以实现。

2.完善良好的企业风险管理和内部控制环境。企业环境通常包括企业文化、治理结构、人事政策、权利和责任的分配、外部影响等，其中企业文化是核心竞争力的核心要素。完善企业环境可以从以下方面努力：(1)建立健全组织结构。组织结构提供了企业活动的筹划、执行、控制以及跟踪检查的框架，它包括权责范围以及管理层次。各组织机构的人员配备要注意职责划分。(2)加强人力资源管理。培养风险管理专业人才队伍；提高每个员工的风险控制责任感和敏感度，尤其是高管层；大力培养员工的职业道德和职业操守。企业内外经济环境和社会环境发生变化时，企业文化也应该不断的完善、调整和升华，从而适应新的环境、条件和组织目标，保证企业文化充满生机和活力。

3.健全企业风险导向下的内控监督机构。有效实施内控，要做到有效监督。监督要以风险为导向，把焦点放在评估那些应对重大风险的控制。监督应该要建立在对企业目标风险的分析以及对控制如何能够或不能够应对或减轻这些风险的理解基础上，在整个监督流程中需要始终贯穿风险导向原则。健全企业的内部审计监督机构要做到：1.进一步提高内部审计的独立性，保证审计的客观性和公正性；2.推进审计内容由财务审计向管理审计转变，管理审计可以优化企业的管理流程和提高企业的内部控制水平；3.审计时点要重视事前和事中审计而非仅仅事后审计，做到对整个过程进行审计，真正做到防范风险；4.严格执行审计决定。审计决定是对具体审计项目的总结，在经过企业领导批准后应及时送达被审计单位执行，被审计单位应严格执行。这样内部审计监督机构可以及时、准确、客观地发现和反映项目投资、业务合作、资产处置、财务状况分析等环节中存在的问题，更重要的是能提出具有可行性的审计意见和建议，为解决问题提供决策依据。

4.完善企业的风险评估体系，建立风险动态评估机制。控制和风险的概念紧密相关’风险评估是进行内部控制的依据。完善企业风险评估体系应遵守的原则是：定性与定量相结合原则、成本收益原则、重要性原则、全面性原则、有效反馈原则和灵活使用原则。风险评估主要报告筹资风险、投资风险、信用风险、合同风险。企业应在立足于自身情况的同时，构建恰当的评估模型，按照一定的风险评估过程进行评估，基本过程如图2。

风险评估体系确立了企业各种行为的边界，明确了什么可以做，什么不可以做。如果发现有越界行为，要能及时发现并对其进行控制，把损失降至最低。而且，在评估过程中要做到根据具体的情况，实时评估，建立动态评估机制以此反映不断变化的新情况。

5.建立广泛、全面的信息和沟通系统框架(1)信息系统。信息系统处理企业内部信息和外部信息。通过管理信息系统，企业内部的员工能够清楚地了解内部控制制度，知道其所承担的责任，并及时取得和交换他们在执行、管理和控制企业经营过程中所需的信息。一个良好的信息系统+应有助于提高内部控制的效率和效果。企业应按控制系统的需要识别使用者的信息需要，在此基础上收集、加工和处理信息，并将这些信息及时、准确地传递。(2)沟通。企业的信息系统提供有效信息给适当的人员，通过沟通，使员工能够知悉其营业、财务报告及遵循法律的责任。企业沟通包括内部沟通和外部沟通。