（二）风险评估
风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合

理确定风险应对策略。企业开展风险评估，应当准确识别与实现控制目标相关的内部风险
和外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体
风险承受能力和业务层面的可接受风险水平。

1.企业内部风险的内容
企业内部风险的内容

包括：

（1）人力资源因素，如董事、监事、经理和其他高级管理

人员的职业操守、员工专业胜任能力等；（2）管理因素，如组织机构、经营方式、资产管
理、业务流程等；（3）自主创新因素，研究开发、技术投入、信息技术运用；（4）财务因
素，如现金流量、经营成果；（5）安全环保因素，如营运安全、环境保护等。

2.风险评估程序
风险评估的程序分为两步：第一步是采用定性与定量相结合的方法，评估风险发生

的可能性或频率，以及其为企业带来的影响程度；第二步是对识别的风险进行分析和排
序。随后企业以风险分析的结果为依据，考虑如何对重要风险进行管理及采取适当的风险
应对策略。企业可以综合运用风险规避、风险降低、风险转移和风险承担等风险应对策略，
实现对风险的有效控制。

（三）控制活动
控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受

之内。

1.控制活动的分类
（1）按照控制方式，控制活动分为：

①命令式控制

，或称作指导性控制，主要是为

员工提供指南；

②预防性控制

，主要是指为了防止错误和舞弊的发生而实施的控制；

③

侦察性控制

，是指当错误或舞弊发生时能够加以识别而进行的控制；

④纠正性控制

，是

指针对识别出来的风险而采取相应应对策略的控制；

⑤补偿性控制

，是指针对某些环节

的不足或缺陷而采取的控制。

（2）按照控制的目标，控制活动可分为

运营、财务报告及合规

三个类别，但它们之

间有时可能出现重叠。

2.内部控制活动

常见的内部控制活动有：

①不相容职务分离控制；②授权审批控制；③会计系统控

制；④调节和复核；⑤财产保护控制；⑥预算控制；⑦营运分析控制；⑧绩效考评控制。

（1）不相容职务分离控制
不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容

职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。在有效
的公司治理层面上，

董事会主席与首席执行官的职责应当分离

，以防止一个人取得董事

会的支配地位。

（2）授权审批控制
授权审批控制要求企业根据

常规授权和特别授权

的规定，明确各岗位办理业务和

事项的权限范围、审批程序和相应责任。常规授权是指企业在日常经营管理活动中按
照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的

 

授权。企业各级管理人员应当在授权范围内行使职权和承担责任。

企业对于重大的业务和事项，

应当实行集体决策审批或者联签制度，任何个人不得

单独进行决策或者擅自改变集体决策。

（3）会计系统控制
会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明