展战略的实现也顶多是纸上谈兵、水中望月罢了。因此，在开展内部控制流程设计时，要充
分评估企业当前的经营状况，对于资产安全、财务报告信息真实性等会计类控制目标，可设
计较为具体和固定的条款对企业的经营活动进行硬性约束；而对于管理类控制目标，可设
计具有一定张力和灵活性的措施，对企业的经营活动进行弹性约束。

 

　　三、关于内部控制环境的思考

 

　　《基本规范》把内部控制环境界定为内部控制的基础。新华词典中，

“基础”一词的含义为

事物发展的根本或起点，也就是说，《基本规范》将内部环境作为企业内部控制管理活动的
出发点，认为在开展内部控制实践之前，应先对企业控制环境进行调整和优化。从静态角度
思考，上述观点并无差错，控制环境的良莠差异将直接影响内部控制实践的效果和效率，
因此应将优化控制环境作为内部控制实践的实施基础抓好落实；然而，从动态的角度分析
上述观点具有一定的片面性，控制环境对内部控制的影响是全方位的，涉及内部控制设计、
实施乃至评价各个环节，同时内部控制对控制环境的依赖也是全过程的，每一个内部控制
点的确定和控制措施的设定都需要考虑与控制环境的匹配和适应程度，可见，内部环境与
内部控制是一个相互影响和依存的动态融合关系，因此应对控制环境进行如下界定，

“控制

环境，是内部控制的基础和重要组成部分

”。 

　　四，关于风险的认识

 

　　《基本规范》在探讨风险控制问题时，明确了三个相关定义，第一个是风险评估

——指

企业对经营活动中与实现内部控制目标相关的风险进行及时识别、系统分析，并合理确定风
险应对策略；第二个是风险承受度

——企业能够承担的风险限度，包括整体风险承受能力

和业务层面的可接受风险水平；第三个是风险应对策略

——企业应当综合运用风险规避、风

险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制，然而，《基本规范》
却未对

“风险”一词做出明确定义。虽然理论界就风险与不确定性二者之间是否能够完全等同

以及能否用

“不同后果发生概率的可知性”作为区分二者的根本标准所展开的纷争已经由来

已久，至今莫衷一是，没有定论，但我们可以尝试从《基本规范》关于风险评估的定义进行
合理推断：如果事件（后果）发生的概率不可知，评估活动就无法开展，而且对发生概率
不可知的事件（后果）实施内部控制，明显有悖于成本效益原则，从这个角度说，笔者认
为《基本规范》中所提及的风险，是指发生概率已知或者可以合理推断的可能性和后果的组
合。然而从内部控制的实施目标角度展开研究，涉及企业战略目标层次的风险，往往很难判
断其发生概率和影响程度，而这些风险对于企业的影响，往往又是致命性的。在设计企业内
部控制流程时，应针对不同性质的风险，有的放矢，确保风险控制在合理水平的同时，符
合成本效益原则的要求。

 　　一是适度降低业务层面的可接受风险水平，确保整体风险承

受能力处于可接受风险水平之内。多数情况下，企业面临的总体风险水平大于多个单项业务
风险的简单加总，单项业务风险水平与整体风险水平之间的关系呈

“1+1+…+1<1”的关系，

其中不等式左边的

“1+1+…+1”是指将单项业务风险水平进行简单加总，不等式右边的“1”是

指将所有业务整合后企业面临的总体风险水平，因此企业应全面梳理各项业务活动流程，
客观评估各风险点的重要性水平，在保证内部控制质量和效果的前提下，适度降低部分业
务层面的可接受风险水平。

 

　　二是合理选择风险应对策略。对于会计控制类的业务活动，如针对资产安全、财务与信
息真实有效性一类的业务活动，可考虑采用风险降低、风险分担甚至风险承受等策略开展内
部控制流程设计，但对于管理控制类的业务活动，如涉及企业经营效率，特别是关系企业
发展战略的业务活动，应当采用风险规避导向开展内部控制流程的设计。

 

　　五，关于信息沟通与内部控制评价的看法

 

　　从国内企业内部控制实施情况看，许多企业对内部控制实践活动存在这样一个误解：
“业务部门出错，财会部门挨批”，即“内控执行到位是业务部门的功劳内部控制出现问题是