2. 提高風險應對能力

提高風險的應對能力在三個層面上體現：一是在風險的識別、分類、評價、確認上提高能力；二是在政策流程上合理選擇政策與流程；三是在道德文化層面上對員工進行培訓，形成關注風險、防范風險的文化。

風險識別、分類、評估和排序是內部控制建設的起點，是后續(xù)政策與流程設計的基礎。風險識別、評價等是一個動態(tài)的過程，企業(yè)在發(fā)展，環(huán)境在變化，所以企業(yè)所面臨的主要風險也在變化，為應對這樣的變化，企業(yè)需要應用風險評價工具箱，定期地對企業(yè)的風險進行評價，以把握企業(yè)特定階段的主要風險。

風險評估從業(yè)務循環(huán)切入，針對關鍵風險點和風險類別及對經營的影響程度設計關鍵控制措施，將控制措施融入經營活動，加強內部控制運行實操性。風險評估的方法通常從歷史事件分析入手，考慮發(fā)展趨勢，并輔之以一些修正因子，最終確定評估結果。風險評估的過程要強調風險組合觀的應用，切忌孤立地從某一個作業(yè)點看待風險。

風險管理政策和流程的建設一方面要強化關鍵風險點的管理控制，弱化非重要風險點的管理控制，體現效率和控制的平衡；另一方面要突出內部控制設計的動態(tài)適應性，解決規(guī)范固化與動態(tài)發(fā)展之間的矛盾，讓內部控制政策與流程實現動態(tài)更新與自我調節(jié)完善。

風險文化的形成是風險應對所要達成的最終目標，成熟的風險管理文化能夠使大家對風險管理和應對的各項措施取得一致的認同，形成主動的風險管理環(huán)境，使企業(yè)自如地應對風險。

3. 完善政策流程

政策、程序與流程是內部控制的內核，是承載內部控制思想與內部控制導向的載體，以及內部控制實施最顯現的部分。這部分內容由政策、制度、程序與流程構成，其中，政策與制度確立公司的經營導向和管理導向，流程則將導向落實在具體的操作層面。

程序與流程圍繞關鍵風險點設計，與控制環(huán)境相聯系，融入信息溝通要求，也是監(jiān)督評價標準的設計基礎。政策與程序的概念較原有的COSO控制活動概念更為具體。首先，圍繞前述評估的關鍵風險制定相關的政策，將評估結果納入控制活動設計之中。其次，政策與流程的設計，強調相關流程涉及的組織職責邊界清晰，審批事項授權明確，這些都與控制環(huán)境的完善程度相聯系。再有，政策與流程的設計，融入必要的控制文檔，并明確規(guī)定文檔的填寫內容、填報責任人、填報時間與路徑，實質是將信息溝通要求融入其中。最后，政策與流程還是監(jiān)督評價標準的設計基礎。

綜上所述，政策與流程是內部控制實施五項保障措施的核心，也是內部控制機制構建與運行的實操內核，它以控制活動為表現形式，將內部控制的各項要素串聯起來。

4. 促進信息溝通

企業(yè)的信息包括內部運營信息和外部的環(huán)境與市場信息，企業(yè)應當通過各種可行的、合規(guī)的渠道獲取信息，合理篩選、加工、整合信息，并合理地在企業(yè)各部門和相關利益人之間傳遞，以支持企業(yè)的經營決策。

信息是內部控制的血脈，應當保持暢通，防止堵塞，以免影響內部控制效率的發(fā)揮。保持信息暢通關鍵手段包括兩個層面的設置：一個是技術層面的設置，包括清晰部門邊界和部門搭接點，明確業(yè)務單元/單位/部門之間信息流動的內容頻率，規(guī)范核算基礎、業(yè)務統(tǒng)計基礎，統(tǒng)一核算口徑、業(yè)務統(tǒng)計口徑、各種表單的口徑、管理報告口徑、報告頻率，以及系統(tǒng)軟件的設置與應用；一個是管理層面的設置，涉及信息流動的意愿，包括一系列的與信息流動相關的政策、制度、流程、培訓等。