目标。企业的整体目标，通常是由企业的理念及其所追求的价值所决定的，而与
之相配合的是企业内部各部门的具体目标。整体目标主要是：营运目标，包括绩
效和获利目标及保障资产的安全，使其免受损失；财务报告目标，防止对外报送
不真实的财务报告；遵循目标，企业遵循国家的相关法律法规。
（2）设立识辨、分析风险的机制。辨识和分析风险的过程是一种持续及反复的过
程，也是有效内部控制的关键组成要素，管理阶层须谨慎注意各部门阶层的风险
，并采取必要的管理措施。企业的风险一般是由外部因素和内部因素所产生的。
外部因素包括：科技发展；顾客的需求或预期改变；竞争；新的法律和行政命令
；自然灾害；经济环境改变等。内部因素包括：信息系统处理的中断；聘用员工
的品质、培训方法及激励制度；经理人员的责任改变；企业活动的性质以及员工
可接近资产的程度；董事会或监事会不够坚定或无效等。
（3）管理风险。经济、产业及管理的环境都是会改变的，企业的活动应随之改变
。因此，风险评估中最基本的部分，就是如何辨认已发生的改变，并采取必要的
行动。这些改变因素包括：行业环境的改变；新员工；业务迅速成长；新科技；
新业务、产品、作业；公司重组；国外业务等。
3．控制活动。控制活动是确保管理阶层的决策和指令得以执行的政策和程序，包
括核准、授权、验证、调节、复核经营绩效、保障资产安全及职务分工等。控制
活动在企业内的各个阶层和职能之间都会出现，这主要包括：
（1）高层经理人员对企业绩效进行分析。管理阶层记录经营活动（如：市场的扩
展、生产过程改良、成本的控制）的结果，然后再与预算、预测、前期及竞争者
的绩效相比较，以衡量目标达成的程度和监督计划（如：新产品开发、合资经营
、融资行为）的执行情况。
（2）直接部门管理。负责某一部门的经理人员复核自己所负责部门的业绩报告，
检查本部门各业务活动的情况，以便辨认趋势。
（3）对信息处理的控制。对信息系统的控制活动可分为两类，第一类是一般控制
，它帮助管理阶层确保系统能持续、适当的运转；一般控制包括：对资料中心运
作的控制、对系统软件的控制、存取安全的控制、对应用系统的发展及维护的控
制。第二类是应用控制，它包括应用软件中的电算化步骤及相关的人工程序。应
用控制包括：输入控制、输出控制。
（4）实体控制。保护设备、存货、证券、现金和其它资产的实体安全，定期盘点
并与控制记录所显示的金额相比较。
（5）绩效指标的比较。把不同的几套数据资料（如：经营数据与财务数据）相互
比较，分析它们之间的关系，然后再进行调查与纠正。以存货为例，其绩效指标
包括：购货价差、订单中“紧急订货”比例、总订单中退货的比例。管理阶层需
要调查超出计划的结果或者不正常的趋势，辨认采购作业的目标无法达成的原因
。
（6）分工。分工即指将责任划分，再将不相容职务分派给不同的员工，以降低错
误或不当行为的风险。
4．信息与沟通。信息与沟通指为了使员工能够执行其职责，企业必须搜集、识别
、交流各种内部和外部信息。其内容包括确认和记录有效的经济业务、采用恰当
的货币价值计量、在财务报告中恰当揭示等。
企业在其经营过程中，需按某种形式辨识、取得确切的信息，并进行沟通，以使
员工能够履行其责任。信息系统不仅处理企业内部所产生的信息，同时也处理与
外部的事项、活动及环境等有关的信息。企业所有员工必须从最高管理阶层清楚
地获取承担控制责任的信息，而且必须有向上级部门沟通重要信息的方法，并对
外界顾客、供应商、政府主管机关和股东等做有效的沟通。