2. 提高风险应对能力

提高风险的应对能力在三个层面上体现：一是在风险的识别、分类、评价、确认上提高能力；二是在政策流程上合理选择政策与流程；三是在道德文化层面上对员工进行培训，形成关注风险、防范风险的文化。

风险识别、分类、评估和排序是内部控制建设的起点，是后续政策与流程设计的基础。风险识别、评价等是一个动态的过程，企业在发展，环境在变化，所以企业所面临的主要风险也在变化，为应对这样的变化，企业需要应用风险评价工具箱，定期地对企业的风险进行评价，以把握企业特定阶段的主要风险。

风险评估从业务循环切入，针对关键风险点和风险类别及对经营的影响程度设计关键控制措施，将控制措施融入经营活动，加强内部控制运行实操性。风险评估的方法通常从历史事件分析入手，考虑发展趋势，并辅之以一些修正因子，最终确定评估结果。风险评估的过程要强调风险组合观的应用，切忌孤立地从某一个作业点看待风险。

风险管理政策和流程的建设一方面要强化关键风险点的管理控制，弱化非重要风险点的管理控制，体现效率和控制的平衡；另一方面要突出内部控制设计的动态适应性，解决规范固化与动态发展之间的矛盾，让内部控制政策与流程实现动态更新与自我调节完善。

风险文化的形成是风险应对所要达成的最终目标，成熟的风险管理文化能够使大家对风险管理和应对的各项措施取得一致的认同，形成主动的风险管理环境，使企业自如地应对风险。

3. 完善政策流程

政策、程序与流程是内部控制的内核，是承载内部控制思想与内部控制导向的载体，以及内部控制实施最显现的部分。这部分内容由政策、制度、程序与流程构成，其中，政策与制度确立公司的经营导向和管理导向，流程则将导向落实在具体的操作层面。

程序与流程围绕关键风险点设计，与控制环境相联系，融入信息沟通要求，也是监督评价标准的设计基础。政策与程序的概念较原有的COSO控制活动概念更为具体。首先，围绕前述评估的关键风险制定相关的政策，将评估结果纳入控制活动设计之中。其次，政策与流程的设计，强调相关流程涉及的组织职责边界清晰，审批事项授权明确，这些都与控制环境的完善程度相联系。再有，政策与流程的设计，融入必要的控制文档，并明确规定文档的填写内容、填报责任人、填报时间与路径，实质是将信息沟通要求融入其中。最后，政策与流程还是监督评价标准的设计基础。

综上所述，政策与流程是内部控制实施五项保障措施的核心，也是内部控制机制构建与运行的实操内核，它以控制活动为表现形式，将内部控制的各项要素串联起来。

4. 促进信息沟通

企业的信息包括内部运营信息和外部的环境与市场信息，企业应当通过各种可行的、合规的渠道获取信息，合理筛选、加工、整合信息，并合理地在企业各部门和相关利益人之间传递，以支持企业的经营决策。

信息是内部控制的血脉，应当保持畅通，防止堵塞，以免影响内部控制效率的发挥。保持信息畅通关键手段包括两个层面的设置：一个是技术层面的设置，包括清晰部门边界和部门搭接点，明确业务单元/单位/部门之间信息流动的内容频率，规范核算基础、业务统计基础，统一核算口径、业务统计口径、各种表单的口径、管理报告口径、报告频率，以及系统软件的设置与应用；一个是管理层面的设置，涉及信息流动的意愿，包括一系列的与信息流动相关的政策、制度、流程、培训等。