通过对内部控制一三五五的分析和解读，有助于加深我们对内部控制定义、目标、原则和要素的理解。

  内部控制的目的是加强和规范组织运营管理，提高其治理水平和风险防范能力，并贯穿于战略目标的制定、分解和执行过程，为战略目标的实现提供较为合理保证，促进组织的可持续发展。内部控制可以用16个字来概括：一个定义、三项目标、五个原则、五个要素。

  一个定义是指内部控制是一个受组织董事会、管理层及其他员工影响的，旨在为运营的效率和效果、财务报告的可靠性、有关规定法律法规遵循等目标的实现提供合理保证的过程。

  内部控制是风险管理的基础，后者是建立在前者基础上的，具有更高层次和综合意义的控制活动。管理层人员一定密切关注注意各个层级的风险，采取必要的措施对风险进行防范和管控。风险管理分为风险偏好与风险容忍度，没有良好的内部控制体系，风险管理是无法实施的。风险偏好是组织在实现其目标过程中喜欢收益的波动性胜于收益的稳定性的心理导向，与自身的战略目标直接相关，一个组织在制定战略时需要将其既定收益与领导者的风险偏好有机的结合在一起。风险容忍度是在组织风险偏好基础上设定的、在目标实现过程中组织对风险与收益差异的可接受程度，表现在预算的编制、执行、调整、评价全过程特别的重要和明显。

  三项目标是指内部控制具有3项目标，包括经营目标、报告目标和合规目标。由此可见，财务报告的可靠性并不是内部控制唯一的目标。换言之，内部控制不等于会计控制，但是两者又有非常密切的相关性。经营目标是促进组织实现发展目标，维护资产安全完整，提高资产的使用效率和效益，防止资源的闲置和库存的增加。报告目标是保证财务报告及相关信息的真实性、可靠性、准确性和完整性，内部控制信息是组织信息公开披露的一部分，而信息披露不单单是会计监督和会计控制的信息，更重要的是组织风险管理完善程度的一个标志；合规目标是保证经济活动和业务活动的合法、合规、合理，是把权力关在制度的笼子里，让权力在制度的轨道上运行。

  一是全面性原则：内部控制是全组织、全员、全业务、全流程的经济活动和业务活动，贯穿单位活动的决策、执行和监督全过程，实现对组织活动的全面控制。二是重要性原则：在全面控制的基础上，内部控制应当关注单位重要经济活动和经济活动的重大风险，着重关注组织经济性活动风险在哪里？即重要业务领域、重大业务事项、重点业务环节，而不是所有的活动都要控制，那不符合成本效益原则。三是制衡性原则：不相容职务不能一个人做，内部控制应当在单位内部的部门管理、职责分工、业务流程等方面形成相互制约和相互监督，要关注制衡与监督的不同。四是适应性原则：一个组织要想达到一定的规模需要依靠制度，制度建设应当符合国家相关规定和单位的真实的情况，并随着外部环境的变化、单位经济活动和业务活动的调整和管理要求的提高，不断修订和完善。五是成本效益原则：内部控制的关键点和控制环节并不是越复杂越好，选择关键控制点时，要考虑其有效性，即内部控制实施时花费的成本和由此产生的经济效益之间要保持适当的比例。

  五个要素是指将内部控制的组成部分分为相互独立而又相互联系的5个要素：控制环境、风险评估、控制活动、信息与沟通、内部监督。

  一是控制环境。指组织内部的文化、价值观、组织架构、管理理念和风格等，是内部控制建设的基础和土壤，是一切内部控制制度、流程、控制点得以实施的根本条件，对组织内部控制的运行及效果产生广泛而深远的影响。一个组织内部控制实施的效果好与坏，首先应该对其环境进行评价，如果环境不好，就需要更仔细和深入的进行建设，换句话说，如果环境建设得好，具备良好的风险意识和内控文化，即使一些小的方面存在控制不足，也并不重要。如果环境不好，就有可能会出现舞弊，而且这个舞弊将造成灾难性的损失。

  二是风险评估。风险评估是指识别和分析与实现目标相关的风险，并采取对应的行动措施加以控制，这一过程包括风险识别和风险分析两个部分。并不是说一个组织所有的、任何的操作都需要管控，使用无比繁琐的流程进行防范。内部控制体系需要强调成本效益原则，要注重自身运营效果和效率，就必须注重风险评估，以风险为导向建设内部控制体系。非重大风险可以酌情简化，但是重大风险就需要认真将制度、流程和控制环节建设好。

  三是控制活动。控制活动是指组织对所确认的风险采取必要的措施，以保证其目标得以实现的政策和程序。一般来说，与内部控制相关的控制活动包括不相容职务分离、实物控制、信息处理、业绩评价等。控制活动是内部控制体系的核心环节，应该嵌入在业务流程当中得以保证实施，并注意留下控制痕迹以供检查监督。

  四是信息与沟通。信息与沟通是指为了使管理者和其他员工能够更好地行使职权和达成目标，组织内部各个部门及员工之间必须沟通与交流相关信息，既包括外部信息，也包括内部信息。信息沟通包括信息传递和信息系统两个部分，信息采集和信息传递指的是组织与其外部包括上级主管部门在内的各个利益相关者之间，组织内部各部门之间、上下级之间、各管理级次之间是不是存在良好的沟通渠道。信息系统内部控制合规性最重要的包含信息系统基础环境、总体控制和应用层面控制三部分，严密科学的信息系统，可以有效的预防某些组织工作人员滥用职权，徇私舞弊。总之，内部控制一定要镶嵌在信息化建设中才能实现。

  五是内部监督。内部监督检查是使内部控制成为闭环的重要组成部分，缺乏这个环节，内部控制就不是一个PDCA的完整循环，或者说就不能一直在优化和提升，内部控制体系就是静态的而非动态的。监控是指评价内部控制的质量，也就是评价内部控制制度的设计与执行情况，包括日常的监督活动和专项评价等。管理者通过定期或不定期地对内部控制的设计与执行情况做检查和评估，与有关人员就内部控制有效与否进行交流，并提出整改意见，以保证内部控制制度随着环境的变化而一直在改进。