。美国coso提出了内部控制信息披露的框架，并给出了内部控制的定义：是董事会、管理者和其他人士依据一定的额内部控制有效性评价标准，对本企业内部控制设计的合理性、有效性进行评判，并对经营效率和效果、财务报告的可靠性和遵守法律和条例进行信息公开的过程。
公司内部控制涵盖公司经营管理的各个层级、各个方面和各项业务环节。不同所有制形式、不同组织形式、不同行业、不同规模的公司可以结合实际情况，从不同的角度入手建立健全有效的内部控制。本文将以中石化为例，中石化将“内部控制”定义为，内部控制是由集团公司董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
12内部控制的要素
内部控制依据企业的实施过程以及业务流程而进行划分，大致分为五大要素：控制环境、风险评估、事项识别、信息与沟通、内部监督。这些要素是上市公司内部控制信息披露的基础参考资料。
121控制环境控制环境决定了一个组织的气氛，影响该组织中人们的内部控制意识。控制环境是内部控制其他要素的基础，决定着内部控制的规划和结构。其内容主要包括了正直品行与价值观、人员胜任能力、管理哲学和经营风格及审计委员会等。122风险评估风险评估即指与提供符合公认会计原则的财务报告有关的风险的确认、分析和管理。风险评估过程必须判明公司完成既定目标存在的外部风险，分析各种风险的类型和程度，为风险管理提供依据。公司管理当局应制定计划、程序或行动来避免具体风险，或者出于成本或
4
f其他因素的考虑接受这一风险。一起风险的环境因素主要包括经营环境的改变、新职员的引入、新技术的引入、信息系统的更新等等。
123事项识别事项识别即对影响目标实现的因素中暗含风险的分析。影响目标实现的因素包括：经济因素、自然因素、政治因素、社会因素、组织因素、技术因素等，各种因素中存在的风险包括：战略风险、市场风险、财务风险、运营风险等等14。124信息与沟通信息与沟通是指收集与交换被审计单位执行、管理和控制业务活动所需信息的过程，包括收集和提供信息（特别是履行内部控制岗位职责所需的信息）给适当人员，使之能够履行职责，信息系统与沟通的质量直接影响到管理层对经营活动作出正确决策和编制可靠的财务报告的能力14。125内部监督管理层的重要职责之一就是建立和维护控制并保证其持续有效运行，对控制的监督可以实现这一目标。例如，管理层对是否定期编制银行存款余额调节表进行复核，内部审r