1992年，美国科索委员会(COSO)提出了《内部控制整体框架》报告，并在1994年进行了增补。COSO认为，为了实现内部控制的有效性，需要五方面的要素支持：控制环境、风险评估、控制活动、信息与交流和监测。

内部环境评价实务

关于内部环境评价，美COSO认为：评价者在确定是否存在积极的控制环境时，应该考虑每一个控制环境因素。我国《企业内部控制评价指引》(以下简称《评价指引》)指出：企业组织开展内部环境评价，应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据，结合本企业的内部控制制度，对内部环境的设计及实际运行情况进行认定和评价。

根据中天恒内部控制评价实践，对内部环境进行评价应重点关注以下内容：

1、治理结构是否完善，董事会、监事会和股东大会等管理架构是否合法运作和科学决策。

2、主体是否形成科学有效的职责分工和制衡机制，为内部控制的建立和实施提供强有力的组织结构保障和工作机制保障。

3、是否制定并实施了明确的发展战略，发展战略是否符合客观实际，发展战略是否充分体现出长期性和根本性的发展目标和战略规范。

4、是否建立有效的激励约束机制和树立了风险防范意识。

5、管理层与业务环节是否开展了内部控制培训，让内部风险防范成为高管的共识。

6、是否有培育良好的企业精神和内部控制文化，创造全体职工充分了解并履行职责的环境。

7、是否在追求自身经济效益、保证实现发展战略的同时，切实履行社会责任，落实安全生产、质量控制、环境保护与资源节约。

内部环境评价的重点应是其各个构成要素的评价，并在此基础上进行综合评价。

风险评估评价实务

关于风险评估评价，美国COSO内部控制报告认为，评价者要集中关注管理层进行目标设定、风险分析和管理变化的过程，包括它们与业务活动之间的联系和相关性。根据《企业内部控制基本规范》(以下简称《基本规范》)要求，对风险评估内部控制评价应关注企业是否采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。

企业进行风险分析，应充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。

中天恒3C框架认为，风险评估内部控制设计过程的关键环节包括现状梳理、风险评估、控制要点、控制目标、控制措施、制度优化、控制图表、控制矩阵;风险评估内部控制运行过程的关键环节包括岗位设置、职责分工、制度执行、措施落实、内控监督、内控考核、内控信息、管理融合、持续改进。简单说，风险评估内部控制评价就是评价风险评估机制的有效性，重点考虑：是否建立健全持续的风险评估机制;是否识别出内外部重要风险，并建立了经过风险评价后的风险数据库;管理层和其他人对董事会可以接受的风险是否有清晰的了解;是否具有抗风险的能力;风险评估具体方法及效果是否有效等。

控制活动评价实务

关于控制活动评价，美国COSO内部控制报告提出，对控制活动的评价，必须在管理层应对与每个重要活动的既定目标相关的风险指令背景下进行。因此，评价者需要考虑控制活动是否与风险评估过程有关，以及它们是否足以确保管理层的指令得到贯彻执行。根据《评价指引》要求，企业组织开展控制活动评价，应当以《基本规范》和各项应用指引中的控制措施为依据，结合本企业的内部控制制度，对相关控制措施的设计和运行情况进行认定和评价。

中天恒3C框架认为，控制活动内部控制设计过程的关键环节包括现状梳理、风险评估、控制要点、控制目标、控制措施、制度优化、控制图表、控制矩阵;控制活动内部控制运行过程的关键环节包括岗位设置、职责分工、制度执行、措施落实、内控监督、内控考核、内控信息、管理融合、持续改进。这为从设计和运行的过程和结果进行全面评价控制活动内部控制提供了判断标准。当然，控制活动内部控制设计和运行是复杂多样的，不能固定化、模式化。中天恒认为，对控制活动进行评价时应重点关注以下内容：

1、是否分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。

2、是否制定了常规授权和特别授权，明确各岗位办理业务和事项的权限范围、审计程序和相应责任。

3、是否严格执行会计准则，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。

4、是否建立财务日常管理制度和定期清查制度，是否采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。

5、是否实施全面预算管理制度，明确各责任单位在预算重审中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束;

6、是否建立运营情况分析制度，管理层是否综合运用各方信息，通过分析，发现存在的问题，及时查明原因并加以改进;

7、是否建立和实施绩效考评制度，科学设置考核指标体系，对企业内部责任单位和全体员工的业绩进行定期考核和客观评价，并将考评结果作为确定薪酬以及职务晋升、辞退等的依据。

信息与沟通评价实务

关于信息与沟通评价，COSO内部控制报告指出，评价者要考虑信息与沟通系统是否适合主体的需要，并列举了评价者可能需要考虑的问题。根据《评价指引》要求，企业组织开展信息与沟通评价，应当以内部信息传递、财务报告、信息系统等相关应用指引为依据，结合本企业的内部控制制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价。这项目工作涉及内部信息传递、财务报告、信息系统三个应用指引。

根据中天恒3C框架长期研究的结果，信息与沟通内部控制设计过程的关键环节包括现状梳理、风险评估、控制要点、控制目标、控制措施、制度优化、控制图表、控制矩阵;信息与沟通内部控制运行过程的关键环节包括岗位设置、职责分工、制度执行、措施落实、内控监督、内控考核、内控信息、管理融合、持续改进。这为从设计和运行的过程和结果进行全面评价信息与沟通内部控制提供了判断标准。当然，信息与沟通内部控制设计和运行也是复杂多样的，不能固定化、模式化。同时，在具体进行组织架构内部控制评价时，要突出对信息与沟通风险评估、控制措施设计和落实、制度优化和执行的重点评价。

中天恒认为，对信息与沟通进行评价应重点关注以下内容：

1、是否建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。

2、是否对收集的各种内部信息和外部信息进行合理筛选、核对、整合，以提高信息的有用性。

3、是否建立开放、有效的内外部沟通渠道，确保信息及时上传、下达，并在上下级机构及部门之间充分交流，使相关人员能够获取履行职责需要的信息。

4、是否建立并保持相关信息交流与沟通的记录，并考虑信息安全性和保密性要求。

5、是否建立反舞弊机制，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。

6、是否建立和实施绩效考评制度，科学设置考核指标体系，对内部责任单位和全体员工的业绩进行定期考核和客观评价，并将考评结果作为确定薪酬以及职务晋升、辞退等的依据。

内部监督评价实务

关于内部监督评价，美国COSO内部控制报告指出，在考察对内部控制持续有效性进行监控的程度时，应该同时考虑内部控制体系的持续监控活动和个别评价，或者考虑它们的某些组成部分。根据《评价指引》要求，企业组织开展内部监督评价，应当以《基本规范》有关内部监督的要求，以及各项应用指引中有关日常监控的规定为依据，结合本企业的内部控制制度，对内部监督机制的有效性进行认定和评价，重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。

根据中天恒3C框架长期研究的结果，内部监督内部控制设计过程的关键环节包括现状梳理、风险评估、控制要点、控制目标、控制措施、制度优化、控制图表、控制矩阵;内部监督内部控制运行过程的关键环节包括岗位设置、职责分工、制度执行、措施落实、内控监督、内控考核、内控信息、管理融合、持续改进。这为从设计和运行的过程和结果进行全面评价内部监督内部控制提供了判断标准。当然，内部监督内部控制设计和运行同样是复杂多样，不能固定化、模式化。考虑到评价成本，在具体进行内部监督内部控制评价时，要突出对组织架构风险评估、控制措施设计和落实、制度优化和执行的重点评价。

中天恒认为，对内部监督进行评价应重点关注以下内容：

1、是否制定内部控制监督制度，明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限，是否规范内部监督的程序、方法和要求。

2、是否制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，以适当形式及时向董事会、监事会或者经理层报告。

3、是否结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。