一般认为，内部控制评价主体仅包括内部审计和外部审计，本文把董事会也作为内部控制评价主体，这是理论上的一次大胆突破和创新。

　　内部控制评价是指对内部控制制度的科学性、完整性和有效性进行检查测试、分析判断并提出整改意见，促使内部控制制度得以完善的一系列行为的总称。根据COSO企业风险管理框架的相关论述以及中国石油内部控制评价的实践，可将内部控制评价分为以管理层测试评价为主的内部审计评价和以专项鉴证为目的的外部审计评价。通常把内部审计和外部审计统称为两个不同的目标主体。同时，董事会作为管理层最高决策机构，通过有效运用内外部审计的风险评价结论，并以此作为风险与控制的依据，本身也是评价的过程，所以，董事会的角色定位是见于两者之上的最高层次的评价主体。这三个主体如何优化和拓展职能，以便从不同的切入点去评价内部控制的有效性，并为董事会提供风险防范的决策信息和依据，是需要不断探索的现实课题。

　　内部审计：

　　从单一化向多元化转变

　　从理论上讲，内部审计作为企业内部监督系统，既要对企业所有权进行监督，又要对企业经营权进行监督，以维护股东和企业的合法权益。但在实践中，内部审计只是从查找帐务处理差错和纠正舞弊开展工作，其结果并不理想，企业违纪违法问题始终没有得到根本性遏制。这种状况在很大程度上表明，内部审计在其职能定位上已出现偏差。

　　随着现代公司法人治理结构的完善和企业内部控制体系的建立，企业内部审计职能得以不断充实和发展，其管理的重心已日益转变为战略风险管理。借鉴国外经验，我国企业内部审计部门的传统职责也将作重新调整，要从单纯强调守纪、守法监督转变到以内部控制评价和风险管理为主的职能上来。

　　开展风险战略分析。风险战略分析，指内部审计部门根据企业外部环境和自身条件，围绕企业发展战略，对风险管理工具进行研究的行为。现代风险导向要求内部审计从企业的风险战略分析着手，选择恰当的风险管理工具，以便将企业可能面临的风险及带来的损失降低到最低限度。审计部门要作为企业风险战略分析的中枢，当好董事会、经理及风险管理主管的参谋，使公司决策机构和经营层把公司经营活动看作是统一战略指导下的相互关联整体，以便构建一个完整的风险战略分析框架，实施全面风险管理。

　　及时传递风险管理信息。一方面，内部审计作为风险管理的情报机构，要随时收集、整理与本企业风险和风险管理相关的各种内外部信息，通过有效评估企业的内部控制系统，能够经常地发现各种风险。另一方面，要提炼管理层所需的关键信息，及时将有价值的信息反馈给董事会和经营层，以便正确决策，及时调整经营策略和经营方针，防止和纠正出现的错误和不当，使公司能够及时应对不断变化的市场环境和经营环境。

　　测试内部控制执行情况。内部审计部门要对企业内部控制的执行情况进行检查评审，检查企业是否按规定的业务流程办事，是否严格执行制度。要查明制度中的控制环节和控制点在实际经济活动中是否认真贯彻执行；要查明这些控制环节和控制点是否真正发挥了控制作用。测试完成后，要对企业内部控制进行全面评价。

　　建立内控评价长效机制。企业高层管理者和普通员工都要树立内部控制的长效理念。一是确立内部控制评价的主体内容，明确内部控制的业务范围和评价标准，以此作为衡量内部控制有效性对财务报告真实性、对法律法规遵循性的依据。二是构建一套科学、规范、简洁、实用的评价流程。通过对业务流程运行的评价，实现对风险的监督。三是要建立评价的防范机制，提高监管的规范性和统一性。

　　外部审计：

　　从静态化向动态化转变

　　从公司角度出发，外部审计包括政府审计和社会中介审计。传统的外部审计只是一头扎进企业的帐簿堆中查找问题，把查找问题的多少和违纪金额的大小作为考核审计业绩的标准。随着企业内部控制体系的建立和适应全面风险管理的要求，这种静态审计已经不适应企业发展的需要。现代审计要求外部审计能够为企业提供大量有价值的风险信息，其职能将得到进一步演化，从而实现从静态向动态的转变。

　　内部控制调查。外部审计在对企业进行审计时，必须首先调查被审计单位的内部控制系统，包括控制环境调查、风险评估调查、控制活动调查、信息与沟通情况调查、内部监督调查等。

　　业务流程分析与评估。外部审计要分析各个流程设计是否合理、执行是否到位，深入理解支持企业战略的业务流程，集中考虑那些对财务报告具有较大影响的流程和变量，以便更加透彻地理解业务的操作过程，并将评估结果与流程标准、财务风险进行比较，查找差距，提出改进措施。

　　风险识别与评估。风险辨识要求外部审计查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险、有哪些风险。其主要任务是：评价内部控制是否健全；评价内部控制是否有效；评价内部控制是否合理；评估控制风险。完成上述工作后，审计部门应当向管理层阐明阻碍企业目标实现的主要风险。

　　构建信息化审计测试平台。要加快审计数据库建设和被审计单位的信息联网，积极探索信息化环境下新的审计模式，采用先进的现代审计技术方法，全面推行计算机网络审计，不断提高审计效率和审计工作质量。

　　董事会：从规避风险

　　到接受风险的转变

　　在公司法人治理结构中，董事会是连接出资者和经营者的桥梁和纽带，处于决策机构的重要地位，在企业风险管理中扮演着十分重要的角色。2004年9月，美国COSO委员会发布的《企业风险管理框架》，将内部控制发展为企业风险管理，要求董事会把主要精力放在风险管理上，而不是所有细节的控制上。近年来，我国已开始重视风险管理工作。2006年6月，国资委发布了《中央企业全面风险管理指引》，对公司董事会在风险管理中的主要职责作出了明确规定，其中的一项职能是“批准内部审计部门提交的风险管理监督评价审计报告”。由此可见，董事会既是风险管理主体，也是内部控制评价主体的权力机构。

　　过去，由于对风险缺乏正确认识，传统的风险管理思想把防御风险作为首要任务，董事会也多从逃避风险的角度出发，回避风险。事实上，风险是客观存在的，是不以人的意志为转移的。董事会必须正确认识这些风险，要从过去逃避风险或者被动规避风险向主动接受风险转变，采取积极有效措施，对各类风险进行辨识、分析、评价，实施全面风险管理。

　　一般来说，可将企业风险分为战略风险、财务风险、市场风险、运营风险、法律风险等。其实，风险并不可怕，可怕的是不能正确认识风险和不能实施有效的风险管理。承担风险意味着可能带来更大的回报，这对于董事会的挑战，在于确定追求增加利益相关者价值的同时，能够承受多大的不确定性。因为不确定性潜藏着对价值的破坏与增进，既代表风险，也代表机会，因此，董事会在制订战略或目标时，要选择追求报酬与控制风险之间的最优平衡。要对企业的经营环境、业务特点进行认真分析后，确定风险偏好和风险承受度，既要防止和纠正片面追求收益而忽视风险的做法，又要防止单纯为规避风险而放弃发展机遇。