要对合规管理、法务管理、内部控制与风险管理进行一体化管理，一个前提性的工作，是了解四者各自的来源和历史发展。另一个前提，是对这四者涉及的管理要素进一步熟悉。管理要素，是合规、法务、内控、风险四项管理体系的基本组成。四者发挥其各自功能，在于由其管理要素所形成的管理结构。例如，合规管理，由合规义务、合规准则、合规承诺、合规制度、合规机制、合规评价等管理要素组成。这些管理要素必须共同发挥作用，才能促使一项合规管理体系有效。

分析管理体系的要素，本质就是对管理体系进行拆解，它使我们一方面更容易理解管理体系的运行，另一方面可进一步观察管理体系是如何起作用的，为下一步实现“统筹或协同”打基础。

《企业内部控制基本规范》和《内部控制——整合框架》都规定了内部控制的五要素。这五个要素分别是：内部环境（控制环境）、风险评估、控制活动、信息与沟通、内部监督（监督活动）。

第一个要素，是内部环境。它是企业实施内部控制的重要基础，包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。治理结构由四部分主体来实施：股东会行使企业经营方针、筹资、投资、利润分配等重大事项的表决权；董事会对股东会负责，行使企业的经营决策权；监事会对股东会负责，行使对董事、经理和其他高级管理人员履行职责的监督权；经营层负责组织实施股东会、董事会决议事项，主持企业的生产经营管理工作。

股东会和董事会为内部控制的重要性（包括期待的行为准则）提供高层定调（the tone at the top）。各个层级的管理活动，则应强化这种认知和期待。内部环境还包括吸引、开发和保留人才的政策，以及严格的绩效考核、激励机制，以保证绩效实现。内控环境也需要培育积极向上的价值观和社会责任感，倡导诚实守信精神，强化风险意识。内部环境会对内部控制的整体体系产生全面影响，董事、监事、经理层及其他高级管理人员应当在内部环境的建立与塑造中发挥主要作用。

第二个要素，是风险评估。这是企业内部控制实施的重要依据。每个企业都面临着来自内外部的各类风险。风险是潜在事件发生并对企业实现其目标产生负面影响的可能性。风险评估的前提是确定相应的风险承受度，风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。内部控制的风险评估就是找到（识别）那些与内控目标相关联，风险承受度之外的风险。它是一个通过持续地收集相关信息，关注企业内、外部风险因素，根据企业要实现的内控目标，动态和反复识别的过程。

识别风险之后，进而采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险，即风险分析。最后根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。典型的风险应对策略包括风险规避、风险降低、风险分担和风险承受等。需要强调的是风险降低策略，即企业在权衡成本效益之后，采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。可以看出，内部控制的大部分控制措施，其实都是风险降低策略的体现。

第三个要素，是控制活动。这是企业内部控制实施的重要手段。控制活动是结合风险评估的结果，通过手工控制与自动控制、预防性控制与发现性控制结合的方法，运用相应的控制措施，将风险控制在可承受度之内。这里的控制措施，主要是风险降低策略的措施。包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。这些措施，具有比较独特的内控特色，与合规管理的风险控制措施相比，存在一定的区别。主要在于合规风险与内控风险的性质是不一样的，但均作为风险控制手段，还是有相通性的。这也为一体化进行合规、内控活动创造了条件。

不相容职务分离控制是最具特色的内部控制活动。它需要梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。不相容职务是指那些如果由一个人担任，既可能发生错误和舞弊行为，又可能掩盖其错误和弊端行为的职务。例如授权、审批、执行、记录等职责，如果集中于一人身上，那么容易发生舞弊的情况。不相容职务分离的核心是“内部牵制”，它要求每项业务都要经过两个或两个以上的部门或人员的处理，使得单个人或部门的工作必须与其他人或部门的工作相一致或相联系，并受其监督和制约。

第四个要素，是信息与沟通。这是企业内部控制实施的重要条件。信息对于企业而言，对推进内控、促进其目标实现是非常必要的。管理层需要获得有效的内部或外部信息来支持内部控制其他要素的正常运转。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息；通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。重要信息应当及时传递给董事会、监事会和经理层。

沟通是一个持续和不断重复的提供、分享和获得必要的信息的过程。沟通是一个手段， 使得信息能够在整个组织向上、向下和横向扩散，能够帮助员工接受来自高层的清晰的信息。沟通过程中发现的问题，应当及时报告并加以解决。

第五个要素，是内部监督。这是企业内部控制实施的重要保证。内部监督由内部审计机构或经授权的其他监督机构来履行职责。内部监督分日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查；专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率根据风险评估结果以及日常监督的有效性等予以确定。

在内部监督过程中，如发现与事先设置好的内部控制缺陷认定标准相符的内控缺陷，应分析缺陷的性质和产生原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，通过评价来确认内部控制的五个要素以及每个要素下的基本原则与举措是否存在并发挥作用，最后并出具内部控制自我评价报告。

来源：一法网