内部控制的风险评估要素范文篇1

一、基层人民银行风险管理现状

当前人民银行对风险进行识别，主要是由各部门依据自身业务特点，按照是否可能产生资金、财产损失，由于失密、泄密造成重大危害，影响央行政策目标实现和工作效率下降等各个方面，界定风险的种类、起因和性质。根据《中国人民银行分支行内部控制指引》中有关内容，当前人民银行的基本风险主要有以下几种：

（一）资金安全风险隐患

一是在处理核算业务中，由于个别岗位人员风险意识淡薄，对个人上机操作密码缺乏保密措施，甚至有的岗位人员为便于其他人员为自己临时业务操作，将个人上机密码告知部门内其他人员，在自己脱岗时，由其代办业务，导致业务处理一手清现象。二是在涉及资金核算业务岗位的人员配置方面，不相融岗位相互兼岗现象仍有发生。三是个人印章保管不严格，不能做到人走进柜落锁。四是在办理大宗物品采购过程中，存在提前支付货款、付款人与原签订合同的供货人不一致等现象，甚至出现付款时忘记扣回预付款现象。五是资金支出中存在越权现象。六是办理国库退库业务时对退库资料审核不严格，甚至发生预算退库收款单位与预算收入缴入单位不一致现象。以上问题均易导致资金风险的产生。

（二）法律风险隐患

一是办理行政许可过程中未能对申请资料进行认真审核，形成一些过期无效材料存在于提交的申请材料之中。二是行政许可未按照规定程序办理，收到申请时未向申请单位开具“行政许可申请受理通知书”，办结后未及时开具“行政许可决定书”或“不予行政许可决定书”等有效文书。三是行政执法检查工作底稿不规范，有的缺少检查人员签字，事实确认书上被检查单位未签字，或签字人不符合规定要求越权签字，还有的处罚决定书要素不全，决定书未明确被处罚人的权利，有的处罚决定依据不准确或不清楚。四是经济合同不规范，合同要素不全，标的物质量等未作明确规定。以上问题均易导致法律风险的产生。

（三）操作风险隐患

一是大宗物品采购不规范。仍有部分单位未将应纳入大宗物品采购管理的事项纳入大宗物品采购管理。二是在业务操作中漏签字、签章，导致发生问题后责任认定难。三是安全教育、监督不到位。有的单位驾驶员连续发生轻微交通事故，单位未引起重视。以上问题均易导致操作风险的产生。

（四）声誉风险隐患

在对外宣传或开展调研中，部分人民银行员工未对拟定的稿件充分论证，也未将其交宣传管理部门审核，擅自多家媒体投稿，导致一些失真、错误信息外传，易造成声誉风险。

二、基层人民银行风险管理工作面临的难题

（一）风险管理文化尚未真正建立

目前，部分基层央行工作人员仍把风险管理简单地理解为各种规章制度的制定、装订、汇总，认为建立健全了规章制度，就是建立了风险管理机制，没有真正认识到风险识别、分析、评估等与风险防范之间的关系，没有积极主动地对常规业务和管理活动定期进行风险分析，缺乏对非常规性业务和管理活动及突发性事件及时进行分析的风险管理意识。

（二）风险评估标准不够统一

《中国人民银行分支机构内部控制指引》虽然指出了风险评估是指识别和分析相关风险并确定应对策略，但没有明确具体统一的评估标准，不同的评估对象有不同的标准，相同的对象也有不同的标准，有的以内部控制五个要素作为评价标准，也有的以内控的有效性、全面性、及时性和合理性为标准。缺乏统一的风险评价标准，就不能对风险做出准确的评估。

（三）风险评估信息交流不够充分

主要表现在风险评估双方信息不对称：一是尽管各业务部门的风险管理信息日益增多，但报送的风险信息资料单一，仅限于各业务部门的内控制度汇编等资料，不能动态反映风险管理现状。二是风险管理信息传递的时效性较差，存在信息滞后现象。三是渠道不够畅通，平时交流很少，仅仅依靠评估前期准备阶段收集信息资料或进行临时流。

（四）员工综合素质与风险管理要求仍有差距

一是知识结构不合理。目前，无论是人民银行内审人员还是业务部门人员，多数只具备会计财务、货币信贷、调查统计、外汇管理等专业知识，缺乏风险管理知识方面的专门培训。二是专业知识更新慢，对新业务风险识别分析不到位，在实际工作中经常套用老文件、老办法来处理新问题、新情况，缺乏对新风险点的了解和掌控能力。

（五）风险评估长效机制有待强化

风险评估工作应该是一个连续的循环往复的过程。而有的单位和职能部门将风险评估工作作为阶段性工作来抓，时紧时松，时断时续，对于已经识别的风险点未及时防控，对于隐匿的新风险点未能认真排查；在风险应对评价方面未能结合实际情况进行再分析、再评价，已经制定的风险应对措施未能随着人员、流程、系统和外部环境的变化而更新，使风险控制方案所起的作用逐渐弱化。

三、强化基层人民银行风险管理的路径

（一）成立专业风险评估小组

基层人民银行要成立由单位内具有丰富管理经验的人担任的专业风险评估小组，定期对整体风险状况进行仔细评估，筛选出高风险级以上风险点，进行风险监测和风险控制管理。评估组应组织日常风险识别、风险监测和风险分析，负责建立各业务条线的风险评估模型，收集整理风险评估资料，及时评估分析风险状况，为领导决策提供依据。行长和分管行领导要充分支持风险评估工作的开展，保证风险评估工作具备足够的人力、物力以及信息技术水平，及时了解风险评估工作的开展情况。相关职能部门在风险评估过程中要各司其职，既要明确分工，又要通力协作，积极发挥作用。

（二）优化风险评估流程

根据基层人民银行风险种类的划分，操作风险在整个风险体系中占有较大的比重。根据操作风险的特点和风险性质，风险评估程序应采用由表及里、自下而上、从已知到未知的方式，依据操作业务流程分析，从基础岗位做起，从已知的风险延伸到未知的风险，风险评估流程图如图1。

（三）建立风险评估模型

风险评估模型的建立应具有一定的准确性，对风险控制能够起实际指导作用。

1.风险水平计量。风险水平的计量一般包括两个方面：固有风险和控制风险效果。实际风险水平与固有风险成正比，与控制效果高低成反比。

实际风险水平是实施内部控制后存在于业务岗位的剩余风险，应该是管理者和决策者能够接受的风险水平。如果计算出的风险水平与设定的目标值有差距，就需要重新采取控制措施，然后再次进行风险评估，直至确认风险水平在可接受的范围内。

2.风险等级划分。对于固有风险可按风险程度划分为高风险、较高风险、中风险、较低风险和低风险五级，按照风险程度和风险级别赋予固有风险不同的分值，如高风险值为1-0.9，较高风险值为0.9-0.8，中风险值为0.8-0.7，较低风险为0.7-0.6，低风险为0.6以下；控制效果评价等级（控制评价值）划分为优良、满意、有待改进、较差和失效五种状况，根据内控评价结论划分为优良90-100，满意为80-90，有待改进为70-80，较差为60-70，失效为50-60。

3.风险评估方法。采取层次分析法和德尔菲法相结合的办法对风险进行识别和评估。运用层次分析法，结合业务流程分析，将复杂的风险问题分解为若干组成要素，按照支配关系和影响程序度分组形成有序的阶梯式层次结构，可以将风险因素进一步细分，便于识别对风险点起关键性、决定性作用的风险因素。运用德尔菲法充分收集专家意见，对风险评估结果进行不断的修正，以提高风险评价的准确性。具体方法和步骤是：（1）岗位人员：运用层次分析法和流程分析法，识别细分风险，对风险进行定性评价。（2）部门自我评估小组：采取定量分析方法，赋予评估分值。（3）风险评估部门：采取定性和定量综合评价方法，汇总整理风险。（4）专业风险评估小组：采取德尔菲法进行评估，确定最终风险结果，提交定性风险评估报告。

4.风险评估标准。人民银行总、分行在充分调查、认证、评估风险的基础上，确定具体业务领域的标准风险水平或安全指标，作为基层人民银行衡量和比较的标准。基层央行通过与安全指标和风险标准对比，确定自身所处的风险等级和风险层次，然后根据风险比较结果，确定是否需要采取控制措施以及控制到何种程度。

内部控制的风险评估要素范文

关键词企业风险管理内部控制

作者简介：王秀霞，中国石油化工股份有限公司济南分公司，经济师，从事内部控制及全面风险研究。

一、企业风险管理含义

企业风险管理应视为一个持续的执行过程，紧密结合在企业经营战略的设定之中，通过企业的管理层及其他相关人员共同协作执行，其理念及制度应贯穿于整个企业运营过程中，为每一名企业员工所熟知和运用，从而确保能够及时发现企业可能存在的潜在风险，使一切风险都处于可控状态，为企业经营目标的达成提供有力保障。企业的风险管理通常分为八点要素，相互关联，相互协作，贯穿于企业经营活动始终。其内容包括：

1.内部环境识别。所有企业风险管理要素均是以企业自身的内部环境为基础的，只有明确了企业内部环境的特点，才能制定出切实有效的风险管理的框架及规则。通过对企业内部环境的认知，能够帮助管理人员正确制定企业战略及经营目标，从而有效地开展业务活动，并且准确地识别风险、评估风险并及时应对。

2.制定经营目标。管理人员在制定企业经营战略目标时，应当根据企业的经营任务及预期内容进行科学的分析和设计，从而确保战略实施的可行性，并切实将相关目标分层分级地落实到企业内部各个部门及各个岗位。

3.企业风险评估。管理人员在评估企业风险时，应当从发生可能性及影响程度两方面进行周密考虑，并且结合企业即期的经营战略及经营目标进行具有战略眼光的风险识别和评估。

4.经营事项评估。在企业的运营过程中，往往存在着较多不确定性，这些现阶段结果尚不明确的事项可能会对企业具有积极的影响，也可能存在着消极影响，甚至二者同时并存。因此，企业管理人员应当及时对这些不确定性予以识别和评估，认识到事项的负面影响即是企业的潜在风险因素，必须尽早识别和评估，并预先制定出应急措施。

5.风险应对方案。面对风险的发生，风险应对反应包括规避风险、控制风险、承担风险及转移风险四种，作为企业的风险管理，应当针对不同的风险，制定出相应的风险应对反应方案，从而确保将风险的影响降至最低。

6.风险控制措施。当风险应对反应方案开始执行时，制定正确的风险控制措施，能够确保反应方案遵循正确的流程得以有效执行。因此，控制措施应当针对企业的不同层面、不同部门及不同岗位全面制定和落实，其要素包括规范的应对政策及对政策产生影响的一系列操作章程。

7.信息获取及沟通。企业应定期对来自内外部的信息进行获取、识别，并通过固定的格式予以保存和传递，从而帮助企业员工正确执行自身职责，并提供执行结果的参考和评估。此外，还应当保持沟通顺畅，包括企业由上而下、由下而上的纵向沟通，各部门间的横向沟通，以及企业与外部环境间的信息交换。

8.风险效果监控。企业应当及时对风险管理要素有关内容的合理性和完善性进行定期评估，并对风险管理的运行情况进行评估和监督。其方式可采取持续性监控和个别要素评估两类。

二、内部控制的含义

内部控制是一个循环往复的动态过程，其内容包括控制目标设计、控制执行、执行评价、目标改进等多个环节，为企业提供持续不断的信息反馈，使企业能够准确掌握当前自身运营情况，以及内外部环境对自身带来的机遇及影响。

企业在获取信息的同时，还能够通过对内部控制设计及执行过程进行评估，从中获得当前内部控制体系的有关信息，从而能够及时进行内部控制体系的完善和补充。而内部控制的评估内容，主要包括对企业现行内部控制体系设计及执行的合理性、有效性及完整性进行系统的审核、检验及分析等工作。其作用主要包括：

1.确保企业管理的完善性。企业的经营管理应当顺应外部经济环境的变化不断做出调节，以便适应新的发展形势，这一要求便需要企业对内部控制进行不断的评估和完善，从而及时发现其中的缺陷和漏洞，杜绝营私舞弊，改善薄弱环节，从而提高企业的内部管理水平，增强企业竞争力。

2.有利于充分发挥审计职能。目前，审计已经发展到抽样审计的高度，企业实行内部控制评估，能够依据评估结果明确审计范围，突出审计重点，寻求最佳审计方法，使审计效率得到有效提高，并充分发挥审计的重要职能。

3.提供各方决策依据。内部控制评估结果公布后，除了企业自身之外，有关部门均能据此对企业财务报告的可信度进行评价，了解企业的长期可持续发展能力、成长性、运营合法性等多个方面，从而制定下一步的行动决策。

三、企业内部控制与风险管理之间的关系

2004年，COSO经过4年的研究之后，在之前《内部控制统一框架》理论的基础上了《全面风险管理统一框架》，为全面风险管理提供了执行标准和依据，在这一新的理论中，全面风险管理增加了三项内部控制目标，以及相应的管理战略目标。由此可见，内部控制与风险管理日趋融合趋向。然而，全面风险管理与内部控制仍然具有一定的差异：

1.全面风险管理作为一个持续性的执行过程，贯穿于企业管理始终，而内部控制则是企业管理职能中的一项。此外，全面风险管理内容包含了战略风险、财务风险、市场风险、运营风险、合规风险等多项风险内容，企业能够通过这些风险的分析和评估获取机遇，规避或预知影响。而内部控制则没有对风险和机遇进行明确的区分。

2.全面风险管理理念中包含了风险偏好、风险应对策略、风险零容忍度等战略要素，因此能够对风险进行准确全面的度量和评估，确保企业在风险偏好及运营发展战略方面保持一致。内部控制则是企业内部面对可能遇到的风险所采取的各种应对措施及方法，完全依据风险内容进行控制机制的制定及实施，内部控制措施的必要性与风险系数呈正相关的关系，企业在运营过程中，需要以具体的内部控制措施为有效手段，对各种风险进行控制和评估，从而将潜在的各类风险扼杀在萌芽之中。四、我国企业风险管理及内部控制现状

国资委2006年颁布了《中央企业全面风险管理指引》，将国外先进风险管理经验与我国企业特色相结合，作为我国企业实施全面风险管理的重要依据和理论指导。2008年财政部会同相关部门联合《企业内部控制基本规范》，2010年再次《企业内部控制配套指引》，为我国企业内部控制与全面风险管理相结合的企业管理体系提供了理论指导依据。这些法律法规均促使企业充分审视、完善和加强自身内部控制管理工作，将风险管理理念列为管理重点，以有效的内部控制为基础，科学融合了现代企业管理体系中的风险管理理念，从而不断提升自身的风险管控能力。然而，全面风险管理工作仍然处于起步阶段，与国外先进管理体系相比，仍然存在着不足之处，具体包括：

1.未能充分认识风险管理的重要性，执行力度不足，对于内部控制与风险管理之间的关系概念模糊。部分企业将风险管理和内部控制分裂开来，视为两种彼此独立的管理体系，部分企业则仅仅将内部控制视为全面风险管理的一种手段，弱化了内部控制的重要作用。这些概念上的模糊认识使部分基层管理人员产生了管理体系重复、冗杂的误解，并使内部控制与全面风险管理体系彼此脱节，不利于企业风险管理的完善和发展。

2.偏重合规性，忽视实践性。部分企业过分强调全面风险管理体系的制度及手册等文件完善，却忽视了制度的执行、监督、评估和反馈等实践工作，从而不利于全面风险管理的执行报告及偏差纠正。

3.运行机制不到位。在部分风险系数较高的运营环节、经营领域及关键风险控制点，对风险因素的预警、应对及追踪力度仍显不足，或存在落实不到位的情况，尚需做进一步的完善和补充。

五、完善内部控制及风险管理体系的建议

（一）充分评估企业当前风险，设计切实可行的内部控制体系

内部控制体系必须紧密依据企业的风险评估结果，因此在制定切实可行的内部控制体系时，必须首先全面评估企业风险，并根据企业的实际情况从设计、执行、评估、完善等四个环节进行内部控制体系设计，其中，设计环节是极为重要的一环，这一阶段关系到企业内部控制体系是否科学可靠、切实可行，企业应当从自身经营情况及管理特点出发，注重全面性和科学性。

在执行环节，应当注重内部控制制度的可操作性，并根据企业各部门、各层级的技术特点，制定实质性的管理制度。在评估环节，应当注重内部控制预期目标达成率的评估，并确保评估的客观性、公正性和透明度，以便为管理人员提供真实有效的决策依据。在改善阶段，应及时对控制制度进行跟进和修正，并保持其改善的稳定性、科学性及实质性，并制定事前、事中及事后的监督机制。

（二）根据企业特点，制定明确的可执行制度

（三）完善组织机构，充分发挥内部审计部门职能

企业可根据自身特点建立完善的风险管理机构：一是建立由企业负责人负责的全面风险管理领导小组，全面负责指导企业的风险管理工作；二是设立专职部门或确定相应职能部门，具体履行全面风险管理职责；三是发挥内部审计部门的作用，负责研究提出全面风险管理监督评价体系，开展监督与评价，出具监督评价审计报告。其他职能部门及各业务单位在全面风险管理工作中，应接受风险管理职能部门和内部审计部门的组织、协调、指导和监督。

（四）增强风险意识

企业各部门应当提高风险意识，严格依据企业制定的规章制度执行，防范杜绝把关不严、执行不力等不良现象，避免因此导致的以权谋私、监守自盗等损害企业利益的行为，从而降低企业资产遭受损失的风险。此外，信息经济时代的到来造就了外部复杂多变的经营活动，企业越来越广泛地使用互联网技术，投身电子商务活动之中，企业应高度重视网络数据的风险控制，提高商业信息安全的风险意识，防范内部员工的道德风险及系统漏洞所造成的技术风险，从而避免给企业资产造成重大损失。

（五）提高企业各部门协同能力

企业应培养内部各部门的整体意识，明确企业作为利益整体，工作必须从整体利益出发，内部控制不能狭隘地谋求部门或个人自身的利益，积极增进各部门、各层级间的信息共享，加强信息沟通，建立起相互协作、相互配合、彼此促进的团队精神，在工作中互通有无，做到问题及时发现、共同分担、共同商讨，从而及时填补内部控制的漏洞，提高企业的经营效益。

内部控制的风险评估要素范文

COSO委员会《内部控制—整体框架》将风险评估列为内部控制要素之一，作为内部控制的重要组成部分，企业必须对所面临的风险进行识别，并采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。目前风险评估的方法总体来说分三大类：定性方法、定量方法、定性与定量相结合的方法。定性方法是对风险的影响和可能性以定性的方式进行描述，其评估结论受评估人员经验的影响，带有一定的主观性。定量方法具有精确性，可以弥补定性评估方法的不足，但是，定量方法的缺陷也是明显的，即对所有的重要因素进行量化是困难的，获得更多的数据需要更高的成本。由于风险的不确定性，因此，在风险评估中，定量与定性方法的结合是必要的，两者可以互补其不足。模糊综合评价法即是这样一种方法，该方法根据模糊数学的隶属度理论把定性评价转化为定量评价，即用模糊数学对受到多种因素制约的事物或对象做出一个总体的评价。本文考察了内部控制面临的风险，提出了企业在风险评估时可操作的方法。

二、企业内部控制风险评估指标体系设计

根据COSO内部控制框架，风险评估的前提条件首先是设立目标。只有先确立了目标，管理层才能针对目标确定风险并采取必要的行动来管理风险。其次，识别与上述目标相关的风险。再次，评估上述被识别风险的后果和可能性。最后，针对风险的结果，考虑适当的控制活动。依据COSO内部控制框架和我国《企业内部控制基本规范》，确定内部控制风险评价指标体系，即两个一级指标、十个二级指标和三十一个三级指标。如表1所示。

三、企业内部控制风险模糊综合评价构建

第一，建立内部控制风险模糊综合评价模型。具体如下：

一是确定评价因素集。依据评价指标体系确定评价指标集，表示为：U={u1，u2，…，um}，同时可以根据所建立的评价指标建立二级、三级等多层次的指标集。根据企业的评价指标体系可知，企业内部控制风险从两大方面、十个因素衡量，确定的因素集如下：一级因素集为U={u1，u2}={内部风险，外部风险}。二级因素集为U1={u11，u12，u13，u14，u15}={人力资源因素，管理因素，自主创新因素，财务因素，安全环保因素}。U2={u21，u22，u23，u24，u25}={经济因素，法律因素，社会因素，科技因素，自然环境因素}。三级因素集为U11={u111，u112，u113}={研究开发，技术投入，信息技术运用}。依此类推，可确定其他三级指标因素集。

确定方法有统计法、试探法、专家调查法、层次分析法等。

本文采用层次分析法确定权重，该方法是将半定性、半定量问题转化为定量计算的行之有效的方法。它将复杂的决策系统层次化，通过逐层比较多种关联因素的相对重要性给出定量表示，再利用数学方法确定全部因素相对重要性次序的权系数。

采用1～9标度方法，根据各层次的指标构造判断矩阵，利用AHP软件得出各层次的指标权重，并对判断矩阵的一致性进行检验，结果表明层次分析排序的结果有满意的一致性，即权数的分配是合理的。由AHP软件得出各层次权重集为：一级指标权重集A=（0.75，0.25）。二级指标权重集A1=（0.0577，0.2471，0.5072，0.1438，

0.0443）。A2=（0.2129，0.0656，0.5208，0.0939，0.1068）。三级指标权重集A11=（0.4667，0.4667，0.0667）。A12=（0.429，0.1283，0.0652，0.3775）。A13=（0.1429，0.8571）。A14=（0.126，0.4161，0.4579）。A15=（0.2，0.4，0.4）。

A21=（0.1622，0.1863，0.3518，0.1863，0.1134）。A22=（0.5，0.5）。A23=

（0.4127，0.2135，0.0473，0.2365，0.09）。A24=（0.3333，0.6667）。A25=（0.75，

0.25）

三是确定评语集并赋值。V={v1，v2，v3，v4，v5}={低，较低，中等，较高，高}={1，3，5，7，9}根据对评语的赋值将1～9等分成五级，对应相应评语，设计定量评价标准如表2。

四是确定模糊评价综合矩阵。请20位专家对某企业影响内部控制风险的第三层因素进行评价，根据专家评价结果汇总，如表3。

根据表3，进行单因素模糊评价，即是从一个因素出发进行评价，确定评价对象对评语集的隶属度，进而得到模糊关系矩阵：

R=r11，r12，…，r1mr21，r22，…，r2mrn1，rn2，…，rnm

矩阵R中第i行第j列元素rij，表示子因素层指标来看对第j级评语vj的隶属度。rij的值可由德尔菲法确定，整理专家评分表得到专家对末级指标的评语，根据表3可计算出各个因素的隶属度，其中R11=0.750.150.050.0500.550.350.10000.450.300.100.100.05，其他矩阵Rij依以此类推可以得到，i=1，2；j=1，2，3，4，5。

第二，企业内部控制风险的模糊综合评价。模糊评价法不仅可以对评价对象按综合分值进行评价和排序，还可以根据模糊评价的值按最大隶属度原则去评定对象的所属等级。

利用合适的算子将A与各被评事物的R进行合成，得到各被评事物的模糊综合评价结果向量B。即：

A？誘R=（a1，a2，…，ap）r11r12…r1mr21r22…r2m…………rp1rp2…rpm=（b1，b2，…，bm）=B

一是各层因素模糊综合评价。从评价指标体系最末层开始进行评价，依次对各层风险因素经行评价。

对第三层级因素做综合模糊评价，则有：

B11=A11？誘R11=（0.6067，0.2334，0.0700，0.0233，0）

B12=A12？誘R12=（0.0377，0.1452，0.3345，0.0621，0.0429）

B13=A13？誘R13=（0.0286，0.0929，0.0143，0.0071，0）

B14=A14？誘R14=（0，0.2126，0.4855，0.2040，0.0979）

B15=A15？誘R15=（0.0100，0.2500，0.2900，0.0500，0）

B21=A21？誘R21=（0.0162，0.2326，0.4495，0.2573，0.0443）

B22=A22？誘R22=（0，0.3750，0.1000，0.0250，0）

B23=A23？誘R23=（0.3600，0.4065，0.1802，0.0533，0）

B24=A24？誘R24=（0，0.0833，0.1833，0.0667，0）

B25=A25？誘R25=（0，1.1375，0.27921，0，0）

B11=（0.6500，0.2500，0.07750，0.0250，0）

B12=（0.0606，0.2333，0.5374，0.0998，0.0689）

B13=（0.2001，0.6501，0.1001，0.0497，0）

B14=（0，0.2126，0.4855，0.2040，0.0979）

B15=（0.0167，0.4167，0.4833，0.0833，0）

B21=（0.0162，0.2326，0.4495，0.2573，0.0443）

B22=（0，0.7500，0.2000，0.0500，0）

B23=（0.3600，0.4065，0.1802，0.0533，0）

B24=（0，0.2499，0.55，0.2001，0）

B25=（0，0.8029，0.1971，0，0）

对第二层级因素综合评价，根据第三层级评价的归一化处理结果，得出一级指标的评价矩阵R1=[B11，B12，B13，B14，B15]T和R2=[B21，B22，B23，B24，B25]T，并进行模糊评价：

B1=A1？誘R1=（0.1547，，04508，0.2791，0.0843，0.0311）

B2=A2？誘R2=（0.1909，0.4196，0.2754，0.1046，0.0094）

对上述结果进行归一化处理，得到

B1=（0.1547，0.4508，0.2791，0.0843，0.0311）

B2=（0.1909，0.4196，0.2754，0.1046，0.0094）

最后，对第一层级因素进行评价，根据第二层级评价的归一化处理结果，得出综合评价矩阵：R=[B1，B2]T，并进行模糊评价：

B=A？誘R=（0.1658，0.4430，0.2782，0.0894，0.0257）

对上述结果进行归一化处理，得到：B=（0.1655，0.4421，0.2776，

0.0892，0.0256）。

二是对综合评分值进行等级评定。为了对各层次因素进行比较，可用等级分数矩阵计算综合评价值W。等级分数矩阵是对每一级评语进行赋值组成，即：C=（13579）

可以得到企业风险综合评判值：W=B·CT=3.7351

同理，可以得到第一层指标内部风险与外部风险综合评判值：

W1=B1·CT=3.7726；W2=B2·CT=3.6439。

企业风险综合评判值为3.7351，对照表2评价分级标准可知企业风险属于二级，处于“较低”风险水平，且被评为“低”、“较低”的比率约为59%。企业内部风险与外部风险综合评判值分别3.7726，3.6439都属于二级，都处于“较低”风险水平。

对影响内部风险和外部风险的因素进一步分析判断，可得到第二层指标综合评判值：W11=B11·CT=1.9499。W12=B12·CT=4.7664。W13=B13·CT=2.9986。W14=B14·CT=5.3744。W15=B15·CT=4.2667。W21=B21

·CT=5.1618。W22=B22·CT=3.6000。W23=B23·CT=2.8536。W24=B24·CT=4.9004。W25=B25·CT=3.3942。

由综合评判值得到各类风险因素的排序，内部风险按照财务因素、管理因素、安全环保因素、人力资源因素、自主创新因素依次降低，其中财务因素、管理因素、安全环保因素评估结果介于4.2与5.8之间，为“中等”属于三级风险，人力资源因素评估结果介于2.6与4.2之间，为“较低”属于二级风险，自主创新因素评估结果介于1～1.6之间为“低”属于一级风险；外部风险按照经济因素、科学技术因素、法律因素、自然环境因素、社会因素依次降低，其中经济因素、科学技术因素评估结果介于4.2与5.8之间，为“中等”属于三级风险，法律因素、自然环境因素、社会因素评估结果介于2.6与4.2之间，为“较低”属于二级风险。

四、结论

我国《企业内部控制基本规范》要求企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。实际工作中，对于内部控制风险的评估多是定性的描述，而且很难对各个风险要素的关系和重要程度进行判断。模糊综合评价法很好地解决了这个问题，将定性分析与定量分析相结合，不仅对企业总体风险进行了评估，而且还可以对各个层次的风险因素水平进行判断和排序。由此，企业可以根据对内部控制风险评估的排序确定关注重点和优先控制的风险，并根据风险评估的结果，建立持续的风险评估制度体系。