有效的内部控制至少应当包括以下五项基本要素：   

1、内部环境：

内部环境是影响、制约企业内部控制建立与执行各种内部因素的总称，是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。  

2、风险评估：

风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不正确因素并采取应对策略的过程，是实施内部控制的重要环节。风险评估主要包括目标设定，风险识别、风险分析和风险应对。  

3、控制活动：

控制活动是根据风险评估结果、结合风险应对策略采取的确保企业内部控制目标得以实现的方法和手段，是实施内部控制的具体方式。控制活动结合企业具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。  

4、信息与沟通：

信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关的沟通机制等。  

5、对控制的监督。

监督检查是企业对其内部控制的健全性、合理性有效进行监督检查与评估，形成书面报告并做出相应处理的过程，是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行连续性监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查的一项重要内容。  

五要素之间的关系  

1、内部环境是基础，是企业建设内部控制的土壤，是一切内控制度、流 程、控制点得以实施的根本条件。一个企业内控好坏，首先应对其内控环境进行评价，如果环境不好，就需要更仔细和深入的进行建设，换句话说，如果环境建设得好，具备良好的风险意识和内控文化，即使一些小方面存在控制不足，也并不重要。  

2、风险评估、控制活动、信息沟通。这是内控体系核心三个环节。风险评估是内控建设得方向。并不是说企业所有的任何的操作都需要管控， 使用无比繁琐的流程进行防范。内控体系强调成本效益原则，注重企业经营效果效率，就必须注重风险评估，以风险为导向的建设内部控制体系，非重大风险可酌情简化，但是重大风险就需要认真将制度、流程和控制环节建设好。  控制活动是内控体系的核心环节，应该是嵌入在业务流程当中得以保证实 施，病应该注意留下控制痕迹以供检查监督。  

信息沟通包括信息传递和信息系统两个部分。信息采集和信息传递指的是 企业部门之间、上下级之间、各管理级层次之间是否存在良好的沟通渠道。信息系统内控合规又是一个大课题，专门可以采用COBIT框架进行建设，主要包括信息系统基础环境、总体控制和应用层控制三部分。  

3、监督检查是使内部控制成为闭环的重要组成部分。缺乏这个环节内控 工作就不是一个PDCA循环，或者说就不能不断优化和提升，体系就是一个静态儿非动态的，监督检查方式包括了自我评价和独立评价，从事实频率来分可以分为日常监督和专项监督。