【正文】 是直接的報告關(guān)系，也可以是矩陣型組織結(jié)構(gòu)，可以按產(chǎn)品或行業(yè)組織，也可以按地理分布或功能組織，但不論何種組織結(jié)構(gòu)，應(yīng)根據(jù)公司的業(yè)務(wù)性質(zhì)，進行適當?shù)募谢蚍稚?，確保信息的上傳、下達和在各業(yè)務(wù)間的流動，確保企業(yè)目標的實現(xiàn)。風險評估的前提條件是設(shè)立目標，只有先確立了目標，管理層才能針對目標確定風險并采取必要的行動來管理風險。（例如：出現(xiàn)新的、更高效的油氣開采技術(shù)，未掌握相關(guān)技術(shù)的公司會導致市場競爭力降低，進而影響經(jīng)營目標的實現(xiàn)）l 不斷變化的客戶需求和期望——影響產(chǎn)品開發(fā)、定價。l 企業(yè)經(jīng)營活動的性質(zhì)、員工對資產(chǎn)的接觸途徑——產(chǎn)生挪用。風險評估的本質(zhì)就是一個識別變化的環(huán)境并采取相應(yīng)行動的過程，風險評估應(yīng)持續(xù)地進行, 并且應(yīng)特別關(guān)注下面的情形：l 變化的經(jīng)營環(huán)境——變化的法律或經(jīng)濟環(huán)境可能導致競爭壓力的增加和顯著不同的風險。很多公司重組后大量削減人員，就碰到了嚴重的控制缺陷。l 高層復核——管理層將實際業(yè)績情況和預(yù)算相比較，將當期業(yè)績和前期相比較，將本企業(yè)的業(yè)績情況與競爭對手相比較，對企業(yè)主要行為進行追蹤，以衡量目標實現(xiàn)的程度。控制活動的要素— 政策和程序控制活動一般包含兩個要素，即：第一個要素，政策—它描述應(yīng)該做什么，第二個要素，程序—它描述應(yīng)該怎樣做；政策是程序的基礎(chǔ)，同時，程序又影響政策的執(zhí)行。這兩類對計算機系統(tǒng)的控制是相互關(guān)聯(lián)的。他們必須了解各自在內(nèi)部控制體系中擔任的角色，以及個人行為與他人工作的相互關(guān)系。2）信息加工和報告信息是決策的基礎(chǔ)，但并非所有的信息都是有用的信息，因此，需要對信息進行加工整理，歸納匯總，根據(jù)需要向不同的部門和人員報告不同的信息。3）信息系統(tǒng)的整合 信息系統(tǒng)是經(jīng)營行為的一個組成部分，它通過獲取決策所需的信息來影響控制，隨著信息技術(shù)的發(fā)展，信息系統(tǒng)可以更迅速、更廣泛提供更有價值的信息，對企業(yè)的管理影響更加深遠，甚至影響到企業(yè)的戰(zhàn)略規(guī)劃，一項最新發(fā)布的研究表明，信息系統(tǒng)的規(guī)劃、設(shè)計和應(yīng)用已經(jīng)開始同組織的整體戰(zhàn)略整合在一起。比如，發(fā)現(xiàn)滯銷的存貨不僅要在財務(wù)報告上留下準確的記錄，更重要的是對存貨滯銷的原因作出判斷。l 管理層與董事會及其委員之間的溝通至關(guān)重要。l 與股東、監(jiān)管者、財務(wù)分析師以及其它外界的交流，可以了解企業(yè)所面臨的情況和風險。不過，獨立評估發(fā)生在事實之后，比起持續(xù)性監(jiān)督程序，可更快地發(fā)現(xiàn)問題。例如，財務(wù)負責人對財務(wù)人員針對交易正確性和完整性實施的內(nèi)控活動實施日常的監(jiān)管。l 定期詢問職員理解及執(zhí)行企業(yè)相關(guān)規(guī)定的情況。2）評價主體評價主體，即由誰來實施獨立評估。也可與那些被認為在內(nèi)控系統(tǒng)方面具有良好聲譽的公司進行比較。5）報告缺陷這里的“缺陷”被廣泛定義為內(nèi)控系統(tǒng)中值得注意的問題。文本化的程度根據(jù)各企業(yè)的規(guī)模、復雜性和類似因素的不同而存在差異?；阱e誤判斷的管理層決策也會導致失誤。n 合伙同謀——兩人或更多人的合伙同謀行為，會使不同職務(wù)相互制約的作用喪失，從而導致內(nèi)控的失效?？偛没蚩偨?jīng)理的態(tài)度對內(nèi)控環(huán)境的影響很大。有效的董事會必須是客觀的、有能力的和善于調(diào)查的，他們具有業(yè)務(wù)活動方面的知識，并有充足的時間履行董事的責任。立法機構(gòu)和監(jiān)管機構(gòu)、客戶和其他公司、財務(wù)分析員、債券評級人和新聞媒體也能為公司提供有用信息。 COSO內(nèi)控框架提出的由三個目標和五個要素組成的內(nèi)部控制的整體框架，已經(jīng)得到各行業(yè)的公司董事會、管理當局、投資者、債權(quán)人、審計人員及專家學者的普遍認可，因而成為迄今最權(quán)威的內(nèi)部控制的概念，因為它是一個較為完整和系統(tǒng)化的關(guān)于內(nèi)部控制的理論，而且它提出的許多新的、有價值的觀點不斷地在實踐中找到了現(xiàn)實意義。由于內(nèi)部控制服務(wù)于很多重要的目標，對于更好的內(nèi)部控制系統(tǒng)及其運行效果的要求不斷增加。另外，大量的外部單位也對企業(yè)內(nèi)部控制也有所貢獻。 董事會–管理層向董事會負責，董事會指導和監(jiān)督管理層的工作。單位或部門的經(jīng)理，或者高級管理層成員會出于各種目的而愈越內(nèi)控制度，例如：虛增報告中的收入來掩蓋市場份額始料不及的下跌；虛增報告中的贏利以符合無法實現(xiàn)的預(yù)算。四、內(nèi)部控制的局限性也許有人會認為內(nèi)部控制可以確保企業(yè)萬無一失，這也是我們所希望的，但事實并非如此，無論內(nèi)部控制設(shè)計和執(zhí)行的多好，它也只能提供合理的保證，這是內(nèi)部控制系統(tǒng)固有的局限性。重要事項應(yīng)報知高層管理人員和董事會。l 監(jiān)督進展和復核發(fā)現(xiàn)。3）評價程序及方法體系首先是同企業(yè)職員進行探討并審閱已有的文件，了解系統(tǒng)的運行過程或內(nèi)控系統(tǒng)的設(shè)計；其次是根據(jù)已確定的目標分析內(nèi)部控制的設(shè)計和測試結(jié)果，分析是否對既定目標提供了合理保證。由于所控制風險的大小及內(nèi)部控制在減小風險中的重要性不同，對于內(nèi)部控制進行評價的范圍和頻率也不一樣。l 培訓研討會、計劃會議及其他會議能向管理層提供有關(guān)控制是否有效的重要反饋。公司審核有關(guān)作業(yè)安全的政策和操作步驟，從經(jīng)營安全性和合規(guī)性的角度為內(nèi)控是否有效運行提供信息，因而被視為一項監(jiān)督；監(jiān)管者就合法性或其他事項與企業(yè)進行交流，也會從某種角度反映內(nèi)控系統(tǒng)是否有效運行。持續(xù)性的監(jiān)督活動是植根于企業(yè)日常、重復發(fā)生的活動中的。比如公司可以同供應(yīng)商直接溝通，解釋公司期望供應(yīng)商雇員在與其打交道時應(yīng)怎么做，明確回扣以及其它不適當?shù)氖杖?，都是不能容忍的。然而，在特定條件下，需要獨立的溝通渠道作為一個預(yù)防失敗的機制，在正常渠道不起作用時加以運用。l 在執(zhí)行自己的職責時，每個人都應(yīng)該知道，當意外發(fā)生時，不僅要注意事件本身，還要注意事件的原因。信息是否暢通——相應(yīng)的部門能容易地獲得信息嗎？在設(shè)計系統(tǒng)時必須考慮以上問題。另外，當企業(yè)面臨基本的行業(yè)變化，面臨有高度創(chuàng)新能力反應(yīng)迅捷的競爭對手或面對重大的顧客需求變化時，信息系統(tǒng)必須隨企業(yè)目標、經(jīng)營環(huán)境的變化而變化，及時適應(yīng)新的需求。有效的溝通必須廣泛的進行，自上而下、自下而上地貫穿整個組織。第二類是應(yīng)用性控制，包括應(yīng)用軟件中的電算化步驟，以及用以控制不同種類交易處理過程的相關(guān)手工操作程序，它是保證交易處理的完整性、準確性、交易授權(quán)和有效性的內(nèi)部控制。l 職責分離——職責在不同人員之間的分工或分離，可以降低發(fā)生錯誤或不當行為的可能性。它們包括一系列不同的活動，如審批、授權(quán)、確認、核對、審核經(jīng)營業(yè)績、資產(chǎn)保護以及職責分工等。l 公司重組——公司因為收購、合并或者業(yè)務(wù)下滑、成本控制等原因進行結(jié)構(gòu)重組。3）應(yīng)對變化經(jīng)濟形勢、行業(yè)和法規(guī)環(huán)境不斷改變，企業(yè)業(yè)務(wù)活動不斷發(fā)展。l 雇員的素質(zhì)和培訓、激勵的方法——影響控制理念。風險識別也是一個重復的過程，需要針對環(huán)境的變化持續(xù)進行。風險有來自企業(yè)內(nèi)部的，也有來自企業(yè)外部。以銷售信貸政策為例，對風險承受力高的公司相比承受力低的公司，其設(shè)定的信用銷售額度更高，以期望通過更優(yōu)惠的政策吸引和保留客戶，而獲得更高的銷售額。董事會和審計委員會董事會或?qū)徲嬑瘑T會的職能是實施治理、指導和監(jiān)督管理層的工作，如果對管理層缺乏必要的監(jiān)督，管理層可能會凌駕于控制之上，甚至故意歪曲結(jié)果，因此董事會或?qū)徲嬑瘑T會監(jiān)督作用對確保內(nèi)部控制的有效性十分重要，董事會或?qū)徲嬑瘑T會作用的發(fā)揮，必須具備以下條件：一是要獨立于管理層，不受其影響；二是具有足夠知識、行業(yè)經(jīng)驗和時間，以便于履行職責；三能夠與財務(wù)、法律、內(nèi)部審計和外部審計及時溝通，得到適當信息；四是能夠控制高級管理人員的薪酬，有權(quán)聘用和解聘高級管理人員。員工個人可能由于下列因素而卷入不誠實、非法或不道德的行為：l 不切實際的業(yè)績目標，特別是短期業(yè)績的壓力（例如：為了實現(xiàn)預(yù)先設(shè)定的利潤指標而在財務(wù)報告中虛報收入）l 將獎金分配與業(yè)績掛鉤（例如：錯報與業(yè)績考核指標相關(guān)的財務(wù)信息）l 內(nèi)控制度不存在或無效（例如：敏感業(yè)務(wù)區(qū)域未設(shè)立嚴格的職責分工，這為偷竊公司資產(chǎn)或隱藏不良行為提供了可能）。 公司資產(chǎn)必須用于公司業(yè)務(wù)，符合公司政策。員工即使在終止雇傭之后，仍然有義務(wù)保護公司的機密信息。發(fā)現(xiàn)任何高級管理人員違反法律、規(guī)章制度或行為準則，應(yīng)迅速向道德規(guī)范委員會等相關(guān)機構(gòu)報告。下面討論各項因素的具體內(nèi)容。同時與內(nèi)控環(huán)境、風險評估和內(nèi)控活動相關(guān)的信息應(yīng)及時被獲取、加工整理，并在企業(yè)內(nèi)部傳遞，這就是信息與溝通，信息與溝通系統(tǒng)圍繞在內(nèi)控活動周圍，反映企業(yè)各項管理活動的運轉(zhuǎn)情況。它們包括諸如批準、授權(quán)、查證、核對、復核經(jīng)營業(yè)績、資產(chǎn)保護和職責分工等活動。 使得形成從職責方面的指示到管理層有關(guān)管理行動的發(fā)現(xiàn)總結(jié)等各方面各類內(nèi)部控制成功的措施的信息流風險評估 167。167。167。第二，內(nèi)部控制受到“人”的因素的影響，它并不僅