【正文】 內(nèi)部控制的實施促進企業(yè)朝著盈 利目標和成就其使命的方向持續(xù)發(fā)展，并將這個過程中的干擾因素最小化?？偛没蚩偨?jīng)理的態(tài)度對內(nèi)控環(huán)境的影響很大。如果該聲明今后被質(zhì)詢，這些文件將很有用。 ? 匯集所有進行評估的各方，共同考慮下列問題：不僅要考慮評估范圍和時間表，而且要考慮所使用的方法體系，應用的工具，來自內(nèi)外部審計師和監(jiān)管者的建議，報告所發(fā)現(xiàn)問題的方式以及設定最終的文本化程度。 1） 范圍和頻率 獨立評估的范圍和頻率主要依賴于風險評估和持續(xù)性監(jiān)督程序的有效 性。例如：顧客支付賬單，表明其確認了帳單數(shù)據(jù)；相反地，顧客對帳單的投訴可能表明銷售交易過程存在系統(tǒng)缺陷。 ? 在與外部的交往中強調(diào)企業(yè)的道德標準，使外部人員知道認識到不適當?shù)男袨椤? ? 每個人需要理解所負責內(nèi)部控制部分如何運行及個人在系統(tǒng)中的職責。有效的信息系統(tǒng)不僅能夠識別和 獲得所需要的財務和非財務的信息，還能夠在一定時限內(nèi)根據(jù)需要加 24 工和報告這些信息。第一類是一般性控制—— 適用多數(shù)應用系統(tǒng)并協(xié)助確保其持續(xù)、正確地運行 , 包括對數(shù)據(jù)中心操作、系統(tǒng)軟件的購買和維護、數(shù)據(jù)的安全、以及應用系統(tǒng)開發(fā)和維護的控制。它有助于進行風險管理和保證企業(yè)目標的實現(xiàn)，內(nèi)控活動貫穿于企業(yè)的所有層次和部門。因此，管理層 的一項重要工作是權衡利弊， 確定能夠謹慎地接受多少風險，并盡力將風險控制在可接受的水平內(nèi)。 如何進行風險評估 1） 風險識別 風險評估的過程首先是進行風險識別，風險識別需要考慮所有可能發(fā)生的風險，并且需要考慮企業(yè)和相關外界之間的所有重大相互影響?？梢钥闯觯煌慕?jīng)營理念和風格決定了管理層在承擔風險方面采取不同的態(tài)度和做出不同的決策。另外，對違反準則的員工應予 以相應懲罰；建立鼓勵員工揭發(fā)違規(guī)行為的機制；以及對未能匯報違規(guī)行為員工的教育培訓都具有特別重要的意義。每一個員工在入職后應執(zhí)行保密協(xié)議和保護公司知識產(chǎn)權。內(nèi)控環(huán)境因素包括：員工的誠信和道德 價值 觀；員工的勝任能力；董事會和審計委員會；管理層的經(jīng)營理念和經(jīng)營風格；組織結構；管理層授權和職責分工、人力資源政策和措施。 ? 內(nèi)控活動 —— 內(nèi)控活動指那些有助于管理層決策順利實施的政策和程序，是針對風險采取的控制措施。 第三，內(nèi)部控制無論設計和運行得多么完善，也只能為企業(yè)的管理層和董事會提供合理的保證，而不是絕對保證， 6 因為內(nèi)部控制本身 具有 局限性。 1992 年 9月， COSO 委員會提出了報告《內(nèi)部控制 —— 整體框架》（ 1994年進行了增補）， 即 COSO 內(nèi)部控制框架。 1 COSO 內(nèi)部控制框架培訓資料 內(nèi)容提要： 一、 背景介紹 （一） COSO 內(nèi)部控制框架的產(chǎn)生及發(fā)展過程 （二） 中石油目前的內(nèi)部控制體系與 COSO 內(nèi)部控制框架的差距 二、 COSO 內(nèi)部控制框架下內(nèi)部控制的定義 （一） COSO 內(nèi)部控制框架對內(nèi)部控制的定義 （二） 對內(nèi)部控制定義的理解 （三） COSO 內(nèi)部控制框架的組成要素 三、 COSO 內(nèi)部控制框架 五要素 （一） 內(nèi)控環(huán)境 （二） 風險評估 （三） 內(nèi)控活動 （四） 信息與溝通 （五） 監(jiān)督 四、 內(nèi)部控制的局限性 五、 員工在內(nèi)部控制中的作用和職責 六、 小結 2 一、 背景介紹 內(nèi)部控制是什么 ?不同的人有不同的理解 。 COSO 內(nèi)控框架的提出標志著內(nèi)部控制理論發(fā)展到新的階段，對企業(yè) 完善和優(yōu)化內(nèi)部控制、 增強風險防范能力 具有十分重要的意義。 最后，內(nèi)控框架將內(nèi)部控制目標分為三類：與營運有關的目標 — 即經(jīng)營的效率與效果、與財務報告有關的目標 — 即財務報告的可靠性 、 以及與法規(guī)的遵循性有關的目標。它們包括諸如批準、授權、查證、核對、復核經(jīng)營業(yè)績、資產(chǎn)保護和職責分工等活動。下面討論各項因素的具體內(nèi)容。員工即使在終止雇傭之后，仍然有義務保護公司的機密信息。 12 員工個人可能由于下列因素而卷入不誠實、非法或不道德的行為： ? 不切實際的業(yè)績目標，特別是短期業(yè)績的壓力（例如：為了實現(xiàn)預先設定的利潤指標而在財務報告中虛報收入） ? 將獎金分配與業(yè)績掛鉤（例如：錯報與業(yè)績考核指標相關的財務信息） ? 內(nèi)控制度不存在或無效（例如：敏感業(yè)務區(qū)域未設立嚴格的職責分工，這為偷竊公司資產(chǎn)或隱藏不良行為提供了可能）。以銷售信貸政策為例，對風險承受力高的公司相比承受力低的公司，其設定的信用銷售額度更高，以期望通過更優(yōu)惠的政策吸引和 保留客戶，而獲得更高的銷售額。風險識別也是一個重復的過程，需要針對環(huán)境的變化持續(xù)進行。 3） 應對變化 經(jīng)濟形勢、行業(yè)和法規(guī)環(huán)境不斷改變，企業(yè)業(yè)務活動不斷發(fā)展。它們包括一系列不同的活動，如審批、授權、確認、核對、審核經(jīng)營業(yè)績、資產(chǎn)保護以及職責分工等。第二類是應用性控制，包括應用軟件中的電算化步驟，以及用以控制不同種類交易處理過程的相關手工操作程序，它是保證交易處理的完整性、準確性、交易授權和有效性的內(nèi)部控制。另外，當企業(yè)面臨基本的行業(yè)變化，面臨有高度創(chuàng)新能力反應迅捷的競爭對手或面對重大的顧客需求變化時，信息系統(tǒng)必須隨企業(yè)目標、經(jīng)營環(huán)境的變化而變化，及時適應新的需求。 ? 在執(zhí)行自己的職責時，每個人都應該知道，當意外發(fā)生時，不僅要注意事件 本身，還要注意事件的原因。比如公司可以同供應商直接溝通，解釋公司期望供應商雇員在與其打交道時應怎么做，明確回扣以及其它不適當?shù)氖杖?，都是不能容忍的。公司審核有關作業(yè)安全的政策和操作步驟，從經(jīng)營安全性和合規(guī)性的角度為內(nèi)控是否有效運行提供信息，因而被視為一項監(jiān)督；監(jiān)管者就合法性或其他事項與企業(yè)進行交流，也會從某種角度反映內(nèi)控系統(tǒng)是否有效運行。由于所控制風險的大小及內(nèi)部控制在減小風險中的重要性不同，對于內(nèi)部控制進行評價的范圍和頻率也不一樣。 ? 監(jiān)督進展和復核發(fā)現(xiàn)。 四、 內(nèi)部控制的局限性 也許有人會認為內(nèi)部控制可以確保企業(yè)萬無一失，這也是我們所希望的，但事實并非如此，無論內(nèi)部控制設計和執(zhí) 34 行的多好，它也只能提供合理的保證，這是內(nèi)部控制系統(tǒng)固有的局限性?？偨?jīng)理的任務是領導和指導高級管理人員，并與這些高級管理人員一起制定價值觀、原則以及重要的經(jīng)營策略，例如企業(yè)的總目標、組織機構、重大制度等，并檢查他們是否履行職責。內(nèi) 37 部控制措施幫助管理層應對快速變化的經(jīng)濟和競爭環(huán)境以及不斷改變的客戶需求，并針對未來的成長進行調(diào)整。 六、 小結 長期以來，高級管理層一直在尋找控制和管理企業(yè)的更好方法。 ? 管理層 – 總裁或總經(jīng)理對內(nèi)部控制負有全面的責任，可以看作是內(nèi)部控制系統(tǒng)的“責任人”。當管理層希望向外界提供關于內(nèi)控系統(tǒng)效果的聲明時，他們應當考慮形成文件來支持該聲明。 ? 按照單位、要素或高風險區(qū)域劃分重要性程度和先后次序，保證及時的關注 ? 在以上基礎上，建立相關的評估程序。這樣同時也提供了一個機會來評價持續(xù)性監(jiān)督程序是否有效。 ? 與外界各方的溝通能夠印證內(nèi)部產(chǎn)生的信息或揭示問題。 2） 外部溝通 企業(yè)不僅在內(nèi)部需要有適當?shù)臏贤?，而且與外部也是 ,與外部溝通的內(nèi)容包括： ? 通過開放的溝通渠道，了解顧客、供應商對于產(chǎn)品或服務的設計或質(zhì)量方面的要求使公司注意顧客的需求和偏好。 1） 內(nèi)部溝通 內(nèi)部溝通是指企業(yè)內(nèi)部上下級之間、橫向部門之間的溝通，下面以例舉的方式介紹內(nèi)部溝通的主要內(nèi)容： ? 所有的人員，特別是那些有著重要的經(jīng)營和財務管理職責的人員，取得管理所需信息，并清楚地知道必須 26 嚴肅履行內(nèi)部控制的責任。因此，企業(yè)必需要建立良好的信息系統(tǒng)來識別、獲得、加工和報告這些信息。 信息系統(tǒng)內(nèi)控活動可分為兩大類。 （三） 內(nèi)控活動 內(nèi)控活動是指為確保管理層指示得以執(zhí)行的政策和程 20 序。 管理層還應認識到，總會存在一些殘留風險的可能性，不僅因為資源總是有限的，還因為每個內(nèi)控系統(tǒng)都有內(nèi)在局限性。 實現(xiàn)目標需要耗費資源，因此設立目標必須考慮可獲得的資源，企業(yè)應該 對目標進行分析， 提醒自己找出與總目標不相關的操作目標，以免資源浪費，而對實現(xiàn)總目標至 關重要的操作目標，則優(yōu)先安排資源。例如， 有些公司 管理層的經(jīng)營理念和風格較為激進，愿意承擔更高的風險以追求更高的盈利回報；而有些公司的管理層則比較保守，在風險承擔方面表現(xiàn)得較為謹慎。在公司內(nèi)傳遞道德標準的最有效方式是管理層以身作則，員工對于內(nèi)控的態(tài)度通常會效仿他們的領導。公司建立相應政策保護機密信息，包括（ a）屬于公司商業(yè)性機密信息（ b）屬于非披露協(xié)議下信息。 三、 COSO 內(nèi)部控制框架五要素 （一） 內(nèi)控環(huán)境 內(nèi)控環(huán)境是其他控制要素的基礎。因此必須設立一個機制來識別、分析和管理影響目標實現(xiàn)的相關風險，并適時加以管理。確立 這種觀念有利于企業(yè)的所有員工明確自己的責任和權限，主動地維護及改善企業(yè)的內(nèi)部控制?；谠撐瘑T會的建