【正文】 議，其贊助機構成立 COSO 委員會，專門研究內部控制問題。 一般的人把內部控制理解為組織為了減少決策失誤和工作缺陷而實施的控制 ,這些控制可能是內部監(jiān)督、也可能是管理手冊、規(guī)章制度等。 COSO 內部控制框架之所以被廣泛地選擇作為構建和完善內部控制體系的標準，是因為：雖然 COSO 內部控制框架并非唯一的內部控 制框架，但卻是美國證券交易委員 會唯一推薦使用的內部控制框架， 《薩班斯法案》第 404 條款的「最終細則」 也 明確表明 COSO 內部控制框架可以作為評估企業(yè)內部控制的標準。上述分類讓我們專注于內部控制的各個方面，這些 相 互有別 ，相互 交叉的分類滿足不同的需要，并且表明了不同的執(zhí)行人員的直接責任。 ? 信息與溝通 —— 是指企業(yè)經營管理所需信息必須被識別、獲得 并以一定形式及時傳遞，以便員工履行職責。 員工 的誠信和道德價值觀 內部控制是由人建立、執(zhí)行和維護的，人是內部控制有效運行的根本因素。 7） 公平交易 每一個員工都應該努力去公平對待顧客、供應商、競爭者、公眾，并遵循商業(yè)道德規(guī)范。 ? 組織高度分散，可能導致高層管理人員不清楚基層的行為，缺少必要的監(jiān)管，因此，減 少了基層舞弊被發(fā)現的機會。管理層的經營理念和經營風格還表現在：管理層對財務報告的態(tài)度，在會計政策選擇方面是否謹慎，進行會計估計時是否遵循審慎性原則，對待數據處理、會計職能及人事管理等方面的態(tài)度等等。導致企業(yè)經營風險的因素包括內部和外部兩個方面： 17 外部因素包括： ? 技術發(fā)展 —— 影響研發(fā)的性質和時機，或帶來采購的變化。在一個環(huán)境下有效的內部控制在另一環(huán)境下未必有效。 內控活動類型： 控制活動可以有不同的描述方式： 針對企業(yè)的不同目標，控制活動可以分為以下三個類型：即為 提高經營效率效果、 增強財務報告的可靠性、遵守法規(guī)等目標的三類控制活動； 根據控制活動的不同作用，控制活動又可以分為：預防性控制、檢查性控制、指導性控制、 糾錯性控制、 補償性控制等五種類型； 根據組織中實施人員的不同，控制活動也可以分為：高層復核、指導并管理業(yè)務活動、信息處理、實物控制、業(yè)績指標分析、職責分離等。例如，公司的銷售政策規(guī)定給予金額在 20 萬以上訂單以 8 折優(yōu)惠；系統(tǒng)根據事先的設定，對于 20萬以上的訂單自動給予 20%的折扣優(yōu)惠，而對于 20 萬以下訂單僅允許全價銷售。 1） 信息的識別和獲取 信息的識別和獲取的方式是多種多樣的：信息系統(tǒng)可以采取監(jiān)控方式，定期獲取特定的數據；或者，可以采取某些特定的方式獲取所需信息，如通過問卷、采訪、廣泛的市場需求調研或針對特定群體的調查獲得顧客對產品和服務的需求信息；通過與顧客、供應商、監(jiān)管者以及員工的談 話獲得識別風險和機遇所必需的重要信息；參加專業(yè)或行業(yè)的研討會也可以獲得有價值的信息。這樣，就可以了解到系統(tǒng)潛在的缺陷，并采取預防的措施。 ? 與外部審計師的溝通，管理層和董事會可以了解重要的 控制信息。 ? 適當的組織結構和監(jiān)督行為不但監(jiān)督內控職能的執(zhí)行并且能夠發(fā)現內 控的缺陷。例如，那些致力于重大風險或對減小風險具有重要作用的控制就應經常地進行評價。 ? 保證采取必 要的追蹤措施，必要時修改后續(xù)的評估部分。具體表現在： ? 判斷失誤 —— 判斷是人在事情發(fā)生時依據現有信息的所做出的，個人的判斷不能保證絕對正確，并且難以避免主觀性，從而影響內部控制的有效性。依次的，高級管理人員負責建立更為具體的內部控制政策和程序，并向企業(yè)員工分配。內部控制促進效率性，降低資產損失的風險，并有助于確保財務報表的可靠性和對于法律法規(guī)的遵循性。但是外部單位不會對公司內部控制負有責任，也不是公司內部控制體系中的一部分。 五、 員工在內部控制中的作用與責任 組織中的每一個人都對內部控制負有責任?？刂茮]有文本化并不意味著內控系統(tǒng)是無效的或無法評估，不過當需要向更多人提供有關內部控制的闡述或評估時，內部控制文本化的性質和程度將會提高 。 ? 分析內部審計的控制評估工作，考慮外部審計師與控制相關的發(fā)現。盡管持續(xù)性監(jiān)督程序可以提供關于其他控制要素有效性的重要反饋信息，但經常地對系統(tǒng)的有效性直接進行評估也是十分必要的。持續(xù)性監(jiān)督行為有下面一些例子： ? 在執(zhí)行常規(guī)管理行為時，經營管理層取得內部控制持續(xù)運轉的證據。同樣，董事會也應該向管理層傳達其所需要的信息，并提供指導和反饋。 溝通 溝通是信息系統(tǒng)固有的，是將信息提供給相關人員，以便與其履行職責，溝通必須貫穿于信息處理的整個過程，有效的溝通不僅在整個企業(yè)內進行，也包括與外部進行的溝通。 信息 企業(yè)的管理活動依賴于各種信息，既包括內部生成的信息，也包括從外部獲取的行業(yè)、經濟、監(jiān)管等方面的信息。 信息系統(tǒng)的控制 隨著信息技術的發(fā)展，大多數企業(yè)，包括小公司或大公司的部門，都引進、建立和運用了現代化信息處理系統(tǒng)，現代化的信息系統(tǒng)不僅提高了企業(yè)的工作效率，而且也改變企業(yè)的經營方式和方法， 甚至影響企業(yè)的戰(zhàn)略規(guī)劃，因此信息系統(tǒng)的控制 十分重要 。另外，當地經濟和法律環(huán)境可能帶來獨特的風險因素。如果現有程序可能已經足夠或只需要執(zhí)行得更好，那么就不必制定附加程序。業(yè)務活動層 面的 目標應該清楚，易于理解，以便從事該操作的人能實現其目標，同時還必須是可衡量的，以便于考核。它們都深深地影響著內部控制的成效。 對于企業(yè)來說，首要的工作是建立一套員工能夠接受和理解的誠信和道德標準，如道德行為手冊；其次是必須讓員工知曉和理解這些規(guī)定（例如：要求所有員工定期簽字確認），這是執(zhí)行的前提條件；最后就是貫徹執(zhí)行。 6） 保密 機密信息是一間公司最重要的資產之一。對此，本次 9 培訓以大型公司為例，未考慮中小公司的差異。每個企業(yè)都面臨著諸多來自內部和外部的風險，影響企業(yè)既定目標的實現。 第二，內部控制受到“人”的因素的影響，它并不僅僅是政策手冊和表格，不僅僅是管理人員、內部審計或董事會，而是組織中的每一個人，每一個人都對內部控制負有責任并受到內部控制的影響；是“人”建立企業(yè)的目標，并將控制機制賦予實施。兩年后，該委員會提出了很多有價值的建議。 這種理解 沒有錯， 但不全面。 股份公司作為紐約證交所上市 4 公司，需要按照法案要求，引進 COSO 內部控制框架，整合現有內部控制，滿足法案的要求。 （三） COSO 內部控制框架 的組成要素 COSO 內部控制框架認為， 內部控制系統(tǒng)是由內控環(huán)境、風險評估、內控活動、信息與溝通、監(jiān)督五要素組成，它們取決于管理層經營企業(yè)的方式，并融入管理過程本身，其相互關系可以用下面模型表示。信息不僅包括內部產生的信息，還包括與企業(yè)經營決策和對外報告相關的外部信息。人的道德價值觀影響著人的行為。為了獲得或維持業(yè)務而進行賄賂、回扣或其他誘惑等都是不允許的。 ? 內部審計職能薄弱，沒有及時發(fā)現和報告不正確的行為。 組織結構 組織結構是權責分工的架構，在此架構中規(guī)劃、執(zhí)行、控制和監(jiān)督為實現企業(yè)目標而進行的活動，每個企業(yè)都可根據自己的需要確定組織結構，可以是集權型，也可以是分權型，可以是直接的報告關系，也可以是矩陣型組織結構，可 15 以按產品或行業(yè)組織，也可以按地理分布或功能組織，但不論何種組織結構，應根據公司的業(yè)務性質， 進行適當的集中或分散，確保信息的上傳、下達和在各業(yè)務間的流動，確保企業(yè)目標的實現。（例如：出現新的、更高效的油氣開采技術，未掌握相關技術的公司會導致市場競爭力降低，進而影響經營目標的實現） ? 不斷變化的客戶需求和期望 —— 影響產品開發(fā) 、定價。風險評估的本質就是一個識別變化的環(huán)境并采取相應行動的過程，風險評估應持續(xù)地進行 , 并且應特別關注下面的情形： ? 變化的經營環(huán)境 —— 變化的法律或經濟環(huán)境可能導致 19 競爭壓力的增加和顯著不同的風險。 ? 高層復核 —— 管理層將實際業(yè)績情況和預算相比較，將當期業(yè)績和前期相比較，將本企業(yè)的業(yè)績情況與競爭對手相比較，對企業(yè)主要行為進行追蹤，以衡量目標實現的程度。 23 這兩類對計算機系統(tǒng)的控制是相互關聯(lián)的。 2） 信息加工和報告 信息是決策的基礎，但并非所有的信息都是有用的信息，因此，需要對信息進行加工整理，歸納匯總，根據需要向不同的部門和人員報告不同的信息。比如，發(fā)現滯銷的存貨不僅要在財務報告上留下準確的記錄，更重要的是對存貨滯銷的原因作出判斷。 28 ? 與股東、監(jiān)管者、財務分析師以及其它外界的交流，可以了解企業(yè)所面臨的情況和風險。例如，財務負責人對財務人員針對交易正確性和完整性實施的內控活動實施日常的監(jiān)管。 31 2） 評價主體 評價主體，即由誰來實施獨立評估。 5） 報告缺陷 這里的“缺陷”被廣泛定義為內控系統(tǒng)中值得注意的問題?；阱e誤判斷的管理層決策也會導致失誤?；鶎拥墓芾砣藛T則直接參與控制政策和程序的實施。 由于