【正文】 議，其贊助機(jī)構(gòu)成立 COSO 委員會，專門研究內(nèi)部控制問題。 一般的人把內(nèi)部控制理解為組織為了減少決策失誤和工作缺陷而實(shí)施的控制 ,這些控制可能是內(nèi)部監(jiān)督、也可能是管理手冊、規(guī)章制度等。 COSO 內(nèi)部控制框架之所以被廣泛地選擇作為構(gòu)建和完善內(nèi)部控制體系的標(biāo)準(zhǔn)，是因?yàn)椋弘m然 COSO 內(nèi)部控制框架并非唯一的內(nèi)部控 制框架，但卻是美國證券交易委員 會唯一推薦使用的內(nèi)部控制框架， 《薩班斯法案》第 404 條款的「最終細(xì)則」 也 明確表明 COSO 內(nèi)部控制框架可以作為評估企業(yè)內(nèi)部控制的標(biāo)準(zhǔn)。上述分類讓我們專注于內(nèi)部控制的各個(gè)方面，這些 相 互有別 ，相互 交叉的分類滿足不同的需要，并且表明了不同的執(zhí)行人員的直接責(zé)任。 ? 信息與溝通 —— 是指企業(yè)經(jīng)營管理所需信息必須被識別、獲得 并以一定形式及時(shí)傳遞，以便員工履行職責(zé)。 員工 的誠信和道德價(jià)值觀 內(nèi)部控制是由人建立、執(zhí)行和維護(hù)的，人是內(nèi)部控制有效運(yùn)行的根本因素。 7） 公平交易 每一個(gè)員工都應(yīng)該努力去公平對待顧客、供應(yīng)商、競爭者、公眾，并遵循商業(yè)道德規(guī)范。 ? 組織高度分散，可能導(dǎo)致高層管理人員不清楚基層的行為，缺少必要的監(jiān)管，因此，減 少了基層舞弊被發(fā)現(xiàn)的機(jī)會。管理層的經(jīng)營理念和經(jīng)營風(fēng)格還表現(xiàn)在：管理層對財(cái)務(wù)報(bào)告的態(tài)度，在會計(jì)政策選擇方面是否謹(jǐn)慎，進(jìn)行會計(jì)估計(jì)時(shí)是否遵循審慎性原則，對待數(shù)據(jù)處理、會計(jì)職能及人事管理等方面的態(tài)度等等。導(dǎo)致企業(yè)經(jīng)營風(fēng)險(xiǎn)的因素包括內(nèi)部和外部兩個(gè)方面： 17 外部因素包括： ? 技術(shù)發(fā)展 —— 影響研發(fā)的性質(zhì)和時(shí)機(jī)，或帶來采購的變化。在一個(gè)環(huán)境下有效的內(nèi)部控制在另一環(huán)境下未必有效。 內(nèi)控活動(dòng)類型： 控制活動(dòng)可以有不同的描述方式： 針對企業(yè)的不同目標(biāo)，控制活動(dòng)可以分為以下三個(gè)類型：即為 提高經(jīng)營效率效果、 增強(qiáng)財(cái)務(wù)報(bào)告的可靠性、遵守法規(guī)等目標(biāo)的三類控制活動(dòng)； 根據(jù)控制活動(dòng)的不同作用，控制活動(dòng)又可以分為：預(yù)防性控制、檢查性控制、指導(dǎo)性控制、 糾錯(cuò)性控制、 補(bǔ)償性控制等五種類型； 根據(jù)組織中實(shí)施人員的不同，控制活動(dòng)也可以分為：高層復(fù)核、指導(dǎo)并管理業(yè)務(wù)活動(dòng)、信息處理、實(shí)物控制、業(yè)績指標(biāo)分析、職責(zé)分離等。例如，公司的銷售政策規(guī)定給予金額在 20 萬以上訂單以 8 折優(yōu)惠；系統(tǒng)根據(jù)事先的設(shè)定，對于 20萬以上的訂單自動(dòng)給予 20%的折扣優(yōu)惠，而對于 20 萬以下訂單僅允許全價(jià)銷售。 1） 信息的識別和獲取 信息的識別和獲取的方式是多種多樣的：信息系統(tǒng)可以采取監(jiān)控方式，定期獲取特定的數(shù)據(jù)；或者，可以采取某些特定的方式獲取所需信息，如通過問卷、采訪、廣泛的市場需求調(diào)研或針對特定群體的調(diào)查獲得顧客對產(chǎn)品和服務(wù)的需求信息；通過與顧客、供應(yīng)商、監(jiān)管者以及員工的談 話獲得識別風(fēng)險(xiǎn)和機(jī)遇所必需的重要信息；參加專業(yè)或行業(yè)的研討會也可以獲得有價(jià)值的信息。這樣，就可以了解到系統(tǒng)潛在的缺陷，并采取預(yù)防的措施。 ? 與外部審計(jì)師的溝通，管理層和董事會可以了解重要的 控制信息。 ? 適當(dāng)?shù)慕M織結(jié)構(gòu)和監(jiān)督行為不但監(jiān)督內(nèi)控職能的執(zhí)行并且能夠發(fā)現(xiàn)內(nèi) 控的缺陷。例如，那些致力于重大風(fēng)險(xiǎn)或?qū)p小風(fēng)險(xiǎn)具有重要作用的控制就應(yīng)經(jīng)常地進(jìn)行評價(jià)。 ? 保證采取必 要的追蹤措施，必要時(shí)修改后續(xù)的評估部分。具體表現(xiàn)在： ? 判斷失誤 —— 判斷是人在事情發(fā)生時(shí)依據(jù)現(xiàn)有信息的所做出的，個(gè)人的判斷不能保證絕對正確，并且難以避免主觀性，從而影響內(nèi)部控制的有效性。依次的，高級管理人員負(fù)責(zé)建立更為具體的內(nèi)部控制政策和程序，并向企業(yè)員工分配。內(nèi)部控制促進(jìn)效率性，降低資產(chǎn)損失的風(fēng)險(xiǎn)，并有助于確保財(cái)務(wù)報(bào)表的可靠性和對于法律法規(guī)的遵循性。但是外部單位不會對公司內(nèi)部控制負(fù)有責(zé)任，也不是公司內(nèi)部控制體系中的一部分。 五、 員工在內(nèi)部控制中的作用與責(zé)任 組織中的每一個(gè)人都對內(nèi)部控制負(fù)有責(zé)任。控制沒有文本化并不意味著內(nèi)控系統(tǒng)是無效的或無法評估，不過當(dāng)需要向更多人提供有關(guān)內(nèi)部控制的闡述或評估時(shí)，內(nèi)部控制文本化的性質(zhì)和程度將會提高 。 ? 分析內(nèi)部審計(jì)的控制評估工作，考慮外部審計(jì)師與控制相關(guān)的發(fā)現(xiàn)。盡管持續(xù)性監(jiān)督程序可以提供關(guān)于其他控制要素有效性的重要反饋信息，但經(jīng)常地對系統(tǒng)的有效性直接進(jìn)行評估也是十分必要的。持續(xù)性監(jiān)督行為有下面一些例子： ? 在執(zhí)行常規(guī)管理行為時(shí)，經(jīng)營管理層取得內(nèi)部控制持續(xù)運(yùn)轉(zhuǎn)的證據(jù)。同樣，董事會也應(yīng)該向管理層傳達(dá)其所需要的信息，并提供指導(dǎo)和反饋。 溝通 溝通是信息系統(tǒng)固有的，是將信息提供給相關(guān)人員，以便與其履行職責(zé)，溝通必須貫穿于信息處理的整個(gè)過程，有效的溝通不僅在整個(gè)企業(yè)內(nèi)進(jìn)行，也包括與外部進(jìn)行的溝通。 信息 企業(yè)的管理活動(dòng)依賴于各種信息，既包括內(nèi)部生成的信息，也包括從外部獲取的行業(yè)、經(jīng)濟(jì)、監(jiān)管等方面的信息。 信息系統(tǒng)的控制 隨著信息技術(shù)的發(fā)展，大多數(shù)企業(yè)，包括小公司或大公司的部門，都引進(jìn)、建立和運(yùn)用了現(xiàn)代化信息處理系統(tǒng)，現(xiàn)代化的信息系統(tǒng)不僅提高了企業(yè)的工作效率，而且也改變企業(yè)的經(jīng)營方式和方法， 甚至影響企業(yè)的戰(zhàn)略規(guī)劃，因此信息系統(tǒng)的控制 十分重要 。另外，當(dāng)?shù)亟?jīng)濟(jì)和法律環(huán)境可能帶來獨(dú)特的風(fēng)險(xiǎn)因素。如果現(xiàn)有程序可能已經(jīng)足夠或只需要執(zhí)行得更好，那么就不必制定附加程序。業(yè)務(wù)活動(dòng)層 面的 目標(biāo)應(yīng)該清楚，易于理解，以便從事該操作的人能實(shí)現(xiàn)其目標(biāo)，同時(shí)還必須是可衡量的，以便于考核。它們都深深地影響著內(nèi)部控制的成效。 對于企業(yè)來說，首要的工作是建立一套員工能夠接受和理解的誠信和道德標(biāo)準(zhǔn)，如道德行為手冊；其次是必須讓員工知曉和理解這些規(guī)定（例如：要求所有員工定期簽字確認(rèn)），這是執(zhí)行的前提條件；最后就是貫徹執(zhí)行。 6） 保密 機(jī)密信息是一間公司最重要的資產(chǎn)之一。對此，本次 9 培訓(xùn)以大型公司為例，未考慮中小公司的差異。每個(gè)企業(yè)都面臨著諸多來自內(nèi)部和外部的風(fēng)險(xiǎn)，影響企業(yè)既定目標(biāo)的實(shí)現(xiàn)。 第二，內(nèi)部控制受到“人”的因素的影響，它并不僅僅是政策手冊和表格，不僅僅是管理人員、內(nèi)部審計(jì)或董事會，而是組織中的每一個(gè)人，每一個(gè)人都對內(nèi)部控制負(fù)有責(zé)任并受到內(nèi)部控制的影響；是“人”建立企業(yè)的目標(biāo)，并將控制機(jī)制賦予實(shí)施。兩年后，該委員會提出了很多有價(jià)值的建議。 這種理解 沒有錯(cuò)， 但不全面。 股份公司作為紐約證交所上市 4 公司，需要按照法案要求，引進(jìn) COSO 內(nèi)部控制框架，整合現(xiàn)有內(nèi)部控制，滿足法案的要求。 （三） COSO 內(nèi)部控制框架 的組成要素 COSO 內(nèi)部控制框架認(rèn)為， 內(nèi)部控制系統(tǒng)是由內(nèi)控環(huán)境、風(fēng)險(xiǎn)評估、內(nèi)控活動(dòng)、信息與溝通、監(jiān)督五要素組成，它們?nèi)Q于管理層經(jīng)營企業(yè)的方式，并融入管理過程本身，其相互關(guān)系可以用下面模型表示。信息不僅包括內(nèi)部產(chǎn)生的信息，還包括與企業(yè)經(jīng)營決策和對外報(bào)告相關(guān)的外部信息。人的道德價(jià)值觀影響著人的行為。為了獲得或維持業(yè)務(wù)而進(jìn)行賄賂、回扣或其他誘惑等都是不允許的。 ? 內(nèi)部審計(jì)職能薄弱，沒有及時(shí)發(fā)現(xiàn)和報(bào)告不正確的行為。 組織結(jié)構(gòu) 組織結(jié)構(gòu)是權(quán)責(zé)分工的架構(gòu)，在此架構(gòu)中規(guī)劃、執(zhí)行、控制和監(jiān)督為實(shí)現(xiàn)企業(yè)目標(biāo)而進(jìn)行的活動(dòng)，每個(gè)企業(yè)都可根據(jù)自己的需要確定組織結(jié)構(gòu)，可以是集權(quán)型，也可以是分權(quán)型，可以是直接的報(bào)告關(guān)系，也可以是矩陣型組織結(jié)構(gòu)，可 15 以按產(chǎn)品或行業(yè)組織，也可以按地理分布或功能組織，但不論何種組織結(jié)構(gòu)，應(yīng)根據(jù)公司的業(yè)務(wù)性質(zhì)， 進(jìn)行適當(dāng)?shù)募谢蚍稚ⅲ_保信息的上傳、下達(dá)和在各業(yè)務(wù)間的流動(dòng)，確保企業(yè)目標(biāo)的實(shí)現(xiàn)。（例如：出現(xiàn)新的、更高效的油氣開采技術(shù)，未掌握相關(guān)技術(shù)的公司會導(dǎo)致市場競爭力降低，進(jìn)而影響經(jīng)營目標(biāo)的實(shí)現(xiàn)） ? 不斷變化的客戶需求和期望 —— 影響產(chǎn)品開發(fā) 、定價(jià)。風(fēng)險(xiǎn)評估的本質(zhì)就是一個(gè)識別變化的環(huán)境并采取相應(yīng)行動(dòng)的過程，風(fēng)險(xiǎn)評估應(yīng)持續(xù)地進(jìn)行 , 并且應(yīng)特別關(guān)注下面的情形： ? 變化的經(jīng)營環(huán)境 —— 變化的法律或經(jīng)濟(jì)環(huán)境可能導(dǎo)致 19 競爭壓力的增加和顯著不同的風(fēng)險(xiǎn)。 ? 高層復(fù)核 —— 管理層將實(shí)際業(yè)績情況和預(yù)算相比較，將當(dāng)期業(yè)績和前期相比較，將本企業(yè)的業(yè)績情況與競爭對手相比較，對企業(yè)主要行為進(jìn)行追蹤，以衡量目標(biāo)實(shí)現(xiàn)的程度。 23 這兩類對計(jì)算機(jī)系統(tǒng)的控制是相互關(guān)聯(lián)的。 2） 信息加工和報(bào)告 信息是決策的基礎(chǔ)，但并非所有的信息都是有用的信息，因此，需要對信息進(jìn)行加工整理，歸納匯總，根據(jù)需要向不同的部門和人員報(bào)告不同的信息。比如，發(fā)現(xiàn)滯銷的存貨不僅要在財(cái)務(wù)報(bào)告上留下準(zhǔn)確的記錄，更重要的是對存貨滯銷的原因作出判斷。 28 ? 與股東、監(jiān)管者、財(cái)務(wù)分析師以及其它外界的交流，可以了解企業(yè)所面臨的情況和風(fēng)險(xiǎn)。例如，財(cái)務(wù)負(fù)責(zé)人對財(cái)務(wù)人員針對交易正確性和完整性實(shí)施的內(nèi)控活動(dòng)實(shí)施日常的監(jiān)管。 31 2） 評價(jià)主體 評價(jià)主體，即由誰來實(shí)施獨(dú)立評估。 5） 報(bào)告缺陷 這里的“缺陷”被廣泛定義為內(nèi)控系統(tǒng)中值得注意的問題?；阱e(cuò)誤判斷的管理層決策也會導(dǎo)致失誤?；鶎拥墓芾砣藛T則直接參與控制政策和程序的實(shí)施。 由于