【正文】 據(jù)工作的性質(zhì)和所需的職業(yè)判斷，考慮能力需求，另一方面還應(yīng)考慮人力資源成本即薪酬（例如：沒有必要雇傭一名電子工程師來換一只燈泡）。（二）風(fēng)險評估風(fēng)險及風(fēng)險評估的定義風(fēng)險是任何影響目標(biāo)實現(xiàn)的因素,所有企業(yè)，無論規(guī)模、結(jié)構(gòu)和行業(yè)性質(zhì)，都面臨著風(fēng)險，可以說有經(jīng)營就有風(fēng)險。內(nèi)部因素包括：l 信息系統(tǒng)運行的中斷——影響經(jīng)營運轉(zhuǎn)。l 新業(yè)務(wù)、產(chǎn)品、活動——當(dāng)企業(yè)進(jìn)入新的商業(yè)領(lǐng)域或從事不熟悉的交易時，現(xiàn)有的控制可能就不充分了。l 業(yè)績指標(biāo)分析——采購部門的員工分析采購價格變動、緊急采購訂單占全部訂單的比率、退貨訂單占全部訂單的比率，通過調(diào)查異常的結(jié)果和異常的變動趨勢，關(guān)注那些可能影響目標(biāo)實現(xiàn)的問題，并提出改進(jìn)方案。溝通則是指信息在企業(yè)內(nèi)部各層次、各部門，在企業(yè)與顧客、供應(yīng)商、監(jiān)管者和股東等外部環(huán)境之間的流動。信息是否準(zhǔn)確——數(shù)據(jù)都準(zhǔn)確嗎？l 在多數(shù)情況下，正常的報告渠道就是適當(dāng)?shù)臏贤ㄇ?。監(jiān)督是評估內(nèi)控系統(tǒng)在一定時期內(nèi)運行質(zhì)量的過程，目的是保證內(nèi)部控制持續(xù)有效，監(jiān)督可通過兩種方式進(jìn)行：持續(xù)性的監(jiān)督活動和獨立的評估。審計師通過評價內(nèi)控的設(shè)計并測試其有效性，發(fā)現(xiàn)一些潛在的問題并向管理層提供解決問題的建議。同樣，在評價內(nèi)控時，管理層也可利用外部審計人員的工作。這一過程使得責(zé)任人能及時采取措施，也便于其上級提供所需的支持或進(jìn)行監(jiān)督，并與企業(yè)中受影響的他人進(jìn)行溝通。n 管理層的越權(quán)——內(nèi)控制度是企業(yè)最重要的管理工具，但任何內(nèi)控最終都是靠人來執(zhí)行的。內(nèi)部控制促進(jìn)效率性，降低資產(chǎn)損失的風(fēng)險，并有助于確保財務(wù)報表的可靠性和對于法律法規(guī)的遵循性。但是外部單位不會對公司內(nèi)部控制負(fù)有責(zé)任，也不是公司內(nèi)部控制體系中的一部分?？偨?jīng)理的任務(wù)是領(lǐng)導(dǎo)和指導(dǎo)高級管理人員，并與這些高級管理人員一起制定價值觀、原則以及重要的經(jīng)營策略，例如企業(yè)的總目標(biāo)、組織機(jī)構(gòu)、重大制度等，并檢查他們是否履行職責(zé)。n 執(zhí)行偏差——任何“完美的”內(nèi)部控制系統(tǒng)，都會因設(shè)計人經(jīng)驗和知識水平的限制而帶有缺陷。缺陷可能代表一個假想的、潛在的或?qū)嶋H的缺點，或一個強化內(nèi)控系統(tǒng)的機(jī)會。一般來說，評價主體包括：一是自我評價，即負(fù)責(zé)某一單位或職責(zé)的人員對其控制自身活動的有效性進(jìn)行評價。另外，管理層對員工的職責(zé)分配定期進(jìn)行審核，以確保合理分工以便相互制衡，有利于防止員工舞弊，并可以限制個人掩蓋其可疑行為的能力。l 管理層同外界（無論是公開的、即將進(jìn)行的、嚴(yán)格跟蹤的還是其它的）的交流也可以向整個公司內(nèi)部傳遞信息。l 人們需要知道自己的行為怎樣與他人的工作相聯(lián)系。為了提高信息的質(zhì)量，需要考慮：一般性控制用于保證建立在計算機(jī)程序基礎(chǔ)上的應(yīng)用性控制得以實施。l 指導(dǎo)并管理業(yè)務(wù)活動——負(fù)責(zé)整個板塊生產(chǎn)的領(lǐng)導(dǎo)，分地區(qū)公司、分產(chǎn)品類別等內(nèi)容審閱生產(chǎn)業(yè)績報告，對照經(jīng)營目標(biāo)，分析其中反映出的生產(chǎn)管理方面的問題，并指出需要改進(jìn)的方向。l 新的人員——新來的高層管理人員的經(jīng)營風(fēng)格與原先的不同。（例如：納米技術(shù)的應(yīng)用，客戶對產(chǎn)品的期望改變；）l 競爭——影響營銷和服務(wù)活動（例如：WTO導(dǎo)致更多具有較高競爭力國外石油公司進(jìn)入中國市場）。管理層授權(quán)和職責(zé)分工權(quán)力和責(zé)任分配是指對員工進(jìn)行授權(quán)和分配責(zé)任，將企業(yè)的目標(biāo)層層分解落實到每個員工的頭上，從而將員工的行為與企業(yè)目標(biāo)聯(lián)系起來，增強員工的自主控制意識。l 董事會缺少對高層管理人員的客觀監(jiān)管，可能導(dǎo)致管理人員凌駕于內(nèi)控制度。與業(yè)務(wù)相關(guān)，偶爾贈送非政府雇員的價值較低的商業(yè)禮物的做法是可以接受的。企業(yè)員工具有良好的道德標(biāo)準(zhǔn)并形成良好的道德氛圍，對控制系統(tǒng)的有效運行非常重要，也有助于防范那些內(nèi)控系統(tǒng)難以控制的行為。暢通的溝通渠道和機(jī)制使企業(yè)的員工能及時取得他們在執(zhí)行、管理和控制企業(yè)經(jīng)營過程中所需的信息，并交換這些信息。 營造單位氣氛－讓公司員工建立內(nèi)部控制167。最后，內(nèi)控框架將內(nèi)部控制目標(biāo)分為三類：與營運有關(guān)的目標(biāo)—即經(jīng)營的效率與效果、與財務(wù)報告有關(guān)的目標(biāo)—即財務(wù)報告的可靠性、以及與法規(guī)的遵循性有關(guān)的目標(biāo)。COSO內(nèi)部控制框架之所以被廣泛地選擇作為構(gòu)建和完善內(nèi)部控制體系的標(biāo)準(zhǔn)，是因為：雖然COSO內(nèi)部控制框架并非唯一的內(nèi)部控制框架，但卻是美國證券交易委員會唯一推薦使用的內(nèi)部控制框架，《薩班斯法案》第 404 條款的「最終細(xì)則」也明確表明 COSO內(nèi)部控制框架可以作為評估企業(yè)內(nèi)部控制的標(biāo)準(zhǔn)。 一般的人把內(nèi)部控制理解為組織為了減少決策失誤和工作缺陷而實施的控制,這些控制可能是內(nèi)部監(jiān)督、也可能是管理手冊、規(guī)章制度等。基于該委員會的建議，其贊助機(jī)構(gòu)成立COSO委員會，專門研究內(nèi)部控制問題。第二，內(nèi)部控制受到“人”的因素的影響，它并不僅僅是政策手冊和表格，不僅僅是管理人員、內(nèi)部審計或董事會，而是組織中的每一個人，每一個人都對內(nèi)部控制負(fù)有責(zé)任并受到內(nèi)部控制的影響；是“人”建立企業(yè)的目標(biāo)，并將控制機(jī)制賦予實施。167。它們包括諸如批準(zhǔn)、授權(quán)、查證、核對、復(fù)核經(jīng)營業(yè)績、資產(chǎn)保護(hù)和職責(zé)分工等活動。下面討論各項因素的具體內(nèi)容。員工即使在終止雇傭之后，仍然有義務(wù)保護(hù)公司的機(jī)密信息。員工個人可能由于下列因素而卷入不誠實、非法或不道德的行為：l 不切實際的業(yè)績目標(biāo)，特別是短期業(yè)績的壓力（例如：為了實現(xiàn)預(yù)先設(shè)定的利潤指標(biāo)而在財務(wù)報告中虛報收入）l 將獎金分配與業(yè)績掛鉤（例如：錯報與業(yè)績考核指標(biāo)相關(guān)的財務(wù)信息）l 內(nèi)控制度不存在或無效（例如：敏感業(yè)務(wù)區(qū)域未設(shè)立嚴(yán)格的職責(zé)分工，這為偷竊公司資產(chǎn)或隱藏不良行為提供了可能）。以銷售信貸政策為例，對風(fēng)險承受力高的公司相比承受力低的公司，其設(shè)定的信用銷售額度更高，以期望通過更優(yōu)惠的政策吸引和保留客戶，而獲得更高的銷售額。風(fēng)險識別也是一個重復(fù)的過程，需要針對環(huán)境的變化持續(xù)進(jìn)行。3）應(yīng)對變化經(jīng)濟(jì)形勢、行業(yè)和法規(guī)環(huán)境不斷改變，企業(yè)業(yè)務(wù)活動不斷發(fā)展。它們包括一系列不同的活動，如審批、授權(quán)、確認(rèn)、核對、審核經(jīng)營業(yè)績、資產(chǎn)保護(hù)以及職責(zé)分工等。第二類是應(yīng)用性控制，包括應(yīng)用軟件中的電算化步驟，以及用以控制不同種類交易處理過程的相關(guān)手工操作程序，它是保證交易處理的完整性、準(zhǔn)確性、交易授權(quán)和有效性的內(nèi)部控制。另外，當(dāng)企業(yè)面臨基本的行業(yè)變化，面臨有高度創(chuàng)新能力反應(yīng)迅捷的競爭對手或面對重大的顧客需求變化時，信息系統(tǒng)必須隨企業(yè)目標(biāo)、經(jīng)營環(huán)境的變化而變化，及時適應(yīng)新的需求。l 在執(zhí)行自己的職責(zé)時，每個人都應(yīng)該知道，當(dāng)意外發(fā)生時，不僅要注意事件本身，還要注意事件的原因。比如公司可以同供應(yīng)商直接溝通，解釋公司期望供應(yīng)商雇員在與其打交道時應(yīng)怎么做，明確回扣以及其它不適當(dāng)?shù)氖杖?，都是不能容忍的。公司審核有關(guān)作業(yè)安全的政策和操作步驟，從經(jīng)營安全性和合規(guī)性的角度為內(nèi)控是否有效運行提供信息，因而被視為一項監(jiān)督；監(jiān)管者就合法性或其他事項與企業(yè)進(jìn)行交流，也會從某種角度反映內(nèi)控系統(tǒng)是否有效運行。由于所控制風(fēng)險的大小及內(nèi)部控制在減小風(fēng)險中的重要性不同，對于內(nèi)部控制進(jìn)行評價的范圍和頻率也不一樣。l 監(jiān)督進(jìn)展和復(fù)核發(fā)現(xiàn)。四、內(nèi)部控制的局限性也許有人會認(rèn)為內(nèi)部控制可以確保企業(yè)萬無一失，這也是我們所希望的，但事實并非如此，無論內(nèi)部控制設(shè)計和執(zhí)行的多好，它也只能提供合理的保證，這是內(nèi)部控制系統(tǒng)固有的局限性。另外，大量的外部單位也對企業(yè)內(nèi)部控制也有所貢獻(xiàn)。 COSO內(nèi)控框架提出的由三個目標(biāo)和五個要素組成的內(nèi)部控制的整體框架，已經(jīng)得到各行業(yè)的公司董事會、管理當(dāng)局、投資者、債權(quán)人、審計人員及專家學(xué)者的普遍認(rèn)可，因而成為迄今最權(quán)威的內(nèi)部控制的概念，因為它是一個較為完整和系統(tǒng)化的關(guān)于內(nèi)部控制的理論，而且它提出的許多新的、有價值的觀點不斷地在實踐中找到了現(xiàn)實意義。有效的董事會必須是客觀的、有能力的和善于調(diào)查的，他們具有業(yè)務(wù)活動方面的知識，并有充足的時間履行董事的責(zé)任。n 合伙同謀——兩人或更多人的合伙同謀行為，會使不同職務(wù)相互制約的作用喪失，從而導(dǎo)致內(nèi)控的失效。文本化的程度根據(jù)各企業(yè)的規(guī)模、復(fù)雜性和類似因素的不同而存在差異。也可與那些被認(rèn)為在內(nèi)控系統(tǒng)方面具有良好聲譽的公司進(jìn)行比較。l 定期詢問職員理解及執(zhí)行企業(yè)相關(guān)規(guī)定的情況。不過，獨立評估發(fā)生在事實之后，比起持續(xù)性監(jiān)督程序，可更快地發(fā)現(xiàn)問題。l 管理層與董事會及其委員之間的溝通至關(guān)重要。3）信息系統(tǒng)的整合 信息系統(tǒng)是經(jīng)營行為的一個組成部分，它通過獲取決策所需的信息來影響控制，隨著信息技術(shù)的發(fā)展，信息系統(tǒng)可以更迅速、更廣泛提供更有價值的信息，對企業(yè)的管理影響更加深遠(yuǎn)，甚至影響到企業(yè)的戰(zhàn)略規(guī)劃，一項最新發(fā)布的研究表明，信息系統(tǒng)的規(guī)劃、設(shè)計和應(yīng)用已經(jīng)開始同組織的整體戰(zhàn)略整