【文章內容簡介】 織結構 組織結構是權責分工的架構，在此架構中規(guī)劃、執(zhí)行、控制和監(jiān)督為實現企業(yè)目標而進行的活動，每個企業(yè)都可根據自己的需要確定組織結構，可以是集權型，也可以是分權型，可以是直接的報告關系，也可以是矩陣型組織結構，可 15 以按產品或行業(yè)組織，也可以按地理分布或功能組織，但不論何種組織結構，應根據公司的業(yè)務性質， 進行適當的集中或分散，確保信息的上傳、下達和在各業(yè)務間的流動，確保企業(yè)目標的實現。 管理層授權和職責分工 權力和責任分配是指對員工進行授權和分配責任，將企業(yè)的目標層層分解落實到每個員工的頭上，從而將員工的行為與企業(yè)目標聯系起來，增強員工的自主控制意識。權力與責任分配的關鍵是權力與責任的對等。 人力資源政策和措施 人力資源政策和措施是關于員工聘用、培訓、考核、進升、薪酬等方面的政策和程序，目的是聘用和維持有能力的人員，保證公司的計劃得以實施，目標得以實現。因此，人力資源政策和措施應考慮如何招聘進來有能 力、可信任的人員，如何進行相關培訓使員工意識到他們的工作職責和公司對他們的要求，如何通過考核、薪酬、提升等政策激勵約束員工。 （二） 風險評估 風險及風險評估的定義 風險是任何影響目標實現的因素 ,所有企業(yè)，無論規(guī)模、結構和行業(yè)性質，都面臨著風險，可以說有經營就有風險。風險有來自企業(yè)內部的，也有來自企業(yè)外部。 16 為了加強對風險的控制，必須進行風險評估， 風險評估是 指對相關風險進行識別和分析， 是發(fā)現和分析那些影響目標實現的風險的過程，是確定如何管理和控制風險的基礎。風險評估的前提條件是設立目標，只有先確立了目標， 管理層才能針對目標確定風險并采取必要的行動來管理風險。 企業(yè)的目標可以分為公司層面目標和業(yè)務活動層面目標，公司層面目標是指公司的總目標和相關戰(zhàn)略計劃，與高層次資源的分配和優(yōu)先利用相關。業(yè)務活動層面的目標是總目標的子目標，是針對企業(yè)業(yè)務活動的更加專門化的目標。業(yè)務活動層 面的 目標應該清楚，易于理解，以便從事該操作的人能實現其目標，同時還必須是可衡量的，以便于考核。 實現目標需要耗費資源，因此設立目標必須考慮可獲得的資源，企業(yè)應該 對目標進行分析， 提醒自己找出與總目標不相關的操作目標，以免資源浪費，而對實現總目標至 關重要的操作目標，則優(yōu)先安排資源。 如何進行風險評估 1） 風險識別 風險評估的過程首先是進行風險識別，風險識別需要考慮所有可能發(fā)生的風險，并且需要考慮企業(yè)和相關外界之間的所有重大相互影響。風險識別也是一個重復的過程，需要針對環(huán)境的變化持續(xù)進行。導致企業(yè)經營風險的因素包括內部和外部兩個方面： 17 外部因素包括： ? 技術發(fā)展 —— 影響研發(fā)的性質和時機，或帶來采購的變化。（例如：出現新的、更高效的油氣開采技術，未掌握相關技術的公司會導致市場競爭力降低，進而影響經營目標的實現） ? 不斷變化的客戶需求和期望 —— 影響產品開發(fā) 、定價。（例如：納米技術的應用，客戶對產品的期望改變；） ? 競爭 —— 影響營銷和服務活動（例如： WTO 導致更多具有較高競爭力國外石油公司進入中國市場）。 ? 新的法律和法規(guī) —— 影響經營政策和策略（例如：薩班斯法案）。 ? 自然災害 —— 造成損失。 ? 經濟形勢的變化等 —— 影響融資、資本支出和擴張決策。 內部因素包括： ? 信息系統(tǒng)運行的中斷 —— 影響經營運轉。 ? 雇員的素質和培訓、激勵的方法 —— 影響控制理念。 ? 管理層職責的改變 —— 影響某些實施控制的方式。 ? 企業(yè)經營活動的性質、員工對資產的接觸途徑 ——產生挪用。 ? 董事會或審計 委員會無法有效履行其職責 —— 可 18 能為管理層輕率的行為提供機會。 2） 風險分析 識別風險后，需要進行風險分析，分析的內容主要有： ? 估計風險的重要性程度； ? 評估風險發(fā)生的可能性（或頻率、概率）； ? 考慮如何管理風險 —— 即評估需要采取何種措施 針對風險分析的結果而采取的控制活動，管理層應仔細考慮現有內控程序對于已識別的風險是否合適。如果現有程序可能已經足夠或只需要執(zhí)行得更好，那么就不必制定附加程序。 管理層還應認識到，總會存在一些殘留風險的可能性，不僅因為資源總是有限的，還因為每個內控系統(tǒng)都有內在局限性。因此，管理層 的一項重要工作是權衡利弊， 確定能夠謹慎地接受多少風險，并盡力將風險控制在可接受的水平內。 3） 應對變化 經濟形勢、行業(yè)和法規(guī)環(huán)境不斷改變，企業(yè)業(yè)務活動不斷發(fā)展。在一個環(huán)境下有效的內部控制在另一環(huán)境下未必有效。風險評估的本質就是一個識別變化的環(huán)境并采取相應行動的過程，風險評估應持續(xù)地進行 , 并且應特別關注下面的情形： ? 變化的經營環(huán)境 —— 變化的法律或經濟環(huán)境可能導致 19 競爭壓力的增加和顯著不同的風險。 ? 新的人員 —— 新來的高層管理人員的經營風格與原先的不同。 ? 新的或經修訂的信息系統(tǒng) —— 能否正常運行。 ? 經營的快速增長 — — 當經營快速擴張，現有制度的局限可能導致控制失效；當程序變動或新人員增加時，現有的監(jiān)督可能就不能保持充分的控制。 ? 新技術 —— 新技術被運用到生產流程或信息系統(tǒng)中，內部控制就很可能需要修改。 ? 新業(yè)務、產品、活動 —— 當企業(yè)進入新的商業(yè)領域或從事不熟悉的交易時，現有的控制可能就不充分了。 ? 公司重組 —— 公司因為收購、合并或者業(yè)務下滑、成本控制等原因進行結構重組。重組可能導致內部裁員，職責分工的合并，或者，原來的一個重要控制崗位被取消，卻沒有相應的替代控制出現。很多公司重組后大量削減人員，就碰到了嚴重的控制缺陷。 ? 海外 經營 —— 海外經營的擴張或收購帶來了新的和獨特的風險。例如，內控環(huán)境可能受到當地管理層文化和風俗的影響。另外，當地經濟和法律環(huán)境可能帶來獨特的風險因素。 （三） 內控活動 內控活動是指為確保管理層指示得以執(zhí)行的政策和程 20 序。它有助于進行風險管理和保證企業(yè)目標的實現，內控活動貫穿于企業(yè)的所有層次和部門。它們包括一系列不同的活動，如審批、授權、確認、核對、審核經營業(yè)績、資產保護以及職責分工等。 內控活動類型： 控制活動可以有不同的描述方式： 針對企業(yè)的不同目標，控制活動可以分為以下三個類型：即為 提高經營效率效果、 增強財務報告的可靠性、遵守法規(guī)等目標的三類控制活動； 根據控制活動的不同作用，控制活動又可以分為：預防性控制、檢查性控制、指導性控制、 糾錯性控制、 補償性控制等五種類型； 根據組織中實施人員的不同，控制活動也可以分為：高層復核、指導并管理業(yè)務活動、信息處理、實物控制、業(yè)績指標分析、職責分離等。 ? 高層復核 —— 管理層將實際業(yè)績情況和預算相比較，將當期業(yè)績和前期相比較，將本企業(yè)的業(yè)績情況與競爭對手相比較，對企業(yè)主要行為進行追蹤，以衡量目標實現的程度。 ? 指導并管理業(yè)務活動 —— 負責整個板塊生產的領導，分地區(qū)公司、分產品 類別等內容審閱生產業(yè)績報告，對照經營目標，分析其中反映出的生產管理方面的問題，并指出需要改進的方向。 21 ? 信息處理 —— 這類控制被用于核對交易的準確性、完整性和遵循性。如：系統(tǒng)對數據錄入設定編輯復核功能，并對數據修改實行系統(tǒng)性控制；客戶訂單，只有與經批準的客戶文件和信用額度相符，才能被接受；交易應按連的編號記賬；系統(tǒng)管理員對例外事項報告進行跟蹤調查，必要時向主管領導報告。 ? 資產保護即實物控制 —— 對設備、存貨、證券、現金及其他資產實物采取保管措施，并定期進行盤點和帳實核對。 ? 業(yè)績指標分析 —— 采購部門的員工分析采購價 格變動、緊急采購訂單占全部訂單的比率、退貨訂單占全部訂單的比率，通過調查異常的結果和異常的變動趨勢，關注那些可能影響目標實現的問題，并提出改進方案。 ? 職責分離 —— 職責在不同人員之間的分工或分離，可以降低發(fā)生錯誤或不當行為的可能性。例如，交易的授權、記錄和處理相關資產的職責應予以分離；授權賒銷的經理應不負責應收賬款的記錄或現金收入的處理。 控制活動的要素 — 政策和程序 控制活動一般包含兩個要素，即：第一個要素，政策 —它描述應該做什么，第二個要素，程序 — 它描述應該怎樣做；政策是程序的基礎，同時，程序又影響政 策的執(zhí)行。例如，政策要求，應該由專人定期進行存貨盤點，程序即盤點本身， 22 其實施的頻率、關注的要點、存貨的性質、數量等等。 控制活動應和風險評估相結合 管理層在進行風險評估的同時，應該針對該特定風險找出并實施有效的措施，這些針對某項特定風險的具體措施也就是建立控制活動的要素，它有助于保證控制活動得以及時、有效地實施。 信息系統(tǒng)的控制 隨著信息技術的發(fā)展，大多數企業(yè)，包括小公司或大公司的部門，都引進、建立和運用了現代化信息處理系統(tǒng)，現代化的信息系統(tǒng)不僅提高