【文章內容簡介】 、提升等政策激勵約束員工。（二）風險評估風險及風險評估的定義風險是任何影響目標實現的因素,所有企業(yè)，無論規(guī)模、結構和行業(yè)性質，都面臨著風險，可以說有經營就有風險。風險有來自企業(yè)內部的，也有來自企業(yè)外部。為了加強對風險的控制，必須進行風險評估，風險評估是指對相關風險進行識別和分析，是發(fā)現和分析那些影響目標實現的風險的過程，是確定如何管理和控制風險的基礎。風險評估的前提條件是設立目標，只有先確立了目標，管理層才能針對目標確定風險并采取必要的行動來管理風險。企業(yè)的目標可以分為公司層面目標和業(yè)務活動層面目標，公司層面目標是指公司的總目標和相關戰(zhàn)略計劃，與高層次資源的分配和優(yōu)先利用相關。業(yè)務活動層面的目標是總目標的子目標，是針對企業(yè)業(yè)務活動的更加專門化的目標。業(yè)務活動層面的目標應該清楚，易于理解，以便從事該操作的人能實現其目標，同時還必須是可衡量的，以便于考核。實現目標需要耗費資源，因此設立目標必須考慮可獲得的資源，企業(yè)應該對目標進行分析，提醒自己找出與總目標不相關的操作目標，以免資源浪費，而對實現總目標至關重要的操作目標，則優(yōu)先安排資源。如何進行風險評估1）風險識別風險評估的過程首先是進行風險識別，風險識別需要考慮所有可能發(fā)生的風險，并且需要考慮企業(yè)和相關外界之間的所有重大相互影響。風險識別也是一個重復的過程，需要針對環(huán)境的變化持續(xù)進行。導致企業(yè)經營風險的因素包括內部和外部兩個方面：外部因素包括：l 技術發(fā)展——影響研發(fā)的性質和時機，或帶來采購的變化。（例如：出現新的、更高效的油氣開采技術，未掌握相關技術的公司會導致市場競爭力降低，進而影響經營目標的實現）l 不斷變化的客戶需求和期望——影響產品開發(fā)、定價。（例如：納米技術的應用，客戶對產品的期望改變；）l 競爭——影響營銷和服務活動（例如：WTO導致更多具有較高競爭力國外公司進入中國市場）。l 新的法律和法規(guī)——影響經營政策和策略（例如：薩班斯法案）。 自然災害——造成損失。ll 經濟形勢的變化等——影響融資、資本支出和擴張決策。內部因素包括： 信息系統(tǒng)運行的中斷——影響經營運轉。ll 雇員的素質和培訓、激勵的方法——影響控制理念。 管理層職責的改變——影響某些實施控制的方式。ll 企業(yè)經營活動的性質、員工對資產的接觸途徑——產生挪用。l 董事會或審計委員會無法有效履行其職責——可能為管理層輕率的行為提供機會。2）風險分析識別風險后，需要進行風險分析，分析的內容主要有：l 估計風險的重要性程度； 評估風險發(fā)生的可能性（或頻率、概率）；ll 考慮如何管理風險——即評估需要采取何種措施針對風險分析的結果而采取的控制活動，管理層應仔細考慮現有內控程序對于已識別的風險是否合適。如果現有程序可能已經足夠或只需要執(zhí)行得更好，那么就不必制定附加程序。管理層還應認識到，總會存在一些殘留風險的可能性，不僅因為資源總是有限的，還因為每個內控系統(tǒng)都有內在局限性。因此，管理層的一項重要工作是權衡利弊，確定能夠謹慎地接受多少風險，并盡力將風險控制在可接受的水平內。3）應對變化經濟形勢、行業(yè)和法規(guī)環(huán)境不斷改變，企業(yè)業(yè)務活動不斷發(fā)展。在一個環(huán)境下有效的內部控制在另一環(huán)境下未必有效。風險評估的本質就是一個識別變化的環(huán)境并采取相應行動的過程，風險評估應持續(xù)地進行, 并且應特別關注下面的情形： 變化的經營環(huán)境——變化的法律或經濟環(huán)境可能導致競爭壓力的增加和顯著不同的風險。ll 新的人員——新來的高層管理人員的經營風格與原先的不同。 新的或經修訂的信息系統(tǒng)——能否正常運行。ll 經營的快速增長——當經營快速擴張，現有制度的局限可能導致控制失效；當程序變動或新人員增加時，現有的監(jiān)督可能就不能保持充分的控制。l 新技術——新技術被運用到生產流程或信息系統(tǒng)中，內部控制就很可能需要修改。l 新業(yè)務、產品、活動——當企業(yè)進入新的商業(yè)領域或從事不熟悉的交易時，現有的控制可能就不充分了。l 公司重組——公司因為收購、合并或者業(yè)務下滑、成本控制等原因進行結構重組。重組可能導致內部裁員，職責分工的合并，或者，原來的一個重要控制崗位被取消，卻沒有相應的替代控制出現。很多公司重組后大量削減人員，就碰到了嚴重的控制缺陷。l 海外經營——海外經營的擴張或收購帶來了新的和獨特的風險。例如，內控環(huán)境可能受到當地管理層文化和風俗的影響。另外，當地經濟和法律環(huán)境可能帶來獨特的風險因素。（三） 內控活動內控活動是指為確保管理層指示得以執(zhí)行的政策和程序。它有助于進行風險管理和保證企業(yè)目標的實現，內控活動貫穿于企業(yè)的所有層次和部門。它們包括一系列不同的活動，如審批、授權、確認、核對、審核經營業(yè)績、資產保護以及職責分工等。內控活動類型：控制活動可以有不同的描述方式：針對企業(yè)的不同目標，控制活動可以分為以下三個類型：即為提高經營效率效果、增強財務報告的可靠性、遵守法規(guī)等目標的三類控制活動；根據控制活動的不同作用，控制活動又可以分為：預防性控制、檢查性控制、指導性控制、糾錯性控制、補償性控制等五種類型；根據組織中實施人員的不同，控制活動也可以分為：高層復核、指導并管理業(yè)務活動、信息處理、實物控制、業(yè)績指標分析、職責分離等。l 高層復核——管理層將實際業(yè)績情況和預算相比較，將當期業(yè)績和前期相比較，將本企業(yè)的業(yè)績情況與競爭對手相比較，對企業(yè)主要行為進行追蹤，以衡量目標實現的程度。l 指導并管理業(yè)務活動——負責整個板塊生產的領導，分地區(qū)公司、分產品類別等內容審閱生產業(yè)績報告，對照經營目標，分析其中反映出的生產管理方面的問題，并指出需要改進的方向。l 信息處理——這類控制被用于核對交易的準確性、完整性和遵循性。如：系統(tǒng)對數據錄入設定編輯復核功能，并對數據修改實行系統(tǒng)性控制；客戶訂單，只有與經批準的客戶文件和信用額度相符，才能被接受；交易應按連的編號記賬；系統(tǒng)管理員對例外事項報告進行跟蹤調查，必要時向主管領導報告。l 資產保護即實物控制——對設備、存貨、證券、現金及其他資產實物采取保管措施，并定期進行盤點和帳實核對。l 業(yè)績指標分析——采購部門的員工分析采購價格變動、緊急采購訂單占全部訂單的比率、退貨訂單占全部訂單的比率，通過調查異常的結果和異常的變動趨勢，關注那些可能影響目標實現的問題，并提出改進方案。l 職責分離——職責在不同人員之間的分工或分離，可以降低發(fā)生錯誤或不當行為的可能性。例如，交易的授權、記錄和處理相關資產的職責應予以分離；授權賒銷的經理應不負責應收賬款的記錄或現金收入的處理。控制活動的要素— 政策和程序控制活動一般包含兩個要素，即：第一個要素，政策—它描述應該做什么，第二個要素，程序—它描述應該怎樣做；政策是程序的基礎，同時，程序又影響政策的執(zhí)行。例如，政策要求，應該由專人定期進行存貨盤點，程序即盤點本身，其實施的頻率、關注的要點、存貨的性質、數量等等?？刂苹顒討惋L險評估相結合管理層在進行風險評估的同時，應該針對該特定風險找出并實施有效的措施，這些針對某項特定風險的具體措施也就是建立控制活動的要素，它有助于保證控制活動得以及時、有效地實施。信息系統(tǒng)的控制隨著信息技術的發(fā)展，大多數企業(yè)，包括小公司或大公司的部門，都引進、建立和運用了現代化信息處理系統(tǒng)，現代化的信息系統(tǒng)不僅提高了企業(yè)的工作效率，而且也改變企業(yè)的經營方式和方法，甚至影響企業(yè)的戰(zhàn)略規(guī)劃，因此信息系統(tǒng)的控制十分重要。信息系統(tǒng)內控活動可分為兩大類。第一類是一般性控制——適用多數應用系統(tǒng)并協(xié)助確保其持續(xù)、正確地運行, 包括對數據中心操作、系統(tǒng)軟件的購買和維護、數據的安全、以及應用系統(tǒng)開發(fā)和維護的控制。第二類是應用性控制，包括應用軟件中的電算化步驟，以及用以控制不同種類交易處理過程的相關手工操作程序，它是保證交易處理的完整性、準確性、交易授權和有效性的內部控制。例如，公司的銷售政策規(guī)定給予金額在20萬以上訂單以8折優(yōu)惠；系統(tǒng)根據事先的設定，對于20萬以上的訂單自動給予20%的折扣優(yōu)惠，而對于20萬以下訂單僅允許全價銷售。這兩類對計算機系統(tǒng)的控制是相互關聯(lián)的。一般性控制用于保證建立在計算機程