【正文】 獲得使用資產(chǎn)的機會。邏輯安全包括個人必須遵循的內(nèi)設的程序，例如，在現(xiàn)金分發(fā)的終端機上使用密碼。這些程序用來限制末經(jīng)授權(quán)認可的個人使用資產(chǎn)。 121 CIA后續(xù)教育 資產(chǎn)的實物保護可以通過以下不同的程序予以完成： ?在保險箱、銀行保險柜等安全地方存放可轉(zhuǎn)讓單據(jù)； ?通過使用柵欄、上鎖區(qū)域、房屋建筑物、公文箱等措施來限制使用財產(chǎn)； ?通過安排保安或監(jiān)督檢查，將使用資產(chǎn)的權(quán)利限制在經(jīng)過授權(quán)人員； ?在不具備上述保護措施的地點，對重要公文、文件和記錄保留有復印的副本； ?在多個區(qū)域中分放資產(chǎn)，反對將所有資產(chǎn)存放在一個地點； ?將重要的資產(chǎn)，例如，貴重金屬、證券和現(xiàn)金存儲在極為牢固的防火的保管庫中； ?佩戴徽章以識別經(jīng)過授權(quán)的員工； ?保護資產(chǎn)，通過適當存放使資產(chǎn)避免受風、雷、雨等自然因素影響而變質(zhì)。 122 CIA后續(xù)教育 資產(chǎn)的保護也可以通過以下各種不同的合乎邏輯的程序予以完成，包括： ?對要安排在敏感職位上的人員的正直性進行調(diào)查的聘用程序； ?提供降低資產(chǎn)損失影響的保險； ?與關(guān)鍵的員工簽約； ?為關(guān)鍵的員工投保； ?只有經(jīng)授權(quán)的個人才能知道密碼； ?處理權(quán)限的計算機控制程度； ?在關(guān)鍵的名字和地址通訊錄上列出可信賴員工的名字，如果該通訊錄需要調(diào)整，并與通訊錄上的那些人聯(lián)絡，盡可能與可信賴的員工聯(lián)絡。注意：可信賴的員工通常使用特別的姓名中間的首字母方式與被保護姓名的文件結(jié)合在一起； ?開發(fā)災難恢復計劃，包括萬一資產(chǎn)損失發(fā)生時應遵循的程序。 123 CIA后續(xù)教育 規(guī)定的工作流程 組織的運營績效是管理層直接關(guān)注的事項。繼續(xù)績效控制有助于保證本組織的運營有效果、有效率和經(jīng)濟節(jié)約。許多組織聘用各種不同類型的行業(yè)工程師和顧問不斷地評價本組織的績效。行業(yè)工程師的評價通常涉及生產(chǎn)設備和人，而系統(tǒng)工程師 (即內(nèi)部的和外部的顧問 )設計和評價行政管理系統(tǒng)的運行績效。在許多組織中，內(nèi)部審計師也檢查績效。 治理績效的控制措施有許多內(nèi)容，包括： ?標準 (Standards)； ?指導方針、指南 (Guidelines) ?程序 (Procedures)； ?經(jīng)營手冊 (Operating manuals)； ?工作方案 (Work programs)； ?績效 (業(yè)績 )審查 (Performance reviews)； ?系統(tǒng)分析 (System analysis)； ?人事審查 (Personnelrev； ews )。 124 CIA后續(xù)教育 大多數(shù)的績效控制起源于良好的或有缺陷工作慣例的結(jié)果。如果 某些慣例被發(fā)現(xiàn)是運行工作的最佳方法，為了要保證良好的習慣做法繼 續(xù)下去，人們將這些習慣做法轉(zhuǎn)化為績效控制措施 (例如，標準、指導方 針等 )。如果有缺陷的習慣做法己經(jīng)造成工作效率低下、無效果或不經(jīng)濟 節(jié)約，就要建立績效控制措施避免重復這些拙劣的習慣做法。 對不適當績效標準的處罰是不安排資金和資源。對績效控制措施 的反方論據(jù)是它們抑制人們的主動性和創(chuàng)造力。因此，管理層必須將績 效控制的益處與它們可能限制人們使用良好判斷力盼任何抑制因素迸行 比較做出決定。 125 CIA后續(xù)教育 建立組織的計劃和系統(tǒng)以便符合用戶的需要。例如，退休養(yǎng)老金計劃應當被設計成保留和獎賞好的員工；計算機系統(tǒng)應當以及時的方式為用戶提供所需的信息；廣告宣傳計劃應當有利于銷售產(chǎn)品，銷售網(wǎng)點設施的設計就應當滿足生產(chǎn)和營業(yè)部門的需要。 努力建立良好的計劃和系統(tǒng)，但是，所有的計劃和系統(tǒng)經(jīng)過一段時間會受到腐蝕。這種腐蝕是由于該計劃和系統(tǒng)無法改變商務需求。不能低估對良好計劃和系統(tǒng)的檢查在組織實現(xiàn)成功方面的重要性。 建立計劃和系統(tǒng)用以滿足一系列的授權(quán)活動的特定目標。這些活動包括部門、人員、設備、資金、場地等。計劃和系統(tǒng)控制旨在確?；顒臃霞榷ǖ哪繕?。通過這種類型的控制措施，管理層可以得到來自他們的計劃和系統(tǒng)所獲得價值和利潤率的保證。 126 CIA后續(xù)教育 管理層有責任建立控制環(huán)境。 建立控制環(huán)境 127 CIA后續(xù)教育 管理層通過實例和行動建立的控制環(huán)境影響整個內(nèi)部控制系統(tǒng)執(zhí)行的有效性?？刂骗h(huán)境涉及公司從上到下所有員工。組織的最高層領(lǐng)導必須明確地敘述，并且營造和溝通控制的適當意識氛圍。領(lǐng)導應創(chuàng)造一個適當?shù)慕M織結(jié)構(gòu)、使用良好管理慣例、建立績效的責任制、要求堅持適當?shù)牡赖滦袨闃藴屎妥駨倪m用的政策、法律法規(guī)。這些事項的正式形成有助于創(chuàng)造內(nèi)部控制措施更容易被理解和更有效被執(zhí)行的環(huán)境。 沒有文件記錄的政策和程序也可能會有一個強有力的控制環(huán)境，但是，它不太可能長久地保持被控制的狀態(tài)，因為最初建立這種控制意識和運行控制結(jié)構(gòu)的人會通過正常的退休自然減員。事實證明，在 “無文件證明”環(huán)境中的審計是非常困難和極端昂貴的。 管理層通過履行管理職責 組織、計劃、指導和控制，創(chuàng)建一個強有力的控制環(huán)境。履行這些職責的方法決定著組織的控制環(huán)境。 管理層的“高層基調(diào)” 128 CIA后續(xù)教育 作為環(huán)境控制的組織結(jié)構(gòu) 一個公司的組織結(jié)構(gòu)提供其運營的計劃編制、指揮和控制的總體框架。通常它涉及報告關(guān)系、由組織內(nèi)各部門執(zhí)行的職能和主要職務的權(quán)力、責任和限制因素。組織結(jié)構(gòu)的有效性取決于它如何更好地充當指揮和控制組織活動的框架。一個有效的組織結(jié)構(gòu)應當考慮下列因素： ?履行委派職責人員的勝任能力和適當?shù)馁Y源準備，以及衡量績效責任的系統(tǒng)； ?委派職責和授權(quán)處理這些事務的要求，例如，目的與具體目標、運營職能、組織形式、管理風格、規(guī)則要求和財務報告標準； ?促進履行委派職責和監(jiān)控組織結(jié)構(gòu)中每一層級活動的預算和財務業(yè)績報告； ?檢查和平衡需分離的不兼容活動，設專人或單位預先控制，將進展情況提供給較高層管理部門監(jiān)督，保證對整個公司活動的監(jiān)控。 129 CIA后續(xù)教育 作為環(huán)境控制的組織結(jié)構(gòu) 對某一公司組織結(jié)構(gòu)外部和內(nèi)部需求的反饋越多，就越有可能在適當?shù)奈恢眉訌姇嬁刂瞥绦颉＠?，指定高層的職責是推銷和生產(chǎn)活動，而不是存貨管理，控制的意識可能會比同時強調(diào)這三部分時弱化。一個有效的組織結(jié)構(gòu)應當將委派職責方面的差距和重復降低到最少。 公司規(guī)模越大，運營就越復雜，就越有必要通過圖表、職位說明、政策聲明和類似的文件說明組織結(jié)構(gòu)。 130 CIA后續(xù)教育 計劃編制是預定組織將采取什么行動的過程。它應當在組織的所有層級發(fā)生。沒有適當?shù)挠媱?，一個組織很容易受到日常事務的影響。例如，沒有計算機房的災難恢復計劃，出現(xiàn)災禍時所采取的行動很明顯就會受到負責這種變化的主管人當時想法的影響，而不是采取公司在那種環(huán)境中可能真正需要來取的行動。 組織通常進行兩種類型的計劃： 戰(zhàn)略計劃和戰(zhàn)術(shù)計劃，這兩種計劃可能在各個不同的層級發(fā)生。 環(huán)境控制的計劃 131 CIA后續(xù)教育 制定戰(zhàn)略計劃 制定戰(zhàn)略計劃是高層的長期計劃編制過程，包括關(guān)于企業(yè)的目標及其業(yè)務性質(zhì)的決定。它包括決定企業(yè)應當進入或終止的業(yè)務范圍、產(chǎn)能計劃、長期的人事聘用計劃，等等。企業(yè)長期計劃好壞的程度為保護資產(chǎn)和產(chǎn)生用于決策的財務信息提供適當?shù)目刂瞥潭龋赡軟Q定著公司控制系統(tǒng)的末來質(zhì)量；它甚至可能決定企業(yè)的未來發(fā)展。因此，作為企業(yè)的收購、開設新的設施、擴張或縮減業(yè)務范圍等的計劃編制，應當包括對企業(yè)這些重大變化方面內(nèi)部控制影響的考慮。 132 CIA后續(xù)教育 戰(zhàn)術(shù)計劃或經(jīng)營計劃編制包括執(zhí)行戰(zhàn)略計劃的各項活動，以及決定運營活動的需要。戰(zhàn)術(shù)計劃或短期計劃的編制和控制周期包括設定年度預算和監(jiān)控與這類預算相關(guān)的業(yè)績。這是所有以控制為基礎的管理中最強有力的一種措施。雖然管理方式會改變，但是，所有的管理層應當判斷和識別需要注意的領(lǐng)域，并決定將要采取的行動。經(jīng)營計劃編制包括生產(chǎn)規(guī)劃、年度預算、招募計劃、評價公司活動，例如做廣告等。 計劃成為組織運營活動的依據(jù)。計劃編制應當控制發(fā)生在各層級中的整個組織的業(yè)務活動。這些判斷，當它們與控制測試有關(guān)時，應當識別需要更仔細檢查的交易事項和特別關(guān)注的系統(tǒng)或領(lǐng)域。 制定戰(zhàn)術(shù)計劃 133 CIA后續(xù)教育 環(huán)境控制的指導 指導是將經(jīng)營計劃變成現(xiàn)實的下一個步驟。它涉及對完成任務情況的監(jiān)督，對可利用資源的適當利用和確定己經(jīng)被適當執(zhí)行的任務。它也包括確定組織的活動按照管理層一般授權(quán)或特別授權(quán)予以完成。 有能力的管理層的指導和監(jiān)督的價值經(jīng)常被視為控制的一個關(guān)鍵要素。內(nèi)部控制環(huán)境高度地依賴于組織人員的勝任能力和正直性，正如控制程序本身一樣。專業(yè)審計文獻指出，遵循會計控制目標在很大程度上依賴于人員的勝任能力和正直性、他們被指定職能的獨立性和對規(guī)定程序的理解。 監(jiān)督在提升人員的勝任能力和正直性以及為每一個主管的下屬人員設定控制環(huán)境氛圍方面發(fā)揮著關(guān)鍵性作用。書面程序和應用控制對主管指定的愿望和方向來說是第二位的，因為幾乎沒有人會設法規(guī)避他們的指令。因此，管理層應當評價主管人員的職權(quán)和不斷地尋求他們有效履行其職責的保證。在組織的每一層級，都存在對委派給主管人員職責和權(quán)力的明晰理解的必要性。管理層和主管人員之間的適當溝通對控制意識是至關(guān)重要的。 監(jiān)督能力的一個重要因素是培訓應該如何控制、控制誰和控制什么。主管人員必須具備被委派職責領(lǐng)域的技能，以及指導、激發(fā)和控制下屬的能力。 134 CIA后續(xù)教育 監(jiān)督控制的職責 組織使用內(nèi)部控制實現(xiàn)下列目標： ?保護資產(chǎn)和確保組織負債的適當性； ?按照會計系統(tǒng)產(chǎn)生信息的準確性、可靠性和公正性確保會計事項的適當性； ?確保獲得必需的資源，并在實現(xiàn)組織目標的過程中有效率和有效果地使用這些資源； ?維護和堅持管理政策。 135 CIA后續(xù)教育 環(huán)境控制存在三個重要方面 第一，制定的控制措施應當足以監(jiān)控這種環(huán)境，并向管理層提供評價控制措施適當性和有效性的充足信息 第二，管理層應當使用這種信息采取任何所需的糾正行動，以確保其運營的完整性 第三，當環(huán)境發(fā)生變化時，環(huán)境控制措施應當進行調(diào)整，保持與環(huán)境同步變化。 現(xiàn)實的控制必須考慮成本效益。一般來說，控制措施的成本不應當超過正在被保護事物的潛在損失。管理層必須評估正在受到保護的事物，然后，根據(jù)受到保護的事物的風險暴露程度制定切實可行的控制措施。 136 CIA后續(xù)教育 控制環(huán)境的屬性 管理層控制職責的廣泛目標可分割為與主要功能活動有關(guān)的特定目標，為環(huán)境檢查提供有成效的開端和有效率的依據(jù)。環(huán)境檢查應當包括作為各種不同層級檢查的特定目標，即與環(huán)境連鎖層級中內(nèi)部控制措施和對處理與控制個別交易事項及其資源的活動相關(guān)的那些目標。 不管是為某一特定職能或為整個系統(tǒng)，評價應當被設計用于確定管理層的特別授權(quán)或一般授權(quán)是否是充分的，己經(jīng)適當進行溝通，并正在遵循和受到監(jiān)控。這可能包括： ?管理層己經(jīng)授權(quán)什么任務？ ?如何溝通這些任務？ ?如何分離員工的任務，以便在控制使用和保護資產(chǎn)方面提供核查？ ?如何監(jiān)控遵守管理層的授權(quán)？ 137 CIA后續(xù)教育 控制環(huán)境中職責分離 員工的任務與職責分離是一種制度安排，有助于檢查某一員工的工作；它是一種內(nèi)在的制衡機制，將保管職能從一開始就與會計職責分離，它具有下列特征： ?員工履行其職責的勝任能力和可信賴度； ?保存記錄政策的適當性； ?對記錄和資產(chǎn)的物理控制和使用控制，記錄的目的是控制。 這些特征影響著有效內(nèi)部控制環(huán)境職責分離的四種類型，即在財務記錄與運營、會計與資產(chǎn)保管、授權(quán)與資產(chǎn)保管和會計仸務每種類型之間進行職責分離。 138 CIA后續(xù)教育 運營職責與財務記錄職責分離 如果讓組織的每個部門或處室自己編制記錄和報告，其結(jié)果勢必會造成明顯的篡改業(yè)績。為了確保公正的信息，財務保存的記錄應當由會計主管職能的一個單獨部門來負責。例如，在計算機系統(tǒng)中，使用多少時間編制經(jīng)營統(tǒng)計數(shù)據(jù)應當與負責該系統(tǒng)運營的部門統(tǒng)計時間費用的職能分開。 139 CIA后續(xù)教育 資產(chǎn)保管與會計分離 不得由臨時或永久保管資產(chǎn)的人來解釋說明其保管的資產(chǎn)，原因是避免資產(chǎn)被盜用。當一個人同時執(zhí)行這兩種職能時，就存在為個人贏利而處理資產(chǎn)并調(diào)整記錄加以隱瞞的風險。 例如，應當禁止在某一信息技術(shù)系統(tǒng)中保管資產(chǎn)的任何人執(zhí)行編程或者操作的職能，同樣也不能讓其訪問信息輸入的記錄。通常，理想的做法是，任何履行某一會計職能的人，不管在信息技術(shù)系統(tǒng)或手工系統(tǒng)的情況下，都不能被允許接觸資產(chǎn)，以便他有可能為個人的贏利而轉(zhuǎn)換資產(chǎn)。 140 CIA后續(xù)教育 相關(guān)資產(chǎn)保管與交易授權(quán)分離 較為理想的做法是，防止授權(quán)交易的人有權(quán)控制相關(guān)的資產(chǎn)。例 如，處理現(xiàn)金收人的個人應當無權(quán)決定哪些賬戶應當作為壞賬被注銷。 在任何信息技術(shù)系統(tǒng)中，同樣重要的是系統(tǒng)設計要提供這兩種職責的分 離和被控制的“例外報告”屬于信息系統(tǒng)之外的職能。這有利于確保報 告信息技術(shù)系統(tǒng)內(nèi)可能違反授權(quán)與資產(chǎn)保管分離的非正常的交易事項。 141 CIA后續(xù)教育 會計職能中任務的分離