【正文】 風險評估相結合 管理層在進行風險評估的同時，應該針對該特定風險找出并實施有效的措施，這些針對某項特定風險的具體措施也就是建立控制活動的要素，它有助于保證控制活動得以及時、有效地實施。 控制活動的要素 — 政策和程序 控制活動一般包含兩個要素，即：第一個要素，政策 —它描述應該做什么，第二個要素，程序 — 它描述應該怎樣做；政策是程序的基礎，同時，程序又影響政 策的執(zhí)行。 ? 職責分離 —— 職責在不同人員之間的分工或分離，可以降低發(fā)生錯誤或不當行為的可能性。 ? 資產(chǎn)保護即實物控制 —— 對設備、存貨、證券、現(xiàn)金及其他資產(chǎn)實物采取保管措施，并定期進行盤點和帳實核對。 21 ? 信息處理 —— 這類控制被用于核對交易的準確性、完整性和遵循性。 ? 高層復核 —— 管理層將實際業(yè)績情況和預算相比較，將當期業(yè)績和前期相比較，將本企業(yè)的業(yè)績情況與競爭對手相比較，對企業(yè)主要行為進行追蹤，以衡量目標實現(xiàn)的程度。它們包括一系列不同的活動，如審批、授權、確認、核對、審核經(jīng)營業(yè)績、資產(chǎn)保護以及職責分工等。 （三） 內控活動 內控活動是指為確保管理層指示得以執(zhí)行的政策和程 20 序。例如，內控環(huán)境可能受到當?shù)毓芾韺游幕惋L俗的影響。很多公司重組后大量削減人員，就碰到了嚴重的控制缺陷。 ? 公司重組 —— 公司因為收購、合并或者業(yè)務下滑、成本控制等原因進行結構重組。 ? 新技術 —— 新技術被運用到生產(chǎn)流程或信息系統(tǒng)中，內部控制就很可能需要修改。 ? 新的或經(jīng)修訂的信息系統(tǒng) —— 能否正常運行。風險評估的本質就是一個識別變化的環(huán)境并采取相應行動的過程，風險評估應持續(xù)地進行 , 并且應特別關注下面的情形： ? 變化的經(jīng)營環(huán)境 —— 變化的法律或經(jīng)濟環(huán)境可能導致 19 競爭壓力的增加和顯著不同的風險。 3） 應對變化 經(jīng)濟形勢、行業(yè)和法規(guī)環(huán)境不斷改變，企業(yè)業(yè)務活動不斷發(fā)展。 管理層還應認識到，總會存在一些殘留風險的可能性，不僅因為資源總是有限的，還因為每個內控系統(tǒng)都有內在局限性。 2） 風險分析 識別風險后，需要進行風險分析，分析的內容主要有： ? 估計風險的重要性程度； ? 評估風險發(fā)生的可能性（或頻率、概率）； ? 考慮如何管理風險 —— 即評估需要采取何種措施 針對風險分析的結果而采取的控制活動，管理層應仔細考慮現(xiàn)有內控程序對于已識別的風險是否合適。 ? 企業(yè)經(jīng)營活動的性質、員工對資產(chǎn)的接觸途徑 ——產(chǎn)生挪用。 ? 雇員的素質和培訓、激勵的方法 —— 影響控制理念。 ? 經(jīng)濟形勢的變化等 —— 影響融資、資本支出和擴張決策。 ? 新的法律和法規(guī) —— 影響經(jīng)營政策和策略（例如：薩班斯法案）。（例如：出現(xiàn)新的、更高效的油氣開采技術，未掌握相關技術的公司會導致市場競爭力降低，進而影響經(jīng)營目標的實現(xiàn)） ? 不斷變化的客戶需求和期望 —— 影響產(chǎn)品開發(fā) 、定價。風險識別也是一個重復的過程，需要針對環(huán)境的變化持續(xù)進行。 實現(xiàn)目標需要耗費資源，因此設立目標必須考慮可獲得的資源，企業(yè)應該 對目標進行分析， 提醒自己找出與總目標不相關的操作目標，以免資源浪費，而對實現(xiàn)總目標至 關重要的操作目標，則優(yōu)先安排資源。業(yè)務活動層面的目標是總目標的子目標，是針對企業(yè)業(yè)務活動的更加專門化的目標。風險評估的前提條件是設立目標，只有先確立了目標， 管理層才能針對目標確定風險并采取必要的行動來管理風險。風險有來自企業(yè)內部的，也有來自企業(yè)外部。因此，人力資源政策和措施應考慮如何招聘進來有能 力、可信任的人員，如何進行相關培訓使員工意識到他們的工作職責和公司對他們的要求，如何通過考核、薪酬、提升等政策激勵約束員工。權力與責任分配的關鍵是權力與責任的對等。 組織結構 組織結構是權責分工的架構，在此架構中規(guī)劃、執(zhí)行、控制和監(jiān)督為實現(xiàn)企業(yè)目標而進行的活動，每個企業(yè)都可根據(jù)自己的需要確定組織結構，可以是集權型，也可以是分權型，可以是直接的報告關系，也可以是矩陣型組織結構，可 15 以按產(chǎn)品或行業(yè)組織，也可以按地理分布或功能組織，但不論何種組織結構，應根據(jù)公司的業(yè)務性質， 進行適當?shù)募谢蚍稚?，確保信息的上傳、下達和在各業(yè)務間的流動，確保企業(yè)目標的實現(xiàn)。以銷售信貸政策為例，對風險承受力高的公司相比承受力低的公司，其設定的信用銷售額度更高，以期望通過更優(yōu)惠的政策吸引和 保留客戶，而獲得更高的銷售額。例如， 有些公司 管理層的經(jīng)營理念和風格較為激進，愿意承擔更高的風險以追求更高的盈利回報；而有些公司的管理層則比較保守，在風險承擔方面表現(xiàn)得較為謹慎。它往往是企業(yè)內部一種無形的力量，影響企業(yè)成員的思維方法和行為 方式，包括企業(yè)承受營業(yè)風險的種類、整個企業(yè)的管理方式、企業(yè)管理階層對法規(guī)的反應、對企業(yè)財務的重視程度以及對人力資源的政策及看法等。 管理層的經(jīng)營理念和經(jīng)營風格 管理層的經(jīng)營理念和經(jīng)營風格影響企業(yè)的管理方式，包括面對各種風險的態(tài)度。 董事會 和 審計委員會 董事會 或審計委員會 的職能是 實施治理、指導和監(jiān)督管理層的工作，如果對管理層缺乏必要的監(jiān)督，管理層可能會凌駕于控制之上，甚至 故意歪曲結果， 因此董事會或審計委員會監(jiān)督作用對確保內部控制的有效性十分重要， 董事會 或審計委員會作用的發(fā)揮，必須具備以下條件：一是要獨立于管理層，不受其影響；二是具有足夠知識、行業(yè)經(jīng)驗和時間，以便于履行職責；三 能夠與財務、法律、內部審計和外部審計及時溝通，得到適當信息；四是能夠控制高級管理人員的薪酬，有權聘用和解聘高級管理人員。 13 為此，管理層需要設定工作崗位的知識和技能水平要求，在招聘、選用員工時作為評選的標準或條件。 ? 管理層對不正確行為的懲罰力度不夠或不公開，從而失去了應有的威懾力。 ? 內部審計職能薄弱，沒有及時發(fā)現(xiàn)和報告不正確的行為。 12 員工個人可能由于下列因素而卷入不誠實、非法或不道德的行為： ? 不切實際的業(yè)績目標，特別是短期業(yè)績的壓力（例如：為了實現(xiàn)預先設定的利潤指標而在財務報告中虛報收入） ? 將獎金分配與業(yè)績掛鉤（例如：錯報與業(yè)績考核指標相關的財務信息） ? 內控制度不存在或無效（例如：敏感業(yè)務區(qū)域未設立嚴格的職責分工，這為偷竊公司資產(chǎn)或隱藏不良行為提供了可能）。在公司內傳遞道德標準的最有效方式是管理層以身作則，員工對于內控的態(tài)度通常會效仿他們的領導。要求證實會計記錄和報表受控，能夠保證準確性，包括提供給審計和定期向證監(jiān)會報告的義務。管理層必須建 立和保持適當?shù)膬瓤?，遵循公司已有的會計準則和流程，保證交易記錄的完整和準確。 公司資產(chǎn)必須用于公司業(yè)務，符合公司政策。 11 8） 公司資產(chǎn)的保護及恰當使用 每一個員工必須保護公司資產(chǎn)，包括實物資源、資產(chǎn)、所有權、機密信息，排除損失、失竊或誤用。但未得到道德委員會事先 批準的情況下，贈送禮物或款待政府雇員是不允許的。為了獲得或維持業(yè)務而進行賄賂、回扣或其他誘惑等都是不允許的。員工即使在終止雇傭之后，仍然有義務保護公司的機密信息。公司建立相應政策保護機密信息，包括（ a）屬于公司商業(yè)性機密信息（ b）屬于非披露協(xié)議下信息。 5） 公司機遇 禁止員工通過利用公司財產(chǎn)、信息或職位為自己或其 他人牟取商業(yè)機遇。 4） 遵守道德準則的責任 明確員工必須遵守道德準則。發(fā)現(xiàn)任何高級管理人員違反法律、規(guī)章制度或行為準則，應迅速向道德規(guī)范委員會等相關機構報告。 2） 合法性 公司要承諾在進行業(yè)務時是抱著誠實和誠信 原則，并遵循所有適用的法律和規(guī)章制度。 員工的誠信和道德價值觀是指員工行為的準則，是告訴員工什么行為可接受、什么行為不可接受、以及遇到不正當行為應該采取的行動。人的道德價值觀影響著人的行為。下面討論各項因素的具體內容。 三、 COSO 內部控制框架五要素 （一） 內控環(huán)境 內控環(huán)境是其他控制要素的基礎。 COSO 內部控制框架適用于各類企業(yè)，但是中小企業(yè)對其應用可能不同于大型企業(yè)，中小企業(yè)的內部控制可能不及大型企業(yè)正式、組織性強，但也可以是有效的。 內部控制五要素之間的配合和聯(lián)系，組成了一個完整的系統(tǒng)，可以靈活地隨條件變化而變化。同時與內控環(huán)境、風險評估和內控活動相關的信息應及時被獲取、加工整理，并在企業(yè)內部傳遞，這就是信息與溝通，信息與溝通系統(tǒng)圍繞在內控活動周圍，反映企業(yè)各項管理活動的運轉情況。 每個 企業(yè) 都有自己的 發(fā)展目標，為了目標的實現(xiàn)，必須 分析影響因素，即進行風險評估。 ? 監(jiān)督 —— 是對內部控制系統(tǒng)有效性進行評估的過程，可以通過持續(xù) 性監(jiān)督、獨立評估或兩者的結合來實現(xiàn)對內控系統(tǒng)的監(jiān)督。信息不僅包括內部產(chǎn)生的信息，還包括與企業(yè)經(jīng)營決策和對外報告相關的外部信息。它們包括諸如批準、授權、查證、核對、復核經(jīng)營業(yè)績、資產(chǎn)保護和職責分工等活動。因此必須設立一個機制來識別、分析和管理影響目標實現(xiàn)的相關風險