【正文】 活動可分為兩大類?？刂苹顒討?yīng)和風險評估相結(jié)合管理層在進行風險評估的同時，應(yīng)該針對該特定風險找出并實施有效的措施，這些針對某項特定風險的具體措施也就是建立控制活動的要素，它有助于保證控制活動得以及時、有效地實施?？刂苹顒拥囊亍?政策和程序控制活動一般包含兩個要素，即：第一個要素，政策—它描述應(yīng)該做什么，第二個要素，程序—它描述應(yīng)該怎樣做；政策是程序的基礎(chǔ)，同時，程序又影響政策的執(zhí)行。l 職責分離——職責在不同人員之間的分工或分離，可以降低發(fā)生錯誤或不當行為的可能性。l 資產(chǎn)保護即實物控制——對設(shè)備、存貨、證券、現(xiàn)金及其他資產(chǎn)實物采取保管措施，并定期進行盤點和帳實核對。l 信息處理——這類控制被用于核對交易的準確性、完整性和遵循性。l 高層復(fù)核——管理層將實際業(yè)績情況和預(yù)算相比較，將當期業(yè)績和前期相比較，將本企業(yè)的業(yè)績情況與競爭對手相比較，對企業(yè)主要行為進行追蹤，以衡量目標實現(xiàn)的程度。它們包括一系列不同的活動，如審批、授權(quán)、確認、核對、審核經(jīng)營業(yè)績、資產(chǎn)保護以及職責分工等。（三） 內(nèi)控活動內(nèi)控活動是指為確保管理層指示得以執(zhí)行的政策和程序。例如，內(nèi)控環(huán)境可能受到當?shù)毓芾韺游幕惋L俗的影響。很多公司重組后大量削減人員，就碰到了嚴重的控制缺陷。l 公司重組——公司因為收購、合并或者業(yè)務(wù)下滑、成本控制等原因進行結(jié)構(gòu)重組。l 新技術(shù)——新技術(shù)被運用到生產(chǎn)流程或信息系統(tǒng)中，內(nèi)部控制就很可能需要修改。l 新的或經(jīng)修訂的信息系統(tǒng)——能否正常運行。風險評估的本質(zhì)就是一個識別變化的環(huán)境并采取相應(yīng)行動的過程，風險評估應(yīng)持續(xù)地進行, 并且應(yīng)特別關(guān)注下面的情形：l 變化的經(jīng)營環(huán)境——變化的法律或經(jīng)濟環(huán)境可能導(dǎo)致競爭壓力的增加和顯著不同的風險。3）應(yīng)對變化經(jīng)濟形勢、行業(yè)和法規(guī)環(huán)境不斷改變，企業(yè)業(yè)務(wù)活動不斷發(fā)展。管理層還應(yīng)認識到，總會存在一些殘留風險的可能性，不僅因為資源總是有限的，還因為每個內(nèi)控系統(tǒng)都有內(nèi)在局限性。2）風險分析識別風險后，需要進行風險分析，分析的內(nèi)容主要有：l 估計風險的重要性程度；l 評估風險發(fā)生的可能性（或頻率、概率）；l 考慮如何管理風險——即評估需要采取何種措施針對風險分析的結(jié)果而采取的控制活動，管理層應(yīng)仔細考慮現(xiàn)有內(nèi)控程序?qū)τ谝炎R別的風險是否合適。l 企業(yè)經(jīng)營活動的性質(zhì)、員工對資產(chǎn)的接觸途徑——產(chǎn)生挪用。l 雇員的素質(zhì)和培訓(xùn)、激勵的方法——影響控制理念。l 經(jīng)濟形勢的變化等——影響融資、資本支出和擴張決策。l 新的法律和法規(guī)——影響經(jīng)營政策和策略（例如：薩班斯法案）。（例如：出現(xiàn)新的、更高效的油氣開采技術(shù)，未掌握相關(guān)技術(shù)的公司會導(dǎo)致市場競爭力降低，進而影響經(jīng)營目標的實現(xiàn)）l 不斷變化的客戶需求和期望——影響產(chǎn)品開發(fā)、定價。風險識別也是一個重復(fù)的過程，需要針對環(huán)境的變化持續(xù)進行。實現(xiàn)目標需要耗費資源，因此設(shè)立目標必須考慮可獲得的資源，企業(yè)應(yīng)該對目標進行分析，提醒自己找出與總目標不相關(guān)的操作目標，以免資源浪費，而對實現(xiàn)總目標至關(guān)重要的操作目標，則優(yōu)先安排資源。業(yè)務(wù)活動層面的目標是總目標的子目標，是針對企業(yè)業(yè)務(wù)活動的更加專門化的目標。風險評估的前提條件是設(shè)立目標，只有先確立了目標，管理層才能針對目標確定風險并采取必要的行動來管理風險。風險有來自企業(yè)內(nèi)部的，也有來自企業(yè)外部。因此，人力資源政策和措施應(yīng)考慮如何招聘進來有能力、可信任的人員，如何進行相關(guān)培訓(xùn)使員工意識到他們的工作職責和公司對他們的要求，如何通過考核、薪酬、提升等政策激勵約束員工。權(quán)力與責任分配的關(guān)鍵是權(quán)力與責任的對等。組織結(jié)構(gòu)組織結(jié)構(gòu)是權(quán)責分工的架構(gòu)，在此架構(gòu)中規(guī)劃、執(zhí)行、控制和監(jiān)督為實現(xiàn)企業(yè)目標而進行的活動，每個企業(yè)都可根據(jù)自己的需要確定組織結(jié)構(gòu)，可以是集權(quán)型，也可以是分權(quán)型，可以是直接的報告關(guān)系，也可以是矩陣型組織結(jié)構(gòu)，可以按產(chǎn)品或行業(yè)組織，也可以按地理分布或功能組織，但不論何種組織結(jié)構(gòu)，應(yīng)根據(jù)公司的業(yè)務(wù)性質(zhì)，進行適當?shù)募谢蚍稚?，確保信息的上傳、下達和在各業(yè)務(wù)間的流動，確保企業(yè)目標的實現(xiàn)。以銷售信貸政策為例，對風險承受力高的公司相比承受力低的公司，其設(shè)定的信用銷售額度更高，以期望通過更優(yōu)惠的政策吸引和保留客戶，而獲得更高的銷售額。例如，有些公司管理層的經(jīng)營理念和風格較為激進，愿意承擔更高的風險以追求更高的盈利回報；而有些公司的管理層則比較保守，在風險承擔方面表現(xiàn)得較為謹慎。它往往是企業(yè)內(nèi)部一種無形的力量，影響企業(yè)成員的思維方法和行為方式，包括企業(yè)承受營業(yè)風險的種類、整個企業(yè)的管理方式、企業(yè)管理階層對法規(guī)的反應(yīng)、對企業(yè)財務(wù)的重視程度以及對人力資源的政策及看法等。管理層的經(jīng)營理念和經(jīng)營風格管理層的經(jīng)營理念和經(jīng)營風格影響企業(yè)的管理方式，包括面對各種風險的態(tài)度。董事會和審計委員會董事會或?qū)徲嬑瘑T會的職能是實施治理、指導(dǎo)和監(jiān)督管理層的工作，如果對管理層缺乏必要的監(jiān)督，管理層可能會凌駕于控制之上，甚至故意歪曲結(jié)果，因此董事會或?qū)徲嬑瘑T會監(jiān)督作用對確保內(nèi)部控制的有效性十分重要，董事會或?qū)徲嬑瘑T會作用的發(fā)揮，必須具備以下條件：一是要獨立于管理層，不受其影響；二是具有足夠知識、行業(yè)經(jīng)驗和時間，以便于履行職責；三能夠與財務(wù)、法律、內(nèi)部審計和外部審計及時溝通，得到適當信息；四是能夠控制高級管理人員的薪酬，有權(quán)聘用和解聘高級管理人員。為此，管理層需要設(shè)定工作崗位的知識和技能水平要求，在招聘、選用員工時作為評選的標準或條件。l 管理層對不正確行為的懲罰力度不夠或不公開，從而失去了應(yīng)有的威懾力。l 內(nèi)部審計職能薄弱，沒有及時發(fā)現(xiàn)和報告不正確的行為。員工個人可能由于下列因素而卷入不誠實、非法或不道德的行為：l 不切實際的業(yè)績目標，特別是短期業(yè)績的壓力（例如：為了實現(xiàn)預(yù)先設(shè)定的利潤指標而在財務(wù)報告中虛報收入）l 將獎金分配與業(yè)績掛鉤（例如：錯報與業(yè)績考核指標相關(guān)的財務(wù)信息）l 內(nèi)控制度不存在或無效（例如：敏感業(yè)務(wù)區(qū)域未設(shè)立嚴格的職責分工，這為偷竊公司資產(chǎn)或隱藏不良行為提供了可能）。在公司內(nèi)傳遞道德標準的最有效方式是管理層以身作則，員工對于內(nèi)控的態(tài)度通常會效仿他們的領(lǐng)導(dǎo)。要求證實會計記錄和報表受控，能夠保證準確性，包括提供給審計和定期向證監(jiān)會報告的義務(wù)。管理層必須建立和保持適當?shù)膬?nèi)控，遵循公司已有的會計準則和流程，保證交易記錄的完整和準確。 公司資產(chǎn)必須用于公司業(yè)務(wù)，符合公司政策。8） 公司資產(chǎn)的保護及恰當使用 每一個員工必須保護公司資產(chǎn)，包括實物資源、資產(chǎn)、所有權(quán)、機密信息，排除損失、失竊或誤用。但未得到道德委員會事先批準的情況下，贈送禮物或款待政府雇員是不允許的。為了獲得或維持業(yè)務(wù)而進行賄賂、回扣或其他誘惑等都是不允許的。員工即使在終止雇傭之后，仍然有義務(wù)保護公司的機密信息。公司建立相應(yīng)政策保護機密信息，包括（a）屬于公司商業(yè)性機密信息（b）屬于非披露協(xié)議下信息。5） 公司機遇 禁止員工通過利用公司財產(chǎn)、信息或職位為自己或其他人牟取商業(yè)機遇。4） 遵守道德準則的責任 明確員工必須遵守道德準則。發(fā)現(xiàn)任何高級管理人員違反法律、規(guī)章制度或行為準則，應(yīng)迅速向道德規(guī)范委員會等相關(guān)機構(gòu)報告。2） 合法性 公司要承諾在進行業(yè)務(wù)時是抱著誠實和誠信原則，并遵循所有適用的法律和規(guī)章制度。員工的誠信和道德價值觀是指員工行為的準則，是告訴員工什么行為可接受、什么行為不可接受、以及遇到不正當行為應(yīng)該采取的行動。人的道德價值觀影響著人的行為。下面討論各項因素的具體內(nèi)容。三、COSO內(nèi)部控制框架五要素（一）內(nèi)控環(huán)境內(nèi)控環(huán)境是其他控制要素的基礎(chǔ)。COSO內(nèi)部控制框架適用于各類企業(yè)，但是中小企業(yè)對其應(yīng)用可能不同于大型企業(yè)，中小企業(yè)的內(nèi)部控制可能不及大型企業(yè)正式、組織性強，但也可以是有效的。內(nèi)部控制五要素之間的配合和聯(lián)系，組成了一個完整的系統(tǒng)，可以靈活地隨條件變化而變化。同時與內(nèi)控環(huán)境、風險評估和內(nèi)控活動相關(guān)的信息應(yīng)及時被獲取、加工整理，并在企業(yè)內(nèi)部傳遞，這就是信息與溝通，信息與溝通系統(tǒng)圍繞在內(nèi)控活動周圍，反映企業(yè)各項管理活動的運轉(zhuǎn)情況。每個企業(yè)都有自己的發(fā)展目標，為了目標的實現(xiàn)，必須分析影響因素，即進行風險評估。l 監(jiān)督——是對內(nèi)部控制系統(tǒng)有效性進行評估的過程，可以通過持續(xù) 性監(jiān)督、獨立評估或兩者的結(jié)合來實現(xiàn)對內(nèi)控系統(tǒng)的監(jiān)督。信息不僅包括內(nèi)部產(chǎn)生的信息，還包括與企業(yè)經(jīng)營決策和對外報告相關(guān)的外部信息。它們包括諸如批準、授權(quán)、查證、核對、復(fù)核經(jīng)營業(yè)績、資產(chǎn)保護和職責分工等活動。因此必須設(shè)立一個機制來識別、分析和管理影響目標實現(xiàn)的相