【正文】 SO 委員會提出對外報告的修改篇，擴大了內部控制涵蓋范圍，增加了與保障資產安全有關的控制，得到了美國審計署(General Accounting Office，GAO)的認可。AICPA則全面接受COSO報告的內容，于1995年據(jù)以發(fā)布了《審計準則公告第78號》(SAS )，并自1997年1月起取代了《審汁準則公告第55號》。它認為內部控制整體架構主要由控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督五項要素構成。其貫穿于經營活動的全部過程，包括控制環(huán)境、風險評估、控制活動、信息與溝通，監(jiān)督等要素，并受企業(yè)董事會、管理階層及其他人員影晌。只是作為一種經濟組織，企業(yè)這種典型形式比較具有代表性，因而，本文主要以企業(yè)對象研究內部控制，但其原埋及評價的方法同樣也適用于其他各類經濟組織和行政事業(yè)單位之中。這些要素及其構成方式，決定著內部控制的內容與形式。我們認為，COSO報告提出的內容控制五項要素，具有較強的理論可取性和實踐可行性，本文將以此為基礎，簡要闡述內部控制的要素及其結構?？刂骗h(huán)境的因素具體包括:　　(1)誠信的原則和道德價值觀。不要盲目追求不切實際的目標，以致形成不必要的壓力。發(fā)揮董事會的職能，使其客觀監(jiān)督企業(yè)的高層管理階層。制作文字化的行為準則和政策聲明，將其傳達給全體雇員?！　?2)評定員工的能力。　　(3)董事會和審計委員會。相對于管理層的獨立性。其成員參與管理的程度。對管理層提出問題的深度和廣度。　　(4)管理哲學和經營風格。依靠文件化的政策、業(yè)績指標以及報告體系等與關鍵經理人員溝通。對信息處理以及會計功能、人員所持的態(tài)度?！　?5)組織結構。具體應考慮：組織結構的合適性，及其提供管理企業(yè)所需信息的溝通能力。按照主管人員所擔負的責任，判斷其是否具備足夠的知識及豐富的經驗。員工，尤其是負責管理及監(jiān)督職能的員工人數(shù)的充足程度。強調對于組織內的全部活動要合理有效地分配職責和權限，并為執(zhí)行任務和承擔職責的組織成員特別是關鍵崗位的人員，提供和配備所需的資源并確保他們的經驗和知識與職責權限相匹配，要使所有員工知道:他們的工作行為，以及職責擔負形式和認可方式，與達成組織目標的聯(lián)系。內部控制是由人來進行并受人的因素影響，保證組織所有成員具有一定水準的誠信、道德觀和能力的人力資源方針與實踐，是內部控制有效的關鍵因素之一。對新員工進行企業(yè)文化和道德價值觀的導向培訓。對業(yè)績良好的員工，制訂具有獎勵和激勵作用的報酬計劃，并避免誘發(fā)不道德行為?！　?二)風險評估　　每個企業(yè)都面臨來自內部和外部的不同風險，這些風險都必須加以評估。風險評估就是分析和辨認實現(xiàn)所定目標可能發(fā)生的風險。企業(yè)的整體目標，通常是由企業(yè)的理念及其所追求的價值所決定的，而與之相配合的是企業(yè)下一級各部門的具休目標。財務報告目標，防止對外報送不真實的財務報告?！　?2)風險。企業(yè)的風險一般是由外部因素和內部因素所產生的。顧客的需求或預期改變。新的法律和行政命令。經濟環(huán)境改變等。聘用員工的品質、培訓方法及激勵制度。企業(yè)活動的性質以及員工可接近資產的程度?！　?3)環(huán)境變化后的管理。因此，風險評估中最基本的部分，就是如何辨認已發(fā)生的改變，并采取必要的行動。新員工。新科技。公司重組?！　?三)控制活動　　企業(yè)管理階層辯識風險，繼之應針對這種風險發(fā)出必要的指令。 控制活動在企業(yè)內的各個階層和職能之間都會出現(xiàn)，這主要包括:　　(1)高層經理人員對企業(yè)績效進行分析。　　(2)直接部門管理。　　(3)對信息處理的控制。第二類是應用控制 (application control)，它包括應用軟件中的電算化步驟及相關的人工程序。對系統(tǒng)軟件的控制。對應用系統(tǒng)的發(fā)展及維護的控制。輸出控制)。保護設備、存貨、證券、現(xiàn)金和其它資產的實體安全，定期盤點并與控制記錄所顯示的金額相比較。把不同的幾套數(shù)據(jù)資料(如:經營數(shù)據(jù)與財務數(shù)據(jù))相互比較，分析它們之間的關系，然后再進行調查與糾正。管理階層需要調查超出計劃的結果或者不正常的趨勢，辨認采購作業(yè)的目標無法達成的原因。分工即指將責任劃分，再將不相容職務分派給不同的員工，以降低錯誤或不當行為的風險。信息系統(tǒng)不僅處理企業(yè)內部所產生的信息，同時也處理與外部的事項、活動及環(huán)境等有關的信息?！　?1)信息系統(tǒng)。內部信息資料包括采購資料、銷售交易資料、內部營業(yè)活動資料和內部生產過程資料。企業(yè)建立良好的信息系統(tǒng)，必須做到；建立良好的信息系統(tǒng)支持策略，信息系統(tǒng)與企業(yè)營運應有效的結合。有很好的信息品質。企業(yè)的信息系統(tǒng)提供有效信息給適當?shù)娜藛T，通過溝通，使員工能夠知悉其營業(yè)、財務報告及遵循法律的責任。內部溝通需要做到:所有的員工，特別是那些負有重要營業(yè)責任或財務管理責任的員工，除了得到用 以管理其負責活動的重要資料以外，還應當?shù)玫絹碜宰罡吖芾韺?需謹慎承擔內部控制責任的清楚信息。員工在其執(zhí)行任務時，一旦有非預期的事項發(fā)生，除了要注意該事項本身之外，還應當注意導致該事項發(fā)生的原因，如此才有辦法辨認潛在缺失，采取行動，并預防再度發(fā)生。員工必須擁有在組織中向上溝通重要信息的方法。與相關的外部團體溝通，以便獲悉關于本企業(yè)內部控制功能的重要信息。政府主要機關 (如:銀行或保險機關)所報道的復核或檢查的結果，可以有效的彌補控制的缺失。監(jiān)督是由適當?shù)娜藛T，在適當及時的基礎下，評估控制的設計和運作情況的過程?！　?1)持續(xù)的監(jiān)督活動。持續(xù)監(jiān)督活動包括:負責營運的管埋階層 (operating managerment)在履行其日常的管理活動時，取得內部控制系統(tǒng)持續(xù)發(fā)揮功能的資料，當營運報告、財務報告與他們所得到的資料有大偏離時，可對報告提出質疑。適當?shù)慕M織機構及監(jiān)督活動，可用來辨識缺失。把信息系統(tǒng)所記錄的資料同實際資產核對。定期要求員工陳述他們是否了解企業(yè)的行為準則，并加以遵守，對于負責業(yè)務和財務的員工，則要求他們陳述某些特定控制是否都予執(zhí)行，管理階層或內部稽核人員還必須驗證這些陳述是否確實。盡管持續(xù)監(jiān)督程序可以有效的評價內部控制體系，但企業(yè)有時需要組織例外評估以直接監(jiān)視控制系統(tǒng)的有效性，這種做法可評估持續(xù)性監(jiān)督程序。(3)報告缺陷?！　∪?、內部控制的組合　　上述內部控制要素，按照不同的標志可以組合成不同的集合，也即按照不同分類標準可以劃分為不同的類別形態(tài)，籍此可以揭示不同形式內部控制的特征和功能。　　(一) 按照控制內容為標志，可劃分為一般控制和應用控制　　　　一般控制，是指對企業(yè)經營活動賴以進行的內部環(huán)境所實施的總體控制，因而亦稱基礎控制或環(huán)境控制。這類控制的特征，是并不直接地作用于企業(yè)的生產經營活動，而是通過應用控制對全部業(yè)務活動產生影響。這類控制的特征，在于它們構成了生產經營業(yè)務處理程序的一部分，并都具有防止和糾正一種或幾種錯弊的作用。如憑證連續(xù)編號可以保證所有業(yè)務活動都得到記錄和反映，因此，憑證連續(xù)號對于保證業(yè)務記錄的完整性就是主導性控制?！　　　⊙a償性控制，就是指能夠全部或部分彌補主導性控制缺陷的控制。這時，實施憑證、賬證、賬賬之間的嚴格核對，就可以基本上保證業(yè)務記錄的完整性，避免遺漏重大的業(yè)務事項。　　(三)按照控制功能為標志，可劃分為預防式控制和偵察式控制 　　　　預防式控制，是指為防止錯誤和非法行為的發(fā)生，或盡量減少其發(fā)生機會所進行的一種控制。例如對業(yè)務人員事先作出明確的指示和實施嚴格的現(xiàn)場監(jiān)督，就能避免誤解指令和發(fā)生錯弊。它主要是解決如果錯弊仍然發(fā)生，如何查明的問題。　　(四)按照控制時序為標志，可劃分為原因控制、過程控制和結果控制　　　　原因控制，也稱事先控制，是指企業(yè)單位為防止人力、物力、財力等資源在質和量上發(fā)生偏差，而在行為發(fā)生之前所實施的內部控制?！　　　∵^程控制，也稱事中控制，是指企業(yè)單位在生產經營活動過程中針對正在發(fā)生的行為所進行的控制。　　　　結果控制，也稱事后控制，是指企業(yè)單位針對生產經營活動的 最終結果而采取的各項控制措施，例如對產出產品的質量進行檢驗， 對產品數(shù)量加以驗收和記錄等。需要說明的是，各種類型的內部控制，在實際工作中多是交叉存在的。　　四、內部控制的局限　　內部控制作為企業(yè)自我調節(jié)和自行制約的內在機制，處于單位中樞神經系統(tǒng)的重要位置，可以說沒有健全完善的內部控制，就很難組織起現(xiàn)代化的社會大生產活動，也就談不上現(xiàn)代化的企業(yè)生產和經營管理。但任何事物都不是盡善盡美的，內部控制也同樣存在其固有的、不可避免的局限性。內部控制作為企業(yè)管理的一個組成部分，它理所當然地要按照其管理人員的意圖運行，尤其是企業(yè)負責人的決策更是起決定作用?！　?，與此相關的內部控制就會失去作用。在實際工作中，如果處于不相容職務上的有關人員相互串通、相互勾結，失去了不同職務相互制約的基本前提，內部控制也就很難發(fā)揮作用。內部控制是由人建立的，也要由人來行使的，如果企業(yè)內部行使控制職能的人員在心理上、技能上和行為芳式上未能達到實施內部控制的基本要求，對內部控制的程序或措施經常誤解、誤判，那么再好的內部控制也很難充分發(fā)揮作用?？刂骗h(huán)節(jié)越多、控制措施越復雜，相應的控制成本也就越高，同時也會影響企業(yè)生產經營活動的效率。當實施某項業(yè)務的控制成本大于控制效果而產生損失時，就沒有必要設置控制環(huán)節(jié)或控制措施，這樣某些小錯弊的發(fā)生就可能得不到控制。第二講 國外內部控制范例　　在管理和審計實踐中，公司企業(yè)、政府機構和會計師事務所根據(jù)各自理解，制定了各種形式的內部控制系統(tǒng)?！　∫?、洛杉磯會計局內部控制驗證方案　　本內部控制驗證方案，由洛杉磯縣（County of Los Angeles）會計局制訂，作為政府各部門評價和改善本單位內部控制的參考。（2）信用基金；（3）收入；（4）支出；（5）工資；（6）差旅費；（7）物資供應。(9)計算機系統(tǒng)?！　《?、美國Washoe縣內部控制手冊　　美國Washoe縣內部控制程序手冊，作為參考工具提供給本地的各政府部門，以供其建立和執(zhí)行有效的內部控制。(2)采購和現(xiàn)金支出。(4)預算。(6)存貨。　　收集并交存收入業(yè)務控制手冊　　■財務人員收到支票后必須馬上進行背書?！　　黾皶r匯集各部門的現(xiàn)金收入?！　　龆ㄆ趯⑺械默F(xiàn)金收入存入銀行。最好是在下一個工作日之前及時存入所收現(xiàn)金，除非收入的現(xiàn)金極少，可不存入銀行。如果收入必須過夜，必須保存在安全設施中。　　■當前的價目表應該按照要求通知顧客，或在每個部門公開張貼?！　　龉膭铑櫩退魅∷袠I(yè)務票據(jù)?！　　鍪杖‖F(xiàn)金或預備存款的雇員，必須同記錄或核準本業(yè)務的人員責任分離?！　　鲐撠熣碛矌诺穆殕T，應該在每份包裝物上簽注數(shù)額?！　　鋈ャy行交存現(xiàn)金的人員在途中應受到適當保護?！　】刂圃颍捍丝杀ＷC存款人和存款的安全性。　　控制原因：用公司內、外職員同時監(jiān)視保險箱，可以防止違規(guī)接觸保險箱中的物品?！　】刂圃颍喝绻院筱y行記錄與公司記錄不符，該控制可以提出足夠的證據(jù)與銀行對證?！　】刂圃颍捍丝煞乐构蛦T通過個人支票提取現(xiàn)金，并掩蓋差異舞弊，也可以減少收取無效支票的風險?！　　霾荒苁杖∑泵鏀?shù)額大于應收數(shù)額的支票?！　　鏊械恼劭邸⒔祪r、退款及費用調整等行為必須經過被授權人的批準。 　　■保存所有的銀行存款單和相應附件的備份，并提交給公司的資金主管?！　　?對各項財務工作崗位，都應該明確責任和權限?！　　龆ㄆ谳喠骰Q財務部門每個員工的工作?！　∪?、巴塞爾銀行監(jiān)管委員會內部控制系統(tǒng)評價框架　　巴塞爾銀行監(jiān)管委員會(BCBS)4根據(jù)COSO報舌，按照控制要素擬訂了本框架體系，以供銀行業(yè)務監(jiān)管者及其他對此感興趣的團體設計和評價內部控制系統(tǒng)時的使用。下面列示控制活動要素的相關內容。這應當包括:最高管理層的審核。實體控制。審批與授權系統(tǒng)。高級管理層必須定期地確保銀行所有的領域都與已確立的政策及程序相一致?？刂苹顒影巳齻€步驟:(1)控制政策的建立。(3)確認控制政策被遵從?？刂苹顒影? 　　■高層審查:董事會和高級管理層經常要求下級上報業(yè)績報告，以便能夠了解銀行在實現(xiàn)目標上的進展。高級管理層發(fā)現(xiàn)的問題將作為這次檢查的結果，和由低層管理人員準備的相應解決措施共同代表一個控制行為，它可能發(fā)現(xiàn)諸如控制薄弱，財務錯報和欺詐行為之類的間題。例如，一位負責商業(yè)借貸的經理可能每周審查關于失職、已收款項和所有利息收入的情況，而高級借貸經理可能每月才審查一次類似的報告，并且以更概括的形式來考慮所有的借貸業(yè)務。　　■實體控制:實體控制主要著眼于限制對實物資產的接觸，包括證券及其他金融資產?！　　鲎袷貙ε兜南拗?建立一個謹慎的、可承擔風險披露限制的體系是風險管理的一個重要萬面。通常地，內部控制一個很重要的方面是定期地對是否遵從了這種限制進行審查?！　　龃_認與對賬:確認各項業(yè)務的細節(jié)、行為以及銀行風險管理模型的輸出，是重要的控制行為。通常的，這