内部控制知识讲解

1、第八章 内部部控制第一节 内部控控制的定兑和和发展一、内部控制的的定义内部控制是指为为确保实现企企业目标而实实施的程序和和政策。内部部控制还应确确保识别可能能阻碍实现这这些目标的风风险因素并采采取预防措施施。内部控制制和风险管理理是出色的公公司治理极为为重要的组成成部分。出色色的公司治理理意味着董事事会必须对企企业的所有风风险加以识别别和管理，就就风险管理而而言，内部控控制系统涉及及企业财务、运运营、遵守法法律法规及其其他方面。内部控制系统包包括两个因素素，分别是控控制环境和控控制政策与程程序。控制环环境是指企业业内对于内部部控制的态度度及内部控制制意识，代表表整个企业对对于内部控制制的价值观

2、。控控制政策及程程序是指嵌入入企业运营中中的具体的内内部控制。控控制政策及程程序的设计目目的在于，尽尽可能确保业业务行为是有有序且有效的的。控制政策策及程序必须须能够根据企企业面临的内内外部风险而而改变，并且且应以企业面面临的主要风风险为重点，并并对这些风险险作出反应。内部控制的思想想和框架总体体上就是对企企业内资掘进进行管理的体体系，然而基基于不同的角角度和层次，对对内部控制的的定义有着不不同的认识和和分析。 (一 ) COOSO委员会会对内部控制制的定义成立于 19885年的 CCOSO (Commiittee of Spponsorring OOrganiizatioon)委员会会为全国

3、舞弊弊报告委员会会提供支持。该该组织包括美美国会计协会会 (Amee出an AAccountting . Assoociatiion)和美美国注册会计计师协会 (Ame由aan Insstitutte of Ce时iffied PPublicc Accoountannts)。现现在，COSSO委员会负负责制订有关关大型和小型型企业实施内内部控制系统统的指南。 1992年9月月COSO委委员会提出了了内部控制制一一整合框框架) 00 19944年又进行了了增补，简称称内部控制制框架.即即 COSOO内部控制框框架。 COOSO委员会会对内部控制制的定义是公司的董事事会、管理层层及其他人士士为实现

4、以下下目标提供合合理保证而实实施的程序:运营的效益益和效率，财财务报告的可可靠性和遵 守适用的法法律法规。以下章节将将对内部控制制框架的内容容作更详尽的的分析。 COSO委员会会指出，从风风险管理的角角度来看，内内部控制是必必要的。但是是，在实施内内部控制时，有有几点需要注注意。首先，即即使实施了优优良的内部控控制系统，也也不一定能使使一个鳖脚的的管理者变得得出色。其次次，由于所有有的内部控制制系统仍然面面临发生错误误或出现差错错的危险，因因而内部控制制系统只能就就企业目标的的实现提供合合理保证。即即使一个企业业实施了内部部控制，也可可能由于故意意串通破坏、管管理层逾越监监控而失效。再再次，大

5、型或或小型企业在在建立内部控控制系统时，均均可能存在资资惊受限的问问题。(二)美国上市市公司会计监监管委员会对对内部控制的的定义美国上市公司会会计监管委员员会( PCCAOB)发发布的审计计准则第 55号规定，注注册会计师对对企业财务报报告进行审计计必须关注财财务报告内部部控制，同时时管理层应该该对企业内部部控制作出评评估。所谓财财务报告内部部控制，是指指在企业主要要的高级管理理人员、主要要财务负责人人或行使类似似职能的人员员的监督下设设计的一套流流程，并由公公司的董事会会、管理层和和其他人批准准生效.该流流程可以为财财务报告的可可靠性及根据据公认会计原原则编制的对对外财务报表表提供合理保保证

6、，它包括括如下政策和和程序(1)保管以合理理的详尽程度度、准确和公公允地反映企企业的交易和和资产处置的的有关记录 (2)为按按照公认会计计原则编制财财务报表记录录交易，以及及企业的收入入和支出仅是是按照管理和和公司董事会会的授权执行行，提供合理理的保证; (3)为预预防或及时发发现对财务报报表有重大影影响的未经授授权的企业资资产的购置、使使用或处理，提提供合理保证证。(三)特恩布尔尔委员会对内内部控制的定定义1992年，英英国综合守守则(Coombineed Codde)颁布之之后，设立了了特恩布尔委委员会(Tuurnbulll commmitteee)。该委委员会的职能能是为上市公公司执行综

7、综合守则规规定的内部控控制原则提供供指南。特恩恩布尔报告的的总体要求是是，董事应实实行一套完善善的内部控制制系统，并定定期对该系统统实行复核。该报告还谈到了了建立一个完完善的内部控控制系统的必必要性。内部部控制的主要要组成部分包包括为企业的的有效运营提提供辅助条件件，使企业有有能力对阻碍碍目标实现的的重大风险做做出反应。风风险可能来自自业务经营、合合规、运营或或财务方面。此此外，内部控控制还能确保保对内和对外外报告的质量量，确保法规规及内部有关关业务开展的的政策得以遵遵守。特恩布尔报告哈哈还包括对内内部控制系统统的检查。该该报告指出，对对内部控制系系统的检查时时管理层的常常规责任。不不过检查可

8、委委派给审计委委员会，并且且董事会必须须提供有关内内部控制系统统的信息，并并进行复核。复复核应为至少少每年一次。 为了通过维持持完善的内部部控制系统来来确保使企业业面临的风险险降至最低。特特恩布尔委员员会还建议应应持续对内部部控制情况进进行监察，并并建议作出关关于财务及合合规和运营控控制的报告。此此外，管理层层应向董事会会保证内部控控制已得到监监察，确认这这些控制提供供了“对重大风险险及内部控制制系统对于管管理这些风险险的有效性”的平衡性评评价。而且，由由于董事会应应对内部控制制系统负责，因因此董事会可可能需要对该该系统进行复复核。(四)中国企企业内部控制制基本规范对对内部控制的的定义财政部、

9、证监会会、审计署、银银监会和保监监会于 20008年 66月联合发布布的企业内内部控制基本本规范中指指出，内部控控制是由企业业董事会、证证监会、经理理层和全体员员工实施的、旨旨在实现控制制目标的过程程。内部控制制的目标是合合理保证企业业经营管理合合法合规、资资产安全、财财务报告及相相关信息真实实完整，提高高经营效率和和结果，促进进企业实现发发展战略。二、内部控制的的演变与发展展(一)内部控制制在 20世世纪 80年年代的控制理理论自 20世纪 80年代以以来，内部控控制的理论研研究有了新的的发展，人们们对内部控制制的研究重点点逐步从一般般含义转向具具体内容。其其标志是美国国注册会计师师协会于

10、11998年 5月发布的的企业准则则公告第 555号 (5A5555)。在这份份公告中内部部控制结构的概念取代代了内部控控制制度。公公告指出企业业内部控制结结构包括为提提供取得企业业特定目标的的合理保证而而建立的各种种政策和程序序。公告认认为内部控制制结构由下列列三个要素组组成:(1)控制环境境。这是指对对建立、加强强或削弱特定定政策与程序序的效率有重重大影响的各各种因素，包包括管理者的的思想和经营营作风;组织织结构;董事事会及所属委委员会，特别别是审计委员员会发挥的职职能:确定职职权和责任的的方法;管理理者控制和检检查工作时所所使用的控制制方法，包括括经营计划、预预算、预测、利利润计划、责责

11、任会计和内内部审计;人人事工作方针针及其执行等等;影响企业业业务的各种种外部关系，如如由银行指定定代理人的检检查等。 (2)会计制度度。这是指为为认定、分析析、归类、记记录、编报各各项经济业务务，明确资产产与负债的经经管责任而规规定的各种方方法，包括认认定和登记一一切合法的经经济业务;对对各项经济业业务按时和适适当的分类，作作为编制财务务报表的依据据;将各项经经济业务按照照适当的货币币价值计价，以以便列入财务务报表;确定定经济业务发发生的日期，以以便按照会计计期间进行记记录;在财务务报表中恰当当地表述经济济业务及对有有关的内容进进行揭示。 (3)控制程序序。这是指企企业为保证目目标的实现而而建

12、立的政策策和程序，如如经济业务和和经济活动的的适当授权;明确各个人人员的职责分分工，如指派派不同的人员员分别承担业业务批准、业业务记录和财财产保管的职职责，以防止止有关人员对对正常经济业业务图谋不轨轨和隐匿各种种错弊;账簿簿和凭证的设设置、记录与与使用，以保保证经济业务务活动得到正正确的记载，如如出厂凭证应应事先编号，以以便控制发货货业务;资产产及记录的限限制接触，如如接触电脑程程序和档案资资料要经过批批准;已经登登记的业务及及记录与复核核，如常规的的账面复核，存存款、借款调调节表的编制制，账面的核核对，电脑编编程控制，以以及管理者对对明细报告的的检查。(二)内部控制制在成熟阶段段的研究结果果

13、如前文所述， C050委委员会于 11992年 9月发布了了指导内部控控制实践的纲纲 领性文件件内部控制制一一整合框框架，并于于 19944年进行了增增补，即 CCOSO内部部控制框架。这这份文件堪称称内部控制发发展史上的里里程碑。 COSO对内部部控制的定义义包含大量关关键概念，它它们能举例说说明企业内的的内部控制系系统有普遍影影响力，而且且控制是一个个程序，而非非结构。内部部控制是公司司董事会和各各级管理层计计划、实施和和监察的不间间断的一系列列活动。内部控制的目标标不仅是为了了保证财务报报告的可靠性性与合规性，而而且有助于提提高企业运营营的效益和效效率。因此，内内部控制也与与业绩目标(比

14、如获利能能力)的实现现有关。但是是内部控制只只为企业目标标的实现提供供合理保证，而而非绝对保证证。内部控制系统包包括企业的政政策、程序、任任务、行为，使使企业能够对对与实现企业业目标有关的的重大业务、经经营、财务、法法规及其他风风险作出适当当反应，促进进企业的运营营效益和效率率。这包括保保护资产，避避免被不当使使用或流失和和欺诈，并确确保负债得到到有效管理。完善的内部控制制系统还有助助于确保对内内及对外报告告的质量。这这要求维持适适当的记录和和程序，以提提供有关企业业内外部的及及时、相关且且可靠的信息息。而且，完完善的内部控控制系统还有有助于确保企企业遵守适用用的法律法规规，或遵守商商业行为的

15、内内部政策。内部控制可分成成五个相互关关联的组成部部分，在配合合实现独立而而又有重叠的的经营、财务务报告和法规规遵守的目标标时，这五个个部分也可作作为评价内部部控制系统有有效性的标准准。这五个部部分包括:控控制环境、风风险评估、控控制活动、信信息与沟通以以及监察。不不仅如此， COSO对对内部控制系系统的五大要要素进行了认认定。从董事事会为企业制制定整体管理理哲学以实施施内部控制，到到控制环境的的详情，都属属于这五个要要素的范畴。1(Conttrol eenviroonmentt)。内部审审计师协会 (The Instiitute of Innternaal Audditorss , IIIA

16、)对控制制环境的定义义是董事会与与管理层对待待公司内部控控制的重要性性的态度及采采取的行动。控制环境境是其他内部部控制元素的的根基，并提提供纪律及结结构。控制环环境因素包括括人员的道德德观和胜任能能力、董事会会提供的指示示和管理的效效率。控制环环境被称为企企业的最高高层。控制制环境能说明明企业的道德德观和文化，为为内部控制其其他方面的运运作提供框架架。控制环境境是由管理层层所定的基调调、管理哲学学与管理风格格、授权方式式、组织和培培养员工的方方式以及董事事会对执行内内部控制的决决心决定。 2(Riskk asseessmennt)。风险险评估是指识识别和分析影影响目标实现现的风险(包包括与监管

17、和和运营环境不不断变化有关关的风险)，以以此来确定降降低和管理此此类风险的依依据。企业的的目标与所面面临的风险之之间有一定关关联。为了对对风险进行评评估，必须确确立企业目标标。目标一经经确立，必须须识别和评估估为实现这些些目标而面临临的风险，并并且该评估应应构成决定如如何管理该风风险的基础。企业的管理层应应定时对企业业内部的各类类业务进行风风险评估，而而且需要考虑虑内部及外部部因素。内部部因素包括组组织的复杂性性、组织结构构的变更、员员下流动情况况及员工素质质。外部因素素包括行业及及经济条件的的改变以及技技术变革等。风险评估程序亦亦应区分可控控制风险和不不可控制风险险。对于可控控制风险，管管理

18、层应决定定是否承受该该风险，采取取措施控制或或降低该风险险。 l对于于不可控制的的风险，管理理层应决定是是否承受该风风险，或部分分或完全退出出此项业务，以以规避风险。 3.控制活动( Conttrol aactiviity)。控控制活动有助助于确保管理理层的指令得得以执行，以以及任何可能能需要用来处处理风险以实实现企业目标标的行动得以以实施。控制制活动是指能能确保管理层层的决策与指指示得以执行行的政策和程程序。企业内内部各层面均均存在控制活活动，控制活活动包括组织织控制、职责责划分、调节节和复核、实实物控制、授授权和批准、计计算和会计 j人员控制制、监督及管管理控制。 4.信息与沟通通 (In

19、fformattion aand coommuniicatioon)。信息息与沟通是指指在人员能够够履行责任的的方式及时间间范围内，识识别、取得和和报告经营、财财务及法律遵遵守的相关信信息的有效程程序和系统。企企业必须收集集信息并向适适当人士传达达。管理者制制定恰当的决决策时既需要要内部信息也也需要外部信信息。此外，为为了运作内部部控制，管理理者也是需要要信息的。因因此必须建立立完善的信息息系统，必须须为管理者提提供与所采取取的行动相关关的，及时 L准确、可可以理解的信信息。企业多数会运用用计算机系统统来提高为管管理者提供的的信息质量，但但是如果让计计算机系统为为管理者提供供所需的信息息，则必

20、须将将计算机系统统结合到业务务策略中。信信息系统和信信息管理对于于成功的运转转和业务控制制有着非常重重要的作用。信信息系统和技技术管理的内内容可参考本本书第十二章章。 5.监察( MMonitooring)。监察是指指持续评估内内部控制系统统的充分性及及表现情况的的程序。内部部控制的不足足之处应向相相应的上级领领导层汇报。上上级领导层可可以是高级管管理层、审计计委员会或董董事会。内部部控制系统必必须接受监察察。作为内部部控制系统的的因素，它与与内部审计及及一般监督有有关。识别并并向高级管理理层及董事会会或董事报告告内部控制系系统的缺陷是是非常重要的的。企业可能已经建建立了非常完完善的内部控控制

21、系统，但但是仍需要对对该系统进行行监察。如果果内部控制系系统未经监察察，就很难评评估它是否未未受控制或需需要改进。随随着业务的发发展，内部控控制系统也在在发展，因此此内部控制系系统不是静止止不变的。内内部审计部门门通常是内部部控制系统的的主要监察人人。内部审计计师会对内部部控制及控制制系统进行检检查。他们还还应识别控制制是否失效或或是可以纠正正问题，并且且向管理层提提出有关建立立新系统或系系统改进方面面的建议。 COSO的上述述定义对内部部控制的基本本慨念提供了了一些深入的的见解，特别别是:(1)内部控制制是一个实现现目标的程序序及方法，而而其本身并非非目标; (2)内部控制制只提供合理理保证

22、，而非非绝对保证; (3)内部控制制要由企业中中各级人员实实施与配合。 COSO的内部部控制定义构构成了萨班班斯一奥克斯斯利法案第第 404节节关于内部控控制评估内容容的基础。这这些内容实质质上对于全球球的所有机构构都非常重要要，因此，管管理者、审计计师和其他人人士应对 CCOSO的内内部控制非常常熟悉。 COSO利用三三维模型来描描述一个机构构内的内部控控制系统。该该模型在水平平方向上分为为五层，垂直直方向有三个个组成部分和和跨越第三维维的多个推体体。这种模型型的结构是 5 x3 x2。但是是，它们并不不是完全独立立的部分，彼彼此之间是相相互连接的，就就企业内的内内部控制而言言.我们将重重点

23、考察水平平方向上的两两层:控制环环境和风险评评估。企业的内部控制制系统会反映映其控制环境境，而控制环环境包括其组组织结构。内内部控制系统统应嵌入企业业运营之中，并并成为公司文文化的一部分分。此外，内内部控制系统统应能够对由由企业内在因因素和商业环环境的改变所所产生的不断断变化的业务务风险迅速作作出反应。而而且，内部控控制系统亦应应包括向管理理层及时汇报报经确认的任任何重大控制制失误或不足足，及所采取取的纠正行动动的详细程序序。内部控制程序应应保持简单直直接，同时需需要确保戚本本没有超过效效益。而且，应应使各级职员员能够了解维维持足够内部部控制的重要要性，从而不不会在实施控控制时，因遇遇到不必要

24、的的复杂情况而而对此产生不不满。企业应给予董事事及管理层适适当的培训，使使他们能正确确认识内部控控制及职能范范围。这样做做一方面有助助于企业高管管遵守内部控控制的监管规规定，另一方方面也为企业业实现目标提提供更多的保保证。培训课课程可以由企企业内部提供供，也可由相相关培训机构构或专业机构构提供。(三)中国内部部控制的发展展状况 2006年7月月，受国务院院委托，财政政部牵头.由由财政部、国国资委、证监监会、审计署署、银监会、保保监会联合发发起成立了企企业内部控制制标准委员会会。许多监管管部门、大型型企业、行业业组织、中介介机构、科研研院所的领导导和专家学者者积极参与，为为构建我国企企业内部控制

25、制标准体系提提供了组织和和机制保障。企业内部控制标标准委员会的的职责和目标标是总结我国国经验，借鉴鉴国际惯例，有有效利用国际际国内资源，充充分发挥各方方面的积极作作用，通过 2 -5年年的努力，基基本建立一套套以防范风险险和控制舞弊弊为中心，以以控制标准和和评价标准为为主体的内部部控制制度体体系。并以监监管部门为主主导，各单位位具体实施为为基础，会计计师事务所等等中介机构咨咨询服务为支支撑，政府监监管和社会评评价相结合的的内部控制实实施体系，推推动公司、企企业和其他非非营利组织完完善治理结构构和内部约束束机制，不断断提高经营管管理水平和可可持续发展能能力。 2008年 66月 28日日，财政部

26、会会同证监会、审审计署、银监监会、保监会会制定并印发发企业内部部控制基本规规范(下称称内控规范范)。自 2009年年 7月 11日起在上市市公司范围内内施行，同时时鼓励非上市市的大中型企企业执行。1.内控规范简简述内控规范要求企企业建立内部部控制体系时时应符合以下下目标:(11)合理保证证企业经营管管理合法合规规、资产安全全、财务报告告及相关信息息真实完整; (2)提高经营营效率和效果果 (3)促促进企业实现现发展战略。内控规范借鉴了了以美国 CCOSO报告告为代表的国国际内部控制制框架，并结结合中国国情情，要求企业业所建立与实实施的内部控控制，应当包包括下列五个个要素:(1)内部环境境; (

27、2)风险评估; (3)控控制活动; (4)信息息与沟通 (5)内部监监督。内控规范强调内内部控制是由由企业董事会会、监事会、经经理层和全体体员工实施的的、旨在实现现控制目标的的过程。同时时要求企业实实行内部控制制自我评价制制度，并将各各责任单位和和全体员工实实施内部控制制的情况纳入入绩效考评体体系。执行内控规范的的上市公司，在在对企业内部部控制的有效效性进行自我我评价后，应应同时披露年年度自我评价价报告。国务务院有关监管管部门有权对对企业建立并并实施内部控控制的情况进进行监督检查查;并明确企企业可以依法法委托会计师师事务所对本本企业内部控控制的有效性性进行审计，出出具审计报告告。 2.内控规范

28、对对企业的影响响内控规范的发布布是中国在公公司治理方面面的一个重要要里程碑，体体现了中国经经济与全球经经济的进一步步接轨和整合合。随着中国国资本市场的的发展与壮大大，与之配套套的公司治理理和监督机制制的需求日益益增加;而随随着中国企业业的做大做强强，企业对于于内部外部的的风险需要更更系统有力的的控制。一方方面，内控规规范为中国企企业建立内部部控制体系提提供了一个标标准的框架，在在理念、实施施和制度层面面为企业提供供了基础。而而在另一方面面，内部控制制作为一个相相对较新的课课题，为首次次系统地建立立与实施内部部控制的企业业提出了新的的挑战。从国际上一些公公司治理法案案，包括美国国的萨班斯斯一奥克

29、斯利利法案和日日本的金融融交易法案的的实施情况来来看，企业通通常在内部控控制实施的第第一年需要投投入很多时间间和精力，进进行反复的学学习和计划的的修订工作:在实施的过过程中，企业业需要作出许许多对合规性性工作的效果果和效率方面面产生根本影影响的重要决决定。这些决决定包括项目目计划管理、实实施范围、关关注的风险领领域以及测试试策略等。在在这些领域作作出正确、适适当的决定对对于提高基本本规范的实施施效率来说十十分关键。在颁布了内控规规范之后，财财政部陆续起起草了一系列列的内部控制制配套指引 征求意见稿稿，这些配套套指引对于如如何指导企业业和会计师事事务所落实和和实施内控基基本规范将作作出进步的明明

30、确说明。第二节 COSSO内部控制制内容的实践践COSO内部控控制框架的五五个要素包括括:控制环境境、风险评估估、控制活动动、信息与沟沟通、监察。一、控制环境控制环境是其他他内部控制因因素的根基。控控制环境因素素包括人员的的道德观和胜胜任能力、董董事会提供的的指示和管理理的效率。控控制环境应包包括坚守诚信信及高尚的道道德观。就此此而言，高级级管理层必须须把企业的价价值观和行为为守则向雇员员明确传达。对对违反行为守守则的人员作作出适当的处处罚，是确保保他们遵循行行为守则并将将其融入企业业文化的重要要一环 激励及诱惑是破破坏深厚道德德文化的可能能诱因。前者者包括施加压压力以实现不不切实际的业业绩目

31、标(特特别是短期业业绩)及与业业绩挂钩的丰丰厚报酬。后后者包括无效效的控制(例例如在敏感的的领域职责划划分不清)、薄薄弱的内部审审计职能、未未能察觉及报报告不当行为为，以及无法法对高级管理理者进行客观观的监督的低低效率董事会会。控制环境还包括括其他方面。例例如，管理层层应说明每项项工作所需的的才能水平，并并具体地指出出满足工作必必需的知识及及技能。此外外，董事会必必须具备管理理能力、专业业技术及其他他专长，还必必须拥有履行行策略和监督督职能的才干干及思维。董董事会成员必必须客观、积积极地问询管管理层的活动动。董事会中中的审计委员员会成员亦应应富有经验、符符合资格、独独立且积极。此外，管理层应应

32、当确立报告告关系及授权权协定。其中中主要的挑战战在于下放权权责，但要限限于实现目标标所需的程度度。另一项重重要挑战是，要要确保所有人人员明白企业业的目标。控控制环境在很很大程度上取取决于个人对对其将负有多多大责任的了了解。企业需需要优化组织织结构，以便便为实现目标标而制定的策策略能得以最最有效地执行行。以下所列是控制制环境因素的的范围:(一)诚信和道道德观企业领导者必须须创造一种除除了财富之外外还重视声誉誉的价值观氛氛围。这样能能够确保更好好地留住员工工，实现更高高的销售收入入和利润，创创造更好的市市值和更多的的报酬。诚信和道德观是是企业控制环环境的重要因因素。如果企企业已经制定定了严格的商商

33、业行为守则则，该守则强强调诚信和道道德观，并且且所有的利益益相关者都遵遵循了这一守守则，那么，这这意味着该组组织已拥有一一流的道德观观。当今，行行为守则是公公司治理的重重要组成部分分。但是，即即便企业制定定了一份严格格的行为守则则，如果雇员员不是故意渎渎职，而仅仅仅因为不了解解该守则，也也会违反守则则的原则。在在多数情况下下，雇员可能能不知道他们们正在做的事事情是错误的的，或者可能能错误地认为为他们的行动动符合企业的的最佳利益。这这种错误常常常是由于高级级管理层缺乏乏道德指南造造成的，而不不是雇员带有有欺骗的意图图。企业的政政策和价值观观虽然常常嵌嵌在行为守则则中，但也必必须向企业内内的各级人

34、员员传达。任何何企业内都可可能存在害害群之马但是是严格的政策策和以身作则则的适当行动动，能够促使使员工采取正正确行动。在在对特定领域域进行独立复复核时，审计计师或管理者者应始终确定定恰当的信息息或信号己在在企业内传达达。所有的管理者及及其他股东都都应该对其所所在企业的行行为守则及其其应用和传达达方式有充分分的了解。如如果行为守则则已经过时，那那么它就不能能解决企业面面临的道德方方面的重要问问题如果公司管管理者未能反反复向所有利利益相关者传传达行为守则则，那么它可可能成为企业业内部控制的的一个重大不不足。即使行为守则描描述了企业道道德行为的规规则，而且管管理层的资深深成员可能已已定期传达了了恰当

35、的道德德信息，但其其他的激励和和诱惑也可能能破坏整个内内部控制环境境。如果企业业存在促使雇雇员采取某些些行动的巨大大激励或诱惑惑，则员工很很可能受到诱诱惑，作出不不诚实、不合合法或不道德德的举动。例例如，一家企企业可能设立立了过高的不不切实际的销销售或生产指指标。达成这这些业绩目标标后能获得丰丰厚报酬，或或者更糟糕的的是，不能实实现目标就要要面临巨大的的威胁，因而而雇员会进行行可疑操作，或或记录虚假的的账目交易，以以实现这些目目标。促使利利益相关者编编制不当的会会计记录或作作出类似举动动的诱惑包括括，缺乏控制制或控制无效效(比如，在在敏感的领域域职责划分不不清)，权力力高度分散导导致最高管理理

36、层对企业内内的低级别人人员所采取的的行动毫不知知情，从而使使其被发现的的机会减少，薄薄弱的管理职职能既没有能能力也没有权权力侦查和报报告不当行为为。对于不当当行为的处罚罚如不严厉或或未公开，则则无法起到威威慑作用。(二)用人唯才才的承诺如果大量岗位被被缺乏必要岗岗位技能的人人员所占据，那那么企业的控控制环境很可可能会被严重重破坏。管理理者会不时地地遇到如下情情形:被分配配了某项具体体工作的人员员看起来不具具备完成这项项工作所需的的适当技能、训训练或智慧。由由于每个人的的技能和才干干水平不同，应应提供充足的的监督和培训训，以帮助雇雇员获得适当当的技能。企业应说明各种种工作所需的的才能水平，并并将

37、其具体化化为必需的知知识及技能。企企业用人唯才才的承诺可以以通过为适当当的人才分派派适当的工作作，并在必要要时提供充分分的培训的方方式来实现。用用人唯才的承承诺是企业整整体控制环境境的重要因素素。管理者常常常发现，对对于职位描述述是否充分，为为适当的人才才安排适当的的工作的程序序是否运转正正常，以及培培训和监督是是否充分进行行评估是具有有重要价值的的。 作为控制环境的的一个重要部部分，对员工工的才能作出出客观中肯的的评价是比较较困难的。虽虽然许多人力力资掘部门通通常都会制定定详细的评级级和评价机制制，但是，员员工常常都会会被评为高高于平均水平平。就各级级员工而言，管管理层应切实实地评估他们们是

38、否能胜任任所分配的工工作，以及是是否能为实现现整体组织目目标付出努力力。(三)董事会和和审计委员会会控制环境在很大大程度上受董董事会和审计计委员会的行行为影响。以以往，董事会会和审计委员员会常常被高高级管理层控控制只有有限限的少数代表表来自外部股股东。这导致致董事会不能能完全独立于于管理层。公公司管理人员员在董事会任任职，实际上上形成了自我我管理的局面面，而且，与与管理者个人人利益相比，他他们对外部股股东的关注常常常较少。随随着时间的推推移和相关法法律法规的出出台，上述情情况得以改善善。现在的董董事会承担着着更为重要的的公司治理的的职责，审计计委员会必须须由独立的外外部董事组成成。积极且独立的

39、董董事会也是企企业的控制环环境的主要组组成部分。董董事会成员应应向最高管理理层提出适当当的问题，并并对企业的各各个方面进行行细致的审查查。通过制定定高水准的政政策和审查整整体业务的行行为，董事会会及其审计委委员会对确定定企业领导导层的基调承担最终责责任。(四)管理哲学学和经营风格格高级管理层对企企业的控制环环境有着不可可忽视的影响响。一些最高高管理者频繁繁地冒险尝试试新业务或新新产品，使企企业面临重大大风险，而其其他管理者却却极为谨慎和和保守的形事事。一些管理理者似乎是凭凭直觉做事，而而其他管理者者则坚持认为为每件事都应应得到批准并并被恰当的记记录下来。管理哲学和经营营风格需要考考虑得上数十十

40、项，均是企企业控制环境境的一部分。管管理者及负责责评估内部控控制的其他人人士应了解这这些因素，并并在整个企业业施行有效的的内部控制系系统时考虑这这些因素。事事实上，没有有那一套风格格和哲学是最最好的。企业要对管理层层的胜任能力力有要求，第第一步是挑选选那些诚信、独独立于董事会会的专业人士士，他们必须须通过董事会会方面的培训训和资格认证证。（五）组织结构构组织结构能够为为规划、执行行、控制和监监察活动提供供框架，以实实现企业整体体目标。有一一些组织是高高度集中的，而而另外一些组组织则按照产产品或地区分分散了权利。还还有一些组织织形式是矩阵阵式，不存在在单一的直线线报告。企业的不同部分分组合起来的

41、的方式有多种种。企业控制制是为了更庞庞大的控制程程序的一部分分。“组织(orrganizzationn)”这一术语常常常可与“使组织起来来(orgaanizinng)”互换，对很很多人拉说，二二者的意思是是相同的。“组织”有时是指人人与人之间的的登机关系，其其更广义的用用法还可能包包括管理层的的所有问题。“组织”可以被被描述为：个个人经过分派派获得的工作作并在后续过过程中结合起起来以实现整整体目标的方方式。在某种种意义上，这这种概念可用用于一个个体体组织其个人人工作投入的的方式，也适适用于大量的的人员以小组组的形式投入入工作的情况况。对于大型型现代企业来来说，为组织织控制制定完完善的计划是是内

42、部控制系系统中非常重重要的部分。个个人和小群体体应了解其所所在的小组的的目标及企业业的总体目标标。倘若缺乏乏这样的了解解，控制可能能存在重大的的缺陷。无论是商业组织织、政府、慈慈善组织或其其他部门，每每个组织都需需要制定有效效的组织计划划。对任何职职能或部门负负责的管理者者必须对组织织结构有充分分的了解。组组织控制的缺缺陷常常会对对整个控制环环境产生普遍遍影响。尽管管权力界限划划分明确，但但企业内在的的效率低下问问题会随着组组织规模的扩扩大而变得更更为严重。这这种效率低下下问题常常会会造成控制程程序失灵，因因此，在评估估组织控制环环境时，管理理层应关注这这些问题。复杂的或者不容容易理解的组组织

43、结构可能能带来严重问问题。母公司司将一个部 门作为一一个独立的企企业分离出去去的情况，在在当今并不少少见。这种新新企业的雇员员以前采用的的是母公司的的控制系统和和程序，但是是现在他们有有责任为新企企业设立组织织结构控制。企企业合并、联联营和收购发发生时，组织织结构的权力力界限对于利利益相关者来来说可能是不不清楚的。当当独立经营的的业务运转起起来，并且财财务结构细节节被确定后，内内部控制结构构却时常被忽忽视。(六)权力和责责任的分配组织的结构对总总体工作投入入的分配与整整合作出详细细说明。权力力的分配本质质上是指按照照工作描述确确定责任，根根据组织结构构图形成责任任。尽管工作作评估无法完完全避免

44、责任任的重叠或连连带责任，但但是这些责任任的说明越准准确越好。关关于如何分配配责任的决定定，常常会在在个人与小组组工作投入之之间造成棍乱乱甚至冲突。现在，无论什么么类型或规模模的企业都简简化了业务，并并将决策权下下放，且越来来越接近一线线工作人员。一一线人员应具具有在其自身身业务领域作作出重大决策策的能力和权权力，而无需需请求上级作作出决策。这这样，授权或或雇用造成的的主要挑战是是，尽管可以以授予部分权权力，以实现现某些组织目目标，但高级级管理层仍需需为这些下属属所作的所有有决策承担最最终的责任。如如果未经管理理层复核，就就将过多涉及及更高级目标标的决策交由由不适当的较较低级别人员员负责，企业

45、业将处于危险险之中。此外外，企业内的的每个人必须须对该组织的的整体目标，以以及个人行为为与实现目标标之间的相互互关联有充分分的了解。 COSO内内部控制报告告中关于架构构的部分对控控制环境这一一重要问题作作出了如下描描述:个人了了解自己将负负有多大责任任，且能够对对控制环境产产生重要影响响。这个结论论适用各级人人员，包括对对企业的所有有活动(包括括内部控制系系统)承担最最终责任的首首席执行官。(七)人力资源源政策和实务务人力资源实务包包括诸如招聘聘、人职培训训、在职培培训11、评评估、咨询、晋晋升、赔偿和和采取适当的的矫正措施。人人力资漉部门门应针对这些些方面制定并并公布充分的的政策。不过过，

46、值得注意意的是，对人人力资源政策策的操作会向向雇员传达有有关其预期道道德行为水准准和能力的信信息。一旦高高级别雇员公公开破坏人力力资惊政策，比比如无视工厂厂禁烟令，企企业的其他人人将会迅速获获悉。如果低低级别的雇员员 因为未经许可吸吸烟而受到处处罚，但人们们对违反规定定的高级雇员员却睁一只眼眼闭一只眼，那那么消息扩散散的速度会更更快。上述人人力资源政策策和实务对某某些方面具有有特殊的重要要意义，包括括:(1)招聘和雇雇用。企业应应设法招聘最最具资格的人人选。应核实实潜在雇员的的背景，证实实他们的学历历和工作经验验。应精心组组织应聘者的的面试，对应应聘者具有深深入的了解。人人力资源亦应应向潜在的

47、雇雇员传递信息息，使他们了了解企业的价价值观、文化化和经营风格格。 (2)新雇员的的人职培训。应应将企业价值值观体系和不不遵循这些价价值观的后果果明确告知新新雇员。通常常在向新员工工介绍行为守守则并要求他他们正式确认认接受该守则则时，告知他他们上述事项项。如果不能能向新雇员传传递这些信息息，那么他们们在加入该组组织时可能缺缺乏对于企业业价值观的了了解。 (3)评估、晋晋升和赔偿。应应实施公平的的绩效评估程程序，并且使使之不受额外外的管理支配配。由于诸如如评估和赔偿偿的问题可能能涉及雇员的的隐私，因此此，整个系统统应对企业内内的所有成员员一视同仁。通通常，奖金激激励计划都是是一项激发和和强化所有

48、雇雇员的出色表表现的有用工工具，但是应应坚持以公平平公正的方式式发放奖金的的原则。 (4)惩戒措施施。应实施统统一且易于理理解的惩戒政政策。所有雇雇员应了解.一旦他们违违反了特定规规则，将会面面临不同程度度的惩戒，直直至解雇。企企业应尽力确确保惩戒措施施不存在双重重标准，如果果存在双重标标准，那么高高级别的雇员员违反了特定定规则，将会会面临更严重重的惩罚。有效的人力资源源政策和程序序是整体控制制环境至关重重要的组成部部分。如果企企业未设立严严格的人力资资源政策和措措施，那么即即使企业组织织结构很牢固固，领导层传传达的信息也也不会产生多多少影响。管管理层在对内内部控制架构构的其他因素素进行复核时

49、时，应始终考考虑控制环境境的人力资源源政策和因素素。 COSO立体模模型说明，控控制环境是内内部控制的根根本性组成部部分。以此方方式说明控制制环境的根基基地位是恰当当的。试图建建立牢固的内内部控制结构构的企业应特特别注意为控控制环境结构构奠定坚实的的基础。二、风险评估按照 COSOO立体模型，控控制活动的上上一层是风险险评估。企业业实现其目标标的能力可能能受到来自多多个内外部因因素的不利影影响。作为整整体内部控制制结构的一部部分，企业应应实施一个程程序，来评估估可能影响其其各种内部控控制目标实现现的潜在风险险。风险评估估可能是正规规的量化风险险评估程序，也也可能是不太太正规的方法法，但是应包包

50、含对风险评评估程序最起起码的理解。例例如，企业设设定的目标是是不改变营销销计划，那么么如果出现新新的竞争对手手则可能对该该企业设置的的目标造成压压力，这需要要对无法实现现该目标的风风险作出评估估。风险评估估是一个具有有前瞻性的过过程。也就是是说，许多企企业已经发现现，对他们的的各类风险水水平进行评估估的最佳时机机是制定年度度计划或定期期计划的过程程。应在所有有层面以及企企业的所有活活动中实施这这样的风险评评估程序。 COSO内内部控制架构构将风险评估估描述成一个个可以分为三三步的程序。第第一步是估计计风险的重要要性;第二二步是评估风风险发生的可可能性或频率率;第三步是是考虑如何对对风险进行管管

51、理，以及应应采取何种行行动。 COSO内部控控制架构强调调风险分析并并非一个理论论过程，而且且常常对实体体的整体成功功起到至关重重要的作用。管管理层是内部部控制整体评评估的重要一一环，他们应应采取措施对对可能影响整整个企业的风风险，以及不不同的组织活活动或实体所所面对的风险险进行评估。由由内部或外部部原因导致的的各种风险可可能对整个组组织产生影响响。 COSSO企业风险险评估己对某某些主要组成成部分给出定定义，做了一一般性说明，并并概述了一种种能使组织对对企业层面的的风险进行更更好管理的方方法。风险管理包括识识别和分析影影响目标实现现的风险(包包括与不断变变化的监管、运运营环境和商商业策略有关

52、关的风险)，以以此来确定如如何降低和管管理此类风险险的依据。第第九章将针对对风险管理的的程序作更详详尽的讨论。三、控制活动评估风险只是整整个内部控制制程序的一部部分，管理层层必须确定处处理风险所需需的行动，并并付诸执行。这这些行动亦应应将注意力集集中于控制活活动的作用，目目的是确保所所需的行动得得以有效且适适时地执行。换换而言之，控控制活动包括括多种政策和和程序，有助助于确保管理理层的有关指指示得以执行行，处理风险险以实现企业业目标所需的的行动得以实实施。与大型型企业相比，小小型企业的内内部控制程序序可能不太正正规且较具灵灵活性，但一一贯地执行内内部控制的有有关政策及程程序是十分重重要的。控制

53、活动可为雇雇员提供指南南(命令式的的控制)，设设计这些活动动旨在防止发发生不希望出出现的事情(预防性控制制)，或者在在不希望出现现的事情发生生时能够加以以识别(侦察察式控制)。当当不希望出现现的事情发生生时，应识别别程序的缺陷陷，并主动采采取措施加以以解决，此类类活动称为纠正性控制制活动。控制活动可分为为运营、财务务报告及合规规三个类别，但但它们之间有有时可能出现现重叠。常见见的内部控制制活动有(11)组织控制制 (2)职职责划分; (3)调节节和复核 (4)实物控控制 (5)授权和批准准 (6)计计算和会计; (7)人人员控制 (8)监督及及管理控制。(一)组织控制制组织控制是指组组织结构提

54、供供的控制，比比如组织活动动和经营分成成若干部门或或责任中心，责责任区分明确确，在企业内内授权，确立立企业内的报报告路径，协协调不同部门门或小组之间间的活动，比比如设立委员员会或项目组组。(二)职责划分分进行职责分工的的主要目的是是防止具有欺欺骗性的活动动发生或未被被查出。管理理层可以通过过在两个或两两个以上的人人员之间分配配工作的方式式实现这一监监控目标。就就适当的职责责分工而言，不不应由一个人人控制一项交交易或一个事事件的所有 关键方面，而而且一个人履履行的职能可可通过其他人人执行的职能能进行检查。大多数交易可分分成三类独立立的职责:认认可或发起交交易、处理被被交易的资产产，以及记录录交易

55、。这样样能降低舞弊弊风险，同时时降低出现差差错的风险。如如果一个人为为上述活动中中的一项以上上活动承担责责任，则存在在舞弊的可能能。职责划分分还能较容易易地发现非本本意造成的错错误，因此不不应仅将其视视为对舞弊的的控制。尽管管职责划分能能够避免一个个人舞弊的情情况，但对于于两人或两人人以上串通舞舞弊却是元效效的。在董事事会层面，公公司治理守则则(比如英英国综合守则则)指出，董董事会主席与与首席执行官官的职责应分分离，以防止止一个人取得得董事会的支支配地位。但但是，如果这这些职能尚未未或无法分离离，那么，应应由管理层对对相关活动进进行详细的监监管审核，作作为一种补偿偿性控制。(三)调节和复复核调

56、节和复核业绩绩属于侦察式式控制。所谓谓调节是指雇雇员将不同数数据连接在一一起，识别并并找出差异，并并且在必要时时采取纠正措措施。但是更更重要的是，执执行调节的人人员要理解这这一程序的重重要性以及巳巳识别的差错错的影响。调调节包括比较较总账的现金金金额与银行行对账单的现现金余额、总总账的应收款款金额与相关关补贴账户总总额，以及固固定资产的现现场盘点与会会计记录中记记载的金额。所所谓业绩复核核，是指管理理层将当前的的业绩与预算算、以前期间间或其他基准准相比较，以以此反映目标标的完成情况况，并对其中中的差异进行行调查，以确确定哪些纠正正行动是必要要的。(四)实物控制制实物控制是指保保护实物资产产不被

57、偷盗或或未经许可而而获得及被使使用的措施和和程序。实物物控制包括使使用保险箱储储存现金和重重要文件，为为大楼或其内内的区域设立立门禁系统，为为贵重资产采采取两重保管管方法，必须须两人同时出出现才能取得得某些资产，定定期对存货进进行盘点，以以及雇用保安安和利用闭路路电视摄像头头。(五)授权和批批准某些控制活动可可提供其他控控制活动运作作正常或需要要提供指南以以改善这些控控制活动的运运作等信息。例例如，被授权权的雇员可能能开展了达到到某项限制的的交易，并且且须为超出规规定限制的交交易取得批准准。批准上述述超出规定限限制的交易时时，上级必须须在核实该活活动符合政策策及程序的基基础上，才能能予以批准。

58、就就此来说，上上级批准亦可可作为一种监监控工具，来来确保政策得得以遵守。由由于这些控制制旨在控制不不希望出现的的事件，因此此，可视之为为预防性控制制。预防性控控制的主要目目的是防止错错误的发生。一般而言，为了了帮助确保控控制活动发挥挥最大效果，在在上级批准及及授权时应提提供书面指南南、权力限制制及支持性文文件。另外，上上级领导严肃肃地履行批准准职能是非常常重要的。这这要求他们能能够积极核查查文件，对异异常事项进行行询问，以及及提醒自己不不在空白表格格上签字。(六)计算和会会计此类控制要求在在会计系统中中正确地记录录交易。依靠靠会计记录能能够追踪每项项交易，核对对计算。比如如，在向客户户发货或批

59、准准支付前仔细细检查发票上上的数字，确确保数字是正正确的。(七)人员控制制此类控制适用于于选择和培训训雇员，以确确保为企业的的职位指定了了恰当的人员，但个人必须须具备适当的的素质、经验验和所需的资资质。企业要要向个人提供供适当的人门门培训，以确确保他们能有有效地完成任任务。(八)监督和管管理控制监督是指承担责责任的某人对对其他人员工工作的管理。监监督控制有助助于确保个人人按照要求恰恰当地完成任任务。管理控制是由管管理层根据其其获取的信息息执行的控制制。董事会或或高级管理层层可能要求提提供关于企业业目标所实现现的成果的报报告。那么，在在部门层面上上，管理层应应接受对业绩绩进行复核或或标明特殊情情

60、况的报告。部部门进行复核核的频率应远远远高于高层层进行复核的的频率。四、信息与沟通通为了控制风险，有有必要设立一一个完善的沟沟通程序，以以获取必要的的信息，并向向需要该信息息的所有人员员提供。控制制风险是企业业各类程序涉涉及的所有人人员的责任，因因此，已识别别风险的信息息以及控制这这些风险的方方法，必须向向每个相关人人员传达。沟沟通系统的重重要意义在于于，沟通能够够在企业以全全方位的方式式展开，以减减少出现误解解的可能。企企业的较低层层级应识别问问题，如果这这些信息未提提供给那些负负责采取纠正正措施的人员员，那么，管管理者将无法法及时收到所所需信息。信息与沟通是指指在人员能够够履行责任的的方式