COSO-内部控制框架

1、 PAGE 17PAGE 200COSO内内部控制框架架目 录录管理层概述 1总体构架 11定义 113控制环境 23风险评估 33控制活动 49信息和沟通 59监控 669内部控制的局限限 779作用和职责 83附录学习本文的相关关事项及背景景知识 93方 法 体 系系 99对定义的看法和和使用 105反 馈 意 见见 111术 语 1119内部控制整整体构架管理层概述构架对外界的报告“对外界的报告告”附录管理层概述高层管理人员一一直在探求更更好的企业经经营控制之道道。内部控制制致力于促使使企业向着赢赢利和完成自自身使命的目目标运行，并并使这一过程程中的意外最最小化。内部部控制使管理理层能够

2、应对对瞬息万变的的经济和竞争争环境，客户户不断变换的的需求和偏好好，并进行重重组以利于公公司的未来发发展。内部控控制有利于提提高企业经营营效率，降低低资产损失风风险，有助于于保证财务报报表的可靠性性、企业经营营活动的合法法合规性。鉴于内部控制具具有上述的重重要性，因此此对提高内控控系统及其报报告质量的需需求日益增加加。内部控制制日益被视为为诸多潜在问问题的解决方方案。什么是内部控制制内部控制对不同同的人有不同同的含义。这这一概念在商商业界人士、法法律界人士、监监管当局和其其他人士之间间容易引起混混淆。由此造造成的误解和和期望值的差差异往往给企企业带来问题题。一旦内部部控制这一名名词未经清楚楚定

3、义就写入入法律、规章章或规则，问问题便复杂化化了。本文是针对管理理层的需要和和期望而写的的。本文对内内部控制的定定义服务于以以下目的：确立一个满足各各方需要通用用的定义。提供一个标准无论规模模大小、公用用和私人性质质、赢利和非非赢利，使各各类企业都能能以此对其内内部控制制度度进行评估和和改进。内部控制广义上上可定义为一一个受企业董董事会、经理理层和其他人人员影响的，为为达到下列目目标提供合理理的保证的程程序：经营的效果和效效率财务报告的可靠靠性法律法规的遵循循性第一类目标指企企业的基本经经营目标，包包括业绩、赢赢利指标和资资源保护。第第二类目标指编制可可靠的公开财财务报表的，包包括中期和简简略

4、财务报表表，以及从这这些财务报表表中摘出的数数据（如利润润分配数据）。第第三类目标指指企业经营必必须符合相关关的法律法规规。以上三类类目标既相互互独立又相互互联系，分别别代表不同的的需求，需要要对它们作专专门研究。内部控制制度依依据其运行的的有效性程度度而有所不同同。因此，这这三类目标又又可据此进行行划分，如果果董事会和经经理层能够合合理的保证：他们清楚地知道道企业经营目目标实现的程程度公开财务报表的的编制是可靠靠的企业适用的法律律得到遵守虽然内部控制是是一个过程，它它的效果却表表现为在某一一时点上这一一过程的状态。 内部控制制包括五个相相互联系的要要素。它们源源自管理层的的经营方式，并并与管

5、理过程程紧密相连。尽尽管此五项要要素适用于各各类企业，但但是中小企业业对其应用可可能不同于大大型企业。中中小企业的内内部控制可能能不及大型企企业正式、组组织性强，但但其内部控制制也可能是有有效的。内部部控制的五项项要素为：控制环境控控制环境决定定了企业的基基调，直接影影响企业员工工的控制意识识。控制环境境提供了内部部控制的基本本规则和构架架，是其他四四要素的基础础。控制环境境包括员工的的诚信度、职职业道德和才才能；管理哲哲学和经营风风格；权责分分配方法、人人事政策；董董事会的经营营重点和目标标等。风险评估每每个企业都面面临诸多来自自内部和外部部的有待评估估的风险。风风险评估的前前提是使经营营目

6、标在不同同层次上相互互衔接，保持持一致。风险险评估指识别别、分析相关关风险以实现现既定目标，从从而形成风险险管理的基础础。由于经济济、产业、法法规和经营环环境的不断变变化，需要确确立一套机制制来识别和应应对由这些变变化带来的风风险。控制活动控控制活动指那那些有助于管管理层决策顺顺利实施的政政策和程序。控控制行为有助助于确保实施施必要的措施施以管理风险险，实现经营营目标。控制制行为体现在在整个企业的的不同层次和和不同部门中中。它们包括括诸如批准、授授权、查证、核核对、复核经经营业绩、资资产保护和职职责分工等活活动。信息和沟通公允的信息息必须被确认认、捕获并以以一定形式及及时传递，以以便员工履行行

7、职责。信息息系统产出涵涵盖经营、财财务和遵循性性信息的报告告，以助于经经营和控制企企业。信息系系统不仅处理理内部产生的的信息，还包包括与企业经经营决策和对对外报告相关关的外部事件件、行为和条条件等。有效效的沟通从广广义上说是信信息的自上而而下、横向以以及自下而上上的传递。所所有员工必须须从管理层得得到清楚的信信息，认真履履行控制职责责。员工必须须理解自身在在整个内控系系统中的位置置，理解个人人行为与其他他员工工作的的相关性。员员工必须有向向上传递重要要信息的途径径。同时，与与外部诸如客客户、供应商商、管理当局局和股东的之之间也需要有有效的沟通。监控内部控控制系统需要要被监控，即即对该系统有有效

8、性进行评评估的全过程程。可以通过过持续性的监监控行为、独独立评估或两两者的结合来来实现对内控控系统的监控控。持续性的的监控行为发发生在企业的的日常经营过过程中，包括括企业的日常常管理和监督督行为、员工工履行各自职职责的行为。独独立评估活动动的广度和频频度有赖于风风险预估和日日常监控程序序的有效性。内内部控制的缺缺陷应该自下下而上进行汇汇报，性质严严重的应上报报最高管理层层和董事会。这五项要素既相相互独立又相相互联系，形形成一个有机机统一体，对对不断变化的的环境自动作作出反应。内内部控制制度度与企业的经经营行为紧密密相连，因基基本的商业动动机而存在。内内部控制成为为企业内部构构架的核心部部分和基

9、本理理念时最为有有效。这时内内部控制可以以支持经营质质量和主动的的授权，避免免不必要的花花费，并对环环境的变化迅迅速作出反应应。内部控制的三类类目标之间具具有直接联系系，他们代表表了企业努力力的目标；而而五项要素代代表了实现这这些目标所需需元素。所有有五项要素都都与每一类目目标相联系。为为实现每一类类目标如经营的的效率和效果果需要五项项要素共同发发挥作用，以以说明经营的的内部控制是是有效的。内部控制的定义义受人为因因素影响、提提供合理保证证的过程，这这一内在基本本的概念及其不同种种类的的目标标、内部控制制要素、内控控有效性评价价准则、与之之相关的讨论论，构成这本本内部控制基基本构架的内内容。内

10、部控制能做什什么内部控制有助于于企业实现其其业绩和利润润目标，防止止资源损失，提提高财务报告告的可靠性，督督促企业遵守守相关法律法法规，避免企企业名誉受到到损害以及受受到其他不良良影响。总之之，内部控制制有利于企业业在即定轨道道中前进，避避免走弯路和和遭遇突然袭袭击。内部控制不能做做什么不幸的是，一些些人对内部控控制有不合实实际的预期，他他们存在以下下幻想：内部控制可以确确保企业的成成功它能确保保企业实现基基本经营目标标，至少能保保证企业的生生存。即使有效的内部部控制也仅仅仅能帮助企业业实现经营目目标。它提供供给管理层关关于企业成长长过程中的信信息。但内部部控制不能使使一个内在水水平糟糕的经经

11、理变得杰出出。另外，政政府政策的变变化、竞争对对手的行为或或经济环境都都在管理层控控制之外。内内部控制不能能保证成功，甚甚至不能保证证生存。内部控制可以确确保财务报告告的可靠性和和法律法规的的遵循性。此观点也是不正正确的。内部部控制制度，无无论设计、运运行多么理想想，都只能就就企业目标的的实现向管理理层和董事会会提供合理的的，而非绝对对的保证。经经营目标的实实现受到任何何内控系统都都具有的固有有局限性的影影响。内控系系统的内在有有限性包括以以下现实情况况：决策判断断可能失误，简简单的错误可可能导致大纰纰漏。另外，控控制可能因为为两个以上人人的相互勾结结而趋于无效效，而经理层层有超越内控控系统的

12、权力力。还有一个个局限就是内内控系统的设设计必须反映映以下事实，即即出于资源有有限性的考虑虑，内部控制制必须考虑成成本收益的匹匹配。因此，尽管内部部控制有助于于企业实现其其目标，但它它并非万能药药。角色和职责企业的每位员工工都应担负内内部控制的职职责。经理层总裁裁应最终负责责并具有内控控系统的“所有权”。与其他人人相比较，总总裁制定了最最高基调，这这将影响诚信信度、道德品品行以及构成成一个积极的的 控制环境境的其他因素素。在大公司司，总裁通过过督导高层管管理人员检查查其经营行为为来完成自身身职责。高层层管理人员，则则向各部门负负责人分配具具体的控制措措施和程序。在在规模小些的的公司，总裁裁常常

13、身兼所所有者和经理理人双重角色色，其影响也也就更加直接接。在任何情情况下，对于于金字塔式的的职责分布结结构，每位经经理人实际就就是他所辖管管职责范围内内的总裁。经经理层中具有有特殊意义的的是财务总监监及其下属，他他们的控制行行为切入企业业经营的各部部分。董事会经理理层对董事会会负责，董事事会提供管理理、指引和核核查。高效率率的董事会成成员应该是实实事求是、富富有才华和钻钻研精神的。他他们熟悉企业业经营及环境境，留出足够够的时间来完完成董事会职职责。不诚实实的经理层有有可能越过内内部控制，忽忽视或压制下下属的信息反反馈，并故意意误报结果以以掩盖其行径径。一个强有有力、活跃的的董事会，特特别是具备

14、了了有效的信息息自下而上传传递的渠道，以以及完善的财财务、法律和和内审职能后后，往往能识识别和纠正这这样的问题。内部审计人员内审人员员在评价、维维护企业内控控系统有效性性方面起重要要作用。由于于在企业中的的组织地位和和权威性，内内部审计在监监控方面扮演演重要角色。其他人员从从某种程度上上说，内部控控制是企业中中每个人的职职责，因此应应成为每个人人工作职责中中明示或暗示示的部分。实实际上，所有有职员都在产产出内控系统统需用的信息息，或在进行行与内控有效效运行相关的的活动。而且且，所有职员员都有责任向向上层汇报经经营中存在的的问题、背离离准则和违规规违法行为。一些企业外部人人员常常有助助于企业目标

15、标的实现。独独立审计师通通过实施独立立、客观的监控，通通过直接的财财务报表审计计和间接的管管理建议，来来帮助管理层层完成职责。其其他能够提供供对有效内部部控制有用信信息的外部人人员，包括律律师、监管当当局、客户、财财务分析师、债债券评级师和和新闻媒体等等。外部人员员，不属于企企业内控系统统的一部分，也也不对企业内内控系统负责责。本报告的组织结结构本报告分四部分分。第一部分分“管理层总结结”，是对内部部控制总体构构架的高度总总结，是针对对总裁和高级级管理人员、董董事会成员、律律师和监管当当局而写的。第二部分“总体体构架”，对内部控控制进行了定定义，阐述其其构成要素，为管理层、董事会及他人提供了评

16、估内部控制有效性的准则。第三部分“外部部团体报告”，是附件，对对那些已经或或准备公开披披露其对编制制财务报表进进行内部控制制的企业提供供了指导第四部分“评估估工具”，提供了对对内控系统进进行评估的有有用资料。本报告目的根据本报告所能能采取的行动动与当事人所所处的位置和和承担的职责责有关：高级管理人员多数来此此学习的管理理人员相信其其对企业能够够基本控制。然然而，许多人人认为一些部部门或控制环环节的内控还还处于发展阶阶段或需要进进一步加强。没没有人喜欢出出漏子。本研研究报告建议议总裁创建一一套内控系统统的自我评价价系统。运用用此系统，总总裁以及主要要经营、财务务管理人员就就能够将注意意力集中在关

17、关键问题上。一一种方法是：总裁将部门门负责人和业业务骨干召集集在一起讨论论内部控制的的初始评估方方案，然后指指导其他职员员和上司讨论论本报告中的的概念，各职职员在其职责责范围内检查查初始评估方方案并提出反反馈意见。另另一种方法则则包括对公司司情况的初步步复核、部门门控制政策和和内部审计程程序。不管何何种形式，初初始评估方案案应该能够决决定是否有必必要，或如何何进行更深层层次的评估。另另外，它也应应能保证持续续的监管到位位。评价内控控系统所花费费的时间是一一种具有高回回报的投资。董事会成员董事会成员员应该和高层层管理人员讨讨论企业内部部控制制度的的状况并在需需要时提供督督导。他们应应借鉴内部审审

18、计师和外部部审计师的意意见。其他人员经经理和其他人人员应该考虑虑自身控制职职能在整体内内控构架下如如何执行，并并和高级管理理人员讨论加加强内部控制制的方法。内内部审计师应应该考虑其对对内控系统的的关注范围，并并将比较其评评估资料与评评估工具。立法者和监管当当局立法当局局认识到对任任何事件都会会存在误解和和不同的期望望。对内部控控制的理解在在两方面存在在不同。首先先，在内部控控制的作用方方面存在不同同。如前所述述，一些人认认为内控系统统应该能够防防止企业遭受受损失，或至至少能够防止止企业破产。其其次，即使已已在内控系统统所能和所不不能，以及“合理保证”的概念上取取得一致，对对于内部控制制的概念和

19、应应用仍存在分分歧。公司总总裁非常关注注监管当局在在所谓内控失失败事件发生生后如何分析析有关“合理性保证证”的公开报告告。在遵守有有关管理层报报告其内控情情况的法律法法规之前，需需要对包括内内控局限性的的内部控制基基本构架取得得一致。本报报告所阐述概概念框架有助助于达成以上上共识。专业组织专专业组织就企企业的财务管管理、审计和和其他相关主主题提供指引引，因此必须须考虑其对内内控构架提出出的标准和指指导。一旦在在概念和术语语上的分歧消消失，各方都都会收益。学术界本内内控构架可作作学术研究和和分析之用，以以对其进一步步改进。假设设本报告被普普遍接收，作作为基础理论论，其概念和和专业术语有有可能进入

20、大大学的课程。我们相信本报告告能带来一些些益处。以此此为基础达成成共识，各方方就有了统一的语言，能更更有效地交流流。商业管理理人士将有一一套评估内控控系统的标准准，以进一步步加强内控，使使企业向着既既定目标前进进。未来关于于内部控制的的研究也有了了明确的基础础。立法者和和监管当局对对内控的理解解更加深刻，包包括其优点和和不足。只有有各方运用同同一个通用的的内控构架，这这些益处才会会实现。内部控制整体构架管理层概述构架对外界的报告“对外界的报告告”附录定 义本章概要：内部部控制被定义义为一个受企企业员工行为为影响，用以以完成特定目目标的过程。这这是一个广义义的概念，包包含了对企业业进行控制的的各

21、个方面，但但却强调将重重点放在特定定的目标上。内内部控制包括括五个相互联联系的要素，它它们都包含在在管理层经营营企业的方式式中。五项要要素相互联系系，作为评判判内控系统是是否有效的准准则。本次研究的主要要目的在于协协助管理层更更好地控制企企业行为。但但内部控制对对不同的人有有不同的含义义。大量的术术语和释义妨妨碍人们了对对内部控制的的达成共识。因因此一个重要要的目标就是是将形式各异异的内控概念念总结成一个个总体构架，以以确定一个通通用的定义和和明确各控制制要素。本构构架是为适应应多数观点而而设计的，并并为企业的内内控评价、立立法机构的未未来举措以及及教学研究提提供了起点。内部控制内部控制的定义

22、义如下：内部控制是一个个受到董事会会、经理层和和其他人员影影响的过程，该该过程的设计计是为了提供供实现以下三三类目标的合合理保证：经营的效果和效效率财务报告的可靠靠性法律法规的遵循循性该定义反映了以以下基本概念念：内部控制是一个个过程。它是是实现目的手手段，而非目目的本身。内部控制受人为为影响。它不不仅仅是政策策手册和图表表，而且涉及及企业各层次次的人员。内部控制只能向向企业董事会会和经理层提提供合理的保保证，而非绝绝对的保证。内部控制是为了了实现三类即即相互独立又又相互联系的的目标。有两个理由使我我们相信以上上内部控制的的定义是广泛泛适用的。第第一，我们采采访的多数经理是这这样来看企业业内部

23、控制的的。实际上，他他们常常提及及“控制”一词，而且且正在“控制”。第二，它适用于于内部控制的的多个子集。不不同人可以有有不同的侧重重点，例如，可可以分别侧重重于财务报告告和法律法规规的遵循性。类类似的，这一一定义对企业业某一部门或或某一行为的的内部控制也也适用。该定义同时也提提供了决定内内控有效性的的基础，这在在后面章节将将会讨论到。以以上基本定义义将在以下小小节详细讨论论。 内部控控制是一个过过程内部控制并非单单一的事件或或环境，而是是针对企业行行为的一系列列活动。这些些活动是潜移移默化的，蕴蕴含于管理层层的日常经营营行为中。企业横向和纵向向的经营行为为都是通过计计划、执行和和监控这一基基

24、本过程进行行的。内部控控制是与这一一过程密不可可分的一部分分，使之能够够良好运行，并并监督运行以以保持持续的的相关性。它它是管理层的的工具，而非非管理的替代代品。这一定义与很多多人不同，他他们认为内部部控制在企业业的运营过程程之外，是立立法者和监管管当局给企业业增加的负担担。内控系统统与企业的运运营紧密相连连，因基本的的商业动机而而存在。只有有内部控制成成为企业内部部构架中关键键的一部分时时，才最为有有效。内部控控制应该“嵌入” 企业之中中，而非“外置”在企业之外外。“嵌入式”控制制直接影响企企业实现其目目标的能力，并并支持企业的的质量举措。对对质量的要求求直接与企业业的运营和控控制相联系。质

25、质量举措已成成为企业运营营构架的一部部分：高层管理人员确确信质量价值值蕴涵于企业业的经营方式式中。确立质量目标与与企业的信息息收集、分析析及其他过程程相联系。运用对有关竞争争活动和客户户期望的认知知来不断推进进质量的提高高以上质量要素与与有效的内控控系统要素相相重合。实际际上，内部控控制不仅与质质量规划紧密密结合，而且且对其成功起起关键作用。 “嵌入式”控控制对成本节节约和减少反反应时滞有重重要作用。多数企业面临高高度的市场竞竞争和节约成成本的需要。在在现有的过程程上增加新程程序必然会增增加费用。如如果将重点放放在当前的运运营及其对有有效内部控制制的影响上，并并将内部控制制嵌入企业的的日常经营

26、中中，常能使企企业避免不必必要的程序和和成本。将内部控制嵌入入企业的运营营构架中，有有助于针对新新的经营行为为采取新的控控制措施。这这种自动反应应增加了企业业的敏捷度和和竞争力。人的因素内部控制受到企企业董事会、经经理层和其他他人员的影响响。它是通过过企业员工的的言行才实现现的。人们确确立企业的目目标并将内控控系统付诸实实施。同样，内部控制制也影响人们们的行为。人人们理解、交交流和行动的的方式并非一一成不变，每每个人都有独独特的背景和和才干，具有有不同的需求求和重点。这些现实既对内内部控制产生生影响也受到到其影响。人人们必须知道道各自的职责责和权限。相相应的，在不不同职责和执执行方式之间间应有

27、明确的的分工和联系系，企业的各各层目标也是是一样。企业员工包括董董事会、经理理层和其他职职员。尽管董董事被视为实实施监管的主主要人员，他他们也进行工工作指导，批批准某些交易易和政策。因因此，董事会会也是内部控控制的一个重重要元素。合理性保证内部控制，无论论设计和执行行多么理想，也也只能就企业业目标的实现现向经理层和和董事会提供供合理的保证证。企业目标标实现的可能能性受到内部部控制内在局局限的影响：包括人员决决策上的失误误；建立内部部控制需考虑虑成本效益原原则；人为错错误和失误带带来的内部控控制失效。另另外，内部控控制会因两个个或更多人的的联合欺诈而而失效。最后后，经理层具具有越过内控控系统的权

28、力力。目标每个企业都有自自己的使命，确确立需实现的的目标及相应应战略。目标标的设立应针针对整个企业业或企业内特特定行为。虽虽然很多目标标只针对特定定企业，有一一些还是普遍遍适用的，例例如，几乎对对所有企业普普遍适用的目目标是：在企企业界和客户户层保持良好好的声誉，向向股东提供可可靠的财务报报表，以及合合法合规经营营。本报告将目标分分为三类：经营关于企企业资源利用用的效率、效效果财务报告关关于编制公开开财务报表的的可靠性遵循性关于于法律和法规规的遵循性这一分类有利于于将内部控制制的重点放在在不同方面。这这些既相互独独立又相互联系的分类类体现了不同同的需求，也也可能是不同同管理人员的的职责。这一一

29、分类还利于于区分每类控控制的可能结结果。内控系统可以为为实现财务报报告的可靠性性和法律法规规的遵循性目目标提供合理理的保证。这这些目标（很很大程度上是是外界施加的的）的实现有有赖于企业内内控系统的实实施。然而，经营目标标的实现如投资回报报、市场份额额、引进新产产品并非完全全在企业控制制能力之内。内内部控制并不不能阻止决策策失误和意外外事件的发生生。只有当管管理层及时了了解企业向既既定目标迈进进的程度，内内控系统才能能为企业目标标的实现提供供合理的保证证。要素内部控制包括五五项相互联系系的要素。它它们来自管理理层经营企业业的方式，并并融入管理过过程本身。这这些要素包括括：控制环境企企业的核心是是

30、人员工的特特性，包括诚诚信、道德和和能力和他们所所处的环境。环环境是企业发发展的基础，也也是推动企业业发展的引擎擎。风险评估企企业必须了解解并应对其面面临的风险，设设定目标，包包括销售、产产品、营销、财财务和其他行行为，使之进进入即定轨道道运行。还必必须确立识别别、分析和管管理风险的机机制。图示 1内部控制要素监控控制 行为为信息和沟风险 通 评估估控制 环境 控制环环境提供了员员工实施(控控制)活动和和履行控制责责任的氛围，是是其他控制要要素的基础。在在此环境内，经经理层评估实实现特定目标标的风险。控控制活动是为为了确保经理理层有关减少少风险的措施施的顺利实施施。同时，与与之相关的信信息被获

31、取和和在组织内部部传递。整个个过程都得到到监控，并随随着环境的改改变而更新。控制活动必必须确立和执执行控制政策策和程序，以以确保那些被被管理层认为为必要的减少少风险的措施施得以执行。信息和沟通围绕在控制制活动周围的的是信息和沟沟通系统。这这些系统有利利于企业员工工获得及交换换与运作、管管理和控制企企业有关的信信息。监控整个控控制过程必须须得到必要的的监控和修订订。这样，内内控系统才能能对环境的变变化自动反应应。内部控制各项要要素及其间联联系如图示 1。该模型型描述了内控控系统的运行行体制。例如如，对风险的的评估不仅影影响控制行为为，还可能强强调需要重新新考虑信息和和沟通，或重重新考虑企业业监控

32、行为。因因此，内部控控制并非一项项要素影响下下一项要素的的顺序过程。它它是一个几乎乎任一要素都都可以影响其其他要素的多多方向、相互互作用的过程程。没有两个企业会会或应该具有有相同的内控控系统。公司司的内控系统统因行业和规规模、文化和和管理层哲学学而不同。因因此，尽管企企业都需要这这几项要素来来实施对企业业的控制，某某一公司的内内控系统常常常看起来与另另一公司的内内控系统大相相径庭。目标和控制要素素之间的关系系在企业尽力要实实现的目标,和代表实现现这些目标需需要什么的控控制要素之间间存在直接联联系。它们之之间的联系可可用图示 22 中的三维维矩阵表示：三类目标经经营，财务报报告和遵循性性用垂直柱

33、柱条表示五项要素用行来来表示内控系统相关的的企业行为用用第三维表示示。每行要素都贯穿穿、针对所有有三类目标。图图例左下角部部分可以作为为例子：从企企业内、外部部而来的财务务和非财务数数据，作为信信息和沟通要要素的组成部部分，需要被被用来有效管管理企业运作作，编制可靠靠财务报表和和保证企业合合法经营。另另一例子（未未单独列示），用用以保证管理理层规划、战战略和其他指指示得以贯彻彻的内部控制制政策和程序序的确立和执执行代表了控控制活动这一一要素也与所有有三类目标有有关。图示 2控制目标和控制制要素的关系系经营 财务报告 合法法性监控信息和沟通控制行为风险评估控制环境左上：控制目标标和要素之间间具有

34、直接联联系，目标是是企业尽力去去实现的，而而要素代表实实现这些目标标需要什么。右上：内部控制制与整个企业业，或企业的的任一部门或或任一行为相相关。左下：所有三类类目标都需要要信息以有效效管理企业、编编制可靠财务务报表及保证证合理性。右下：所有五项项要素对经营营目标的实现现都适用和重重要。类似的，所有五五项要素与每每类目标都有有关联。例如如，对经营的的效果和效率率目标，所有有五项要素都都适用和重要要。这在图例例 2 的右右下角已说明明。内部控制与整个个企业或其中中某一部分有有关。这一关关系用第三维维表示，第三三维代表附属属公司、部门门、业务单位位、职能单位位或诸如购买买、生产、营营销在内的企企业

35、行为。相相应的，每个个人都可以关关注三维矩阵阵的一个单元元。例如，可可以考虑矩阵阵左下方前侧侧的一个单元元，其代表与与公司特定部部门经营目标标相关的控制制环境。有效性不同企业的内控控系统在不同同的有效性水水平上运行。类类似的，特定定的系统在不不同的时期运运行，可能具具有不同的效效果。当内控控系统满足以以下标准时，我我们可以认为为它是有效的的：如果董事会和经经理层能够分分别合理地保保证在每类中中任一类内部部控制都可视视为有效，：他们了解企业经经营目标可以以在多大程度度上实现对外财务报表的的编制是可靠靠的适用的法律和法法规得以遵循循尽管内部控制是是一个过程，其其有效性却是是过程中某一一时点的状态态

36、或情况。评价某一内控系系统是否有效效是一种主观观判断，判断断来自对五项项要素是否存存在及有效运运行的评估。内内控系统的有有效运行为上上述某一或多多项目标的实实现提供了合合理保证。因因此，这些要要素也是有效效内控系统的的评价标准。尽管所有五项标标准都必须满满足，但并不不意味着在不不同企业，各各项要素的功功能必须完全全一致或在同同一水平上。在在要素间存在在某种平衡。由由于控制服务务于多重目的的，服务于目目的的在某一一要素中的控控制也可能体体现在其他要要素的控制上上。另外，控控制防范某一一特定风险的的程度也有所所差异，因此此，加入附加加的控制措施施（尽管各自自具有有限的的影响力）可可以带来令人人满意

37、的效果果。所有的要素和准准则适用于整整个内控系统统，或适用于于某一或多个个分类目标。例例如，当考虑虑到其中一类类目标对财务报报告的控制时时，所有五项项准则都必须须被满足以得得出对财务报报告的控制是是有效的这一一结论。当评判一个内部部控制制度是是否有效时，应应该考虑以下下的章节。应应该认识到：由于内部控制是是管理过程的的一部分，因因此对控制要要素的讨论是是在管理层如如何经营企业业这一背景下下进行的。但但并非管理层层的一切行为为都是内部控控制的元素。例例如，确立目目标这一管理理层重要的职职责，就是内内部控制的先先决条件。类类似的，很多多管理层的决决策和行为不不代表内部控控制。图例 3 列出了了管理

38、层的日日常行为，并并标出哪些被被视作内部控控制的要素。（该该列示并非对对管理层行为为方式全面或或唯一的归纳纳）讨论的原则适用用于所有规模模的企业。一一些中小型企企业对要素的的应用可能不不同于大企业业，但其仍能能拥有有效的的内部控制。每每一章有一部部分解释这样样的情形。每一章包含了“评估”部分，列出出了评价控制制要素时应考考虑的因素。这这些因素并非非涵盖一切，也也不是与每种种环境都相关关。它们仅提提供例证用以以开发一个更更易理解或更更具有针对性性的评估模型型。图例 3内部控制和管理理过程管理行为 内部控制公司总体目标制制定使命，公司司价值描述战略规划建立控制环境要要素 操作层目标制定定 风险识别

39、和分析析 风险管理 实施控制活动 信息甄别、获取取和传递 监控 纠正行为 控制环境本章概要：控制制环境决定了了企业的基调调，影响企业业员工的控制制意识。它是是其他要素的的基础，提供供了基本规则则和构架。控控制环境因素素包括：员工工的诚信度、道道德观和能力力；管理哲学学和经营风格格；管理层授授权和职责分分工、人员组组织和发展方方式；以及董董事会的重视视程度和提供供的指导。控制环境对企业业行为架构、目目标设立和风风险评估的方方式有潜移默默化的影响。它它也影响控制制活动、信息息和沟通系统统、以及监控控行为。实际际上控制环境境不仅影响它它们的设计，而而且影响它们们的日常运转转。控制环境境受企业文化化和

40、历史的影影响。它影响响员工的控制制意识。具有有有效控制的的企业，尽力力聘用有能力力的员工，灌灌输诚信的企企业文化和控控制意识，设设定一个积极极的“最高基调”（完美行为为规范）。它它们确立适当当的政策和程程序，常常包包括一本书面面操作手册，培培养共同的价价值和团队精精神，以期实实现企业目标标。控制环境要素控制环境包括以以下讨论的要要素。尽管每每个要素都很很重要，但根根据企业的不不同，侧重的的程度还是有有所差异。例例如，一个集集中经营的小小作坊的总裁裁，也许不会会建立正式的的职责分工和和详细的经营营策略，但其其仍可能有一一个适当的控控制环境。诚信和道德观企业目标及其实实现方式建立立在偏好、价价值判

41、断和管管理风格的基基础上。偏好好和价值判断断，转化为行行为标准后，会会反映出管理理层的诚信度度和遵行的道道德观。鉴于企业好名声声的巨大价值值，行为标准准必然高于遵遵法守纪。为为了把好名声声奖赏给最好好的公司，社社会对他们的的期盼比遵纪纪守法更多。内部控制的有效效性不可能超超越创造、管管理和监控这这些制度的人人们的诚信度度和道德观。诚诚信度和道德德观是控制环环境的关键因因素，它们影影响其他内部部控制要素的的设计、管理理和监控。诚信是企业各方方面活动道德德行为的先决决条件。正如如Treaddway 委委员会所报告告的：在各层层次上的良好好公司道德氛氛围对公司、全全体员工、顾顾客和公众的的健康都至关

42、关重要。这一一氛围对公司司策略和控制制系统的有效效执行非常重重要，也有助助于影响那些些即使最精细细的内控系统统也难以管制制的行为。因需考虑到多方方面的情况，确确立道德价值值通常很困难难。高级管理理层的价值必必须与企业、雇雇员、供应商商、顾客、竞竞争对手和公公众的要求相相协调。由于于各方利益的的分歧，协调调可能是复杂杂和不令人满满意的。例如如，供应某种种关键产品（如如石油、木材材或食品）可可能会引起环环境问题。经营良好企业的的经理日益同同意“道德是有价价值的” 道德行为为就是好商机机这一观点。有有很多正面和和负面的例证证。医药公司司对涉及某一一主要产品的的危机作出很很好的公开处处理，这一行行为既

43、合乎道道德，又能带带来商机。公公司负面消息息，如利润下下滑或违法行行为的缓慢释释放，其对客客户关系和股股价的影响比比起及时的披披露要糟糕得得多。仅仅关注短期效效应，甚至会会造成短期的的损害。对底底线销售或利利润的集中关关注，常会引引发始料不及及的行为和反反应。例如，高高压的销售策策略，冷酷无无情的谈判或或暗中的回扣扣，可能会引引发具有即时时（亦或持续续）效果的反反应。道德行为和管理理层诚信度是是公司文化的的产物。公司司文化包括道道德和行为标标准及其如何何传递，如何何在实践中被被加强。书面面正式的公司司政策定义了了管理层希望望发生什么，而而公司文化决决定了实际发发生什么，哪哪些规则得到到遵守、违

44、反反或忽略。从从总裁开始的的高层管理人人员在公司文文化的定位上上起关键作用用。总裁通常常是企业的决决定性人物，有有责任设立企企业的道德基基准。刺激和诱惑。几几年前的一个个研究建议，某某些特定的组组织因素会影影响欺诈和可可疑财务报告告行为的可能能性。同样的的因素还可能能影响道德行行为。个人可能仅仅因因为其组织给给予他们的强强烈刺激和诱诱惑而从事不不诚实、非法法或不道德的的行为。强调调“结果”，特别短期期结果，培养养了失败代价价很高的环境境。导致从事欺诈、可可疑财务报告告行为以及其其他不道德行行为的诱因有有：达到不切实际的的业绩目标，特特别是短期业业绩的压力与业绩挂钩的高高回报高于或低于奖金金计划

45、的奖励励 研究还还列出导致雇雇员作出不正正当行为的一一些“诱惑”：控制不存在或失失效，如敏感感区域未作很很好的职责分分离，提供了了偷窃或隐藏藏不良操作的的诱惑。组织高度分散，导导致高层管理理人员不清楚楚基层的行为为，因此，减减少了基层舞舞弊被发现的的机会。内部审计职能薄薄弱，无法发发现和报告不不正确的行为为。低效的董事会不不能提供对高高层管理人员员的客观监管管。对不正确行为的的惩罚力度不不够或不公开开，从而失去去了应有的威威慑力。去掉或减少这些些刺激和诱惑惑对减少预期期外行为大有有裨益。正如如所建议的，只只要实施合理理、有利可图图的商业实践践，就可以取取得这一效果果。例如，只只要业绩目标标切实

46、可行，业业绩激励加之之适当的控制制可以成为有有用的管理工工具。制定现现实的业绩目目标是很好的的激励措施；它减少了达达不到预期目目标的压力，同同时也减少了了不切实际的的目标所造成成的虚假财务务报告的诱因因。类似的，一一个控制良好好的报告系统统可用于防范范编制虚假业业绩。提供并传递道德德指引。除了了刚才讨论过过的刺激和诱诱惑外，前面面提及的研究究发现引起欺欺诈和可疑财财务报告的又又一因素：无无知。研究发发现“在许多出现现虚假财务报报告的公司，相相关人员或不不知道自己做做错，或错误误相信他们所所做的符合公公司利益”。此类无知知常常由缺乏乏的道德背景景或指导造成成，而并非故故意欺骗。因因此，不仅要要传

47、递道德价价值，而且要要对是非对错错提供明确的的指引。在组织内传递道道德行为的最最有效方式是是以例证方式式。人们愿意意模仿上司。雇雇员有可能形形成与高级管管理层类似的的对错观念（包包括对内部控控制的态度）。得得知总裁在面面临艰难决策策时作出合乎乎道德的正确确选择，会给给企业各层传传递强烈的信信息。 仅树立一个好好榜样是不够够的。高层管管理人员应向向雇员口头传传递企业价值值和行为标准准。几年前的的一个研究指指出一套正式式的行为准则则是“向雇员传递递公司关于责责任和诚信预预期的广泛应应用的方法。”准则涵盖一系列行为，包括诚信和道德、利益冲突、非法或不正确的支付以及反竞争安排。部分受国防行业丑闻揭露的

48、推动，许多公司最近都采纳了这样的行为准则，连同必要的信息传递途径和监控。尽管操作手册是有帮助的，它却不是向雇员、供应商和客户传递道德价值的唯一途径。存在雇员能接收收和理解的行行为准则，甚甚至是文件，仍仍然不能保证证其执行。高高层管理人员员的行为和榜榜样是遵行道道德标准（不不管道德标准准是否写进行行为准则）的的最佳保证。对对违反准则的的雇员的相应应惩罚；鼓励励员工揭发违违规行为的机机制；以及对对未能汇报违违规行为员工工的培训都具具有特别重要要的意义。管管理层在这些些情况下采取取的行动所传传递的信息很很快便植入公公司文化中。 才能才能应反映出完完成个人工作作任务所需的的知识和技能能。这些任务务需要

49、完成到到何种程度，总总体上是来自自于管理层决决策，需要考考虑到企业目目标、管理层层策略和实现现目标的计划划。在才能和和成本之间经经常需要权衡衡例如，没没有必要雇佣佣一名电子工工程师来换一一只灯泡。管理层需要为特特定的工作确确定所需的才才能水平，并并将之具体到到所需的知识识和技能。而而必要的知识识和技能又有有赖于个人的的学识、培训训和经验。确确立知识和技技能水平所需需考虑的因素素包括特定工工作的性质和和所需的职业业判断。常需需在监管的程程度和个人所所需才能水平平之间取得平平衡。董事会或审计委委员会控制环境和“最最高基调”受到企业董董事会和审计计委员会的显显著影响。因因素包括董事事会或审计委委员会

50、相对于于管理层的独独立性，成员员的经验和地地位，活动的的涉及面和深深入程度，以以及行为的适适当性。另一一因素是经理理层关于计划划和业绩的棘棘手问题被提提出和从事的的程度。董事事会或审计委委员会与内部部和外部审计计师的协同合合作也是影响响控制环境的的因素。鉴于其重要性，一一个积极参与与的董事会，监监事会或其他他类似机构具有适当当程度的管理理、技术和其其他专业技能能，加之必要要的地位和头头脑，使其能能充分行使必必要的监管、指指导和监控职职责对有效的的内部控制至至关重要。由由于董事会必必须对问题有有所准备，仔仔细监察企业业活动，提出出可供选择的的观点，具有有勇气在明显显的错误面前前采取行动，因因此必

51、须设立立外部独立董董事。当然，本本企业的管理理人员和雇员员也常是高效效、重要的董董事会成员，将将公司情况摆摆上桌面。但但必须取得一一个制衡。尽尽管中小型企企业有困难吸吸引或承担半半数以上外部部董事的花费费，这在大企企业通常不成成问题董事会至至少应包括一一定量的外部部独立董事，这这一点非常重重要。外部董董事的具体数数量应符合企企业具体环境境的需要，但但通常需要超超过一个的外外部董事来使使董事会达到到必要的制衡衡。董事会和审计委委员会的存在在必要性和其其职责将在 “在中小型企企业的应用” 和第8章章中进一步讨讨论。管理哲学和经营营风格管理哲学和经营营风格影响企企业管理的方方式，包括企企业承受的风风

52、险类型。一一个已经成功功承担巨大风风险的企业和和一个由于冒冒险而面临艰艰难经济条件件和监管结果果的企业在内内部控制上可可能会有所不不同。一个非非正规管理的的企业，可能能大部分依赖赖与关键管理理人员面对面面的交流来实实施经营控制制。而正规些些的公司可能能更多依赖书书面的政策、业业绩指标和例例外报告来实实施控制。其他管理哲学和和经营风格要要素包括对财财务报告的态态度、对可选选会计原则保保守或激进的的选择，对所所作会计估计计的保守和尽尽责，以及对对数据处理、会会计和人事职职能的态度。管管理层如何实实施其职责将将在第8章中中进一步讨论论。组织结构企业的组织结构构提供了一个个构架，在此此构架中规划划、执

53、行、控控制和监督为为实现企业目目标而进行的的活动。企业业活动可能与与有时所指的的价值链相联联系：采购（收收货）的行为为，运作或生生产，外运（运运输），市场场、销售和服服务。还可以以有支持功能能，与管理、人人力资源或技技术发展相关关。确立相关组织结结构的主要方方面包括定义义关键领域的的权责分工，确确定合适的报报告途径。例例如，内审部部门对高级职职员应有不受受限制的接触触权，不直接接负责编制财财务报表，并并有充分的授授权以保证内内部审计的范范围，以及跟跟进所发现和和建议的事项项。每个企业都根据据自己的需要要确定组织结结构。一些是是集权型，一一些是分权型型。一些具有有直接的报告告关系，一些些则更多的

54、是是矩阵型的组组织结构。一一些企业按照照行业或产品品线，按照地地理分布，按按照特定的分分销渠道或营营销网点来组组织架构。另另外一些经济济实体，包括括国家和地方方政府和非赢赢利机构，则则按照功能来来组织。企业组织结构的的适当性部分分取决于规模模和所从事经经营活动的性性质。一个结结构严密的组组织，包括正正式的报告路路线和权责分分工，可能适适合一个拥有有很多部门分分支，包括海海外机构的大大型企业。然然而，它却可可能阻挡小企企业内的信息息流动。不管管何种组织结结构，应有利利于组织实施施为实现特定定目标而制定定的策略。权力和职责分配配这包括经营行为为的权责分配配，报告关系系和授权协议议的确立。它它涉及个

55、人和和团队被鼓励励主动提出和和解决问题的的程度以及权权力限制的程程度。它还涉涉及定义恰当当的企业行为为，关键人员员的知识和经经验，以及用用以履行职责责的资源的政政策。将权力下放，使使决策与一线线人员更靠近近，这样的趋趋势日益明显显。企业可能能实行这样的的方针以成为为更加市场推推动型或质量量关注型企业业可能为了了消除缺陷，缩缩短产品周期期或提高客户户满意度。为为达到上述目目的，企业需需要认识不断断变化的市场场偏好、商业业关系和公众众期望并作出出反应。所设设计的授权和和职责的结合合通常为了鼓鼓励在一定限限制内的个人人能动性。分分权或授权指指将某商业决决策的集中权权力下放到低低层梯队那些与日常常交易

56、最接近近的人。这可可能涉及对销销售折扣的授授权；长期供供应合同、许许可和专利的的谈判；或结结盟或合资。关键的挑战是授授权只到实现现企业目标所所需的程度。这这要求确保风风险承受度是是建立在鉴别别和最小化风风险的良好实实践上，包括括度量风险，将将潜在的风险险与赢利相权权衡，以进行行好的决策。另一个挑战是确确保所有员工工理解企业的的目标。每个个人都知道各各自行为与目目标的内在联联系以及对目目标的贡献，这这是非常关键键的。有时日益增长的的分权会伴随随着或成为企企业组织结构构简化或扁平平化的结果，而而且是有目的的的。有意为为之的结构改改变以鼓励创创新、能动性性、和迅速反反应的能力能能增强企业的的竞争力和

57、客客户满意度。这这种日益增长长的分权可能能带来对员工工更高级别的的管理者能力力以及更大责责任的内在需需要。它也需需要管理层实实施有效的程程序对结果监监控。伴随着着更好的市场场推动型决策策，授权可能能增加不合需需要或预期外外决策的数量量。如果某一一地区销售经经理认为，为为了赢得市场场分额，355%的销售折折扣授权有权权决定临时性性的45%的的折扣这一行行为是正当的的，管理层可可能需要过问问，决定这一一决策是越权权还是继续得得以实施下去去。控制环境受到个个人对各自职职责认识程度度的重大影响响。这即便对对主要管理者者也是正确的的，他们是企企业一切活动动，包括内部部控制的最终终负责人。人力资源政策和和

58、措施人力资源措施向向员工传递关关于预期的诚诚信度、道德德行为和才能能的信息。这这些与雇佣、指指导、培训、评评估、咨询、提提升、补偿、矫矫正等行为相相关。例如，那那些聘用最合合格员工的标标准，将重点点放在教育背背景、工作经经验、过去的的成就、诚信信的品格和道道德的行为，显显示了企业对对有才能和值值得信赖的员员工的偏好。包包括正式、深深入的面试，对对企业历史、文文化和经营风风格广泛和见见解深刻的演演示在内的招招聘活动传递递了企业以人人为本的理念念。传达未来来的职责的培培训政策，包包括培训学校校、研讨会的的实践、个案案研究、角色色扮演练习，这这些都反映了了企业预期的的员工业绩和和行为水平。由由定期业

59、绩评评估推动的人人员轮换和提提升，显示了了企业将合格格人员及时提提升到更高级级别的承诺。竞竞争补偿计划划包括奖金激激励，用于促促进和增强优优秀的业绩。惩惩罚性措施表表明对预定行行为的违反是是不能容忍的的。部分受日新月异异的科技和日日趋激烈的竞竞争的推动，企企业面临的问问题也迅速变变化并日趋复复杂，因此人人事必须准备备迎接新的挑挑战。教育和和培训，无论论是课堂中的的指导，自学学或在职培训训，必须使企企业员工有准准备跟上时代代，有效应对对环境的变化化。还须加强强企业影响质质量能动性的的能力。仅聘聘用能干的员员工，进行一一时的培训是是不够的。必必须进行持续续教育。差异和影响由于管理层偏好好、价值判断

60、断和管理风格格的差异，企企业的独立运运营分部、国国内外分公司司的控制环境境也大有差异异。控制环境境的差异有许许多方面的原原因。既然没没有两个运营营分部、国内内外分公司以以相同的方式式经营，那么么控制环境也也不可能一样样。因此，认认识到不同控控制环境会对对控制制度的的其他要素产产生影响，是是很重要的。无效控制环境的的影响是深远远的，可能造造成财务损失失，公众形象象受到影响或或导致企业破破产。以一家家被公认具备备有效内部控控制的军工承承包企业为例例。该公司具具有设计良好好的信息系统统和控制活动动，众多描述述内控职能的的政策手册，以以及广泛的协协调和监控程程序。它接受受政府审计。然然而，它的内内控环