注冊(cè)會(huì)計(jì)師考試《公司戰(zhàn)略與風(fēng)險(xiǎn)管理》講義：COSO內(nèi)部控制內(nèi)

1、注冊(cè)會(huì)計(jì)師考試公司戰(zhàn)略與風(fēng)險(xiǎn)管理講義：COSO內(nèi)部控制內(nèi)容的實(shí)踐    COSO內(nèi)部控制框架的五個(gè)要素包括：控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通、監(jiān)察。一、控制環(huán)境控制環(huán)境是其他內(nèi)部控制因素的根基?？刂骗h(huán)境因素包括人員的道德觀和勝任能力、董事會(huì)提供的指示和管理的效率?？刂骗h(huán)境應(yīng)包括堅(jiān)守誠(chéng)信及高尚的道德觀。就此而言，高級(jí)管理層必須把企業(yè)的價(jià)值觀和行為守則向雇員明確傳達(dá)。對(duì)違反行為守則的人員作出適當(dāng)?shù)奶幜P，是確保他們遵循行為守則并將其融入企業(yè)文化的重要一環(huán)激勵(lì)及誘惑是破壞深厚道德文化的可能誘因。前者包括施加壓力以實(shí)現(xiàn)不切實(shí)際的業(yè)績(jī)目標(biāo)（特別是短期業(yè)績(jī)）及

2、與業(yè)績(jī)掛鉤的豐厚報(bào)酬。后者包括無(wú)效的控制（例如在敏感的領(lǐng)域職責(zé)劃分不清）、薄弱的內(nèi)部審計(jì)職能、未能察覺(jué)及報(bào)告不當(dāng)行為，以及無(wú)法對(duì)高級(jí)管理者進(jìn)行客觀的監(jiān)督的低效率董事會(huì)?？刂骗h(huán)境還包括其他方面。例如，管理層應(yīng)說(shuō)明每項(xiàng)工作所需的才能水平，并具體地指出滿足工作必需的知識(shí)及技能。此外，董事會(huì)必須具備管理能力、專業(yè)技術(shù)及其他專長(zhǎng)，還必須擁有履行策略和監(jiān)督職能的才干及思維。董事會(huì)成員必須客觀、積極地問(wèn)詢管理層的活動(dòng)。董事會(huì)中的審計(jì)委員會(huì)成員亦應(yīng)富有經(jīng)驗(yàn)、符合資格、獨(dú)立且積極。此外，管理層應(yīng)當(dāng)確立報(bào)告關(guān)系及授權(quán)協(xié)定。其中主要的挑戰(zhàn)在于下放權(quán)責(zé)，但要限于實(shí)現(xiàn)目標(biāo)所需的程度。另一項(xiàng)重要挑戰(zhàn)是，要確保所有人員明白

3、企業(yè)的目標(biāo)。控制環(huán)境在很大程度上取決于個(gè)人對(duì)其將負(fù)有多大責(zé)任的了解。企業(yè)需要優(yōu)化組織結(jié)構(gòu)，以便為實(shí)現(xiàn)目標(biāo)而制定的策略能得以最有效地執(zhí)行。以下所列是控制環(huán)境因素的范圍：（一）誠(chéng)信和道德觀企業(yè)領(lǐng)導(dǎo)者必須創(chuàng)造一種除了財(cái)富之外還重視聲譽(yù)的價(jià)值觀氛圍。這樣能夠確保更好地留住員工，實(shí)現(xiàn)更高的銷售收入和利潤(rùn)，創(chuàng)造更好的市值和更多的報(bào)酬。誠(chéng)信和道德觀是企業(yè)控制環(huán)境的重要因素。如果企業(yè)已經(jīng)制定了嚴(yán)格的商業(yè)行為守則，該守則強(qiáng)調(diào)誠(chéng)信和道德觀，并且所有的利益相關(guān)者都遵循了這一守則，那么，這意味著該組織已擁有一流的道德觀。當(dāng)今，行為守則是公司治理的重要組成部分。但是，即便企業(yè)制定了一份嚴(yán)格的行為守則，如果雇員不是故意瀆

4、職，而僅僅因?yàn)椴涣私庠撌貏t，也會(huì)違反守則的原則。在多數(shù)情況下，雇員可能不知道他們正在做的事情是錯(cuò)誤的，或者可能錯(cuò)誤地認(rèn)為他們的行動(dòng)符合企業(yè)的最佳利益。這種錯(cuò)誤常常是由于高級(jí)管理層缺乏道德指南造成的，而不是雇員帶有欺騙的意圖。企業(yè)的政策和價(jià)值觀雖然常常嵌在行為守則中，但也必須向企業(yè)內(nèi)的各級(jí)人員傳達(dá)。任何企業(yè)內(nèi)都可能存在"害群之馬但是嚴(yán)格的政策和以身作則的適當(dāng)行動(dòng)，能夠促使員工采取正確行動(dòng)。在對(duì)特定領(lǐng)域進(jìn)行獨(dú)立復(fù)核時(shí)，審計(jì)師或管理者應(yīng)始終確定恰當(dāng)?shù)男畔⒒蛐盘?hào)己在企業(yè)內(nèi)傳達(dá)。所有的管理者及其他股東都應(yīng)該對(duì)其所在企業(yè)的行為守則及其應(yīng)用和傳達(dá)方式有充分的了解。如果行為守則已經(jīng)過(guò)時(shí)，那么它就不能

5、解決企業(yè)面臨的道德方面的重要問(wèn)題如果公司管理者未能反復(fù)向所有利益相關(guān)者傳達(dá)行為守則，那么它可能成為企業(yè)內(nèi)部控制的一個(gè)重大不足。即使行為守則描述了企業(yè)道德行為的規(guī)則，而且管理層的資深成員可能已定期傳達(dá)了恰當(dāng)?shù)牡赖滦畔ⅲ渌募?lì)和誘惑也可能破壞整個(gè)內(nèi)部控制環(huán)境。如果企業(yè)存在促使雇員采取某些行動(dòng)的巨大激勵(lì)或誘惑，則員工很可能受到誘惑，作出不誠(chéng)實(shí)、不合法或不道德的舉動(dòng)。例如，一家企業(yè)可能設(shè)立了過(guò)高的不切實(shí)際的銷售或生產(chǎn)指標(biāo)。達(dá)成這些業(yè)績(jī)目標(biāo)后能獲得豐厚報(bào)酬，或者更糟糕的是，不能實(shí)現(xiàn)目標(biāo)就要面臨巨大的威脅，因而雇員會(huì)進(jìn)行可疑操作，或記錄虛假的賬目交易，以實(shí)現(xiàn)這些目標(biāo)。促使利益相關(guān)者編制不當(dāng)?shù)臅?huì)計(jì)記錄

6、或作出類似舉動(dòng)的誘惑包括，缺乏控制或控制無(wú)效（比如，在敏感的領(lǐng)域職責(zé)劃分不清），權(quán)力高度分散導(dǎo)致最高管理層對(duì)企業(yè)內(nèi)的低級(jí)別人員所采取的行動(dòng)毫不知情，從而使其被發(fā)現(xiàn)的機(jī)會(huì)減少，薄弱的管理職能既沒(méi)有能力也沒(méi)有權(quán)力偵查和報(bào)告不當(dāng)行為。對(duì)于不當(dāng)行為的處罰如不嚴(yán)厲或未公開(kāi)，則無(wú)法起到威懾作用。（二）用人唯才的承諾如果大量崗位被缺乏必要崗位技能的人員所占據(jù)，那么企業(yè)的控制環(huán)境很可能會(huì)被嚴(yán)重破壞。管理者會(huì)不時(shí)地遇到如下情形：被分配了某項(xiàng)具體工作的人員看起來(lái)不具備完成這項(xiàng)工作所需的適當(dāng)技能、訓(xùn)練或智慧。由于每個(gè)人的技能和才干水平不同，應(yīng)提供充足的監(jiān)督和培訓(xùn)，以幫助雇員獲得適當(dāng)?shù)募寄?。企業(yè)應(yīng)說(shuō)明各種工作所需的才

7、能水平，并將其具體化為必需的知識(shí)及技能。企業(yè)用人唯才的承諾可以通過(guò)為適當(dāng)?shù)娜瞬欧峙蛇m當(dāng)?shù)墓ぷ?，并在必要時(shí)提供充分的培訓(xùn)的方式來(lái)實(shí)現(xiàn)。用人唯才的承諾是企業(yè)整體控制環(huán)境的重要因素。管理者常常發(fā)現(xiàn)，對(duì)于職位描述是否充分，為適當(dāng)?shù)娜瞬虐才胚m當(dāng)?shù)墓ぷ鞯某绦蚴欠襁\(yùn)轉(zhuǎn)正常，以及培訓(xùn)和監(jiān)督是否充分進(jìn)行評(píng)估是具有重要價(jià)值的。作為控制環(huán)境的一個(gè)重要部分，對(duì)員工的才能作出客觀中肯的評(píng)價(jià)是比較困難的。雖然許多人力資掘部門(mén)通常都會(huì)制定詳細(xì)的評(píng)級(jí)和評(píng)價(jià)機(jī)制，但是，員工常常都會(huì)被評(píng)為"高于平均水平"。就各級(jí)員工而言，管理層應(yīng)切實(shí)地評(píng)估他們是否能勝任所分配的工作，以及是否能為實(shí)現(xiàn)整體組織目標(biāo)付出努力。（三

8、）董事會(huì)和審計(jì)委員會(huì)控制環(huán)境在很大程度上受董事會(huì)和審計(jì)委員會(huì)的行為影響。以往，董事會(huì)和審計(jì)委員會(huì)常常被高級(jí)管理層控制只有有限的少數(shù)代表來(lái)自外部股東。這導(dǎo)致董事會(huì)不能完全獨(dú)立于管理層。公司管理人員在董事會(huì)任職，實(shí)際上形成了自我管理的局面，而且，與管理者個(gè)人利益相比，他們對(duì)外部股東的關(guān)注常常較少。隨著時(shí)間的推移和相關(guān)法律法規(guī)的出臺(tái)，上述情況得以改善?，F(xiàn)在的董事會(huì)承擔(dān)著更為重要的公司治理的職責(zé)，審計(jì)委員會(huì)必須由獨(dú)立的外部董事組成。積極且獨(dú)立的董事會(huì)也是企業(yè)的控制環(huán)境的主要組成部分。董事會(huì)成員應(yīng)向最高管理層提出適當(dāng)?shù)膯?wèn)題，并對(duì)企業(yè)的各個(gè)方面進(jìn)行細(xì)致的審查。通過(guò)制定高水準(zhǔn)的政策和審查整體業(yè)務(wù)的行為，董事

9、會(huì)及其審計(jì)委員會(huì)對(duì)確定"企業(yè)領(lǐng)導(dǎo)層的基調(diào)"承擔(dān)最終責(zé)任。（四）管理哲學(xué)和經(jīng)營(yíng)風(fēng)格高級(jí)管理層對(duì)企業(yè)的控制環(huán)境有著不可忽視的影響。一些最高管理者頻繁地冒險(xiǎn)嘗試新業(yè)務(wù)或新產(chǎn)品，使企業(yè)面臨重大風(fēng)險(xiǎn)，而其他管理者卻極為謹(jǐn)慎和保守的形事。一些管理者似乎是憑直覺(jué)做事，而其他管理者則堅(jiān)持認(rèn)為每件事都應(yīng)得到批準(zhǔn)并被恰當(dāng)?shù)挠涗浵聛?lái)。管理哲學(xué)和經(jīng)營(yíng)風(fēng)格需要考慮得上數(shù)十項(xiàng)，均是企業(yè)控制環(huán)境的一部分。管理者及負(fù)責(zé)評(píng)估內(nèi)部控制的其他人士應(yīng)了解這些因素，并在整個(gè)企業(yè)施行有效的內(nèi)部控制系統(tǒng)時(shí)考慮這些因素。事實(shí)上，沒(méi)有那一套風(fēng)格和哲學(xué)是最好的。企業(yè)要對(duì)管理層的勝任能力有要求，第一步是挑選那些誠(chéng)信、獨(dú)立于董事

10、會(huì)的專業(yè)人士，他們必須通過(guò)董事會(huì)方面的培訓(xùn)和資格認(rèn)證。（五）組織結(jié)構(gòu)組織結(jié)構(gòu)能夠?yàn)橐?guī)劃、執(zhí)行、控制和監(jiān)察活動(dòng)提供框架，以實(shí)現(xiàn)企業(yè)整體目標(biāo)。有一些組織是高度集中的，而另外一些組織則按照產(chǎn)品或地區(qū)分散了權(quán)利。還有一些組織形式是矩陣式，不存在單一的直線報(bào)告。企業(yè)的不同部分組合起來(lái)的方式有多種。企業(yè)控制是為了更龐大的控制程序的一部分。“組織（organization）”這一術(shù)語(yǔ)常?？膳c“使組織起來(lái)（organizing）”互換，對(duì)很多人拉說(shuō)，二者的意思是相同的?！敖M織”有時(shí)是指人與人之間的登機(jī)關(guān)系，其更廣義的用法還可能包括管理層的所有問(wèn)題?！敖M織”可以被描述為：個(gè)人經(jīng)過(guò)分派獲得的工作并在后續(xù)過(guò)程中結(jié)合

11、起來(lái)以實(shí)現(xiàn)整體目標(biāo)的方式。在某種意義上，這種概念可用于一個(gè)個(gè)體組織其個(gè)人工作投入的方式，也適用于大量的人員以小組的形式投入工作的情況。對(duì)于大型現(xiàn)代企業(yè)來(lái)說(shuō)，為組織控制制定完善的計(jì)劃是內(nèi)部控制系統(tǒng)中非常重要的部分。個(gè)人和小群體應(yīng)了解其所在的小組的目標(biāo)及企業(yè)的總體目標(biāo)。倘若缺乏這樣的了解，控制可能存在重大的缺陷。無(wú)論是商業(yè)組織、政府、慈善組織或其他部門(mén)，每個(gè)組織都需要制定有效的組織計(jì)劃。對(duì)任何職能或部門(mén)負(fù)責(zé)的管理者必須對(duì)組織結(jié)構(gòu)有充分的了解。組織控制的缺陷常常會(huì)對(duì)整個(gè)控制環(huán)境產(chǎn)生普遍影響。盡管權(quán)力界限劃分明確，但企業(yè)內(nèi)在的效率低下問(wèn)題會(huì)隨著組織規(guī)模的擴(kuò)大而變得更為嚴(yán)重。這種效率低下問(wèn)題常常會(huì)造成控

12、制程序失靈，因此，在評(píng)估組織控制環(huán)境時(shí)，管理層應(yīng)關(guān)注這些問(wèn)題。復(fù)雜的或者不容易理解的組織結(jié)構(gòu)可能帶來(lái)嚴(yán)重問(wèn)題。母公司將一個(gè)部 '門(mén)作為一個(gè)獨(dú)立的企業(yè)分離出去的情況，在當(dāng)今并不少見(jiàn)。這種新企業(yè)的雇員以前采用的是母公司的控制系統(tǒng)和程序，但是現(xiàn)在他們有責(zé)任為新企業(yè)設(shè)立組織結(jié)構(gòu)控制。企業(yè)合并、聯(lián)營(yíng)和收購(gòu)發(fā)生時(shí)，組織結(jié)構(gòu)的權(quán)力界限對(duì)于利益相關(guān)者來(lái)說(shuō)可能是不清楚的。當(dāng)獨(dú)立經(jīng)營(yíng)的業(yè)務(wù)運(yùn)轉(zhuǎn)起來(lái)，并且財(cái)務(wù)結(jié)構(gòu)細(xì)節(jié)被確定后，內(nèi)部控制結(jié)構(gòu)卻時(shí)常被忽視。（六）權(quán)力和責(zé)任的分配組織的結(jié)構(gòu)對(duì)總體工作投入的分配與整合作出詳細(xì)說(shuō)明。權(quán)力的分配本質(zhì)上是指按照工作描述確定責(zé)任，根據(jù)組織結(jié)構(gòu)圖形成責(zé)任。盡管工作評(píng)估無(wú)法完全

13、避免責(zé)任的重疊或連帶責(zé)任，但是這些責(zé)任的說(shuō)明越準(zhǔn)確越好。關(guān)于如何分配責(zé)任的決定，常常會(huì)在個(gè)人與小組工作投入之間造成棍亂甚至沖突。現(xiàn)在，無(wú)論什么類型或規(guī)模的企業(yè)都簡(jiǎn)化了業(yè)務(wù)，并將決策權(quán)下放，且越來(lái)越接近一線工作人員。一線人員應(yīng)具有在其自身業(yè)務(wù)領(lǐng)域作出重大決策的能力和權(quán)力，而無(wú)需請(qǐng)求上級(jí)作出決策。這樣，授權(quán)或雇用造成的主要挑戰(zhàn)是，盡管可以授予部分權(quán)力，以實(shí)現(xiàn)某些組織目標(biāo)，但高級(jí)管理層仍需為這些下屬所作的所有決策承擔(dān)最終的責(zé)任。如果未經(jīng)管理層復(fù)核，就將過(guò)多涉及更高級(jí)目標(biāo)的決策交由不適當(dāng)?shù)妮^低級(jí)別人員負(fù)責(zé)，企業(yè)將處于危險(xiǎn)之中。此外，企業(yè)內(nèi)的每個(gè)人必須對(duì)該組織的整體目標(biāo)，以及個(gè)人行為與實(shí)現(xiàn)目標(biāo)之間的相互

14、關(guān)聯(lián)有充分的了解。 COSO內(nèi)部控制報(bào)告中關(guān)于架構(gòu)的部分對(duì)控制環(huán)境這一重要問(wèn)題作出了如下描述：個(gè)人了解自己將負(fù)有多大責(zé)任，且能夠?qū)刂骗h(huán)境產(chǎn)生重要影響。這個(gè)結(jié)論適用各級(jí)人員，包括對(duì)企業(yè)的所有活動(dòng)（包括內(nèi)部控制系統(tǒng)）承擔(dān)最終責(zé)任的首席執(zhí)行官。（七）人力資源政策和實(shí)務(wù)人力資源實(shí)務(wù)包括諸如招聘、人職培訓(xùn)"、在職培訓(xùn)11、評(píng)估、咨詢、晉升、賠償和采取適當(dāng)?shù)某C正措施。人力資漉部門(mén)應(yīng)針對(duì)這些方面制定并公布充分的政策。不過(guò)，值得注意的是，對(duì)人力資源政策的操作會(huì)向雇員傳達(dá)有關(guān)其預(yù)期道德行為水準(zhǔn)和能力的信息。一旦高級(jí)別雇員公開(kāi)破壞人力資驚政策，比如無(wú)視工廠禁煙令，企業(yè)的其他人將會(huì)迅速獲悉。如果低級(jí)別的

15、雇員因?yàn)槲唇?jīng)許可吸煙而受到處罰，但人們對(duì)違反規(guī)定的高級(jí)雇員卻睜一只眼閉一只眼，那么消息擴(kuò)散的速度會(huì)更快。上述人力資源政策和實(shí)務(wù)對(duì)某些方面具有特殊的重要意義，包括：（1）招聘和雇用。企業(yè)應(yīng)設(shè)法招聘最具資格的人選。應(yīng)核實(shí)潛在雇員的背景，證實(shí)他們的學(xué)歷和工作經(jīng)驗(yàn)。應(yīng)精心組織應(yīng)聘者的面試，對(duì)應(yīng)聘者具有深入的了解。人力資源亦應(yīng)向潛在的雇員傳遞信息，使他們了解企業(yè)的價(jià)值觀、文化和經(jīng)營(yíng)風(fēng)格。（2）新雇員的人職培訓(xùn)。應(yīng)將企業(yè)價(jià)值觀體系和不遵循這些價(jià)值觀的后果明確告知新雇員。通常在向新員工介紹行為守則并要求他們正式確認(rèn)接受該守則時(shí)，告知他們上述事項(xiàng)。如果不能向新雇員傳遞這些信息，那么他們?cè)诩尤朐摻M織時(shí)可能缺乏對(duì)

16、于企業(yè)價(jià)值觀的了解。（3）評(píng)估、晉升和賠償。應(yīng)實(shí)施公平的績(jī)效評(píng)估程序，并且使之不受額外的管理支配。由于諸如評(píng)估和賠償?shù)膯?wèn)題可能涉及雇員的隱私，因此，整個(gè)系統(tǒng)應(yīng)對(duì)企業(yè)內(nèi)的所有成員一視同仁。通常，獎(jiǎng)金激勵(lì)計(jì)劃都是一項(xiàng)激發(fā)和強(qiáng)化所有雇員的出色表現(xiàn)的有用工具，但是應(yīng)堅(jiān)持以公平公正的方式發(fā)放獎(jiǎng)金的原則。（4）懲戒措施。應(yīng)實(shí)施統(tǒng)一且易于理解的懲戒政策。所有雇員應(yīng)了解一旦他們違反了特定規(guī)則，將會(huì)面臨不同程度的懲戒，直至解雇。企業(yè)應(yīng)盡力確保懲戒措施不存在雙重標(biāo)準(zhǔn)，如果存在雙重標(biāo)準(zhǔn)，那么高級(jí)別的雇員違反了特定規(guī)則，將會(huì)面臨更嚴(yán)重的懲罰。有效的人力資源政策和程序是整體控制環(huán)境至關(guān)重要的組成部分。如果企業(yè)未設(shè)立嚴(yán)格

17、的人力資源政策和措施，那么即使企業(yè)組織結(jié)構(gòu)很牢固，領(lǐng)導(dǎo)層傳達(dá)的信息也不會(huì)產(chǎn)生多少影響。管理層在對(duì)內(nèi)部控制架構(gòu)的其他因素進(jìn)行復(fù)核時(shí)，應(yīng)始終考慮控制環(huán)境的人力資源政策和因素。COSO立體模型說(shuō)明，控制環(huán)境是內(nèi)部控制的根本性組成部分。以此方式說(shuō)明控制環(huán)境的根基地位是恰當(dāng)?shù)摹Ｔ噲D建立牢固的內(nèi)部控制結(jié)構(gòu)的企業(yè)應(yīng)特別注意為控制環(huán)境結(jié)構(gòu)奠定堅(jiān)實(shí)的基礎(chǔ)。二、風(fēng)險(xiǎn)評(píng)估按照 COSO立體模型，控制活動(dòng)的上一層是風(fēng)險(xiǎn)評(píng)估。企業(yè)實(shí)現(xiàn)其目標(biāo)的能力可能受到來(lái)自多個(gè)內(nèi)外部因素的不利影響。作為整體內(nèi)部控制結(jié)構(gòu)的一部分，企業(yè)應(yīng)實(shí)施一個(gè)程序，來(lái)評(píng)估可能影響其各種內(nèi)部控制目標(biāo)實(shí)現(xiàn)的潛在風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估可能是正規(guī)的量化風(fēng)險(xiǎn)評(píng)估程序，也

18、可能是不太正規(guī)的方法，但是應(yīng)包含對(duì)風(fēng)險(xiǎn)評(píng)估程序最起碼的理解。例如，企業(yè)設(shè)定的目標(biāo)是不改變營(yíng)銷計(jì)劃，那么如果出現(xiàn)新的競(jìng)爭(zhēng)對(duì)手則可能對(duì)該企業(yè)設(shè)置的目標(biāo)造成壓力，這需要對(duì)無(wú)法實(shí)現(xiàn)該目標(biāo)的風(fēng)險(xiǎn)作出評(píng)估。風(fēng)險(xiǎn)評(píng)估是一個(gè)具有前瞻性的過(guò)程。也就是說(shuō)，許多企業(yè)已經(jīng)發(fā)現(xiàn)，對(duì)他們的各類風(fēng)險(xiǎn)水平進(jìn)行評(píng)估的最佳時(shí)機(jī)是制定年度計(jì)劃或定期計(jì)劃的過(guò)程。應(yīng)在所有層面以及企業(yè)的所有活動(dòng)中實(shí)施這樣的風(fēng)險(xiǎn)評(píng)估程序。 COSO內(nèi)部控制架構(gòu)將風(fēng)險(xiǎn)評(píng)估描述成一個(gè)可以分為三步的程序。第一步是估計(jì)風(fēng)險(xiǎn)的重要'性；第二步是評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性或頻率；第三步是考慮如何對(duì)風(fēng)險(xiǎn)進(jìn)行管理，以及應(yīng)采取何種行動(dòng)。COSO內(nèi)部控制架構(gòu)強(qiáng)調(diào)風(fēng)險(xiǎn)分析并

19、非一個(gè)理論過(guò)程，而且常常對(duì)實(shí)體的整體成功起到至關(guān)重要的作用。管理層是內(nèi)部控制整體評(píng)估的重要一環(huán)，他們應(yīng)采取措施對(duì)可能影響整個(gè)企業(yè)的風(fēng)險(xiǎn)，以及不同的組織活動(dòng)或?qū)嶓w所面對(duì)的風(fēng)險(xiǎn)進(jìn)行評(píng)估。由內(nèi)部或外部原因?qū)е碌母鞣N風(fēng)險(xiǎn)可能對(duì)整個(gè)組織產(chǎn)生影響。 COSO企業(yè)風(fēng)險(xiǎn)評(píng)估己對(duì)某些主要組成部分給出定義，做了一般性說(shuō)明，并概述了一種能使組織對(duì)企業(yè)層面的風(fēng)險(xiǎn)進(jìn)行更好管理的方法。風(fēng)險(xiǎn)管理包括識(shí)別和分析影響目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)（包括與不斷變化的監(jiān)管、運(yùn)營(yíng)環(huán)境和商業(yè)策略有關(guān)的風(fēng)險(xiǎn)），以此來(lái)確定如何降低和管理此類風(fēng)險(xiǎn)的依據(jù)。第九章將針對(duì)風(fēng)險(xiǎn)管理的程序作更詳盡的討論。三、控制活動(dòng)評(píng)估風(fēng)險(xiǎn)只是整個(gè)內(nèi)部控制程序的一部分，管理層必須確

20、定處理風(fēng)險(xiǎn)所需的行動(dòng)，并付諸執(zhí)行。這些行動(dòng)亦應(yīng)將注意力集中于控制活動(dòng)的作用，目的是確保所需的行動(dòng)得以有效且適時(shí)地執(zhí)行。換而言之，控制活動(dòng)包括多種政策和程序，有助于確保管理層的有關(guān)指示得以執(zhí)行，處理風(fēng)險(xiǎn)以實(shí)現(xiàn)企業(yè)目標(biāo)所需的行動(dòng)得以實(shí)施。與大型企業(yè)相比，小型企業(yè)的內(nèi)部控制程序可能不太正規(guī)且較具靈活性，但一貫地執(zhí)行內(nèi)部控制的有關(guān)政策及程序是十分重要的?？刂苹顒?dòng)可為雇員提供指南（命令式的控制），設(shè)計(jì)這些活動(dòng)旨在防止發(fā)生不希望出現(xiàn)的事情（預(yù)防性控制），或者在不希望出現(xiàn)的事情發(fā)生時(shí)能夠加以識(shí)別（偵察式控制）。當(dāng)不希望出現(xiàn)的事情發(fā)生時(shí)，應(yīng)識(shí)別程序的缺陷，并主動(dòng)采取措施加以解決，此類活動(dòng)稱為"糾正性

21、控制活動(dòng)"?？刂苹顒?dòng)可分為運(yùn)營(yíng)、財(cái)務(wù)報(bào)告及合規(guī)三個(gè)類別，但它們之間有時(shí)可能出現(xiàn)重疊。常見(jiàn)的內(nèi)部控制活動(dòng)有（1）組織控制（2）職責(zé)劃分；（3）調(diào)節(jié)和復(fù)核（4）實(shí)物控制（5）授權(quán)和批準(zhǔn)（6）計(jì)算和會(huì)計(jì)；（7）人員控制（8）監(jiān)督及管理控制。（一）組織控制組織控制是指組織結(jié)構(gòu)提供的控制，比如組織活動(dòng)和經(jīng)營(yíng)分成若干部門(mén)或責(zé)任中心，責(zé)任區(qū)分明確，在企業(yè)內(nèi)授權(quán)，確立企業(yè)內(nèi)的報(bào)告路徑，協(xié)調(diào)不同部門(mén)或小組之間的活動(dòng)，比如設(shè)立委員會(huì)或項(xiàng)目組。（二）職責(zé)劃分進(jìn)行職責(zé)分工的主要目的是防止具有欺騙性的活動(dòng)發(fā)生或未被查出。管理層可以通過(guò)在兩個(gè)或兩個(gè)以上的人員之間分配工作的方式實(shí)現(xiàn)這一監(jiān)控目標(biāo)。就適當(dāng)?shù)穆氊?zé)分工而

22、言，不應(yīng)由一個(gè)人控制一項(xiàng)交易或一個(gè)事件的所有關(guān)鍵方面，而且一個(gè)人履行的職能可通過(guò)其他人執(zhí)行的職能進(jìn)行檢查。大多數(shù)交易可分成三類獨(dú)立的職責(zé)：認(rèn)可或發(fā)起交易、處理被交易的資產(chǎn)，以及記錄交易。這樣能降低舞弊風(fēng)險(xiǎn)，同時(shí)降低出現(xiàn)差錯(cuò)的風(fēng)險(xiǎn)。如果一個(gè)人為上述活動(dòng)中的一項(xiàng)以上活動(dòng)承擔(dān)責(zé)任，則存在舞弊的可能。職責(zé)劃分還能較容易地發(fā)現(xiàn)非本意造成的錯(cuò)誤，因此不應(yīng)僅將其視為對(duì)舞弊的控制。盡管職責(zé)劃分能夠避免一個(gè)人舞弊的情況，但對(duì)于兩人或兩人以上串通舞弊卻是元效的。在董事會(huì)層面，公司治理守則（比如英國(guó)綜合守則）指出，董事會(huì)主席與首席執(zhí)行官的職責(zé)應(yīng)分離，以防止一個(gè)人取得董事會(huì)的支配地位。但是，如果這些職能尚未或無(wú)法分離

23、，那么，應(yīng)由管理層對(duì)相關(guān)活動(dòng)進(jìn)行詳細(xì)的監(jiān)管審核，作為一種補(bǔ)償性控制。（三）調(diào)節(jié)和復(fù)核調(diào)節(jié)和復(fù)核業(yè)績(jī)屬于偵察式控制。所謂調(diào)節(jié)是指雇員將不同數(shù)據(jù)連接在一起，識(shí)別并找出差異，并且在必要時(shí)采取糾正措施。但是更重要的是，執(zhí)行調(diào)節(jié)的人員要理解這一程序的重要性以及巳識(shí)別的差錯(cuò)的影響。調(diào)節(jié)包括比較總賬的現(xiàn)金金額與銀行對(duì)賬單的現(xiàn)金余額、總賬的應(yīng)收款金額與相關(guān)補(bǔ)貼賬戶總額，以及固定資產(chǎn)的現(xiàn)場(chǎng)盤(pán)點(diǎn)與會(huì)計(jì)記錄中記載的金額。所謂業(yè)績(jī)復(fù)核，是指管理層將當(dāng)前的業(yè)績(jī)與預(yù)算、以前期間或其他基準(zhǔn)相比較，以此反映目標(biāo)的完成情況，并對(duì)其中的差異進(jìn)行調(diào)查，以確定哪些糾正行動(dòng)是必要的。（四）實(shí)物控制實(shí)物控制是指保護(hù)實(shí)物資產(chǎn)不被偷盜或未經(jīng)

24、許可而獲得及被使用的措施和程序。實(shí)物控制包括使用保險(xiǎn)箱儲(chǔ)存現(xiàn)金和重要文件，為大樓或其內(nèi)的區(qū)域設(shè)立門(mén)禁系統(tǒng)，為貴重資產(chǎn)采取兩重保管方法，必須兩人同時(shí)出現(xiàn)才能取得某些資產(chǎn)，定期對(duì)存貨進(jìn)行盤(pán)點(diǎn)，以及雇用保安和利用閉路電視攝像頭。（五）授權(quán)和批準(zhǔn)某些控制活動(dòng)可提供其他控制活動(dòng)運(yùn)作正?；蛐枰峁┲改弦愿纳七@些控制活動(dòng)的運(yùn)作等信息。例如，被授權(quán)的雇員可能開(kāi)展了達(dá)到某項(xiàng)限制的交易，并且須為超出規(guī)定限制的交易取得批準(zhǔn)。批準(zhǔn)上述超出規(guī)定限制的交易時(shí)，上級(jí)必須在核實(shí)該活動(dòng)符合政策及程序的基礎(chǔ)上，才能予以批準(zhǔn)。就此來(lái)說(shuō)，上級(jí)批準(zhǔn)亦可作為一種監(jiān)控工具，來(lái)確保政策得以遵守。由于這些控制旨在控制不希望出現(xiàn)的事件，因此，可視之為預(yù)防性控制。預(yù)防性控制的主要目的是防止錯(cuò)誤的發(fā)生。一般而言，為了幫助確?？刂苹顒?dòng)發(fā)揮最大效果，在上級(jí)批準(zhǔn)及授權(quán)時(shí)應(yīng)提供書(shū)面指南、權(quán)力限制及支持性文件。另外，上級(jí)領(lǐng)導(dǎo)嚴(yán)肅地履行批準(zhǔn)職能是非常重要的。這要求他們能夠積極核查文件，對(duì)異常事項(xiàng)進(jìn)行詢問(wèn)，以及提醒自己不在空白表格上簽字。（六）計(jì)算和會(huì)計(jì)此類控制要求在會(huì)計(jì)系統(tǒng)中正確地記錄交易。依靠會(huì)計(jì)記錄能夠追蹤每項(xiàng)交易，核對(duì)計(jì)算。比如，在向客戶發(fā)貨或批準(zhǔn)支付前仔細(xì)檢查發(fā)票上的數(shù)字，確保數(shù)字是正確的。（七）人員控制此類控制適用于選擇和培訓(xùn)雇員