COSO內控框架培訓資料

1、COSO內部控控制框架培訓訓資料內容提要：一、背景介紹（一）COSOO內部控制框框架的產生及及發(fā)展過程（二）中石油目目前的內部控控制體系與CCOSO內部部控制框架的的差距二、COSO內內部控制框架架下內部控制制的定義（一）COSOO內部控制框框架對內部控控制的定義（二）對內部控控制定義的理理解（三）COSOO內部控制框框架的組成要要素三、COSO內內部控制框架架五要素 （一） 內控控環(huán)境（二）風險評估估（三）內控活動動（四）信息與溝溝通 （五）監(jiān)督四、內部控制的的局限性五、員工在內部部控制中的作作用和職責六、小結一、背景介紹內部控制是什么么?不同的人人有不同的理理解。 一般般的人把內部部控制理

2、解為為組織為了減減少決策失誤誤和工作缺陷陷而實施的控控制,這些控控制可能是內內部監(jiān)督、也也可能是管理理手冊、規(guī)章章制度等。這這種理解沒有有錯，但不全全面。按照現現代的內控理論論，這些僅僅僅是內部控制制的一部分，而而不是全部?，F代內內控理論認為為，內部控制制是一個系統(tǒng)統(tǒng)化的框架，它它建立在風險險管理的基礎礎上，包括內內控環(huán)境、風風險分析、內內控活動、信信息與溝通、監(jiān)監(jiān)督五大要素素。（一）COSOO內部控制框框架的產生和和發(fā)展過程內部控制理論的的發(fā)展是一個個逐步演變的的過程，大致致可以區(qū)分為為內部牽制、內內部控制制度度、內部控制制結構與內部部控制整體框框架四個階段段。在內部牽牽制階段，賬賬目間的相

3、互互核對是內控控的主要內容容，設定崗位位分離是內控控的主要方式式，這在早期期被認為是確確保所有賬目目正確無誤的的一種理想控控制方法；在在內部控制制制度階段，內內部控制的重重點是建立健健全規(guī)章制度度；在內部控控制結構階段段，內部控制制被認為是為為合理保證企企業(yè)特定目標標的實現而建建立的各種政政策和程序，分分為內控環(huán)境境、會計制度度和控制程序序三個方面；內部控制整整體框架階段段，就是我們們下面將要討討論的COSSO內部控制制框架。在美國，20世世紀70年代代中期，與內內部控制有關關的活動大部部分集中在制制度的設計和和審計方面，重重在改進內部部控制制度和和方法。19973年至11976年對對水門事件

4、（美美國公司進行行違法的國內內捐款和賄賂賂外國政府官官員）的調查查使得立法機機關與行政機機關開始注意意到內部控制制問題。針對對調查的結果果，美國國會會于19799年通過了反反國外賄賂法法（簡稱FFCPA）。FFCPA除了了規(guī)定了關于于反賄賂的條條款外，還規(guī)規(guī)定了與會計計及內部控制制有關的條款款。因此美國國許多機構都都加強了對內內部控制的研研究并提出許許多建議。11985年，由由美國注冊會會計師協(xié)會、會會計協(xié)會、財財務主管協(xié)會會、內部審計計師協(xié)會、管管理會計師協(xié)協(xié)會聯合創(chuàng)建建了反虛假財務報告告委員會，該該委員會旨在在探討財務報報告中的舞弊弊產生的原因因，并尋找解解決措施。兩兩年后，該委委員會提出

5、了了很多有價值值的建議?；谠撐瘑T會會的建議，其其贊助機構成成立COSOO委員會，專專門研究內部部控制問題。11992年99月，COSSO委員會提提出了報告內內部控制整體框架（11994年進進行了增補）， 即COSOO內部控制框框架。 COSO內控控框架的提出出標志著內部部控制理論發(fā)發(fā)展到新的階階段，對企業(yè)業(yè)完善和優(yōu)化化內部控制、增強風險防范能力具有十分重要的意義。COSO內部控制框架之所以被廣泛地選擇作為構建和完善內部控制體系的標準，是因為：雖然COSO內部控制框架并非唯一的內部控制框架，但卻是美國證券交易委員會唯一推薦使用的內部控制框架，薩班斯法案第 404 條款的最終細則也明確表明 C

6、OSO內部控制框架可以作為評估企業(yè)內部控制的標準。股份公司作為紐約證交所上市公司，需要按照法案要求，引進COSO內部控制框架，整合現有內部控制，滿足法案的要求。同時，對股份公司來說，這也是梳理管理流程、規(guī)范管理、提升整體管理水平的契機。COSO內部控制框架是一個較為理想的框架，幾乎所有公司的內部控制均與之有一定差距，美國各大公司也正在為此而努力，雖然這必然加大企業(yè)負擔，但多數公司同股份公司一樣，希望通過理解和貫徹COSO內部控制框架要求，來實現提升管理水平的目的。（二）中石油目目前的內部控控制體系與CCOSO內部部控制框架的的差距目前，股份公司司通過多年的的管理實踐和和積累，已經經建立了一套套

7、針對石油行行業(yè)的行之有有效的內控體體系，但與CCOSO內部部控制框架的的要求相比還還存在一些距距離。這些差差距主要體現現在：內部控控制體系的整整體框架、內內控環(huán)境、風風險評估等理理念尚未被廣廣泛接受、內內部控制的文文檔記錄還不不夠系統(tǒng)規(guī)范范、缺乏自我我評估機制等等?！八街?，可可以攻玉”，COSOO內控框架對對于我們加強強企業(yè)內部控控制具有一定定的啟發(fā)和借借鑒意義。為為此，我們需需要認真學習習COSO內內部控制框架架理論，充分分認識和理解解COSO內內部控制框架架，并在實際際經營管理中中積極實踐，大大力貫徹和實實施，從而優(yōu)優(yōu)化內部控制制，完善內控控體系，全面面提升公司管管理水平。二、COSO

8、內內部控制框架架下內控制度度定義（一）COSOO內控框架對對內部控制的的定義COSO內部控控制框架認為為，內部控制制是受企業(yè)董董事會、管理理層和其他人人員影響，為為經營的效率率效果、財務務報告的可靠靠性、相關法法規(guī)的遵循性性等目標的實實現而提供合合理保證的過過程。（二）對內部控控制定義的理理解應該從以下幾個個方面理解內內部控制的定定義：第一，內部控制制是一個“過程”，而且是一一個動態(tài)的過過程。企業(yè)的的經營活動是是永不停止的的，企業(yè)的內內部控制過程程也因此不會會停止，它是是一個發(fā)現問問題、解決問問題、發(fā)現新新問題、解決決新問題的循循環(huán)往復的過過程。內部控控制應該與企企業(yè)的經營管管理過程相結結合，

9、而不是是凌駕于企業(yè)業(yè)的基本活動動之上，它促促使經營達到到預期的效果果，并監(jiān)督企企業(yè)經營過程程的持續(xù)有效效進行。第二，內部控制制受到“人”的因素的影影響，它并不不僅僅是政策策手冊和表格格，不僅僅是是管理人員、內內部審計或董董事會，而是是組織中的每每一個人，每每一個人都對對內部控制負負有責任并受受到內部控制制的影響；是是“人”建立企業(yè)的的目標，并將將控制機制賦賦予實施。確確立這種觀念念有利于企業(yè)業(yè)的所有員工工明確自己的的責任和權限限，主動地維維護及改善企企業(yè)的內部控控制。第三，內部控制制無論設計和和運行得多么么完善，也只只能為企業(yè)的的管理層和董董事會提供合合理的保證，而而不是絕對保保證，因為內內部

10、控制本身身具有局限性。最后，內控框架架將內部控制制目標分為三三類：與營運運有關的目標標即經營的效效率與效果、與與財務報告有有關的目標即財務報告告的可靠性、以及與法規(guī)規(guī)的遵循性有有關的目標。上上述分類讓我我們專注于內內部控制的各各個方面，這這些相互有別，相互互交叉的分類類滿足不同的的需要，并且且表明了不同同的執(zhí)行人員員的直接責任任。（三） COSSO內部控制制框架的組成成要素COSO內部控控制框架認為為，內部控制制系統(tǒng)是由內內控環(huán)境、風風險評估、內內控活動、信信息與溝通、監(jiān)監(jiān)督五要素組組成，它們取取決于管理層層經營企業(yè)的的方式，并融融入管理過程程本身，其相相互關系可以以用下面模型型表示。內控活動

11、內控活動 確保管理活動付諸實施的政策/流程。措施包括審批、授權、確認、建議、業(yè)績考核、資產安全和職責分離。監(jiān)督不斷評估內部控制系統(tǒng)的表現。整合實時和獨立的評估。管理層和監(jiān)督活動。 內部審計工作。內控環(huán)境 營造單位氣氛讓公司員工建立內部控制因素包括正直，道德價值，能力，權威和責任是其他內部控制組成部分的基礎信息和溝通及時地獲取，確定并交流相關的信息從內部和外部獲取信息使得形成從職責方面的指示到管理層有關管理行動的發(fā)現總結等各方面各類內部控制成功的措施的信息流風險評估 風險評估是為了達到企業(yè)目標而確認和分析相關的風險形成內部控制活動的基礎監(jiān)控信息和溝通控制活動風險評估控制環(huán)境營運財務報告合規(guī)性業(yè)務

12、單位A業(yè)務單位B活動2活動1監(jiān)督信息和溝通內控活動風險評估內控環(huán)境營運財務報告合規(guī)性業(yè)務單位A業(yè)務單位B活動2活動1內控環(huán)境內內控環(huán)境是企企業(yè)的基調、氛氛圍，直接影影響企業(yè)員工工的控制意識識。內控環(huán)境境要素是推動動企業(yè)發(fā)展的的發(fā)動機，也也是其他一切切要素的核心心，包括員工工的誠信、職職業(yè)道德和工工作勝任能力力；管理層的的經營理念和和經營風格；董事會或審審計委員會的的監(jiān)管和指導導力度；企業(yè)業(yè)的權責分配配方法和人力力資源政策?？煽梢哉f人及其其人進行的活活動是任何企企業(yè)的核心，是是構成內控環(huán)環(huán)境的重要要要素，又與環(huán)環(huán)境相互影響響、相互作用用。風險評估風風險評估是識識別、分析相相關風險以實實現既定目標

13、標，是風險管管理的基礎。每每個企業(yè)都面面臨著諸多來來自內部和外外部的風險，影影響企業(yè)既定定目標的實現現。因此必須須設立一個機機制來識別、分分析和管理影影響目標實現現的相關風險險，并適時加加以管理。內控活動內內控活動指那那些有助于管管理層決策順順利實施的政政策和程序，是是針對風險采采取的控制措措施。它們包包括諸如批準準、授權、查查證、核對、復復核經營業(yè)績績、資產保護護和職責分工工等活動。信息與溝通是指企業(yè)經經營管理所需需信息必須被被識別、獲得得并以一定形形式及時傳遞遞，以便員工工履行職責。信信息不僅包括括內部產生的的信息，還包包括與企業(yè)經經營決策和對對外報告相關關的外部信息息。暢通的溝溝通渠道和

14、機機制使企業(yè)的的員工能及時時取得他們在在執(zhí)行、管理理和控制企業(yè)業(yè)經營過程中中所需的信息息，并交換這這些信息。監(jiān)督是對內內部控制系統(tǒng)統(tǒng)有效性進行行評估的過程程，可以通過過持續(xù) 性監(jiān)監(jiān)督、獨立評評估或兩者的的結合來實現現對內控系統(tǒng)統(tǒng)的監(jiān)督。內控體系五要素素之間的關系系我們可以理理解為：企業(yè)業(yè)的核心是人人，人的誠信信、道德價值值觀和勝任能能力構成了企企業(yè)的內控環(huán)環(huán)境，這是企企業(yè)發(fā)展的基基礎。每個企業(yè)都有自己己的發(fā)展目標標，為了目標標的實現，必必須分析影響響因素，即進進行風險評估估。針對風險險評估的結果果需要采取相相應的內控活活動來控制和和減少風險。同同時與內控環(huán)環(huán)境、風險評評估和內控活活動相關的信信

15、息應及時被被獲取、加工工整理，并在在企業(yè)內部傳傳遞，這就是是信息與溝通通，信息與溝溝通系統(tǒng)圍繞繞在內控活動動周圍，反映映企業(yè)各項管管理活動的運運轉情況。為為了保證內控控體系的正常常運轉，還需需要對整個內內控過程進行行監(jiān)督。內部控制五要素素之間的配合合和聯系，組組成了一個完完整的系統(tǒng)，可可以靈活地隨隨條件變化而而變化。但各各要素之間并并非是一項要要素影響下一一項要素的順順序過程，任任一要素都可可以影響其他他要素，例如如對風險的評評估不僅僅影影響內控活動動，還可能影影響信息和溝溝通、監(jiān)督行行為等。COSO內部控控制框架適用用于各類企業(yè)業(yè)，但是中小小企業(yè)對其應應用可能不同同于大型企業(yè)業(yè)，中小企業(yè)業(yè)的

16、內部控制制可能不及大大型企業(yè)正式式、組織性強強，但也可以以是有效的。對對此，本次培培訓以大型公公司為例，未未考慮中小公公司的差異。三、COSO內內部控制框架架五要素（一）內控環(huán)境境內控環(huán)境是其他他控制要素的的基礎。內控控環(huán)境因素包包括：員工的的誠信和道德德價值觀；員工工的勝任能力力；董事會和和審計委員會會；管理層的的經營理念和和經營風格；組織結構；管理層授權權和職責分工工、人力資源源政策和措施施。下面討論論各項因素的的具體內容。1、員工的誠信信和道德價值值觀內部控制是由人人建立、執(zhí)行行和維護的，人人是內部控制制有效運行的的根本因素。人人的道德價值值觀影響著人人的行為。企企業(yè)員工具有有良好的道德

17、德標準并形成成良好的道德德氛圍，對控控制系統(tǒng)的有有效運行非常常重要，也有有助于防范那那些內控系統(tǒng)統(tǒng)難以控制的的行為。員工的誠信和道道德價值觀是是指員工行為為的準則，是是告訴員工什什么行為可接接受、什么行行為不可接受受、以及遇到到不正當行為為應該采取的的行動。主要要包括以下內內容：利益沖突 每一個員工工都有責任將將公司利益放放在第一位，避避免私人利益益與公司利益益的沖突。合法性 公公司要承諾在在進行業(yè)務時時是抱著誠實實和誠信原則則，并遵循所所有適用的法法律和規(guī)章制制度。及時向指定人員員報告或檢舉舉揭發(fā)違規(guī)事事項 員工有義務務對所發(fā)現的的關于會計、內內部控制或審審計等的違反反法律、規(guī)章章制度或行為

18、為準則的問題題，向道德規(guī)規(guī)范委員會報報告，或向披披露委員會或或審計委員會會匯報。發(fā)現現任何高級管管理人員違反反法律、規(guī)章章制度或行為為準則，應迅迅速向道德規(guī)規(guī)范委員會等等相關機構報報告。對檢舉舉人應當建立立保密制度，包包括匿名保護護。遵守道德準則的的責任 明確員工必必須遵守道德德準則。對違違反準則的人人員建立懲罰罰機制，甚至至解雇或免職職。公司機遇 禁止員工工通過利用公公司財產、信信息或職位為為自己或其他他人牟取商業(yè)業(yè)機遇。保密 機機密信息是一一間公司最重重要的資產之之一。公司建建立相應政策策保護機密信信息，包括（aa）屬于公司司商業(yè)性機密密信息（b）屬屬于非披露協(xié)協(xié)議下信息。每每一個員工在在

19、入職后應執(zhí)執(zhí)行保密協(xié)議議和保護公司司知識產權。員員工即使在終終止雇傭之后后，仍然有義義務保護公司司的機密信息息。公平交易 每一個員員工都應該努努力去公平對對待顧客、供供應商、競爭爭者、公眾，并并遵循商業(yè)道道德規(guī)范。為為了獲得或維維持業(yè)務而進進行賄賂、回回扣或其他誘誘惑等都是不不允許的。與與業(yè)務相關，偶偶爾贈送非政政府雇員的價價值較低的商商業(yè)禮物的做做法是可以接接受的。但未未得到道德委委員會事先批批準的情況下下，贈送禮物物或款待政府府雇員是不允允許的。員工工代表公司購購買商品應遵遵循公司的采采購政策。公司資產的保護護及恰當使用用 每每一個員工必必須保護公司司資產，包括括實物資源、資資產、所有權權

20、、機密信息息，排除損失失、失竊或誤誤用。任何懷懷疑的損失、誤誤用或失竊都都應該報告給給經理或法律律部門。 公司資產必必須用于公司司業(yè)務，符合合公司政策。全面、公正、正正確、及時地地理解財務報報告及其披露露事項 因因為公司必須須提供完整、公公正、及時和和可理解的披披露報告及文文件，并存檔檔或呈交給證證監(jiān)會以及公公共傳媒，所所以每一個員員工都有責任任保證會計記記錄的準確性性。管理層必必須建立和保保持適當的內內控，遵循公公司已有的會會計準則和流流程，保證交交易記錄的完完整和準確。禁禁止干擾或不不正當的影響響公司財務報報表審計。要要求證實會計計記錄和報表表受控，能夠夠保證準確性性，包括提供供給審計和定

21、定期向證監(jiān)會會報告的義務務。對于企業(yè)來說，首首要的工作是是建立一套員員工能夠接受受和理解的誠誠信和道德標標準，如道德德行為手冊；其次是必須須讓員工知曉曉和理解這些些規(guī)定（例如如：要求所有有員工定期簽簽字確認），這這是執(zhí)行的前前提條件；最最后就是貫徹徹執(zhí)行。在公公司內傳遞道道德標準的最最有效方式是是管理層以身身作則，員工工對于內控的的態(tài)度通常會會效仿他們的的領導。另外外，對違反準準則的員工應應予以相應懲懲罰；建立鼓鼓勵員工揭發(fā)發(fā)違規(guī)行為的的機制；以及及對未能匯報報違規(guī)行為員員工的教育培培訓都具有特特別重要的意意義。員工個人可能由由于下列因素素而卷入不誠誠實、非法或或不道德的行行為：不切實際的業(yè)績

22、績目標，特別別是短期業(yè)績績的壓力（例例如：為了實實現預先設定定的利潤指標標而在財務報報告中虛報收收入）將獎金分配與業(yè)業(yè)績掛鉤（例例如：錯報與與業(yè)績考核指指標相關的財財務信息）內控制度不存在在或無效（例例如：敏感業(yè)業(yè)務區(qū)域未設設立嚴格的職職責分工，這這為偷竊公司司資產或隱藏藏不良行為提提供了可能）。組織高度分散，可可能導致高層層管理人員不不清楚基層的的行為，缺少少必要的監(jiān)管管，因此，減減少了基層舞舞弊被發(fā)現的的機會。內部審計職能薄薄弱，沒有及及時發(fā)現和報報告不正確的的行為。董事會缺少對高高層管理人員員的客觀監(jiān)管管，可能導致致管理人員凌凌駕于內控制制度。管理層對不正確確行為的懲罰罰力度不夠或或不公

23、開，從從而失去了應應有的威懾力力。2、勝任能力勝任能力是要求求員工具備完完成工作任務務所需的知識識和技能，目目的是保證員員工能夠正確確理解相關規(guī)規(guī)定、及時恰恰當分析和處處理業(yè)務，這這是維護內部部控制有效性性的必備條件件。為此，管理層需需要設定工作作崗位的知識識和技能水平平要求，在招招聘、選用員員工時作為評評選的標準或或條件。在設設定工作所需需知識和技能能時，一方面面要根據工作作的性質和所所需的職業(yè)判判斷，考慮能能力需求，另另一方面還應應考慮人力資資源成本即薪薪酬（例如：沒有必要雇雇傭一名電子子工程師來換換一只燈泡）。3、董事會和審審計委員會董事會或審計委委員會的職能能是實施治理理、指導和監(jiān)監(jiān)督

24、管理層的的工作，如果果對管理層缺缺乏必要的監(jiān)監(jiān)督，管理層層可能會凌駕駕于控制之上上，甚至故意意歪曲結果，因此董事會或審計委員會監(jiān)督作用對確保內部控制的有效性十分重要，董事會或審計委員會作用的發(fā)揮，必須具備以下條件：一是要獨立于管理層，不受其影響；二是具有足夠知識、行業(yè)經驗和時間，以便于履行職責；三能夠與財務、法律、內部審計和外部審計及時溝通，得到適當信息；四是能夠控制高級管理人員的薪酬，有權聘用和解聘高級管理人員。補充說明一點，股股份公司的治治理結構與國國外有所不同同，股份公司司設置監(jiān)事會會，其職能類類似于國外審審計委員會的的職能，所以以股份公司的的董事會、審審計委員會和和監(jiān)事會都需需要符合上

25、述述條件。4、管理層的經經營理念和經經營風格管理層的經營理理念和經營風風格影響企業(yè)業(yè)的管理方式式，包括面對對各種風險的的態(tài)度。管理理層的經營理理念和經營風風格形成了企企業(yè)文化，它它既是一切業(yè)業(yè)務實現的基基礎，也為內內部控制的實實施提供了平平臺。它往往往是企業(yè)內部部一種無形的的力量，影響響企業(yè)成員的的思維方法和和行為方式，包包括企業(yè)承受受營業(yè)風險的的種類、整個個企業(yè)的管理理方式、企業(yè)業(yè)管理階層對對法規(guī)的反應應、對企業(yè)財財務的重視程程度以及對人人力資源的政政策及看法等等。它們都深深深地影響著著內部控制的的成效。例如如，有些公司司管理層的經經營理念和風風格較為激進進，愿意承擔擔更高的風險險以追求更高

26、高的盈利回報報；而有些公公司的管理層層則比較保守守，在風險承承擔方面表現現得較為謹慎慎?？梢钥闯龀觯煌慕浗洜I理念和風風格決定了管管理層在承擔擔風險方面采采取不同的態(tài)態(tài)度和做出不不同的決策。以以銷售信貸政政策為例，對對風險承受力力高的公司相相比承受力低低的公司，其其設定的信用用銷售額度更更高，以期望望通過更優(yōu)惠惠的政策吸引引和保留客戶戶，而獲得更更高的銷售額額。管理層的的經營理念和和經營風格還還表現在：管管理層對財務務報告的態(tài)度度，在會計政政策選擇方面面是否謹慎，進進行會計估計計時是否遵循循審慎性原則則，對待數據據處理、會計計職能及人事事管理等方面面的態(tài)度等等等。5、組織結構組織結構是權責責

27、分工的架構構，在此架構構中規(guī)劃、執(zhí)執(zhí)行、控制和和監(jiān)督為實現現企業(yè)目標而而進行的活動動，每個企業(yè)業(yè)都可根據自自己的需要確確定組織結構構，可以是集集權型，也可可以是分權型型，可以是直直接的報告關關系，也可以以是矩陣型組組織結構，可可以按產品或或行業(yè)組織，也也可以按地理理分布或功能能組織，但不不論何種組織織結構，應根根據公司的業(yè)業(yè)務性質，進進行適當的集集中或分散，確確保信息的上上傳、下達和和在各業(yè)務間間的流動，確確保企業(yè)目標標的實現。6、管理層授權權和職責分工工權力和責任分配配是指對員工工進行授權和和分配責任，將將企業(yè)的目標標層層分解落落實到每個員員工的頭上，從從而將員工的的行為與企業(yè)業(yè)目標聯系起起

28、來，增強員員工的自主控控制意識。權權力與責任分分配的關鍵是是權力與責任任的對等。7、人力資源政政策和措施人力資源政策和和措施是關于于員工聘用、培培訓、考核、進進升、薪酬等等方面的政策策和程序，目目的是聘用和和維持有能力力的人員，保保證公司的計計劃得以實施施，目標得以以實現。因此此，人力資源源政策和措施施應考慮如何何招聘進來有有能力、可信信任的人員，如如何進行相關關培訓使員工工意識到他們們的工作職責責和公司對他他們的要求，如如何通過考核核、薪酬、提提升等政策激激勵約束員工工。（二）風險評估估1、風險及風險險評估的定義義風險是任何影響響目標實現的的因素,所有有企業(yè)，無論論規(guī)模、結構構和行業(yè)性質質，

29、都面臨著著風險，可以以說有經營就就有風險。風風險有來自企企業(yè)內部的，也也有來自企業(yè)業(yè)外部。為了加強對風險險的控制，必必須進行風險險評估，風險險評估是指對相關風風險進行識別別和分析，是是發(fā)現和分析析那些影響目目標實現的風風險的過程，是是確定如何管管理和控制風風險的基礎。風險評估的前提條件是設立目標，只有先確立了目標，管理層才能針對目標確定風險并采取必要的行動來管理風險。企業(yè)的目標可以以分為公司層層面目標和業(yè)業(yè)務活動層面面目標，公司司層面目標是是指公司的總總目標和相關關戰(zhàn)略計劃，與與高層次資源源的分配和優(yōu)優(yōu)先利用相關關。業(yè)務活動動層面的目標標是總目標的的子目標，是是針對企業(yè)業(yè)業(yè)務活動的更更加專門化

30、的的目標。業(yè)務務活動層面的的目標應該清清楚，易于理理解，以便從從事該操作的的人能實現其其目標，同時時還必須是可可衡量的，以以便于考核。實現目標需要耗耗費資源，因因此設立目標標必須考慮可可獲得的資源源，企業(yè)應該該對目標進行行分析，提醒醒自己找出與與總目標不相相關的操作目目標，以免資資源浪費，而而對實現總目目標至關重要要的操作目標標，則優(yōu)先安安排資源。2、如何進行風風險評估1）風險識別風險評估的過程程首先是進行行風險識別，風風險識別需要要考慮所有可可能發(fā)生的風風險，并且需需要考慮企業(yè)業(yè)和相關外界界之間的所有有重大相互影影響。風險識識別也是一個個重復的過程程，需要針對對環(huán)境的變化化持續(xù)進行。導導致企

31、業(yè)經營營風險的因素素包括內部和和外部兩個方方面：外部因素包括：技術發(fā)展影影響研發(fā)的性性質和時機，或或帶來采購的的變化。（例例如：出現新新的、更高效效的油氣開采采技術，未掌掌握相關技術術的公司會導導致市場競爭爭力降低，進進而影響經營營目標的實現現）不斷變化的客戶戶需求和期望望影響產品品開發(fā)、定價價。（例如：納米技術的的應用，客戶戶對產品的期期望改變；）競爭影響營營銷和服務活活動（例如：WTO導致致更多具有較較高競爭力國國外石油公司司進入中國市市場）。新的法律和法規(guī)規(guī)影響經營營政策和策略略（例如：薩薩班斯法案）。自然災害造造成損失。經濟形勢的變化化等影響融資資、資本支出出和擴張決策策。內部因素包括

32、： 信息系統(tǒng)運行行的中斷影響經營運運轉。 雇員的素質和和培訓、激勵勵的方法影響控制理理念。 管理層職責的的改變影響某些些實施控制的的方式。 企業(yè)經營活動動的性質、員員工對資產的的接觸途徑產生挪用用。 董事會或審計計委員會無法法有效履行其其職責可能為管管理層輕率的的行為提供機機會。2）風險分析識別風險后，需需要進行風險險分析，分析析的內容主要要有：估計風險的重要要性程度；評估風險發(fā)生的的可能性（或或頻率、概率率）；考慮如何管理風風險即評估需需要采取何種種措施針對風險分析的的結果而采取取的控制活動動，管理層應應仔細考慮現現有內控程序序對于已識別別的風險是否否合適。如果果現有程序可可能已經足夠夠或只

33、需要執(zhí)執(zhí)行得更好，那那么就不必制制定附加程序序。管理層還應認識識到，總會存存在一些殘留留風險的可能能性，不僅因因為資源總是是有限的，還還因為每個內內控系統(tǒng)都有有內在局限性性。因此，管管理層的一項項重要工作是是權衡利弊，確定能夠謹慎地接受多少風險，并盡力將風險控制在可接受的水平內。3）應對變化經濟形勢、行業(yè)業(yè)和法規(guī)環(huán)境境不斷改變，企企業(yè)業(yè)務活動動不斷發(fā)展。在在一個環(huán)境下下有效的內部部控制在另一一環(huán)境下未必必有效。風險險評估的本質質就是一個識識別變化的環(huán)環(huán)境并采取相相應行動的過過程，風險評評估應持續(xù)地地進行, 并并且應特別關關注下面的情情形：變化的經營環(huán)境境變化的法法律或經濟環(huán)環(huán)境可能導致致競爭壓

34、力的的增加和顯著著不同的風險險。新的人員新新來的高層管管理人員的經經營風格與原原先的不同。新的或經修訂的的信息系統(tǒng)能否正常常運行。經營的快速增長長當經營快快速擴張，現現有制度的局局限可能導致致控制失效；當程序變動動或新人員增增加時，現有有的監(jiān)督可能能就不能保持持充分的控制制。新技術新技技術被運用到到生產流程或或信息系統(tǒng)中中，內部控制制就很可能需需要修改。新業(yè)務、產品、活活動當企業(yè)進進入新的商業(yè)業(yè)領域或從事事不熟悉的交交易時，現有有的控制可能能就不充分了了。公司重組公公司因為收購購、合并或者者業(yè)務下滑、成成本控制等原原因進行結構構重組。重組組可能導致內內部裁員，職職責分工的合合并，或者，原原來的

35、一個重重要控制崗位位被取消，卻卻沒有相應的的替代控制出出現。很多公公司重組后大大量削減人員員，就碰到了了嚴重的控制制缺陷。海外經營海海外經營的擴擴張或收購帶帶來了新的和和獨特的風險險。例如，內內控環(huán)境可能能受到當地管管理層文化和和風俗的影響響。另外，當當地經濟和法法律環(huán)境可能能帶來獨特的的風險因素。內控活動內控活動是指為為確保管理層層指示得以執(zhí)執(zhí)行的政策和和程序。它有有助于進行風風險管理和保保證企業(yè)目標標的實現，內內控活動貫穿穿于企業(yè)的所所有層次和部部門。它們包包括一系列不不同的活動，如如審批、授權權、確認、核核對、審核經經營業(yè)績、資資產保護以及及職責分工等等。1、內控活動類類型：控制活動可以

36、有有不同的描述述方式：針對企業(yè)的不同同目標，控制制活動可以分分為以下三個個類型：即為為提高經營效效率效果、增增強財務報告告的可靠性、遵遵守法規(guī)等目目標的三類控控制活動；根據控制活動的的不同作用，控控制活動又可可以分為：預預防性控制、檢檢查性控制、指指導性控制、糾錯性控制、補償性控制等五種類型；根據組織中實施施人員的不同同，控制活動動也可以分為為：高層復核核、指導并管管理業(yè)務活動動、信息處理理、實物控制制、業(yè)績指標標分析、職責責分離等。高層復核管管理層將實際際業(yè)績情況和和預算相比較較，將當期業(yè)業(yè)績和前期相相比較，將本本企業(yè)的業(yè)績績情況與競爭爭對手相比較較，對企業(yè)主主要行為進行行追蹤，以衡衡量目標

37、實現現的程度。指導并管理業(yè)務務活動負責整個個板塊生產的的領導，分地地區(qū)公司、分分產品類別等等內容審閱生生產業(yè)績報告告，對照經營營目標，分析析其中反映出出的生產管理理方面的問題題，并指出需需要改進的方方向。信息處理這這類控制被用用于核對交易易的準確性、完完整性和遵循循性。如：系系統(tǒng)對數據錄錄入設定編輯輯復核功能，并并對數據修改改實行系統(tǒng)性性控制；客戶戶訂單，只有有與經批準的的客戶文件和和信用額度相相符，才能被被接受；交易易應按連的編編號記賬；系系統(tǒng)管理員對對例外事項報報告進行跟蹤蹤調查，必要要時向主管領領導報告。資產保護即實物物控制對設備、存存貨、證券、現現金及其他資資產實物采取取保管措施，并并

38、定期進行盤盤點和帳實核核對。業(yè)績指標分析采購部門門的員工分析析采購價格變變動、緊急采采購訂單占全全部訂單的比比率、退貨訂訂單占全部訂訂單的比率，通通過調查異常常的結果和異異常的變動趨趨勢，關注那那些可能影響響目標實現的的問題，并提提出改進方案案。職責分離職職責在不同人人員之間的分分工或分離，可可以降低發(fā)生生錯誤或不當當行為的可能能性。例如，交交易的授權、記記錄和處理相相關資產的職職責應予以分分離；授權賒賒銷的經理應應不負責應收收賬款的記錄錄或現金收入入的處理。2、控制活動的的要素 政策和程程序控制活動一般包包含兩個要素素，即：第一一個要素，政政策它描述應該該做什么，第第二個要素，程程序它描述應

39、該該怎樣做；政政策是程序的的基礎，同時時，程序又影影響政策的執(zhí)執(zhí)行。例如，政政策要求，應應該由專人定定期進行存貨貨盤點，程序序即盤點本身身，其實施的的頻率、關注注的要點、存存貨的性質、數數量等等。3、控制活動應應和風險評估估相結合管理層在進行風風險評估的同同時，應該針針對該特定風風險找出并實實施有效的措措施，這些針針對某項特定定風險的具體體措施也就是是建立控制活活動的要素，它它有助于保證證控制活動得得以及時、有有效地實施。4、信息系統(tǒng)的的控制隨著信息技術的的發(fā)展，大多多數企業(yè)，包包括小公司或或大公司的部部門，都引進進、建立和運運用了現代化化信息處理系系統(tǒng)，現代化化的信息系統(tǒng)統(tǒng)不僅提高了了企業(yè)的

40、工作作效率，而且且也改變企業(yè)業(yè)的經營方式式和方法，甚甚至影響企業(yè)業(yè)的戰(zhàn)略規(guī)劃劃，因此信息息系統(tǒng)的控制制十分重要。信息系統(tǒng)內控活活動可分為兩兩大類。第一一類是一般性性控制適用多數數應用系統(tǒng)并并協(xié)助確保其其持續(xù)、正確確地運行, 包括對數據據中心操作、系系統(tǒng)軟件的購購買和維護、數數據的安全、以以及應用系統(tǒng)統(tǒng)開發(fā)和維護護的控制。第第二類是應用用性控制，包包括應用軟件件中的電算化化步驟，以及及用以控制不不同種類交易易處理過程的的相關手工操操作程序，它它是保證交易易處理的完整整性、準確性性、交易授權權和有效性的的內部控制。例例如，公司的的銷售政策規(guī)規(guī)定給予金額額在20萬以以上訂單以88折優(yōu)惠；系系統(tǒng)根據事

41、先先的設定，對對于20萬以以上的訂單自自動給予200%的折扣優(yōu)優(yōu)惠，而對于于20萬以下下訂單僅允許許全價銷售。這兩類對計算機機系統(tǒng)的控制制是相互關聯聯的。一般性性控制用于保保證建立在計計算機程序基基礎上的應用用性控制得以以實施。（四）信息和溝溝通信息和溝通是指指相關信息以以某種形式并并在某個時段段被識別、獲獲得和溝通，以以促使員工履履行自己的職職責。這里所所說的信息是是指來源于企企業(yè)內部及外外部，與企業(yè)業(yè)經營相關的的財務及非財財務的信息。信信息必須在一一定的時限內內傳遞給需要要的人，以幫幫助人們行使使各自的控制制和其它職能能。溝通則是是指信息在企企業(yè)內部各層層次、各部門門，在企業(yè)與與顧客、供應

42、應商、監(jiān)管者者和股東等外外部環(huán)境之間間的流動。有效的溝通必須須廣泛的進行行，自上而下下、自下而上上地貫穿整個個組織。所有有人員都要從從高級管理層層獲得明確的的信息：必須須認真對待控控制責任。他他們必須了解解各自在內部部控制體系中中擔任的角色色，以及個人人行為與他人人工作的相互互關系。他們們必須有自下下而上傳遞重重要信息的渠渠道和方法。同同時，也要顧顧客、供應商商、監(jiān)管者和和股東等外部部人員建立有有效的溝通。1、信息企業(yè)的管理活動動依賴于各種種信息，既包包括內部生成成的信息，也也包括從外部部獲取的行業(yè)業(yè)、經濟、監(jiān)監(jiān)管等方面的的信息。因此此，企業(yè)必需需要建立良好好的信息系統(tǒng)統(tǒng)來識別、獲獲得、加工和

43、和報告這些信信息。有效的的信息系統(tǒng)不不僅能夠識別別和獲得所需需要的財務和和非財務的信信息，還能夠夠在一定時限限內根據需要要加工和報告告這些信息。另另外，當企業(yè)業(yè)面臨基本的的行業(yè)變化，面面臨有高度創(chuàng)創(chuàng)新能力反應應迅捷的競爭爭對手或面對對重大的顧客客需求變化時時，信息系統(tǒng)統(tǒng)必須隨企業(yè)業(yè)目標、經營營環(huán)境的變化化而變化，及及時適應新的的需求。1）信息的識別別和獲取信息的識別和獲獲取的方式是是多種多樣的的：信息系統(tǒng)統(tǒng)可以采取監(jiān)監(jiān)控方式，定定期獲取特定定的數據；或或者，可以采采取某些特定定的方式獲取取所需信息，如如通過問卷、采采訪、廣泛的的市場需求調調研或針對特特定群體的調調查獲得顧客客對產品和服服務的需

44、求信信息；通過與與顧客、供應應商、監(jiān)管者者以及員工的的談話獲得識識別風險和機機遇所必需的的重要信息；參加專業(yè)或或行業(yè)的研討討會也可以獲獲得有價值的的信息。2）信息加工和和報告信息是決策的基基礎，但并非非所有的信息息都是有用的的信息，因此此，需要對信信息進行加工工整理，歸納納匯總，根據據需要向不同同的部門和人人員報告不同同的信息。為為了提高信息息的質量，需需要考慮：內容是否適當當它是所需要要的信息嗎？信息是否及時時當我們需需要時就能獲獲得嗎？信息是當前的的嗎？是我們能能獲得的最新新的信息嗎？信息是否準確確數據都準準確嗎？信息是否暢通通相應的部部門能容易地地獲得信息嗎嗎？在設計系統(tǒng)時必必須考慮以上

45、上問題。如果果不考慮，系系統(tǒng)很可能無無法提供管理理層和其它人人員需要的有有用信息。3）信息系統(tǒng)的的整合 信息系統(tǒng)是經經營行為的一一個組成部分分，它通過獲獲取決策所需需的信息來影影響控制，隨隨著信息技術術的發(fā)展，信信息系統(tǒng)可以以更迅速、更更廣泛提供更更有價值的信信息，對企業(yè)業(yè)的管理影響響更加深遠，甚甚至影響到企企業(yè)的戰(zhàn)略規(guī)規(guī)劃，一項最最新發(fā)布的研研究表明，信信息系統(tǒng)的規(guī)規(guī)劃、設計和和應用已經開開始同組織的的整體戰(zhàn)略整整合在一起。多多數新的生產產系統(tǒng)與企業(yè)業(yè)其它的系統(tǒng)統(tǒng)，可能還包包括企業(yè)的財財務系統(tǒng)，高高度地整合為為一體。當系系統(tǒng)執(zhí)行其它它的運行時，財財務數據和會會計記錄會自自動更新。2、溝通溝通

46、是信息系統(tǒng)統(tǒng)固有的，是是將信息提供供給相關人員員，以便與其其履行職責，溝溝通必須貫穿穿于信息處理理的整個過程程，有效的溝溝通不僅在整整個企業(yè)內進進行，也包括括與外部進行行的溝通。1）內部溝通內部溝通是指企企業(yè)內部上下下級之間、橫橫向部門之間間的溝通，下下面以例舉的的方式介紹內內部溝通的主主要內容：所有的人員，特特別是那些有有著重要的經經營和財務管管理職責的人人員，取得管管理所需信息息，并清楚地地知道必須嚴嚴肅履行內部部控制的責任任。每個人需要理解解所負責內部部控制部分如如何運行及個個人在系統(tǒng)中中的職責。在執(zhí)行自己的職職責時，每個個人都應該知知道，當意外外發(fā)生時，不不僅要注意事事件本身，還還要注

47、意事件件的原因。這這樣，就可以以了解到系統(tǒng)統(tǒng)潛在的缺陷陷，并采取預預防的措施。比比如，發(fā)現滯滯銷的存貨不不僅要在財務務報告上留下下準確的記錄錄，更重要的的是對存貨滯滯銷的原因作作出判斷。人們需要知道自自己的行為怎怎樣與他人的的工作相聯系系。需要知道什么樣樣的行為是被被期望的，什什么是可以接接受的，什么么是不可接受受的。員工也需要知道道在企業(yè)中自自下而上傳遞遞重要信息的的方法和渠道道。員工必須須相信他們的的上級確實想想了解問題并并愿意有效地地解決問題，在在任何情況下下不會因報告告相關信息而而受到報復。在多數情況下，正正常的報告渠渠道就是適當當的溝通渠道道。然而，在在特定條件下下，需要獨立立的溝通

48、渠道道作為一個預預防失敗的機機制，在正常常渠道不起作作用時加以運運用。例如為為員工提供直直接接觸財務務總監(jiān)或企業(yè)業(yè)法律顧問這這樣的高層領領導的渠道；總裁可以定定期抽出時間間接待員工來來訪，并且讓讓員工知道為為任何事情的的來訪都是受受歡迎的；總總裁也可以定定期去車間拜拜訪他的員工工，形成一種種人們能夠交交流難題和關關心的問題的的氛圍。管理層與董事會會及其委員之之間的溝通至至關重要。管管理層必須使使董事會了解解最新的業(yè)績績、發(fā)展、風風險、主要的的革新以及其其它任何相關關的事件或事事故。與董事事會的溝通越越好，董事會會越能有效地地行使監(jiān)督職職能，并能夠夠對于關鍵的的事務作出合合理的行為，提提供建議和

49、忠忠告。同樣，董董事會也應該該向管理層傳傳達其所需要要的信息，并并提供指導和和反饋。2）外部溝通企業(yè)不僅在內部部需要有適當當的溝通，而而且與外部也也是,與外部部溝通的內容容包括：通過開放的溝通通渠道，了解解顧客、供應應商對于產品品或服務的設設計或質量方方面的要求使使公司注意顧顧客的需求和和偏好。在與外部的交往往中強調企業(yè)業(yè)的道德標準準，使外部人人員知道認識識到不適當的的行為。比如如公司可以同同供應商直接接溝通，解釋釋公司期望供供應商雇員在在與其打交道道時應怎么做做，明確回扣扣以及其它不不適當的收入入，都是不能能容忍的。與外部審計師的的溝通，管理理層和董事會會可以了解重重要的控制信信息。與股東、

50、監(jiān)管者者、財務分析析師以及其它它外界的交流流，可以了解解企業(yè)所面臨臨的情況和風風險。管理層同外界（無無論是公開的的、即將進行行的、嚴格跟跟蹤的還是其其它的）的交交流也可以向向整個公司內內部傳遞信息息。3）溝通的方式式溝通可以采用諸諸如政策手冊冊，備忘錄，布布告通知，錄錄像錄音帶的的形式,又可可采用口頭傳傳遞消息的方方式。另一種種有影響力的的溝通手段是是管理層在領領導下屬工作作時的言行。（五）監(jiān)督內部控制隨著時時間、環(huán)境而而變化，曾經經有效的程序序可能會變得得不太有效，因因此需要對內內部控制進行行監(jiān)督。監(jiān)督督是評估內控控系統(tǒng)在一定定時期內運行行質量的過程程，目的是保保證內部控制制持續(xù)有效，監(jiān)監(jiān)督

51、可通過兩兩種方式進行行：持續(xù)性的的監(jiān)督活動和和獨立的評估估。持續(xù)性的的監(jiān)督活動是是植根于企業(yè)業(yè)日常、重復復發(fā)生的活動動中的。與獨獨立評估相比比，由于持續(xù)續(xù)性監(jiān)督程序序在實時基礎礎上實施、動動態(tài)地應對環(huán)環(huán)境的變化，并并在企業(yè)中根根深蒂固而顯顯得更加有效效。不過，獨獨立評估發(fā)生生在事實之后后，比起持續(xù)續(xù)性監(jiān)督程序序，可更快地地發(fā)現問題。一一個感到有必必要進行經常常性的獨立評評估的企業(yè)，應應重點關注改改進持續(xù)性監(jiān)監(jiān)督的途徑，并并強調“嵌入”而非“外加”的控制。1、持續(xù)性監(jiān)督督行為持續(xù)性的監(jiān)督行行為發(fā)生在經經營的過程中中，它包括日日常管理和監(jiān)監(jiān)督行為、比比較、核對和和其他常規(guī)性性活動。持續(xù)續(xù)性監(jiān)督行為

52、為有下面一些些例子：在執(zhí)行常規(guī)管理理行為時，經經營管理層取取得內部控制制持續(xù)運轉的的證據。與外界各方的溝溝通能夠印證證內部產生的的信息或揭示示問題。例如如：顧客支付付賬單，表明明其確認了帳帳單數據；相相反地，顧客客對帳單的投投訴可能表明明銷售交易過過程存在系統(tǒng)統(tǒng)缺陷。公司司審核有關作作業(yè)安全的政政策和操作步步驟，從經營營安全性和合合規(guī)性的角度度為內控是否否有效運行提提供信息，因因而被視為一一項監(jiān)督；監(jiān)監(jiān)管者就合法法性或其他事事項與企業(yè)進進行交流，也也會從某種角角度反映內控控系統(tǒng)是否有有效運行。適當的組織結構構和監(jiān)督行為為不但監(jiān)督內內控職能的執(zhí)執(zhí)行并且能夠夠發(fā)現內控的的缺陷。例如如，財務負責責人

53、對財務人人員針對交易易正確性和完完整性實施的的內控活動實實施日常的監(jiān)監(jiān)管。另外，管管理層對員工工的職責分配配定期進行審審核，以確保保合理分工以以便相互制衡衡，有利于防防止員工舞弊弊，并可以限限制個人掩蓋蓋其可疑行為為的能力。將信息系統(tǒng)所記記錄的數據與與實物資產相相核對。例如如，產成品存存貨應定期進進行盤點，將將盤點的數據據與相應的會會計數據核對對并記錄存在在的差異。內部及外部審計計師定期為進進一步加強內內部控制提供供建議。審計計師通過評價價內控的設計計并測試其有有效性，發(fā)現現一些潛在的的問題并向管管理層提供解解決問題的建建議。培訓研討會、計計劃會議及其其他會議能向向管理層提供供有關控制是是否有

54、效的重重要反饋。這這種方式不但但能指出控制制中存在的個個別問題，還還能增強參與與者的控制意意識。定期詢問職員理理解及執(zhí)行企企業(yè)相關規(guī)定定的情況。如如向經營及財財務人員詢問問相關的控制制程序是否正正常運行。2、獨立評估獨立評估是獨立立于控制活動動之外而采取取的定期評估估行為。盡管管持續(xù)性監(jiān)督督程序可以提提供關于其他他控制要素有有效性的重要要反饋信息，但但經常地對系系統(tǒng)的有效性性直接進行評評估也是十分分必要的。這這樣同時也提提供了一個機機會來評價持持續(xù)性監(jiān)督程程序是否有效效。1）范圍和頻率率獨立評估的范圍圍和頻率主要要依賴于風險險評估和持續(xù)續(xù)性監(jiān)督程序序的有效性。由由于所控制風風險的大小及及內部控

55、制在在減小風險中中的重要性不不同，對于內內部控制進行行評價的范圍圍和頻率也不不一樣。例如如，那些致力力于重大風險險或對減小風風險具有重要要作用的控制制就應經常地地進行評價。2）評價主體評價主體，即由由誰來實施獨獨立評估。一一般來說，評評價主體包括括：一是自我評價，即即負責某一單單位或職責的的人員對其控控制自身活動動的有效性進進行評價。例例如，一位部部門主管應指指導本部門內內部控制的評評價活動。他他或她可能親親自評價內控控環(huán)境因素，然然后請部門內內負責各種經經營活動的人人員評價其他他要素的有效效性。二是內部審計人人員評估，有有時，在董事事會、高級管管理層、子公公司及部門主主管的特殊要要求下，內審

56、審人員也會對對內控進行評評價。同樣，在在評價內控時時，管理層也也可利用外部部審計人員的的工作。3）評價程序及及方法體系首先是同企業(yè)職職員進行探討討并審閱已有有的文件，了了解系統(tǒng)的運運行過程或內內控系統(tǒng)的設設計；其次是是根據已確定定的目標分析析內部控制的的設計和測試試結果，分析析是否對既定定目標提供了了合理保證。評估方法有許多多可供選擇，包包括檢查清單單、調查問卷卷和流程圖等等方法。也可可與那些被認認為在內控系系統(tǒng)方面具有有良好聲譽的的公司進行比比較。4）行動計劃第一次指導評估估內控系統(tǒng)的的管理人員可可以考慮下列列建議，決定定對何處著手手和如何去做做：決定評估的范圍圍，包括目標標的分類、內內部控

57、制要素素和需采取的的行動。確定對內部控制制的有效性提提供常規(guī)保證證的持續(xù)的監(jiān)監(jiān)督行為。分析內部審計的的控制評估工工作，考慮外外部審計師與與控制相關的的發(fā)現。按照單位、要素素或高風險區(qū)區(qū)域劃分重要要性程度和先先后次序，保保證及時的關關注在以上基礎上，建建立相關的評評估程序。匯集所有進行評評估的各方，共共同考慮下列列問題：不僅僅要考慮評估估范圍和時間間表，而且要要考慮所使用用的方法體系系，應用的工工具，來自內內外部審計師師和監(jiān)管者的的建議，報告告所發(fā)現問題題的方式以及及設定最終的的文本化程度度。監(jiān)督進展和復核核發(fā)現。保證采取必要的的追蹤措施，必必要時修改后后續(xù)的評估部部分。5）報告缺陷這里的“缺陷

58、”被廣泛定義義為內控系統(tǒng)統(tǒng)中值得注意意的問題。缺缺陷可能代表表一個假想的的、潛在的或或實際的缺點點，或一個強強化內控系統(tǒng)統(tǒng)的機會。向向恰當的當事事人提供有關關內部控制缺缺陷的必要信信息，對內部部控制制度的的持續(xù)有效運運行十分關鍵鍵。內部控制制的缺陷應自自下而上進行行報告，重要要事項應報知知高層管理人人員和董事會會。對于發(fā)現現的內部控制制缺陷，不僅僅應向負責的的個人匯報，由由他采取正確確的措施，還還至少應向該該責任人的上上一級匯報。這這一過程使得得責任人能及及時采取措施施，也便于其其上級提供所所需的支持或或進行監(jiān)督，并并與企業(yè)中受受影響的他人人進行溝通。重重要事項應報報知高層管理理人員和董事事會

59、。6）文本化企業(yè)內部控制的的文本化有利利于評估，有有利于增進員員工對內控系系統(tǒng)如何運行行及各自職責責的理解，更更易于必要時時對其修改。文文本化的程度度根據各企業(yè)業(yè)的規(guī)模、復復雜性和類似似因素的不同同而存在差異異。大一些的的公司通常有有書面的政策策手冊、正式式的組織圖、書書面的工作描描述、經營指指導、信息系系統(tǒng)流程等。小小一些的公司司內部控制文文本化的程度度一般低得多多。控制沒有有文本化并不不意味著內控控系統(tǒng)是無效效的或無法評評估，不過當當需要向更多多人提供有關關內部控制的的闡述或評估估時，內部控控制文本化的的性質和程度度將會提高。當當管理層希望望向外界提供供關于內控系系統(tǒng)效果的聲聲明時，他們們應當考慮形形成文件來支支持該聲明。如如果該聲明今今后被質詢，這這些文件將很很有用。四、內部控制的的局限性也許有人會認為為內部控制可可以確保企業(yè)業(yè)萬無一失，這這也是我們所所希望的，但但事實并非如如此，無論內內部控制設計計和執(zhí)行的多多好，它也只只能提供合理理的保證，這這是內部控制制系統(tǒng)固有的的局限性。具具體表現在：判斷失誤判判斷是人在事事情發(fā)生時依依據現有信息息的所做出的的，個人的判判斷不能保證證絕對正確，并并且難以避免免主觀性，從從而影