COSO與內部控制簡介

一、背景介紹

內部控制是什么？不同的人有不同的理解。

一般的人把內部控制理解為組織為了減少

決策失誤和工作缺陷而實施的控制，這些控

制可能是內部監(jiān)督、也可能是管理手冊、規(guī)

章制度等。這種理解沒有錯，但不全面。按

照現(xiàn)代的內控理論，這些僅僅是內部控制的

一部分，而不是全部?，F(xiàn)代內控理論認為,

內部控制是一個系統(tǒng)化的框架，它建立在風

險管理的基礎上，包括內控環(huán)境、風險分析、

內控活動、信息與溝通、監(jiān)督五大要素。

（一）COSO內部控制框架的產(chǎn)生和發(fā)展過

程

內部控制理論的發(fā)展是一個逐步演變的過

程，大致可以區(qū)分為內部牽制、內部控制制

度、內部控制結構與內部控制整體框架四個

階段。在內部牽制階段，賬目間的相互核對

是內控的主要內容，設定崗位分離是內控的

主要方式，這在早期被認為是確保所有賬目

正確無誤的一種理想控制方法；在內部控制

制度階段，內部控制的重點是建立健全規(guī)章

制度；在內部控制結構階段，內部控制被認

為是為合理保證企業(yè)特定目標的實現(xiàn)而建

立的各種政策和程序，分為內控環(huán)境、會計

制度和控制程序三個方面；內部控制整體框

架階段，就是我們下面將要討論的COSO

內部控制框架。

在美國,20世紀70年代中期，與內部控制有

關的活動大部分集中在制度的設計和審計

方面，重在改進內部控制制度和方法。1973

年至1976年對水門事件（美國公司進行違

法的國內捐款和賄賂外國政府官員）的調查

使得立法機關與行政機關開始注意到內部

控制問題。針對調查的結果，美【密困會于

1979年通過了《反國外賄賂法》（簡稱

FCPA）OFCPA除了規(guī)定了關于反賄賂的條

款外，還規(guī)定了與會計及內部控制有關的條

款。因此美國許多機構都加強了對內部控制

的研究并提出許多建議。1985年，由美國注

冊會計師協(xié)會、會計協(xié)會、財務主管協(xié)會、

內部審計師協(xié)會、管理會計師協(xié)會聯(lián)合創(chuàng)建

了反虛假財務報告委員會，該委員會旨在探

討財務報告中的舞弊產(chǎn)生的原因，并尋找解

決措施。兩年后，該委員會提出了很多有價

值的建議?；谠撐瘑T會的建議，其贊助機

構成立COSO委員會，專門研究內部控制

滿足法案的要求。同時，對股份公司來說,

這也是梳理管理流程、規(guī)范管理、提升整體

管理水平的契機。COSO內部控制框架是一

個較為理想的框架，幾乎所有公司的內部控

制均與之有一定差距，美國各大公司也正在

為此而努力，雖然這必然加大企業(yè)負擔，但

多數(shù)公司同股份公司一樣，希望通過理解和

貫徹COSO內部控制框架要求，來實現(xiàn)提

升管理水平的目的。

（二）行業(yè)及公司內部控制體系與COSO

內部控制框架的差距

目前，股份公司通過多年的管理實踐和積累,

已經(jīng)建立了一套針對XX行業(yè)的行之有效的

內控體系，但與COSO內部控制框架的要

求相比還存在一些距離。這些差距主要體現(xiàn)

在：內部控制體系的整體框架、內控環(huán)境、

風險評估等理念尚未被廣泛接受、內部控制

的文檔記錄還不夠系統(tǒng)規(guī)范、缺乏自我評估

機制等?！八街?，可以攻玉”，COSO

內控框架對于我們加強企業(yè)內部控制具有

一定的啟發(fā)和借鑒意義。為此，我們需要認

真學習COSO內部控制框架理論，充分認

識和理解COSO內部控制框架，并在實際

經(jīng)營管理中積極實踐，大力貫徹和實施，從

而優(yōu)化內部控制，完善內控體系，全面提升

公司管理水平。

二、COSO內部控制框架下內控制度定義

（一）COSO內控框架對內部控制的定義

COSO內部控制框架認為，內部控制是受企

業(yè)董事會、管理層和其他人員影響，為經(jīng)營

的效率效果、財務報告的可靠性、相關法規(guī)

的遵循性等目標的實現(xiàn)而提供合理保證的

過程。

（二）對內部控制定義的理解

應該從以下幾個方面理解內部控制的定義:

第一，內部控制是一個“過程”，而且是一

個動態(tài)的過程。企業(yè)的經(jīng)營活動是永不停止

的，企業(yè)的內部控制過程也因此不會停止,

它是一個發(fā)現(xiàn)問題、解決問題、發(fā)現(xiàn)新問題、

解決新問題的循環(huán)往復的過程。內部控制應

該與企業(yè)的經(jīng)營管理過程相結合，而不是凌

駕于企業(yè)的基本活動之上，它促使經(jīng)營達到

預期的效果，并監(jiān)督企業(yè)經(jīng)營過程的持續(xù)有

效進行。

第二，內部控制受到“人”的因素的影響，它

并不僅僅是政策手冊和表格，不僅僅是管理

人員、內部審計或董事會，而是組織中的每

一個人，每一個人都對內部控制負有責任并

受到內部控制的影響；是“人”建立企業(yè)的

目標，并將控制機制賦予實施。確立這種觀

念有利于企業(yè)的所有員工明確自己的責任

和權限，主動地維護及改善企業(yè)的內部控

制。

第三，內部控制無論設計和運行得多么完善,

也只能為企業(yè)的管理層和董事會提供合理

的保證，而不是絕對保證，因為內部控制本

身具有局限性。

最后，內控框架將內部控制目標分為三類:

與營運有關的目標一即經(jīng)營的效率與效果、

與財務報告有關的目標一即財務報告的可

靠性、以及與法規(guī)的遵循性有關的目標。上

述分類讓我們專注于內部控制的各個方面,

這些相互有別，相互交叉的分類滿足不同的

需要，并且表明了不同的執(zhí)行人員的直接責

任。

（三）COSO內部控制框架的組成要素

COSO內部控制框架認為，內部控制系統(tǒng)是

由內控環(huán)境、風險評估、內控活動、信息與

溝通、監(jiān)督五要素組成，它們取決于管理層

經(jīng)營企業(yè)的方式，并融入管理過程本身。

A.內控環(huán)境一一內控環(huán)境是企業(yè)的基調、氛

,直接影響企業(yè)員工的控制意識。內控環(huán)

境要素是推動企業(yè)發(fā)展的發(fā)動機，也是其他

一切要素的核心，包括員工的誠信、職業(yè)道

德和工作勝任能力；管理層的經(jīng)營理念和經(jīng)

營風格；董事會或審計委員會的監(jiān)管和指導

力度；企業(yè)的權責分配方法和人力資源政

策?？梢哉f人及其人進行的活動是任何企業(yè)

的核心，是構成內控環(huán)境的重要要素，又與

環(huán)境相互影響、相互作用。

B.風險評估一一風險評估是識別、分析相關

風險以實現(xiàn)既定目標，是風險管理的基礎。

每個企業(yè)都面臨著諸多來自內部和外部的

風險，影響企業(yè)既定目標的實現(xiàn)。因此必須

設立一個機制來識別、分析和管理影響目標

實現(xiàn)的相關風險，并適時加以管理。

C.內控活動一一內控活動指那些有助于管

理層決策順利實施的政策和程序，是針對風

險采取的控制措施。它們包括諸如批準、授

權、查證、核對、復核經(jīng)營業(yè)績、資產(chǎn)保護

和職責分工等活動。

D.信息與溝通一一是指企業(yè)經(jīng)營管理所需

信息必須被識別、獲得并以一定形式及時傳

遞，以便員工履行職責。信息不僅包括內部

產(chǎn)生的信息，還包括與企業(yè)經(jīng)營決策和對外

報告相關的外部信息。暢通的溝通渠道和機

制使企業(yè)的員工能及時取得他們在執(zhí)行、管

理和控制企業(yè)經(jīng)營過程中所需的信息，并交

換這些信息。

E、監(jiān)督一一是對內部控制系統(tǒng)有效性進行

評估的過程，可以通過持續(xù)性監(jiān)督、獨立評

估或兩者的結合來實現(xiàn)對內控系統(tǒng)的監(jiān)督。

內控體系五要素之間的關系我們可以理解

為：企業(yè)的核心是人，人的誠信、道德價值

觀和勝任能力構成了企業(yè)的內控環(huán)境，這是

企業(yè)發(fā)展的基礎。每個企業(yè)都有自己的發(fā)展

目標，為了目標的實現(xiàn)，必須分析影響因素,

即進行風險評估。針對風險評估的結果需要

采取相應的內控活動來控制和減少風險。同

時與內控環(huán)境、風險評估和內控活動相關的

信息應及時被獲取、加工整理，并在企業(yè)內

部傳遞，這就是信息與溝通，信息與溝通系

統(tǒng)圍繞在內控活動周圍，反映企業(yè)各項管理

活動的運轉情況。為了保證內控體系的正常

運轉，還需要對整個內控過程進行監(jiān)督。

內部控制五要素之間的配合和聯(lián)系，組成了

一個完整的系統(tǒng)，可以靈活地隨條件變化而

變化。但各要素之間并非是一項要素影響下

一項要素的順序過程，任一要素都可以影響

其他要素，例如對風險的評估不僅僅影響內

控活動，還可能影響信息和溝通、監(jiān)督行為

等。

COSO內部控制框架適用于各類企業(yè)，但是

中小企業(yè)對其應用可能不同于大型企業(yè)，中

小企業(yè)的內部控制可能不及大型企業(yè)正式、

組織性強，但也可以是有效的。

三、COSO內部控制框架五要素

（一）內控環(huán)境

內控環(huán)境是其他控制要素的基礎。內控環(huán)境

因素包括：員工的誠信和道德價值觀；員工

的勝任能力；董事會和審計委員會；管理層

的經(jīng)營理念和經(jīng)營風格；組織結構；管理層

授權和職責分工、人力資源政策和措施。下

面討論各項因素的具體內容。

1.員工的誠信和道德價值觀

內部控制是由人建立、執(zhí)行和維護的，人是

內部控制有效運行的根本因素。人的道德價

值觀影響著人的行為。企業(yè)員工具有良好的

道德標準并形成良好的道德氛圍，對控制系

統(tǒng)的有效運行非常重要，也有助于防范那些

內控系統(tǒng)難以控制的行為。

員工的誠信和道德價值觀是指員工行為的

準則，是告訴員工什么行為可接受、什么行

為不可接受、以及遇到不正當行為應該采取

的行動。主要包括以下內容：

1）利益沖突每一個員工都有責任將公司

利益放在第一位，避免私人利益與公司利益

的沖突。

2）合法性公司要承諾在進行業(yè)務時是抱

著誠實和誠信原則，并遵循所有適用的法律

和規(guī)章制度。

3）及時向指定人員報告或檢舉揭發(fā)違規(guī)事

項員工有義務對所發(fā)現(xiàn)的關于會計、內部

控制或審計等的違反法律、規(guī)章制度或行為

準則的問題，向道德規(guī)范委員會報告，或向

披露委員會或審計委員會匯報。發(fā)現(xiàn)任何高

級管理人員違反法律、規(guī)章制度或行為準則,

應迅速向道德規(guī)范委員會等相關機構報告。

對檢舉人應當建立保密制度，包括匿名保

護。

4）遵守道德準則的責任明確員工必須遵

守道德準則。對違反準則的人員建立懲罰機

制，甚至解雇或免職。

5）公司機遇禁止員工通過利用公司財產(chǎn)、

信息或職位為自己或其他人牟取商業(yè)機遇。

6）保密機密信息是一間公司最重要的資

產(chǎn)之一。公司建立相應政策保護機密信息,

包括（a）屬于公司商業(yè)性機密信息（b）屬

于非披露協(xié)議下信息。每一個員工在入職后

應執(zhí)行保密協(xié)議和保護公司知識產(chǎn)權。員工

即使在終止雇傭之后，仍然有義務保護公司

的機密信息。

7）公平交易每一個員工都應該努力去公

平對待顧客、供應商、競爭者、公眾，并遵

循商業(yè)道德規(guī)范。為了獲得或維持業(yè)務而進

行賄賂、回扣或其他誘惑等都是不允許的。

與業(yè)務相關，偶爾贈送非政府雇員的價值較

低的商業(yè)禮物的做法是可以接受的。但未得

到道德委員會事先批準的情況下，贈送禮物

或款待政府雇員是不允許的。員工代表公司

購買商品應遵循公司的采購政策。

8）公司資產(chǎn)的保護及恰當使用每一個員

工必須保護公司資產(chǎn)，包括實物資源、資產(chǎn)、

所有權、機密信息，排除損失、失竊或誤用。

任何懷疑的損失、誤用或失竊都應該報告給

經(jīng)理或法律部門。公司資產(chǎn)必須用于公司

業(yè)務，符合公司政策。

9）全面、公正、正確、及時地理解財務報

告及其披露事項因為公司必須提供完整、

公正、及時和可理解的披露報告及文件，并

存檔或呈交給證監(jiān)會以及公共傳媒，所以每

一個員工都有責任保證會計記錄的準確性。

管理層必須建立和保持適當?shù)膬瓤?，遵循?/p>

司已有的會計準則和流程，保證交易記錄的

完整和準確。禁止干擾或不正當?shù)挠绊懝?/p>

財務報表審計。要求證實會計記錄和報表受

控，能夠保證準確性，包括提供給審計和定

期向證監(jiān)會報告的義務。

對于企業(yè)來說，首要的工作是建立一套員工

能夠接受和理解的誠信和道德標準，如道德

行為手冊；其次是必須讓員工知曉和理解這

些規(guī)定（例如：要求所有員工定期簽字確

認），這是執(zhí)行的前提條件；最后就是貫徹

執(zhí)行。在公司內傳遞道德標準的最有效方式

是管理層以身作則，員工對于內控的態(tài)度通

常會效仿他們的領導。另外，對違反準則的

員工應予以相應懲罰；建立鼓勵員工揭發(fā)違

規(guī)行為的機制；以及對未能匯報違規(guī)行為員

工的教育培訓都具有特別重要的意義。

員工個人可能由于下列因素而卷入不誠實、

非法或不道德的行為：

A.不切實際的業(yè)績目標，特別是短期業(yè)績的

壓力（例如：為了實現(xiàn)預先設定的利潤指標

而在財務報告中虛報收入）

B.將獎金分配與業(yè)績掛鉤（例如：錯報與業(yè)

績考核指標相關的財務信息）

C、內控制度不存在或無效（例如：敏感業(yè)

務區(qū)域未設立嚴格的職責分工，這為偷竊公

司資產(chǎn)或隱藏不良行為提供了可能）0

D.組織高度分散，可能導致高層管理人員不

清楚基層的行為，缺少必要的監(jiān)管，因此,

減少了基層舞弊被發(fā)現(xiàn)的機會。

E、內部審計職能薄弱，沒有及時發(fā)現(xiàn)和報

告不正確的行為。

董事會缺少對高層管理人員的客觀監(jiān)管,

可能導致管理人員凌駕于內控制度。（

F、管理層對不正確行為的懲罰力度不夠或

不公開，從而失去了應有的威懾力。

2.勝任能力

勝任能力是要求員工具備完成工作任務所

需的知識和技能，目的是保證員工能夠正確

理解相關規(guī)定、及時恰當分析和處理業(yè)務,

這是維護內部控制有效性的必備條件。

為此，管理層需要設定工作崗位的知識和技

能水平要求，在招聘、選用員工時作為評選

的標準或條件。在設定工作所需知識和技能

時，一方面要根據(jù)工作的性質和所需的職業(yè)

判斷，考慮能力需求，另一方面還應考慮人

力資源成本即薪酬（例如：沒有必要雇傭一

名電子工程師來換一只燈泡）。

3.董事會和審計委員會

董事會或審計委員會的職能是實施治理、指

導和監(jiān)督管理層的工作，如果對管理層缺乏

必要的監(jiān)督，管理層可能會凌駕于控制之上,

甚至故意歪曲結果，因此董事會或審計委員

會監(jiān)督作用對確保內部控制的有效性十分

重要，董事會或審計委員會作用的發(fā)揮，必

須具備以下條件：一是要獨立于管理層，不

受其影響；二是具有足夠知識、行業(yè)經(jīng)驗和

時間，以便于履行職責；三能夠與財務、法

律、內部審計和外部審計及時溝通，得到適

當信息；四是能夠控制高級管理人員的薪酬,

有權聘用和解聘高級管理人員。

補充說明一點，股份公司的治理結構與國外

有所不同，股份公司設置監(jiān)事會，其職能類

似于國外審計委員會的職能，所以股份公司

的董事會、審計委員會和監(jiān)事會都需要符合

上述條件。

4.管理層的經(jīng)營理念和經(jīng)營風格

管理層的經(jīng)營理念和經(jīng)營風格影響企業(yè)的

管理方式，包括面對各種風險的態(tài)度。管理

層的經(jīng)營理念和經(jīng)營風格形成了企業(yè)文化,

它既是一切業(yè)務實現(xiàn)的基礎，也為內部控制

的實施提供了平臺。它往往是企業(yè)內部一種

無形的力量，影響企業(yè)成員的思維方法和行

為方式，包括企業(yè)承受營業(yè)風險的種類、

個企業(yè)的管理方式、企業(yè)管理階層對法規(guī)的

反應、對企業(yè)財務的重視程度以及對人力資

源的政策及看法等。它們都深深地影響著內

部控制的成效。例如，有些公司管理層的經(jīng)

營理念和風格較為激進，愿意承擔更高的風

險以追求更高的盈利回報；而有些公司的管

理層則比較保守，在風險承擔方面表現(xiàn)得較

為謹慎?？梢钥闯觯煌慕?jīng)營理念和風格

決定了管理層在承擔風險方面采取不同的

態(tài)度和做出不同的決策。以銷售信貸政策為

例，對風險承受力高的公司相比承受力低的

公司，其設定的信用銷售額度更高，以期望

通過更優(yōu)惠的政策吸引和保留客戶，而獲得

更高的銷售額。管理層的經(jīng)營理念和經(jīng)營風

格還表現(xiàn)在：管理層對財務報告的態(tài)度，在

會計政策選擇方面是否謹慎，進行會計估計

時是否遵循審慎性原則，對待數(shù)據(jù)處理、會

計職能及人事管理等方面的態(tài)度等等。

5.組織結構

組織結構是權責分工的架構，在此架構中規(guī)

劃、執(zhí)行、控制和監(jiān)督為實現(xiàn)企業(yè)目標而進

行的活動，每個企業(yè)都可根據(jù)自己的需要確

定組織結構，可以是集權型，也可以是分權

型，可以是直接的報告關系，也可以是矩陣

型組織結構，可以按產(chǎn)品或行業(yè)組織，也可

以按地理分布或功能組織，但不論何種組織

結構，應根據(jù)公司的業(yè)務性質，進行適當?shù)?/p>

集中或分散，確保信息的上傳、下達和在各

業(yè)務間的流動，確保企業(yè)目標的實現(xiàn)。

6.管理層授權和職責分工

權力和責任分配是指對員工進行授權和分

配責任，將企業(yè)的目標層層分解落實到每個

員工的頭上，從而將員工的行為與企業(yè)目標

聯(lián)系起來，增強員工的自主控制意識。權力

與責任分配的關鍵是權力與責任的對等。

7、人力資源政策和措施

人力資源政策和措施是關于員工聘用、培

訓、考核、進升、薪酬等方面的政策和程序,

目的是聘用和維持有能力的人員，保證公司

的計劃得以實施，目標得以實現(xiàn)。因此，人

力資源政策和措施應考慮如何招聘進來有

能力、可信任的人員，如何進行相關培訓使

員工意識到他們的工作職責和公司對他們

的要求，如何通過考核、薪酬、提升等政策

激勵約束員工。

（二）風險評估

1.風險及風險評估的定義

風險是任何影響目標實現(xiàn)的因素，所有企業(yè),

無論規(guī)模、結構和行業(yè)性質，都面臨著風險,

可以說有經(jīng)營就有風險。風險有來自企業(yè)內

部的，也有來自企業(yè)外部。

為了加強對風險的控制，必須進行風險評估,

風險評估是指對相關風險進行識別和分析,

是發(fā)現(xiàn)和分析那些影響目標實現(xiàn)的風險的

過程，是確定如何管理和控制風險的基礎。

風險評估的前提條件是設立目標，只有先確

立了目標，管理層才能針對目標確定風險并

采取必要的行動來管理風險。

企業(yè)的目標可以分為公司層面目標和業(yè)務

活動層面目標，公司層面目標是指公司的總

目標和相關戰(zhàn)略計劃，與高層次資源的分配

和優(yōu)先利用相關。業(yè)務活動層面的目標是總

目標的子目標，是針對企業(yè)業(yè)務活動的更加

專門化的目標。業(yè)務活動層面的目標應該清

楚，易于理解，以便從事該操作的人能實現(xiàn)

其目標，同時還必須是可衡量的，以便于考

核。

實現(xiàn)目標需要耗費資源，因此設立目標必須

考慮可獲得的資源，企業(yè)應該對目標進行分

析，提醒自己找出與總目標不相關的操作目

標，以免資源浪費，而對實現(xiàn)總目標至關重

要的操作目標，則優(yōu)先安排資源。

2.如何進行風險評估

1）風險識別

風險評估的過程首先是進行風險識別，風險

識別需要考慮所有可能發(fā)生的風險，并且需

要考慮企業(yè)和相關外界之間的所有重大相

互影響。風險識別也是一個重復的過程，需

要針對環(huán)境的變化持續(xù)進行。導致企業(yè)經(jīng)營

風險的因素包括內部和外部兩個方面：

外部因素包括：

A.技術發(fā)展一一影響研發(fā)的性質和時機，或

帶來采購的變化。（例如：出現(xiàn)新的、更高

效的油氣開采技術，未掌握相關技術的公司

會導致市場競爭力降低，進而影響經(jīng)營目標

的實現(xiàn)）

B.不斷變化的客戶需求和期望一一影響產(chǎn)

品開發(fā)、定價。（例如：納米技術的應用，客

戶對產(chǎn)品的期望改變;）

C.競爭一一影響營銷和服務活動（例如:

WTO導致更多具有較高競爭力國外公司進

入中國市場）。

D.新的法律和法規(guī)一一影響經(jīng)營政策和策

略（例如：薩班斯法案）。

自然災害一一造成損失。（

E、經(jīng)濟形勢的變化等一一影響融資、資本

支出和擴張決策。

內部因素包括：

信息系統(tǒng)運行的中斷一一影響經(jīng)營運轉。（

F、雇員的素質和培訓、激勵的方法一一影

響控制理念。

管理層職責的改變一一影響某些實施控制

的方式。（

G、企業(yè)經(jīng)營活動的性質、員工對資產(chǎn)的接

觸途徑一一產(chǎn)生挪用。

H、董事會或審計委員會無法有效履行其職

責一一可能為管理層輕率的行為提供機會。

2）風險分析

識別風險后，需要進行風險分析，分析的內

容主要有：

A.估計風險的重要性程度；

評估風險發(fā)生的可能性（或頻率、概率）;

B.考慮如何管理風險一一即評估需要采取

何種措施

針對風險分析的結果而采取的控制活動，管

理層應仔細考慮現(xiàn)有內控程序對于已識別

的風險是否合適。如果現(xiàn)有程序可能已經(jīng)足

夠或只需要執(zhí)行得更好，那么就不必制定附

加程序。

管理層還應認識到，總會存在一些殘留風險

的可能性，不僅因為資源總是有限的，還因

為每個內控系統(tǒng)都有內在局限性。因此，管

理層的一項重要工作是權衡利弊，確定能夠

謹慎地接受多少風險，并盡力將風險控制在

可接受的水平內。

3）應對變化

經(jīng)濟形勢、行業(yè)和法規(guī)環(huán)境不斷改變，企業(yè)

業(yè)務活動不斷發(fā)展。在一個環(huán)境下有效的內

部控制在另一環(huán)境下未必有效。風險評估的

本質就是一個識別變化的環(huán)境并采取相應

行動的過程，風險評估應持續(xù)地進行，并且

應特別關注下面的情形:

變化的經(jīng)營環(huán)境一一變化的法律或經(jīng)濟環(huán)

境可能導致競爭壓力的增加和顯著不同的

風險。（

A.新的人員一一新來的高層管理人員的經(jīng)

營風格與原先的不同

新的或經(jīng)修訂的信息系統(tǒng)一一能否正常運

行。（

B.經(jīng)營的快速增長一一當經(jīng)營快速擴張，現(xiàn)

有制度的局限可能導致控制失效；當程序變

動或新人員增加時，現(xiàn)有的監(jiān)督可能就不能

保持充分的控制。

C.新技術一一新技術被運用到生產(chǎn)流程或

信息系統(tǒng)中，內部控制就很可能需要修改。

D.新業(yè)務、產(chǎn)品、活動一一當企業(yè)進入新的

商業(yè)領域或從事不熟悉的交易時，現(xiàn)有的控

制可能就不充分了。

E、公司重組一一公司因為收購、合并或者

業(yè)務下滑、成本控制等原因進行結構重組。

重組可能導致內部裁員，職責分工的合并,

或者，原來的一個重要控制崗位被取消，卻

沒有相應的替代控制出現(xiàn)。很多公司重組后

大量削減人員，就碰到了嚴重的控制缺陷。

F、海外經(jīng)營一一海外經(jīng)營的擴張或收購帶

來了新的和獨特的風險。例如，內控環(huán)境可

能受到當?shù)毓芾韺游幕惋L俗的影響。另外,

當?shù)亟?jīng)濟和法律環(huán)境可能帶來獨特的風險

因素。

（三）內控活動

內控活動是指為確保管理層指示得以執(zhí)行

的政策和程序。它有助于進行風險管理和保

證企業(yè)目標的實現(xiàn)，內控活動貫穿于企業(yè)的

所有層次和部門。它們包括一系列不同的活

動，如審批、授權、確認、核對、審核經(jīng)營

業(yè)績、資產(chǎn)保護以及職責分工等。

1.內控活動類型：

控制活動可以有不同的描述方式：

針對企業(yè)的不同目標，控制活動可以分為以

下三個類型：即為提高經(jīng)營效率效果、增強

控制活動；

根據(jù)控制活動的不同作用，控制活動又可以

分為：預防性控制、檢查性控制、指導性控

制、糾錯性控制、補償性控制等五種類型；

根據(jù)組織中實施人員的不同，控制活動也可

以分為：高層復核、指導并管理業(yè)務活動、

信息處理、實物控制、業(yè)績指標分析、職責

分離等。

A.高層復核一一管理層將實際業(yè)績情況和

預算相比較，將當期業(yè)績和前期相比較，將

本企業(yè)的業(yè)績情況與競爭對手相比較，對企

業(yè)主要行為進行追蹤，以衡量目標實現(xiàn)的程

度。

B.指導并管理業(yè)務活動一一負責整個板塊

生產(chǎn)的領導，分地區(qū)公司、分產(chǎn)品類別等內

容審閱生產(chǎn)業(yè)績報告，對照經(jīng)營目標，分析

其中反映出的生產(chǎn)管理方面的問題，并指出

需要改進的方向。

C.信息處理一一這類控制被用于核對交易

的準確性、完整性和遵循性。如：系統(tǒng)對數(shù)

據(jù)錄入設定編輯復核功能，并對數(shù)據(jù)修改實

行系統(tǒng)性控制；客戶訂單，只有與經(jīng)批準的

客戶文件和信用額度相符，才能被接受；交

易應按連的編號記賬；系統(tǒng)管理員對例外事

項報告進行跟蹤調查，必要時向主管領導報

告。

D.資產(chǎn)保護即實物控制一一對設備、存貨、

證券、現(xiàn)金及其他資產(chǎn)實物采取保管措施,

并定期進行盤點和帳實核對。

E、業(yè)績指標分析一一采購部門的員工分析

采購價格變動、緊急采購訂單占全部訂單的

比率、退貨訂單占全部訂單的比率，通過調

查異常的結果和異常的變動趨勢，關注那些

可能影響目標實現(xiàn)的問題，并提出改進方

案。

F、職責分離職責在不同人員之間的分

工或分離，可以降低發(fā)生錯誤或不當行為的

可能性。例如，交易的授權、記錄和處理相

關資產(chǎn)的職責應予以分離；授權賒銷的經(jīng)理

應不負責應收賬款的記錄或現(xiàn)金收入的處

理。

2.控制活動的要素一政策和程序

控制活動一般包含兩個要素，即：第一個要

素，政策一它描述應該做什么，第二個要素,

程序一它描述應該怎樣做；政策是程序的基

礎，同時，程序又影響政策的執(zhí)行。例如，政

策要求，應該由專人定期進行存貨盤點，程

序即盤點本身，其實施的頻率、關注的要點、

存貨的性質、數(shù)量等等。

3.控制活動應和風險評估相結合

管理層在進行風險評估的同時，應該針對該

特定風險找出并實施有效的措施，這些針對

某項特定風險的具體措施也就是建立控制

活動的要素，它有助于保證控制活動得以及

時、有效地實施。

4.信息系統(tǒng)的控制

隨著信息技術的發(fā)展，大多數(shù)企業(yè)，包括小

公司或大公司的部門，都引進、建立和運用

了現(xiàn)代化信息處理系統(tǒng)，現(xiàn)代化的信息系統(tǒng)

不僅提高了企業(yè)的工作效率，而且也改變企

業(yè)的經(jīng)營方式和方法，甚至影響企業(yè)的戰(zhàn)略

規(guī)劃，因此信息系統(tǒng)的控制十分重要。

信息系統(tǒng)內控活動可分為兩大類。第一類是

一般性控制一一適用多數(shù)應用系統(tǒng)并協(xié)助

確保其持續(xù)、正確地運行，包括對數(shù)據(jù)中心

操作、系統(tǒng)軟件的購買和維護、數(shù)據(jù)的安全、

以及應用系統(tǒng)開發(fā)和維護的控制。第二類是

應用性控制，包括應用軟件中的電算化步驟,

以及用以控制不同種類交易處理過程的相

關手工操作程序，它是保證交易處理的完整

性、準確性、交易授權和有效性的內部控制。

例如，公司的銷售政策規(guī)定給予金額在20

萬以上訂單以8折優(yōu)惠；系統(tǒng)根據(jù)事先的設

定，對于20萬以上的訂單自動給予20%的

折扣優(yōu)惠，而對于20萬以下訂單僅允許全

價銷售。

這兩類對計算機系統(tǒng)的控制是相互關聯(lián)的。

一般性控制用于保證建立在計算機程序基

礎上的應用性控制得以實施。

（四）信息和溝通

信息和溝通是指相關信息以某種形式并在

某個時段被識別、獲得和溝通，以促使員工

履行自己的職責。這里所說的信息是指來源

于企業(yè)內部及外部，與企業(yè)經(jīng)營相關的財務

及非財務的信息。信息必須在一定的時限內

傳遞給需要的人，以幫助人們行使各自的控

制和其它職能。溝通則是指信息在企業(yè)內部

各層次、各部門，在企業(yè)與顧客、供應商、

監(jiān)管者和股東等外部環(huán)境之間的流動0

有效的溝通必須廣泛的進行，自上而下、自

F而上地貫穿整個組織。所有人員都要從高

級管理層獲得明確的信息：必須認真對待

控制責任。他們必須了解各自在內部控制體

系中擔任的角色，以及個人行為與他人工作

的相互關系。他們必須有自下而上傳遞重要

信息的渠道和方法。同時，也要顧客、供應

商、監(jiān)管者和股東等外部人員建立有效的溝

通。

1.信息

企業(yè)的管理活動依賴于各種信息，既包括內

部生成的信息，也包括從外部獲取的行業(yè)、

經(jīng)濟、監(jiān)管等方面的信息。因此，企業(yè)必需

要建立良好的信息系統(tǒng)來識別、獲得、加工

和報告這些信息。有效的信息系統(tǒng)不僅能夠

識別和獲得所需要的財務和非財務的信息,

還能夠在一定時限內根據(jù)需要加工和報告

這些信息。另外，當企業(yè)面臨基本的行業(yè)變

化，面臨有高度創(chuàng)新能力反應迅捷的競爭對

手或面對重大的顧客需求變化時，信息系統(tǒng)

必須隨企業(yè)目標、經(jīng)營環(huán)境的變化而變化,

及時適應新的需求。

1）信息的識別和獲取

信息的識別和獲取的方式是多種多樣的:

信息系統(tǒng)可以采取監(jiān)控方式，定期獲取特定

的數(shù)據(jù)；或者，可以采取某些特定的方式獲

取所需信息，如通過問卷、采訪、廣泛的市

場需求調研或針對特定群體的調查獲得顧

客對產(chǎn)品和服務的需求信息；通過與顧客、

供應商、監(jiān)管者以及員工的談話獲得識別風

險和機遇所必需的重要信息；參加專業(yè)或行

業(yè)的研討會也可以獲得有價值的信息。

2）信息加工和報告

信息是決策的基礎，但并非所有的信息都是

有用的信息，因此，需要對信息進行加工整

理，歸納匯總，根據(jù)需要向不同的部門和人

員報告不同的信息。為了提高信息的質量,

需要考慮：

?內容是否適當一一它是所需要的信息嗎？

?信息是否及時一一當我們需要時就能獲得

嗎？

?信息是當前的嗎？一一是我們能獲得的

最新的信息嗎？

?信息是否準確一一數(shù)據(jù)都準確嗎？

?信息是否暢通一一相應的部門能容易地獲

得信息嗎？

在設計系統(tǒng)時必須考慮以上問題。如果不考

慮，系統(tǒng)很可能無法提供管理層和其它人員

需要的有用信息。

3）信息系統(tǒng)的整合

信息系統(tǒng)是經(jīng)營行為的一個組成部分，它通

過獲取決策所需的信息來影響控制，隨著信

息技術的發(fā)展，信息系統(tǒng)可以更迅速、更廣

泛提供更有價值的信息，對企業(yè)的管理影響

更加深遠，甚至影響到企業(yè)的戰(zhàn)略規(guī)劃，一

項最新發(fā)布的研究表明，信息系統(tǒng)的規(guī)劃、

設計和應用已經(jīng)開始同組織的整體戰(zhàn)略整

合在一起。多數(shù)新的生產(chǎn)系統(tǒng)與企業(yè)其它的

系統(tǒng)，可能還包括企業(yè)的財務系統(tǒng)，高度地

整合為一體。當系統(tǒng)執(zhí)行其它的運行時，財

務數(shù)據(jù)和會計記錄會自動更新。

2.溝通

溝通是信息系統(tǒng)回有的，是將信息提供給相

關人員，以便與其履行職責，溝通必須貫穿

于信息處理的整個過程，有效的溝通不僅在

整個企業(yè)內進行，也包括與外部進行的溝

通。

1）內部溝通

內部溝通是指企業(yè)內部上下級之間、橫向部

門之間的溝通，下面以例舉的方式介紹內部

溝通的主要內容:

A.所有的人員，特別是那些有著重要的經(jīng)營

和財務管理職責的人員，取得管理所需信息,

并清楚地知道必須嚴肅履行內部控制的責

任。

B.每個人需要理解所負責內部控制部分如

何運行及個人在系統(tǒng)中的職責。

C.在執(zhí)行自己的職責時，每個人都應該知道,

當意外發(fā)生時，不僅要注意事件本身，還要

注意事件的原因。這樣，就可以了解到系統(tǒng)

潛在的缺陷，并采取預防的措施。比如，發(fā)

現(xiàn)滯銷的存貨不僅要在財務報告上留下準

確的記錄，更重要的是對存貨滯銷的原因作

出判斷。

D.人們需要知道自己的行為怎樣與他人的

工作相聯(lián)系。

需要知道什么樣的行為是被期望的，什么

是可以接受的，什么是不可接受的。（

E、員工也需要知道在企業(yè)中自下而上傳遞

重要信息的方法和渠道。員工必須相信他們

的上級確實想了解問題并愿意有效地解決

問題，在任何情況下不會因報告相關信息而

受到報復。

F、在多數(shù)情況下，正常的報告渠道就是適

當?shù)臏贤ㄇ?。然而，在特定條件下，需要

獨立的溝通渠道作為一個預防失敗的機制,

在正常渠道不起作用時加以運用。例如為員

工提供直接接觸財務總監(jiān)或企業(yè)法律顧問

這樣的高層領導的渠道；總裁可以定期抽出

時間接待員工來訪，并且讓員工知道為任何

事情的來訪都是受歡迎的；總裁也可以定期

去車間拜訪他的員工，形成一種人們能夠交

流難題和關心的問題的氛圍。

G、管理層與董事會及其委員之間的溝通至

關重要。管理層必須使董事會了解最新的業(yè)

績、發(fā)展、風險、主要的革新以及其它任何

相關的事件或事故。與董事會的溝通越好,

董事會越能有效地行使監(jiān)督職能，并能夠對

于關鍵的事務作出合理的行為，提供建議和

忠告。同樣，董事會也應該向管理層傳達其

所需要的信息，并提供指導和反饋。

2）外部溝通

企業(yè)不僅在內部需要有適當?shù)臏贤ǎ遗c

外部也是，與外部溝通的內容包括:

A.通過開放的溝通渠道，了解顧客、供應商

對于產(chǎn)品或服務的設計或質量方面的要求

使公司注意顧客的需求和偏好。

B.在與外部的交往中強調企業(yè)的道德標準,

使外部人員知道認識到不適當?shù)男袨?。比?/p>

公司可以同供應商直接溝通，解釋公司期望

供應商雇員在與其打交道時應怎么做，明確

回扣以及其它不適當?shù)氖杖耄际遣荒苋萑?/p>

的。

C.與外部審計師的溝通，管理層和董事會可

以了解重要的控制信息。

與股東、監(jiān)管者、財務分析師以及其它外

界的交流，可以了解企業(yè)所面臨的情況和風

險。（

D.管理層同外界（無論是公開的、即將進行

的、嚴格跟蹤的還是其它的）的交流也可以

向整個公司內部傳遞信息。

3）溝通的方式

溝通可以采用諸如政策手冊，備忘錄，布告

通知，錄像錄音帶的形式，又可采用口頭傳

遞消息的方式。另一種有影響力的溝通手段

是管理層在領導下屬工作時的言行。

（五）監(jiān)督

內部控制隨著時間、環(huán)境而變化，曾經(jīng)有效

的程序可能會變得不太有效，因此需要對內

部控制進行監(jiān)督。監(jiān)督是評估內控系統(tǒng)在一

定時期內運行質量的過程，目的是保證內部

控制持續(xù)有效，監(jiān)督可通過兩種方式進行:

持續(xù)性的監(jiān)督活動和獨立的評估。持續(xù)性的

監(jiān)督活動是植根于企業(yè)日常、重復發(fā)生的活

動中的。與獨立評估相比，由于持續(xù)性監(jiān)督

程序在實時基礎上實施、動態(tài)地應對環(huán)境的

變化，并在企業(yè)中根深蒂固而顯得更加有

效。不過，獨立評估發(fā)生在事實之后，比起

持續(xù)性監(jiān)督程序，可更快地發(fā)現(xiàn)問題。一個

感到有必要進行經(jīng)常性的獨立評估的企業(yè),

應重點關注改進持續(xù)性監(jiān)督的途徑，并強調

“嵌入”而非“外加”的控制。

L持續(xù)性監(jiān)督行為

持續(xù)性的監(jiān)督行為發(fā)生在經(jīng)營的過程中，它

包括日常管理和監(jiān)督行為、比較、核對和其

他常規(guī)性活動。持續(xù)性監(jiān)督行為有下面一些

例子:

A.在執(zhí)行常規(guī)管理行為時，經(jīng)營管理層取得

內部控制持續(xù)運轉的證據(jù)。

B.與外界各方的溝通能夠印證內部產(chǎn)生的

信息或揭示問題。例如：顧客支付賬單，表

明其確認了帳單數(shù)據(jù)；相反地，顧客對帳單

的投訴可能表明銷售交易過程存在系統(tǒng)缺

陷。公司審核有關作業(yè)安全的政策和操作步

驟，從經(jīng)營安全性和合規(guī)性的角度為內控是

否有效運行提供信息，因而被視為一項監(jiān)

督；監(jiān)管者就合法性或其他事項與企業(yè)進行

交流，也會從某種角度反映內控系統(tǒng)是否有

效運行。

C.適當?shù)慕M織結構和監(jiān)督行為不但監(jiān)督內

控職能的執(zhí)行并且能夠發(fā)現(xiàn)內控的缺陷。例

如，財務負責人對財務人員針對交易正確性

和完整性實施的內控活動實施日常的監(jiān)管。

另外，管理層對員工的職責分配定期進行審

核，以確保合理分工以便相互制衡，有利于

防止員工舞弊，并可以限制個人掩蓋其可疑

行為的能力。

D.將信息系統(tǒng)所記錄的數(shù)據(jù)與實物資產(chǎn)相

核對。例如，產(chǎn)成品存貨應定期進行盤點,

將盤點的數(shù)據(jù)與相應的會計數(shù)據(jù)核對并記

錄存在的差異。

E、內部及外部審計師定期為進一步加強內

部控制提供建議。審計師通過評價內控的設

計并測試其有效性，發(fā)現(xiàn)一些潛在的問題并

向管理層提供解決問題的建議。

F、培訓研討會、計劃會議及其他會議能向

管理層提供有關控制是否有效的重要反饋。

這種方式不但能指出控制中存在的個別問

題，還能增強參與者的控制意識。

G、定期詢問職員理解及執(zhí)行企業(yè)相關規(guī)定

的情況。如向經(jīng)營及財務人員詢問相關的控

制程序是否正常運行。

2.獨立評估

獨立評估是獨立于控制活動之外而采取的

定期評估行為。盡管持續(xù)性監(jiān)督程序可以提

供關于其他控制要素有效性的重要反饋信

息，但經(jīng)常地對系統(tǒng)的有效性直接進行評估

也是十分必要的。這樣同時也提供了一個機

會來評價持續(xù)性監(jiān)督程序是否有效o

1）范圍和頻率

獨立評估的范圍和頻率主要依賴于風險評

估和持續(xù)性監(jiān)督程序的有效性。由于所控制

風險的大小及內部控制在減小風險中的重

要性不同，對于內部控制進行評價的范圍和

頻率也不一樣。例如，那些致力于重大風險

或對減小風險具有重要作用的控制就應經(jīng)

常地進行評價。

2）評價主體

評價主體，即由誰來實施獨立評估。一般來

說，評價主體包括：

一是自我評價，即負責某一單位或職責的人

員對其控制自身活動的有效性進行評價。例

如，一位部門主管應指導本部門內部控制的

評價活動。他或她可能親自評價內控環(huán)境因

素，然后請部門內負責各種經(jīng)營活動的人員

評價其他要素的有效性。

二是內部審計人員評估，有時，在董事會、

高級管理層、子公司及部門主管的特殊要求

下，內審人員也會對內控進行評價。同樣,

在評價內控時，管理層也可利用外部審計人

員的工作。

3）評價程序及方法體系

首先是同企業(yè)職員進行探討并審閱已有的

文件，了解系統(tǒng)的運行過程或內控系統(tǒng)的設

計；其次是根據(jù)已確定的目標分析內部控制

的設計和測試結果，分析是否對既定目標提

供了合理保證。

評估方法有許多可供選擇，包括檢查清單、

調查問卷和流程圖等方法。也可與那些被認

為在內控系統(tǒng)方面具有良好聲譽的公司進

行比較。

4）行動計劃

第一次指導評估內控系統(tǒng)的管理人員可以

考慮下列建議，決定對何處著手和如何去做:

A.決定評估的范圍，包括目標的分類、內部

控制要素和需采取的行動。

確定對內部控制的有效性提供常規(guī)保證的

持續(xù)的監(jiān)督行為。（

B.分析內部審計的控制評估工作，考慮外部

審計師與控制相關的發(fā)現(xiàn)。

按照單位、要素或高風險區(qū)域劃分重要性

程度和先后次序，保證及時的關注（

C.在以上基礎上，建立相關的評估程序。

D.匯集所有進行評估的各方，共同考慮下列

問題：不僅要考慮評估范圍和時間表，而且

要考慮所使用的方法體系，應用的工具，來

自內外部審計師和監(jiān)管者的建議，報告所發(fā)

現(xiàn)問題的方式以及設定最終的文本化程度。

E、監(jiān)督進展和復核發(fā)現(xiàn)。

F、保證采取必要的追蹤措施，必要時修改

后續(xù)的評估部分。

5）報告缺陷

這里的“缺陷”被廣泛定義為內控系統(tǒng)中值

得注意的問題。缺陷可能代表一個假想的、

潛在的或實際的缺點，或一個強化內控系統(tǒng)

的機會。向恰當?shù)漠斒氯颂峁┯嘘P內部控制

缺陷的必要信息，對內部控制制度的持續(xù)有

效運行十分關鍵。內部控制的缺陷應自下而

上進行報告，重要事項應報知高層管理人員

和董事會。對于發(fā)現(xiàn)的內部控制缺陷，不僅

應向負責的個人匯報，由他采取正確的措施,

還至少應向該責任人的上一級匯報。這一過

程使得責任人能及時采取措施，也便于其上

級提供所需的支持或進行監(jiān)督，并與企業(yè)中

受影響的他人進行溝通。重要事項應報知高

層管理人員和董事會。

6）文本化

企業(yè)內部控制的文本化有利于評估，有利于

增進員工對內控系統(tǒng)如何運行及各自職責

的理解，更易于必要時對其修改。文本化的

程度根據(jù)各企業(yè)的規(guī)模、復雜性和類似因素

的不同而存在差異。大一些的公司通常有書

面的政策手冊、正式的組織圖、書面的工作

描述、經(jīng)營指導、信息系統(tǒng)流程等。小一些

的公司內部控制文本化的程度一般低得多。

控制沒有文本化并不意味著內控系統(tǒng)是無

效的或無法評估，不過當需要向更多人提供

有關內部控制的闡述或評估時，內部控制文

本化的性質和程度將會提高。當管理層希望

向外界提供關于內控系統(tǒng)效果的聲明時，他

們應當考慮形成文件來支持該聲明。如果該

聲明今后被質詢，這些文件將很有用。

四、內部控制的局限性

也許有人會認為內部控制可以確保企業(yè)萬

無一失，這也是我們所希望的，但事實并非

如此，無論內部控制設計和執(zhí)行的多好，它

也只能提供合理的保證，這是內部控制系統(tǒng)

■■

回有的局限性。具體表現(xiàn)在:

（判斷失誤一一判斷是人在事情發(fā)生時依

據(jù)現(xiàn)有信息的所做出的，個人的判斷不能保

證絕對正確，并且難以避免主觀性，從而影

響內部控制的有效性?；阱e誤判斷的管理

層決策