论审计监察对企业发展的重要性.docx

资源描述

论审计监察对企业发展的重要性我国历史上发生过很多因不规范监督而造成了一系列严重的历史事变，如太平天国运动中天王洪秀全因猜忌而派安、福二王挟制、监视翼王石达开，于1857年5月将翼王石达开逼走，导致太平国出现军中无主帅、朝中无名将、太平军弟兄痛心疾首，最后分崩离析而灭亡。1630年，明崇祯帝朱由俭听信为其养马太监的话认为袁崇焕是后金的内奸，而以3543刀“凌迟处死”抗金名将袁崇焕，导致明军士气受到沉重打击，统军将领们陷入无比恐惧中，将军们都不敢入京，甚至只身不敢离开军营，害怕离开军营就被东厂逮捕杀害，从那时开始，明朝开始出现整支整支部队集体向后金（清兵）投降的事，加速了明朝的灭亡！这类历史事件令广大人民对监督产生了巨大的误解、恐慌阴影，简单的把监视等同于监察、把特务等同于审计；再加上我国知识份子骨子里信奉“士为知己者死”，而把监督当作不信任、当作屈辱而发自内心的排斥；再者，佛祖说：“上天下地，唯我独尊”，部分领导习惯了“我的地盘我做主”，甚至‘顺者昌逆者亡’、‘唯我独尊’，容不得任何批评，无比的霸道！所以现阶段，大家对企业内部审计监察的重要性还非常不理解，并天然存在排斥心理。为什么在现在世界各国政府、国内外大企业、上市公司特别重视企业内控审计管理？审计监督对企业发展的重要性具体体现在什么方面？第一、 “有效”的审计监督是杜绝上述事件发生的组织保障，是推动组织、企业建立健全制度并提高执行力的基石。上述两个事件恰恰说明一个组织、一个领导者缺乏“有效”审计监督的危害。崇祯皇帝捉拿袁崇焕后，当时负责监察查核军务的兵科给事中钱家修上书《白冤疏》陈述了袁崇焕的六大冤，但崇祯皇帝不肯改正；而太平天国还根本没有建立对应的监察机构，否则无才、无谋、无德、无功而贪婪的洪仁达、洪仁发就难以被封为安王、福王，左右朝政，排斥、陷害翼王。第二、在20世纪90年代后，随着金融危机、经济危机的爆发，一系列巨无霸公司因舞弊、造假、风险管理不当而破产，对社会稳定产生了巨大冲击，企业内部审计监督被日益重视，迫使各国政府出台法律加强企业内控管理。如：美国最大的电力交易商、鼎盛时期年收入达1000亿美元、在全球拥有3000多家子公司的能源巨头安然公司因重大财务舞弊事件而在2001年轰然破产；美国电信业巨头世通公司在虚报巨额利润丑闻曝光4个星期后宣布破产；2007年12月，市值最高时达到1151亿的电信巨头诺基亚，由于对市场前景预判错误风险警惕不足、技术创新滞后而衰败，先被微软以71.7亿美元收购，又在2016年以3.5亿美元被甩卖给富士康；2008年9月美国第四大投行雷曼兄弟盲目乐观扩张、缺乏风险意识大量持有不良债券而致缺乏流动性最终破产；2009年2月，三鹿集团因生产的奶粉层致众多婴儿患有肾结石而宣布破产。这一切凸显了公司治理的重要性，2002年7月美国国会通过了《萨班斯-奥克斯利公司治理法案》(简称SOX法案)，SOX法案发布后董事会、高级管理层、内部审计和外部审计成为公司治理的四大基础。不断增加的风险成为企业在治理过程中制定战略、科学决策时务必考虑的重要因素，并成为连结公司治理与内部审计的桥梁，企业的股东、投资者等寻求把内部审计履行对企业内部控制和风险的监督职能。第三、历史发展的必然选择。几千年前的周朝、秦汉时期就实行三公九卿制，三公指丞相（大司徒）、太尉（大司马）、御史大夫（大司空），司徒负责行政及教化等；太尉管军事；司空管监察（御史大夫负责掌图籍章奏，监察百官）。隋唐至宋朝实行三省六部制，三省为尚书省、中书省、门下省，三省职能：“中书取旨，门下封驳，尚书奉而行之”，即中书省是决策机构，负责与皇帝讨论法案的起草，颁发皇帝的诏令；尚书省是最高行政机构，负责执行国家的重要政令；门下省是监察机构，负责纠核朝臣奏章，复审中书诏敕，封还皇帝失宜诏令，驳正臣下奏章违误。明清朝采用六部（吏、户、礼、刑、兵、工六部）+都察院制，都察院是明清两代最高的监察、弹劾及建议机关。纵观中国历史，每次出现盛世的时代或出现杰出帝王的时代都是监察做的最好的时代。如汉武帝为加增强国力，加强中央集权，监察百官，不仅在中央设有御史台，还把全国分为十三个州设置刺史以监察地方，这一制度有效的解决了当时各诸候王国势力过大的问题，建立了强大的中央政府。唐太宗李世民善纳魏征良言，开创了“贞观之治”的盛世，魏征以直谏敢言著称，提出了“君，舟也，民，水也。水能载舟，亦能覆舟。”等治世名言，是中国史上最负盛名的谏臣、监察官——主持门下省工作近十年，后官至宰相，封郑国公。中国历史上吏治最清明的皇帝就是清朝的雍正皇帝，有“雍正一朝，无官不清”之美誉，雍正治“贪”的一个重要举措是在雍正元年成立“会考府”作为独立的核查审计机关，其中最狠、最妙的审计手段为：“即时候补”制度，即雍正每次派钦差大臣出巡时从地方抽调大批候补州、县级官员随同巡查，共同查处贪污舞弊、失职渎职官员，一经查出就地免职并立即任命有功的候补官员接任，这一招令每个巡查官、候补官为个人仕途、抱负，不畏艰险、不惧权贵、不收礼受贿、不官官相护，快、准、狠查办贪污舞弊、失职渎职官员。第四、人的本性所决定的。孔子说：“饮食男女，人之大欲存焉！”告子又主张：“食、色，性也！”。一个饿了三天三夜的人面对他人“孝敬”的一碗香喷喷红烧肉而不吃的几无可能；一个赌瘾、毒瘾发作而手头又紧的人，在经手巨额公款时而不挪用、贪污是不存在的！马克思也说：为了100％的利润，就敢践踏一切人间法律；有300％以上的利润，就敢犯任何罪行，甚至去冒绞首的危险。所以任何一个人在巨大个人利益、金钱面前，都会疯狂，若认为可靠个人的信仰、道德、亲情、高薪令官不舞弊、不贪、不谋私、不受贿，那是"痴人说梦"，只能纵容更多的人观察模仿、学习创新、争先恐后贪污舞弊。团队的忠诚、廉洁、高效必须依靠科学有效的审计监察、严厉的惩戒才能做到，所有秩序好的地方、国家一定是法制健全、监察执行较严的地方、国家，毛主席时代很少贪污、腐败，不是靠人的信仰、善良自觉性形成的，而是毛主席严厉肃贪的成果，1932年查处并枪毙了瑞金叶坪村苏维埃政府主席谢步升（中国共产党建立苏维埃共和国后的第一个“贪官”）；1941年，枪决了战功赫赫的红军英雄、陕甘宁边区某税务分局局长肖玉壁；1952年查处并依法判处刘青山、张子善死刑，立即执行。老百姓说，“毙了两个人，党风好了20年”！第五、个人知识、能力局限性决定的。世上找不出一个不犯错的圣贤，所以任何人一生中一定会犯一系列的错误，而成功的人深知这一点：要成就大事业、成为伟大的领袖最关键、最急切的事就是寻找、拜访若干个智慧、谋略、胆识超群的人为谋士、军师，作为自己的一面“镜子”。反之很多取得一点成功就变得傲慢、刚愎自用的人，就会遭受失败，甚至惨死，如春秋时大破越国，打败齐国的吴王夫差不听伍子胥的劝谏并杀之，不防范越国，一心争霸，于公元前473年被越王勾践打败，因愧对伍子胥而自刎。再如中国历史上最强悍的战神、军神，有“羽之神勇，千古无二”、“项籍七十余战，未尝败北”盛誉的西楚霸王项羽虽屡屡大破刘邦，终因不听范增之谋败给刘邦，在乌江悲壮自刎而死。市场证明企业内部审计工作做的好、有效的企业，其业绩都是行内佼佼者，如奇瑞汽车、美的、联想、万达、华为等，如美的集团成立了集团廉政办作为审计领导机构狠抓贪污、受贿索贿、以权谋私等舞弊行为，拍摄多部反腐微电影、视频教育、震撼广大员工。华为的审计工作更加特别而有效：《华为基本法规定》“公司实行以流程为核心的管理审计制度，在流程中设立若干监控与审计点，明确各级管理干部的监控责任，实现自动审计”，在此基础上进行创新：模拟军事演习，建立对抗性的“蓝军”组织，他们从 “红军”（生产经营团队、项目公司等）中挑选优秀管理人员任职“蓝军”，如此监军有着深厚的实战经验、有着过硬的技术和业务技能、具有制定经营计划的谋略，从而能最好的起到对抗、磨练“红军”，及时、准确的监察其错误行为；同时“红军”‘司令’又必须有过“蓝军”‘司令’的工作经历，如此红军主官深知内部审计监督的重要性，能更好的理解和执行内控制度、流程，更高超的预防和处理好各种风险，能制定出更加科学、严密的计划，能更好的严格要求自己，工作更加谦虚、细致、稳健，高效。当然要做好审计就要引入风险管理，立足于流程审计，审计目的要明确、覆盖面要广，致力于帮助职业经理人解决管理中存在的问题、化解潜在的风险，使审计监察成为一面帮助职业经理人发现问题和风险的“镜子”，妥善解决好与被单位之间的紧张、对立情绪，共同提高企业效益！每个人或组织都宜学习唐太宗李世民以魏征为“镜”，善于听取下属的“逆耳”忠言，而以石达开出走、袁崇焕冤案导致的灭亡事件为鉴，推动企业建立科学、规范的内部审计监督体系，保证企业安全、稳健的运营，夯实建立百年品牌的组织基础！李军民 2016年6月河源附件一: COSO内部控制框架资料一、COSO内部控制框架的产生和发展过程 2 二、COSO内部控制框架下内控制度定义 3 1、COSO内控框架对内部控制的定义 3 2、对内部控制定义的理解 3 3、COSO内部控制框架的组成要素 4 三、COSO内部控制框架五要素 6 1、控制环境 6 （1）员工的诚信和道德价值观 6 （2）胜任能力 8 （3）董事会和审计委员会 8 （4）管理层的经营理念和经营风格 9 （5）组织结构 9 （6）管理层授权和职责分工 10 （7）人力资源政策和措施 10 2、风险评估 10 （1）风险及风险评估的定义 10 （2）如何进行风险评估 11 3、控制活动 13 （1）控制活动类型 13 （2）控制活动的要素—政策和程序 14 （3）控制活动应和风险评估相结合 14 （4）信息系统的控制 14 4、信息和沟通 15 （1）信息 15 （2）沟通 16 5、监控 18 （1）持续性监控行为 18 （2）独立评估 19 四、内部控制的局限性 21 五、员工在内部控制中的作用与责任 22 六、小结 23 一、COSO内部控制框架的产生和发展过程不同的人对内部控制有不同的理解。一般的人把内部控制理解为组织为了减少决策失误和工作缺陷而实施的控制,这些控制可能是内部监控、也可能是管理手册、规章制度等。这种理解没有错，但不全面。按照现代的内控理论，这些仅仅是内部控制的一部分，而不是全部。现代内控理论认为，内部控制是一个系统化的框架，它建立在风险管理的基础上，包括控制环境、风险分析、控制活动、信息与沟通、监控五大要素。内部控制理论的发展是一个逐步演变的过程，大致可以区分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架四个阶段。在内部牵制阶段，账目间的相互核对是内控的主要内容，设定岗位分离是内控的主要方式，这在早期被认为是确保所有账目正确无误的一种理想控制方法；在内部控制制度阶段，内部控制的重点是建立健全规章制度；在内部控制结构阶段，内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序，分为控制环境、会计制度和控制程序三个方面；内部控制整体框架阶段，就是我们下面要讨论的COSO内部控制框架。在美国，20世纪70年代中期，与内部控制有关的活动大部分集中在制度的设计和审计方面，重在改进内部控制制度和方法。1973年至1976年对水门事件（美国公司进行违法的国内捐款和贿赂外国政府官员）的调查使得立法机关与行政机关开始注意到内部控制问题。针对调查的结果，美国国会于1979年通过了《反国外贿赂法》（简称FCPA）。FCPA除了规定了关于反贿赂的条款外，还规定了与会计及内部控制有关的条款。因此，美国许多机构都加强了对内部控制的研究并提出许多建议。1985年，由美国注册会计师协会、会计协会、财务主管协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会，该委员会旨在探讨财务报告中的舞弊产生的原因，并寻找解决措施。两年后，该委员会提出了很多有价值的建议。基于该委员会的建议，其赞助机构成立COSO委员会，专门研究内部控制问题。1992年9月，COSO委员会提出了报告《内部控制——整体框架》（1994年进行了增补），即COSO内部控制框架。 COSO内控框架的提出标志着内部控制理论发展到新的阶段，对企业完善和优化内部控制、增强风险防范能力具有十分重要的意义。COSO内部控制框架之所以被广泛地选择作为构建和完善内部控制体系的标准，是因为：虽然COSO内部控制框架并非唯一的内部控制框架，但却是美国证券交易委员会唯一推荐使用的内部控制框架，《萨班斯法案》第 404 条款的「最终细则」也明确表明 COSO内部控制框架可以作为评估企业内部控制的标准。作为纽约证交所上市公司，需要按照法案要求，引进COSO内部控制框架，整合现有内部控制，满足法案的要求。同时，这也是梳理管理流程、规范管理、提升公司整体管理水平的契机。COSO内部控制框架是一个较为理想的框架，几乎所有公司的内部控制均与之有一定差距，美国各大公司也正在为此而努力，虽然这必然加大企业负担，但多数公司都希望通过理解和贯彻COSO内部控制框架要求，来实现提升管理水平的目的。目前我国企业的内部控制与COSO内部控制框架的要求相比还存在一些距离。这些差距主要体现在：内部控制体系的整体框架、控制环境、风险评估等理念尚未被广泛接受、内部控制的文档记录还不够系统规范、缺乏自我评估机制等。 “他山之石，可以攻玉”，COSO内控框架对于我们加强企业内部控制具有一定的启发和借鉴意义。二、COSO内部控制框架下内控制度定义 1、COSO内控框架对内部控制的定义 COSO内部控制框架认为，内部控制是受企业董事会、管理层和其他人员影响，为经营的效率和效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。 2、对内部控制定义的理解第一，内部控制是一个“过程”，而且是一个动态的过程。企业的经营活动是永不停止的，企业的内部控制过程也因此不会停止，它是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。内部控制应该与企业的经营管理过程相结合，而不是凌驾于企业的基本活动之上，它促使经营达到预期的效果，并监控企业经营过程的持续有效进行。第二，内部控制受到“人”的因素的影响，它并不仅仅是政策手册和表格，不仅仅是管理人员、内部审计或董事会，而是组织中的每一个人，每一个人都对内部控制负有责任并受到内部控制的影响；是“人”建立企业的目标，并将控制机制赋予实施。确立这种观念有利于企业的所有员工明确自己的责任和权限，主动地维护及改善企业的内部控制。第三，内部控制无论设计和运行得多么完善，也只能为企业的管理层和董事会提供合理的保证，而不是绝对保证，因为内部控制本身具有局限性。最后，内控框架将内部控制目标分为三类：与营运有关的目标—即经营的效率与效果、与财务报告有关的目标—即财务报告的可靠性、以及与法规的遵循性有关的目标。上述分类让我们专注于内部控制的各个方面，这些相互有别，相互交叉的分类满足不同的需要，并且表明了不同的执行人员的直接责任。 3、COSO内部控制框架的组成要素控制活动 § 确保管理活动付诸实施的政策/流程。 § 措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。监控 § 不断评估内部控制系统的表现。 § 整合实时和独立的评估。 § 管理层和监控活动。 § 内部审计工作。控制环境 § 营造单位气氛－让公司员工建立内部控制。 § 因素包括正直，道德价值，能力，权威和责任。 § 是其他内部控制组成部分的基础。信息和沟通 § 及时地获取，确定并交流相关的信息。 § 从内部和外部获取信息。 § 使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流。风险评估 § 风险评估是为了达到企业目标而确认和分析相关的风险－形成内部控制活动的基础。监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位 A 业务单位 B 活动 2 活动 1 监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位 A 业务单位 B 活动 2 活动 1 COSO内部控制框架认为，内部控制系统是由控制环境、风险评估、控制活动、信息与沟通、监控五要素组成，它们取决于管理层经营企业的方式，并融入管理过程本身，其相互关系可以用下面模型表示。 l 控制环境——控制环境是企业的基调、氛围，直接影响企业员工的控制意识。控制环境要素是推动企业发展的发动机，也是其他一切要素的核心，包括员工的诚信、职业道德和工作胜任能力；管理层的经营理念和经营风格；董事会或审计委员会的监管和指导力度；企业的权责分配方法和人力资源政策。可以说人及其人进行的活动是任何企业的核心，是构成控制环境的重要要素，又与环境相互影响、相互作用。 l 风险评估——风险评估是识别、分析相关风险以实现既定目标，是风险管理的基础。每个企业都面临着诸多来自内部和外部的风险，影响企业既定目标的实现。因此必须设立一个机制来识别、分析和管理影响目标实现的相关风险，并适时加以管理。 l 控制活动——控制活动指那些有助于管理层决策顺利实施的政策和程序，是针对风险采取的控制措施。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。 l 信息与沟通——是指企业经营管理所需信息必须被识别、获得并以一定形式及时传递，以便员工履行职责。信息不仅包括内部产生的信息，还包括与企业经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使企业的员工能及时取得他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息。 l 监控——是对内部控制系统有效性进行评估的过程，可以通过持续性监控、独立评估或两者的结合来实现对内控系统的监控。内控体系五要素之间的关系我们可以理解为：企业的核心是人，人的诚信、道德价值观和胜任能力构成了企业的控制环境，这是企业发展的基础。每个企业都有自己的发展目标，为了目标的实现，必须分析影响因素，即进行风险评估。针对风险评估的结果需要采取相应的控制活动来控制和减少风险。同时与控制环境、风险评估和控制活动相关的信息应及时被获取、加工整理，并在企业内部传递，这就是信息与沟通，信息与沟通系统围绕在控制活动周围，反映企业各项管理活动的运转情况。为了保证内控体系的正常运转，还需要对整个内控过程进行监控。内部控制五要素之间的配合和联系，组成了一个完整的系统，可以灵活地随条件变化而变化。但各要素之间并非是一项要素影响下一项要素的顺序过程，任一要素都可以影响其他要素，例如对风险的评估不仅仅影响控制活动，还可能影响信息和沟通、监控行为等。 COSO内部控制框架适用于各类企业，但是中小企业对其应用可能不同于大型企业，中小企业的内部控制可能不及大型企业正式、组织性强，但也可以是有效的。三、COSO内部控制框架五要素 1、控制环境控制环境是其他控制要素的基础。控制环境因素包括：员工的诚信和道德价值观；员工的胜任能力；董事会和审计委员会；管理层的经营理念和经营风格；组织结构；管理层授权和职责分工、人力资源政策和措施。（1）员工的诚信和道德价值观内部控制是由人建立、执行和维护的，人是内部控制有效运行的根本因素。人的道德价值观影响着人的行为。企业员工具有良好的道德标准并形成良好的道德氛围，对控制系统的有效运行非常重要，也有助于防范那些内控系统难以控制的行为。员工的诚信和道德价值观是指员工行为的准则，是告诉员工什么行为可接受、什么行为不可接受、以及遇到不正当行为应该采取的行动。主要包括以下内容： 1）利益冲突。每一个员工都有责任将公司利益放在第一位，避免私人利益与公司利益的冲突。 2）合法性。公司要承诺在进行业务时是抱着诚实和诚信原则，并遵循所有适用的法律和规章制度。 3）及时向指定人员报告或检举揭发违规事项。员工有义务对所发现的关于会计、内部控制或审计等的违反法律、规章制度或行为准则的问题，向道德规范委员会报告，或向披露委员会或审计委员会汇报。发现任何高级管理人员违反法律、规章制度或行为准则，应迅速向道德规范委员会等相关机构报告。对检举人应当建立保密制度，包括匿名保护。 4）遵守道德准则的责任。明确员工必须遵守道德准则。对违反准则的人员建立惩罚机制，甚至解雇或免职。 5）公司机遇。禁止员工通过利用公司财产、信息或职位为自己或其他人牟取商业机遇。 6）保密。机密信息是一间公司最重要的资产之一。公司建立相应政策保护机密信息，包括（a）属于公司商业性机密信息（b）属于非披露协议下信息。每一个员工在入职后应执行保密协议和保护公司知识产权。员工即使在终止雇佣之后，仍然有义务保护公司的机密信息。 7）公平交易。每一个员工都应该努力去公平对待顾客、供应商、竞争者、公众，并遵循商业道德规范。为了获得或维持业务而进行贿赂、回扣或其他诱惑等都是不允许的。与业务相关，偶尔赠送非政府雇员的价值较低的商业礼物的做法是可以接受的。但未得到道德委员会事先批准的情况下，赠送礼物或款待政府雇员是不允许的。员工代表公司购买商品应遵循公司的采购政策。 8）公司资产的保护及恰当使用。每一个员工必须保护公司资产，包括实物资源、资产、所有权、机密信息，排除损失、失窃或误用。任何怀疑的损失、误用或失窃都应该报告给经理或法律部门。公司资产必须用于公司业务，符合公司政策。 9）全面、公正、正确、及时地理解财务报告及其披露事项。因为公司必须提供完整、公正、及时和可理解的披露报告及文件，并存档或呈交给证监会以及公共传媒，所以每一个员工都有责任保证会计记录的准确性。管理层必须建立和保持适当的内控，遵循公司已有的会计准则和流程，保证交易记录的完整和准确。禁止干扰或不正当的影响公司财务报表审计。要求证实会计记录和报表受控，能够保证准确性，包括提供给审计和定期向证监会报告的义务。对于企业来说，首要的工作是建立一套员工能够接受和理解的诚信和道德标准，如道德行为手册；其次是必须让员工知晓和理解这些规定（例如：要求所有员工定期签字确认），这是执行的前提条件；最后就是贯彻执行。在公司内传递道德标准的最有效方式是管理层以身作则，员工对于内控的态度通常会效仿他们的领导。另外，对违反准则的员工应予以相应惩罚；建立鼓励员工揭发违规行为的机制；以及对未能汇报违规行为员工的教育培训都具有特别重要的意义。员工个人可能由于下列因素而卷入不诚实、非法或不道德的行为： l 不切实际的业绩目标，特别是短期业绩的压力（例如：为了实现预先设定的利润指标而在财务报告中虚报收入） l 将奖金分配与业绩挂钩（例如：错报与业绩考核指标相关的财务信息） l 内控制度不存在或无效（例如：敏感业务区域未设立严格的职责分工，这为偷窃公司资产或隐藏不良行为提供了可能）。 l 组织高度分散，可能导致高层管理人员不清楚基层的行为，缺少必要的监管，因此，减少了基层舞弊被发现的机会。 l 内部审计职能薄弱，没有及时发现和报告不正确的行为。 l 董事会缺少对高层管理人员的客观监管，可能导致管理人员凌驾于内控制度。 l 管理层对不正确行为的惩罚力度不够或不公开，从而失去了应有的威慑力。（2）胜任能力胜任能力是要求员工具备完成工作任务所需的知识和技能，目的是保证员工能够正确理解相关规定、及时恰当分析和处理业务，这是维护内部控制有效性的必备条件。为此，管理层需要设定工作岗位的知识和技能水平要求，在招聘、选用员工时作为评选的标准或条件。在设定工作所需知识和技能时，一方面要根据工作的性质和所需的职业判断，考虑能力需求，另一方面还应考虑人力资源成本即薪酬（例如：没有必要雇佣一名电子工程师来换一只灯泡）。（3）董事会和审计委员会董事会或审计委员会的职能是实施治理、指导和监控管理层的工作，如果对管理层缺乏必要的监控，管理层可能会凌驾于控制之上，甚至故意歪曲结果，因此董事会或审计委员会监控作用对确保内部控制的有效性十分重要，董事会或审计委员会作用的发挥，必须具备以下条件：一是要独立于管理层，不受其影响；二是具有足够知识、行业经验和时间，以便于履行职责；三能够与财务、法律、内部审计和外部审计及时沟通，得到适当信息；四是能够控制高级管理人员的薪酬，有权聘用和解聘高级管理人员。需要说明的是，我国股份公司的治理结构与国外有所不同，股份公司设置监事会，其职能类似于国外审计委员会的职能，所以股份公司的董事会、审计委员会和监事会都需要符合上述条件。（4）管理层的经营理念和经营风格管理层的经营理念和经营风格影响企业的管理方式，包括面对各种风险的态度。管理层的经营理念和经营风格形成了企业文化，它既是一切业务实现的基础，也为内部控制的实施提供了平台。它往往是企业内部一种无形的力量，影响企业成员的思维方法和行为方式，包括企业承受营业风险的种类、整个企业的管理方式、企业管理阶层对法规的反应、对企业财务的重视程度以及对人力资源的政策及看法等。它们都深深地影响着内部控制的成效。例如，有些公司管理层的经营理念和风格较为激进，愿意承担更高的风险以追求更高的盈利回报；而有些公司的管理层则比较保守，在风险承担方面表现得较为谨慎。可以看出，不同的经营理念和风格决定了管理层在承担风险方面采取不同的态度和做出不同的决策。以销售信贷政策为例，对风险承受力高的公司相比承受力低的公司，其设定的信用销售额度更高，以期望通过更优惠的政策吸引和保留客户，而获得更高的销售额。管理层的经营理念和经营风格还表现在：管理层对财务报告的态度，在会计政策选择方面是否谨慎，进行会计估计时是否遵循审慎性原则，对待数据处理、会计职能及人事管理等方面的态度等等。（5）组织结构组织结构是权责分工的架构，在此架构中规划、执行、控制和监控为实现企业目标而进行的活动，每个企业都可根据自己的需要确定组织结构，可以是集权型，也可以是分权型，可以是直接的报告关系，也可以是矩阵型组织结构，可以按产品或行业组织，也可以按地理分布或功能组织，但不论何种组织结构，应根据公司的业务性质，进行适当的集中或分散，确保信息的上传、下达和在各业务间的流动，确保企业目标的实现。（6）管理层授权和职责分工权力和责任分配是指对员工进行授权和分配责任，将企业的目标层层分解落实到每个员工的头上，从而将员工的行为与企业目标联系起来，增强员工的自主控制意识。权力与责任分配的关键是权力与责任的对等。（7）人力资源政策和措施人力资源政策和措施是关于员工聘用、培训、考核、进升、薪酬等方面的政策和程序，目的是聘用和维持有能力的人员，保证公司的计划得以实施，目标得以实现。因此，人力资源政策和措施应考虑如何招聘进来有能力、可信任的人员，如何进行相关培训使员工意识到他们的工作职责和公司对他们的要求，如何通过考核、薪酬、提升等政策激励约束员工。 2、风险评估（1）风险及风险评估的定义风险是任何影响目标实现的因素,所有企业，无论规模、结构和行业性质，都面临着风险，可以说有经营就有风险。风险有来自企业内部的，也有来自企业外部。为了加强对风险的控制，必须进行风险评估，风险评估是指对相关风险进行识别和分析，是发现和分析那些影响目标实现的风险的过程，是确定如何管理和控制风险的基础。风险评估的前提条件是设立目标，只有先确立了目标，管理层才能针对目标确定风险并采取必要的行动来管理风险。企业的目标可以分为公司层面目标和业务活动层面目标，公司层面目标是指公司的总目标和相关战略计划，与高层次资源的分配和优先利用相关。业务活动层面的目标是总目标的子目标，是针对企业业务活动的更加专门化的目标。业务活动层面的目标应该清楚，易于理解，以便从事该操作的人能实现其目标，同时还必须是可衡量的，以便于考核。实现目标需要耗费资源，因此设立目标必须考虑可获得的资源，企业应该对目标进行分析，提醒自己找出与总目标不相关的操作目标，以免资源浪费，而对实现总目标至关重要的操作目标，则优先安排资源。（2）如何进行风险评估 1）风险识别风险评估的过程首先是进行风险识别，风险识别需要考虑所有可能发生的风险，并且需要考虑企业和相关外界之间的所有重大相互影响。风险识别也是一个重复的过程，需要针对环境的变化持续进行。导致企业经营风险的因素包括内部和外部两个方面：外部因素包括： l 技术发展——影响研发的性质和时机，或带来采购的变化。（例如：出现新的、更高效的技术，未掌握相关技术的公司会导致市场竞争力降低，进而影响经营目标的实现） l 不断变化的客户需求和期望——影响产品开发、定价。（例如：纳米技术的应用，客户对产品的期望改变；） l 竞争——影响营销和服务活动（例如：WTO导致更多具有较高竞争力国外石油公司进入中国市场）。 l 新的法律和法规——影响经营政策和策略（例如：新企业所得税法）。 l 自然灾害——造成损失。 l 经济形势的变化等——影响融资、资本支出和扩张决策。内部因素包括： l 信息系统运行的中断——影响经营运转。 l 雇员的素质和培训、激励的方法——影响控制理念。 l 管理层职责的改变——影响某些实施控制的方式。 l 企业经营活动的性质、员工对资产的接触途径——产生挪用。 l 董事会或审计委员会无法有效履行其职责——可能为管理层轻率的行为提供机会。 2）风险分析识别风险后，需要进行风险分析，分析的内容主要有： l 估计风险的重要性程度； l 评估风险发生的可能性（或频率、概率）； l 考虑如何管理风险——即评估需要采取何种措施针对风险分析的结果而采取的控制活动，管理层应仔细考虑现有内控程序对于已识别的风险是否合适。如果现有程序可能已经足够或只需要执行得更好，那么就不必制定附加程序。管理层还应认识到，总会存在一些残留风险的可能性，不仅因为资源总是有限的，还因为每个内控系统都有内在局限性。因此，管理层的一项重要工作是权衡利弊，确定能够谨慎地接受多少风险，并尽力将风险控制在可接受的水平内。 3）应对变化经济形势、行业和法规环境不断改变，企业业务活动不断发展。在一个环境下有效的内部控制在另一环境下未必有效。风险评估的本质就是一个识别变化的环境并采取相应行动的过程，风险评估应持续地进行, 并且应特别关注下面的情形： l 变化的经营环境——变化的法律或经济环境可能导致竞争压力的增加和显著不同的风险。 l 新的人员——新来的高层管理人员的经营风格与原先的不同。 l 新的或经修订的信息系统——能否正常运行。 l 经营的快速增长——当经营快速扩张，现有制度的局限可能导致控制失效；当程序变动或新人员增加时，现有的监控可能就不能保持充分的控制。 l 新技术——新技术被运用到生产流程或信息系统中，内部控制就很可能需要修改。 l 新业务、产品、活动——当企业进入新的商业领域或从事不熟悉的交易时，现有的控制可能就不充分了。 l 公司重组——公司因为收购、合并或者业务下滑、成本控制等原因进行结构重组。重组可能导致内部裁员，职责分工的合并，或者，原来的一个重要控制岗位被取消，却没有相应的替代控制出现。很多公司重组后大量削减人员，就碰到了严重的控制缺陷。 l 海外经营——海外经营的扩张或收购带来了新的和独特的风险。例如，控制环境可能受到当地管理层文化和风俗的影响。另外，当地经济和法律环境可能带来独特的风险因素。 3、控制活动控制活动是指为确保管理层指示得以执行的政策和程序。它有助于进行风险管理和保证企业目标的实现，控制活动贯穿于企业的所有层次和部门。它们包括一系列不同的活动，如审批、授权、确认、核对、审核经营业绩、资产保护以及职责分工等。（1）控制活动类型控制活动可以有不同的描述方式：针对企业的不同目标，控制活动可以分为以下三个类型：即为提高经营效率效果、增强财务报告的可靠性、遵守法规等目标的三类控制活动；根据控制活动的不同作用，控制活动又可以分为：预防性控制、检查性控制、指导性控制、纠错性控制、补偿性控制等五种类型；根据组织中实施人员的不同，控制活动也可以分为：高层复核、指导并管理业务活动、信息处理、实物控制、业绩指标分析、职责分离等。 l 高层复核——管理层将实际业绩情况和预算相比较，将当期业绩和前期相比较，将本企业的业绩情况与竞争对手相比较，对企业主要行为进行追踪，以衡量目标实现的程度。 l 指导并管理业务活动——负责整个板块生产的领导，分地区公司、分产品类别等内容审阅生产业绩报告，对照经营目标，分析其中反映出的生产管理方面的问题，并指出需要改进的方向。 l 信息处理——这类控制被用于核对交易的准确性、完整性和遵循性。如：系统对数据录入设定编辑复核功能，并对数据修改实行系统性控制；客户订单，只有与经批准的客户文件和信用额度相符，才能被接受；交易应按连的编号记账；系统管理员对例外事项报告进行跟踪调查，必要时向主管领导报告。 l 资产保护即实物控制——对设备、存货、证券、现金及其他资产实物采取保管措施，并定期进行盘点和帐实核对。 l 业绩指标分析——采购部门的员工分析采购价格变动、紧急采购订单占全部订单的比率、退货订单占全部订单的比率，通过调查异常的结果和异常的变动趋势，关注那些可能影响目标实现的问题，并提出改进方案。 l 职责分离——职责在不同人员之间的分工或分离，可以降低发生错误或不当行为的可能性。例如，交易的授权、记录和处理相关资产的职责应予以分离；授权赊销的经理应不负责应收账款的记录或现金收入的处理。（2）控制活动的要素—政策和程序控制活动一般包含两个要素，即：第一个要素，政策—它描述应该做什么，第二个要素，程序—它描述应该怎样做；政策是程序的基础，同时，程序又影响政策的执行。例如，政策要求，应该由专人定期进行存货盘点，程序即盘点本身，其实施的频率、关注的要点、存货的性质、数量等等。（3）控制活动应和风险评估相结合管理层在进行风险评估的同时，应该针对该特定风险找出并实施有效的措施，这些针对某项特定风险的具体措施也就是建立控制活动的要素，它有助于保证控制活动得以及时、有效地实施。（4）信息系统的控制随着信息技术的发展，大多数企业，包括小公司或大公司的部门，都引进、建立和运用了现代化信息处理系统，现代化的信息系统不仅提高了企业的工作效率，而且也改变企业的经营方式和方法，甚至影响企业的战略规划，因此信息系统的控制十分重要。信息系统控制活动可分为两大类。第一类是一般性控制——适用多数应用系统并协助确保其持续、正确地运行, 包括对数据中心操作、系统软件的购买和维护、数据的安全、以及应用系统开发和维护的控制。第二类是应用性控制，包括应用软件中的电算化步骤，以及用以控制不同种类交易处理过程的相关手工操作程序，它是保证交易处理的完整性、准确性、交易授权和有效性的内部控制。例如，公司的销售政策规定给予金额在20万以上订单以8折优惠；系统根据事先的设定，对于20万以上的订单自动给予20%的折扣优惠，而对于20万以下订单仅允许全价销售。这两类对计算机系统的控制是相互关联的。一般性控制用于保证建立在计算机程序基础上的应用性控制得以实施。 4、信息和沟通信息和沟通是指相关信息以某种形式并在某个时段被识别、获得和沟通，以促使员工履行自己的职责。这里所说的信息是指来源于企业内部及外部，与企业经营相关的财务及非财务的信息。信息必须在一定的时限内传递给需要的人，以帮助人们行使各自的控制和其它职能。沟通则是指信息在企业内部各层次、各部门，在企业与顾客、

展开阅读全文