/COSO內部控制框架培訓資料內容提要：一、背景介紹（一）COSO內部控制框架的產生及開展過程（二）xxx目前的內部控制體系與COSO內部控制框架的差距二、COSO內部控制框架下內部控制的定義（一）COSO內部控制框架對內部控制的定義（二）對內部控制定義的理解（三）COSO內部控制框架的組成要素三、COSO內部控制框架五要素（一）內控環境（二）風險評估（三）內控活動（四）信息與溝通（五）監督四、內部控制的局限性五、員工在內部控制中的作用和職責六、小結一、背景介紹內部控制是什么?不同的人有不同的理解。一般的人把內部控制理解為組織為了減少決策失誤和工作缺陷而實施的控制,這些控制可能是內部監督、也可能是管理手冊、規章制度等。這種理解沒有錯，但不全面。按照現代的內控理論，這些僅僅是內部控制的一局部，而不是全部。現代內控理論認為，內部控制是一個系統化的框架，它建立在風險管理的基礎上，包括內控環境、風險分析、內控活動、信息與溝通、監督五大要素。（一）COSO內部控制框架的產生和開展過程內部控制理論的開展是一個逐步演變的過程，大致可以區分為內部牽制、內部控制制度、內部控制結構與內部控制整體框架四個階段。在內部牽制階段，賬目間的相互核對是內控的主要內容，設定崗位別離是內控的主要方式，這在早期被認為是確保所有賬目正確無誤的一種理想控制方法；在內部控制制度階段，內部控制的重點是建立健全規章制度；在內部控制結構階段，內部控制被認為是為合理保證企業特定目標的實現而建立的各種政策和程序，分為內控環境、會計制度和控制程序三個方面；內部控制整體框架階段，就是我們下面將要討論的COSO內部控制框架。在美國，20世紀70年代中期，與內部控制有關的活動大局部集中在制度的設計和審計方面，重在改良內部控制制度和方法。1973年至1976年對水門事件（美國公司進行違法的國內捐款和賄賂外國政府官員）的調查使得立法機關與行政機關開始注意到內部控制問題。針對調查的結果，美國國會于1979年通過了《反國外賄賂法》（簡稱FCPA）。FCPA除了規定了關于反賄賂的條款外，還規定了與會計及內部控制有關的條款。因此美國許多機構都加強了對內部控制的研究并提出許多建議。1985年，由美國注冊會計師協會、會計協會、財務主管協會、內部審計師協會、管理會計師協會聯合創立了反虛假財務報告委員會，該委員會旨在探討財務報告中的舞弊產生的原因，并尋找解決措施。兩年后，該委員會提出了很多有價值的建議。基于該委員會的建議，其贊助機構成立COSO委員會，專門研究內部控制問題。1992年9月，COSO委員會提出了報告《內部控制——整體框架》（1994年進行了增補），即COSO內部控制框架。COSO內控框架的提出標志著內部控制理論開展到新的階段，對企業完善和優化內部控制、增強風險防范能力具有十分重要的意義。COSO內部控制框架之所以被廣泛地選擇作為構建和完善內部控制體系的標準，是因為：雖然COSO內部控制框架并非唯一的內部控制框架，但卻是美國證券交易委員會唯一推薦使用的內部控制框架，《薩班斯法案》第404條款的「最終細則」也明確說明COSO內部控制框架可以作為評估企業內部控制的標準。股份公司作為紐約證交所上市公司，需要按照法案要求，引進COSO內部控制框架，整合現有內部控制，滿足法案的要求。同時，對股份公司來說，這也是梳理管理流程、標準管理、提升整體管理水平的契機。COSO內部控制框架是一個較為理想的框架，幾乎所有公司的內部控制均與之有一定差距，美國各大公司也正在為此而努力，雖然這必然加大企業負擔，但多數公司同股份公司一樣，希望通過理解和貫徹COSO內部控制框架要求，來實現提升管理水平的目的。（二）XXX目前的內部控制體系與COSO內部控制框架的差距目前，股份公司通過多年的管理實踐和積累，已經建立了一套針對XX行業的行之有效的內控體系，但與COSO內部控制框架的要求相比還存在一些距離。這些差距主要表達在：內部控制體系的整體框架、內控環境、風險評估等理念尚未被廣泛接受、內部控制的文檔記錄還不夠系統標準、缺乏自我評估機制等。

“他山之石，可以攻玉〞，COSO內控框架對于我們加強企業內部控制具有一定的啟發和借鑒意義。為此，我們需要認真學習COSO內部控制框架理論，充分認識和理解COSO內部控制框架，并在實際經營管理中積極實踐，大力貫徹和實施，從而優化內部控制，完善內控體系，全面提升公司管理水平。二、COSO內部控制框架下內控制度定義（一）COSO內控框架對內部控制的定義COSO內部控制框架認為，內部控制是受企業董事會、管理層和其他人員影響，為經營的效率效果、財務報告的可靠性、相關法規的遵循性等目標的實現而提供合理保證的過程。（二）對內部控制定義的理解應該從以下幾個方面理解內部控制的定義：第一，內部控制是一個“過程〞，而且是一個動態的過程。企業的經營活動是永不停止的，企業的內部控制過程也因此不會停止，它是一個發現問題、解決問題、發現新問題、解決新問題的循環往復的過程。內部控制應該與企業的經營管理過程相結合，而不是凌駕于企業的根本活動之上，它促使經營到達預期的效果，并監督企業經營過程的持續有效進行。第二，內部控制受到“人〞的因素的影響，它并不僅僅是政策手冊和表格，不僅僅是管理人員、內部審計或董事會，而是組織中的每一個人，每一個人都對內部控制負有責任并受到內部控制的影響；是“人〞建立企業的目標，并將控制機制賦予實施。確立這種觀念有利于企業的所有員工明確自己的責任和權限，主動地維護及改善企業的內部控制。第三，內部控制無論設計和運行得多么完善，也只能為企業的管理層和董事會提供合理的保證，而不是絕對保證，因為內部控制本身具有局限性。最后，內控框架將內部控制目標分為三類：與營運有關的目標—即經營的效率與效果、與財務報告有關的目標—即財務報告的可靠性、以及與法規的遵循性有關的目標。上述分類讓我們專注于內部控制的各個方面，這些相互有別，相互交叉的分類滿足不同的需要，并且說明了不同的執行人員的直接責任。（三）COSO內部控制框架的組成要素COSO內部控制框架認為，內部控制系統是由內控環境、風險評估、內控活動、信息與溝通、監督五要素組成，它們取決于管理層經營企業的方式，并融入管理過程本身，其相互關系可以用下面模型表示。內控環境——內控環境是企業的基調、氣氛，直接影響企業員工的控制意識。內控環境要素是推動企業開展的發動機，也是其他一切要素的核心，包括員工的誠信、職業道德和工作勝任能力；管理層的經營理念和經營風格；董事會或審計委員會的監管和指導力度；企業的權責分配方法和人力資源政策。可以說人及其人進行的活動是任何企業的核心，是構成內控環境的重要要素，又與環境相互影響、相互作用。風險評估——風險評估是識別、分析相關風險以實現既定目標，是風險管理的基礎。每個企業都面臨著諸多來自內部和外部的風險，影響企業既定目標的實現。因此必須設立一個機制來識別、分析和管理影響目標實現的相關風險，并適時加以管理。內控活動——內控活動指那些有助于管理層決策順利實施的政策和程序，是針對風險采取的控制措施。它們包括諸如批準、授權、查證、核對、復核經營業績、資產保護和職責分工等活動。信息與溝通——是指企業經營管理所需信息必須被識別、獲得并以一定形式及時傳遞，以便員工履行職責。信息不僅包括內部產生的信息，還包括與企業經營決策和對外報告相關的外部信息。暢通的溝通渠道和機制使企業的員工能及時取得他們在執行、管理和控制企業經營過程中所需的信息，并交換這些信息。監督——是對內部控制系統有效性進行評估的過程，可以通過持續性監督、獨立評估或兩者的結合來實現對內控系統的監督。內控體系五要素之間的關系我們可以理解為：企業的核心是人，人的誠信、道德價值觀和勝任能力構成了企業的內控環境，這是企業開展的基礎。每個企業都有自己的開展目標，為了目標的實現，必須分析影響因素，即進行風險評估。針對風險評估的結果需要采取相應的內控活動來控制和減少風險。同時與內控環境、風險評估和內控活動相關的信息應及時被獲取、加工整理，并在企業內部傳遞，這就是信息與溝通，信息與溝通系統圍繞在內控活動周圍，反映企業各項管理活動的運轉情況。為了保證內控體系的正常運轉，還需要對整個內控過程進行監督。內部控制五要素之間的配合和聯系，組成了一個完整的系統，可以靈活地隨條件變化而變化。但各要素之間并非是一項要素影響下一項要素的順序過程，任一要素都可以影響其他要素，例如對風險的評估不僅僅影響內控活動，還可能影響信息和溝通、監督行為等。COSO內部控制框架適用于各類企業，但是中小企業對其應用可能不同于大型企業，中小企業的內部控制可能不及大型企業正式、組織性強，但也可以是有效的。對此，本次培訓以大型公司為例，未考慮中小公司的差異。三、COSO內部控制框架五要素（一）內控環境內控環境是其他控制要素的基礎。內控環境因素包括：員工的誠信和道德價值觀；員工的勝任能力；董事會和審計委員會；管理層的經營理念和經營風格；組織結構；管理層授權和職責分工、人力資源政策和措施。下面討論各項因素的具體內容。1、員工的誠信和道德價值觀內部控制是由人建立、執行和維護的，人是內部控制有效運行的根本因素。人的道德價值觀影響著人的行為。企業員工具有良好的道德標準并形成良好的道德氣氛，對控制系統的有效運行非常重要，也有助于防范那些內控系統難以控制的行為。員工的誠信和道德價值觀是指員工行為的準則，是告訴員工什么行為可接受、什么行為不可接受、以及遇到不正當行為應該采取的行動。主要包括以下內容：利益沖突每一個員工都有責任將公司利益放在第一位，防止私人利益與公司利益的沖突。合法性公司要承諾在進行業務時是抱著老實和誠信原則，并遵循所有適用的法律和規章制度。及時向指定人員報告或檢舉揭發違規事項員工有義務對所發現的關于會計、內部控制或審計等的違反法律、規章制度或行為準則的問題，向道德標準委員會報告，或向披露委員會或審計委員會匯報。發現任何高級管理人員違反法律、規章制度或行為準則，應迅速向道德標準委員會等相關機構報告。對檢舉人應當建立保密制度，包括匿名保護。遵守道德準則的責任明確員工必須遵守道德準則。對違反準則的人員建立懲罰機制，甚至解雇或免職。公司機遇禁止員工通過利用公司財產、信息或職位為自己或其他人牟取商業機遇。保密機密信息是一間公司最重要的資產之一。公司建立相應政策保護機密信息，包括（a）屬于公司商業性機密信息（b）屬于非披露協議下信息。每一個員工在入職后應執行保密協議和保護公司知識產權。員工即使在終止雇傭之后，仍然有義務保護公司的機密信息。公平交易每一個員工都應該努力去公平對待顧客、供給商、競爭者、公眾，并遵循商業道德標準。為了獲得或維持業務而進行賄賂、回扣或其他誘惑等都是不允許的。與業務相關，偶爾贈送非政府雇員的價值較低的商業禮物的做法是可以接受的。但未得到道德委員會事先批準的情況下，贈送禮物或款待政府雇員是不允許的。員工代表公司購置商品應遵循公司的采購政策。公司資產的保護及恰當使用每一個員工必須保護公司資產，包括實物資源、資產、所有權、機密信息，排除損失、失竊或誤用。任何疑心的損失、誤用或失竊都應該報告給經理或法律部門。公司資產必須用于公司業務，符合公司政策。全面、公正、正確、及時地理解財務報告及其披露事項因為公司必須提供完整、公正、及時和可理解的披露報告及文件，并存檔或呈交給證監會以及公共傳媒，所以每一個員工都有責任保證會計記錄的準確性。管理層必須建立和保持適當的內控，遵循公司已有的會計準則和流程，保證交易記錄的完整和準確。禁止干擾或不正當的影響公司財務報表審計。要求證實會計記錄和報表受控，能夠保證準確性，包括提供給審計和定期向證監會報告的義務。對于企業來說，首要的工作是建立一套員工能夠接受和理解的誠信和道德標準，如道德行為手冊；其次是必須讓員工知曉和理解這些規定（例如：要求所有員工定期簽字確認），這是執行的前提條件；最后就是貫徹執行。在公司內傳遞道德標準的最有效方式是管理層以身作則，員工對于內控的態度通常會效仿他們的領導。另外，對違反準則的員工應予以相應懲罰；建立鼓勵員工揭發違規行為的機制；以及對未能匯報違規行為員工的教育培訓都具有特別重要的意義。員工個人可能由于以下因素而卷入不老實、非法或不道德的行為：不切實際的業績目標，特別是短期業績的壓力（例如：為了實現預先設定的利潤指標而在財務報告中虛報收入）將獎金分配與業績掛鉤（例如：錯報與業績考核指標相關的財務信息）內控制度不存在或無效（例如：敏感業務區域未設立嚴格的職責分工，這為偷竊公司資產或隱藏不良行為提供了可能）。組織高度分散，可能導致高層管理人員不清楚基層的行為，缺少必要的監管，因此，減少了基層舞弊被發現的時機。內部審計職能薄弱，沒有及時發現和報告不正確的行為。董事會缺少對高層管理人員的客觀監管，可能導致管理人員凌駕于內控制度。管理層對不正確行為的懲罰力度不夠或不公開，從而失去了應有的威懾力。2、勝任能力勝任能力是要求員工具備完成工作任務所需的知識和技能，目的是保證員工能夠正確理解相關規定、及時恰當分析和處理業務，這是維護內部控制有效性的必備條件。為此，管理層需要設定工作崗位的知識和技能水平要求，在招聘、選用員工時作為評選的標準或條件。在設定工作所需知識和技能時，一方面要根據工作的性質和所需的職業判斷，考慮能力需求，另一方面還應考慮人力資源本錢即薪酬（例如：沒有必要雇傭一名電子工程師來換一只燈泡）。3、董事會和審計委員會董事會或審計委員會的職能是實施治理、指導和監督管理層的工作，如果對管理層缺乏必要的監督，管理層可能會凌駕于控制之上，甚至成心歪曲結果，因此董事會或審計委員會監督作用對確保內部控制的有效性十分重要，董事會或審計委員會作用的發揮，必須具備以下條件：一是要獨立于管理層，不受其影響；二是具有足夠知識、行業經驗和時間，以便于履行職責；三能夠與財務、法律、內部審計和外部審計及時溝通，得到適當信息；四是能夠控制高級管理人員的薪酬，有權聘用和解聘高級管理人員。補充說明一點，股份公司的治理結構與國外有所不同，股份公司設置監事會，其職能類似于國外審計委員會的職能，所以股份公司的董事會、審計委員會和監事會都需要符合上述條件。4、管理層的經營理念和經營風格管理層的經營理念和經營風格影響企業的管理方式，包括面對各種風險的態度。管理層的經營理念和經營風格形成了企業文化，它既是一切業務實現的基礎，也為內部控制的實施提供了平臺。它往往是企業內部一種無形的力量，影響企業成員的思維方法和行為方式，包括企業承受營業風險的種類、整個企業的管理方式、企業管理階層對法規的反應、對企業財務的重視程度以及對人力資源的政策及看法等。它們都深深地影響著內部控制的成效。例如，有些公司管理層的經營理念和風格較為激進，愿意承當更高的風險以追求更高的盈利回報；而有些公司的管理層則比較保守，在風險承當方面表現得較為謹慎。可以看出，不同的經營理念和風格決定了管理層在承當風險方面采取不同的態度和做出不同的決策。以銷售信貸政策為例，對風險承受力高的公司相比承受力低的公司，其設定的信用銷售額度更高，以期望通過更優惠的政策吸引和保存客戶，而獲得更高的銷售額。管理層的經營理念和經營風格還表現在：管理層對財務報告的態度，在會計政策選擇方面是否謹慎，進行會計估計時是否遵循審慎性原則，對待數據處理、會計職能及人事管理等方面的態度等等。5、組織結構組織結構是權責分工的架構，在此架構中規劃、執行、控制和監督為實現企業目標而進行的活動，每個企業都可根據自己的需要確定組織結構，可以是集權型，也可以是分權型，可以是直接的報告關系，也可以是矩陣型組織結構，可以按產品或行業組織，也可以按地理分布或功能組織，但不管何種組織結構，應根據公司的業務性質，進行適當的集中或分散，確保信息的上傳、下達和在各業務間的流動，確保企業目標的實現。6、管理層授權和職責分工權力和責任分配是指對員工進行授權和分配責任，將企業的目標層層分解落實到每個員工的頭上，從而將員工的行為與企業目標聯系起來，增強員工的自主控制意識。權力與責任分配的關鍵是權力與責任的對等。7、人力資源政策和措施人力資源政策和措施是關于員工聘用、培訓、考核、進升、薪酬等方面的政策和程序，目的是聘用和維持有能力的人員，保證公司的方案得以實施，目標得以實現。因此，人力資源政策和措施應考慮如何招聘進來有能力、可信任的人員，如何進行相關培訓使員工意識到他們的工作職責和公司對他們的要求，如何通過考核、薪酬、提升等政策鼓勵約束員工。（二）風險評估1、風險及風險評估的定義風險是任何影響目標實現的因素,所有企業，無論規模、結構和行業性質，都面臨著風險，可以說有經營就有風險。風險有來自企業內部的，也有來自企業外部。為了加強對風險的控制，必須進行風險評估，風險評估是指對相關風險進行識別和分析，是發現和分析那些影響目標實現的風險的過程，是確定如何管理和控制風險的基礎。風險評估的前提條件是設立目標，只有先確立了目標，管理層才能針對目標確定風險并采取必要的行動來管理風險。企業的目標可以分為公司層面目標和業務活動層面目標，公司層面目標是指公司的總目標和相關戰略方案，與高層次資源的分配和優先利用相關。業務活動層面的目標是總目標的子目標，是針對企業業務活動的更加專門化的目標。業務活動層面的目標應該清楚，易于理解，以便從事該操作的人能實現其目標，同時還必須是可衡量的，以便于考核。實現目標需要消耗資源，因此設立目標必須考慮可獲得的資源，企業應該對目標進行分析，提醒自己找出與總目標不相關的操作目標，以免資源浪費，而對實現總目標至關重要的操作目標，則優先安排資源。2、如何進行風險評估1）風險識別風險評估的過程首先是進行風險識別，風險識別需要考慮所有可能發生的風險，并且需要考慮企業和相關外界之間的所有重大相互影響。風險識別也是一個重復的過程，需要針對環境的變化持續進行。導致企業經營風險的因素包括內部和外部兩個方面：外部因素包括：技術開展——影響研發的性質和時機，或帶來采購的變化。（例如：出現新的、更高效的油氣開采技術，未掌握相關技術的公司會導致市場競爭力降低，進而影響經營目標的實現）不斷變化的客戶需求和期望——影響產品開發、定價。（例如：納米技術的應用，客戶對產品的期望改變；）競爭——影響營銷和效勞活動（例如：WTO導致更多具有較高競爭力國外公司進入中國市場）。新的法律和法規——影響經營政策和策略（例如：薩班斯法案）。自然災害——造成損失。經濟形勢的變化等——影響融資、資本支出和擴張決策。內部因素包括：信息系統運行的中斷——影響經營運轉。雇員的素質和培訓、鼓勵的方法——影響控制理念。管理層職責的改變——影響某些實施控制的方式。企業經營活動的性質、員工對資產的接觸途徑——產生挪用。董事會或審計委員會無法有效履行其職責——可能為管理層輕率的行為提供時機。2）風險分析識別風險后，需要進行風險分析，分析的內容主要有：估計風險的重要性程度；評估風險發生的可能性（或頻率、概率）；考慮如何管理風險——即評估需要采取何種措施針對風險分析的結果而采取的控制活動，管理層應仔細考慮現有內控程序對于已識別的風險是否適宜。如果現有程序可能已經足夠或只需要執行得更好，那么就不必制定附加程序。管理層還應認識到，總會存在一些殘留風險的可能性，不僅因為資源總是有限的，還因為每個內控系統都有內在局限性。因此，管理層的一項重要工作是權衡利弊，確定能夠謹慎地接受多少風險，并盡力將風險控制在可接受的水平內。3）應對變化經濟形勢、行業和法規環境不斷改變，企業業務活動不斷開展。在一個環境下有效的內部控制在另一環境下未必有效。風險評估的本質就是一個識別變化的環境并采取相應行動的過程，風險評估應持續地進行,并且應特別關注下面的情形：變化的經營環境——變化的法律或經濟環境可能導致競爭壓力的增加和顯著不同的風險。新的人員——新來的高層管理人員的經營風格與原先的不同。新的或經修訂的信息系統——能否正常運行。經營的快速增長——當經營快速擴張，現有制度的局限可能導致控制失效；當程序變動或新人員增加時，現有的監督可能就不能保持充分的控制。新技術——新技術被運用到生產流程或信息系統中，內部控制就很可能需要修改。新業務、產品、活動——當企業進入新的商業領域或從事不熟悉的交易時，現有的控制可能就不充分了。公司重組——公司因為收購、合并或者業務下滑、本錢控制等原因進行結構重組。重組可能導致內部裁員，職責分工的合并，或者，原來的一個重要控制崗位被取消，卻沒有相應的替代控制出現。很多公司重組后大量削減人員，就碰到了嚴重的控制缺陷。海外經營——海外經營的擴張或收購帶來了新的和獨特的風險。例如，內控環境可能受到當地管理層文化和風俗的影響。另外，當地經濟和法律環境可能帶來獨特的風險因素。內控活動內控活動是指為確保管理層指示得以執行的政策和程序。它有助于進行風險管理和保證企業目標的實現，內控活動貫穿于企業的所有層次和部門。它們包括一系列不同的活動，如審批、授權、確認、核對、審核經營業績、資產保護以及職責分工等。1、內控活動類型：控制活動可以有不同的描述方式：針對企業的不同目標，控制活動可以分為以下三個類型：即為提高經營效率效果、增強財務報告的可靠性、遵守法規等目標的三類控制活動；根據控制活動的不同作用，控制活動又可以分為：預防性控制、檢查性控制、指導性控制、糾錯性控制、補償性控制等五種類型；根據組織中實施人員的不同，控制活動也可以分為：高層復核、指導并管理業務活動、信息處理、實物控制、業績指標分析、職責別離等。高層復核——管理層將實際業績情況和預算相比較，將當期業績和前期相比較，將本企業的業績情況與競爭對手相比較，對企業主要行為進行追蹤，以衡量目標實現的程度。指導并管理業務活動——負責整個板塊生產的領導，分地區公司、分產品類別等內容審閱生產業績報告，對照經營目標，分析其中反映出的生產管理方面的問題，并指出需要改良的方向。信息處理——這類控制被用于核對交易的準確性、完整性和遵循性。如：系統對數據錄入設定編輯復核功能，并對數據修改實行系統性控制；客戶訂單，只有與經批準的客戶文件和信用額度相符，才能被接受；交易應按連的編號記賬；系統管理員對例外事項報告進行跟蹤調查，必要時向主管領導報告。資產保護即實物控制——對設備、存貨、證券、現金及其他資產實物采取保管措施，并定期進行盤點和帳實核對。業績指標分析——采購部門的員工分析采購價格變動、緊急采購訂單占全部訂單的比率、退貨訂單占全部訂單的比率，通過調查異常的結果和異常的變動趨勢，關注那些可能影響目標實現的問題，并提出改良方案。職責別離——職責在不同人員之間的分工或別離，可以降低發生錯誤或不當行為的可能性。例如，交易的授權、記錄和處理相關資產的職責應予以別離；授權賒銷的經理應不負責應收賬款的記錄或現金收入的處理。2、控制活動的要素—政策和程序控制活動一般包含兩個要素，即：第一個要素，政策—它描述應該做什么，第二個要素，程序—它描述應該怎樣做；政策是程序的基礎，同時，程序又影響政策的執行。例如，政策要求，應該由專人定期進行存貨盤點，程序即盤點本身，其實施的頻率、關注的要點、存貨的性質、數量等等。3、控制活動應和風險評估相結合管理層在進行風險評估的同時，應該針對該特定風險找出并實施有效的措施，這些針對某項特定風險的具體措施也就是建立控制活動的要素，它有助于保證控制活動得以及時、有效地實施。4、信息系統的控制隨著信息技術的開展，大多數企業，包括小公司或大公司的部門，都引進、建立和運用了現代化信息處理系統，現代化的信息系統不僅提高了企業的工作效率，而且也改變企業的經營方式和方法，甚至影響企業的戰略規劃，因此信息系統的控制十分重要。信息系統內控活動可分為兩大類。第一類是一般性控制——適用多數應用系統并協助確保其持續、正確地運行,包括對數據中心操作、系統軟件的購置和維護、數據的平安、以及應用系統開發和維護的控制。第二類是應用性控制，包括應用軟件中的電算化步驟，以及用以控制不同種類交易處理過程的相關手工操作程序，它是保證交易處理的完整性、準確性、交易授權和有效性的內部控制。例如，公司的銷售政策規定給予金額在20萬以上訂單以8折優惠；系統根據事先的設定，對于20萬以上的訂單自動給予20%的折扣優惠，而對于20萬以下訂單僅允許全價銷售。這兩類對計算機系統的控制是相互關聯的。一般性控制用于保證建立在計算機程序基礎上的應用性控制得以實施。（四）信息和溝通信息和溝通是指相關信息以某種形式并在某個時段被識別、獲得和溝通，以促使員工履行自己的職責。這里所說的信息是指來源于企業內部及外部，與企業經營相關的財務及非財務的信息。信息必須在一定的時限內傳遞給需要的人，以幫助人們行使各自的控制和其它職能。溝通則是指信息在企業內部各層次、各部門，在企業與顧客、供給商、監管者和股東等外部環境之間的流動。有效的溝通必須廣泛的進行，自上而下、自下而上地貫穿整個組織。所有人員都要從高級管理層獲得明確的信息：必須認真對待控制責任。他們必須了解各自在內部控制體系中擔任的角色，以及個人行為與他人工作的相互關系。他們必須有自下而上傳遞重要信息的渠道和方法。同時，也要顧客、供給商、監管者和股東等外部人員建立有效的溝通。1、信息企業的管理活動依賴于各種信息，既包括內部生成的信息，也包括從外部獲取的行業、經濟、監管等方面的信息。因此，企業必需要建立良好的信息系統來識別、獲得、加工和報告這些信息。有效的信息系統不僅能夠識別和獲得所需要的財務和非財務的信息，還能夠在一定時限內根據需要加工和報告這些信息。另外，當企業面臨根本的行業變化，面臨有高度創新能力反應迅捷的競爭對手或面對重大的顧客需求變化時，信息系統必須隨企業目標、經營環境的變化而變化，及時適應新的需求。1）信息的識別和獲取信息的識別和獲取的方式是多種多樣的：信息系統可以采取監控方式，定期獲取特定的數據；或者，可以采取某些特定的方式獲取所需信息，如通過問卷、采訪、廣泛的市場需求調研或針對特定群體的調查獲得顧客對產品和效勞的需求信息；通過與顧客、供給商、監管者以及員工的談話獲得識別風險和機遇所必需的重要信息；參加專業或行業的研討會也可以獲得有價值的信息。2）信息加工和報告信息是決策的基礎，但并非所有的信息都是有用的信息，因此，需要對信息進行加工整理，歸納匯總，根據需要向不同的部門和人員報告不同的信息。為了提高信息的質量，需要考慮：·內容是否適當——它是所需要的信息嗎？·信息是否及時——當我們需要時就能獲得嗎？·信息是當前的嗎？——是我們能獲得的最新的信息嗎？·信息是否準確——數據都準確嗎？·信息是否暢通——相應的部門能容易地獲得信息嗎？在設計系統時必須考慮以上問題。如果不考慮，系統很可能無法提供管理層和其它人員需要的有用信息。3）信息系統的整合信息系統是經營行為的一個組成局部，它通過獲取決策所需的信息來影響控制，隨著信息技術的開展，信息系統可以更迅速、更廣泛提供更有價值的信息，對企業的管理影響更加深遠，甚至影響到企業的戰略規劃，一項最新發布的研究說明，信息系統的規劃、設計和應用已經開始同組織的整體戰略整合在一起。多數新的生產系統與企業其它的系統，可能還包括企業的財務系統，高度地整合為一體。當系統執行其它的運行時，財務數據和會計記錄會自動更新。2、溝通溝通是信息系統固有的，是將信息提供給相關人員，以便與其履行職責，溝通必須貫穿于信息處理的整個過程，有效的溝通不僅在整個企業內進行，也包括與外部進行的溝通。1）內部溝通內部溝通是指企業內部上下級之間、橫向部門之間的溝通，下面以例舉的方式介紹內部溝通的主要內容：所有的人員，特別是那些有著重要的經營和財務管理職責的人員，取得管理所需信息，并清楚地知道必須嚴肅履行內部控制的責任。每個人需要理解所負責內部控制局部如何運行及個人在系統中的職責。在執行自己的職責時，每個人都應該知道，當意外發生時，不僅要注意事件本身，還要注意事件的原因。這樣，就可以了解到系統潛在的缺陷，并采取預防的措施。比方，發現滯銷的存貨不僅要在財務報告上留下準確的記錄，更重要的是對存貨滯銷的原因作出判斷。人們需要知道自己的行為怎樣與他人的工作相聯系。需要知道什么樣的行為是被期望的，什么是可以接受的，什么是不可接受的。員工也需要知道在企業中自下而上傳遞重要信息的方法和渠道。員工必須相信他們的上級確實想了解問題并愿意有效地解決問題，在任何情況下不會因報告相關信息而受到報復。在多數情況下，正常的報告渠道就是適當的溝通渠道。然而，在特定條件下，需要獨立的溝通渠道作為一個預防失敗的機制，在正常渠道不起作用時加以運用。例如為員工提供直接接觸財務總監或企業法律參謀這樣的高層領導的渠道；總裁可以定期抽出時間接待員工來訪，并且讓員工知道為任何事情的來訪都是受歡送的；總裁也可以定期去車間拜訪他的員工，形成一種人們能夠交流難題和關心的問題的氣氛。管理層與董事會及其委員之間的溝通至關重要。管理層必須使董事會了解最新的業績、開展、風險、主要的革新以及其它任何相關的事件或事故。與董事會的溝通越好，董事會越能有效地行使監督職能，并能夠對于關鍵的事務作出合理的行為，提供建議和忠告。同樣，董事會也應該向管理層傳達其所需要的信息，并提供指導和反應。2）外部溝通企業不僅在內部需要有適當的溝通，而且與外部也是,與外部溝通的內容包括：通過開放的溝通渠道，了解顧客、供給商對于產品或效勞的設計或質量方面的要求使公司注意顧客的需求和偏好。在與外部的交往中強調企業的道德標準，使外部人員知道認識到不適當的行為。比方公司可以同供給商直接溝通，解釋公司期望供給商雇員在與其打交道時應怎么做，明確回扣以及其它不適當的收入，都是不能容忍的。與外部審計師的溝通，管理層和董事會可以了解重要的控制信息。與股東、監管者、財務分析師以及其它外界的交流，可以了解企業所面臨的情況和風險。管理層同外界（無論是公開的、即將進行的、嚴格跟蹤的還是其它的）的交流也可以向整個公司內部傳遞信息。3）溝通的方式溝通可以采用諸如政策手冊，備忘錄，布告通知，錄像錄音帶的形式,又可采用口頭傳遞消息的方式。另一種有影響力的溝通手段是管理層在領導下屬工作時的言行。（五）監督內部控制隨著時間、環境而變化，曾經有效的程序可能會變得不太有效，因此需要對內部控制進行監督。監督是評估內控系統在一定時期內運行質量的過程，目的是保證內部控制持續有效，監督可通過兩種方式進行：持續性的監督活動和獨立的評估。持續性的監督活動是植根于企業日常、重復發生的活動中的。與獨立評估相比，由于持續性監督程序在實時基礎上實施、動態地應對環境的變化，并在企業中根深蒂固而顯得更加有效。不過，獨立評估發生在事實之后，比起持續性監督程序，可更快地發現問題。一個感到有必要進行經常性的獨立評估的企業，應重點關注改良持續性監督的途徑，并強調“嵌入〞而非“外加〞的控制。1、持續性監督行為持續性的監督行為發生在經營的過程中，它包括日常管理和監督行為、比較、核對和其他常規性活動。持續性監督行為有下面一些例子：在執行常規管理行為時，經營管理層取得內部控制持續運轉的證據。與外界各方的溝通能夠印證內部產生的信息或揭示問題。例如：顧客支付賬單，說明其確認了帳單數據；相反地，顧客對帳單的投訴可能說明銷售交易過程存在系統缺陷。公司審核有關作業平安的政策和操作步驟，從經營平安性和合規性的角度為內控是否有效運行提供信息，因而被視為一項監督；監管者就合法性或其他事項與企業進行交流，也會從某種角度反映內控系統是否有效運行。適當的組織結構和監督行為不但監督內控職能的執行并且能夠發現內控的缺陷。例如，財務負責人對財務人員針對交易正確性和完整性實施的內控活動實施日常的監管。另外，管理層對員工的職責分配定期進行審核，以確保合理分工以便相互制衡，有利于防止員工舞弊，并可以限制個人掩蓋其可疑行為的能力。將信息系統所記錄的數據與實物資產相核對。例如，產成品存貨應定期進行盤點，將盤點的數據與相應的會計數據核對并記錄存在的差異。內部及外部審計師定期為進一步加強內部控制提供建議。審計師通過評價內控的設計并測試其有效性，發現一些潛在的問題并向管理層提供解決問題的建議。培訓研討會、方案會議及其他會議能向管理層提供有關控制是否有效的重要反應。這種方式不但能指出控制中存在的個別問題，還能增強參與者的控制意識。定期詢問職員理解及執行企業相關規定的情況。如向經營及財務人員詢問相關的控制程序是否正常運行。2、獨立評估獨立評估是獨立于控制活動之外而采取的定期評估行為。盡管持續性監督程序可以提供關于其他控制要素有效性的重要反應信息，但經常地對系統的有效性直接進行評估也是十分必要的。這樣同時也提供了一個時機來評價持續性監督程序是否有效。1）范圍和頻率獨立評估的范圍和頻率主要依賴于風險評估和持續性監督程序的有效性。由于所控制風險的大小及內部控制在減小風險中的重要性不同，對于內部控制進行評價的范圍和頻率也不一樣。例如，那些致力于重大風險或對減小風險具有重要作用的控制就應經常地進行評價。2）評價主體評價主體，即由誰來實施獨立評估。一般來說，評價主體包括：一是自我評價，即負責某一單位或職責的人員對其控制自身活動的有效性進行評價。例如，一位部門主管應指導本部門內部控制的評價活動。他或她可能親自評價內控環境因素，然后請部門內負責各種經營活動的人員評價其他要素的有效性。二是內部審計人員評估，有時，在董事會、高級管理層、子公司及部門主管的特殊要求下，內審人員也會對內控進行評價。同樣，在評價內控時，管理層也可利用外部審計人員的工作。3）評價程序及方法體系首先是同企業職員進行探討并審閱已有的文件，了解系統的運行過程或內控系統的設計；其次是根據已確定的目標分析內部控制的設計和測試結果，分析是否對既定目標提供了合理保證。評估方法有許多可供選擇，包括檢查清單、調查問卷和流程圖等方法。也可與那些被認為在內控系統方面具有良好聲譽的公司進行比較。4）行動方案第一次指導評估內控系統的管理人員可以考慮以下建議，決定對何處著手和如何去做：決定評估的范圍，包括目標的分類、內部控制要素和需采取的行動。確定對內部控制的有效性提供常規保證的持續的監督行為。分析內部審計的控制評估工作，考慮外部審計師與控制相關的發現。按照單位、要素或高風險區域劃分重要性程度和先后次序，保證及時的關注在以上基礎上，建立相關的評估程序。聚集所有進行評估的各方，共同考慮以下問題：不僅要考慮評估范圍和時間表，而且要考慮所使用的方法體系，應用的工具，來自內外部審計師和監管者的建議，報告所發現問題的方式以及設定最終的文本化程度。監督進展和復核發現。保證采取必要的追蹤措施，必要時修改后續的評估局部。5）報告缺陷這里的“缺陷〞被廣泛定義為內控系統中值得注意的問題。缺陷可能代表一個假想的、潛在的或實際的缺點，或一個強化內控系統的時機。向恰當的當事人提供有關內部控制缺陷的必要信息，對內部控制制度的持續有效運行十分關鍵。內部控制的缺陷應自下而上進行報告，重要事項應報知高層管理人員和董事會。對于發現的內部控制缺陷，不僅應向負責的個人匯報，由他采取正確的措施，還至少應向該責任人的上一級匯報。這一過程使得責任人能及時采取措施，也便于其上級提供所需的支持或進行監督，并與企業中受影響的他人進行溝通。重要事項應報知高層管理人員和董事會。6）文本化企業內部控制的文本化有利于評估，有利于增進員工對內控系統如何運行及各自職責的理解，更易于必要時對其修改。文本化的程度根據各企業的規模、復雜性和類似因素的不同而存在差異。大一些的公司通常有書面的政策手冊、正式的組織圖、書面的工作描述、經營指導、信息系統流程等。小一些的公司內部控制文本化的程度一般低得多。控制沒有文本化并不意味著內控系統是無效的或無法評估，不過當需要向更多人提供有關內部控制的闡述或評估時，內部控制文本化的性質和程度將會提高。當管理層希望向外界提供關于內控系統效果的聲明時，他們應當考慮形成文件來支持該聲明。如果該聲明今后被質詢，這些文件將很有用。四、內部控制的局限性也許有人會認為內部控制可以確保企業萬無一失，這也是我們所希望的，但事實并非如此，無論內部控制設計和執行的多好，它也只能提供合理的保證，這是內部控制系統固有的局限性。具體表現在：判斷失誤——判斷是人在事情發生時依據現有信息的所做出的，個人的判斷不能保證絕對正確，并且難以防止主觀性，從而影響內部控制的有效性。基于錯誤