企业内部控制的新进展

企业内部控制的新进展,标签：公司规章制度,安全生产规章制度,http://www.5ijcw.com
　　（二）风险评估（RiskAssessment）

　　风险控制对企业来说具有特别重要的意义，不仅是企业内部控制的主要目标，而且是企业内部控制的核心要素和轴心工作。

　　COSO报告认为，风险评估指管理层识别并采取相应行动来管理对经营、财务报告、合规性目标有影响的内部或外部风险，包括风险识别和风险分析。风险识别包括对外部因素（如技术发展、竞争、经济变化）和内部因素（如员工素质、公司活动性质、信息系统处理的特点）进行检查。风险分析涉及估计风险的重大程度、评价风险发生的可能性及考虑如何管理风险等。

　　需要特别强调的是：这里的要素是“风险评估”，而不是“风险管理”。在一般人眼里，内部控制就是风险管理。其实，两者是不同的。COSO报告第一稿曾将包括风险管理在内的企业管理等众多内容排除在内部控制之外（见表1），后来又不声不响地将风险管理绕回到报告之中（1996年，COSO委员会发布的《金融衍生工具运用中的内部控制问题》中强调了运用内部控制对风险管理活动进行评价）。那么内部控制与风险管理之间是什么关系呢？其可以概括为：内部控制的动力源于风险防范并构成风险管理的必要环节，但内部控制并不等同于风险管理，只能防范风险，不能转嫁、承担、化解或分散风险。

　　（三）控制活动（ControlActivities）

　　控制活动是企业内部控制的实质性要素，是依托于控制环境进行的实际控制行为。COSO报告认为，控制活动指对所确认的风险采取必要的措施，以保证单位目标得以实现的政策和程序。在实践中，控制活动形式多样，可将其归结为以下四类。

　　1.业绩评价，是指将实际业绩与其他标准，如前期业绩、预算和外部基准尺度进行比较；将不同系列的数据相联系，如经营数据和财务数据，对功能或运行业绩进行评价。这些评价活动对实现企业经营的效果和效率非常有用，但一般与财务报告的可靠性和公允性相关度不高。

www.5ijcw.com

　　2.信息处理，指保证业务在信息系统中正确、完全和经授权处理的活动。信息处理控制可分为两类：一般控制和应用控制。一般控制与信息系统设计和管理有关，如保证软件完整的程序、信息处理时间表、系统文件和数据维护等；应用控制与个别数据在信息系统中处理的方式有关；如保证业务正确性和已授权的程序。

　　3.实物控制，也称为资产和记录接近控制，这些控制活动包括实物安全控制、对计算机以及数据资料的接触予以授权、定期盘点以及将控制数据予以对比。实物控制中防止资产被窃的程序与财务报告的可靠性有关，如在编制财务报告时，管理层仅仅依赖于永续存货记录，则存货的接近控制与审计有关。

　　4.职责分离，指将各种功能性职责分离，以防止单独作业的雇员从事或隐藏不正常行为。一般来说，下面的职责应被分开：业务授权（管理功能）、业务执行（保管职能）、业务记录（会计职能）及对业绩的独立检查（监督职能）。理想状态的职责分离是，没有一个职员负责超过一个的职能。

　　（四）信息与沟通（InformationandCommunication）

　　信息与沟通，指为了使职员能执行其职责，企业必须识别、捕捉、交流外部和内部信息。外部信息包括市场份额、法规要求和客户投诉等信息。内部信息包括会计制度，即由管理当局建立的记录和报告经济业务和事项，维护资产、负债和业主权益的方法和记录。有效的会计制度应是：（1）包括可以确认所有有效业务的方法和记录；（2）序时详细记录业务以便于归类，提供财务报告；（3）采用恰当的货币价值来计量业务；（4）确定业务发生时期以保证业务记录于合理的会计期间，在财务报告中恰当披露业务。

　　沟通是使员工了解其职责，保持对财务报告的控制。它包括使员工了解在会计制度中他们的工作如何与他人相联系，如何对上级报告例外情况。沟通的方式有政策手册、财务报告手册、备查簿，以及口头交流或管理示例等。

　　有人曾质疑信息与沟通是否应作为内部控制中一个单独的构成要素，例如加拿大CICA下属的控制标准委员会（负责制定内部控制标准的机构，即COCO）就认为，信息与沟通应该整合到其他的部分中去，因此COCO没有把其作为内部控制的构成要素。笔者认为，这种观点不符合现代信息社会的普遍特征，没有认识到现代企业运行中信息的重要性，尤其是与现代企业高度信息化、电子化的特征相矛盾。我们赞同COSO报告、巴塞尔委员会等的主流做法：把信息与沟通作为内部控制必要的、单独的构成要素予以强调。

上一页  [1] [2] [3] [4] [5]  下一页

上一篇：北京地税信息化岗位职责体系（初稿）