2 (Risk assessment)。
风险评估是指识别和分析影响目标实现的风险(包括与监管和运营环境不断变化有关的风险),以此来确定降低和管理此类风险的依据。企业的目标与所面临的风险之间有一定关联。为了对风险进行评估,必须确立企业目标。目标一经确立,必须识别和评估为实现这些目标而面临的风险,并且该评估应构成决定如何管理该风险的基础。
企业的管理层应定时对企业内部的各类业务进行风险评估,而且需要考虑内部及外部因素。内部因素包括组织的复杂性、组织结构的变更、员下流动情况及员工素质。外部因素包括行业及经济条件的改变以及技术变革等。
风险评估程序亦应区分可控制风险和不可控制风险。对于可控制风险,管理层应决定是否承受该风险,采取措施控制或降低该风险。 l对于不可控制的风险,管理层应决定是否承受该风险,或部分或完全退出此项业务,以规避风险。
3.控制活动( Control activity)。
控制活动有助于确保管理层的指令得以执行,以及任何可能需要用来处理风险以实现企业目标的行动得以实施。控制活动是指能确保管理层的决策与指示得以执行的政策和程序。企业内部各层面均存在控制活动,控制活动包括组织控制、职责划分、调节和复核、实物控制、授权和批准、计算和会计 j人员控制、监督及管理控制。
4.信息与沟通 (Information and communication)。
信息与沟通是指在人员能够履行责任的方式及时间范围内,识别、取得和报告经营、财务及法律遵守的相关信息的有效程序和系统。企业必须收集信息并向适当人士传达。管理者制定恰当的决策时既需要内部信息也需要外部信息。此外,为了运作内部控制,管理者也是需要信息的。因此必须建立完善的信息系统,必须为管理者提供与所采取的行动相关的,及时 L准确、可以理解的信息。
企业多数会运用计算机系统来提高为管理者提供的信息质量,但是如果让计算机系统为管理者提供所需的信息,则必须将计算机系统结合到业务策略中。信息系统和信息管理对于成功的运转和业务控制有着非常重要的作用。信息系统和技术管理的内容可参考本书第十二章。
5.监察( Monitoring)。
监察是指持续评估内部控制系统的充分性及表现情况的程序。内部控制的不足之处应向相应的上级领导层汇报。上级领导层可以是高级管理层、审计委员会或董事会。内部控制系统必须接受监察。作为内部控制系统的因素,它与内部审计及一般监督有关。识别并向高级管理层及董事会或董事报告内部控制系统的缺陷是非常重要的。
企业可能已经建立了非常完善的内部控制系统,但是仍需要对该系统进行监察。如果内部控制系统未经监察,就很难评估它是否未受控制或需要改进。随着业务的发展,内部控制系统也在发展,因此内部控制系统不是静止不变的。内部审计部门通常是内部控制系统的主要监察人。内部审计师会对内部控制及控制系统进行检查。他们还应识别控制是否失效或是可以纠正问题,并且向管理层提出有关建立新系统或系统改进方面的建议。
COSO的上述定义对内部控制的基本慨念提供了一些深入的见解,特别是:
(1)内部控制是一个实现目标的程序及方法,而其本身并非目标;
(2)内部控制只提供合理保证,而非绝对保证;
(3)内部控制要由企业中各级人员实施与配合。
COSO的内部控制定义构成了《萨班斯一奥克斯利法案》第 404节关于内部控制评估内容的基础。这些内容实质上对于全球的所有机构都非常重要,因此,管理者、审计师和其他人士应对 COSO的内部控制非常熟悉。
COSO利用三维模型来描述一个机构内的内部控制系统。该模型在水平方向上分为五层,垂直方向有三个组成部分和跨越第三维的多个推体。这种模型的结构是 5 x3 x2。但是,它们并不是完全独立的部分,彼此之间是相互连接的,就企业内的内部控制而言.我们将重点考察水平方向上的两层:控制环境和风险评估。
企业的内部控制系统会反映其控制环境,而控制环境包括其组织结构。内部控制系统应嵌入企业运营之中,并成为公司文化的一部分。此外,内部控制系统应能够对由企业内在因素和商业环境的改变所产生的不断变化的业务风险迅速作出反应。而且,内部控制系统亦应包括向管理层及时汇报经确认的任何重大控制失误或不足,及所采取的纠正行动的详细程序。
内部控制程序应保持简单直接,同时需要确保戚本没有超过效益。而且,应使各级职员能够了解维持足够内部控制的重要性,从而不会在实施控制时,因遇到不必要的复杂情况而对此产生不满。
企业应给予董事及管理层适当的培训,使他们能正确认识内部控制及职能范围。这样做一方面有助于企业高管遵守内部控制的监管规定,另一方面也为企业实现目标提供更多的保证。培训课程可以由企业内部提供,也可由相关培训机构或专业机构提供。
