2011年注册会计师考试公司战略与风险管理精讲笔记29(3)

　　COSO立体模型说明，控制环境是内部控制的根本性组成部分。以此方式说明控制环境的根基地位是恰当的。试图建立牢固的内部控制结构的企业应特别注意为控制环境结构奠定坚实的基础。

　　二、风险评估

　　按照 COSO立体模型，控制活动的上一层是风险评估。企业实现其目标的能力可能受到来自多个内外部因素的不利影响。作为整体内部控制结构的一部分，企业应实施一个程序，来评估可能影响其各种内部控制目标实现的潜在风险。风险评估可能是正规的量化风险评估程序，也可能是不太正规的方法，但是应包含对风险评估程序最起码的理解。例如，企业设定的目标是不改变营销计划，那么如果出现新的竞争对手则可能对该企业设置的目标造成压力，这需要对无法实现该目标的风险作出评估。风险评估是一个具有前瞻性的过程。也就是说，许多企业已经发现，对他们的各类风险水平进行评估的最佳时机是制定年度计划或定期计划的过程。应在所有层面以及企业的所有活动中实施这样的风险评估程序。 COSO内部控制架构将风险评估描述成一个可以分为三步的程序。第一步是估计风险的重要'性;第二步是评估风险发生的可能性或频率;第三步是考虑如何对风险进行管理，以及应采取何种行动。

　　COSO内部控制架构强调风险分析并非一个理论过程，而且常常对实体的整体成功起到至关重要的作用。管理层是内部控制整体评估的重要一环，他们应采取措施对可能影响整个企业的风险，以及不同的组织活动或实体所面对的风险进行评估。由内部或外部原因导致的各种风险可能对整个组织产生影响。 COSO企业风险评估己对某些主要组成部分给出定义，做了一般性说明，并概述了一种能使组织对企业层面的风险进行更好管理的方法。

　　风险管理包括识别和分析影响目标实现的风险(包括与不断变化的监管、运营环境和商业策略有关的风险)，以此来确定如何降低和管理此类风险的依据。第九章将针对风险管理的程序作更详尽的讨论

　三、控制活动

　　评估风险只是整个内部控制程序的一部分，管理层必须确定处理风险所需的行动，并付诸执行。这些行动亦应将注意力集中于控制活动的作用，目的是确保所需的行动得以有效且适时地执行。换而言之，控制活动包括多种政策和程序，有助于确保管理层的有关指示得以执行，处理风险以实现企业目标所需的行动得以实施。与大型企业相比，小型企业的内部控制程序可能不太正规且较具灵活性，但一贯地执行内部控制的有关政策及程序是十分重要的。

　　控制活动可为雇员提供指南(命令式的控制)，设计这些活动旨在防止发生不希望出现的事情(预防性控制)，或者在不希望出现的事情发生时能够加以识别(侦察式控制)。当不希望出现的事情发生时，应识别程序的缺陷，并主动采取措施加以解决，此类活动称为"纠正性控制活动"。

　　控制活动可分为运营、财务报告及合规三个类别，但它们之间有时可能出现重叠。常见的内部控制活动有(1)组织控制 (2)职责划分; (3)调节和复核 (4)实物控制 (5)授权和批准 (6)计算和会计; (7)人员控制 (8)监督及管理控制。

　　(一)组织控制

　　组织控制是指组织结构提供的控制，比如组织活动和经营分成若干部门或责任中心，责任区分明确，在企业内授权，确立企业内的报告路径，协调不同部门或小组之间的活动，比如设立委员会或项目组。

　　(二)职责划分

　　进行职责分工的主要目的是防止具有欺骗性的活动发生或未被查出。管理层可以通过在两个或两个以上的人员之间分配工作的方式实现这一监控目标。就适当的职责分工而言，不应由一个人控制一项交易或一个事件的所有 关键方面，而且一个人履行的职能可通过其他人执行的职能进行检查。

　　大多数交易可分成三类独立的职责:认可或发起交易、处理被交易的资产，以及记录交易。这样能降低舞弊风险，同时降低出现差错的风险。如果一个人为上述活动中的一项以上活动承担责任，则存在舞弊的可能。职责划分还能较容易地发现非本意造成的错误，因此不应仅将其视为对舞弊的控制。尽管职责划分能够避免一个人舞弊的情况，但对于两人或两人以上串通舞弊却是元效的。在董事会层面，公司治理守则(比如《英国综合守则))指出，董事会主席与首席执行官的职责应分离，以防止一个人取得董事会的支配地位。但是，如果这些职能尚未或无法分离，那么，应由管理层对相关活动进行详细的监管审核，作为一种补偿性控制。

　　(三)调节和复核

　　调节和复核业绩属于侦察式控制。所谓调节是指雇员将不同数据连接在一起，识别并找出差异，并且在必要时采取纠正措施。但是更重要的是，执行调节的人员要理解这一程序的重要性以及巳识别的差错的影响。调节包括比较总账的现金金额与银行对账单的现金余额、总账的应收款金额与相关补贴账户总额，以及固定资产的现场盘点与会计记录中记载的金额。所谓业绩复核，是指管理层将当前的业绩与预算、以前期间或其他基准相比较，以此反映目标的完成情况，并对其中的差异进行调查，以确定哪些纠正行动是必要的。

　　(四)实物控制

　　实物控制是指保护实物资产不被偷盗或未经许可而获得及被使用的措施和程序。实物控制包括使用保险箱储存现金和重要文件，为大楼或其内的区域设立门禁系统，为贵重资产采取两重保管方法，必须两人同时出现才能取得某些资产，定期对存货进行盘点，以及雇用保安和利用闭路电视摄像头。

　　(五)授权和批准

　　某些控制活动可提供其他控制活动运作正常或需要提供指南以改善这些控制活动的运作等信息。例如，被授权的雇员可能开展了达到某项限制的交易，并且须为超出规定限制的交易取得批准。批准上述超出规定限制的交易时，上级必须在核实该活动符合政策及程序的基础上，才能予以批准。就此来说，上级批准亦可作为一种监控工具，来确保政策得以遵守。由于这些控制旨在控制不希望出现的事件，因此，可视之为预防性控制。预防性控制的主要目的是防止错误的发生。

　　一般而言，为了帮助确保控制活动发挥最大效果，在上级批准及授权时应提供书面指南、权力限制及支持性文件。另外，上级领导严肃地履行批准职能是非常重要的。这要求他们能够积极核查文件，对异常事项进行询问，以及提醒自己不在空白表格上签字。