内部控制知识讲解

73/73第八章内部操纵第一节内部操纵的定兑和进展一、内部操纵的定义内部操纵是指为确保实现企业目标而实施的程序和政策。内部操纵还应确保识不可能阻碍实现这些目标的风险因素并采取预防措施。内部操纵和风险治理是出色的公司治理极为重要的组成部分。出色的公司治理意味着董事会必须对企业的所有风险加以识不和治理，就风险治理而言，内部操纵系统涉及企业财务、运营、遵守法律法规及其他方面。内部操纵系统包括两个因素，分不是操纵环境和操纵政策与程序。操纵环境是指企业内关于内部操纵的态度及内部操纵意识，代表整个企业关于内部操纵的价值观。操纵政策及程序是指嵌入企业运营中的具体的内部操纵。操纵政策及程序的设计目的在于，尽可能确保业务行为是有序且有效的。操纵政策及程序必须能够依照企业面临的内外部风险而改变，同时应以企业面临的要紧风险为重点，并对这些风险作出反应。内部操纵的思想和框架总体上确实是对企业内资掘进行治理的体系，然而基于不同的角度和层次，对内部操纵的定义有着不同的认识和分析。(一)COSO委员会对内部操纵的定义成立于1985年的COSO(CommitteeofSponsoringOrganization)委员会为全国舞弊报告委员会提供支持。该组织包括美国会计协会(Ame出anAc¬counting.Association)和美国注册会计师协会(Ame由anInstituteofCe时ifiedPublicAccountants)。现在，COSO委员会负责制订有关大型和小型企业实施内部操纵系统的指南。1992年9月COSO委员会提出了《内部操纵一一整合框架))01994年又进行了增补，简称《内部操纵框架}.即COSO内部操纵框架。COSO委员会对内部操纵的定义是"公司的董事会、治理层及其他人士为实现以下目标提供合理保证而实施的程序:运营的效益和效率，财务报告的可靠性和遵守适用的法律法规。"以下章节将对内部操纵框架的内容作更详尽的分析。COSO委员会指出，从风险治理的角度来看，内部操纵是必要的。然而，在实施内部操纵时，有几点需要注意。首先，即使实施了优良的内部操纵系统，也不一定能使一个鳖脚的治理者变得出色。其次，由于所有的内部操纵系统仍然面临发生错误或出现差错的危险，因而内部操纵系统只能就企业目标的实现提供合理保证。即使一个企业实施了内部操纵，也可能由于有意串通破坏、治理层逾越监控而失效。再次，大型或小型企业在建立内部操纵系统时，均可能存在资惊受限的问题。(二)美国上市公司会计监管委员会对内部操纵的定义美国上市公司会计监管委员会(PCAOB)公布的"审计准则第5号"规定，注册会计师对企业财务报告进行审计必须关注财务报告内部操纵，同时治理层应该对企业内部操纵作出评估。所谓财务报告内部操纵，是指在企业要紧的高级治理人员、要紧财务负责人或行使类似职能的人员的监督下设计的一套流程，并由公司的董事会、治理层和其他人批准生效.该流程能够为财务报告的可靠性及依照公认会计原则编制的对外财务报表提供合理保证，它包括如下政策和程序(1)保管以合理的详尽程度、准确和公允地反映企业的交易和资产处置的有关记录(2)为按照公认会计原则编制财务报表记录交易，以及企业的收入和支出仅是按照治理和公司董事会的授权执行，提供合理的保证;(3)为预防或及时发觉对财务报表有重大阻碍的未经授权的企业资产的购置、使用或处理，提供合理保证。(三)特恩布尔委员会对内部操纵的定义1992年，英国《综合守则》(CombinedCode)颁布之后，设立了特恩布尔委员会(Turnbullcommittee)。该委员会的职能是为上市公司执行《综合守则》规定的内部操纵原则提供指南。特恩布尔报告的总体要求是，董事应实行一套完善的内部操纵系统，并定期对该系统实行复核。该报告还谈到了建立一个完善的内部操纵系统的必要性。内部操纵的要紧组成部分包括为企业的有效运营提供辅助条件，使企业有能力对阻碍目标实现的重大风险做出反应。风险可能来自业务经营、合规、运营或财务方面。此外，内部操纵还能确保对内和对外报告的质量，确保法规及内部有关业务开展的政策得以遵守。特恩布尔报告哈还包括对内部操纵系统的检查。该报告指出，对内部操纵系统的检查时治理层的常规责任。只是检查可委派给审计委员会，同时董事会必须提供有关内部操纵系统的信息，并进行复核。复核应为至少每年一次。为了通过维持完善的内部操纵系统来确保使企业面临的风险降至最低。特恩布尔委员会还建议应持续对内部操尽情况进行监察，并建议作出关于财务及合规和运营操纵的报告。此外，治理层应向董事会保证内部操纵已得到监察，确认这些操纵提供了“对重大风险及内部操纵系统关于治理这些风险的有效性”的平衡性评价。而且，由于董事会应对内部操纵系统负责，因此董事会可能需要对该系统进行复核。(四)中国《企业内部操纵差不多规范》对内部操纵的定义财政部、证监会、审计署、银监会和保监会于2008年6月联合公布的《企业内部操纵差不多规范》中指出，内部操纵是由企业董事会、证监会、经理层和全体职员实施的、旨在实现操纵目标的过程。内部操纵的目标是合理保证企业经营治理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和结果，促进企业实现进展战略。二、内部操纵的演变与进展(一)内部操纵在20世纪80年代的操纵理论自20世纪80年代以来，内部操纵的理论研究有了新的进展，人们对内部操纵的研究重点逐步从一般含义转向具体内容。其标志是美国注册会计师协会于1998年5月公布的《企业准则公告第55号}(5A555)。在这份公告中内部操纵结构"的概念取代了"内部操纵制度"。公告指出企业内部操纵结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序。"公告认为内部操纵结构由下列三个要素组成:(1)操纵环境。这是指对建立、加强或削弱特定政策与程序的效率有重大阻碍的各种因素，包括治理者的思想和经营作风;组织结构;董事会及所属委员会，特不是审计委员会发挥的职能:确定职权和责任的方法;治理者操纵和检查工作时所使用的操纵方法，包括经营打算、预算、预测、利润打算、责任会计和内部审计;人事工作方针及其执行等;阻碍企业业务的各种外部关系，如由银行指定代理人的检查等。(2)会计制度。这是指为认定、分析、归类、记录、编报各项经济业务，明确资产与负债的经管责任而规定的各种方法，包括认定和登记一切合法的经济业务;对各项经济业务按时和适当的分类，作为编制财务报表的依据;将各项经济业务按照适当的货币价值计价，以便列入财务报表;确定经济业务发生的日期，以便按照会计期间进行记录;在财务报表中恰当地表述经济业务及对有关的内容进行揭示。(3)操纵程序。这是指企业为保证目标的实现而建立的政策和程序，如经济业务和经济活动的适当授权;明确各个人员的职责分工，如指派不同的人员分不承担业务批准、业务记录和财产保管的职责，以防止有关人员对正常经济业务图谋不轨和隐匿各种错弊;账簿和凭证的设置、记录与使用，以保证经济业务活动得到正确的记载，如出厂凭证应事先编号，以便操纵发货业务;资产及记录的限制接触，如接触电脑程序和档案资料要通过批准;差不多登记的业务及记录与复核，如常规的账面复核，存款、借款调节表的编制，账面的核对，电脑编程操纵，以及治理者对明细报告的检查。(二)内部操纵在成熟时期的研究结果如前文所述，C050委员会于1992年9月公布了指导内部操纵实践的纲领性文件《内部操纵一一整合框架}，并于1994年进行了增补，即COSO内部操纵框架。这份文件堪称内部操纵进展史上的里程碑。COSO对内部操纵的定义包含大量关键概念，它们能举例讲明企业内的内部操纵系统有普遍阻碍力，而且操纵是一个程序，而非结构。内部操纵是公司董事会和各级治理层打算、实施和监察的不间断的一系列活动。内部操纵的目标不仅是为了保证财务报告的可靠性与合规性，而且有助于提高企业运营的效益和效率。因此，内部操纵也与业绩目标(比如获利能力)的实现有关。然而内部操纵只为企业目标的实现提供合理保证，而非绝对保证。内部操纵系统包括企业的政策、程序、任务、行为，使企业能够对与实现企业目标有关的重大业务、经营、财务、法规及其他风险作出适当反应，促进企业的运营效益和效率。这包括爱护资产，幸免被不当使用或流失和欺诈，并确保负债得到有效治理。完善的内部操纵系统还有助于确保对内及对外报告的质量。这要求维持适当的记录和程序，以提供有关企业内外部的及时、相关且可靠的信息。而且，完善的内部操纵系统还有助于确保企业遵守适用的法律法规，或遵守商业行为的内部政策。内部操纵可分成五个相互关联的组成部分，在配合实现独立而又有重叠的经营、财务报告和法规遵守的目标时，这五个部分也可作为评价内部操纵系统有效性的标准。这五个部分包括:操纵环境、风险评估、操纵活动、信息与沟通以及监察。不仅如此，COSO对内部操纵系统的五大要素进行了认定。从董事会为企业制定整体治理哲学以实施内部操纵，到操纵环境的详情，都属于这五个要素的范畴。1 (Controlenvironment)。内部审计师协会(TheInstituteofInternalAuditors,IIA)对操纵环境的定义是董事会与治理层对待公司内部操纵的重要性的态度及采取的行动"。操纵环境是其他内部操纵元素的根基，并提供纪律及结构。操纵环境因素包括人员的道德观和胜任能力、董事会提供的指示和治理的效率。操纵环境被称为企业的"最高层"。操纵环境能讲明企业的道德观和文化，为内部操纵其他方面的运作提供框架。操纵环境是由治理层所定的基调、治理哲学与治理风格、授权方式、组织和培养职员的方式以及董事会对执行内部操纵的决心决定。2 (Riskassessment)。风险评估是指识不和分析阻碍目标实现的风险(包括与监管和运营环境不断变化有关的风险)，以此来确定降低和治理此类风险的依据。企业的目标与所面临的风险之间有一定关联。为了对风险进行评估，必须确立企业目标。目标一经确立，必须识不和评估为实现这些目标而面临的风险，同时该评估应构成决定如何治理该风险的基础。企业的治理层应定时对企业内部的各类业务进行风险评估，而且需要考虑内部及外部因素。内部因素包括组织的复杂性、组织结构的变更、员下流淌情况及职员素养。外部因素包括行业及经济条件的改变以及技术变革等。风险评估程序亦应区分可操纵风险和不可操纵风险。关于可操纵风险，治理层应决定是否承受该风险，采取措施操纵或降低该风险。l关于不可操纵的风险，治理层应决定是否承受该风险，或部分或完全退出此项业务，以规避风险。3.操纵活动(Controlactivity)。操纵活动有助于确保治理层的指令得以执行，以及任何可能需要用来处理风险以实现企业目标的行动得以实施。操纵活动是指能确保治理层的决策与指示得以执行的政策和程序。企业内部各层面均存在操纵活动，操纵活动包括组织操纵、职责划分、调节和复核、实物操纵、授权和批准、计算和会计j人员操纵、监督及治理操纵。4.信息与沟通(Informationandcommunication)。信息与沟通是指在人员能够履行责任的方式及时刻范围内，识不、取得和报告经营、财务及法律遵守的相关信息的有效程序和系统。企业必须收集信息并向适当人士传达。治理者制定恰当的决策时既需要内部信息也需要外部信息。此外，为了运作内部操纵，治理者也是需要信息的。因此必须建立完善的信息系统，必须为治理者提供与所采取的行动相关的，及时L准确、能够理解的信息。企业多数会运用计算机系统来提高为治理者提供的信息质量，然而假如让计算机系统为治理者提供所需的信息，则必须将计算机系统结合到业务策略中。信息系统和信息治理关于成功的运转和业务操纵有着特不重要的作用。信息系统和技术治理的内容可参考本书第十二章。5.监察(Monitoring)。监察是指持续评估内部操纵系统的充分性及表现情况的程序。内部操纵的不足之处应向相应的上级领导层汇报。上级领导层能够是高级治理层、审计委员会或董事会。内部操纵系统必须同意监察。作为内部操纵系统的因素，它与内部审计及一般监督有关。识不并向高级治理层及董事会或董事报告内部操纵系统的缺陷是特不重要的。企业可能差不多建立了特不完善的内部操纵系统，然而仍需要对该系统进行监察。假如内部操纵系统未经监察，就专门难评估它是否未受操纵或需要改进。随着业务的进展，内部操纵系统也在进展，因此内部操纵系统不是静止不变的。内部审计部门通常是内部操纵系统的要紧监察人。内部审计师会对内部操纵及操纵系统进行检查。他们还应识不操纵是否失效或是能够纠正问题，同时向治理层提出有关建立新系统或系统改进方面的建议。COSO的上述定义对内部操纵的差不多慨念提供了一些深入的见解，特不是:(1)内部操纵是一个实现目标的程序及方法，而其本身并非目标;(2)内部操纵只提供合理保证，而非绝对保证;(3)内部操纵要由企业中各级人员实施与配合。COSO的内部操纵定义构成了《萨班斯一奥克斯利法案》第404节关于内部操纵评估内容的基础。这些内容实质上关于全球的所有机构都特不重要，因此，治理者、审计师和其他人士应对COSO的内部操纵特不熟悉。COSO利用三维模型来描述一个机构内的内部操纵系统。该模型在水平方向上分为五层，垂直方向有三个组成部分和跨越第三维的多个推体。这种模型的结构是5x3x2。然而，它们并不是完全独立的部分，彼此之间是相互连接的，就企业内的内部操纵而言.我们将重点考察水平方向上的两层:操纵环境和风险评估。企业的内部操纵系统会反映其操纵环境，而操纵环境包括其组织结构。内部操纵系统应嵌入企业运营之中，并成为公司文化的一部分。此外，内部操纵系统应能够对由企业内在因素和商业环境的改变所产生的不断变化的业务风险迅速作出反应。而且，内部操纵系统亦应包括向治理层及时汇报经确认的任何重大操纵失误或不足，及所采取的纠正行动的详细程序。内部操纵程序应保持简单直接，同时需要确保戚本没有超过效益。而且，应使各级职员能够了解维持足够内部操纵的重要性，从而可不能在实施操纵时，因遇到不必要的复杂情况而对此产生不满。企业应给予董事及治理层适当的培训，使他们能正确认识内部操纵及职能范围。如此做一方面有助于企业高管遵守内部操纵的监管规定，另一方面也为企业实现目标提供更多的保证。培训课程能够由企业内部提供，也可由相关培训机构或专业机构提供。(三)中国内部操纵的进展状况2006年7月，受国务院托付，财政部牵头.由财政部、国资委、证监会、审计署、银监会、保监会联合发起成立了企业内部操纵标准委员会。许多监管部门、大型企业、行业组织、中介机构、科研院所的领导和专家学者积极参与，为构建我国企业内部操纵标准体系提供了组织和机制保障。企业内部操纵标准委员会的职责和目标是总结我国经验，借鉴国际惯例，有效利用国际国内资源，充分发挥各方面的积极作用，通过2-5年的努力，差不多建立一套以防范风险和操纵舞弊为中心，以操纵标准和评价标准为主体的内部操纵制度体系。并以监管部门为主导，各单位具体实施为基础，会计师事务所等中介机构咨询服务为支撑，政府监管和社会评价相结合的内部操纵实施体系，推动公司、企业和其他非营利组织完善治理结构和内部约束机制，不断提高经营治理水平和可持续进展能力。2008年6月28日，财政部会同证监会、审计署、银监会、保监会制定并印发《企业内部操纵差不多规范>(下称"内控规范")。自2009年7月1日起在上市公司范围内施行，同时鼓舞非上市的大中型企业执行。1.内控规范简述内控规范要求企业建立内部操纵体系时应符合以下目标:(1)合理保证企业经营治理合法合规、资产安全、财务报告及相关信息真实完整;(2)提高经营效率和效果(3)促进企业实现进展战略。内控规范借鉴了以美国COSO报告为代表的国际内部操纵框架，并结合中国国情，要求企业所建立与实施的内部操纵，应当包括下列五个要素:(1)内部环境;(2)风险评估;(3)操纵活动;(4)信息与沟通(5)内部监督。内控规范强调内部操纵是由企业董事会、监事会、经理层和全体职员实施的、旨在实现操纵目标的过程。同时要求企业实行内部操纵自我评价制度，并将各责任单位和全体职员实施内部操纵的情况纳入绩效考评体系。执行内控规范的上市公司，在对企业内部操纵的有效性进行自我评价后，应同时披露年度自我评价报告。国务院有关监管部门有权对企业建立并实施内部操纵的情况进行监督检查;并明确企业能够依法托付会计师事务所对本企业内部操纵的有效性进行审计，出具审计报告。2.内控规范对企业的阻碍内控规范的公布是中国在公司治理方面的一个重要里程碑，体现了中国经济与全球经济的进一步接轨和整合。随着中国资本市场的进展与壮大，与之配套的公司治理和监督机制的需求日益增加;而随着中国企业的做大做强，企业关于内部外部的风险需要更系统有力的操纵。一方面，内控规范为中国企业建立内部操纵体系提供了一个标准的框架，在理念、实施和制度层面为企业提供了基础。而在另一方面，内部操纵作为一个相对较新的课题，为首次系统地建立与实施内部操纵的企业提出了新的挑战。从国际上一些公司治理法案，包括美国的《萨班斯一奥克斯利法案》和日本的《金融交易法案》的实施情况来看，企业通常在内部操纵实施的第一年需要投入专门多时刻和精力，进行反复的学习和打算的修订工作:在实施的过程中，企业需要作出许多对合规性工作的效果和效率方面产生全然阻碍的重要决定。这些决定包括项目打算治理、实施范围、关注的风险领域以及测试策略等。在这些领域作出正确、适当的决定关于提高差不多规范的实施效率来讲十分关键。在颁布了内控规范之后，财政部陆续起草了一系列的内部操纵配套指引征求意见稿，这些配套指引关于如何指导企业和会计师事务所落实和实施内控差不多规范将作出进步的明确讲明。第二节COSO内部操纵内容的实践COSO内部操纵框架的五个要素包括:操纵环境、风险评估、操纵活动、信息与沟通、监察。一、操纵环境操纵环境是其他内部操纵因素的根基。操纵环境因素包括人员的道德观和胜任能力、董事会提供的指示和治理的效率。操纵环境应包括坚守诚信及高尚的道德观。就此而言，高级治理层必须把企业的价值观和行为守则向雇员明确传达。对违反行为守则的人员作出适当的处罚，是确保他们遵循行为守则并将其融入企业文化的重要一环激励及诱惑是破坏深厚道德文化的可能诱因。前者包括施加压力以实现不切实际的业绩目标(特不是短期业绩)及与业绩挂钩的丰厚酬劳。后者包括无效的操纵(例如在敏感的领域职责划分不清)、薄弱的内部审计职能、未能察觉及报告不当行为，以及无法对高级治理者进行客观的监督的低效率董事会。操纵环境还包括其他方面。例如，治理层应讲明每项工作所需的才能水平，并具体地指出满足工作必需的知识及技能。此外，董事会必须具备治理能力、专业技术及其他专长，还必须拥有履行策略和监督职能的才能及思维。董事会成员必须客观、积极地问询治理层的活动。董事会中的审计委员会成员亦应富有经验、符合资格、独立且积极。此外，治理层应当确立报告关系及授权协定。其中要紧的挑战在于下放权责，但要限于实现目标所需的程度。另一项重要挑战是，要确保所有人员明白企业的目标。操纵环境在专门大程度上取决于个人对其将负有多大责任的了解。企业需要优化组织结构，以便为实现目标而制定的策略能得以最有效地执行。以下所列是操纵环境因素的范围:(一)诚信和道德观企业领导者必须制造一种除了财宝之外还重视声誉的价值观氛围。如此能够确保更好地留住职员，实现更高的销售收入和利润，制造更好的市值和更多的酬劳。诚信和道德观是企业操纵环境的重要因素。假如企业差不多制定了严格的商业行为守则，该守则强调诚信和道德观，同时所有的利益相关者都遵循了这一守则，那么，这意味着该组织已拥有一流的道德观。当今，行为守则是公司治理的重要组成部分。然而，即便企业制定了一份严格的行为守则，假如雇员不是有意渎职，而仅仅因为不了解该守则，也会违反守则的原则。在多数情况下，雇员可能不明白他们正在做的情况是错误的，或者可能错误地认为他们的行动符合企业的最佳利益。这种错误常常是由于高级治理层缺乏道德指南造成的，而不是雇员带有欺骗的意图。企业的政策和价值观尽管常常嵌在行为守则中，但也必须向企业内的各级人员传达。任何企业内都可能存在"害群之马然而严格的政策和以身作则的适当行动，能够促使职员采取正确行动。在对特定领域进行独立复核时，审计师或治理者应始终确定恰当的信息或信号己在企业内传达。所有的治理者及其他股东都应该对其所在企业的行为守则及其应用和传达方式有充分的了解。假如行为守则差不多过时，那么它就不能解决企业面临的道德方面的重要问题•假如公司治理者未能反复向所有利益相关者传达行为守则，那么它可能成为企业内部操纵的一个重大不足。即使行为守则描述了企业道德行为的规则，而且治理层的资深成员可能已定期传达了恰当的道德信息，但其他的激励和诱惑也可能破坏整个内部操纵环境。假如企业存在促使雇员采取某些行动的巨大激励或诱惑，则职员专门可能受到诱惑，作出不老实、不合法或不道德的举动。例如，一家企业可能设立了过高的不切实际的销售或生产指标。达成这些业绩目标后能获得丰厚酬劳，或者更糟糕的是，不能实现目标就要面临巨大的威胁，因而雇员会进行可疑操作，或记录虚假的账目交易，以实现这些目标。促使利益相关者编制不当的会计记录或作出类似举动的诱惑包括，缺乏操纵或操纵无效(比如，在敏感的领域职责划分不清)，权力高度分散导致最高治理层对企业内的低级不人员所采取的行动毫不知情，从而使其被发觉的机会减少，薄弱的治理职能既没有能力也没有权力侦查和报告不当行为。关于不当行为的处罚如不严厉或未公开，则无法起到威慑作用。(二)用人唯才的承诺假如大量岗位被缺乏必要岗位技能的人员所占据，那么企业的操纵环境专门可能会被严峻破坏。治理者会不时地遇到如下情形:被分配了某项具体工作的人员看起来不具备完成这项工作所需的适当技能、训练或智慧。由于每个人的技能和才能水平不同，应提供充足的监督和培训，以关心雇员获得适当的技能。企业应讲明各种工作所需的才能水平，并将其具体化为必需的知识及技能。企业用人唯才的承诺能够通过为适当的人才分派适当的工作，并在必要时提供充分的培训的方式来实现。用人唯才的承诺是企业整体操纵环境的重要因素。治理者常常发觉，关于职位描述是否充分，为适当的人才安排适当的工作的程序是否运转正常，以及培训和监督是否充分进行评估是具有重要价值的。作为操纵环境的一个重要部分，对职员的才能作出客观中肯的评价是比较困难的。尽管许多人力资掘部门通常都会制定详细的评级和评价机制，然而，职员常常都会被评为"高于平均水平"。就各级职员而言，治理层应切实地评估他们是否能胜任所分配的工作，以及是否能为实现整体组织目标付出努力。(三)董事会和审计委员会操纵环境在专门大程度上受董事会和审计委员会的行为阻碍。以往，董事会和审计委员会常常被高级治理层操纵只有有限的少数代表来自外部股东。这导致董事会不能完全独立于治理层。公司治理人员在董事会任职，实际上形成了自我治理的局面，而且，与治理者个人利益相比，他们对外部股东的关注常常较少。随着时刻的推移和相关法律法规的出台，上述情况得以改善。现在的董事会承担着更为重要的公司治理的职责，审计委员会必须由独立的外部董事组成。积极且独立的董事会也是企业的操纵环境的要紧组成部分。董事会成员应向最高治理层提出适当的问题，并对企业的各个方面进行细致的审查。通过制定高水准的政策和审查整体业务的行为，董事会及其审计委员会对确定"企业领导层的基调"承担最终责任。(四)治理哲学和经营风格高级治理层对企业的操纵环境有着不可忽视的阻碍。一些最高治理者频繁地冒险尝试新业务或新产品，使企业面临重大风险，而其他治理者却极为慎重和保守的形事。一些治理者大概是凭直觉做事，而其他治理者则坚持认为每件事都应得到批准并被恰当的记录下来。治理哲学和经营风格需要考虑得上数十项，均是企业操纵环境的一部分。治理者及负责评估内部操纵的其他人士应了解这些因素，并在整个企业施行有效的内部操纵系统时考虑这些因素。事实上，没有那一套风格和哲学是最好的。企业要对治理层的胜任能力有要求，第一步是选择那些诚信、独立于董事会的专业人士，他们必须通过董事会方面的培训和资格认证。（五）组织结构组织结构能够为规划、执行、操纵和监察活动提供框架，以实现企业整体目标。有一些组织是高度集中的，而另外一些组织则按照产品或地区分散了权利。还有一些组织形式是矩阵式，不存在单一的直线报告。企业的不同部分组合起来的方式有多种。企业操纵是为了更庞大的操纵程序的一部分。“组织(organization)”这一术语常常可与“使组织起来(organizing)”互换，对专门多人拉讲，二者的意思是相同的。“组织”有时是指人与人之间的登机关系，其更广义的用法还可能包括治理层的所有问题。“组织”能够被描述为：个人通过分派获得的工作并在后续过程中结合起来以实现整体目标的方式。在某种意义上，这种概念可用于一个个体组织其个人工作投入的方式，也适用于大量的人员以小组的形式投入工作的情况。关于大型现代企业来讲，为组织操纵制定完善的打算是内部操纵系统中特不重要的部分。个人和小群体应了解其所在的小组的目标及企业的总体目标。倘若缺乏如此的了解，操纵可能存在重大的缺陷。不管是商业组织、政府、慈善组织或其他部门，每个组织都需要制定有效的组织打算。对任何职能或部门负责的治理者必须对组织结构有充分的了解。组织操纵的缺陷常常会对整个操纵环境产生普遍阻碍。尽管权力界限划分明确，但企业内在的效率低下问题会随着组织规模的扩大而变得更为严峻。这种效率低下问题常常会造成操纵程序失灵，因此，在评估组织操纵环境时，治理层应关注这些问题。复杂的或者不容易理解的组织结构可能带来严峻问题。母公司将一个部'门作为一个独立的企业分离出去的情况，在当今并许多见。这种新企业的雇员往常采纳的是母公司的操纵系统和程序，然而现在他们有责任为新企业设立组织结构操纵。企业合并、联营和收购发生时，组织结构的权力界限关于利益相关者来讲可能是不清晰的。当独立经营的业务运转起来，同时财务结构细节被确定后，内部操纵结构却时常被忽视。(六)权力和责任的分配组织的结构对总体工作投入的分配与整合作出详细讲明。权力的分配本质上是指按照工作描述确定责任，依照组织结构图形成责任。尽管工作评估无法完全幸免责任的重叠或连带责任，然而这些责任的讲明越准确越好。关于如何分配责任的决定，常常会在个人与小组工作投入之间造成棍乱甚至冲突。现在，不管什么类型或规模的企业都简化了业务，并将决策权下放，且越来越接近一线工作人员。一线人员应具有在其自身业务领域作出重大决策的能力和权力，而无需请求上级作出决策。如此，授权或雇用造成的要紧挑战是，尽管能够授予部分权力，以实现某些组织目标，但高级治理层仍需为这些下属所作的所有决策承担最终的责任。假如未经治理层复核，就将过多涉及更高级目标的决策交由不适当的较低级不人员负责，企业将处于危险之中。此外，企业内的每个人必须对该组织的整体目标，以及个人行为与实现目标之间的相互关联有充分的了解。COSO内部操纵报告中关于架构的部分对操纵环境这一重要问题作出了如下描述:个人了解自己将负有多大责任，且能够对操纵环境产生重要阻碍。那个结论适用各级人员，包括对企业的所有活动(包括内部操纵系统)承担最终责任的首席执行官。(七)人力资源政策和实务人力资源实务包括诸如招聘、人职培训"、在职培训11、评估、咨询、晋升、赔偿和采取适当的矫正措施。人力资漉部门应针对这些方面制定并公布充分的政策。只是，值得注意的是，对人力资源政策的操作会向雇员传达有关其预期道德行为水准和能力的信息。一旦高级不雇员公开破坏人力资惊政策，比如无视工厂禁烟令，企业的其他人将会迅速获悉。假如低级不的雇员因为未经许可吸烟而受到处罚，但人们对违反规定的高级雇员却睁一只眼闭一只眼，那么消息扩散的速度会更快。上述人力资源政策和实务对某些方面具有专门的重要意义，包括:(1)招聘和雇用。企业应设法招聘最具资格的人选。应核实潜在雇员的背景，证实他们的学历和工作经验。应精心组织应聘者的面试，对应聘者具有深入的了解。人力资源亦应向潜在的雇员传递信息，使他们了解企业的价值观、文化和经营风格。(2)新雇员的人职培训。应将企业价值观体系和不遵循这些价值观的后果明确告知新雇员。通常在向新职员介绍行为守则并要求他们正式确认同意该守则时，告知他们上述事项。假如不能向新雇员传递这些信息，那么他们在加入该组织时可能缺乏关于企业价值观的了解。(3)评估、晋升和赔偿。应实施公平的绩效评估程序，同时使之不受额外的治理支配。由于诸如评估和赔偿的问题可能涉及雇员的隐私，因此，整个系统应对企业内的所有成员一视同仁。通常，奖金激励打算差不多上一项激发和强化所有雇员的出色表现的有用工具，然而应坚持以公平公正的方式发放奖金的原则。(4)惩戒措施。应实施统一且易于理解的惩戒政策。所有雇员应了解.一旦他们违反了特定规则，将会面临不同程度的惩戒，直至解雇。企业应尽力确保惩戒措施不存在双重标准，假如存在双重标准，那么高级不的雇员违反了特定规则，将会面临更严峻的惩处。有效的人力资源政策和程序是整体操纵环境至关重要的组成部分。假如企业未设立严格的人力资源政策和措施，那么即使企业组织结构专门牢固，领导层传达的信息也可不能产生多少阻碍。治理层在对内部操纵架构的其他因素进行复核时，应始终考虑操纵环境的人力资源政策和因素。COSO立体模型讲明，操纵环境是内部操纵的全然性组成部分。以此方式讲明操纵环境的根基地位是恰当的。试图建立牢固的内部操纵结构的企业应特不注意为操纵环境结构奠定坚实的基础。二、风险评估按照COSO立体模型，操纵活动的上一层是风险评估。企业实现其目标的能力可能受到来自多个内外部因素的不利阻碍。作为整体内部操纵结构的一部分，企业应实施一个程序，来评估可能阻碍其各种内部操纵目标实现的潜在风险。风险评估可能是正规的量化风险评估程序，也可能是不太正规的方法，然而应包含对风险评估程序最起码的理解。例如，企业设定的目标是不改变营销打算，那么假如出现新的竞争对手则可能对该企业设置的目标造成压力，这需要对无法实现该目标的风险作出评估。风险评估是一个具有前瞻性的过程。也确实是讲，许多企业差不多发觉，对他们的各类风险水平进行评估的最佳时机是制定年度打算或定期打算的过程。应在所有层面以及企业的所有活动中实施如此的风险评估程序。COSO内部操纵架构将风险评估描述成一个能够分为三步的程序。第一步是可能风险的重要'性;第二步是评估风险发生的可能性或频率;第三步是考虑如何对风险进行治理，以及应采取何种行动。COSO内部操纵架构强调风险分析并非一个理论过程，而且常常对实体的整体成功起到至关重要的作用。治理层是内部操纵整体评估的重要一环，他们应采取措施对可能阻碍整个企业的风险，以及不同的组织活动或实体所面对的风险进行评估。由内部或外部缘故导致的各种风险可能对整个组织产生阻碍。COSO企业风险评估己对某些要紧组成部分给出定义，做了一般性讲明，并概述了一种能使组织对企业层面的风险进行更好治理的方法。风险治理包括识不和分析阻碍目标实现的风险(包括与不断变化的监管、运营环境和商业策略有关的风险)，以此来确定如何降低和治理此类风险的依据。第九章将针对风险治理的程序作更详尽的讨论。三、操纵活动评估风险只是整个内部操纵程序的一部分，治理层必须确定处理风险所需的行动，并付诸执行。这些行动亦应将注意力集中于操纵活动的作用，目的是确保所需的行动得以有效且适时地执行。换而言之，操纵活动包括多种政策和程序，有助于确保治理层的有关指示得以执行，处理风险以实现企业目标所需的行动得以实施。与大型企业相比，小型企业的内部操纵程序可能不太正规且较具灵活性，但一贯地执行内部操纵的有关政策及程序是十分重要的。操纵活动可为雇员提供指南(命令式的操纵)，设计这些活动旨在防止发生不希望出现的情况(预防性操纵)，或者在不希望出现的情况发生时能够加以识不(侦察式操纵)。当不希望出现的情况发生时，应识不程序的缺陷，并主动采取措施加以解决，此类活动称为"纠正性操纵活动"。操纵活动可分为运营、财务报告及合规三个类不，但它们之间有时可能出现重叠。常见的内部操纵活动有(1)组织操纵(2)职责划分;(3)调节和复核(4)实物操纵(5)授权和批准(6)计算和会计;(7)人员操纵(8)监督及治理操纵。(一)组织操纵组织操纵是指组织结构提供的操纵，比如组织活动和经营分成若干部门或责任中心，责任区分明确，在企业内授权，确立企业内的报告路径，协调不同部门或小组之间的活动，比如设立委员会或项目组。(二)职责划分进行职责分工的要紧目的是防止具有欺骗性的活动发生或未被查出。治理层能够通过在两个或两个以上的人员之间分配工作的方式实现这一监控目标。就适当的职责分工而言，不应由一个人操纵一项交易或一个事件的所有关键方面，而且一个人履行的职能可通过其他人执行的职能进行检查。大多数交易可分成三类独立的职责:认可或发起交易、处理被交易的资产，以及记录交易。如此能降低舞弊风险，同时降低出现差错的风险。假如一个人为上述活动中的一项以上活动承担责任，则存在舞弊的可能。职责划分还能较容易地发觉非本意造成的错误，因此不应仅将其视为对舞弊的操纵。尽管职责划分能够幸免一个人舞弊的情况，但关于两人或两人以上串通舞弊却是元效的。在董事会层面，公司治理守则(比如《英国综合守则))指出，董事会主席与首席执行官的职责应分离，以防止一个人取得董事会的支配地位。然而，假如这些职能尚未或无法分离，那么，应由治理层对相关活动进行详细的监管审核，作为一种补偿性操纵。(三)调节和复核调节和复核业绩属于侦察式操纵。所谓调节是指雇员将不同数据连接在一起，识不并找出差异，同时在必要时采取纠正措施。然而更重要的是，执行调节的人员要理解这一程序的重要性以及巳识不的差错的阻碍。调节包括比较总账的现金金额与银行对账单的现金余额、总账的应收款金额与相关补贴账户总额，以及固定资产的现场盘点与会计记录中记载的金额。所谓业绩复核，是指治理层将当前的业绩与预算、往常期间或其他基准相比较，以此反映目标的完成情况，并对其中的差异进行调查，以确定哪些纠正行动是必要的。(四)实物操纵实物操纵是指爱护实物资产不被偷盗或未经许可而获得及被使用的措施和程序。实物操纵包括使用保险箱储存现金和重要文件，为大楼或其内的区域设立门禁系统，为贵重资产采取两重保管方法，必须两人同时出现才能取得某些资产，定期对存货进行盘点，以及雇用保安和利用闭路电视摄像头。(五)授权和批准某些操纵活动可提供其他操纵活动运作正常或需要提供指南以改善这些操纵活动的运作等信息。例如，被授权的雇员可能开展了达到某项限制的交易，同时须为超出规定限制的交易取得批准。批准上述超出规定限制的交易时，上级必须在核实该活动符合政策及程序的基础上，才能予以批准。就此来讲，上级批准亦可作为一种监控工具，来确保政策得以遵守。由于这些操纵旨在操纵不希望出现的事件，因此，可视之为预防性操纵。预防性操纵的要紧目的是防止错误的发生。一般而言，为了关心确保操纵活动发挥最大效果，在上级批准及授权时应提供书面指南、权力限制及支持性文件。另外，上级领导严肃地履行批准职能是特不重要的。这要求他们能够积极核查文件，对异常事项进行询问，以及提醒自己不在空白表格上签字。(六)计算和会计此类操纵要求在会计系统中正确地记录交易。依靠会计记录能够追踪每项交易，核对计算。比如，在向客户发货或批准支付前认真检查发票上的数字，确保数字是正确的。(七)人员操纵此类操纵适用于选择和培训雇员，以确保为企业的职位指定了恰当的人员，但个人必须具备适当的素养、经验和所需的资质。企业要向个人提供适当的人门培训，以确保他们能有效地完成任务。(八)监督和治理操纵监督是指承担责任的某人对其他人职员作的治理。监督操纵有助于确保个人按照要求恰当地完成任务。治理操纵是由治理层依照其猎取的信息执行的操纵。董事会或高级治理层可能要求提供关于企业目标所实现的成果的报告。那么，在部门层面上，治理层应同意对业绩进行复核或标明专门情况的报告。部门进行复核的频率应远远高于高层进行复核的频率。四、信息与沟通为了操纵风险，有必要设立一个完善的沟通程序，以猎取必要的信息，并向需要该信息的所有人员提供。操纵风险是企业各类程序涉及的所有人员的责任，因此，已识不风险的信息以及操纵这些风险的方法，必须向每个相关人员传达。沟通系统的重要意义在于，沟通能够在企业以全方位的方式展开，以减少出现误解的可能。企业的较低层级应识不问题，假如这些信息未提供给那些负责采取纠正措施的人员，那么，治理者将无法及时收到所需信息。信息与沟通是指在人员能够履行责任的方式及时刻范围内，识不、取得和报告经营、财务及法律遵守的相关资讯的有效的程序和系统。这包括最高层将与操纵有关的事宜的重要性及个人担当的角色向下级传达、向上级汇报重要信息的渠道以及与外部利益相关者保持有效沟通。(一)信息有关信息必须以适当的方式，在适当的时限内加以识不、收集和传达，以使人们能作出决策及采取适当的行动。信息系统提供运营、财务及合规的相关信息(包括内部产生及外部提供的信息)，这些信息有助于运作和操纵业务，也是作出精明的决策以及对外报告所必需的。当面对重大的行业变动时，特不是富于创新精神及快速流转的行业，上述系统必须能够配合支持新的企业目标的需要。信息系统能够是正式的或非正式的。后者包括与客户、供应商、监管机构及雇员进行商讨，这可为识不风险及商机提供有用的信息。出席商务讲座和加入贸易、专业及其他团体成为会员，也可提供相关资料。系统产生的信息的质量会阻碍治理层作出适当决策的能力。报告中载有足够的数据以支持有效的操纵是至关重要的，而系统的设计应针对这一方面。就信息质量而言，必须能够答复诸如内容、时限、更新程度、准确性、可靠性和可用性等方面的问题。(二)沟通有效的沟通必须在企业内以全方位方式进行。高级治理层应向雇员传达清晰的信息，使其明白必须认真履行操纵责任。他们必须明白自身在内部操纵系统中担当的角色，以及个人活动如何眼其他人的活动有所关联。他们还必须有把重要资讯向上级汇报的方法，这需要公司建立公开的沟通渠道，上级人员应乐于倾听。一个让雇员惧怕因上报有关信息而遭到报复的环境，将与目标相背离。雇员必须被告知，每当有超出预期的情况发生，不仅要注意事件本身，还要注意确定事件发生的时刻。他们必须明白他们自身的活动是如何与其他人的工作关联的，以及什么行为是被期望的或可同意的，什么行为是可不能被同意的。治理层与董事会及董事会下辖的委员会之间的沟通尤为重要。治理层必须就企业的业绩、进展、重大风险、要紧举措及其他有关事项不断地向董事会提供最新消息。董事会则应向治理层明确表示其需要何种资料，并应为治理层提供指示和反馈。此外，企业还需与外界各方(比如股东、客户、供应商和监管机构)保持有效沟通。客户和供应商可在产品或服务的设计与质量方面提供特不有用的意见;与诸如外聘审计师和监管机构的外界各方进行沟通，能对企业内部操纵系统的运作情况提供特不宝贵的意见;与股东及财务分析师进行坦诚的沟通，能提供他们所需要的信息。总的来讲，有效的信息与沟通系统应具备以下特点:能够生成企业经营所需的、关于财务、运营及法规遵守的报告，关心作出精明的商业决策，以及对外公布可靠的报告。信息与沟通系统能使得雇员获得信息，且交流他们为实施、治理及操纵运转情况所需的信息;能识不和传达相关信息，同时是以一种人员能够有效履行他们的职责的方式进行;使沟通在企业以全方位方式进行。此外，信息与沟通系统确立了与外部各方的有效沟通方式。作为信息与沟通系统的一部分，告知所有雇员应认真履行操纵责任是专门重要的。每个雇员应理解其在内部操纵系统中的角色，以及他们的个人活动如何与其他人的活动相关联。雇员还需了解，在履行职责的过程中发觉问题，他们有责任报告。有关雇员应当遵循的政策及程序的信息，应在公司内从上至下得以传达。关于日常活动的信息，应从公司内预备这些信息的雇员流向需要这些信息的雇员。关于日常活动中发觉的问题的信息，需要向公司上层流淌，直至能够采取纠正措施的人员。五、监察 内部操纵系统必须同意监察。监察是不断对内部操纵系统的表现进行评估的过程，能够通过持续的监察活动或单独的评估来实现。内部操纵如有缺陷，应向上级(例如高级治理层和审计委员会或董事会等)报告。监察可确保内部操纵保持有效的运作。监察包括由适当的人员评估操纵的设计及运作情况，以及采取适当的跟进行动。监察适用于企业内的活动，以及为企业提供相关服务的外部承包商。治理层为对内部操纵系统的有效性取得合理保证，而需要对内部操纵系统进行的独立评估的频率，属于推断性质的问题。相关因素包括，所发生的性质改变及程度以及伴随风险、执行操纵人员的才能及经验、持续监察的结果。由于持续监察程序已成为企业经常性运营活动的组成部分，且为实时执行，应依照改变作出调整，因此，原则上，它们应比独立评价所执行的程序更有效。(一)评估监察内部操纵的方法包括:1. 绩效计量。既然设立内部操纵的目的是为实现目标提供合理的保证，那么，能够利用绩效计量来确定实现其目标的程度，这是检验治理部门内部操纵有效性的一种有用的方法。假如绩效计量结果不尽如人意，那么治理者以及职员应确定能够作出哪些改变以改善业绩计量结果。2. 对企业运营进行测试。确定程序是否按最初设计得以应用，应该是一个持续的过程。治理部门内某些较太的单位可能发觉，建立内部审计职能部门来关心内部操纵的运转及己设立目标的实现，是具有成本效益的。3. 为操纵环境、风险评估、操纵活动、信息及沟通，以及操纵而制定的政策及程序，常常由硬性操纵构成，而硬性操纵是容易识不、评估及记录的。这些政策和程序的阻碍亦应得以识不、评估和记录。政策和程序对相关人员的阻碍，可能导致产生另一种软操纵，这与硬性操纵同样重要。软性操纵是指涉及态度、感知及能力的操纵。依照其性质，这些操纵不太明显，而且难以计量和评估。信任、强硬领导、开放及道德水准高等品质，关于治理部门的有效运转是至关重要的，同时，在设立或巩固企业的内部操纵系统时，不应被高估或低估。为了评估这些操纵类型，治理者应确定评价的标准并达成一致。通过自我评估，治理者应向问他们是如何确信目标得以实现、政策和程序以及法规得以遵守等。通过调查，治理者应询问雇员，以确认雇员的反馈。应对软操纵的结果进行评价，为操纵的有效性提供进一步的证据。假如识不出操纵的不足之处，治理者应把重点放在改良差不多程序上。应与所有相关人员就任何修改进行讨论。(二)记录内部操纵系统的文件记录，可能因企业的规模及复杂性等而有所不同。大型企业多半备有书面政策手册、正规的组织结构图、书面职务讲明、操作指示、信息系统流程图等。规模较小的企业可能备有较少的文件记录，但这并不一定表示它们的内部操纵无效。适量的文件记录能使评价变得更为有效，还有助于雇员了解系统如何运作以及他们所担当的角色，并使得在必要时修改系统变得更简单。(三)报告所有可能阻碍企业实现目标的内部操纵缺陷，均应向能采取必要行动的人员汇报。雇员从事常规运营活动时产生的信息，通常通过正常的渠道向他们的上级报告，再由后者向上汇报。此外，还应有另一渠道供汇报特不敏感的信息，比如违法或不当举动。通常，有关缺陷的调查结果不仅应向负责有关职能或者活动的个人汇报，还应向比其至少高一级的治理层汇报。此程序可使更高级不的人员监督及支援采取补救行动，同时有助于向在公司内可能受此活动阻碍的其他人员传达。向适当人士提供有关内部操纵的信息，对保持系统的有效性尤为重要。企业可订立规则，确定某一级不的人员做决策时所需的资料。获知有关内部操纵缺陷的信息的各方，可就需要报告的信息提供明确指示。董事会或审计委员会可要求治理层或者内部或外聘审计师只汇报达到一定严峻程度或重要性的内部操纵缺陷的调查结果。总括以上对COSO内部操纵内容的分析，要使内部操纵系统有效，该系统必须能降低治理层己识不的业务风险。内部操纵系统关于治理重大风险以实现业务目标发挥关键作用。完善的内部操纵系统能极大地促进对股东投资的爱护、公司资产的爱护，以及确保对法律法规的遵守。内部操纵系统的目标之一确实是防止或降低舞弊的可能性，如发生舞弊，对舞弊进行侦察。假如操纵环境不佳，内部操纵薄弱，舞弊事件将会增多。应对内部操纵系统进行持续复核和治理。但内部操纵的成本不得超过因风险降低而可能带来的收益。因此，具体的内部操纵是否合适，会因企业的不同而有所差异。内部操纵系统是企业不可或缺的一部分，同时是内部操纵中的重要要素。第三节审计委员会的监察角色一、审计委员会与内部操纵董事会应确保内部审汁师关于操纵的建议得以执行，并复核企业策略及风险限制，与治理层就内部操纵的有效性进行讨论。董事会还应复核对内部操纵系统的评估和评价。审计委员会是董事会下辖的委员会，全部由独立、非行政董事组成，他们至少拥有相关的财务经验。审计委员会的职能是监督、评估和复核企业内的其他部门和系统。董事会关于内部操纵的要紧目标会授权给审计委员会负责。在一般情况下，审计委员会负责整个风险治理过程，包括确保内部操纵系统是充分旦有效的。就内部操纵而言，审计委员会应复核企业的内部财务操纵以及企业的所有内部操纵和风险治理系统，除非这项任务由另外的独立风险委员会或董事会承担。审计委员会还应批准年报中有关内部操纵和风险治理的陈述。审计委员会亦会收到治理层关于企业内运作的内部操纵系统的有效性的报告.以及内部或外聘审计师关于对操纵所执行测试的结论的报告。二、审计委员会履行职责的方式董事会应决定委派给审计委员会的责任，审计委员会的任务会因企业的规模、复杂性及风险状况而有所不同。审计委员会应满足其职责的要求。建议审计委员会每年至少进行三次会议，并于审计周期的要紧日期进行。审计委员会应每年至少叮外聘及内部审计师会面一次，讨论与审计相关的事宜，但无需治理层出席一i!fi十委员会主席可能特不希望与其他关键人员(比如董事会主席、首席执行官、财务总监、高级审计合伙人和内部审计主管)进行私下会面。审计委员会成员之间的不同意见如无法内部调解，应提请董事会解决。此外，审计委员会应每年对其权限及其有效性进行复核，并就必要的人员变更向董事会报告。为了专门好地完成这项工作，行政治理层必须向审计委员会提供恰当的信息。治理层对审计委员会有告知义务，并应主动提供e信息，而不应等待审计委员会索取。三、审计委员会与合规审计委员会的要紧活动之一是核查对外报告规定的遵守情况。审计委员会一般有责任确保公司履行了对外报告义务。审计委员会应结合企业财:表的编制情况户对重大的财务报告事项和不断进行复核。治理层的责任是编制财务报表，审计师的责任是编制审计打算和执行审计。审计委员会应倾听审计师关手这些问题的看法。假如对拟蔬用的财务报告的任何方面不中意，审计委员会应告知董事会。审计委员会还应对财务报表后所附的与财务有关的信息:气比如，运营和财-务复核信息及公司治理部分关于审计和风险治理的陈述）进行复核。四、审计委员会与内部审计确保充分且有效的内部操纵是审计委员会的义务，其中包括负责监督内审计委员会应监察和评估内部审计职能在企业整体。它应该核查内部审计的有效性，并批准对内部审计主管的任命和解聘，还应确保内部审计部门能直接与董事会主席接触并负有向审计委员会讲明的责任。审计委员会复核及评估年度内部审汁工作打算。审计委员会收到关于内部审计部门工作的定期报告，复核和监察治理层对内部审计的调查结果的反应。审计委员会还应确保内部审计部门提出的建议己执行。审计委员会有助于保持内部审计部门对压力或干涉的独立性。审计委员会及内部审计师需要确保内部审计部门正在有效运作。它将在四个要紧方面对内部审计进行复核，即组织中的地位、职能范围、技术才能和专业应尽义务。(一)内部审计活动企业应依照现行职业准则执行内部审计活动。内部审计职能部门的组成，取决于企业的规模、复杂性、经营活动范围和风险概况，以及董事会为审计部门分配的责任。就大型企业来讲，首席审计师常常是在审计员了的关心下履行其责任的治理者。内部审计职能还可由企业内部或外部服务提供商执行。在许多小企业中，被指定担任兼职审计师的高级职员或一般雇员可能承担着运营方面的责任。为了保持独立性，负责复核特定职能部门的雇员应独立于该职能部门之外，并应直接将相关发觉向董事会或其下属的审计委员会报告。内部审计师必须对他们所审计的活动保持独立性，如此他们才能够向由且客观地完成他们的t作。他们必须提供公正而无偏见的推断。内部审计师或内部审计的治理者或董事应直接且定期向董事会报告。在某些机构中，内部审计职能部门可能是治理或操纵公司总体风险承担活动小组的一部分。只有审计职能直接向董事会报告并保持其独立性，如此的安排才是符合要求的。董事会负责将必要的权力托付他人，以使内部审计师能够有效地开展他们的工作。审计师必须拥有针对企业内的所有大业务部门、部门及职能进行检查的权力，与企业的任何人员直接进行沟通的权力，以及使用审计T作所需的所有的记录、文档或数据的权力。董事会、内部审计师和治理层之间进行清晰的沟通，这关于及时地确认及纠正内部操纵及运营治理的不足之处是最重要的。在某些企业，主管审计师向高级治理者(而非董事会)报告日常行政事务。在这种情况下，董事会必须采取额外的措施，确保这种报告关系可不能损害审计师的独立性，或对其独立性产生不当的阻碍。内部审计师应具备必要的知识、技巧以及训练，以熟练、专业地实施审计工作。内部审计师的角色不断改变，这需要他们培养分析、技术、决策及沟通技巧。审计人员至少应当其有适当的教育背景或经验，以及与所承担的责任相匹配的组织技巧和技术。内部审计师应该善于口头沟通及书面通信，能够理解会计及审计准则、原则及技术，认识及评估与完善的商业实务的偏离之重要性和重大程度。此外，他们能确认现有或潜在的问题，并在适当的情况下，对程序进行补充。专门重要的一点是，内部审计人员(包括审计经理或总监)要参与接着教育和培训"。大学、团体或审计行业组织提供的课程和研讨会，为保持审计技巧和熟练度提供了许多机会。上述组织还提供注册会计师和内部审计师的培训。企业内部培训、在机构不同部门工作的经验，以及查阅当前关于审计和银行业的文献，也是保持和提高审计技巧的方法。(二)内部审计师在企业中的地位内部审计师的要紧作用是，独立且客观地复核及评价企业的活动，以维持或改善企业风险治理、内部操纵及公司治理的效益与效率。内部审计师必须了解企业的策略方向、目标、产品、服务和程序。审计师应将相关结果向董事会或其下属的审计委员会以及高级治理层报告。内部审计师必须保持客观和独立。这意味着内部审计可向高级治理层或审计委员会报告，内部审计师不必担心因提交不利的报告而受到指责。对内部审计的任何约束，比如他们无法看到操纵系统的各方面，差不多上对他们工作的限制，这可能暗示治理层试图掩盖矛盾。内部审计师应被同意直接与外聘审计师沟通，对此所作的任何限制，也可能印证治理层试图隐瞒某些情况。(三)内部审计师的职能范围外聘审计师应被同意不受限制地使用企业的账簿记录或进入操纵系统。关于内部审计部门所作的任何报告和建议，均应采取相应行动，或者治理层应讲明尚未针对报告采取行动的缘故。内部审计的目的有若干个，包括评价会计、运营及行政操纵的可靠性、、充分性及有效性;确保银行的内部操纵能使交易得以迅速及正确地记录，正确地爱护资产;确定公司是否遵循了法律法规及其自身制定的政策;治理层是否采取了适当的步骤，来应对操纵的不足。越来越多的内部审计师为企业增加新产品或服务提供建设性的商业建议。他们还关心企业制定及修订新的政策、程序、做法。而且，内部审计师常常在兼并、收购和转型活动中发挥作用。此类作用包括关心董事会和治理层评价在收购打算及实施过程中的安全措施及操纵，包括适当的文件记录及审计痕迹。内部审计部门的工作应进行适当的规划，并被复核和记录。\缺乏文件记录，可能表明尚未执行内部审计工作，或者所执行的工作低于所要求的水平。因此，对此进行复核，将确保巳编制了充分的工作底稿，同时工作打算反映了应执行的审汁工作。(四)内部审计报告内部审计完成后，最后一项工作即编制审计报告。尽管审计报告没有规定格式，然而，应包含若干不同的部分。报告长度与业务性质有专门大关系。通常审计报告包括工作目标、审计师已实施的程序概述、审计意见及建议。审计工作的目标为报告使用者讲明了复核的目的。审计师已实施的程序概述，、讲明了审计师如何收集和整理能够支持其所发表的意见及所提出的建议的证据。审计意见对同意复核的内部操纵的有效性进行总结。最后，审计师的建议突出讲明了操纵上的不足之处，并提出改进措施的建议。内部审计报告应使董事会及治理层了解要紧业务部门、一般部门的活动是否遵守了政策和程序，经营程序和内部操纵是否有效，以及公司是否差不多或必须采取哪些纠正措施。内部审计人员必须向适当的各方报告审计结果并提出建议，并尽可能在相关工作完成后公布报告。审计丁作底稿应充分记录和支持审计报告。应对内部审计报告的结构进行设计，以满足企业内部审计职能及被审计领域的需要。审计报告通常包括要紧经营成果的简明汇总及结论、审计范畴和目标、审计结果(包括任何汇总表的评级)以及建议(包括将取得的收益以及治理层作出纠正重大缺陷的承诺)。完成审计后，内部审计师首先会与部门经理会面，审核内部审计报告草稿，更正任何不精确的信息，井就治理层的承诺和行动达成一致。然后，将内部审计报告终稿提交给有责任且有权力按照建议执行任何纠正举措的治理人员。之后，应进一步跟进，使内部审计师能够确定如何部署任何商定的举措，并将以后审计活动的重点放在新的领域中。审计师应及时跟进，并将结果向董事会或其下属的审计委员会报告。跟进活动一般首先获得审核治理层的反应，然后确认纠正措施是及时且有效的。(五)内部审计的外包越来越多的企业请独立的会计师事务所或其他外部专业人士来实施一般应由内部审计师执行的工作。如此的安排常常被称为"内部审计的外包"、"内部审计援助"、"审计整合"、"审计合作"或"扩展审计服务"。就任何外包安排来讲，企业应指定一名保持独立性的雇员(一般是内部审计师或内部审计经理或总监)，负责治理与外包企业的关系。企业一般签订内部审计外包协议，通过聘用服务提供商，协助缺乏工作所需的专门技术的内部审计人员，来提高运营或财务效率。此类工作常常是涉及专门领域的，比如信息技术和信托。服务提供商通常仅为具体领域执行商定程序，并将结果直接向企业的内部审计经理报告。另外，某些外部服务提供商执行完全的内部审计。企业仅有的内部审计人员可能是一名审计经理。服务提供商通常协助董事会和审计经理，确定在业务期间内待复核的重要风险，向内部审计师就审计程序提出建议并实施审计程序，以及与内部审计师一起向董事会或其下属的审计委员会报告重大结果。五、审计委员会与外聘审计师审计委员会应承担就任命、重新任命或解聘外聘审计师向董事会提出建议的要紧责任，监督新审计师的选择过程，批准外聘审计师的业务条款及审计服务的酬劳。审计委员会应复核审计师的审计工作范畴，并确信该审计范畴是充分的，并确保于每次年审开始之时巳为审计制订了适当的打算。审计委员会执行审计工作完成后的复核。审计委员会订立了年度程序，以确保外聘审计师的独立性和客观性。审计委员会确信本企业未雇用审计小组成员的家庭成员，审计师及其职员与本企业无财务、雇佣、投资或业务关系。另外，审计委员会还从审计师猎取信息，以维捋独立性及对相关专业规定的遵守情况进行监察，包括关于轮换审计合伙人。审计委员会与董事会达成一致，对企业关于雇用外聘会计师事务所原雇员的政策进行监察。审计委员会应监察有多少外聘会计师事务所原雇员现在在本企业担任高级职务。假如这是恰当的，应结合情况考虑这是否损害了审计师在本次审计中应保持的独立性。审计委员会还应为企业制定关于由外聘审计师提供非审计服务的政策，并向董事会提出相关建议。提供非审计服务时，不得损害审计师的独立性或客观性。审计委员会应制定一项政策，明确外聘审计师不得提供的服务类型，同时讲明外聘审计师能够提供的无需请示审计委员会的服务。六、向股东报告内部操纵企业董事会应维持完善的内部操纵系统以爱护股东投资及公司资产安全，并将企业业绩及内部操尽情况告知股东。股东是企业的所有者，因此，他们有权知悉内部操纵系统是否充分，是否足以保障他们的投资。董事会如要为股东提供其所需的保证，则应对集团内部操纵系统的有效性展开复核，并至少每年向股东汇报一次。为了向股东汇报而执行的复核应涉及所有重大操纵，包括财务、运营和合规操纵以及风险治理系统。此外，年报亦应为股东提供有关审计委员会的工作信息。审计委员会主席应出席年度股东大会，并回答股东提出的关于审计委员会工作方面的问题。企业治理层必须就企业实施的内部操纵进行汇报。董事会无法亲自实施所有的复核工作，因此，需授权给审计委员会和内部审计部门。总之，审计和报告工作包括已识不和记录的操纵，己核查的文件记录、重大不足，差不多测试的操纵及书面讲明。第四节内部操纵与公司治理一、公司治理制度和原则公司治理是指在合法、合理、可持续性的基础上实现股东价值最大化，同时确保公平对待每一个利益相关者一一该公司的客户、职员、投资者、供应方合作伙伴、土地治理部门和社区等。因此，公司治理反映了企业的文化、政策、如何处理利益相关者之间的关系及其价值观。良好的公司治理有一些重要的目标。它通过制造能够激励治理层最大化投资酬劳率、提高经营效率和确保产量长期增长的环境来提高企业业绩。因此，这类企业会吸引全球最优秀的人才。它还通过制造职员、治理层和董事会之间的经营活动中的公平、透明度和问责制来确保企业顺应投资者和社会的利益。长期生存是一个企业成功的重要指标，而良好的治理为企业长期生存和成长提供了必要环境。企业的成长需要投资。良好的企业治理提高了公众对企业的信心，降低了投资的资本成本。当今，全球资本差不多没有国界的限制，能够自由流淌。所有国家，包括发达国家和进展中国家之间存在着激烈的竞争，以吸引全球的企业家来制造高质量、高收入的就业机会。这些企业家需要大量的资本流入。他们认识到，一个有效的治理模式能够更好地吸引投资。(一)差不多的公司治理原则1.奠定治理和监督的坚实基础奠定治理和监督的坚实基础的方法之一是确认并公布董事会和治理层各自的作用和责任。换句话讲，该公司框架的设计应使董事会能够为企业提供战略指导，并对治理层进行有效的监督，明确董事会成员和高管各自的作用和责任，以促进董事会和治理层关于公司及其股东承担责任，并确保权力的平衡，幸免个人权力不受约束。为了奠定治理和监督的坚实基础，应该规范和披露董事会及治理层的职能。(1)董事会和治理层的作用。董事会应该以书面形式明确董事会与治理层之间的权责分工，即董事会保留的职能和其授权治理层代其执行的职能。董事会保留和授权治理层的事项的性质必定取决于企业的规模、复杂程度和所有权结构，以至其传统和企业文化。披露职责分工有助于那些受公司决策阻碍的人更好地了解特定公司董事会和治理层各自的责任和贡献。这种理解能够得到进一步加强，例如披露包括关于主席、要紧独立董事及行政总裁之间的责任平衡的解释。应当适当定期审查责任平衡，确保职能分工适合于公司的需要。董事会通常负责监督公司，包括企业操纵和问责机制，任免首席执行官(或相应职位)，批准任免财务总监(或相应职位)，最终批准治理层关于企业的进展战略和业绩目标，审查和批准风险治理系统以及内部遵循和操纵，行为守则和法律的遵守情况，监测高管的业绩和战略的执行情况，并确保他ι们得到适当的资掘，审批和监督要紧资本支出，资本治理，并购及资产剥离的过程，审批和监督财务和其他报告。(2)董事及高级治理人员个人责任的分配。董事及高级治理人员清晰地理解企业对他们的期望是适当的。为此，正式的董事任命书列明了特不有用的关键条款和情况。同样，首席执行官和财务总监也应该有一个正式的职责讲明和任命函，以讲明他们的任期、职责、权利和责任，并有权终止其职务。2.设计董事会的结构以增加价值设计一个有效率、规模适当和信守承诺的董事会能够使其充分履行职责和义务。一个有效的董事会有利于履行法律给予董事的职责，并增加企业价值。这就要求按照上述的方式来设计董事会，使它能够正确理解和解决企业中现有和新出现的问题，能够有效地审查和挑战治理层的业绩和行使独立的推断。董事是由股东选出的，然而董事会及其代表在选择候选人时发挥着重要的作用。(1)独立董事。近几年公司治理实践方面最重要的变化之一确实是董事会的独立问题d独立性之因此关键，是因为它能够确保董事会在为利益相关者的最佳利益行动时保持足够的客观性。此外，独立性在确保董事会能够行使其监督或治理的首要责任方面(而不是过分参与企业的日常治理工作)起着关键的作用。由于采取了这些方针，许多企业差不多采取行动，以确保大部分董事能够将重要的客观性和外部观点带入良好的公司治理。许多企业的大多数董事会成员是独立的，并进行良好的公司治理实践。董事会中大部分成员应当是独立董事。独立董事是独立于治理层，不具有任何可能会大大干扰或能够合理地认为有重大干扰的关系，从而能够不受约束地进行独立推断。董事会应依照董事们披露的利益定期评估每个董事的独立性。为了能够做到这一点，每个独立董事应当向董事会报告所有相关信息。应在年度报告的公司治理部分中披露独立董事的有关情况。此外，每名董事的任期关于独立性的评估也是特不重要的。董事会应在年度报告中的公司治理部分披露每个董事的任期。独立董事的变动，也应当立即向市场披露。(2)独立决策。所有董事都应该在决策中进行独立推断。为推动这项工作，应该制定一个为董事会提供独立的专业意见的程序。非执行董事应考虑没有治理层的情况下进行商量的好处。他们的讨论可供主席或者独立董事们参考。企业独立决策的另一方面在于考虑相关的利益和关系时，需要考虑家庭关系和交叉董事关系，因为这有可能损害独立性，并应由董事向董事会披露。(3)董事长的作用。董事长负责领导董事会，以便有效地组织和行使董事会的职能，并通报董事会会议中产生的所有有关董事的问题。董事长能够促进所有董事的有效贡献，并促进董事会成员之间以及董事会和治理层之间的建设性和相互尊重的关系。这意味着董事长应当同意同时在必要时制定董事会的议程，确保定期进行董事会议。董事长应当确保董事在董事会议召开前获得相关信息，使他们在进行讨论和作出决策前就能够充分了解待议事项的全部情况。此外，董事长的角色还应扩展至配合非执行董事的丁.作，并促进执行董事与非执行董事之间建立良好的关系。董事长需要对企业领导的责任进行明确的分工。董事民和首席执行官之间的分工应通过董事会的同意，并记录在一份职责声明中。首席执行官不应该兼任同一家公司的董事长。关于投资者及其他外部的利益相关者或托付人，董事长是公司的代表。他常为企业建立"公众形象特不是当企业必须公开为自己进行辩解的时候c与此相关的是，董事长的角色还包括与股东的沟通。这种沟通是以法定的年报形式进行的。在许多管辖权内，董事长必须每年在年度股东大会和股东特不大会上以主席声明的形式向股东致函。(4)提名委员会的目的。特不是在大公司，提名委员会是对选拔任用符合企业需要的人才进行详细检查的有效机制。提名委员会的存在不应当被看作是分散或减少了董事会作为一个整体的责任。(5)董事的胜任能力。假如董事会能够胜任其使命，企业的业绩将会得到提升ζ，关于董事会成员的技能、经验和专业知识的评估有利于推举将要任命的候选人。这种评估能够识不特定的技能、经验和专业知识。提名委员会应考虑制定和实施一项打算来识不、评估和加强董事的胜任能力。提名委员会也应考虑继任打算是否有利于董事会成员的技能、经验和专业知识能够保持适当的平衡。(6)构成和承诺。董事会的规模和构成有利于在公司整体而不是单个股东或利益集团的情况下迅速进行决策。董事会的规模应只限于鼓舞有效的决策。同样重要的是，个不董事会成员在分配给他们的重要任务上面花费了必要的时刻。在此背景下，应考虑所有董事的数量和性质，并要求他们承诺投入充足的精力和时刻以履行其董事职责。3.促进道德和负责任的决策良好的公司治理最终需要诚信的人员。每个企业应该确定自己的政策，以阻碍董事和关键治理人员的适当行为。行为守则是一种引导董事及要紧治理人员的有效方式，并能够表明对企业的道德承诺。企业可建立一套行为守则，以指导董事、首席执行宫(或相应职务)、首席财务官(或相应职务)及任何其他关键治理人员的行为。假如企业明确声明董事和关键治理人员能够遵守行为守则，投资者的信心就会得到增强。此外，企业还能够披露董事、经理和职员对公司证券进行交易的政策。假如没有充分了解企业在这方面的政策，公众对该企业的信心就会下降。这项政策的目的是防止拥有内幕信息的人员，包括董事、首席执行官(或相应职位)、首席财务官(或相应职位)、工作人员等利用拥有内幕信息对公司证券进行交易(..内幕信息"是有关企业的财务状况、战略或行动等假如一经公开就可能会严峻阻碍公司证券价格的信息。企业应考虑采取适当的遵守标准和程序，以促进实施上述的政策，并建立内部审查机制，以评估遵循