第二節 COSO內部控制內容的實踐

　　COSO內部控制框架的五個要素包括:控制環境、風險評估、控制活動、信息與溝通、監察。

　　一、控制環境

　　控制環境是其他內部控制因素的根基。控制環境因素包括人員的道德觀和勝任能力、董事會提供的指示和管理的效率。控制環境應包括堅守誠信及高尚的道德觀。就此而言，高級管理層必須把企業的價值觀和行為守則向雇員明確傳達。對違反行為守則的人員作出適當的處罰，是確保他們遵循行為守則并將其融入企業文化的重要一環

　　激勵及誘惑是破壞深厚道德文化的可能誘因。前者包括施加壓力以實現不切實際的業績目標(特別是短期業績)及與業績掛鉤的豐厚報酬。后者包括無效的控制(例如在敏感的領域職責劃分不清)、薄弱的內部審計職能、未能察覺及報告不當行為，以及無法對高級管理者進行客觀的監督的低效率董事會。

　　控制環境還包括其他方面。例如，管理層應說明每項工作所需的才能水平，并具體地指出滿足工作必需的知識及技能。此外，董事會必須具備管理能力、專業技術及其他專長，還必須擁有履行策略和監督職能的才干及思維。董事會成員必須客觀、積極地問詢管理層的活動。董事會中的審計委員會成員亦應富有經驗、符合資格、獨立且積極。

　　此外，管理層應當確立報告關系及授權協定。其中主要的挑戰在于下放權責，但要限于實現目標所需的程度。另一項重要挑戰是，要確保所有人員明白企業的目標。控制環境在很大程度上取決于個人對其將負有多大責任的了解。企業需要優化組織結構，以便為實現目標而制定的策略能得以最有效地執行。

　　以下所列是控制環境因素的范圍:

　　(一)誠信和道德觀

　　企業領導者必須創造一種除了財富之外還重視聲譽的價值觀氛圍。這樣能夠確保更好地留住員工，實現更高的銷售收入和利潤，創造更好的市值和更多的報酬。

　　誠信和道德觀是企業控制環境的重要因素。如果企業已經制定了嚴格的商業行為守則，該守則強調誠信和道德觀，并且所有的利益相關者都遵循了這一守則，那么，這意味著該組織已擁有一流的道德觀。當今，行為守則是公司治理的重要組成部分。但是，即便企業制定了一份嚴格的行為守則，如果雇員不是故意瀆職，而僅僅因為不了解該守則，也會違反守則的原則。在多數情況下，雇員可能不知道他們正在做的事情是錯誤的，或者可能錯誤地認為他們的行動符合企業的最佳利益。這種錯誤常常是由于高級管理層缺乏道德指南造成的，而不是雇員帶有欺騙的意圖。企業的政策和價值觀雖然常常嵌在行為守則中，但也必須向企業內的各級人員傳達。任何企業內都可能存在"害群之馬但是嚴格的政策和以身作則的適當行動，能夠促使員工采取正確行動。在對特定領域進行獨立復核時，審計師或管理者應始終確定恰當的信息或信號己在企業內傳達。

　　所有的管理者及其他股東都應該對其所在企業的行為守則及其應用和傳達方式有充分的了解。如果行為守則已經過時，那么它就不能解決企業面臨的道德方面的重要問題•如果公司管理者未能反復向所有利益相關者傳達行為守則，那么它可能成為企業內部控制的一個重大不足。

　　即使行為守則描述了企業道德行為的規則，而且管理層的資深成員可能已定期傳達了恰當的道德信息，但其他的激勵和誘惑也可能破壞整個內部控制環境。如果企業存在促使雇員采取某些行動的巨大激勵或誘惑，則員工很可能受到誘惑，作出不誠實、不合法或不道德的舉動。例如，一家企業可能設立了過高的不切實際的銷售或生產指標。達成這些業績目標后能獲得豐厚報酬，或者更糟糕的是，不能實現目標就要面臨巨大的威脅，因而雇員會進行可疑操作，或記錄虛假的賬目交易，以實現這些目標。促使利益相關者編制不當的會計記錄或作出類似舉動的誘惑包括，缺乏控制或控制無效(比如，在敏感的領域職責劃分不清)，權力高度分散導致最高管理層對企業內的低級別人員所采取的行動毫不知情，從而使其被發現的機會減少，薄弱的管理職能既沒有能力也沒有權力偵查和報告不當行為。對于不當行為的處罰如不嚴厲或未公開，則無法起到威懾作用。

　　(二)用人唯才的承諾

　　如果大量崗位被缺乏必要崗位技能的人員所占據，那么企業的控制環境很可能會被嚴重破壞。管理者會不時地遇到如下情形:被分配了某項具體工作的人員看起來不具備完成這項工作所需的適當技能、訓練或智慧。由于每個人的技能和才干水平不同，應提供充足的監督和培訓，以幫助雇員獲得適當的技能。

　　企業應說明各種工作所需的才能水平，并將其具體化為必需的知識及技能。企業用人唯才的承諾可以通過為適當的人才分派適當的工作，并在必要時提供充分的培訓的方式來實現。用人唯才的承諾是企業整體控制環境的重要因素。管理者常常發現，對于職位描述是否充分，為適當的人才安排適當的工作的程序是否運轉正常，以及培訓和監督是否充分進行評估是具有重要價值的。

　　作為控制環境的一個重要部分，對員工的才能作出客觀中肯的評價是比較困難的。雖然許多人力資掘部門通常都會制定詳細的評級和評價機制，但是，員工常常都會被評為"高于平均水平"。就各級員工而言，管理層應切實地評估他們是否能勝任所分配的工作，以及是否能為實現整體組織目標付出努力。

　　(三)董事會和審計委員會

　　控制環境在很大程度上受董事會和審計委員會的行為影響。以往，董事會和審計委員會常常被高級管理層控制只有有限的少數代表來自外部股東。這導致董事會不能完全獨立于管理層。公司管理人員在董事會任職，實際上形成了自我管理的局面，而且，與管理者個人利益相比，他們對外部股東的關注常常較少。隨著時間的推移和相關法律法規的出臺，上述情況得以改善。現在的董事會承擔著更為重要的公司治理的職責，審計委員會必須由獨立的外部董事組成。

　　積極且獨立的董事會也是企業的控制環境的主要組成部分。董事會成員應向最高管理層提出適當的問題，并對企業的各個方面進行細致的審查。通過制定高水準的政策和審查整體業務的行為，董事會及其審計委員會對確定"企業領導層的基調"承擔最終責任。

　　(四)管理哲學和經營風格