COSO內(nèi)部控制框架介紹(共37頁).doc

1、COSO內(nèi)部控制框架2007-11-16 15:30一、背景介紹內(nèi)部控制是什么?不同的人有不同的理解。 一般的人把內(nèi)部控制理解為組織為了減少決策失誤和工作缺陷而實施的控制,這些控制可能是內(nèi)部監(jiān)督、也可能是管理手冊、規(guī)章制度等。這種理解沒有錯，但不全面。按照現(xiàn)代的內(nèi)控理論，這些僅僅是內(nèi)部控制的一部分，而不是全部?，F(xiàn)代內(nèi)控理論認為，內(nèi)部控制是一個系統(tǒng)化的框架，它建立在風險管理的基礎上，包括內(nèi)控環(huán)境、風險分析、內(nèi)控活動、信息與溝通、監(jiān)督五大要素。（一）COSO內(nèi)部控制框架的產(chǎn)生和發(fā)展過程內(nèi)部控制理論的發(fā)展是一個逐步演變的過程，大致可以區(qū)分為內(nèi)部牽制、內(nèi)部控制制度、內(nèi)部控制結(jié)構(gòu)與內(nèi)部控制整體框架四個階

2、段。在內(nèi)部牽制階段，賬目間的相互核對是內(nèi)控的主要內(nèi)容，設定崗位分離是內(nèi)控的主要方式，這在早期被認為是確保所有賬目正確無誤的一種理想控制方法；在內(nèi)部控制制度階段，內(nèi)部控制的重點是建立健全規(guī)章制度；在內(nèi)部控制結(jié)構(gòu)階段，內(nèi)部控制被認為是為合理保證企業(yè)特定目標的實現(xiàn)而建立的各種政策和程序，分為內(nèi)控環(huán)境、會計制度和控制程序三個方面；內(nèi)部控制整體框架階段，就是我們下面將要討論的COSO內(nèi)部控制框架。在美國，20世紀70年代中期，與內(nèi)部控制有關的活動大部分集中在制度的設計和審計方面，重在改進內(nèi)部控制制度和方法。1973年至1976年對水門事件（美國公司進行違法的國內(nèi)捐款和賄賂外國政府官員）的調(diào)查使得立法機關

3、與行政機關開始注意到內(nèi)部控制問題。針對調(diào)查的結(jié)果，美國國會于1979年通過了反國外賄賂法（簡稱FCPA）。FCPA除了規(guī)定了關于反賄賂的條款外，還規(guī)定了與會計及內(nèi)部控制有關的條款。因此美國許多機構(gòu)都加強了對內(nèi)部控制的研究并提出許多建議。1985年，由美國注冊會計師協(xié)會、會計協(xié)會、財務主管協(xié)會、內(nèi)部審計師協(xié)會、管理會計師協(xié)會聯(lián)合創(chuàng)建了反虛假財務報告委員會，該委員會旨在探討財務報告中的舞弊產(chǎn)生的原因，并尋找解決措施。兩年后，該委員會提出了很多有價值的建議?；谠撐瘑T會的建議，其贊助機構(gòu)成立COSO委員會，專門研究內(nèi)部控制問題。1992年9月，COSO委員會提出了報告內(nèi)部控制整體框架（1994年進行

4、了增補）， 即COSO內(nèi)部控制框架。COSO內(nèi)控框架的提出標志著內(nèi)部控制理論發(fā)展到新的階段，對企業(yè)完善和優(yōu)化內(nèi)部控制、增強風險防范能力具有十分重要的意義。COSO內(nèi)部控制框架之所以被廣泛地選擇作為構(gòu)建和完善內(nèi)部控制體系的標準，是因為：雖然COSO內(nèi)部控制框架并非唯一的內(nèi)部控制框架，但卻是美國證券交易委員會唯一推薦使用的內(nèi)部控制框架，薩班斯法案第 404 條款的最終細則也明確表明 COSO內(nèi)部控制框架可以作為評估企業(yè)內(nèi)部控制的標準。股份公司作為紐約證交所上市公司，需要按照法案要求，引進COSO內(nèi)部控制框架，整合現(xiàn)有內(nèi)部控制，滿足法案的要求。同時，對股份公司來說，這也是梳理管理流程、規(guī)范管理、提升

5、整體管理水平的契機。COSO內(nèi)部控制框架是一個較為理想的框架，幾乎所有公司的內(nèi)部控制均與之有一定差距，美國各大公司也正在為此而努力，雖然這必然加大企業(yè)負擔，但多數(shù)公司同股份公司一樣，希望通過理解和貫徹COSO內(nèi)部控制框架要求，來實現(xiàn)提升管理水平的目的。（二）XXX目前的內(nèi)部控制體系與COSO內(nèi)部控制框架的差距目前，股份公司通過多年的管理實踐和積累，已經(jīng)建立了一套針對XX行業(yè)的行之有效的內(nèi)控體系，但與COSO內(nèi)部控制框架的要求相比還存在一些距離。這些差距主要體現(xiàn)在：內(nèi)部控制體系的整體框架、內(nèi)控環(huán)境、風險評估等理念尚未被廣泛接受、內(nèi)部控制的文檔記錄還不夠系統(tǒng)規(guī)范、缺乏自我評估機制等。 “他山之石，

6、可以攻玉”，COSO內(nèi)控框架對于我們加強企業(yè)內(nèi)部控制具有一定的啟發(fā)和借鑒意義。為此，我們需要認真學習COSO內(nèi)部控制框架理論，充分認識和理解COSO內(nèi)部控制框架，并在實際經(jīng)營管理中積極實踐，大力貫徹和實施，從而優(yōu)化內(nèi)部控制，完善內(nèi)控體系，全面提升公司管理水平。二、COSO內(nèi)部控制框架下內(nèi)控制度定義（一）COSO內(nèi)控框架對內(nèi)部控制的定義COSO內(nèi)部控制框架認為，內(nèi)部控制是受企業(yè)董事會、管理層和其他人員影響，為經(jīng)營的效率效果、財務報告的可靠性、相關法規(guī)的遵循性等目標的實現(xiàn)而提供合理保證的過程。（二）對內(nèi)部控制定義的理解應該從以下幾個方面理解內(nèi)部控制的定義：第一，內(nèi)部控制是一個“過程”，而且是一個動

7、態(tài)的過程。企業(yè)的經(jīng)營活動是永不停止的，企業(yè)的內(nèi)部控制過程也因此不會停止，它是一個發(fā)現(xiàn)問題、解決問題、發(fā)現(xiàn)新問題、解決新問題的循環(huán)往復的過程。內(nèi)部控制應該與企業(yè)的經(jīng)營管理過程相結(jié)合，而不是凌駕于企業(yè)的基本活動之上，它促使經(jīng)營達到預期的效果，并監(jiān)督企業(yè)經(jīng)營過程的持續(xù)有效進行。第二，內(nèi)部控制受到“人”的因素的影響，它并不僅僅是政策手冊和表格，不僅僅是管理人員、內(nèi)部審計或董事會，而是組織中的每一個人，每一個人都對內(nèi)部控制負有責任并受到內(nèi)部控制的影響；是“人”建立企業(yè)的目標，并將控制機制賦予實施。確立這種觀念有利于企業(yè)的所有員工明確自己的責任和權(quán)限，主動地維護及改善企業(yè)的內(nèi)部控制。第三，內(nèi)部控制無論設計

8、和運行得多么完善，也只能為企業(yè)的管理層和董事會提供合理的保證，而不是絕對保證，因為內(nèi)部控制本身具有局限性。最后，內(nèi)控框架將內(nèi)部控制目標分為三類：與營運有關的目標即經(jīng)營的效率與效果、與財務報告有關的目標即財務報告的可靠性、以及與法規(guī)的遵循性有關的目標。上述分類讓我們專注于內(nèi)部控制的各個方面，這些相互有別，相互交叉的分類滿足不同的需要，并且表明了不同的執(zhí)行人員的直接責任。（三） COSO內(nèi)部控制框架的組成要素COSO內(nèi)部控制框架認為，內(nèi)部控制系統(tǒng)是由內(nèi)控環(huán)境、風險評估、內(nèi)控活動、信息與溝通、監(jiān)督五要素組成，它們?nèi)Q于管理層經(jīng)營企業(yè)的方式，并融入管理過程本身，其相互關系可以用下面模型表示。l 內(nèi)控環(huán)

9、境內(nèi)控環(huán)境是企業(yè)的基調(diào)、氛圍，直接影響企業(yè)員工的控制意識。內(nèi)控環(huán)境要素是推動企業(yè)發(fā)展的發(fā)動機，也是其他一切要素的核心，包括員工的誠信、職業(yè)道德和工作勝任能力；管理層的經(jīng)營理念和經(jīng)營風格；董事會或?qū)徲嬑瘑T會的監(jiān)管和指導力度；企業(yè)的權(quán)責分配方法和人力資源政策?？梢哉f人及其人進行的活動是任何企業(yè)的核心，是構(gòu)成內(nèi)控環(huán)境的重要要素，又與環(huán)境相互影響、相互作用。l 風險評估風險評估是識別、分析相關風險以實現(xiàn)既定目標，是風險管理的基礎。每個企業(yè)都面臨著諸多來自內(nèi)部和外部的風險，影響企業(yè)既定目標的實現(xiàn)。因此必須設立一個機制來識別、分析和管理影響目標實現(xiàn)的相關風險，并適時加以管理。l 內(nèi)控活動內(nèi)控活動指那些有助

10、于管理層決策順利實施的政策和程序，是針對風險采取的控制措施。它們包括諸如批準、授權(quán)、查證、核對、復核經(jīng)營業(yè)績、資產(chǎn)保護和職責分工等活動。l 信息與溝通是指企業(yè)經(jīng)營管理所需信息必須被識別、獲得并以一定形式及時傳遞，以便員工履行職責。信息不僅包括內(nèi)部產(chǎn)生的信息，還包括與企業(yè)經(jīng)營決策和對外報告相關的外部信息。暢通的溝通渠道和機制使企業(yè)的員工能及時取得他們在執(zhí)行、管理和控制企業(yè)經(jīng)營過程中所需的信息，并交換這些信息。l 監(jiān)督是對內(nèi)部控制系統(tǒng)有效性進行評估的過程，可以通過持續(xù) 性監(jiān)督、獨立評估或兩者的結(jié)合來實現(xiàn)對內(nèi)控系統(tǒng)的監(jiān)督。內(nèi)控體系五要素之間的關系我們可以理解為：企業(yè)的核心是人，人的誠信、道德價值觀和

11、勝任能力構(gòu)成了企業(yè)的內(nèi)控環(huán)境，這是企業(yè)發(fā)展的基礎。每個企業(yè)都有自己的發(fā)展目標，為了目標的實現(xiàn)，必須分析影響因素，即進行風險評估。針對風險評估的結(jié)果需要采取相應的內(nèi)控活動來控制和減少風險。同時與內(nèi)控環(huán)境、風險評估和內(nèi)控活動相關的信息應及時被獲取、加工整理，并在企業(yè)內(nèi)部傳遞，這就是信息與溝通，信息與溝通系統(tǒng)圍繞在內(nèi)控活動周圍，反映企業(yè)各項管理活動的運轉(zhuǎn)情況。為了保證內(nèi)控體系的正常運轉(zhuǎn)，還需要對整個內(nèi)控過程進行監(jiān)督。內(nèi)部控制五要素之間的配合和聯(lián)系，組成了一個完整的系統(tǒng)，可以靈活地隨條件變化而變化。但各要素之間并非是一項要素影響下一項要素的順序過程，任一要素都可以影響其他要素，例如對風險的評估不僅僅影

12、響內(nèi)控活動，還可能影響信息和溝通、監(jiān)督行為等。COSO內(nèi)部控制框架適用于各類企業(yè)，但是中小企業(yè)對其應用可能不同于大型企業(yè)，中小企業(yè)的內(nèi)部控制可能不及大型企業(yè)正式、組織性強，但也可以是有效的。對此，本次培訓以大型公司為例，未考慮中小公司的差異。三、COSO內(nèi)部控制框架五要素（一）內(nèi)控環(huán)境內(nèi)控環(huán)境是其他控制要素的基礎。內(nèi)控環(huán)境因素包括：員工的誠信和道德價值觀；員工的勝任能力；董事會和審計委員會；管理層的經(jīng)營理念和經(jīng)營風格；組織結(jié)構(gòu)；管理層授權(quán)和職責分工、人力資源政策和措施。下面討論各項因素的具體內(nèi)容。1、員工的誠信和道德價值觀內(nèi)部控制是由人建立、執(zhí)行和維護的，人是內(nèi)部控制有效運行的根本因素。人的道

13、德價值觀影響著人的行為。企業(yè)員工具有良好的道德標準并形成良好的道德氛圍，對控制系統(tǒng)的有效運行非常重要，也有助于防范那些內(nèi)控系統(tǒng)難以控制的行為。員工的誠信和道德價值觀是指員工行為的準則，是告訴員工什么行為可接受、什么行為不可接受、以及遇到不正當行為應該采取的行動。主要包括以下內(nèi)容：1） 利益沖突   每一個員工都有責任將公司利益放在第一位，避免私人利益與公司利益的沖突。2） 合法性   公司要承諾在進行業(yè)務時是抱著誠實和誠信原則，并遵循所有適用的法律和規(guī)章制度。3） 及時向指定人員報告或檢舉揭發(fā)違規(guī)事項    員工有義務對所發(fā)

14、現(xiàn)的關于會計、內(nèi)部控制或?qū)徲嫷鹊倪`反法律、規(guī)章制度或行為準則的問題，向道德規(guī)范委員會報告，或向披露委員會或?qū)徲嬑瘑T會匯報。發(fā)現(xiàn)任何高級管理人員違反法律、規(guī)章制度或行為準則，應迅速向道德規(guī)范委員會等相關機構(gòu)報告。對檢舉人應當建立保密制度，包括匿名保護。4） 遵守道德準則的責任   明確員工必須遵守道德準則。對違反準則的人員建立懲罰機制，甚至解雇或免職。5） 公司機遇    禁止員工通過利用公司財產(chǎn)、信息或職位為自己或其他人牟取商業(yè)機遇。6） 保密    機密信息是一間公司最重要的資產(chǎn)之一。公司建立相應政策保護機密信息

15、，包括（a）屬于公司商業(yè)性機密信息（b）屬于非披露協(xié)議下信息。每一個員工在入職后應執(zhí)行保密協(xié)議和保護公司知識產(chǎn)權(quán)。員工即使在終止雇傭之后，仍然有義務保護公司的機密信息。7） 公平交易    每一個員工都應該努力去公平對待顧客、供應商、競爭者、公眾，并遵循商業(yè)道德規(guī)范。為了獲得或維持業(yè)務而進行賄賂、回扣或其他誘惑等都是不允許的。與業(yè)務相關，偶爾贈送非政府雇員的價值較低的商業(yè)禮物的做法是可以接受的。但未得到道德委員會事先批準的情況下，贈送禮物或款待政府雇員是不允許的。員工代表公司購買商品應遵循公司的采購政策。8） 公司資產(chǎn)的保護及恰當使用  

16、60; 每一個員工必須保護公司資產(chǎn)，包括實物資源、資產(chǎn)、所有權(quán)、機密信息，排除損失、失竊或誤用。任何懷疑的損失、誤用或失竊都應該報告給經(jīng)理或法律部門。 公司資產(chǎn)必須用于公司業(yè)務，符合公司政策。9） 全面、公正、正確、及時地理解財務報告及其披露事項 因為公司必須提供完整、公正、及時和可理解的披露報告及文件，并存檔或呈交給證監(jiān)會以及公共傳媒，所以每一個員工都有責任保證會計記錄的準確性。管理層必須建立和保持適當?shù)膬?nèi)控，遵循公司已有的會計準則和流程，保證交易記錄的完整和準確。禁止干擾或不正當?shù)挠绊懝矩攧請蟊韺徲?。要求證實會計記錄和報表受控，能夠保證準確性，包括提供給審計和定期向證監(jiān)會報告的義務。對于

17、企業(yè)來說，首要的工作是建立一套員工能夠接受和理解的誠信和道德標準，如道德行為手冊；其次是必須讓員工知曉和理解這些規(guī)定（例如：要求所有員工定期簽字確認），這是執(zhí)行的前提條件；最后就是貫徹執(zhí)行。在公司內(nèi)傳遞道德標準的最有效方式是管理層以身作則，員工對于內(nèi)控的態(tài)度通常會效仿他們的領導。另外，對違反準則的員工應予以相應懲罰；建立鼓勵員工揭發(fā)違規(guī)行為的機制；以及對未能匯報違規(guī)行為員工的教育培訓都具有特別重要的意義。員工個人可能由于下列因素而卷入不誠實、非法或不道德的行為：l 不切實際的業(yè)績目標，特別是短期業(yè)績的壓力（例如：為了實現(xiàn)預先設定的利潤指標而在財務報告中虛報收入）l 將獎金分配與業(yè)績掛鉤（例如：

18、錯報與業(yè)績考核指標相關的財務信息）l 內(nèi)控制度不存在或無效（例如：敏感業(yè)務區(qū)域未設立嚴格的職責分工，這為偷竊公司資產(chǎn)或隱藏不良行為提供了可能）。l 組織高度分散，可能導致高層管理人員不清楚基層的行為，缺少必要的監(jiān)管，因此，減少了基層舞弊被發(fā)現(xiàn)的機會。l 內(nèi)部審計職能薄弱，沒有及時發(fā)現(xiàn)和報告不正確的行為。 董事會缺少對高層管理人員的客觀監(jiān)管，可能導致管理人員凌駕于內(nèi)控制度。ll 管理層對不正確行為的懲罰力度不夠或不公開，從而失去了應有的威懾力。2、勝任能力勝任能力是要求員工具備完成工作任務所需的知識和技能，目的是保證員工能夠正確理解相關規(guī)定、及時恰當分析和處理業(yè)務，這是維護內(nèi)部控制有效性的必備條

19、件。為此，管理層需要設定工作崗位的知識和技能水平要求，在招聘、選用員工時作為評選的標準或條件。在設定工作所需知識和技能時，一方面要根據(jù)工作的性質(zhì)和所需的職業(yè)判斷，考慮能力需求，另一方面還應考慮人力資源成本即薪酬（例如：沒有必要雇傭一名電子工程師來換一只燈泡）。3、董事會和審計委員會董事會或?qū)徲嬑瘑T會的職能是實施治理、指導和監(jiān)督管理層的工作，如果對管理層缺乏必要的監(jiān)督，管理層可能會凌駕于控制之上，甚至故意歪曲結(jié)果，因此董事會或?qū)徲嬑瘑T會監(jiān)督作用對確保內(nèi)部控制的有效性十分重要，董事會或?qū)徲嬑瘑T會作用的發(fā)揮，必須具備以下條件：一是要獨立于管理層，不受其影響；二是具有足夠知識、行業(yè)經(jīng)驗和時間，以便于履

20、行職責；三能夠與財務、法律、內(nèi)部審計和外部審計及時溝通，得到適當信息；四是能夠控制高級管理人員的薪酬，有權(quán)聘用和解聘高級管理人員。補充說明一點，股份公司的治理結(jié)構(gòu)與國外有所不同，股份公司設置監(jiān)事會，其職能類似于國外審計委員會的職能，所以股份公司的董事會、審計委員會和監(jiān)事會都需要符合上述條件。4、管理層的經(jīng)營理念和經(jīng)營風格管理層的經(jīng)營理念和經(jīng)營風格影響企業(yè)的管理方式，包括面對各種風險的態(tài)度。管理層的經(jīng)營理念和經(jīng)營風格形成了企業(yè)文化，它既是一切業(yè)務實現(xiàn)的基礎，也為內(nèi)部控制的實施提供了平臺。它往往是企業(yè)內(nèi)部一種無形的力量，影響企業(yè)成員的思維方法和行為方式，包括企業(yè)承受營業(yè)風險的種類、整個企業(yè)的管理方

21、式、企業(yè)管理階層對法規(guī)的反應、對企業(yè)財務的重視程度以及對人力資源的政策及看法等。它們都深深地影響著內(nèi)部控制的成效。例如，有些公司管理層的經(jīng)營理念和風格較為激進，愿意承擔更高的風險以追求更高的盈利回報；而有些公司的管理層則比較保守，在風險承擔方面表現(xiàn)得較為謹慎。可以看出，不同的經(jīng)營理念和風格決定了管理層在承擔風險方面采取不同的態(tài)度和做出不同的決策。以銷售信貸政策為例，對風險承受力高的公司相比承受力低的公司，其設定的信用銷售額度更高，以期望通過更優(yōu)惠的政策吸引和保留客戶，而獲得更高的銷售額。管理層的經(jīng)營理念和經(jīng)營風格還表現(xiàn)在：管理層對財務報告的態(tài)度，在會計政策選擇方面是否謹慎，進行會計估計時是否遵

22、循審慎性原則，對待數(shù)據(jù)處理、會計職能及人事管理等方面的態(tài)度等等。5、組織結(jié)構(gòu)組織結(jié)構(gòu)是權(quán)責分工的架構(gòu)，在此架構(gòu)中規(guī)劃、執(zhí)行、控制和監(jiān)督為實現(xiàn)企業(yè)目標而進行的活動，每個企業(yè)都可根據(jù)自己的需要確定組織結(jié)構(gòu)，可以是集權(quán)型，也可以是分權(quán)型，可以是直接的報告關系，也可以是矩陣型組織結(jié)構(gòu)，可以按產(chǎn)品或行業(yè)組織，也可以按地理分布或功能組織，但不論何種組織結(jié)構(gòu)，應根據(jù)公司的業(yè)務性質(zhì)，進行適當?shù)募谢蚍稚?，確保信息的上傳、下達和在各業(yè)務間的流動，確保企業(yè)目標的實現(xiàn)。6、管理層授權(quán)和職責分工權(quán)力和責任分配是指對員工進行授權(quán)和分配責任，將企業(yè)的目標層層分解落實到每個員工的頭上，從而將員工的行為與企業(yè)目標聯(lián)系起來，增

23、強員工的自主控制意識。權(quán)力與責任分配的關鍵是權(quán)力與責任的對等。7、人力資源政策和措施人力資源政策和措施是關于員工聘用、培訓、考核、進升、薪酬等方面的政策和程序，目的是聘用和維持有能力的人員，保證公司的計劃得以實施，目標得以實現(xiàn)。因此，人力資源政策和措施應考慮如何招聘進來有能力、可信任的人員，如何進行相關培訓使員工意識到他們的工作職責和公司對他們的要求，如何通過考核、薪酬、提升等政策激勵約束員工。（二）風險評估1、風險及風險評估的定義風險是任何影響目標實現(xiàn)的因素,所有企業(yè)，無論規(guī)模、結(jié)構(gòu)和行業(yè)性質(zhì)，都面臨著風險，可以說有經(jīng)營就有風險。風險有來自企業(yè)內(nèi)部的，也有來自企業(yè)外部。為了加強對風險的控制，

24、必須進行風險評估，風險評估是指對相關風險進行識別和分析，是發(fā)現(xiàn)和分析那些影響目標實現(xiàn)的風險的過程，是確定如何管理和控制風險的基礎。風險評估的前提條件是設立目標，只有先確立了目標，管理層才能針對目標確定風險并采取必要的行動來管理風險。企業(yè)的目標可以分為公司層面目標和業(yè)務活動層面目標，公司層面目標是指公司的總目標和相關戰(zhàn)略計劃，與高層次資源的分配和優(yōu)先利用相關。業(yè)務活動層面的目標是總目標的子目標，是針對企業(yè)業(yè)務活動的更加專門化的目標。業(yè)務活動層面的目標應該清楚，易于理解，以便從事該操作的人能實現(xiàn)其目標，同時還必須是可衡量的，以便于考核。實現(xiàn)目標需要耗費資源，因此設立目標必須考慮可獲得的資源，企業(yè)應

25、該對目標進行分析，提醒自己找出與總目標不相關的操作目標，以免資源浪費，而對實現(xiàn)總目標至關重要的操作目標，則優(yōu)先安排資源。2、如何進行風險評估1）風險識別風險評估的過程首先是進行風險識別，風險識別需要考慮所有可能發(fā)生的風險，并且需要考慮企業(yè)和相關外界之間的所有重大相互影響。風險識別也是一個重復的過程，需要針對環(huán)境的變化持續(xù)進行。導致企業(yè)經(jīng)營風險的因素包括內(nèi)部和外部兩個方面：外部因素包括：l 技術發(fā)展影響研發(fā)的性質(zhì)和時機，或帶來采購的變化。（例如：出現(xiàn)新的、更高效的油氣開采技術，未掌握相關技術的公司會導致市場競爭力降低，進而影響經(jīng)營目標的實現(xiàn)）l 不斷變化的客戶需求和期望影響產(chǎn)品開發(fā)、定價。（例如

26、：納米技術的應用，客戶對產(chǎn)品的期望改變；）l 競爭影響營銷和服務活動（例如：WTO導致更多具有較高競爭力國外公司進入中國市場）。l 新的法律和法規(guī)影響經(jīng)營政策和策略（例如：薩班斯法案）。 自然災害造成損失。ll 經(jīng)濟形勢的變化等影響融資、資本支出和擴張決策。內(nèi)部因素包括： 信息系統(tǒng)運行的中斷影響經(jīng)營運轉(zhuǎn)。ll 雇員的素質(zhì)和培訓、激勵的方法影響控制理念。 管理層職責的改變影響某些實施控制的方式。ll 企業(yè)經(jīng)營活動的性質(zhì)、員工對資產(chǎn)的接觸途徑產(chǎn)生挪用。l 董事會或?qū)徲嬑瘑T會無法有效履行其職責可能為管理層輕率的行為提供機會。2）風險分析識別風險后，需要進行風險分析，分析的內(nèi)容主要有：l 估計風險的重

27、要性程度； 評估風險發(fā)生的可能性（或頻率、概率）；ll 考慮如何管理風險即評估需要采取何種措施針對風險分析的結(jié)果而采取的控制活動，管理層應仔細考慮現(xiàn)有內(nèi)控程序?qū)τ谝炎R別的風險是否合適。如果現(xiàn)有程序可能已經(jīng)足夠或只需要執(zhí)行得更好，那么就不必制定附加程序。管理層還應認識到，總會存在一些殘留風險的可能性，不僅因為資源總是有限的，還因為每個內(nèi)控系統(tǒng)都有內(nèi)在局限性。因此，管理層的一項重要工作是權(quán)衡利弊，確定能夠謹慎地接受多少風險，并盡力將風險控制在可接受的水平內(nèi)。3）應對變化經(jīng)濟形勢、行業(yè)和法規(guī)環(huán)境不斷改變，企業(yè)業(yè)務活動不斷發(fā)展。在一個環(huán)境下有效的內(nèi)部控制在另一環(huán)境下未必有效。風險評估的本質(zhì)就是一個識別

28、變化的環(huán)境并采取相應行動的過程，風險評估應持續(xù)地進行, 并且應特別關注下面的情形： 變化的經(jīng)營環(huán)境變化的法律或經(jīng)濟環(huán)境可能導致競爭壓力的增加和顯著不同的風險。ll 新的人員新來的高層管理人員的經(jīng)營風格與原先的不同。 新的或經(jīng)修訂的信息系統(tǒng)能否正常運行。ll 經(jīng)營的快速增長當經(jīng)營快速擴張，現(xiàn)有制度的局限可能導致控制失效；當程序變動或新人員增加時，現(xiàn)有的監(jiān)督可能就不能保持充分的控制。l 新技術新技術被運用到生產(chǎn)流程或信息系統(tǒng)中，內(nèi)部控制就很可能需要修改。l 新業(yè)務、產(chǎn)品、活動當企業(yè)進入新的商業(yè)領域或從事不熟悉的交易時，現(xiàn)有的控制可能就不充分了。l 公司重組公司因為收購、合并或者業(yè)務下滑、成本控制等

29、原因進行結(jié)構(gòu)重組。重組可能導致內(nèi)部裁員，職責分工的合并，或者，原來的一個重要控制崗位被取消，卻沒有相應的替代控制出現(xiàn)。很多公司重組后大量削減人員，就碰到了嚴重的控制缺陷。l 海外經(jīng)營海外經(jīng)營的擴張或收購帶來了新的和獨特的風險。例如，內(nèi)控環(huán)境可能受到當?shù)毓芾韺游幕惋L俗的影響。另外，當?shù)亟?jīng)濟和法律環(huán)境可能帶來獨特的風險因素。（三） 內(nèi)控活動內(nèi)控活動是指為確保管理層指示得以執(zhí)行的政策和程序。它有助于進行風險管理和保證企業(yè)目標的實現(xiàn)，內(nèi)控活動貫穿于企業(yè)的所有層次和部門。它們包括一系列不同的活動，如審批、授權(quán)、確認、核對、審核經(jīng)營業(yè)績、資產(chǎn)保護以及職責分工等。1、內(nèi)控活動類型：控制活動可以有不同的描述

30、方式：針對企業(yè)的不同目標，控制活動可以分為以下三個類型：即為提高經(jīng)營效率效果、增強財務報告的可靠性、遵守法規(guī)等目標的三類控制活動；根據(jù)控制活動的不同作用，控制活動又可以分為：預防性控制、檢查性控制、指導性控制、糾錯性控制、補償性控制等五種類型；根據(jù)組織中實施人員的不同，控制活動也可以分為：高層復核、指導并管理業(yè)務活動、信息處理、實物控制、業(yè)績指標分析、職責分離等。l 高層復核管理層將實際業(yè)績情況和預算相比較，將當期業(yè)績和前期相比較，將本企業(yè)的業(yè)績情況與競爭對手相比較，對企業(yè)主要行為進行追蹤，以衡量目標實現(xiàn)的程度。l 指導并管理業(yè)務活動負責整個板塊生產(chǎn)的領導，分地區(qū)公司、分產(chǎn)品類別等內(nèi)容審閱生產(chǎn)

31、業(yè)績報告，對照經(jīng)營目標，分析其中反映出的生產(chǎn)管理方面的問題，并指出需要改進的方向。l 信息處理這類控制被用于核對交易的準確性、完整性和遵循性。如：系統(tǒng)對數(shù)據(jù)錄入設定編輯復核功能，并對數(shù)據(jù)修改實行系統(tǒng)性控制；客戶訂單，只有與經(jīng)批準的客戶文件和信用額度相符，才能被接受；交易應按連的編號記賬；系統(tǒng)管理員對例外事項報告進行跟蹤調(diào)查，必要時向主管領導報告。l 資產(chǎn)保護即實物控制對設備、存貨、證券、現(xiàn)金及其他資產(chǎn)實物采取保管措施，并定期進行盤點和帳實核對。l 業(yè)績指標分析采購部門的員工分析采購價格變動、緊急采購訂單占全部訂單的比率、退貨訂單占全部訂單的比率，通過調(diào)查異常的結(jié)果和異常的變動趨勢，關注那些可能

32、影響目標實現(xiàn)的問題，并提出改進方案。l 職責分離職責在不同人員之間的分工或分離，可以降低發(fā)生錯誤或不當行為的可能性。例如，交易的授權(quán)、記錄和處理相關資產(chǎn)的職責應予以分離；授權(quán)賒銷的經(jīng)理應不負責應收賬款的記錄或現(xiàn)金收入的處理。2、控制活動的要素 政策和程序控制活動一般包含兩個要素，即：第一個要素，政策它描述應該做什么，第二個要素，程序它描述應該怎樣做；政策是程序的基礎，同時，程序又影響政策的執(zhí)行。例如，政策要求，應該由專人定期進行存貨盤點，程序即盤點本身，其實施的頻率、關注的要點、存貨的性質(zhì)、數(shù)量等等。3、控制活動應和風險評估相結(jié)合管理層在進行風險評估的同時，應該針對該特定風險找出并實施有效的措

33、施，這些針對某項特定風險的具體措施也就是建立控制活動的要素，它有助于保證控制活動得以及時、有效地實施。4、信息系統(tǒng)的控制隨著信息技術的發(fā)展，大多數(shù)企業(yè)，包括小公司或大公司的部門，都引進、建立和運用了現(xiàn)代化信息處理系統(tǒng)，現(xiàn)代化的信息系統(tǒng)不僅提高了企業(yè)的工作效率，而且也改變企業(yè)的經(jīng)營方式和方法，甚至影響企業(yè)的戰(zhàn)略規(guī)劃，因此信息系統(tǒng)的控制十分重要。信息系統(tǒng)內(nèi)控活動可分為兩大類。第一類是一般性控制適用多數(shù)應用系統(tǒng)并協(xié)助確保其持續(xù)、正確地運行, 包括對數(shù)據(jù)中心操作、系統(tǒng)軟件的購買和維護、數(shù)據(jù)的安全、以及應用系統(tǒng)開發(fā)和維護的控制。第二類是應用性控制，包括應用軟件中的電算化步驟，以及用以控制不同種類交易處理

34、過程的相關手工操作程序，它是保證交易處理的完整性、準確性、交易授權(quán)和有效性的內(nèi)部控制。例如，公司的銷售政策規(guī)定給予金額在20萬以上訂單以8折優(yōu)惠；系統(tǒng)根據(jù)事先的設定，對于20萬以上的訂單自動給予20%的折扣優(yōu)惠，而對于20萬以下訂單僅允許全價銷售。這兩類對計算機系統(tǒng)的控制是相互關聯(lián)的。一般性控制用于保證建立在計算機程序基礎上的應用性控制得以實施。（四）信息和溝通信息和溝通是指相關信息以某種形式并在某個時段被識別、獲得和溝通，以促使員工履行自己的職責。這里所說的信息是指來源于企業(yè)內(nèi)部及外部，與企業(yè)經(jīng)營相關的財務及非財務的信息。信息必須在一定的時限內(nèi)傳遞給需要的人，以幫助人們行使各自的控制和其它職

35、能。溝通則是指信息在企業(yè)內(nèi)部各層次、各部門，在企業(yè)與顧客、供應商、監(jiān)管者和股東等外部環(huán)境之間的流動。有效的溝通必須廣泛的進行，自上而下、自下而上地貫穿整個組織。所有人員都要從高級管理層獲得明確的信息：必須認真對待控制責任。他們必須了解各自在內(nèi)部控制體系中擔任的角色，以及個人行為與他人工作的相互關系。他們必須有自下而上傳遞重要信息的渠道和方法。同時，也要顧客、供應商、監(jiān)管者和股東等外部人員建立有效的溝通。1、信息企業(yè)的管理活動依賴于各種信息，既包括內(nèi)部生成的信息，也包括從外部獲取的行業(yè)、經(jīng)濟、監(jiān)管等方面的信息。因此，企業(yè)必需要建立良好的信息系統(tǒng)來識別、獲得、加工和報告這些信息。有效的信息系統(tǒng)不僅

36、能夠識別和獲得所需要的財務和非財務的信息，還能夠在一定時限內(nèi)根據(jù)需要加工和報告這些信息。另外，當企業(yè)面臨基本的行業(yè)變化，面臨有高度創(chuàng)新能力反應迅捷的競爭對手或面對重大的顧客需求變化時，信息系統(tǒng)必須隨企業(yè)目標、經(jīng)營環(huán)境的變化而變化，及時適應新的需求。1）信息的識別和獲取信息的識別和獲取的方式是多種多樣的：信息系統(tǒng)可以采取監(jiān)控方式，定期獲取特定的數(shù)據(jù)；或者，可以采取某些特定的方式獲取所需信息，如通過問卷、采訪、廣泛的市場需求調(diào)研或針對特定群體的調(diào)查獲得顧客對產(chǎn)品和服務的需求信息；通過與顧客、供應商、監(jiān)管者以及員工的談話獲得識別風險和機遇所必需的重要信息；參加專業(yè)或行業(yè)的研討會也可以獲得有價值的信息

37、。2）信息加工和報告信息是決策的基礎，但并非所有的信息都是有用的信息，因此，需要對信息進行加工整理，歸納匯總，根據(jù)需要向不同的部門和人員報告不同的信息。為了提高信息的質(zhì)量，需要考慮：內(nèi)容是否適當它是所需要的信息嗎？信息是否及時當我們需要時就能獲得嗎？信息是當前的嗎？是我們能獲得的最新的信息嗎？信息是否準確數(shù)據(jù)都準確嗎？信息是否暢通相應的部門能容易地獲得信息嗎？在設計系統(tǒng)時必須考慮以上問題。如果不考慮，系統(tǒng)很可能無法提供管理層和其它人員需要的有用信息。3）信息系統(tǒng)的整合信息系統(tǒng)是經(jīng)營行為的一個組成部分，它通過獲取決策所需的信息來影響控制，隨著信息技術的發(fā)展，信息系統(tǒng)可以更迅速、更廣泛提供更有價值

38、的信息，對企業(yè)的管理影響更加深遠，甚至影響到企業(yè)的戰(zhàn)略規(guī)劃，一項最新發(fā)布的研究表明，信息系統(tǒng)的規(guī)劃、設計和應用已經(jīng)開始同組織的整體戰(zhàn)略整合在一起。多數(shù)新的生產(chǎn)系統(tǒng)與企業(yè)其它的系統(tǒng)，可能還包括企業(yè)的財務系統(tǒng)，高度地整合為一體。當系統(tǒng)執(zhí)行其它的運行時，財務數(shù)據(jù)和會計記錄會自動更新。2、溝通溝通是信息系統(tǒng)固有的，是將信息提供給相關人員，以便與其履行職責，溝通必須貫穿于信息處理的整個過程，有效的溝通不僅在整個企業(yè)內(nèi)進行，也包括與外部進行的溝通。1）內(nèi)部溝通內(nèi)部溝通是指企業(yè)內(nèi)部上下級之間、橫向部門之間的溝通，下面以例舉的方式介紹內(nèi)部溝通的主要內(nèi)容：l 所有的人員，特別是那些有著重要的經(jīng)營和財務管理職責的

39、人員，取得管理所需信息，并清楚地知道必須嚴肅履行內(nèi)部控制的責任。l 每個人需要理解所負責內(nèi)部控制部分如何運行及個人在系統(tǒng)中的職責。l 在執(zhí)行自己的職責時，每個人都應該知道，當意外發(fā)生時，不僅要注意事件本身，還要注意事件的原因。這樣，就可以了解到系統(tǒng)潛在的缺陷，并采取預防的措施。比如，發(fā)現(xiàn)滯銷的存貨不僅要在財務報告上留下準確的記錄，更重要的是對存貨滯銷的原因作出判斷。l 需要知道什么樣的行為是被期望的，什么是可以接受的，什么是不可接受的。l人們需要知道自己的行為怎樣與他人的工作相聯(lián)系。l 員工也需要知道在企業(yè)中自下而上傳遞重要信息的方法和渠道。員工必須相信他們的上級確實想了解問題并愿意有效地解決

40、問題，在任何情況下不會因報告相關信息而受到報復。l 在多數(shù)情況下，正常的報告渠道就是適當?shù)臏贤ㄇ?。然而，在特定條件下，需要獨立的溝通渠道作為一個預防失敗的機制，在正常渠道不起作用時加以運用。例如為員工提供直接接觸財務總監(jiān)或企業(yè)法律顧問這樣的高層領導的渠道；總裁可以定期抽出時間接待員工來訪，并且讓員工知道為任何事情的來訪都是受歡迎的；總裁也可以定期去車間拜訪他的員工，形成一種人們能夠交流難題和關心的問題的氛圍。l 管理層與董事會及其委員之間的溝通至關重要。管理層必須使董事會了解最新的業(yè)績、發(fā)展、風險、主要的革新以及其它任何相關的事件或事故。與董事會的溝通越好，董事會越能有效地行使監(jiān)督職能，并能

41、夠?qū)τ陉P鍵的事務作出合理的行為，提供建議和忠告。同樣，董事會也應該向管理層傳達其所需要的信息，并提供指導和反饋。2）外部溝通企業(yè)不僅在內(nèi)部需要有適當?shù)臏贤ǎ遗c外部也是,與外部溝通的內(nèi)容包括：l 通過開放的溝通渠道，了解顧客、供應商對于產(chǎn)品或服務的設計或質(zhì)量方面的要求使公司注意顧客的需求和偏好。l 在與外部的交往中強調(diào)企業(yè)的道德標準，使外部人員知道認識到不適當?shù)男袨?。比如公司可以同供應商直接溝通，解釋公司期望供應商雇員在與其打交道時應怎么做，明確回扣以及其它不適當?shù)氖杖耄际遣荒苋萑痰?。l 與外部審計師的溝通，管理層和董事會可以了解重要的控制信息。 與股東、監(jiān)管者、財務分析師以及其它外界的交

42、流，可以了解企業(yè)所面臨的情況和風險。ll 管理層同外界（無論是公開的、即將進行的、嚴格跟蹤的還是其它的）的交流也可以向整個公司內(nèi)部傳遞信息。3）溝通的方式溝通可以采用諸如政策手冊，備忘錄，布告通知，錄像錄音帶的形式,又可采用口頭傳遞消息的方式。另一種有影響力的溝通手段是管理層在領導下屬工作時的言行。（五）監(jiān)督內(nèi)部控制隨著時間、環(huán)境而變化，曾經(jīng)有效的程序可能會變得不太有效，因此需要對內(nèi)部控制進行監(jiān)督。監(jiān)督是評估內(nèi)控系統(tǒng)在一定時期內(nèi)運行質(zhì)量的過程，目的是保證內(nèi)部控制持續(xù)有效，監(jiān)督可通過兩種方式進行：持續(xù)性的監(jiān)督活動和獨立的評估。持續(xù)性的監(jiān)督活動是植根于企業(yè)日常、重復發(fā)生的活動中的。與獨立評估相比，

43、由于持續(xù)性監(jiān)督程序在實時基礎上實施、動態(tài)地應對環(huán)境的變化，并在企業(yè)中根深蒂固而顯得更加有效。不過，獨立評估發(fā)生在事實之后，比起持續(xù)性監(jiān)督程序，可更快地發(fā)現(xiàn)問題。一個感到有必要進行經(jīng)常性的獨立評估的企業(yè)，應重點關注改進持續(xù)性監(jiān)督的途徑，并強調(diào)“嵌入”而非“外加”的控制。1、持續(xù)性監(jiān)督行為持續(xù)性的監(jiān)督行為發(fā)生在經(jīng)營的過程中，它包括日常管理和監(jiān)督行為、比較、核對和其他常規(guī)性活動。持續(xù)性監(jiān)督行為有下面一些例子：l 在執(zhí)行常規(guī)管理行為時，經(jīng)營管理層取得內(nèi)部控制持續(xù)運轉(zhuǎn)的證據(jù)。l 與外界各方的溝通能夠印證內(nèi)部產(chǎn)生的信息或揭示問題。例如：顧客支付賬單，表明其確認了帳單數(shù)據(jù)；相反地，顧客對帳單的投訴可能表明銷

44、售交易過程存在系統(tǒng)缺陷。公司審核有關作業(yè)安全的政策和操作步驟，從經(jīng)營安全性和合規(guī)性的角度為內(nèi)控是否有效運行提供信息，因而被視為一項監(jiān)督；監(jiān)管者就合法性或其他事項與企業(yè)進行交流，也會從某種角度反映內(nèi)控系統(tǒng)是否有效運行。l 適當?shù)慕M織結(jié)構(gòu)和監(jiān)督行為不但監(jiān)督內(nèi)控職能的執(zhí)行并且能夠發(fā)現(xiàn)內(nèi)控的缺陷。例如，財務負責人對財務人員針對交易正確性和完整性實施的內(nèi)控活動實施日常的監(jiān)管。另外，管理層對員工的職責分配定期進行審核，以確保合理分工以便相互制衡，有利于防止員工舞弊，并可以限制個人掩蓋其可疑行為的能力。l 將信息系統(tǒng)所記錄的數(shù)據(jù)與實物資產(chǎn)相核對。例如，產(chǎn)成品存貨應定期進行盤點，將盤點的數(shù)據(jù)與相應的會計數(shù)據(jù)核

45、對并記錄存在的差異。l 內(nèi)部及外部審計師定期為進一步加強內(nèi)部控制提供建議。審計師通過評價內(nèi)控的設計并測試其有效性，發(fā)現(xiàn)一些潛在的問題并向管理層提供解決問題的建議。l 培訓研討會、計劃會議及其他會議能向管理層提供有關控制是否有效的重要反饋。這種方式不但能指出控制中存在的個別問題，還能增強參與者的控制意識。l 定期詢問職員理解及執(zhí)行企業(yè)相關規(guī)定的情況。如向經(jīng)營及財務人員詢問相關的控制程序是否正常運行。2、獨立評估獨立評估是獨立于控制活動之外而采取的定期評估行為。盡管持續(xù)性監(jiān)督程序可以提供關于其他控制要素有效性的重要反饋信息，但經(jīng)常地對系統(tǒng)的有效性直接進行評估也是十分必要的。這樣同時也提供了一個機會

46、來評價持續(xù)性監(jiān)督程序是否有效。1）范圍和頻率獨立評估的范圍和頻率主要依賴于風險評估和持續(xù)性監(jiān)督程序的有效性。由于所控制風險的大小及內(nèi)部控制在減小風險中的重要性不同，對于內(nèi)部控制進行評價的范圍和頻率也不一樣。例如，那些致力于重大風險或?qū)p小風險具有重要作用的控制就應經(jīng)常地進行評價。2）評價主體評價主體，即由誰來實施獨立評估。一般來說，評價主體包括：一是自我評價，即負責某一單位或職責的人員對其控制自身活動的有效性進行評價。例如，一位部門主管應指導本部門內(nèi)部控制的評價活動。他或她可能親自評價內(nèi)控環(huán)境因素，然后請部門內(nèi)負責各種經(jīng)營活動的人員評價其他要素的有效性。二是內(nèi)部審計人員評估，有時，在董事會、高

47、級管理層、子公司及部門主管的特殊要求下，內(nèi)審人員也會對內(nèi)控進行評價。同樣，在評價內(nèi)控時，管理層也可利用外部審計人員的工作。3）評價程序及方法體系首先是同企業(yè)職員進行探討并審閱已有的文件，了解系統(tǒng)的運行過程或內(nèi)控系統(tǒng)的設計；其次是根據(jù)已確定的目標分析內(nèi)部控制的設計和測試結(jié)果，分析是否對既定目標提供了合理保證。評估方法有許多可供選擇，包括檢查清單、調(diào)查問卷和流程圖等方法。也可與那些被認為在內(nèi)控系統(tǒng)方面具有良好聲譽的公司進行比較。4）行動計劃第一次指導評估內(nèi)控系統(tǒng)的管理人員可以考慮下列建議，決定對何處著手和如何去做：l 決定評估的范圍，包括目標的分類、內(nèi)部控制要素和需采取的行動。 確定對內(nèi)部控制的有

48、效性提供常規(guī)保證的持續(xù)的監(jiān)督行為。ll 分析內(nèi)部審計的控制評估工作，考慮外部審計師與控制相關的發(fā)現(xiàn)。 按照單位、要素或高風險區(qū)域劃分重要性程度和先后次序，保證及時的關注ll 在以上基礎上，建立相關的評估程序。l 匯集所有進行評估的各方，共同考慮下列問題：不僅要考慮評估范圍和時間表，而且要考慮所使用的方法體系，應用的工具，來自內(nèi)外部審計師和監(jiān)管者的建議，報告所發(fā)現(xiàn)問題的方式以及設定最終的文本化程度。l 監(jiān)督進展和復核發(fā)現(xiàn)。l 保證采取必要的追蹤措施，必要時修改后續(xù)的評估部分。5）報告缺陷這里的“缺陷”被廣泛定義為內(nèi)控系統(tǒng)中值得注意的問題。缺陷可能代表一個假想的、潛在的或?qū)嶋H的缺點，或一個強化內(nèi)控

49、系統(tǒng)的機會。向恰當?shù)漠斒氯颂峁┯嘘P內(nèi)部控制缺陷的必要信息，對內(nèi)部控制制度的持續(xù)有效運行十分關鍵。內(nèi)部控制的缺陷應自下而上進行報告，重要事項應報知高層管理人員和董事會。對于發(fā)現(xiàn)的內(nèi)部控制缺陷，不僅應向負責的個人匯報，由他采取正確的措施，還至少應向該責任人的上一級匯報。這一過程使得責任人能及時采取措施，也便于其上級提供所需的支持或進行監(jiān)督，并與企業(yè)中受影響的他人進行溝通。重要事項應報知高層管理人員和董事會。6）文本化企業(yè)內(nèi)部控制的文本化有利于評估，有利于增進員工對內(nèi)控系統(tǒng)如何運行及各自職責的理解，更易于必要時對其修改。文本化的程度根據(jù)各企業(yè)的規(guī)模、復雜性和類似因素的不同而存在差異。大一些的公司通常

50、有書面的政策手冊、正式的組織圖、書面的工作描述、經(jīng)營指導、信息系統(tǒng)流程等。小一些的公司內(nèi)部控制文本化的程度一般低得多。控制沒有文本化并不意味著內(nèi)控系統(tǒng)是無效的或無法評估，不過當需要向更多人提供有關內(nèi)部控制的闡述或評估時，內(nèi)部控制文本化的性質(zhì)和程度將會提高。當管理層希望向外界提供關于內(nèi)控系統(tǒng)效果的聲明時，他們應當考慮形成文件來支持該聲明。如果該聲明今后被質(zhì)詢，這些文件將很有用。四、內(nèi)部控制的局限性也許有人會認為內(nèi)部控制可以確保企業(yè)萬無一失，這也是我們所希望的，但事實并非如此，無論內(nèi)部控制設計和執(zhí)行的多好，它也只能提供合理的保證，這是內(nèi)部控制系統(tǒng)固有的局限性。具體表現(xiàn)在：n 判斷失誤判斷是人在事情發(fā)生時依據(jù)現(xiàn)有信息的所做出的，個人的判斷不能保證絕對正確，并且難以避免主觀性，從而影響內(nèi)部控制的有效性。基于錯誤判斷的管理層決策也會導致失誤。n 執(zhí)行偏