二、風險評估

　　按照 COSO立體模型，控制活動的上一層是風險評估。企業(yè)實現(xiàn)其目標的能力可能受到來自多個內(nèi)外部因素的不利影響。作為整體內(nèi)部控制結(jié)構(gòu)的一部分，企業(yè)應實施一個程序，來評估可能影響其各種內(nèi)部控制目標實現(xiàn)的潛在風險。風險評估可能是正規(guī)的量化風險評估程序，也可能是不太正規(guī)的方法，但是應包含對風險評估程序最起碼的理解。例如，企業(yè)設定的目標是不改變營銷計劃，那么如果出現(xiàn)新的競爭對手則可能對該企業(yè)設置的目標造成壓力，這需要對無法實現(xiàn)該目標的風險作出評估。風險評估是一個具有前瞻性的過程。也就是說，許多企業(yè)已經(jīng)發(fā)現(xiàn)，對他們的各類風險水平進行評估的最佳時機是制定年度計劃或定期計劃的過程。應在所有層面以及企業(yè)的所有活動中實施這樣的風險評估程序。 COSO內(nèi)部控制架構(gòu)將風險評估描述成一個可以分為三步的程序。第一步是估計風險的重要'性;第二步是評估風險發(fā)生的可能性或頻率;第三步是考慮如何對風險進行管理，以及應采取何種行動。

　　COSO內(nèi)部控制架構(gòu)強調(diào)風險分析并非一個理論過程，而且常常對實體的整體成功起到至關重要的作用。管理層是內(nèi)部控制整體評估的重要一環(huán)，他們應采取措施對可能影響整個企業(yè)的風險，以及不同的組織活動或?qū)嶓w所面對的風險進行評估。由內(nèi)部或外部原因?qū)е碌母鞣N風險可能對整個組織產(chǎn)生影響。 COSO企業(yè)風險評估己對某些主要組成部分給出定義，做了一般性說明，并概述了一種能使組織對企業(yè)層面的風險進行更好管理的方法。

　　風險管理包括識別和分析影響目標實現(xiàn)的風險(包括與不斷變化的監(jiān)管、運營環(huán)境和商業(yè)策略有關的風險)，以此來確定如何降低和管理此類風險的依據(jù)。第九章將針對風險管理的程序作更詳盡的討論。

　　三、控制活動

　　評估風險只是整個內(nèi)部控制程序的一部分，管理層必須確定處理風險所需的行動，并付諸執(zhí)行。這些行動亦應將注意力集中于控制活動的作用，目的是確保所需的行動得以有效且適時地執(zhí)行。換而言之，控制活動包括多種政策和程序，有助于確保管理層的有關指示得以執(zhí)行，處理風險以實現(xiàn)企業(yè)目標所需的行動得以實施。與大型企業(yè)相比，小型企業(yè)的內(nèi)部控制程序可能不太正規(guī)且較具靈活性，但一貫地執(zhí)行內(nèi)部控制的有關政策及程序是十分重要的。

　　控制活動可為雇員提供指南(命令式的控制)，設計這些活動旨在防止發(fā)生不希望出現(xiàn)的事情(預防性控制)，或者在不希望出現(xiàn)的事情發(fā)生時能夠加以識別(偵察式控制)。當不希望出現(xiàn)的事情發(fā)生時，應識別程序的缺陷，并主動采取措施加以解決，此類活動稱為"糾正性控制活動"。

　　控制活動可分為運營、財務報告及合規(guī)三個類別，但它們之間有時可能出現(xiàn)重疊。常見的內(nèi)部控制活動有(1)組織控制 (2)職責劃分; (3)調(diào)節(jié)和復核 (4)實物控制 (5)授權(quán)和批準 (6)計算和會計; (7)人員控制 (8)監(jiān)督及管理控制。

　　(一)組織控制

　　組織控制是指組織結(jié)構(gòu)提供的控制，比如組織活動和經(jīng)營分成若干部門或責任中心，責任區(qū)分明確，在企業(yè)內(nèi)授權(quán)，確立企業(yè)內(nèi)的報告路徑，協(xié)調(diào)不同部門或小組之間的活動，比如設立委員會或項目組。

　　(二)職責劃分

　　進行職責分工的主要目的是防止具有欺騙性的活動發(fā)生或未被查出。管理層可以通過在兩個或兩個以上的人員之間分配工作的方式實現(xiàn)這一監(jiān)控目標。就適當?shù)穆氊煼止ざ�言，不應由一個人控制一項交易或一個事件的所有 關鍵方面，而且一個人履行的職能可通過其他人執(zhí)行的職能進行檢查。

　　大多數(shù)交易可分成三類獨立的職責:認可或發(fā)起交易、處理被交易的資產(chǎn)，以及記錄交易。這樣能降低舞弊風險，同時降低出現(xiàn)差錯的風險。如果一個人為上述活動中的一項以上活動承擔責任，則存在舞弊的可能。職責劃分還能較容易地發(fā)現(xiàn)非本意造成的錯誤，因此不應僅將其視為對舞弊的控制。盡管職責劃分能夠避免一個人舞弊的情況，但對于兩人或兩人以上串通舞弊卻是元效的。在董事會層面，公司治理守則(比如《英國綜合守則))指出，董事會主席與首席執(zhí)行官的職責應分離，以防止一個人取得董事會的支配地位。但是，如果這些職能尚未或無法分離，那么，應由管理層對相關活動進行詳細的監(jiān)管審核，作為一種補償性控制。

　　(三)調(diào)節(jié)和復核

　　調(diào)節(jié)和復核業(yè)績屬于偵察式控制。所謂調(diào)節(jié)是指雇員將不同數(shù)據(jù)連接在一起，識別并找出差異，并且在必要時采取糾正措施。但是更重要的是，執(zhí)行調(diào)節(jié)的人員要理解這一程序的重要性以及巳識別的差錯的影響。調(diào)節(jié)包括比較總賬的現(xiàn)金金額與銀行對賬單的現(xiàn)金余額、總賬的應收款金額與相關補貼賬戶總額，以及固定資產(chǎn)的現(xiàn)場盤點與會計記錄中記載的金額。所謂業(yè)績復核，是指管理層將當前的業(yè)績與預算、以前期間或其他基準相比較，以此反映目標的完成情況，并對其中的差異進行調(diào)查，以確定哪些糾正行動是必要的。

　　(四)實物控制

　　實物控制是指保護實物資產(chǎn)不被偷盜或未經(jīng)許可而獲得及被使用的措施和程序。實物控制包括使用保險箱儲存現(xiàn)金和重要文件，為大樓或其內(nèi)的區(qū)域設立門禁系統(tǒng)，為貴重資產(chǎn)采取兩重保管方法，必須兩人同時出現(xiàn)才能取得某些資產(chǎn)，定期對存貨進行盤點，以及雇用保安和利用閉路電視攝像頭。

　　(五)授權(quán)和批準

　　某些控制活動可提供其他控制活動運作正常或需要提供指南以改善這些控制活動的運作等信息。例如，被授權(quán)的雇員可能開展了達到某項限制的交易，并且須為超出規(guī)定限制的交易取得批準。批準上述超出規(guī)定限制的交易時，上級必須在核實該活動符合政策及程序的基礎上，才能予以批準。就此來說，上級批準亦可作為一種監(jiān)控工具，來確保政策得以遵守。由于這些控制旨在控制不希望出現(xiàn)的事件，因此，可視之為預防性控制。預防性控制的主要目的是防止錯誤的發(fā)生。

　　一般而言，為了幫助確�？刂苹顒影l(fā)揮最大效果，在上級批準及授權(quán)時應提供書面指南、權(quán)力限制及支持性文件。另外，上級領導嚴肅地履行批準職能是非常重要的。這要求他們能夠積極核查文件，對異常事項進行詢問，以及提醒自己不在空白表格上簽字。

　　(六)計算和會計

　　此類控制要求在會計系統(tǒng)中正確地記錄交易。依靠會計記錄能夠追蹤每項交易，核對計算。比如，在向客戶發(fā)貨或批準支付前仔細檢查發(fā)票上的數(shù)字，確保數(shù)字是正確的。

　　(七)人員控制

　　此類控制適用于選擇和培訓雇員，以確保為企業(yè)的職位指定了恰當?shù)娜藛T，但個人必須具備適當?shù)乃刭|(zhì)、經(jīng)驗和所需的資質(zhì)。企業(yè)要向個人提供適當?shù)娜碎T培訓，以確保他們能有效地完成任務。

　　(八)監(jiān)督和管理控制

　　監(jiān)督是指承擔責任的某人對其他人員工作的管理。監(jiān)督控制有助于確保個人按照要求恰當?shù)赝瓿扇蝿铡?/P>

　　管理控制是由管理層根據(jù)其獲取的信息執(zhí)行的控制。董事會或高級管理層可能要求提供關于企業(yè)目標所實現(xiàn)的成果的報告。那么，在部門層面上，管理層應接受對業(yè)績進行復核或標明特殊情況的報告。部門進行復核的頻率應遠遠高于高層進行復核的頻率。

　　2011注會《公司戰(zhàn)略與風險管理》精講筆記匯總

　　2011年注冊會計師考試各科目章節(jié)重點匯總

　　2011年注冊會計師考試報名時間預測：3月-4月

　　考生必讀：2011年注冊會計師考試高分技巧匯總