括实物资源、资产、所有权、机密信息,排除损失、失窃或误用。任何怀疑的损失、误用或失窃都应该报告给经理或法律部门。 公司资产必须用于公司业务,符合公司政策。
9) 全面、公正、正确、及时地理解财务报告及其披露事项 因为公司
必须提供完整、公正、及时和可理解的披露报告及文件,并存档或呈交给证监会以及公共传媒,所以每一个员工都有责任保证会计记录的准确性。管理层必须建立和保持适当的内控,遵循公司已有的会计准则和流程,保证交易记录的完整和准确。禁止干扰或不正当的影响公司财务报表审计。要求证实会计记录和报表受控,能够保证准确性,包括提供给审计和定期向证监会报告的义务。
对于企业来说,首要的工作是建立一套员工能够接受和理解的诚信和道德标准,如道德行为手册;其次是必须让员工知晓和理解这些规定(例如:要求所有员工定期签字确认),这是执行的前提条件;最后就是贯彻执行。在公司内传递道德标准的最有效方式是管理层以身作则,员工对于内控的态度通常会效仿他们的领导。另外,对违反准则的员工应予以相应惩罚;建立鼓励员工揭发违规行为的机制;以及对未能汇报违规行为员工的教育培训都具有特别重要的意义。
员工个人可能由于下列因素而卷入不诚实、非法或不道德的行为: ? 不切实际的业绩目标,特别是短期业绩的压力(例如:为了实现预先设定的利润指标而在财务报告中虚报收入)
? 将奖金分配与业绩挂钩(例如:错报与业绩考核指标相关的财务信息) ? 内控制度不存在或无效(例如:敏感业务区域未设立严格的职责分工,这为偷窃公司资产或隐藏不良行为提供了可能)。
? 组织高度分散,可能导致高层管理人员不清楚基层的行为,缺少必要的
46
监管,因此,减少了基层舞弊被发现的机会。
? 内部审计职能薄弱,没有及时发现和报告不正确的行为。
? 董事会缺少对高层管理人员的客观监管,可能导致管理人员凌驾于内控制度。
? 管理层对不正确行为的惩罚力度不够或不公开,从而失去了应有的威慑力。
2、胜任能力
胜任能力是要求员工具备完成工作任务所需的知识和技能,目的是保证员工能够正确理解相关规定、及时恰当分析和处理业务,这是维护内部控制有效性的必备条件。
为此,管理层需要设定工作岗位的知识和技能水平要求,在招聘、选用员工时作为评选的标准或条件。在设定工作所需知识和技能时,一方面要根据工作的性质和所需的职业判断,考虑能力需求,另一方面还应考虑人力资源成本即薪酬(例如:没有必要雇佣一名电子工程师来换一只灯泡)。
3、董事会和审计委员会
董事会或审计委员会的职能是实施治理、指导和监督管理层的工作,如果对管理层缺乏必要的监督,管理层可能会凌驾于控制之上,甚至故意歪曲结果,因此董事会或审计委员会监督作用对确保内部控制的有效性十分重要,董事会或审计委员会作用的发挥,必须具备以下条件:一是要独立于管理层,不受其影响;二是具有足够知识、行业经验和时间,以便于履行职责;三能够与财务、法律、内部审计和外部审计及时沟通,得到适当信息;四是能够控制高级管理人员的薪酬,有权聘用和解聘高级管理人员。
47
补充说明一点,股份公司的治理结构与国外有所不同,股份公司设置监事会,其职能类似于国外审计委员会的职能,所以股份公司的董事会、审计委员会和监事会都需要符合上述条件。
4、管理层的经营理念和经营风格
管理层的经营理念和经营风格影响企业的管理方式,包括面对各种风险的态度。管理层的经营理念和经营风格形成了企业文化,它既是一切业务实现的基础,也为内部控制的实施提供了平台。它往往是企业内部一种无形的力量,影响企业成员的思维方法和行为方式,包括企业承受营业风险的种类、整个企业的管理方式、企业管理阶层对法规的反应、对企业财务的重视程度以及对人力资源的政策及看法等。它们都深深地影响着内部控制的成效。例如,有些公司管理层的经营理念和风格较为激进,愿意承担更高的风险以追求更高的盈利回报;而有些公司的管理层则比较保守,在风险承担方面表现得较为谨慎。可以看出,不同的经营理念和风格决定了管理层在承担风险方面采取不同的态度和做出不同的决策。以销售信贷政策为例,对风险承受力高的公司相比承受力低的公司,其设定的信用销售额度更高,以期望通过更优惠的政策吸引和保留客户,而获得更高的销售额。管理层的经营理念和经营风格还表现在:管理层对财务报告的态度,在会计政策选择方面是否谨慎,进行会计估计时是否遵循审慎性原则,对待数据处理、会计职能及人事管理等方面的态度等等。
5、组织结构
组织结构是权责分工的架构,在此架构中规划、执行、控制和监督为实现企业目标而进行的活动,每个企业都可根据自己的需要确定组织结构,可以是集权型,也可以是分权型,可以是直接的报告关系,也可以是矩阵型组织结构,可以
48
按产品或行业组织,也可以按地理分布或功能组织,但不论何种组织结构,应根据公司的业务性质,进行适当的集中或分散,确保信息的上传、下达和在各业务间的流动,确保企业目标的实现。
6、管理层授权和职责分工
权力和责任分配是指对员工进行授权和分配责任,将企业的目标层层分解落实到每个员工的头上,从而将员工的行为与企业目标联系起来,增强员工的自主控制意识。权力与责任分配的关键是权力与责任的对等。
7、人力资源政策和措施
人力资源政策和措施是关于员工聘用、培训、考核、进升、薪酬等方面的政策和程序,目的是聘用和维持有能力的人员,保证公司的计划得以实施,目标得以实现。因此,人力资源政策和措施应考虑如何招聘进来有能力、可信任的人员,如何进行相关培训使员工意识到他们的工作职责和公司对他们的要求,如何通过考核、薪酬、提升等政策激励约束员工。
(二)风险评估
1、风险及风险评估的定义
风险是任何影响目标实现的因素,所有企业,无论规模、结构和行业性质,都面临着风险,可以说有经营就有风险。风险有来自企业内部的,也有来自企业外部。
为了加强对风险的控制,必须进行风险评估,风险评估是指对相关风险进行识别和分析,是发现和分析那些影响目标实现的风险的过程,是确定如何管理和控制风险的基础。风险评估的前提条件是设立目标,只有先确立了目标,管理层才能针对目标确定风险并采取必要的行动来管理风险。
49
企业的目标可以分为公司层面目标和业务活动层面目标,公司层面目标是指公司的总目标和相关战略计划,与高层次资源的分配和优先利用相关。业务活动层面的目标是总目标的子目标,是针对企业业务活动的更加专门化的目标。业务活动层面的目标应该清楚,易于理解,以便从事该操作的人能实现其目标,同时还必须是可衡量的,以便于考核。
实现目标需要耗费资源,因此设立目标必须考虑可获得的资源,企业应该对目标进行分析,提醒自己找出与总目标不相关的操作目标,以免资源浪费,而对实现总目标至关重要的操作目标,则优先安排资源。
2、如何进行风险评估 1)风险识别
风险评估的过程首先是进行风险识别,风险识别需要考虑所有可能发生的风险,并且需要考虑企业和相关外界之间的所有重大相互影响。风险识别也是一个重复的过程,需要针对环境的变化持续进行。导致企业经营风险的因素包括内部和外部两个方面:
外部因素包括:
? 技术发展——影响研发的性质和时机,或带来采购的变化。(例如:出现新的、更高效的油气开采技术,未掌握相关技术的公司会导致市场竞争力降低,进而影响经营目标的实现)
? 不断变化的客户需求和期望——影响产品开发、定价。(例如:纳米技术的应用,客户对产品的期望改变;)
? 竞争——影响营销和服务活动(例如:WTO导致更多具有较高竞争力国外石油公司进入中国市场)。
50
财务内部管控COSO内控框架
