一、控制环境 Control Environment是指对建立、加强或削弱特定和程序效率发生影响的各种因素。

构成控制环境的要素:

(一)董事会及审计委员会

董事会是公司内部控制系统的核心，对内部控制而言，一个积极、主动参与的董事会是相当重要的。

●如何评价？

1. 董事会或审计委员会是于管理层的，这样必要时能够提出有挑战性甚至审查式的问题。

2. 建立董事会专门委员会以特别关注和处理相关重要事件。

3. 董事的知识和经验

4. 与内、外部审计师等的会面频率和接触

5. 为董事会或专门委员会委员提供信息的及时性和充分性，以便及时监督管理层的目标和战略、公司的财务状况和经营成果、以及重大协议的条款等。

6. 为董事会或审计委员会提供充分、及时的信息，以便及时获知敏感信息、调查、不当行为（例如：监管机构调查、贪污、挪用、滥用公司财产、违反内部人员交易法规、非法支付等）。

7. 监督高级管理人员的薪酬，聘用和解聘高级管理人员。

8. 建立“高层管理基调”

9. 董事会或审计委员会依据其发现采取行动，包括特殊调查。

(二)管理者的品行及管理哲学和经营风格

1　企业承受经营风险的种类

2　管理者对法规的看法

3　对企业财务的重视程度

4　对人力资源的看法

●如何评价？

1. 接受的业务风险的性质，例如：管理层是否经常介入特别高风险的业务，还是在接受风险方面非常保守。

2. 在关键职能部门的人员流动率，例如：经营、会计和数据处理部门等。

3. 管理层对数据处理和会计职能的态度，以及对财务报告和资产安全可靠性的关心。

4. 高级管理层和业务部门管理层相互交流的频率，特别是双方处于不同的地域时。

5. 对财务报告的态度和行动，包括对采取的会计处理的争议（例如：采取保守的还是激进的会计；会计原则是否被滥用了；关键的财务信息没有被披露；或会计记录被粉饰或篡改了）。

(三)管理者的素质

管理者往往是内部控制设计和执行的关系人，他的素质(知识、技能、操守、道德观、价值观)影响内部控制的效率和效果。

●如何评价？

1. 存在行为准则及其他相关可接受的商业行为、利益冲突、伦理的道德标准等的，并有效执行。

2. “高层管理基调”的建立－－包括明确的道德指导（什么是对的和错的）。

3. 和在公司范围内进行沟通的程度的指导。与员工、供应商、客户、投资人、债权人、保险人、竞争对象和审计师等的关系。（例如：管理层进行商业行为时，是否非常关注道德标准，是否也要求其他人遵守道德标准，还是根本不关注道德问题。）

4. 针对违反和道德准则的情况采取适当的措施。采取措施的范围在公司内进行沟通。

5. 管理层对干预或逾越既定控制制度的态度。

6. 达到不切实际的目标的压力，特别是那些短期目标，薪酬多大程度上基于业绩目标的实现。

7.是否存在关于管理层正式和非正式的工作描述，或其它能说明具体工作的任务和责任的方式。

8. 分析管理层胜任工作所需要的知识和技能。

(四)产权关系及组织结构 

产权关系应明晰，组织结构抗风险

●如何评价？

1. 公司组织结构的适当性，以及其提供管理活动必要的信息流的能力。

2. 关键经理的职责定义，以及他们对自身职责的理解。

3. 关键经理人员充分具备其相关职责的知识和经验。

4. 报告关系的适当性

5. 组织结构会在何种程度上随环境的变化而变化

6. 存在足够数量的雇员，特别是管理和监督人员

(五)人力资源及实行

一个单位的人力资源直接影响到单位的每一个员工的业绩和表现。良好的人力资源，对培养单位的员工，提高员工素质，更好的贯彻和执行内部控制有着很大的帮助。

●如何评价？

1. 雇佣、培训、晋升和员工薪酬的及程序

2. 员工应意识到他们的工作职责和公司对他们的期望。

3. 对违背和程序的行为的校正。

4. 人力与相应的道德标准一致。

5. 核查候选人的背景，特别要考虑公司不能接受的行为或活动。

6. 适当的员工保留和晋升标准、信息收集技术（如：工作评价等），与行为规范或其他行为准则的关系。

(六)企业文化

企业文化是具有本单位特征的基本信念、价值观念、道德规范、规章制度、生活方式、人文环境以及与此相适应的思维方式和行为方式的总和。它影响着单位成员的思维方式和行为方式。

(七)信息系统

(八)权责划分

责任的分配、授权和相关的提供了责任和控制的基础，明确了员工各自的角色。

●如何评价？

1. 根据公司的目标、经营职能和监管要求，分配责任和授权，包括信息系统的责任和变化的授权。

2. 与控制相关的标准、程序的适当性，包括员工职责描述。

3. 职员数量的适当性，特别是数据处理和会计职能。这些职员应具备与企业规模、业务活动和系统相适应的技能水平。

4. 授权和所分配的责任相吻合。

二、风险评估 Risk Assessment 企业根据发展战略制定经营目标后，对实现目标的经营过程中的风险进行判别和分析，并采取相应的行动。

1　管理层对风险的识别

2　是目标实现过程中相关內外部风险分析

3　估计风险的重大程度，可能性

三、控制活动 Control Activities 是确保管理阶层指令实现的各种和程序。

控制活动类型包括：

􀂾按照不同作用，控制活动可分为预防性控制和纠错性控制两类

    控制活动的形式也可以分为：

1　业绩评价，如实际与预算、同期和行业标准的对比。

2　审批，授权，确认。

3　实物控制， 如资产安全性， 定期盘点，对计算机及数据资料的权限控制。

4　责任分离，如业务授权、业务执行、业务记录、对业绩的检查的职能分离

●如何评价企业的控制活动？

1. 针对企业的每一项业务活动都有必要和恰当的和程序。

2. 已确定的控制行为得到恰当的执行。

四、信息与沟通 Information and Communication 企业必须建立健全信息传递与反馈系统，以保证企业和方针的贯彻实施；而信息传递有赖于良好的沟通方式和渠道。

1　及时地获取，确定并交流相关的信息

2　从内部和外部获取信息

3　使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流

●如何评价企业内控系统中的信息系统？

1. 获取内部和外部信息，向管理层报告企业既定目标的实现情况。

2. 及时向适当的人员汇报足够的信息以便他们有效地履行其职责。

3. 信息系统的建立或修改基于对信息系统的战略规划—与整个企业的战略相连—并且着眼于实现企业的目标和业务活动层次的目标。

4. 通过承诺适当的资源——人力资源和财力资源，管理层表现出对发展必要的信息系统的支持态度。

●如何评价企业内控系统中的沟通？

1. 向员工传达其职责和控制责任的有效性。

2. 建立沟通渠道供员工反映他们注意到的可疑问题。

3. 管理层对于员工提出的提高生产力、质量的建议或其他改进建议的接受能力。

4. 整个企业内部是否充分交流(比如，采购和生产环节的交流)；信息是否完整和及时；以及信息是否足够满足相关人员有效地履行职责的需要。

5. 是否有开放、有效的渠道，与客户、供应商和外部其他方面交流不断变化的客户需求。

6. 外部相关方了解企业道德标准的程度

7. 在收到客户、供应商、监管者和其他外部人员反映的情况后，管理层采取的及时和适当的应对措施。

五、监控 Monitoring   是评估内控系统在一定时期内运行质量的过程，目的是保证内部控制持续有效。其范围和频率取决于风险的重大性或现有监控程序实施的有效性。

监控的方式包括：

1　持续性监控，包括日常管理、监督、比较、核对等。

2　的评估，即与控制活动之外，如内部审计。

●如何评价企业内控系统中的日常监控？

1. 员工在从事其日常活动时，在多大程度上能获知有关内控系统是否正常运作的信息。

2. 外部反映的情况证实内部信息或揭露问题的程度。

3. 定期将会计系统记录的结果与实物进行核对

4. 对内部和外部审计师提出的加强内控的措施做出响应。

5. 培训、筹备会议和其他会议向管理层就内控有效性进行反馈的程度。

6. 是否要求员工定期声明他们是否理解并遵守了企业的行为准则，并且定期执行了重要的控制活动。

7. 内审活动的有效性。

● 如何评价企业内控系统中的关于报告缺陷方面的监控？

1. 存在适当的机制，来汇集并报告发现的内控缺陷。

2. 汇报程序是否恰当。

3. 跟踪行动是否适当。

小结：

改进并建立有效内部控制的步骤：

◆通过恰当的调研和分析来了解提高公司价值的驱动力,评估公司的风险

◆为公司各层次的人员确定目标和具体的业绩考核指标

◆建立对经营、财务和合规性的控制来支持这些目标

◆监督结果以确定资源的分配，从而不断提升业绩

◆定期进行调整，以适应经营环境的变化下载本文