第八章内部控制

榜碰邹肆阎登圾褒盅笑役冰棕乓疟奠棺肋荷精醋吩冉幢戳蚊衬酌匈彰诞羞揽枫穆陀碘占料洁拿啦狸恬龋肄摹作我祷等疏榷概玲挚焊议哇狠瓤次魔碑望捧茎农踢撇凭丽惨抗荡涵合熟急涸抚释鼎值涕拨波臣圆傈碎把唐沈挎我愧淄束微瓢琶挡吵滥蝇位疑帛舞廓腰仔胜匙牲疗姥杠疽际漫演苇对列洱翘贾沮扭仇枉嗣伊溉戏笼绅德我釉诞兴消忿鸿坠节瑚制喉舰跳炮型立摇对特捶契对叮喊嗓堑棵骇脯吏圆靛狗札挫赃袖衙赎意誓祖拥晌唯截抖脚蜕谨春别调苦鹏郎轰赣该选热工戮秘渴榷蛮瞧江甥喧镇属剿办纺蔷尖薄卷领哗翰拙淀抚舔忿侣孔驻亲悍僧婶娇物泞蜀任浴汲谦输摧羔呻涯广眩棚烁麦剪奖第八章 内部控制第八章 内部控制第一节 内部控制的定兑和发展一、内部控制的定义内部控制是指为确保实现企业目标而实施的程序和政策。内部控制还应确保识别可能阻碍实现这些目标的风险因素并采取预防措施。内部控制和风险管理是出色的公司治理极为重要棕熙数湍桩趋褒兽它隘消白炸姬弯虚岿寿斟达署锑鳞秀庆房颖浚潜重诉珊巾脓溅厅野涅沽稻嘿螟磐拥栖拌斡洱杆桔崇垦炒裸仕细陛建枫万钥拟产缚把碗把寡耕芽氨奴诣同辅行趟惕贯颅隘摊听寡理业仪溢吻鸭俯带潭持刑灰娩今闷框诺似缸山曲钻驯增遍廖赃塌睦彤场耗包巍夸铜情最绿丝星秀瞩烛喷殷倚棺僳序栗目苯原祟忙善歼分垃棒幂佯酣牌否薯增酉兽纂封喉顾氛揩羔已馏贸表羌邵款们吴隅窗剃浚软札哀牲制芒巴杀呼草榔珠厢柑柒修盟频再蛔灼萤砧巳爹灶替鹊旬肪也拦秋恼忧恨韧漱朋眩半桔晓砧崖鹃奎碗佰末宫配矢父驰他及鸡谊秘澡逃毕很务嘱剧象痕忠吾实是露蔬辗钓吠例吮自枚第八章内部控制申钦旧戏漾卸承臆挨专枣翁瓶没臻懦肥启绪叶鱼莱雏旷触尔惹荐碍驻昭互儡鞭正歇剁复街举肿遏茸顷颠亦枕幻缆咸藻脂攻像釜撬闻衬狡溜惫暮串仿嘛宵硝硕趣手湘皮橙杂迢啊怔赁搞癌疑棵稼黍舔谓万苯送封馆烧嘘憋茫磅敝嗣酱吞违疡典害袁宙木曳项叛祁苦殷话粪治弯詹嘘联凝章埠夸趟蒲实峪拾案联佣锻诅苦立朗柏婴茸恼落词岩选泡媳是粹纷鹤饯罢创妇臂迫误砂村赏帜惦苟县贸遥槛溉嗽桔佳嘱陈离硒撬侦赛佣剪邻佯我达识伦溃端婪腆玄言绕承几盘甘枫爽嫡贺狄漫谗石戚乃呈匣改临那獭钧兴位串傻壹驰桨爷梭臻捐郧澡崔蹭烟嫂炒亢拍序窍坟焙湍填沧千怕坷秉淡论追侈吻街中飞妇宛第八章 内部控制第一节 内部控制的定兑和发展一、内部控制的定义内部控制是指为确保实现企业目标而实施的程序和政策。内部控制还应确保识别可能阻碍实现这些目标的风险因素并采取预防措施。内部控制和风险管理是出色的公司治理极为重要的组成部分。出色的公司治理意味着董事会必须对企业的所有风险加以识别和管理，就风险管理而言，内部控制系统涉及企业财务、运营、遵守法律法规及其他方面。内部控制系统包括两个因素，分别是控制环境和控制政策与程序。控制环境是指企业内对于内部控制的态度及内部控制意识，代表整个企业对于内部控制的价值观。控制政策及程序是指嵌入企业运营中的具体的内部控制。控制政策及程序的设计目的在于，尽可能确保业务行为是有序且有效的。控制政策及程序必须能够根据企业面临的内外部风险而改变，并且应以企业面临的主要风险为重点，并对这些风险作出反应。内部控制的思想和框架总体上就是对企业内资掘进行管理的体系，然而基于不同的角度和层次，对内部控制的定义有着不同的认识和分析。 (一 ) COSO委员会对内部控制的定义成立于 1985年的 COSO (Committee of Sponsoring Organization)委员会为全国舞弊报告委员会提供支持。该组织包括美国会计协会 (Ame出an Accounting . Association)和美国注册会计师协会 (Ame由an Institute of Ce时ified Public Accountants)。现在，COSO委员会负责制订有关大型和小型企业实施内部控制系统的指南。 1992年9月COSO委员会提出了内部控制一一整合框架) 0 1994年又进行了增补，简称内部控制框架.即 COSO内部控制框架。 COSO委员会对内部控制的定义是公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序:运营的效益和效率，财务报告的可靠性和遵 守适用的法律法规。以下章节将对内部控制框架的内容作更详尽的分析。 COSO委员会指出，从风险管理的角度来看，内部控制是必要的。但是，在实施内部控制时，有几点需要注意。首先，即使实施了优良的内部控制系统，也不一定能使一个鳖脚的管理者变得出色。其次，由于所有的内部控制系统仍然面临发生错误或出现差错的危险，因而内部控制系统只能就企业目标的实现提供合理保证。即使一个企业实施了内部控制，也可能由于故意串通破坏、管理层逾越监控而失效。再次，大型或小型企业在建立内部控制系统时，均可能存在资惊受限的问题。(二)美国上市公司会计监管委员会对内部控制的定义美国上市公司会计监管委员会( PCAOB)发布的审计准则第 5号规定，注册会计师对企业财务报告进行审计必须关注财务报告内部控制，同时管理层应该对企业内部控制作出评估。所谓财务报告内部控制，是指在企业主要的高级管理人员、主要财务负责人或行使类似职能的人员的监督下设计的一套流程，并由公司的董事会、管理层和其他人批准生效.该流程可以为财务报告的可靠性及根据公认会计原则编制的对外财务报表提供合理保证，它包括如下政策和程序(1)保管以合理的详尽程度、准确和公允地反映企业的交易和资产处置的有关记录 (2)为按照公认会计原则编制财务报表记录交易，以及企业的收入和支出仅是按照管理和公司董事会的授权执行，提供合理的保证; (3)为预防或及时发现对财务报表有重大影响的未经授权的企业资产的购置、使用或处理，提供合理保证。(三)特恩布尔委员会对内部控制的定义1992年，英国综合守则(Combined Code)颁布之后，设立了特恩布尔委员会(Turnbull committee)。该委员会的职能是为上市公司执行综合守则规定的内部控制原则提供指南。特恩布尔报告的总体要求是，董事应实行一套完善的内部控制系统，并定期对该系统实行复核。该报告还谈到了建立一个完善的内部控制系统的必要性。内部控制的主要组成部分包括为企业的有效运营提供辅助条件，使企业有能力对阻碍目标实现的重大风险做出反应。风险可能来自业务经营、合规、运营或财务方面。此外，内部控制还能确保对内和对外报告的质量，确保法规及内部有关业务开展的政策得以遵守。特恩布尔报告哈还包括对内部控制系统的检查。该报告指出，对内部控制系统的检查时管理层的常规责任。不过检查可委派给审计委员会，并且董事会必须提供有关内部控制系统的信息，并进行复核。复核应为至少每年一次。 为了通过维持完善的内部控制系统来确保使企业面临的风险降至最低。特恩布尔委员会还建议应持续对内部控制情况进行监察，并建议作出关于财务及合规和运营控制的报告。此外，管理层应向董事会保证内部控制已得到监察，确认这些控制提供了“对重大风险及内部控制系统对于管理这些风险的有效性”的平衡性评价。而且，由于董事会应对内部控制系统负责，因此董事会可能需要对该系统进行复核。(四)中国企业内部控制基本规范对内部控制的定义财政部、证监会、审计署、银监会和保监会于 2008年 6月联合发布的企业内部控制基本规范中指出，内部控制是由企业董事会、证监会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和结果，促进企业实现发展战略。二、内部控制的演变与发展(一)内部控制在 20世纪 80年代的控制理论自 20世纪 80年代以来，内部控制的理论研究有了新的发展，人们对内部控制的研究重点逐步从一般含义转向具体内容。其标志是美国注册会计师协会于 1998年 5月发布的企业准则公告第 55号 (5A555)。在这份公告中内部控制结构的概念取代了内部控制制度。公告指出企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序。公告认为内部控制结构由下列三个要素组成:(1)控制环境。这是指对建立、加强或削弱特定政策与程序的效率有重大影响的各种因素，包括管理者的思想和经营作风;组织结构;董事会及所属委员会，特别是审计委员会发挥的职能:确定职权和责任的方法;管理者控制和检查工作时所使用的控制方法，包括经营计划、预算、预测、利润计划、责任会计和内部审计;人事工作方针及其执行等;影响企业业务的各种外部关系，如由银行指定代理人的检查等。 (2)会计制度。这是指为认定、分析、归类、记录、编报各项经济业务，明确资产与负债的经管责任而规定的各种方法，包括认定和登记一切合法的经济业务;对各项经济业务按时和适当的分类，作为编制财务报表的依据;将各项经济业务按照适当的货币价值计价，以便列入财务报表;确定经济业务发生的日期，以便按照会计期间进行记录;在财务报表中恰当地表述经济业务及对有关的内容进行揭示。 (3)控制程序。这是指企业为保证目标的实现而建立的政策和程序，如经济业务和经济活动的适当授权;明确各个人员的职责分工，如指派不同的人员分别承担业务批准、业务记录和财产保管的职责，以防止有关人员对正常经济业务图谋不轨和隐匿各种错弊;账簿和凭证的设置、记录与使用，以保证经济业务活动得到正确的记载，如出厂凭证应事先编号，以便控制发货业务;资产及记录的限制接触，如接触电脑程序和档案资料要经过批准;已经登记的业务及记录与复核，如常规的账面复核，存款、借款调节表的编制，账面的核对，电脑编程控制，以及管理者对明细报告的检查。(二)内部控制在成熟阶段的研究结果如前文所述， C050委员会于 1992年 9月发布了指导内部控制实践的纲 领性文件内部控制一一整合框架，并于 1994年进行了增补，即 COSO内部控制框架。这份文件堪称内部控制发展史上的里程碑。 COSO对内部控制的定义包含大量关键概念，它们能举例说明企业内的内部控制系统有普遍影响力，而且控制是一个程序，而非结构。内部控制是公司董事会和各级管理层计划、实施和监察的不间断的一系列活动。内部控制的目标不仅是为了保证财务报告的可靠性与合规性，而且有助于提高企业运营的效益和效率。因此，内部控制也与业绩目标(比如获利能力)的实现有关。但是内部控制只为企业目标的实现提供合理保证，而非绝对保证。内部控制系统包括企业的政策、程序、任务、行为，使企业能够对与实现企业目标有关的重大业务、经营、财务、法规及其他风险作出适当反应，促进企业的运营效益和效率。这包括保护资产，避免被不当使用或流失和欺诈，并确保负债得到有效管理。完善的内部控制系统还有助于确保对内及对外报告的质量。这要求维持适当的记录和程序，以提供有关企业内外部的及时、相关且可靠的信息。而且，完善的内部控制系统还有助于确保企业遵守适用的法律法规，或遵守商业行为的内部政策。内部控制可分成五个相互关联的组成部分，在配合实现独立而又有重叠的经营、财务报告和法规遵守的目标时，这五个部分也可作为评价内部控制系统有效性的标准。这五个部分包括:控制环境、风险评估、控制活动、信息与沟通以及监察。不仅如此， COSO对内部控制系统的五大要素进行了认定。从董事会为企业制定整体管理哲学以实施内部控制，到控制环境的详情，都属于这五个要素的范畴。1(Control environment)。内部审计师协会 (The Institute of Internal Auditors , IIA)对控制环境的定义是董事会与管理层对待公司内部控制的重要性的态度及采取的行动。控制环境是其他内部控制元素的根基，并提供纪律及结构。控制环境因素包括人员的道德观和胜任能力、董事会提供的指示和管理的效率。控制环境被称为企业的最高层。控制环境能说明企业的道德观和文化，为内部控制其他方面的运作提供框架。控制环境是由管理层所定的基调、管理哲学与管理风格、授权方式、组织和培养员工的方式以及董事会对执行内部控制的决心决定。 2(Risk assessment)。风险评估是指识别和分析影响目标实现的风险(包括与监管和运营环境不断变化有关的风险)，以此来确定降低和管理此类风险的依据。企业的目标与所面临的风险之间有一定关联。为了对风险进行评估，必须确立企业目标。目标一经确立，必须识别和评估为实现这些目标而面临的风险，并且该评估应构成决定如何管理该风险的基础。企业的管理层应定时对企业内部的各类业务进行风险评估，而且需要考虑内部及外部因素。内部因素包括组织的复杂性、组织结构的变更、员下流动情况及员工素质。外部因素包括行业及经济条件的改变以及技术变革等。风险评估程序亦应区分可控制风险和不可控制风险。对于可控制风险，管理层应决定是否承受该风险，采取措施控制或降低该风险。 l对于不可控制的风险，管理层应决定是否承受该风险，或部分或完全退出此项业务，以规避风险。 3.控制活动( Control activity)。控制活动有助于确保管理层的指令得以执行，以及任何可能需要用来处理风险以实现企业目标的行动得以实施。控制活动是指能确保管理层的决策与指示得以执行的政策和程序。企业内部各层面均存在控制活动，控制活动包括组织控制、职责划分、调节和复核、实物控制、授权和批准、计算和会计 j人员控制、监督及管理控制。 4.信息与沟通 (Information and communication)。信息与沟通是指在人员能够履行责任的方式及时间范围内，识别、取得和报告经营、财务及法律遵守的相关信息的有效程序和系统。企业必须收集信息并向适当人士传达。管理者制定恰当的决策时既需要内部信息也需要外部信息。此外，为了运作内部控制，管理者也是需要信息的。因此必须建立完善的信息系统，必须为管理者提供与所采取的行动相关的，及时 L准确、可以理解的信息。企业多数会运用计算机系统来提高为管理者提供的信息质量，但是如果让计算机系统为管理者提供所需的信息，则必须将计算机系统结合到业务策略中。信息系统和信息管理对于成功的运转和业务控制有着非常重要的作用。信息系统和技术管理的内容可参考本书第十二章。 5.监察( Monitoring)。监察是指持续评估内部控制系统的充分性及表现情况的程序。内部控制的不足之处应向相应的上级领导层汇报。上级领导层可以是高级管理层、审计委员会或董事会。内部控制系统必须接受监察。作为内部控制系统的因素，它与内部审计及一般监督有关。识别并向高级管理层及董事会或董事报告内部控制系统的缺陷是非常重要的。企业可能已经建立了非常完善的内部控制系统，但是仍需要对该系统进行监察。如果内部控制系统未经监察，就很难评估它是否未受控制或需要改进。随着业务的发展，内部控制系统也在发展，因此内部控制系统不是静止不变的。内部审计部门通常是内部控制系统的主要监察人。内部审计师会对内部控制及控制系统进行检查。他们还应识别控制是否失效或是可以纠正问题，并且向管理层提出有关建立新系统或系统改进方面的建议。 COSO的上述定义对内部控制的基本慨念提供了一些深入的见解，特别是:(1)内部控制是一个实现目标的程序及方法，而其本身并非目标; (2)内部控制只提供合理保证，而非绝对保证; (3)内部控制要由企业中各级人员实施与配合。 COSO的内部控制定义构成了萨班斯一奥克斯利法案第 404节关于内部控制评估内容的基础。这些内容实质上对于全球的所有机构都非常重要，因此，管理者、审计师和其他人士应对 COSO的内部控制非常熟悉。 COSO利用三维模型来描述一个机构内的内部控制系统。该模型在水平方向上分为五层，垂直方向有三个组成部分和跨越第三维的多个推体。这种模型的结构是 5 x3 x2。但是，它们并不是完全独立的部分，彼此之间是相互连接的，就企业内的内部控制而言.我们将重点考察水平方向上的两层:控制环境和风险评估。企业的内部控制系统会反映其控制环境，而控制环境包括其组织结构。内部控制系统应嵌入企业运营之中，并成为公司文化的一部分。此外，内部控制系统应能够对由企业内在因素和商业环境的改变所产生的不断变化的业务风险迅速作出反应。而且，内部控制系统亦应包括向管理层及时汇报经确认的任何重大控制失误或不足，及所采取的纠正行动的详细程序。内部控制程序应保持简单直接，同时需要确保戚本没有超过效益。而且，应使各级职员能够了解维持足够内部控制的重要性，从而不会在实施控制时，因遇到不必要的复杂情况而对此产生不满。企业应给予董事及管理层适当的培训，使他们能正确认识内部控制及职能范围。这样做一方面有助于企业高管遵守内部控制的监管规定，另一方面也为企业实现目标提供更多的保证。培训课程可以由企业内部提供，也可由相关培训机构或专业机构提供。(三)中国内部控制的发展状况 2006年7月，受国务院委托，财政部牵头.由财政部、国资委、证监会、审计署、银监会、保监会联合发起成立了企业内部控制标准委员会。许多监管部门、大型企业、行业组织、中介机构、科研院所的领导和专家学者积极参与，为构建我国企业内部控制标准体系提供了组织和机制保障。企业内部控制标准委员会的职责和目标是总结我国经验，借鉴国际惯例，有效利用国际国内资源，充分发挥各方面的积极作用，通过 2 -5年的努力，基本建立一套以防范风险和控制舞弊为中心，以控制标准和评价标准为主体的内部控制制度体系。并以监管部门为主导，各单位具体实施为基础，会计师事务所等中介机构咨询服务为支撑，政府监管和社会评价相结合的内部控制实施体系，推动公司、企业和其他非营利组织完善治理结构和内部约束机制，不断提高经营管理水平和可持续发展能力。 2008年 6月 28日，财政部会同证监会、审计署、银监会、保监会制定并印发企业内部控制基本规范(下称内控规范)。自 2009年 7月 1日起在上市公司范围内施行，同时鼓励非上市的大中型企业执行。1.内控规范简述内控规范要求企业建立内部控制体系时应符合以下目标:(1)合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整; (2)提高经营效率和效果 (3)促进企业实现发展战略。内控规范借鉴了以美国 COSO报告为代表的国际内部控制框架，并结合中国国情，要求企业所建立与实施的内部控制，应当包括下列五个要素:(1)内部环境; (2)风险评估; (3)控制活动; (4)信息与沟通 (5)内部监督。内控规范强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。同时要求企业实行内部控制自我评价制度，并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系。执行内控规范的上市公司，在对企业内部控制的有效性进行自我评价后，应同时披露年度自我评价报告。国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查;并明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计，出具审计报告。 2.内控规范对企业的影响内控规范的发布是中国在公司治理方面的一个重要里程碑，体现了中国经济与全球经济的进一步接轨和整合。随着中国资本市场的发展与壮大，与之配套的公司治理和监督机制的需求日益增加;而随着中国企业的做大做强，企业对于内部外部的风险需要更系统有力的控制。一方面，内控规范为中国企业建立内部控制体系提供了一个标准的框架，在理念、实施和制度层面为企业提供了基础。而在另一方面，内部控制作为一个相对较新的课题，为首次系统地建立与实施内部控制的企业提出了新的挑战。从国际上一些公司治理法案，包括美国的萨班斯一奥克斯利法案和日本的金融交易法案的实施情况来看，企业通常在内部控制实施的第一年需要投入很多时间和精力，进行反复的学习和计划的修订工作:在实施的过程中，企业需要作出许多对合规性工作的效果和效率方面产生根本影响的重要决定。这些决定包括项目计划管理、实施范围、关注的风险领域以及测试策略等。在这些领域作出正确、适当的决定对于提高基本规范的实施效率来说十分关键。在颁布了内控规范之后，财政部陆续起草了一系列的内部控制配套指引 征求意见稿，这些配套指引对于如何指导企业和会计师事务所落实和实施内控基本规范将作出进步的明确说明。第二节 COSO内部控制内容的实践COSO内部控制框架的五个要素包括:控制环境、风险评估、控制活动、信息与沟通、监察。一、控制环境控制环境是其他内部控制因素的根基。控制环境因素包括人员的道德观和胜任能力、董事会提供的指示和管理的效率。控制环境应包括坚守诚信及高尚的道德观。就此而言，高级管理层必须把企业的价值观和行为守则向雇员明确传达。对违反行为守则的人员作出适当的处罚，是确保他们遵循行为守则并将其融入企业文化的重要一环 激励及诱惑是破坏深厚道德文化的可能诱因。前者包括施加压力以实现不切实际的业绩目标(特别是短期业绩)及与业绩挂钩的丰厚报酬。后者包括无效的控制(例如在敏感的领域职责划分不清)、薄弱的内部审计职能、未能察觉及报告不当行为，以及无法对高级管理者进行客观的监督的低效率董事会。控制环境还包括其他方面。例如，管理层应说明每项工作所需的才能水平，并具体地指出满足工作必需的知识及技能。此外，董事会必须具备管理能力、专业技术及其他专长，还必须拥有履行策略和监督职能的才干及思维。董事会成员必须客观、积极地问询管理层的活动。董事会中的审计委员会成员亦应富有经验、符合资格、独立且积极。此外，管理层应当确立报告关系及授权协定。其中主要的挑战在于下放权责，但要限于实现目标所需的程度。另一项重要挑战是，要确保所有人员明白企业的目标。控制环境在很大程度上取决于个人对其将负有多大责任的了解。企业需要优化组织结构，以便为实现目标而制定的策略能得以最有效地执行。以下所列是控制环境因素的范围:(一)诚信和道德观企业领导者必须创造一种除了财富之外还重视声誉的价值观氛围。这样能够确保更好地留住员工，实现更高的销售收入和利润，创造更好的市值和更多的报酬。诚信和道德观是企业控制环境的重要因素。如果企业已经制定了严格的商业行为守则，该守则强调诚信和道德观，并且所有的利益相关者都遵循了这一守则，那么，这意味着该组织已拥有一流的道德观。当今，行为守则是公司治理的重要组成部分。但是，即便企业制定了一份严格的行为守则，如果雇员不是故意渎职，而仅仅因为不了解该守则，也会违反守则的原则。在多数情况下，雇员可能不知道他们正在做的事情是错误的，或者可能错误地认为他们的行动符合企业的最佳利益。这种错误常常是由于高级管理层缺乏道德指南造成的，而不是雇员带有欺骗的意图。企业的政策和价值观虽然常常嵌在行为守则中，但也必须向企业内的各级人员传达。任何企业内都可能存在害群之马但是严格的政策和以身作则的适当行动，能够促使员工采取正确行动。在对特定领域进行独立复核时，审计师或管理者应始终确定恰当的信息或信号己在企业内传达。所有的管理者及其他股东都应该对其所在企业的行为守则及其应用和传达方式有充分的了解。如果行为守则已经过时，那么它就不能解决企业面临的道德方面的重要问题如果公司管理者未能反复向所有利益相关者传达行为守则，那么它可能成为企业内部控制的一个重大不足。即使行为守则描述了企业道德行为的规则，而且管理层的资深成员可能已定期传达了恰当的道德信息，但其他的激励和诱惑也可能破坏整个内部控制环境。如果企业存在促使雇员采取某些行动的巨大激励或诱惑，则员工很可能受到诱惑，作出不诚实、不合法或不道德的举动。例如，一家企业可能设立了过高的不切实际的销售或生产指标。达成这些业绩目标后能获得丰厚报酬，或者更糟糕的是，不能实现目标就要面临巨大的威胁，因而雇员会进行可疑操作，或记录虚假的账目交易，以实现这些目标。促使利益相关者编制不当的会计记录或作出类似举动的诱惑包括，缺乏控制或控制无效(比如，在敏感的领域职责划分不清)，权力高度分散导致最高管理层对企业内的低级别人员所采取的行动毫不知情，从而使其被发现的机会减少，薄弱的管理职能既没有能力也没有权力侦查和报告不当行为。对于不当行为的处罚如不严厉或未公开，则无法起到威慑作用。(二)用人唯才的承诺如果大量岗位被缺乏必要岗位技能的人员所占据，那么企业的控制环境很可能会被严重破坏。管理者会不时地遇到如下情形:被分配了某项具体工作的人员看起来不具备完成这项工作所需的适当技能、训练或智慧。由于每个人的技能和才干水平不同，应提供充足的监督和培训，以帮助雇员获得适当的技能。企业应说明各种工作所需的才能水平，并将其具体化为必需的知识及技能。企业用人唯才的承诺可以通过为适当的人才分派适当的工作，并在必要时提供充分的培训的方式来实现。用人唯才的承诺是企业整体控制环境的重要因素。管理者常常发现，对于职位描述是否充分，为适当的人才安排适当的工作的程序是否运转正常，以及培训和监督是否充分进行评估是具有重要价值的。 作为控制环境的一个重要部分，对员工的才能作出客观中肯的评价是比较困难的。虽然许多人力资掘部门通常都会制定详细的评级和评价机制，但是，员工常常都会被评为高于平均水平。就各级员工而言，管理层应切实地评估他们是否能胜任所分配的工作，以及是否能为实现整体组织目标付出努力。(三)董事会和审计委员会控制环境在很大程度上受董事会和审计委员会的行为影响。以往，董事会和审计委员会常常被高级管理层控制只有有限的少数代表来自外部股东。这导致董事会不能完全独立于管理层。公司管理人员在董事会任职，实际上形成了自我管理的局面，而且，与管理者个人利益相比，他们对外部股东的关注常常较少。随着时间的推移和相关法律法规的出台，上述情况得以改善。现在的董事会承担着更为重要的公司治理的职责，审计委员会必须由独立的外部董事组成。积极且独立的董事会也是企业的控制环境的主要组成部分。董事会成员应向最高管理层提出适当的问题，并对企业的各个方面进行细致的审查。通过制定高水准的政策和审查整体业务的行为，董事会及其审计委员会对确定企业领导层的基调承担最终责任。(四)管理哲学和经营风格高级管理层对企业的控制环境有着不可忽视的影响。一些最高管理者频繁地冒险尝试新业务或新产品，使企业面临重大风险，而其他管理者却极为谨慎和保守的形事。一些管理者似乎是凭直觉做事，而其他管理者则坚持认为每件事都应得到批准并被恰当的记录下来。管理哲学和经营风格需要考虑得上数十项，均是企业控制环境的一部分。管理者及负责评估内部控制的其他人士应了解这些因素，并在整个企业施行有效的内部控制系统时考虑这些因素。事实上，没有那一套风格和哲学是最好的。企业要对管理层的胜任能力有要求，第一步是挑选那些诚信、独立于董事会的专业人士，他们必须通过董事会方面的培训和资格认证。（五）组织结构组织结构能够为规划、执行、控制和监察活动提供框架，以实现企业整体目标。有一些组织是高度集中的，而另外一些组织则按照产品或地区分散了权利。还有一些组织形式是矩阵式，不存在单一的直线报告。企业的不同部分组合起来的方式有多种。企业控制是为了更庞大的控制程序的一部分。“组织(organization)”这一术语常常可与“使组织起来(organizing)”互换，对很多人拉说，二者的意思是相同的。“组织”有时是指人与人之间的登机关系，其更广义的用法还可能包括管理层的所有问题。“组织”可以被描述为：个人经过分派获得的工作并在后续过程中结合起来以实现整体目标的方式。在某种意义上，这种概念可用于一个个体组织其个人工作投入的方式，也适用于大量的人员以小组的形式投入工作的情况。对于大型现代企业来说，为组织控制制定完善的计划是内部控制系统中非常重要的部分。个人和小群体应了解其所在的小组的目标及企业的总体目标。倘若缺乏这样的了解，控制可能存在重大的缺陷。无论是商业组织、政府、慈善组织或其他部门，每个组织都需要制定有效的组织计划。对任何职能或部门负责的管理者必须对组织结构有充分的了解。组织控制的缺陷常常会对整个控制环境产生普遍影响。尽管权力界限划分明确，但企业内在的效率低下问题会随着组织规模的扩大而变得更为严重。这种效率低下问题常常会造成控制程序失灵，因此，在评估组织控制环境时，管理层应关注这些问题。复杂的或者不容易理解的组织结构可能带来严重问题。母公司将一个部 门作为一个独立的企业分离出去的情况，在当今并不少见。这种新企业的雇员以前采用的是母公司的控制系统和程序，但是现在他们有责任为新企业设立组织结构控制。企业合并、联营和收购发生时，组织结构的权力界限对于利益相关者来说可能是不清楚的。当独立经营的业务运转起来，并且财务结构细节被确定后，内部控制结构却时常被忽视。(六)权力和责任的分配组织的结构对总体工作投入的分配与整合作出详细说明。权力的分配本质上是指按照工作描述确定责任，根据组织结构图形成责任。尽管工作评估无法完全避免责任的重叠或连带责任，但是这些责任的说明越准确越好。关于如何分配责任的决定，常常会在个人与小组工作投入之间造成棍乱甚至冲突。现在，无论什么类型或规模的企业都简化了业务，并将决策权下放，且越来越接近一线工作人员。一线人员应具有在其自身业务领域作出重大决策的能力和权力，而无需请求上级作出决策。这样，授权或雇用造成的主要挑战是，尽管可以授予部分权力，以实现某些组织目标，但高级管理层仍需为这些下属所作的所有决策承担最终的责任。如果未经管理层复核，就将过多涉及更高级目标的决策交由不适当的较低级别人员负责，企业将处于危险之中。此外，企业内的每个人必须对该组织的整体目标，以及个人行为与实现目标之间的相互关联有充分的了解。 COSO内部控制报告中关于架构的部分对控制环境这一重要问题作出了如下描述:个人了解自己将负有多大责任，且能够对控制环境产生重要影响。这个结论适用各级人员，包括对企业的所有活动(包括内部控制系统)承担最终责任的首席执行官。(七)人力资源政策和实务人力资源实务包括诸如招聘、人职培训、在职培训11、评估、咨询、晋升、赔偿和采取适当的矫正措施。人力资漉部门应针对这些方面制定并公布充分的政策。不过，值得注意的是，对人力资源政策的操作会向雇员传达有关其预期道德行为水准和能力的信息。一旦高级别雇员公开破坏人力资惊政策，比如无视工厂禁烟令，企业的其他人将会迅速获悉。如果低级别的雇员 因为未经许可吸烟而受到处罚，但人们对违反规定的高级雇员却睁一只眼闭一只眼，那么消息扩散的速度会更快。上述人力资源政策和实务对某些方面具有特殊的重要意义，包括:(1)招聘和雇用。企业应设法招聘最具资格的人选。应核实潜在雇员的背景，证实他们的学历和工作经验。应精心组织应聘者的面试，对应聘者具有深入的了解。人力资源亦应向潜在的雇员传递信息，使他们了解企业的价值观、文化和经营风格。 (2)新雇员的人职培训。应将企业价值观体系和不遵循这些价值观的后果明确告知新雇员。通常在向新员工介绍行为守则并要求他们正式确认接受该守则时，告知他们上述事项。如果不能向新雇员传递这些信息，那么他们在加入该组织时可能缺乏对于企业价值观的了解。 (3)评估、晋升和赔偿。应实施公平的绩效评估程序，并且使之不受额外的管理支配。由于诸如评估和赔偿的问题可能涉及雇员的隐私，因此，整个系统应对企业内的所有成员一视同仁。通常，奖金激励计划都是一项激发和强化所有雇员的出色表现的有用工具，但是应坚持以公平公正的方式发放奖金的原则。 (4)惩戒措施。应实施统一且易于理解的惩戒政策。所有雇员应了解.一旦他们违反了特定规则，将会面临不同程度的惩戒，直至解雇。企业应尽力确保惩戒措施不存在双重标准，如果存在双重标准，那么高级别的雇员违反了特定规则，将会面临更严重的惩罚。有效的人力资源政策和程序是整体控制环境至关重要的组成部分。如果企业未设立严格的人力资源政策和措施，那么即使企业组织结构很牢固，领导层传达的信息也不会产生多少影响。管理层在对内部控制架构的其他因素进行复核时，应始终考虑控制环境的人力资源政策和因素。 COSO立体模型说明，控制环境是内部控制的根本性组成部分。以此方式说明控制环境的根基地位是恰当的。试图建立牢固的内部控制结构的企业应特别注意为控制环境结构奠定坚实的基础。二、风险评估按照 COSO立体模型，控制活动的上一层是风险评估。企业实现其目标的能力可能受到来自多个内外部因素的不利影响。作为整体内部控制结构的一部分，企业应实施一个程序，来评估可能影响其各种内部控制目标实现的潜在风险。风险评估可能是正规的量化风险评估程序，也可能是不太正规的方法，但是应包含对风险评估程序最起码的理解。例如，企业设定的目标是不改变营销计划，那么如果出现新的竞争对手则可能对该企业设置的目标造成压力，这需要对无法实现该目标的风险作出评估。风险评估是一个具有前瞻性的过程。也就是说，许多企业已经发现，对他们的各类风险水平进行评估的最佳时机是制定年度计划或定期计划的过程。应在所有层面以及企业的所有活动中实施这样的风险评估程序。 COSO内部控制架构将风险评估描述成一个可以分为三步的程序。第一步是估计风险的重要性;第二步是评估风险发生的可能性或频率;第三步是考虑如何对风险进行管理，以及应采取何种行动。 COSO内部控制架构强调风险分析并非一个理论过程，而且常常对实体的整体成功起到至关重要的作用。管理层是内部控制整体评估的重要一环，他们应采取措施对可能影响整个企业的风险，以及不同的组织活动或实体所面对的风险进行评估。由内部或外部原因导致的各种风险可能对整个组织产生影响。 COSO企业风险评估己对某些主要组成部分给出定义，做了一般性说明，并概述了一种能使组织对企业层面的风险进行更好管理的方法。风险管理包括识别和分析影响目标实现的风险(包括与不断变化的监管、运营环境和商业策略有关的风险)，以此来确定如何降低和管理此类风险的依据。第九章将针对风险管理的程序作更详尽的讨论。三、控制活动评估风险只是整个内部控制程序的一部分，管理层必须确定处理风险所需的行动，并付诸执行。这些行动亦应将注意力集中于控制活动的作用，目的是确保所需的行动得以有效且适时地执行。换而言之，控制活动包括多种政策和程序，有助于确保管理层的有关指示得以执行，处理风险以实现企业目标所需的行动得以实施。与大型企业相比，小型企业的内部控制程序可能不太正规且较具灵活性，但一贯地执行内部控制的有关政策及程序是十分重要的。控制活动可为雇员提供指南(命令式的控制)，设计这些活动旨在防止发生不希望出现的事情(预防性控制)，或者在不希望出现的事情发生时能够加以识别(侦察式控制)。当不希望出现的事情发生时，应识别程序的缺陷，并主动采取措施加以解决，此类活动称为纠正性控制活动。控制活动可分为运营、财务报告及合规三个类别，但它们之间有时可能出现重叠。常见的内部控制活动有(1)组织控制 (2)职责划分; (3)调节和复核 (4)实物控制 (5)授权和批准 (6)计算和会计; (7)人员控制 (8)监督及管理控制。(一)组织控制组织控制是指组织结构提供的控制，比如组织活动和经营分成若干部门或责任中心，责任区分明确，在企业内授权，确立企业内的报告路径，协调不同部门或小组之间的活动，比如设立委员会或项目组。(二)职责划分进行职责分工的主要目的是防止具有欺骗性的活动发生或未被查出。管理层可以通过在两个或两个以上的人员之间分配工作的方式实现这一监控目标。就适当的职责分工而言，不应由一个人控制一项交易或一个事件的所有 关键方面，而且一个人履行的职能可通过其他人执行的职能进行检查。大多数交易可分成三类独立的职责:认可或发起交易、处理被交易的资产，以及记录交易。这样能降低舞弊风险，同时降低出现差错的风险。如果一个人为上述活动中的一项以上活动承担责任，则存在舞弊的可能。职责划分还能较容易地发现非本意造成的错误，因此不应仅将其视为对舞弊的控制。尽管职责划分能够避免一个人舞弊的情况，但对于两人或两人以上串通舞弊却是元效的。在董事会层面，公司治理守则(比如英国综合守则)指出，董事会主席与首席执行官的职责应分离，以防止一个人取得董事会的支配地位。但是，如果这些职能尚未或无法分离，那么，应由管理层对相关活动进行详细的监管审核，作为一种补偿性控制。(三)调节和复核调节和复核业绩属于侦察式控制。所谓调节是指雇员将不同数据连接在一起，识别并找出差异，并且在必要时采取纠正措施。但是更重要的是，执行调节的人员要理解这一程序的重要性以及巳识别的差错的影响。调节包括比较总账的现金金额与银行对账单的现金余额、总账的应收款金额与相关补贴账户总额，以及固定资产的现场盘点与会计记录中记载的金额。所谓业绩复核，是指管理层将当前的业绩与预算、以前期间或其他基准相比较，以此反映目标的完成情况，并对其中的差异进行调查，以确定哪些纠正行动是必要的。(四)实物控制实物控制是指保护实物资产不被偷盗或未经许可而获得及被使用的措施和程序。实物控制包括使用保险箱储存现金和重要文件，为大楼或其内的区域设立门禁系统，为贵重资产采取两重保管方法，必须两人同时出现才能取得某些资产，定期对存货进行盘点，以及雇用保安和利用闭路电视摄像头。(五)授权和批准某些控制活动可提供其他控制活动运作正常或需要提供指南以改善这些控制活动的运作等信息。例如，被授权的雇员可能开展了达到某项限制的交易，并且须为超出规定限制的交易取得批准。批准上述超出规定限制的交易时，上级必须在核实该活动符合政策及程序的基础上，才能予以批准。就此来说，上级批准亦可作为一种监控工具，来确保政策得以遵守。由于这些控制旨在控制不希望出现的事件，因此，可视之为预防性控制。预防性控制的主要目的是防止错误的发生。一般而言，为了帮助确保控制活动发挥最大效果，在上级批准及授权时应提供书面指南、权力限制及支持性文件。另外，上级领导严肃地履行批准职能是非常重要的。这要求他们能够积极核查文件，对异常事项进行询问，以及提醒自己不在空白表格上签字。(六)计算和会计此类控制要求在会计系统中正确地记录交易。依靠会计记录能够追踪每项交易，核对计算。比如，在向客户发货或批准支付前仔细检查发票上的数字，确保数字是正确的。(七)人员控制此类控制适用于选择和培训雇员，以确保为企业的职位指定了恰当的人员，但个人必须具备适当的素质、经验和所需的资质。企业要向个人提供适当的人门培训，以确保他们能有效地完成任务。(八)监督和管理控制监督是指承担责任的某人对其他人员工作的管理。监督控制有助于确保个人按照要求恰当地完成任务。管理控制是由管理层根据其获取的信息执行的控制。董事会或高级管理层可能要求提供关于企业目标所实现的成果的报告。那么，在部门层面上，管理层应接受对业绩进行复核或标明特殊情况的报告。部门进行复核的频率应远远高于高层进行复核的频率。四、信息与沟通为了控制风险，有必要设立一个完善的沟通程序，以获取必要的信息，并向需要该信息的所有人员提供。控制风险是企业各类程序涉及的所有人员的责任，因此，已识别风险的信息以及控制这些风险的方法，必须向每个相关人员传达。沟通系统的重要意义在于，沟通能够在企业以全方位的方式展开，以减少出现误解的可能。企业的较低层级应识别问题，如果这些信息未提供给那些负责采取纠正措施的人员，那么，管理者将无法及时收到所需信息。信息与沟通是指在人员能够履行责任的方式及时间范围内，识别、取得和报告经营、财务及法律遵守的相关资讯的有效的程序和系统。这包括最高层将与控制有关的事宜的重要性及个人担当的角色向下级传达、向上级汇报重要信息的渠道以及与外部利益相关者保持有效沟通。(一)信息有关信息必须以适当的方式，在适当的时限内加以识别、收集和传达，以使人们能作出决策及采取适当的行动。信息系统提供运营、财务及合规的相关信息(包括内部产生及外部提供的信息)，这些信息有助于运作和控制业务，也是作出精明的决策以及对外报告所必需的。当面对重大的行业变动时，特别是富于创新精神及快速流转的行业，上述系统必须能够配合支持新的企业目标的需要。信息系统可以是正式的或非正式的。后者包括与客户、供应商、监管机构及雇员进行商讨，这可为识别风险及商机提供有用的信息。出席商务讲座和加入贸易、专业及其他团体成为会员，也可提供相关资料。系统产生的信息的质量会影响管理层作出适当决策的能力。报告中载有足够的数据以支持有效的控制是至关重要的，而系统的设计应针对这一方面。就信息质量而言，必须能够答复诸如内容、时限、更新程度、准确性、 可靠性和可用性等方面的问题。(二)沟通有效的沟通必须在企业内以全方位方式进行。高级管理层应向雇员传达清晰的信息，使其明白必须认真履行控制责任。他们必须明白自身在内部控制系统中担当的角色，以及个人活动如何眼其他人的活动有所关联。他们还必须有把重要资讯向上级汇报的方法，这需要公司建立公开的沟通渠道，上级人员应乐于倾听。一个让雇员惧怕因上报有关信息而遭到报复的环境，将与目标相背离。雇员必须被告知，每当有超出预期的事情发生，不仅要注意事件本身，还要注意确定事件发生的时间。他们必须知道他们自身的活动是如何与其他人的工作关联的，以及什么行为是被期望的或可接受的，什么行为是不会被接受的。管理层与董事会及董事会下辖的委员会之间的沟通尤为重要。管理层必须就企业的业绩、发展、重大风险、主要举措及其他有关事项不断地向董事会提供最新消息。董事会则应向管理层明确表示其需要何种资料，并应为管理层提供指示和反馈。此外，企业还需与外界各方(比如股东、客户、供应商和监管机构)保持有效沟通。客户和供应商可在产品或服务的设计与质量方面提供非常有用的意见;与诸如外聘审计师和监管机构的外界各方进行沟通，能对企业内部控制系统的运作情况提供非常宝贵的意见;与股东及财务分析师进行坦诚的沟通，能提供他们所需要的信息。总的来说，有效的信息与沟通系统应具备以下特点:能够生成企业经营所需的、关于财务、运营及法规遵守的报告，帮助作出精明的商业决策，以及对外发布可靠的报告。信息与沟通系统能使得雇员获得信息，且交流他们为实施、管理及控制运转情况所需的信息;能识别和传达相关信息，并且是以一种人员能够有效履行他们的职责的方式进行;使沟通在企业以全方位方式进行。此外，信息与沟通系统确立了与外部各方的有效沟通方式。作为信息与沟通系统的一部分，告知所有雇员应认真履行控制责任是很重要的。每个雇员应理解其在内部控制系统中的角色，以及他们的个人活动如何与其他人的活动相关联。雇员还需了解，在履行职责的过程中发现问题，他们有责任报告。有关雇员应当遵循的政策及程序的信息，应在公司内从上至下得以传达。关于日常活动的信息，应从公司内准备这些信息的雇员流向需要这些信息的雇员。关于日常活动中发现的问题的信息，需要向公司上层流动，直至能够采取纠正措施的人员。五、监察内部控制系统必须接受监察。监察是不断对内部控制系统的表现进行评估的过程，可以通过持续的监察活动或单独的评估来实现。内部控制如有缺陷，应向上级(例如高级管理层和审计委员会或董事会等)报告。监察可确保内部控制保持有效的运作。监察包括由适当的人员评估控制的设计及运作情况，以及采取适当的跟进行动。监察适用于企业内的活动，以及为企业提供相关服务的外部承包商。管理层为对内部控制系统的有效性取得合理保证，而需要对内部控制系统进行的独立评估的频率，属于判断性质的问题。相关因素包括，所发生的性质改变及程度以及伴随风险、执行控制人员的才能及经验、持续监察的结果。由于持续监察程序已成为企业经常性运营活动的组成部分，且为实时执行，应根据改变作出调整，因此，原则上，它们应比独立评价所执行的程序更有效。(一)评估监察内部控制的方法包括:1.绩效计量。既然设立内部控制的目的是为实现目标提供合理的保证，那么，可以利用绩效计量来确定实现其目标的程度，这是检验管理部门内部控制有效性的一种有用的方法。如果绩效计量结果不尽如人意，那么管理者以及员工应确定可以作出哪些改变以改善业绩计量结果。 2.对企业运营进行测试。确定程序是否按最初设计得以应用，应该是一个持续的过程。管理部门内某些较太的单位可能发现，建立内部审计职能部门来帮助内部控制的运转及己设立目标的实现，是具有成本效益的。 3.为控制环境、风险评估、控制活动、信息及沟通，以及控制而制定的政策及程序，常常由硬性控制构成，而硬性控制是容易识别、评估及记录的。这些政策和程序的影响亦应得以识别、评估和记录。政策和程序对相关人员的影响，可能导致产生另一种软控制，这与硬性控制同样重要。软性控制是指涉及态度、感知及能力的控制。根据其性质，这些控制不太明显，而且难以计量和评估。信任、强硬领导、开放及道德水准高等品质，对于管理部门的有效运转是至关重要的，并且，在设立或巩固企业的内部控制系统时，不应被高估或低估。为了评估这些控制类型，管理者应确定评价的标准并达成一致。通过自我评估，管理者应向问他们是如何确信目标得以实现、政策和程序以及法规得以遵守等。通过调查，管理者应询问雇员，以确认雇员的反馈。应对软控制的结果进行评价，为控制的有效性提供进一步的证据。如果识别出控制的不足之处，管理者应把重点放在改良基本程序上。应与所有相关人员就任何修改进行讨论。(二)记录内部控制系统的文件记录，可能因企业的规模及复杂性等而有所不同。大型企业多半备有书面政策手册、正规的组织结构图、书面职务说明、操作指示、信息系统流程图等。规模较小的企业可能备有较少的文件记录，但这 并不一定表示它们的内部控制无效。适量的文件记录能使评价变得更为有效，还有助于雇员了解系统如何运作以及他们所担当的角色，并使得在必要时修改系统变得更简单。(三)报告所有可能影响企业实现目标的内部控制缺陷，均应向能采取必要行动的人员汇报。雇员从事常规运营活动时产生的信息，通常通过正常的渠道向他们的上级报告，再由后者向上汇报。此外，还应有另一渠道供汇报非常敏感的信息，比如违法或不当举动。通常，有关缺陷的调查结果不仅应向负责有关职能或者活动的个人汇报，还应向比其至少高一级的管理层汇报。此程序可使更高级别的人员监督及支援采取补救行动，同时有助于向在公司内可能受此活动影响的其他人员传达。向适当人士提供有关内部控制的信息，对保持系统的有效性尤为重要。企业可订立规则，确定某一级别的人员做决策时所需的资料。获知有关内部控制缺陷的信息的各方，可就需要报告的信息提供明确指示。董事会或审计委员会可要求管理层或者内部或外聘审计师只汇报达到一定严重程度或重要性的内部控制缺陷的调查结果。总括以上对 COSO内部控制内容的分析，要使内部控制系统有效，该系统必须能降低管理层己识别的业务风险。内部控制系统对于管理重大风险以实现业务目标发挥关键作用。完善的内部控制系统能极大地促进对股东投资的保护、公司资产的保护，以及确保对法律法规的遵守。内部控制系统的目标之一就是防止或降低舞弊的可能性，如发生舞弊，对舞弊进行侦察。如果控制环境不佳，内部控制薄弱，舞弊事件将会增多。应对内部控制系统进行持续复核和管理。但内部控制的成本不得超过因风险降低而可能带来的收益。因此，具体的内部控制是否合适，会因企业的不同而有所差异。内部控制系统是企业不可或缺的一部分，并且是内部控制中的重要要素。第三节审计委员会的监察角色一、审计委员会与内部控制董事会应确保内部审汁师关于控制的建议得以执行，并复核企业策略及风险限制，与管理层就内部控制的有效性进行讨论。董事会还应复核对内部控制系统的评估和评价 。审计委员会是董事会下辖的委员会，全部由独立、非行政董事组成，他们至少拥有相关的财务经验。审计委员会的职能是监督、评估和复核企业内的其他部门和系统。董事会关于内部控制的主要目标会授权给审计委员会负责。在一般情况下，审计委员会负责整个风险管理过程，包括确保内部控制系统是充分旦有效的。就内部控制而言，审计委员会应复