(五)組織結(jié)構(gòu)

　　組織結(jié)構(gòu)能夠為規(guī)劃、執(zhí)行、控制和監(jiān)察活動提供框架，以實現(xiàn)企業(yè)整體目標。有一些組織是高度集中的，而另外一些組織則按照產(chǎn)品或地區(qū)分散了權(quán)利。還有一些組織形式是矩陣式，不存在單一的直線報告。

　　企業(yè)的不同部分組合起來的方式有多種。企業(yè)控制是為了更龐大的控制程序的一部分?！敖M織(organization)”這一術(shù)語常?？膳c“使組織起來(organizing)”互換，對很多人拉說，二者的意思是相同的?！敖M織”有時是指人與人之間的登機關(guān)系，其更廣義的用法還可能包括管理層的所有問題。

　　“組織”可以被描述為：個人經(jīng)過分派獲得的工作并在后續(xù)過程中結(jié)合起來以實現(xiàn)整體目標的方式。在某種意義上，這種概念可用于一個個體組織其個人工作投入的方式，也適用于大量的人員以小組的形式投入工作的情況。對于大型現(xiàn)代企業(yè)來說，為組織控制制定完善的計劃是內(nèi)部控制系統(tǒng)中非常重要的部分。個人和小群體應(yīng)了解其所在的小組的目標及企業(yè)的總體目標。倘若缺乏這樣的了解，控制可能存在重大的缺陷。

　　無論是商業(yè)組織、政府、慈善組織或其他部門，每個組織都需要制定有效的組織計劃。對任何職能或部門負責的管理者必須對組織結(jié)構(gòu)有充分的了解。組織控制的缺陷常常會對整個控制環(huán)境產(chǎn)生普遍影響。盡管權(quán)力界限劃分明確，但企業(yè)內(nèi)在的效率低下問題會隨著組織規(guī)模的擴大而變得更為嚴重。這種效率低下問題常常會造成控制程序失靈，因此，在評估組織控制環(huán)境時，管理層應(yīng)關(guān)注這些問題。

　　復(fù)雜的或者不容易理解的組織結(jié)構(gòu)可能帶來嚴重問題。母公司將一個部 '門作為一個獨立的企業(yè)分離出去的情況，在當今并不少見。這種新企業(yè)的雇員以前采用的是母公司的控制系統(tǒng)和程序，但是現(xiàn)在他們有責任為新企業(yè)設(shè)立組織結(jié)構(gòu)控制。企業(yè)合并、聯(lián)營和收購發(fā)生時，組織結(jié)構(gòu)的權(quán)力界限對于利益相關(guān)者來說可能是不清楚的。當獨立經(jīng)營的業(yè)務(wù)運轉(zhuǎn)起來，并且財務(wù)結(jié)構(gòu)細節(jié)被確定后，內(nèi)部控制結(jié)構(gòu)卻時常被忽視。

　　(六)權(quán)力和責任的分配

　　組織的結(jié)構(gòu)對總體工作投入的分配與整合作出詳細說明。權(quán)力的分配本質(zhì)上是指按照工作描述確定責任，根據(jù)組織結(jié)構(gòu)圖形成責任。盡管工作評估無法完全避免責任的重疊或連帶責任，但是這些責任的說明越準確越好。關(guān)于如何分配責任的決定，常常會在個人與小組工作投入之間造成棍亂甚至沖突。

　　現(xiàn)在，無論什么類型或規(guī)模的企業(yè)都簡化了業(yè)務(wù)，并將決策權(quán)下放，且越來越接近一線工作人員。一線人員應(yīng)具有在其自身業(yè)務(wù)領(lǐng)域作出重大決策的能力和權(quán)力，而無需請求上級作出決策。這樣，授權(quán)或雇用造成的主要挑戰(zhàn)是，盡管可以授予部分權(quán)力，以實現(xiàn)某些組織目標，但高級管理層仍需為這些下屬所作的所有決策承擔最終的責任。如果未經(jīng)管理層復(fù)核，就將過多涉及更高級目標的決策交由不適當?shù)妮^低級別人員負責，企業(yè)將處于危險之中。此外，企業(yè)內(nèi)的每個人必須對該組織的整體目標，以及個人行為與實現(xiàn)目標之間的相互關(guān)聯(lián)有充分的了解。 COSO內(nèi)部控制報告中關(guān)于架構(gòu)的部分對控制環(huán)境這一重要問題作出了如下描述:個人了解自己將負有多大責任，且能夠?qū)刂骗h(huán)境產(chǎn)生重要影響。這個結(jié)論適用各級人員，包括對企業(yè)的所有活動(包括內(nèi)部控制系統(tǒng))承擔最終責任的首席執(zhí)行官。

　　(七)人力資源政策和實務(wù)

　　人力資源實務(wù)包括諸如招聘、人職培訓(xùn)"、在職培訓(xùn)11、評估、咨詢、晉升、賠償和采取適當?shù)某C正措施。人力資漉部門應(yīng)針對這些方面制定并公布充分的政策。不過，值得注意的是，對人力資源政策的操作會向雇員傳達有關(guān)其預(yù)期道德行為水準和能力的信息。一旦高級別雇員公開破壞人力資驚政策，比如無視工廠禁煙令，企業(yè)的其他人將會迅速獲悉。如果低級別的雇員

　　因為未經(jīng)許可吸煙而受到處罰，但人們對違反規(guī)定的高級雇員卻睜一只眼閉一只眼，那么消息擴散的速度會更快。上述人力資源政策和實務(wù)對某些方面具有特殊的重要意義，包括:

　　(1)招聘和雇用。企業(yè)應(yīng)設(shè)法招聘最具資格的人選。應(yīng)核實潛在雇員的背景，證實他們的學(xué)歷和工作經(jīng)驗。應(yīng)精心組織應(yīng)聘者的面試，對應(yīng)聘者具有深入的了解。人力資源亦應(yīng)向潛在的雇員傳遞信息，使他們了解企業(yè)的價值觀、文化和經(jīng)營風格。

　　(2)新雇員的人職培訓(xùn)。應(yīng)將企業(yè)價值觀體系和不遵循這些價值觀的后果明確告知新雇員。通常在向新員工介紹行為守則并要求他們正式確認接受該守則時，告知他們上述事項。如果不能向新雇員傳遞這些信息，那么他們在加入該組織時可能缺乏對于企業(yè)價值觀的了解。

　　(3)評估、晉升和賠償。應(yīng)實施公平的績效評估程序，并且使之不受額外的管理支配。由于諸如評估和賠償?shù)膯栴}可能涉及雇員的隱私，因此，整個系統(tǒng)應(yīng)對企業(yè)內(nèi)的所有成員一視同仁。通常，獎金激勵計劃都是一項激發(fā)和強化所有雇員的出色表現(xiàn)的有用工具，但是應(yīng)堅持以公平公正的方式發(fā)放獎金的原則。

　　(4)懲戒措施。應(yīng)實施統(tǒng)一且易于理解的懲戒政策。所有雇員應(yīng)了解.一旦他們違反了特定規(guī)則，將會面臨不同程度的懲戒，直至解雇。企業(yè)應(yīng)盡力確保懲戒措施不存在雙重標準，如果存在雙重標準，那么高級別的雇員違反了特定規(guī)則，將會面臨更嚴重的懲罰。

　　有效的人力資源政策和程序是整體控制環(huán)境至關(guān)重要的組成部分。如果企業(yè)未設(shè)立嚴格的人力資源政策和措施，那么即使企業(yè)組織結(jié)構(gòu)很牢固，領(lǐng)導(dǎo)層傳達的信息也不會產(chǎn)生多少影響。管理層在對內(nèi)部控制架構(gòu)的其他因素進行復(fù)核時，應(yīng)始終考慮控制環(huán)境的人力資源政策和因素。

　　COSO立體模型說明，控制環(huán)境是內(nèi)部控制的根本性組成部分。以此方式說明控制環(huán)境的根基地位是恰當?shù)摹Ｔ噲D建立牢固的內(nèi)部控制結(jié)構(gòu)的企業(yè)應(yīng)特別注意為控制環(huán)境結(jié)構(gòu)奠定堅實的基礎(chǔ)。

　　二、風險評估

　　按照 COSO立體模型，控制活動的上一層是風險評估。企業(yè)實現(xiàn)其目標的能力可能受到來自多個內(nèi)外部因素的不利影響。作為整體內(nèi)部控制結(jié)構(gòu)的一部分，企業(yè)應(yīng)實施一個程序，來評估可能影響其各種內(nèi)部控制目標實現(xiàn)的潛在風險。風險評估可能是正規(guī)的量化風險評估程序，也可能是不太正規(guī)的方法，但是應(yīng)包含對風險評估程序最起碼的理解。例如，企業(yè)設(shè)定的目標是不改變營銷計劃，那么如果出現(xiàn)新的競爭對手則可能對該企業(yè)設(shè)置的目標造成壓力，這需要對無法實現(xiàn)該目標的風險作出評估。風險評估是一個具有前瞻性的過程。也就是說，許多企業(yè)已經(jīng)發(fā)現(xiàn)，對他們的各類風險水平進行評估的最佳時機是制定年度計劃或定期計劃的過程。應(yīng)在所有層面以及企業(yè)的所有活動中實施這樣的風險評估程序。 COSO內(nèi)部控制架構(gòu)將風險評估描述成一個可以分為三步的程序。第一步是估計風險的重要'性;第二步是評估風險發(fā)生的可能性或頻率;第三步是考慮如何對風險進行管理，以及應(yīng)采取何種行動。

　　COSO內(nèi)部控制架構(gòu)強調(diào)風險分析并非一個理論過程，而且常常對實體的整體成功起到至關(guān)重要的作用。管理層是內(nèi)部控制整體評估的重要一環(huán)，他們應(yīng)采取措施對可能影響整個企業(yè)的風險，以及不同的組織活動或?qū)嶓w所面對的風險進行評估。由內(nèi)部或外部原因?qū)е碌母鞣N風險可能對整個組織產(chǎn)生影響。 COSO企業(yè)風險評估己對某些主要組成部分給出定義，做了一般性說明，并概述了一種能使組織對企業(yè)層面的風險進行更好管理的方法。

　　風險管理包括識別和分析影響目標實現(xiàn)的風險(包括與不斷變化的監(jiān)管、運營環(huán)境和商業(yè)策略有關(guān)的風險)，以此來確定如何降低和管理此類風險的依據(jù)。第九章將針對風險管理的程序作更詳盡的討論。