COSO内部控制要素：控制环境

内部控制概念中的控制环境始于董事会和高管层，他们为企业确定的“最高层基调”，是高管层对外正式发布的内部控制声明，如企业行为准则等。管理层应该在企业不同层面强调并强化这种期望。控制环境包括企业诚信和道德价值观；促进董事会行使监督职责的机制；吸引、挖掘和保留人才的机制；保证绩效实现的绩效衡量、激励和汇报机制。控制环境将对内部控制的整体实施产生全面影响。

2013版COSO内部控制框架为组织或企业的风险评估要素制定了四个原则：

1、企业应制定足够清晰的目标，以便识别和评估有关目标所涉及的风险；

2、企业识别风险以保障企业目标的实现，并进行风险分析以便确定如何进行风险管理；

3、企业在评估实现目标的风险时，应考虑潜在的舞弊风险；

4、企业应识别并评估可能对内部控制系统产生重大影响的变化。

已建立并维持了有效控制环境的企业，能够在面临内部和外部的不断压力时更具应变能力。这种应变能力来自企业体现出诚信和道德价值观的行为、严密的监管流程和结构、适当的职责权力分配、较高的胜任能力和实现目标的强烈责任感。无论是长期还是短期，有效的控制环境流程应将企业和其要素定位于能够在面临外部压力时更具应变能力。

 

控制环境原则一：诚信与道德观

2013版COSO控制环境的第一条原则要求企业对诚信和道德观做出承诺。高管层的积极“基调”要求高管层在诚信和道德方面以身作则，积极的行为是企业建立有效控制环境的基石。作为有效的控制体系的重要组成部分的行为准则，应该针对企业的全体员工，包括高管层、运营的员工和其他利益相关者。诚信和道德观可通过以下方式建立和维护：

1、建立企业行为准则；

2、强化行为准则的遵循；

3、违反准则和纠正行动。

 

控制环境原则二：董事会职能

控制环境非常容易受企业董事会成员以及审计委员会依据如下原则而采取的行动的影响：

董事会证明其独立于管理层，并监督内部控制的执行及其效率、效果。

一个积极独立的董事会是COSO控制环境的关键组成部分。通过制定高层政策，检查整个企业的行为，董事会和审计委员会拥有企业设定“最高层基调”的最终责任。

董事会以下活动能够帮助管理层判断COSO控制环境原则是否存在且运行：

1、确定监督责任

董事会应确定并接受根据法律要求和利益相关者、投资者和公众期望而形成的的监督责任。

2、使用专业知识

董事会应明确、确保和定期评估其成员所需的技能和专业知识，从而确保他们能够对企业高管层提出的探索性问题，并采取相应的解决措施。

3、独立运营

董事会应保持充足的成员，并且其成员应独立于管理层，目的是评估并制定决策。

4、监控内部控制系统

董事会具有监督管理层建立并执行内部控制的职责。

 

内部控制原则三：对权利与责任的要求

管理层在董事会的监督下，建立实现目标过程所需的组织架构、报告路径以及适当的授权与责任。高管层和董事会应确立企业的组织架构，并附带计划、执行、控制、定期评估整个企业活动的适当的汇报流程。控制环境的目标是为整个企业内部以及所有子公司之间明确责任并提供信息流。

在全面理解企业责任与权力构成的基础上，管理层和董事会成员应在以下的管理层级中划分权力，明确责任，使用适当的流程和技术来分配责任和义务：

1、董事会

应明确认识到董事会保有重大决策权，有权检查管理层的任命并限制管理层的责任与权力。

2、企业负责人和高管层

企业高管层应设定指令、指南和控制来确保管理层和个人能够理解并履行自身的内部控制职责。

3、管理层

企业的重要成员应指导并促进高管层的指令在企业及其下属公司的实施。

4、全体成员和各级员工

企业的全体成员应理解并同意遵守企业的行为准则。此外，他们还应理解与其层级相关的内部控制目标的风险评估方式、预期的信息沟通方式和对实现目标而进行的相关活动的监控等。

5、外部服务提供者

这个团体应遵循管理层对全体非雇员适用的责权范围的界定。

 

控制环境原则四：加强人力资源建设

企业承诺吸引、培养和留任优秀人才，以达成企业目标。人力资源政策和实践是反映投资者、监管方、其他利益相关者期望和要求的高层次的指南和行为要素。它们为明确企业所需的胜任能力提供了基础，为执行业绩评估提供了更详细的程序，还在必要时指明了补救措施。这些人力资源政策和实践提供了：

1、要求和合理性

例如与生产安全相关的法律、制度、标准的实施，所有这些都将影响企业员工及其管理者的表现。

2、支持企业目标实现的强有力的内部控制实践所需的技能和行为

例如，支撑业务流程的技术平台所需要的操作知识。

3、定义关键业务功能的业绩职责

例如，企业清楚定义的产品安全标准和应用领域。

4、为评估运营缺陷和明确补救措施提供基础定义。这包括修改流程或培养管理层和其他人员的技能。

5、动态反映诸如新的监管要求、新风险的识别以及内部决策领域的变化，从而改善运营过程，这些运营过程反映出应用的整个运营程序的企业政策。

这里的控制和实践重点关注企业的整体的胜任能力。这种关注首先以董事会对首席执行官的监管为开端，然后表现为首席执行官对高管层的责任并依次下派到不同层次的管理者，由此产生的企业成员对其胜任能力的承诺促进了对实现企业各层级目标的评估。对于外部服务提供者而言，则需主要关注外部服务执行的流程和服务提供者所需要的技能和行为。

企业还应关注以下行为：

1、胜任能力承诺；

2、吸引、培养、保留优秀雇员和利益相关者；

3、人员继任的计划和准备。

 

控制环境原则五：个人的内部控制责任

企业在是实现目标过程中应设立对内部控制负责任的问责制度。管理层与董事会间应建立沟通机制，跟踪组织中个体的内部控制职责的履行情况，在必要时也可实施恰当的行动。其中，企业应建立适用于企业各层级职责的业绩量化、激励等奖励方式来表明符合企业期望的业绩构成维度和个人行为、业绩标准。

 

正确实施COSO控制环境

如今很多高级业务经理在看待内部控制系统时，通常没有恰当地考虑控制环境要素。但是，控制环境要素是建立有效内部控制流程最重要的第一步。

任何系统的力量都源于其内在基础。无论组织结构有多复杂，如果没有牢固的基础，其结构的完整性就很难保证。控制系统的基础是企业的经营理念和控制业务操作的具体人员。在设计控制之前，必须首先考虑基础部分----控制环境。COSO控制环境框架要求企业管理者考虑如下问题：

1、管理层在实现目标的过程中是否过度承担了业务风险？

2、企业是否鼓励冒险或“不计成本地实现目标”的态度？

3、管理者是否试图操控业绩评估过程使其结果对自身更为有利？

4、企业内是否存在扭曲事实的现象？

5、管理层是否一味压迫雇员达成目标，而极少考虑或完全不顾其采用的方法？

6、管理层是否相信财务结果并且可以证明财务结构形成的正当性？

7、管理层是否在业绩和结果方面对雇员保持公开和诚信？

COSO内部控制框架框架控制环境和配套原则是建立企业有效内部控制至关重要的因素。COSO强调了建立企业“基调”以及影响人员控制意识的重要性。一个有效的控制环境支持并强化了控制要素，相反，一个弱化的控制环境则削弱了这些要素，并导致其他要素的失效。

控制环境及其配套的五项原则可能是2013版COSO内部控制框架中最重要的要素。它对“最高层基调”的强调为企业管理层将风险意识、控制活动融入经理人员职责范围内的常规工作中提供了指导。通过在内部控制和遵循既有政策和各种法律要求方面保持积极的态度，管理层可以设定企业的整体“基调”。控制环境还包括文化、道德价值观、团队合作、士气和管理人员的培养等内容。