商业管理和经济学内部控制

毫无疑问，控制物质，财务和人力资源对经济复苏的重要性。

在组织内部，管理过程构成了协调发展，其中体现了计划，组织，指导和控制的功能。

在我国，几乎所有实体及其资源都是由国家机构管理的社会财产，在各个方面应用控制系统非常重要，因为要获得效率，效益和经济效益业务管理不能忽略具有实现这些目标所需条件的内部控制系统的计划和应用。

内部控制在企业经济中2-1

内部控制是经过精心设计的协调方法和措施的组合，以使其与流动性，安全性和责任感协同工作，以最大程度地保证维护目标，控制资源，运营，政策为目标行政，经济法规，可靠性，操作准确性在主要文件中已记录并通过会计记录。简而言之，它必须帮助保护资源免受欺诈，浪费和滥用。

内部控制。基本原则和控制规定。

多年来，内部控制缺乏通用的参考框架，从而在商人和专业人员之间产生了不同的期望。在没有明确定义的情况下，它在法律，法规或规章中使用。

为了发展本章，我们将基于所谓的COSO报告（赞助组织委员会），也称为“特雷德韦委员会的赞助组织委员会”，该报告通过相同的内部控制受到了严格的研究。 COSO成员包括美国特许公共会计师协会（AICPA），金融执行官学会（FEI），内部审计师学会（IIA），管理会计师协会（IMA）和美国会计协会（ AAA，由大学会计教授组成，该组织的上述机构享有公认的声望，并且与内部控制直接相关

今天，在公司的实践中以及在立法和教育水平上，COSO报告在处理内部控制事务时均被视为强制性参考。

COSO报告的主要目标是尽可能清晰地建立内部控制的定义和概念的发展，也就是说，对它的传统方法进行了修改，因此在谈论内部控制时，世界正在谈论同样的事情。内部控制的定义，内部控制的内容和标准在财政和价格部第297/2003号决议中生效。

由于上述原因，我们认为，从内部控制的概念，重要性，目标，原则和法规，组成部分和局限性角度出发，必须停止并实施内部控制。

概念，内部控制的重要性。

在组织内部，管理过程构成了协调发展，其中具有计划，组织，指导和控制职能。控制在其最一般的概念中，要事先对其批准或纠正的某个特定事实进行充分的检查和谴责。这可以是外部的，管理的和内部的。应当指出，实际上，最后两个会合为一个。

内部控制系统已开发并存在于组织内部，可以实现和/或实现其追求的目标。巨大的技术进步无疑加速了生产过程，对组织和行政管理领域的改进无疑产生了影响，因为必须重新排序才能生存。早在19世纪末，就已经证明了控制业务管理的重要性，并且它已经落后于加速的生产过程。

内部控制的存在是为了行政部门自身的利益。没有管理员希望看到由于错误或欺诈或基于不可靠财务信息的错误决定而造成的损失。因此，内部控制是管理人员用来确保公司活动有序有效进行的有用工具。

COSO在其研究中将内部控制定义为由董事会，管理层和实体的其余组织执行的过程，以赋予合理的信心以实现以下目标：

确保会计和财务运营数据的准确性和可靠性，防止资源浪费，欺诈或低效使用，并评估实体所有行政和职能部门的绩效（有效性和效率）确保遵守实体的经济监管政策。

因此，我们可以肯定的是，内部控制是一套机制，系统，程序和标准，可确保在实体的参与和整合环境下对实体进行有效的管理，实现其目标并维护其资产。所有使用它并与之互动的人：客户和供应商。

由此可见，内部控制是公司的神经系统，因为它覆盖了整个组织，是一种双向通讯系统，其设计目的仅仅是为了满足特定公司的需求。它不仅包括会计系统，还包括诸如雇用和培训实践，质量控制，生产计划，销售政策和内部审计等内容。每项操作都意味着内部控制。工人执行该任务时并未意识到自己是执行任务的积极成员。执行过程时，控制概念必须在其中起作用。

内部控制系统已开发并存在于组织内部，并具有确保其内部结构和行为的预先建立的程序或形式；另外，它必须具有合适的人员才能执行功能。

上面的内部控制定义反映了以下基本概念：

内部控制是一个过程，在此过程中，将执行一组旨在实现目标的结构化和协调的行动。当将它们插入流程并作为实体不可分割的一部分相互补充时，它具有更高的效率。

内部控制由实体各个级别的人员执行。嗯，从实体的管理到最后一个工人，他们必须感到自己是其中的一部分，这样，他们每个人都将能够在评估风险，实施控制并能够对其做出适当反应时获得高度的意识。。好吧，该实体不可能随时知道其所面临的所有那些风险。

内部控制只会为实体的管理层提供合理程度的安全性，因此，知道内部控制的局限性，就可以保证实现目标。

内部控制不能是限制性的要素，而是可以使流程，允许和促进一个或多个独立领域中具有共同要素的目标的实现。

内部控制的目的。

可以对目标进行分类并集中进行三类分析：

运营目标。

它们指的是实体运营中对资源的有效利用。它们是公司的存在理由，旨在实现公司宗旨。因此，它构成了构建策略和分配可用资源的整个过程中最重要的部分。因此，目标的连贯性和现实性至关重要。尽管它们是管理的先决条件，但它们构成管理的要素而不是内部控制。这组目标是每个实体所特有的，但另两个目标却并非如此，因为有些变化适用于所有实体，而业务目标的实现并不总是在实体的控制之下。内部控制不能防止可能阻止实现业务目标的某些外部事件，但是它可以提供合理的保证水平，确保在达到这些目标的进展水平的准确时刻向行政部门通报。

与财务信息有关的目标。

这些都是在编制和发布可靠的财务报表时加以构架的，除了作为内部管理的重要内容外，其因素在与外界的关系中也至关重要。这就是为什么可靠的财务信息是实现财务报告的重要目标的原因。遵守。

为了使财务报表可靠，它们必须遵循以下要求：

拥有公认的会计原则并适合具体情况拥有足够和适当的财务信息，进行适当的汇总和分类提出经济事实，使财务报表充分反映财务状况，经营成果和现金流量以适当和合理的方式获取资源和资源。

财务报表所依据的报表是：存在：资产和负债在资产负债表日存在，并且会计处理的交易实际上是在一定时期内发生的总计：在一定时期内发生的所有交易和事项都已经有效地发生了。权利和义务：资产是主体的权利和负债，是资产的义务。估值：资产和负债的金额和收入的金额已根据会计准则总体上以适当的标准确定接受的列报：财务报表中列示的财务信息充分，充分且正确分类。

合规目标。它们指的是实体遵守法律和法规的情况。每个实体都必须在规范社会关系各方面的合法性和法规框架内开展活动，例如：商业，民事，劳工，金融，环境和安全法规等。不遵守这些规定可能会引起问题，并可能影响其声望。每个实体都必须建立自己的遵从性目标，并在其中实现目标。

在了解了内部控制目标之后，我们可以说一个目标可以属于多个类别。在任何情况下，都必须有一个连贯的目标结构，按目标的重要性对其分类，并认识其相互联系和衍生。

具有特殊意义的一组目标是被称为“资产保护”的目标，它包含在运营目标中，在其中存在对资源的有效利用，避免了效率低下，损失或挪用公款。它们可能与合规性目标或与财务报告相关的目标有关。内部控制应确保有关实现业务目标的信息水平适当。

三种类型目标的相互关系。先前的类别重叠，一个目标可以属于多个类别。某些目标的实现可能以其他目标的实现为条件，但是在任何情况下，都必须有一个连贯的目标结构，将其按重要性进行分类，并认识到它们之间的相互关系和派生。

具有显着利益的一组目标是与资产保护有关的目标，这些目标应包括在运营目标中，这些目标包括有效利用资源，避免效率低下，损失或挪用公款。这些目标可能与合规性目标或与财务报告相关的目标有关，例如：有必要对库存中发生的损失保持适当的控制，以使其充分反映在会计记录中。请注意，内部控制的旧定义包括在会计记录中适当反映交易并保护资产的目标。 COSO报告已将资产保护转移到运营目标，在更广泛的内部控制定义的背景下。

内部控制负责确保获得有关实现业务目标的适当信息。信息系统与业务和财务报告目标密切相关。

1.3行政控制和会计控制。

可以根据组织的所有活动所执行的不同目的来分类每个组织所进行的不同的协调和综合行动，但要始终牢记，它们不是孤立的元素，而是组织中的一部分。流程，并且与其他动作相互关联，而其他动作又与不同的管理流程集成在一起。

考虑到审计师对内部控制评价的利益，并且实质上，外部审计师有兴趣就财务报表的可靠性发表意见，仍然至关重要的是，有必要区分构成内部控制流程的行为; 它们可以分为行政控制：运营控制，战略和会计控制。

行政控制由以下各项组成：运营控制和战略控制。迄今为止，行政控制被某些作者称为运行控制，已经被确定为组织的计划以及与运行效率和遵守管理政策有关的所有方法和程序。

考虑到COSO报告所揭示的关于内部控制的概念以及在战略方向的日益广泛使用中，可以将行政控制定义为由人们执行的所有协调和整合的行动（来自理事会）给组织的任何成员），在实体的每个级别上给予合理的信任度，以实现运营效率和有效性的目标，战略目标以及对适用法律法规的遵守。其中的子组如：

操作控制。控制措施，被理解为结构化和协调一致的行动，旨在使人们对在运营领域遵守适用法律，在运营中实现预期的经济，效率和效力水平以及在保护运营方面达到合理水平的信心。资产。

战略控制：包括实体单位或活动的协调和综合行动的过程，以在制定成功的战略中实现合理的安全水平。

会计控制是指组织，协调和集成到计划，执行和监督的基本管理过程中的那些活动，目的是赋予财务信息合理程度的可靠性。这些操作由为此目的建立的会计控制和程序组成。

当将内部控制纳入组织的基础架构中并成为其最基本活动的一部分时，内部控制是最有效的。他们不应阻碍实现目标，但应表现积极。

但是，在实施过程中，始终要考虑内部控制系统的成本优势以及任何系统固有的局限性。

1.4内部控制的原则和规定。

如前所述，内部控制包括组织计划，适当分类和协调的方法集，实体为确保其资源，提高会计信息的准确性和可靠性，支持和衡量财务效率而采取的措施。操作和遵守计划，并鼓励遵守既定规则，程序和规定。

实施内部控制措施，以及系统地执行控制措施和应用部门来消除缺陷，以实现更高的经济效率和质量以及每个实体开展活动的积极结果。

为了建立有效的内部控制系统，必须事先在某些原则的基础上考虑实体的组织，其中基本原则如下：

分工。

任何人在任何情况下都不能完全控制一项操作，内部控制必须经历四个单独的阶段才能处理每种类型的交易：

这样可以确保负责媒体保管和原始文件准备工作的人员无权批准它们，并且两者都不具有以这种方式在会计记录中进行输入的功能或可能性。一个人被另一个独立工作的人验证，同时验证所执行的操作，从而有可能发现错误。

责任设定。

确保经济操作控制固有的程序以及相关文件的准备和批准，在任何情况下都可以确定所进行的所有条目和操作的主要责任。

必须提供每个领域的功能以及每个成员的相应职责，同时要记住，权威是可以委派的，而不是职责。

充电和放电。

必须确保对接收或交付的所有资源或服务进行注册，即记录进出的所有物品的费用和排出的一切物品的费用，这将作为书面证据，指明谁执行，批准，注册和已验证。

应该很清楚以什么形式以及何时帐户收到贷方和借方，这就是为什么必须详细调查任何不遵守帐户规则的条目的原因。

进行注释的独立人员可以通过系统的方式，对每个帐户和子帐户或分析中反映的操作进行监督，以观察注册的操作是否与每个帐户的内容相对应。

考虑到他们的知识和职业水平，将轮换工人的做法应用到他们的不同工作中也很方便，这限制了欺诈的风险，使欺诈的发现在发生这些欺诈行为时是可行的，并且具有以下优点：通过进行更全面的培训来提高工作效率。

为了使会计系统能够确保有效的内部控制，必须发生以下情况：

每个公司在开始运营之前都必须正确定义其组织，至少必须具有：
- 组织结构图按职位的职能手册。
从根本上说，除了要很好地隔离和建立它们之间的关系和衔接点之外，还必须对会计和财务职能进行良好的定义。会计管理员必须对公司一级官员的行为负责，这意味着它必须在公司其他官员之前拥有绝对的意见独立性。根据其经济活动被分类为中型或大型的每个实体都必须具有内部审计职能，直接隶属于一流官员必须向其报告的组织级别。内部干预基本上包括定期检查会计程序中建立的内部控制机制。实体在开始运营之前必须具有一个帐户分类器，该分类器详细说明会计用于记录经济事件的会计科目表，每个帐户的经济内容及其基本信用额度和信用额度以及系统会计定期发布给公司管理层以进行经济指导的信息，该实体在开始运营之前必须拥有的另一份管理文件是会计程序和内部控制手册，其中他们将描述所描述的每个操作所要遵循的会计程序和内部控制要求，以进行检查和比较，定期信息系统必须为管理层提供适当的工具以指导，除其他外，它必须提供以下内容：
- 与正常数字相比有显着差异预算或以前的期间。

这些定期声明应与董事会，执行委员会，总裁，司库，部门负责人等进行审查和讨论，以便做出旨在提高公司效率的经济决策。

为了有效管理，该机构必须具有以下要素：
- 成本控制系统成本和费用的预算控制对两者的解释进行分析。

成本系统是一个文档，其中包含用于控制成本确定和分析以及记录一个或多个活动的费用的过程的一组方法，规则和程序。该系统必须保证有关实体正确方向的信息要求。

预算控制建立实际执行与预测或预算的比较，确定偏差及其成因，对成本和预算的分析允许采取具体措施消除偏差的负面影响。定义了有关保险范围的一般政策，以及负责定期审查该范围的官员的定义，这应该定义每日凭单的格式，应采用的方式如果您有分支机构，则在内部干预方面，对分支机构的控制应与母公司的控制类似。必须确定所有官员和行政雇员均休年假，并在此期间视情况由其他官员或雇员代替。在拥有官员的情况下，必须有与纳税到期有关的日历或日期档案。公司的主要股东或执行官应有义务声明与第一家与之有业务往来的其他公司的联系。根据规则汇编适用的规则和程序由全球和分支机构以及每个实体的机构发布，并注意其活动的特殊性以及其组织和管理的要求。根据活动的特点，设计实体中需要使用的一组模型和文档，这些模型和文档既可以用于与第三方建立关系的常规用途，也可以用于支持内部运营的模型和文档以及特定用途的模型和文档他们制定的方法，包括相应的方法，并根据有关处方的规定，预见了适当的归档和保存方法，为此目的制定了与整个经济有效的通用信息系统兼容的内部信息系统，确保各个层次的分析需求。以及针对特定用途的活动，应根据活动的特点，包括相应的方法，并根据为此目的制定的规定，对其进行适当的归档和保存。内部通讯与适用于整个经济的通用信息系统兼容，从而保证了每个层次的分析需求。以及针对特定用途的活动，应根据活动的特点，包括相应的方法，并根据为此目的制定的规定，对其进行适当的归档和保存。内部通讯与适用于整个经济的通用信息系统兼容，从而保证了每个层次的分析需求。保证了每个级别的分析需求。保证了每个级别的分析需求。

1.5内部控制组件。

考虑到我们的实体不受单个所有者或一小群人的约束，因此采用更先进，更严格的系统（受实体经济的影响）也会影响管理方式，因此，他们有义务对内部控制系统以及国家主管机关和机构制定的规定和法规的必要反馈。

该控件的元素是：

控制环境，风险评估，控制活动，信息和沟通，监督。

内部控制组成部分的这些定义（战略重点放在实体的发展上）必须包括在设计每个实体的内部控制系统时要考虑的一般性规范或程序，以及控制标准和组织某些领域的评估。

控制环境。

控制环境构成了制定行动的基本点，反映了高级管理人员对内部控制的重要性及其对实体活动和结果的影响所采取的态度，对此必须具有介绍成功实施和发展所需的所有规定，政策和法规。

控制环境通过影响员工的意识为组织定下基调。这可以被认为是内部控制其他组成部分的基础。

实体的管理层和内部审计师负责通过有效的组织结构，完善的管理政策来创造适当的环境，因此工人可以更好地吸收法律和政策。

控制环境是其余元素开发的基础，其关键基础是：

组织所有组成部分的诚信，道德价值观，专业能力和承诺，以及对既定政策和目标的坚持，管理的理念和风格，结构，组织计划，法规和程序手册，分配职责的形式以及人事管理和发展，政策和决定的文件编制程度以及制定包含目标，目的和绩效指标的计划的组织，内部审计部门是否具有足够的独立性和专业资格。

控制环境标准。

诚信和道德价值观。

该机构的最高权力机构必须寻求，传播和监督对道德价值观的遵守以及接受的国家和政府规章制度，这为其管理和运作奠定了坚实的道德基础。

道德价值观对于控制环境至关重要。内部控制系统基于道德价值观，这些道德价值观定义了操作内部监督者的行为。这些道德价值观属于道德层面，因此，它们不仅仅遵守法律，法令，法规和其他法律规定。

行为和道德品格在有机体的文化中得到支撑，什么决定，如何做，遵守什么规范和规则以及是否避免。实体的最高管理者在为此目的建立适当的文化时，扮演着主要角色，因为以他们的榜样为例，他们将每天促进制定或破坏内部控制的要求。

专业能力。

领导，官员和其他工人必须具有一定的能力水平，使他们能够理解制定，实施和维持适当的内部控制的重要性，也就是说，他们必须具有与其职责，理解能力有关的专业能力充分说明内部控制的重要性，目标和程序，并确保所有领导者和其他工人的资格和能力。

管理层必须指定各种任务所需的能力水平，并将其转化为知识和技能要求。招聘人员的方法必须确保候选人具有适应职位要求的准备水平和经验水平。一旦成立，实体必须以实用和有条理的方式接受必要的指导，培训和培训。

相互信任的气氛。

对于控制而言，人与人之间相互信任的水平至关重要，这有助于人们做出决策和采取行动。它还促进了旨在实现实体目标的有效业绩所需的合作和授权。信任基于与其他人或组的完整性和能力有关的安全性。

开放式沟通会创建并依赖实体内部的信任。高度信任会鼓励您确保任何一个人都知道任何重要主题。共享此类信息可增强控制力，减少对判断力，能力和单身人士的依赖。

每个实体都必须建立符合使命和目标的组织结构，并且必须在组织结构图中对其进行形式化。在组织结构图中正式化的组织结构构成了权威和责任的正式框架，在其中，计划，实施和控制了根据生物体目标进行的活动。

重要的是您的设计会根据您的需求进行调整，并提供适当的组织框架以执行旨在实现既定目标的策略。组织结构的适当性可能取决于例如实体的规模，在小型实体中可能不建议使用满足大型实体需求的高度正式的结构。

权限和责任的分配。

每个实体都必须通过组织和职能手册来补充其组织结构图，在其中必须分配职责，行动和职位，同时为每个实体建立不同的层次结构和职能关系。

在实体成员清楚地知道其职责和责任的范围内，控制环境得到了加强。这鼓励使用主动行动来面对和解决问题，始终在其能力范围内行事。

有一种将权限转移到较低级别的新趋势，因此决策权掌握在最接近业务部门的人手中。这种趋势的一个关键问题是委派的极限：您必须尽可能多地委派委派，但仅仅是为了提高实现目标的可能性。

任何权力下放都会导致酋长需要酌情审查和批准其下属的工作，并要求两者均对其职责和任务负责。

它还要求所有人员都知道并响应实体的目标。至关重要的是，每个成员都必须了解自己的行动是如何相互联系的，并有助于实现总体目标。

为有效起见，增加权力下放需要代表的高水平能力以及高度的个人责任感。此外，管理层必须采用有效的管理和结果监控流程。

人事政策和实践。

实体人员的管理和待遇必须公平，公正，并清楚地传达了预期的正直，道德行为和竞争水平。

招聘，入职，培训和培训，资格，晋升和纪律的程序必须符合政策中规定的目的。

人员是任何实体所拥有的最有价值的资产，必须对其进行处理和操作，以使其获得最高的绩效。必须寻求您对所做工作的个人满意度，以巩固自己作为一个人的地位，并在人文和技术上丰富自己。

管理层在不同时间承担这方面的责任；通过建立足够的知识，经验和对实体的法人资格的要求来进行选择；入职培训，方法是照顾新员工有条不紊地熟悉机构的习俗和程序；通过坚持要求他们接受适当的培训以履行职责来进行培训；通过确保组织流动有效地进行轮换和晋升，这意味着对最有才干和创新能力的认可和晋升；制裁，在适当情况下，应采用严厉惩戒措施，以防止偏离计划路径。

控制委员会。

只要条件允许，每个实体中都必须建立由至少一位高层领导和首席内部审计师组成的控制委员会。其总体目标是监视内部控制系统的正常运行及其持续改进。

有这样一个目标的委员会的存在，加强了内部控制系统，并为控制环境做出了积极贡献。为了有效地履行职责，它必须与尊重其能力和全面职业的成员充分融合，这些成员应具有适当程度的知识和经验，以使其能够通过其指导和监督来支持实体的管理。

控制环境评估。

对实体制定的书面标准（行为准则）和道德规范的知识和自觉接受，其中必须包括与普遍接受的商业惯例，利益冲突和预期的道德行为水平有关的问题。

根据当前法规的规定，检查在采取行动不符合既定规则的情况下，是否有效且有力。验证是否传达了纠正措施，以便整个实体都知道。

明确，明确定义了在实体中选择，培训，组建，评估和晋升必要人力资源的程序，以及与之相关的每个职位和活动的内容。

评估组织结构是否适合实体的规模，活动的类型和已批准的目标，是否定义了职责和权限以及信息流经的渠道。

相对于已实施的内部控制程序，评估在实体的任何层次级别上使用正确的管理样式。验证控制委员会是否正常工作，并为内部控制系统的持续改进做出贡献。

风险评估。

内部控制的设计实质上是为了限制影响实体活动的风险。通过对相关风险以及当前控制措施消除这些风险的程度进行调查和分析，可以评估系统的脆弱性。为此，必须获得有关实体及其组成部分的实践知识，以此作为识别薄弱环节的方法，重点关注实体（内部和外部）和活动的风险。

应当记住，控制目标必须是具体的，并且必须适当，完整，合理并与机构的总体目标相结合。

确定风险后，您的分析应包括：

对它们的重要性和重要性的估计，对概率和频率的估计，对它们的管理方式的定义，环境的变化，机构政策的重新定义，重组或内部重组，新员工的招聘或现有员工的轮换。新系统，程序和技术加速增长新产品，活动或功能。

风险评估规则。

识别风险。

必须确定一个实体在实现其目标时面临的相关风险，无论这些风险是内部起源的，也就是说，是由该实体考虑到特定活动或其在运营中的内部特征（作为外部因素）造成的在组织外部影响到其目标实现的程度。

风险识别是一个交互式过程，通常集成到策略和计划中。在此过程中，“从头开始”很方便，即不依赖先前研究中确定的风险方案。

它的发展必须包括进行风险分析，其中包括对组织的关键领域或要点的规范，对一般目标和特定目标的识别以及可能面临的威胁和风险。

实体的域或关键点可以是：

对他们的生存至关重要的过程；一项或多项活动，是向公民提供重要服务的一部分；该地区受法律，法令或严格遵守的条例的约束，并可能因违规而受到严惩。对政府至关重要的战略领域（例如：国防，先进技术研究）。

在确定与实体目标紧密相关的这些关键活动或流程时，应牢记，其中某些可能没有正式表达，不应妨碍对其进行审议。无论是显式的还是隐式的，分析都与过程或活动的重要性以及目标的重要性有关。

内部和外部风险有很多来源。仅作为示例，可以提及以下内容：

技术发展，如果不采用，将导致组织过时，人口需求和期望的变化，法规和法规的变化，从而导致战略和程序的强制性变化，经济和财务状况的变化，从而影响实体的预算，其资金来源以及扩张的可能性。

在囚犯中，我们可以提及：

鉴于存在典型的固有风险，在集中模型和分散模型中都采用了组织结构；合并人员的素质以及他们的指导和激励方法；实体活动的本质。

一旦确定了实体层面的风险，就应该在计划和活动层面上采取类似的流程。因此，它将被认为是一个更为有限的领域，集中于实体全球分析中确定的关键领域和目标的组成部分。

风险估计。

必须估计已识别风险的出现频率以及可能造成的损失。

在机构，计划或活动级别确定风险后，应进行分析。确定风险相对重要性的方法可以多种多样，至少包括：

估计其发生频率，即发生的可能性，评估可能造成的损失。

通常，那些发生频率估计为低频率的风险并不能作为主要关注点；相反，被认为频率较高的那些风险应受到优先关注。在这些极端情况中，必须仔细分析案例，并运用高剂量的良好判断力和常识。

有许多风险很难量化，至多只能给“大”，“中”或“小”评级。但是，人们不应屈服于将其快速概念化为“无法衡量”的广泛倾向。在许多情况下，只要付出合理的努力，就可以实现令人满意的测量。

这可以用数学上用所谓的“曝光方程式”表示：

PE = F x V

哪里：

PE =预期损失或暴露，以比索和每年表示。

F =频率，该年发生风险的可能时间。

V =出现风险的每种情况下的估计损失，以比索表示

确定控制目标。

在确定，估计和量化风险之后，高层管理人员和负责其他领域的人员必须确定具体的控制目标，并就这些目标建立最方便的控制程序。

一旦高层管理人员和负责其他领域的人员确定并估算了风险水平，就应采取措施以最有效和最经济的方式应对风险。

必须建立实体的特定控制目标，并将其自身的全球和部门目标充分阐明。根据确定的控制目标，将选择以最低成本被认为最有效的措施或保障措施，以最大程度地减少暴露。

检测变化。

每个实体都必须具有能够捕获和及时报告内部和外部环境中已注册或即将发生的变更的程序，这可能会妨碍在所需条件下实现其目标的可能性。

风险评估流程的一个基本阶段是确定实体在其中采取行动的环境条件的变化。控制系统可能会通过更改其运行条件而停止有效。

需要一个能够捕获，处理和传输与事实，事件，活动和条件相关的信息的信息系统，该事实，事件，活动和条件导致实体必须对之作出反应。

通过示例的方式，列出了一些应特别注意的条件：

外部环境的变化：法律，法规，调整计划，技术，权限的变化等加速增长：一个实体以过快的速度增长会受到许多内部压力和外部压力的影响。：对新产品或服务生产的投资通常会导致内部控制系统的失衡，必须加以审查重组：通常是指人员的减少，如果不合理地实践，它们会导致职能分离的改变信息系统的创建或其重组：它可能在一段时间内导致所发布信息的过多或不足，从而导致在两种情况下做出错误决策的可能性。

风险评估。

检查是否存在合适的程序来预测风险，识别风险，评估风险的重要性，评估其可能性或频率并对内部或外部来源的影响计划目标实现的事件或变化（例行与否）做出反应。，以及公司一级和最重要的部门或职能（销售，生产，财务，人力资源等）。

在公司一级

外在因素

新技术，产品，服务或活动。

人口需求和期望的变化。

修改法规。

该国经济金融状况或国际环境的变化。

内部因素

现有的组织结构。

合并人员的素质以及他们的指导和激励方法。

内部重组。

信息系统。

公司活动的本质。

验证由管理层定义并传达给实体内相应级别的策略和绩效标准的存在，请参阅：

交易授权。

交易批准。

流程和操作注册。

操作分类。

核实和评估会计记录。

资产的实物保护。

控制活动。

控制活动是有助于确保管理层政策得以执行的程序，并且必须与管理层已确定和承担的风险相关。

控制活动是在组织的各个级别上以及在管理的每个阶段中进行的，从制定风险图开始，了解风险，并提供旨在避免或最小化风险的控制措施。

在许多情况下，为一个目标而设计的控制活动通常也会对其他目标有所帮助：操作性活动可以促进与财务信息可靠性，法规遵从性相关的那些活动。

反过来，在每个类别中都有不同类型的控件：

预防和纠正自动或计算机手册管理或执行。

在实体的各个级别上都有控制责任，并且代理商必须单独知道哪个是他们的责任，为此目的，必须向他们清楚地说明这些功能。

下面列出的问题显示了控制活动的全面性，尽管不是全部，但从最一般的意义上来看。

管理层进行的分析；负责各种职能或活动的人员的跟进和审查；有关交易的准确性，完整性，相关授权的核查：批准，审查，比较，重新计算，一致性分析，预枚举。实际的世袭控制：吨位，对账，清点；限制进入资产和记录的安全装置；职责分工；绩效指标的应用。

我们认为，此部分应包括该国所有有关内部控制子系统的现行法规。下面，我们遵循实体必须遵守实体特定特征的一般规则，在实体内部制定的《内部控制程序手册》中列出了一组最低限度的活动。

控制活动标准。

任务和职责分离。

与交易，事件的处理，授权，记录和审查有关的基本任务和职责必须分配给不同的人。

该标准的目的是在组织结构内寻求适当的权限和责任平衡。

通过防止交易或操作的基本问题集中在同一个人或同一部门中，可显着降低错误，浪费或非法行为的风险，并增加将其发现的可能性。

在小型实体中，有必要在任务与责任的分离与从中获得的收益之间建立平衡，而又不忽略我们划分职能所花费的成本，因此有必要加强监督和监控的活动。

区域之间的协调。

实体的每个区域或子区域必须与其他区域或子区域协调工作并相互关联。在实体中，组成实体的每个领域的决策和行动都需要协调。为了使结果有效，组成结果的单位不能达到自己的目标。相反，他们必须共同努力，以便首先达到实体的目标。

协调可以改善整合，一致性和责任感，并限制自治。有时，一个单位必须在某种程度上牺牲其有效性，才能为整个实体做出贡献。

因此，官员和员工必须考虑其行为对实体的影响和影响。这涉及实体内部和实体之间的协商。

文档。

内部控制结构以及所有重要的交易和事件必须清楚地形成文件，并且该文件必须可供验证。

每个实体都必须拥有有关其内部控制系统的文件，以及与交易和重大事件有关的问题。

关于内部控制系统的信息可以包含在其政策制定中，并且基本上在上述手册中，它将包含有关控制目标，结构和控制程序的数据。

定义的授权级别。

有关行为和交易只能由领导人，官员和其他在职权范围内工作的工人授权和执行。

授权是确保仅执行获得管理层同意的行为和交易的理想方法。这种一致性要求对任务，战略，计划，计划和预算进行调整。

授权必须明确记录在案，并传达给授权人员或部门。这些人员必须按照准则并在法规规定的权限范围内执行分配给他们的任务。

及时适当地记录交易和事件。

影响实体的交易和事件必须立即记录并正确分类。

交易或事件必须在实现时或尽快记录，以确保其相关性和有用性。从开始到结束，这对于事务或事件的整个过程或周期都是有效的。

同样，必须对它们进行适当的分类，以便在处理后将其以合理的余额显示在报表和财务报表中，以方便管理人员和管理人员进行决策。

限制访问资源，资产和记录。

对资源，资产，记录和凭证的访问必须受到安全机制的保护，并且仅限于授权人员，授权人员必须签署《责任法案》以说明其保管和使用情况。

必须将所有有价值的资产分配给负责保管的人员，并通过保险，存储，警报系统，通行证等提供充分的保护。

此外，必须对它们进行适当的注册，并且将定期对实物库存进行核对，以核实它们的符合性。比较的频率取决于资产的漏洞级别。

这些保护机制需要花费时间和金钱，因此，在确定预期的安全级别时，应权衡新出现的风险（包括盗窃，浪费，滥用，破坏）与控制可能产生的成本。

轮换关键任务的人员。

长期以来，任何员工都不应负责那些存在更大的违规可能性的任务。负责这些任务的员工必须定期雇用其他职能。

尽管内部控制系统必须在道德规范的环境中运行，但是有必要采取某些保护措施，以避免可能导致违背人体行为守则的行为的发生。

从这个意义上讲，关键任务的轮换执行安全和控制是一种行之有效的机制，通常不会被错误的“基本人”概念所使用。

控制信息系统。

必须对信息系统进行控制，以保证其正确运行并确保对各种类型交易的过程控制。

实体决策过程的质量很大程度上取决于其信息系统。信息系统包含定量信息，例如，使用指标的绩效报告以及有关意见和评论的定性信息。系统必须具有到达入口，过程，存储和出口的安全机制。

信息系统必须灵活并且可以快速修改，以满足动态报告和运营环境中不断变化的管理需求。该系统有助于控制实体的所有活动，记录和监视交易和事件的发生，以及维护财务数据。

应用程序系统控制活动旨在控制应用程序内事务的处理，并包括相关的手动过程。

控制信息技术。

必须控制信息技术资源，以确保符合实体实现其使命所需的信息系统要求。

实体活动所需的信息是通过使用信息技术资源提供的，其中包括：数据，应用系统，相关技术，设施和人员。

这些资源的管理必须通过自然分组的信息技术流程来执行，以便提供必要的信息，以使每个工作者都能履行职责并监视对政策的遵守情况。为了确保符合信息系统的要求，必须定义，实施，监督和评估适当的控制活动。

信息系统安全是一种控制结构，用于保护数据和信息技术资源的完整性，机密性和可用性。

信息技术的一般控制活动适用于整个信息系统，包括其所有组件，从大型计算机，小型计算机和网络的处理体系结构到最终用户的处理管理。它们还涵盖了保证信息系统连续正确运行的手动措施和程序。

绩效指标。

每个实体都必须具有绩效衡量方法，以允许为其监督和评估制定指标。

获得的信息将用于纠正行动方针和改善绩效。

实体，程序，项目或活动的管理者必须知道它如何朝着设定的目标前进，以维持对课程的控制，即行使控制权。

从绩效衡量机制的新数据中精心制定的指标体系将有助于决策的支持。

指标不应太多，以至于变得难以理解或令人困惑，也不应过少而无法揭示关键问题和所审查情况的概况。

每个实体都必须制定一套适应其特征的指标体系，即其规模，生产过程，所提供的商品和服务，领导者的能力水平以及其他与众不同的要素。该系统可以由定量指标（例如预算和定性数量，例如用户满意度）组成的组合。

定性指标的表达方式应允许其客观，合理地应用。例如：可以通过投诉数量来间接衡量用户满意度。

独立的内部审计职能。

实体的内部审计部门必须向其最高权力机构报告，其职能和活动必须与受其检查的运营保持分离。

内部审计部门必须向整个实体提供服务。它们构成了一个“安全机制”，必须以合理的确定性向最高安全部门告知其内部控制系统的设计和操作的可靠性。

该内部审计部门可以根据上级主管部门，在实体的不同部门中进行其认为必要的分析，检查，验证和测试，而与这些部门无关，因为其职能和活动必须与运营分开。接受检查。

因此，内部审计代表上级机构监视系统的正常运行，并及时告知系统状况。就内部控制系统而言，它们的机制和程序可以保护特定的操作问题，以合理保证成功实现组织目标。

评估“控制活动”组件。

验证授权，执行，注册和验证交易的责任已适当地分离和区分（在合理的可能范围内），并考虑到实体中定义的不同责任领域之间的必要协调。

验证重要交易和事件的及时注册和分类，同时考虑到这对于在财务报表中公允列示余额的重要性，相关性和有用性。

检查资产的物理和定期计数的实现以及它们与会计记录的对账。

在相关人员关键任务的执行情况下，评估轮换计划的质量和合规性。

验证管理层对获得的结果进行定期和系统的分析，并将其与以前的期间，批准的预算和计划以及对他们有用的其他分析水平进行比较。

评估在实体中实施的绩效指标体系对实施减少或消除重大偏差的纠正措施的使用。

评估内部审计结果的操作，使用和尊重。

验证是否符合与以下方面有关的信息技术控制：

信息设备的物理安全性，访问控制，软件控制，数据处理操作的控制，应用程序开发和维护的控制，应用程序控制。

审查已准备好的预防计划已考虑到内部风险或潜在危险的诊断，对导致或引发该计划的原因的分析以及为预防或应对该计划的提议的措施。

验证在每个动作中的预防计划是否定义了执行时间或执行时刻，执行者以及负责其控制的人员。

信息和通信。

相关信息必须以及时到达所有部门并承担个人责任的方式进行捕获，处理和传输。

通信是信息系统固有的。人们必须及时了解与其管理和控制责任有关的问题。必须明确规定每个职能，并理解与内部控制系统内个人责任相关的问题。

必须通过有效的沟通来适当地传达报告，包括多方面的信息流：自下而上，自上而下和横断面。领导人之间存在开放的沟通渠道和明确的倾听意愿至关重要。

除了良好的内部沟通之外，促进所有必要信息流通的有效外部沟通也很重要，在这两种情况下，重要的是要有有效的手段，例如政策手册，报告，机构传播，正式和非正式渠道，管理层对待下属时采取的态度。具有基于诚信的历史和强大的控制文化的实体将不会有沟通困难。行动胜于雄辩。

信息和通信标准。

信息和责任。

该信息必须使官员和员工能够履行其义务和责任。相关的数据必须及时识别，捕获，注册，信息结构化并进行通信。

实体必须及时掌握有关内部和外部事件的信息。例如，您需要及时了解用户要求，以提供及时的响应或影响您的法律法规变更。同样，您必须对内部流程的情况有持续的了解。

在决策基于相关，可靠和及时的信息进行决策的情况下，实体所面临的风险会降低。该信息与用户相关，只要它涉及他的职责范围内的问题，并且他有足够的能力去欣赏它的重要性。

对实体及其组成部分的绩效进行监督是通过报告和要求正式和非正式责任的过程进行的。文化，规模和组织结构对这些过程的类型和可靠性有重要影响。

信息的内容和流向。

信息必须清晰明了，并根据决策水平调整详细程度。它应同时涉及外部和内部情况，财务和运营问题。

就行政和管理级别而言，报告必须将绩效与设定的目的和目标联系起来。信息流必须在所有方向上流通：上升，下降，水平和横向。

对于实体的管理和控制而言，在适当的时间和必要的位置获得令人满意的信息是至关重要的，因此，信息流的设计及其随后的适当操作应该是对实体负责者的主要关注点，做出决定，如果什么也做不了。

信息质量。

实体中可用的信息必须满足以下属性：适当的内容，及时性，更新，准确性和可访问性。该标准提出了要考虑的问题，以便对实体使用的信息的质量做出判断并使其可靠性至关重要。

负责内部控制的最高权力机构的职责是努力获得与上述每个属性的适当程度的合规性。

改变的灵活性。

当发现信息系统的操作和产品存在缺陷时，应对其进行审查，并在必要时进行重新设计。当实体更改其策略，任务，策略，目标，工作计划等时，必须考虑对信息系统的影响并采取相应的措施。

如果信息系统是根据策略和工作计划设计的，那么很自然，在更改这些信息和信息时，必须考虑到不再相关的信息继续对其他已经变得相关的信息造成不利影响而进行调整，注意不要让系统人为地超负荷，这是在添加现在必需的信息时产生的一种情况，而不会消除失去重要性的信息。

信息系统。

信息系统的设计必须考虑实体的策略和运营程序。

信息系统分类既适用于涵盖实体财务信息的分类，也适用于旨在记录其他内部流程和操作的分类。此处从广义上进行解释，因为它还涵盖了对事件和实体外部事件的处理，是指及时捕获和处理有关以下情况的情况：到达实体的规则，法律或法规的更改，用户对所提供服务的意见，他们的投诉，担忧和新出现的需求。

此类信息系统必须设计为支持实体的战略，使命，政策和目标。

实体需要能够使其实现所有类别目标的信息：运营，财务和合规性。每个特定的数据段都可以帮助实现这些目标类别中的一个或全部。

管理承诺。

必须通过分配足够的资源使其有效运作来明确实体管理层对信息系统的兴趣和承诺。

至关重要的是，一个实体的管理层必须充分了解信息系统所起的重要作用，以适当地履行其职责和责任，并且从这个意义上讲，必须对它们表现出坚定的态度。

沟通，组织价值观和战略。

为了使控制有效，实体需要一个开放的，多方向的通信过程，能够传输相关，可靠和及时的信息。

沟通过程用于传达各种主题，但在这种情况下，我们想强调道德价值观的沟通以及使命，政策和目标的沟通。如果该实体的所有员工都充满了他们必须遵守的道德价值观，要实现的使命，所追求的目标和制定这些价值观的政策，有效，高效和经济绩效的可能性，合法性和道德性显着提高。

沟通渠道。

沟通渠道必须表现出一定程度的开放性和效率，以适应内部和外部信息的需求。

该系统由数据和信息传输通道构成。在很大程度上，系统的维护在于监视这些通道的打开和良好状态，这些通道连接着具有不同重要性的不同发射器和接收器。

与员工沟通，以便他们可以发送有关改进或可能发生的更改的建议，以实现对任务和目标的遵守。

信息和通讯评估。

有一些机制可以获取有关市场状况，竞争对手计划，新的立法或控制机构以及经济变化的相关外部信息。

向董事和部门主管提供履行职责所需的信息。

这些信息将及时提供，以便对事件和活动进行有效控制，从而能够迅速响应商业经济因素和控制问题。

已经制定了与战略计划相关的长期IT计划。

必要时提供足够的资源来改进或开发新的信息系统。

沟通渠道，正式或非正式的培训课程，会议和工作期间的监督，都足以进行此类沟通。

已经建立了机制，以便员工可以提出他们的建议。

监督或监视。

随着时间的流逝，它是评估内部控制质量的过程。监视内部控制以确定其是否按预期运行以及是否有必要进行修改非常重要。

永久性监督活动包括直接由不同管理机构永久进行的监督活动。

单独的评估是监视非常规执行的活动，例如内部审核员的定期审核。

需要考虑的一些问题是：

由高层领导和内部审计师组成的综合控制委员会的组成，其目的是监视内部控制系统的正常运行及其持续改进。在有正当理由的组织中，内部审计部门的存在具有足够的独立性和专业资格。

目的是通过两种类型的监督来确保内部控制正常运行：持续活动或特定评估。

前者是那些被纳入正常或经常性活动中的活动，这些活动实时进行并植根于管理中，对生存的情况产生动态响应。

关于特定评估，适用以下注意事项：

它们的范围和频率取决于这些变化和风险的性质和重要性，控制它们的人员的能力和经验以及持续监督的结果。它们是由负责管理领域的人员执行的。内部审计包含在计划中，或者由管理人员和外部审计师特别要求，它们构成了一个完整的过程，尽管方法和技术各不相同，但仍应遵循适当的纪律和不可避免的原则。评估者的任务是找出系统的实际功能：控制存在，形式化，每天将其作为与习惯相结合的例行程序使用，并且适合于所追求的目的。他们使用某种技术和工具对某种方法做出反应，以直接或通过与其他已验证的良好控制系统进行比较来衡量效力，控制记录的水平根据实体的规模和复杂性而有所不同。尽管没有足够的文件记录通常可以提高评估的效率，并且通过促进员工对系统的理解而更加有用，但是有一些非正式的控件尽管没有记录在案，但却可以正确地应用并且有效。当需要向第三方证明系统的实力时，文档的性质和级别要求更加严格。控件的文档级别根据实体的大小和复杂性而有所不同。尽管没有足够的文件记录通常可以提高评估的效率，并且通过促进员工对系统的理解而更加有用，但是有一些非正式的控件尽管没有记录在案，但却可以正确地应用并且有效。当需要向第三方证明系统的实力时，文档的性质和级别要求更加严格。控件的文档级别根据实体的大小和复杂性而有所不同。尽管没有足够的文件记录通常可以提高评估的效率，并且通过促进员工对系统的理解而更加有用，但是有一些非正式的控件尽管没有记录在案，但却可以正确地应用并且有效。当需要向第三方证明系统的实力时，文档的性质和级别要求更加严格。当需要向第三方证明系统的实力时，文档的性质和级别要求更加严格。当需要向第三方证明系统的实力时，文档的性质和级别要求更加严格。

必须制定一项涵盖评估范围，现有持续监督活动，内部和外部审计师的任务，风险最大的领域或事项，评估计划，评估者，方法和控制工具，介绍的行动计划。结论和支持文件，以及后续措施，以便采用适当的更正。

监督或监测标准。

评估内部控制系统。

实体的管理层和负责组织部门，计划，项目或活动领域的任何官员，必须定期评估其内部控制系统的有效性，并将结果告知负责人。

定期分析该系统的运行方式将使管理人员可以放心地进行正确的操作，或者有机会对其进行纠正和增强。

内部控制系统的效率。

如果内部控制系统所支持的权威机构具有合理的信息安全性，则该内部控制系统被认为是有效的，该信息关于实现其目标和目的以及使用经济和效率标准，报告和财务报表的可靠性和有效性，遵守当前的法律法规，包括实体本身发布的政策和程序，该标准基于以下方面设定了评估内部控制系统有效性的标准：三个控制事项：

运营，财务信息，遵守法律，法令，法规和任何类型的法规。

内部控制系统审核。

必须进行审计，以报告内部控制系统的有效性和效率，并在适当时提供建议以加强内部控制。

在配置和维持内部控制系统的要素的相互关系游戏中，审计起着重要的作用。

这些考试是根据公认的规范和程序进行的，可让您获得有关内部控制系统状态和操作的有效技术意见。

内部控制系统评估的性质，程度和频率应根据所确定的风险水平和降低风险的控制重要性而变化。

审核必须遵循客观和系统的方法，该方法应在合理的范围内增加形成正确判断的可能性。

验证所作的假设。

支持组织目标的假设必须定期进行验证。

实体的目标和支持其实现的控制要素取决于有关其环境如何工作的基本假设。

尽管工作人员可能并不了解系统的工作原理，但通常在组织中普遍存在这种假设。这种无意识的假设可能会抑制适应变化的能力，因为它们导致员工丢弃所有不符合其概念的信息。需要进行公开对话以确定假设。如果组织的假设无效，则控制可能无效，因此定期重新验证组织的假设是控制有效性的关键。

处理发现的缺陷。

必须报告影响或可能影响内部控制系统有效性的任何缺陷。

应该建立程序来确定什么信息，什么形式以及向谁展示这些信息。

鉴于内部控制系统的重要性，必须迅速发现并传达这些缺陷。术语“缺陷”必须得到广泛的理解，即系统中任何值得关注的“条件”。

缺陷的识别可能来自不同的来源：内部控制本身，监督和评估。此外，通过与第三方的关系，索赔，要求等。

缺陷沟通通常应遵循导致直接上级的道路，但总体定位应是他最终达到可以采取纠正措施的权限。可以作为示例的案例是检测到的问题侵犯了组织的限制。在此，通信必须指向足够高的级别，以确保采取适当的措施。

必须报告在相关性和影响方面超过指定限制的已发现缺陷。

监督评估。

负责运营的管理层将日常活动过程中获得的生产，库存，销售或其他信息与通过系统生成的信息进行比较。

评估从第三方收到的通信在多大程度上证实了组织内部产生的信息或表明了问题。

定期比较会计系统记录的有形资产金额。

分析实体对内部和外部审计师的建议的反应，以加强内部控制。

强调遵守实体的道德规范或行为，以及是否定期进行必要的控制活动。

评估内部审计活动的有效性。

1.6内部控制的局限性。

合理安全概念这与对内部控制存在固有局限性的明确认识有关，在执行控制过程中，由于错误的指令解释，判断错误，粗心大意，分心和疲倦而可能导致错误。员工之间的勾结可能会绕过职责分离，即同意损害第三方；组织中采用的控制措施的范围也受到成本考虑的限制，因此，建立控制措施以实现成本控制是不可行的。提供绝对的保护，防止欺诈和浪费，但从所有内部控制系统固有的成本角度出发，建立控制措施以确保合理的安全性，例如：决策所依据的观点可能是错误的，负责建立控制权的观点必须分析其成本/收益比率等。此外，如果有两个或更多的工人打算这样做，则可以逃避控制。政府也可以无视内部控制系统。

结论：