1. 绩效计量。既然设立内部控制的目的是为实现目标提供合理的保证,那么,可以利用绩效计量来确定实现其目标的程度,这是检验管理部门内部控制有效性的一种有用的方法。如果绩效计量结果不尽如人意,那么管理者以及员工应确定可以作出哪些改变以改善业绩计量结果。
2. 对企业运营进行测试。确定程序是否按最初设计得以应用,应该是一个持续的过程。管理部门内某些较太的单位可能发现,建立内部审计职能部门来帮助内部控制的运转及己设立目标的实现,是具有成本效益的。
3. 为控制环境、风险评估、控制活动、信息及沟通,以及控制而制定的政策及程序,常常由硬性控制构成,而硬性控制是容易识别、评估及记录的。这些政策和程序的影响亦应得以识别、评估和记录。
政策和程序对相关人员的影响,可能导致产生另一种软控制,这与硬性控制同样重要。软性控制是指涉及态度、感知及能力的控制。根据其性质,这些控制不太明显,而且难以计量和评估。信任、强硬领导、开放及道德水准高等品质,对于管理部门的有效运转是至关重要的,并且,在设立或巩固企业的内部控制系统时,不应被高估或低估。
为了评估这些控制类型,管理者应确定评价的标准并达成一致。通过自我评估,管理者应向问他们是如何确信目标得以实现、政策和程序以及法规得以遵守等。通过调查,管理者应询问雇员,以确认雇员的反馈。应对软控制的结果进行评价,为控制的有效性提供进一步的证据。如果识别出控制的不足之处,管理者应把重点放在改良基本程序上。应与所有相关人员就任何修改进行讨论。
(二)记录
内部控制系统的文件记录,可能因企业的规模及复杂性等而有所不同。大型企业多半备有书面政策手册、正规的组织结构图、书面职务说明、操作指示、信息系统流程图等。规模较小的企业可能备有较少的文件记录,但这 并不一定表示它们的内部控制无效。适量的文件记录能使评价变得更为有效,还有助于雇员了解系统如何运作以及他们所担当的角色,并使得在必要时修改系统变得更简单。
(三)报告
所有可能影响企业实现目标的内部控制缺陷,均应向能采取必要行动的人员汇报。雇员从事常规运营活动时产生的信息,通常通过正常的渠道向他们的上级报告,再由后者向上汇报。此外,还应有另一渠道供汇报非常敏感的信息,比如违法或不当举动。通常,有关缺陷的调查结果不仅应向负责有关职能或者活动的个人汇报,还应向比其至少高一级的管理层汇报。此程序可使更高级别的人员监督及支援采取补救行动,同时有助于向在公司内可能受此活动影响的其他人员传达。
向适当人士提供有关内部控制的信息,对保持系统的有效性尤为重要。企业可订立规则,确定某一级别的人员做决策时所需的资料。获知有关内部控制缺陷的信息的各方,可就需要报告的信息提供明确指示。董事会或审计委员会可要求管理层或者内部或外聘审计师只汇报达到一定严重程度或重要性的内部控制缺陷的调查结果。
总括以上对 COSO内部控制内容的分析,要使内部控制系统有效,该系统必须能降低管理层己识别的业务风险。内部控制系统对于管理重大风险以实现业务目标发挥关键作用。完善的内部控制系统能极大地促进对股东投资的保护、公司资产的保护,以及确保对法律法规的遵守。内部控制系统的目标之一就是防止或降低舞弊的可能性,如发生舞弊,对舞弊进行侦察。如果控制环境不佳,内部控制薄弱,舞弊事件将会增多。
应对内部控制系统进行持续复核和管理。但内部控制的成本不得超过因风险降低而可能带来的收益。因此,具体的内部控制是否合适,会因企业的不同而有所差异。内部控制系统是企业不可或缺的一部分,并且是内部控制中的重要要素