(五)組織結構

　　組織結構能夠為規劃、執行、控制和監察活動提供框架，以實現企業整體目標。有一些組織是高度集中的，而另外一些組織則按照產品或地區分散了權利。還有一些組織形式是矩陣式，不存在單一的直線報告。

　　企業的不同部分組合起來的方式有多種。企業控制是為了更龐大的控制程序的一部分。“組織(organization)”這一術語常常可與“使組織起來(organizing)”互換，對很多人拉說，二者的意思是相同的?！敖M織”有時是指人與人之間的登機關系，其更廣義的用法還可能包括管理層的所有問題。

　　“組織”可以被描述為：個人經過分派獲得的工作并在后續過程中結合起來以實現整體目標的方式。在某種意義上，這種概念可用于一個個體組織其個人工作投入的方式，也適用于大量的人員以小組的形式投入工作的情況。對于大型現代企業來說，為組織控制制定完善的計劃是內部控制系統中非常重要的部分。個人和小群體應了解其所在的小組的目標及企業的總體目標。倘若缺乏這樣的了解，控制可能存在重大的缺陷。

　　無論是商業組織、政府、慈善組織或其他部門，每個組織都需要制定有效的組織計劃。對任何職能或部門負責的管理者必須對組織結構有充分的了解。組織控制的缺陷常常會對整個控制環境產生普遍影響。盡管權力界限劃分明確，但企業內在的效率低下問題會隨著組織規模的擴大而變得更為嚴重。這種效率低下問題常常會造成控制程序失靈，因此，在評估組織控制環境時，管理層應關注這些問題。

　　復雜的或者不容易理解的組織結構可能帶來嚴重問題。母公司將一個部 '門作為一個獨立的企業分離出去的情況，在當今并不少見。這種新企業的雇員以前采用的是母公司的控制系統和程序，但是現在他們有責任為新企業設立組織結構控制。企業合并、聯營和收購發生時，組織結構的權力界限對于利益相關者來說可能是不清楚的。當獨立經營的業務運轉起來，并且財務結構細節被確定后，內部控制結構卻時常被忽視。

　　(六)權力和責任的分配

　　組織的結構對總體工作投入的分配與整合作出詳細說明。權力的分配本質上是指按照工作描述確定責任，根據組織結構圖形成責任。盡管工作評估無法完全避免責任的重疊或連帶責任，但是這些責任的說明越準確越好。關于如何分配責任的決定，常常會在個人與小組工作投入之間造成棍亂甚至沖突。

　　現在，無論什么類型或規模的企業都簡化了業務，并將決策權下放，且越來越接近一線工作人員。一線人員應具有在其自身業務領域作出重大決策的能力和權力，而無需請求上級作出決策。這樣，授權或雇用造成的主要挑戰是，盡管可以授予部分權力，以實現某些組織目標，但高級管理層仍需為這些下屬所作的所有決策承擔最終的責任。如果未經管理層復核，就將過多涉及更高級目標的決策交由不適當的較低級別人員負責，企業將處于危險之中。此外，企業內的每個人必須對該組織的整體目標，以及個人行為與實現目標之間的相互關聯有充分的了解。 COSO內部控制報告中關于架構的部分對控制環境這一重要問題作出了如下描述:個人了解自己將負有多大責任，且能夠對控制環境產生重要影響。這個結論適用各級人員，包括對企業的所有活動(包括內部控制系統)承擔最終責任的首席執行官。

　　(七)人力資源政策和實務

　　人力資源實務包括諸如招聘、人職培訓"、在職培訓11、評估、咨詢、晉升、賠償和采取適當的矯正措施。人力資漉部門應針對這些方面制定并公布充分的政策。不過，值得注意的是，對人力資源政策的操作會向雇員傳達有關其預期道德行為水準和能力的信息。一旦高級別雇員公開破壞人力資驚政策，比如無視工廠禁煙令，企業的其他人將會迅速獲悉。如果低級別的雇員

　　因為未經許可吸煙而受到處罰，但人們對違反規定的高級雇員卻睜一只眼閉一只眼，那么消息擴散的速度會更快。上述人力資源政策和實務對某些方面具有特殊的重要意義，包括:

　　(1)招聘和雇用。企業應設法招聘最具資格的人選。應核實潛在雇員的背景，證實他們的學歷和工作經驗。應精心組織應聘者的面試，對應聘者具有深入的了解。人力資源亦應向潛在的雇員傳遞信息，使他們了解企業的價值觀、文化和經營風格。

　　(2)新雇員的人職培訓。應將企業價值觀體系和不遵循這些價值觀的后果明確告知新雇員。通常在向新員工介紹行為守則并要求他們正式確認接受該守則時，告知他們上述事項。如果不能向新雇員傳遞這些信息，那么他們在加入該組織時可能缺乏對于企業價值觀的了解。

　　(3)評估、晉升和賠償。應實施公平的績效評估程序，并且使之不受額外的管理支配。由于諸如評估和賠償的問題可能涉及雇員的隱私，因此，整個系統應對企業內的所有成員一視同仁。通常，獎金激勵計劃都是一項激發和強化所有雇員的出色表現的有用工具，但是應堅持以公平公正的方式發放獎金的原則。

　　(4)懲戒措施。應實施統一且易于理解的懲戒政策。所有雇員應了解.一旦他們違反了特定規則，將會面臨不同程度的懲戒，直至解雇。企業應盡力確保懲戒措施不存在雙重標準，如果存在雙重標準，那么高級別的雇員違反了特定規則，將會面臨更嚴重的懲罰。

　　有效的人力資源政策和程序是整體控制環境至關重要的組成部分。如果企業未設立嚴格的人力資源政策和措施，那么即使企業組織結構很牢固，領導層傳達的信息也不會產生多少影響。管理層在對內部控制架構的其他因素進行復核時，應始終考慮控制環境的人力資源政策和因素。

　　COSO立體模型說明，控制環境是內部控制的根本性組成部分。以此方式說明控制環境的根基地位是恰當的。試圖建立牢固的內部控制結構的企業應特別注意為控制環境結構奠定堅實的基礎。

　　二、風險評估

　　按照 COSO立體模型，控制活動的上一層是風險評估。企業實現其目標的能力可能受到來自多個內外部因素的不利影響。作為整體內部控制結構的一部分，企業應實施一個程序，來評估可能影響其各種內部控制目標實現的潛在風險。風險評估可能是正規的量化風險評估程序，也可能是不太正規的方法，但是應包含對風險評估程序最起碼的理解。例如，企業設定的目標是不改變營銷計劃，那么如果出現新的競爭對手則可能對該企業設置的目標造成壓力，這需要對無法實現該目標的風險作出評估。風險評估是一個具有前瞻性的過程。也就是說，許多企業已經發現，對他們的各類風險水平進行評估的最佳時機是制定年度計劃或定期計劃的過程。應在所有層面以及企業的所有活動中實施這樣的風險評估程序。 COSO內部控制架構將風險評估描述成一個可以分為三步的程序。第一步是估計風險的重要'性;第二步是評估風險發生的可能性或頻率;第三步是考慮如何對風險進行管理，以及應采取何種行動。

　　COSO內部控制架構強調風險分析并非一個理論過程，而且常常對實體的整體成功起到至關重要的作用。管理層是內部控制整體評估的重要一環，他們應采取措施對可能影響整個企業的風險，以及不同的組織活動或實體所面對的風險進行評估。由內部或外部原因導致的各種風險可能對整個組織產生影響。 COSO企業風險評估己對某些主要組成部分給出定義，做了一般性說明，并概述了一種能使組織對企業層面的風險進行更好管理的方法。

　　風險管理包括識別和分析影響目標實現的風險(包括與不斷變化的監管、運營環境和商業策略有關的風險)，以此來確定如何降低和管理此類風險的依據。第九章將針對風險管理的程序作更詳盡的討論。