登陆注册
6313600000013

第13章 控制活动

一、正确理解控制活动的内涵

控制活动是结合风险评估结果,运用相应的控制措施,将风险控制在可承受度之内,以确保企业管理层关于风险应对方案得以贯彻执行的政策和程序。它存在于企业所有级别的分支机构和职能部门,包括授权、批准、查证、核对、报告、内部审计、重大风险预警、企业法律顾问、经营业绩评价和资产安全措施等活动。

正确理解控制活动,还应关注以下几点:

第一,控制活动不等于内部控制全部。实践中,控制活动可以看作是内部控制最直接的体现,以至于人们常常会有一种错觉,即把企业的各项控制活动理解为内部控制。这种理解过于片面,人为地将内部控制限于控制活动,限于业务流程。显然,这不利于企业开展内部控制,应予纠正。

第二,控制活动通常包括政策和程序两个要素,即确定应做什么的政策,以及实现政策的程序。比如,某公司要求预算在3000万元以上的工程项目必须上报公司董事会审核批准,此为政策本身;至于申报工程项目的基层单位如何申报,就属于程序方面的事宜。两者融合在一起,构成该公司的工程项目申报的控制活动。

同时,控制活动以控制措施为抓手。控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

第三,控制活动依赖于风险评估结果。控制活动要“控”的就是风险,控哪个目标相关的风险,重点和关键在哪里等,都需要以风险评估提供的结果作基础。离开风险评估结果,控制活动无从开展。具体而言,选定了风险应对方式之后,企业管理层应确定促进这些风险应对得以恰当和及时实施的控制活动。需要注意的是,控制活动有时是彼此关联的。在某些情况下,一项单独的控制活动可以实现多项风险应对;在另一些情况下,一项风险应对则需要多项控制活动。更有另一些情况下,企业管理层可能会发现现存的控制活动足以确保新的风险应对得以有效执行。概言之,无论什么情况下,只有控制活动与风险应对有机结合,才能达到预期控制目标。

10000~25000元(人民币)重复付款可能较小

5000~15000元(人民币)见以下作为这些风险应对的控制活动不可能较小

2500~7500元(人民币)可能较小

2500~7500元(人民币)不可能较小

2500~7500元(人民币)控制活动 资产取得和费用处理要受到程序化审核或有效性检查,它们包括:

(1)对采购数据(采购单编号、金额等)依据特定的文件或表格进行检验(A)

(2)测试主要区域的空白、字母、特定范围内的数值(如采购数量)、缺失的数据元素(如付款日期)、程序化检验数字(如卖方编号)(A)

(3)实施合理性测试,根据特定的标准比较两个或多个不同区域的数据输入(A)

(4)比较主要数据与表格,以确保输入数据在为每一用户或每类用户设定的限度内(例如,付款数额与核准的电子支付限度比较)(A)

(5)将卖方的姓名或编号和发票号码与文档上的相应内容进行比较,以确保有效的卖方号码并检测重复的付款(V)

在进行进一步处理之前,将所有付款业务的输入要与原始购货订单的细目进行比较(A)

付款数额(包括电子支付业务)要由负责原始付款信息的工作人员以外的人在屏幕上审核(A,V)

工作人员把每批或每系列的在线交易与系统审核或处理报告协调起来(A,C)

形成例外报告,列示大额或异常的项目(如金额超过10万元人民币),然后将其单独与输入文档进行比较(A)

例外报告列示那些悬而未决超过30天的不匹配购货订单,然后进行追踪(C)

由一个独立的、具有较高级别的职员自动报告和检查为用户设定的系统参数(如权限)的变化(A,C,V)

自动报告用户对系统报警的撤销,进行独立的核对(A,C,V)

二、区分不同类型的控制活动

区分不同类型的控制活动,有利于控制活动的开展。控制活动按照不同的分类标准,可以划分为不同的类型。

一是按内部控制目标,控制活动可以分为:

1.战略目标控制活动,即能够满足战略目标实现的控制活动。

2.经营目标控制活动,即能够满足经营活动效率与效果目标的控制活动。

3.报告目标控制活动,即能够满足报告目标的控制活动。

4.合规性目标控制活动,即能够满足合规性目标的控制活动。

二是按控制活动的内容分类,控制活动可分为企业层面控制和业务活动层面控制。

1.企业层面控制。它是管理层确保在企业内部各个领域获得适当、有效控制的重要机制。主要包括:(1)内部环境范围内的控制,包括道德准则的建立与推行、高层管理者基调、检举揭发机制、权限和职责分工、审计委员会、IT环境与组织以及人力资源政策等;(2)反舞弊程序与控制;(3)风险评估流程;(4)集中化的处理和程序;(5)内部监督,包括日常监督、专项监督和评价;(6)经营活动分析、审核;(7)期末财务报告流程;(8)统一的规章制度;等等。

2.业务活动层面控制。它是指直接作用于企业生产经营业务活动的具体控制,亦称业务控制,如业务处理程序中的批准与授权、审核与复核,以及为保证资产安全而采用的限制接近等控制。

以上表明,控制活动贯穿于内部控制的始终。无论是内部环境、风险评估、信息与沟通、内部监督,都需要控制活动,而对内部环境的控制最为重要。

三是按控制活动的作用划分,控制活动可分为预防性控制和发现性控制。

1.预防性控制。它是为防止错误和非法行为的发生,或尽量减少其发生机会所进行的一种控制。预防性控制侧重于控制前置,在事项发生前和发生中加以控制,可以达到预防风险的作用。

2.发现性控制。它是为及时查明已发生的错误和非法行为,或增强发现错误和非法行为机会的能力所进行的各项控制。发现性控制侧重于事后通过检查、稽核等加以控制。这种控制结果更具有说服力,容易引起重视,并引以为戒。

四是按控制活动的手段划分,控制活动可分为人工控制和自动控制。

1.人工控制。它是依赖人工执行一系列政策和程序,以实现控制目标的方式。一些人工控制可以通过信息化实现,另一些人工控制则不宜通过信息化实现。例如,合同审批,可以通过权限在系统中的设置,实现信息化,而诚信与道德,管理层经营理念都难以通过信息化实现。

2.自动控制。它是由计算机等系统自动执行的控制,包括系统固有(如业务流程)控制、系统配置控制、系统权限控制,以及依赖系统的手工控制(半自动控制)。

三、有效实施控制活动

(一)确定或改进工作程序

有效实施控制活动要以风险评估结果为基础,对现有流程进行梳理,针对缺失的内容及时制定新的流程,对于不完善的流程尽快加以完善。企业应当确定规范业务或事项流程的工作程序,明确经理层、内部控制管理部门(或类似职能部门)、其他职能部门、分(子)公司在流程梳理或再造过程中的职责和权限。通常,经理层的职责应当承担审批和全局把握的职责,主要包括:将企业确认的重大和主要风险落实到关键业务管理流程中;根据企业层面风险评估结果,制定针对包含重大和主要风险流程的管控安排;确定部门、分(子)公司内部及其相互间的流程接口;定期对企业层面的重大和主要风险事项及其相应的流程管控效果进行评估等。内部控制管理部门(或类似职能部门),应当主要承担业务指导、汇总、组织和评价职责。其他职能部门、分(子)公司,主要承担具体业务或事项主流程和相关子流程梳理、分析和整理工作,并严格执行。

(二)制定并实施政策和程序

控制活动实施环节主要包括两个方面:一是针对公司的每一项业务活动或事项制定必要和恰当的政策和程序;二是执行已制定的政策和程序,也就是设计和执行两个环节。

1.从内部控制设计角度,根据风险应对策略,针对各类风险或每一项重大风险制定相关的规章制度、控制政策和控制措施,确保风险控制在风险承受度的范围内。内部控制设计分为企业层面和业务活动层面。

第一,从企业层面来说,包括《公司章程》、《战略委员会工作规则》、《薪酬委员会工作规则》等政策、文件,用于统驭业务活动层面的控制活动。企业层面的政策、文件首先应满足合规的要求,其次是坚持发展战略与风险策略一致、风险控制与运营效率及效果相平衡的原则把握关键环节,制定关键控制点。

第二,从业务活动层面来说,主要以各种企业的业务流程和相关制度、配套记录文档等作为载体。

业务流程是企业各项规章制度、控制政策和控制措施业务流程,可以由业务流程架构、业务流程图、业务流程业务描述构成。其中,业务流程架构是以企业整体战略发展为导向,以实现企业各项目标,以防范风险为出发点,构建统一规范的、可持续优化、操作性较强的业务流程架构;业务流程描述是按照业务流程架构,遵循业务运行实际,结合风险控制要求,描述业务工作步骤,实现业务管理程序化的过程。业务流程描述的内容包括:业务流程名称编码和起止点、必备的步骤、业务风险点、控制要求,以及对应的组织机构和岗位;通过业务流程描述的标准,及构建业务流程的一般方法,界定业务流程描述的相关术语。

相关制度是针对各项管理活动,制定财务、人事、预算、资本运营、法律、质量、安全环保、科技、信息、监察、审计、行政等管理活动方面的管理规程。相对业务流程来说,制度更加具有针对性、具体性。它作为业务流程的重要补充,与业务流程的关键控制紧密结合在一起,形成有机整体,从而避免制度和业务流程“两张皮”的效果。比如会计核算办法作为财务报告流程的补充。

配套记录文档,是各项业务流程和制度具体执行的“痕迹”或载体,很大程度上体现了控制的内容。比如付款审批单记录了付款的对象、金额、账号、审批人、经办人等;合同记录了合同主体、金额、审批人、会签人、经办人等。企业有必要对重要的配套记录文档进行规范,并建立业务流程的风险控制文档。

《企业内部控制配套指引》所包括的18项应用指引,分别涉及组织框架、发展战略、工程项目、合同管理、业务外包等业务或事项,对其相关的内部控制设计提出了明确要求。此处不再详述。

2.从执行的角度,就是将上述各项控制政策落到实处。尽管大多数企业有较为完善的制度,但是从近年来外部审计、发生的较大经济案件看,企业通常不是没有相关政策和程序,而是缺乏内部控制执行力。提高内部控制执行力的方法主要有:

(1)企业管理层带头执行。它可以向基层员工传递必须遵守公司政策的信号,是加强内部控制执行力最重要的因素。

(2)实现业务流程的信息化,将优化过的业务流程“嵌入”信息系统中,提高控制效率和效果。值得注意的是:这个“优化业务流程”是信息化的关键,绝不是简单的“植入”。

(3)与内部监督紧密结合,加强日常监督和专项监督,定期总结分析风险反应方案、控制措施的有效性和合理性,并不断修订和完善。

(4)加强对内部控制执行的考核力度,营造“遵章守纪”的氛围。

除此之外,还应当做好以下工作:

(1)加强内部控制工作的组织领导。内部控制是“一把手”工程,企业管理层理解并重视内部控制,是有效实施内部控制的前提。在管理层重视内部控制的基调下,致力于组织机构、发展战略、人力资源、社会责任、企业文化等方面的内部环境建设,将为内部控制的有效实施提供根本保证。如建立科学、透明的治理结构,有利于提高企业应对风险和控制能力,提高企业的快速反应能力;建立诚实守信、开拓创新、团结协作的企业文化,有利于提高员工的控制意识;等等。实务中,如审计发现一些控制活动频繁、反复地出现问题,则需要认真反思企业内部环境问题。比如,无法区分资本性支出和费用性支出,可能是由于企业多头管理所致,导致对于同一个修理项目同时有几个部门负责管理的情况。这往往就是组织机构存在问题。

(2)应致力于建立并不断完善内部控制管理部门(或类似机构)的事前、事中控制工作机制,提高企业应对风险的反应能力。一方面,能够取得企业生产经营中存在的风险信息;另一方面,定期或不定期根据内部监督情况,将内部控制有效性向恰当的管理层汇报,及时反映企业的风险并加以解决,能够不断加强内部控制的执行力。

(3)按照各有关部门和业务单位的职责分工,将各个控制点的责任落实到部门和人,这些责任除了执行的责任,还包括设计的责任。只有这样,才能将风险控制真正落实到全员、全过程。

(4)加强宣传、培训的力度。内部控制宣传培训并不是一个新话题。但是,从我国企业内部控制实践看,依然任务艰巨。企业要建立和健全内部控制体系,仍需加大培训力度。通过内部控制培训,尽可能消除对内部控制的误解,无疑会更有利于实现内部控制目标。

同类推荐
  • 创新与发展

    创新与发展

    为了进一步贯彻落实党的十七届五中、六中全会和胡锦涛总书记在省部级主要领导干部社会管理及其创新专题研讨班上的重要讲话和“七一”讲话精神,在更高起点上推进福建科学发展跨越发展,促进福建省哲学社会科学繁荣发展,福建省社科联于2011年4月至12月组织了以“管理创新与创新发展”为主题的福建省社会科学界2011年(第八届)学术年会活动。本届学术年会围绕纪念中国共产党建党90周年、纪念辛亥革命100周年、海峡西岸经济区发展规划以及福建经济社会发展中的热点难点问题和具有全局性、战略性、前瞻性的重大理论和实际问题以及学术前沿问题进行交流和宣传。
  • 寒冰走苏东

    寒冰走苏东

    本书是作者在行走苏东各国时的随笔,记录了作者各地的所见所闻和所思所想,包罗了作者行走之处的风土人情,地理自然景观描述等等。这些图文并茂的文章生动地反映着真实的东欧,为读者更好地了解这一地区提供了机会,同时对于吸引更多学者投入研究中也具有深远意义。
  • 黑客间谍

    黑客间谍

    斯诺登不过揭开了美国情报战略的冰山一角,世界便因此而起巨大骚动。本书全面剖析斯诺登背后的故事,特别是围绕“棱镜”主谋——美国国安局展开对美国网络战、情报战布局与战略的分析和追索,揭秘美国众多情报特务机构的不为人知的运作方式,敲响未来必将爆发信息网络大战的警钟。
  • 党旗飘扬 航道辉煌

    党旗飘扬 航道辉煌

    本书将全国航道系统党建方面的工作论文集结成册,为四大部分组织:一是党的思想建设,二是党的组织建设,三是党的文化建设,四是党的廉政建设。尤其是对新的形势下,党的文化建设和党的廉政建设部分。论述较多,意在让全国航道系统广大干部职工增强党建工作的紧迫感和积极性,也提出了新时期党建的思政和对策。
  • 党的基本知识

    党的基本知识

    党的性质是党的本质特征集中而科学的体现,它指一个政党所固有的质的规定性。中国共产党第十八次全国代表大会通过的党章明确规定:“中国共产党是中国工人阶级的先锋队,同时是中国人民和中华民族的先锋队,是中国特色社会主义事业的领导核心,代表中国先进生产力的发展要求,代表中国先进文化的前进方向,代表中国最广大人民的根本利益。党的最高理想和最终目标是实现共产义。”这是对中国共产党的性质的集中概括。
热门推荐
  • 夜叉与大刑警们

    夜叉与大刑警们

    雪地里挖出人头,凶手到底是谁?一名派出所的实习警察,在夜叉的帮助下,开了挂似的接连破获大案。由此顺利进入刑警队,当上梦寐以求的刑警。甚至参与到国际纵队的秘案调查。后来,他开始调查什么是夜叉。夜叉,是超自然生物,是五维空间里的行者。但通常,他们可以降维生存,隐匿在人类之中。夜叉有许多奇异的能力,巨大的力量,敏锐的思维,超强的记忆力,不死的身躯……作为代价,他们抵押了自己的情感。夜叉没有情感,一旦夜叉从模仿人类的行为中重新获得了情感,就会受到天谴,给自己和身边的人带来灾难。
  • 迁纤迹

    迁纤迹

    “八神警引,五辂迁迹。唤君迁迹。”眉宇间分明着赤裸裸的狂傲和盛气临人的不可一世,望尘莫及不敢近身的瞑瞳使扬之不去的轻蔑又燃起一次次飞蛾扑火的欲望。“圣子神孙,于千万年,敬戒不怠,四海九州,罔有内外,悉主悉臣。”千万年轮的转瞬即逝都从未伤及他半寸青丝,游刃有余的惟妙惟肖又一直深不可测。“天宇晴霁,四顾无纤翳。卿名纤翳。”仰慕了他千万年,不畏涅槃,自甘堕落。“翳儿对公子情深至此本就大逆不道,故而挫骨扬灰也不足为惜。”镇定之于的谎言天衣无缝地把她骗得一次次心甘情愿,旁人皆叹她天资惊人,殊不知是一次次地舍弃本真,只为了更像那个翻云覆雨都轻而易举的他。她不忍怪他无心,只怪自己学不会似他那般的无情。
  • 幻想终将末日

    幻想终将末日

    为什么,为什么,为什么我一事无成,为什么我被人鄙弃。爸,妈你们回来。再给我一次机会。巫熊落寂的靠着一座废弃的墙壁上:。。。我还是什么都不会
  • 画江湖之绝代风华

    画江湖之绝代风华

    英雄血、美人泪,倚剑画江湖;红尘乱,人世伤,一曲绝代风华!《画江湖之绝代风华》――少太傅
  • 识时变驭天下:修炼新时代领导力

    识时变驭天下:修炼新时代领导力

    《麦肯锡:识时变驭天下,修炼新时代领导力》以修炼新时代领导力为主题,文章包括识时变驭天下:打造中国企业“领导力引擎”、知行合一、六维联动:培养国有企业运营管理领军人才、21世纪最需要磨炼两种领导力:朱晓明访谈录、传统型企业领导力亟待与时俱进:王佳芬访谈录等。作者为麦肯锡全球各分支机构的董事和顾问等。
  • TFBOYS之魔性虐情

    TFBOYS之魔性虐情

    TFBOYS和S.M.H.的爱情已经在发酵
  • 梦虫师

    梦虫师

    一颗陨石坠入地球,带来一种叫做梦虫的外星生物,它们在地球上产卵,沉睡在生物的大脑中,靠着汲取生物做梦时产生的能量生长。在火灾中生还的年轻小伙陆函意外发现了脑中孵化的梦虫卵,并与它的基因结合在了一起,获得了超凡的力量。在人们为了获得梦虫的异能而争抢时,越来越多的生物脑中的卵苏醒了,梦虫控制了地球上将近三分之二的生物,世界陷入了空前危机。到底是幸存的人类战胜梦虫,还是人类臣服在梦虫的统治下呢?跟随陆函一起来战吧!
  • 流光灿影之初出茅庐

    流光灿影之初出茅庐

    苏许在江湖的闯荡,他渐渐地成为了一位真真的大侠。
  • Elements of Political Economy

    Elements of Political Economy

    本书为公版书,为不受著作权法限制的作家、艺术家及其它人士发布的作品,供广大读者阅读交流。
  • 图片报道

    图片报道

    纵观人类认识世界和信息传播的历史,如果从最小信息组成单位和组成形式的角度来看,有这样几种类型,一是语言,二是文字,三是图片,四是图像。语言和文字是最基本的,原始图画是对事实的一种象形记录,其含意相对比较模糊。图片的出现得益于近代照相机的发明。通过照相机对事物的摄取,图片完成了对现实场景的一种比较客观的记录。