第13章 控制活动

一、正确理解控制活动的内涵

控制活动是结合风险评估结果，运用相应的控制措施，将风险控制在可承受度之内，以确保企业管理层关于风险应对方案得以贯彻执行的政策和程序。它存在于企业所有级别的分支机构和职能部门，包括授权、批准、查证、核对、报告、内部审计、重大风险预警、企业法律顾问、经营业绩评价和资产安全措施等活动。

正确理解控制活动，还应关注以下几点：

第一，控制活动不等于内部控制全部。实践中，控制活动可以看作是内部控制最直接的体现，以至于人们常常会有一种错觉，即把企业的各项控制活动理解为内部控制。这种理解过于片面，人为地将内部控制限于控制活动，限于业务流程。显然，这不利于企业开展内部控制，应予纠正。

第二，控制活动通常包括政策和程序两个要素，即确定应做什么的政策，以及实现政策的程序。比如，某公司要求预算在3000万元以上的工程项目必须上报公司董事会审核批准，此为政策本身；至于申报工程项目的基层单位如何申报，就属于程序方面的事宜。两者融合在一起，构成该公司的工程项目申报的控制活动。

同时，控制活动以控制措施为抓手。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

第三，控制活动依赖于风险评估结果。控制活动要“控”的就是风险，控哪个目标相关的风险，重点和关键在哪里等，都需要以风险评估提供的结果作基础。离开风险评估结果，控制活动无从开展。具体而言，选定了风险应对方式之后，企业管理层应确定促进这些风险应对得以恰当和及时实施的控制活动。需要注意的是，控制活动有时是彼此关联的。在某些情况下，一项单独的控制活动可以实现多项风险应对；在另一些情况下，一项风险应对则需要多项控制活动。更有另一些情况下，企业管理层可能会发现现存的控制活动足以确保新的风险应对得以有效执行。概言之，无论什么情况下，只有控制活动与风险应对有机结合，才能达到预期控制目标。

10000～25000元（人民币）重复付款可能较小

5000～15000元（人民币）见以下作为这些风险应对的控制活动不可能较小

2500～7500元（人民币）可能较小

2500～7500元（人民币）不可能较小

2500～7500元（人民币）控制活动 资产取得和费用处理要受到程序化审核或有效性检查，它们包括：

（1）对采购数据（采购单编号、金额等）依据特定的文件或表格进行检验（A）

（2）测试主要区域的空白、字母、特定范围内的数值（如采购数量）、缺失的数据元素（如付款日期）、程序化检验数字（如卖方编号）（A）

（3）实施合理性测试，根据特定的标准比较两个或多个不同区域的数据输入（A）

（4）比较主要数据与表格，以确保输入数据在为每一用户或每类用户设定的限度内（例如，付款数额与核准的电子支付限度比较）（A）

（5）将卖方的姓名或编号和发票号码与文档上的相应内容进行比较，以确保有效的卖方号码并检测重复的付款（V）

在进行进一步处理之前，将所有付款业务的输入要与原始购货订单的细目进行比较（A）

付款数额（包括电子支付业务）要由负责原始付款信息的工作人员以外的人在屏幕上审核（A，V）

工作人员把每批或每系列的在线交易与系统审核或处理报告协调起来（A，C）

形成例外报告，列示大额或异常的项目（如金额超过10万元人民币），然后将其单独与输入文档进行比较（A）

例外报告列示那些悬而未决超过30天的不匹配购货订单，然后进行追踪（C）

由一个独立的、具有较高级别的职员自动报告和检查为用户设定的系统参数（如权限）的变化（A，C，V）

自动报告用户对系统报警的撤销，进行独立的核对（A，C，V）

二、区分不同类型的控制活动

区分不同类型的控制活动，有利于控制活动的开展。控制活动按照不同的分类标准，可以划分为不同的类型。

一是按内部控制目标，控制活动可以分为：

1.战略目标控制活动，即能够满足战略目标实现的控制活动。

2.经营目标控制活动，即能够满足经营活动效率与效果目标的控制活动。

3.报告目标控制活动，即能够满足报告目标的控制活动。

4.合规性目标控制活动，即能够满足合规性目标的控制活动。

二是按控制活动的内容分类，控制活动可分为企业层面控制和业务活动层面控制。

1.企业层面控制。它是管理层确保在企业内部各个领域获得适当、有效控制的重要机制。主要包括：（1）内部环境范围内的控制，包括道德准则的建立与推行、高层管理者基调、检举揭发机制、权限和职责分工、审计委员会、IT环境与组织以及人力资源政策等；（2）反舞弊程序与控制；（3）风险评估流程；（4）集中化的处理和程序；（5）内部监督，包括日常监督、专项监督和评价；（6）经营活动分析、审核；（7）期末财务报告流程；（8）统一的规章制度；等等。

2.业务活动层面控制。它是指直接作用于企业生产经营业务活动的具体控制，亦称业务控制，如业务处理程序中的批准与授权、审核与复核，以及为保证资产安全而采用的限制接近等控制。

以上表明，控制活动贯穿于内部控制的始终。无论是内部环境、风险评估、信息与沟通、内部监督，都需要控制活动，而对内部环境的控制最为重要。

三是按控制活动的作用划分，控制活动可分为预防性控制和发现性控制。

1.预防性控制。它是为防止错误和非法行为的发生，或尽量减少其发生机会所进行的一种控制。预防性控制侧重于控制前置，在事项发生前和发生中加以控制，可以达到预防风险的作用。

2.发现性控制。它是为及时查明已发生的错误和非法行为，或增强发现错误和非法行为机会的能力所进行的各项控制。发现性控制侧重于事后通过检查、稽核等加以控制。这种控制结果更具有说服力，容易引起重视，并引以为戒。

四是按控制活动的手段划分，控制活动可分为人工控制和自动控制。

1.人工控制。它是依赖人工执行一系列政策和程序，以实现控制目标的方式。一些人工控制可以通过信息化实现，另一些人工控制则不宜通过信息化实现。例如，合同审批，可以通过权限在系统中的设置，实现信息化，而诚信与道德，管理层经营理念都难以通过信息化实现。

2.自动控制。它是由计算机等系统自动执行的控制，包括系统固有（如业务流程）控制、系统配置控制、系统权限控制，以及依赖系统的手工控制（半自动控制）。

三、有效实施控制活动

（一）确定或改进工作程序

有效实施控制活动要以风险评估结果为基础，对现有流程进行梳理，针对缺失的内容及时制定新的流程，对于不完善的流程尽快加以完善。企业应当确定规范业务或事项流程的工作程序，明确经理层、内部控制管理部门（或类似职能部门）、其他职能部门、分（子）公司在流程梳理或再造过程中的职责和权限。通常，经理层的职责应当承担审批和全局把握的职责，主要包括：将企业确认的重大和主要风险落实到关键业务管理流程中；根据企业层面风险评估结果，制定针对包含重大和主要风险流程的管控安排；确定部门、分（子）公司内部及其相互间的流程接口；定期对企业层面的重大和主要风险事项及其相应的流程管控效果进行评估等。内部控制管理部门（或类似职能部门），应当主要承担业务指导、汇总、组织和评价职责。其他职能部门、分（子）公司，主要承担具体业务或事项主流程和相关子流程梳理、分析和整理工作，并严格执行。

（二）制定并实施政策和程序

控制活动实施环节主要包括两个方面：一是针对公司的每一项业务活动或事项制定必要和恰当的政策和程序；二是执行已制定的政策和程序，也就是设计和执行两个环节。

1.从内部控制设计角度，根据风险应对策略，针对各类风险或每一项重大风险制定相关的规章制度、控制政策和控制措施，确保风险控制在风险承受度的范围内。内部控制设计分为企业层面和业务活动层面。

第一，从企业层面来说，包括《公司章程》、《战略委员会工作规则》、《薪酬委员会工作规则》等政策、文件，用于统驭业务活动层面的控制活动。企业层面的政策、文件首先应满足合规的要求，其次是坚持发展战略与风险策略一致、风险控制与运营效率及效果相平衡的原则把握关键环节，制定关键控制点。

第二，从业务活动层面来说，主要以各种企业的业务流程和相关制度、配套记录文档等作为载体。

业务流程是企业各项规章制度、控制政策和控制措施业务流程，可以由业务流程架构、业务流程图、业务流程业务描述构成。其中，业务流程架构是以企业整体战略发展为导向，以实现企业各项目标，以防范风险为出发点，构建统一规范的、可持续优化、操作性较强的业务流程架构；业务流程描述是按照业务流程架构，遵循业务运行实际，结合风险控制要求，描述业务工作步骤，实现业务管理程序化的过程。业务流程描述的内容包括：业务流程名称编码和起止点、必备的步骤、业务风险点、控制要求，以及对应的组织机构和岗位；通过业务流程描述的标准，及构建业务流程的一般方法，界定业务流程描述的相关术语。

相关制度是针对各项管理活动，制定财务、人事、预算、资本运营、法律、质量、安全环保、科技、信息、监察、审计、行政等管理活动方面的管理规程。相对业务流程来说，制度更加具有针对性、具体性。它作为业务流程的重要补充，与业务流程的关键控制紧密结合在一起，形成有机整体，从而避免制度和业务流程“两张皮”的效果。比如会计核算办法作为财务报告流程的补充。

配套记录文档，是各项业务流程和制度具体执行的“痕迹”或载体，很大程度上体现了控制的内容。比如付款审批单记录了付款的对象、金额、账号、审批人、经办人等；合同记录了合同主体、金额、审批人、会签人、经办人等。企业有必要对重要的配套记录文档进行规范，并建立业务流程的风险控制文档。

《企业内部控制配套指引》所包括的18项应用指引，分别涉及组织框架、发展战略、工程项目、合同管理、业务外包等业务或事项，对其相关的内部控制设计提出了明确要求。此处不再详述。

2.从执行的角度，就是将上述各项控制政策落到实处。尽管大多数企业有较为完善的制度，但是从近年来外部审计、发生的较大经济案件看，企业通常不是没有相关政策和程序，而是缺乏内部控制执行力。提高内部控制执行力的方法主要有：

（1）企业管理层带头执行。它可以向基层员工传递必须遵守公司政策的信号，是加强内部控制执行力最重要的因素。

（2）实现业务流程的信息化，将优化过的业务流程“嵌入”信息系统中，提高控制效率和效果。值得注意的是：这个“优化业务流程”是信息化的关键，绝不是简单的“植入”。

（3）与内部监督紧密结合，加强日常监督和专项监督，定期总结分析风险反应方案、控制措施的有效性和合理性，并不断修订和完善。

（4）加强对内部控制执行的考核力度，营造“遵章守纪”的氛围。

除此之外，还应当做好以下工作：

（1）加强内部控制工作的组织领导。内部控制是“一把手”工程，企业管理层理解并重视内部控制，是有效实施内部控制的前提。在管理层重视内部控制的基调下，致力于组织机构、发展战略、人力资源、社会责任、企业文化等方面的内部环境建设，将为内部控制的有效实施提供根本保证。如建立科学、透明的治理结构，有利于提高企业应对风险和控制能力，提高企业的快速反应能力；建立诚实守信、开拓创新、团结协作的企业文化，有利于提高员工的控制意识；等等。实务中，如审计发现一些控制活动频繁、反复地出现问题，则需要认真反思企业内部环境问题。比如，无法区分资本性支出和费用性支出，可能是由于企业多头管理所致，导致对于同一个修理项目同时有几个部门负责管理的情况。这往往就是组织机构存在问题。

（2）应致力于建立并不断完善内部控制管理部门（或类似机构）的事前、事中控制工作机制，提高企业应对风险的反应能力。一方面，能够取得企业生产经营中存在的风险信息；另一方面，定期或不定期根据内部监督情况，将内部控制有效性向恰当的管理层汇报，及时反映企业的风险并加以解决，能够不断加强内部控制的执行力。

（3）按照各有关部门和业务单位的职责分工，将各个控制点的责任落实到部门和人，这些责任除了执行的责任，还包括设计的责任。只有这样，才能将风险控制真正落实到全员、全过程。

（4）加强宣传、培训的力度。内部控制宣传培训并不是一个新话题。但是，从我国企业内部控制实践看，依然任务艰巨。企业要建立和健全内部控制体系，仍需加大培训力度。通过内部控制培训，尽可能消除对内部控制的误解，无疑会更有利于实现内部控制目标。