企業(yè)內(nèi)控中的控制活動(dòng)

　　控制活動(dòng)指確保管理層的風(fēng)險(xiǎn)反應(yīng)（管理策略）得以實(shí)施的一系列政策和程序。

　　政策和程序

　　政策是決策制定的廣義指南，它將戰(zhàn)略制定與戰(zhàn)略實(shí)施相聯(lián)結(jié)。企業(yè)通過制定政策來確保公司的各種決策與行動(dòng)有助于公司使命、目標(biāo)和戰(zhàn)略的實(shí)現(xiàn)。程序，有時(shí)也稱為操作規(guī)程。它詳細(xì)描述完成某一特定任務(wù)或工作的一系列或技術(shù)。通常用來描述公司行動(dòng)計(jì)劃所必須執(zhí)行的各種活動(dòng)。

　　通俗地說，政策就是確定應(yīng)該做什么，流程或程序確定如何去做。例如，證券交易商的一項(xiàng)政策要求對(duì)客戶的交易活動(dòng)進(jìn)行審閱。流程就是審閱本身，包括審閱的時(shí)間、誰去審閱、審閱過程中應(yīng)該關(guān)注什么等。

　　對(duì)于一些小型企業(yè)來說，政策或許是口頭的而非書面的，但不管是口頭的還是書面的，政策都應(yīng)該有效、自覺、持之以恒地加以執(zhí)行。如果機(jī)械地執(zhí)行流程，而不能對(duì)政策所指向的環(huán)境有一個(gè)準(zhǔn)確、持續(xù)的把握，則流程會(huì)形同虛設(shè)。

　　控制活動(dòng)的類型

　　控制活動(dòng)可以根據(jù)其相關(guān)的目標(biāo)分為戰(zhàn)略類、經(jīng)營(yíng)類、報(bào)告類和遵循類。有時(shí)，某一特定的控制活動(dòng)，如經(jīng)營(yíng)性控制活動(dòng)也有助于提高報(bào)告的可靠性；報(bào)告類的控制活動(dòng)也會(huì)影響到法規(guī)的遵循，等等。

　　管理層在確定控制活動(dòng)時(shí)，需要考慮控制活動(dòng)之間的聯(lián)系。在某些情況下，一項(xiàng)控制活動(dòng)可以實(shí)現(xiàn)多個(gè)風(fēng)險(xiǎn)反應(yīng)；在另一些情況下，一個(gè)風(fēng)險(xiǎn)反應(yīng)需要多個(gè)風(fēng)險(xiǎn)控制活動(dòng)。一般情況下，控制活動(dòng)是為了實(shí)現(xiàn)風(fēng)險(xiǎn)反應(yīng)而建立的，但有時(shí)風(fēng)險(xiǎn)反應(yīng)本身就是控制活動(dòng)。比如，為了使某一特定交易能夠適當(dāng)進(jìn)行，風(fēng)險(xiǎn)反應(yīng)本身就是控制活動(dòng)，即需要職責(zé)分離，需要有監(jiān)管者的批準(zhǔn)等。

　　需要注意的是，控制活動(dòng)是企業(yè)實(shí)現(xiàn)其目標(biāo)過程中一個(gè)極其重要的組成部分。不能為控制而控制，也不能僅認(rèn)為應(yīng)該控制而控制。管理者必須將控制活動(dòng)與控制目標(biāo)相結(jié)合，控制活動(dòng)是努力實(shí)現(xiàn)目標(biāo)的一種機(jī)制。

　　可以從不同的角度對(duì)控制活動(dòng)進(jìn)行分類，如預(yù)防性的，即在某些交易執(zhí)行之前就加以控制；查錯(cuò)防弊性的，即及時(shí)地審查并控制交易活動(dòng)等�？刂苹顒�(dòng)將手工控制和計(jì)算機(jī)控制結(jié)合在一起，使信息能夠正確采集，授權(quán)和審批某項(xiàng)投資決策的日常流程能夠建立。比如說，企業(yè)的控制活動(dòng)可以分為：

　　1. 最高管理層的審閱：最高管理層可以將實(shí)際執(zhí)行效果與預(yù)算、預(yù)測(cè)、以前年度同期以及競(jìng)爭(zhēng)者進(jìn)行對(duì)比，跟蹤檢查某些活動(dòng)的效果，衡量其是否達(dá)到預(yù)定目標(biāo)，如市場(chǎng)的切入措施、改進(jìn)后的生產(chǎn)流程、成本控制與削減計(jì)劃等。

　　2. 直接的職能或活動(dòng)管理：職能經(jīng)理或作業(yè)經(jīng)理審閱業(yè)績(jī)報(bào)告。

　　3. 信息處理：對(duì)交易的準(zhǔn)確性、完整性以及授權(quán)的適當(dāng)性進(jìn)行控制，比如客戶訂單僅當(dāng)查詢相關(guān)已批準(zhǔn)的客戶文檔、信用限額后才能接受等。

　　4. 物理控制：保證設(shè)備、存貨、證券、現(xiàn)金和其他資產(chǎn)實(shí)物安全，并定期進(jìn)行實(shí)物核對(duì)、賬目核對(duì)。

　　5. 績(jī)效指標(biāo)：對(duì)數(shù)據(jù)，如經(jīng)營(yíng)性或財(cái)務(wù)性數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，調(diào)查原因，并采用相應(yīng)的糾正措施，即控制活動(dòng)。例如，績(jī)效指標(biāo)包括員工的流動(dòng)性，如果員工流動(dòng)性過大，某些關(guān)鍵崗位人力不足，預(yù)期目標(biāo)實(shí)現(xiàn)的可能性就會(huì)變小。

　　6. 職責(zé)分離：職責(zé)分離的目的在于防止錯(cuò)誤與欺詐。例如，交易審批、記錄和相關(guān)資產(chǎn)的處理職責(zé)要分開；批準(zhǔn)信用銷售的經(jīng)理不得負(fù)責(zé)應(yīng)收賬款和現(xiàn)金收入的處理；銷售人員不得修改產(chǎn)品的價(jià)格政策和傭金比率。

　　控制活動(dòng)與風(fēng)險(xiǎn)反應(yīng)銜接

　　風(fēng)險(xiǎn)管理策略選定后，企業(yè)管理層確定控制活動(dòng)以保證這一管理策略能夠及時(shí)地得以適當(dāng)?shù)貙?shí)施。企業(yè)的風(fēng)險(xiǎn)管理策略主要有四種：回避、減少、分散和承擔(dān)，每種管理策略都需要相應(yīng)的控制活動(dòng)。

　　風(fēng)險(xiǎn)回避：如某中藥制造企業(yè)認(rèn)識(shí)到，隨著國(guó)家對(duì)藥品質(zhì)量重視程度的提高，藥品質(zhì)量的任何差錯(cuò)極有可能導(dǎo)致企業(yè)失敗。為此，公司管理層加強(qiáng)了對(duì)藥品質(zhì)量檢測(cè)環(huán)節(jié)的管理，并購(gòu)置了備用檢測(cè)設(shè)備，以避免藥品質(zhì)量方面的風(fēng)險(xiǎn)。為實(shí)施這一風(fēng)險(xiǎn)管理策略，公司重新修訂了藥品檢測(cè)管理政策與流程，并要求質(zhì)量控制部負(fù)責(zé)人每月就質(zhì)量檢測(cè)的人員配備、設(shè)備維護(hù)情況向公司管理層進(jìn)行匯報(bào)。

　　風(fēng)險(xiǎn)減少：如某醫(yī)院管理層確認(rèn)其病人的健康狀況受到電力供應(yīng)中斷的不利影響。管理層針對(duì)這一風(fēng)險(xiǎn)采用的管理策略是安裝一個(gè)備用發(fā)電機(jī)。為使發(fā)電機(jī)在需要時(shí)能夠正常運(yùn)行，醫(yī)院工程部門進(jìn)行了日常維護(hù)，其維護(hù)日記由工程部門負(fù)責(zé)人每月審閱一次。

　　風(fēng)險(xiǎn)共享：如某制造企業(yè)認(rèn)識(shí)到工廠長(zhǎng)期停工將會(huì)影響其生產(chǎn)目標(biāo)的實(shí)現(xiàn)，考慮到公司目前的資本狀況、風(fēng)險(xiǎn)承受能力以及購(gòu)買保險(xiǎn)的成本，管理層決定購(gòu)買最長(zhǎng)為六個(gè)月的產(chǎn)品損失險(xiǎn)。為實(shí)現(xiàn)這一管理策略，公司首席風(fēng)險(xiǎn)官（CRO）定期審閱保險(xiǎn)單和商定保險(xiǎn)條款的遵循情況，并將遵循情況向首席運(yùn)營(yíng)官（COO）匯報(bào)。

　　風(fēng)險(xiǎn)接受：如某公司管理層確認(rèn)世界商品價(jià)格變化是一種風(fēng)險(xiǎn)，通過對(duì)風(fēng)險(xiǎn)發(fā)生的可能性、后果以及公司風(fēng)險(xiǎn)承受度的評(píng)估，公司決定接受這一風(fēng)險(xiǎn)。公司管理層建立了一項(xiàng)政策，由公司財(cái)務(wù)部每3個(gè)月進(jìn)行一次正式的風(fēng)險(xiǎn)再評(píng)估，并向公司管理委員會(huì)提出建議，是否需要采用“套期”風(fēng)險(xiǎn)管理策略。

　　控制活動(dòng)與風(fēng)險(xiǎn)反應(yīng)同一

　　控制活動(dòng)建立的目的是保證風(fēng)險(xiǎn)反應(yīng)能夠適當(dāng)?shù)貙?shí)施。對(duì)有些目標(biāo)來說，特別是報(bào)告目標(biāo)，控制活動(dòng)本身就是風(fēng)險(xiǎn)反應(yīng)。

　　例如，某企業(yè)為保證資產(chǎn)采購(gòu)和費(fèi)用處理目標(biāo)的實(shí)現(xiàn)，采用相應(yīng)的風(fēng)險(xiǎn)管理策略（控制活動(dòng)）如下：

　　報(bào)告目標(biāo)：完整、準(zhǔn)確、有效地記錄和處理資產(chǎn)的獲取、費(fèi)用的發(fā)生

　　衡量指標(biāo)：發(fā)現(xiàn)的財(cái)務(wù)報(bào)告錯(cuò)誤，以人民幣計(jì)量

　　具體目標(biāo)：每月財(cái)務(wù)報(bào)表的差錯(cuò)＜10000元

　　風(fēng)險(xiǎn)：

　　1.供應(yīng)商發(fā)票金額錯(cuò)誤

　　可能性：可能

　　后果：較�。�500-2000元）

　　2.供應(yīng)商發(fā)票在月末結(jié)賬前不能取得

　　可能性：基本確定；

　　后果：中等（1000-2500元）

　　3.根據(jù)財(cái)務(wù)報(bào)表或發(fā)票付款，可能產(chǎn)生重復(fù)向供應(yīng)商付款的錯(cuò)誤

　　可能性：可能；

　　后果：較�。�500-1000元）

　　風(fēng)險(xiǎn)反應(yīng)（控制活動(dòng)）：

　　1.需求部門請(qǐng)購(gòu)商品和勞務(wù)。（略）

　　2.采購(gòu)部門根據(jù)已批準(zhǔn)的請(qǐng)購(gòu)申請(qǐng)編制訂購(gòu)單和采購(gòu)商品。（略）

　　3.驗(yàn)收部門將所收商品與訂購(gòu)單進(jìn)行核對(duì)。驗(yàn)收人員將貨品送交倉(cāng)庫(kù)時(shí)，應(yīng)要求其在驗(yàn)收單的副聯(lián)上簽收。

　　4.儲(chǔ)存已驗(yàn)收的商品存貨。

　　5.編制付款申請(qǐng)單。付款申請(qǐng)單編制部門（一般為負(fù)責(zé)采購(gòu)的部門或商務(wù)部）應(yīng)當(dāng)：

　　確定供應(yīng)商發(fā)票的內(nèi)容與相關(guān)的驗(yàn)收單、訂購(gòu)單一致；

　　確定供應(yīng)商發(fā)票金額計(jì)算的準(zhǔn)確性；

　　在付款申請(qǐng)單填入應(yīng)借記的資產(chǎn)或費(fèi)用賬戶的名稱；

　　由被授權(quán)人在付款憑單上簽字確認(rèn)。

　　6.財(cái)務(wù)部門支付款項(xiàng)。支付金額包括電子支付金額，一人填寫，另一人復(fù)核，以保證支付金額的填寫準(zhǔn)確無誤。對(duì)于大筆或非正常項(xiàng)目的支付（如金額超過50000元以上的），需與訂購(gòu)單、驗(yàn)收單進(jìn)行核對(duì)。

　　7.記錄現(xiàn)金、銀行存款支出。

　　8.違反上述操作程序的，系統(tǒng)會(huì)自動(dòng)向相關(guān)負(fù)責(zé)人匯報(bào)。

　　對(duì)信息系統(tǒng)的控制

　　人們經(jīng)營(yíng)企業(yè)、實(shí)現(xiàn)報(bào)告與遵循目標(biāo)，對(duì)信息系統(tǒng)的依賴程度日益增加。在這種情況下，對(duì)企業(yè)重要的信息系統(tǒng)都需要加以控制。

　　信息系統(tǒng)的控制包括兩大類：一般控制與應(yīng)用控制。一般控制包括信息技術(shù)管理，信息技術(shù)基礎(chǔ)架構(gòu)，安全管理和軟件的取得、開發(fā)和維護(hù)等，它應(yīng)用于所有的系統(tǒng)。

　　信息技術(shù)管理：指導(dǎo)委員會(huì)對(duì)信息技術(shù)活動(dòng)以及改進(jìn)措施進(jìn)行監(jiān)督、監(jiān)控和報(bào)告。

　　信息技術(shù)基礎(chǔ)架構(gòu)：包括系統(tǒng)的定義、獲取、安裝、配置、整合和維護(hù)方面的控制。

　　安全管理：包括邏輯接觸控制，如上網(wǎng)、接觸數(shù)據(jù)庫(kù)和應(yīng)用層面上的安全密碼控制。用戶賬戶和接觸授權(quán)控制是根據(jù)被授權(quán)者的工作需要來確定授權(quán)的范圍。因特網(wǎng)防火墻和虛擬私人網(wǎng)絡(luò)使未授權(quán)者得不到相關(guān)的數(shù)據(jù)，保證了數(shù)據(jù)的安全。

　　軟件的獲取、開發(fā)與維護(hù)：對(duì)軟件的獲取與應(yīng)用的控制是與已建立的流程整合在一起的，包括文檔需求、客戶接受測(cè)試、壓力測(cè)試和項(xiàng)目風(fēng)險(xiǎn)評(píng)估。與源代碼的接觸通過代碼庫(kù)來控制。軟件開發(fā)者應(yīng)在單獨(dú)的開發(fā)或測(cè)試環(huán)境中工作，不能接觸到生產(chǎn)環(huán)境。對(duì)系統(tǒng)變化的管理包括：變動(dòng)申請(qǐng)所必須的授權(quán)，變動(dòng)的審查、審批、記錄、測(cè)試、變動(dòng)對(duì)其他信息技術(shù)要素的影響，壓力測(cè)試結(jié)果以及實(shí)施協(xié)議等。

　　應(yīng)用控制側(cè)重于信息采集與處理的完整、準(zhǔn)確、授權(quán)以及有效性等。它有助于信息在需要時(shí)能夠及時(shí)采集到或能夠生成，應(yīng)用支撐能夠獲得，接口錯(cuò)誤能夠迅速發(fā)現(xiàn)。應(yīng)用控制活動(dòng)包括將輸入數(shù)據(jù)匯總后與總額核對(duì)，發(fā)現(xiàn)數(shù)據(jù)是否存在錄入錯(cuò)誤；設(shè)置校驗(yàn)碼；對(duì)數(shù)據(jù)的合理性進(jìn)行測(cè)試；邏輯測(cè)試等。