企业内控中控制活动.docVIP

企业内控中的控制活动 　　控制活动指确保管理层的风险反应（管理策略）得以实施的一系列政策和程序。 　　 　　政策和程序 　　 　　政策是决策制定的广义指南，它将战略制定与战略实施相联结。企业通过制定政策来确保公司的各种决策与行动有助于公司使命、目标和战略的实现。程序，有时也称为操作规程。它详细描述完成某一特定任务或工作的一系列或技术。通常用来描述公司行动计划所必须执行的各种活动。 　　通俗地说，政策就是确定应该做什么，流程或程序确定如何去做。例如，证券交易商的一项政策要求对客户的交易活动进行审阅。流程就是审阅本身，包括审阅的时间、谁去审阅、审阅过程中应该关注什么等。 　　对于一些小型企业来说，政策或许是口头的而非书面的，但不管是口头的还是书面的，政策都应该有效、自觉、持之以恒地加以执行。如果机械地执行流程，而不能对政策所???向的环境有一个准确、持续的把握，则流程会形同虚设。 　　 　　控制活动的类型 　　 　　控制活动可以根据其相关的目标分为战略类、经营类、报告类和遵循类。有时，某一特定的控制活动，如经营性控制活动也有助于提高报告的可靠性；报告类的控制活动也会影响到法规的遵循，等等。 　　管理层在确定控制活动时，需要考虑控制活动之间的联系。在某些情况下，一项控制活动可以实现多个风险反应；在另一些情况下，一个风险反应需要多个风险控制活动。一般情况下，控制活动是为了实现风险反应而建立的，但有时风险反应本身就是控制活动。比如，为了使某一特定交易能够适当进行，风险反应本身就是控制活动，即需要职责分离，需要有监管者的批准等。 　　需要注意的是，控制活动是企业实现其目标过程中一个极其重要的组成部分。不能为控制而控制，也不能仅认为应该控制而控制。管理者必须将控制活动与控制目标相结合，控制活动是努力实现目标的一种机制。 　　可以从不同的角度对控制活动进行分类，如预防性的，即在某些交易执行之前就加以控制；查错防弊性的，即及时地审查并控制交易活动等。控制活动将手工控制和计算机控制结合在一起，使信息能够正确采集，授权和审批某项投资决策的日常流程能够建立。比如说，企业的控制活动可以分为： 　　1.最高管理层的审阅：最高管理层可以将实际执行效果与预算、预测、以前年度同期以及竞争者进行对比，跟踪检查某些活动的效果，衡量其是否达到预定目标，如市场的切入措施、改进后的生产流程、成本控制与削减计划等。 　　2.直接的职能或活动管理：职能经理或作业经理审阅业绩报告。 　　3.信息处理：对交易的准确性、完整性以及授权的适当性进行控制，比如客户订单仅当查询相关已批准的客户文档、信用限额后才能接受等。 　　4.物理控制：保证设备、存货、证券、现金和其他资产实物安全，并定期进行实物核对、账目核对。 　　5.绩效指标：对数据，如经营性或财务性数据进行关联分析，调查原因，并采用相应的纠正措施，即控制活动。例如，绩效指标包括员工的流动性，如果员工流动性过大，某些关键岗位人力不足，预期目标实现的可能性就会变小。 　　6.职责分离：职责分离的目的在于防止错误与欺诈。例如，交易审批、记录和相关资产的处理职责要分开；批准信用销售的经理不得负责应收账款和现金收入的处理；销售人员不得修改产品的价格政策和佣金比率。 　　 　　控制活动与风险反应衔接 　　 　　风险管理策略选定后，企业管理层确定控制活动以保证这一管理策略能够及时地得以适当地实施。企业的风险管理策略主要有四种：回避、减少、分散和承担，每种管理策略都需要相应的控制活动。 　　风险回避：如某中药制造企业认识到，随着国家对药品质量重视程度的提高，药品质量的任何差错极有可能导致企业失败。为此，公司管理层加强了对药品质量检测环节的管理，并购置了备用检测设备，以避免药品质量方面的风险。为实施这一风险管理策略，公司重新修订了药品检测管理政策与流程，并要求质量控制部负责人每月就质量检测的人员配备、设备维护情况向公司管理层进行汇报。 　　风险减少：如某医院管理层确认其病人的健康状况受到电力供应中断的不利影响。管理层针对这一风险采用的管理策略是安装一个备用发电机。为使发电机在需要时能够正常运行，医院工程部门进行了日常维护，其维护日记由工程部门负责人每月审阅一次。 　　风险共享：如某制造企业认识到工厂长期停工将会影响其生产目标的实现，考虑到公司目前的资本状况、风险承受能力以及购买保险的成本，管理层决定购买最长为六个月的产品损失险。为实现这一管理策略，公司首席风险官（CRO）定期审阅保险单和商定保险条款的遵循情况，并将遵循情况向首席运营官（COO）汇报。 　　风险接受：如某公司管理层确认世界商品价格变化是一种风险，通过对风险发生的可能性、后果以及公司风险承受度的评估，公司决定接受这一风险。公