内部控制中控制活动.doc

内部控制中的控制活动 　　作为内部控制基本要素之一的控制活动，在内部控制中处于特殊的位置，是实现内部控制目标的关键要素。企业内部控制理念需要通过控制活动体现出来；内部环境在为控制活动提供基础的同时，需要通过控制措施，借助于控制活动发挥其实现控制的作用；而风险评估的目的就在于为选择控制措施提供依据。可以说，风险评估的最终目的要通过控制措施的运用，通过控制活动表现出来。 　　 　　一、《内部控制框架》与《企业风险管理框架》中的控制活动 　　 　　美国COSO委员会发布的《内部控制框架》与其发布的《企业风险管理框架》中的控制活动的概念基本相同，两者都将控制活动定义为用于帮助管理层确保其指令得以贯彻实施的政策和程序。两者都认为控制活动通常包括两个要素，即政策和程序。政策确定应该做什么；程序用来贯彻政策，即人们直接或通过技术的运用来执行政策的行动。政策是程序的基础，如一项政策要求证券公司的客户经理对客户交易活动进行审核，而程序则是及时实施审核本身以及关注政策中列举的因素。 　　控制活动总是与企业的目标相联系，根据控制活动与相关目标的性质，控制活动可分为经营、财务报告和合规等类别的控制活动。某项控制活动虽然仅仅与某一类别的相关，但某项特定的控制活动可能有助于企业多类目标的实现。如用于经营控制的特定控制活动既可以确保财务报告可靠性目标的实现，也有助于合规性目标的实现。 　　《内部控制框架》和《企业风险管理框架》要求，企业应当在风险评估的基础上，与风险应对相结合，确定控制措施，实施控制活动。在选择控制活动的过程中，企业应当充分考虑到各项控制活动的相互关联性。在某些情况下，一项控制活动可以实现多项风险应对；而在另外一些情况下，一项风险应对需要多项控制活动。控制活动通常是企业为实现其经营目标所进行的管理活动的一部分，是促进企业经营目标实现的机制。控制活动贯穿于管理过程之中，存在于整个企业的所有层级和所有职能之中。在选择控制活动时，还要考虑控制活动与相关目标的相关性和适当性。控制活动的适当性可以通过单独考虑控制活动来进行，也可以通过考虑风险应对和相关控制活动之下的剩余风险来进行。 　　关于控制活动的类型，《内部控制框架》和《企业风险管理框架》均提出包括预防性控制、发现性控制、人工控制、计算机控制和管理控制，均列举了高层审核、直接的职能和管理活动、信息处理、实物控制、业务指标、职责分离等六项控制活动。 　　《内部控制框架》和《企业风险管理框架》都特别强调了对信息系统的控制。要求采用一般控制和应用控制，对信息系统实施控制活动。一般控制包括对数据中心操作控制、系统软件控制、访问安全控制以及应用系统的开发与维护控制。而应用控制目的则在于控制应用过程、确保交易处理的完整性和准确性、授权和有效性。信息系统的两类控制相互关联，应用控制需要一般控制支持其运行，信息系统需要一般控制和应用控制的结合来确保其完整和准确的信息处理。 　　《内部控制框架》和《企业风险管理框架》都要求控制活动必须考虑企业的特殊性。每一企业都有自己的战略目标和经营目标，其控制活动也必然会存在差异。企业经营的复杂性及其经营活动的性质和范围，均会对其控制活动产生影响。企业管理层的职业判断影响着控制活动。企业所处的环境和行业、企业的规范和复杂性及其经营活动的性质和范围、发展历史和企业文化均会对控制活动产生影响。影响企业控制活动的因素主要包括企业所处的位置、经营的广泛性和复杂性以及信息处理方法。 　　 　　二、《企业内部控制基本规范》中的控制活动 　　 　　根据我国《企业内部控制基本规范》（下文简称“《基本规范》”），企业在对风险进行评估、确定风险应对策略后，应当对剩余风险采用控制措施，实施控制活动。控制活动是既定目标之下为实现目标而采取的控制措施，《基本规范》要求企业通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。 　　（一）控制措施一般包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等 　　1.不相容职务分离控制。所谓不相容职务是指由同一人员承担具有产生错误或导致舞弊可能性的岗位，如会计职务与出纳职务、收款与销售等。实施不相容职务分离控制的目标就在于：从人员职务配置上预防舞弊或错误的产生，以实现内部控制的目标。不相容职务分离控制要求企业全面、系统地分析、梳理业务流程中所涉及的不相容职务，对其实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。 　　2.授权审批控制。授权审批实际上属于职权配置问题。不同的管理人员在企业中处于不同的位置，承担着不同的责任，需要在内部不同层次的人员之间进行合理的授权。授权审批控制要求企业根据常规授权和特别授权的规