控制活動設計實務
控制活動,是企業主體根據風險應對策略所采取的針對主體在實現其既定目標過程中可能遭遇到的風險而制定和實施的相關措施的過程,是實施有效內部控制的關鍵步驟。
企業主體通過采取適當的針對性措施控制風險,確保將剩余風險控制在可接受水平之內,有助于確保管理層命令得以執行。當然,企業在采取控制措施時,也要考慮機會的把握。
控制活動內容設計
控制活動內容,就是企業主體對風險進行控制所采取的措施??刂苹顒觾热萦删唧w的控制目的、控制崗位、控制內容、控制政策、控制程序、控制方法、控制方式、控制技術、控制工具等構成。企業主體采取控制風險措施,要考慮控制目的、誰來干、干什么、怎么干的問題。
筆者認為,控制措施一定要結合企業具體業務的特點與要求??刂苹顒觾热莶⒉荒芎唵蔚亟缍檎吆统绦?,而更應該關注其適應性與操作性。
實際上,在實踐中控制活動的內容是復雜多樣的??刂拼胧┮蚱髽I性質、業務規模、風險類別等的不同而不同。針對各類風險,企業應根據實際情況,重點考慮安全方針、資產的分類與控制、人員安全、物理與環境安全、通信與運作管理、訪問控制、系統的開發與維護、業務持續性管理、符合性等方面的控制。
控制活動、控制措施的設計一定要和具體的企業實際相結合,與控制活動管理相融合,并嵌入到控制活動流程當中??刂苹顒涌傮w的控制措施是重要的,但更重要的是針對關鍵控制點采取具體的控制措施。
控制活動的控制方法一般可以通過控制圖來進行??刂茍D是用來分析和判斷目標實施過程的變化、控制的穩定性、消除失調現象的一種重要工具。
《企業內部控制基本規范》(以下簡稱《基本規范》)指出,控制措施一般包括:不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等?;凇痘疽幏丁返目刂拼胧┍硪姳硪?。
控制活動程序設計
控制活動程序,是企業主體實施風險控制的步驟與流程??刂苹顒映绦虻年P鍵步驟包括:
建立風險控制文檔。企業主體通過建立風險控制文檔進行差異分析,查找現有控制的差距和不足,然后補充和完善現有控制措施,以達到防范風險的目的。同時,也為進一步補充、修訂制度提供依據。風險控制文檔用于確認、記錄每個流程及每個步驟中存在的風險和已建立的控制,并與相應的制度和控制實施證據對應。
建立關鍵控制。關鍵控制,是在相關流程中影響力和控制力相對較強的一項或多項控制,其控制作用是必不可少和不可替代的。如果缺少該項控制,將很可能直接導致財務風險的產生。
企業在構建與實施控制活動內部控制過程中,要針對控制活動風險評估的結果,確定控制活動的一般控制點和關鍵控制點,并編制控制活動控制要點表。
一般而言,企業的活動大致可分為:管理活動、經營活動、財務活動、行政活動等。其內部控制的關鍵點至少包括:針對企業的每一項業務活動都有必要和恰當的政策和程序;已確定的控制行為得到恰當的執行。
制定控制程序文件。企業主體在建立風險控制文檔的基礎上,建立與控制相對應的程序文件和與控制相關的、有示范意義的控制證據。
根據變化的內外部環境調整控制措施,并完善相應的制度文件。隨著經營活動外部環境和內部管理的變化,風險評估的結果也會不斷更新,風險控制也隨之發生變化。因此,內控部門每年定期組織相關部門對新增或變動的風險進行以下判斷:是否有新增的業務活動;已有的控制活動是否有變化;這些控制活動中哪些是關鍵控制。然后將這些新增或變化后的控制活動記錄在風險控制文檔中,并根據識別出的關鍵控制對關鍵控制文檔進行更新。
筆者認為,確定設計風險控制措施很重要,而實施過程中真正執行所確定的風險控制措施則更為重要。企業主體應根據風險的影響、管理的復雜性和其他因素的影響,設計出一套風險處理記錄模式,對風險控制措施的執行情況進行適當程度的記錄。
同時,企業主體應建立評估標準,對風險控制措施的執行情況進行評估。企業主體還應明確風險控制執行情況的責任人,并定期反饋風險控制的執行情況,向管理層報告所有風險控制失效的情況,以保證及時采取必要的措施以糾正風險控制失效。企業主體根據風險控制反饋情況信息,評估風險控制的執行效果,并及時進行修正。
控制活動方法設計
風險控制方法很多,因采取具體措施的不同而不同。我國《基本規范》將美國科索委員會(COSO)制定的《內部控制——整合框架》中的防止性控制、檢查性控制、手工控制、計算機控制和管理性控制等控制活動類型界定為通過手工控制與自動控制、預防性控制與發現性控制相結合的方法。
基于COSO財務報告內部控制——較小型公眾公司指南的控制活動原則、方法如表二。