控制活动是指有助于确保
管理层的指令得以执行的政策和程序,包括与授权、
业绩评价、信息处理、
实物控制和
职责分离等相关的活动。
基本介绍
企业必须制定控制的政策及程序,并予以执行,以帮助管理阶层保证“为保证其控制目标的实现,其用以辨认并用以处理风险所必须采取的行动业已有效落实”。
主要内容
控制活动包括与授权、
业绩评价、信息处理、
实物控制和
职责分离等相关的活动。
1、授权。注册会计师应当了解与授权有关的控制活动,包括
一般授权和特别授权。
授权的目的在于保证交易在管理层授权范围内进行。一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。特别授权是指管理层针对特定类别的交易或活动逐一设置的授权,如重大
资本支出和
股票发行等。特别授权也可能用于超过一般授权限制的常规交易。例如,同意因某些特别原因,对某个不符合一般
信用条件的客户赊购商品。
2、业绩评价。注册会计师应当了解与业绩评价有关的控制活动,主要包括被审计单位分析评价实际业绩与预算(或预测、前期业绩)的差异,综合分析财务数据与经营数据的
内在关系,将内部数据与
外部信息来源相比较,评价职能部门、分支机构或
项目活动的业绩(如银行客户
信贷经理复核各分行、地区和各种贷款类型的审批和收回),以及对发现的异常差异或关系采取必要的调查与
纠正措施。
通过调查非预期的结果和非正常的趋势,管理层可以识别可能影响
经营目标实现的情形。管理层对业绩信息的使用(如将这些信息用于经营决策,还是同时用于对财务报告系统报告的非预期结果进行追踪),决定了
业绩指标的分析是只用于经营目的,还是同时用于财务报告目的。
3、信息处理。注册会计师应当了解与信息处理有关的控制活动,包括信息技术的一般控制和
应用控制。
各种措施被审计单位通常执行各种措施,检查各种类型信息处理环境下的交易的准确性、完整性和授权。信息
处理控制可以是人工的、自动化的,或是基于自动流程的
人工控制。信息处理控制分为两类,即信息技术的一般控制和应用控制。
信息技术一般控制是指与多个
应用系统有关的政策和程序,有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性),支持应用
控制作用的有效发挥,通常包括数据中心和网络运行控制,系统软件的购置、修改及维护控制,接触或
访问权限控制,应用系统的购置、开发及维护控制。例如,程序改变的控制、限制接触程序和数据的控制、与新版
应用软件包实施有关的控制等都属于
信息系统一般控制。
信息技术应用控制是指主要在
业务流程层次运行的人工或自动化程序,与用于生成、记录、处理、报告交易或其他财务数据的程序相关,通常包括检查数据计算的准确性,审核账户和
试算平衡表,设置对输入数据和数字序号的自动检查,以及对例外报告进行人工干预。
4、
实物控制。注册会计师应当了解实物控制,主要包括了解对资产和记录采取适当的安全保护措施,对访问计算机
程序和
数据文件设置授权,以及
定期盘点并将盘点记录与
会计记录相核对。例如,现金、
有价证券和存货的定期盘点控制。实物控制的效果影响资产的安全,从而对
财务报表的可靠性及审计产生影响。
5、
职责分离。注册会计师应当了解职责分离,主要包括了解被审计单位如何将交易授权、
交易记录以及资产保管等职责分配给不同员工,以防范同一员工在履行多项职责时
可能发生的舞弊或错误。当信息技术运用于信息系统时,职责分离可以通过设置安全控制来实现。
注意事项
企业在制定控制活动时,尤其要注意以下三点:
授权控制是指在开展各项
经营活动的过程中,企业最高管理层必须通过合理授权的方式,使各中间管理层和员工以所授权力作为开展工作的依据。管理层在授权时,合理把握授权的“度”至关紧要,建立授权控制时要注意授权的范围、授权的层次与责任。做到既能保证
经营决策有效运作、
管理制度有效贯彻,又能保证
权力制衡得到落实。
也是
现代企业制度下规范
公司治理结构的一项制度保障。
全面预算是
企业财务管理的重要组成部分,也是对企业
经济业务规划的某种授权。科学地编制和执行预算,控制有关经营行动,以合理配置所拥有的
经济资源,促进
企业经营管理目标的实现。全面预算是一项集体性工作,需要全体员工的相关合作。
企业的
会计系统为企业提供成本信息、营运信息、生产信息、库存信息等。因此,企业应加强
会计系统控制。会计系统控制主要包括:(1)、建立健全内部
会计管理规范和
监督制度,明确权责,相互制约。(2)、
统一企业内部
会计政策。(3)、统一企业内部
会计科目。(4)、规范
会计凭证、账簿和
财务报告的处理程序和方法。
4、建立健全规范和监督制度
建立健全内部会计管理规范和监督制度,明确权责,相互制约;统一企业内部
会计政策;统一企业内部
会计科目;规范
会计凭证、账簿和财务报告的处理程序和方法。
类型
控制活动可以根据其相关的目标分为战略类、经营类、报告类和遵循类。有时,某一特定的控制活动,如经营性控制活动也有助于提高报告的可靠性;报告类的控制活动也会影响到法规的遵循,等等。
管理层在确定控制活动时,需要考虑控制活动之间的联系。在某些情况下,一项控制活动可以实现多个
风险反应;在另一些情况下,一个风险反应需要多个风险控制活动。一般情况下,控制活动是为了实现风险反应而建立的,但有时风险反应本身就是控制活动。比如,为了使某一特定交易能够适当进行,风险反应本身就是控制活动,即需要
职责分离,需要有
监管者的批准等。
需要注意的是,控制活动是企业实现其目标过程中一个极其重要的组成部分。不能为控制而控制,也不能仅认为应该控制而控制。管理者必须将控制活动与控制目标相结合,控制活动是努力实现目标的一种机制。
可以从不同的角度对控制活动进行分类,如预防性的,即在某些交易执行之前就加以控制;
查错防弊性的,即及时地审查并控制交易活动等。控制活动将手工控制和计算机控制结合在一起,使信息能够正确采集,授权和审批某项
投资决策的
日常流程能够建立。比如说,企业的控制活动可以分为:
1.
最高管理层的审阅:最高管理层可以将实际执行效果与预算、预测、以前年度同期以及
竞争者进行对比,跟踪检查某些活动的效果,衡量其是否达到预定目标,如市场的切入措施、改进后的
生产流程、
成本控制与削减计划等。
2.直接的职能或活动管理:
职能经理或作业经理审阅
业绩报告。
3.信息处理:对交易的
准确性、
完整性以及授权的适当性进行控制,比如客户订单仅当查询相关已批准的客户文档、
信用限额后才能接受等。
4.物理控制:保证设备、存货、证券、现金和
其他资产实物安全,并定期进行实物核对、账目核对。
5.绩效指标:对数据,如经营性或财务性数据进行
关联分析,调查原因,并采用相应的
纠正措施,即控制活动。例如,
绩效指标包括员工的流动性,如果员工流动性过大,某些
关键岗位人力不足,预期目标实现的可能性就会变小。
6.
职责分离:职责分离的目的在于防止错误与欺诈。例如,交易审批、记录和相关资产的处理职责要分开;批准
信用销售的经理不得负责
应收账款和
现金收入的处理;销售人员不得修改产品的
价格政策和佣金比率。
相关衔接
风险
管理策略选定后,企业管理层确定控制活动以保证这一管理策略能够及时地得以适当地实施。企业的风险管理策略主要有四种:回避、减少、分散和承担,每种管理策略都需要相应的控制活动。
风险回避:如某中药制造企业认识到,随着国家对
药品质量重视程度的提高,药品质量的任何差错极有可能导致企业失败。为此,
公司管理层加强了对药品质量检测环节的管理,并购置了备用
检测设备,以避免药品质量方面的风险。为实施这一风险管理策略,公司重新修订了
药品检测管理政策与流程,并要求质量控制部负责人每月就质量检测的
人员配备、
设备维护情况向公司管理层进行汇报。
风险减少:如某医院管理层确认其病人的健康状况受到电力供应中断的不利影响。管理层针对这一风险采用的管理策略是安装一个备用发电机。为使发电机在需要时能够正常运行,医院工程部门进行了
日常维护,其维护日记由工程部门负责人每月审阅一次。
风险共享:如某制造企业认识到工厂长期停工将会影响其生产目标的实现,考虑到公司当前的资本状况、
风险承受能力以及购买保险的成本,管理层决定购买最长为六个月的产品损失险。为实现这一管理策略,公司
首席风险官(
CRO)定期审阅
保险单和商定
保险条款的遵循情况,并将遵循情况向
首席运营官(COO)汇报。
风险接受:如某公司管理层确认世界
商品价格变化是一种风险,通过对风险发生的可能性、后果以及公司
风险承受度的评估,公司决定接受这一风险。
公司管理层建立了一项政策,由公司财务部每3个月进行一次正式的风险再评估,并向公司管理委员会提出建议,是否需要采用“
套期”风险管理策略。
风险反应
控制活动建立的目的是保证风险反应能够适当地实施。对有些目标来说,特别是报告目标,控制活动本身就是风险反应。
例如,某企业为保证资产采购和费用处理目标的实现,采用相应的风险管理策略(控制活动)如下:
报告目标:完整、准确、有效地记录和处理资产的获取、费用的发生
具体目标:每月财务报表的差错<10000元
风险:
1.供应商发票金额错误
可能性:可能
后果:较小(500-2000元)
可能性:基本确定;
后果:中等(1000-2500元)
3.根据
财务报表或发票付款,可能产生重复向
供应商付款的错误
可能性:可能;
后果:较小(500-1000元)
1.需求部门请购商品和劳务。(略)
2.采购部门根据已批准的请购申请编制订购单和采购商品。(略)
3.验收部门将所收商品与
订购单进行核对。验收人员将货品送交仓库时,应要求其在验收单的副联上签收。
4.储存已验收的商品存货。
5.编制
付款申请单。付款申请单编制部门(一般为负责采购的部门或商务部)应当:
确定供应商发票金额计算的准确性;
在付款申请单填入应借记的资产或费用账户的名称;
6.
财务部门支付款项。支付金额包括
电子支付金额,一人填写,另一人复核,以保证支付金额的填写准确无误。对于大笔
或非正常项目的支付(如金额超过50000元以上的),需与订购单、验收单进行核对。
8.违反上述操作程序的,系统会自动向相关负责人汇报。
信息系统
人们经营企业、实现报告与遵循目标,对信息系统的依赖程度日益增加。在这种情况下,对企业重要的信息系统都需要加以控制。
一般控制
一般控制包括
信息技术管理,信息技术基础架构,
安全管理和软件的取得、开发和维护等,它应用于所有的系统。
1、信息技术管理:指导委员会对信息技术活动以及改进措施进行监督、监控和报告。
2、信息技术基础架构:包括系统的定义、获取、安装、配置、整合和维护方面的控制。控制可能包括确定和强化系统表现的
服务水平协议,保持系统
有效性的业务
持续性计划,跟踪运行失败的网络表现,以及安排计算机运行的进程。信息技术
基础结构中的系统软件要素可能包括下列控制,例如
管理当局或指导委员会对重要的新获取的复核和批准,限制对
系统配置和运行系统软件的进入,自动调整从
中间设备软件存取的数据,以及对通信错误的奇偶数位侦查。系统软件控制还包括
突发事件追踪、
系统日志以及对数据更改设施的详细使用报告的复核。
3、
安全管理:包括逻辑接触控制,如上网、接触数据库和应用层面上的安全密码控制。
用户账户和接触
授权控制是根据被授权者的工作需要来确定授权的范围。因特网防火墙和
虚拟私人网络使未授权者得不到相关的数据,保证了数据的安全。
4、软件的获取、开发与维护:对软件的获取与应用的控制是与已建立的流程整合在一起的,包括文档需求、客户接受测试、
压力测试和项目风险评估。与
源代码的接触通过
代码库来控制。软件开发者应在单独的开发或
测试环境中工作,不能接触到
生产环境。对系统变化的管理包括:变动申请所必须的授权,变动的审查、审批、记录、测试、变动对其他信息技术要素的影响,压力测试结果以及实施协议等。
应用控制
应用控制侧重于信息采集与处理的完整、准确、授权以及有效性等。它有助于信息在需要时能够及时采集到或能够生成,应用支撑能够获得,接口错误能够迅速发现。应用控制活动包括将
输入数据汇总后与总额核对,发现数据是否存在录入错误;设置
校验码;对数据的
合理性进行测试;逻辑测试等。