內部控制中的控制活動

　　作為內部控制基本要素之一的控制活動，在內部控制中處于特殊的位置，是實現內部控制目標的關鍵要素。企業內部控制理念需要通過控制活動體現出來；內部環境在為控制活動提供基礎的同時，需要通過控制措施，借助于控制活動發揮其實現控制的作用；而風險評估的目的就在于為選擇控制措施提供依據。可以說，風險評估的最終目的要通過控制措施的運用，通過控制活動表現出來。
　　
　　一、《內部控制框架》與《企業風險管理框架》中的控制活動
　　
　　美國COSO委員會發布的《內部控制框架》與其發布的《企業風險管理框架》中的控制活動的概念基本相同，兩者都將控制活動定義為用于幫助管理層確保其指令得以貫徹實施的政策和程序。兩者都認為控制活動通常包括兩個要素，即政策和程序。政策確定應該做什么；程序用來貫徹政策，即人們直接或通過技術的運用來執行政策的行動。政策是程序的基礎，如一項政策要求證券公司的客戶經理對客戶交易活動進行審核，而程序則是及時實施審核本身以及關注政策中列舉的因素。
　　控制活動總是與企業的目標相聯系，根據控制活動與相關目標的性質，控制活動可分為經營、財務報告和合規等類別的控制活動。某項控制活動雖然僅僅與某一類別的相關，但某項特定的控制活動可能有助于企業多類目標的實現。如用于經營控制的特定控制活動既可以確保財務報告可靠性目標的實現，也有助于合規性目標的實現。
　　《內部控制框架》和《企業風險管理框架》要求，企業應當在風險評估的基礎上，與風險應對相結合，確定控制措施，實施控制活動。在選擇控制活動的過程中，企業應當充分考慮到各項控制活動的相互關聯性。在某些情況下，一項控制活動可以實現多項風險應對；而在另外一些情況下，一項風險應對需要多項控制活動。控制活動通常是企業為實現其經營目標所進行的管理活動的一部分，是促進企業經營目標實現的機制。控制活動貫穿于管理過程之中，存在于整個企業的所有層級和所有職能之中。在選擇控制活動時，還要考慮控制活動與相關目標的相關性和適當性。控制活動的適當性可以通過單獨考慮控制活動來進行，也可以通過考慮風險應對和相關控制活動之下的剩余風險來進行。
　　關于控制活動的類型，《內部控制框架》和《企業風險管理框架》均提出包括預防性控制、發現性控制、人工控制、計算機控制和管理控制，均列舉了高層審核、直接的職能和管理活動、信息處理、實物控制、業務指標、職責分離等六項控制活動。
　　《內部控制框架》和《企業風險管理框架》都特別強調了對信息系統的控制。要求采用一般控制和應用控制，對信息系統實施控制活動。一般控制包括對數據中心操作控制、系統軟件控制、訪問安全控制以及應用系統的開發與維護控制。而應用控制目的則在于控制應用過程、確保交易處理的完整性和準確性、授權和有效性。信息系統的兩類控制相互關聯，應用控制需要一般控制支持其運行，信息系統需要一般控制和應用控制的結合來確保其完整和準確的信息處理。
　　《內部控制框架》和《企業風險管理框架》都要求控制活動必須考慮企業的特殊性。每一企業都有自己的戰略目標和經營目標，其控制活動也必然會存在差異。企業經營的復雜性及其經營活動的性質和范圍，均會對其控制活動產生影響。企業管理層的職業判斷影響著控制活動。企業所處的環境和行業、企業的規范和復雜性及其經營活動的性質和范圍、發展歷史和企業文化均會對控制活動產生影響。影響企業控制活動的因素主要包括企業所處的位置、經營的廣泛性和復雜性以及信息處理方法。
　　
　　二、《企業內部控制基本規范》中的控制活動
　　
　　根據我國《企業內部控制基本規范》（下文簡稱“《基本規范》”），企業在對風險進行評估、確定風險應對策略后，應當對剩余風險采用控制措施，實施控制活動。控制活動是既定目標之下為實現目標而采取的控制措施，《基本規范》要求企業通過手工控制與自動控制、預防性控制與發現性控制相結合的方法，運用相應的控制措施，將風險控制在可承受度之內。
　　（一）控制措施一般包括不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等
　　1.不相容職務分離控制。所謂不相容職務是指由同一人員承擔具有產生錯誤或導致舞弊可能性的崗位，如會計職務與出納職務、收款與銷售等。實施不相容職務分離控制的目標就在于：從人員職務配置上預防舞弊或錯誤的產生，以實現內部控制的目標。不相容職務分離控制要求企業全面、系統地分析、梳理業務流程中所涉及的不相容職務，對其實施相應的分離措施，形成各司其職、各負其責、相互制約的工作機制。
　　2.授權審批控制。授權審批實際上屬于職權配置問題。不同的管理人員在企業中處于不同的位置，承擔著不同的責任，需要在內部不同層次的人員之間進行合理的授權。授權審批控制要求企業根據常規授權和特別授權的規定，明確各崗位辦理業務和事項的權限范圍、審批程序和相應責任。企業應當編制常規授權的權限指引，規范特別授權的范圍、權限、程序和責任，嚴格控制特別授權。常規授權是指企業在日常經營管理活動中按照既定的職責和程序進行的授權。特別授權是指企業在特殊情況、特定條件下進行的授權。在實施授權審批控制活動過程中，企業各級管理人員應當在授權范圍內行使職權和承擔責任，不得超越授權進行經營活動。對于重大的業務和事項，企業應當實行集體決策審批或者聯簽制度，任何個人不得單獨進行決策或者擅自改變集體決策。
　　3.會計系統控制。會計系統控制是指對會計信息系統實施的，以確保財務報告可靠性為主要目標的控制活動。會計系統既是一個對外報告系統，也是一個對內報告系統。作為對外報告系統，要求其按照有關法律法規的規定對外披露財務及其他相關的信息；作為一個對內報告系統，要求其向管理當局提供經營決策所需要的信息，服務于企業的經營活動，服務于經營目標的實現。為了規范企業的會計核算行為和信息披露，國家制定發布了相應的會計準則和會計制度以及其他會計工作規范。為此，會計系統控制要求企業嚴格執行國家統一的會計準則、制度，加強會計基礎工作，明確會計憑證、會計賬簿和財務會計報告的處理程序，保證會計資料真實、完整。
　　企業會計工作是由會計人員執行的，為了保證會計系統的有效性，國家法律法規對企業工作機構和會計人員的設置與配備作了相應的規定。會計系統控制要求企業依法設置會計機構，配備會計從業人員；要求從事會計工作的人員必須取得會計從業資格證書。會計機構負責人必須具備會計師以上專業技術職務資格。鑒于大中型企業的特殊性，有關法律法規明確要求大中型企業設置總會計師。《基本規范》對大中型企業總會計師的設置作了進一步的強調，明確大中型企業設置總會計師后，不得設置與其職權重疊的副總經理等副職。之所以強調這一點，主要是使企業的總會計師能夠真正發揮其職能作用，使總會計師職務名副其實，成為企業財務會計工作的直接責任人。
　　4.財產保護控制。《基本規范》將保證財產的安全完整作為企業內部控制的目標之一。企業各項資產是進行經營活動的物質基礎。為了保護企業的各項資產的安全完整，《基本規范》要求企業建立財產日常管理制度，明確各種財產的保管責任，加強包括財產記錄、實物保管在內的各種財產物資的日常管理；要求建立定期清查制度，通過定期盤點、賬實核對等措施，確保財產安全。
　　保證各項資產安全完整首先是每一位資產管理人員的責任。為了保證各資產管理使用人員有效行使資產管理權，企業應當嚴格限制未經授權的人員接觸相應的資產，如現金、有價證券等；同時還應當加強對資產處置的管理，規范資產處理的程序，嚴格按照規定的程序進行資產處置，未經授權的人員，不得自行處置資產。
　　5.預算控制。預算是用數量形式反映的企業在未來一定期間的經營活動所要達到的目標，是控制和考核企業一定期間經營活動的依據。預算控制要求企業實施全面預算管理制度，明確各責任單位在預算管理中的職責權限，使預算規范預算的編制、審定、下達和執行程序，強化預算約束。
　　6.運營分析控制。運營分析是對企業經營活動等情況運用相關信息進行比較、分析，發現問題、查找原因，以改進和提高經營活動的效率與效果的活動。運營分析控制要求企業建立運營情況分析制度，經理層應當綜合運用生產、購銷、投資、融資、財務等方面的信息，通過因素分析、對比分析、趨勢分析等方法，定期開展運營情況分析，發現存在的問題，及時查明原因并加以改進。
　　7.績效考評控制。績效考評就是對企業各項經營活動和職能部門當期實現的實際業績，通過將其與預算、計劃目標等進行對比，考核和評價其經營業績。績效考評控制要求企業首先要建立和實施績效考評制度，科學設置考核指標體系，作為績效考評的依據；其次，要對企業內部各責任單位和全體員工的業績進行記錄，客觀反映其業績情況，并對其進行考核和評價；最后，要求將考評結果作為確定員工薪酬以及職務晉升、評優、降級、調崗、辭退等的依據。
　　對上述列舉的控制措施，企業應當根據自身經營活動的特點、按照設定的內部控制目標、結合風險應對策略綜合運用，對各種經營活動和事項實施控制。應當注意的是，上述控制措施僅僅是作為實例列舉的控制措施，企業在內部控制實務中的措施多種多樣，實施控制活動時應當根據內部控制理論，在借鑒、運用他人有效的控制措施的同時，立足于本企業的實際，創新控制活動，滿足本企業內部控制的實際需要，實現內部控制目標。
　　（二）預警機制和應急機制
　　一方面，在實施控制活動的過程中，為了保證各項經營活動的順利進行，企業應當建立和完善重大風險預警機制，明確風險預警標準，使企業能夠對經營活動中存在的重大風險及時預警，防患于未然，及時采取措施化解風險。另一方面，要求企業建立和完善突發事件應急處理機制，對可能發生的突發事件制定應急預案，確保突發事件得到及時妥善處理。在應急預案中，應當明確責任人員、規范處置程序，使發生應急事件時責任到人，按規定的程序進行處理。