淺談控制活動、持續監控與個別評價的關系

暨南大學管理學院 臧菲菲 黃煒煒

一、企業組織中三道防線的重要性

在企業組織中，有三道防線：業務部門或職能部門、風險管理部門或內部控制部門以及審計委員會。這三道防線各司其職，使企業能更好地進行運營，降低企業項目在執行過程中出錯的可能性。

對于一般企業，風險管理部門做出適合企業的政策規定制度，由前方的業務部門或職能部門來遵守，而業務部門或職能部門遵守執行的好壞與否，主要是由其主管領導負責，這會直接影響企業的運營。因此，由業務部門或職能部門執行的控制活動的第一道防線就顯得格外重要。

風險管理部門是專門對企業的經營管理進行全面評價并設計相關規章制度的部門，一般是在總經理領導下的內部控制建設部門，屬于第一道防線的執行部門。而審計委員會主要是評價風險管理部門制度建設及其運行執行情況如何，并提出相關的修正意見，以改進相關企業管理制度，促進企業發展，屬于第三道防線的執行部門。值得注意的是，風險管理部門主要負責設計制度，也對自己設計的制度實施情況進行監督檢查，而審計委員會主要負責評價制度，并提出相應的對策建議等，二者工作職能的側重點不同。風險管理部門相當于內審，而審計委員會是“第三只眼睛”，相當于外審，能夠更好地站著客觀公正的立場來評價企業制度的實施情況。因此，從工作的內容來看，作為“第三只眼睛”的審計委員會與被監控的風險管理委員會屬于不相容的職務，在組織結構上，這兩者不能合并為一個部門。但是，有的企業將這兩個職能部門合并為諸如“內部控制風險管理審計委員會”，或者不能很好地區分這三道防線各自的職責與分工，最后出現混亂情況。只要這三道防線各司其職，各盡其責，實務中就不會出現上述問題，企業運營效率就得以提高。因此，通過梳理控制活動、持續監控與個別評價的關系，可以更好地理解這三道防線。

二、控制活動、持續監控與個別評價判定

COSO（1992）指出，“控制活動是指有助于確保管理層的指令得以執行的政策和程序。”2008年我國五部委發布的《企業內部控制基本規范》認為，控制活動是企業根據風險評估結果，采用相應的控制措施，將風險控制在可承受之內。白華（2012）認為，控制活動是指控制主體為達成特定目標將控制及其組合作用于控制客體之上的一種管理行為。例如，企業在向供貨商購買原材料時，從發出購貨訂單，貨物送到倉庫，支付款項等工作流程走完之后，才算得上是一個控制活動。從這一點看來，大多數業務部門或職能部門在執行每項任務時，可以看成一個控制活動。

COSO（1992）指出，持續監控活動發生在經營活動過程中，它包括日常管理和監控活動，以及其員工在履行職責時采用的其他行動。陽杰（2011）認為持續監控是在一個較高的頻率的基礎上對會計業務流程內部控制活動的實施過程的總體情況進行持續的、全面的、系統的和動態的監控活動。具體來說，持續監控將重復的、分析性的工作自動化，監控范圍覆蓋了會計業務流程中的全部過程，通過權責關系的明確，在發現特殊情況時，通知相關責任人，使問題在萌芽的狀態即可進行識別和糾正。它是用來反映控制缺陷的反饋控制機制。COSO（1992）認為，內部監控通過持續監控活動、個別評價或者兩者的結合來實現。而個別評價的范圍和頻率取決于對風險的評估和持續監控的有效性。應里孟（2011）認為，評價是一種“亡羊補牢”式的彌補機制，是由未參與業務流程運行或與被監控的控制無關的人員來執行的，所以它具有客觀性和獨立性，評價的接管更加的可靠。以上有關文獻都是從理論上對控制活動、持續監控和個別評價的定義，但是對實務中具體的業務進行判斷，各自的范圍還是有點模糊，因此可以從以下三個方面進行具體的判定：

第一，基于流程來判斷。這里主要是根據控制活動是基于流程之內還是附加在控制活動的流程之外來劃分。簡言之，一項工作流程，從始至終整項工作完成，流程均走完，都屬于控制活動，那些附加在流程之外的對流程之內的工作進行再評價的工作則為持續性監控。例如銷售業務中從銷售的形成發生到應收賬款的形成這一系列流程工作完成都是屬于流程內的控制活動，若銷售經理定期匯報日報表或周報表對銷售業務進行總結評價，這一工作則屬于流程之外，但卻是附加在銷售業務的流程之上的，這種有監督檢查性質的活動稱為持續性監控。而個別評價附加在控制活動的流程之外，它與持續監控的區別則需要基于以下兩個方面，即檢查的頻率和實施工作的職位來判斷，僅僅通過流程是無法區別持續監控與控制活動的。

第二，基于監督檢查的頻率來判斷。一般而言，頻率從高至低的排序，分別為控制活動、持續監控和個別評價。如銷售部門的科長可能每天都進行銷售檢查，這種幾乎每天都要做的工作可以歸為控制活動。而銷售經理每月做月報表匯報總結銷售工作，這種由業務主管做的工作一般頻率會相對低些，側重于檢查監控，但也是工作的一部分，因此，這種頻率較低的可以歸為持續性監控。而企業聘請外部的審計機構進行年審，其中涉及對企業銷售狀況的評估檢查，由于頻率最低，一年一次，因此屬于個別評價。

第三，基于職位來判斷。一般而言，在企業中相關部門中的的職位越高，則越側重于個別評價；職位越低，則越側重于控制活動。業務職能部門越接近于一線工作，越可能是控制活動，即涉及到具體的業務工作，具體做什么。例如，大多數情況下，業務職能部門涉及控制活動，風險管理部門做持續監控，審計委員會則做個別評價。

三、控制活動、持續監控與個別評價的關系

控制活動屬于實施控制的手段，一般屬于由第一道防線即業務職能部門所實施的活動。而持續監控和個別評價包含于內部監督，屬于反饋的控制，這樣能阻止更大的差錯發生，但卻無法修改之前已經發生的差錯。因此，如果控制活動執行得好，那么內部監督，即持續監控和個別評價所發揮的作用會比較小，不需經常執行。相反，如果控制活動沒有得到良好的執行，那么舞弊、差錯的可能性越大，持續監控和個別評價實施的必要性越大，且頻率要高。

持續監控是對控制活動的日常重復性的監督，能夠動態地應對環境的變化，及時發現問題，實施成本較低，相對于個別評價更為有效，實施的頻率也相對高。但是，個別評價是由未參與業務流程運行或與被監控的控制無關的人員來執行的，所以它具有客觀性和獨立性，評價更加可靠。因此，當持續監控相對無效時，需要進行個別評價。

因此，控制活動、持續監控與個別評價是對業務活動得以有效進行的層層遞進的保證，能使企業處于良好的經營狀態。此外，控制活動、持續性監控與個別評價三者之間還存在著一定的交叉重疊之處，如圖1所示。

這里的交叉之處是基于項目的重大性、重要性，如涉及重大投資、重點資金管理的項目而言的，如果交叉重疊部門由第三道防線即審計委員會來做的話，說明這一項目一定是重大的。在一個控制流程中，如果一項工作完成，說明這一工作不將最后一個環節的工作完成，其工作就不算完成，例如，在COSO的《內部控制系統中的監控指引》中，在談到關鍵控制點的時候，以channel-stuffing為例來說明，其中的第10、11這兩個控制點既是控制活動又是持續性監控。第10個控制點是銷售經理定期評價銷售人員的薪酬，若超過銷售提成的上限則要調整，要調查異常并記錄結果，第11個控制點是銷售經理每周，CFO每月都要定期評價銷售趨勢和銷售回報趨勢，可以看出這兩個控制點都說明了銷售經理的定期評價其實都是在控制活動之外再去做的，體現出了一種持續性監控，而這種持續性監控是可以在業務職能部門這一道防線中由其業務職能部門的主管來完成，與第二道風險管理部門和第三道防線審計委員會無關，所以其交叉重疊部分既是控制活動（流程內）又是持續性監控（流程外）。

圖1 控制活動、持續性監控與個別評價的關系

四、企業“三道防線”完善措施

在當前經濟情勢下，建立與完善企業的“三道防線”尤其重要，需要考慮企業的自身情況，具體可采取以下幾項措施：

第一，建立好“三道防線”的部門機構。在部門設置方面，要建立業務職能部門、風險管理部門和審計委員會這三大部門。尤其注意，不能把風險管理委員會和審計委員會合在同一個部門。風險管理委員會是對自己制定的規章制度進行評估，而審計委員會是對風險管理委員會的工作進行評價，相當于“外審”，兩者是不相容的職務，不能合并。

第二，重視風險意識，加強風險評估。在企業中，要加強對人員風險意識的培養，使每一位工作人員都認真對待自己的工作，不出現玩忽職守的情形。這樣，就能加強三道防線的作用。只要控制活動做得好，就能大大降低持續監控與個別評價的工作量，降低企業的成本。

第三，加強對員工知識的培訓。在工作中，不斷加強對員工工作技能的培訓，更新知識，例如多提供網上課程的培訓，或者聘請一些教授來企業做演講，等等。這樣，能使員工具備相應的知識體系和工作勝任能力，能做到事半功倍的效果。

［1］白華：《論控制活動》，《會計研究》2012年第10期。

［2］陽杰、應里孟：《論會計流程的持續監控》，《財會月刊》2012年第1期。

［3］陽杰、應里孟：《論持續監控在內部控制系統中的地位與作用》，《財會通訊》2012年第7期。