内部控制中的控制活动

作为内部控制基本要素之一的控制活动，在内部控制中处于特殊的位置，是实现内部控制目标的关键要素。企业内部控制理念需要通过控制活动体现出来；内部环境在为控制活动提供基础的同时，需要通过控制措施，借助于控制活动发挥其实现控制的作用；而风险评估的目的就在于为选择控制措施提供依据。可以说，风险评估的最终目的要通过控制措施的运用，通过控制活动表现出来。

一、《内部控制框架》与《企业风险管理框架》中的控制活动

美国COSO委员会的《内部控制框架》与其的《企业风险管理框架》中的控制活动的概念基本相同，两者都将控制活动定义为用于帮助管理层确保其指令得以贯彻实施的政策和程序。两者都认为控制活动通常包括两个要素，即政策和程序。政策确定应该做什么；程序用来贯彻政策，即人们直接或通过技术的运用来执行政策的行动。政策是程序的基础，如一项政策要求证券公司的客户经理对客户交易活动进行审核，而程序则是及时实施审核本身以及关注政策中列举的因素。

控制活动总是与企业的目标相联系，根据控制活动与相关目标的性质，控制活动可分为经营、财务报告和合规等类别的控制活动。某项控制活动虽然仅仅与某一类别的相关，但某项特定的控制活动可能有助于企业多类目标的实现。如用于经营控制的特定控制活动既可以确保财务报告可靠性目标的实现，也有助于合规性目标的实现。

《内部控制框架》和《企业风险管理框架》要求，企业应当在风险评估的基础上，与风险应对相结合，确定控制措施，实施控制活动。在选择控制活动的过程中，企业应当充分考虑到各项控制活动的相互关联性。在某些情况下，一项控制活动可以实现多项风险应对；而在另外一些情况下，一项风险应对需要多项控制活动。控制活动通常是企业为实现其经营目标所进行的管理活动的一部分，是促进企业经营目标实现的机制。控制活动贯穿于管理过程之中，存在于整个企业的所有层级和所有职能之中。在选择控制活动时，还要考虑控制活动与相关目标的相关性和适当性。控制活动的适当性可以通过单独考虑控制活动来进行，也可以通过考虑风险应对和相关控制活动之下的剩余风险来进行。

关于控制活动的类型，《内部控制框架》和《企业风险管理框架》均提出包括预防性控制、发现性控制、人工控制、计算机控制和管理控制，均列举了高层审核、直接的职能和管理活动、信息处理、实物控制、业务指标、职责分离等六项控制活动。

《内部控制框架》和《企业风险管理框架》都特别强调了对信息系统的控制。要求采用一般控制和应用控制，对信息系统实施控制活动。一般控制包括对数据中心操作控制、系统软件控制、访问安全控制以及应用系统的开发与维护控制。而应用控制目的则在于控制应用过程、确保交易处理的完整性和准确性、授权和有效性。信息系统的两类控制相互关联，应用控制需要一般控制支持其运行，信息系统需要一般控制和应用控制的结合来确保其完整和准确的信息处理。

《内部控制框架》和《企业风险管理框架》都要求控制活动必须考虑企业的特殊性。每一企业都有自己的战略目标和经营目标，其控制活动也必然会存在差异。企业经营的复杂性及其经营活动的性质和范围，均会对其控制活动产生影响。企业管理层的职业判断影响着控制活动。企业所处的环境和行业、企业的规范和复杂性及其经营活动的性质和范围、发展历史和企业文化均会对控制活动产生影响。影响企业控制活动的因素主要包括企业所处的位置、经营的广泛性和复杂性以及信息处理方法。

二、《企业内部控制基本规范》中的控制活动

根据我国《企业内部控制基本规范》（下文简称“《基本规范》”），企业在对风险进行评估、确定风险应对策略后，应当对剩余风险采用控制措施，实施控制活动。控制活动是既定目标之下为实现目标而采取的控制措施，《基本规范》要求企业通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。

（一）控制措施一般包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等

1.不相容职务分离控制。所谓不相容职务是指由同一人员承担具有产生错误或导致舞弊可能性的岗位，如会计职务与出纳职务、收款与销售等。实施不相容职务分离控制的目标就在于：从人员职务配置上预防舞弊或错误的产生，以实现内部控制的目标。不相容职务分离控制要求企业全面、系统地分析、梳理业务流程中所涉及的不相容职务，对其实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。

2.授权审批控制。授权审批实际上属于职权配置问题。不同的管理人员在企业中处于不同的位置，承担着不同的责任，需要在内部不同层次的人员之间进行合理的授权。授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业应当编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。在实施授权审批控制活动过程中，企业各级管理人员应当在授权范围内行使职权和承担责任，不得超越授权进行经营活动。对于重大的业务和事项，企业应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。

3.会计系统控制。会计系统控制是指对会计信息系统实施的，以确保财务报告可靠性为主要目标的控制活动。会计系统既是一个对外报告系统，也是一个对内报告系统。作为对外报告系统，要求其按照有关法律法规的规定对外披露财务及其他相关的信息；作为一个对内报告系统，要求其向管理当局提供经营决策所需要的信息，服务于企业的经营活动，服务于经营目标的实现。为了规范企业的会计核算行为和信息披露，国家制定了相应的会计准则和会计制度以及其他会计工作规范。为此，会计系统控制要求企业严格执行国家统一的会计准则、制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实、完整。

企业会计工作是由会计人员执行的，为了保证会计系统的有效性，国家法律法规对企业工作机构和会计人员的设置与配备作了相应的规定。会计系统控制要求企业依法设置会计机构，配备会计从业人员；要求从事会计工作的人员必须取得会计从业资格证书。会计机构负责人必须具备会计师以上专业技术职务资格。鉴于大中型企业的特殊性，有关法律法规明确要求大中型企业设置总会计师。《基本规范》对大中型企业总会计师的设置作了进一步的强调，明确大中型企业设置总会计师后，不得设置与其职权重叠的副总经理等副职。之所以强调这一点，主要是使企业的总会计师能够真正发挥其职能作用，使总会计师职务名副其实，成为企业财务会计工作的直接责任人。

4.财产保护控制。《基本规范》将保证财产的安全完整作为企业内部控制的目标之一。企业各项资产是进行经营活动的物质基础。为了保护企业的各项资产的安全完整，《基本规范》要求企业建立财产日常管理制度，明确各种财产的保管责任，加强包括财产记录、实物保管在内的各种财产物资的日常管理；要求建立定期清查制度，通过定期盘点、账实核对等措施，确保财产安全。

保证各项资产安全完整首先是每一位资产管理人员的责任。为了保证各资产管理使用人员有效行使资产管理权，企业应当严格限制未经授权的人员接触相应的资产，如现金、有价证券等；同时还应当加强对资产处置的管理，规范资产处理的程序，严格按照规定的程序进行资产处置，未经授权的人员，不得自行处置资产。

5.预算控制。预算是用数量形式反映的企业在未来一定期间的经营活动所要达到的目标，是控制和考核企业一定期间经营活动的依据。预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，使预算规范预算的编制、审定、下达和执行程序，强化预算约束。

6.运营分析控制。运营分析是对企业经营活动等情况运用相关信息进行比较、分析，发现问题、查找原因，以改进和提高经营活动的效率与效果的活动。运营分析控制要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、融资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

7.绩效考评控制。绩效考评就是对企业各项经营活动和职能部门当期实现的实际业绩，通过将其与预算、计划目标等进行对比，考核和评价其经营业绩。绩效考评控制要求企业首先要建立和实施绩效考评制度，科学设置考核指标体系，作为绩效考评的依据；其次，要对企业内部各责任单位和全体员工的业绩进行记录，客观反映其业绩情况，并对其进行考核和评价；最后，要求将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。

对上述列举的控制措施，企业应当根据自身经营活动的特点、按照设定的内部控制目标、结合风险应对策略综合运用，对各种经营活动和事项实施控制。应当注意的是，上述控制措施仅仅是作为实例列举的控制措施，企业在内部控制实务中的措施多种多样，实施控制活动时应当根据内部控制理论，在借鉴、运用他人有效的控制措施的同时，立足于本企业的实际，创新控制活动，满足本企业内部控制的实际需要，实现内部控制目标。

（二）预警机制和应急机制

一方面，在实施控制活动的过程中，为了保证各项经营活动的顺利进行，企业应当建立和完善重大风险预警机制，明确风险预警标准，使企业能够对经营活动中存在的重大风险及时预警，防患于未然，及时采取措施化解风险。另一方面，要求企业建立和完善突发事件应急处理机制，对可能发生的突发事件制定应急预案，确保突发事件得到及时妥善处理。在应急预案中，应当明确责任人员、规范处置程序，使发生应急事件时责任到人，按规定的程序进行处理。