控制活動

企業必須制定控制的政策及程序，並予以執行，以幫助管理階層保證“為保證其控制目標的實現，其用以辨認並用以處理風險所必須採取的行動業已有效落實”。

控制活動包括與授權、業績評價、信息處理、實物控制和職責分離等相關的活動。

1、授權。註冊會計師應當瞭解與授權有關的控制活動，包括一般授權和特別授權。

授權的目的在於保證交易在管理層授權範圍內進行。一般授權是指管理層制定的要求組織內部遵守的普遍適用於某類交易或活動的政策。特別授權是指管理層針對特定類別的交易或活動逐一設置的授權，如重大資本支出和股票發行等。特別授權也可能用於超過一般授權限制的常規交易。例如，同意因某些特別原因，對某個不符合一般信用條件的客户賒購商品。

2、業績評價。註冊會計師應當瞭解與業績評價有關的控制活動，主要包括被審計單位分析評價實際業績與預算（或預測、前期業績）的差異，綜合分析財務數據與經營數據的內在關係，將內部數據與外部信息來源相比較，評價職能部門、分支機構或項目活動的業績（如銀行客户信貸經理複核各分行、地區和各種貸款類型的審批和收回），以及對發現的異常差異或關係採取必要的調查與糾正措施。

通過調查非預期的結果和非正常的趨勢，管理層可以識別可能影響經營目標實現的情形。管理層對業績信息的使用（如將這些信息用於經營決策，還是同時用於對財務報告系統報告的非預期結果進行追蹤），決定了業績指標的分析是隻用於經營目的，還是同時用於財務報告目的。

3、信息處理。註冊會計師應當瞭解與信息處理有關的控制活動，包括信息技術的一般控制和應用控制。

各種措施被審計單位通常執行各種措施，檢查各種類型信息處理環境下的交易的準確性、完整性和授權。信息處理控制可以是人工的、自動化的，或是基於自動流程的人工控制。信息處理控制分為兩類，即信息技術的一般控制和應用控制。

信息技術一般控制是指與多個應用系統有關的政策和程序，有助於保證信息系統持續恰當地運行（包括信息的完整性和數據的安全性），支持應用控制作用的有效發揮，通常包括數據中心和網絡運行控制，系統軟件的購置、修改及維護控制，接觸或訪問權限控制，應用系統的購置、開發及維護控制。例如，程序改變的控制、限制接觸程序和數據的控制、與新版應用軟件包實施有關的控制等都屬於信息系統一般控制。

信息技術應用控制是指主要在業務流程層次運行的人工或自動化程序，與用於生成、記錄、處理、報告交易或其他財務數據的程序相關，通常包括檢查數據計算的準確性，審核賬户和試算平衡表，設置對輸入數據和數字序號的自動檢查，以及對例外報告進行人工干預。

4、實物控制。註冊會計師應當瞭解實物控制，主要包括瞭解對資產和記錄採取適當的安全保護措施，對訪問計算機程序和數據文件設置授權，以及定期盤點並將盤點記錄與會計記錄相核對。例如，現金、有價證券和存貨的定期盤點控制。實物控制的效果影響資產的安全，從而對財務報表的可靠性及審計產生影響。

5、職責分離。註冊會計師應當瞭解職責分離，主要包括瞭解被審計單位如何將交易授權、交易記錄以及資產保管等職責分配給不同員工，以防範同一員工在履行多項職責時可能發生的舞弊或錯誤。當信息技術運用於信息系統時，職責分離可以通過設置安全控制來實現。

企業在制定控制活動時，尤其要注意以下三點：

1、必須通過合理授權的方式

授權控制是指在開展各項經營活動的過程中，企業最高管理層必須通過合理授權的方式，使各中間管理層和員工以所授權力作為開展工作的依據。管理層在授權時，合理把握授權的“度”至關緊要，建立授權控制時要注意授權的範圍、授權的層次與責任。做到既能保證經營決策有效運作、管理制度有效貫徹，又能保證權力制衡得到落實。

2、預算控制是內部控制的重要方式

也是現代企業制度下規範公司治理結構的一項制度保障。全面預算是企業財務管理的重要組成部分，也是對企業經濟業務規劃的某種授權。科學地編制和執行預算，控制有關經營行動，以合理配置所擁有的經濟資源，促進企業經營管理目標的實現。全面預算是一項集體性工作，需要全體員工的相關合作。

3、會計系統控制

企業的會計系統為企業提供成本信息、營運信息、生產信息、庫存信息等。因此，企業應加強會計系統控制。會計系統控制主要包括：（1）、建立健全內部會計管理規範和監督制度，明確權責，相互制約。（2）、統一企業內部會計政策。（3）、統一企業內部會計科目。（4）、規範會計憑證、賬簿和財務報告的處理程序和方法。

4、建立健全規範和監督制度

建立健全內部會計管理規範和監督制度，明確權責，相互制約；統一企業內部會計政策；統一企業內部會計科目；規範會計憑證、賬簿和財務報告的處理程序和方法。

控制活動可以根據其相關的目標分為戰略類、經營類、報告類和遵循類。有時，某一特定的控制活動，如經營性控制活動也有助於提高報告的可靠性；報告類的控制活動也會影響到法規的遵循，等等。

管理層在確定控制活動時，需要考慮控制活動之間的聯繫。在某些情況下，一項控制活動可以實現多個風險反應；在另一些情況下，一個風險反應需要多個風險控制活動。一般情況下，控制活動是為了實現風險反應而建立的，但有時風險反應本身就是控制活動。比如，為了使某一特定交易能夠適當進行，風險反應本身就是控制活動，即需要職責分離，需要有監管者的批准等。

需要注意的是，控制活動是企業實現其目標過程中一個極其重要的組成部分。不能為控制而控制，也不能僅認為應該控制而控制。管理者必須將控制活動與控制目標相結合，控制活動是努力實現目標的一種機制。

可以從不同的角度對控制活動進行分類，如預防性的，即在某些交易執行之前就加以控制；查錯防弊性的，即及時地審查並控制交易活動等。控制活動將手工控制和計算機控制結合在一起，使信息能夠正確採集，授權和審批某項投資決策的日常流程能夠建立。比如説，企業的控制活動可以分為：

1.最高管理層的審閲：最高管理層可以將實際執行效果與預算、預測、以前年度同期以及競爭者進行對比，跟蹤檢查某些活動的效果，衡量其是否達到預定目標，如市場的切入措施、改進後的生產流程、成本控制與削減計劃等。

2.直接的職能或活動管理：職能經理或作業經理審閲業績報告。

3.信息處理：對交易的準確性、完整性以及授權的適當性進行控制，比如客户訂單僅當查詢相關已批准的客户文檔、信用限額後才能接受等。

4.物理控制：保證設備、存貨、證券、現金和其他資產實物安全，並定期進行實物核對、賬目核對。

5.績效指標：對數據，如經營性或財務性數據進行關聯分析，調查原因，並採用相應的糾正措施，即控制活動。例如，績效指標包括員工的流動性，如果員工流動性過大，某些關鍵崗位人力不足，預期目標實現的可能性就會變小。

6.職責分離：職責分離的目的在於防止錯誤與欺詐。例如，交易審批、記錄和相關資產的處理職責要分開；批准信用銷售的經理不得負責應收賬款和現金收入的處理；銷售人員不得修改產品的價格政策和佣金比率。

風險管理策略選定後，企業管理層確定控制活動以保證這一管理策略能夠及時地得以適當地實施。企業的風險管理策略主要有四種：迴避、減少、分散和承擔，每種管理策略都需要相應的控制活動。

風險迴避：如某中藥製造企業認識到，隨着國家對藥品質量重視程度的提高，藥品質量的任何差錯極有可能導致企業失敗。為此，公司管理層加強了對藥品質量檢測環節的管理，併購置了備用檢測設備，以避免藥品質量方面的風險。為實施這一風險管理策略，公司重新修訂了藥品檢測管理政策與流程，並要求質量控制部負責人每月就質量檢測的人員配備、設備維護情況向公司管理層進行彙報。

風險減少：如某醫院管理層確認其病人的健康狀況受到電力供應中斷的不利影響。管理層針對這一風險採用的管理策略是安裝一個備用發電機。為使發電機在需要時能夠正常運行，醫院工程部門進行了日常維護，其維護日記由工程部門負責人每月審閲一次。

風險共享：如某製造企業認識到工廠長期停工將會影響其生產目標的實現，考慮到公司當前的資本狀況、風險承受能力以及購買保險的成本，管理層決定購買最長為六個月的產品損失險。為實現這一管理策略，公司首席風險官（CRO）定期審閲保險單和商定保險條款的遵循情況，並將遵循情況向首席運營官（COO）彙報。

風險接受：如某公司管理層確認世界商品價格變化是一種風險，通過對風險發生的可能性、後果以及公司風險承受度的評估，公司決定接受這一風險。公司管理層建立了一項政策，由公司財務部每3個月進行一次正式的風險再評估，並向公司管理委員會提出建議，是否需要採用“套期”風險管理策略。

控制活動建立的目的是保證風險反應能夠適當地實施。對有些目標來説，特別是報告目標，控制活動本身就是風險反應。

例如，某企業為保證資產採購和費用處理目標的實現，採用相應的風險管理策略（控制活動）如下：

報告目標：完整、準確、有效地記錄和處理資產的獲取、費用的發生

衡量指標：發現的財務報告錯誤，以人民幣計量

具體目標：每月財務報表的差錯＜10000元

風險：

1.供應商發票金額錯誤

可能性：可能

後果：較小（500-2000元）

2.供應商發票在月末結賬前不能取得

可能性：基本確定；

後果：中等（1000-2500元）

3.根據財務報表或發票付款，可能產生重複向供應商付款的錯誤

可能性：可能；

後果：較小（500-1000元）

風險反應（控制活動）：

1.需求部門請購商品和勞務。（略）

2.採購部門根據已批准的請購申請編制訂購單和採購商品。（略）

3.驗收部門將所收商品與訂購單進行核對。驗收人員將貨品送交倉庫時，應要求其在驗收單的副聯上簽收。

4.儲存已驗收的商品存貨。

5.編制付款申請單。付款申請單編制部門（一般為負責採購的部門或商務部）應當：

確定供應商發票的內容與相關的驗收單、訂購單一致；

確定供應商發票金額計算的準確性；

在付款申請單填入應借記的資產或費用賬户的名稱；

由被授權人在付款憑單上簽字確認。

6.財務部門支付款項。支付金額包括電子支付金額，一人填寫，另一人複核，以保證支付金額的填寫準確無誤。對於大筆或非正常項目的支付（如金額超過50000元以上的），需與訂購單、驗收單進行核對。

7.記錄現金、銀行存款支出。

8.違反上述操作程序的，系統會自動向相關負責人彙報。

人們經營企業、實現報告與遵循目標，對信息系統的依賴程度日益增加。在這種情況下，對企業重要的信息系統都需要加以控制。

信息系統的控制包括兩大類：一般控制與應用控制。

一般控制包括信息技術管理，信息技術基礎架構，安全管理和軟件的取得、開發和維護等，它應用於所有的系統。

1、信息技術管理：指導委員會對信息技術活動以及改進措施進行監督、監控和報告。

2、信息技術基礎架構：包括系統的定義、獲取、安裝、配置、整合和維護方面的控制。控制可能包括確定和強化系統表現的服務水平協議，保持系統有效性的業務持續性計劃，跟蹤運行失敗的網絡表現，以及安排計算機運行的進程。信息技術基礎結構中的系統軟件要素可能包括下列控制，例如管理當局或指導委員會對重要的新獲取的複核和批准，限制對系統配置和運行系統軟件的進入，自動調整從中間設備軟件存取的數據，以及對通信錯誤的奇偶數位偵查。系統軟件控制還包括突發事件追蹤、系統日誌以及對數據更改設施的詳細使用報告的複核。

3、安全管理：包括邏輯接觸控制，如上網、接觸數據庫和應用層面上的安全密碼控制。用户賬户和接觸授權控制是根據被授權者的工作需要來確定授權的範圍。因特網防火牆和虛擬私人網絡使未授權者得不到相關的數據，保證了數據的安全。

4、軟件的獲取、開發與維護：對軟件的獲取與應用的控制是與已建立的流程整合在一起的，包括文檔需求、客户接受測試、壓力測試和項目風險評估。與源代碼的接觸通過代碼庫來控制。軟件開發者應在單獨的開發或測試環境中工作，不能接觸到生產環境。對系統變化的管理包括：變動申請所必須的授權，變動的審查、審批、記錄、測試、變動對其他信息技術要素的影響，壓力測試結果以及實施協議等。

應用控制側重於信息採集與處理的完整、準確、授權以及有效性等。它有助於信息在需要時能夠及時採集到或能夠生成，應用支撐能夠獲得，接口錯誤能夠迅速發現。應用控制活動包括將輸入數據彙總後與總額核對，發現數據是否存在錄入錯誤；設置校驗碼；對數據的合理性進行測試；邏輯測試等。 ^[2]