控制活动指确保管理层的风险反应(管理策略)得以实施的一系列政策和程序。
政策和程序
政策是决策制定的广义指南,它将战略制定与战略实施相联结。企业通过制定政策来确保公司的各种决策与行动有助于公司使命、目标和战略的实现。程序,有时也称为操作规程。它详细描述完成某一特定任务或工作的一系列或技术。通常用来描述公司行动计划所必须执行的各种活动。
通俗地说,政策就是确定应该做什么,流程或程序确定如何去做。例如,证券交易商的一项政策要求对客户的交易活动进行审阅。流程就是审阅本身,包括审阅的时间、谁去审阅、审阅过程中应该关注什么等。
对于一些小型企业来说,政策或许是口头的而非书面的,但不管是口头的还是书面的,政策都应该有效、自觉、持之以恒地加以执行。如果机械地执行流程,而不能对政策所指向的环境有一个准确、持续的把握,则流程会形同虚设。
控制活动的类型
控制活动可以根据其相关的目标分为战略类、经营类、报告类和遵循类。有时,某一特定的控制活动,如经营性控制活动也有助于提高报告的可靠性;报告类的控制活动也会影响到法规的遵循,等等。
管理层在确定控制活动时,需要考虑控制活动之间的联系。在某些情况下,一项控制活动可以实现多个风险反应;在另一些情况下,一个风险反应需要多个风险控制活动。一般情况下,控制活动是为了实现风险反应而建立的,但有时风险反应本身就是控制活动。比如,为了使某一特定交易能够适当进行,风险反应本身就是控制活动,即需要职责分离,需要有监管者的批准等。
需要注意的是,控制活动是企业实现其目标过程中一个极其重要的组成部分。不能为控制而控制,也不能仅认为应该控制而控制。管理者必须将控制活动与控制目标相结合,控制活动是努力实现目标的一种机制。
可以从不同的角度对控制活动进行分类,如预防性的,即在某些交易执行之前就加以控制;查错防弊性的,即及时地审查并控制交易活动等。控制活动将手工控制和计算机控制结合在一起,使信息能够正确采集,授权和审批某项投资决策的日常流程能够建立。比如说,企业的控制活动可以分为:
1. 最高管理层的审阅:最高管理层可以将实际执行效果与预算、预测、以前年度同期以及竞争者进行对比,跟踪检查某些活动的效果,衡量其是否达到预定目标,如市场的切入措施、改进后的生产流程、成本控制与削减计划等。
2. 直接的职能或活动管理:职能经理或作业经理审阅业绩报告。
3. 信息处理:对交易的准确性、完整性以及授权的适当性进行控制,比如客户订单仅当查询相关已批准的客户文档、信用限额后才能接受等。
4. 物理控制:保证设备、存货、证券、现金和其他资产实物安全,并定期进行实物核对、账目核对。
5. 绩效指标:对数据,如经营性或财务性数据进行关联分析,调查原因,并采用相应的纠正措施,即控制活动。例如,绩效指标包括员工的流动性,如果员工流动性过大,某些关键岗位人力不足,预期目标实现的可能性就会变小。
6. 职责分离:职责分离的目的在于防止错误与欺诈。例如,交易审批、记录和相关资产的处理职责要分开;批准信用销售的经理不得负责应收账款和现金收入的处理;销售人员不得修改产品的价格政策和佣金比率。
控制活动与风险反应衔接
风险管理策略选定后,企业管理层确定控制活动以保证这一管理策略能够及时地得以适当地实施。企业的风险管理策略主要有四种:回避、减少、分散和承担,每种管理策略都需要相应的控制活动。
风险回避:如某中药制造企业认识到,随着国家对药品质量重视程度的提高,药品质量的任何差错极有可能导致企业失败。为此,公司管理层加强了对药品质量检测环节的管理,并购置了备用检测设备,以避免药品质量方面的风险。为实施这一风险管理策略,公司重新修订了药品检测管理政策与流程,并要求质量控制部负责人每月就质量检测的人员配备、设备维护情况向公司管理层进行汇报。
风险减少:如某医院管理层确认其病人的健康状况受到电力供应中断的不利影响。管理层针对这一风险采用的管理策略是安装一个备用发电机。为使发电机在需要时能够正常运行,医院工程部门进行了日常维护,其维护日记由工程部门负责人每月审阅一次。
风险共享:如某制造企业认识到工厂长期停工将会影响其生产目标的实现,考虑到公司目前的资本状况、风险承受能力以及购买保险的成本,管理层决定购买最长为六个月的产品损失险。为实现这一管理策略,公司首席风险官(CRO)定期审阅保险单和商定保险条款的遵循情况,并将遵循情况向首席运营官(COO)汇报。
风险接受:如某公司管理层确认世界商品价格变化是一种风险,通过对风险发生的可能性、后果以及公司风险承受度的评估,公司决定接受这一风险。公司管理层建立了一项政策,由公司财务部每3个月进行一次正式的风险再评估,并向公司管理委员会提出建议,是否需要采用“套期”风险管理策略。
控制活动与风险反应同一
控制活动建立的目的是保证风险反应能够适当地实施。对有些目标来说,特别是报告目标,控制活动本身就是风险反应。
例如,某企业为保证资产采购和费用处理目标的实现,采用相应的风险管理策略(控制活动)如下:
报告目标:完整、准确、有效地记录和处理资产的获取、费用的发生
衡量指标:发现的财务报告错误,以人民币计量
具体目标:每月财务报表的差错<10000元
风险:
1.供应商发票金额错误
可能性:可能
后果:较小(500-2000元)
2.供应商发票在月末结账前不能取得
可能性:基本确定;
后果:中等(1000-2500元)
3.根据财务报表或发票付款,可能产生重复向供应商付款的错误
可能性:可能;
后果:较小(500-1000元)
风险反应(控制活动):
1.需求部门请购商品和劳务。(略)
2.采购部门根据已批准的请购申请编制订购单和采购商品。(略)
3.验收部门将所收商品与订购单进行核对。验收人员将货品送交仓库时,应要求其在验收单的副联上签收。
4.储存已验收的商品存货。
5.编制付款申请单。付款申请单编制部门(一般为负责采购的部门或商务部)应当:
确定供应商发票的内容与相关的验收单、订购单一致;
确定供应商发票金额计算的准确性;
在付款申请单填入应借记的资产或费用账户的名称;
由被授权人在付款凭单上签字确认。
6.财务部门支付款项。支付金额包括电子支付金额,一人填写,另一人复核,以保证支付金额的填写准确无误。对于大笔或非正常项目的支付(如金额超过50000元以上的),需与订购单、验收单进行核对。
7.记录现金、银行存款支出。
8.违反上述操作程序的,系统会自动向相关负责人汇报。
对信息系统的控制
人们经营企业、实现报告与遵循目标,对信息系统的依赖程度日益增加。在这种情况下,对企业重要的信息系统都需要加以控制。
信息系统的控制包括两大类:一般控制与应用控制。一般控制包括信息技术管理,信息技术基础架构,安全管理和软件的取得、开发和维护等,它应用于所有的系统。
信息技术管理:指导委员会对信息技术活动以及改进措施进行监督、监控和报告。
信息技术基础架构:包括系统的定义、获取、安装、配置、整合和维护方面的控制。
安全管理:包括逻辑接触控制,如上网、接触数据库和应用层面上的安全密码控制。用户账户和接触授权控制是根据被授权者的工作需要来确定授权的范围。因特网防火墙和虚拟私人网络使未授权者得不到相关的数据,保证了数据的安全。
软件的获取、开发与维护:对软件的获取与应用的控制是与已建立的流程整合在一起的,包括文档需求、客户接受测试、压力测试和项目风险评估。与源代码的接触通过代码库来控制。软件开发者应在单独的开发或测试环境中工作,不能接触到生产环境。对系统变化的管理包括:变动申请所必须的授权,变动的审查、审批、记录、测试、变动对其他信息技术要素的影响,压力测试结果以及实施协议等。
应用控制侧重于信息采集与处理的完整、准确、授权以及有效性等。它有助于信息在需要时能够及时采集到或能够生成,应用支撑能够获得,接口错误能够迅速发现。应用控制活动包括将输入数据汇总后与总额核对,发现数据是否存在录入错误;设置校验码;对数据的合理性进行测试;逻辑测试等。
