控制活動指確保管理層的風(fēng)險反應(yīng)(管理策略)得以實(shí)施的一系列政策和程序。
政策和程序
政策是決策制定的廣義指南,它將戰(zhàn)略制定與戰(zhàn)略實(shí)施相聯(lián)結(jié)。企業(yè)通過制定政策來確保公司的各種決策與行動有助于公司使命、目標(biāo)和戰(zhàn)略的實(shí)現(xiàn)。程序,有時也稱為操作規(guī)程。它詳細(xì)描述完成某一特定任務(wù)或工作的一系列或技術(shù)。通常用來描述公司行動計劃所必須執(zhí)行的各種活動。
通俗地說,政策就是確定應(yīng)該做什么,流程或程序確定如何去做。例如,證券交易商的一項(xiàng)政策要求對客戶的交易活動進(jìn)行審閱。流程就是審閱本身,包括審閱的時間、誰去審閱、審閱過程中應(yīng)該關(guān)注什么等。
對于一些小型企業(yè)來說,政策或許是口頭的而非書面的,但不管是口頭的還是書面的,政策都應(yīng)該有效、自覺、持之以恒地加以執(zhí)行。如果機(jī)械地執(zhí)行流程,而不能對政策所指向的環(huán)境有一個準(zhǔn)確、持續(xù)的把握,則流程會形同虛設(shè)。
控制活動的類型
控制活動可以根據(jù)其相關(guān)的目標(biāo)分為戰(zhàn)略類、經(jīng)營類、報告類和遵循類。有時,某一特定的控制活動,如經(jīng)營性控制活動也有助于提高報告的可靠性;報告類的控制活動也會影響到法規(guī)的遵循,等等。
管理層在確定控制活動時,需要考慮控制活動之間的聯(lián)系。在某些情況下,一項(xiàng)控制活動可以實(shí)現(xiàn)多個風(fēng)險反應(yīng);在另一些情況下,一個風(fēng)險反應(yīng)需要多個風(fēng)險控制活動。一般情況下,控制活動是為了實(shí)現(xiàn)風(fēng)險反應(yīng)而建立的,但有時風(fēng)險反應(yīng)本身就是控制活動。比如,為了使某一特定交易能夠適當(dāng)進(jìn)行,風(fēng)險反應(yīng)本身就是控制活動,即需要職責(zé)分離,需要有監(jiān)管者的批準(zhǔn)等。
需要注意的是,控制活動是企業(yè)實(shí)現(xiàn)其目標(biāo)過程中一個極其重要的組成部分。不能為控制而控制,也不能僅認(rèn)為應(yīng)該控制而控制。管理者必須將控制活動與控制目標(biāo)相結(jié)合,控制活動是努力實(shí)現(xiàn)目標(biāo)的一種機(jī)制。
可以從不同的角度對控制活動進(jìn)行分類,如預(yù)防性的,即在某些交易執(zhí)行之前就加以控制;查錯防弊性的,即及時地審查并控制交易活動等?刂苹顒訉⑹止た刂坪陀嬎銠C(jī)控制結(jié)合在一起,使信息能夠正確采集,授權(quán)和審批某項(xiàng)投資決策的日常流程能夠建立。比如說,企業(yè)的控制活動可以分為:
1. 最高管理層的審閱:最高管理層可以將實(shí)際執(zhí)行效果與預(yù)算、預(yù)測、以前年度同期以及競爭者進(jìn)行對比,跟蹤檢查某些活動的效果,衡量其是否達(dá)到預(yù)定目標(biāo),如市場的切入措施、改進(jìn)后的生產(chǎn)流程、成本控制與削減計劃等。
2. 直接的職能或活動管理:職能經(jīng)理或作業(yè)經(jīng)理審閱業(yè)績報告。
3. 信息處理:對交易的準(zhǔn)確性、完整性以及授權(quán)的適當(dāng)性進(jìn)行控制,比如客戶訂單僅當(dāng)查詢相關(guān)已批準(zhǔn)的客戶文檔、信用限額后才能接受等。
4. 物理控制:保證設(shè)備、存貨、證券、現(xiàn)金和其他資產(chǎn)實(shí)物安全,并定期進(jìn)行實(shí)物核對、賬目核對。
5. 績效指標(biāo):對數(shù)據(jù),如經(jīng)營性或財務(wù)性數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析,調(diào)查原因,并采用相應(yīng)的糾正措施,即控制活動。例如,績效指標(biāo)包括員工的流動性,如果員工流動性過大,某些關(guān)鍵崗位人力不足,預(yù)期目標(biāo)實(shí)現(xiàn)的可能性就會變小。
6. 職責(zé)分離:職責(zé)分離的目的在于防止錯誤與欺詐。例如,交易審批、記錄和相關(guān)資產(chǎn)的處理職責(zé)要分開;批準(zhǔn)信用銷售的經(jīng)理不得負(fù)責(zé)應(yīng)收賬款和現(xiàn)金收入的處理;銷售人員不得修改產(chǎn)品的價格政策和傭金比率。
控制活動與風(fēng)險反應(yīng)銜接
風(fēng)險管理策略選定后,企業(yè)管理層確定控制活動以保證這一管理策略能夠及時地得以適當(dāng)?shù)貙?shí)施。企業(yè)的風(fēng)險管理策略主要有四種:回避、減少、分散和承擔(dān),每種管理策略都需要相應(yīng)的控制活動。
風(fēng)險回避:如某中藥制造企業(yè)認(rèn)識到,隨著國家對藥品質(zhì)量重視程度的提高,藥品質(zhì)量的任何差錯極有可能導(dǎo)致企業(yè)失敗。為此,公司管理層加強(qiáng)了對藥品質(zhì)量檢測環(huán)節(jié)的管理,并購置了備用檢測設(shè)備,以避免藥品質(zhì)量方面的風(fēng)險。為實(shí)施這一風(fēng)險管理策略,公司重新修訂了藥品檢測管理政策與流程,并要求質(zhì)量控制部負(fù)責(zé)人每月就質(zhì)量檢測的人員配備、設(shè)備維護(hù)情況向公司管理層進(jìn)行匯報。
風(fēng)險減少:如某醫(yī)院管理層確認(rèn)其病人的健康狀況受到電力供應(yīng)中斷的不利影響。管理層針對這一風(fēng)險采用的管理策略是安裝一個備用發(fā)電機(jī)。為使發(fā)電機(jī)在需要時能夠正常運(yùn)行,醫(yī)院工程部門進(jìn)行了日常維護(hù),其維護(hù)日記由工程部門負(fù)責(zé)人每月審閱一次。
風(fēng)險共享:如某制造企業(yè)認(rèn)識到工廠長期停工將會影響其生產(chǎn)目標(biāo)的實(shí)現(xiàn),考慮到公司目前的資本狀況、風(fēng)險承受能力以及購買保險的成本,管理層決定購買最長為六個月的產(chǎn)品損失險。為實(shí)現(xiàn)這一管理策略,公司首席風(fēng)險官(CRO)定期審閱保險單和商定保險條款的遵循情況,并將遵循情況向首席運(yùn)營官(COO)匯報。
風(fēng)險接受:如某公司管理層確認(rèn)世界商品價格變化是一種風(fēng)險,通過對風(fēng)險發(fā)生的可能性、后果以及公司風(fēng)險承受度的評估,公司決定接受這一風(fēng)險。公司管理層建立了一項(xiàng)政策,由公司財務(wù)部每3個月進(jìn)行一次正式的風(fēng)險再評估,并向公司管理委員會提出建議,是否需要采用“套期”風(fēng)險管理策略。
控制活動與風(fēng)險反應(yīng)同一
控制活動建立的目的是保證風(fēng)險反應(yīng)能夠適當(dāng)?shù)貙?shí)施。對有些目標(biāo)來說,特別是報告目標(biāo),控制活動本身就是風(fēng)險反應(yīng)。
例如,某企業(yè)為保證資產(chǎn)采購和費(fèi)用處理目標(biāo)的實(shí)現(xiàn),采用相應(yīng)的風(fēng)險管理策略(控制活動)如下:
報告目標(biāo):完整、準(zhǔn)確、有效地記錄和處理資產(chǎn)的獲取、費(fèi)用的發(fā)生
衡量指標(biāo):發(fā)現(xiàn)的財務(wù)報告錯誤,以人民幣計量
具體目標(biāo):每月財務(wù)報表的差錯<10000元
風(fēng)險:
1.供應(yīng)商發(fā)票金額錯誤
可能性:可能
后果:較。500-2000元)
2.供應(yīng)商發(fā)票在月末結(jié)賬前不能取得
可能性:基本確定;
后果:中等(1000-2500元)
3.根據(jù)財務(wù)報表或發(fā)票付款,可能產(chǎn)生重復(fù)向供應(yīng)商付款的錯誤
可能性:可能;
后果:較小(500-1000元)
風(fēng)險反應(yīng)(控制活動):
1.需求部門請購商品和勞務(wù)。(略)
2.采購部門根據(jù)已批準(zhǔn)的請購申請編制訂購單和采購商品。(略)
3.驗(yàn)收部門將所收商品與訂購單進(jìn)行核對。驗(yàn)收人員將貨品送交倉庫時,應(yīng)要求其在驗(yàn)收單的副聯(lián)上簽收。
4.儲存已驗(yàn)收的商品存貨。
5.編制付款申請單。付款申請單編制部門(一般為負(fù)責(zé)采購的部門或商務(wù)部)應(yīng)當(dāng):
確定供應(yīng)商發(fā)票的內(nèi)容與相關(guān)的驗(yàn)收單、訂購單一致;
確定供應(yīng)商發(fā)票金額計算的準(zhǔn)確性;
在付款申請單填入應(yīng)借記的資產(chǎn)或費(fèi)用賬戶的名稱;
由被授權(quán)人在付款憑單上簽字確認(rèn)。
6.財務(wù)部門支付款項(xiàng)。支付金額包括電子支付金額,一人填寫,另一人復(fù)核,以保證支付金額的填寫準(zhǔn)確無誤。對于大筆或非正常項(xiàng)目的支付(如金額超過50000元以上的),需與訂購單、驗(yàn)收單進(jìn)行核對。
7.記錄現(xiàn)金、銀行存款支出。
8.違反上述操作程序的,系統(tǒng)會自動向相關(guān)負(fù)責(zé)人匯報。
對信息系統(tǒng)的控制
人們經(jīng)營企業(yè)、實(shí)現(xiàn)報告與遵循目標(biāo),對信息系統(tǒng)的依賴程度日益增加。在這種情況下,對企業(yè)重要的信息系統(tǒng)都需要加以控制。
信息系統(tǒng)的控制包括兩大類:一般控制與應(yīng)用控制。一般控制包括信息技術(shù)管理,信息技術(shù)基礎(chǔ)架構(gòu),安全管理和軟件的取得、開發(fā)和維護(hù)等,它應(yīng)用于所有的系統(tǒng)。
信息技術(shù)管理:指導(dǎo)委員會對信息技術(shù)活動以及改進(jìn)措施進(jìn)行監(jiān)督、監(jiān)控和報告。
信息技術(shù)基礎(chǔ)架構(gòu):包括系統(tǒng)的定義、獲取、安裝、配置、整合和維護(hù)方面的控制。
安全管理:包括邏輯接觸控制,如上網(wǎng)、接觸數(shù)據(jù)庫和應(yīng)用層面上的安全密碼控制。用戶賬戶和接觸授權(quán)控制是根據(jù)被授權(quán)者的工作需要來確定授權(quán)的范圍。因特網(wǎng)防火墻和虛擬私人網(wǎng)絡(luò)使未授權(quán)者得不到相關(guān)的數(shù)據(jù),保證了數(shù)據(jù)的安全。
軟件的獲取、開發(fā)與維護(hù):對軟件的獲取與應(yīng)用的控制是與已建立的流程整合在一起的,包括文檔需求、客戶接受測試、壓力測試和項(xiàng)目風(fēng)險評估。與源代碼的接觸通過代碼庫來控制。軟件開發(fā)者應(yīng)在單獨(dú)的開發(fā)或測試環(huán)境中工作,不能接觸到生產(chǎn)環(huán)境。對系統(tǒng)變化的管理包括:變動申請所必須的授權(quán),變動的審查、審批、記錄、測試、變動對其他信息技術(shù)要素的影響,壓力測試結(jié)果以及實(shí)施協(xié)議等。
應(yīng)用控制側(cè)重于信息采集與處理的完整、準(zhǔn)確、授權(quán)以及有效性等。它有助于信息在需要時能夠及時采集到或能夠生成,應(yīng)用支撐能夠獲得,接口錯誤能夠迅速發(fā)現(xiàn)。應(yīng)用控制活動包括將輸入數(shù)據(jù)匯總后與總額核對,發(fā)現(xiàn)數(shù)據(jù)是否存在錄入錯誤;設(shè)置校驗(yàn)碼;對數(shù)據(jù)的合理性進(jìn)行測試;邏輯測試等。