一、控制活动概述
(一)控制活动的含义
我们知道,COSO报告主要论述了企业建立内部控制体系所需要考虑的不同方面,其中控制活动是其核心部分。对于控制活动,COSO报告中认为,它是确保管理层指令得到贯彻执行的公司的政策和程序。它有助于确保采取必要的行动进行风险管理和保证企业总体目标的实现,也就是说,企业针对风险应采取必要的措施,以实现公司的目标。基于与其有关的企业目标的性质,控制活动可以分为三个类型:经营、财务报告和合规性。
虽然有些控制活动只与一个方面有关,但相互关系是重叠的。依情况而定,三类控制活动中的某一控制活动可能比其他任何一种都更能有助于满足实现企业目标的要求。因此,经营控制活动可能有助于保证可靠的财务报告;财务报告控制活动能有助于实施合规性等。
控制活动通常包括两个要素:第一个要素是政策,它描述应该做什么,同时又是第二个要素的基础;第二个要素是程序,它描述应该怎样做。在许多情况下,政策往往通过口头传达。在政策是长期存在并受到充分理解的前提下,以及在那些沟通渠道仅为有限的管理层级但是有密切的人员往来和监督的小公司,不成文的政策也能得到有效的执行。但是,无论政策是成文的还是不成文的,都必须全面地、认真地和始终如一地贯彻执行。如果是机械地执行程序而不持续关注政策所指引的条件,程序就将是无用的。而且,应对由于执行程序而明确的条件进行调查并采取合理的整改措施,这一点也非常重要。根据企业的规模和组织结构,跟进行动可能会有所不同。
(二)控制活动与风险评估活动相结合
在评估风险的同时,管理层应明确并实施应对风险所采取的行动。在应对风险时明确的行动也有助于使关注的焦点放在要实施的控制活动上,从而保证正确及时地贯彻执行这些控制活动。
控制活动是企业努力实现其经营目标所采用的流程的一部分。控制活动并不是为了其本身,或是由于进行控制活动似乎是“正确的或合适的”。从企业本身的角度来讲,控制直接融入到管理流程中。
二、经营活动分析
控制活动存在于公司的各个层次和各个职能部门。控制活动一般包括:批准、授权、核实、调节、经营活动分析、资产安全性以及职责分工等方面。同时,COSO报告认为,控制活动又分为公司层面的控制和业务层面的控制。在公司层面的控制中,经营活动分析是最重要的一种控制。
《萨班斯-奥克斯利法案》关注的经济活动分析侧重于财务情况分析,即阶段性经营成果和影响成果的因素分析。重点对财务报表中影响利润指标的价格因素、销量因素、成本因素及其他费用的变化进行分析,同时对财务报表的真实性进行核实等等。
