三、控制活動
評估風險只是整個內部控制程序的一部分,管理層必須確定處理風險所需的行動,并付諸執行。這些行動亦應將注意力集中于控制活動的作用,目的是確保所需的行動得以有效且適時地執行。換而言之,控制活動包括多種政策和程序,有助于確保管理層的有關指示得以執行,處理風險以實現企業目標所需的行動得以實施。與大型企業相比,小型企業的內部控制程序可能不太正規且較具靈活性,但一貫地執行內部控制的有關政策及程序是十分重要的。
控制活動可為雇員提供指南(命令式的控制),設計這些活動旨在防止發生不希望出現的事情(預防性控制),或者在不希望出現的事情發生時能夠加以識別(偵察式控制)。當不希望出現的事情發生時,應識別程序的缺陷,并主動采取措施加以解決,此類活動稱為"糾正性控制活動"。
控制活動可分為運營、財務報告及合規三個類別,但它們之間有時可能出現重疊。常見的內部控制活動有(1)組織控制 (2)職責劃分; (3)調節和復核 (4)實物控制 (5)授權和批準 (6)計算和會計; (7)人員控制 (8)監督及管理控制。
(一)組織控制
組織控制是指組織結構提供的控制,比如組織活動和經營分成若干部門或責任中心,責任區分明確,在企業內授權,確立企業內的報告路徑,協調不同部門或小組之間的活動,比如設立委員會或項目組。
(二)職責劃分
進行職責分工的主要目的是防止具有欺騙性的活動發生或未被查出。管理層可以通過在兩個或兩個以上的人員之間分配工作的方式實現這一監控目標。就適當的職責分工而言,不應由一個人控制一項交易或一個事件的所有 關鍵方面,而且一個人履行的職能可通過其他人執行的職能進行檢查。
大多數交易可分成三類獨立的職責:認可或發起交易、處理被交易的資產,以及記錄交易。這樣能降低舞弊風險,同時降低出現差錯的風險。如果一個人為上述活動中的一項以上活動承擔責任,則存在舞弊的可能。職責劃分還能較容易地發現非本意造成的錯誤,因此不應僅將其視為對舞弊的控制。盡管職責劃分能夠避免一個人舞弊的情況,但對于兩人或兩人以上串通舞弊卻是元效的。在董事會層面,公司治理守則(比如《英國綜合守則))指出,董事會主席與首席執行官的職責應分離,以防止一個人取得董事會的支配地位。但是,如果這些職能尚未或無法分離,那么,應由管理層對相關活動進行詳細的監管審核,作為一種補償性控制。
(三)調節和復核
調節和復核業績屬于偵察式控制。所謂調節是指雇員將不同數據連接在一起,識別并找出差異,并且在必要時采取糾正措施。但是更重要的是,執行調節的人員要理解這一程序的重要性以及巳識別的差錯的影響。調節包括比較總賬的現金金額與銀行對賬單的現金余額、總賬的應收款金額與相關補貼賬戶總額,以及固定資產的現場盤點與會計記錄中記載的金額。所謂業績復核,是指管理層將當前的業績與預算、以前期間或其他基準相比較,以此反映目標的完成情況,并對其中的差異進行調查,以確定哪些糾正行動是必要的。
(四)實物控制
實物控制是指保護實物資產不被偷盜或未經許可而獲得及被使用的措施和程序。實物控制包括使用保險箱儲存現金和重要文件,為大樓或其內的區域設立門禁系統,為貴重資產采取兩重保管方法,必須兩人同時出現才能取得某些資產,定期對存貨進行盤點,以及雇用保安和利用閉路電視攝像頭。
(五)授權和批準
某些控制活動可提供其他控制活動運作正常或需要提供指南以改善這些控制活動的運作等信息。例如,被授權的雇員可能開展了達到某項限制的交易,并且須為超出規定限制的交易取得批準。批準上述超出規定限制的交易時,上級必須在核實該活動符合政策及程序的基礎上,才能予以批準。就此來說,上級批準亦可作為一種監控工具,來確保政策得以遵守。由于這些控制旨在控制不希望出現的事件,因此,可視之為預防性控制。預防性控制的主要目的是防止錯誤的發生。
一般而言,為了幫助確保控制活動發揮最大效果,在上級批準及授權時應提供書面指南、權力限制及支持性文件。另外,上級領導嚴肅地履行批準職能是非常重要的。這要求他們能夠積極核查文件,對異常事項進行詢問,以及提醒自己不在空白表格上簽字。
(六)計算和會計
此類控制要求在會計系統中正確地記錄交易。依靠會計記錄能夠追蹤每項交易,核對計算。比如,在向客戶發貨或批準支付前仔細檢查發票上的數字,確保數字是正確的。
(七)人員控制
此類控制適用于選擇和培訓雇員,以確保為企業的職位指定了恰當的人員,但個人必須具備適當的素質、經驗和所需的資質。企業要向個人提供適當的人門培訓,以確保他們能有效地完成任務。
(八)監督和管理控制
監督是指承擔責任的某人對其他人員工作的管理。監督控制有助于確保個人按照要求恰當地完成任務。
管理控制是由管理層根據其獲取的信息執行的控制。董事會或高級管理層可能要求提供關于企業目標所實現的成果的報告。那么,在部門層面上,管理層應接受對業績進行復核或標明特殊情況的報告。部門進行復核的頻率應遠遠高于高層進行復核的頻率。
四、信息與溝通
為了控制風險,有必要設立一個完善的溝通程序,以獲取必要的信息,并向需要該信息的所有人員提供。控制風險是企業各類程序涉及的所有人員的責任,因此,已識別風險的信息以及控制這些風險的方法,必須向每個相關人員傳達。溝通系統的重要意義在于,溝通能夠在企業以全方位的方式展開,以減少出現誤解的可能。企業的較低層級應識別問題,如果這些信息未提供給那些負責采取糾正措施的人員,那么,管理者將無法及時收到所需信息。
信息與溝通是指在人員能夠履行責任的方式及時間范圍內,識別、取得和報告經營、財務及法律遵守的相關報考的有效的程序和系統。這包括最高層將與控制有關的事宜的重要性及個人擔當的角色向下級傳達、向上級匯報重要信息的渠道以及與外部利益相關者保持有效溝通。
(一)信息
有關信息必須以適當的方式,在適當的時限內加以識別、收集和傳達,以使人們能作出決策及采取適當的行動。信息系統提供運營、財務及合規的相關信息(包括內部產生及外部提供的信息),這些信息有助于運作和控制業務,也是作出精明的決策以及對外報告所必需的。
當面對重大的行業變動時,特別是富于創新精神及快速流轉的行業,上述系統必須能夠配合支持新的企業目標的需要。信息系統可以是正式的或非正式的。后者包括與客戶、供應商、監管機構及雇員進行商討,這可為識別風險及商機提供有用的信息。出席商務講座和加入貿易、專業及其他團體成為會員,也可提供相關資料。
系統產生的信息的質量會影響管理層作出適當決策的能力。報告中載有足夠的數據以支持有效的控制是至關重要的,而系統的設計應針對這一方面。就信息質量而言,必須能夠答復諸如內容、時限、更新程度、準確性、可靠性和可用性等方面的問題。
(二)溝通
有效的溝通必須在企業內以全方位方式進行。高級管理層應向雇員傳達清晰的信息,使其明白必須認真履行控制責任。他們必須明白自身在內部控制系統中擔當的角色,以及個人活動如何眼其他人的活動有所關聯。他們還必須有把重要報考向上級匯報的方法,這需要公司建立公開的溝通渠道,上級人員應樂于傾聽。一個讓雇員懼怕因上報有關信息而遭到報復的環境,將與目標相背離。
雇員必須被告知,每當有超出預期的事情發生,不僅要注意事件本身,還要注意確定事件發生的時間。他們必須知道他們自身的活動是如何與其他人的工作關聯的,以及什么行為是被期望的或可接受的,什么行為是不會被接受的。
管理層與董事會及董事會下轄的委員會之間的溝通尤為重要。管理層必須就企業的業績、發展、重大風險、主要舉措及其他有關事項不斷地向董事會提供最新消息。董事會則應向管理層明確表示其需要何種資料,并應為管理層提供指示和反饋。此外,企業還需與外界各方(比如股東、客戶、供應商和監管機構)保持有效溝通。客戶和供應商可在產品或服務的設計與質量方面提供非常有用的意見;與諸如外聘審計師和監管機構的外界各方進行溝通,能對企業內部控制系統的運作情況提供非常寶貴的意見;與股東及財務分析師進行坦誠的溝通,能提供他們所需要的信息。
總的來說,有效的信息與溝通系統應具備以下特點:能夠生成企業經營所需的、關于財務、運營及法規遵守的報告,幫助作出精明的商業決策,以及對外發布可靠的報告。信息與溝通系統能使得雇員獲得信息,且交流他們為實施、管理及控制運轉情況所需的信息;能識別和傳達相關信息,并且是以一種人員能夠有效履行他們的職責的方式進行;使溝通在企業以全方位方式進行。此外,信息與溝通系統確立了與外部各方的有效溝通方式。作為信息與溝通系統的一部分,告知所有雇員應認真履行控制責任是很重要的。每個雇員應理解其在內部控制系統中的角色,以及他們的個人活動如何與其他人的活動相關聯。雇員還需了解,在履行職責的過程中發現問題,他們有責任報告。
有關雇員應當遵循的政策及程序的信息,應在公司內從上至下得以傳達。關于日常活動的信息,應從公司內準備這些信息的雇員流向需要這些信息的雇員。關于日常活動中發現的問題的信息,需要向公司上層流動,直至能夠采取糾正措施的人員。
