控制活動(dòng)指確保管理層的風(fēng)險(xiǎn)反應(yīng)(管理策略)得以實(shí)施的一系列政策和程序。
政策和程序
政策是決策制定的廣義指南,它將戰(zhàn)略制定與戰(zhàn)略實(shí)施相聯(lián)結(jié)。企業(yè)通過(guò)制定政策來(lái)確保公司的各種決策與行動(dòng)有助于公司使命、目標(biāo)和戰(zhàn)略的實(shí)現(xiàn)。程序,有時(shí)也稱為操作規(guī)程。它詳細(xì)描述完成某一特定任務(wù)或工作的一系列或技術(shù)。通常用來(lái)描述公司行動(dòng)計(jì)劃所必須執(zhí)行的各種活動(dòng)。
通俗地說(shuō),政策就是確定應(yīng)該做什么,流程或程序確定如何去做。例如,證券交易商的一項(xiàng)政策要求對(duì)客戶的交易活動(dòng)進(jìn)行審閱。流程就是審閱本身,包括審閱的時(shí)間、誰(shuí)去審閱、審閱過(guò)程中應(yīng)該關(guān)注什么等。
對(duì)于一些小型企業(yè)來(lái)說(shuō),政策或許是口頭的而非書(shū)面的,但不管是口頭的還是書(shū)面的,政策都應(yīng)該有效、自覺(jué)、持之以恒地加以執(zhí)行。如果機(jī)械地執(zhí)行流程,而不能對(duì)政策所指向的環(huán)境有一個(gè)準(zhǔn)確、持續(xù)的把握,則流程會(huì)形同虛設(shè)。
控制活動(dòng)的類(lèi)型
控制活動(dòng)可以根據(jù)其相關(guān)的目標(biāo)分為戰(zhàn)略類(lèi)、經(jīng)營(yíng)類(lèi)、報(bào)告類(lèi)和遵循類(lèi)。有時(shí),某一特定的控制活動(dòng),如經(jīng)營(yíng)性控制活動(dòng)也有助于提高報(bào)告的可靠性;報(bào)告類(lèi)的控制活動(dòng)也會(huì)影響到法規(guī)的遵循,等等。
管理層在確定控制活動(dòng)時(shí),需要考慮控制活動(dòng)之間的聯(lián)系。在某些情況下,一項(xiàng)控制活動(dòng)可以實(shí)現(xiàn)多個(gè)風(fēng)險(xiǎn)反應(yīng);在另一些情況下,一個(gè)風(fēng)險(xiǎn)反應(yīng)需要多個(gè)風(fēng)險(xiǎn)控制活動(dòng)。一般情況下,控制活動(dòng)是為了實(shí)現(xiàn)風(fēng)險(xiǎn)反應(yīng)而建立的,但有時(shí)風(fēng)險(xiǎn)反應(yīng)本身就是控制活動(dòng)。比如,為了使某一特定交易能夠適當(dāng)進(jìn)行,風(fēng)險(xiǎn)反應(yīng)本身就是控制活動(dòng),即需要職責(zé)分離,需要有監(jiān)管者的批準(zhǔn)等。
需要注意的是,控制活動(dòng)是企業(yè)實(shí)現(xiàn)其目標(biāo)過(guò)程中一個(gè)極其重要的組成部分。不能為控制而控制,也不能僅認(rèn)為應(yīng)該控制而控制。管理者必須將控制活動(dòng)與控制目標(biāo)相結(jié)合,控制活動(dòng)是努力實(shí)現(xiàn)目標(biāo)的一種機(jī)制。
可以從不同的角度對(duì)控制活動(dòng)進(jìn)行分類(lèi),如預(yù)防性的,即在某些交易執(zhí)行之前就加以控制;查錯(cuò)防弊性的,即及時(shí)地審查并控制交易活動(dòng)等?刂苹顒(dòng)將手工控制和計(jì)算機(jī)控制結(jié)合在一起,使信息能夠正確采集,授權(quán)和審批某項(xiàng)投資決策的日常流程能夠建立。比如說(shuō),企業(yè)的控制活動(dòng)可以分為:
1. 最高管理層的審閱:最高管理層可以將實(shí)際執(zhí)行效果與預(yù)算、預(yù)測(cè)、以前年度同期以及競(jìng)爭(zhēng)者進(jìn)行對(duì)比,跟蹤檢查某些活動(dòng)的效果,衡量其是否達(dá)到預(yù)定目標(biāo),如市場(chǎng)的切入措施、改進(jìn)后的生產(chǎn)流程、成本控制與削減計(jì)劃等。
2. 直接的職能或活動(dòng)管理:職能經(jīng)理或作業(yè)經(jīng)理審閱業(yè)績(jī)報(bào)告。
3. 信息處理:對(duì)交易的準(zhǔn)確性、完整性以及授權(quán)的適當(dāng)性進(jìn)行控制,比如客戶訂單僅當(dāng)查詢相關(guān)已批準(zhǔn)的客戶文檔、信用限額后才能接受等。
4. 物理控制:保證設(shè)備、存貨、證券、現(xiàn)金和其他資產(chǎn)實(shí)物安全,并定期進(jìn)行實(shí)物核對(duì)、賬目核對(duì)。
5. 績(jī)效指標(biāo):對(duì)數(shù)據(jù),如經(jīng)營(yíng)性或財(cái)務(wù)性數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析,調(diào)查原因,并采用相應(yīng)的糾正措施,即控制活動(dòng)。例如,績(jī)效指標(biāo)包括員工的流動(dòng)性,如果員工流動(dòng)性過(guò)大,某些關(guān)鍵崗位人力不足,預(yù)期目標(biāo)實(shí)現(xiàn)的可能性就會(huì)變小。
6. 職責(zé)分離:職責(zé)分離的目的在于防止錯(cuò)誤與欺詐。例如,交易審批、記錄和相關(guān)資產(chǎn)的處理職責(zé)要分開(kāi);批準(zhǔn)信用銷(xiāo)售的經(jīng)理不得負(fù)責(zé)應(yīng)收賬款和現(xiàn)金收入的處理;銷(xiāo)售人員不得修改產(chǎn)品的價(jià)格政策和傭金比率。
控制活動(dòng)與風(fēng)險(xiǎn)反應(yīng)銜接
風(fēng)險(xiǎn)管理策略選定后,企業(yè)管理層確定控制活動(dòng)以保證這一管理策略能夠及時(shí)地得以適當(dāng)?shù)貙?shí)施。企業(yè)的風(fēng)險(xiǎn)管理策略主要有四種:回避、減少、分散和承擔(dān),每種管理策略都需要相應(yīng)的控制活動(dòng)。
風(fēng)險(xiǎn)回避:如某中藥制造企業(yè)認(rèn)識(shí)到,隨著國(guó)家對(duì)藥品質(zhì)量重視程度的提高,藥品質(zhì)量的任何差錯(cuò)極有可能導(dǎo)致企業(yè)失敗。為此,公司管理層加強(qiáng)了對(duì)藥品質(zhì)量檢測(cè)環(huán)節(jié)的管理,并購(gòu)置了備用檢測(cè)設(shè)備,以避免藥品質(zhì)量方面的風(fēng)險(xiǎn)。為實(shí)施這一風(fēng)險(xiǎn)管理策略,公司重新修訂了藥品檢測(cè)管理政策與流程,并要求質(zhì)量控制部負(fù)責(zé)人每月就質(zhì)量檢測(cè)的人員配備、設(shè)備維護(hù)情況向公司管理層進(jìn)行匯報(bào)。
風(fēng)險(xiǎn)減少:如某醫(yī)院管理層確認(rèn)其病人的健康狀況受到電力供應(yīng)中斷的不利影響。管理層針對(duì)這一風(fēng)險(xiǎn)采用的管理策略是安裝一個(gè)備用發(fā)電機(jī)。為使發(fā)電機(jī)在需要時(shí)能夠正常運(yùn)行,醫(yī)院工程部門(mén)進(jìn)行了日常維護(hù),其維護(hù)日記由工程部門(mén)負(fù)責(zé)人每月審閱一次。
風(fēng)險(xiǎn)共享:如某制造企業(yè)認(rèn)識(shí)到工廠長(zhǎng)期停工將會(huì)影響其生產(chǎn)目標(biāo)的實(shí)現(xiàn),考慮到公司目前的資本狀況、風(fēng)險(xiǎn)承受能力以及購(gòu)買(mǎi)保險(xiǎn)的成本,管理層決定購(gòu)買(mǎi)最長(zhǎng)為六個(gè)月的產(chǎn)品損失險(xiǎn)。為實(shí)現(xiàn)這一管理策略,公司首席風(fēng)險(xiǎn)官(CRO)定期審閱保險(xiǎn)單和商定保險(xiǎn)條款的遵循情況,并將遵循情況向首席運(yùn)營(yíng)官(COO)匯報(bào)。
風(fēng)險(xiǎn)接受:如某公司管理層確認(rèn)世界商品價(jià)格變化是一種風(fēng)險(xiǎn),通過(guò)對(duì)風(fēng)險(xiǎn)發(fā)生的可能性、后果以及公司風(fēng)險(xiǎn)承受度的評(píng)估,公司決定接受這一風(fēng)險(xiǎn)。公司管理層建立了一項(xiàng)政策,由公司財(cái)務(wù)部每3個(gè)月進(jìn)行一次正式的風(fēng)險(xiǎn)再評(píng)估,并向公司管理委員會(huì)提出建議,是否需要采用“套期”風(fēng)險(xiǎn)管理策略。
控制活動(dòng)與風(fēng)險(xiǎn)反應(yīng)同一
控制活動(dòng)建立的目的是保證風(fēng)險(xiǎn)反應(yīng)能夠適當(dāng)?shù)貙?shí)施。對(duì)有些目標(biāo)來(lái)說(shuō),特別是報(bào)告目標(biāo),控制活動(dòng)本身就是風(fēng)險(xiǎn)反應(yīng)。
例如,某企業(yè)為保證資產(chǎn)采購(gòu)和費(fèi)用處理目標(biāo)的實(shí)現(xiàn),采用相應(yīng)的風(fēng)險(xiǎn)管理策略(控制活動(dòng))如下:
報(bào)告目標(biāo):完整、準(zhǔn)確、有效地記錄和處理資產(chǎn)的獲取、費(fèi)用的發(fā)生
衡量指標(biāo):發(fā)現(xiàn)的財(cái)務(wù)報(bào)告錯(cuò)誤,以人民幣計(jì)量
具體目標(biāo):每月財(cái)務(wù)報(bào)表的差錯(cuò)<10000元
風(fēng)險(xiǎn):
1.供應(yīng)商發(fā)票金額錯(cuò)誤
可能性:可能
后果:較。500-2000元)
2.供應(yīng)商發(fā)票在月末結(jié)賬前不能取得
可能性:基本確定;
后果:中等(1000-2500元)
3.根據(jù)財(cái)務(wù)報(bào)表或發(fā)票付款,可能產(chǎn)生重復(fù)向供應(yīng)商付款的錯(cuò)誤
可能性:可能;
后果:較。500-1000元)
風(fēng)險(xiǎn)反應(yīng)(控制活動(dòng)):
1.需求部門(mén)請(qǐng)購(gòu)商品和勞務(wù)。(略)
2.采購(gòu)部門(mén)根據(jù)已批準(zhǔn)的請(qǐng)購(gòu)申請(qǐng)編制訂購(gòu)單和采購(gòu)商品。(略)
3.驗(yàn)收部門(mén)將所收商品與訂購(gòu)單進(jìn)行核對(duì)。驗(yàn)收人員將貨品送交倉(cāng)庫(kù)時(shí),應(yīng)要求其在驗(yàn)收單的副聯(lián)上簽收。
4.儲(chǔ)存已驗(yàn)收的商品存貨。
5.編制付款申請(qǐng)單。付款申請(qǐng)單編制部門(mén)(一般為負(fù)責(zé)采購(gòu)的部門(mén)或商務(wù)部)應(yīng)當(dāng):
確定供應(yīng)商發(fā)票的內(nèi)容與相關(guān)的驗(yàn)收單、訂購(gòu)單一致;
確定供應(yīng)商發(fā)票金額計(jì)算的準(zhǔn)確性;
在付款申請(qǐng)單填入應(yīng)借記的資產(chǎn)或費(fèi)用賬戶的名稱;
由被授權(quán)人在付款憑單上簽字確認(rèn)。
6.財(cái)務(wù)部門(mén)支付款項(xiàng)。支付金額包括電子支付金額,一人填寫(xiě),另一人復(fù)核,以保證支付金額的填寫(xiě)準(zhǔn)確無(wú)誤。對(duì)于大筆或非正常項(xiàng)目的支付(如金額超過(guò)50000元以上的),需與訂購(gòu)單、驗(yàn)收單進(jìn)行核對(duì)。
7.記錄現(xiàn)金、銀行存款支出。
8.違反上述操作程序的,系統(tǒng)會(huì)自動(dòng)向相關(guān)負(fù)責(zé)人匯報(bào)。
對(duì)信息系統(tǒng)的控制
人們經(jīng)營(yíng)企業(yè)、實(shí)現(xiàn)報(bào)告與遵循目標(biāo),對(duì)信息系統(tǒng)的依賴程度日益增加。在這種情況下,對(duì)企業(yè)重要的信息系統(tǒng)都需要加以控制。
信息系統(tǒng)的控制包括兩大類(lèi):一般控制與應(yīng)用控制。一般控制包括信息技術(shù)管理,信息技術(shù)基礎(chǔ)架構(gòu),安全管理和軟件的取得、開(kāi)發(fā)和維護(hù)等,它應(yīng)用于所有的系統(tǒng)。
信息技術(shù)管理:指導(dǎo)委員會(huì)對(duì)信息技術(shù)活動(dòng)以及改進(jìn)措施進(jìn)行監(jiān)督、監(jiān)控和報(bào)告。
信息技術(shù)基礎(chǔ)架構(gòu):包括系統(tǒng)的定義、獲取、安裝、配置、整合和維護(hù)方面的控制。
安全管理:包括邏輯接觸控制,如上網(wǎng)、接觸數(shù)據(jù)庫(kù)和應(yīng)用層面上的安全密碼控制。用戶賬戶和接觸授權(quán)控制是根據(jù)被授權(quán)者的工作需要來(lái)確定授權(quán)的范圍。因特網(wǎng)防火墻和虛擬私人網(wǎng)絡(luò)使未授權(quán)者得不到相關(guān)的數(shù)據(jù),保證了數(shù)據(jù)的安全。
軟件的獲取、開(kāi)發(fā)與維護(hù):對(duì)軟件的獲取與應(yīng)用的控制是與已建立的流程整合在一起的,包括文檔需求、客戶接受測(cè)試、壓力測(cè)試和項(xiàng)目風(fēng)險(xiǎn)評(píng)估。與源代碼的接觸通過(guò)代碼庫(kù)來(lái)控制。軟件開(kāi)發(fā)者應(yīng)在單獨(dú)的開(kāi)發(fā)或測(cè)試環(huán)境中工作,不能接觸到生產(chǎn)環(huán)境。對(duì)系統(tǒng)變化的管理包括:變動(dòng)申請(qǐng)所必須的授權(quán),變動(dòng)的審查、審批、記錄、測(cè)試、變動(dòng)對(duì)其他信息技術(shù)要素的影響,壓力測(cè)試結(jié)果以及實(shí)施協(xié)議等。
應(yīng)用控制側(cè)重于信息采集與處理的完整、準(zhǔn)確、授權(quán)以及有效性等。它有助于信息在需要時(shí)能夠及時(shí)采集到或能夠生成,應(yīng)用支撐能夠獲得,接口錯(cuò)誤能夠迅速發(fā)現(xiàn)。應(yīng)用控制活動(dòng)包括將輸入數(shù)據(jù)匯總后與總額核對(duì),發(fā)現(xiàn)數(shù)據(jù)是否存在錄入錯(cuò)誤;設(shè)置校驗(yàn)碼;對(duì)數(shù)據(jù)的合理性進(jìn)行測(cè)試;邏輯測(cè)試等。