控制活动是企业结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度范围之内。控制活动的控制对象是企业已识别的各项风险,在实务中将控制活动及措施以流程、制度的形式进行规范,通过业务流转表单、表格文档和信息系统的形式实现控制活动及措施的运行,形成企业信息记录及流程数据沉淀,借助分析工具评价控制措施有效性,进而不断优化调整企业控制活动及措施。
控制活动及其控制措施的有效设计需要考虑以下几个因素:
控制活动类型选择取决于风险评估结果
风险评估结果告诉我们企业有什么风险,风险成因是哪些,围绕这些风险应该采取什么类型的控制活动较为合适。控制活动类型有很多种,常见包括:不相容职务未分离、授权审批、会计记录、财产保护、预算控制、绩效考核、运营分析控制等,我们需要结合企业具体经营活动选择其中一种或几种组合。比如财务印鉴被滥用的风险,就需要选择不相容职务分离控制和授权审批控制活动类型,不相容职务分离是确保财务专用章和法人章分开保管,授权审批是确保用印应经过授权批准才可执行。
考虑风险偏好及风险承受度
既定控制活动下的控制措施如何具体设计要考虑企业的风险偏好及风险承受度,同样的风险,不同的企业、同一企业内部不同的部门所采取的控制措施是存在差异的,但都将风险控制在企业可承受度范围之内为基本准则,风险控制成本与效益要保持平衡。
要做到事前、事中及事后控制相结合
任何企业经营或运营管理活动行为,都会遵循事前计划与决策、事中执行与监控、事后评价与总结的循环,管理学上称为PDCA循环,或者管理闭环。在事前要有预防性控制设计,事中及事后要有发现性控制设计,如应收账款催收业务,事前要开展客户信用评价,根据信用评价对客户进行授信申请和批准,事中要对客户发货量进行控制,并对应收账款账期核对进行确认,事后要与客户定期对账,并采取催收措施。
与经营管理各项活动的流程相结合
流程是内部控制措施设计及执行的纽带,控制措施及方法要无缝衔接嵌入到企业日常经营业务流程中,在流程各个环节讨论风险及控制措施的可行性。所以实施内部控制管理体系,先要从企业业务流程梳理开始着手,细化流程,讨论流程目标设定、潜在风险及其控制措施。
借助信息化技术手段
充分利用信息技术手段可以有助于内部控制的有效落地,手工和自动控制相结合,自动控制具有一惯性,不会出错,效率也高,是一种成本效益显著的方法。目前企业各种流程软件、内部控制及风险管理相关的信息化技术产品经过实践已经比较成熟。随着信息化技术的逐渐成熟应用,企业的数字化水平也会来越高,基于信息化和数字化基础的风险预警智能管理工具也将成为现实。返回搜狐,查看更多