控制活动是内部控制的主体——COSO新版内部控制框架解读（七）

在内部控制框架的要素中，控制活动是非常特殊的一个，在之前的企业内部控制体系建设的经验中，因为控制活动涉及各个管理及业务制度、流程中的具体控制点的设置，所以控制活动占据的工作量是最大的。

为了让大家更好的理解五要素中各要素在内部控制体系中的定位，我总结了几句话供大家参考：

• 控制环境为基础；

• 风险评估为导向；

• 控制活动为主体；

• 信息沟通为工具；
  

• 监督活动为保障；

控制活动是内部控制体系承载的主体，作用不言而喻。

在内部控制体系建设的方法论中，内部控制分为两个层面的控制，一个指公司层面的控制（ELC），一个指业务（流程）层面的控制（PLC），公司层面的控制包含了控制环境、风险评估、信息沟通、监督活动等要素的内容，而业务层面的控制基本就是指的控制活动要素的内容。

控制活动这一要素提供的原则的要求适用于任何一个管理和业务流程，或者说企业所有的管理和业务流程的控制都需要应用这些原则和要求。

在1992年的COSO内部控制框架中，COSO不仅给出了控制要素的原则和要求，还提供了利用通用经营模型分解的各类管理及业务活动的参考关键控制点（类似于财政部2010年发布的18项内部控制应用指引），在更新版的控制文件中，这部分内容被删除了，只保留了控制原则和要求。

我们具体看一下控制活动中的几个原则和关注点。

原则10：组织应选择并执行那些可以影响其目标实现的风险降至可接受水平的控制

• 控制活动的设置要与风险评估的结果相结合

上一节，我们讲到了风险评估要素，也分析了内部控制中的风险与风险管理中的风险之间的关系。风险是和企业目标紧密相关，而内部控制是为了降低风险，是风险应对的方式之一，所以控制活动应该以此为出发点，才是找到了内部控制的源头。

这几年，大家都在谈以风险为导向的内部控制，建立内部控制是为了控制风险，所以需要先明确企业的风险。不仅内部控制需要以风险为导向，企业中合规管理、内部审计、内部监督等工作，都需要以风险为导向，因为风险是这些工作的最底层逻辑。

从另外一个角度上说，这些工作都是企业风险管理的一部分。

• 典型的应用控制手段

授权和批准：授权是通过不同级别的管理人员设定不同权限，或业务专有人员设定专有权限，来批准或验证业务活动，从而起到控制风险的作用。比如采购付款根据不同金额设置不同的审批路径。

验证检验：在政策和执行对象之间进行匹配验证，如出现执行差异进行进一步确认。如一笔差旅费用的报销行为和其他人的报销对比出现异常时，需要了解原因并跟进。

财产保护控制：这实物资产的安全管理，包括设置资产保护的各项措施，还可以通过定期盘点进行差异分析。

另外，还可以通过会计控制、预算控制、运营分析控制和绩效考评控制等实施控制活动。

不相容岗位的职责分离是一项重要的控制活动，之前我们曾经撰写过专门的文章，请参考：不相容岗位的职责分离，所有中国企业都应该补的基本功。

原则11：针对信息技术，组织应选择并执行一般控制活动以支持其目标的实现

控制活动的实施有两种方式，一种是人工控制，一种是自动控制，当然还有一种即需要人工又借助于自动控制的方式，叫半自动控制。

你有一个报销单，需要领导审批，你填好之后交给领导，领导大笔一挥在批准人处签了字，然后你拿着单子交给了财务部，财务部核实无误后将报销款项支付与你，这样的控制就是人工控制。

有一天，你们公司为了提升办公效率，上了一套财务报销系统，如果再进行报销需要在系统申报，然后扫描用于报销的原始单据上传系统，作为报销凭证，各项工作完成后，点击提交，系统就将此报销申请发送给审批领导，审批人在系统中审阅完报销事项后，点击同意，进入财务部处理环节。这样的控制叫半自动控制。

还有的系统直接设定批准规则，一旦达到规则，自动放行，这样的控制成为自动控制。

随着技术的发展，越来越多来的人工控制被半自动、自动控制代替，除了一些需要人为判断的控制，在未来大数据和AI被充分应用后，自动控制会转变为自控制，将会降低管理成本，提高控制效率。

信息技术的一般控制活动中有一个重要的内容就是访问权限管理，在信息技术一般控制的设计时，需要严格设定用户的角色和权限，只应允许被授权的用户访问相应的系统或环节，防止不当访问或未经授权进入系统，获取信息。

原则12：组织应通过政策和程序来实施控制活动，政策是建立预期，程序是将政策付诸行动

制定政策和程序是为了指导控制执行人员更好的执行控制活动，政策和程序有时可以理解为制度和流程，但是政策和程序的范围要比制度和流程更广一些。不成文或口头的政策和程序也可以被认可，关键是执行这些政策和程序的权、责、利是否清晰明确。

另外，执行控制活动的人需要进行胜任能力评估，这一点我们在介绍控制环境时介绍过。

控制活动需要被定期评估其持续有效性、以及控制本身的合理性，针对一些发生变化或有新情况发生的业务环节，有时可能需要增加控制，但有时需要减少控制。

之前的一个难题是，企业在加控制的时候比较容易，减控制的时候可能会挑战更大。所以企业的控制往往存在冗余且低效的情况，在进行控制程序缩减时，没有高级管理层的全力支持，往往比较困难实现。

今天和大家简要介绍了控制活动要素的内容，需要注意的是这些内容都需要在具体业务活动中去体现，而不是独立存在，比如在设计和评估销售、采购、资金管理等业务时，需要看这些要求是否都进行的充分的考虑和体现。