在上四篇文章中我們已探討過內控環境 (Control Environment) 及風險評估 (Risk Assessment),接下來我們談一談控制活動 (Control Activities)。根據COSO 於2004年推出的《企業風險管理-整合框架》,其中文版的要覽對控制活動有以下的詮釋:
制訂和執行政策與程序以幫助確保風險應對得以有效實施。
其實控制活動就是我們說的內部控制。在設計及制訂內部控制前,我們需要了解一些概念。
內控的性質
內部控制主要有三種性質,包括預防性 (Preventive Control),偵測性(Detective Control)及矯正性 (Corrective Control)。故明思義,預防性控制就是預防問題的發生,例如將現金鎖在保險櫃,開具支票前需要審批等;偵測性控制就是當有問題發生後把問題報告出來,例如現金盤點,Bank Reconciliation等等;矯正性控制就是當發現問題後將其改正。
理論上,我們會優先考慮預防性控制,正如我們不會只依賴現金盤點而不將現金鎖在保險櫃裡。但有很多時候出於成本的考慮,我們不得不捨棄預防性控制而以偵測性控制取代。例如存放的現金就只有幾百元,要買一個保險櫃或保險箱似乎不切實際,那麼我們可以利用現金盤點這偵測性控制,加上將現金歸到負責人名下,便可以確保現金的安全。
內控的成本效益
如上述所說,控制是需要成本的,如果設置的控制的成本高於其風險或帶來的得益,那麼這個控制就不應該實施,就好像要花幾萬元購買一個保險櫃來存放幾百元一樣。
常用內控的方法
內部控制採用的方法有好幾種,我們常用的包括:
政策及程序 (Policies & Procedures)-建立一個框架,所有活動都控制在這個框架之內。框架首先要有一套政策(Policies),列明各個功能的目標、職責、權限及統屬關係。有了政策後,就應該有一套程序了 (Procedures),程序通常詳細列明功能內部運作的流程,涉及的崗位、文件及信息流向等。各功能應按照既定的政策及程序(Policies & Procedures) 運作。
審視 (Review)-通過第三者審視並給意見,按不同情況,第三者可以是上司,同級人員,其他相關部門人員等。
審批 (Authorization)-一項交易需要得到上級的同意後才可以進行,例如採購單需要採購經理的審批,支票需要授權人簽名等。
憑證 (Documentation)-每項交易有適當的憑證以支持其是否真實,合理或符合程序,例如供應商開具的發票,銀行月結單,內部的請假單等等。
會計記錄控制 (Accounting Controls) -有系統地收集及記錄各項財務活動及成本等資料,從而編制財務報表及各種分析以協助管理。
實物控制 (Physical Controls)-例如將現金鎖在保險櫃,固定資產貼上標籤及為資產造帳登記,現金及實物盤點等。
異常報告 (Exceptional Reporting) -當有異於正常的事情發生時向相關單位報告,例如當系統被入侵,某交易金額異常大或少,系統在非辦公時間被啟動等等。
職責分離 (Segregation of Duties) -交易由準備,審批,執行到記錄由不同的人員負責。例如開出銀行支票,由司庫負責準備支票,授權人負責審批及簽名,行政部負責將支票寄出,會計文員負責記錄造賬。
計劃及預算 (Planning & Budgeting) -進行一項交易甚至一項業務前都需要有一個計劃及預算。
人事管理 (Personnel Management) -我們經常強調人事管理,這是因為內部控制本身是沒有意思的,一定要依靠人來執行,所以每個崗位的招聘,升遷,表現評核,輔導,培訓,離職,薪金報酬水平和道德及操守都需要一套準則來規範。
--------
相關文章連結:
上一篇文章:COSO內控要素:風險評估(二)
下一篇文章:COSO內控要素:資訊與溝通
&&&&&&&&
您好!可以請教您一個控制活動的問題嗎,如果支付應付帳款時,審核採購單、驗收單及發票的程序,是一個控制點?還是補償性控制呢?
回覆刪除Hi 匿名君:
回覆刪除以我的理解,這是一個控制點,因為它直接確保支付(或者預備支付)的金額是經過審批(PO),和正確(驗收單/發票).
非常感謝你的見解,謝謝。
回覆刪除你好, 可否談談Business Continuity Plan (BCP) & Disaster Recovery Plan(DRP)?
回覆刪除經驗上成日分公司怕煩唔想諗, 總公司就話好大個project, 要慢慢desgin, 最後放埋一邊,follow up 時就敷衍了事...請問應做到咩程度先足夠??
Hi 匿名君:
回覆刪除呢個真係好題目,等我試試寫一寫^^
熱切期待苦瓜兄o既指教同見解!!!
回覆刪除Hey, about the Business Continuity Plan (BCP) & Disaster Recovery Plan(DRP), it is an interesting topic! Since my company has many branches in different locations, we require each office or at least each country to draft a contingency plan. But sometimes , the office is quite small. And for this plan, you require them to set up a contingency plan like what if the office is down, is the office able to set up the business shortly ! Then it seem to give them a big troublesome question!! What do you think ? And of course, they take so long to give you a plan!
回覆刪除