2009年3月23日星期一

COSO內控要素:控制活動

在上四篇文章中我們已探討過內控環境 (Control Environment) 及風險評估 (Risk Assessment),接下來我們談一談控制活動 (Control Activities)。根據COSO 於2004年推出的《企業風險管理-整合框架》,其中文版的要覽對控制活動有以下的詮釋:

制訂和執行政策與程序以幫助確保風險應對得以有效實施。

其實控制活動就是我們說的內部控制。在設計及制訂內部控制前,我們需要了解一些概念。

內控的性質

內部控制主要有三種性質,包括預防性 (Preventive Control),偵測性(Detective Control)及矯正性 (Corrective Control)。故明思義,預防性控制就是預防問題的發生,例如將現金鎖在保險櫃,開具支票前需要審批等;偵測性控制就是當有問題發生後把問題報告出來,例如現金盤點,Bank Reconciliation等等;矯正性控制就是當發現問題後將其改正。

理論上,我們會優先考慮預防性控制,正如我們不會只依賴現金盤點而不將現金鎖在保險櫃裡。但有很多時候出於成本的考慮,我們不得不捨棄預防性控制而以偵測性控制取代。例如存放的現金就只有幾百元,要買一個保險櫃或保險箱似乎不切實際,那麼我們可以利用現金盤點這偵測性控制,加上將現金歸到負責人名下,便可以確保現金的安全。

內控的成本效益

如上述所說,控制是需要成本的,如果設置的控制的成本高於其風險或帶來的得益,那麼這個控制就不應該實施,就好像要花幾萬元購買一個保險櫃來存放幾百元一樣。

常用內控的方法

內部控制採用的方法有好幾種,我們常用的包括:

政策及程序 (Policies & Procedures)-建立一個框架,所有活動都控制在這個框架之內。框架首先要有一套政策(Policies),列明各個功能的目標、職責、權限及統屬關係。有了政策後,就應該有一套程序了 (Procedures),程序通常詳細列明功能內部運作的流程,涉及的崗位、文件及信息流向等。各功能應按照既定的政策及程序(Policies & Procedures) 運作。

審視 (Review)-通過第三者審視並給意見,按不同情況,第三者可以是上司,同級人員,其他相關部門人員等。

審批 (Authorization)-一項交易需要得到上級的同意後才可以進行,例如採購單需要採購經理的審批,支票需要授權人簽名等。

憑證 (Documentation)-每項交易有適當的憑證以支持其是否真實,合理或符合程序,例如供應商開具的發票,銀行月結單,內部的請假單等等。

會計記錄控制 (Accounting Controls) -有系統地收集及記錄各項財務活動及成本等資料,從而編制財務報表及各種分析以協助管理。

實物控制 (Physical Controls)-例如將現金鎖在保險櫃,固定資產貼上標籤及為資產造帳登記,現金及實物盤點等。

異常報告 (Exceptional Reporting) -當有異於正常的事情發生時向相關單位報告,例如當系統被入侵,某交易金額異常大或少,系統在非辦公時間被啟動等等。

職責分離 (Segregation of Duties) -交易由準備,審批,執行到記錄由不同的人員負責。例如開出銀行支票,由司庫負責準備支票,授權人負責審批及簽名,行政部負責將支票寄出,會計文員負責記錄造賬。

計劃及預算 (Planning & Budgeting) -進行一項交易甚至一項業務前都需要有一個計劃及預算。

人事管理 (Personnel Management) -我們經常強調人事管理,這是因為內部控制本身是沒有意思的,一定要依靠人來執行,所以每個崗位的招聘,升遷,表現評核,輔導,培訓,離職,薪金報酬水平和道德及操守都需要一套準則來規範。

--------
相關文章連結:
上一篇文章:COSO內控要素:風險評估(二)
下一篇文章:COSO內控要素:資訊與溝通

&&&&&&&&

7 則留言:

  1. 您好!可以請教您一個控制活動的問題嗎,如果支付應付帳款時,審核採購單、驗收單及發票的程序,是一個控制點?還是補償性控制呢?

    回覆刪除
  2. Hi 匿名君:
    以我的理解,這是一個控制點,因為它直接確保支付(或者預備支付)的金額是經過審批(PO),和正確(驗收單/發票).

    回覆刪除
  3. 非常感謝你的見解,謝謝。

    回覆刪除
  4. 你好, 可否談談Business Continuity Plan (BCP) & Disaster Recovery Plan(DRP)?

    經驗上成日分公司怕煩唔想諗, 總公司就話好大個project, 要慢慢desgin, 最後放埋一邊,follow up 時就敷衍了事...請問應做到咩程度先足夠??

    回覆刪除
  5. Hi 匿名君:
    呢個真係好題目,等我試試寫一寫^^

    回覆刪除
  6. 熱切期待苦瓜兄o既指教同見解!!!

    回覆刪除
  7. Hey, about the Business Continuity Plan (BCP) & Disaster Recovery Plan(DRP), it is an interesting topic! Since my company has many branches in different locations, we require each office or at least each country to draft a contingency plan. But sometimes , the office is quite small. And for this plan, you require them to set up a contingency plan like what if the office is down, is the office able to set up the business shortly ! Then it seem to give them a big troublesome question!! What do you think ? And of course, they take so long to give you a plan!

    回覆刪除

若以匿名留言,系統有機會將留言視為spam,因此可能要遲一點才能回覆。如閣下的提問涉及升學或工作,請以電郵聯絡。謝謝!