控制活动.docx

1、控制活动第三部分 控制活动45、我工作单位的政策和程序是合理的，一致的。（ A ）A. 同意 B. 不同意 C. 不知道46、我们公司建立有明确财产的定期核查制度和日常管理制度。（ A ）A. 同意 B. 不同意 C. 不知道47、我们单位授权、执行、评估工作相互分离，及不相容职位由不相关人员负责。（ A ）A. 同意 B. 不同意 C. 不知道48、我们单位实行了全面预算管理，各个责任单位预算职责明确。（ A ）A. 同意 B. 不同意 C. 不知道49、我们单位经理层定期对运营情况进行分析，发现的问题及时解决。（ A ）A. 同意 B. 不同意 C. 不知道50、我们单位建立的绩效考核制度

2、合理，能够促进公司员工的工作积极性。（ A ）A. 同意 B. 不同意 C. 不知道51、违反影响组织运行的法律、法规和规章的员工被发现后将承受相应的经济后果。（ A ）A. 同意 B. 不同意 C. 不知道52、我的工作得到适当的监督。（A ）A. 同意 B. 不同意 C. 不知道53、我们不鼓励同事彼此分享计算机密码。(A )A. 同意 B. 不同意 C. 不知道我工作单位的政策和程序是合理的，一致的。我们公司建立有明确财产的定期核查制度和日常管理制度。我们单位授权、执行、评估工作相互分离，及不相容职位由不相关人员负责。我们单位实行了全面预算管理，各个责任单位预算职责明确。我们单位经理层定

3、期对运营情况进行分析，发现的问题及时解决。我们单位建立的绩效考核制度合理，能够促进公司员工的工作积极性。违反影响组织运行的法律、法规和规章的员工被发现后将承受相应的经济后果。我的工作得到适当的监督。我们不鼓励同事彼此分享计算机密码。控制活动是确保管理阶层的指令得以执行的政策及程序。控制活动在企业内的各个阶层和职能之间都会出现。控制活动包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。 1、授权。注册会计师应当了解与授权有关的控制活动，包括一般授权和特别授权。 授权的目的在于保证交易在管理层授权范围内进行。一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。特

4、别授权是指管理层针对特定类别的交易或活动逐一设置的授权，如重大资本支出和股票发行等。特别授权也可能用于超过一般授权限制的常规交易。例如，同意因某些特别原因，对某个不符合一般信用条件的客户赊购商品。 2、业绩评价。注册会计师应当了解与业绩评价有关的控制活动，主要包括被审计单位分析评价实际业绩与预算（或预测、前期业绩）的差异，综合分析财务数据与经营数据的内在关系，将内部数据与外部信息来源相比较，评价职能部门、分支机构或项目活动的业绩（如银行客户信贷经理复核各分行、地区和各种贷款类型的审批和收回），以及对发现的异常差异或关系采取必要的调查与纠正措施。 通过调查非预期的结果和非正常的趋势，管理层可以识

5、别可能影响经营目标实现的情形。管理层对业绩信息的使用（如将这些信息用于经营决策，还是同时用于对财务报告系统报告的非预期结果进行追踪），决定了业绩指标的分析是只用于经营目的，还是同时用于财务报告目的。 3、信息处理。注册会计师应当了解与信息处理有关的控制活动，包括信息技术的一般控制和应用控制。 各种措施被审计单位通常执行各种措施，检查各种类型信息处理环境下的交易的准确性、完整性和授权。信息处理控制可以是人工的、自动化的，或是基于自动流程的人工控制。信息处理控制分为两类，即信息技术的一般控制和应用控制。 信息技术一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行（包括信息

6、的完整性和数据的安全性），支持应用控制作用的有效发挥，通常包括数据中心和网络运行控制，系统软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发及维护控制。例如，程序改变的控制、限制接触程序和数据的控制、与新版应用软件包实施有关的控制等都属于信息系统一般控制。 信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关，通常包括检查数据计算的准确性，审核账户和试算平衡表，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预。 4、实物控制。注册会计师应当了解实物控制，主要包括了解对资产和记录采取适当的安全保护措

7、施，对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对。例如，现金、有价证券和存货的定期盘点控制。实物控制的效果影响资产的安全，从而对财务报表的可靠性及审计产生影响。 5、职责分离。注册会计师应当了解职责分离，主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。当信息技术运用于信息系统时，职责分离可以通过设置安全控制来实现。 编辑本段控制活动的注意点企业在制定控制活动时，尤其要注意以下三点： 必须通过合理授权的方式授权控制是指在开展各项经营活动的过程中，企业最高管理层必须通过合理授权的方式

8、，使各中间管理层和员工以所授权力作为开展工作的依据。管理层在授权时，合理把握授权的“度”至关紧要，建立授权控制时要注意授权的范围、授权的层次与责任。做到既能保证经营决策有效运作、管理制度有效贯彻，又能保证权力制衡得到落实。 预算控制是内部控制的重要方式也是现代企业制度下规范公司治理结构的一项制度保障。全面预算是企业财务管理的重要组成部分，也是对企业经济业务规划的某种授权。科学地编制和执行预算，控制有关经营行动，以合理配置所拥有的经济资源，促进企业经营管理目标的实现。全面预算是一项集体性工作，需要全体员工的相关合作。 会计系统控制企业的会计系统为企业提供成本信息、营运信息、生产信息、库存信息等。

9、因此，企业应加强会计系统控制。会计系统控制主要包括： 建立健全规范和监督制度建立健全内部会计管理规范和监督制度，明确权责，相互制约；统一企业内部会计政策；统一企业内部会计科目；规范会计凭证、账簿和财务报告的处理程序和方法。控制活动指确保管理层的风险反应（管理策略）得以实施的一系列政策和程序。政策和程序政策是决策制定的广义指南，它将战略制定与战略实施相联结。企业通过制定政策来确保公司的各种决策与行动有助于公司使命、目标和战略的实现。程序，有时也称为操作规程。它详细描述完成某一特定任务或工作的一系列或技术。通常用来描述公司行动计划所必须执行的各种活动。通俗地说，政策就是确定应该做什么，流程或程序确

10、定如何去做。例如，证券交易商的一项政策要求对客户的交易活动进行审阅。流程就是审阅本身，包括审阅的时间、谁去审阅、审阅过程中应该关注什么等。对于一些小型企业来说，政策或许是口头的而非书面的，但不管是口头的还是书面的，政策都应该有效、自觉、持之以恒地加以执行。如果机械地执行流程，而不能对政策所指向的环境有一个准确、持续的把握，则流程会形同虚设。控制活动的类型控制活动可以根据其相关的目标分为战略类、经营类、报告类和遵循类。有时，某一特定的控制活动，如经营性控制活动也有助于提高报告的可靠性；报告类的控制活动也会影响到法规的遵循，等等。管理层在确定控制活动时，需要考虑控制活动之间的联系。在某些情况下，一

11、项控制活动可以实现多个风险反应；在另一些情况下，一个风险反应需要多个风险控制活动。一般情况下，控制活动是为了实现风险反应而建立的，但有时风险反应本身就是控制活动。比如，为了使某一特定交易能够适当进行，风险反应本身就是控制活动，即需要职责分离，需要有监管者的批准等。需要注意的是，控制活动是企业实现其目标过程中一个极其重要的组成部分。不能为控制而控制，也不能仅认为应该控制而控制。管理者必须将控制活动与控制目标相结合，控制活动是努力实现目标的一种机制。可以从不同的角度对控制活动进行分类，如预防性的，即在某些交易执行之前就加以控制；查错防弊性的，即及时地审查并控制交易活动等。控制活动将手工控制和计算机

12、控制结合在一起，使信息能够正确采集，授权和审批某项投资决策的日常流程能够建立。比如说，企业的控制活动可以分为：1. 最高管理层的审阅：最高管理层可以将实际执行效果与预算、预测、以前年度同期以及竞争者进行对比，跟踪检查某些活动的效果，衡量其是否达到预定目标，如市场的切入措施、改进后的生产流程、成本控制与削减计划等。2. 直接的职能或活动管理：职能经理或作业经理审阅业绩报告。3. 信息处理：对交易的准确性、完整性以及授权的适当性进行控制，比如客户订单仅当查询相关已批准的客户文档、信用限额后才能接受等。4. 物理控制：保证设备、存货、证券、现金和其他资产实物安全，并定期进行实物核对、账目核对。5.

13、绩效指标：对数据，如经营性或财务性数据进行关联分析，调查原因，并采用相应的纠正措施，即控制活动。例如，绩效指标包括员工的流动性，如果员工流动性过大，某些关键岗位人力不足，预期目标实现的可能性就会变小。6. 职责分离：职责分离的目的在于防止错误与欺诈。例如，交易审批、记录和相关资产的处理职责要分开；批准信用销售的经理不得负责应收账款和现金收入的处理；销售人员不得修改产品的价格政策和佣金比率。控制活动与风险反应衔接风险管理策略选定后，企业管理层确定控制活动以保证这一管理策略能够及时地得以适当地实施。企业的风险管理策略主要有四种：回避、减少、分散和承担，每种管理策略都需要相应的控制活动。风险回避：如

14、某中药制造企业认识到，随着国家对药品质量重视程度的提高，药品质量的任何差错极有可能导致企业失败。为此，公司管理层加强了对药品质量检测环节的管理，并购置了备用检测设备，以避免药品质量方面的风险。为实施这一风险管理策略，公司重新修订了药品检测管理政策与流程，并要求质量控制部负责人每月就质量检测的人员配备、设备维护情况向公司管理层进行汇报。风险减少：如某医院管理层确认其病人的健康状况受到电力供应中断的不利影响。管理层针对这一风险采用的管理策略是安装一个备用发电机。为使发电机在需要时能够正常运行，医院工程部门进行了日常维护，其维护日记由工程部门负责人每月审阅一次。风险共享：如某制造企业认识到工厂长期停

15、工将会影响其生产目标的实现，考虑到公司目前的资本状况、风险承受能力以及购买保险的成本，管理层决定购买最长为六个月的产品损失险。为实现这一管理策略，公司首席风险官（CRO）定期审阅保险单和商定保险条款的遵循情况，并将遵循情况向首席运营官（COO）汇报。风险接受：如某公司管理层确认世界商品价格变化是一种风险，通过对风险发生的可能性、后果以及公司风险承受度的评估，公司决定接受这一风险。公司管理层建立了一项政策，由公司财务部每3个月进行一次正式的风险再评估，并向公司管理委员会提出建议，是否需要采用“套期”风险管理策略。控制活动与风险反应同一控制活动建立的目的是保证风险反应能够适当地实施。对有些目标来说

16、，特别是报告目标，控制活动本身就是风险反应。例如，某企业为保证资产采购和费用处理目标的实现，采用相应的风险管理策略（控制活动）如下：报告目标：完整、准确、有效地记录和处理资产的获取、费用的发生衡量指标：发现的财务报告错误，以人民币计量具体目标：每月财务报表的差错10000元风险：1.供应商发票金额错误可能性：可能后果：较小（500-2000元）2.供应商发票在月末结账前不能取得可能性：基本确定；后果：中等（1000-2500元）3.根据财务报表或发票付款，可能产生重复向供应商付款的错误可能性：可能；后果：较小（500-1000元）风险反应（控制活动）：1.需求部门请购商品和劳务。（略）2.采购

17、部门根据已批准的请购申请编制订购单和采购商品。（略）3.验收部门将所收商品与订购单进行核对。验收人员将货品送交仓库时，应要求其在验收单的副联上签收。4.储存已验收的商品存货。5.编制付款申请单。付款申请单编制部门（一般为负责采购的部门或商务部）应当：确定供应商发票的内容与相关的验收单、订购单一致；确定供应商发票金额计算的准确性；在付款申请单填入应借记的资产或费用账户的名称；由被授权人在付款凭单上签字确认。6.财务部门支付款项。支付金额包括电子支付金额，一人填写，另一人复核，以保证支付金额的填写准确无误。对于大笔或非正常项目的支付（如金额超过50000元以上的），需与订购单、验收单进行核对。7.

18、记录现金、银行存款支出。8.违反上述操作程序的，系统会自动向相关负责人汇报。对信息系统的控制人们经营企业、实现报告与遵循目标，对信息系统的依赖程度日益增加。在这种情况下，对企业重要的信息系统都需要加以控制。信息系统的控制包括两大类：一般控制与应用控制。一般控制包括信息技术管理，信息技术基础架构，安全管理和软件的取得、开发和维护等，它应用于所有的系统。信息技术管理：指导委员会对信息技术活动以及改进措施进行监督、监控和报告。信息技术基础架构：包括系统的定义、获取、安装、配置、整合和维护方面的控制。安全管理：包括逻辑接触控制，如上网、接触数据库和应用层面上的安全密码控制。用户账户和接触授权控制是根据

19、被授权者的工作需要来确定授权的范围。因特网防火墙和虚拟私人网络使未授权者得不到相关的数据，保证了数据的安全。软件的获取、开发与维护：对软件的获取与应用的控制是与已建立的流程整合在一起的，包括文档需求、客户接受测试、压力测试和项目风险评估。与源代码的接触通过代码库来控制。软件开发者应在单独的开发或测试环境中工作，不能接触到生产环境。对系统变化的管理包括：变动申请所必须的授权，变动的审查、审批、记录、测试、变动对其他信息技术要素的影响，压力测试结果以及实施协议等。应用控制侧重于信息采集与处理的完整、准确、授权以及有效性等。它有助于信息在需要时能够及时采集到或能够生成，应用支撑能够获得，接口错误能够

20、迅速发现。应用控制活动包括将输入数据汇总后与总额核对，发现数据是否存在录入错误；设置校验码；对数据的合理性进行测试；逻辑测试等。控制活动缺乏公司层面的控制程序、操作及记录低效率的财务报告和披露的准备流程对分所或分支机构地区的管制无力。目标盈利？内部控制的核心目标为合规目标、财务目标和经营目标内部控制的基本目标是确保单位经营活动的效率性和效果性、资产的安全性、经营信息和财务报告的可靠性。 1.有助于管理层实现其经营方针和目标。内部控制由若干具体政策、制度和程序所组成，它们首先是为了实现管理层的经营方针和目标而设计的。内部控制可以说渗透于一个单位经营活动的各个方面，只要单位内存在经营活动和经营管理

21、的环节，就需要有相应的内部控制。 2.保护单位各项资产的安全和完整，防止资产流失。保护资产一般指对本单位的现金、银行存款和其他货币资金、股票、债券等有价证券、商品、产品以及其他重要实物资产的安全和完整进行保护。 3.保证业务经营信息和财务会计资料的真实性、完整性。对一个单位的管理层来说，要实现其经营方针和目标，需要通过各种形式的报告及时地占有准确的资料和信息，以便作出正确的判断和决策。商业银行内部控制是：商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。我国商业银行内部控制指引规定，商业银行内部控制的目标是： （一）保证

22、国家法律法规、金融监管规章和商业银行内部规章制度的贯彻执行； （二）保证自身发展战略和经营目标的全面实施和充分实现； （三）保证风险管理体系的有效性； （四）保证业务记录、财务信息及其他管理信息的及时、完整和真实。 商业银行应在相关职能和层次上建立并保持内部控制目标。内部控制目标应符合内部控制政策，并体现对持续改进的要求。在建立和评审内部控制目标时，应考虑法律法规、监管要求和其他要求，以及技术、财务、经营和风险相关方等因素，尤其应考虑监管部门的内部控制指标要求。内部控制目标应可测量。有条件时，目标应用指标予以量化。江苏吴江首次上市日1987-03-30交通银行始建于1908年（光绪三十四年），

23、是中国早期四大银行之一，也是中国早期的发钞行之一。1986年7月24日，作为金融改革的试点，国务院批准重新组建交通银行。1987年4月1日，重新组建后的交通银行正式对外营业，成为中国第一家全国性的国有股份制商业银行，现为中国五大国有大型商业银行之一。1986年7月24日为适应中国经济体制改革和发展，作为金融改革的试点，国务院批准重新组建交通银行。 1987年4月1日，重新组建后的交通银行正式对外营业，成为中国第一家全国性的国有股份制商业银行，总行设在上海江西中路200号（原金城银行大楼）；现时，交通银行总行已迁往上海浦东的银城中路188号。 2004年，香港上海汇丰银行投资了近17亿美元，收购

24、了交通银行19.9%股权。 2005年6月23日，在香港联合交易所上市，股票代码港交所：3328。2007年4月25日，交通银行在上海证券交易所发行，每股最后定价7.90人民币。 2007年5月15日上市，股票代码上交所：601328。 2007年8月13日，恒指服务公司宣布交通银行H股为恒生指数成份股(蓝筹股)，在同年9月10日生效。 2007年9月10日，交通银行H股正式成为恒生指数成份股。企业内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。 为了实现这一目标企业内部控制应当贯穿决策、执行和监督全过程，覆盖企业及

25、其所属单位的各种业务和事项，在这方面我们许多企业往往监督措施和力度不够，加强企业内部监督，是我们大多数企业有待完善和提高的地方。 高对内部控制机制建设重要性的认识。一是领导层特别是“一把手”要充分认识到加强内部控制机制建设的重要性，把建立健全内部控制机制当作大事来抓，要积极吸收国外银行先进的管理手段和先进的内控管理理念，要坚持业务开拓、内控监督齐头并进，两手抓两手都要硬，要坚持内控优先，在防范风险的基础上发展业务。二是要加强对员工的思想教育，强化员工的制度观念和内控观念，让他们熟知各自岗位的制度和操作规程，严格按制度和规程来处理每一笔业务，提高他们认真执行内控制度的自觉性，使每位员工成为业务运

26、营过程中实施内部控制的一个节点。（二）建立健全有效的、系统的内部控制机制。内部控制机制作为一种在业务运营中时时监控和每个部门和岗位之间环环相扣、相互制约的动态监督机制，它是以健全的规章制度为基础，以部门内部和岗位自身的自我约束、部门之间和岗位之间的相互牵制和制约、上级对下级的授权控制为内容，以科学监控方法和独立的监督机构进行监督检查评价，以防范各种风险为核心的内部控制制度的总和。因此，要建立健全有效的、系统的内部控制机制，一是完善现有的内部控制制度，使之全面、系统并具有前瞻性，对内部控制制度要实行动态管理，根据不同时期、不同业务发展的需要不断改进和完善，使银行的各项业务自始至终处于内部控制制度

27、的监督和控制下。二是完善岗位的设置和业务操作规程的设计，要明确每一个岗位的职责、权限，同时还要有一定的制约和控制措施，使每个员工、每项业务的办理都处在内控制度的监督和控制之中，尤其是每项业务都必须经过具有相互制约关系的两个或两个以上的控制环节才能办理，防止出现控制真空，产生风险。三是建立权利制约机制。要建立上下级和部门之间的授权授信和审批机制，在上下级之间、部门之间、岗位之间，根据不同的业务类别、职责、权限，设立不同的授权、授信和审批权限，相互制约和控制，强化整体控制能力。（三）完善内控监督检查机制。一是建立具有独立性、权威性的监督检查机构。借鉴国外银行业的经验，在银行总部设立稽核局或内部审计

28、局，在下级机构设置派驻的、垂直管理的独立单位，专司机构内部的监督检查职责，该部门只对银行董事会负责，向董事会汇报银行经营管理中存在的各种问题和风险隐患，督促经营管理者制定整改措施，提高监督检查的独立性和权威性。二建立风险预警监测机制。随着银行也电子化水平的不断提高，利用计算机网络建立健全风险预警监测机制，提高内部控制水平成为可能。要根据银行不同业务的性质、特点和要求，设置不同的科学的风险预警监测指标，通过收集业务部门真实、完整、准确、全面的数据资料，采取非现场监督监测和定量和定性分析相结合的形式，对业务经营中金融风险状况进行综合分析和判断，向董事会反映银行在资金的流动性、安全性和内部控制以及经

29、营管理中发现的问题和和风险隐患，为预防和处置资金风险提供参考依据。（四）建立内部控制评价体系。内部控制机制建设是一个持续改进的过程，在这个过程中，内控监督评价发挥着重要的作用。内部控制机制评价应包括以下三个方面：一是内控环境的评价，是指内控执行人员的价值观和道德观是否完整可靠；内控激励约束机制的建设及作用程度是否达到预期目的；内控人员的内控能力是否与其责任相匹配；内控用人机制是否健全有效；监督层对内控是否给予了充分的关注等。二是内控风险识别的评价，是指内控管理的总体目标和分项目标是否明确，二者的关联程度如何，管理层为确保整体目标实现的参与情况和承担责任是否清晰、明确；是否建立了对内部和外部内控

30、风险预测和识别机制，即内控风险预测是否透彻和恰当，内控风险评价概率和频率依据是否准确可靠，是否建立了内控风险的预测和识别的反应机制。三是内控活动的有效性的评价，是指执行部门是否都设有恰当的风险监控活动；内部风险控制活动是否保证内控指令得到全面的执行；通过内控活动的实施是否及时有效地化解相关风险。四是内控信息及时反馈的评价，是指是否建立了各种有效的内控信息交流反馈系统，即岗位员工通过内控责任的履行，发现可疑和不轨行为是否及时将信息传递给管理层，管理层是否将内控信息以一定方式及时转达给有关人员有效履行其内控职责，达到内控的预期效果；内控信息的上传下达和横向交流手段与方式是否切实可行、及时有效等 添加评论