一、控制活动的分类
按照不同的标志可以组合成不同的集合,也即按照不同分类标准可以划分为不同的类别形态,借此可以揭示不同形式内部控制的特征和功能。内部控制的组合方式或者分类形式,除了按照控制目标为标志划分为会计控制和管理控制,还可按照其他标志组合为下列类别。
(一)按照控制内容为标志可划分为一般控制和应用控制
1.一般控制。
一般控制,是指对企业经营活动赖以进行的内部环境所实施的总体控制,因而亦称基础控制或环境控制。它包括组织控制、人员控制、业务记录以及内部审计等项内容。这类控制的特征是,并不直接作用于企业的生产经营活动,而是通过应用控制对全部业务活动产生影响。
2.应用控制。
应用控制,是指直接作用于企业生产经营业务活动的具体控制,因此亦称业务控制,如业务处理程序中的批准与授权、审核与复核,以及为保证资产安全而采用的限制接近等项控制。这类控制的特征,在于它们构成了生产经营业务处理程序的一部分,并都具有防止和纠正一种或几种错弊的作用。
(二)按照控制功能为标志可划分为预防性控制和发现性控制
1.预防性控制。
预防性控制,是指为防止错误和非法行为的发生,或尽量减少其发生机会所进行的一种控制。它主要解决“如何能够在一开始就防止错弊的发生”这个问题。
2.发现性控制。
发现性控制,是指为及时查明已发生的错误和非法行为或增强发现错弊机会的能力所进行的各项控制。它主要是解决“如果错弊仍然发生,如何查明”的问题。
(三)按照控制手段为标志可划分为人工的控制和自动的控制
1.人工的控制,包括以人工方式执行而不是计算机系统进行的内控。
2.自动的控制,包括由计算机执行的内控程序。
二、控制目标和要求
控制目标,既是管理经济活动的基本要求,又是实施内部控制的最终目的,也是评价内部控制的最高标准。企业经营管理中内部控制的目标分为以下三个方面:运行的效率和效果;财务报表的可靠性;法律法规的遵循性。
在业务操作和信息处理过程中,内部控制的控制目标可以分为完整性控制(C)、准确性控制(A)、有效性控制(V)、接触限制(R)四种类型。
1.完整性控制(C):所有入账交易均被系统接受,系统拒绝重复入账,被拒绝的所有交易均得到处理和解决。
2.准确性控制(A):所有交易都被正确地记录下来,包括金额、会计科目的准确性和会计期间的准确性(即及时性)。
3.有效性控制(V):交易经授权,包括常规数据的改动。交易是真实的,并与业务相关,包括常规数据文件。
4.接触限制(R):系统禁止未经授权的数据修改。数据的保密性得到确保。公司资产受到保护,以防盗用和滥用。职责分工得到确保。
在理解企业内部控制活动的目标以及执行控制活动本身时,还应考虑企业本身的个体差异。由于每个企业都有自己的一套目标和实施战略,因此,在目标结构和相关的控制活动方面将是不同的。即使两个企业具有相同的目标和结构,但它们的控制活动也会大相径庭。每个企业都由在实施内部控制中采用个人判断的不同的人来经营。此外,控制也反映出企业经营所处的环境和产业,以及企业组织的复杂性、企业的历史和企业的文化。
企业的复杂性以及其活动的性质和范围影响企业的控制活动。存在多样化活动的复杂企业要比活动差异不大的简单企业可能面临更困难的控制问题。
三、建立风险控制文档
确认、记录每个流程与每个步骤中存在的风险和已建立的控制。重点强调与财务报表和附注的真实性、准确性有关的控制,防止舞弊、欺诈行为的控制,资产安全的控制。通过建立风险控制文档(RCD)来查找现有控制的差距和不足,进行差异分析,补充和完善现有的控制措施,以达到防范风险的目的。
四、风险控制文档举例
下面以企业固定资产的折旧、计提减值准备为例来说明风险控制文档的编制。具体见附录四。