控制活动
59
公司通过建立控制矩阵进行差异分析,查找现有控制的差距和不足,然后补充和完
善现有控制措施,以达到防范风险的目的;同时,为进一步补充、修订制度提供依据。
控制矩阵(RCD)用于确认、记录每个流程及每个步骤中存在的风险和已建立的控
制,并与相应的制度和控制实施证据相对应。控制矩阵的控制重点强调:与财务会计报
表和附注的真实性、准确性有关的控制,防止舞弊、欺诈行为的控制以及资产安全的控
制。
具体的执行步骤是:
1)建立控制矩阵编制规范。
为了统一和规范控制矩阵的编制,公司制定“控制矩阵编制规范”,明确控制矩阵
中各项目的描述要求。
2)建立业务流程的控制矩阵。
内控小组组织相关部门对业务流程上的风险和控制进行描述,形成控制矩阵,并由
有关业务主管部门的相关人员确认,以保证控制矩阵中描述的内容能够反映实际业务执
行情况。
3)分析查找差距,补充和完善现有控制措施。
内控小组组织相关部门对控制矩阵进行分析,查找现有控制措施的缺失和不足,由
相关部门进行整改,并补充、修订相关制度。
6.1.2.2 确认关键控制
关键控制,是在相关流程中影响力和控制力相对较强的一项或多项控制,其控制作
用是必不可少和不可替代的。如果缺少该项控制,将在很大程度上直接导致财务风险的
产生。
公司确认关键控制的目的是:将确认的关键控制作为控制活动的重点,对其实行全
面、严格的管理,以防范重要风险。关键控制也为公司管理层测试内部控制体系的完整
性和有效性提供统一的范围和标准;同时将其作为公司提供的内部测试基础性资料,以
满足外部审计师评估、测试公司内部控制体系的完整性和有效性。因此,建立关键控制
能够有重点地实施控制措施,达到更有效的控制目的。
确认关键控制的步骤为:
1)在确认重要风险和关键控制目标的基础上确认关键控制。
公司成立工作小组,在开展风险控制分析并编写控制矩阵(RCD)的基础上,寻找
影响公司目标实现的重要风险,并针对这些重要风险,确认关键控制。关键控制是指在
相关流程中影响力和控制力相对较强的一项或多项控制,其控制作用是必不可少和不可
替代的。
2)建立 “关键控制文档”。
在确认关键控制的基础上,建立 “关键控制文档”。
3)关键控制的审定、审批和执行。
组织公司相关部门的负责人、外部内控专家对初步确认的关键控制进行审定,最终
确认公司的关键控制,报公司总经理办公会审批后执行。
6.1.2.3 制定控制实施细则
公司在建立控制矩阵的基础上,建立与控制相对应的实施细则和与控制相关的、有
示范意义的标准控制证据。公司建立的实施细则是公司对重要业务流程中的风险和控制,
进行统一描述的规范性文件。
6.1.2.4 根据变化的内外部环境调整控制措施,并完善相应的制度文件
随着公司经营活动外部环境和内部管理的变化,风险评估的结果也会不断更新,控
制活动也将随之发生变化。因此,内控小组每年定期组织相关部门对新增或变动的风险
进行以下判断:是否有新增的控制活动;已有的控制活动是否有变化;这些控制活动中
哪些是关键控制。然后将这些新增或变化后的控制活动记录在控制矩阵中,并根据识别