控制活動指確保管理層的風險反應（管理策略）得以實施的一系列政策和程序。

　　政策和程序

　　政策是決策制定的廣義指南，它將戰略制定與戰略實施相聯結。企業通過制定政策來確保公司的各種決策與行動有助于公司使命、目標和戰略的實現。程序，有時也稱為操作規程。它詳細描述完成某一特定任務或工作的一系列或技術。通常用來描述公司行動計劃所必須執行的各種活動。

　　通俗地說，政策就是確定應該做什么，流程或程序確定如何去做。例如，證券交易商的一項政策要求對客戶的交易活動進行審閱。流程就是審閱本身，包括審閱的時間、誰去審閱、審閱過程中應該關注什么等。

　　對于一些小型企業來說，政策或許是口頭的而非書面的，但不管是口頭的還是書面的，政策都應該有效、自覺、持之以恒地加以執行。如果機械地執行流程，而不能對政策所指向的環境有一個準確、持續的把握，則流程會形同虛設。

　　控制活動的類型

　　控制活動可以根據其相關的目標分為戰略類、經營類、報告類和遵循類。有時，某一特定的控制活動，如經營性控制活動也有助于提高報告的可靠性；報告類的控制活動也會影響到法規的遵循，等等。

　　管理層在確定控制活動時，需要考慮控制活動之間的聯系。在某些情況下，一項控制活動可以實現多個風險反應；在另一些情況下，一個風險反應需要多個風險控制活動。一般情況下，控制活動是為了實現風險反應而建立的，但有時風險反應本身就是控制活動。比如，為了使某一特定交易能夠適當進行，風險反應本身就是控制活動，即需要職責分離，需要有監管者的批準等。

　　需要注意的是，控制活動是企業實現其目標過程中一個極其重要的組成部分。不能為控制而控制，也不能僅認為應該控制而控制。管理者必須將控制活動與控制目標相結合，控制活動是努力實現目標的一種機制。

　　可以從不同的角度對控制活動進行分類，如預防性的，即在某些交易執行之前就加以控制；查錯防弊性的，即及時地審查并控制交易活動等。控制活動將手工控制和計算機控制結合在一起，使信息能夠正確采集，授權和審批某項投資決策的日常流程能夠建立。比如說，企業的控制活動可以分為：

　　1. 最高管理層的審閱：最高管理層可以將實際執行效果與預算、預測、以前年度同期以及競爭者進行對比，跟蹤檢查某些活動的效果，衡量其是否達到預定目標，如市場的切入措施、改進后的生產流程、成本控制與削減計劃等。

　　2. 直接的職能或活動管理：職能經理或作業經理審閱業績報告。

　　3. 信息處理：對交易的準確性、完整性以及授權的適當性進行控制，比如客戶訂單僅當查詢相關已批準的客戶文檔、信用限額后才能接受等。

　　4. 物理控制：保證設備、存貨、證券、現金和其他資產實物安全，并定期進行實物核對、賬目核對。

　　5. 績效指標：對數據，如經營性或財務性數據進行關聯分析，調查原因，并采用相應的糾正措施，即控制活動。例如，績效指標包括員工的流動性，如果員工流動性過大，某些關鍵崗位人力不足，預期目標實現的可能性就會變小。

　　6. 職責分離：職責分離的目的在于防止錯誤與欺詐。例如，交易審批、記錄和相關資產的處理職責要分開；批準信用銷售的經理不得負責應收賬款和現金收入的處理；銷售人員不得修改產品的價格政策和傭金比率。

　　控制活動與風險反應銜接

　　風險管理策略選定后，企業管理層確定控制活動以保證這一管理策略能夠及時地得以適當地實施。企業的風險管理策略主要有四種：回避、減少、分散和承擔，每種管理策略都需要相應的控制活動。

　　風險回避：如某中藥制造企業認識到，隨著國家對藥品質量重視程度的提高，藥品質量的任何差錯極有可能導致企業失敗。為此，公司管理層加強了對藥品質量檢測環節的管理，并購置了備用檢測設備，以避免藥品質量方面的風險。為實施這一風險管理策略，公司重新修訂了藥品檢測管理政策與流程，并要求質量控制部負責人每月就質量檢測的人員配備、設備維護情況向公司管理層進行匯報。

　　風險減少：如某醫院管理層確認其病人的健康狀況受到電力供應中斷的不利影響。管理層針對這一風險采用的管理策略是安裝一個備用發電機。為使發電機在需要時能夠正常運行，醫院工程部門進行了日常維護，其維護日記由工程部門負責人每月審閱一次。

　　風險共享：如某制造企業認識到工廠長期停工將會影響其生產目標的實現，考慮到公司目前的資本狀況、風險承受能力以及購買保險的成本，管理層決定購買最長為六個月的產品損失險。為實現這一管理策略，公司首席風險官（CRO）定期審閱保險單和商定保險條款的遵循情況，并將遵循情況向首席運營官（COO）匯報。

　　風險接受：如某公司管理層確認世界商品價格變化是一種風險，通過對風險發生的可能性、后果以及公司風險承受度的評估，公司決定接受這一風險。公司管理層建立了一項政策，由公司財務部每3個月進行一次正式的風險再評估，并向公司管理委員會提出建議，是否需要采用“套期”風險管理策略。

　　控制活動與風險反應同一

　　控制活動建立的目的是保證風險反應能夠適當地實施。對有些目標來說，特別是報告目標，控制活動本身就是風險反應。

　　例如，某企業為保證資產采購和費用處理目標的實現，采用相應的風險管理策略（控制活動）如下：

　　報告目標：完整、準確、有效地記錄和處理資產的獲取、費用的發生

　　衡量指標：發現的財務報告錯誤，以人民幣計量

　　具體目標：每月財務報表的差錯＜10000元

　　風險：

　　1.供應商發票金額錯誤

　　可能性：可能

　　后果：較小（500-2000元）

　　2.供應商發票在月末結賬前不能取得

　　可能性：基本確定；

　　后果：中等（1000-2500元）

　　3.根據財務報表或發票付款，可能產生重復向供應商付款的錯誤

　　可能性：可能；

　　后果：較小（500-1000元）

　　風險反應（控制活動）：

　　1.需求部門請購商品和勞務。（略）

　　2.采購部門根據已批準的請購申請編制訂購單和采購商品。（略）

　　3.驗收部門將所收商品與訂購單進行核對。驗收人員將貨品送交倉庫時，應要求其在驗收單的副聯上簽收。

　　4.儲存已驗收的商品存貨。

　　5.編制付款申請單。付款申請單編制部門（一般為負責采購的部門或商務部）應當：

　　確定供應商發票的內容與相關的驗收單、訂購單一致；

　　確定供應商發票金額計算的準確性；

　　在付款申請單填入應借記的資產或費用賬戶的名稱；

　　由被授權人在付款憑單上簽字確認。

　　6.財務部門支付款項。支付金額包括電子支付金額，一人填寫，另一人復核，以保證支付金額的填寫準確無誤。對于大筆或非正常項目的支付（如金額超過50000元以上的），需與訂購單、驗收單進行核對。

　　7.記錄現金、銀行存款支出。

　　8.違反上述操作程序的，系統會自動向相關負責人匯報。

　　對信息系統的控制

　　人們經營企業、實現報告與遵循目標，對信息系統的依賴程度日益增加。在這種情況下，對企業重要的信息系統都需要加以控制。

　　信息系統的控制包括兩大類：一般控制與應用控制。一般控制包括信息技術管理，信息技術基礎架構，安全管理和軟件的取得、開發和維護等，它應用于所有的系統。

　　信息技術管理：指導委員會對信息技術活動以及改進措施進行監督、監控和報告。

　　信息技術基礎架構：包括系統的定義、獲取、安裝、配置、整合和維護方面的控制。

　　安全管理：包括邏輯接觸控制，如上網、接觸數據庫和應用層面上的安全密碼控制。用戶賬戶和接觸授權控制是根據被授權者的工作需要來確定授權的范圍。因特網防火墻和虛擬私人網絡使未授權者得不到相關的數據，保證了數據的安全。

　　軟件的獲取、開發與維護：對軟件的獲取與應用的控制是與已建立的流程整合在一起的，包括文檔需求、客戶接受測試、壓力測試和項目風險評估。與源代碼的接觸通過代碼庫來控制。軟件開發者應在單獨的開發或測試環境中工作，不能接觸到生產環境。對系統變化的管理包括：變動申請所必須的授權，變動的審查、審批、記錄、測試、變動對其他信息技術要素的影響，壓力測試結果以及實施協議等。

　　應用控制側重于信息采集與處理的完整、準確、授權以及有效性等。它有助于信息在需要時能夠及時采集到或能夠生成，應用支撐能夠獲得，接口錯誤能夠迅速發現。應用控制活動包括將輸入數據匯總后與總額核對，發現數據是否存在錄入錯誤；設置校驗碼；對數據的合理性進行測試；邏輯測試等。