选定了风险应对之后,管理当局就要确定用来帮助确保这些风险应对得以恰当和及时地实施所需的控制活动。
目标、风险应对和控制活动的关联可以通过下面的例子展示出来:一家公司设定的一项目标是达到或超过销售任务,并将不能获取对现在和潜在的客户需求之类的外部因素的充分了解识别为一种风险。为了降低这种风险发生的可能性和影响,管理当局建立了现有客户的购买历史记录,并开展了新的市场调研活动。这些风险应对作为确定控制活动的焦点,控制活动包括根据既定的时间表跟踪客户购买历史记录发展的进展,以及采取措施确保报告数据的准确性。从这种意义上讲,控制活动直接建立在管理过程之中。
在选择控制活动的过程中,管理当局要考虑控制活动是如何彼此关联的。在一些情况下,一项单独的控制活动可以实现多项风险应对。在另一些情况下,一项风险应对则需要多项控制活动。更有另一些情况,管理当局可能会发现现有的控制活动足以确保新的风险应对得以有效执行。尽管控制活动一般是用来确保风险应对得以恰当实施的,但是对于特定的目标而言,控制活动本身就是风险应对。例如,对于一项确保特定的交易被恰当授权的目标而言,应对可能就是类似职责分离和由监督人员审批等控制活动。就像对风险应对的选择要考虑它们的恰当性和残留的或剩余的风险一样,对控制活动的选择或评审应该包含对它们与风险应对和相关目标的相关性和恰当性的考虑。这可以通过单独考虑控制活动的适当性来完成,也可以通过在风险应对和相关控制活动两者的背景下考虑剩余风险来完成。
控制活动是企业致力于实现其经营目标过程的一个重要部分。控制活动的实施并不仅仅是出于它们自身的缘故,也不仅仅是因为它看起来好像是要做的“正确的或恰当的”事情,控制活动实际上就是一种保证目标实现的管理机制。
