一、控製活動概述

（一）控製活動的含義

我們知道，COSO報告主要論述了企業建立內部控製體係所需要考慮的不同方麵，其中控製活動是其核心部分。對於控製活動，COSO報告中認為，它是確保管理層指令得到貫徹執行的公司的政策和程序。它有助於確保采取必要的行動進行風險管理和保證企業總體目標的實現，也就是說，企業針對風險應采取必要的措施，以實現公司的目標。基於與其有關的企業目標的性質，控製活動可以分為三個類型：經營、財務報告和合規性。

雖然有些控製活動隻與一個方麵有關，但相互關係是重疊的。依情況而定，三類控製活動中的某一控製活動可能比其他任何一種都更能有助於滿足實現企業目標的要求。因此，經營控製活動可能有助於保證可靠的財務報告；財務報告控製活動能有助於實施合規性等。

控製活動通常包括兩個要素：第一個要素是政策，它描述應該做什麼，同時又是第二個要素的基礎；第二個要素是程序，它描述應該怎樣做。在許多情況下，政策往往通過口頭傳達。在政策是長期存在並受到充分理解的前提下，以及在那些溝通渠道僅為有限的管理層級但是有密切的人員往來和監督的小公司，不成文的政策也能得到有效的執行。但是，無論政策是成文的還是不成文的，都必須全麵地、認真地和始終如一地貫徹執行。如果是機械地執行程序而不持續關注政策所指引的條件，程序就將是無用的。而且，應對由於執行程序而明確的條件進行調查並采取合理的整改措施，這一點也非常重要。根據企業的規模和組織結構，跟進行動可能會有所不同。

（二）控製活動與風險評估活動相結合

在評估風險的同時，管理層應明確並實施應對風險所采取的行動。在應對風險時明確的行動也有助於使關注的焦點放在要實施的控製活動上，從而保證正確及時地貫徹執行這些控製活動。

控製活動是企業努力實現其經營目標所采用的流程的一部分。控製活動並不是為了其本身，或是由於進行控製活動似乎是“正確的或合適的”。從企業本身的角度來講，控製直接融入到管理流程中。

二、經營活動分析

控製活動存在於公司的各個層次和各個職能部門。控製活動一般包括：批準、授權、核實、調節、經營活動分析、資產安全性以及職責分工等方麵。同時，COSO報告認為，控製活動又分為公司層麵的控製和業務層麵的控製。在公司層麵的控製中，經營活動分析是最重要的一種控製。

《薩班斯-奧克斯利法案》關注的經濟活動分析側重於財務情況分析，即階段性經營成果和影響成果的因素分析。重點對財務報表中影響利潤指標的價格因素、銷量因素、成本因素及其他費用的變化進行分析，同時對財務報表的真實性進行核實等等。