在国外,COSO内部控制报告:控制活动指为确保管理层指示得以执行的政策和程序。它们有助于保证采取必要措施来管理风险以实现企业目标。
[美]COSO制定发布、方红星和王宏译的《企业风险管理—整合框架》:控制活动是帮助确保管理当局的风险应对得以实施的政策和程序,后者是指人们直接或通过对技术的应用来执行政策的行动。
巴塞尔委员会《银行组织内部控制系统框架》:控制活动是为了合理地保证经营管理目标的实现,指导员工实施管理指令,管理和化解风险而采取的政策和程序。
在国内,《证券公司内部控制指引》:控制活动与措施是保证实现证券公司战略目标和经营目标的政策、程序,以及防范、化解风险的措施。
《上海证券交易所上市公司内部控制指引》:控制活动,指为确保风险管理策略有效执行而制定的制度和程序。
《深圳证券交易所上市公司内部控制指引》:控制活动是公司管理层为确保风险对策有效执行和落实所采取的措施和程序。
《内部审计具体准则第 5 号——内部控制审计》:所谓控制活动,是指企业管理部门为了保证既定目标得以顺利实现而制定并执行的各项控制政策和程序。这些政策和程序是针对企业在实现其既定目标过程中可能遭遇到的风险所建立的各种必要的防范措施。
《中国注册会计师审计准则第1211号--了解被审计单位及其环境并评估重大错报风险》:控制活动是指有助于确保管理层的指令得以执行的政策和程序。
纵观以上国外内内部控制规范关于控制活动的定义,COSO内部控制报告、COS风险管理框架》、巴塞尔委员会《银行组织内部控制系统框架》以及我国的《证券公司内部控制指引》、《上海证券交易所上市公司内部控制指引》、《内部审计具体准则第 5 号——内部控制审计》、《中国注册会计师审计准则第1211号--了解被审计单位及其环境并评估重大错报风险》等规范都将控制活动定义为政策和程序,《深圳证券交易所上市公司内部控制指引》将控制活动定义为措施和程序,《企业内部控制基本规范》(征求意见)将控制活动直接改为控制措施,并定义为控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。最后发布的《企业内部控制基本规范》中又将控制措施改为控制活动,并定义为控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。即,控制活动是企业根据风险评估情况综合采取的具体控制措施。由此看来,国外内内部控制规范关于控制活动的定义是从政策和程序到控制措施的过程。