控制活动包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。
1、授权。注册会计师应当了解与授权有关的控制活动,包括一般授权和特别授权。
授权的目的在于保证交易在管理层授权范围内进行。一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。特别授权是指管理层针对特定类别的交易或活动逐一设置的授权,如重大资本支出和股票发行等。特别授权也可能用于超过一般授权限制的常规交易。例如,同意因某些特别原因,对某个不符合一般信用条件的客户赊购商品。
2、业绩评价。注册会计师应当了解与业绩评价有关的控制活动,主要包括被审计单位分析评价实际业绩与预算(或预测、前期业绩)的差异,综合分析财务数据与经营数据的内在关系,将内部数据与外部信息来源相比较,评价职能部门、分支机构或项目活动的业绩(如银行客户信贷经理复核各分行、地区和各种贷款类型的审批和收回),以及对发现的异常差异或关系采取必要的调查与纠正措施。
通过调查非预期的结果和非正常的趋势,管理层可以识别可能影响经营目标实现的情形。管理层对业绩信息的使用(如将这些信息用于经营决策,还是同时用于对财务报告系统报告的非预期结果进行追踪),决定了业绩指标的分析是只用于经营目的,还是同时用于财务报告目的。
3、信息处理。注册会计师应当了解与信息处理有关的控制活动,包括信息技术的一般控制和应用控制。
各种措施被审计单位通常执行各种措施,检查各种类型信息处理环境下的交易的准确性、完整性和授权。信息处理控制可以是人工的、自动化的,或是基于自动流程的人工控制。信息处理控制分为两类,即信息技术的一般控制和应用控制。
信息技术一般控制是指与多个应用系统有关的政策和程序,有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性),支持应用控制作用的有效发挥,通常包括数据中心和网络运行控制,系统软件的购置、修改及维护控制,接触或访问权限控制,应用系统的购置、开发及维护控制。例如,程序改变的控制、限制接触程序和数据的控制、与新版应用软件包实施有关的控制等都属于信息系统一般控制。
信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序,与用于生成、记录、处理、报告交易或其他财务数据的程序相关,通常包括检查数据计算的准确性,审核账户和试算平衡表,设置对输入数据和数字序号的自动检查,以及对例外报告进行人工干预。
4、实物控制。注册会计师应当了解实物控制,主要包括了解对资产和记录采取适当的安全保护措施,对访问计算机程序和数据文件设置授权,以及定期盘点并将盘点记录与会计记录相核对。例如,现金、有价证券和存货的定期盘点控制。实物控制的效果影响资产的安全,从而对财务报表的可靠性及审计产生影响。
5、职责分离。注册会计师应当了解职责分离,主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工,以防范同一员工在履行多项职责时可能发生的舞弊或错误。当信息技术运用于信息系统时,职责分离可以通过设置安全控制来实现。
