华南俳烁实业有限公司

　　知識點：控制類型的劃分

　　控制按適用范圍，可以劃分為：

　　-組織層面的控制(entity-level control)：適用于整個組織，其設計不僅能確保組織目標實現(xiàn)，而且能夠減輕組織整體風險。

　　組織層面的控制又可分為兩種類型：

　　治理控制，治理控制建立控制文化、闡明組織愿景和適用組織范圍的政策和程序。比如建立組織文化并明確期望——審計委員會監(jiān)督控制、與董事會溝通、高級管理層對財務報告風險的偏好和態(tài)度;建立指導組織風險管理的政策和程序——道德規(guī)范、合規(guī)政策、IT政策和管理程序等。

　　管理控制，這些控制是建立在業(yè)務單元或生產(chǎn)線管理層級，以保證業(yè)務目標實現(xiàn)和減輕業(yè)務風險，比如風險委員會、階段性控制、IT綜合控制。

　　-流程層面的控制(process-level control)：是由流程的所有者建立的控制，以確保目標和過程得以完成，了解流程中的風險并設法解決。包括監(jiān)督，監(jiān)控、問責、流程風險評估、業(yè)績評價、重要賬戶核對、存貨盤點等。

　　-交易層面的控制(transaction-level control)：主要是針對特定的交易事項，以確保交易目標實現(xiàn)和交易中的特定風險得以識別。如書面文件要求、權(quán)力或職責的分離和IT應用控制(輸入、輸出等)。

　　控制按其重要性，分為：

　　-首要控制：是指控制有效運行使顯著風險降低到可接受水平。

　　-次要控制：能幫助流程運轉(zhuǎn)順暢但不是至關(guān)重要的。

　　首要控制是指如果這些控制遺漏，將會導致目標和預期結(jié)果難以實現(xiàn)。次要控制的存在，既可以緩解非重大風險，也可以作為關(guān)鍵控制之后的補充控制。識別首要控制可以確保管理監(jiān)督和控制測試及其他程序有效，不必浪費時間和資源，而是將時間和資源集中在關(guān)鍵風險和實現(xiàn)組織目標上。組織層面、流程層面、交易層面的每一重大風險在組織風險評估過程中都得以識別，都有首要控制與之對應。次要控制則在此控制系統(tǒng)中是備份補充控制。

　　控制按其功能進行分類，大體可分為以下幾類：

　　-預防型控制是為了防止錯誤和舞弊的發(fā)生而采取的控制。例如，對被審計單位的信用進行審核、采用招標方式選擇供應商、職責分離、運用檢査單、將任務分配給具有勝任能力的員工、使用密碼、授權(quán)程序等，都屬于預防型控制。

　　-發(fā)現(xiàn)型控制，也稱檢査型控制，是為了發(fā)現(xiàn)已出現(xiàn)的不利事項而進行的控制。它可以為管理層提供有關(guān)預防型控制有效性的反饋信息。例如，檢查和比較、核對銀行對賬單、實物清點、對賬等都屬于檢査型控制。

　　指導型控制是為了確保實現(xiàn)有利結(jié)果而采取的控制。各種政策、指南和手冊等都屬于指導型控制。例如，要求內(nèi)部審計部門的所有員工都具有注冊內(nèi)部審計師資格、為管理層提供實現(xiàn)最低毛利率的合理保證、要求保證一定的員工出勤率。

　　糾正型控制是為了糾正已發(fā)生的不利事項而采取的控制措施。它們糾正已檢査出來的和已報告的差錯。糾正程序、控制和例外報告都屬于糾正型控制。

　　-補償性控制是針對某些環(huán)節(jié)的不足或缺陷而采取的控制措施。例如在小型企業(yè)中，由于人員有限，部分不相容職責不能很好地分離，則可以采用加強監(jiān)督的方式進行補償性控制。

　　-過度控制指冗余或備份替代的控制重復控制目標，或次要控制在首要控制失效的時候仍在運行。如油箱因有毒物質(zhì)而停用，但防止油箱滲漏的控制仍在使用。

　　控制按其能動性，可分為：

　　主動/人工控制：通過人為的批準程序防止和發(fā)現(xiàn)偏離控制的情形，可以把這種控制看作是人為的有意識的介入，如經(jīng)理審查批準交易。

　　被動/自動控制：沒有人員的干預，計算機自動控制——控制被嵌入計算機系統(tǒng)、關(guān)系或流程從而達到控制效果。如恒溫調(diào)節(jié)器保持室內(nèi)溫度，其自行運轉(zhuǎn)發(fā)揮效用。

　　信息系統(tǒng)控制包括一般控制和應用控制。

　　一般控制，包括數(shù)據(jù)中心操作控制、系統(tǒng)軟件控制、存取安全控制和應用系統(tǒng)開發(fā)和維護控制;

　　應用控制旨在對應用處理進行控制。許多應用控制依賴于計算機化的編輯校驗，這些校驗包括數(shù)據(jù)的格式、存在性及合理性等，恰當設計的校驗有助于確保交易處理的完整性、準確性以及授權(quán)和有效性。

　　應用控制按照功能又可分為輸入控制、過程控制和輸出控制。

　　-輸入控制：當數(shù)據(jù)手動或自動輸入系統(tǒng)時，核對數(shù)據(jù)的完整性，主要是為了防止或發(fā)現(xiàn)將不正確或不完整的數(shù)據(jù)輸入計算機而采取的控制，如總量控制以核實正確的記錄數(shù)據(jù)已傳輸;

　　過程控制：檢查數(shù)據(jù)處理任務的正確、完整和有效，如不同時點的總量控制;

　　輸出控制：核實數(shù)據(jù)輸出的正確、完整和有效，如將數(shù)據(jù)傳輸給預定的接受者，而不是其他人員或系統(tǒng)。

　　控制按照屬性特征，分為“硬控制”和“軟控制”。

　　-“硬控制”：這些控制具有科學嚴謹性，往往是可量化的和客觀的，通常指傳統(tǒng)審計測試用于合規(guī)性檢查。如審查會議時間或執(zhí)行每月預算與實際的比較分析。

　　-“軟控制”：這種控制傾向于定性和主觀，深受組織文化影響，屬精神和態(tài)度因素。

　　內(nèi)部審計在評估控制的效率和效果的時候僅關(guān)注硬控制是不完整的，為評估控制和為高級管理層及董事會提供合理保證，內(nèi)部審計必須關(guān)注對組織影響深遠的、主觀的“軟控制”。