2015国际内审师《内部审计基础》知识点：控制类型的划分

　　2015年国际内部审计师考试备战已经开始，为了帮助学员们提前备考，正保会计网校教学专家整理了2015年国际内部审计师考试《内部审计基础》知识点供大家参考，希望对广大考生有所帮助，祝大家梦想成真！

　　控制类型的划分

　　控制按适用范围，可以划分为：

　　- 组织层面的控制（entity-level control）：适用于整个组织，其设计不仅能确保组织目标实现，而且能够减轻组织整体风险。

　　组织层面的控制又可分为两种类型：

　　* 治理控制，治理控制建立控制文化、阐明组织愿景和适用组织范围的政策和程序。比如建立组织文化并明确期望——审计委员会监督控制、与董事会沟通、高级管理层对财务报告风险的偏好和态度；建立指导组织风险管理的政策和程序——道德规范、合规政策、IT政策和管理程序等。

　　* 管理控制，这些控制是建立在业务单元或生产线管理层级，以保证业务目标实现和减轻业务风险，比如风险委员会、阶段性控制、IT综合控制。

　　- 流程层面的控制（process-level control）：是由流程的所有者建立的控制，以确保目标和过程得以完成，了解流程中的风险并设法解决。包括监督，监控、问责、流程风险评估、业绩评价、重要账户核对、存货盘点等。

　　- 交易层面的控制（transaction-level control）：主要是针对特定的交易事项，以确保交易目标实现和交易中的特定风险得以识别。如书面文件要求、权力或职责的分离和IT应用控制（输入、输出等）。

　　控制按其重要性，分为：

　　- 首要控制：是指控制有效运行使显著风险降低到可接受水平。

　　- 次要控制：能帮助流程运转顺畅但不是至关重要的。

　　首要控制是指如果这些控制遗漏，将会导致目标和预期结果难以实现。次要控制的存在，既可以缓解非重大风险，也可以作为关键控制之后的补充控制。识别首要控制可以确保管理监督和控制测试及其他程序有效，不必浪费时间和资源，而是将时间和资源集中在关键风险和实现组织目标上。组织层面、流程层面、交易层面的每一重大风险在组织风险评估过程中都得以识别，都有首要控制与之对应。次要控制则在此控制系统中是备份补充控制。

　　控制按其功能进行分类，大体可分为以下几类：

　　- 预防型控制是为了防止错误和舞弊的发生而采取的控制。例如，对被审计单位的信用进行审核、采用招标方式选择供应商、职责分离、运用检查单、将任务分配给具有胜任能力的员工、使用密码、授权程序等，都属于预防型控制。

　　- 发现型控制，也称检查型控制，是为了发现已出现的不利事项而进行的控制。它可以为管理层提供有关预防型控制有效性的反馈信息。例如，检查和比较、核对银行对账单、实物清点、对账等都属于检查型控制。

　　- 指导型控制是为了确保实现有利结果而采取的控制。各种政策、指南和手册等都属于指导型控制。例如，要求内部审计部门的所有员工都具有注册内部审计师资格、为管理层提供实现至低毛利率的合理保证、要求保证一定的员工出勤率。

　　- 纠正型控制是为了纠正已发生的不利事项而采取的控制措施。它们纠正已检查出来的和已报告的差错。纠正程序、控制和例外报告都属于纠正型控制。

　　- 补偿性控制是针对某些环节的不足或缺陷而采取的控制措施。例如在小型企业中，由于人员有限，部分不相容职责不能很好地分离，则可以采用加强监督的方式进行补偿性控制。

　　- 过度控制指冗余或备份替代的控制重复控制目标，或次要控制在首要控制失效的时候仍在运行。如油箱因有毒物质而停用，但防止油箱渗漏的控制仍在使用。

　　控制按其能动性，可分为：

　　-主动/人工控制：通过人为的批准程序防止和发现偏离控制的情形，可以把这种控制看作是人为的有意识的介入，如经理审查批准交易。

　　-被动/自动控制：没有人员的干预，计算机自动控制——控制被嵌入计算机系统、关系或流程从而达到控制效果。如恒温调节器保持室内温度，其自行运转发挥效用。

　　信息系统控制包括一般控制和应用控制。

　　一般控制，包括数据中心操作控制、系统软件控制、存取安全控制和应用系统开发和维护控制；

　　应用控制旨在对应用处理进行控制。许多应用控制依赖于计算机化的编辑校验，这些校验包括数据的格式、存在性及合理性等，恰当设计的校验有助于确保交易处理的完整性、准确性以及授权和有效性。

　　控制按其能动性，可分为：

　　-主动/人工控制：通过人为的批准程序防止和发现偏离控制的情形，可以把这种控制看作是人为的有意识的介入，如经理审查批准交易。

　　-被动/自动控制：没有人员的干预，计算机自动控制——控制被嵌入计算机系统、关系或流程从而达到控制效果。如恒温调节器保持室内温度，其自行运转发挥效用。

　　信息系统控制包括一般控制和应用控制。

　　一般控制，包括数据中心操作控制、系统软件控制、存取安全控制和应用系统开发和维护控制；

　　应用控制旨在对应用处理进行控制。许多应用控制依赖于计算机化的编辑校验，这些校验包括数据的格式、存在性及合理性等，恰当设计的校验有助于确保交易处理的完整性、准确性以及授权和有效性。

　　控制按照属性特征，分为“硬控制”和“软控制”。

　　- “硬控制”：这些控制具有科学严谨性，往往是可量化的和客观的，通常指传统审计测试用于合规性检查。如审查会议时间或执行每月预算与实际的比较分析。

　　-“软控制”：这种控制倾向于定性和主观，深受组织文化影响，属精神和态度因素。

　　内部审计在评估控制的效率和效果的时候仅关注硬控制是不完整的，为评估控制和为高级管理层及董事会提供合理保证，内部审计必须关注对组织影响深远的、主观的“软控制”。

　　管理中的控制可在事件发生之前、进行之中或结束之后进行，按控制发生的时间可分为前馈控制、同期控制和反馈控制。

　　- 前馈控制发生在实际工作开始之前，是未来导向的。质量控制培训项目、预测、预算、实时的计算机系统都属于前馈控制。前馈控制是管理层至渴望采取的控制类型，因为它能避免预期出现的问题，而不必当问题出现时再补救。

　　- 同期控制是发生在活动进行之中的控制，至典型的方式是监督视察。控制可使管理者在问题发生时及时纠正问题。

　　- 反馈控制发生在行动之后，通常是通过实际与标准或预算的对比来确认差异，在问题出现后要求采取纠正措施。客户回访、对完工产品进行检查、差异分析、评估客户投诉、监督产品退回情况等都属于反馈控制。

　　反馈控制的主要缺点在于管理者是在损失发生后才获得信息。其优点表现在两个方面：一是它为管理者提供了关于计划的效果究竟如何的真实信息，能够使管理者通过实际与计划的比较来分析偏差产生的原因，便于管理者制定出更有效的新计划；二是它能够增强员工的积极性，因为人们希望获得评价他们绩效的信息，反馈恰好提供了这样的信息。

　　另外，控制活动也可以按照特定的控制目标进行分类，主要有数据的完整性控制、数据的及时性控制、数据的准确性控制和数据的性控制。