首页 > 国际注册内部审计师 > 复习指导 > 备考经验

2015国际内审师《内部审计基础》知识点:控制类型的划分

普通 来源:正保会计网校 2015-01-29

  2015年国际内部审计师考试备战已经开始,为了帮助学员们提前备考,正保会计网校教学专家整理了2015年国际内部审计师考试《内部审计基础》知识点供大家参考,希望对广大考生有所帮助,祝大家梦想成真!

  控制类型的划分

  控制按适用范围,可以划分为:

  - 组织层面的控制(entity-level control):适用于整个组织,其设计不仅能确保组织目标实现,而且能够减轻组织整体风险。

  组织层面的控制又可分为两种类型:

  * 治理控制,治理控制建立控制文化、阐明组织愿景和适用组织范围的政策和程序。比如建立组织文化并明确期望——审计委员会监督控制、与董事会沟通、高级管理层对财务报告风险的偏好和态度;建立指导组织风险管理的政策和程序——道德规范、合规政策、IT政策和管理程序等。

  * 管理控制,这些控制是建立在业务单元或生产线管理层级,以保证业务目标实现和减轻业务风险,比如风险委员会、阶段性控制、IT综合控制。

  - 流程层面的控制(process-level control):是由流程的所有者建立的控制,以确保目标和过程得以完成,了解流程中的风险并设法解决。包括监督,监控、问责、流程风险评估、业绩评价、重要账户核对、存货盘点等。

  - 交易层面的控制(transaction-level control):主要是针对特定的交易事项,以确保交易目标实现和交易中的特定风险得以识别。如书面文件要求、权力或职责的分离和IT应用控制(输入、输出等)。

  控制按其重要性,分为:

  - 首要控制:是指控制有效运行使显著风险降低到可接受水平。

  - 次要控制:能帮助流程运转顺畅但不是至关重要的。

  首要控制是指如果这些控制遗漏,将会导致目标和预期结果难以实现。次要控制的存在,既可以缓解非重大风险,也可以作为关键控制之后的补充控制。识别首要控制可以确保管理监督和控制测试及其他程序有效,不必浪费时间和资源,而是将时间和资源集中在关键风险和实现组织目标上。组织层面、流程层面、交易层面的每一重大风险在组织风险评估过程中都得以识别,都有首要控制与之对应。次要控制则在此控制系统中是备份补充控制。

  控制按其功能进行分类,大体可分为以下几类:

  - 预防型控制是为了防止错误和舞弊的发生而采取的控制。例如,对被审计单位的信用进行审核、采用招标方式选择供应商、职责分离、运用检查单、将任务分配给具有胜任能力的员工、使用密码、授权程序等,都属于预防型控制。

  - 发现型控制,也称检查型控制,是为了发现已出现的不利事项而进行的控制。它可以为管理层提供有关预防型控制有效性的反馈信息。例如,检查和比较、核对银行对账单、实物清点、对账等都属于检查型控制。

  - 指导型控制是为了确保实现有利结果而采取的控制。各种政策、指南和手册等都属于指导型控制。例如,要求内部审计部门的所有员工都具有注册内部审计师资格、为管理层提供实现至低毛利率的合理保证、要求保证一定的员工出勤率。

  - 纠正型控制是为了纠正已发生的不利事项而采取的控制措施。它们纠正已检查出来的和已报告的差错。纠正程序、控制和例外报告都属于纠正型控制。

  - 补偿性控制是针对某些环节的不足或缺陷而采取的控制措施。例如在小型企业中,由于人员有限,部分不相容职责不能很好地分离,则可以采用加强监督的方式进行补偿性控制。

  - 过度控制指冗余或备份替代的控制重复控制目标,或次要控制在首要控制失效的时候仍在运行。如油箱因有毒物质而停用,但防止油箱渗漏的控制仍在使用。

  控制按其能动性,可分为:

  -主动/人工控制:通过人为的批准程序防止和发现偏离控制的情形,可以把这种控制看作是人为的有意识的介入,如经理审查批准交易。

  -被动/自动控制:没有人员的干预,计算机自动控制——控制被嵌入计算机系统、关系或流程从而达到控制效果。如恒温调节器保持室内温度,其自行运转发挥效用。

  信息系统控制包括一般控制和应用控制。

  一般控制,包括数据中心操作控制、系统软件控制、存取安全控制和应用系统开发和维护控制;

  应用控制旨在对应用处理进行控制。许多应用控制依赖于计算机化的编辑校验,这些校验包括数据的格式、存在性及合理性等,恰当设计的校验有助于确保交易处理的完整性、准确性以及授权和有效性。

  控制按其能动性,可分为:

  -主动/人工控制:通过人为的批准程序防止和发现偏离控制的情形,可以把这种控制看作是人为的有意识的介入,如经理审查批准交易。

  -被动/自动控制:没有人员的干预,计算机自动控制——控制被嵌入计算机系统、关系或流程从而达到控制效果。如恒温调节器保持室内温度,其自行运转发挥效用。

  信息系统控制包括一般控制和应用控制。

  一般控制,包括数据中心操作控制、系统软件控制、存取安全控制和应用系统开发和维护控制;

  应用控制旨在对应用处理进行控制。许多应用控制依赖于计算机化的编辑校验,这些校验包括数据的格式、存在性及合理性等,恰当设计的校验有助于确保交易处理的完整性、准确性以及授权和有效性。

  控制按照属性特征,分为“硬控制”和“软控制”。

  - “硬控制”:这些控制具有科学严谨性,往往是可量化的和客观的,通常指传统审计测试用于合规性检查。如审查会议时间或执行每月预算与实际的比较分析。

  -“软控制”:这种控制倾向于定性和主观,深受组织文化影响,属精神和态度因素。

  内部审计在评估控制的效率和效果的时候仅关注硬控制是不完整的,为评估控制和为高级管理层及董事会提供合理保证,内部审计必须关注对组织影响深远的、主观的“软控制”。

  管理中的控制可在事件发生之前、进行之中或结束之后进行,按控制发生的时间可分为前馈控制、同期控制和反馈控制。

  - 前馈控制发生在实际工作开始之前,是未来导向的。质量控制培训项目、预测、预算、实时的计算机系统都属于前馈控制。前馈控制是管理层至渴望采取的控制类型,因为它能避免预期出现的问题,而不必当问题出现时再补救。

  - 同期控制是发生在活动进行之中的控制,至典型的方式是监督视察。控制可使管理者在问题发生时及时纠正问题。

  - 反馈控制发生在行动之后,通常是通过实际与标准或预算的对比来确认差异,在问题出现后要求采取纠正措施。客户回访、对完工产品进行检查、差异分析、评估客户投诉、监督产品退回情况等都属于反馈控制。

  反馈控制的主要缺点在于管理者是在损失发生后才获得信息。其优点表现在两个方面:一是它为管理者提供了关于计划的效果究竟如何的真实信息,能够使管理者通过实际与计划的比较来分析偏差产生的原因,便于管理者制定出更有效的新计划;二是它能够增强员工的积极性,因为人们希望获得评价他们绩效的信息,反馈恰好提供了这样的信息。

  另外,控制活动也可以按照特定的控制目标进行分类,主要有数据的完整性控制、数据的及时性控制、数据的准确性控制和数据的性控制。

打开APP 订阅最新报考消息

报考指南

今日热搜

热点推荐

热销好课

2024年CIA辅导课程-联报特色班

CIA联报特色班

重复点播学习

了解详情800元/3科

扫码添加课程顾问

咨询课程顾问

截图保存到相册

微信识别二维码

接收更多考试资讯

CIA思维导图
客服 首页
取消
复制链接,粘贴给您的好友

复制链接,在微信、QQ等聊天窗口即可将此信息分享给朋友