2015年国际注册内部审计师考试备战已经开始,为了帮助学员们提前备考,正保会计网校教学专家整理了2015年国际内部审计师考试《内部审计基础》知识点供大家参考,希望对广大考生有所帮助,祝大家梦想成真!
控制类型的划分
控制按适用范围,可以划分为:
- 组织层面的控制(entity-level control):适用于整个组织,其设计不仅能确保组织目标实现,而且能够减轻组织整体风险。
组织层面的控制又可分为两种类型:
* 治理控制,治理控制建立控制文化、阐明组织愿景和适用组织范围的政策和程序。比如建立组织文化并明确期望——审计委员会监督控制、与董事会沟通、高级管理层对财务报告风险的偏好和态度;建立指导组织风险管理的政策和程序——道德规范、合规政策、IT政策和管理程序等。
* 管理控制,这些控制是建立在业务单元或生产线管理层级,以保证业务目标实现和减轻业务风险,比如风险委员会、阶段性控制、IT综合控制。
- 流程层面的控制(process-level control):是由流程的所有者建立的控制,以确保目标和过程得以完成,了解流程中的风险并设法解决。包括监督,监控、问责、流程风险评估、业绩评价、重要账户核对、存货盘点等。
- 交易层面的控制(transaction-level control):主要是针对特定的交易事项,以确保交易目标实现和交易中的特定风险得以识别。如书面文件要求、权力或职责的分离和IT应用控制(输入、输出等)。
控制按其重要性,分为:
- 首要控制:是指控制有效运行使显著风险降低到可接受水平。
- 次要控制:能帮助流程运转顺畅但不是至关重要的。
首要控制是指如果这些控制遗漏,将会导致目标和预期结果难以实现。次要控制的存在,既可以缓解非重大风险,也可以作为关键控制之后的补充控制。识别首要控制可以确保管理监督和控制测试及其他程序有效,不必浪费时间和资源,而是将时间和资源集中在关键风险和实现组织目标上。组织层面、流程层面、交易层面的每一重大风险在组织风险评估过程中都得以识别,都有首要控制与之对应。次要控制则在此控制系统中是备份补充控制。
控制按其功能进行分类,大体可分为以下几类:
- 预防型控制是为了防止错误和舞弊的发生而采取的控制。例如,对被审计单位的信用进行审核、采用招标方式选择供应商、职责分离、运用检查单、将任务分配给具有胜任能力的员工、使用密码、授权程序等,都属于预防型控制。
- 发现型控制,也称检查型控制,是为了发现已出现的不利事项而进行的控制。它可以为管理层提供有关预防型控制有效性的反馈信息。例如,检查和比较、核对银行对账单、实物清点、对账等都属于检查型控制。
- 指导型控制是为了确保实现有利结果而采取的控制。各种政策、指南和手册等都属于指导型控制。例如,要求内部审计部门的所有员工都具有注册内部审计师资格、为管理层提供实现至低毛利率的合理保证、要求保证一定的员工出勤率。
- 纠正型控制是为了纠正已发生的不利事项而采取的控制措施。它们纠正已检查出来的和已报告的差错。纠正程序、控制和例外报告都属于纠正型控制。
- 补偿性控制是针对某些环节的不足或缺陷而采取的控制措施。例如在小型企业中,由于人员有限,部分不相容职责不能很好地分离,则可以采用加强监督的方式进行补偿性控制。
- 过度控制指冗余或备份替代的控制重复控制目标,或次要控制在首要控制失效的时候仍在运行。如油箱因有毒物质而停用,但防止油箱渗漏的控制仍在使用。
控制按其能动性,可分为:
-主动/人工控制:通过人为的批准程序防止和发现偏离控制的情形,可以把这种控制看作是人为的有意识的介入,如经理审查批准交易。
-被动/自动控制:没有人员的干预,计算机自动控制——控制被嵌入计算机系统、关系或流程从而达到控制效果。如恒温调节器保持室内温度,其自行运转发挥效用。
信息系统控制包括一般控制和应用控制。
一般控制,包括数据中心操作控制、系统软件控制、存取安全控制和应用系统开发和维护控制;
应用控制旨在对应用处理进行控制。许多应用控制依赖于计算机化的编辑校验,这些校验包括数据的格式、存在性及合理性等,恰当设计的校验有助于确保交易处理的完整性、准确性以及授权和有效性。
应用控制按照功能又可分为输入控制、过程控制和输出控制。
- 输入控制:当数据手动或自动输入系统时,核对数据的完整性,主要是为了防止或发现将不正确或不完整的数据输入计算机而采取的控制,如总量控制以核实正确的记录数据已传输;
- 过程控制:检查数据处理任务的正确、完整和有效,如不同时点的总量控制;
- 输出控制:核实数据输出的正确、完整和有效,如将数据传输给预定的接受者,而不是其他人员或系统。
控制按照属性特征,分为“硬控制”和“软控制”。
- “硬控制”:这些控制具有科学严谨性,往往是可量化的和客观的,通常指传统审计测试用于合规性检查。如审查会议时间或执行每月预算与实际的比较分析。
-“软控制”:这种控制倾向于定性和主观,深受组织文化影响,属精神和态度因素。
内部审计在评估控制的效率和效果的时候仅关注硬控制是不完整的,为评估控制和为高级管理层及董事会提供合理保证,内部审计必须关注对组织影响深远的、主观的“软控制”。
管理中的控制可在事件发生之前、进行之中或结束之后进行,按控制发生的时间可分为前馈控制、同期控制和反馈控制。
- 前馈控制发生在实际工作开始之前,是未来导向的。质量控制培训项目、预测、预算、实时的计算机系统都属于前馈控制。前馈控制是管理层至渴望采取的控制类型,因为它能避免预期出现的问题,而不必当问题出现时再补救。
- 同期控制是发生在活动进行之中的控制,至典型的方式是监督视察。控制可使管理者在问题发生时及时纠正问题。
- 反馈控制发生在行动之后,通常是通过实际与标准或预算的对比来确认差异,在问题出现后要求采取纠正措施。客户回访、对完工产品进行检查、差异分析、评估客户投诉、监督产品退回情况等都属于反馈控制。
反馈控制的主要缺点在于管理者是在损失发生后才获得信息。其优点表现在两个方面:一是它为管理者提供了关于计划的效果究竟如何的真实信息,能够使管理者通过实际与计划的比较来分析偏差产生的原因,便于管理者制定出更有效的新计划;二是它能够增强员工的积极性,因为人们希望获得评价他们绩效的信息,反馈恰好提供了这样的信息。
另外,控制活动也可以按照特定的控制目标进行分类,主要有数据的完整性控制、数据的及时性控制、数据的准确性控制和数据的性控制。
了解详情800元/3科