介紹
企業必須制定控制的政策及程式,並予以執行,以幫助管理階層保證“為保證其控制目標的實現,其用以辨認並用以處理風險所必須採取的行動業已有效落實”。
主要內容
授權的目的在於保證交易在管理層授權範圍內進行。一般授權是指管理層制定的要求組織內部遵守的普遍適用於某類交易或活動的政策。特別授權是指管理層針對特定類別的交易或活動逐一設定的授權,如重大資本支出和股票發行等。特別授權也可能用於超過一般授許可權制的常規交易。例如,同意因某些特別原因,對某個不符合一般
信用條件的客戶賒購商品。
2、業績評價。註冊會計師應當了解與業績評價有關的控制活動,主要包括被審計單位分析評價實際業績與預算(或預測、前期業績)的差異,綜合分析財務數據與經營數據的內在關係,將內部數據與外部信息來源相比較,評價職能部門、
分支機構或
項目活動的業績(如銀行客戶信貸經理覆核各分行、地區和各種貸款類型的審批和收回),以及對發現的異常差異或關係採取必要的調查與
糾正措施。
通過調查非預期的結果和非正常的趨勢,管理層可以識別可能影響經營目標實現的情形。管理層對業績信息的使用(如將這些信息用於經營決策,還是同時用於對財務報告系統報告的非
預期結果進行追蹤),決定了業績指標的分析是只用於經營目的,還是同時用於財務報告目的。
3、信息處理。註冊會計師應當了解與信息處理有關的控制活動,包括信息技術的一般控制和
套用控制。
各種措施被審計單位通常執行各種措施,檢查各種類型信息處理環境下的交易的準確性、完整性和授權。信息處理控制可以是人工的、自動化的,或是基於自動流程的人工控制。信息處理控制分為兩類,即信息技術的一般控制和套用控制。
信息技術一般控制是指與多個套用系統有關的政策和程式,有助於保證信息系統持續恰當地運行(包括信息的完整性和數據的安全性),支持套用控制作用的有效發揮,通常包括數據中心和網路運行控制,系統軟體的購置、修改及維護控制,接觸或訪問許可權控制,套用系統的購置、開發及維護控制。例如,程式改變的控制、限制接觸程式和數據的控制、與新版套用軟體包實施有關的控制等都屬於信息系統一般控制。
信息技術套用控制是指主要在
業務流程層次運行的人工或自動化程式,與用於生成、記錄、處理、報告交易或其他財務數據的程式相關,通常包括檢查數據計算的準確性,審核賬戶和
試算平衡表,設定對輸入數據和數字序號的自動檢查,以及對例外報告進行人工干預。
4、
實物控制。註冊會計師應當了解實物控制,主要包括了解對
資產和記錄採取適當的安全保護措施,對訪問電腦程式和數據檔案設定授權,以及
定期盤點並將盤點記錄與
會計記錄相核對。例如,現金、有價證券和
存貨的定期盤點控制。實物控制的效果影響資產的安全,從而對
財務報表的可靠性及審計產生影響。
5、
職責分離。註冊會計師應當了解職責分離,主要包括了解被審計單位如何將交易授權、交易記錄以及資產保管等職責分配給不同員工,以防範同一員工在履行多項職責時可能發生的
舞弊或錯誤。當信息技術運用於信息系統時,職責分離可以通過設定安全控制來實現。
注意事項
企業在制定控制活動時,尤其要注意以下三點:
1、必須通過合理授權的方式
授權控制是指在開展各項經營活動的過程中,企業最高管理層必須通過合理授權的方式,使各中間管理層和員工以所授權力作為開展工作的依據。管理層在授權時,合理把握授權的“度”至關緊要,建立授權控制時要注意授權的範圍、授權的層次與責任。做到既能保證經營決策有效運作、管理制度有效貫徹,又能保證
權力制衡得到落實。
企業的會計系統為企業提供成本信息、營運信息、生產信息、
庫存信息等。因此,企業應加強會計系統控制。會計系統控制主要包括:(1)、建立健全內部會計管理規範和監督制度,明確權責,相互制約。(2)、統一企業內部會計政策。(3)、統一企業內部會計科目。(4)、規範會計憑證、賬簿和財務報告的處理程式和方法。
4、建立健全規範和監督制度
建立健全內部會計管理規範和監督制度,明確權責,相互制約;統一企業內部
會計政策;統一企業內部
會計科目;規範
會計憑證、
賬簿和財務報告的處理程式和方法。
類型
控制活動可以根據其相關的目標分為戰略類、經營類、報告類和遵循類。有時,某一特定的控制活動,如經營性控制活動也有助於提高報告的可靠性;報告類的控制活動也會影響到法規的遵循,等等。
管理層在確定控制活動時,需要考慮控制活動之間的聯繫。在某些情況下,一項控制活動可以實現多個
風險反應;在另一些情況下,一個風險反應需要多個風險控制活動。一般情況下,控制活動是為了實現風險反應而建立的,但有時風險反應本身就是控制活動。比如,為了使某一特定交易能夠適當進行,風險反應本身就是控制活動,即需要
職責分離,需要有監管者的批准等。
需要注意的是,控制活動是企業實現其目標過程中一個極其重要的組成部分。不能為控制而控制,也不能僅認為應該控制而控制。管理者必須將控制活動與控制目標相結合,控制活動是努力實現目標的一種機制。
可以從不同的角度對控制活動進行分類,如預防性的,即在某些交易執行之前就加以控制;查錯防弊性的,即及時地審查並控制交易活動等。控制活動將手工控制和計算機控制結合在一起,使信息能夠正確採集,授權和審批某項投資決策的日常流程能夠建立。比如說,企業的控制活動可以分為:
1.最高管理層的審閱:最高管理層可以將實際執行效果與預算、預測、以前年度同期以及競爭者進行對比,跟蹤檢查某些活動的效果,衡量其是否達到預定目標,如市場的切入措施、改進後的
生產流程、
成本控制與削減計畫等。
2.直接的職能或活動管理:
職能經理或作業經理審閱業績報告。
3.信息處理:對交易的準確性、完整性以及授權的適當性進行控制,比如客戶訂單僅當查詢相關已批准的客戶文檔、信用限額後才能接受等。
4.物理控制:保證設備、
存貨、證券、現金和
其他資產實物安全,並定期進行實物核對、賬目核對。
5.
績效指標:對數據,如經營性或財務性數據進行關聯分析,調查原因,並採用相應的
糾正措施,即控制活動。例如,績效指標包括員工的流動性,如果員工流動性過大,某些關鍵崗位人力不足,預期目標實現的可能性就會變小。
6.
職責分離:職責分離的目的在於防止錯誤與欺詐。例如,交易審批、記錄和相關資產的處理職責要分開;批准信用銷售的經理不得負責應收賬款和現金收入的處理;銷售人員不得修改產品的價格政策和佣金比率。
相關銜接
風險管理策略選定後,企業管理層確定控制活動以保證這一管理策略能夠及時地得以適當地實施。企業的風險管理策略主要有四種:迴避、減少、分散和承擔,每種管理策略都需要相應的控制活動。
風險迴避:如某中藥製造企業認識到,隨著國家對藥品質量重視程度的提高,藥品質量的任何差錯極有可能導致企業失敗。為此,
公司管理層加強了對藥品質量檢測環節的管理,併購置了備用檢測設備,以避免藥品質量方面的風險。為實施這一風險管理策略,公司重新修訂了藥品檢測管理政策與流程,並要求
質量控制部負責人每月就質量檢測的人員配備、
設備維護情況向公司管理層進行匯報。
風險減少:如某
醫院管理層確認其病人的健康狀況受到電力供應中斷的不利影響。管理層針對這一風險採用的管理策略是安裝一個備用發電機。為使發電機在需要時能夠正常運行,醫院工程部門進行了日常維護,其維護日記由工程部門負責人每月審閱一次。
風險共享:如某製造企業認識到工廠長期停工將會影響其生產目標的實現,考慮到公司當前的資本狀況、風險承受能力以及購買保險的成本,管理層決定購買最長為六個月的產品損失險。為實現這一管理策略,公司首席風險官(CRO)定期審閱保險單和商定保險條款的遵循情況,並將遵循情況向
營運長(COO)匯報。
風險接受:如某公司管理層確認世界商品價格變化是一種風險,通過對風險發生的可能性、後果以及公司風險承受度的評估,公司決定接受這一風險。
公司管理層建立了一項政策,由公司
財務部每3個月進行一次正式的風險再評估,並向公司管理委員會提出建議,是否需要採用“套期”風險管理策略。
風險反應
控制活動建立的目的是保證風險反應能夠適當地實施。對有些目標來說,特別是報告目標,控制活動本身就是風險反應。
例如,某企業為保證資產採購和費用處理目標的實現,採用相應的風險管理策略(控制活動)如下:
報告目標:完整、準確、有效地記錄和處理資產的獲取、費用的發生
衡量指標:發現的財務報告錯誤,以人民幣計量
具體目標:每月財務報表的差錯<10000元
風險:
1.供應商發票金額錯誤
可能性:可能
後果:較小(500-2000元)
2.供應商發票在月末結賬前不能取得
可能性:基本確定;
後果:中等(1000-2500元)
可能性:可能;
後果:較小(500-1000元)
1.需求部門請購商品和勞務。(略)
2.採購部門根據已批准的請購申請編制訂購單和採購商品。(略)
3.驗收部門將所收商品與訂購單進行核對。驗收人員將貨品送交倉庫時,應要求其在驗收單的副聯上籤收。
5.編制付款申請單。付款申請單編制部門(一般為負責採購的部門或商務部)應當:
確定供應商發票金額計算的準確性;
6.財務部門支付款項。支付金額包括電子支付金額,一人填寫,另一人覆核,以保證支付金額的填寫準確無誤。對於大筆或非正常項目的支付(如金額超過50000元以上的),需與訂購單、驗收單進行核對。
7.記錄現金、銀行存款支出。
8.違反上述操作程式的,系統會自動向相關負責人匯報。
信息系統
人們經營企業、實現報告與遵循目標,對信息系統的依賴程度日益增加。在這種情況下,對企業重要的信息系統都需要加以控制。
一般控制
一般控制包括信息技術管理,信息技術基礎架構,
安全管理和軟體的取得、開發和維護等,它套用於所有的系統。
1、信息技術管理:指導委員會對信息技術活動以及改進措施進行監督、監控和報告。
2、信息技術基礎架構:包括系統的定義、獲取、安裝、配置、整合和維護方面的控制。控制可能包括確定和強化系統表現的服務水平協定,保持系統有效性的業務持續性計畫,跟蹤運行失敗的網路表現,以及安排計算機運行的進程。信息技術基礎結構中的系統軟體要素可能包括下列控制,例如管理當局或指導委員會對重要的新獲取的覆核和批准,限制對系統配置和運行系統軟體的進入,自動調整從中間設備軟體存取的數據,以及對通信錯誤的奇偶數位偵查。系統軟體控制還包括突發事件追蹤、系統日誌以及對數據更改設施的詳細使用報告的覆核。
3、
安全管理:包括邏輯接觸控制,如上網、接觸資料庫和套用層面上的安全密碼控制。用戶賬戶和接觸授權控制是根據被授權者的工作需要來確定授權的範圍。網際網路防火牆和虛擬私人網路使未授權者得不到相關的數據,保證了數據的安全。
4、軟體的獲取、開發與維護:對軟體的獲取與套用的控制是與已建立的流程整合在一起的,包括文檔需求、客戶接受測試、壓力測試和項目
風險評估。與原始碼的接觸通過代碼庫來控制。軟體開發者應在單獨的開發或測試環境中工作,不能接觸到生產環境。對系統變化的管理包括:變動申請所必須的授權,變動的審查、審批、記錄、測試、變動對其他信息技術要素的影響,壓力測試結果以及實施協定等。
套用控制
套用控制側重於
信息採集與處理的完整、準確、授權以及有效性等。它有助於信息在需要時能夠及時採集到或能夠生成,套用支撐能夠獲得,接口錯誤能夠迅速發現。套用控制活動包括將輸入數據匯總後與總額核對,發現數據是否存在錄入錯誤;設定校驗碼;對數據的合理性進行測試;邏輯測試等。