d.内外部审计工作与结果的分离。 『正确答案』d
a.不正确。见题解d。 b.不正确。见题解d。 c.不正确。见题解d。
d.正确。内外部审计工作的分离并不能改善内部控制。实际上,内外部审计工作及结果的交流分享可以缩短审计时间。
A2 控制类型的划分
控制按适用范围,可以划分为:
-组织层面的控制(entity-level control):适用于整个组织,其设计不仅能确保组织目标实现,而且能够减轻组织整体风险。 组织层面的控制又可分为两种类型:
*治理控制,治理控制建立控制文化、阐明组织愿景和适用组织范围的政策和程序。比如建立组织文化并明确期望——审计委员会监督控制、与董事会沟通、高级管理层对财务报告风险的偏好和态度;建立指导组织风险管理的政策和程序——道德规范、合规政策、IT政策和管理程序等。
*管理控制,这些控制是建立在业务单元或生产线管理层级,以保证业务目标实现和减轻业务风险,比如风险委员会、阶段性控制、IT综合控制。 -流程层面的控制(process-level control):是由流程的所有者建立的控制,以确保目标和过程得以完成,了解流程中的风险并设法解决。包括监督,监控、问责、流程风险评估、业绩评价、重要账户核对、存货盘点等。
-交易层面的控制(transaction-level control):主要是针对特定的交易事项,以确保交易目标实现和交易中的特定风险得以识别。如书面文件要求、权力或职责的分离和IT应用控制(输入、输出等)。 控制按其重要性,分为:
-首要控制:是指控制有效运行使显著风险降低到可接受水平。 -次要控制:能帮助流程运转顺畅但不是至关重要的。
首要控制是指如果这些控制遗漏,将会导致目标和预期结果难以实现。次要控制的存在,既可以缓解非重大风险,也可以作为关键控制之后的补充控制。识别首要控制可以确保管理监督和控制测试及其他程序有效,不必浪费时间和资源,而是将时间和资源集中在关键风险和实现组织目标上。组织层面、流程层面、交易层面的每一重大风险在组织风险评估过程中都得以识别,都有首要控制与之对应。次要控制则在此控制系统中是备份补充
控制。
控制按其功能进行分类,大体可分为以下几类:
-预防型控制是为了防止错误和舞弊的发生而采取的控制。例如,对被审计单位的信用进行审核、采用招标方式选择供应商、职责分离、运用检査单、将任务分配给具有胜任能力的员工、使用密码、授权程序等,都属于预防型控制。
-发现型控制,也称检査型控制,是为了发现已出现的不利事项而进行的控制。它可以为管理层提供有关预防型控制有效性的反馈信息。例如,检查和比较、核对银行对账单、实物清点、对账等都属于检査型控制。
指导型控制是为了确保实现有利结果而采取的控制。各种政策、指南和手册等都属于指导型控制。例如,要求内部审计部门的所有员工都具有注册内部审计师资格、为管理层提供实现最低毛利率的合理保证、要求保证一定的员工出勤率。
纠正型控制是为了纠正已发生的不利事项而采取的控制措施。它们纠正已检査出来的和已报告的差错。纠正程序、控制和例外报告都属于纠正型控制。
-补偿性控制是针对某些环节的不足或缺陷而采取的控制措施。例如在小型企业中,由于人员有限,部分不相容职责不能很好地分离,则可以采用加强监督的方式进行补偿性控制。
-过度控制指冗余或备份替代的控制重复控制目标,或次要控制在首要控制失效的时候仍在运行。如油箱因有毒物质而停用,但防止油箱渗漏的控制仍在使用。
控制按其能动性,可分为:
主动/人工控制:通过人为的批准程序防止和发现偏离控制的情形,可以把这种控制看作是人为的有意识的介入,如经理审查批准交易。
被动/自动控制:没有人员的干预,计算机自动控制——控制被嵌入计算机系统、关系或流程从而达到控制效果。如恒温调节器保持室内温度,其自行运转发挥效用。
信息系统控制包括一般控制和应用控制。
一般控制,包括数据中心操作控制、系统软件控制、存取安全控制和应用系统开发和维护控制;
应用控制旨在对应用处理进行控制。许多应用控制依赖于计算机化的编辑校验,这些校验包括数据的格式、存在性及合理性等,恰当设计的校验有助于确保交易处理的完整性、准确性以及授权和有效性。
应用控制按照功能又可分为输入控制、过程控制和输出控制。
-输入控制:当数据手动或自动输入系统时,核对数据的完整性,主要是为了防止或发现将不正确或不完整的数据输入计算机而采取的控制,如总量控制以核实正确的记录数据已传输; 过程控制:检查数据处理任务的正确、完整和有效,如不同时点的总量控制; 输出控制:核实数据输出的正确、完整和有效,如将数据传输给预定的接受者,而不是其他人员或系统。 控制按照属性特征,分为“硬控制”和“软控制”。 -“硬控制”:这些控制具有科学严谨性,往往是可量化的和客观的,通常指传统审计测试用于合规性检查。如审查会议时间或执行每月预算与实际的比较分析。 -“软控制”:这种控制倾向于定性和主观,深受组织文化影响,属精神和态度因素。 内部审计在评估控制的效率和效果的时候仅关注硬控制是不完整的,为评估控制和为高级管理层及董事会提供合理保证,内部审计必须关注对组织影响深远的、主观的“软控制”。 管理中的控制可在事件发生之前、进行之中或结束之后进行,按控制发生的时间可分为前馈控制、同期控制和反馈控制。 -前馈控制发生在实际工作开始之前,是未来导向的。质量控制培训项目、预测、预算、实时的计算机系统都属于前馈控制。前馈控制是管理层最渴望采取的控制类型,因为它能避免预期出现的问题,而不必当问题出现时再补救。 同期控制是发生在活动进行之中的控制,最典型的方式是监督视察。控制可使管理者在问题发生时及时纠正问题。 -反馈控制发生在行动之后,通常是通过实际与标准或预算的对比来确认差异,在问题出现后要求采取纠正措施。客户回访、对完工产品进行检査、差异分析、评估客户投诉、监督产品退回情况等都属于反馈控制。 反馈控制的主要缺点在于管理者是在损失发生后才获得信息。其优点表现在两个方面:一是它为管理者提供了关于计划的效果究竟如何的真实信息,能够使管理者通过实际与计划的比较来分析偏差产生的原因,便于管理者制定出更有效的新计划;二是它能够增强员工的积极性,因为人们希望获得评价他们绩效的信息,反馈恰好提供了这样的信息。 另外,控制活动也可以按照特定的控制目标进行分类,主要有数据的完整性控制、数据的及时性控制、数据的准确性控制和数据的权威性控制。 典型试题 1.组织程序允许员工预见可能出现的问题。这种控制被称为:
a.反馈控制。 b.战略性控制。 c.前馈控制。 d.业绩评价。 『正确答案』c
a.不正确。反馈控制为事后控制。
b.不正确。战略性控制与战略计划密切相关,应为从整体上进行的系统性、长期性和结构性的更为广泛的控制。这与员工参与的控制不符合。 c.正确。预见可能出现的问题是事前控制,亦即前馈控制。
d.不正确。业绩评价为事后事件,属反馈控制的范围。业绩评价是对员工的工作绩效进行评价,以便形成客观公正的人事决策过程。
2.公司规定,必须从经过审批的卖方清单上的供应商处进行采购,这是以下哪种控制的范例? a.预防型控制。 b.检查型控制。 c.纠正型控制。 d.监督型控制。 『正确答案』a
a.正确。预防型控制是在交易发生前所采取的措施,目的在于防止发生错误。使用经过审批的卖方清单是防止从未经批准的供货商处采购的一项控制。
b.不正确。检查型控制是在错误发生后确认错误的一种控制。 c.不正确。纠正型控制纠正那些由检查型控制所确定的问题。 d.不正确。监督型控制旨在确保控制系统的运行持续而有效。
3.一家大量投资于车辆维修的公用事业公司为了减少车辆被盗或损失的风险,应采取的内部控制措施是: a.审查保险范围的充分性。
b.系统地记录所有维修工作的订单。
c.对车辆进行实物盘点并将结果与会计记录相核对。
d.将车辆存放在安全的场所,开走和返回都要经过保管员的批准。 『正确答案』d
a.不正确。审査保险范围的充分性无助于减少车辆被盗或损失。 b.不正确。维修工作与车辆的被盗和损失无关。 c.不正确。盘点存货并不能减少车辆被盗或损失。
d.正确。这些措施增强了车辆保管的安全性,可以减少车辆被盗或损失。
4.以下哪一项可以使因劣质原材料而引起的完工产品的缺陷降到最低程度? a.记录正确处理在产品存货的操作过程。
b.要求所有原材料采购都具备主要指标说明。 c.及时对所有不利的用量差异采取措施。
d.在制造过程结束时确定因损坏而造成的损失数额。 『正确答案』b
a.不正确。这种做法不能确保原材料具有足够好的质量。
b.正确。所购原材料的主要指标说明为确定原材料是否符合生产所必需的最低质量水平提供了客观依据。 c.不正确。这种方法仅有助于保证原材料是按照正确的用量来使用。 d.不正确。这种方法只能在原材料已被使用之后才确定损失数额。
5.组织的控制系统由管辖组织各层次经营的各种部分构成。其中一部分产生于高级管理层,而其他的部分则可能由各部门来制定,用以指导组织或其中某一部门的日常经营活动的组织控制系统的最基本组成部分是: a.统计报告。 b.战略计划。 c.业绩评价。 d.政策与程序。