(一)相關(guān)的控制活動(dòng)的含義

　　控制活動(dòng)是指有助于確保管理層的指令得以執(zhí)行的政策和程序。包括與授權(quán)、業(yè)績(jī)?cè)u(píng)價(jià)、信息處理、實(shí)物控制和職責(zé)分離等相關(guān)的活動(dòng)。

　　1.授權(quán)。注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)了解與授權(quán)有關(guān)的控制活動(dòng)，包括一般授權(quán)和特別授權(quán)。

　　授權(quán)的目的在于保證交易在管理層授權(quán)范圍內(nèi)進(jìn)行。

　　一般授權(quán)是指管理層制定的要求組織內(nèi)部遵守的普遍適用于某類(lèi)交易或活動(dòng)的政策。特別授權(quán)是指管理層針對(duì)特定類(lèi)別的交易或活動(dòng)逐一設(shè)置的授權(quán)。特別授權(quán)也可能用于超過(guò)一般授權(quán)限制的常規(guī)交易。

　　2.業(yè)績(jī)?cè)u(píng)價(jià)。注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)了解與業(yè)績(jī)?cè)u(píng)價(jià)有關(guān)的控制活動(dòng)，主要包括被審計(jì)單位分析評(píng)價(jià)實(shí)際業(yè)績(jī)與預(yù)算(或預(yù)測(cè)、前期業(yè)績(jī))的差異，綜合分析財(cái)務(wù)數(shù)據(jù)與經(jīng)營(yíng)數(shù)據(jù)的內(nèi)在關(guān)系，將內(nèi)部數(shù)據(jù)與外部信息來(lái)源相比較，評(píng)價(jià)職能部門(mén)、分支機(jī)構(gòu)或項(xiàng)目活動(dòng)的業(yè)績(jī)(如銀行客戶信貸經(jīng)理復(fù)核各分行、地區(qū)和各種貸款類(lèi)型的審批和收回)，以及對(duì)發(fā)現(xiàn)的異常差異或關(guān)系采取必要的調(diào)查與糾正措施。

　　3.信息處理。注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)了解與信息處理有關(guān)的控制活動(dòng)，包括信息技術(shù)的一般控制和應(yīng)用控制。

　　信息技術(shù)一般控制是指與多個(gè)應(yīng)用系統(tǒng)有關(guān)的政策和程序，有助于保證信息系統(tǒng)持續(xù)恰當(dāng)?shù)剡\(yùn)行(包括信息的完整性和數(shù)據(jù)的安全性)，支持應(yīng)用控制作用的有效發(fā)揮，通常包括數(shù)據(jù)中心和網(wǎng)絡(luò)運(yùn)行控制，系統(tǒng)軟件的購(gòu)置、修改及維護(hù)控制，接觸或訪問(wèn)權(quán)限控制，應(yīng)用系統(tǒng)的購(gòu)置、開(kāi)發(fā)及維護(hù)控制。例如，程序改變的控制、限制接觸程序和數(shù)據(jù)的控制、與新版應(yīng)用軟件包實(shí)施有關(guān)的控制等都屬于信息系統(tǒng)一般控制。

　　信息技術(shù)應(yīng)用控制是指主要在業(yè)務(wù)流程層次運(yùn)行的人工或自動(dòng)化程序，與用于生成、記錄、處理、報(bào)告交易或其他財(cái)務(wù)數(shù)據(jù)的程序相關(guān)，通常包括檢查數(shù)據(jù)計(jì)算的準(zhǔn)確性，審核賬戶和試算平衡表，設(shè)置對(duì)輸入數(shù)據(jù)和數(shù)字序號(hào)的自動(dòng)檢查，以及對(duì)例外報(bào)告進(jìn)行人工干預(yù)。

　　4.實(shí)物控制。注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)了解實(shí)物控制，主要包括了解對(duì)資產(chǎn)和記錄采取適當(dāng)?shù)陌踩Ｗo(hù)措施，對(duì)訪問(wèn)計(jì)算機(jī)程序和數(shù)據(jù)文件設(shè)置授權(quán)，以及定期盤(pán)點(diǎn)并將盤(pán)點(diǎn)記錄與會(huì)計(jì)記錄相核對(duì)。

　　實(shí)物控制的效果影響資產(chǎn)的安全，從而對(duì)財(cái)務(wù)報(bào)表的可靠性及審計(jì)產(chǎn)生影響。

　　5.職責(zé)分離。注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)了解職責(zé)分離，主要包括了解被審計(jì)單位如何將交易授權(quán)、交易記錄以及資產(chǎn)保管等職責(zé)分配給不同員工，以防范同一員工在履行多項(xiàng)職責(zé)時(shí)可能發(fā)生的舞弊或錯(cuò)誤。

　　當(dāng)信息技術(shù)運(yùn)用于信息系統(tǒng)時(shí)，職責(zé)分離可以通過(guò)設(shè)置安全控制來(lái)實(shí)現(xiàn)。

　　(二)對(duì)控制活動(dòng)的了解

　　注冊(cè)會(huì)計(jì)師的工作重點(diǎn)是識(shí)別和了解針對(duì)重大錯(cuò)報(bào)可能發(fā)生的領(lǐng)域的控制活動(dòng)。如果多項(xiàng)控制活動(dòng)能夠?qū)崿F(xiàn)同一目標(biāo)，注冊(cè)會(huì)計(jì)師不必了解與該目標(biāo)相關(guān)的每項(xiàng)控制活動(dòng)。

　　注冊(cè)會(huì)計(jì)師對(duì)被審計(jì)單位整體層面的控制活動(dòng)進(jìn)行的了解和評(píng)估，主要是針對(duì)被審計(jì)單位的一般控制活動(dòng)，特別是信息技術(shù)的一般控制。在了解和評(píng)估一般控制活動(dòng)時(shí)考慮的主要因素可能包括：8個(gè)因素(一般了解)

　　(1)對(duì)被審計(jì)單位的主要經(jīng)營(yíng)活動(dòng)是否都有必要的控制政策和程序;

　　(2)管理層對(duì)預(yù)算、利潤(rùn)和其他財(cái)務(wù)和經(jīng)營(yíng)業(yè)績(jī)方面是否都有清晰的目標(biāo)，在被審計(jì)單位內(nèi)部，是否對(duì)這些目標(biāo)加以清晰的記錄和溝通，并且積極地對(duì)其進(jìn)行監(jiān)控;

　　(3)是否存在計(jì)劃和報(bào)告系統(tǒng)，以識(shí)別與目標(biāo)業(yè)績(jī)的差異，并向適當(dāng)層次的管理層報(bào)告該差異;

　　(4)是否由適當(dāng)層次的管理層對(duì)差異進(jìn)行調(diào)查，并及時(shí)采取適當(dāng)?shù)募m正措施;

　　(5)不同人員的職責(zé)應(yīng)在何種程度上相分離，以降低舞弊和不當(dāng)行為發(fā)生的風(fēng)險(xiǎn);

　　(6)會(huì)計(jì)系統(tǒng)中的數(shù)據(jù)是否與實(shí)物資產(chǎn)定期核對(duì);

　　(7)是否建立了適當(dāng)?shù)谋Ｗo(hù)措施，以防止未經(jīng)授權(quán)接觸文件、記錄和資產(chǎn);

　　(8)是否存在信息安全職能部門(mén)負(fù)責(zé)監(jiān)控信息安全政策和程序。