控制活動包括與授權、業績評價、信息處理、實物控制和職責分離等相關的活動。
1、授權。註冊會計師應當了解與授權有關的控制活動,包括壹般授權和特別授權。
授權的目的在於保證交易在管理層授權範圍內進行。壹般授權是指管理層制定的要求組織內部遵守的普遍適用於某類交易或活動的政策。特別授權是指管理層針對特定類別的交易或活動逐壹設置的授權,如重大資本支出和股票發行等。特別授權也可能用於超過壹般授權限制的常規交易。例如,同意因某些特別原因,對某個不符合壹般信用條件的客戶賒購商品。
2、業績評價。註冊會計師應當了解與業績評價有關的控制活動,主要包括被審計單位分析評價實際業績與預算(或預測、前期業績)的差異,綜合分析財務數據與經營數據的內在關系,將內部數據與外部信息來源相比較,評價職能部門、分支機構或項目活動的業績(如銀行客戶信貸經理復核各分行、地區和各種貸款類型的審批和收回),以及對發現的異常差異或關系采取必要的調查與糾正措施。
通過調查非預期的結果和非正常的趨勢,管理層可以識別可能影響經營目標實現的情形。管理層對業績信息的使用(如將這些信息用於經營決策,還是同時用於對財務報告系統報告的非預期結果進行追蹤),決定了業績指標的分析是只用於經營目的,還是同時用於財務報告目的。
3、信息處理。註冊會計師應當了解與信息處理有關的控制活動,包括信息技術的壹般控制和應用控制。
各種措施被審計單位通常執行各種措施,檢查各種類型信息處理環境下的交易的準確性、完整性和授權。信息處理控制可以是人工的、自動化的,或是基於自動流程的人工控制。信息處理控制分為兩類,即信息技術的壹般控制和應用控制。
信息技術壹般控制是指與多個應用系統有關的政策和程序,有助於保證信息系統持續恰當地運行(包括信息的完整性和數據的安全性),支持應用控制作用的有效發揮,通常包括數據中心和網絡運行控制,系統軟件的購置、修改及維護控制,接觸或訪問權限控制,應用系統的購置、開發及維護控制。例如,程序改變的控制、限制接觸程序和數據的控制、與新版應用軟件包實施有關的控制等都屬於信息系統壹般控制。
信息技術應用控制是指主要在業務流程層次運行的人工或自動化程序,與用於生成、記錄、處理、報告交易或其他財務數據的程序相關,通常包括檢查數據計算的準確性,審核賬戶和試算平衡表,設置對輸入數據和數字序號的自動檢查,以及對例外報告進行人工幹預。
4、實物控制。註冊會計師應當了解實物控制,主要包括了解對資產和記錄采取適當的安全保護措施,對訪問計算機程序和數據文件設置授權,以及定期盤點並將盤點記錄與會計記錄相核對。例如,現金、有價證券和存貨的定期盤點控制。實物控制的效果影響資產的安全,從而對財務報表的可靠性及審計產生影響。
5、職責分離。註冊會計師應當了解職責分離,主要包括了解被審計單位如何將交易授權、交易記錄以及資產保管等職責分配給不同員工,以防範同壹員工在履行多項職責時可能發生的舞弊或錯誤。當信息技術運用於信息系統時,職責分離可以通過設置安全控制來實現。