控制活动审计实务


控制活动审计，就是对控制活动内部控制有效性的检查和评价。根据《内部审计具体准则第5号———内部控制审计》的规定：控制活动主要包括五项内容：一是所有经营活动应有适当的授权，即业务授权控制。二是不相容职务应当分离，即职责分工控制。三是保证凭证和记录的真实性，即凭证与记录控制。四是资产和记录的接近限制，即资产接触与记录使用控制。五是独立的业务审核，即独立稽核。
根据《内部控制审计准则》第十五条的规定：内部审计人员应实施适当的审查程序，评价控制活动的适当性、合法性、有效性。内部审计人员需要按照组织的各个业务环节逐一地对控制活动进行评价和审查。重点审查的主要内容包括：一是控制活动建立的适当性;二是控制活动对风险的识别和规避;三是控制活动对组织目标实现的作用;四是控制活动执行的有效性。
控制活动内部控制构建与实施因企业的不同而不同，因此，控制活动内部控制审计内容也有所不同，不能固定化、模式化。事实上，控制活动内部控制审计内容因其审计方式的不同也略有不同。一般来说，采用传统的全面审计方式，控制活动内部控制审计是审查和评价其设计和运行的有效性两个方面，包括控制活动的设计、控制活动的执行等业务。采用现代以风险为导向审计方式，审计人员应以控制活动风险为导向，审计已经设计完成的控制活动内部控制及其相关的管理制度是否有效执行，是否有效控制了相关风险;已经设计有效的控制活动各控制点的控制措施是否得到有效实施，是否有效防止了各控制环节的风险;是否根据业务、环境等的变化持续改进内部控制等。不管采用哪一种审计方式，内部活动审计，既要查明主体制订的内部控制各项措施是否恰当、有针对性、经济有效、方便易行，又要查明对具体业务与事项所采用的政策与程序是否适当有效。控制活动审计，总体上包括对职责分工、授权、审核批准、预算、财产保护、会计系统、内部报告、经济活动分析、绩效考评、信息技术等控制措施审计。在对控制活动总体审计的基础上，进一步审查控制措施在主要经济业务和事项中的贯彻执行情况。从长期从事控制活动内部控制审计的实践看，控制活动审计包括整体层面和业务层面控制活动审计两个层面，整体层面的控制活动审计应该是在业务层面审计基础上进行的，具有汇总性质。
基于企业内部控制基本规范的控制活动审计要点
(一)不相容职务分离控制
不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。
(二)授权审批控制
授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任;企业应当编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权;企业各级管理人员应当在授权范围内行使职权和承担责任;企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。
(三)会计系统控制
会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整;企业应当依法设置会计机构，配备会计从业人员;从事会计工作的人员，必须取得会计从业资格证书;会计机构负责人应当具备会计师以上专业技术职务资格;大中型企业应当设置总会计师。
(四)财产保护控制
财产保护控制要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全;企业应当严格限制未经授权的人员接触和处置财产。
(五)预算控制
预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。
(六)运营分析控制
运营分析控制要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。
(七)绩效考评控制
绩效考评控制要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
(八)综合运用控制措施
企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。
(九)重大风险预警机制和突发事件应急处理机制
企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。
基于中国企业实践的控制活动审计内容及要点
(一)职责分工