四、控制活动
　　（一）与审计相关控制活动的含义
　　控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。
　　1.授权
　　注册会计师应当了解与授权有关的控制活动，包括一般授权和特别授权。
　　授权的目的在于保证交易在管理层授权范围内进行。一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。特别授权是指管理层针对特定类别的交易或活动逐一设置的授权，特别授权也可能用于超过一般授权限制的常规交易。例如，同意因某些特别原因，对某个不符合一般信用条件的客户赊销商品。

　　2.业绩评价
　　注册会计师应当了解与业绩评价有关的控制活动，主要包括：
　　（1）被审计单位分析评价实际业绩与预算（或预测、前期业绩）的差异；
　　（2）综合分析财务数据与经营数据的内在关系；
　　（3）将内部数据与外部信息来源相比较，评价职能部门、分支机构或项目活动的业绩（如银行客户信贷经理复核各分行、地区和各种贷款类型的审批和收回）；
　　（4）对发现的异常差异或关系采取必要的调查与纠正措施。

　3.信息处理

　　注册会计师应当了解与信息处理有关的控制活动，包括信息技术的一般控制和应用控制。

　　一般控制是针对计算机的控制，应用控制是针对具体业务的控制。

　　信息技术一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行（包括信息的完整性和数据的安全性），支持应用控制作用的有效发挥，通常包括数据中心和网络运行控制，系统软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发及维护控制。

　　信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关，通常包括检查数据计算的准确性，审核账户和试算平衡表，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预。

4.实物控制

　　注册会计师应当了解实物控制，主要包括了解对资产和记录采取适当的安全保护措施，对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对。

　　5.职责分离

　　注册会计师应当了解职责分离，主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。当信息技术运用于信息系统时，职责分离可以通过设置安全控制来实现。

（二）对控制活动的了解
　　注册会计师的工作重点是识别和了解针对重大错报更高的领域的控制活动。在了解控制活动时，注册会计师应当重点考虑一项控制活动单独或连同其他控制活动，是否能够以及如何防止或发现并纠正各类交易、账户余额和披露存在的重大错报。如果多项控制活动能够实现同一目标，注册会计师不必了解与该目标相关的每项控制活动。（2020年教材调整：将“重大错报可能发生的领域”改为“重大错报更高的领域”）
　　注册会计师对被审计单位整体层面的控制活动进行的了解和评估，主要是针对被审计单位的一般控制活动，特别是信息技术的一般控制。在了解和评估一般控制活动时考虑的主要因素可能包括：
　　（1）对被审计单位的主要经营活动是否都有必要的控制政策和程序；
　　（2）管理层对预算、利润和其他财务和经营业绩方面是否都有清晰的目标，在被审计单位内部，是否对这些目标加以清晰的记录和沟通，并且积极地对其进行监控；
　　（3）是否存在计划和报告系统，以识别与目标业绩的差异，并向适当层次的管理层报告该差异；
　　（4）是否由适当层次的管理层对差异进行调查，并及时采取适当的纠正措施；
　　（5）不同人员的职责应在何种程度上相分离，以降低舞弊和不当行为发生的风险；
　　（6）会计系统中的数据是否与实物资产定期核对；

　　（7）是否建立了适当的保护措施，以防止未经授权接触文件、记录和资产；
　　（8）是否存在信息安全职能部门负责监控信息安全政策和程序。