对控制的监督

　　对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程。

　　制度制定出来不一定就完美，需要不断修正，才能保持一个长期的持续运行。对控制的监督可以简单理解为对企业内部制度进行观察督导并不断修正的过程。

　　较为经典的是ASB对内部控制的定义。1972年，美国审计准则委员会（ASB）公布了《审计准则公告》，该公告循着《证券交易法》的路线进行研究和讨论，对内部控制提出了如下定义：“内部控制是在一定的环境下，单位为了提高经营效率、充分有效地获得和使用各种资源，达到既定管理目标，而在单位内部实施的各种制约和调节的组织、计划、程序和方法。”

　　所谓内部控制，是指一个单位为了实现其经营目标，保护资产的安全完整，保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。

　　内部控制的5大要素内容如下：

　　1、控制环境

　　控制环境是所有其他组成要素的基础，包括了以下要素：

　　诚信和道德价值观；

　　致力于提高员工工作能力及促进员工职业发展的承诺；

　　董事会和审计委员会。包括的因素有董事会与审计委员会与管理者之间的独立性，成员的经验和身份，参与和监督活动的程度，行为的适当性；

　　管理层的理念和经营风格；

　　组织结构。包括了定义授权和责任的关键领域以及建立适当的报告流程；

　　权限及职责分配。经营活动的权限和权责分配以及建立报告关系和授权协议。它包括了以下几点：被激励主动发现问题并解决问题以及被授予权限的程度；也描述适当的经营实践，关键人员的知识和经验，提供给执行责任的资源政策；确保所有人理解公司目标。每个人知道他的行为与目标实现的关联和贡献的重要程度。

　　人力资源政策及程序。

　　2、风险评估：

　　风险评估：指一个动态的、不断更新的识别和评估内部控制目标相关的风险的流程。

　　风险评估相关的四项基本原则包括：

　　组织必须清晰、明确特定目标，进而帮助识别和评估与该目标相关的风险。

　　组织必须明确和分析实现组织目标相关的风险，进而确定应该如何管理风险。

　　组织在评估实现组织目标相关的风险时，必须考虑潜在的舞弊行为。

　　组织必须明确和评估对内部控制系统产生重大影响的变化。

　　3、信息与沟通：

　　信息与沟通：是指通过不断沟通提供、分析和获得必要信息。沟通包括内部和外部沟通。

　　信息与沟通相关的三项基本原则包括：

　　组织获得和使用相关、真实信息以支持内部控制职能。

　　组织内部对内部控制信息进行沟通。

　　组织与外部相关者就影响内部控制职能的信息进行沟通。

　　4、控制活动：

　　控制活动：是指企业根据风险评估结果，将风险控制在可接受范围之内而采用的政策和程序。

　　控制活动相关的三项基本原则包括：

　　组织需要根据风险评估结果，选择和开发相应的控制措施，将风险控制在可接受范围之内。

　　组织需要选择和开发一般的技术控制措施。

　　组织需要通过阐述预期发生事件的政策以及将政策付诸实践的流程来实施控制活动。

　　5、监督活动：

　　监督活动：指连续评价、独立评价或共同评价组织是否存在内部控制，以及内部控制是否发挥作用。

　　监督活动相关的两项基本原则包括：

　　组织实施连续和/或独立的评价，以评估是否存在内部控制，以及内部控制是否发生作用。

　　组织应及时地评价内部控制缺陷，并将内部控制缺陷信息传递给财务行动措施的相关方。