管理层对内部审计的定位

一、 内部控制的含义和要素

内部控制是被审计单位为了合理保证财务报告的可靠性、 经营的效率和效果以及对法律法规的遵守，由治理层、 管理层和其他人员设计与执行的政策及程序。

可以从以下几个方面理解内部控制:

1. 内部控制的目标是合理保证

(1) 财务报告的可靠性，这一目标与管理层履行财务报告编制责任密切相关；

(2) 经营的效率和效果，即经济有效地使用企业资源，以最优方式实现企业的目标；

(3) 遵守适用的法律法规的要求，即在法律法规的框架下从事经营活动。

2. 设计和实施内部控制的责任主体是治理层、 管理层和其他人员

组织中的每一个人都对内部控制负有责任。

3. 实现内部控制目标的手段是设计和执行控制政策及程序

内部控制包括下列要素:

(1) 控制环境；

(2) 风险评估过程；

(3) 与财务报告相关的信息系统和沟通；

(4) 控制活动；

(5) 对控制的监督。

值得指出的是，本教材采用了Coso发布的内部控制框架，被审计单位可能并不一定采用这种分类方式来设计和执行内部控制。对内部控制要素的分类提供了了解内部控制的框架，但无论如何对内部控制要素进行分类，注册会计师都应当重点考虑被审计单位的某项控制是否能够以及如何防止或发现并纠正各类交易、 账户余额和披露存在的重大错报。也就是说，在了解和评价内部控制时，采用的具体分析框架及控制要素的分类可能并不唯一，重要的是控制能否实现控制目标。注册会计师可以使用不同的框架和术语描述内部控制的不同方面，但必须涵盖上述内部控制五个要素所涉及的各个方面。

被审计单位设计、 执行和维护内部控制的方式会因被审计单位的规模和复杂程度的不同而不同。小型被审计单位可能采用非正式和简单的流程与程序实现内部控制的目标，参与日常经营管理的业主 (以下简称业主) 可能承担多项职能，内部控制要素没有得到清晰区分，注册会计师应当综合考虑小型被审计单位的内部控制要素能否实现其目标。

二、 与审计相关的控制

内部控制的目标旨在合理保证财务报告的可靠性、 经营的效率和效果以及对法律法规的遵守。注册会计师审计的目标是对财务报表是否不存在重大错报发表审计意见，尽管要求注册会计师在财务报表审计中考虑与审计相关的内部控制，但目的并非对被审计单位内部控制的有效性发表意见。因此，注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。

被审计单位的目标与为实现目标提供合理保证的控制之间存在直接关系。被审计单位的目标和控制，与财务报告、 经营及合规有关。但这些目标和控制并非都与注册会计师的风险评估相关。

如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息，针对该信息完整性和准确性的控制可能与审计相关。如果与经营和合规目标相关的控制与注册会计师实施审计程序时评价或使用的数据相关，则这些控制也可能与审计相关。

用以防止未经授权购买、 使用或处置资产的内部控制，可能包括与财务报告和经营目标相关的控制。注册会计师对这些控制的考虑通常仅限于与财务报告可靠性相关的控制。

被审计单位通常有一些与目标相关但与审计无关的控制，注册会计师无须对其加以考虑。例如，被审计单位可能依靠某一复杂的自动化控制提高经营活动的效率和效果 (如航空公司用于维护航班时间表的自动化控制系统)，但这些控制通常与审计无关。进一步讲，虽然内部控制应用于整个被审计单位或所有经营部门或业务流程，但是了解与每个经营部门和业务流程相关的内部控制，可能与审计无关。

三、 对内部控制了解的深度

对内部控制了解的深度，是指在了解被审计单位及其环境时对内部控制了解的程度。包括评价控制的设计，并确定其是否得到执行，但不包括对控制是否得到一贯执行的测试。

(一) 评价控制的设计

注册会计师在了解内部控制时，应当评价控制的设计，并确定其是否得到执行。评价控制的设计，涉及考虑该控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。控制得到执行，是指某项控制存在且被审计单位正在使用。评估一项无效控制的运行没有什么意义，因此，需要首先考虑控制的设计。设计不当的控制可能表明存在值得关注的内部控制缺陷。

(二) 获取控制设计和执行的审计证据

注册会计师通常实施下列风险评估程序，以获取有关控制设计和执行的审计证据:

(1) 询问被审计单位人员；

(2) 观察特定控制的运用；

(3) 检查文件和报告；

(4) 追踪交易在财务报告信息系统中的处理过程 (穿行测试)。

这些程序是风险评估程序在了解被审计单位内部控制方面的具体运用。

询问本身并不足以评价控制的设计以及确定其是否得到执行，注册会计师应当将询问与其他风险评估程序结合使用。

(三) 了解内部控制与测试控制运行有效性的关系

除非存在某些可以使控制得到一贯运行的自动化控制，否则，注册会计师对控制的了解并不足以测试控制运行的有效性。

例如，获取某一人工控制在某一时点得到执行的审计证据，并不能证明该控制在所审计期间内的其他时点也有效运行。但是，信息技术可以使被审计单位持续一贯地对大量数据进行处理，提高了被审计单位监督控制活动运行情况的能力，信息技术还可以通过对应用软件、 数据库、 操作系统设置安全控制来实现有效的职责划分。由于信息技术处理流程的内在一贯性，实施审计程序确定某项自动控制是否得到执行，也可能实现对控制运行有效性测试的目标，这取决于注册会计师对控制 (如针对程序变更的控制) 的评估和测试。

四、 内部控制的局限性

内部控制无论如何有效，都只能为被审计单位实现财务报告目标提供合理保证。内部控制实现目标的可能性受其固有限制的影响。这些限制包括以下两项:

(一) 在决策时人为判断可能出现错误和因人为失误而导致内部控制失效

例如，控制的设计和修改可能存在失误。同样地，控制的运行可能无效，例如，由于负责复核信息的人员不了解复核的目的或没有采取适当的措施，内部控制生成的信息 (如例外报告) 没有得到有效使用。

(二) 控制可能由于两个或更多的人员串通或管理层不当地凌驾于内部控制之上而被规避

例如，管理层可能与客户签订 “背后协议”，修改标准的销售合同条款和条件，从而导致不适当的收入确认。再如，软件中的编辑控制旨在识别和报告超过赊销信用额度的交易，但这一控制可能被凌驾或不能得到执行。

此外，如果被审计单位内部行使控制职能的人员素质不适应岗位要求，也会影响内部控制功能的正常发挥。被审计单位实施内部控制的成本效益问题也会影响其效能，当实施某项控制成本大于控制效果而发生损失时，就没有必要设置该控制环节或控制措施。内部控制一般都是针对经常而重复发生的业务设置的，如果出现不经常发生或未预计到的业务，原有控制就可能不适用。

五、 控制环境

(一) 控制环境的含义

控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、 认识和措施。控制环境设定了被审计单位的内部控制基调，影响员工对内部控制的意识。良好的控制环境是实施有效内部控制的基础。防止或发现并纠正舞弊和错误是被审计单位治理层和管理层的责任。在评价控制环境的设计和实施情况时，注册会计师应当了解管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化，以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。实际上，在审计业务承接阶段，注册会计师就需要对控制环境作出初步了解和评价。

(二) 对诚信和道德价值观念的沟通与落实

诚信和道德价值观念是控制环境的重要组成部分，影响到重要业务流程的内部控制设计和运行。内部控制的有效性直接依赖于负责创建、 管理和监控内部控制的人员的诚信和道德价值观念。被审计单位是否存在道德行为规范，以及这些规范如何在被审计单位内部得到沟通和落实，决定了是否能产生诚信和道德的行为。对诚信和道德价值观念的沟通与落实，既包括管理层如何处理不诚实、 非法或不道德行为，也包括在被审计单位内部，通过行为规范以及高层管理人员的身体力行，对诚信和道德价值观念的营造和保持。

例如，管理层在行为规范中指出，员工不允许从供货商那里获得超过一定金额的礼品，超过部分都须报告和退回。尽管该行为规范本身并不能绝对保证员工都照此执行，但至少意味着管理层已对此进行明示，它连同其他程序，可能构成一个有效的预防机制。

注册会计师在了解和评估被审计单位诚信和道德价值观念的沟通与落实时，考虑的主要因素可能包括以下几点:

(1) 被审计单位是否有书面的行为规范并向所有员工传达；

(2) 被审计单位的企业文化是否强调诚信和道德价值观念的重要性；

(3) 管理层是否身体力行，高级管理人员是否起表率作用；

(4) 对违反有关政策和行为规范的情况，管理层是否采取适当的惩罚措施。

(三) 对胜任能力的重视

胜任能力是指具备完成某一职位的工作所应有的知识和能力。管理层对胜任能力的重视包括对于特定工作所需的胜任能力水平的设定，以及对达到该水平所必需的知识和能力的要求。注册会计师应当考虑主要管理人员和其他相关人员是否能够胜任承担的工作和职责，例如，财务人员是否对编报财务报表所适用的会计准则和相关会计制度有足够的了解并能正确运用。

注册会计师在就被审计单位对胜任能力的重视情况进行了解和评估时，考虑的主要因素重要包括以下几点:

(1) 财务人员以及信息管理人员是否具备与被审计单位业务性质和复杂程度相称的足够的胜任能力和培训，在发生错误时，是否通过调整人员或系统来加以处理；

(2) 管理层是否配备足够的财务人员以适应业务发展和有关方面的需要；

(3) 财务人员是否具备理解和运用会计准则所需的技能。

(四) 治理层的参与程度

被审计单位的控制环境在很大程度上受治理层的影响。治理层的职责应在被审计单位的章程和政策中予以规定。治理层 (董事会) 通常通过其自身的活动，并在审计委员会或类似机构的支持下，监督被审计单位的财务报告政策和程序。因此，董事会、 审计委员会或类似机构应关注被审计单位的财务报告，并监督被审计单位的会计政策以及内部、 外部的审计工作和结果。治理层的职责还包括监督用于复核内部控制有效性的政策和程序设计是否合理，执行是否有效。

治理层对控制环境影响的要素有: 治理层相对于管理层的独立性、 成员的经验和品德、治理层参与被审计单位经营的程度和收到的信息及其对经营活动的详细检查、 治理层采取措施的适当性，包括提出问题的难度和对问题的跟进程度，以及治理层与内部审计人员和注册会计师的互动等。

(五) 管理层的理念和经营风格

1. 管理层负责企业的运作以及经营策略和程序的制定、 执行与监督

控制环境的每个方面在很大程度上都受管理层采取的措施和作出决策的影响，或在某些情况下受管理层不采取某些措施或不作出某种决策的影响。在有效的控制环境中，管理层的理念和经营风格可以创造一个积极的氛围，促进业务流程和内部控制的有效运行，同时创造一个减少错报发生可能性的环境。在管理层以一个或少数几个人为主时，管理层的理念和经营风格对内部控制的影响尤为突出。

2. 管理层的理念包括管理层对内部控制的理念

即管理层对内部控制以及对具体控制实施环境的重视程度。管理层对内部控制的重视，有助于控制的有效执行，并减少特定控制被忽视或规避的可能性。控制理念反映在管理层制定的政策、 程序及所采取的措施中，而不是反映在形式上。因此，要使控制理念成为控制环境的一个重要特质，管理层必须告知员工内部控制的重要性。同时，只有建立适当的管理层控制机制，控制理念才能产生预期的效果。

衡量管理层对内部控制重视程度的重要标准，是管理层收到有关内部控制缺陷及违规事件的报告时是否作出适当反应。管理层及时下达纠弊措施，表明他们对内部控制的重视，也有利于加强企业内部的控制意识。

此外，了解管理层的经营风格也很有必要，管理层的经营风格可以表明管理层所能接受的业务风险的性质。例如，管理层是否经常投资于风险特别高的领域或者在接受风险方面极为保守，不敢越雷池一步。注册会计师应考虑的问题包括: 管理层是否谨慎从事，只有在对方案的风险和潜在利益进行仔细研究分析后才能进一步采取措施。了解管理层的经营风格有助于注册会计师判断哪些因素影响管理层对待内部控制的态度，哪些因素影响在编制财务报表时所做的判断，特别是在作出会计估计以及选用会计政策时。这种了解也有助于注册会计师进一步认识管理层的能力和经营动机。注册会计师对管理层的能力和诚信越有信心，就越有理由信赖管理层提供的信息和作出的解释及声明。相反，如果对管理层经营风格的了解加重了注册会计师的怀疑，注册会计师就会加大职业怀疑的程度，从而对管理层的各种声明产生疑问。因此，了解管理层的经营风格对注册会计师评估重大错报风险有着重要的意义。

(六) 组织结构及职权与责任的分配

被审计单位的组织结构为计划、 运作、 控制及监督经营活动提供了一个整体框架。通过集权或分权决策，可在不同部门间进行适当的职责划分，建立适当层次的报告体系。组织结构将影响权利、 责任和工作任务在组织成员中的分配。被审计单位的组织结构在一定程度上取决于被审计单位的规模和经营活动的性质。

注册会计师应当考虑被审计单位组织结构中是否采用向个人或小组分配控制职责的方法，是否建立了执行特定职能 (包括交易授权) 的授权机制，是否确保每个人都清楚地了解报告关系和责任。注册会计师还需审查对分散经营活动的监督是否充分。有效的权责分配制度有助于形成整体的控制意识。

注册会计师应当关注组织结构及权责分配方法的实质而不是仅仅关注其形式。相应地，注册会计师应当考虑相关人员对政策与程序的整体认识水平和遵守程度，以及管理层对其实施监督的程度。

注册会计师对组织结构的审查，有助于其确定被审计单位的职责划分应该达到何种程度，也有助于其评价被审计单位在这方面的不足会对整体审计策略产生的影响。

信息系统处理环境是注册会计师对组织结构及权责分配方法进行审查的一个重要方面。注册会计师应当考虑信息系统职能部门的结构安排是否明确了职责分配，授权和批准系统变化的职责分配，以及是否明确程序开发、 运行及使用者之间的职责划分。

综上所述，注册会计师应当对控制环境的构成要素获取足够的了解，并考虑内部控制的实质及其综合效果，以了解管理层和治理层对内部控制及其重要性的态度、 认识以及所采取的措施。

六、 被审计单位的风险评估过程

(一) 被审计单位风险评估过程的含义

任何经济组织在经营活动中都会面临各种各样的风险，风险对其生存和竞争能力产生影响。很多风险并不为经济组织所控制，但管理层应当确定可以承受的风险水平，识别这些风险并采取一定的应对措施。

风险评估过程的作用是识别、 评估和管理影响被审计单位实现经营目标能力的各种风险。而针对财务报告目标的风险评估过程则包括识别与财务报告相关的经营风险，评估风险的重大性和发生的可能性，以及采取措施管理这些风险。例如，风险评估可能会涉及被审计单位如何考虑对某些交易未予记录的可能性，或者识别和分析财务报告中的重大会计估计发生错报的可能性。与财务报告相关的风险也可能与特定事项和交易有关。

被审计单位的风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。注册会计师应当了解被审计单位的风险评估过程和结果。

(二) 对风险评估过程的了解

在评价被审计单位风险评估过程的设计和执行时，注册会计师应当确定管理层如何识别与财务报告相关的经营风险，如何估计该风险的重要性，如何评估风险发生的可能性，以及如何采取措施管理这些风险。如果被审计单位的风险评估过程符合其具体情况，了解被审计单位的风险评估过程和结果有助于注册会计师识别财务报表的重大错报风险。

注册会计师可以通过了解被审计单位及其环境的其他方面信息，评价被审计单位风险评估过程的有效性。例如，在了解被审计单位的业务情况时，发现了某些经营风险，注册会计师应当了解管理层是否也意识到这些风险以及如何应对。

在对业务流程的了解中，注册会计师还可能进一步获得被审计单位有关业务流程的风险评估过程的信息。例如，在销售循环中，如果发现了销售的截止性错报的风险，注册会计师应当考虑管理层是否也识别了该错报风险以及如何应对该风险。

注册会计师应当询问管理层识别出的经营风险，并考虑这些风险是否可能导致重大错报。

在审计过程中，如果发现与财务报表有关的风险因素，注册会计师可通过向管理层询问和检查有关文件，确定被审计单位的风险评估过程是否也发现了该风险； 如果识别出管理层未能识别的重大错报风险，注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险，以及评估过程是否适合于具体环境。

七、 信息系统与沟通

(一) 与财务报告相关的信息系统的含义

与财务报告相关的信息系统，包括用以生成、 记录、 处理和报告交易、 事项和情况，对相关资产、 负债和所有者权益履行经营管理责任的程序和记录。交易可能通过人工或自动化程序生成。记录包括识别和收集与交易、 事项有关的信息。处理包括编辑、 核对、 计量、 估价、 汇总和调节活动，可能由人工或自动化程序来执行。报告是指用电子或书面形式编制财务报告和其他信息，供被审计单位用于衡量和考核财务及其他方面的业绩。与财务报告相关的信息系统应当与业务流程相适应。

业务流程是指被审计单位开发、 采购、 生产、 销售、 发送产品和提供服务、 保证遵守法律法规、 记录信息等一系列活动。与财务报告相关的信息系统所生成的信息的质量，对管理层能否作出恰当的经营管理决策以及编制可靠的财务报告具有重大影响。

(二) 对与财务报告相关的信息系统的了解

注册会计师应当从下列几个方面了解与财务报告相关的信息系统(包括相关业务流程):

(1) 在被审计单位经营过程中，对财务报表具有重大影响的各类交易；

(2) 在信息技术和人工系统中，被审计单位的交易生成、 记录、 处理、 必要的更正、结转至总账以及在财务报表中报告的程序；

(3) 用以生成、 记录、 处理、 报告 (包括纠正不正确的信息以及信息如何结转至总账)交易的会计记录、 支持性信息和财务报表中的特定账户；

(4) 被审计单位的信息系统如何获取除交易以外的对财务报表有重大影响的事项和情况；

(5) 用于编制被审计单位财务报表 (包括作出的重大会计估计和披露) 的财务报告过程；

(6) 与会计分录相关的控制，这些分录包括用以记录非经常性的、 异常的交易或调整的非标准会计分录。

自动化程序和控制可能降低了发生无意错误的风险，但是并没有消除个人凌驾于控制之上的风险，如某些高级管理人员可能篡改总分类账和财务报告系统的数据金额。当被审计单位运用信息技术进行数据的传递时，发生篡改可能不会留下痕迹或证据。

(三) 与财务报告相关的沟通的含义

与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责，员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式。

公开的沟通渠道有助于确保例外情况得到报告和处理。沟通可以采用政策手册、 会计和财务报告手册及备忘录等形式进行，也可以通过发送电子邮件、 口头沟通和管理层的行动来进行。

(四) 对与财务报告相关的沟通的了解

注册会计师应当了解被审计单位内部如何对财务报告的岗位职责以及与财务报告相关的重大事项进行沟通。注册会计师还应当了解管理层与治理层 (特别是审计委员会) 之间的沟通，以及被审计单位与外部 (包括与监管部门) 的沟通。

八、 控制活动

(一) 与审计相关的控制活动的含义

控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、 业绩评价、 信息处理、 实物控制和职责分离等相关的活动。

1. 授权

注册会计师应当了解与授权有关的控制活动，包括一般授权和特别授权。授权的目的在于保证交易在管理层授权范围内进行。

一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。

特别授权是指管理层针对特定类别的交易或活动逐一设置的授权，如重大资本支出和股票发行等。特别授权也可能用于超过一般授权限制的常规交易。例如，因某种特别原因，同意对某个不符合一般信用条件的客户赊销商品。

2. 业绩评价

注册会计师应当了解与业绩评价有关的控制活动，主要包括被审计单位分析评价实际业绩与预算 (或预测、 前期业绩) 的差异，综合分析财务数据与经营数据的内在关系，将内部数据与外部信息来源相比较，评价职能部门、 分支机构或项目活动的业绩 (如银行客户信贷经理复核各分行、 地区和各种贷款类型的审批和收回)，以及对发现的异常差异或关系采取必要的调查与纠正措施。

通过调查非预期的结果和非正常的趋势，管理层可以识别可能影响经营目标实现的情形。管理层对业绩信息的使用 (如将这些信息用于经营决策，用于对财务报告系统报告的非预期结果进行追踪)，决定了业绩指标的分析是只用于经营目的还是同时用于财务报告目的。

3. 信息处理

注册会计师应当了解与信息处理有关的控制活动，包括信息技术的一般控制和应用控制。

被审计单位通常执行各种措施，检查各种类型信息处理环境下的交易的准确性、 完整性和授权。信息处理控制可以是人工的、 自动化的，或是基于自动流程的人工控制。信息处理控制分为两类，即信息技术一般控制和应用控制。

信息技术一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行 (包括信息的完整性和数据的安全性)，支持应用控制作用的有效发挥，通常包括数据中心和网络运行控制，系统软件的购置、 修改及维护控制，接触或访问权限控制，应用系统的购置、 开发及维护控制。例如，程序改变的控制、 限制接触程序和数据的控制、 与新版应用软件包实施有关的控制等都属于信息技术一般控制。

信息技术应用控制是指主要在业务流程层面运行的人工或自动化程序，与用于生成、 记录、 处理、 报告交易或其他财务数据的程序相关，通常包括检查数据计算的准确性，审核账户和试算平衡表，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预。

4. 实物控制

注册会计师应当了解实物控制，主要包括了解对资产和记录采取适当的安全保护措施，对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对。例如，现金、 有价证券和存货的定期盘点控制。实物控制的效果影响资产的安全，从而对财务报表的可靠性及审计产生影响。

5. 职责分离

注册会计师应当了解职责分离，主要包括了解被审计单位如何将交易授权、 交易记录以及资产保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。当信息技术运用于信息系统时，职责分离可以通过设置安全控制来实现。

(二) 对控制活动的了解

在了解控制活动时，注册会计师应当重点考虑一项控制活动单独或连同其他控制活动，是否能够以及如何防止或发现并纠正各类交易、 账户余额和披露存在的重大错报。注册会计师的工作重点是识别和了解针对重大错报可能发生的领域的控制活动。如果多项控制活动能够实现同一目标，注册会计师不必了解与该目标相关的每项控制活动。注册会计师对被审计单位整体层面的控制活动进行的了解和评估，主要是针对被审计单位的一般控制活动，特别是信息技术一般控制。

九、 对控制的监督

(一) 对控制的监督的含义

管理层的重要职责之一就是建立和维护控制并保证其持续有效运行，对控制的监督可以实现这一目标。监督是由适当的人员，在适当、 及时的基础上，评估控制的设计和运行情况的过程。对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程。对控制的监督涉及及时评估控制的有效性并采取必要的补救措施。例如，管理层对是否定期编制银行存款余额调节表进行复核，内部审计人员评价销售人员是否遵守公司关于销售合同条款的政策，法律部门定期监控公司的道德规范和商务行为准则是否得以遵循等。监督对控制的持续有效运行十分重要。假如没有对银行存款余额调节表是否得到及时和准确的编制进行监督，该项控制可能无法得到持续的执行。

通常，管理层通过持续的监督活动、 单独的评价活动或两者相结合实现对控制的监督。持续的监督活动通常贯穿于被审计单位日常重复的活动中，包括常规管理和监督工作。例如，管理层在履行其日常管理活动时，取得内部控制持续发挥功能的信息。当业务报告、 财务报告与他们获取的信息有较大差异时，会对有重大差异的报告提出疑问，并做必要的追踪调查和处理。

被审计单位可能使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价，以找出内部控制的优点和不足，并提出改进建议。被审计单位也可能利用与外部有关各方沟通或交流所获取的信息监督相关的控制活动。在某些情况下，外部信息可能显示内部控制存在的问题和需要改进之处。例如，客户通过付款来表示其同意发票金额，或者认为发票金额有误而不付款。监管机构 (如银行监管机构) 可能会对影响内部控制运行的问题与被审计单位沟通。管理层可能也会考虑与注册会计师就内部控制进行沟通，通过与外部信息的沟通，可以发现内部控制存在的问题，以便采取纠正措施。

值得注意的是，上述用于监督活动的很多信息都由被审计单位的信息系统产生，这些信息可能会存在错报，从而导致管理层从监督活动中得出错误的结论。因此，注册会计师应当了解与被审计单位监督活动相关的信息来源，以及管理层认为信息具有可靠性的依据。如果拟利用被审计单位监督活动使用的信息 (包括内部审计报告)，注册会计师应当考虑该信息是否具有可靠的基础，是否足以实现审计目标。

(二) 了解对内部控制的监督

注册会计师在对被审计单位整体层面的监督进行了解和评估时，考虑的主要因素可能包括以下几点:

(1) 被审计单位是否定期评价内部控制。

(2) 被审计单位人员在履行正常职责时，能够在多大程度上获得内部控制是否有效运行的证据。

(3) 与外部的沟通能够在多大程度上证实内部产生的信息或者指出存在的问题。

(4) 管理层是否采纳内部审计人员和注册会计师有关内部控制的建议。

(5) 管理层是否及时纠正控制运行中的偏差。

(6) 管理层根据监管机构的报告及建议是否及时采取纠正措施。

(7) 是否存在协助管理层监督内部控制的职能部门 (如内部审计部门)。

如存在，对内部审计职能需进一步考虑的因素包括:

①独立性和权威性；

②向谁报告，例如，直接向董事会、 审计委员会或类似机构报告，对接触董事会、 审计委员会或类似机构是否有限制；

③是否有足够的人员、 培训和特殊技能，例如，对于复杂的、 高度自动化的环境，应使用有经验的信息系统审计人员；

④是否坚持适用的专业准则；

⑤活动的范围，例如，财务审计和经营审计工作的平衡，在分散经营情况下，内部审计的覆盖程度和轮换程度；

⑥计划、 风险评估和执行工作的记录及形成结论的适当性；

⑦是否不承担经营管理责任。