2.1.3 風險點及相應控制的識別與管理

四大會計師事務所在建立風險點及其相應控制的時候，會有幾個相應的要素，理解清楚這幾個要素的聯系對理解風險點和相應的控制有幫助，這些要素分別如下。

1.什么可能出錯（What Could Go Wrong）

風險點是在了解了企業內部的整個操作環節后對整個流程的思考，哪些點可能會出錯，這就是尋找風險點。只有找到準確的風險點，企業才能進行下一步的內部控制設計。

風險點是對所有可能會發生的場景進行的預判，管理層覺得重要且影響重大的風險點會被選擇并進行風險控制。

2.報表認定（Assertion）

報表認定要點如下。

（1）完整性：所有的事項都應該被記錄。

（2）存在性：記錄的事項都真實且已經發生。

（3）準確性：記錄的金額必須是準確的。

（4）披露的充分性：所有應該披露的信息都已經被披露。

（5）權利和義務：披露的事項的權利和義務都和企業相關。

3.設計控制（Control Design）及控制類型（Control Type）

針對不同的需要被控制的風險點，需要設計出有效的控制點，對風險進行控制。比如說想要規避“銀錢被偷走”，設計出來的控制應該是“將銀錢存入錢莊”。被設計出的控制必須是針對風險點的且有效的。如果設計出來的控制總是將銀錢埋在地里，并在邊上立一個“此地無銀三百兩”的字牌，那顯然這個控制點就是無效的。

根據效果，控制主要可分為以下幾類。

（1）預防性控制（Preventive Control）：將控制前置的一種手段，在事情還沒有發生時就采取相應的措施，以避免或者控制錯誤發生的一種更正性活動。比如將網銀的制單和審核分別讓兩人擔任，就對網銀的支付差錯做出了預防性控制。

（2）檢查性控制（Detective Control）：將控制后置的一種手段，在事情已經發生后，進行的相應的彌補性控制。比如亡羊補牢故事中的主人在羊走失后去查找原因，發現羊圈破了再去修理羊圈，能夠防止后續更多的損失，這就是一種檢查性控制。

（3）應用控制（Application Control）：使用系統程序來進行的一種控制，一旦生成，只要系統程序不變，就會一直有效。比如，在報銷系統里面建立的“超過一定標準的住宿費不允許報銷”就是一種應用控制，當員工填入超過某個標準的住宿費時，系統無法保存并提示住宿費超標。

（4）依賴IT的人工控制（IT Dependent Manual Control）：企業使用系統進行記賬和管理，很多數據和報表都從系統中來，人為去使用和檢查這些數據所構建的控制。