资格考试网

注册会计师CPA初级会计师中级会计师高级会计师初级经济师中级经济师高级经济师证券从业资格基金从业资格期货从业资格银行职业资格税务师注册资产评估师审计师国际注册内部审计师特许公认会计师ACCA美国注册会计师USCPA美国管理会计师CMA澳洲CPA零基础会计上岗训练营会计新锐实操训练营财务主管上岗训练营财务精英孵化训练营财务经理孵化训练营管理会计师实战训练营税务精英训练营会计从业财税实操会计实务金融实务会计硕士考研会计高教自考临床助理医师临床执业医师中医助理医师中医执业医师中西医助理医师中西医执业医师口腔助理医师口腔执业医师公卫助理医师公卫执业医师医师分阶段中医师承/确有专长中医(专长)医师乡村全科助理医师全科主治医师内科主治医师外科主治医师妇产科主治医师儿科主治医师中医内科主治医师口腔主治医师护士执业资格初级护师主管护师执业药师初级药士初级药师主管药师初级中药士初级中药师主管中药师临床检验技士临床检验技师临床检验主管技师医学硕士考研医学高教自考医疗招聘健康管理师高级小儿推拿师高级康复理疗师二级建造师一级建造师二级造价工程师一级造价工程师监理工程师咨询工程师安全工程师城乡规划师房地产估价师房地产经纪人房地产经纪协理注册消防工程师BIM技能等级工程高教自考

2018年国际注册内部审计师CIA资格考试辅导课件《内部审计实务》基础学习班第一部分内部审计的战略角色

来源:免费下载资料作者:资格考试网网址:http://www.guokaow.com/ 
分享到:


第一部分 Topic A 内部审计的战略角色

  前 言
  01考试用书
  02考试形式
  03考试题型
  04题量时间

  CIA参考用书
  《国际内部审计专业实务框架》(2013年修订)
  《实施国际内部审计专业实务框架》(第三版)
  《内部审计实务》(第五版,中英文对照)
  《CIA考试习题汇编》(第五版)
  《CIA考试习题汇编》(2011年)

  考试形式
  全部实行机考
  预约式考试
  四次/年
  考试题型
  三个科目,均为单项选择题
  大四的考生是可以报考的

  考试题量、时间
  《内部审计基础》125题,150分钟
  《内部审计实务》和《内部审计知识要素》100题,各为120分钟

  
  内部审计实务第一部分
  Ⅰ.管理内部审计职能(40%~50%)
  基础内容理解
  1.内部审计目标和范围
  国际内部审计师协会(IAA)界定:
  ●定位
  是一个独立鉴证部门
  ●主要职责
  检查和评估公司执行的作业
  ●协助的对象
  管理层和董事会

  ●范围
  包括检查和评估公司内部控制系统的充分性和有效性,以及各部门职责的履行情况。
  ●目标
  √协助公司成员有效地履行他们的职责,为他们提供与被审查作业有关的分析、鉴证、意见、咨询和信息
  √以合理的成本进行有效的控制。
  内部审计部门的职责范围明显比审查财务报告和评估内部控制要广得多,因此必须有效地管理内部审计活动,保证为组织增加价值

  2.关于“首席审计执行官(CAE)”
  
  所有组织(包括外包的),都必须指定一人如CAE,对内审活动进行监管

  
  符合下列情况时,属于得到了有效的管理:
  ●内审工作结果 → 达到了内审章程所包含的目的和责任;
  ●内部审计活动 → 遵循了“内部审计定义”和《标准》;
  ●内部审计人员 → 遵循了《职业道德规范》和《标准》。

  
  如何最好的增加价值?
  期望和认识
  CAE需要了解主要利益相关者的期望以及他们对增加价值的认识。

  3.内部审计管理
  在战略管理型组织中,内审的管理也具有战略性,内审应该理解:
  ●组织如何运作以实现其战略目标
  ●内外部因素使组织发生了怎样的变化,变化对内审有何影响
  ●组织如何调整其使命、战略和环境的——组织结构、利益相关者需要、道德氛围和组织治理。
  内审部门管理需致力于将内审职能在风险、成本和价值之间达到有效的平衡,这也是内部审计提升业绩的关键之一。

  (1)内部审计管理——风险
  内审部门需具备相应的能力和灵敏度迅速了解自身差距
  ●定期进行滚动风险评估(内部审计计划以年度、半年度、季度的频率进行评估);
  ●改进风险评估方式,按风险高低进行排序,关注最高风险;
  ●扩大对主要及新出现风险的控制范围;
  ●与其他风险部门进行协调与合作
  ●加强整个公司对控制的了解和控制举措

  (2)内部审计管理——成本
  内审积极寻求改进自身效率和效果机会
  ●更好地进行成本控制(通过关注适当的风险、选择合适的内审方法和技术,如采用数据分析法还是实施现场审阅);
  ●更大限度地运用技术手段来优化各流程;
  ●确保成本分配与风险等级相符
  ●运用灵活的人员组合模式,管理好对人员能力的需求与成本。
  不应只关注节省成本,作为审计流程的一部分,应更关注如何在整个组织范围内提高成本效率
  通过加强对业务流程和目标的理解,内部审计部门可以帮助整个组织识别其关注的成本效率问题。

  (3)内部审计管理——价值
  管理层对内审的期望与日俱增
  ●提升内部审计部门的整体技能和人员素质;
  ●提升业务执行能力;
  ●提升主要变革项目的成效;
  ●就进入新市场相关问题提出建议
  ●根据同行业其他公司的情况建立标准。

  典型例题
  首席审计执行官必须有效地管理内部审计活动,确保为组织增加价值。内部审计活动符合下列情况时,属于得到了有效的管理:
  Ⅰ.内部审计部门的工作结果达到了内部审计章程所包含的目的和责任;
  Ⅱ.内部审计活动遵循了“内部审计定义” 和《标准》;
  Ⅲ.内部审计人员遵循了《职业道德规范》和《标准》。
  a.Ⅰ 正确。
  b.Ⅱ 正确。
  c.Ⅲ 正确。
  d.Ⅰ、Ⅱ and Ⅲ 都正确。


『正确答案』d
『答案解析』
  a.不正确。见题解d。
  b.不正确。见题解d。
  c.不正确。见题解d。
  d.正确。Ⅰ、Ⅱ and Ⅲ 都是《标准》关于内部审计管理活动有效性的内容。


  A、内部审计的战略角色
  目录
  1.发起、管理和应对变化,成为变革的催化剂
  2.建立和保持与执行层的其他人员以及审计委员会之间的联系
  3.在描述、分析和业务流程改进当中组织和领导团队
  4.评估和培养董事会和管理层的道德氛围
  5.就公司治理、风险管理、控制和合规性的最佳实务培训高级管理层和董事会
  6.定期向高级管理层和董事会报告内部审计的关键绩效指标
  7.与外部审计师、法规监管机构以及其他内部确认部门协调内部审计工作
  8.评估绩效考核系统的充分性以及公司目标的实现情况一一了解水平

  ★相关知识
  内部审计的战略价值
  为体现内部审计的战略价值,内审在独立性得到提升的同时也面临着转型
  从“合规官”到“业务顾问”,从“业务警察”转变为“战略性业务顾问”
  ●监督公司的运营控制
  ●围绕公司的领先实务提出真知灼见
  ●并能实现成本效益最大化

  转型三步走
  

  >>将内部审计与商业价值议题挂钩
  如下的商业价值议题列举了内部审计部门可配合的公司业务目标,主要体现在组织成长、财务和运营三大领域:

  成长
  √执行财务交易及联盟方案;
  √进入新市场;
  √在新产品及服务上革新;
  √建立客户关系。

  运营
  √优化常规交易;
  √减少成本;
  √改进流程和系统;
  √优化人力资本。

  财务
  √管理资金;
  √管理资产;
  √管理负债及监管方面的事项;
  √记录并沟通结果。

  >>建立实现转型变革的价值依据
  

  内审的问题可能存在于
  

  

  

  

  >>围绕价值、衡量和问责制定转型计划
  在了解内审部门在公司的定位,并已确立了转型变革的依据后,应制定转型计划,使内审部门实现预期的转型。

  CAE的职责:
  CAE的职责是确保由适当的人来负责转型计划的制定,并保证计划涉及的各相关负责人,分别对其各自计划的目标和目标达成承担责任
  了解参与各方:
  内审部门需清楚了解参与各方的业务目标、行动、职责和角色以及实施的时间

  实务中通常做法:
  实务中通常使用价值计分卡,内审的领先做法是对转型计划采用开放与透明的管理方式,随时报告为实现组织业务目标所开展工作的进度及发挥的作用

  现代内审在组织中的战略作用主要体现在以下几个方面:
  ●发起、管理和应对变化,成为变革的催化剂
  ●建立和保持与相关执行层、治理层的联系
  ●为业务流程的改进作出贡献
  ●评估道德氛围
  ●培训最佳做法
  ●定期向高级管理层和董事会报告内部审计的关键绩效指标
  ●协调与内外部服务提供者的职能
  ●评估绩效考核系统的充分性以及公司目标的实现情况

  ●发起、管理和应对变化,成为变革的催化剂
  

  ●建立和保持与相关执行层、治理层的联系
  内审职能的实际战略,主要在治理和监督过程中的参与
  

  ●为业务流程的改进作出贡献
  IIA在实务中倡导的增值审计
  →是以“风险为导向”,以“过程为导向”
  →针对整个业务流程进行审计,而不是组织的各个业务单位。
  →进而关注流程的改进

  ●评估道德氛围
  

  ●培训最佳做法
  

  ●定期向高级管理层和董事会报告内部审计的关键绩效指标
  
  重要:
  ①按照高级管理层和董事会的期望
  ②定期跟踪和衡量绩效
  ③满足甚至超越主要利益相关方的期望
  ④定期向高级管理层和董事会报告关键绩效指标

  ●协调与内外部服务提供者的职能
  

  ●评估绩效考核系统的充分性以及公司目标的实现情况
  

  
  1.发起、管理和应对变化,成为变革的催化剂
  

  变革促进者(Change Agent)
  变革促进者是一个在组织内部推动变革的个体。
  他未必是变革的发起者,可以来自于组织内部也可能是组织外部。

  《变革促进者指南》对变革促进者的作用进行了如下描述:
  ●教育并协助上层管理者启动和维持变革;
  ●为其他同事提供帮助和建议
  ●管理具体项目;
  ●具体实施和管理支持系统。

  咨询项目
  

  确认业务
  应了解哪些正在进行中的变革或者曾经参与过的变革
  如果正在启动一项重要变革
  ①对变革管理流程进行评估。
  ②评估流程应特别关注风险和控制,一个无效果的变革流程可能会产生大量的控制缺陷。

  ●在竞争性的环境中,变革是持续性的。
  ●变革既能带来成功和机会,也会产生大量风险
  内审
  ●担当支持和促进战略变革的角色
  ●识别变革的潜在风险
  ●提出针对这些风险的有效控制方法

  

  内审成为变革的催化剂,需在变革中开展成功的如下审计活动:
  ①消除惧怕
  ②描绘愿景
  ③解决自尊心
  ④合作减少官僚
  ⑤变革表象失败处理

  √解释影响描述优势和风险来消除惧怕
  通过解释变革对现行运营的可能影响程度以及清楚地描述变革的潜在优势和风险,可以消除对未知情况的惧怕
  √解释冲突,描绘愿景
  解释变革与现行运营方式的冲突,可以描述变革的积极结果客户管理将逐步获得信誉的情形

  √客户管理层决策解决自尊心
  通过客户管理层进行决策,以便使变革实实在在地成为他们的工作成果,进而解决管理层的自尊心问题;
  √全面合作减少官僚
  通过和参与构建整体变革的人合作,以及和相关的纵向和横向部门进行合作减少官僚问题,包括纵向和横向重组的需要;
  √解释变革积极结果应对变革表象失败
  如果变革不符合成本效益原则,或导致运营效率更低,解释变革的收益超过表面损失的积极结果。

  典型例题
  1.由于当地环境组织的不满,一家印刷公司将所用的油墨改成无毒性的。这一实例的组织变革称为:
  a.预期变化型。
  b.即时反应型。
  c.增量型。
  d.战略型。


『正确答案』b
『答案解析』
  a.不正确。这类变革指那些经过系统规划的变革,旨在利用已经预期到的形势。而该公司的变革则是在当地环境组织提出不满后进行的。
  b.正确。这类变革是由于发生了没有预见到的环境变化或压力而被迫进行的变革,该公司的变革正是在当地环境组织施加压力的情况下进行的变革。
  c.不正确。这类变革是为了确保组织按照既定的方向发展而必须进行的子系统的调整。
  d.不正确。战略型变革改变组织的发展方向和整个结构,而该公司的变革未发生这类改变。


  2.某首席审计执行官计划进行某些改变,审计人员对这些改变可能存在消极的认识。降低抵触的最好的方式是:
  a.在向审计人员提出新方法之前,将新方法完全制定出来。
  b.要求首席执行官批准这些改变,并邀请首席执行官出席部门员工会议,在该会议上提出这些改变。
  c.向审计人员提出总的想法,并让他们参与规划变革。
  d.让内部审计部门的客户来支持这些改变。


『正确答案』c
『答案解析』
  a.不正确。将新方法完全制定出来后再向审计人员提出不能降低他们对变革的抵触。
  b.不正确。让首席执行官参与进来不一定会降低审计人员对变革的抵触。
  c.正确。从一开始便让审计人员参与变革会降低他们对变革的抵触。
  d.不正确。让内部审计部门的客户参与改变过程不一定会降低审计人员对变革的抵触。


  3.分公司经理把内部审计部门看成是高级管理层的“看门狗”。对于内部审计部门,要改变这种观点使人更合作,下列哪种是最好的方法?
  a.更多地向审计客户了解其所关切的问题。
  b.增强技术技能。
  c.增强对控制责任的关注。
  d.增强调查性审计的保密性以最小化恐惧感。


『正确答案』a
『答案解析』
  a.正确。双向沟通对于培养合作的关系非常重要。
  b.不正确。人际技能比技术技能在培养合作关系方面更重要。
  c.不正确。控制具有消极的含义,并且引起部门经理的对立情绪。
  d.不正确。a选项更好。


  2.建立和保持与执行层的其他人员以及审计委员会之间的联系
  内部审计价值
  内审要为组织增加价值→必须了解利益相关期望→相关方的联系必不可少

  内部审计价值的重要驱动因素
  ●风险管理和控制确认服务
  ●评估内部控制效率和效果;
  ●公司合规业务;
  ●相关规章草案评估和持续检查
  ●紧急事件的应对能力;
  ●内部审计投入的价值回报;
  ●促进组织上下对风险和控制的理解
  ●作为业务伙伴解决问题的“咨询顾问”;
  ●提供管理能力和改进的信息
  ●通过与外部服务提供者合作以有效管理审计成本

  

  体现内审价值取决于组织的环境和内审自身的能力
  (1)内审独立性和资源有效利用的灵活性
  这种职能要求不考虑组织的不良反应,对绩效进行决定性的评估,这需要事件出现时调整审计预算。
  (2)对业务的理解
  CAE和内审人员应熟悉组织的业务:战略和目标、过程和作用、竞争压力和实施审计建议的现实约束。
  审计计划应该与组织的战略和目标相一致,审计建议应触及根源,控制应符合成本—效益。
  (3)内部审计的职能拓展
  必须提出内部审计职能的新定位,使审计人员在转型变革中能发挥积极角色。
  (4)对数据收集与分析以及IT技术的熟练度
  是内部审计能力的补充,将有助于其强化洞察力,数据收集与分析以及IT技术有助于报告各种评价之间的联系。
  (5)监控、报告和证明价值
  高管层和董事会如认为对内审的支持和投入是值得的,CAE需要建立业绩评价系统、监控措施和报告重大审计结果,如效率提高、质量改进、较低的投入成本、或成本节约等。

  2.1审计委员会与内部审计的直接互动
  ◆监督和评估内部审计的有效性
  ◆评估内部审计人员情况及其必须拥有的资源
  ◆确保内部审计领导和董事会之间的沟通与报告路线
  ◆检查和评估内部审计年度计划
  ◆检查内部审计师工作的定期报告
  ◆检查管理层对内部审计发现问题和建议的反应

  ◆监督和评估内部审计的有效性
  建立并维护
  CAE必须建立并维护涵盖内部审计活动所有方面的质量保证与改进程序。
  外部评估
  必须至少每五年开展一次,必须由组织外部、合格且独立的检查人员或检查小组负责实施。

  首席审计执行官必须与董事会讨论:
  ①更为频繁地开展外部评估的必要性
  ②检查人员或检查小组的资格和独立性,包括任何潜在的利益冲突。
  分享、报告
  ●CAE应当与各利益相关方(如高级管理层、董事会等)分享内、外部质量评估的结果;
  ●CAE至少每年一次向高级管理层和董事会报告质量评估的结果。

  ◆评估内部审计人员情况及其必须拥有的资源
  报高级管理层和董事会审批:
  ·内审计划和资源需求,包括重大临时性变化;
  ·资源受限制的影响与其沟通。

  ◆确保内部审计领导和董事会之间的沟通与报告路线
  内审部门宗旨、权力和职责须在内部审计章程中按照“内部审计定义”、《职业道德规范》和《标准》的相关内容正式确定
  ●CAE必须定期审查;
  ●提交高级管理层和董事会审批。

  

  ◆检查和评估内部审计年度计划
  报高级管理层和董事会
  首席审计执行官必须将内部审计活动的计划,包括重大的临时性变化,报高级管理层和董事会审批。

  ◆检查内部审计师工作的定期报告
  CAE→高级管理层和董事会
  ·定期报告内部审计活动的宗旨、权力、职责及其与计划有关的工作开展情况。
  ·按照“定期报告”的要求,《标准》建议CAE建立报告时间表,以更好地满足高级管理层和董事会的需要。
  ·还包括重大风险披露和控制事项,其中包括舞弊风险、治理以及高级管理层和董事会需要或要求的其他事项。
  报告频率和内容要经过与高级管理层和董事会的讨论后确定,同时取决于所报告信息的重要性以及高级管理层和董事会采取相关行动的紧迫程度。

  ◆检查管理层对内部审计发现问题和建议的反应
  CAE须建立后续程序
  ●监督及确保管理层已采取有效措施
  ●高级管理层已接受不采取行动的风险
  CAE认为高级管理层接受剩余风险超过组织可接受的水平时:
  ·必须与高级管理层讨论;
  ·讨论后双方仍无法作出决定;
  ·CAE必须报请董事会解决。

  2.2建立和保持与高级管理层、董事会和执行层其他人员的沟通
  

  《标准》提出CAE报告的具体要求:
  (1)审计计划的沟通;
  (2)报告质量程序;
  (3)业务结果和后续审计的沟通。

  (1)审计计划的沟通
  沟通审计业务计划包括如下含义:
  >>内审部门工作业务计划应报高级管理层审批,并报董事会备案
  >>报告中应包括充分的信息,以便他们能够确定内审部门的目标和计划是否有助于实现组织的目标和计划;
  >>审计业务计划在中期发生重要变化时,亦应及时沟通;
  >>执行计划过程中,如果内审资源不足和审计范围受到限制,CAE应及时报告,内容包括资源不足和范围限制可能带来后果;
  >>定期沟通内审活动。

  (2)报告质量程序
  CAE必须建立并维护涵盖内部审计活动所有方面的质量保证与改进程序。
  ●旨在对内审活动是否遵循“内部审计定义”和《标准》以及内审师是否遵守《职业道德规范》进行评估;
  ●用来评价内部审计活动的效率和效果,并识别改进的机会。
  CAE必须向高级管理层和董事会报告质量保证与改进程序的结果
  报告形式、内容和频率需要通过与高级管理层和董事会讨论确定,同时要考虑内部审计章程明确的关于内部审计部门和CAE的职责。

  

  (3)业务结果和后续审计的沟通
  对后续审计的沟通是内部审计整个过程中的一个重要组成部分。
  首席审计执行官必须制定并维护系统或制度,监督已通报结果的处理情况

  2.3报告重大审计事项
  CAE每年至少向高级管理层和董事会提交一次工作报告,这是定期的工作.
  应强调重要的业务发现和建议,并通报已批准的审计工作项目计划、人员配置计划以及财务预算在执行中出现的重要偏离及其出现偏离的原因和是否已采取或需要采取行动
  当出现重大的审计事项时,CAE应及时向董事会报告。

  重大审计事项
  是指那些根据首席审计执行官的判断,可能对组织产生不利影响的情况,包括舞弊、违法、差错、低效率、浪费、无效、利益冲突和控制薄弱环节等情况。
  【提示】CAE在向董事会报告重大审计事项,应与高级管理层讨论。即便讨论取得了令人满意的结果,CAE也应报告

  
  CAE应将高级管理层对所有重要的业务发现和建议所做的决定通知董事会。
  考虑再次向董事会报告:
  ●在风险因素发生重大变动时;
  ●组织、董事会、高级管理层或其他方面有变动

  2.4评估组织向董事会报告的机制
  向董事会报告的机制是保障组织的有效和高效运行的政策、方法、程序、技术手段的总称。
  例如:报告机制应规定需要报告的事项、负责报告的人员、报告的形式和时限、问题的解决和逐级上报、各个管理层级承担的责任等。

  >>董事会
  任务之一建立并维护组织的治理程序,并获取关于风险管理和控制过程有效性的保证。
  >>高级管理层
  是监督风险管理和控制系统的建立、管理和评价。
  这种多元控制系统目的是为了实现机构的目标

  

  内部审计部门对报告机制进行评估的主要内容:
  

  2.5协助董事会评估外部审计师的独立性
  内部审计协助董事会/审计委员会评估外部服务提供者(如外部审计师)的独立性。评价时CAE应该考虑如下事项:
  外部服务提供者可能
  ●在组织拥有的经济利益
  ●与组织董事会成员、高级管理层或其他人员发生的私人的或专业的关系
  ●已经与机构或被审活动发生的关系;
  ●正在为机构提供的其他持续服务的范围
  ●拥有的报酬或其他激励机制。
  【提示】外部服务者是外部审计师,CAE确定不损害其独立性。

  《萨班斯一奥克斯利法案》规定,外部审计师提供了如下非审计业务,表明其缺乏独立性
  ●参与审计客户的会计记录或与财务报表有关的记账或其他业务;
  ●财务信息系统的设计和实施;
  ●提供评价、评估、发表公允性意见;
  ●精算服务;
  ●内部审计服务;
  ●管理职能;
  ●人力资源;
  ●经纪人服务;
  ●法律服务。
  近乎管理层或雇员身份开展工作,独立性受到损害。

  以下情况,独立性受到损害:
  外部审计师在任意一个财务年度为某审计客户提供内部审计服务超过了该客户全部内部审计活动所花时间的40%,除非该客户的总资产少于2亿美元
  内部审计服务不包括与内部会计控制、财务系统或财务报表无关的操作性内部审计服务;
  外部审计师可以提供任何内部审计服务或与内部会计控制、财务系统或财务报表无关的操作性内部审计服务,在如下情况下例外:

  组织的管理层
  ■已以书面形式向外部审计师所在公司、本组织的审计委员会或董事会确认本组织有责任建立并维护内部控制系统;
  ■指定高层管理人员负责内部审计部门;
  ■确定了内部审计业务的范围、风险,包括由外部审计师开展的内部审计业务;
  ■评价内部审计所发现的问题和取得的结果,包括由外部审计师开展的内部审计业务;
  ■通过从外部审计师那里获取的报告能评价审计程序和审计发现的充分性;
  ■不能将外部审计师的工作作为确定内部控制充分性的主要依据而依赖这些工作。

  典型例题:
  1.某首席审计执行官发现一项明显涉及某副总裁的重大舞弊活动,而该副总裁正是首席审计执行官要向其汇报的主管人员。该首席审计执行官最好采取以下哪一措施?
  a.进行调查以确定舞弊程度。
  b.与副总裁会谈以获得重要证据。
  c.通知法规监管机构和警察局。
  d.将事实报告给总裁和董事会的审计委员会。


『正确答案』d
『答案解析』
  a.不正确。由于该副总裁身份特殊,调查工作可能难以进展,无法确定其舞弊程度。
  b.不正确。该副总裁是主管内部审计工作的高层主管,内部审计师在取得明确的授权之前,不应与其进行和舞弊调查相关的会谈。
  c.不正确。首席审计执行官首先应向组织内部的治理机构报告,而不是向外报告。
  d.正确。当内部审计师怀疑内部存在错误做法时,应该将情况告知组织有关主管人员,由于该副总裁是主管内部审计部门的高层主管,“有关的主管人员”应当是总裁和审计委员会。


  2.在对某银行的审计中,内部审计师发现一名贷款官员批准了向某企业集团所属的各独立机构发放的贷款,这违反了监管政策。内部审计师认为这一行为可能是蓄意的,因为贷款官员与控制该企业集团的一个主要负责人有密切关系,该内部审计师应当:
  a.将利益冲突和违规行为告知管理层,并建议作进一步调查。
  b.将违规行为报告给法规部门,因为这构成了银行控制系统的重大缺陷。
  c.如果该贷款官员同意采取纠正措施,则可以不报告该违规行为。
  d.扩大审计范围,确定贷款官员是否有舞弊行为,并在后续调查完成后将调查结果向管理层报告。


『正确答案』a
『答案解析』
  a.正确。该利益冲突和违规行为属于一种重要的审计发现,但由于牵涉集团的主要负责人,内部审计师应当报告管理层,并提出深入开展调查的建议。
  b.不正确。根据《标准》规定,内部审计师没有将审计发现向法规部门报告的责任。
  c.不正确。由于该行为已经违反了银行的常规政策,无论该贷款官员是否同意改正,这个审计发现都应当报告。
  d.不正确。由于该审计发现牵涉集团的主要负责人,内部审计师未必有能力开展下一步的审计工作,最恰当的做法是先报告,根据报告的情况决定是否以及如何开展后续工作。


  3.根据《萨班斯—奥克斯利法案》,谁应当负责指定、偿付和监督为发行人的财务报表出具审计意见的会计师事务所的工作?
  a.审计委员会。
  b.管理层。
  c.董事会。
  d.股东。


『正确答案』a
『答案解析』
  a.正确。《萨班斯一奥克斯利法案》把更多的责任交给了审计委员会。除上述责任之外,它还要负责实施对于会计和审计事项的申诉的接收、保管和处理。它应当得到公司适当的资金支持,并有权自主决定聘请法律顾问和其他咨询人员。
  b.不正确。见题解a。
  c.不正确。见题解a。
  d.不正确。见题解a。


  4.当专责舞弊调查人员处于以下哪种状态时是最有效的?
  Ⅰ.在公司内办公。
  Ⅱ.向董事会或首席合规官报告。
  Ⅲ.在公司以外的地点办公。
  Ⅳ.不向任何人报告,从而确保发出警告者的隐秘性。
  a.只有Ⅱ。
  b.Ⅰ和Ⅱ。
  c.Ⅰ和Ⅳ。
  d.Ⅲ和Ⅳ。


『正确答案』b
『答案解析』
  Ⅰ.正确。专责舞弊调查人员在公司内办公可以起到警示作用,并增强员工对调查人员的信任。
  Ⅱ.正确。专责舞弊调查人员直接向首席合规官或董事会报告,以便该层次的人员根据调查人员的发现展开对本组织现存政策的修改。
  Ⅲ.不正确。见题解a。
  Ⅳ.不正确。不向任何人报告并不能确保发出警告者的隐秘性,只有釆取后续审查确保没有发生报复行为等更能保证调查人员工作的最为有效。


  5.某个应当遵守美国证券交易委员会(SEC)要求的大型组织的外部审计师也可以为该客户提供内部审计服务。根据2001年采用的修订规则(不考虑过渡条款如何规定),如果存在以下哪种情形,则为该客户提供内部审计服务的外部审计师的独立性可能被损害?
  a.业务委托人的管理层确定该审计师履行的内部审计活动的范围。
  b.该审计师履行的内部审计活动超过了该客户本财年此类活动40%的时间。
  c.业务委托人的管理层不依赖该外部审计师的工作来确定其控制的充分性。
  d.该客户的总资产低于2亿美元。


『正确答案』b
『答案解析』
  a.不正确。该客户的管理层并没有确定其自身的内部审计师的工作范围,而仅仅为外部审计师规定了范围,这是可以的。
  b.正确。通常内部审计外包的总小时数不能超过全部内部审计小时数的40%
  c.不正确。如果管理层不依赖该审计师的工作,其独立性不会受到影响。
  d.不正确。当该审计客户的总资产超过2亿美元时,外部审计师的独立性会受到损害。


  3.在描述、分析和业务流程改进当中组织和领导团队

  3.1 组织和领导团队
  一种趋势认为内审部门可被形容为运营的“平滑剂”,理由如下:
  消除监管层次,需要“简仓型职能”来平衡。

  

革新之处

与客户协调

足够的培训

利用审计机构“专家库”,特定审计时从“库”中选取内审师。

审计主管负责与客户协调,这种协调是长期的,为客户提供了明确联系人,以便协调所有审计中的问题

审计主管应得到足够培训,以便能够检查审计报告的草稿以及签发报告

A

B

C


  审计经理则负责实施战略性工作。
  例如:
  A.控制自我评估
  B.风险评估最佳实务
  C.审计自动化
  D.组织内对大型的企业系统进行审计等
  ①总的来说,现场审计结束与报告签发之间的过渡期更加短;
  ②内部审计师与客户的人际关系更加密切;
  ③内部审计师更加熟悉客户的运营和职能。


  3.2 流程审计
  关注对“过程”的“流程审计”具有如下好处:
  01内部审计通常仅涉及组织的主要活动,这些活动对组织的生存和发展是绝对必要的,这也是管理层高层所关心的;
  02内审发现会引起高级管理层的注意,较为次要的审计发现单独报告给相应的客户管理层以及管理高层中等级较低的人,并在管理层的较低层次得以落实;

  03内审主管工作的连贯性,使得客户管理层可以与较为固定的人协商解决内审事宜;此外审计活动提供了一种途径,可在审计过程中进行联系以便对有关问题提出建议和咨询
  04分散型审计和业务的小型化使得在现场结束后能立即签发审计报告
  05内部审计熟悉过程的运作;
  06内部审计人员与业务过程相关人员的合作将促进处理过程目标的统一,促进和谐和提高生产力。
  3.2.1 综合审计
  综合审计需要内部审计考虑以下职能:
  ●应用技术——审计师应用多种审计技术,技术影响审计预算和人员配备,审计经理需要协调组织内、外部的专家。
  ●权衡考虑——CAE将在可获得预算与资源和组织的风险模型之间进行权衡,并将综合审计在年度计划中优先考虑

  在遵循美国《萨班斯-奥克斯利法案》的过程中
  

  3.3 内部审计在描述、分析和改进业务流程中的职责
  为描述、分析和改进业务流程,内审部门应履行以下职责:
  1.创建流程文件
  内部审计师通常善于用说明性文字和流程图来创建内部流程和控制文件。大多数情况下,流程负责人并不具备创建完整内部流程和控制文件的能力。
  2.分析内部控制疏漏
  具备财务审査能力的内审师拥有审阅流程文件(包括所有控制点)和确定是否存在控制疏漏的专业知识

  3.测试
  具有传统审查能力统计抽样能力调查经验的内审师是实施内控流程测试的最佳人选。流程负责人一般也不具备这方面的能力。
  4.指导内部控制
  内部审计师可以就何为充分的内部控制这个问题提供指导,但他们不能参与建立控制系统和起草程序。

  根据国际内部审计师协会对内部审计师独立性的界定,内部审计师不能承担如下职责:
  1.起草、制定和实施内部控制、流程和程序
  一旦内审师开始履行这些职责,会丧失其独立性和有效实施控制、流程或程序审查能力。一名审计师负责起草、制定与实施,另一名负责实际的审查工作并不能避免他们审査自己工作的冲突。
  2.出任流程负责人
  同时出任流程负责人的审计师无法保持独立性,尽管流程负责人能够进行自我评估,但不能提供内控充分的独立保证。
  3.补救
  内审师不能负责纠正控制漏洞,因为测试补救结果将导致他们审查自己的工作。

  典型例题
  1.最近对于内部审计活动的批评指出,审计业务的覆盖面没有就该组织关键业务部门采用的工作流程向高级管理层提供充分的反馈。问题进一步明确为缺乏自动支持系统。首席审计执行官需要改善以下哪两项职能?
  a.人员配备和沟通。
  b.人员配备和决策过程。
  c.计划和组织。
  d.计划和沟通。


『正确答案』d
『解题思路』
  a.不正确。题目中未提到人员配备的问题。
  b.不正确。题目中未提到人员配备和决策过程的问题。
  c.不正确。题目中未提到组织的问题。
  d.正确。题干中所说“缺乏自动支持系统”是指“内部审计活动”缺乏自动支持系统。这些支持系统包括内部审计活动的工作计划和沟通系统。缺乏充分反馈说明在计划方面和在向高级管理层通报必要信息方面所分配的内部审计资源存在问题,导致遗漏了对于关键业务部门的业务流程的审计,或者没有按照高级管理层的要求对其进行审计。


  2.以下活动中由内部审计部门实施较为妥当的是:
  a.设计控制系统。
  b.起草控制系统的程序。
  c.在实施之前审查控制系统。
  d.安装控制系统。


『正确答案』c
『解题思路』
  a.不正确。根据《实务公告》“个人的客观性”的内容,“……如果内部审计师参与了这些系统的设计、安装、程序起草或操作,就可以认为其客观性受到了损害”。
  b.不正确。起草控制系统的程序同样使内部审计师承担了管理责任,损害了内部审计师的客观性。
  c.正确。根据《实务公告》“个人的客观性”的内容,“……如果内部审计师为系统推荐控制标准或在程序实施前对其进行复核,不会对其客观性产生负面的影响”。
  d.不正确。安装控制系统使内部审计师承担了管理责任,损害了内部审计师的客观性。



  4.评估和培养董事会和管理层的道德氛围

  4.1 调查并提出解决道德规范/合规投诉的办法,确定违反道德规范的处置
  内部审计活动应制定政策和流程,对道德规范/合规情况的投诉进行调查,并提出解决办法。
  政策和流程还应当为内部员工和相关外部人士或机构提供报告和投诉的途径,从而及时发现和解决道德规范/合规情况方面的问题。
  4.1.1 评估董事会的道德氛围
  董事会:
  ●公司治理的焦点;
  ●不承担直接管理责任;
  ●通过设立组织“最高基调(最佳行为规范)”和监督所有治理活动来为组织描绘了整体愿景;
  ●为公司的风险和业绩承担责任。

  
  如果股东对董事会有任何的不信任或者如果董事会出现任何违反组织行为规范和道德标准的事情发生,那么有效的公司治理也就不复存在了。

  内部审计部门通过对董事会某些领域进行评估并提出建议的方式对改善董事会治理活动中的道德方面给予重大的支持
  具体关注以下方面:
  (1)董事会结构、目标和活动;
  (2)董事会方针手册;
  (3)董事会成员的职能;
  (4)了解治理要求的程序;
  (5)董事会会议、监督职责;
  (6)董事会教育与培训。

  ●董事会结构、目标和活动
  章程——合理安排董事会及成员,制定明确的章程并有效遵守,用以保证董事会与管理层健康的交流;
  构成——合理的董事会构成(如:董事会人数,利益冲突的回避,董事会成员的胜任能力);
  会议议题——所有公司重大议题在董事会会议上都得到考虑;
  会议时间——充足的董事会会议时间以保证开放式的讨论;
  会议频率——充分的董事会会议频率;
  秘密会议——必要时召开秘密会议。
  ●董事会会议、监督职责
  董事会会议进度,日程安排,提前信息的分发,对董事会章程的遵守
  董事会成员拥有记录工作职责的日程记录,并定期监督组织的表现是否同已公布的职责相符。

  ●董事会方针手册
  完善和保持董事会治理方针或方针手册的工作流程;
  合规性程序。
  ●了解治理要求的程序
  组织具备可以保证外部人员知悉相关治理守则和合规要求的工作流程。
  ●董事会教育与培训
  关于对组织、技术变革和突发风险领域等重要事项的持续性教育的规定;
  关于董事会新成员履职前必须进行培训与教育的规定;
  保证董事会成员接受培训的充分性

  4.1.2 评估管理层的道德氛围
  内部审计部门应评价帮助改进组织的治理过程。
  治理过程主要是所有者(股东)及其代表(通常指董事会)对管理者的监督活动。
  

  1.道德相关全过程评价
  ●目标、项目及活动的设计、实施及效果进行评价
  2.应定期评价
  ●道德氛围 治理过程是否有效的关键 内审有责任评估
  ●为了实现期望的遵纪守德水平而采取的组织战略、战术、信息沟通和其他过程的有效性。
  

  
  ●清晰易懂的道德规范及相关的说明、政策(包括避免舞弊和腐败的程序)和其他道德理想的表述;
  ●具有支持并加强道德文化的具体战略,以及更新和改进组织道德文化承诺的经常性程序;
  ●设有接受举报的机构,以保证检举得到评价;
  ●多种容易采纳的,可以保护检举人举报违反道德规范、政策和其他不当行为嫌疑的制度。

  
  ●组织中有影响力的领导经常宣传并践行期望达到的良好的道德文化态度和行为;
  ●有要求雇员、供应商和顾客定期声明在组织进行交易时遵守组织道德规范的制度;
  ●有学习机会,使员工都能成为良好道德文化的倡导者。

  
  明确的责任分配,保证道德结果得到评价,可信的咨询服务得以提供,不当的行为嫌疑得到调查,发现的情况得到恰当报告。
  
  定期对雇员、供应商和顾客进行调查,以确定组织的道德氛围状况;
  正式或非正式地定期检查在组织内部可能逐渐损害组织道德文化的压力和偏见的制度

  
  ●积极鼓励每名雇员为组织的道德氛围作出贡献的人事管理制度;
  ●把背景调查作为招聘员工的一部分内容,包括诚实性测试和其他类似措施。

  内部审计师可以通过如下措施来评估组织的道德氛围(包括不限于):
  ●制度健全、政策充分;
  ●沟通机制,被了解;
  ●战略支持、道德文化;
  ●恰当程序(被调查,被报告);
  ●确信信息。
  详细讲解如下:
  ●评价组织道德政策和行为守则的健全性——组织的政策和行为守则是否包含恰当的主题和指引;
  ●检查那些支持组织道德环境的积极的人事政策的充分性;
  ●检查组织是否建立和实施恰当的沟通机制以及雇员和股东是否了解这些信息;

  ●确定组织是否建立明确的战略支持和强化组织的道德文化,如是否形成能够完善和更新组织对道德文化的承诺的规范项目;
  ●确定是否存在恰当的程序确保不良行为被调查且舞弊发现被恰当的报告;
  ●评价组织的雇员在多大程度上真正确信组织的信息。
  内审成为道德创新的推动者。
  沟通程序的效率和道德氛围 调查问卷来评估
  为保证调查问卷生成可信且有价值的数据,内部审计师在采集数据时应注意以下几点:
  1.最高支持
  ●问卷调查应得到最高管理层的支持,问卷调查结果将作为有力的反馈工具;

  2.合理设计
  ●合理设计调查问卷,确保问卷回答项便于回答(封闭式答案,如:同意/不同意;满意/不满意);
  ●设计问卷中应保留发表意见栏,以便于对象解释为什么选择某项答案,尤其是当对象选择的答案反映组织的薄弱环节时;
  ●使调查问卷保持在一个合理的长度内,内容不要过少或过多。
  3.实用判断
  ●要对调查问卷进行实地考察
  4.调查公司
  ●如何方便的话,将调查问卷交由独立的市场调查公司进行处理,将统计分析数据及有关意见反馈给内部审计师。

  
  在评价组织道德氛围时,除了访谈和问卷调查,内部审计师也可以促进关于组织道德方面的访谈并协助解决道德难题。

  内部审计师在评价组织道德恪守中的作用:
  1.对组织道德恪守情况的识别有不同的方式
  ●在操作实践中发现违反法律法规的情况
  ●接到举报者的报告
  ●内部审计
  2.即使常规合规性审计报告没有报告道德瑕疵现象,对以往审计发现或专项审计的再次检查也可能由那些最初只是显露出微小瑕疵的事项中发现正在存在着的道德违反事项。

  额外的道德违反信息恰恰会直接或间接促进组织中不诚实、不道德行为的发生的原因。通常的事例包括:
  1.过分强调收益,尤其是短期收益;
  2.片面关注收益底线(如销售收入和利润目标);
  3.高压力的销售策略;
  4.残酷的谈判;
  5.与财务信息和非财务信息相结合的奖惩制度。
  总结
  一个组织的道德政策明确了董事会和管理层期望发生的事项,而组织文化则会影响那些关系到组织规则被遵守、被定型、被破坏的经济事项。

  4.1.3 报告合规情况
  
  上市公司的内部审计师必须遵守《萨班斯—奥克斯利法案》的以下条款,报告有关的合规情况:

  第402条“强化的利益冲突条款”
  禁止上市公司直接或间接为其经理人员或高级主管(或其他类似人员)以个人借款形式提供或保有贷款(有些可以例外)
  第403条“对管理层和主要持股人所参与交易的披露”
  主管、高级职员和主要持股人应报告其直接或间接持有的超过发行在外总股份10%的股票。
  第406条“高级财务官员道德规范
  必须披露公司是否存在适用于高级财务官员、总会计师、高级会计官员及履行相似职能人员的道德准则,以及对道德规范的修改。

  4.1.4 对道德规范/合规情况的投诉进行调查并提出解决办法
  管理层:
  ●对治理流程负责
  ●调查可能违反道德、规范或者商业行为惯例的情况
  ●声明如何处理错误行为,包括行政手段
  道德规范管理由首席道德官来负责
  首席道德官:
  是管理层的代表,负责组织开展违规调查。发现违规行为时,无论违规者是何种职务,都应对其开展调查。

  4.1.5 确定违反道德规范的处理
  对违反道德规范行为处理应采取一视同仁的态度
  对于违反道德行为的处理有赖于对行为本身的具体特征和严重性进行分析后作出。通常可能的处理措施包括:
  

  阅读
  内部审计活动根据书面政策和流程,对道德规范/合规情况的投诉提出解决办法之后,应当监督管理层落实有关决定。
  否则,根据《萨班斯一奥克斯利法案》的有关规定,一旦内部员工或外部人士向有关监管机构申请强制执行,其后果都是非常严重的。而且,内部审计活动及其从业人员的职业生涯也会受到损害

  《萨班斯一奥克斯利法案》对上市公司的治理和内部控制提出了更高的要求,其中:
  第304条“某些奖金和利润的剥夺”规定:
  如果由于存在不符合证券法律的财务报告要求的不当行为,而导致上市公司的重大不合规,上市公司被要求进行会计更正,上市公司的首席执行官和首席财务官应归还上市公司在首次公开发布或向SEC申报(二者当中先发生的事件)体现该财务报告要求的财务文件之前的12个月之内,自上市公司收到的奖金或其他鼓励性的权益类报酬,以及12个月内出售该上市公司的证券所实现的利润。

  第306条“养老基金管制期间的内部人交易”规定:
  禁止任何上市公司的董事或执行官员在证券管制期间买卖、取得或转移因其董事或执行官员的身份而获得的这些权益证券。
  凡是违反本规定,从购买、出售、其他取得或转让中实现的利润应当归还给该上市公司,而不管该董事或执行官员参与交易时的动机。
  注释
  养老基金管制期间指上市公司管理的所有个人账户计划中不低于50%的参与者或受益人购买、出售、取得或转让其持有的个人账户计划中的该上市公司的权益的能力被该上市公司或该计划的受托人暂停超过连续3个交易日。

  4.1.6 培养健康的道德氛围
  治理实践反映文化——组织的治理实践反映了其特殊并不断变化的文化,它影响着该组织的价值、作用和行为。
  治理有效取决文化——全面治理流程在实现其预期职能时的有效性很大程度上取决于该组织的文化。
  全体人员分担责任——与组织相关的全体人员对于其道德文化的状态都分担一部分责任。

  每人拥护道德规范——组织决策过程复杂性和分散性,应鼓励每个人都成为本组织的道德规范的拥护者。
  道德规范愿景公告——道德规范和愿景公告是有关本组织的价值和目标、对于其成员的行为预期、维持与其法律、道德和社会责任相一致的战略等事项的重要声明
  首席道德官优胜者——任命首席道德官,作为负责人、经理和其他人士的顾问,并且作为“做正确事情”的优胜者。

  组织促进健康道德氛围的最佳实务包括:
  倡导的最高基调 书面的道德规范 发布道德的信息 访谈、调查、培训、交流、参与、举报、文化

  设定一个关于诚实忠诚的“最高基调”(完美行为规范),以鼓励每一位经理、主管和员工都能够尊重组织的价值观;
  制定书面的道德规范以确保该制度能够反映当前组织的经营环境;
  通过多种交流渠道发布道德信息(如邮件、传真、公告牌、公司会议以及口口相传等);

  实施员工道德访谈
  ●设计并实施员工及股东道德态度调查
  ●设计和实施道德培训
  ●鼓励开放式的交流
  ●推动员工积极参与其中;
  ●价值观多元化与学术公平;
  ●设立举报热线;
  ●促进合规支持文化

  典型例题
  1.首席审计执行官对公司道德规范和决策环境实施审计,以下哪项对这一审计的范围和/或建议的描述不恰当?
  a.审阅公司《职业道德规范》并与其他公司的规范进行比较。
  b.对公司雇员进行调查,询问一些有关公司决策的道德质量方面的问题。
  c.实施一次不记名的“道德测试”,确认雇员是否知道什么是不道德的行为或自己是否曾有过不道德的行为。
  d.对董事会进行调查,确定他们支持公司道德规范的程度。


『正确答案』c
『解题思路』
  a.不正确。对审阅公司《职业道德规范》并与其他公司进行比较是道德规范和决策环境审计的一项内容。
  b.不正确。对公司决策道德质量问题的调查是道德规范和决策环境审计的一项内容。
  c.正确。雇员自身的道德问题不属于公司道德规范和决策环境的内容,因此不属于这项审计的范围。
  d.不正确。内部审计部门可以通过调查和访谈的方式了解董事会对公司道德规范和决策的支持力度,甚至可以获取实务范例,董事会强有力的支持表明了公司具备了遵循道德规范和决策的良好环境基础,是道德规范和决策环境审计的一项内容。


  2.某经理填制并签发了一张支票给虚构的供应商付款,然后将款项存入其个人银行账户。以下哪项内部控制措施能最有效地防止,或至少发现该贪污行为?
  a.所有采购业务实行招标。
  b.向供应商的付款必须使用经批准的支票。
  c.经理以外的支票签字人员只有在已批准的发票和填制好但未签字的支票都提交上来,并对其进行了审查后,才能签发支票。
  d.必须由某个负责任的职员定期清点支票的编号顺序。


『正确答案』c
『解题思路』
  a.不正确。对采购业务实行招标在一定程度上可以防止将货款付给事实上完全不存在的供应商,但是如果没有在签发支票上设置职责分离,则该经理仍有可能根据事实上存在的供应商虚构采购业务,从而贪污公款。
  b.不正确。由于签发支票的权力在该经理手中,给供应商的付款肯定是经批准的,因此这个措施没有用。
  c.正确。通过职责分离,可以防止该经理既批准发票,又签发支票,从而防止出现虚构供应商、贪污公款的行为。
  d.不正确。由于该经理签发支票的程序本身没有错,不存在盗用支票的问题,所以通过清点支票不能发现或防止贪污行为。


  3.试图了解员工对组织价值观理解程度如何以及在日常工作压力下他们是如何秉承价值观的,最恰当的方式是?
  a.把该工作作为常规的控制评价。
  b.与董事会及高级管理层开展讨论。
  c.自我评估实践。
  d.作为全面风险管理战略的一部分。


『正确答案』c
『解题思路』
  a.不正确。见题解c
  b.不正确。见题解c。
  c.正确。公司价值观不能仅通过常规的风险与控制评估机制来评定。实际上,自我评估的方式和恰当的审计项目通常被用来衡量公司价值观的理解和遵从。
  d.不正确。见题解c。


  4.2 维护和管理商业行为政策(如:利益冲突),并报告合规情况
  监督遵守公司行为规范和商业惯例情况
  

  具体的行为规范随着组织的不同而不同,但通常都包括下列方面:
  ●利益冲突;
  ●保密;
  ●公平交易;
  ●恰当使用组织资产;
  ●礼品及酬金;
  ●遵守法律、规则及监管制度;
  ●报告违法及不道德行为。

  例如,利益冲突的行为规范通常包括:
  

  

  具体应确定以下内容:
  制度存在?
  制度传达?
  讲座培训?
  确保执行?
  监督执行?
  

  

  

  

  

  典型例题
  1.组织应当制定合规标准和流程,并且编制书面的员工应当遵守的业务行为规范。以下哪项有关业务行为规范和合规标准的陈述是正确的?
  a.合规标准应当直白,并且有可能减少潜在的犯罪行为。
  b.合规标准应当载入审计委员会章程。
  c.跨国公司应当有选择地根据地理位置制定反映当地法规的各种合规程序。
  d.为了防止在将来承担法律责任,该规范应当包括法律术语和定义。


『正确答案』a
『解题思路』
  a.正确。道德规范应当明确地指出被禁止的活动,使合规标准能够合理地减少潜在的犯罪行为。另外,直白和公允的道德规范可以降低员工参与不道德或违法行为的风险。
  b.不正确。合规标准只需载入道德规范。审计委员会章程记载的是对于管理层和董事会有关风险管理过程中内部审计活动的预期的理解。
  c.不正确。跨国公司的合规程序应当基于全球标准,而不是选定的区域。这些程序无须反映当地的情况、法律和法规。
  d.不正确。道德规范应当以员工可以理解的形式书写,避免使用法律专门用语。


  2.当道德违反事件包括工作场所偷窃时,对该问题的恰当处理方式是?
  a.停止该员工的工作,不予控告,避免该事件公开化。
  b.先采取心理辅导或留用察看等积极的训诫程序。
  c.直接向司法部门报告。
  d.停止员工工作,如果员工返还全部现金则不予控告。


『正确答案』c
『解题思路』
  a.不正确。见题解c。
  b.不正确。见题解c。
  c.正确。违法活动必须向司法部门报告。
  d.不正确。见题解c。


  5.就公司治理、风险管理、控制和合规性的最佳实务培训高级管理层和董事会
  
  注意关键字及思路

  CAE可通过以下方式培训高级管理层和董事会:
  

  

  5.1 公司治理的最佳实务
  内审在培训高级管理层和董事会时,应提请其加强内审在公司治理领域发挥作用,需尽快考虑将内部审计职能与以下策略进行协调,以改进治理活动,达到他们的预期。
  1.治理环境:文化、结构和政策为良好治理提供基础。
  2.治理流程:支持治理环境的具体活动。
  3.治理程序:治理活动实施和运作的具体程序和关键做法。

  具体内容如下:
  1.治理环境:文化、结构和政策为良好治理提供基础。
  策略1:总体评价治理结构和政策
  策略2:评价治理环境和道德规范
  策略3:评价董事会/审计委员会的具体活动
  策略4:评价风险管理结构和活动
  策略5:评价内部审计结构和组织

  2.治理流程:支持治理环境的具体活动。
  策略6:评价欺诈控制和沟通过程。
  策略7:评价补偿政策和相关流程。
  策略8:评价金融治理过程。
  策略9:评价战略计划和制定决策的治理活动。
  策略10:评价治理的绩效指标

  3.治理程序:治理活动实施和运作的具体程序和关键做法。
  策略11:评价内部和外部治理的报告程序。
  策略12:评价提升和跟踪治理问题的程序。
  策略13:评价治理的变化和改进程序。
  策略14:评价治理的支持软件和技术
  针对“策略3: 评价董事会/审计委员会的具体活动”的最佳实务中的范例:
  在评价组织公司治理过程中的董事会——“战略和计划”职责时,以下清单可以成为一种有效的工具:
  战略和计划——由董事会负责

  讨论战略——是否坚持有足够的时间和适当的氛围,充分、坦率的讨论战略?
  见解讨论——是否有基于董事的技能、知识和富有进取性的见解,进行有建设性的讨论?
  获取信息——是否能获取关于风险、资源和竞争对手的正确信息?
  吸取经验——是否运用从过去的成功和不成功的战略中吸取经验教训
  变化程度——同意战略规划的变化程度,无论增加、转换或实质性改变?
  计划助成功——战术性的计划将有助于战略实施的成功,对此是否满意?

  5.2 风险管理最佳实务
  成功组织的风险管理:了解业务、总体战略、外部环境变化、主要利益相关者关注的问题、组织的主要风险等方面。
  
  推动组织进行风险管理的主要要素有:
  ●使用共同风险框架和语言
  ●对风险的认识与经营目标的实现以及总体与业务单位应保持一致
  ●获得业务活动的信息
  ●风险等级或优先次序的分类
  ●组织风险及其影响力明确描述

  由内部审计进行辅导培训的程序经常包括以下步骤:
  
  1.识别确定风险:
  ①头脑风暴识别排列风险
  ②从股东价值出发确定经营活动风险
  2.规范风险语言框架
  ①使用风险的共同语言
  ②确定风险管理框架标准
  ③理解和运用风险管理框架

  3.风险管理实施方式
  ①访谈问卷式风险评估
  ②成功经验汲取识别最重大错报风险
  ③查阅战略计划识别战略风险
  ④风险及应对纳入战略计划
  ⑤有关联的风险分组
  ⑥获取风险排序不同意见提前预警
  4.加强各方交流
  ①从上至下季度交流确定战略风险
  ②与审计委员会建立交流保持透明度

  总结:
  由内部审计进行辅导培训的程序经常包括以下步骤:
  ●邀请组织的关键角色举行一天的头脑风暴会议,识别和排列公司重大经营风险;
  ●理解和运用共同风险管理框架;
  ●通过访谈、问卷或者两者结合的方式,与高级管理层和董事会进行风险评估练习,从成功运作企业并满足所有利益相关者要求的组织活动中识别最重大的风险;
  ●查阅年度战略计划以识别组织的关键战略风险;
  ●由内部审计进行辅导培训的程序经常包括以下步骤:
  ●引导管理层将讨论风险及风险应对作为战略计划制定过程中的一部分;
  ●在高层管理者和一线管理者之间获取并交谈对风险排序的不同意见,对现场工作中看到的事项提前预警,以减少执行层群体思维风险;
  ●从股东价值出发,确定那些与经营活动有关的风险;
  ●将有关联的风险分组;
  ●由内部审计进行辅导培训的程序经常包括以下步骤:
  ●在时间和资源允许的范围内,从执行管理层至基层,保证与管理层进行季度交流,来确定哪些是管理层组织意识到的、即将面临的战略风险;
  ●与审计委员会之间建立交流、学习的关系并保持组织风险管理方面的透明度;
  ●在对风险管理框架、风险组合和风险容忍度的讨论和方法上使用共同语言;
  ●确定组织主要风险管理框架的标准。

  5.3 控制的最佳实务——控制矩阵
  在应用控制矩阵时常见特点有:
  

  步骤1:识别业务目标。
  这一步的关键是?
  从业务部门或业务流程的目标出发,而不是从控制目标开始。
  完成这步最好方法?
  是和管理层坐在一起讨论他们被评估业务的目标,如果发现目前的业务目标不适合,审计小组应和管理层一起制定合适的业务目标。
  步骤2:识别与业务目标相关的风险。
  询问妨碍因素有哪些?
  询问管理层哪些活动或因素会妨碍业务目标的实现,这些障碍就代表着需要控制或消除的风险。
  宏观风险影响如何?
  针对从宏观方面识别出的组织风险,询问各级管理层上述风险是否影响到业务目标的实现。

  步骤3:根据风险发生的可能性和重要性评估每个风险。
  风险两种分类
  根据风险发生的可能性和已发生风险的影响程度,一般可分为高、中、低三种。
  从可能性和重大程度分别对风险进行评估,然后给出一个综合结果,如很重要——高频率风险、不重要——低频率风险。
  步骤4:识别控制方法。
  风险控制方法及内容
  风险控制的方法可理解为风险管理的方法,事实上也指风险管理技术
  包括:减少风险(如重组流程),风险转移,风险共担以及接受风险等。

  步骤5:评估控制方法的充分性。
  提出问题:控制风险的方法设计的是否很好?
  识别和证实目前所采用的控制方法 通过分析“三性”来评价设计及是否按原设计执行。
  三性:控制方法的有用性、有效性和经济性。
  分析阶段将花费一半以上的时间,通过分析给出对改善业务有价值增值作用的建议。

  步骤6:测试控制方法的有效性。
  

  测试所花的时间 一般占整个时间的25%到35%
  时间方面的减少主要出于下述两方面的原因:
  一方面,通过步骤5的详细分析,审计人员知道哪些控制是关键的,从而有针对性地进行测试;
  另一方面,审计人员可能发现不了部分不重要控制方法的缺陷,但通过仔细分析可以揭露设计的缺点(若缺少仔细的分析,这些缺点可能被忽视),由此,剩余审计风险是很小的。

  步骤7:对控制方法的充分性和有效性作出最终评价。
  评估结果是一个综合评价,评价结论:
  ①设计可能是充分的,但由于执行的偏差可能使得测试结果无效。
  ②也可能是由于对重大风险的过度控制导致设计无效,从而出现控制方法不当的评价结果。

  5.4 合规性的最佳实务
  内部审计部门要评估法律、法规、政策、流程及合同的遵守情况,包括了特定领域的政策。
  评估时,内部审计部门关注的重点是:
  1.是否建立了监督遵守相关法规政策的监管控制系统;
  2.这些系统是否充分、有效
  3.相关的业务活动是否遵守了那些法规政策,效果如何。
  电子商务(e-commerce)就是在互联网上从事商业活动。内部审计师应当审查管理层的战略规划和风险管理过程及其关于以下问题的决策:
  ●哪些风险是严重的
  ●哪些风险可以被保险
  ●当前采取了哪些减轻风险的控制方法;
  ●哪些额外的补偿控制是必要的;
  ●需要哪种监督形式。

  对于电子商务的主要审计活动包括:
  ●评估内部控制结构;
  ●对于目标能够被达成提供合理的保证
  ●确定风险是否可以被接受
  ●理解信息的流动
  ●审查界面问题(比如,硬件与硬件、软件与软件、硬件与软件之间的界面);
  ●评估营业持续灾难恢复计划。

  电子商务审计业务的审计目标包括:
  ●财务内控方面
  ●安全系统及标准
  ●安全具体方面
  详细的讲解:
  财务内控方面
  ①电子商务交易的证据;
  ②运行数据和信息的充分性和准时;
  ③电子商务和财务系统之间的有效界面;
  ④营业持续流程的充分性,包括运营的重启;
  ⑤有效的内部控制系统的书面记载证据。
  电子商务审计业务的审计目标包括:

  安全系统及标准
  ①安全系统的可用性和可靠性;
  ②遵守通行安全标准的情况;
  安全具体方面
  ①数字签名的有效使用和控制;
  ②控制公共密钥证书的系统、政策和流程的充分性(使用公共密钥加密技术);
  ③客户认证过程的有效性。
  衍生产品(derivatives)是有关各方的金融安排,其支付的款项或价值是由某些约定的指标的表现决定的。
  衍生产品包括期权型和远期型两种合约类型。
  衍生产品指向的指标可以是商品、利率或汇率。

  为了有效地控制衍生产品的风险,内部审计师应当审查本组织在以下方面的规定:
  1.管理层的监管和责任;
  2.允许的和禁止的业务范围;
  3.风险极限;
  4.风险衡量和报告流程;
  5.内部控制。

  典型例题
  1.下面哪种结构代表了最优的公司治理结构? 

 

董事会

运营管理层

内部审计

A

监督作用

风险责任

咨询顾问

B

风险责任

监督作用

咨询顾问

C

风险责任

咨询顾问

监督作用

D

监督作用

咨询顾问

风险责任



『正确答案』a
『解题思路』
  a.正确。运行管理层承担风险管理责任,董事会承担监督职能,内部审计为咨询顾问。
  b.不正确。见题解a。
  c.不正确。见题解a。
  d.不正确。见题解a。


  2.以下哪项目标将风险管理战略定位在最优水平上?
  a.成本最小化。
  b.市场份额最大化。
  c.损失最小化。
  d.股东价值最大化。


『正确答案』d
『解题思路』
  a.不正确。这不是一种全面的风险管理方法。
  b.不正确。这不是一种全面的风险管理方法。
  c.不正确。这不是一种全面的风险管理方法。
  d.正确。这是一种全面的方法,它可以使风险管理战略贯穿于整个组织。


  3.以下哪项不是审计电子商务活动的主要组成部分?
  a.确定目标可以被达成。
  b.评估内部控制结构。
  c.审查界面事项。
  d.评估营业持续和灾难恢复计划。


『正确答案』a
『解题思路』
  a.正确。审计电子商务活动应当提供目标可以达成的合理保证,而不是确保目标可以达成。
  b.不正确。这是审计电子商务活动的主要组成部分。
  c.不正确。这是审计电子商务活动的主要组成部分。
  d.不正确。这是审计电子商务活动的主要组成部分。


  4.内部审计师认为以下哪一项电子商务项目的风险最低?
  a.具备符合本组织战略的涵盖电子商务系统的规划、设计和实施的商业计划的项目。
  b.具备在风险评估中考虑到政府和监管规定以及其他外部因素的商业计划的项目。
  c.具备要求由外部供货商提供主机服务的商业计划的项目。
  d.具备解决交易处理的准确性和软件安全性的商业计划的项目。


『正确答案』a
『解题思路』
  a.正确。本条符合低风险商业计划的主要要求。
  b.不正确。只有在风险评估中同时包括了内部要求的商业计划才能被认为是低风险的。
  c.不正确。使用外部主机服务将增加电子商务项目的风险,除非由可靠的第三方对其营业持续能力进行了评估。
  d.不正确。商业计划应当在软件安全之外还要解决硬件安全问题。另外,该计划不应当确保交易处理的准确性,而应当确保交易处理的及时性、完整性和确定性。


  5.以下哪一项是有关电子商务风险的最好描述?
  a.发生对目标的达成有负面影响的某事件的不确定性。
  b.发生对管理层保护本组织的资产的能力有正面影响的某事件的不确定性。
  c.发生对目标的达成有正面影响的某事件的不确定性。
  d.发生对本组织的资源的有效和高效利用有影响的某事件的不确定性。


『正确答案』a
『解题思路』
  a.正确。电子商务风险和控制环境是复杂和不断演进的。风险可以被定义为发生对目标的达成有负面影响的某事件的不确定性。
  b.不正确。管理层保护本组织的资产只是许多管理目标中的一个。
  c.不正确。应当是负面影响,而不是正面影响。
  d.不正确。虽然对本组织的资源的有效和高效利用是一个有效的目标,但是本题解没有严格地指出是负面影响。


  6.定期向高级管理层和董事会报告内部审计的关键绩效指标
  IPPF实务指南针对“衡量内部审计效率和效果”建立业绩衡量系统提出了四步法:
  第一步是明确内部审计的有效性
  第二步是识别关键内、外部利益相关方
  第三步是为评估内部审计工作的效率和效果,建立业绩衡量标准或关键绩效指标
  第四步是监控报告结果

  详细讲解如下:
  第一步是明确内部审计的有效性。
  在以下内容的基础上明确内审有效性:
  ●“内部审计定义”
  ●职业道德规范
  ●《标准》
  ●章程
  ●对审计成果的共识
  ●对内审活动效率效果的一致意见

  第二步是识别关键内、外部利益相关方。
  调查和深入访谈获得相关方需求和预期。
  外部利益相关方——规章和准则制定机构、外部审计师、第三方供应商和顾客
  内部利益相关方——董事会或审计委员会、高级管理层、运营和职能支持管理层和内部审计师。

  第三步是为评估内部审计工作的效率和效果,建立业绩衡量标准或关键绩效指标。
  CAE应和利益相关方一起制订关键绩效指标,确保关键绩效指标与组织的战略目标相匹配。
  内审师在单项审计业务中评估关键绩效指标判断两点:
  是否是正确的指标?
  ●能涵盖组织全部目标?
  ●反映实际绩效变化?
  ●被理解?
  ●反映及时?
  能否有效发挥作用?
  ●数字精确?
  ●信息来源可靠?

  第四步是监控和报告结果。
  衡量内部审计活动的价值。重要的方式包括:
  ●满意度调査;
  ●管理层对审计要求(无要求→无益无助);
  ●评估内部审计最佳实务和新程序被采用的情况;
  ●由内部审计活动促成组织积极变革的程度;
  ●CAE和高级管理层或董事会之间的沟通对话,显示审计活动满足了客户的需求。

  董事会/审计委员会在检査内部审计部门的贡献和绩效时会关注:
  1.遵循《标准》?
  ●是否遵循IIA《标准》?
  2.保证独立性、客观?
  ●是否有足够高的层级并职能分离以确保独立性?
  ●是否避免了可能损害客观性的事务?
  3.计划依风险而定、执行?
  ●内审计划是否是基于组织的风险而制定的?
  ●在完成今年计划方面内部审计部门做的怎样?

  4.质量保证程序、资源?
  ●内部审计是否有一套质量保证程序?
  ●是否按照《标准》的要求制定了每五年一次的外部质量评估计划?
  ●最近一次的质量评估结果如何?
  ●内部审计是否有足够的资源,能够提供所需要的关于风险和控制方面的确认服务?
  5.审计委员会的调查反映?
  ●内部审计负责人对审计委员会开展的相关调查有何反映?

  典型例题
  1.IPPF的实务指南针对“衡量内部审计效率和效果”建立业绩衡量系统提出四步法,此四部法包括:
  Ⅰ.明确内部审计的有效性;
  Ⅱ.识别关键内、外部利益相关方;
  Ⅲ.为评估内部审计工作的效率和效果,建立业绩衡量标准或关键绩效指标;
  Ⅳ.监控和报告结果.
  a.Ⅰand Ⅲ。
  b.Ⅱ and Ⅳ。
  c.only Ⅰ。
  d.Ⅰ、 Ⅱ、Ⅲ and Ⅳ。


『正确答案』d
『解题思路』
  a.不正确。见题解d。
  b.不正确。见题解d。
  c.不正确。见题解d
  d.正确。IPPF在实务指南针对“衡量内部审计效率和效果”建立业绩衡量系统提出四步法,此四部法包括:第一步是明确内部审计的有效性;第二步是识别关键内、外部利益相关方;第三步是为评估内部审计工作的效率和效果,建立业绩衡量标准或关键绩效指标;第四步是监控和报告结果。


  2.为了鼓励消费消费,销售部在新产品销售中发放贵重的赠品。这一促销手段看起来很成功,但管理当局觉得成本可能过高。以下哪项审计程序在确定该促销活动的有效性方面作用最小?
  a.比较促销期和类似非促销期的产品销售量。
  b.比较促销期前后销售产品的单位成本。
  c.对促销期的边际收入和边际成本进行分析,并与促销之前相比较。
  d.检查销售部门用来评价一项促销活动成败的标准。


『正确答案』b
『解题思路』
  a.不正确。这种比较有助于了解促销活动在增加销售量方面的有效性。
  b.正确。没有迹象表明售出产品的成本发生变动。其任务是要证明促销活动的有效性。
  c.不正确。这样可以算出收入减去成本后的差额大小,因此是一项很关键的分析。
  d.不正确。这样做有用,因为销售部可能会有一些有关新顾客的有用信息并可促使他们再次购买。


  7.与外部审计师、法规监管机构以及其他内部确认部门协调内部审计工作

  7.1 确认服务提供者
  《标准》中对确认的定义:为独立评估组织的治理、风险管理和控制过程,而对证据进行的客观检查。

  三类确认服务提供者:
  1.向管理层报告的人员或本身就是管理层的组成部分(管理层确认)
  包括实施控制自我评估的人员、质量审核人员、环境审计人员和其他管理层制定的确认人员。
  向董事会报告的人员——包括内部审计师。
  向外部利益相关者报告的人员(外部审计确认)——传统上由独立审计人员/法定审计人员担任。
  三类确认服务提供者的区别:
  ①所服务的利益相关者不同;
  ②所提供确认活动的独立性水平不同;
  ③所提供确认的稳健性有差异。
  根据风险的不同,期望获得的确认水平以及提供确认的人员也有所变化。

  对一个组织而言,存在多个确认提供者:
  

  
  

  内审部门制定审计工作计划时,应听取各方意见,意见包括:
  ●对财务和经营情况的分析;
  ●法律和法规的相关要求;
  ●审计前掌握的资料;
  ●行业或经济发展的趋势等。
  其中“各方”包括董事会及高级管理层、外部审计师和组织的法规监管机构等。

  7.2 确认职能的分工与合作——确认图谱
  确认图谱以风险管理框架的结构作为基础。例如,确认图谱可以包括下列栏目:
  

  PS:
  内部审计覆盖面;→CAE在此栏填近期工作覆盖的内容。
  其它确认提供者的覆盖面。→风险责任人/协调人在此栏填。
  每个重要部门均可绘制本部门的确认图谱。内审在此发挥协调作用。
  
  1.高级管理层和董事会
  需要针对这些风险考虑确认覆盖范围的改变。
  2.内部审计部门
  在制定内审计划时,需考虑未被适当覆盖的领域。

  7.3 外部审计师
  内部审计同外部审计进行协调的例子通常包括:
  1.对比审计计划消除重复,鼓励双方合作;
  2.彼此认同,使业务活动结果(如:最终报告)能共享,帮助组织实现目标消灭风险;
  3.交流/分享外审关于风险管理、控制和治理程序方面的意见来帮助内部审计计划

  7.3.1 跟踪并报告管理层对外部审计结果的落实情况
  在支持管理层应对外部审计审计结果方面,内部审计师应该:
  

  同外审讨论:同外审讨论,确定其对相关事项和纠正措施等内容有充分正确的理解。
  同管理层讨论:同管理层讨论已识别的风险事项,确保对应用措施予以充分的理解。
  三方讨论方案:同管理层和外审一同讨论相关事项的解决方案。
  额外咨询协助:确定是否需要额外的咨询资源协助。
  时间底线:建立一个合理的时间底线来关注并解决重要事项。
  监督问题解决:建立工作清单和其他必要的工具来监督问题的解决。

  了解:
  首席审计执行官应经常评估内、外部审计人员之间的工作协调情况。可包括对内、外部审计总成本、总体效率和效果的评估。
  首席审计执行官应向高级管理层和董事会汇报评估结果,也可一并上报对外部审计师工作的相关意见。

  7.4 法规监管机构
  监管部门确定沟通程度和方法:例如,不同行业有不同监管部门和不同要求。
  交换信息目的是减少重复劳动:例如,内审可向外审提供审计文献和报告作为遵守法规证据。

  7.4.1 跟踪并报告管理层对法规监管机构检査结果的落实情况
  IIA的《标准》和《实务公告》“后续程序”内容规定:
  后续程序:是指内部审计师对管理层为应对已报告的发现和建议(包括外部审计师和其他人员的发现和建议)所采取行动的完整性、效果性和时效性进行评价。
  这项程序也包括确认高级管理层和/或董事会是否已接受不采取针对已报告发现问题的纠正措施所带来的风险,包括:

  

  CAE确定后续审计的性质、时间和范围,应考虑以下因素:
  
  ●已报告的发现和建议的重要性
  ●纠正措施的复杂性
  ●纠正已发现问题时需要的努力程度和费用
  ●若纠正措施失败,可能产生哪些影响
  ●涉及的时间期限

  4.CAE安排后续审计,作为工作计划一部分。
  后续审计安排应以所涉及的风险和问题、实施纠正行动的困难程度和时效的重要性为依据。
  5.对管理层口头或书面答复已采取行动表示接受,则可将后续程序安排在下次业务中。
  6.内审应确认发现和建议所采取的行动是否纠正了潜在的问题。
  7.后续程序应被适当记录。

  用以有效监督审计结果处理进展情况的技术包括:
  ●报告什么?——审计发现和审计建议以及外部法规部门的检查结果。
  ●向谁报告?——向负责采取纠正性措施的恰当管理层报告。
  ●收集反映的信息——收集管理层对结果反应的最新信息,以评价管理层纠正以前所报告情况的努力程度。
  ●评价对结果的反应——在审计过程中或在结果报告后合理时间内接收并评价管理层对结果的反应。反应可能有助于CAE评价纠正性措施的充分性和时效性。
  ●评价跟踪或纠正措施的信息——接收并评价来自组织内部负责采取跟踪或纠正性措施的其他部门的信息。
  ●报告结果的反映——向高级管理层或董事会报告对结果的反应情况。

  跟踪检查分三个步骤:
  1.怎样采取纠正行动?——高级管理层与被审计单位协商,决定是否、何时、怎样按照内部审计师和法规部门的建议采取纠正行动;
  2.按照决定采取行动
  3.内审复查、追责——报送审计报告后,经过一段合理时间,内审对被审计单位复查,看其是否采取了合适的纠正行动并取得了理想的效果。如果不采取纠正行动,是否是高级管理层和董事会的责任。

  7.4.2 与其他内部确认职能部门协调内部审计工作
  其他内部确认职能部门可能包括:
  保安部门;
  安全部门;
  风险管理;
  质量控制。
  合作协调应用工作成果和专业意见提高效率效果减少冗余最大程度发挥经济性和有效性。

  1.保安部门
  同保安部门人员定期召开会议,告知正在进行中的审计项目。
  ●收集潜在风险的保安投入;
  ●当前进行的可能同控制失效相关的保安调查;
  ●任何过去曾经出现问题的领域。
  2.安全部门
  应当建立一个机制,使得危险调查结果能够迅速被报告,且必要的时候纠正行为使其可以被评估。
  3.质量控制
  质量控制审计中常常需要开展一系列的审计,例如产品质量审计、程序质量审计和质量系统审计。
  内部审计活动与质量控制部门应当交换审计计划和报告。

  4.风险管理
  每年度组织开展的风险识别与评估可以帮助管理层识别想要实现组织目标所最应关注的领域。
  内部审计对于此类信息的利用可以确认内部审计的优先顺序,并获取开展内部审计评估时的背景信息。

  典型例题
  1.某内部审计小组最近完成了一项关于公司汽车使用是否符合公司“租赁或购置”政策的审计。审计报告表明有若干项出租(而非购买)的决定没有被记载因而无法审计。报告建议管理人员必须确保存在出租决策的书面文件的情形下方执行该决策。内部审计师决定根据该审计报告继续进行有关的跟踪检查。
  进行跟踪检查的主要目的是:
  a.确保内部审计师的建议得到及时考虑。
  b.确定管理层针对报告结果已采取相关措施。
  c.以便内部审计师能评价其建议的有效性。
  d.记录管理层对审计报告的反应并及时完成审计归档。


『正确答案』b
『解题思路』
  a.不正确。内部审计师的建议是否能及时得到考虑是内部审计师关心的问题,但内部审计师更加关心建议落实的实际效果,即管理层的行动。
  b.正确。《标准》2500.A1的规定:首席审计执行官必须建立后续程序,监督及确保管理层已采取有效措施,或高级管理层已接受不采取行动的风险。因此,进行跟踪检查的主要原因就是确定管理层是否已经针对审计建议采取相应措施。
  c.不正确。跟踪检查的首要目的是确定有关建议是否落实,而不是对建议本身有效性的评价。
  d.不正确。跟踪检查的原因不是内部审计活动本身,不是为了审计而开展审计。


  2.内部审计师发现即使是经过相关方同意,纠正行动有时仍未得到执行,那么内部审计师应该:
  a.决定必要的跟踪检查的范围。
  b.请管理层决定何时进行跟踪检查,因为这是管理层的最终责任。
  c.只有当管理层要求内部审计师协助时才决定进行跟踪检查。
  d.将所有的审计发现和它们对经营活动的重要性写成一份跟踪检查报告。


『正确答案』a
『解题思路』
  a.正确。《标准》2500.A1的规定:首席审计执行官必须建立后续程序,监督及确保管理层已采取有效措施,或高级管理层已接受不采取行动的风险”,因此在相关方同意采取纠正行动但没有得到执行的情况下,内部审计师应该开展跟踪检查。
  b.不正确。如何进行跟踪检查是内部审计部门而非管理层的责任。
  c.不正确。跟踪检查不是只有在管理层的要求下才能进行,而是由内部审计师根据实际情况自行决定。
  d.不正确。必须要先开展跟踪检查,才能编写跟踪检查报告。


  3.以下哪种陈述最能体现内部审计部门针对先前审计工作进行跟踪检查的责任?
  a.内部审计师应确认是否采取了纠正行动,并达到了理想的结果,或者管理层已经承担不采取纠正行动所带来的风险。
  b.内部审计师应该确认管理层是否已经开始实施纠正行动,但没有责任确认该行动是否获得理想结果,因为那是管理层的责任。
  c.只有在高级管理层或审计委员会指示下,首席审计执行官才有责任安排跟踪检查工作。否则,是否实施跟踪检查是可自主决定的。
  d.以上三项都不正确。


『正确答案』a
『解题思路』
  a.正确。根据《实务公告》“后续程序”的内容:“内部审计师应确认管理层已采取行动或已落实建议。内部审计师应确认期望的结果已实现,或高级管理层、董事会已接受不采取行动或建议所带来的风险。”
  b.不正确。内部审计师不但要确认是否采取了纠正行动,也要确认其有效性。
  c.不正确。《标准》2500.A1规定,“首席审计执行官必须建立后续程序”,这并不依靠高级管理层或审计委员会的指示。
  d.不正确。


  4.以下哪种有关协调内部审计和外部审计工作结果的说法正确?
  a.首席审计执行官不应将非法行为的信息告诉外部审计师,因为外部审计师会根据要求将这类事件报告给董事会和/或法规监管机构。
  b.外部审计师工作底稿的所有权和保密性妨碍了内部审计师对它们的查阅。
  c.首席审计执行官应该确定,在外部审计师给管理层的建议书中提到的事情已经由管理层采取了适当的跟踪检查和纠正行动。
  d.如果内部审计师在年度审计中协助外部审计师工作,那么他们不必遵守《标准》。


『正确答案』c
『解题思路』
  a.不正确。因为《标准》要求内部审计人员和外部审计人员之间共享信息,而且,外部审计师将这类事件向董事会或法规监管机构报告不应成为首席审计执行官不提供信息的理由。
  b.不正确。根据《实务公告》“协调”的内容,“通过获取外部审计师的审计方案和工作底稿,能够把外部审计的工作可靠地运用到内部审计工作中。内部审计人员有责任保证这些方案和工作底稿不被泄露”,这种接触给内部审计带来的责任是要遵守这些工作方案和审计工作底稿的保密规定,这说明外部审计师工作底稿的所有权和保密性不妨碍内部审计师的查阅。
  c.正确。根据《实务公告》“协调”的内容,“在高级管理层和董事会中有关人员审查了管理建议书并提出需采取的纠正行动之后,首席审计执行官应确保采取恰当的后续措施及纠正行动”。
  d.不正确。根据《实务公告》“协调”的内容,“组织可以利用外部审计师的成果来提供内部审计范围内的相关确认服务。在这种情况下,首席审计执行官应采取必要的步骤了解外部审计师所从事的工作,包括与内部审计师所计划工作相关的外部审计师计划的工作性质、范围和时间,应符合《标准》2100条的要求”,因此,内部审计人员借助外部审计人员履行其职责时,开展的工作要遵守《标准》的相关规定。


  5.作为某制造业公司的环境、安全和健康(ESH)自检系统的重要组成部分,在一定工作区域或场所内的有关冲突是由一个ESH职员和作业经理来处理的。如果缺陷不能即时被纠正,这个ESH职员会将其输入跟踪数据库,这个数据库可以通过局域网被所有部门访问。ESH经理利用这个数据库每季度向上级管理部门提供自检系统检查情况的报告。内部审计师注意到,输入关闭信息和确认已经完成纠正行动的工作都是由作业经理完成的。以下控制系统的哪一种变化可以作为潜在利益冲突的补救措施?
  a.不需要增加控制措施,因为季度报告由上级管理部门来复查,在这种情况下已经提供了充分的监督。
  b.不需要增加控制措施,因为那些实施纠正行动的人最适合评估行动的充分性和完成情况。
  c.在关闭信息输入系统后,应由该区域检查团队的ESH职员进行复查,以核实关闭的相关信息。
  d.ESH部门的秘书负责根据作业经理所作的备忘录,将所有信息输入系统。


『正确答案』c
『解题思路』
  a.不正确。尽管上级管理部门可以利用这份报告去质疑为何某纠正行动没有按时完成,但他们无法知道报告所讲的已完成纠正行动是否确实已完成。
  b.不正确。虽然生产经理等实施纠正行动的人可能最了解纠正行动的完成情况和效果,但由他们评价自己的工作容易引起利益冲突,因此,由其他人站在独立的立场进行评估是合适的。
  c.正确。由独立的该区域检查团的ESH职员对纠正行为的充分性和完成情况进行评估,将作为一种解决潜在利益冲突的应对措施,降低舞弊风险。
  d.不正确。相对而言,由ESH职员在现场直接输入资料更加及时、有效。而由该部门的秘书输入信息不会加强控制,因为这仍然缺少独立的检查。


  6.某些高管人员质疑,内部审计部门是否应该向新设立的质量审计职能部门报告工作从而成为公司总体质量管理的一部分。首席审计执行官审阅了质量审计经理提出的质量标准和计划,他对高级管理层的答复应该是:
  a.改变公司内部审计适用的标准以便遵循质量审计标准。
  b.改变对新内部审计人员的资格要求,使之包括具有质量审计经验。
  c.对撤销内部审计职能后部门成本的节约额进行估计。
  d.建立与质量审计职能的恰当联系,保证审计安排与总体审计责任的协调。


『正确答案』d
『解题思路』
  a.不正确。内部审计部门具有独立性,其工作遵循《标准》、《内部审计章程》的规定和相关运用标准,无需为质量审计标准而改变其运用标准。
  b.不正确。内部审计人员任职资格要求在《标准》中有明确规定,在很多情况下《内部审计章程》中也会作出说明,不应随意进行改变。
  c.不正确。内部审计部门具有独立性,其向审计委员会和董事会负责和报告工作。内部审计部门是否撤销、撤销所减少的成本不是首席审计执行官考虑和向高级管理人员说明的问题。
  d.正确。首席审计执行官是内部审计部门的最高负责人,负责部门对外的协调和沟通工作。因此,确认相关活动,保证内部审计工作的协调是首席审计执行官应做的工作。


  7.一位在大气质量问题上很有经验的内部审计师与环境、安全与健康(ESH)部经理交谈时发现该经理对有关控制大气排放的法律要求了解甚少,他应当:
  a.将审计范围转变为关注与大气排放相关的活动。
  b.向ESH经理介绍相关知识。
  c.记录这一弱点,并进一步提问以便确定该弱点的潜在影响。
  d.把在这方面有违法可能性的情况向适当的法规机构报告。


『正确答案』c
『解题思路』
  a.不正确。审计范围是在考虑到相关的系统、记录、人力及包括受第三方控制的财产等前提下确定的,内部审计师应确保审计范围的充分性,以实现既定的目标,不应轻易缩小或变更范围。
  b.不正确。向该经理介绍相关知识不是内部审计师的责任,而且这种做法对实现审计目标没有帮助。
  c.正确。根据《实务公告》“业务计划中的风险评估”内容:“如果条件合适,内部审计师要开展调查,以熟悉有关工作、风险和控制,识别业务需要强调的领域,征求业务客户的意见和建议”,调查的主要目的是确认需要特别注意的重要领域,总结潜在的关键控制点、控制缺陷和/或控制过度情况,与该经理交谈是调查的一种形式,内部审计师应当记录该弱点并确定该弱点的潜在影响。
  d.不正确。安全与健康部门的经理对其业务相关的法律了解不多,这与该经理自身的违法行为无关,也不一定会导致该部门或组织的违法行为,因此,在开展深入审计之前,不存在向法规机构报告违法可能性的问题。


  8.《标准》不要求首席审计执行官:
  a.为年度报表的财务审计提供资料。
  b.与董事会和高级管理层沟通外部审计师关于绩效评估的结果。
  c.与外部审计师协调审计工作。
  d.与董事会和高级管理层沟通关于内外部审计师协调工作的评估结果。


『正确答案』a
『解题思路』
  a.正确。提供资料不是首席审计执行官的职责。
  b.不正确。参见《标准》和《实务公告》“协调”的内容。
  c.不正确。参见《标准》和《实务公告》“协调”的内容。
  d.不正确。参见《标准》和《实务公告》“协调”的内容。


  8.评估绩效考核系统的充分性以及公司目标的实现情况——了解水平

  8.1 定期向董事会报告关键绩效指标
  衡量产出。如销售收入、产量;
  衡量组织流程的特征。如及时性、精确性;
  衡量风险。如过错发生率、错误发展趋势等。
  被参考用作关键风险指标指示风险,
  当指标超上限能及时发现并纠正。

  8.2 评估业绩测评系统的充分性和整体目标的实现情况
  内部审计部门对业绩测评系统的评估要包括如下内容:
  

  

  典型例题
  1.以下是有关某分公司全面质量管理方案有效性的潜在证据来源。假设所有的比较都基于相似的期间,而且当前项目与相似项目的比较是在总体质量管理方案实行之前进行的。最不具有说服力的证据将是比较:
  a.两个时期雇员的工作热情。
  b.两个时期废料和返工成本。
  c.两个时期客户退货。
  d.两个时期单位产品的生产和销售成本。


『正确答案』a
『解题思路』
  a.正确。工作热情与公司总体质量无关,而且易受主观影响,因此这个证据最不相关,最没说服力。
  b.不正确。废料和返工成本与质量管理有关,提供公司总体质量方案是否有效方面的有说服力的证据。
  c.不正确。客户退货与公司质量管理有关,提供了公司总体质量方面有说服力的证据。
  d.不正确。单位产品的生产和销售成本在一定程度上受质量问题影响,因此在一个方面说明了公司总体质量管理方案的实施情况。


  2.内部审计师希望确定EFT系统没有重复付款情形。计算机辅助审计工具与技术可用以实施以下哪些程序?
  Ⅰ.识别出将相同金额支付给同一供应商的EFT业务。
  Ⅱ.抽取出具有非授权供货商代码的EFT业务。
  Ⅲ.测试EFT业务的合理性。
  Ⅳ.寻找具有重复购买订货单号的EFT业务。
  a.Ⅰ、Ⅱ、Ⅲ 和 Ⅳ。
  b.Ⅰ、Ⅲ 和 Ⅳ。
  c.Ⅰ和 Ⅲ。
  d.Ⅰ和 Ⅳ。


『正确答案』d
『解题思路』
  a.正确。重复付款意味着付款的对象和金额是一样的,因此,从确定业务是否支付给同一供货商同一金额能有助于缩小审计范围,从而确定有无重复付款情况。
  b.不正确。无论是经授权的供货商,还是未经授权的供货商,都会存在重复付款的可能性,因此该程序没有效果。
  c.不正确。业务的合理与否与重复付款无关,此程序没有效果。
  d.正确。重复付款意味着对同一采购业务进行两次或以上的付款,而采购业务的重要依据是订货单,因此重复的订货单号很可能会导致重复付款,该程序对确定有无重复付款有效。




免费注册登录下载更多国际注册内部审计师CIA资格考试资料

http://union.chinaacc.com/union/advertHit/advertHit.shtm?advertID=1208&agentID=61