主讲师资介绍
 李海风:毕业于北京大学,MBA,德信思成首席研究员
 2001-2002年期间,先后受7省内审协会委托主讲CIA考试有关科目;2003年度,将在全国十余个省份主讲“内部审计程序”,先后主持并参与多家机构的管理咨询工作。
 2002年度,编译出版《面向信息时代的内部审计》
 2003年度,主译出版《控制自我评估》、《管理审计部门》;主译《CIA经典--内部审计程序》
 研究方向:产业组织、公司治理、战略审计
 联系方式:010-68948188,13910106992
 邮箱:cia2002506@sohu.com
授课安排
 内部审计专业实务框架(PPT)
 内部控制、风险管理、公司治理
 业务循环
 审计业务(计划、实施、监控进程、确认/分析/评价和记录信息)
 管理内部审计活动
 信息技术审计
 舞弊
内部审计的发展
 内部审计是一门以管理为导向的学科,二次世界大战后这门学科得到了迅速的发展。内部审计以往的职能主要关注财务和会计事件,现在注重组织作业活动的整体范围,并开展类别相对广泛的确认(assurance)和咨询服务。内部审计的发展受组织规模的不断扩大和分权化的影响,组织运营越复杂、技术上越是相互渗透,其结果就越需要一个独立、客观的评价和改进其风险管理、控制和治理过程的方式。
 发达国家的内部审计已经历两个主要阶段,并且已处于第三个阶段的边缘,目前的内部审计正处于一个转型期,即从以往注重于控制转向注重于在审计运营流程时对风险的关注。
内部审计定义
 是一项独立的、客观的确认和咨询活动。
 它通过采取系统化、规范化的方法评价和改善组织的风险管理、控制及治理过程的有效性,帮助组织实现其目标。
 目标:增加组织价值和改善组织的运营。
内部审计新老定义比较
例题
 以下哪项是对内部审计师在组织现存的风险管理、控制以及治理过程审核目标的最佳描述:
 a.帮助确定必要测试的性质、时间安排及范围,以实现业务目标;
 b.确保内部控制系统的薄弱环节得到纠正;
 c.为组织的目标和宗旨得以有效率和有效果地实现的过程提供合理的保证; <br> d.确定内部审计过程是否能确保会计记录的正确性以及财务报表的公允披露。
内部审计专业实务框架
内部审计专业实务框架(PPF
 六个层次
 强制性:定义、道德规范、属性标准和工作标准、实施标准
 非强制性:实务公告、实务公告制定和实务目标
 六个层次的适用范围
关键词
 增加价值(Add Value): 组织的存在是为其业主、其他利益关系方、顾客和客户创造价值或利益。这个概念说明了组织存在的目的。价值通过组织产品和服务的开展以及为促进组织的产品和服务而使用资源的方式来提供。内部审计师在了解和评估风险而收集信息的过程中,会深刻洞察对组织极为有利的经营和改进机会。这些有价值的信息可以通过咨询、建议、书面沟通或那些可在适当的管理层和经营部门恰当沟通的其他形式表现出来。
 修改稿:通过满足管理层和董事会需要、改进机会以实现组织的目标、确认运营上的改进,或通过确认服务和咨询服务来减少风险暴露,就可以提供价值。
关键词(续)
 确认服务(Assurance Services):一种对组织的风险管理、控制和治理过程提供独立的评估为目的的客观检查证据的行为。例如财务审计、绩效审计、合规性审计、系统安全审计与应尽责任业务。
 咨询服务(Consulting Services):顾问及相关的客户服务活动,这种服务的性质和范围通过与客户协商确定,目标是增加组织价值和改善组织运营。这类服务有商议、建议、协调、程序设计及培训等。
 Consulting Services – Advisory and related client service activities, the nature and scope of which are agreed upon with the client and which are intended to add value and improve an organization’s governance, risk management, and control processes while not assuming management responsibility. Examples include counsel, advice, facilitation, process design, and training.
例题
 内部审计是一项确认和咨询活动。确认服务的范例是:
A.流程设计业务;
B.协调业务(facilitation engagement);
C.培训业务;
D.合规性业务。
关键词(续)
 客观性(Objectivity):是一种无偏的心理姿态,它允许(要求)内部审计师在开展业务时,对他们的工作成果持有诚实的信念,没有重大的质量妥协。客观性要求内部审计师不能把对其他事务的判断凌驾于对审计事务的判断之上。
 独立性(Independence) –独立性可免于重大利益冲突,这种冲突会威胁到客观性。这种对客观性的威胁必须在单个审计师的层面、业务层面、以及组织层面得到管理。
关键词(续)
 风险管理(Risk Management) – 一种设计的旨在确认、管理和控制潜在事件的流程,用于对组织的目标的实现提供合理的保证。
 A process designed to identify, manage, and control potential events to provide reasonable assurance regarding the achievement of the organization’s objectives.
关键词(续)
 治理过程(Governance Process):组织的利益相关人代表(如,股东等)所利用的程序,用于对管理层管理的风险和控制过程进行监督。
 Governance Process – The procedures used by the governing body to provide oversight of risk and control processes administered by management.
例题:
 能为组织的利害关系人代表提供的、对管理层管理的流程进行监督的最为准确的词语是:
A.治理;
B.控制;
C.风险管理;
D.监督。 <br>
解析
 讨论:组织采用各种法律形式、构架、战略和程序来确保:遵守社会的法律和规章制度;满足公认的业务模式、道德规则、社会的社交期望;为社会提供整体福利,并从长期和短期来加强特定利害关系方的利益;全面真实地向其业主、管治者、其他股东和公众报告,确保组织的决策、活动、行动和业绩责任。组织选择的开展其业务的方式要满足上述四项责任,而这通常可称为治理过程。组织的治理机构(如董事会、理事会或管理委员会)和其管理高层要对治理过程的有效性负责(实务公告2130-1)。
 风险管理包括组织所采取的各项活动,用于优化不确定事件的后果,这些事件会影响组织目标的实现。
 监督是由管理层和其他人采用的活动组成的,用以评估内部控制系统实施质量。在当前的标准和词汇表中没有对监督作出定义。
其它的关键词
 业务(Engagement):指一项特定的内部审计分工、任务或检查活动。比如,某项内部审计、自我评估检查、舞弊检查或咨询。为实现一系列特定的相关目标,一项业务可以包括多个任务或活动。
 业务目标(Engagement Objectives):由内部审计师制定的概括性声明中所界定的、希望实现的业务成果。
例题
 业务目标可在以下哪项中陈述:
Ⅰ.业务工作方案
Ⅱ.业务沟通(即,审计报告)
Ⅲ.业务目标声明
A.仅有Ⅰ和Ⅲ;
B.仅有Ⅰ和Ⅱ;
C.仅有Ⅱ和Ⅲ;
D.Ⅰ、Ⅱ和Ⅲ。 <br>
解析
 讨论:业务目标由内部审计师制定的概括性声明中所界定的、希望实现的业务成果(词汇表)。业务工作方案要求内部审计师制定出能完成业务目标的工作方案,并应对这些工作方案予以记录(标准2240)。业务工作方案也指出了业务的目标(实务公告2200-1)。业务沟通包括业务目标、范围、适用的结论、建议和行动计划(标准2410)。包含在业务沟通中的业务目标,描述了业务目标,并可以解释为什么要开展业务以及期望实现的目标(实务公告2410-1)。
其它的关键词(续)
 初步的风险评估(Preliminary Risk Assessment) – 在业务计划期间所开展的风险评估,旨在确立业务的范围和目标。
 剩余风险(Residual Risks) – 在管理层采取措施减少不利事件可能性和影响(包括响应风险的控制活动)后所保留的风险。
 风险(Risk) –某个事件发生的不确定性,它可能影响到目标的完成。风险根据影响和可能性来衡量。
 不可接受的剩余风险(Unacceptable Residual Risk) – 在控制活动没有充分设计、没有适当实施时,或是将风险减小到一个可以接受的水平无效时,就会存在这种风险。 <br>
其它的关键词(续)
 合规性(Compliance):合理保证符合并遵守组织的政策、计划、程序、法律、规章及合同的能力。
 修改稿:Compliance – Conformity and adherence to policies, plans, procedures, laws, regulations, contracts, or other requirements.

其它的关键词(续)
 道德规范(Code of Ethics):IIA道德规范的宗旨是在全球内部审计职业中倡导一种道德文化。道德规范对以诚信为基础、对风险、控制和治理进行客观性确认的内部审计职业而言是必要、适当的。道德规范适用于提供内部审计服务的个人和实体。
 修改稿:Code of Ethics – IIA的道德规范包括与内部审计的原则与实务相关的原则,并且行为规则描述了预期内部审计师的行为规范。道德规范适用于提供内部审计服务的个人和实体。 IIA道德规范的宗旨是在全球内部审计职业中倡导一种道德文化。
其它的关键词(续)
 利益冲突(Conflict of Interest):指任何事实上或表面上都不利于组织最佳利益的关系。利益冲突会有损于个人客观地履行其职责。
 修改稿:利益冲突 – 由于义务或机会上的对立,使个人对组织忠诚的义务受到挑战的一种状况。A condition in which an individual’s duty of loyalty to an organization is challenged by an opposing duty or opportunity.
道德规范
 目标:促进内部审计职业的道德文化建设。
 适用性:适用于提供内部审计服务的个人和组织。
 原则:诚实、客观性、保密性及胜任能力。
 行为规则:诚实、客观性、保密性及胜任能力
道德规范原则
 原则
 期望内部审计师运用和信守的以下原则:
 诚实
 内部审计师的诚实建立起信用,从而为其判断提供了信任基础。
 客观性
 对于正在检查的活动和程序的信息收集、评价和沟通,内部审计师表现出最高水平的职业客观性。内部审计师对所有相关的情形会作出均衡的评估,并在形成判断时不因自身利益或他人利益而受到影响。
 保密性
 内部审计师尊重其所获取的信息的价值和所有权,未经适当的授权不会披露这些信息,除非法律或职业责任要求他们那样做。
 胜任能力
 内部审计师在开展内部审计服务时要运用所需的知识、技能和经验。

行为规则
 道德规范对于内部审计行业是必要的、恰当的,它是建立在信任的基础上,对有关风险管理、控制和治理过程进行客观的确认。道德规范在两个必要的方面延伸了内部审计的定义:
 1.与内部审计职业和实务相关的原则;
 2.描述内部审计师预期行为规范的行为规则。这些规则的目标是将原则在实务运用中予以解释,并达到指导内部审计师的道德规范的目的。
。
例题
 IIA的道德规范中的行为规则:
A.对内部审计师预期的行为规范作了描述;
B.是帮助内部审计师处理同业务客户关系的方针;
C.通过原则对其作了解释;
D.仅应用于特别提到的特殊行为。
道德规范的行为规则
 诚实
 内部审计师:
 1.1 要诚实、审慎和尽责的开展其工作;
 1.2 要遵守法律,并按法律和职业的要求进行披露;
 1.3 不能故意从事任何非法的活动,或从事有损于内部审计职业或组织名誉的行为;
 1.4 要尊重和致力于组织的合法地位和道德目标。
例题
 在一家化学制造公司的内部审计师相信公司倾倒的有毒废弃物违反了法律。出于对公司的忠诚,审计师没有收集有关倾倒物的信息。内部审计师:
A.因有意成为违法活动的一员而违法了道德规范;
B.因没有保护一般公众的福利而违反了道德规范;
C.没有违反道德规范。在任何事件上都需要对雇主忠诚;
D.没有违反道德规范。因为没有收集有关违例事件的信息。
解析
 讨论:行为规则1.3禁止内部审计师有意成为违法活动的一员。内部审计师应披露其所知道的任何重要的事实,如果不披露,可能会歪曲他们所报告的审核活动(行为规则2.3)。内部审计师还明显没有审慎地开展其工作(行为规则1.1)
 答案B不正确,IIA的道德规范没有强加对公众的责任;答案C不正确,内部审计师不应以任何方式使用信息以损害组织的合法地位和道德的目标(行为规则3.2),并要尊重和致力于组织的合法地位和道德目标(行为规则1.4)。不过,非法倾倒有毒废弃物既不是合法的,又不是道德的;答案D不正确,内部审计师应根据内部审计专业实务标准收集和报告这类信息。
道德规范的行为规则(续)
 客观性
 内部审计师:
 2.1 不应参与或有任何可能会损害,或据推测会损害其无偏评估的任何活动或关系。这种参与包括那些可能会与组织的利益有冲突的活动或关系;
2.2 不应接受可能会削弱,或据推测会削弱其专业判断的任何东西;
 2.3 应披露其所知道的任何重要的事实,如果不披露,可能会歪曲他们所报告的审核活动。
例题
 首席审计执行官被任命参加一评价外部审计师应聘资格的委员会。承担外部审计的会计师事务所业务合伙人邀请首席审计执行官一起到其私人狩猎场打猎一周。该首席审计执行官应当:
A.接受,理由是他们双方的有关条文均允许;
B.拒绝,鉴于双方的利益冲突;
C.只要不占用工作时间就可以接受;
D.询问主计长,这样做是否违背公司的道德规范。
解析
 讨论:根据行为规则2.1,“内部审计师不应参与或有任何可能会损害,或据推测会损害其无偏评估的任何活动或关系。这种参与包括那些可能会与组织的利益有冲突的活动或关系。”此外,根据行为规则2.2,“内部审计师不应接受可能会削弱,或据推测会削弱其专业判断的任何东西”。
道德规范的行为规则(续)
 保密性
 内部审计师:
 3.1 应谨慎地使用和保护其在工作过程中所获得的信息;
 3.2 不应将信息用于任何个人的利益,或以任何方式违反法律,损害组织的合法地位和道德目标。
例题
 首席审计执行官采取的以下哪项活动在IIA的道德规范内可看作是在职业上是道德的:
A.首席审计执行官决定拖延对分部的审计,以便分部经理(审计执行官的亲戚)有时间将“有些事情进行整理”;
B.为节约公司资源,首席审计执行官以所有助理人员都是新人,不会从培训中受益为由,取消了所有助理人员未来2年的培训;
C.为节约公司资源,首席审计执行官限制了对国外分部的审计程序,以便从国外经理处证实没有发生主要的人事变动;
D.首席审计执行官拒绝向作为业主之一的父亲提供有关公司的经营信息。
解析
 讨论:根据IIA的道德规范的行为规则3.1,“内部审计师应谨慎地使用和保护其在工作过程中所获得的信息。”根据行为则3.2,“内部审计师不应将信息用于任何个人的利益,或以任何方式违反法律,损害组织的合法地位和道德目标。”因此,在内部的商业规则下,首席审计执行官使用公司的经营信息可能是非法的。
 答案A不正确,根据行为规则1.1,“内部审计师要诚实、审慎和尽责的开展其工作。”;答案B不正确,根据行为规则4.3,“内部审计师应不断提高其服务的熟练性、效率和质量”;答案C不正确,根据行为规则4.2,“内部审计师应根据内部审计专业实务标准开展内部审计服务”。标准要求辅助信息要充分、可靠、相关和有用。
道德规范的行为规则(续)
 4.胜任能力
 内部审计师:
 4.1 仅应该从事那些其己具备了必要的知识、技能和经验的服务;
 4.2 应根据内部审计专业实务标准开展内部审计服务;
 4.3 应不断提高其服务的熟练性、效率和质量。
例题
 公司新近任命原经营经理出任首席审计执行官。新任的审计执行官既不是注册内部审计师,也不是IIA的成员。内部审计活动的工作是严格按照审计执行官的要求开展的,而非IIA的标准。4名助理内部审计人员都是IIA的会员,但都不是注册内部审计师。依据IIA的道德规范,助理审计人员的最佳行动方案是:
A.鉴于他们都不是注册内部审计师,因此不需要遵守职业道德规范;
B.应遵守内部审计专业实务标准;
C.必须尊重组织的法律地位和道德目标,可忽视内部审计专业实务标准;
D.必须辞去他们的工作以避免不恰当的活动。
解析
 讨论:IIA的道德规范的行为规则4.2指出,“内部审计师应根据内部审计专业实务标准开展内部审计服务。”鉴于助理审计人员都是IIA的会员,因此尽管他们不是注册内部审计师,但还应遵守IIA的道德规范。
 答案A不正确,IIA的会员、IIA职业资格的接受者或报考者以及那些在内部审计定义范围内提供内部审计服务的人员要遵守IIA的道德规范;答案C不正确,内部审计师应尊重并致力于组织的法律地位和道德目标,但IIA的会员、IIA专业资格的持有人或注册候选人如没有遵守标准要承担纪律上的处分;答案D不正确,IIA的道德规范从来没说辞职就能回避不恰当的活动。
例题
 在审计中,审计师发现一个从事研究开发工作的雇员,一直在申请一些与本公司基本业务无关的新开发的专利权。虽然公司没有具体的政策来规范这种行为,但总的方针是雇员的一切新研究成果都是公司的财产。鉴于该雇员在其工作领域有极高的声望,因此他所属的部门对其行为从宽处理,并以此作为激励,希望他继续为公司多做贡献。对于以上情况,如果审计师作出不予报告的决定,那将会:
a.违背了职业道德规范;
b.违背了专业实务框架(PPF)中有关报告的要求;
c.是合理的。因为部门管理人员清楚地知道这一行为,并且它不违背公司的政策;
d.a和b。 <br>
内部审计专业实务标准(SPPIA)
 内部审计活动是在一种多样化的环境和组织中进行的。因而,这些活动可以由内部人员开展,也可以外包出去。这些差异对每种环境和组织的内部审计实务都会产生影响。不过,对于提供内部审计服务的实体机构和个人而言, SPPIA是一定要遵守的。当然,为弥补实务的差异性,SPPIA的语言涵盖的内容很宽泛,并且更为具体的指南留待其他声明来解决。
 根据IIA的要求,SPPIA要达到:
 a. 对应该能够代表内部审计实务的基本原则进行表述;
 b. 为开展并促进广义范围的价值增值型的内部审计活动提供框架;
 c. 为内部审计工作业绩的评定确立基础(建立依据);
 d. 扶持经改进的组织流程和业务。
例题
 当前的内部审计专业实务标准的一个目标是:
A.鼓励内部审计的专业化;
B.建立内部审计活动的独立性,强调内部审计的客观性;
C.鼓励外部审计师更多的采用内部审计师的工作;
D.为考评内部审计工作确立基础(建立依据)。 <br>
内部审计专业实务标准(续)
 SPPIA包含属性标准(目前是1000-1340)、工作标准(目前是2000-2600)以及实施标准(综合了其他标准)。属性标准关注开展内部审计活动的组织及人员的特点。工作标准描述了内部审计活动以及用于评定内部审计活动业绩的标准。属性标准和工作标准为所有内部审计活动(确认、咨询和其它服务)提供了指导意见。
 a. 实施标准将其他的标准运用到具体的业务中。因此,不同类型的实施标准可分别向内部审计活动的主要类别发布。比如,IIA针对确认服务(如1110.A1)和咨询服务(如1000.C1)已发布了最终的实施标准。
为何要制定新的标准
 老标准中没有涵盖以下的业务,或是涵盖的不充分,或是与最佳实务与冲突,有些老标准已过时。
 Consulting vs. Assurance Services
 E-Commerce/Technology
 Independence vs. Objectivity
 Control Self-Assessment
 Corporate Governance
 Risk Management
 Compliance Requirements
属性标准(Attribute standards)
 属性标准是组织和个人实施内部审计服务的属性
 对于所有的审计服务,属性标准都适用于:
 1000 -- 目标、权限和责任
 1100 -- 独立性和客观性
 1200 -- 熟练性和审慎性
 1300 -- 质量保证和改进方案
属性标准之目标、权限和职责
 内部审计的目标、权限和责任应该是恰当的,以便内部审计活动实现其目标。因为这个原因,内部审计的目标、权限和责任应该在书面的章程中规定,并定期给予再评估。
 1000 目标、权限和职责--内部审计活动的目标、权限和职责应在章程中正式界定。这种界定应与标准相一致,并且需经董事会的批准。
 实务公告1000-1:内部审计章程
 审计活动的目标、权限和职责应在章程中界定。首席审计执行官应征得管理高层对章程的批准以及董事会、审计委员会和相关的管制部门对章程的认可。章程应该(a)确立内部审计活动在组织内的地位;(b)授权审计人员接触与开展业务工作相关的记录、人员和实物财产;(c)界定内部审计活动的范围。
例题
 在应付账款工作的审计过程中,内部审计师计划与供应商联系以便核实账款余额。对这类与组织外部单位的联系是在何处进行授权的:
A.内部审计活动的政策与程序;
B.内部审计实务专业实务标准;
C.内部审计道德行为规范;
D.内部审计活动的章程。 <br> 解析:政策与程序引导内部审计师始终如一地遵守内部审计活动的工作标准;内部审计活动的权限是在经董事会批准的章程中界定的;职业道德规范的目标是促进内部审计职业的道德氛围。
例题
 内部审计活动章程中应包含以下哪项权限要素:
 A.确定要开展审计的组织部门;
 B.确定应向审计委员会披露类型;
 C.接触与绩效审计有关的记录、人员和实物资产;
 D.接触外部审计师的业务记录。
例题
 内部审计师计划对质量保证工作的有效性进行审计,由于该工作涉及商品的验收、投入生产以及与次品相关的废料成本。业务客户认为这类审计不在内部审计活动的范围之内,而是质量保证部门的管辖范围。审计师对此的最佳反应是:
A.查阅内部审计活动的章程与已批准的业务计划,该计划指定了当期要评价的业务范围;
B.鉴于质量保证是一项新工作,让管理层作为协调人批准业务范围的确定;
C.在开始审计前指出,这项业务只是检查质量保证工作是否与经批准、已设立的标准一致;
D.由于审计客户不合作,这项业务没有成效,应当终止。
解析
 讨论:内部审计活动的目标、权限和职责应在章程中界定(标准1000)。除此之外,章程也应界定内部审计活动的范围。此外,首席审计执行官应在每年将内部审计活动关于工作安排、人员配备和财务预算等方面的总结报管理高层审批,报董事会参考(实务公告2020-1)。
 答案B不正确,业务客户不能确定保证业务类型的范围。由客户所强加的范围限制可能会妨碍内部审计活动实现其目标;答案C不正确,管理层和内部审计师可以确立其他的目标。这项业务不应被质量保证部门设定的标准所限制,但在业务方案的制定中应考虑这些标准;答案D不正确,内部审计师应开展这项业务并与管理层与董事会沟通任何范围限制。
例题
 内部审计师可以提供能够增值且改进组织的经营的咨询服务。这些服务的开展:
A.会损害内部审计师的客观性,在审计师卷入相同业务客户的确认服务时;
B.会排除确认服务从咨询业务中产生的可能;
C.应与章程中反映的内部审计活动的权限保持一致;
D.没有强加同业务客户沟通信息的责任。
解析
 讨论:根据标准1000.C1,在审计章程中应界定咨询服务的性质。在传统意义上,内部审计师开展多种形式的咨询服务,如:对建立于现有系统的控制的分析、对安全产品的分析、服务于特别任务小组以便分析经营业务并提出建议,等等。董事会(或审计委员会)应该授权内部审计活动开展其他一些服务,只要这些服务不引起利益冲突,也不影响内部审计活动对审计委员会的责任。这种授权应在内部审计章程中反映出来(实务公告1000.C1-1)。
 答案A不正确,咨询服务不一定会损害客观性。确定是否执行咨询服务结果的建议是由管理层作出的。因此,管理层的决策不会损害内部审计师的独立性;答案B不正确,确认服务与咨询服务并不是相互排斥的,服务的一种类型可以由另一种服务类型产生;答案D不正确,内部审计的首要价值是为管理高层与审计委员会提供保证。如果咨询服务掩饰了首席审计执行官认为应向执行高层及董事会成员表述的信息,这项服务就无法开展(实务公告1000.C1-1)。
属性标准之独立性与客观性
 1100 独立性和客观性- 内部审计活动应独立开展,并且内部审计师在工作时应保持客观。
 实务公告1100-1:独立性和客观性
 1. 内部审计师在他们能自由、客观地进行工作时是独立的。独立性可使内部审计师作出公正、无偏的判断,这对业务工作的恰当开展是必不可少的。独立性要通过组织的地位和客观性来实现。
属性标准之独立性与客观性(续)
 1110 组织的独立性- 首席审计执行官应直接向组织内的高层人员报告,从而保证内部审计活动的开展。
 实务公告1110-1:组织的独立性
 1110.A1- 在确定内部审计的范围,开展审计并沟通业务结果时,内部审计活动不应受到干扰。
 实务公告1110.A1-1:披露要求获取信息的原因
 1.有时,业务客户与其他各方可能会要求内部审计师解释其索要的文件与业务有何相关。在开展业务时,审计师应该根据具体情况确定是否披露索要文件的原因。重大的违规情形的存在可能会表明审计环境不够公开,不利于正常合作业务的开展。不过,这需要首席审计执行官根据具体的情况作出判断。
 实务公告 1110-2: 首席审计执行官的报告层面
例题
 内部审计师在对分部的采购控制进行评价时,首席采购代理商询问为何索要含有与特定的供应商交易的记录。内部审计师作出的恰当反应是:
A.将这个询问作为审计范围限制;
B.向代理商解释其信息要求的原因,以促进与业务客户的合作;
C.拒绝对代理商的信息要求作出解释,以保持审计程序的完整性;
D.在确定是否向代理商披露其信息要求前考虑具体的环境状况。
属性标准之独立性与客观性(续)
 1120 个人的客观性- 内部审计师应持公正、无偏的态度,并且避免利益的冲突。
 实务公告1120-1:个人的客观性(P67)
 1130 独立性和客观性的削弱- 如果独立性和客观性在实质上和形式上受损,受损的细节应向适当的当事人披露。披露的性质将取决于受损情况。
 实务公告1130-1:对独立性或客观性的损害
 实务公告1130.A1-1:评估内部审计师以前负责的经营工作
 实务公告1130.A1-2:内部审计师对其他(非审计)工作所负有的职责
例题
 以下哪种情况说明内部审计师可能缺乏客观性:
A.一个与主要客户相连结的新的电子数据交换程序运行之前,内部审计师对其进行检查;
B.前任采购助理调入内部审计部门4个月后,对采购业务的内部控制进行检查;
C.内部审计师建议制定控制和业绩考核标准,以便评估与某服务组织签订的处理工资和雇员津贴的合同;
D.编制工资单的会计职员,协助内部审计师确认小型电动机的实际库存量。
解析
 讨论:对于借调或临时聘用的人员,只有在借调或聘用一段合理的时间之后(至少1年),内部审计活动才能分配他们参与审计他们以前曾经负责的经营领域,否则将损害客观性。如果任务已经如此分配,则需要在监督业务工作和沟通业务结果时格外小心(实务公告1130.A1-1)。然而,内部审计师可以对他们以前负责的相关业务提供咨询服务(1130.C1)。如果内部审计师在被请求提供咨询服务时,相关的独立性和客观性上存在受损的可能性,在接受业务前应向客户披露(1130.C2)。
例题
 内部审计师近期接到一个来自于营销部门经理提供的周末免费使用海滨度假的提议。目前内部审计活动不会对营销部门实施审计,而且也不在计划安排中。内部审计师:
A.应该拒绝这个提议,并向恰当的领导报告;
B.可以接受这个提议,由于这个提议的价值是非实质性的;
C.可以接受这个提议,由于没有开展或计划对营销部门的业务;
D.如果得到了适当的领导批准,就可以接受这个提议。
解析
 讨论:内部审计师接受公司雇员、客户、顾客、供应商或有工作关系的人员的酬金或礼物都是不道德的。审计师的客观性可能出现因接受酬金或礼物而受损的表象。这种表象不论在审计师目前的或未来的业务开展中都有可能出现。业务状况不应该成为接受酬金或礼物的理由。接受一些一般公众都能得到的或价值极小的宣传品(例如钢笔、年历或样品等)不应该妨碍内部审计师的专业判断。如果有人提供数目很大的酬金或贵重的礼品时,内部审计师应立即向领导报告(实务公告1120-1)。
例题
 当面临强加的审计范围限制时,首席审计执行官应该:
A.直到审计范围限制消除后才实施审计;
B.将范围限制的潜在影响与董事会下属的审计委员会沟通;
C.对于审计范围受限的业务要多加审计;
D.对此审计业务安排更有经验的人员
解析
 讨论:业务范围的限制是对内部审计活动的一种限制,该界限妨碍审计活动实现其目标和计划。范围界限可能限制:章程中所规定的业务范围;在内部审计活动中,接触与开展业务相关的记录、人员和实物资产;经批准的业务工作安排;必要的业务程序的实施;经批准的人员配备计划和财务预算。最好以书面形式向董事会、审计委员会或其他相关管制部门报告业务范围的界限及其潜在影响(实务公告1130-1)。
例题
 内部审计师必须能够仔细地区分范围限制和审计中的其他限制的区别,以下哪项不属于范围限制:
A.业务客户的分部经理表示该分部正在对一个主要的计算机系统进行转换,并表示对信息系统的这部分已计划的审计业务要推迟到下一年进行;
B.审计委员会检查了当年的审计工作安排,删除了首席审计执行官认为很有必要实施的审计项目;
C.业务客户表示某些客户不能联系,因为组织正在与这些客户就一项长期合同进行谈判,他们不希望客户受到干扰;
D.以上三项都不是。
例题
 内部审计部门最近刚调来一位职员,其被指派去审计应收账系统。该审计师以前的哪项职责会对这项任务造成利益冲突:
a.检测坏账准备的情况;
b.为处理重复付款编写有关程序;
c.为下属职员签署出勤卡;
d.审查货运单据是否准确。 <br>
属性标准之熟练性与应有的职业审慎性
 1200 熟练性和应有的职业审慎性—审计师在开展业务时应保持熟练性和应有的职业审慎。
 实务公告1200-1:熟练性与应有的职业审慎性
 1.首席审计执行官与每位内部审计师有责任确保其在专业上的熟练程度。首席审计执行官应该确保安排到各项业务的人员都能掌握适当开展业务所需的知识、技能和其他的胜任能力。
 2.内部审计师应该遵守专业行为标准。IIA的《职业道德规范》超出了内部审计定义,并包括以下两项主要内容:
 (1)与内部审计职业以及内部审计实务相关的原则—特别是,诚实、客观、保密与胜任能力;以及 <br> (2)行为标准说明了期望内部审计师遵守的行为规范。这些规则旨在帮助将上述原则解释成实际可行的应用内容,并指导内部审计师的道德行为。
属性标准之熟练性与应有的职业审慎性(续)
 1210 熟练性--内部审计师应具备履行其职责所需的知识,技能和其他的胜任能力。内部审计活动应在总体上具备或获取履行其职责的知识、技能和其他的胜任能力。
 实务公告1210-1:熟练性
 1210.A1- 如果内部审计人员缺乏履行全部或部分业务的知识、技能或其他胜任能力,首席审计执行官应取得胜任的建议和帮助。
 实务公告1210.A1-1:取得有关服务以便支持或补充内部审计活动
 1210.A2- 内部审计师应具有充分的知识以识别舞弊的迹象,但不能期望内部审计师具备与专门负责检查和调查舞弊的专家的相同的能力。
 1210.C1- 如果内部审计职员缺乏履行全部或部分业务的知识,技能或其他胜任能力,首席审计执行官应谢绝咨询业务,或者获取专家的建议和帮助。
例题
 内部审计师需要精通以下哪个学科:
A.内部审计程序与技术;
B.会计原则与技术;
C.管理原则;
D.营销技术。
属性标准之熟练性与应有的职业审慎性(续)
 1220 应有的职业审慎性- 内部审计师具备的审慎和技能,应符合对内部审计师的合理谨慎及专业能力的期望。职业的审慎性不意味着一贯正确。
 实务公告1220-1:应有的职业审慎性
 1220.A1- 内部审计师应通过考虑下列事项行使应有的职业审慎:
  为完成业务的目标所需要的工作范围;
  运用于确认程序的事件的相对复杂性、重大性或重要性;
  风险管理、控制及治理过程的充分性和有效性;
  严重错误、违规及不守法的可能性;
  有关潜在利益方的确认服务成本。
 1220.A2- 内部审计师应对可能影响目标、经营及资源的重要风险保持警觉。然而,即使开展保证程序时保持了应有的职业审慎,保证程序自身并不能识别所有重大风险。
 1220.C1- 内部审计师在咨询期间应通过考虑下列事项行使应有的职业审慎:
  客户的需要和期望,包括业务结果的性质,时间的安排及沟通;
  为达到业务目标所需的工作的相对复杂性及范围;
  有关潜在利益方的咨询服务成本。 <br>
例题
 内部审计师怀疑财务报表可能存在潜在的误报情形,但缺乏可靠证据。审计师采取以下哪项行为将会违背应有的职业审慎原则:
A.辩明错误可能存在的方式并将其列作审计调查的内容;
B.将这一疑点告知审计经理并寻求如何开展审计的建议;
C.不对可能的误报进行测试,因为审计业务工作方案已通过审计管理层的批准;
D.未经业务客户同意就扩大审计工作方案,以确定误报发生的最可能情形。
解析
 讨论:应有的职业审慎性要求内部审计师具备谨慎态度和技能,人们期望具有合理地谨慎且有能力的内部审计师在相同或类似情形下都能达到上述要求(实务公告1220-1)。由于修订审计工作方案会反映正在变化的状况,如果内部审计师仅仅因为审计工作方案已经批准就不调查受怀疑的误报情形,就会违反应有的职业审慎原则。
 答案A和B不正确,列出可能发生的误报并寻求建议与应有的职业审慎原则是相一致的;答案D不正确,内部审计师不需要业务客户的批准就可以扩大审计工作方案。
例题
 以下哪项有关审计师的应有的职业审慎性的陈述是准确的:
A.内部审计师在沟通业务结果之前应该开展详细的测试;
B.在内部审计师绝对确信某项内容时,才可以在业务沟通中提及该项内容;
C.绝不应该将业务沟通看作是对有关内容提供了绝对正确的事实;
D.内部审计师没有责任对改进提出建议。
解析
 讨论:应有的职业审慎性意味着合理的谨慎和能力,而不是永不出错或永不出现反常工作表现。应有的职业审慎性要求审计师在合理程度上开展检查和核证工作,但不要求对所有交易进行详细检查。相应地,内部审计师不可能绝对保证组织不存在违规或违规。此外,无论何时开展内部审计工作,审计师都应该考虑存在重大违规或违规现象的可能性(实务公告1220-1)。
 答案A不正确,内部审计师应该开展合理的检查与核证工作,但不需要对所有交易进行详细测试;答案B不正确,内部审计师不需要也不可能作出绝对的保证;答案D不正确,内部审计师应该提出改进建议,以促进对可接受的程序与实务的遵守。
例题
 内部审计师在审计期间没有发现员工的舞弊行为。以下哪项结果表明内部审计师很可能违反了专业实务标准:
A.没有对审计范围内所有交易的业务开展详细的检查;
B.确定审计范围内任何可能的舞弊都没有包括重大的金额;
C.确定审计范围内扩展审计程序的成本会超出潜在的收益;
D.假定审计范围内的内部控制是充分、有效的。

属性标准之熟练性与应有的职业审慎性(续)
 1230 持续的职业发展--内部审计师应通过持续的职业发展来加强自己的知识、技能和其他的胜任能力。
 实务公告1230-1:持续的职业发展
 1. 内部审计师有责任继续接受教育,保持其专业水平。他们应该不断了解内部审计标准、程序和技术等方面的改善和最新发展。内部审计师可以通过参加专业协会、获得专业协会会员资格,参加会议、研讨会、大学课程、单位内部培训项目以及参加研究项目等途径获得继续教育;
 2. 鼓励内部审计师通过获得恰当的专业资格证书(如:注册内部审计师头衔和其他国际内部审计师协会授予的头衔)来展示其专业水平;
 3. 拥有专业资格证书的内部审计师应获得充分的继续职业教育,来满足与所持专业资格证书相关的要求。
 4. 鼓励目前尚未拥有专业资格证书的内部审计师参加能够帮助他们获取专业资格证书的教育项目。
例题
 内部审计师为保持其熟练性有责任继续其教育。有关从事审计工作的内部审计师的继续教育规定,以下哪项陈述是正确的:
A.内部审计师被要求每年接受40小时的继续职业教育并且三年内不能低于120小时;
B.为继续保留CIAs资格,必须达到有关注册内部审计师的那些正式要求;
C.作为官员或委员会成员参加正式的IIA会议,没有达到后续职业发展的标准;
D.只有在远程学习方案经IIA事先批准时,该方式才能达到后续职业教育的要求。
属性标准之质量保证与改进方案
 1300 质量保证和改进方案--首席审计执行官应制定和保持一个涵盖内部审计活动所有方面的质量保证和改进方案,并持续监督其有效性。这一方案的设计应有助于增加内部审计活动的价值,改善组织的经营,并确保内部审计活动符合标准及道德规范的要求。
 修改稿:
 首席审计执行官应制定和保持一个涵盖内部审计活动所有方面的质量保证和改进方案,并持续监督其有效性。这个方案应包括定期的内部与外部质量评估和持续的内部监控。对方案每一部分的设计都要有助于内部审计活动增值并改进组织的运营,以及对内部审计活动与标准和道德规范保持一致提供保证。
 1310 质量方案评估- 内部审计活动应包括监督和评估质量方案整体有效性的程序。这一程序应包括内部评估和外部评估。
 实务公告1310-1:质量方案评估
属性标准之质量保证与改进方案(续)
 1311 内部评估- 内部评估应该包括:
  不断对内部审计活动的工作进行复核;
  通过自我评估,或由组织中的其他具备内部审计实务知识及了解标准的人进行定期复核;
 实务公告1311-1:内部评估
 1312 外部的评估- 外部的评估,如质量保证检查,应至少每5年开展一次,由合格的、组织外部的独立检查人员或检查小组来进行。
 实务公告1312-1:外部评估
 1320 报告质量方案- 首席审计执行官应将外部评估的结果告知审计委员会。
 实务公告1320-1:报告质量方案
 1330 运用“遵循标准”声明- 鼓励内部审计师声明他们的活动“遵循了内部审计实务标准”。然而,只有在对质量改进方案的评估证实内部审计活动与标准相一致时,内部审计师才可以运用这种声明。
 实务公告1330-1:运用“遵循标准”声明
 1340 披露违规行为-
工作标准(Performance Standards)
 描述了内部审计服务的性质。
 提供了一个质量标准,以便所开展的服务工作能够得到评定。
 2000 --管理内部审计活动
 2100--内部审计服务的工作性质
 2200 --业务规划
 2300 --实施业务
 2400 --沟通结果
 2500 --监控进程
 2600 -- 风险的接受管理
工作性质
 2100 工作性质—内部审计活动评价并帮助组织改进风险管理、控制和治理体系。
 实务公告2100-1:工作性质 (书11页)
 内部审计工作的范围包括应用系统化、规范化的方法来评价和改进风险管理、控制和治理过程的充分性和有效性,以及履行所分派职责的工作质量。评价组织现有的风险管理、控制和治理过程的充分性旨在合理的确保这些程序按预期运行,使组织的目标和目的得以实现,并为改进组织的经营状况提供建议,以实现高效率有成效的经营。管理高层和董事会也可以对审计工作的范围和被审计活动提供常规指导。
工作性质(续)
 如果管理层在某种意义上已经计划和设计了风险管理、控制和治理过程,能够为经济、有效率地实现组织的目标和目的提供合理的保证,那么,风险管理、控制和治理过程就是充分的。有效率的工作是指准确、及时和经济地实现组织的目标和目的。经济的工作是指根据风险程度用最少的资源(如,成本)实现组织的目标和目的。如果在设计和实施阶段采纳大多数的成本效益考评方法旨在降低风险并将预期的偏差限制在一个可容忍的水平,那么就为组织提供了合理的保证。因此,设计过程始于组织目标和目的的建立,并按一定方式将概念、角色、各项活动和人员与经营相联系,以便实现既定的目标和目的。
例题
 以下哪项是对内部审计活动评价组织现存的风险管理、控制与治理过程充分性的目标的最佳描述:
A.帮助确定必要测试的性质、时间安排及范围,以实现业务目标;
B.确保内部控制系统的重大薄弱环节得以纠正;
C.确保风险管理、控制和治理过程是否为组织的目标和目的得以高效率、经济地实现提供合理的保证;
D.确定风险管理、控制和治理过程是否确保会计记录的正确性以及财务报表的公允披露。
工作性质(续)
 在管理层提供指导的方式能够确保组织的目标、目的得以实现时,风险管理、控制和治理过程就是有效的。除了完成组织的目标和计划的活动,管理层还通过授权活动和处理事务、监督业绩、核实组织的流程按设计运行等工作来开展指导工作。
例题(P39-16)
 内部审计活动评价现存风险管理流程的有效性的目标是要确定:
A.管理层已计划并设计了风险管理流程,以便为实现组织的目标和目的提供合理的保证;
B.管理层指导风险管理流程以便为实现组织的目标和目的提供合理的保证;
C.组织的目标和目的会高效率地、经济地实现;
D.组织的目标和目的以准确、及时的方式实现,并且使资源的使用最小化。 <br>
工作性质(续)
 广义地讲,管理层既要对整个组织的可持续发展能力负责,又要对组织的活动、行为作出解释,同时还要对业主、利益关系方、管理机构、普通公众负责。整个管理流程的主要目标是要实现:
  财务和经营信息的相关性、可靠性和可信性;
  高效率有成效地使用组织资源;
  组织资产的安全防护;
  遵守法律、规章、道德和业务规范及合同;
  确认风险因素并利用有效的策略控制它们;
  为经营或方案制定目标和目的。

治理
 内部审计活动应通过评估和改善组织的治理过程来对该过程起作用,其评估和改善对象为: (1)价值和目标已经设定且得到沟通;(2) 目标的完成情况受到监控;(3) 责任得到确定;(4)价值得到保留。
2130.A1 - Internal auditors should review operations and programs to ensure consistency with organizational values.
治理(修改稿)
 2130 – 治理
 与组织的架构相一致的内部审计活动应通过积极的评估管理层和董事会履行以下的职责,来促进治理过程:
 •评估和提倡组织内的浓厚道德规范和价值;
 •评估和改进能确保受托责任的流程;
 •评估对组组内有关重大的剩余风险的沟通的适当性;
 •帮助改进董事会与管理层和外部审计师、内部审计师的相互交流;
 •充当业务和管制环境的有关变革和趋势的教育性资源。
公司治理(续)
 公司治理问题对于许多组织来说,始终是一个两难的选择。IIA对这个问题的介入,来自于内部审计的新定义,并首次明确内部审计活动通过系统、规范化的方法评估和改善风险管理、控制及治理过程的有效性。如果说,风险是组织活动的来源,则公司治理是组织应对风险的战略反应,其职责就是确保有效的风险管理方案的适当性。
 内部审计有责任向审计委员会报告内部控制情况,审计委员会与董事会协力发布组织内部控制的公开报告。为此,首先研究审计委员会及其与内部审计的关系,对治理过程有重要的意义。
 审计委员会和内部审计在作用、职责和目标上是密切安排的。两者间稳固、良好合作的关系对于审计委员会履行公司治理活动的职责以及最终实现组织的健康、良好的发展至关重要。
公司治理(续)
 内部审计师和审计委员会应相互支持。内部审计师的工作是审计委员会充分的了解组织经营的必要手段。现代的内部审计是以识别企业所面对的战略风险、经营风险和财务风险以及评估由管理者实施的适当控制为基础的,实现在一个动态变化的范围内减少上述风险。上述风险的识别存在以下问题:
 关联方交易、共同投资和合作关系;
 重组,包括兼并和收购;
 新业务、产品和系统;
 脆弱的利率变动和现金流变动;
 信息系统风险;
 声誉风险。
 对上述风险的识别、了解和控制以及对有效的控制评估的过程,应有助于确保对近期大量的治理和收益质量问题的考虑。
 就如内部审计胜任框架(CFIA)所指出的,内部审计师对组织所建立的控制过程进行监测和报告,是为了确保在一个持续变化的范围内,恰当地了解和管理所暴露的重要风险。在许多组织中,独有内部审计师对风险管理和内部控制实施不断的、系统的评价和评估。
公司治理(续)
 安然事件后,IIA于2002年4月向纽约证券交易所提交“关于改善公司治理的建议”中指出,合理的公司治理取决于董事会、管理层、内部审计师和外部审计师四个组成部分的相互合作,改善公司治理需要:
 统一的公司治理原则,应要求上市公司的董事会在年度报告中披露其遵循这些原则的程度;
 应要求所有上市公司的董事会公开披露组织的内部控制有效性的评估,这类披露应针对总体的内部控制,而不仅限于记录和报告财务信息的一般控制;
 所有的上市公司应建立和保留一个独立的、具有充分资源以及配备胜任人员的内部审计职能机构,向管理层和审计委员会提供组织的风险管理过程和相应的内部控制系统的持续的评估。
公司治理(续)
 IIA研究基金(IIARF)近期的研究,“改善审计委员会的业绩——最佳的工作”,识别出审计委员会的关键特征,并证明对提高他们的监管作用是有效的:
 审计委员会的成员对于他们的工作职责,必须经受充分的训练;
 管理层、内部审计师和外部审计师要完全的告知审计委员会有关情况;
 审计委员会的独立性对于其提供对组织及其政策和程序、内部控制、脆弱性和风险、道德及“高层的声音”等有效的监督能力而言是重要的。
 审计委员会应定期实施自我评估,以测试其自身业绩,并确定其有效性;
 审计委员会向股东的年度报告有助于澄清审计委员会的作用,并注重于主要的职责和活动。
公司治理(续)
 IIARF在“内部审计师对内部控制的管理报告的作用”的研究 ,为评价内部控制报告系统的有效性提出了9条指导性意见。审计委员会应在以下9项活动中评估其自身的业绩以及内部审计师的业绩:
 审计委员会要审核审计计划,并帮助确保整个内部控制的有效性,来满足内部审计的要求;
 审计委员会接受所有内部审计报告的复印件,包括情况和弱点的标记;
 如果内部审计计划的更改可能要改变审计师识别整个控制有效性的能力,则应告知审计委员会 ;
 由于内部审计计划的改变会影响内部审计对整体控制形成的判断能力,审计委员会要与内部审计共同工作,收集额外的资料,重新安排先后顺序或完成工作,以促进实现与控制有关的目标。
 审计委员会要求要求管理人员向审计委员会及首席审计执行官提供有关内部控制评估的报告。
 审计委员会要在成员间进行审核,并会同内部审计师审核其内部审计监控自我评估方案的程度。
 审计委员会要求首席审计执行官正式报告整体控制的情况。
 内部审计与审计委员会间的公开沟通清楚地概括了可审计的部门、选择个别部门审计的方式和基本理由、审计计划的情况、在报告中提交的发现类型、风险暴露的持续评估以及适当的后续追踪措施。
 为了对经营、财务报告和遵循性目标的实现提供合理的确认,审计委员会要审核内部审计师已定的审计范围,由外部审计师实施的活动,组织评价风险和相应控制的自我评估的结果。
公司治理(续)
 由Kennesaw州立大学的公司治理中心公布的“21世纪的美国上市公司治理原则”,将对公司治理产生重大的影响。这些原则是:
 1.相互作用:合理的治理需要董事会、管理层、外部审计师和内部审计师的间的有效的相互作用。
 2.董事会目标:董事会要理解其目标是保护公司股票持有者的利益,同时要考虑到利害相关者的利益,如债权人、雇员等。
 3.董事会的责任:董事会的主要责任应是监控首席执行官、监管公司的战略以及监测风险和公司的控制系统。为满足上述要求,董事们应持有有利于组织发展的怀疑态度。
 4.独立性:董事的多数人员应在事实上和形式上独立,以监管正常的交易关系。
 5.专门知识:董事们应拥有相关的产业、公司、职能范围以及治理的专门知识,并应由不同背景和观点的人组成。所有的董事都应接受详细的职能定位和持续的教育,以确保他们实现和保持必要的专业水平。
 6.会议和信息:董事会应经常召开,并要接触实施其任务所需的信息和人员。
 7.领导关系:董事会主席和首席执行官的作用应分开。
 8.披露:授权声明和其他的董事会的沟通应以透明和及时的方式反映董事会的活动和交易情况(如内部交易)。
 9.委员会:董事会的提名、补充以及审计委员会应由独立董事组成。 <br> 10.内部审计:所有的上市公司应保持能直接向审计委员会报告的、有效的、专职的内部审计职能。
公司治理(续)
 为加强独立性,IIA建议应在审计委员会的章程中加上以下条文:
 审计委员会应确保内部审计职能是以某种结构化的方式,实现组织的独立性,并允许完全以及不受限制地接近高层管理人员、审计委员会和董事会。
 审计委员会应审核内部审计职能的章程,并确保内部审计师不受限制地接近与业务约定相关的记录、部门(人员)和实物资产。
 审计委员会应审核和批准年度的内部审计预算,并恰当的评估所安排的内部审计资源。
 对首席审计执行官的雇用或解聘的决定,应要求审计委员会主席的认可。
 审计委员会主席也应适当地涉及与首席审计执行官有关的业绩评价和报酬决定。
 审计委员会应定期在没有管理者参与的情况下,以个人身份与首席审计执行官和外部审计师商议。
审计委员会
 审计委员会是由独立于管理层的外部董事组成的专门委员会,其目标是帮助外部审计师与内部审计师独立于管理层,确保董事履行应尽责任。
 由非管理董事组成的审计委员会促进了内部与外部审计师的独立性,特别是在审计委员会找寻外部审计机构与首席审计执行官时。因此,强大的审计委员会使审计师免除其独立性与客观性受到妥协的影响。
 a. 审计委员会也充当审计师与管理层之间争论的调解人。
审计委员会的特征
 a. 恰当的管制部门应该制定并批准描述审计委员会任务和职责的书面章程。
 b. 审计委员会应该检查独立的会计事务所的独立性。
 c. 对股东或其他利害关系人的报告应包括来自于审计委员会主席陈述其职责和活动的信件。
 d. 审计委员会应该监督对道德行为规范的遵守情况。
 e. 审计委员会应该具有必要的、可用资源。
 f. 审计委员会应该监督常规报告的过程。
 g. 审计委员会应该监督管理层对重大会计问题寻求备选意见的事例。
审计委员会职能
 a. 选择外部审计师并审核审计费与业务约定书
 b. 审核外部审计师的整体审计计划
 c. 审核初步的年度与中期财务报表
 d. 审核由外部审计师所开展的业务的结果
 e. 批准内部审计活动的章程(标准1000)
 f. 审核并批准内部审计活动的计划和资源要求,并取得内部审计活动的工作安排、人员配备计划以及财务预算的摘要(标准2020与实务公告2020-1,见第七单元)
 g. 与定期出席并参加会议的首席审计执行官直接沟通(实务公告1110-1)
 h. 审核内部审计师对组织风险管理、控制和治理过程作出的评价的报告
审计委员会职能(续)
 i. 作为一个机构,审计委员会要确保最终业务结果发送到对业务结果予以应有考虑的人员(实务公告2440-1)
 j. 检查有关不道德与非法程序的政策
 k. 审核送交管制机构的财务报表
 l. 复核对组织人员的观察结果
 m. 参与会计政策的选择
 n. 审议新的或已提交的立法或政府规章的影响
 o. 审核组织的保险方案
 p. 审核外部审计师的管理建议书
例题
 审计委员会是促进外部审计师与内部审计师独立性的主要因素。以下哪项是对审计委员会有效性的最重要的限制:
A.审计委员会可以由独立的董事组成,不过,这些董事可以同管理层有较亲密的个人关系,在职业上是友好的。
B.组织补偿审计委员会成员的收入,因而委员会的成员们偏爱业主的观点;
C.审计委员会对外部审计师关注的问题更为专注,但对内部审计活动与总体的控制环境关心的很少;
D.审计委员会成员通常不具有会计学或审计学领域的学位。
例题
 通常,内部审计活动同管理层与审计委员会有双重关系。这意味着:
A.管理层应该通过修正并向审计委员会上报审计结果来帮助内部审计活动,;
B.内部审计活动应该直接向审计委员会报告,不用将审计结果向管理层确认;
C.审计结果的准确性应向管理层证实,并且内部审计活动应向管理层与审计委员会报告;
D.理想情况是,内部审计活动在审计委员会下工作,但就有关经营的所有审计情况向首席营运官报告。 <br>
例题(P93-40)
 以下哪项是审计委员会的恰当职责:
A.对组织的采购职能进行审核;
B.审核首席审计执行官提交的内部审计活动的业务工作计划;
C.审核会计师事务所的业务记录,确定其胜任能力;
D.对具体的业务安排具体的内部审计人员提出建议。 <br>
例题(P96-47)
 组织正在建立审计委员会。以下哪项通常是审计委员会关于内部审计活动的职责:
A.批准首席审计执行官的任免;
B.制定年度业务工作计划;
C.批准业务工作方案;
D.为具体的业务报告确定恰当的结论。
例题
 审计委员会通过以下哪项加强了组织的控制流程:
A.安排内部审计活动负责与政府机构相互联系;
B.让首席审计执行官来选择外部审计师;
C.对首席审计执行官提出的建议进行后续追踪;
D.批准内部审计活动政策。 <br>
例题
 以下审计委员会的哪项活动最有利于内部审计活动:
A.审批业务工作方案;
B.确保外部审计师在任何时候都能依赖内部审计活动的工作;
C.在业务报告公布前,审核并认可所有的内部审计业务报告;
D.支持对内部审计活动提出的建议的落实情况进行恰当的监督。
解析
 讨论:内部审计师应该取得管理高层和董事会的支持,这样他们才能取得业务客户的配合,并且在不受干扰的条件下开展工作(实务公告1110-1)。
 答案A不正确,审批业务工作方案是内部审计主管人员的职责;答案B不正确,外部审计师是否要采用内部审计的工作不由审计委员会决定;答案C不正确,审批内部审计业务报告是首席审计执行官的职责。

信息时代的经营风险管理
 一个完整的风险管理框架具有非常重要的意义,因为风险与传统的业务日益相交叉。如果一个组织将职能与风险独立开来,则它就无法看清整个形势。
 风险管理:是一个识别和管理所有潜在重大风险的过程,它应该运行于组织的所有结构层次、经营过程和活动中。理论上讲,运营风险管理过程表现在确认、探究、测评、监控等几个方面。
 运营风险:是这样一种威胁,即某个事件或行动对组织实现其经营目标或成功实施其战略的能力所产生的负面影响。这一定义包括这一组织存在受到潜在的消极后果影响的可能性以及错过获取积极成果机会的威胁。
ERM framework(2003/7/15)
标准中界定的风险管理过程的5个目标
 找出业务战略与活动领域的风险,并进行优先排序;
 管理层和委员会已经确定了组织可以接受的风险水平,包括为实现组织的战略计划而接受的风险;
 设计、实施了降低了风险的活动,把风险降低、管理在管理层和董事会可以接受的水平上;
 开展持续的监督活动,定期对风险和控制的有效性进行再评估,以管理风险;
 董事会和管理层定期收到风险管理过程的结果报告。组织的公司治理过程应该定期向利益关系方传达风险、风险战略和控制情况。
风险管理
2010 - Planning: The chief audit executive should establish risk-based plans to determine the priorities of the internal audit activity, consistent with the organization’s goals.
2010.A1 - The internal audit activity’s plan of engagements should be based on a risk assessment, undertaken at least annually. The input of senior management and the board should be considered in this process.
Red Book: The director of internal auditing should establish plans to carry out the responsibilities of the internal auditing department.
风险管理—新标准
 The internal audit activity should assist the organization by identifying and evaluating significant exposures to risk and contributing to the improvement of risk management and control systems.(内部审计活动应通过识别和评估重大的风险暴露,并致力于风险管理和控制系统的改善,来帮助组织)
 The internal audit activity should monitor and evaluate the effectiveness of the organization’s risk management system.(内部审计活动应监督和评价组织风险管理系统的有效性)
相关词汇
 风险分析(Risk Analysis):风险的评估、管理和沟通。
 风险评估(Risk Assessment):风险的确认、评定和优先排列风险的过程。
 风险事件(Risk Event): The manifestation of risk into Consequences. Otherwise, Risk is only a potential.
 风险因素(Risk Factors): Measurable or observable manifestations or characteristics of a process that either indicates the presence of Risk or tends to increase Exposure.
以风险为基础的审计
 内部审计师对风险的关注正从控制风险和审计风险改变为关注运营风险。对运营风险的理解,需要三个标准,即:对组织运营过程的通盘了解;主动的想象力和适用的工具,对风险可能涉及的结果形成意见;一个统一的风险框架或风险模型,以及讨论风险的共同语言。
 The IIA currently has no standard definition of risk based auditing because practices vary and a consensus on best practice has yet to emerge.
以风险为基础的审计(续)
 以下的定义代表了IIA的专业问题委员会当前的观点:
 “以风险为基础的审计”是一种方法,它注重于组织在实现其目标和目的时对所面对的风险的反应( response ),不象其他的审计类型,它开始于风险,而非对控制的需要。它有助于对风险的管理作出独立的确认,并在必要时促进改进。
 审计工作的范围及优先顺序应由风险来决定,要全面考虑组织自身对风险的态度。
内部控制(续)
 1992年,COSO公布“内部控制--整合框架”,奠定了为各层面遵循的统一的控制框架。
 内部控制:受组织的董事会、管理层和其他人员影响的一个过程,内部控制的设计为组织以下目标的实现提供了合理的保证:
 运营的效果和效率;
 财务报告的可靠性;
 遵守适用的法律和规章。
内部控制(续)
 内部控制是一个过程,它是达到目的的方式,内控本身并不是目的;
 内部控制通过人起作用,它不是纯粹的政策手册和表格,而是通过组织中各个层次的人员起作用;
 内部控制可以被期望为对组织的管理层或委员会提供合理的保证,但不是绝对的保证
 内部控制的目的是为了实现一个、多个独立但相互重叠的组织目标。
控制定义
 实务公告2100-1对控制定义作了详细说明:
 控制是指管理层开展的旨在增强实现既定目标和目的的实现可能性的一切活动。控制可以是预防性的(防止不良事件的发生)、发现性的(发现和纠正已发生的不良事件),或者是指导性的(引导和鼓励良好事件的发生)。控制系统的概念是组织用以实现其目标和目的的所有控制要素和活动的整合。
 补偿性控制:是针对某些环节的不足或缺陷而采取的措施,目的是将风险限制在一定的范围内。
控制(续)
 控制(Control):管理层、董事会及其他各方开展的旨在管理风险(增强风险管理),增加既定目标和目的实现可能性的各种活动。管理层计划、组织和指导诸多活动的实施,以合理保证组织的目标和目的得以实现。
 控制过程(Control Processes):是控制框架的组成部分,包括政策、程序与控制活动。控制过程的设计用于确保将风险控制在既定的风险管理过程所允许的范围内。
例题
 以下哪项对控制进行了最佳定义:
A.控制是管理层恰当计划、组织和领导的结果;
B.控制是对组织选择的要完成内容的表述;
C.控制就是组织所采取的将偏差限定在可接受水平的成本效益考评方法;
D.控制是以准确、及时、经济的方式实现组织的目标和目的。
解析
 讨论:控制是指“管理层、董事会及其他各方开展的旨在增强风险管理、增加既定目标和目的实现可能性的各种活动。管理层计划、组织和领导各种活动的开展,以合理保证组织的目标和目的得以实现。”因而,控制是管理层恰当计划、组织和领导的结果。
 答案B不正确,既定的目标和目的是组织所选择的要实现的内容;答案C不正确,为减少风险并将偏差限定在可接受的水平,在风险管理、控制和治理过程的设计和实施阶段就要采取成本效益考评方法,就能为组织的目标和目的有效率、经济地实现提供合理的保证(实务公告2100-1);答案D不正确,有效率的工作会以准确、及时和经济的方式来实现目标和目的。
例题
 内部审计师定期评价控制。以下哪项是由内部审计师所认可的对控制概念的最佳描述:
A.管理层定期解聘没有达到预期目标的员工;
B.管理层采取行动以增强既定目标和目的实现的可能性;
C.控制表示由会计师和内部审计师设计的能确保处理正确性的特定程序;
D.控制程序应“自下至上”设计,以确保能够关注各种细节。
例题
 控制可根据其所实施的职能来分类,比如,检查性控制、预防性控制、或指导性控制。以下哪项是指导性控制:
A.月度银行对账单;
B.在专用账户上对所有的支出进行双重签名;
C.当天记录发生的每项交易;
D.要求内部审计活动的所有成员都是注册内部审计师。 <br>
例题
 某金融机构的外币交易风险管理制度禁止交易人员从事超过该银行总体风险上限的交易。该制度缺乏对交易人员个人的交易限制:
Ⅰ 是补偿性控制的缺点,因为任何交易者都可以过分运用银行的资金;
Ⅱ 对银行有好处,因为交易者可以利用大型交易的货币汇率浮动;
Ⅲ 不是缺点,因为对银行的风险有总体限制。
 a. 只有Ⅰ是正确的;
 b. 只有Ⅲ是正确的;
 c. 只有Ⅰ和Ⅱ是正确的;
 d. 只有Ⅱ和Ⅲ是正确的。
例题
 控制被描述为包含6个要素的封闭系统。以下哪项是6项控制要素之一:
A.制定业绩标准;
B.适当地可得到的数据文件;
C.内部审计活动章程的批准;
D.独立的内部审计活动的建立。 <br>
解析
 讨论:控制有4项要素:(1)建立目标;(2)采纳标准;(3)实际结果与所采纳结果的比较,以及(4)所需要采取的纠正活动。控制的4项要素为管理层制定目标和目的的实现提供了合理的保证。然而,在邵耶尔的内部审计学中,描述了6个要素系统:(1)制定标准;(2)业绩考评;(3)分析业绩,并将之与业绩比较;(4)评价差偏,并将之提交适当的人员注意;(5)纠正偏差;(6)后续追踪纠正活动。
 答案B不正确,适当地可得到的数据文件不是封闭式控制系统的要素;答案C不正确,内部审计活动章程的批准不是封闭式控制系统的要素;答案D不正确,独立的内部审计活动的建立不是封闭式控制系统的要素。
例题
 以下哪项是反馈控制系统的组成部分:
A.探测器、参考点和受动器;
B.发送者、媒体和接收者;
C.成功(achievement)、赏识(recognition)和能力倾向(aptitude);
D.计划、组织和领导。 <br>
解析
 知识要点:反馈控制系统的组成。
 讨论:反馈控制系统确保取得或保持理想的状态。控制目标是系统的行为变量,选自监督。探测器代表用于考评或比较业绩的标准;参考点是用于评估正发生事件重要性的设施,通常,它是通过鉴定器所提供的信息(实际发生的事情)与所制定的参考点(应发生的事件)作比较来实现的;受动器(activator)是决策制定者,它评价可行的纠正活动的备选方案,这种纠正活动给出了已辨识的偏差的本质,并通过鉴定器传送。受动机制的输出是典型的纠正性活动。
 答案B不正确,通讯网络的要素是传送者、媒体和接收者;答案C不正确,成功、赏识和能力倾向是行为激励要素;答案D不正确,计划、组织和领导是管理职能而非控制。
例题
 如果内部控制得到了很好的设计,由不同的人所执行的两项任务是:
A.批准坏账核销并核对应收账款明细分类账及控制账户;
B.薪金支票的发送以及批准赊销退回;
C.从现金收入日记账和收金支出日记账过到总分类账;
D.记录现金收入并准备银行对账单。 <br>
解析
 讨论:现金记录建立了资产的责任。银行对账单将已记录的事项与实际资产相比较。因此,现金收入的记录与银行对账单的准备应由不同的人员执行,因为对账单的提供者能够隐藏现金的短缺。比如,如果出纳既要准备银行存款又要负责对账,则她就会盗窃现金并通过伪造对账单来隐藏这样的盗窃。
 答案A不正确,核销坏账(应收账款)与核对应收账款之间没有冲突,两者都是一种责任;答案B不正确,薪金支票的支付与批准销货的退回是独立的职能,执行这两种分离任务的人不可能舞弊。实际上,某些组织利用独立部门的人员来发送薪金支票;答案C不正确,只要经办人不接触实际的现金,将两个明细账都进行过账就不会造成冲突。如果某个人只接触到了记录但不是资产,没有串通行为就不存在资产盗用的危险。
例题
 以下哪种情形代表了薪酬部门内部控制的薄弱环节:
A.薪酬部门人员要轮换其职务;
B.薪金支票由员工的直接管理员发放;
C.薪金记录要每季度与税收报告核对;
D.时间记录职能是独立于薪酬部门的。 <br>
例题
 以下哪项活动既能代表适当人事部门职能,又能防止薪金舞弊:
A.薪金支票的发送;
B.加班时间的授权;
C.薪金增减的授权;
D.未记名薪金支票的收集和保留。 <br>
解析
 讨论:薪酬部门有责任通过簿记归总薪酬信息。人事部门负责员工的聘用、解聘、薪酬率的变动和减少等业务。记录和授权职能的分离有助于预防舞弊。
 答案A不正确,出纳应实施有关薪酬的资产保全职能;答案B不正确,加班时间的授权是经营管理的职责;答案D不正确,未记名支票应由出纳保管,直到它们存放在银行专项账户。
例题
例题
 拖车经常将有价值的金属废料从制造车间装运,并运送到组织10里外的废料场,以下哪项是最适当的控制方法:
A.在废料离开制造车间之前以及到达废料场之后,对拖车运送的废料都要实施全面的存货盘点;
B.需要安全守卫记录废料离开制造车间的时间以及到达废料场的时间,中途时间由监察员审核以防止舞弊;
C.拖车从制造车间前往废料场是由武装守卫护送的;
D.联系一位独立的搬运工来运送废料。
例题
 一家投资于车辆修理的公用事业单位最有可能执行以下哪项内部控制可以降低车辆失窃的风险?
A.审核保险范围的适当性;
B.对所有修理工作通知单作系统地报告;
C.实地盘点所有车辆,将结果与会计记录相核对;
D.在安全地点存放维修车辆,并在保管员同意后发出和返库。 <br>
例题
 在已购商品收条上,验收部门人员将已收商品数量与包装单数量进行对比,并以商品主要价格数据清单为基础标出零售价。然后,将已注释的包装条进行存货控制,商品自动送到零售销售区域。这项活动的最重要的控制力度是:
A.立即为零售商品定价;
B.将已收商品数与包装单数量进行对比;
C.按主要的价格数据清单标出售价;
D.自动地将商品运送到零售区域。 <br>
解析
 讨论:使用主要的价格数据清单确保能标出正确的零售价。
 答案A不正确,及时性没有价格的准确性重要;答案B不正确,将已收数量与包装单数量进行对比不能确保已收到所定购的数量;答案D不正确,零售区域可能需要商品,或可能不需要商品。
例题
 首席审计执行官(CAE)评估和报告控制程序的职责包括:
A.与管理高层和审计委员会就内部控制的年度判断意见进行沟通;
B.监督内部控制流程的建立;
C.保持组织的治理过程;
D.仅在内部审计活动的基础上作出个别的评估
解析
 讨论:管理高层和和审计委员会一般希望首席审计执行官在当年开展充分的业务工作,并收集其他可以获取的信息,以便就控制过程的充分性和有效性形成判断意见。首席审计执行官应将组织控制系统的总体判断意见向管理高层和审计委员会沟通。越来越多的组织在提交外部利益关系方的年度报告或定期报告中收入管理层关于内部控制系统的报告。因此,首席审计执行官通常每年一次向管理高层和审计委员会提高报告。
 答案B不正确,管理高层对内部控制流程的建立负有监督的职责;答案C不正确,董事会对建立和保持组织的治理过程负有职责;答案D不正确,内部审计活动所面临的挑战是要在综合许多单个评估的基础上评价组织控制系统的有效性,而那些评估主要来源于内部审计业务、管理层的自我评估以及外部审计师的工作(实务公告2120.A1-1)。
例题
 内部审计师在对机构的差旅政策的审计中发现的以下哪项最不可能具备成本效益原则:
 a.与宾馆、航空公司和租车公司谈判并签署公司协议;
 b.追踪已取消的预订机票的贷方余额;
 c.出差时选择最便宜的航班,但不考虑总的出差时间和距离;
 d.出差时尽可能应用旅游淡季时旅游点的优惠政策。 <br>
控制环境
 控制环境体现并影响着组织文化。它是内部控制其他几个组成部分的基础。
 IIA将控制环境定义为:董事会和管理层关于组织内的重大控制的态度和行动。控制环境为实现内部控制系统的主要目标提供了主题和框架。控制环境包括下列要素:
 诚实和道德价值;
 管理的哲学和经营风格;
 组织架构;
 权利和责任的分配;
 人力资源政策和实践;
 员工的胜任能力。
例题
 以下哪项是董事会与管理层有关控制在组织中的重要性所持的态度或行动的最为准确的语言:
A.控制过程;
B.控制环境;
C.治理过程;
D.管理的理念和经营风格。
例题
 以下哪项要素包含在控制环境中:
A.组织构架、管理理念和规划;
B.诚实和道德价值、权限分配、人力资源政策;
C.员工的胜任能力、辅助设备、法律和规章;
D.风险评估、职责安排以及人力资源实务。
风险评估
 风险评估是评价和综合对有关可能的不利情况或事情的专业判断的一个系统过程;是对不确定事件的可能的重要影响的思考。换言之,“风险评估”是对风险和机会的确认、评定和排列。
 风险评估是确认和分析与完成某些特定目标有关的风险。它构成了决定如何管理风险的基础,是内部控制的职能。因此,目标的确定是风险评估的前提条件。在组织层次上需要考虑的风险有:
 外部因素:新科技的发展、竞争对手新的市场策略、不利的法规变动、自然灾害、不利的经济环境和国外市场;
 内部因素:信息处理操作的中断、无效的人员聘用和培训措施;管理责任的变动、防止员工获取公司资产的控制措施不足、高级管理层或审计委员会的缺乏自信或工作不力。
风险评估(续)
 确认和分析风险是一个不断的过程和有效的内部控制的关键组成。管理层必须注重组织中各个层次的风险,并采取必要的行动管理它们。对于管理层而言,首先是要确认可能产生风险的因素,如:不能达到预定 |
|
 |
| 快速搜索通道 |
|
|
