国际内审师《内审计作用》第2章.docx
《国际内审师《内审计作用》第2章.docx》由会员分享,可在线阅读,更多相关《国际内审师《内审计作用》第2章.docx(60页珍藏版)》请在冰豆网上搜索。
国际内审师《内审计作用》第2章
2.1 2000管理内部审计活动
2000-管理内部审计活动——审计执行主管应该有效地管理内部审计活动以确保该活动为组织增值。
注意:
管理内部审计活动的主要依据是,由高层管理批准、董事会认可的内部审计章程,章程中规定了内审机构的宗旨和职责。
IIA实务公告2000-1(对于管理内部审计活动的解释)
审计执行主管负责恰当的管理内部审计活动,以便:
(1)审计工作实现经过董事会和高层管理者恰当批准的内部审计活动章程所描述的总体目标和责任;
(2)内部审计活动的资源得到有效率而且富有成效地运用;
(效率和效果的区别:
效率是速度,效果是结果。
做错误的事情也可能很有效果,有效果的事情可能慢的无法让人容忍,是没有效率。
)
(3)审计工作与《国际内部审计专业实务标准》(《标准》)保持一致。
2.2 计划
2010——计划——审计执行主管应该制定以风险为导向的计划,确定与组织目标相一致的内部审计活动的优先顺序。
2010.A1 内部审计活动的业务计划应该以风险评估为依据,并至少每年进行一次。
2010.C1 审计执行主管应该考虑接受那些能够潜在改进组织的风险管理、增值以及改善运营为依据所提议的咨询业务。
已接受的那些业务应该包含在计划中。
IIA实务公告2010-1:
计划
(1)为内部审计活动制定的计划应该与内部审计活动章程和组织的目标保持一致。
计划过程应该确定以下内容:
①制定内部审计机构目标
内部审计活动的目标应该能够在具体操作计划和预算范围内得到实现,并在可能的情况下得到考评。
这些目标应该附带考评标准和实现的目标日期。
内部审计机构的目标是保证审计工作能够按时、按质、按量、按预算的完成审计计划。
②业务工作安排(制定审计工作日程表)
即将开展哪项活动、何时开展这些活动、完成这些活动预计需要多少时间,考虑既定业务工作的范围以及由其他人所开展的相关工作的性质和程度。
以上都应该考虑,即审计工作安排。
确定业务工作安排的优先顺序时应该考虑的事项:
最近一次业务的开展日期和结果、对风险、风险管理和控制过程的效果的最新评估、董事会和高层管理者的要求、当前与组织的治理有关的问题、企业的业务、运营、方案、系统和控制的主要变动、实现营业利益的机会、审计人员的变动和专业能力。
工作安排应该具有充分的灵活性(留有余地),以便涵盖到意想不到的内部审计活动要求。
注意:
制定审计工作日程表是工作计划的主要内容。
包括三项:
被审者(被审单位或活动)、计划审计日期、预计需要的审计工时。
最主要的是确定被审者,也就是审计对象。
因为在一个组织中,潜在的被审者可能很多,而审计资源总是有限的,审计哪些单位,先审计谁、后审计谁,都取决于他们本身的风险,因此首先要考虑风险问题。
③人员配备计划和财务预算
内部审计执行主管应该确保审计工作有适当的充分的资源,并且得到有效的利用,以便能够完成审计计划。
人员和财务预算应根据审计工作日程表、内审机构管理活动、人员的教育和培训、以及审计研究和开发工作的要求来制定。
人员计划包括人数和人员的素质、知识、技巧和能力。
内审主管要为每一个岗位制定职责说明,按照岗位职责选择合格的人员,为他们的发展提出建议,为他们的后续教育提供机会,对他们的工作至少每年要进行一次鉴定。
④活动报告(涉及报告和审批);
内部审计机构的工作计划应报高级管理层审批,并报董事会备案。
使高级管理层和董事会能够确定、理解内审机构的目标和计划,有助于实现组织的目标和计划。
也有助于高级管理层和董事会判断内审机构的目标和计划是否有助于实现组织的目标和计划。
工作计划在中期发生重要变化时,亦应如此,以便及时调整。
如果内部审计资源不足,内审主管应向高级管理层和董事会报告资源不足可能带来的后果。
[练习1]
在与审计经理的会议上,审计执行主管正在为下一年的计划作出业务工作安排。
以下哪种方法能够确保每位审计经理在工作安排与内部审计活动资源的分担方面最为恰当:
A.根据风险和技能的分析为每位审计经理分配工作;
B.根据审计领域以及所涉及的管理部门进行优先排序,由审计经理按意愿选择审计任务;
C.根据现阶段每位审计经理可用的总工作时数,由审计经理按一定的优先次序选择审计工作;
D.所有审计工作分派到审计人员个人,工作安排依据其职业兴趣和差旅要求设定。
答案:
A
解析:
内部审计师应以熟练性与应有的职业审慎开展业务(标准1200)。
职业审慎应与业务的复杂程度有关,并且内部审计活动应确保所安排个人的技术熟练程度与教育背景是恰当的。
因此,对所开展任务的技能进行分析是必要的。
此外,在确定业务工作安排的重点时应该考虑的事项还包括:
(1)对风险、风险管理和控制过程的有效性的最新评估;
(2)审计人员的变动与能力
选项B不正确,由个人的偏好来选择审计任务不能确保对应有的职业审慎性的运用;选项C不正确,适用的工作时数与审计工作的风险或所需的综合技能无关;选项D不正确,尽管在安排业务时也要考虑职业兴趣和差旅要求,但这些因素不构成业务安排的客观基础。
[练习2]
审计执行主管应该制定目标并将其作为内部审计活动计划过程的内容。
以下哪项是内部审计目标的特征:
A.可考评并能实现;
B.有预算并经批准;
C.已计划并能实现;
D.被要求并经批准。
答案:
A
解析:
内部审计活动的目标应该能够在具体操作计划和预算范围内得到实现,并在可能的情况下得到考评。
这些目标应该附带考评标准和实现的目标日期(实务公告2010-1)。
选项B不正确,内部审计目标应在预算限制范围内实现;并不是说有预算就够了。
选项C不正确,内部审计目标应是可以考评的,此处没有提到这一点。
选项D不正确,内部审计目标通常不用被要求,相反,它们由审计执行主管制定。
IIA实务公告2010-2将审计计划同风险和风险暴露相联系
即是指将计划和风险联系起来。
风险暴露或者暴露的风险就是危险,
有关风险的知识:
(1)任何组织都面临各种可能对组织产生负面或正面影响的不确定情况和风险。
风险可以通过几种不同方式得到管理,包括接受风险、规避风险、转移风险或者控制风险。
转移风险的常见形式就是保险。
内部控制是控制风险的一种常见方法,用于减少风险和不确定性情况带来的潜在不利影响。
(2)内部审计活动的审计计划应该在对可能影响组织的风险和风险暴露的评估基础上制定。
从最终意义上来讲,关键的审计目标是向管理层提供信息,以减少在实现组织目标的过程中可能会带来的负面影响,以及评估管理层的风险管理的效果,风险暴露的程度或者重要性可以看做通过建立控制活动使风险得以减少。
(3)审计领域可以包括来自组织的战略计划的有关内容。
通过吸收组织的战略计划的有关内容,审计领域可以考虑并反映整体的业务计划目标。
战略计划还可以反映出组织对待风险的态度以及实现既定目标的困难程度。
一般来说,审计领域受到风险管理过程的结果的影响。
(4)审计领域与相关审计计划中内容的更新,应该反映出管理层的方针、目标、工作重心发生的变化。
建议至少每年对审计领域评估一次,以反映组织最新的战略和方针。
(5)审计工作安排应该在评估风险和风险暴露优先次序的基础上做出。
在对风险进行优先排序之后,才能根据风险暴露的重要性分配相关的资源。
有各种风险模式,可以帮助审计执行主管排列出潜在审计目标的优先次序。
大多数风险模式都利用风险因素来确定业务工作重点,这些因素有:
金额的重要性、资产流动性、管理能力、内部控制的质量、变化或稳定程度、上次审计业务开展的时间、复杂性以及与员工和政府的关系等等。
在开展审计业务时,用于测试、证实风险暴露的技术与方法应该能够反映出风险暴露的重大性与发生的可能性。
(6)在向管理层的报告和沟通中应该传达对风险管理的结论和建议,以降低风险。
[练习3]
审计执行主管在准备工作安排时可以运用风险分析。
以下哪项在开展风险分析时不予考虑:
A.与组织的治理有关的问题;
B.内部审计人员的适用技能;
C.以前业务的结果;
D.主要的运营变动。
答案:
B
解析:
在确定业务工作安排的重点时应该考虑的事项包括:
最近一次业务的日期与结果;对风险、风险管理和控制过程的效果的最新评估;管理高层、审计委员会和管制机构的要求;当前与组织治理有关的问题;企业的业务、运营、方案、系统与控制的主要变化;实现营业利益的机会;审计人员的变动与能力。
工作安排应该具有充分的灵活性,以便涵盖到内部审计活动的意外要求(实务公告2010-1)。
员工的技能不会影响与潜在的业务客户有关的风险。
选项A、C和D不正确,上述因素都应予以考虑。
[练习4]
审计执行主管正在为下一预算年度的业务工作安排做准备,并且受到了资源方面的限制。
为确定是否要安排对采购或人事部门的业务时,不应考虑哪些因素:
A.这两个部门的其中一个部门已发生运营方面的重要变化;
B.内部审计部门近期新增的人员是某个部门的专家;
C.其中一个部门实现运营的收益的机会要多于另一个部门;
D.其中一个部门的最新风险评估要比另一个部门重要。
答案:
B
解析:
在确定业务工作安排的重点时应该考虑的事项包括:
最近一次业务的日期与结果;对风险、风险管理和控制过程的效果的最新评估;管理高层、审计委员会和管制机构的要求;当前与组织治理有关的问题;企业的业务、运营、方案、系统与控制的主要变化;实现营业利益的机会;审计人员的变动与能力。
工作安排应该具有充分的灵活性,以便涵盖到内部审计活动的意外要求(实务公告2010-1)。
新增的、对某个部门具有专长的员工可能没有另一个部门所具备的因素重要。
选项A不正确,运营方面的重要变化是安排业务的一个原因;选项C不正确,潜在的运营收益是安排业务的一个原因;选项D不正确,最新的风险评估是安排业务的一个原因。
[练习5]
在对计算机风险评估过程中,下列项不能作为可审计的活动来考虑。
A.应用软件
B.系统软件
C.打印软件
D.通信软件
答案:
C
解析:
审计资源应该配置到风险级别最高的领域。
打印软件同审计人员审核的其他三种类型的软件相比,风险最低。
ABD都是高风险,是可审计的活动。
驱动硬件的是系统软件;应用软件是在系统软件基础上的;在计算机网络中,通信软件是联系各个终端的系统或程序。
打印软件属于应用软件的一种,是驱动打印机的。
打印软件的风险最低。
[练习6]
公司管理层刚刚实施一项政策,每个部门必须通过立即削减10%的部门人员和预算进行裁减。
内部审计主管为应对组织的裁减计划(平均地减少人员规模),通知审计经理必须将安排给所有工作的时间削减10%。
下列项有关审计主管的行动以及审计经理的可能行动的表述是准确的。
A.审计主管的行动应当会产生同以往的审计计划相比大致相当的风险覆盖面,但减少了10%
B.通过统一地削减10%的审计程序,审计经理个人可以达到以往规定审计覆盖面的90%
C.审计主管应当重新排列风险并削减具体的审计业务,而不是平均地削减10%的时间
D.上述所有各项
答案:
C
解析:
C是一个较为可取的反应,可以使审计人员在自愿受到限制的情况下,制定涵盖最大数量的风险的最优计划。
选项A不正确,削减10%的工作不意味着所关注的风险也会减少10%。
审计师应该对审计计划重新排序,确保在有限的资源情况下覆盖最适当的风险。
B、D不对,统一削减10%的程序或审计范围,有可能无法搜集到可审计领域的充分证据。
审计经理应该考虑每个审计的裁减范围,以便更好的解决可审计单位的主要风险。
风险和风险评估的有关知识:
1.什么是风险风险暴露
从准备CIA考试的角度来说,风险是指会对实现组织目标产生负面影响的事情,可以说凡是有可能对实现组织目标产生负面影响的事情或活动都是风险。
风险要由它造成的后果和可能性来衡量。
(风险是通过暴露在风险中的资产数乘以损失的概率来衡量的,缺一不可。
风险暴露就是威胁)
下列事情可能给组织带来风险:
(1)因使用不正确、不及时、不完整、不可靠的资料而导致决策错误。
(2)记录有错误、会计核算资料不真实、不完整、财务报告有欺骗性行为,以及发生财务损失。
(3)资产保护不当。
(4)顾客不满意,组织信誉受损。
(5)执行组织决策、计划、程序不力,或有违法违规行为。
(6)不经济地获取或适用资源的效率很低。
(7)没有完成组织的任务和目标。
除第四点外,其余都是内部控制有关方面的内容。
所以说风险也就是管理失控(即内部控制无效失效)的风险。
2.怎样评估风险
风险评估是挑选被审者并确定其先后秩序的重要手段。
风险评估可分三个阶段进行:
(1)(识别出)哪些事项应列入审计对象;
(2)列入审计对象的事项哪些会给组织带来风险;
(3)(确定)哪些风险要先审。
第一阶段:
确定可审事项并进行分类
《标准》指出有10类被审事项:
(1)政策、程序和惯例。
要看是否存在政策、程序和惯例,有无书面文件;如果有的话,员工是否都知道,有没有遵守。
(2)成本中心、利润中心和投资中心。
(3)总账余额。
(4)信息系统(手工的或电算化的)目前是极为重要的。
。
(5)主要合同或方案。
(6)企业组织的产品或服务。
(7)职能部门,如电子数据处理、采购、营销、生产、财务、会计和人力资源等专项审计。
(8)业务活动系统,如销售、收款、采购、付款、存货和成本核算、生产、现金、工资和资本性资产。
(9)财务报表。
(10)法律和法规的遵守情况。
第二阶段:
确定相关风险因素
即在10类被审事项中,要确定哪些事项会给组织带来风险。
在制定计划时风险因素不宜列得太多,也不宜列得太少。
在《标准》中列举的风险因素有14种:
(1)管理层对完成目标的道德观念和紧迫感。
(2)(审计)人员的胜任能力、适当性和完整性。
(3)资产的规模、流动性或经济业务的数额。
(4)财务和经济状况。
(5)竞争条件。
(6)经营业务的复杂性和易变性。
(7)顾客、供应商和政府法规的变动。
(8)信息系统电算化程度和变化。
此处要重点考虑信息系统对业务的影响。
如果是属于重大影响或是主要业务支撑,那麽风险就会较大,就是需要重点审计的内容。
(9)经营活动的地理分布。
(10)内部控制系统的恰当性和有效性。
(11)组织、经营、技术或经济变化。
(12)管理层的判断和会计预测。
(13)对审计结果的认可和采取的纠正行动。
(14)上次审计的日期和结果。
对以上内容,考生要有基本的了解
第三阶段:
对被审者进行排序
就是在第二阶段的基础上,进一步确定先审谁,后审谁,在工作日程表上排个先后顺序。
《标准》提出比较相关风险的7项标准:
(1)上次审计日期及结果。
如果上次审计间隔期比较长或审计发现问题多的,应该先审计。
(2)财务暴露的问题。
涉及金额比较大的,应该优先考虑。
(3)可能出现的损失和风险。
大的,优先审计。
(4)管理层的要求。
有特定要求的先审。
(5)经营、方案、制度和控制系统有重大变动的先审。
(6)获得经营效益的机会。
能够使审计机构获得比较大的审计效益的,先审。
(7)审计人员的变动及工作能力。
第1-6条是客观的需要,第7条对审计人员来说是主观条件。
“审计人员的变动及工作能力”要看内审机构有没有能力来完成这么多任务,如果有这个能力,那麽就作安排,否则就少安排。
在作计划的时候也要留有余地,要考虑突发事件的发生。
内审部门在制定工作日程表时应广泛听取各方面的意见。
包括董事会和各种管理人员的意见、外部审计师的意见、法律法规的要求、对财务和经营情况的分析、审计前掌握的资料、以及行业和经济发展的趋势等。
在这些基础之上,对工作日程表作恰当的调整。
工作日程表制定出来之后,应定期进行评估,如果风险因素发生了重大变化,应作适当调整。
风险评估通常每年进行一次,根据情况变化和评估的结果,重新排列优先审计顺序。
[练习7]
31.在审计采购部门时,下列项在一般情况下可看作是风险因素。
A.采购清单由要求材料的部门来制定
B.针对某类事项,可以开出空白采购订单
C.采购是由采购人员或公司其他官员有关的当事方进行的
D.在授权的供应商之间未能实现采购轮换
答案:
C这涉及到高风险。
解析:
A不对,这是正常程序。
B不对,有些材料使用程度较高的情况下,如频繁使用的材料,可以开出空白采购订单,是正常程序。
D.不对,经批准的供应商名单通常作为一项控制因素来保持,确保只向经过批准的可靠供应商采购货物。
在供应商之间进行采购轮换通常是不合适的。
[练习8-9]
根据以下信息,回答问题
管理层为某分部的费用增加和利润降低担忧,要求内部审计部门对该分部开展经营审计。
管理层希望这项审计可以尽快完成,要求内部审计部门将所有可能的资源都分配到该项任务。
由于内部审计部门将很大的精力用在审计委员会要求的合规性审计方面,因此内部审计主管面临着巨大的时间压力。
关于上述两个项目的风险评估,以下表述是准确的。
Ⅰ.审计委员会要求的活动通常比管理层要求的活动具有更高的风险。
Ⅱ.预算金额较大的活动通常比预算金额较小的活动具有更高的风险。
Ⅲ.风险通常应当用潜在的货币额或对组织的不利暴露来衡量
A.只有Ⅰ
B.只有Ⅱ
C.只有Ⅲ
D.Ⅰ和Ⅲ
答案:
C
解析:
风险根据后果和可能性来衡量。
业务安排以对重要风险和暴露的评估为依据。
以开展业务的要求来源或业务客户的财务预算为依据进行风险排序,不可能反映出以充分的风险因素为依据开展的评估。
ABD,不对,审计委员会的要求或更高的预算金额未必会反映更高的风险。
[练习]在决定是否将现有的内部审计资源从正在进行的合规性审计转向管理层所要求的分部审计时,下述种情况最不重要。
A.一年前外部审计师对该部门进行过财务审计
B.与合规性审计有关的潜在的舞弊
C.该部门去年的费用水平增加
D.与合规性审计有关的潜在的重大违规罚款
答案:
A
解析:
潜在的舞弊,费用的增加,潜在的重大罚款在对有限的内部审计资源的使用方面,比起过去的外部财务审计来说,更为重要。
[练习10]
关于风险评估程序的下列审计活动中,属于恰当的内部审计活动的有:
Ⅰ.低风险区域委托给外部审计师负责,而高风险区域则由内部审计师来负责;
Ⅱ.高风险区域应当与管理高层、审计委员会要求优先考虑的问题一起纳入业务工作安排;
Ⅲ.风险分析应当在确定年度业务工作计划时运用,因而只能每年开展一次。
A.只有Ⅰ;
B.只有Ⅱ;
C.只有Ⅲ;
D.只有Ⅰ和Ⅲ。
答案:
B
解析:
风险评估并不是每年只能开展一次。
内部外部审计师的分工不是以风险评估的结果来确定的。
风险评估主要用于作出业务工作安排。
通常业务工作安排的重点就是高风险的业务区域。
因此,在确定业务工作安排的重点时应该考虑的事项包括最近一次业务的日期与结果;对风险、风险管理和控制过程的效果的最新评估;管理高层、审计委员会和管制机构的要求;当前与组织治理有关的问题;企业的业务、运营、方案、系统与控制的主要变化;实现营业利益的机会;内部审计人员的变动与能力(实务公告2010-1)。
选项A、C和D不正确,内部审计工作应与外部审计师协调,以避免重复劳动,并确保充分的审计范围,但对外部审计师和内部审计活动工作的分派没有必要以风险为依据。
而且,变化的状况可以要求对当期的风险评估进行更新。
[练习11]
在与管理高层讨论之后,审计执行主官确认了几个战略性的经营问题以便在准备年度业务工作安排时加以考虑。
以下哪项不能代表这种战略性的问题:
A.即将开展一项月度预算程序;
B.为扩大产品的知名度,并发挥新成立的以公司为基础的广告部门的作用,即将开始全球性的营销活动;
C.寻求联营者以便在欧洲和亚洲市场上扩大生产能力;
D.建立人力资源数据库来确保对政策的持续管理和加强对数据的保存。
答案:
A
解析:
审计范围可以包含来自于组织战略性计划的组成部分。
通过吸收组织的战略计划的组成部分,审计范围会考虑并反映整体的经营计划目标(实务公告2010-2)。
不过,开展月度的预算程序是促进预算过程以及改进预算过程的操作层面上的决策,它不构成战略性的问题,但它确实能对业务的主要变动等有影响。
选项B不正确,首席审计执行官需要确保在风险评估和计划活动中认可并监督新的营销流程以及集权化的广告部门;选项C不正确,增加联营伙伴就会产生在内部审计活动中对风险评估和计划的额外关注;选项D不正确,与人力资源数据库有关的活动需要在内部审计活动的计划中予以考虑。
[练习12]
风险评估过程的首要阶段是识别并归纳组织中的可审计活动,下列项不能作为可审计活动考虑。
A.审计委员会针对某个季度会议制定的议程
B.总分类账余额
C.计算机化的信息系统
D.影响组织的法令法规
答案:
A
解析:
审计委员会的会议议程不是一项可以审计的活动,但这份议程中可以包含审计部门进行审计的活动。
B、C、D都是标准中明确识别的可审计活动。
[练习13]
在计划一项审计时,内部审计师应该针对与组织活动有关的风险设计审计目标和程序。
风险可定义为。
A.有关交易的平衡或分类的风险以及含有错误的有关认定的风险,对于错误报表而言有可能是重大的
B.某个事件或行动发生的不确定性,它有可能会对所审计的活动产生不利影响
D.没有坚持组织的政策、计划和程序,或遵守相应的法律和法规
D.没有实现针对有关经营业务或项目的规定目标和目的
答案:
B
解析:
风险是可能影响目标实现的事件发生的不确定性。
选项A不对,财务报表认定的重大错误的风险是由固有风险、控制风险和检查风险构成的。
A不是风险的定义。
C,D不对,是标准中由风险导致的结果。
2014年国际内审师《内审计作用》复习讲义第二章第3节
2.3沟通和批准
2020-沟通和批准-审计执行主管应该将内部审计活动的计划和资源要求(包括重大的中期变化)向高层管理者沟通,并报董事会审批。
审计执行主管还应该沟通审计资源限制的影响。
IIA实务公告2020-1:
沟通和批准
1.审计执行主管应该在每年将内部审计活动关于工作安排、人员配备和财务预算等方面的概要,报董事会和高层管理者审批。
审计执行主管还应该将所有重大的中期变化提交审批。
2.经过审批的业务工作安排、人员配备和财务预算以及所有重要的中期变化都应该包括充分的信息,使董事会能够确定内部审计活动的目标和计划能否支持组织和董事会的目标和计划。
[练习14]
负责对其他内部审计师进行监督和审核的审计经理必须具备必要的技能、知识和其他的能力。
以下陈述中哪项不属于为监督某一特定审计业务而必备的技能、知识或其他的能力:
A.复核并分析业务工作方案的能力,确定所提议的业务程序能否得出与业务目标相关的信息;
B.确保业务工作底稿中记录的信息足以支持业务沟通并与其密切
升级会员 