CIA第一部分学习笔记.docx
《CIA第一部分学习笔记.docx》由会员分享,可在线阅读,更多相关《CIA第一部分学习笔记.docx(26页珍藏版)》请在冰豆网上搜索。
CIA第一部分学习笔记
内部审计在治理风险和控制中的作用
A遵守国际内审协会的属性标准(熟练掌握)
1、明确内部审计的宗旨、权力和职责(1000)
a确定内审的宗旨、权力和职责是否清楚地以书面形式记录并获得批准
内部审计:
是一种独立、客观的保证工作与咨询业务活动,它的目的是为组织增加价值并提高组织的运作效率。
它采用系统化、规范化的方法来对风险管理、控制及治理程序进行评价,提高它们的效率,从而帮助实现组织目标。
业务:
保证工作和咨询活动
目的:
为组织增加价值并提高组织运作效率
方法:
方法系统化、规范化
对象:
风险管理、控制及治理程序进行评价
书面文件形式:
内部审计章程。
要求与《标准》一致,并经批准,也作为评价内审工作质量和业绩依据,处理分歧的依据
要求:
1、内审地位2、授权接触人、资料、实物3、活动范围
批准章程组织:
董事会、审计委员会、相关治理机构和高级管理层
b确定内审的宗旨、权力和职责是否通报业务委托人
业务委托人:
审计监督对象,更是审计服务对象
通报目的:
消除分歧,分清责任,取信合作实现审计目标
c阐明内审的宗旨、权力和职责
宗旨:
审计活动要达到的目标
权力:
实现目标的保证
职责:
需要履行的责任
首席审计执行官定期评价,并报高级管理层和董事会,首席审计执行官的任期《标准》没有规定
2、保持独立性和客观性(1100)
a加强独立性
独立性:
独立于所审查的活动之外,包括机构独立和人员独立,是否独立就看有没有干扰其活动
机构独立性:
在组织中享有经费、人事、内部管理、业务开展等方面的相对独立性,不受管理层和其他方面的干扰、阻挠开展活动,机构独立性更重要。
不承担组织经营责任
机构获得独立性:
1、审计章程规定
2、向谁报告,理想的是向董事会、审计委员会和相关治理机构CEO(报告行政工作)上述机构必须有足够的权力,这也是CAE报告时应考虑的因素。
3、CAE与上述交流沟通,参加相关监督职责会议
4、人事任命,理想的是董事会任免CAE
5、审计委员会组成,理想的是没有管理层人员
b加强客观性
客观性:
是指一种公正的、不偏不倚的态度或精神状态,不与任何方面达成质量妥协,或把自己的观点凌驾于审计事务的判断之上
客观性政策:
1、审计人员工作避免利益冲突或偏见,可定期轮换工作
2、审计人员不承担经营责任,如果承担至少一年后才能审计自己过去工作的地方
3、审计工作结果要审查
4、对实施前的控制系统进行检查和提出建议,但不能设计、安装和经营该系统
5、可以接受大家都能得到的小礼物,不能接受有工作关系的人员送的酬金和礼物
个人客观性:
1、安排审计人员工作避免利益冲突或偏见,应定期轮换工作,
2、不依附他人观点,可依赖外部审计意见
3、诚信工作,不作质量妥协
4、工作底稿和结果应审查
5、不接受礼金和礼物
合规性审计客观性强,经营审计、绩效审计、财务控制审计主管判断多
独立性和客观性受到侵害怎么办:
1、审计人员与被审单位有利益冲突,CAE重新指派
2、审计范围受到限制,书面报告其影响给董事会或权力机构
3、具体情况在审计报告或工作报告中进行披露
谁来监督首席审计执行官:
独立内部审计机构以外的有关方面
3、确定是否具备必要的知识、技能和胜任能力(1200)
熟练:
不必寻求广泛的技术研究和帮助就能完成特定审计工作的能力
具备能力:
1、熟练的内审标准、程序和技术
2、理解(不一定熟练)管理原则、会计学、法律、税收、信息技术等,不要求在会计原则和技术上有广泛的鉴别能力
3、交际能力,与被审计单位保持满意关系,不包括审计风险的交流和沟通
4、接受后续教育
上述能力作为审计机构应当集体具有,知识能力互补,所以具有专业工程技术人员只要有兴趣也可到审计机构工作
4、开发和/或取得内部审计活动所必须的知识、技能和胜任能力
更专业的领域可以寻求外部帮助,这些领域包括:
1、信息技术、统计学、税收、翻译等
2、资产评估3、合同完成程度4、舞弊和安全调查5、精算福利欠款6、解释法律、管理和技术7、兼并和收购
首席审计执行官负责评价外部能力,但与董事会、高级管理层或其他人员有私人关系和专业关系,与本组织有经济、技术、利益关系的将有损外部审计的独立性
5、运用应有的职业审慎
职业审慎:
运用专业熟练和技术发现损害组织利益的行为,对一些现象保持警惕,对控制不当地方提出改进建议。
审慎,不是要求对所有的交易进行检查,也不杜绝违纪现象
运用审慎:
1、根据审计风险安排计划,确定审计工作重点
2、开展我们具备知识和经验的方面审计,不足部分寻求外部帮助
3、工作中处理足够的信息,如扩大审计范围
6、促进持续专业发展
a为内审人员制定并实施持续专业发展计划:
考证、学历、继续教育(无硬性时间要求)、专题讨论
b通过持续专业发展提高个人能力:
考CIA、参加会议、研讨会、大学课程、内部培训
7、促进内审活动的质量保证与改进(1300)
a建立和保持质量保证与改进项目:
是否遵循《标准》《道德规范》,关键是《内审章程》,满足上级要求
b对内部审计监督质量保证与改进项目的效果(三方面)
监督:
是否遵守《标准》和审计方案
内部评价:
定期自我检查活动情况,CAE指定个人或小组对工作进行评价,提出建议
外部评价:
必须独立于组织外部,不能有利益冲突,如果由内部其他部门评价会有利益冲突
c将质量保证与改进的结果报告董事会或其他治理机构
报告内容:
机构对《标准》的遵守情况,以及对机构章程和其他适用标准遵守的情况,提出改进意见,对不合规的行为应披露事实和造成的影响
d实施质量保证程序并建立改善内审业绩:
评价之后编制书面行动计划,恰当的跟踪措施
8、遵守和促进对IIA《道德规范》的遵守
正直、客观、保密、胜任能力
正直:
按要求披露信息
客观:
行为上不参加有损害的活动,不接受妨碍职业判断的东西,充分揭露事实(注意对象)
保密:
不经适当授权不披露信息,对外发布信息不是审计师的职责,而是董事会的事情
能力:
熟练,理解,高效
B以风险为基础制定计划确定内审重点(熟练掌握)
1、建立评估风险的框架
风险:
是指发生对目标实现可能产生影响的事件的不确定性。
衡量标准是后果和可能性,用潜在的货币化,或不利影响衡量,后果包括:
错误决定、错误财务报告和损失、财产保全不当、被审计单位的信誉损失、不遵守规章、效率和资源利用低下、没有实现经营目标和任务
COSO(IIA和AICPA专业联盟)内部控制框架:
(金字塔模型)
底层:
内控环境:
影响内部控制的各种因素
调查:
风险评估:
是在既定的经营目标下分析并减少风险。
这一环节是COSO内部控制整体框架的独特之处。
措施:
控制活动:
包括确保管理层指令得以实施的政策和程序:
批准、授权;核对会计分录;核实(包括内部控制模型);检查业绩、风险披露限制;职责划分、生产安全。
制定程序的原则有:
避免由“相关人士”组成的集团从头到尾控制某个操作或交易;“四只眼睛”的原则(用四只眼睛盯一笔业务)。
联系:
信息与交流:
是整个内部控制系统的生命线,为管理层监督各项活动和在必要时采取纠正措施提供了保证。
内控是一个动态的过程,依据环境,制定措施,信息反馈,进行纠错,如此不断改进。
但受成本效益原则的约束,内控实际上是一个无止境的过程。
高层:
监控:
意在评估内部控制,贯穿于经营活动之中,具有一定的超然独立性。
监测的实施途径可以是内部审计,也可以是内部控制自我评估。
前者的实施人是独立的职能部门,而后者是由管理部门和员工完成的。
内部审计的目的是,就控制系统的风险和操作情况向管理层提供独立保证并帮助管理层有效地履行责任。
2、应用该框架
首席执行官确定审计计划时采用的风险评估框架:
内部环境―目标设定―事件识别―风险评估―风险回应―控制活动―信息沟通-监督
考虑组织中风险、易受外界影响的薄弱环节以及潜在损失等是制定审计计划首要因素因素
风险损失:
风险带来损失的金额乘以概率,但不是所有风险都可以量化的
审计风险:
检查中可能没有发现重大错误或弱点,导致审计失败,不是制定计划考察的组织风险
3、识别内审资源需求
审什么:
1、对组织可审活动进行分类
2、分析其带来的风险(潜在损失金额大的不是唯一标准,还要考虑发生的可能性)
3、按风险大小进行排序
4、特别关注部分,管理层的要求也许比审计委员会的要求更具有紧迫性
数量化风险评估模型:
对全组织的各项风险因素进行排列,并赋予分值进行综合评估,得出审计重点,风险因素包括管理层对完成目标的信念意识和紧迫感、人力资源、资产配置、市场变化、内部信息化程度、预测能力等,审计纠错执行情况,
已审计过的对象也是考虑因素。
优点:
审计长期计划提供依据,主观判断减少,系统化。
但不是所有风险都可以量化的。
对多个审计单位风险评估:
给各单位5各风险因素,每个风险因素1-5分,分析后,加总各单位分值,那个分值最高,那个单位先审
计划安排审计资源:
审计人员配置(人数、能力)和财务预算(经费),工作日程安排上应有一定的覆盖面,审计日常工作:
工作日程安排、管理活动、教育培训、审计研究和发展
一般分工:
CAE:
审计工作计划的制定与高级管理部门的沟通审计工作的最终复核
经理:
具体审计事项的组织实施
工作内容的初步调查
审计现场的监督管理
复核工作底稿和审计报告草稿
与被审计单位管理层沟通
人员:
执行审计程序编制工作底稿
编制初步报告
现场沟通等
4、与各方面协调内审工作
需要协调的部门:
外部审计师(要求信息共享,工作底稿和审计方案的保密性不妨碍内审使用)、法规监督机构、其他内部保证部门(承担某些方面的监督、控制和保证工作,内部审计不根据他们的要求改变章程要求,以保证独立性),对于调查中发现人员的弱点应记录,并确定潜在的影响
5、选择审计业务
内审范围及重点:
1、财务和经营信息资料的可靠性和完整性
2、保证上述资料可靠性和完整性所建立的组织系统及遵循情况
3、审查资产保护方式
4、评价资源利用的经济性和有效性
5、审查经营项目,确认结果和目标是否一致
审计资源不足:
向董事会和高级管理层报告可能带来的后果,报告还包括审计范围、资料的限制
C理解内审在公司治理中的作用(熟练掌握:
1道德氛围评估、2报告机制评估、3报告控制评估、4特定领域评估、5外部审计评估、6公司行为商业惯例遵循评估、7业绩测评系统评估、8整改效果评估、9防范舞弊评估)
1、获得董事会对内审章程的批准(获得独立性,确定目的、责、权)
2、沟通审计业务计划
如何沟通:
1、工作业务计划报高级管理层审批
2、中期计划重大变动沟通
3、执行中资源不足、范围、资料限制后果的报告
3、报告重大审计事项和机构工作业绩指标
例行报告:
定期(一年)提交董事会工作报告,组织报告规则:
行政上报首席执行官(行政工作),职能上向董事会报告(业务工作)
1、重要的审计发现和建议
2、审计工作计划、人员计划和财务预算执行偏差和原因
重大事项:
CAE判断对组织不利影响的情况,
报告步骤:
1、先与高级管理层讨论
2、对审计事项高层讨论决策结果报董事会
3、高层决定不行动承担风险或其变动,最好再向董事会报告
4、涉及高层管理者,可不向本人报告,直接报董事会或审计委员会
中期报告:
在无法发布最终审计报告时,可发布中期报告包括特别关注事项、审计范围变化、需要延长时间等
5、讨论重大风险领域
内审不是对风险进行管理(管理责任是管理层的事),而是对组织风险管理过程进行评估和报告
管理层对风险接受水平不符合组织战略目标时,CAE与之讨论,问题得不到解决报董事会,董事会有针对性的决定,管理层不能有效执行,报董事会
6、支持董事会开展全公司的风险评估
检查、评价风险管理过程充分性和有效性(充分性、有效性的概念在后面的报告内容中有)
风险评估程序:
1、行业趋势带来的风险
2、检查政策、董事会和审计委员会会议记录,评价接受风险接受程度
3、检查内外发布的风险评估报告
4、与管理层讨论,确定各部门目标及风险监督
5、收集、评估降低风险的内控活动的有效性
6、评估报告,及恰当性、充分性、及时性,建议的全面性、完善性、有效性
7、管理自我评价的客观性和有效性
8、与高层评估讨论风险控制可以接受的水平
7、检查内审机构在组织内风险管理框架中的定位
组织各层次的职责定位:
1、董事会:
负责制定战略目标的制定
2、高级管理层:
赋予风险所有权
3、执行层:
接纳剩余风险
4、运营层:
负责持续识别、评估、减轻和监督活动
5、审计机构:
负责定期评价并协助其他部门进行风险管理
内审在风险管理中的做事原则:
1、没有建立风险管理流程的,提请管理层注意
2、内审只在建立过程的初期积极协助,但更积极的是用保证和咨询业务进行补充
3、章程中应规定,内审可以促进、协助风险管理过程的建立,但不负担风险管理责任
8、监督遵守公司行为规范和商业惯例情况
公司行为规范:
由组织制定的、旨在规范员工行为、防止过失违法违纪的正式和书面的规章制度
商业惯例:
是在商业活动中形成的被广泛接受的通用做法,一般是非正式的,但违反会对组织带来不利影响
内审对其评估内容:
1、书面道德规范是否存在,各层次执行标准是否不同,对其了解机会和接触情况
2、是否对各层次人员进行讲解,并强调重点教育
3、员工和代理理解和接受规范
4、有无措施促进其遵守(监督、举报、奖惩)管理
5、高层监督其执行情况
6、公司行为是否遵循规范和商业惯例公司行为
防止商业回扣有效办法,与供货商签订长期合同,合同条款由董事会审批,并在道德规范中禁止
9、报告控制框架的有效性
充分性:
控制系统能否适当的保证机构的任务和目标有效的完成,考虑成本效益原则
有效性:
能否取得预期的效果,是否达到预期的控制目标
控制目标:
财务和运营信息的可靠性和完整性,运营工作成效,资产保护,遵守了法律、规定和合同
评价标准:
组织标准,行业、专业、协会标准,如果管理目标和标准模糊,寻求权威解释。
衡量标准应与被审单位达成一致
评价程序:
确定检查范围、收集证据、单项评价、总体评价。
总体评价:
1、是否发现了漏洞和薄弱环节2、发现之后是否进行了改进3、是否存在无法接受的风险
报告三种意见方式:
1、否定式:
没有发现
2、保留意见,发现,但总体上不至于失控
3、否定意见,重大漏洞或严重薄弱环节,控制系统总体上作用很小甚至失效
《萨-奥法案》对报告的要求:
季报、年报,CEO和CFO必须书面声明:
1、审核了报告(负责制定和维护了信息披露控制和流程)
2、重大事实真是陈述,无遗漏(设计信息披露控制和流程,确保信息能够知晓)
3、特别强调,保真的内部控制制度承担责任,并保证其有效性
4、对影响报告编制的重大缺陷和员工的欺诈行为,已向外部审计和审计委员会披露
内审作用:
1、参与信息披露控制和流程的初始设计
2、加入信息披露委员会
3、协调外部审计师工作
4、独立评估信息披露控制和流程
10、协助董事会评估外部审计的独立性
《萨-奥法案》规定:
提供非审计业务缺乏独立性包括:
参与客户会计记录、与报表有关记录,财务信息系统设计和实施,内部审计服务时间超过客户全部内部审计活动时间40%(2亿元资产一下客户除外,可提供与报表无关的内部审计服务),提供评估服务,人力资源和法律服务,以管理层或职员身份开展工作。
11、评估董事会的道德氛围12、评估组织的道德氛围
道德氛围在很大程度上决定了治理效果,有效创建治理过程的道德文化氛围包括:
建立清晰易懂的规范说明,保护检举人的具体措施,学习机会,创造积极的人事管理机制等
治理过程:
所有者及董事会对管理者的监督活动,管理者对治理过程的效果负责
13、评估在特定领域遵守政策的情况
特定领域:
电子商务,互联网上从事商业活动,其最低风险是符合本组织战略的电子商务规划、设计和实施项目,电子商务的风险是在目标实现中有负面影响的不确定性事件,内审起到作用是在灾难恢复计划形成阶段进行评估
衍生产品,支付的款项或价值是由某些约定的指标的表现决定的,指标可以是商品、利率或汇率,包括期权型和远期型两种合约类型
14、评估组织向董事会报告的机制
管理层报告机制:
1、规定报告事项2、规定谁来报告3、规定报告形式和时限、问题的解决4、规定逐级上报和各个管理层级的责任
内审评估这一报告机制:
1、是否书面清晰规定2、报告机制是否充分有效满足董事会需要3、机制是否按规定运行
《萨-奥法案》规定:
审计委员会负责制定、偿付和监督为组织出具报告的会计师事务所的工作,负责举报接受处理、自主决定雇请法律顾问和其他咨询人员
15、对法规监督机构检查结果的落实情况进行跟踪并报告16、对外部审计的结果进行跟踪报告
首席审计执行官对跟踪并报告怎么作:
1、建立维护一项制度,保证对处理情况的监督
2、对非常重要的应要求管理层马上采取纠正行动
3、判断高级管理层已接受了不采取行动所带来的风险
4、评价纠正行动的充分性和有效性
如何监督进展情况:
1、把审计发现和建议报告给负责纠正的管理层(高级管理层应和纠正单位商量如何纠正)
2、报告后在合理的时间内得到管理层反馈,收集最新反馈信息,收集有监督义务部门的信息
3、向高级管理层或董事会报告反映情况(纠正单位行动,内审合理时间内复查)
纠正行动批准后仍未得到执行怎么办?
首席审计执行官应决定开展跟踪检查,并确定必要的范围
17、评估业绩测评系统的充分性和整体目标的实现情况
业绩测评系统没有建立,内审应建议建立,或与被审计单位协商寻求双方可以接受的测评标准
业绩测评系统标准模糊,内审应寻求权威性解释
评估原则:
科学性、合理性和可操作性
18、树立舞弊防范意识,鼓励报告不正当的行为
防范舞弊的首要机制是控制,控制是管理人员的责任
内审的责任是通过评价相关控制的充分性和有效性来协助防止舞弊,对人的能力上要求更高,对舞弊时刻警惕。
考题会出现如何发现舞弊,所以要了解舞弊的特征
D执行其他内部审计任务和职责(熟练掌握)
1、道德规范/合规情况
《萨-奥法案》对提供舞弊证据的上市公司雇员保护
对道德规范/合规投诉内审作什么?
1、制定书面政策和流程,并对投诉进行调查
2、监督管理层落实投诉解决办法有关决定,否则内审职业生涯受到损害
《萨-奥法案》规定:
CEOCFO,报表被要求更正,其奖金和利润将被剥夺,即报告报出之前12个月内权益报酬(所持股票分红),或剥夺12个月内出售证券得到的利润(SEC:
美国证券交易委员会)
上市公司的内审必须遵守《萨-奥法案》报告合规情况:
1、强化的利益冲突条款,规定管理人员不得以公司名义给个人贷款或借款
2、管理层和主要持股人参与公司交易,报告自己直接或间接持有10%股票
3、高级财务官员道德规范,要求披露道德准则,以及对其的修改
2、风险管理
内部审计作用:
以咨询的方式帮助本组织识别、评价和实施风险管理方法和控制,从而解决风险,对风险评估一般具有较高的审计优先顺序,评估重点是管理过程的充分性和有效性。
如果有部门提出要求,内审可以帮助机构进行风险管理的初步建立工作,咨询业务可作为保证业务的补充。
必须明确内审可以促进、协助风险管理过程的建立,但不负担风险管理责任(在管理层没有识别风险时,审计可以协助识别,而不是帮助建立制度,制度建立是管理层的责任)
3、保密
对外发布信息:
一般而言是董事会或审计委员会的责任,不是内部审计的责任,当非法律部门要求披露审计信息时,可将这一要求报董事会或审计委员会
4、信息或物理安全
薄弱环节:
是指系统可能被不良目的所利用的某些方面,包括系统弱点、安全漏洞和实施缺陷,内审对其进行评价和检查纠正的落实
定期评价合规:
向董事会或审计委员会定期报告,报告包括:
物理安全的环境风险和XX的访问保安,遵守法律、法规有关隐私规定
防止获得口令的最有效办法:
使用者使用卡片自动产生口令,密钥介入每次口令不同
E治理、风险和控制知识要点
1、可选择的公司治理模型
治理:
就是运用权力去指导、控制以及用法律来规范和协调人们利益的行为
公司治理:
是指对公司的统治和支配,它决定运营的目标和方向,治理过程就是对管理层执行的风险和控制过程加以监督。
研究投资人和公司各级管理层、外部利益互相作用和影响关系。
治理程序的核心是:
监督和控制,公司治理的实现是控制权。
公司治理程序:
1、公司权利机构(股东大会)、决策机构(董事会)、执行机构(高级管理层)三者之间的分立制衡关系
2、治理程序体现在与各个经营管理层的委托关系,通过内部控制制度构建,董事会是核心
治理模型:
1、英美国家的股东主权模型,融资结构以股本为主,股权分散,参与不多,收购容易并形成垄断
2、德日国家的共同治理模型,融资结构中银行占有很大比率,银行集股东和债权人于一身,公司负债率高,产生了股权与债权共同治理的模式,控制权集中,容易形成腐败和结派
2、可选择的控制框架
内部控制:
是指管理层、审计委员会及其他各方面进行的、旨在加强风险管理、增大实现既定目标的可能性的行为。
通过计划、组织、实施来保证目标实现,从三方面理解:
1、“内部”涉及组织的董事会和各个部门,通过内部指令完成,不是外部(政府、其他组织)
2、控制服务于组织的目标
3、控制不能必然保证目标实现,来自组织内部和外部的影响,就是风险,发现处理风险,把它降低到最低程度,就是风险管理
内控框架(COSO)和保证实现的组织目标
1、组织运行的效果与效率:
效果:
实现目标的程度,如利润多少,效率:
资源的投入产出量
产出量:
产量、利润、工作量或其他可以测得的成果
2、财务报告的可靠性和完整性:
可靠:
内容的真实,完整:
全面、详尽反映资产负债和经营情况,财务报告不真实、不完整往往是组织重要风险之源
3、符合相关的法律和合同,违反法律和合同会给组织带来风险
4、资产的安全:
不因不当行为而损失、不当经营而减少、不当使用而低效、不当处置而贬值,保值增值是股东的最根本的利益体现
参见评估风险框架
3、风险的词汇和概念
风险的种类:
1、行业风险:
对所处的行业的总体趋势、当前状况和普遍存在的问题进行分析,从而确定本组织的发展方向、竞争优势和竞争策略
2、组织风险:
分析包括组织结构的效率、组织结构与组织目标之间的适应性、组织结构与外部环境之间的适应性、组织文化、管理制度的合理性等因素进行综合分析
3、沟通风险:
实际上是信息风险与关系风险的总称,信息风险:
信息不准确、不及时、不完整造成的决策失误或缓慢的风险。
关系风险:
沟通不力,或不能很好地了解信息知识出现对信息的误解,并导致不适当的行动,进而造成客户丧失、机会损失或士气低落以及各种冲突
公司合并的风险含有文化差异的风险,这些风险是内审应当考虑
4、风险管理技术
风险管理技术:
1、风险评估框架2、风险防范系统
风险评估框架:
1、风险评估:
确定评估范围与方法,收集和分析相关数据,对结果进行说明
2、风险缓解:
确定风险可能发生的范围、可能性、可能损失,采取的保护措施
3、不确定性分析:
充分收集有关情报,借助一系列技术手段模型分析
风险战略目标最优化:
股东价值最大化
5、不同组织结构中的风险/控制内容
1、部门设置:
根据工作特征设置,部门多管理分工细,但管理效率低,成本高。
部门少部门内部二次分工,增加层级数,信息传递容易失真,指挥效率低
2、管理层级:
划分为高层、中层、基层,分管不同任务
3、管理跨度:
管理者或管理层直接指挥的下属人员或部门的数量