cia 内部审计业务.docx
《cia 内部审计业务.docx》由会员分享,可在线阅读,更多相关《cia 内部审计业务.docx(94页珍藏版)》请在冰豆网上搜索。
cia内部审计业务
PartII-ConductingtheInternalAuditEngagement
第二部分–实施内部审计业务
A.A. ConductEngagements(25-35percent)(ProficiencyLevel)
实施审计业务(25–35%)(要求熟练掌握)
1.1. Researchandapplyappropriatestandards:
研究和采用适当的标准:
a.a. IIAProfessionalPracticesFramework(e.g.,CodeofEthics,Standards,PracticeAdvisories)
IIA职业实务框架(如,《道德规范》、《标准》、《实务公告》);
b.b. Otherprofessional.,legal,andregulatorystandards
其他职业的、法律的和法规的标准;
内部审计师可以采用的标准包括:
v工作指南
v组织指示
v预算
v产品说明
v行业惯例
v内部控制的最低标准
v公认会计准则
v合同和著名的商业实务,等等
例.以下有关衡量雇员工作业绩质量的标准中,哪一项适合于用来衡量专业人士,比如说学院教员?
I.产出的数量
II.产出的质量
III.成本
IV.产出的及时性
V.资金需求
VI.产生的收益
a.I、II和III
b.I、II和IV
c.III、V和VI
d.I、II、III、IV、V和VI
对专业人士业绩的考核,主要是对工作的质量\效率和效果进行评价.产生的收益\资金需求用于成本和利润中心的业绩考核.
2.2. Maintain awarenessofpotentialforfraudwhenconductinganengagement
在实施审计业务时,要保持防范潜在舞弊的意识:
a.a. Noticeindicatorsorsymptomsoffraud
注意舞弊的迹象和征兆;
舞弊审计的动因
▪一些非常规性交易和记录遗漏所发出的警告信号。
▪管理层期望通过内部审计能减少雇员舞弊的风险。
内部审计师发现舞弊的责任包括:
▪有足够的知识用以确认舞弊发生的征兆;
▪确认允许舞弊发生的控制弱点;
▪充分评价舞弊征兆以确定是否实施舞弊调查。
b.b. Designappropriateengagementstepstoaddresssignificantriskoffraud
设计适当的审计业务步骤以应对重大的舞弊风险;
v保持应有的职业审慎性;
v评价舞弊的迹象或征兆,并决定是否需要采取进一步的行动或提出进行调查的建议;
v开展舞弊调查;
A、舞弊调查步骤:
♣评价组织内部发生舞弊的概率和同谋程度。
♣确定有效开展调查所需的知识、技能和其他能力。
♣设计相关程序,确认舞弊者、舞弊程度、所用技术和舞弊原因。
B、进行舞弊调查的注意事项:
♣在整个调查过程中,只要条件合适,就应该与管理人员协调行动。
♣认识到舞弊嫌疑人和调查范围内有关人员的权利以及组织本身的名誉。
v评价获得的事实证据;
评价已知事实的目的:
•确定是否需要实施或加强控制,减少未来的薄弱环节。
•设计调查测试内容,以协助披露未来的类似舞弊现象。
•协助其他内部审计师履行其职责,以维护对舞弊的充分了解,并发现未来的舞弊迹象。
v发布舞弊报告。
A、舞弊报告形式:
♦书面或口头报告
♦中期或最终报告
B、舞弊报告内容:
•调查发现
•调查结论
•调查建议
•纠正性措施
c.c. Employauditteststodetectfraud
采用审计测试以发现舞弊;
d.d. Determineifanysuspectedfraudmeritsinvestigation
确定是否应对任何可疑的舞弊进行调查
对于舞弊报告的解释性指导如下:
✓当内部审计师已在合理程度上确认组织发生了严重的舞弊现象时,应该将这种情况及时通知管理高层和董事会。
✓舞弊调查的结果可能表明舞弊在一年或几年中对组织的财务状况和经营成果已经产生了以前尚未发现的严重负面影响,而这些年份的财务报表已经公布。
内部审计师应该将此发现通知管理高层和董事会。
✓关于舞弊最终报告的草稿应该提交组织法律顾问审查。
P14页第5题、P20页第5题、P25页11题
8.某内部审计师怀疑存在付款方面的舞弊,即某个未知姓名的雇员同时提交和批准相关发票的付款。
在与管理层讨论潜在舞弊行为之前,内部审计师决定进一步收集证据。
在提供附加证据方面以下程序最有效的是:
a.使用审计软件获得附有邮局信箱号码或其他反常事项的供应商名单;对这些事项进行抽样并追踪检查其支持文件,如验收报告等。
b.对年内已付款项进行抽样,检查各笔款项的审批手续。
c.对可代表被调查期间的验收报告进行抽样,并追踪检查经批准的付款;注意未经恰当程序的任何事项。
d.对上月收到的发票进行抽样检查,确定是否具有适当的付款授权;并追踪检查验收报告等支持文件。
A
12.以下哪一项关于舞弊调查的工作底稿记录的叙述是正确?
I.所有控告证据都应该包含在工作底稿中。
II.所有重要的证言证据都应该进行检查以保证其能够为结论提供充分的依据。
III.如果和被怀疑对象进行面谈,那么就应该将书面证明材料或书面陈述材料归入工作底稿中。
a.只有I
b.只有II
c.II和III
d.I、II和III
D
19.对某主要零售公司实施审计的审计师怀疑三个具有较高销售成本的商店存在存货舞弊问题。
以下哪一项审计活动可以为舞弊的发生提供最有说服力的证据?
a.利用整体测试法(ITF)将单个销售交易与测试交易进行比较。
调查所有的差异。
b.与三个商店的经理面谈以确定他们对于差异的解释是否一致,然后将他们的解释与部门经理的解释进行比较。
c.计划实施一项突击存货审计,包括实物盘点。
调查存货短少的区域。
d.挑选每个商店价格的样本,并且与相同现金收款柜台的销售记录进行比较。
C
*4.整体测试法(ITF)
整体测试法又是称作“虚构公司法”。
这是一种对系统功能动态的审查方法,即在系统真实运行时对系统进行审查。
它根据系统使用同一应用程序处理各分公司(或部门、或其他个体)业务的原理,通过审查系统对虚构公司的测试业务处理结果来判断系统的功能是否正确。
采用整体检测法对信息系统功能进行审查的步骤如下:
(1)通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。
(2)在被审系统中建立一个虚拟公司,针对系统应有的功能,设计与虚拟公司有关的测试业务,并准备这些测试业务处理应有的正确结果。
(3)在被审系统正常运行时,把虚构公司的测试数据和被审单位的真实数据一起输入系统处理,找出系统对虚拟公司测试业务的处理结果。
(4)把系统对虚拟公司测试业务的处理结果与应有的正确结果进行比较,从而判断被审系统的处理和控制是否正确。
如果结果一致,说明系统功能正确;否则要检查差异原因,确定是否系统的功能有问题。
此方法是在系统正常处理过程中进行测试的,因此可直接测试到被审系统在真实业务处理时的功能是否正确有效。
然而,整体检测法也有弊端。
因为测试是在系统真实业务处理过程中进行的,如果未能及时、恰当的处理虚拟的测试数据,这些虚拟的测试数据可能会对被审单位真实的业务和汇总的信息造成破坏或影响。
补充:
计算机辅助审计的方法可以分为以下几种:
1.程序编码审查法
顾名思义,这种方法是直接对系统应用程序的源程序编码进行审查。
众所周知,计算机是按给他编定的程序指令运行并实现相应功能的。
如果审查证明信息系统的应用程序正确有效,则可以直接证实程序的功能正确有效,反之亦然。
采用这种方法对应用程序进行审计的步骤如下:
(1)取得与被审程序有关的得文档资料,如程序说明书、程序流程图、源程序表、与此程序有关的数据文件结构和代码表等。
(2)通过向有关人员询问及查阅文档资料了解被审程序应有的处理和控制功能。
审阅源程序表。
对较复杂的程序,根据源程序划出程序流程图活和对原有的程序流程图。
通过对源程序和程序流程图的分析,判断被审程序是否能实现预定的功能,逻辑流程有无错误,是否包含舞弊程序,最后导出审计结论。
(3)采用这种方法对应用程序进行审计的优点是审计人员审查的事程序本身,因此能发现程序中存在的任何的错弊问题。
其缺点是对审计人员的计算机水平要求高,比较费事费时,而且要注意证实被审的源程序确是真实运行程序的源程序。
2.测试数据法
测试数据法是将一卒正对系统应有功能而设计的测试数据输入被审的系统进行处理,将处理的结果与应有的正确结果进行比较,进而判断系统的处理与控制功能是否正确有效的一种系统功能审查方法。
采用这种方法对应用程序进行审计的步骤如下:
(1)通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。
(2)针对系统应有的功能涉及测试业务数据,并根据系统应有的功能准备这些业务处理应有的正确结果。
(3)在专门的测试时间里,把测试数据输入被审系统处理,得到处理结果。
(4)把实际的处理结果和预期的正确结果进行比较,进而判断系统的功能是否正确有效。
如果两者一致,说明系统功能正确;否则,要查找差异的原因,再做出判断。
测试数据法的优点是适用范围广,应用简单易行,对审计人员的计算机技术水平要求不高。
因此,它被广泛应用于各种系统的测试和验收。
其主要的缺点是可能不能发现程序中所有的错弊。
如果审计人员没有预想到程序中的某些错弊,没有针对它们设计测试数据进行测试,则这种审查方法不可能发现这些错弊。
3.受控处理法
对于一些已经投入使用的较大型网络系统,例如银行系统、ERP系统等,被审单位可能难以为审计人员专门准备一个与实际系统一样的测试环境,因而难以用测试数据法对被审系统的功能进行审计。
在这种情况下,可以采用受控处理法对系统功能进行审查。
受控处理法是审计人员通过监控系统对各类真实业务的处理并检查其处理结果,进而判断系统功能是否正确。
采用受控处理法进行系统测试的步骤如下:
(1)通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。
(2)在系统的正常运行中,审计人员监控系统对各类真实业务的处理,取得相应的处理结果;同时,审计人员根据正确的处理原则对相应的业务进行处理,得到正确的处理结果。
(3)把系统处理结果与正确结果比较,从而判断被审系统功能是否正确有效。
受控处理法的优点是简单、易行,不用准备测试数据,对审计人员的计算机技术水平要求不高。
其主要缺点是在某一时间里,真实业务可能不能覆盖系统的所有功能,用此方法可能不能发现系统存在的所有问题。
5.平行模拟法
平行模拟法又叫并行模拟法,它是通过比较被审系统和模拟系统对被审单位真实业务处理的结果来判断被审系统功能是否正确的一种系统功能的审查方法。
使用这种方法进行审计的步骤如下:
(1)通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能;
(2)审计人员取得一套具有被审系统应有的处理和控制功能、且功能正确的模拟系统。
模拟系统可以专门开发,也可以通过别的途径取得,例如购买商品化通用软件。
(3)把被审单位真实的业务数据分别输入模拟系统与被审系统进行处理,并分别得出处理结果。
(4)把两者的结果进行比较,从而确定被审系统功能是否正确。
因为模拟系统功能是正确的,如果两者结果相同,则可确定被审系统功能也正确。
如果发现两者结果不一致,要检查差异的原因,确定被审程序功能是否有问题。
平行模拟法的优点是一旦取得了模拟程序,可以随时对被审系统进行抽查,也可以用模拟系统重新处理全部的真实业务数据,进行比较全面的审查。
与抽查相比,可以进行更彻底的测试。
其主要却电视模拟系统的开发通常需要花费较长的时间,开发或购买费用都较高;而且,如果实际使用的系统更新,则模拟系统亦要随之更新,相应要增加费用。
6.程序比较法
程序比较法是一种通过把被审程序与标准程序进行比较,进而确定二者是否一致,被审程序功能是否正确的一种审查方法。
这种审计方法只能用于某系统或某应用程序的再次审计。
使用这种方法对信息系统功能进行审查的步骤如下:
(1)被审的应用程序曾被审查过且证实其处理与控制功能正确有效。
审计人员保存了一份该程序的备份,且确保没有人可以改动它。
(2)审计时,审计人员使用专门的程序比较软件来比较再用的被审程序和此备份程序。
如果两者没有差异,则可确定在用的被审程序未被改动过,功能正确。
否则,说明被审程序被改动过,需要进一步检查系统的修改是否经批准的修改维护,修改后功能是否正确。
采用程序比较法可比较两者的源程序码,亦可比较其经过编译的目标程序码。
这种方法因为比较的是程序的本身,其优点是能发现被审程序的任何改动。
其缺点是要使用程序比较软件,而且当发现两者有差异时,要进一步判断修改后的程序功能是否恰当比较困难。
7.嵌入审计程序法
嵌入审计程序是指在被审计算机信息系统的开发阶段,在被审系统中嵌入为执行特定审计功能而设计的程序。
嵌入审计程序法是指利用嵌入审计程序对系统功能进行审查的方法。
嵌在计算机信息系统中主要有两类:
一类主要是在一些特定点上对系统的处理进行实时监控的程序。
这类审计程序只要系统一运行,它就在特定的处理环节对系统进行连续监控,凡是出现满足制定条件的情况将被写进特定的审计文件中,以便审计人员进行调查分析。
另一类嵌入审计程序只有在审计人员调用时才起作用。
这类嵌入审计程序不一定仅用于对程序功能的审查,也可以是其他的辅助审计程序。
要采用嵌入审计程序法,要求审计人员在系统开发阶段就对嵌入审计程序的功能提出需求,以便在系统设计中包含了要嵌入的审计程序。
8.程序跟踪法
程序跟踪法是通过一步一步跟踪被审程序对业务的处理过程的处理结果,进而判断被审程序是否正确的程序审查方法。
除可以用专门的跟踪软件对被审程序的运行进行跟踪外,不少高级语言或数据库管理系统都有程序跟踪测试的命令,审计人员可以利用这些命令对被审程序进行跟踪。
程序跟踪法的优点是通过跟踪被审程序的运行,可确切知道程序是怎样处理的;对有错误的程序,可通过跟踪找出错误所在。
其缺点是要求审计人员熟练掌握编程语言的指示,而且进行跟踪并分析程序存在的问题一般很费事费时,所以这种方法不会用于整个信息系统应用程序的审查。
这种方法通常用于程序员对程序的调试和排错。
9.漏洞扫描与入侵检测
漏洞扫描与入侵检测适用于审查和测试系统安全性的技术方法,它利用计算机帮助检查和发现系统存在的安全漏洞及入侵的迹象。
漏洞扫描是一种自动检测远端或本地主机安全脆弱点的技术。
扫描程序集中了已知的常用攻击方法,针对系统存在的各种脆弱点,对系统进行扫描,并按统一的格式输出扫描结果,以便审查人员分析并发现系统存在的漏洞。
入侵检测指对计算机和网络资源的恶意使用行为进行识别的处理过程。
它不仅可以检测外来的入侵行为,而且可以检测内部用户XX的滥用行为。
对系统的入侵检测,可利用嵌入被审系统中的入侵检测程序执行。
一方面检测程序可以根据用户的行为和系统资源的使用情况是否出现异常判断是否发生了入侵情况。
另一方面,检测程序可根据常见的入侵模式和入侵过程的特征判断入侵是否发生。
一旦发现系统被入侵的迹象,系统将给出警告信息。
漏洞扫描与入侵检测不仅可以审查计算机信息系统应用程序的漏洞与缺陷,而且可审查包括网络和硬、软件在内的整个信息系统的安全性。
3.3. Collectdata.
收集数据。
审计证据指内部审计师在审计过程中收集的、为审计结论和审计建议提供支持的信息。
按证据来源:
i 内部证据(internal)
i 内-外证据(internal-external)
i 外-内证据(external-internal)
i 外部证据(external)
按证据的特征:
i 实物证据(physicalevidence):
指CIA通过对人.财.物和事件的直接观察和审查所获得的证据
i 证明证据(testimonialevidence):
在回答询问或面谈时所做的口头或书面的说明.
i 文件证据(documentaryevidence):
以固定形式存在
i 证据(analyticalevidence)
按审计证据的说服力程度:
i 充分信任(fullreliance)
i 部分信任(partialreliance)
i 不可信任(noreliance)
2.内部审计师关心所有存货的计价,将以下判定存货计价的审计证据按说服力从高到低顺序进行排列。
I.按单个产品计算存货周转率。
II.通过与市场部经理面谈来确定产品的可销售性,对存货周转率小于或等于2的存货项目评价其净变现能力。
III.计算所有存货产品的可变现净值(NRV)(根据最后的销售价格,用审计软件计算NRV)并将其与成本进行比较。
IV.选取存货的一个统计样本,检查最后的采购文件(发票和收货清单),以计算存货成本。
a.I、II、III和IV
b.I、IV、II和III
c.IV、I、III和II
d.II、III、IV和I
C
按审计证据的法律概念:
i 直接证据(directevidence)
i 旁证(hearsayevidence):
为证明尚待证实事情而提供的一种声明,往往不被接纳,不能通过交叉检查
i 最优证据或首要证据(bestevidenceorprimaryevidence):
如:
文件证据
i 次要证据(secondaryevidence)如:
复印件\口头证据
i 意见证据(opinionevidence)
i 附属证据(circumstantialevidence):
从首要证据中推断而来
i 确证证据(conclusiveevidence)
i 佐证证据(corroborativeevidence):
支持其他审计证据
3.3收集审计证据时应考虑的问题
Ø应该考虑收集多种类型审计证据
Ø应该考虑审计目标
Ø应该考虑风险因素,包括抽样风险和非抽样风险。
Ø应该考虑是否有利于被审计单位的上级管理部门和董事会提高对内部审计职能的认识和重视程度
Ø应该考虑被审计单位的反馈信息
Ø应该考虑应有的职业审慎性
关于“应有的职业审慎”,内部审计师应该考虑以下因素:
Ø为实现审计目标而需要开展的审计工作范围;
Ø所要保证事项的相对复杂性、重大性和重要性;
Ø风险管理、控制和治理过程的充分性和有效性;
Ø重大错误、违反规定或不守法情况的发生概率;
Ø与潜在利益相关的审计保证成本
4.4. Evaluatetherelevance,sufficiency,andcompetenceofevidence.
评估证据的相关性、充分性和适当性。
• 充分的(sufficient)是指审计证据是真实的、恰当的和有说服力的,可使一个谨慎精明的人能够得出与内部审计师相同的结论。
•可靠的(reliable)是指通过运用适当的审计技术所能得到的最好的审计证据。
•相关的(relevant)是指审计证据能够支持审计发现和审计建议,并且与审计目标相一致。
•有用的(useful)是指审计证据能够帮助组织保证:
财务和经营信息的可靠性和完整性;经营的效率和效果;资产的安全;遵循法律、规章制度以及合同。
5.5. Analyzeandinterpretdata.
分析和解释数据。
分析性审计程序的作用:
v确定各种数据之间的关系;
v确认期望发生的变化是否发生;
v确认是否存在异常变化。
u 多期比较(period-to-periodcomparisons
u 预算与实际比较(budget-to-actualcomparisons)
u 账户间内部关系分析(interrelationshipsamongaccounts)
u 与行业数据比较(comparisonstoindustrydata)
u 与经营数据的比较(comparisonstooperatingdata)
u 与经济数据的比较(comparisonstoeconomicdata)
u 与非财务数据的比较(comparisonstononfinancialdata)
P62
5.分析性程序最好归类于以下哪一项?
a.实质性测试。
b.控制测试。
c.定性检查。
d.预算比较。
A
6.6. Developworkpapers.
编制工作底稿。
作用:
→ 为内部审计报告提供主要的证据支持;
→帮助审计计划的制定、执行和检查;
→记录是否完成审计目标;
→方便第三方检查;
→为评价内部审计部门的工作质量提供依据;
→为诸如保险索赔、舞弊案件及法律诉讼等情况提供支持材料;
→帮助内部审计师的专业发展;
→证实内部审计部门是否遵守了《标准》;
→为内部审计师与被审计单位之间交换意见和探讨专业问题提供了必要的背景资料;
→有助于内部审计师在今后审计类似审计对象时,做好准备工作;
→促进了异地内部审计工作之间的协调以及职员之间责任的分配。
内容:
•计划;
•对内部控制系统的健全性和有效性所进行的检查和评价;
•执行的审计程序、取得的资料以及所得出的结论;
•审查;
•报告;
•跟踪检查。
例如:
→计划文件和审计方案;
→控制调查问卷、流程图、核对清单和叙述文字;
→调查记录和备忘录;
→组织机构的系统数据,如组织系统图和岗位说明;
→重要合同和协议的复印件;
→关于经营和财务政策的资料;
→控制系统的评价结果;
→函证和陈述的信件;
→对交易事项、处理过程和账户余额的分析和检查;
→分析性审计程序的结果;
→审计的最终报告和管理层的反馈;
→如果记载了得出的审计结论,应附有关审计证据的交流情况
手工编制的工作底稿
优点:
1、可以随时随地做记录和进行讨论;
2、因为是大家熟悉的介质,容易利用和工作。
缺点:
1、难以作出改变,需要花费较多时间;
2、当有很多卷时,不便于携带和难以传递;
3、要准备一定的地方来储存;
4、纸容易被火、水所毁坏;
5、难以进行交叉参考,并且花费一定的时间。
电子工作底稿
优点:
1、不用准备储存的地方;
2、很容易在审计师之间进行传递;
3、容易做到交叉参考;
4、很容易并且可以迅速地对底稿进行修改;
5、总的来说,节省时间;
6、利用计算机网络可以快速地在审计职员之间分享信息资料;
缺点:
1、要求进行特殊的技术培训;
2、不能在底稿上正式签名;
3、要求执行复杂的接触控制;
4、不容易与纸质工作底稿进行对比;
5、要求配备计算机;
6、很难对交