内部审计学期末复习资料.docx

1、内部审计学期末复习资料内部审计学整理人：吴双双 胡月题型：（只说是常规题型）单选、多选、判断、简答、论述、案例了解书上比较典型的小案例主要掌握内容：章节要求掌握内容题型应用第一章 内部审计概述内部审计产生与发展内部审计的定义内部审计的准则第二章 内部审计的流程与方法审计的准备阶段、实施阶段、终结与后续审计阶段的工作国际内部审计程序内部审计方法第三章 内部审计机构与人员内审外包定义、形式.内部审计机构的设置(会计分录不作要求)第四章 经营活动审计 .采购、销售、筹资投资业务流程图和表格 .人力资源管理审计第五章 内部控制审计 .内部控制的发展阶段 .92COSO和ERM目标、要素 .内部控制的概

2、念 .内部控制基本方式案例 .内部控制类型 .内部控制的责任 .内部控制审计内容 .内部控制程序和方法第六章 风险管理与公司治理审计风险管理8要素内部审计在风险管理过程中的作用风险管理审计和风险导向审计 .内部控制审计和风险管理审计公司治理审计定义、内容第八章 内部审计技术及应用经营分析（分析性复核定义）平衡计分卡维度期望值法（例题）内部控制自我评估第九章 内部审计管理 .内部审计管理概念.内部审计管理的基本内容第一章 内部审计概述1、 近代内部审计的三个阶段（1）财务会计审计阶段（20世纪50年代中期以前）（2）经营审计阶段（20世纪50年代中期-90年代初期）（3）管理审计阶段（20世纪9

3、0年代初期至现在）2、 我国内部审计发展特征： （1）外生力量推动（2）差异化发展（3）迅速走向职业化3、 内部审计定义：内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。IPPF国际内部审计专业实务框架（1）三大客体：内部控制、公司治理、风险管理（2）内容框架如图1.1强制性指南内部审计定义职业道德规范中：诚实、客观、保密、胜任职业道德规范标准和释义强力推荐指南立场公告-实务公告实务指南内部审计六个要素：（1）内部审计主体：组织内部独立的机构和人员；外包机构（2）内部审计客体：三

4、大客体内部控制、公司治理、风险管理（3）内部审计服务范围： IIA规定为确认服务、咨询服务；我国内部审计协会、审计署规定为监督与评价。 （4）内部审计目标：帮助组织增加价值，改善组织运营。（案例） （5）内部审计特征：独立性、客观性（理解、做题） （6）内部审计依据：IPPF 内容框架见图1.1;中国内部审计准则框架内部审计基本准则法定要求职业道德规范：独立性、客观性、保密性内部审计具体准则法定要求内部审计实务指南参照执行内部审计人员职业道德规范法定必须遵从执行4、 题型应用（1）内部审计目标案例内部审计如何实现增值？甲公司是一家大型外贸企业，每年的差旅费用比较大，而机票费用则占到差旅费用的三

5、分之二以上。甲公司实行定点机票采购制度，规定员工原则上应在指定票务公司购买机票。甲公司选定了A、B两家票务公司。A公司在次月15日内将上月消费明细交给甲公司财务部门审核，并统一结算票款。B公司是一家中型的民营票务公司，仅提供机票预订服务，甲公司员工从B公司购买机票，一般是在出差报销后自行与B公司现金结算票款。甲公司提出了提升成本竞争力的战略。内部审计部门根据公司战略，决定对公司差旅费用进行审计。 （2）内部审计特征理解、做题以个人的独立性、客观性为主 1100 独立性和客观性内部审计活动应独立开展，并且内部审计师在工作时应保持客观。 实务公告1120-1：个人的客观性客观性是内部审计师在开展业

6、务时必须保持的一种独立的精神状态。内部审计师不能在对有关业务事件做出判断时依附于他人的意向。v 如避免利益冲突、审核内部审计工作结果、酬金或礼物、经营责任、控制系统第二章 内部审计程序1、 内部审计程序共四个阶段（知道每个阶段做什么）（1）审计准备阶段确定审计项目，编制审计计划； 初步收集审计资料，进行审前调查； 下达审计通知书。（2）审计实施阶段进驻被审计单位，进一步了解审计情况； 描述、测试并评价内部控制制度； 收集、鉴定审计证明材料； 编制审计工作底稿； 编制审计报告。（3）审计终结阶段：整理审计阶段、建立审计档案（4）后续审计阶段：检查被审计单位对审计发现的问题所采取的纠正措施及其效果

7、，建立后续审计方案、编制后续审计报告。第三章 内部审计机构与内部审计人员1、 内审外包定义：内审外包又称内部审计外部化，指组织将其内审职能部分或全部通过契约委托给组织外部的机构来执行。2、 内部审计模式及主要类型（掌握各自优劣特点，用于案例分析）a. 单一法人企业内部审计模式 单一法人（1）董事会领导模式（2）监事会领导模式（3）高管层领导（4）财务部负责人领导（5）审计纪检监察合署办公（6）监事会高管层双重领导（7）董事会与高管层双重领导 注：（1）设在执行层由财务副总或总会计师领导下的内审尽量不选择这种组织模式，如果因条件限制无法改变组织模式的话，企业应该通过内部审计制度规定实行“上审下”

8、制度。（2）设在执行层与纪检、监察部门合署办公如果企业现有的组织模式难以更改，需要在纪检监察审计部门内部将人员职责按照工作属性进行分工，设专门的内部审计人员，并至少有一位机构负责人直接负责审计工作。补充：（1）隶属于董事会和高管层在美国上市的公司必须选择这种模式，这样才能很好地接受应SOX法案要求而开展的内部控制审计；对于准备上市的公司来说，则要先优化企业治理结构，而后才能确定是否选择这种模式。我国上市公司应该选择这种组织模式，以便今后快速与国际先进模式接轨。（2）隶属于监事会和高管层内部审计机构向监事会和高管层汇报工作。监事会高管层及董事会履行代理职责的情况及重大的决策行为。内部审计高管层以

9、下的经营管理活动。b.企业集团中内部审计机构设置与模式选择 企业集团（1）垂直管理与分级管理相结合模式（2）集中管理与分级管理相结合模式（3）分级管理与垂直管理相结合模式（4）分级管理模式（5）垂直管理模式 具体内容如下所示：（1）垂直管理模式内部审计设在总部、各层级不设，总部分区域派驻（2）分级管理模式各层级设置、服务本级管理层、上级业务指导较好适应性、独立性弱（3）分级管理与垂直管理相结合模式总部、二级设置内部审计机构，二级执行大部分业务，二级对三级派驻（4）垂直管理与分级管理相结合模式上审下、同级审并存 独立性与灵活性针对性（5）集中管理与分级管理相结合模式总部设置审计中心，控制力强、下

10、级根据需要设置。第四章 经营活动审计 材料中掌握流程、表格（见附录1）第五章 内部控制审计1、 内部控制的发展阶段：萌芽期内部牵制（20世纪初期以前） 发展期内部控制制度（至20世纪70年代） 形成期内部控制结构（80至90年代） 成熟期内部控制整体架构（90年代以来） 新发展企业风险管理框架（ERM）2、 内部控制定义：是由企业董事会、监事会、经理层和全体员工实施的、旨在实现目标的过程。3、 COSO内部控制整体框架（5个要素，3个目标）5个要素：控制环境、风险评估、控制活动、资讯与沟通、监督3个目标：营运的效率和效果(营运目标)、财务报告的可靠性（报告目标）、相关法规的遵循（遵循目标）。4

11、、 内部控制基本方式（会运用）(1)目标控制(2)组织控制(3)人员控制：对职工的思想品德、业务技能和工作能力的控制；建立技术业务的考核制度，建立管理人员业绩考核制度，建立职业道德和业务技术轮训制度，建立激励、奖惩制度，建立职务轮换制。(4)职务分离控制 业务类 授权批准与执行分离，对记录要进行审查稽核； 资产类 资产的保管与记录分离，保管与清查分离； 总账记录与明细账记录要分离，总账记录与日记账记录分离。 EDP 会计电算系统 系统分析员程序员计算机操作员资料保管员数据控制小组程序员与计算机操作员要分离，数据控制小组负责检查与监督，与系统分析员、程序员、计算机操作员、资料保管员、数据控制小组

12、相分离。 (5)授权批准控制：授权批准与执行分离 执行和记录分离 执行和审查稽核分离 (6)业务程序控制（标准化控制） (7)措施控制 案例如下：案例三、通达公司有以下一些工作：1、批准物资采购的工作；2、执行物资采购的工作；3、对采购的物资进行验收的工作；4、物资保管和发放的工作；5、物资明细帐的记录工作；6、物资总分类帐的记录工作；7、物资的定期清查工作；问题：上述工作中，哪些是不相容职务。答案：1/2,2/3,4/7,5/6,4/5、6,3/4案例四、信达公司财务科A、B、C三个会计人员，要完成以下几项工作：1、记录总帐；2、记录应付款明细帐；3、记录应收款明细帐；4、开具支票，以便主管

13、人员签章，并记载现金日记帐；5、发出销货退回及折让的贷项通知单；6、调节银行对帐单；7、处理并送存所收入的现金；上述工作中，除5、6两项工作量较小外，其余工作量大体相当。要求：假设三人能力相当，而且只需要他们做上述所列的工作。如何分配，才能达到内部控制的要求。1/2、3、4；5/3；6/4、7；4、7/2、3案例五、一家从事食品批发、兼营食品零售的商业企业，去年出现了如下错误和不法行为，指出其缺乏哪一种或多种的内控类型：1、货物发出后，向顾客收款而开具的销售发票。销售价格不对，因为在进行计算机输入时，输入了错误的销售价格。2、有一笔购货款发生重复付款，在第一次付款三周后，该公司受到供货商发货单

14、的复印件，因此有付了一次款。3、仓储员工将部分牛肉带回家（收到购入的牛肉后，仓储员工将一小部分牛肉放到自己的手提袋，其余放入公司的冰柜，然后按剩余的数量而不是按实际数量填写入库单）1、 对于错误1，应当核对和审核销售发票；2、 对于错误2、3，对于购货发票、验收单要进行授权批准控制。3、 具体的资产的安全性要进行信息质量控制；职责分离控制存在问题；要进行内部审计。案例六、音乐协会每周一至周五晚上在文化宫举办音乐会，音乐会开始前协会的一名员工在入场处把门。协会的会员出示会员卡可免费入场，非会员要花30元买一张式样统一的入场券才能入场。演出结束，把门的员工将收到的现金交出纳，出纳当面清点，将现金存

15、入保险柜。每周六上午，俩人一起将保险柜中所有的现金送存银行，收到银行存款证明作为每周登记帐目的依据。协会管理层认识到协会的内部控制需要改进，你作为一内部审计人员，指出内部控制弱点，提出改进建议。职责分离，双方资金确认，记录资金时依据什么，是否可保证，还应当核对单据，要求有银行存款证明。案例七、在对华兴公司信息系统控制审计的过程中，财务处长李红介绍以下情况：“ 我单位会计电算化是从去年下半年开始试运行，采用的红光会计核算系统是财政部鉴定批准的正版软件，经过半年的电子帐和手工帐双轨运行，通过上级部门验收，现已停止了手工帐。处内的会计人员有不同的用户名和口令。审核工作变的非常简单，只须按一下“批量审

16、核”按钮就可以对整批凭证完成审核工作，会计人员对凭证的修改和删除也十分方便，当然，审核后的凭证原制证人员就不能修改和删除。” 系统管理员何青介绍：“系统管理员的用户名和口令只有我一人知道，操作员口令是一项重要安全措施，但由于有经常出差、请假的情况，临时由他人代替本岗工作也是不可避免的，这也导致大家相互知道别人的操作口令。为了保证在出现意外事故（如起火）的情况下系统能尽快恢复，系统管理员每天用软盘对当天数据备份，并将软盘放在电脑桌的抽屉里锁好。” 审计人员还注意到室内备有灭火器、报警器、并装有防盗门。你作为一内部审计人员，指出华兴公司信息系统控制弱点，提出改进建议。针对“系统管理员的用户名和口令

17、只有我一人知道”，要求职责分离控制；针对“系统管理员每天用软盘对当天数据备份，并将软盘放在电脑桌的抽屉里锁好”的备份问题，要进行批量审核，确认功能恰当。4、 内部控制类型 （5种，要求掌握含义，会判断）预防性控制：防止错误和舞弊的发生而采取的控制。（问题未发生）检查性控制：把已经发生和存在的错误检查出来的控制。（问题已发生）纠正性控制：对那些由检查性控制查出来的问题的控制。（将问题改正过来）指导性控制：为了实现有利结果而采取的控制。补偿性控制：针对某些环节的不足或缺陷而采取的控制措施。表1.2 预防性控制和检查性控制实例预防性控制检查性控制大额支票必须有两名审核人员签名选择供应商时，要示从核准

18、的供应商目录中选择。批准付款前将发票与验收报告相核对。在付款前，审查发票数字计算是否正确。 编制银行存款余额调节表。将供应商的对账单与应付账款记录核对。实物盘点过程中密切存货积压、变质等情况。实地观察工资发放。5、 分析下列内部控制的类型(1)批准付款前将发票与验收报告相核对。（预防）(2)编制银行存款余额调节表。（检查）(3)建筑公司的总经理指导手下的项目经理雇佣建筑项目所在地的居民。（指导）(4)由于收支业务存在薄弱控制环节，公司指派独立于银行存款收支业务的人员进行银行存款的核对和调整。（补偿）(5)大额支票必须有两名审核人员签名。（预防）(6)选择供应商时，要示从核准的供应商目录中选择。

19、 （指导）(7)在付款前，审查发票数字计算是否正确。（预防） (8)实物盘点过程中密切存货积压、变质等情况。（检查）(9)实地观察工资发放。（预防）(10)计算机程序要求某些栏目不得留空，否则拒绝处理。（预防）(11)计算机中的修改程序可将错误供应商代码修改成正确的代码。（纠正）6、 内部控制责任（掌握5类人及各自责任）(1) 董事会:了解风险管理的程度; 获知风险偏好;复核风险组合观.(2)管理者:CEO对企业的风险管理最终负责, 确定风险管理的基调。(3) 风险管理员:建立并维护有效的风险管理框架，监督风险管理进度，协助报告有关风险信息。(4)内部审计人员:对管理者风险管理过程的充分性和有

20、效性进行监控、检查、评估、报告和提出改进建议。(5)其他员工:提供风险管理所需的信息或者采取必要的措施管理风险，都有责任向上报告风险。7、 内部环境审计五方面内容：(1)审计治理结构、内部机构设置与权责分配情况(2)审计企业文化建设情况(3)审计人力资源政策的制定与执行情况(4)审计内部审计机制的设立与执行情况8、 风险评估审计（一）目标设定审计要点 是否按照战略目标设定经营、报告、合规、资产安全目标 是否注意目标的层次性及补充、衔接 是否根据目标设定整体风险、业务层次可接受风险（二）风险识别审计要点 是否准确识别风险内外部因素 是否采取有效方法识别风险（三）风险分析审计要点 是否从因果两方面

21、分析风险发生的可能性和影响程度 是否采取定性、定量方法分析风险 是否根据风险发生的可能性和影响程度进行排序（四）风险应对审计要点 采取的风险回避、承担、降低、分担是否充分考虑组织风险承受能力和可接受风险水平。9、 控制活动审计（一）职责分工审计要点 是否按照科学、精简、高效的原则设置职能部门和岗位。 职责分工过程中是否充分考虑制衡要求 是否根据岗位重要程度实施岗位轮换和强制休假制度。（二）授权控制审计要点 是否明确授权范围与授权方式。 是否对金额大、风险大、重要项目实行集体决策或联签制度。 是否有XX或越权现象。（三）信息系统控制审计要点 是否建立本单位信息化控制流程 是否加强信息系统开发与维

22、护控制、访问与变更、数据输入与输出、文件存储与保管、网络安全等方面的控制。10、 信息与沟通审计（一）信息收集与加工审计要点 组织是否准确识别、全面收集内外部的财务和非财务信息 是否及时、完整获知履行职责所需信息 管理层是否重视和支持信息系统工作（二）信息沟通审计要点 是否采取多种方式沟通 受否对沟通信息进行筛选核对 是否对不当行为采取特别沟通方式 是否有开放性与外界沟通渠道 是否对不良反应或投诉积极追查和反馈。11、 内部监督审计（一）持续性监督检查审计要点 审计委员会、内部审计是否监督检查内部控制并书面报告。成员能力及地位是否适当。 受否关注特定事项（二）专项监督检查审计要点 受否属于应检

23、查内容；检查深度广度、程序、评估工具是否适当；是否详细记录检查过程和结果（三）缺失的报道审计要点 是否汇集报道内部控制缺失；方法是否恰当；是否针对原因采取更正措施12、 内部控制审计要求：（1）选择恰当的审计方式 同级审，内部控制审计的重点应该放在经营活动层面； 上审下，独立性较强，适合于对下属单位开展全面的内部控制审计。（2）正确选择审计对象与审计时间定性标准：拥有实际控制权的子公司才能纳入内部审计的范围，其他的参股公司不能纳入审计。内部审计人员以咨询者的角色进入，开展事中咨询和事后咨询，事前和过程中咨询，事后确认。（3）注意问题：审计人员只能提出建议，决策者决定是否采纳，一旦审计人员对内部

24、控制的咨询性建议被采纳，审计人员不承担经营责任。第六章 风险管理与公司治理审计1、风险导向审计和风险管理审计的联系和区别区别：风险管理审计以经营风险为客体、对象，因为风险不可控，所以只能对经营风险进行评估、控制。风险管理审计以审计风险为审计主体，关注审计人员本身的风险，审计人员在审计过程中面临的风险为可控风险。联系：经营风险中出现资金纰漏或报表重大错报，可能转化为审计风险，因此风险导向审计与风险管理审计之间有相互转化的可能性。2、内部控制审计与风险管理审计的比较（关系）表1.3比较的内容内部控制审计风险管理审计审计内容整体层面内部控制审计业务层面内部控制审计战略层面风险管理审计业务层面风险管理

25、审计审计计划更多地使用抽样方法确定更多地使用风险评估方法确定审计实施描述内部控制、符合性测试、实质性测试描述风险、测试风险、评价风险审计报告问题导向，关注牵制风险导向，关注前瞻审计方法定性定量相结合，定量评价为主定性定量相结合，定量评价为主3、 内部审计在风险管理中的角色和责任内部审计在企业风险管理过程中的核心作用是就企业风险管理过程的有效性提供确认服务和咨询服务。4、 ERM企业风险管理八大要素（1、2、6 会运用，做题）（1） 内部环境 包含组织的基调，它影响组织中人员的风险意识，是其他因素的基础。 包括风险管理理念、风险容量、董事会的监督、主体中人员的诚信、道德价值观、胜任能力、权利职责

26、、组织及开发员工的方式。（2）目标设定 在设定目标时，管理层应该考虑风险战略。战略层次的目标为经营、报告合规目标奠定基础。形成企业的风险偏好（risk appetite）风险容忍度（risk tolerance）（3）事项识别 管理当局识别将会对主体产生影响的潜在事项是风险和机会。 带来负面影响的事件代表风险，带来正面影响的事件代表机会。 管理当局要在组织的全部范围内考虑一系列可能带来风险和机会的内部和外部因素。 事项识别技术：事项目录、推进式研讨、调查问卷和调查、首要事项指标和扩大触发器、过程流动分析。（4）风险评估 风险评估使得企业了解潜在事件影响目标实现的程度。要从风险发生的可能性和风险

27、发生的影响力两个角度，结合运用定性的和定量的风险评估方法评估风险。 既要评估固有风险，还要评估剩余风险。固有风险：管理当局没有采取任何措施来改变风险的可能性或影响的情况下，一个主体所面临的风险。剩余风险：是在管理当局的风险应对之后所残余的风险。（5）风险回应 管理当局评估对风险的可能性和影响的效果，以及成本效益，选择能够使剩余风险处于期望的风险容量以内的应对。 管理当局识别所有可能存在的机会，从主体范围或组合的角度去认识风险。（6）控制活动 控制活动是保证风险应对方案以及其他企业指令得到执行的相关政策和程序；控制活动存在于整个企业，包括各个层面和各个职能；控制活动包括操作控制和一般的信息技术控

28、制。（7）资讯及沟通 管理层必须以一定的格式和时间间隔识别、捕捉和传递有关信息，以保证企业的员工能够执行各自的职责。 沟通的意义广泛，包括企业内自上而下、自下而上以及横向的沟通。 （8）监督 通过以下三种方式对ERM的其他几个要素进行监控：持续的监控活动、个别评估、两者的结合。 第八章 内部审计技术及应用1、分析法分析法复核（报表练习题，见附录2）2、平衡计分卡（1）四个维度注：关注除财务的其它指标，发现平衡计分卡更加关注未来发展。3、 期望值法（题见附录2）4、内部控制自我评估-CAS 计划阶段 确定自我评估的重点和范围 预备工作阶段 访谈，确定管理人员熟知企业及控制目标 评估目的及程序、获

29、取支持 确定参与评估的人员 确定参与评估的时间和方法 自我评估实施阶段 报告和行动方案实施阶段 内部审计人员编制控制自我评估报告(掌握前三个阶段)5、内部审计方法与技术审计情景思考1、2010年城南湿地公园假山土方堆筑和道路工程进行审计。由于假山占地面积大、图形极不规则，假山堆坡造型后，根本无法像道路工程那样可采用皮尺、测距仪等工具进行实地测量，也无法测定各点的堆土高度，使得传统的假山土方工程量审计工作一度陷入进退维谷的境地。怎么继续审计？GPS技术，大地测量，土地利用调查2、在某县退耕还林与退牧还草专向资金审计中，某县退耕还林地2017块，总面积69万亩，退牧还草围栏地663块，总面积438万亩。由于调查区域面积大，调查项目种植品种相近，运用如抽查、详查、现场观察等普通审计方法和手段无法得出正确判断，现场勘察无法查实问题。难以实现审计目标。怎么继续审计？GPS、GIS（地理信息系统），对于有关地理分布数据采集等的技术系统。3、市农业局、市农发办等部门和项目乡镇将以前年度已实施过农综项目或国土部门实施过土地整理项目的区域以旧顶新申报、再通过虚报工程量方式违规从农业综合开发专户中套取农业综合开发土地治理项目上级专项资金，对这种现象如何审计？