年国际内审师内部审计知识要素笔记DOC.docx

1、年国际内审师内部审计知识要素笔记DOC前 言一、CIA及其考试简介（一）关于CIACIACIA是国际注册内部审计师（CERTIFIED INTERNAL AUDITOR）的英文简称，它不仅是国际内部审计领域专家的标志，也是至今为止国际审计界唯一公认的职业资格。CIA需经国际内部审计师协会（INSTITUTE OF INTERNAL AUDITORS 简称 IIA）组织的考试取得。这个资格考试旨在考核考生们：内部审计、风险管理、公司治理、内部控制、信息技术审计、组织结构以及全球化经营环境等方面的知识理解和实际应用能力。 提示：要求考生知识面要宽广。（二）关于CIA考试2014年开始，CIA考试的

2、方式为分科闭卷考试，总共三个科目，考试语种包括中、英文两种，报考人员可任选其中一种，但在同一考试年度里三个科目不能两种语种混用。在中国大陆地区目前仍沿用传统的纸质试卷笔答涂答题卡的方式进行考试。三科的考试时间及题量如下：科目时间题量第一部分：内部审计基础知识150分钟125题第二部分：内部审计实务120分钟100题第三部分：内部审计知识要素120分钟100题每部分考试如果答案正确率达75%以上时即为合格，成绩显示为“通过”（如果是显示具体分数即是表示该科目考试不合格），考生通过全部科目的考试即可领取CIA证书。提示：（1）CIA考试试题可能会有两个甚至多个正确的答案，在考试中考生只需要选择其中

3、一个（只能选一个）您认为最优的答案就可以了。（2）CIA考试是国际性的考试，与国内传统考试有明显不同，没有所谓的教材，其考试试题在很多辅导书中找不出答案。根据前若干年考试情况分析，CIA考试由总部位于美国的IIA协会命题，每年根据大纲比率从试题库中抽题形成试卷，熟练掌握试题库是通过考试的关键。（三）第三部分内容简介第三部分内容为内部审计知识要素，内容主要包括：治理商业道德；风险管理；组织结构业务流程和风险；沟通；管理领导原则；业务持续性；财务管理；全球化经营环境。考试时长：120分钟，考试试题：100题（四）关于CIA考试机考的讲解根据国际内部审计师协会（简称IIA）对机考的有关要求，现将20

4、14年国际注册内部审计师（简称CIA）考试机考试点有关事项通告如下： 1.试点范围2014年，在北京、上海、西安3个考点进行机考试点。 2.报考平台机考模式下，考生需使用IIA开发的资格考试管理系统（简称CCMS）和Pearson VUE机考公司开发的考试预约系统。 CCMS可选择使用中文界面，但考生必须使用英文或拼音输入（仅备用地址、证书姓名两项可输入中文），否则无法正常预约考试。 3.考试时间安排申请与报考科目时间：2014年7月7日-31日。 考试时间：2014年9月15日-9月24日。 4.考试内容、科目、题量等与前述笔试的情况相同二、关于CIA课程考题形式客观选择题1. 考试试题可能

5、会有两个甚至多个正确的答案，只能选择其中一个答案。2. 最优选项考试时间120分钟1.平均每题最多72秒;2.须均衡考虑难易程度分配答题时间题目数量100道题总分值800分及格线是75%;有的题目分值高,有的题目分值低，根据题目难易程度确定及格线600分答题语言建议选择汉语需要多做练习;熟悉相应的知识点以及灵活应用第一讲治理/商业道德本讲内容在考试中占5%-15%，具体包括三个部分：公司/组织治理原则；环境和社会保障；公司社会责任。本部分内容重点是公司/组织治理原则。一、公司/组织治理原则公司是组织的一种形式，任何一种组织都需要治理。（一）公司治理概述1.概念所谓治理，就是运用权力去指导、控制

6、以及用法律来规范和协调人们利益的行为。公司治理指的是对公司的统治和支配，它决定运营的目标和方向。具体来说就是指，治理是指董事会实施的各种流程和架构的组合，用以告知、指导、管理和监督组织的活动，以实现组织目标。2.公司治理中主要关系人与公司治理相关的主要关系人包括：股东、董事会、由总经理领导的经理人员、公司员工、供应商、客户、债权人、政府和社区在内的其他利益相关者。公司治理就是要研究这些利益相关者的权利、责任及其互相关系。3.公司治理基础控制权是公司治理的基础，公司治理是控制权的实现。4.公司治理程序“监督” 和“控制” 是公司治理程序中的核心内容。公司治理程序的建立首先是以防止经营者对所有者利

7、益的背离、保护所有者的权益为目的，公司治理程序反映公司所有者对经营者的一种监督和控制机制。公司治理程序界定的不仅仅是公司所有者与经营者之间的关系，而且包括公司与所有利益相关者如公司员工、供应商、客户、债权人等）之间的关系，公司治理程序作为一种制度安排，决定公司为谁服务，由谁控制，风险和利益如何在各利益相关者之间分配等一系列的问题。（二）公司治理的基本框架1.依据：经济合作与发展组织理事会于1999年5 月通过了OECD公司治理结构原则。2.董事会在与内部审计相关的公司治理实务中，董事会的运作是核心内容。董事会负责公司战略计划的制定和实施，开展风险管理活动，坚持公司道德和价值取向，衡量和监控公司

8、的业绩，评价、任命和撤换管理层等方面的工作。有效的董事会处在公司的中心位置开展运作，积极而恰当地参与公司的各项管理工作，为管理层提供一切必要的帮助，为实现公司价值和股东价值的不断增加开展工作。 内部控制和风险管理是出色的公司治理极为重要的组成部分。出色的公司治理意味着董事会必须对企业的所有风险加以识别和管理。就风险管理而言，内部控制系统涉及运营、财务、遵守法律法规及资产安全等方面。3.内部审计在治理中发挥的作用内部审计活动必须评价并提出适当的改进建议，以改善组织为实现下列目标的治理过程：（1）在组织内部推广适当的道德和价值观；（2）确保整个组织开展有效的业绩管理、建立有效的问责机制；（3）向组

9、织内部有关方面通报风险和控制信息；（4）协调董事会、外部审计师、内部审计师和管理层之间的工作和信息沟通；（5）内部审计部门必须针对组织内与职业道德相关的目标、计划和业务，评估其设计、实施和效果；（6）内部审计活动必须评估组织的信息技术治理是否持续支持组织的战略和目标，信息技术治理包括确保企业的信息技术支持组织战略和目标的领导能力、组织架构和相关流程。（三）公司治理模型公司治理的模式主要可以分为以英美国家为代表的股东主权模式和德日国家为代表的共同治理模式，产生这两大模式差异的基础是其融资结构。公司治理的模式不同，董事会的模式与董事会独立要求也各异，董事会一般有两种模式：单轨制和双轨制。在两种模式

10、下，保持董事会独立的职责分别授权给审计委员会和监事会行使。1.股东主权模式（1）股东主权模式以英美国家的公司为代表，它是在传统的自由放任的资本主义制度下发展起来的，其特点主要表现为：公司的所有权与控制权相分离；公司的所有权与控制权较为分散；外部投资者参与公司控制的积极性不高；敌意收购的现象比较常见，收购成本较高，敌对性强；股东以外的其他利益相关者的利益难以体现；上市公司外部投资者对公司的长期投资计划限制不多；收购兼并容易形成垄断。（2）董事会的模式及独立性在这种治理模式下，董事会的模式为单轨制（也称为英美模式）,即公司的董事会为唯一的管理机构，其公司治理强调董事会的执行决策职能，董事会成员包括

11、执行董事和非执行董事（或称为独立董事，执行董事主要承担公司决策职能，而非执行董事主要承担对经营者的选择、评价和监督职能。近几年公司治理实践方面最重要的变化之一就是董事会的独立问题。为保持董事会的独立性，就需要明确董事会和高管层的权责分工，应当定期审查责任平衡，确保职能分工适合于公司的需要，避免个人权力不受约束。以避免董事会的决策权集中于个人或少数人手中，进而保证董事会运行的质量。英美国家由审计委员会执行独立监督，审计委员会应当向董事会报告。独立的审计委员会的存在已经被国际认为是良好公司治理的一个重要特征。2002年的萨班斯一奥克斯利法案（以下简称SOX）和根据该法案制定的规则要求公司审计委员会

12、仅包含独立董事,事实上，在独立董事制度相当成熟的英美国家，监督是独立董事的主要职能，在维护股东利益、防止少数人控制、提高董事会的运行质量方面发挥了相当大的作用。审计委员会的职责包括：监督公司内部审计制度及评价其实施情况；代表董事会监督和审查公司内部的财务活动以及财务信息披露的情况；审查公司的内部控制机制是否有效运行；提议聘请或更换外部审计机构；负责连接内部审计和外部审计，加强它们之间的有效沟通等。为了提高内部审计部门的独立性和客观性，内部审计部门应该直接向董事会或者审计委员会负责。2.共同治理模式共同治理模式以德日国家的公司为代表，这种模式有自己的融资结构基础，而这种融资结构是在这些国家不同于

13、英美国家经济发展道路的基础上形成的。（1）特点：公司所有权比较集中；公司所有权与控制权相互联系；公司由相关利益集团银行、股东、业务伙伴和员工）控制；敌意收购比较少见，也不受市场欢迎；所有利益相关者的利益都能够体现；外部投资者对公司的干预仅限于公司财务失败清算期间；公司内部容易形成腐败和拉帮结派。（2）董事会和监事会在双轨制模式下（也称为德日模式，公司同时设立董事会和监事会共同管理公司业务，保持监事会的独立性，强化监事会和监事的权力。完善监事义务和责任制度是发挥监事制衡的有效措施，近年来，随着公司治理运动在全球的开展，实行双轨制的国家也纷纷借鉴独立董事制度以期改善公司治理结构。一般而言，独立董事

14、主要起咨询、顾问和监督作用，各国由于传统文化、所有权结构的不同，独立董事在不同的背景下发挥不同的作用，但有一点是相同的，那就是监督制约权力。 补充阅读：董事会职责主要包括 :（1 ）制定公司的战略规划、经营目标、重大方针和管理原则 :（2 ）挑选、聘任和监督经理人员 , 并掌握经理人员的报酬与奖惩 :（3） 协调公司与股东、管理部门与股东之间的关系 :（4） 提出盈利分配方案供股东大会审议。董事会的职权也受到三个方面的限制 :（1）董事会作为公司的法定代表 , 不得从事与公司业务无关的活动 ；（2）董事会不得超出股东授予他们的权限范围行事；（3）股东大会的决议如果与董事会的决议发生冲突, 应以

15、股东大会的决议为准, 股东大会有权否决董事会决议以致改选董事会。提副总程序一般是由董事长或总经理提名，董事会通过。习题：1.下列各项中，不应该属于审计委员会的职责有（ ）。A.批准外聘会计师事务所的业务条款及审计服务的报酬 B.监察和评估内部审计职能在企业整体风险管理系统中的有效性 C.对重大的财务报告事项和判断进行复核 D.在内部审计完成后，依据有关工作目标、已实施审计程序、意见及建议编制审计报告正确答案D答案解析选项D属于内部审计部门的工作。2.甲公司是一家非上市大型企业，正在考虑设立审计委员会。下列各项关于甲公司设立审计委员会的具体方案内容中，不正确的是（）。A.在董事会下设立审计委员会

16、B.审计委员会的主要活动之一是核查对外报告规定的遵守情况C.确保充分有效的内部控制是审计委员会的义务，其中包括负责监督内部审计部门的工作。D.审计委员会应当每两年对其权限及其有效性进行复核，并就必要的人员变更向董事会报告正确答案D答案解析选项D，审计委员会应当每年对其权限及其有效性进行复核，对于人员变更并不是每两年定期报告。3.在上市公司治理实践中，董事会成员中的独立董事经常被视为重要的组成部分。保证独立董事能够行使监督职责的关键因素包括（）。A.不在该上市公司担任除独立董事之外的其他职务B.具备财务背景和丰富经验C.薪酬与该上市公司经营业绩挂钩D.与其他上市公司不存在利益关系正确答案A答案解

17、析选项A，独立董事的职责是评价，不能担任其他的职务。4.以下人员中，应当对建立和维持组织的治理程序负责的是（）。A.首席审计执行官 B.董事会C.高级经理 D.内部审计师正确答案B答案解析对建立和维持组织的治理程序负责的是董事会。5.以下内容中不属于首席审计执行官的职责的是（）。A.将内部审计活动的计划和资源需求报告高级管理层和审计委员会，以便他们审查和批准B.与其他内部或外部的审计和咨询服务提供者进行协调，确保适当的覆盖面，最大限度地减少重复工作C.监督组织风险管理系统的建立、管理和评价D.对管理层是否针对已经报告的重大风险采取了适当的行动进行跟踪检查正确答案C答案解析选项C与首席审计执行官

18、无关。6.董事会、管理层、外部审计师以及内部审计师在创建适当的控制过程中起着重要作用，高级管理层的首要职责是（）。A.建立和保持组织文化B.审核财务和经营信息的可靠性和完整性C.确保内、外部审计师有效监督风险管理和控制系统D.实施和监督由董事会设计的控制。正确答案A答案解析选项BCD都是由具体的部门和人员来做的。7.某公司首席审计执行官在对一项合同进行检查时，怀疑供应商在合同招标过程中获得不正当利益。在获知首席执行官是供应商所在公司董事会的成员之后，首席审计执行官应当（ ）。A.向包括该首席执行官在内的高级管理层提交一份报告草案B.与组织的外部审计师联系以寻求协助C.收集证明材料，向审计委员会

19、的主席报告该审计发现D.立即通知董事会正确答案C答案解析如果企业设立审计委员会的，首席执行官应该向审计委员会报告。如果没有设立审计委员会的，首席审计执行官应当向董事会报告。8.下列内容，属于股东主权模式治理的特点是（）。A.公司所有权与控制权相互联系B.公司所有权比较集中C.公司的所有权与控制权较为分散D.公司内部容易形成腐败和拉帮结派正确答案C答案解析选项ABD是共同治理模式下的特点。二、环境和社会保障本部分重要的知识点为：内部审计人员和尊重隐私权。（一）环境管理人类在长期的生产、生活活动过程不可避免的对环境造成影响。一国的严重污染和生态破坏发展到区域性的大范围污染和生态破坏，甚至演化为全球

20、性的环境问题。环境问题也成为全世界面临的重大危机之一。 1.国际环境问题的表现（1）气候变化；（2）臭氧层破坏（耗损）（3）酸雨污染；（4）生物多样性锐减；（5）淡水短缺；（6）森林破坏；（7）荒漠化；（8）海洋污染和破坏；（9）有毒化学品和危险废物越境转移。2.全球范围内的环境管理由于各个国家的法律法规不相同，组织至少须遵循其所在国家的环境、社会法律和要求。通常，组织会采取更严格的方针或政策，以及更严格的国家法律法规或组织的指导方针。（1）关于ISO14000ISO14000是国际标准化组织于1993年，在举世瞩目的联合国环境与发展大会之后，决定开始制定的标准，这是国际标准化组织针对巴西里约

21、环发大会通过的全球21世纪议程和可持续发展战略，而采取的一项具体行动措施。ISO14000系列标准包括环境管理体系、环境审计、环境评价、产品生态标志、产品寿命周期分析和产品具体环境要求等各个方面，是目前世界上最为全面和系统的环境管理的国际化标准。它吸取了世界各国特别是欧洲联盟的英国多年来在环境管理方面的经验，是各ISO成员国对人类可持续发展的贡献和结晶。ISO14000主要由环境方针、规划、实施与运行、检查与纠正措施、管理评审五大要素组成，每个大要素又可分成若干个小要素，构成建立环境管理体系的基本要求。ISO14000系列标准是通用的，既可以应用于制造业，又可用于服务业；既可用于公共部门，又可

22、用于私营部门。它本身并没有规定环境保护的水平，而是指出了环境管理体系的要求。ISO14000系列标准主要关注组织怎样使其活动对环境产生的有害影响最小化，并实现其环境绩效水平的持续提高。ISO14000环境管理系列标准已成为目前世界上最全面和最系统的环境管理国际化标准，并引起世界各国政府、企业界的普遍重视和积极响应。 ISO14000环境管理系列标准（了解）ISO14001：2004环境管理体系规范与使用指南ISO14010：1996环境审核指南通用原则ISO14011：1996环境审核指南一一审核程序一一环境管理体系审核ISO14012：1996环境审核指南一一环境审核员资格要求ISO1402

23、0：1998环境标志和声明通用原则ISO14040：1997生命周期分析原则和指南ISO14041：1998生命周期分析目标和范围界定清单分析ISO14050：1998环境管理词汇ISO导则64：1997产品标准中环境因素导则其中，组织依据ISO14001：2004环境管理体系规范与使用指南建立环境管理体系（EMS），并已通过第三方认证机构的认证成为打破国际绿色壁垒、进入欧美市场的准入证，逐渐成为组织进行生产、经营活动及贸易往来的必备条件之一。ISO14000环境管理体系包括以下内容：项高层管理当局所支持的环境政策；环境因素和重大影响的确认；法律要求和其他方面要求的确认；支持环境政策的环境宗旨

24、、目的和目标；一套环境管理方案，作用、职责和权力的定义；培训并了解程序；EMS与所有利益相关者的交流过程；文件和操作控制过程；应急反应程序；监督和测量对环境可能有重大影响的经营活动的程序；纠正不符规定的行为；纪录管理程序；一套审计及纠正措施的方案；管理当局实施检查的程序。ISO14000环境管理系列标准具有以下特点： 强调污染的预防。ISO14000系列标准体现了国际环境保护领域由“末端控制”到“污染预防”的发展趋势。环境管理体系强调对组织的产品、活动、服务中具有或可能具有潜在环境影响的环境因素加以管理，建立严格的操作控制程序，保证企业环境目标的实现。生命周期分析和环境表现评价则将环境方面的考

25、虑纳入产品的最初设计阶段和企业活动的策划过程，为决策提供支持，预防环境污染的发生。这种预防措施更彻底有效、更能对产品发挥影响力，从而带动相关产品和行业的改进、提高。可操作性强。ISO14000系列标准体现了可持续发展的战略思想，将先进的环境管理经验加以提炼浓缩，转化为标准化的、可操作的管理工具和手段。标准中没有绝对量和具体的技术要求，使得各类组织能够根据自身情况适度运用。标准的广泛适用性。ISO14000系列标准应用领域广泛，它适用于任何类型、规模、文化和社会条件下的组织，包括企业、非营利组织和政府部门。其内容涵盖了组织的各个管理层次，各类组织都可以按标准所要求的内容建立并实施环境管理体系。强

26、调自愿性原则。ISO14000系列标准的应用基于自愿原则。国际标准只能转化为各个国家标准而不等同于各国法律法规，不可能强制要求组织实施，组织可以根据自己的经济技术等条件选择采用。【例1】实务工作中，各国政府制定环境标准作为一种保障人体健康、人身、财产安全的标准，属于（）。A.强制性标准B.指导性标准C.参照标准D.普遍适用标准正确答案A答案解析由于是由各国的政府制定的标准，相当于是国家的法律法规，所以应该是强制实施的。注：环境标准不同于产品质量标准，环境标准（环境质量标准和污染物排放标准）有其独特的法规属性。环境标准属于技术法规，具有强制性，必须执行。【例2】下列属于ISO14000环境管理系

27、列标准具有的特点是（）。A.强调污染的治理B.强制性C.可操作性D.指导性正确答案C答案解析因为ISO14000标准强调的是对污染的预防，故A不对；ISO14000是一种标准，并不是法律，是自愿选择，故B不对；D选项中的指导性并不如C选项的可操作性更明确，故答案选C。 （二）隐私管理很多企业在风险管理方面面临一个极具挑战性的问题，即如何保护客户和雇员的隐私。如今，隐私保护已是一个全球性的议题。大多数企业都认识到良好的隐私控制的重要性。1.概述（1）责任者隐私管理往往是组织风险管理的一部分，其最终责任在于董事会和高层管理者。内部审计师因工作关系在隐私管理中扮演了更直接的角色。（2）隐私的定义及内

28、容实务公告“评估组织的隐私制度”中规定“隐私的定义根据组织所在国家的文化、政治环境、法律制度存在广泛的差异。相关的风险隐私信息包括：个人隐私（生理体和心理的空间隐私）不受监控沟通隐私（不受监管），信息隐私（通过其他人收集，使用和披露个人信息）”。个人信息通常是指与某个特定个人相关的信息，或能结合其他信息而具备辨识特征的信息。个人信息包括任何实际的或主观推断的信息，不论其是否记载或以何种媒介形式记载。个人信息可能包括：姓名，地址，身份证号，家庭关系；员工档案，评价，意见，社会身份地位或违纪处分；信用记录，收入，经济地位；健康状况。（3）隐私漏洞隐私是个风险管理问题，“保护个人隐私的适当控制的失败

29、会给组织带来严重的后果”。潜在漏洞普遍存在，因为隐私跨越了组织设施的许多方面。组织的网站，网络服务，信息技术系统，数据库，应用，以及与外部服务提供商和第三方的网络联系都构成了隐私问题。国际内审师红皮书实务公告2130.A1-2信息的可靠性和完整性中针对此问题的相关标准：内部审计部门必须评估下列针对组织内部治理、运营和信息系统等风险的控制的适当性和有效性。总结：获取任何个人信息都会要求内部审计师遵守关于获取或使用个人信息的法律；内部审计师有能力通过设计保护个人信息的审计程序来避免一些个人信息隐私风险。例如：在某些情况下，内部审计师可以决定不将个人信息写入业务记录”。（4）隐私法律、法规和指南 这

30、些法律往往根据管辖权的不同而不同，应咨询法律顾问，以确保合规性。实务指南“审计隐私风险”指出：良好的治理涉及识别组织的重大风险，例如，潜在个人信息的滥用、泄露和丢失，以及保证适当的控制以减小这些风险。对企业来说，良好的隐私控制的益处包括：保护组织的公共形象和品牌；保护组织的客户和员工的宝贵数据；获取市场竞争优势；遵守适用的隐私保护法律和法规；提高公信力，促进信任和信誉。对公共部门和非营利组织来说，良好的隐私控制的益处包括：维护公民和非公民的信任；通过尊重隐私保持与非营利组织的捐赠者的关系。（5）消费者隐私权的保护隐私权信息交流中心（简称PRC）是一个可以为消费者的隐私提供相关问题帮助的组织。这是一个非营利性消费者组织，为消费者提供信息和消费者权益保护。PRC的目标包括：提高保护个人隐私的警觉意识。提供保护隐私的实用技巧。让消费者采取行动保护自己的个人信息。回应消费者具体的与隐私相关的投诉并酌情提供帮助。将消费者的投诉记录在报告、证词和演讲中，使它们能够引起政策制定者、行业代表、消费者保护团体和媒体的重视。在公共政策程序中倡导保护消费者隐私权，包括立法证词、监管机构听证会、工作小组以及研究委员会。在会议、员工培训以及公民和社区团体会议中倡导保护消费者权益。（6）全球法律和指导许多国家都有隐私法，但也有的国家没有这类法律。由于国家之间的差异，