内部审计程序2003讲义
德信思成CIA考试研究中心
主讲师资介绍
李海风:毕业于北京大学,MBA,德信思成首席研究员
2001-2002年期间,先后受7省内审协会委托主讲CIA考试有关科目;2003年度,将在全国十余个省份主讲“内部审计程序”,先后主持并参与多家机构的管理咨询工作。
2002年度,编译出版《面向信息时代的内部审计》
2003年度,主译出版《控制自我评估》、《管理审计部门》;主译《CIA经典--内部审计程序》
研究方向:产业组织、公司治理、战略审计
联系方式:010-68948188,13910106992
邮箱:cia2002506@
授课安排
内部审计专业实务框架(PPT)
内部控制、风险管理、公司治理
业务循环
审计业务(计划、实施、监控进程、确认/分析/评价和记录信息)
管理内部审计活动
信息技术审计
舞弊
内部审计的发展
内部审计是一门以管理为导向的学科,二次世界大战后这门学科得到了迅速的发展。内部审计以往的职能主要关注财务和会计事件,现在注重组织作业活动的整体范围,并开展类别相对广泛的确认(assurance)和咨询服务。内部审计的发展受组织规模的不断扩大和分权化的影响,组织运营越复杂、技术上越是相互渗透,其结果就越需要一个独立、客观的评价和改进其风险管理、控制和治理过程的方式。
发达国家的内部审计已经历两个主要阶段,并且已处于第三个阶段的边缘,目前的内部审计正处于一个转型期,即从以往注重于控制转向注重于在审计运营流程时对风险的关注。
内部审计定义
是一项独立的、客观的确认和咨询活动。
它通过采取系统化、规范化的方法评价和改善组织的风险管理、控制及治理过程的有效性,帮助组织实现其目标。
目标:增加组织价值和改善组织的运营。
内部审计新老定义比较
例题
以下哪项是对内部审计师在组织现存的风险管理、控制以及治理过程审核目标的最佳描述:
a.帮助确定必要测试的性质、时间安排及范围,以实现业务目标;
b.确保内部控制系统的薄弱环节得到纠正;
c.为组织的目标和宗旨得以有效率和有效果地实现的过程提供合理的保证;
d.确定内部审计过程是否能确保会计记录的正确性以及财务报表的公允披露。
内部审计专业实务框架
内部审计专业实务框架(PPF
六个层次
强制性:定义、道德规范、属性标准和工作标准、实施标准
非强制性:实务公告、实务公告制定和实务目标
六个层次的适用范围
关键词
增加价值(Add Value): 组织的存在是为其业主、其他利益关系方、顾客和客户创造价值或利益。这个概念说明了组织存在的目的。价值通过组织产品和服务的开展以及为促进组织的产品和服务而使用资源的方式来提供。内部审计师在了解和评估风险而收集信息的过程中,会深刻洞察对组织极为有利的经营和改进机会。这些有价值的信息可以通过咨询、建议、书面沟通或那些可在适当的管理层和经营部门恰当沟通的其他形式表现出来。
修改稿:通过满足管理层和董事会需要、改进机会以实现组织的目标、确认运营上的改进,或通过确认服务和咨询服务来减少风险暴露,就可以提供价值。
关键词(续)
确认服务(Assurance Services):一种对组织的风险管理、控制和治理过程提供独立的评估为目的的客观检查证据的行为。例如财务审计、绩效审计、合规性审计、系统安全审计与应尽责任业务。
咨询服务(Consulting Services):顾问及相关的客户服务活动,这种服务的性质和范围通过与客户协商确定,目标是增加组织价值和改善组织运营。这类服务有商议、建议、协调、程序设计及培训等。
Consulting Services – Advisory and related client service activities, the nature and scope of which are agreed upon with the client and which are intended to add value and improve an organization’s governance, risk management, and control processes while not assuming management responsibility. Examples include counsel, advice, facilitation, process design, and training.
例题
内部审计是一项确认和咨询活动。确认服务的范例是:
A.流程设计业务;
B.协调业务(facilitation engagement);
C.培训业务;
D.合规性业务。
关键词(续)
客观性(Objectivity):是一种无偏的心理姿态,它允许(要求)内部审计师在开展业务时,对他们的工作成果持有诚实的信念,没有重大的质量妥协。客观性要求内部审计师不能把对其他事务的判断凌驾于对审计事务的判断之上。
独立性(Independence) –独立性可免于重大利益冲突,这种冲突会威胁到客观性。这种对客观性的威胁必须在单个审计师的层面、业务层面、以及组织层面得到管理。
关键词(续)
风险管理(Risk Management) – 一种设计的旨在确认、管理和控制潜在事件的流程,用于对组织的目标的实现提供合理的保证。
A process designed to identify, manage, and control potential events to provide reasonable assurance regarding the achievement of the organization’s objectives.
关键词(续)
治理过程(Governance Process):组织的利益相关人代表(如,股东等)所利用的程序,用于对管理层管理的风险和控制过程进行监督。
Governance Process – The procedures used by the governing body to provide oversight of risk and control processes administered by management.
例题:
能为组织的利害关系人代表提供的、对管理层管理的流程进行监督的最为准确的词语是:
A.治理;
B.控制;
C.风险管理;
D.监督。
解析
讨论:组织采用各种法律形式、构架、战略和程序来确保:遵守社会的法律和规章制度;满足公认的业务模式、道德规则、社会的社交期望;为社会提供整体福利,并从长期和短期来加强特定利害关系方的利益;全面真实地向其业主、管治者、其他股东和公众报告,确保组织的决策、活动、行动和业绩责任。组织选择的开展其业务的方式要满足上述四项责任,而这通常可称为治理过程。组织的治理机构(如董事会、理事会或管理委员会)和其管理高层要对治理过程的有效性负责(实务公告2130-1)。
风险管理包括组织所采取的各项活动,用于优化不确定事件的后果,这些事件会影响组织目标的实现。
监督是由管理层和其他人采用的活动组成的,用以评估内部控制系统实施质量。在当前的标准和词汇表中没有对监督作出定义。
其它的关键词
业务(Engagement):指一项特定的内部审计分工、任务或检查活动。比如,某项内部审计、自我评估检查、舞弊检查或咨询。为实现一系列特定的相关目标,一项业务可以包括多个任务或活动。
业务目标(Engagement Objectives):由内部审计师制定的概括性声明中所界定的、希望实现的业务成果。
例题
业务目标可在以下哪项中陈述:
Ⅰ.业务工作方案
Ⅱ.业务沟通(即,审计报告)
Ⅲ.业务目标声明
A.仅有Ⅰ和Ⅲ;
B.仅有Ⅰ和Ⅱ;
C.仅有Ⅱ和Ⅲ;
D.Ⅰ、Ⅱ和Ⅲ。
解析
讨论:业务目标由内部审计师制定的概括性声明中所界定的、希望实现的业务成果(词汇表)。业务工作方案要求内部审计师制定出能完成业务目标的工作方案,并应对这些工作方案予以记录(标准2240)。业务工作方案也指出了业务的目标(实务公告2200-1)。业务沟通包括业务目标、范围、适用的结论、建议和行动计划(标准2410)。包含在业务沟通中的业务目标,描述了业务目标,并可以解释为什么要开展业务以及期望实现的目标(实务公告2410-1)。
其它的关键词(续)
初步的风险评估(Preliminary Risk Assessment) – 在业务计划期间所开展的风险评估,旨在确立业务的范围和目标。
剩余风险(Residual Risks) – 在管理层采取措施减少不利事件可能性和影响(包括响应风险的控制活动)后所保留的风险。
风险(Risk) –某个事件发生的不确定性,它可能影响到目标的完成。风险根据影响和可能性来衡量。
不可接受的剩余风险(Unacceptable Residual Risk) – 在控制活动没有充分设计、没有适当实施时,或是将风险减小到一个可以接受的水平无效时,就会存在这种风险。
其它的关键词(续)
合规性(Compliance):合理保证符合并遵守组织的政策、计划、程序、法律、规章及合同的能力。
修改稿:Compliance – Conformity and adherence to policies, plans, procedures, laws, regulations, contracts, or other requirements.
其它的关键词(续)
道德规范(Code of Ethics):IIA道德规范的宗旨是在全球内部审计职业中倡导一种道德文化。道德规范对以诚信为基础、对风险、控制和治理进行客观性确认的内部审计职业而言是必要、适当的。道德规范适用于提供内部审计服务的个人和实体。
修改稿:Code of Ethics – IIA的道德规范包括与内部审计的原则与实务相关的原则,并且行为规则描述了预期内部审计师的行为规范。道德规范适用于提供内部审计服务的个人和实体。 IIA道德规范的宗旨是在全球内部审计职业中倡导一种道德文化。
其它的关键词(续)
利益冲突(Conflict of Interest):指任何事实上或表面上都不利于组织最佳利益的关系。利益冲突会有损于个人客观地履行其职责。
修改稿:利益冲突 – 由于义务或机会上的对立,使个人对组织忠诚的义务受到挑战的一种状况。A condition in which an individual’s duty of loyalty to an organization is challenged by an opposing duty or opportunity.
道德规范
目标:促进内部审计职业的道德文化建设。
适用性:适用于提供内部审计服务的个人和组织。
原则:诚实、客观性、保密性及胜任能力。
行为规则:诚实、客观性、保密性及胜任能力
道德规范原则
原则
期望内部审计师运用和信守的以下原则:
诚实
内部审计师的诚实建立起信用,从而为其判断提供了信任基础。
客观性
对于正在检查的活动和程序的信息收集、评价和沟通,内部审计师表现出最高水平的职业客观性。内部审计师对所有相关的情形会作出均衡的评估,并在形成判断时不因自身利益或他人利益而受到影响。
保密性
内部审计师尊重其所获取的信息的价值和所有权,未经适当的授权不会披露这些信息,除非法律或职业责任要求他们那样做。
胜任能力
内部审计师在开展内部审计服务时要运用所需的知识、技能和经验。
行为规则
道德规范对于内部审计行业是必要的、恰当的,它是建立在信任的基础上,对有关风险管理、控制和治理过程进行客观的确认。道德规范在两个必要的方面延伸了内部审计的定义:
1.与内部审计职业和实务相关的原则;
2.描述内部审计师预期行为规范的行为规则。这些规则的目标是将原则在实务运用中予以解释,并达到指导内部审计师的道德规范的目的。
。
例题
IIA的道德规范中的行为规则:
A.对内部审计师预期的行为规范作了描述;
B.是帮助内部审计师处理同业务客户关系的方针;
C.通过原则对其作了解释;
D.仅应用于特别提到的特殊行为。
道德规范的行为规则
诚实
内部审计师:
1.1 要诚实、审慎和尽责的开展其工作;
1.2 要遵守法律,并按法律和职业的要求进行披露;
1.3 不能故意从事任何非法的活动,或从事有损于内部审计职业或组织名誉的行为;
1.4 要尊重和致力于组织的合法地位和道德目标。
例题
在一家化学制造公司的内部审计师相信公司倾倒的有毒废弃物违反了法律。出于对公司的忠诚,审计师没有收集有关倾倒物的信息。内部审计师:
A.因有意成为违法活动的一员而违法了道德规范;
B.因没有保护一般公众的福利而违反了道德规范;
C.没有违反道德规范。在任何事件上都需要对雇主忠诚;
D.没有违反道德规范。因为没有收集有关违例事件的信息。
解析
讨论:行为规则禁止内部审计师有意成为违法活动的一员。内部审计师应披露其所知道的任何重要的事实,如果不披露,可能会歪曲他们所报告的审核活动(行为规则)。内部审计师还明显没有审慎地开展其工作(行为规则)
答案B不正确,IIA的道德规范没有强加对公众的责任;答案C不正确,内部审计师不应以任何方式使用信息以损害组织的合法地位和道德的目标(行为规则),并要尊重和致力于组织的合法地位和道德目标(行为规则)。不过,非法倾倒有毒废弃物既不是合法的,又不是道德的;答案D不正确,内部审计师应根据内部审计专业实务标准收集和报告这类信息。
道德规范的行为规则(续)
客观性
内部审计师:
2.1 不应参与或有任何可能会损害,或据推测会损害其无偏评估的任何活动或关系。这种参与包括那些可能会与组织的利益有冲突的活动或关系;
2.2 不应接受可能会削弱,或据推测会削弱其专业判断的任何东西;
2.3 应披露其所知道的任何重要的事实,如果不披露,可能会歪曲他们所报告的审核活动。
例题
首席审计执行官被任命参加一评价外部审计师应聘资格的委员会。承担外部审计的会计师事务所业务合伙人邀请首席审计执行官一起到其私人狩猎场打猎一周。该首席审计执行官应当:
A.接受,理由是他们双方的有关条文均允许;
B.拒绝,鉴于双方的利益冲突;
C.只要不占用工作时间就可以接受;
D.询问主计长,这样做是否违背公司的道德规范。
解析
讨论:根据行为规则,“内部审计师不应参与或有任何可能会损害,或据推测会损害其无偏评估的任何活动或关系。这种参与包括那些可能会与组织的利益有冲突的活动或关系。”此外,根据行为规则,“内部审计师不应接受可能会削弱,或据推测会削弱其专业判断的任何东西”。
道德规范的行为规则(续)
保密性
内部审计师:
3.1 应谨慎地使用和保护其在工作过程中所获得的信息;
3.2 不应将信息用于任何个人的利益,或以任何方式违反法律,损害组织的合法地位和道德目标。
例题
首席审计执行官采取的以下哪项活动在IIA的道德规范内可看作是在职业上是道德的:
A.首席审计执行官决定拖延对分部的审计,以便分部经理(审计执行官的亲戚)有时间将“有些事情进行整理”;
B.为节约公司资源,首席审计执行官以所有助理人员都是新人,不会从培训中受益为由,取消了所有助理人员未来2年的培训;
C.为节约公司资源,首席审计执行官限制了对国外分部的审计程序,以便从国外经理处证实没有发生主要的人事变动;
D.首席审计执行官拒绝向作为业主之一的父亲提供有关公司的经营信息。
解析
讨论:根据IIA的道德规范的行为规则,“内部审计师应谨慎地使用和保护其在工作过程中所获得的信息。”根据行为则,“内部审计师不应将信息用于任何个人的利益,或以任何方式违反法律,损害组织的合法地位和道德目标。”因此,在内部的商业规则下,首席审计执行官使用公司的经营信息可能是非法的。
答案A不正确,根据行为规则,“内部审计师要诚实、审慎和尽责的开展其工作。”;答案B不正确,根据行为规则,“内部审计师应不断提高其服务的熟练性、效率和质量”;答案C不正确,根据行为规则,“内部审计师应根据内部审计专业实务标准开展内部审计服务”。标准要求辅助信息要充分、可靠、相关和有用。
道德规范的行为规则(续)
4.胜任能力
内部审计师:
4.1 仅应该从事那些其己具备了必要的知识、技能和经验的服务;
4.2 应根据内部审计专业实务标准开展内部审计服务;
4.3 应不断提高其服务的熟练性、效率和质量。
例题
公司新近任命原经营经理出任首席审计执行官。新任的审计执行官既不是注册内部审计师,也不是IIA的成员。内部审计活动的工作是严格按照审计执行官的要求开展的,而非IIA的标准。4名助理内部审计人员都是IIA的会员,但都不是注册内部审计师。依据IIA的道德规范,助理审计人员的最佳行动方案是:
A.鉴于他们都不是注册内部审计师,因此不需要遵守职业道德规范;
B.应遵守内部审计专业实务标准;
C.必须尊重组织的法律地位和道德目标,可忽视内部审计专业实务标准;
D.必须辞去他们的工作以避免不恰当的活动。
解析
讨论:IIA的道德规范的行为规则指出,“内部审计师应根据内部审计专业实务标准开展内部审计服务。”鉴于助理审计人员都是IIA的会员,因此尽管他们不是注册内部审计师,但还应遵守IIA的道德规范。
答案A不正确,IIA的会员、IIA职业资格的接受者或报考者以及那些在内部审计定义范围内提供内部审计服务的人员要遵守IIA的道德规范;答案C不正确,内部审计师应尊重并致力于组织的法律地位和道德目标,但IIA的会员、IIA专业资格的持有人或注册候选人如没有遵守标准要承担纪律上的处分;答案D不正确,IIA的道德规范从来没说辞职就能回避不恰当的活动。
例题
在审计中,审计师发现一个从事研究开发工作的雇员,一直在申请一些与本公司基本业务无关的新开发的专利权。虽然公司没有具体的政策来规范这种行为,但总的方针是雇员的一切新研究成果都是公司的财产。鉴于该雇员在其工作领域有极高的声望,因此他所属的部门对其行为从宽处理,并以此作为激励,希望他继续为公司多做贡献。对于以上情况,如果审计师作出不予报告的决定,那将会:
a.违背了职业道德规范;
b.违背了专业实务框架(PPF)中有关报告的要求;
c.是合理的。因为部门管理人员清楚地知道这一行为,并且它不违背公司的政策;
和b。
内部审计专业实务标准(SPPIA)
内部审计活动是在一种多样化的环境和组织中进行的。因而,这些活动可以由内部人员开展,也可以外包出去。这些差异对每种环境和组织的内部审计实务都会产生影响。不过,对于提供内部审计服务的实体机构和个人而言, SPPIA是一定要遵守的。当然,为弥补实务的差异性,SPPIA的语言涵盖的内容很宽泛,并且更为具体的指南留待其他声明来解决。
根据IIA的要求,SPPIA要达到:
a. 对应该能够代表内部审计实务的基本原则进行表述;
b. 为开展并促进广义范围的价值增值型的内部审计活动提供框架;
c. 为内部审计工作业绩的评定确立基础(建立依据);
d. 扶持经改进的组织流程和业务。
例题
当前的内部审计专业实务标准的一个目标是:
A.鼓励内部审计的专业化;
B.建立内部审计活动的独立性,强调内部审计的客观性;
C.鼓励外部审计师更多的采用内部审计师的工作;
D.为考评内部审计工作确立基础(建立依据)。
内部审计专业实务标准(续)
SPPIA包含属性标准(目前是1000-1340)、工作标准(目前是2000-2600)以及实施标准(综合了其他标准)。属性标准关注开展内部审计活动的组织及人员的特点。工作标准描述了内部审计活动以及用于评定内部审计活动业绩的标准。属性标准和工作标准为所有内部审计活动(确认、咨询和其它服务)提供了指导意见。
a. 实施标准将其他的标准运用到具体的业务中。因此,不同类型的实施标准可分别向内部审计活动的主要类别发布。比如,IIA针对确认服务(如)和咨询服务(如)已发布了最终的实施标准。
为何要制定新的标准
老标准中没有涵盖以下的业务,或是涵盖的不充分,或是与最佳实务与冲突,有些老标准已过时。
Consulting vs. Assurance Services
E-Commerce/Technology
Independence vs. Objectivity
Control Self-Assessment
Corporate Governance
Risk Management
Compliance Requirements
属性标准(Attribute standards)
属性标准是组织和个人实施内部审计服务的属性
对于所有的审计服务,属性标准都适用于:
1000 -- 目标、权限和责任
1100 -- 独立性和客观性
1200 -- 熟练性和审慎性
1300 -- 质量保证和改进方案
属性标准之目标、权限和职责
内部审计的目标、权限和责任应该是恰当的,以便内部审计活动实现其目标。因为这个原因,内部审计的目标、权限和责任应该在书面的章程中规定,并定期给予再评估。
1000 目标、权限和职责--内部审计活动的目标、权限和职责应在章程中正式界定。这种界定应与标准相一致,并且需经董事会的批准。
实务公告1000-1:内部审计章程
审计活动的目标、权限和职责应在章程中界定。首席审计执行官应征得管理高层对章程的批准以及董事会、审计委员会和相关的管制部门对章程的认可。章程应该(a)确立内部审计活动在组织内的地位;(b)授权审计人员接触与开展业务工作相关的记录、人员和实物财产;(c)界定内部审计活动的范围。
例题
在应付账款工作的审计过程中,内部审计师计划与供应商联系以便核实账款余额。对这类与组织外部单位的联系是在何处进行授权的:
A.内部审计活动的政策与程序;
B.内部审计实务专业实务标准;
C.内部审计道德行为规范;
D.内部审计活动的章程。
解析:政策与程序引导内部审计师始终如一地遵守内部审计活动的工作标准;内部审计活动的权限是在经董事会批准的章程中界定的;职业道德规范的目标是促进内部审计职业的道德氛围。
例题
内部审计活动章程中应包含以下哪项权限要素:
A.确定要开展审计的组织部门;
B.确定应向审计委员会披露类型;
C.接触与绩效审计有关的记录、人员和实物资产;
D.接触外部审计师的业务记录。
例题
内部审计师计划对质量保证工作的有效性进行审计,由于该工作涉及商品的验收、投入生产以及与次品相关的废料成本。业务客户认为这类审计不在内部审计活动的范围之内,而是质量保证部门的管辖范围。审计师对此的最佳反应是:
A.查阅内部审计活动的章程与已批准的业务计划,该计划指定了当期要评价的业务范围;
B.鉴于质量保证是一项新工作,让管理层作为协调人批准业务范围的确定;
C.在开始审计前指出,这项业务只是检查质量保证工作是否与经批准、已设立的标准一致;
D.由于审计客户不合作,这项业务没有成效,应当终止。
解析
讨论:内部审计活动的目标、权限和职责应在章程中界定(标准1000)。除此之外,章程也应界定内部审计活动的范围。此外,首席审计执行官应在每年将内部审计活动关于工作安排、人员配备和财务预算等方面的总结报管理高层审批,报董事会参考(实务公告2020-1)。
答案B不正确,业务客户不能确定保证业务类型的范围。由客户所强加的范围限制可能会妨碍内部审计活动实现其目标;答案C不正确,管理层和内部审计师可以确立其他的目标。这项业务不应被质量保证部门设定的标准所限制,但在业务方案的制定中应考虑这些标准;答案D不正确,内部审计师应开展这项业务并与管理层与董事会沟通任何范围限制。
例题
内部审计师可以提供能够增值且改进组织的经营的咨询服务。这些服务的开展:
A.会损害内部审计师的客观性,在审计师卷入相同业务客户的确认服务时;
B.会排除确认服务从咨询业务中产生的可能;
C.应与章程中反映的内部审计活动的权限保持一致;
D.没有强加同业务客户沟通信息的责任。
解析
讨论:根据标准,在审计章程中应界定咨询服务的性质。在传统意义上,内部审计师开展多种形式的咨询服务,如:对建立于现有系统的控制的分析、对安全产品的分析、服务于特别任务小组以便分析经营业务并提出建议,等等。董事会(或审计委员会)应该授权内部审计活动开展其他一些服务,只要这些服务不引起利益冲突,也不影响内部审计活动对审计委员会的责任。这种授权应在内部审计章程中反映出来(实务公告-1)。
答案A不正确,咨询服务不一定会损害客观性。确定是否执行咨询服务结果的建议是由管理层作出的。因此,管理层的决策不会损害内部审计师的独立性;答案B不正确,确认服务与咨询服务并不是相互排斥的,服务的一种类型可以由另一种服务类型产生;答案D不正确,内部审计的首要价值是为管理高层与审计委员会提供保证。如果咨询服务掩饰了首席审计执行官认为应向执行高层及董事会成员表述的信息,这项服务就无法开展(实务公告-1)。
属性标准之独立性与客观性
1100 独立性和客观性- 内部审计活动应独立开展,并且内部审计师在工作时应保持客观。
实务公告1100-1:独立性和客观性
1. 内部审计师在他们能自由、客观地进行工作时是独立的。独立性可使内部审计师作出公正、无偏的判断,这对业务工作的恰当开展是必不可少的。独立性要通过组织的地位和客观性来实现。
属性标准之独立性与客观性(续)
1110 组织的独立性- 首席审计执行官应直接向组织内的高层人员报告,从而保证内部审计活动的开展。
实务公告1110-1:组织的独立性
- 在确定内部审计的范围,开展审计并沟通业务结果时,内部审计活动不应受到干扰。
实务公告-1:披露要求获取信息的原因
1.有时,业务客户与其他各方可能会要求内部审计师解释其索要的文件与业务有何相关。在开展业务时,审计师应该根据具体情况确定是否披露索要文件的原因。重大的违规情形的存在可能会表明审计环境不够公开,不利于正常合作业务的开展。不过,这需要首席审计执行官根据具体的情况作出判断。
实务公告 1110-2: 首席审计执行官的报告层面
例题
内部审计师在对分部的采购控制进行评价时,首席采购代理商询问为何索要含有与特定的供应商交易的记录。内部审计师作出的恰当反应是:
A.将这个询问作为审计范围限制;
B.向代理商解释其信息要求的原因,以促进与业务客户的合作;
C.拒绝对代理商的信息要求作出解释,以保持审计程序的完整性;
D.在确定是否向代理商披露其信息要求前考虑具体的环境状况。
属性标准之独立性与客观性(续)
1120 个人的客观性- 内部审计师应持公正、无偏的态度,并且避免利益的冲突。
实务公告1120-1:个人的客观性(P67)
1130 独立性和客观性的削弱- 如果独立性和客观性在实质上和形式上受损,受损的细节应向适当的当事人披露。披露的性质将取决于受损情况。
实务公告1130-1:对独立性或客观性的损害
实务公告-1:评估内部审计师以前负责的经营工作
实务公告-2:内部审计师对其他(非审计)工作所负有的职责
例题
以下哪种情况说明内部审计师可能缺乏客观性:
A.一个与主要客户相连结的新的电子数据交换程序运行之前,内部审计师对其进行检查;
B.前任采购助理调入内部审计部门4个月后,对采购业务的内部控制进行检查;
C.内部审计师建议制定控制和业绩考核标准,以便评估与某服务组织签订的处理工资和雇员津贴的合同;
D.编制工资单的会计职员,协助内部审计师确认小型电动机的实际库存量。
解析
讨论:对于借调或临时聘用的人员,只有在借调或聘用一段合理的时间之后(至少1年),内部审计活动才能分配他们参与审计他们以前曾经负责的经营领域,否则将损害客观性。如果任务已经如此分配,则需要在监督业务工作和沟通业务结果时格外小心(实务公告-1)。然而,内部审计师可以对他们以前负责的相关业务提供咨询服务()。如果内部审计师在被请求提供咨询服务时,相关的独立性和客观性上存在受损的可能性,在接受业务前应向客户披露()。
例题
内部审计师近期接到一个来自于营销部门经理提供的周末免费使用海滨度假的提议。目前内部审计活动不会对营销部门实施审计,而且也不在计划安排中。内部审计师:
A.应该拒绝这个提议,并向恰当的领导报告;
B.可以接受这个提议,由于这个提议的价值是非实质性的;
C.可以接受这个提议,由于没有开展或计划对营销部门的业务;
D.如果得到了适当的领导批准,就可以接受这个提议。
解析
讨论:内部审计师接受公司雇员、客户、顾客、供应商或有工作关系的人员的酬金或礼物都是不道德的。审计师的客观性可能出现因接受酬金或礼物而受损的表象。这种表象不论在审计师目前的或未来的业务开展中都有可能出现。业务状况不应该成为接受酬金或礼物的理由。接受一些一般公众都能得到的或价值极小的宣传品(例如钢笔、年历或样品等)不应该妨碍内部审计师的专业判断。如果有人提供数目很大的酬金或贵重的礼品时,内部审计师应立即向领导报告(实务公告1120-1)。
例题
当面临强加的审计范围限制时,首席审计执行官应该:
A.直到审计范围限制消除后才实施审计;
B.将范围限制的潜在影响与董事会下属的审计委员会沟通;
C.对于审计范围受限的业务要多加审计;
D.对此审计业务安排更有经验的人员
解析
讨论:业务范围的限制是对内部审计活动的一种限制,该界限妨碍审计活动实现其目标和计划。范围界限可能限制:章程中所规定的业务范围;在内部审计活动中,接触与开展业务相关的记录、人员和实物资产;经批准的业务工作安排;必要的业务程序的实施;经批准的人员配备计划和财务预算。最好以书面形式向董事会、审计委员会或其他相关管制部门报告业务范围的界限及其潜在影响(实务公告1130-1)。
例题
内部审计师必须能够仔细地区分范围限制和审计中的其他限制的区别,以下哪项不属于范围限制:
A.业务客户的分部经理表示该分部正在对一个主要的计算机系统进行转换,并表示对信息系统的这部分已计划的审计业务要推迟到下一年进行;
B.审计委员会检查了当年的审计工作安排,删除了首席审计执行官认为很有必要实施的审计项目;
C.业务客户表示某些客户不能联系,因为组织正在与这些客户就一项长期合同进行谈判,他们不希望客户受到干扰;
D.以上三项都不是。
例题
内部审计部门最近刚调来一位职员,其被指派去审计应收账系统。该审计师以前的哪项职责会对这项任务造成利益冲突:
a.检测坏账准备的情况;
b.为处理重复付款编写有关程序;
c.为下属职员签署出勤卡;
d.审查货运单据是否准确。
属性标准之熟练性与应有的职业审慎性
1200 熟练性和应有的职业审慎性—审计师在开展业务时应保持熟练性和应有的职业审慎。
实务公告1200-1:熟练性与应有的职业审慎性
1.首席审计执行官与每位内部审计师有责任确保其在专业上的熟练程度。首席审计执行官应该确保安排到各项业务的人员都能掌握适当开展业务所需的知识、技能和其他的胜任能力。
2.内部审计师应该遵守专业行为标准。IIA的《职业道德规范》超出了内部审计定义,并包括以下两项主要内容:
(1)与内部审计职业以及内部审计实务相关的原则—特别是,诚实、客观、保密与胜任能力;以及
(2)行为标准说明了期望内部审计师遵守的行为规范。这些规则旨在帮助将上述原则解释成实际可行的应用内容,并指导内部审计师的道德行为。
属性标准之熟练性与应有的职业审慎性(续)
1210 熟练性--内部审计师应具备履行其职责所需的知识,技能和其他的胜任能力。内部审计活动应在总体上具备或获取履行其职责的知识、技能和其他的胜任能力。
实务公告1210-1:熟练性
- 如果内部审计人员缺乏履行全部或部分业务的知识、技能或其他胜任能力,首席审计执行官应取得胜任的建议和帮助。
实务公告-1:取得有关服务以便支持或补充内部审计活动
- 内部审计师应具有充分的知识以识别舞弊的迹象,但不能期望内部审计师具备与专门负责检查和调查舞弊的专家的相同的能力。
- 如果内部审计职员缺乏履行全部或部分业务的知识,技能或其他胜任能力,首席审计执行官应谢绝咨询业务,或者获取专家的建议和帮助。
例题
内部审计师需要精通以下哪个学科:
A.内部审计程序与技术;
B.会计原则与技术;
C.管理原则;
D.营销技术。
属性标准之熟练性与应有的职业审慎性(续)
1220 应有的职业审慎性- 内部审计师具备的审慎和技能,应符合对内部审计师的合理谨慎及专业能力的期望。职业的审慎性不意味着一贯正确。
实务公告1220-1:应有的职业审慎性
- 内部审计师应通过考虑下列事项行使应有的职业审慎:
为完成业务的目标所需要的工作范围;
运用于确认程序的事件的相对复杂性、重大性或重要性;
风险管理、控制及治理过程的充分性和有效性;
严重错误、违规及不守法的可能性;
有关潜在利益方的确认服务成本。
- 内部审计师应对可能影响目标、经营及资源的重要风险保持警觉。然而,即使开展保证程序时保持了应有的职业审慎,保证程序自身并不能识别所有重大风险。
- 内部审计师在咨询期间应通过考虑下列事项行使应有的职业审慎:
客户的需要和期望,包括业务结果的性质,时间的安排及沟通;
为达到业务目标所需的工作的相对复杂性及范围;
有关潜在利益方的咨询服务成本。
例题
内部审计师怀疑财务报表可能存在潜在的误报情形,但缺乏可靠证据。审计师采取以下哪项行为将会违背应有的职业审慎原则:
A.辩明错误可能存在的方式并将其列作审计调查的内容;
B.将这一疑点告知审计经理并寻求如何开展审计的建议;
C.不对可能的误报进行测试,因为审计业务工作方案已通过审计管理层的批准;
D.未经业务客户同意就扩大审计工作方案,以确定误报发生的最可能情形。
解析
讨论:应有的职业审慎性要求内部审计师具备谨慎态度和技能,人们期望具有合理地谨慎且有能力的内部审计师在相同或类似情形下都能达到上述要求(实务公告1220-1)。由于修订审计工作方案会反映正在变化的状况,如果内部审计师仅仅因为审计工作方案已经批准就不调查受怀疑的误报情形,就会违反应有的职业审慎原则。
答案A和B不正确,列出可能发生的误报并寻求建议与应有的职业审慎原则是相一致的;答案D不正确,内部审计师不需要业务客户的批准就可以扩大审计工作方案。
例题
以下哪项有关审计师的应有的职业审慎性的陈述是准确的:
A.内部审计师在沟通业务结果之前应该开展详细的测试;
B.在内部审计师绝对确信某项内容时,才可以在业务沟通中提及该项内容;
C.绝不应该将业务沟通看作是对有关内容提供了绝对正确的事实;
D.内部审计师没有责任对改进提出建议。
解析
讨论:应有的职业审慎性意味着合理的谨慎和能力,而不是永不出错或永不出现反常工作表现。应有的职业审慎性要求审计师在合理程度上开展检查和核证工作,但不要求对所有交易进行详细检查。相应地,内部审计师不可能绝对保证组织不存在违规或违规。此外,无论何时开展内部审计工作,审计师都应该考虑存在重大违规或违规现象的可能性(实务公告1220-1)。
答案A不正确,内部审计师应该开展合理的检查与核证工作,但不需要对所有交易进行详细测试;答案B不正确,内部审计师不需要也不可能作出绝对的保证;答案D不正确,内部审计师应该提出改进建议,以促进对可接受的程序与实务的遵守。
例题
内部审计师在审计期间没有发现员工的舞弊行为。以下哪项结果表明内部审计师很可能违反了专业实务标准:
A.没有对审计范围内所有交易的业务开展详细的检查;
B.确定审计范围内任何可能的舞弊都没有包括重大的金额;
C.确定审计范围内扩展审计程序的成本会超出潜在的收益;
D.假定审计范围内的内部控制是充分、有效的。
属性标准之熟练性与应有的职业审慎性(续)
1230 持续的职业发展--内部审计师应通过持续的职业发展来加强自己的知识、技能和其他的胜任能力。
实务公告1230-1:持续的职业发展
1. 内部审计师有责任继续接受教育,保持其专业水平。他们应该不断了解内部审计标准、程序和技术等方面的改善和最新发展。内部审计师可以通过参加专业协会、获得专业协会会员资格,参加会议、研讨会、大学课程、单位内部培训项目以及参加研究项目等途径获得继续教育;
2. 鼓励内部审计师通过获得恰当的专业资格证书(如:注册内部审计师头衔和其他国际内部审计师协会授予的头衔)来展示其专业水平;
3. 拥有专业资格证书的内部审计师应获得充分的继续职业教育,来满足与所持专业资格证书相关的要求。
4. 鼓励目前尚未拥有专业资格证书的内部审计师参加能够帮助他们获取专业资格证书的教育项目。
例题
内部审计师为保持其熟练性有责任继续其教育。有关从事审计工作的内部审计师的继续教育规定,以下哪项陈述是正确的:
A.内部审计师被要求每年接受40小时的继续职业教育并且三年内不能低于120小时;
B.为继续保留CIAs资格,必须达到有关注册内部审计师的那些正式要求;
C.作为官员或委员会成员参加正式的IIA会议,没有达到后续职业发展的标准;
D.只有在远程学习方案经IIA事先批准时,该方式才能达到后续职业教育的要求。
属性标准之质量保证与改进方案
1300 质量保证和改进方案--首席审计执行官应制定和保持一个涵盖内部审计活动所有方面的质量保证和改进方案,并持续监督其有效性。这一方案的设计应有助于增加内部审计活动的价值,改善组织的经营,并确保内部审计活动符合标准及道德规范的要求。
修改稿:
首席审计执行官应制定和保持一个涵盖内部审计活动所有方面的质量保证和改进方案,并持续监督其有效性。这个方案应包括定期的内部与外部质量评估和持续的内部监控。对方案每一部分的设计都要有助于内部审计活动增值并改进组织的运营,以及对内部审计活动与标准和道德规范保持一致提供保证。
1310 质量方案评估- 内部审计活动应包括监督和评估质量方案整体有效性的程序。这一程序应包括内部评估和外部评估。
实务公告1310-1:质量方案评估
属性标准之质量保证与改进方案(续)
1311 内部评估- 内部评估应该包括:
不断对内部审计活动的工作进行复核;
通过自我评估,或由组织中的其他具备内部审计实务知识及了解标准的人进行定期复核;
实务公告1311-1:内部评估
1312 外部的评估- 外部的评估,如质量保证检查,应至少每5年开展一次,由合格的、组织外部的独立检查人员或检查小组来进行。
实务公告1312-1:外部评估
1320 报告质量方案- 首席审计执行官应将外部评估的结果告知审计委员会。
实务公告1320-1:报告质量方案
1330 运用“遵循标准”声明- 鼓励内部审计师声明他们的活动“遵循了内部审计实务标准”。然而,只有在对质量改进方案的评估证实内部审计活动与标准相一致时,内部审计师才可以运用这种声明。
实务公告1330-1:运用“遵循标准”声明
1340 披露违规行为-
工作标准(Performance Standards)
描述了内部审计服务的性质。
提供了一个质量标准,以便所开展的服务工作能够得到评定。
2000 --管理内部审计活动
2100--内部审计服务的工作性质
2200 --业务规划
2300 --实施业务
2400 --沟通结果
2500 --监控进程
2600 -- 风险的接受管理
工作性质
2100 工作性质—内部审计活动评价并帮助组织改进风险管理、控制和治理体系。
实务公告2100-1:工作性质 (书11页)
内部审计工作的范围包括应用系统化、规范化的方法来评价和改进风险管理、控制和治理过程的充分性和有效性,以及履行所分派职责的工作质量。评价组织现有的风险管理、控制和治理过程的充分性旨在合理的确保这些程序按预期运行,使组织的目标和目的得以实现,并为改进组织的经营状况提供建议,以实现高效率有成效的经营。管理高层和董事会也可以对审计工作的范围和被审计活动提供常规指导。
工作性质(续)
如果管理层在某种意义上已经计划和设计了风险管理、控制和治理过程,能够为经济、有效率地实现组织的目标和目的提供合理的保证,那么,风险管理、控制和治理过程就是充分的。有效率的工作是指准确、及时和经济地实现组织的目标和目的。经济的工作是指根据风险程度用最少的资源(如,成本)实现组织的目标和目的。如果在设计和实施阶段采纳大多数的成本效益考评方法旨在降低风险并将预期的偏差限制在一个可容忍的水平,那么就为组织提供了合理的保证。因此,设计过程始于组织目标和目的的建立,并按一定方式将概念、角色、各项活动和人员与经营相联系,以便实现既定的目标和目的。
例题
以下哪项是对内部审计活动评价组织现存的风险管理、控制与治理过程充分性的目标的最佳描述:
A.帮助确定必要测试的性质、时间安排及范围,以实现业务目标;
B.确保内部控制系统的重大薄弱环节得以纠正;
C.确保风险管理、控制和治理过程是否为组织的目标和目的得以高效率、经济地实现提供合理的保证;
D.确定风险管理、控制和治理过程是否确保会计记录的正确性以及财务报表的公允披露。
工作性质(续)
在管理层提供指导的方式能够确保组织的目标、目的得以实现时,风险管理、控制和治理过程就是有效的。除了完成组织的目标和计划的活动,管理层还通过授权活动和处理事务、监督业绩、核实组织的流程按设计运行等工作来开展指导工作。
例题(P39-16)
内部审计活动评价现存风险管理流程的有效性的目标是要确定:
A.管理层已计划并设计了风险管理流程,以便为实现组织的目标和目的提供合理的保证;
B.管理层指导风险管理流程以便为实现组织的目标和目的提供合理的保证;
C.组织的目标和目的会高效率地、经济地实现;
D.组织的目标和目的以准确、及时的方式实现,并且使资源的使用最小化。
工作性质(续)
广义地讲,管理层既要对整个组织的可持续发展能力负责,又要对组织的活动、行为作出解释,同时还要对业主、利益关系方、管理机构、普通公众负责。整个管理流程的主要目标是要实现:
财务和经营信息的相关性、可靠性和可信性;
高效率有成效地使用组织资源;
组织资产的安全防护;
遵守法律、规章、道德和业务规范及合同;
确认风险因素并利用有效的策略控制它们;
为经营或方案制定目标和目的。
治理
内部审计活动应通过评估和改善组织的治理过程来对该过程起作用,其评估和改善对象为: (1)价值和目标已经设定且得到沟通;(2) 目标的完成情况受到监控;(3) 责任得到确定;(4)价值得到保留。
- Internal auditors should review operations and programs to ensure consistency with organizational values.
治理(修改稿)
2130 – 治理
与组织的架构相一致的内部审计活动应通过积极的评估管理层和董事会履行以下的职责,来促进治理过程:
评估和提倡组织内的浓厚道德规范和价值;
评估和改进能确保受托责任的流程;
评估对组组内有关重大的剩余风险的沟通的适当性;
帮助改进董事会与管理层和外部审计师、内部审计师的相互交流;
充当业务和管制环境的有关变革和趋势的教育性资源。
公司治理(续)
公司治理问题对于许多组织来说,始终是一个两难的选择。IIA对这个问题的介入,来自于内部审计的新定义,并首次明确内部审计活动通过系统、规范化的方法评估和改善风险管理、控制及治理过程的有效性。如果说,风险是组织活动的来源,则公司治理是组织应对风险的战略反应,其职责就是确保有效的风险管理方案的适当性。
内部审计有责任向审计委员会报告内部控制情况,审计委员会与董事会协力发布组织内部控制的公开报告。为此,首先研究审计委员会及其与内部审计的关系,对治理过程有重要的意义。
审计委员会和内部审计在作用、职责和目标上是密切安排的。两者间稳固、良好合作的关系对于审计委员会履行公司治理活动的职责以及最终实现组织的健康、良好的发展至关重要。
公司治理(续)
内部审计师和审计委员会应相互支持。内部审计师的工作是审计委员会充分的了解组织经营的必要手段。现代的内部审计是以识别企业所面对的战略风险、经营风险和财务风险以及评估由管理者实施的适当控制为基础的,实现在一个动态变化的范围内减少上述风险。上述风险的识别存在以下问题:
关联方交易、共同投资和合作关系;
重组,包括兼并和收购;
新业务、产品和系统;
脆弱的利率变动和现金流变动;
信息系统风险;
声誉风险。
对上述风险的识别、了解和控制以及对有效的控制评估的过程,应有助于确保对近期大量的治理和收益质量问题的考虑。
就如内部审计胜任框架(CFIA)所指出的,内部审计师对组织所建立的控制过程进行监测和报告,是为了确保在一个持续变化的范围内,恰当地了解和管理所暴露的重要风险。在许多组织中,独有内部审计师对风险管理和内部控制实施不断的、系统的评价和评估。
公司治理(续)
安然事件后,IIA于2002年4月向纽约证券交易所提交“关于改善公司治理的建议”中指出,合理的公司治理取决于董事会、管理层、内部审计师和外部审计师四个组成部分的相互合作,改善公司治理需要:
统一的公司治理原则,应要求上市公司的董事会在年度报告中披露其遵循这些原则的程度;
应要求所有上市公司的董事会公开披露组织的内部控制有效性的评估,这类披露应针对总体的内部控制,而不仅限于记录和报告财务信息的一般控制;
所有的上市公司应建立和保留一个独立的、具有充分资源以及配备胜任人员的内部审计职能机构,向管理层和审计委员会提供组织的风险管理过程和相应的内部控制系统的持续的评估。
公司治理(续)
IIA研究基金(IIARF)近期的研究,“改善审计委员会的业绩——最佳的工作”,识别出审计委员会的关键特征,并证明对提高他们的监管作用是有效的:
审计委员会的成员对于他们的工作职责,必须经受充分的训练;
管理层、内部审计师和外部审计师要完全的告知审计委员会有关情况;
审计委员会的独立性对于其提供对组织及其政策和程序、内部控制、脆弱性和风险、道德及“高层的声音”等有效的监督能力而言是重要的。
审计委员会应定期实施自我评估,以测试其自身业绩,并确定其有效性;
审计委员会向股东的年度报告有助于澄清审计委员会的作用,并注重于主要的职责和活动。
公司治理(续)
IIARF在“内部审计师对内部控制的管理报告的作用”的研究 ,为评价内部控制报告系统的有效性提出了9条指导性意见。审计委员会应在以下9项活动中评估其自身的业绩以及内部审计师的业绩:
审计委员会要审核审计计划,并帮助确保整个内部控制的有效性,来满足内部审计的要求;
审计委员会接受所有内部审计报告的复印件,包括情况和弱点的标记;
如果内部审计计划的更改可能要改变审计师识别整个控制有效性的能力,则应告知审计委员会 ;
由于内部审计计划的改变会影响内部审计对整体控制形成的判断能力,审计委员会要与内部审计共同工作,收集额外的资料,重新安排先后顺序或完成工作,以促进实现与控制有关的目标。
审计委员会要求要求管理人员向审计委员会及首席审计执行官提供有关内部控制评估的报告。
审计委员会要在成员间进行审核,并会同内部审计师审核其内部审计监控自我评估方案的程度。
审计委员会要求首席审计执行官正式报告整体控制的情况。
内部审计与审计委员会间的公开沟通清楚地概括了可审计的部门、选择个别部门审计的方式和基本理由、审计计划的情况、在报告中提交的发现类型、风险暴露的持续评估以及适当的后续追踪措施。
为了对经营、财务报告和遵循性目标的实现提供合理的确认,审计委员会要审核内部审计师已定的审计范围,由外部审计师实施的活动,组织评价风险和相应控制的自我评估的结果。
公司治理(续)
由Kennesaw州立大学的公司治理中心公布的“21世纪的美国上市公司治理原则”,将对公司治理产生重大的影响。这些原则是:
1.相互作用:合理的治理需要董事会、管理层、外部审计师和内部审计师的间的有效的相互作用。
2.董事会目标:董事会要理解其目标是保护公司股票持有者的利益,同时要考虑到利害相关者的利益,如债权人、雇员等。
3.董事会的责任:董事会的主要责任应是监控首席执行官、监管公司的战略以及监测风险和公司的控制系统。为满足上述要求,董事们应持有有利于组织发展的怀疑态度。
4.独立性:董事的多数人员应在事实上和形式上独立,以监管正常的交易关系。
5.专门知识:董事们应拥有相关的产业、公司、职能范围以及治理的专门知识,并应由不同背景和观点的人组成。所有的董事都应接受详细的职能定位和持续的教育,以确保他们实现和保持必要的专业水平。
6.会议和信息:董事会应经常召开,并要接触实施其任务所需的信息和人员。
7.领导关系:董事会主席和首席执行官的作用应分开。
8.披露:授权声明和其他的董事会的沟通应以透明和及时的方式反映董事会的活动和交易情况(如内部交易)。
9.委员会:董事会的提名、补充以及审计委员会应由独立董事组成。
10.内部审计:所有的上市公司应保持能直接向审计委员会报告的、有效的、专职的内部审计职能。
公司治理(续)
为加强独立性,IIA建议应在审计委员会的章程中加上以下条文:
审计委员会应确保内部审计职能是以某种结构化的方式,实现组织的独立性,并允许完全以及不受限制地接近高层管理人员、审计委员会和董事会。
审计委员会应审核内部审计职能的章程,并确保内部审计师不受限制地接近与业务约定相关的记录、部门(人员)和实物资产。
审计委员会应审核和批准年度的内部审计预算,并恰当的评估所安排的内部审计资源。
对首席审计执行官的雇用或解聘的决定,应要求审计委员会主席的认可。
审计委员会主席也应适当地涉及与首席审计执行官有关的业绩评价和报酬决定。
审计委员会应定期在没有管理者参与的情况下,以个人身份与首席审计执行官和外部审计师商议。
审计委员会
审计委员会是由独立于管理层的外部董事组成的专门委员会,其目标是帮助外部审计师与内部审计师独立于管理层,确保董事履行应尽责任。
由非管理董事组成的审计委员会促进了内部与外部审计师的独立性,特别是在审计委员会找寻外部审计机构与首席审计执行官时。因此,强大的审计委员会使审计师免除其独立性与客观性受到妥协的影响。
a. 审计委员会也充当审计师与管理层之间争论的调解人。
审计委员会的特征
a. 恰当的管制部门应该制定并批准描述审计委员会任务和职责的书面章程。
b. 审计委员会应该检查独立的会计事务所的独立性。
c. 对股东或其他利害关系人的报告应包括来自于审计委员会主席陈述其职责和活动的信件。
d. 审计委员会应该监督对道德行为规范的遵守情况。
e. 审计委员会应该具有必要的、可用资源。
f. 审计委员会应该监督常规报告的过程。
g. 审计委员会应该监督管理层对重大会计问题寻求备选意见的事例。
审计委员会职能
a. 选择外部审计师并审核审计费与业务约定书
b. 审核外部审计师的整体审计计划
c. 审核初步的年度与中期财务报表
d. 审核由外部审计师所开展的业务的结果
e. 批准内部审计活动的章程(标准1000)
f. 审核并批准内部审计活动的计划和资源要求,并取得内部审计活动的工作安排、人员配备计划以及财务预算的摘要(标准2020与实务公告2020-1,见第七单元)
g. 与定期出席并参加会议的首席审计执行官直接沟通(实务公告1110-1)
h. 审核内部审计师对组织风险管理、控制和治理过程作出的评价的报告
审计委员会职能(续)
i. 作为一个机构,审计委员会要确保最终业务结果发送到对业务结果予以应有考虑的人员(实务公告2440-1)
j. 检查有关不道德与非法程序的政策
k. 审核送交管制机构的财务报表
l. 复核对组织人员的观察结果
m. 参与会计政策的选择
n. 审议新的或已提交的立法或政府规章的影响
o. 审核组织的保险方案
p. 审核外部审计师的管理建议书
例题
审计委员会是促进外部审计师与内部审计师独立性的主要因素。以下哪项是对审计委员会有效性的最重要的限制:
A.审计委员会可以由独立的董事组成,不过,这些董事可以同管理层有较亲密的个人关系,在职业上是友好的。
B.组织补偿审计委员会成员的收入,因而委员会的成员们偏爱业主的观点;
C.审计委员会对外部审计师关注的问题更为专注,但对内部审计活动与总体的控制环境关心的很少;
D.审计委员会成员通常不具有会计学或审计学领域的学位。
例题
通常,内部审计活动同管理层与审计委员会有双重关系。这意味着:
A.管理层应该通过修正并向审计委员会上报审计结果来帮助内部审计活动,;
B.内部审计活动应该直接向审计委员会报告,不用将审计结果向管理层确认;
C.审计结果的准确性应向管理层证实,并且内部审计活动应向管理层与审计委员会报告;
D.理想情况是,内部审计活动在审计委员会下工作,但就有关经营的所有审计情况向首席营运官报告。
例题(P93-40)
以下哪项是审计委员会的恰当职责:
A.对组织的采购职能进行审核;
B.审核首席审计执行官提交的内部审计活动的业务工作计划;
C.审核会计师事务所的业务记录,确定其胜任能力;
D.对具体的业务安排具体的内部审计人员提出建议。
例题(P96-47)
组织正在建立审计委员会。以下哪项通常是审计委员会关于内部审计活动的职责:
A.批准首席审计执行官的任免;
B.制定年度业务工作计划;
C.批准业务工作方案;
D.为具体的业务报告确定恰当的结论。
例题
审计委员会通过以下哪项加强了组织的控制流程:
A.安排内部审计活动负责与政府机构相互联系;
B.让首席审计执行官来选择外部审计师;
C.对首席审计执行官提出的建议进行后续追踪;
D.批准内部审计活动政策。
例题
以下审计委员会的哪项活动最有利于内部审计活动:
A.审批业务工作方案;
B.确保外部审计师在任何时候都能依赖内部审计活动的工作;
C.在业务报告公布前,审核并认可所有的内部审计业务报告;
D.支持对内部审计活动提出的建议的落实情况进行恰当的监督。
解析
讨论:内部审计师应该取得管理高层和董事会的支持,这样他们才能取得业务客户的配合,并且在不受干扰的条件下开展工作(实务公告1110-1)。
答案A不正确,审批业务工作方案是内部审计主管人员的职责;答案B不正确,外部审计师是否要采用内部审计的工作不由审计委员会决定;答案C不正确,审批内部审计业务报告是首席审计执行官的职责。
信息时代的经营风险管理
一个完整的风险管理框架具有非常重要的意义,因为风险与传统的业务日益相交叉。如果一个组织将职能与风险独立开来,则它就无法看清整个形势。
风险管理:是一个识别和管理所有潜在重大风险的过程,它应该运行于组织的所有结构层次、经营过程和活动中。理论上讲,运营风险管理过程表现在确认、探究、测评、监控等几个方面。
运营风险:是这样一种威胁,即某个事件或行动对组织实现其经营目标或成功实施其战略的能力所产生的负面影响。这一定义包括这一组织存在受到潜在的消极后果影响的可能性以及错过获取积极成果机会的威胁。
ERM framework(2003/7/15)
标准中界定的风险管理过程的5个目标
找出业务战略与活动领域的风险,并进行优先排序;
管理层和委员会已经确定了组织可以接受的风险水平,包括为实现组织的战略计划而接受的风险;
设计、实施了降低了风险的活动,把风险降低、管理在管理层和董事会可以接受的水平上;
开展持续的监督活动,定期对风险和控制的有效性进行再评估,以管理风险;
董事会和管理层定期收到风险管理过程的结果报告。组织的公司治理过程应该定期向利益关系方传达风险、风险战略和控制情况。
风险管理
2010 - Planning: The chief audit executive should establish risk-based plans to determine the priorities of the internal audit activity, consistent with the organization’s goals.
- The internal audit activity’s plan of engagements should be based on a risk assessment, undertaken at least annually. The input of senior management and the board should be considered in this process.
Red Book: The director of internal auditing should establish plans to carry out the responsibilities of the internal auditing department.
风险管理—新标准
The internal audit activity should assist the organization by identifying and evaluating significant exposures to risk and contributing to the improvement of risk management and control systems.(内部审计活动应通过识别和评估重大的风险暴露,并致力于风险管理和控制系统的改善,来帮助组织)
The internal audit activity should monitor and evaluate the effectiveness of the organization’s risk management system.(内部审计活动应监督和评价组织风险管理系统的有效性)
相关词汇
风险分析(Risk Analysis):风险的评估、管理和沟通。
风险评估(Risk Assessment):风险的确认、评定和优先排列风险的过程。
风险事件(Risk Event): The manifestation of risk into Consequences. Otherwise, Risk is only a potential.
风险因素(Risk Factors): Measurable or observable manifestations or characteristics of a process that either indicates the presence of Risk or tends to increase Exposure.
以风险为基础的审计
内部审计师对风险的关注正从控制风险和审计风险改变为关注运营风险。对运营风险的理解,需要三个标准,即:对组织运营过程的通盘了解;主动的想象力和适用的工具,对风险可能涉及的结果形成意见;一个统一的风险框架或风险模型,以及讨论风险的共同语言。
The IIA currently has no standard definition of risk based auditing because practices vary and a consensus on best practice has yet to emerge.
以风险为基础的审计(续)
以下的定义代表了IIA的专业问题委员会当前的观点:
“以风险为基础的审计”是一种方法,它注重于组织在实现其目标和目的时对所面对的风险的反应( response ),不象其他的审计类型,它开始于风险,而非对控制的需要。它有助于对风险的管理作出独立的确认,并在必要时促进改进。
审计工作的范围及优先顺序应由风险来决定,要全面考虑组织自身对风险的态度。
内部控制(续)
1992年,COSO公布“内部控制--整合框架”,奠定了为各层面遵循的统一的控制框架。
内部控制:受组织的董事会、管理层和其他人员影响的一个过程,内部控制的设计为组织以下目标的实现提供了合理的保证:
运营的效果和效率;
财务报告的可靠性;
遵守适用的法律和规章。
内部控制(续)
内部控制是一个过程,它是达到目的的方式,内控本身并不是目的;
内部控制通过人起作用,它不是纯粹的政策手册和表格,而是通过组织中各个层次的人员起作用;
内部控制可以被期望为对组织的管理层或委员会提供合理的保证,但不是绝对的保证
内部控制的目的是为了实现一个、多个独立但相互重叠的组织目标。
控制定义
实务公告2100-1对控制定义作了详细说明:
控制是指管理层开展的旨在增强实现既定目标和目的的实现可能性的一切活动。控制可以是预防性的(防止不良事件的发生)、发现性的(发现和纠正已发生的不良事件),或者是指导性的(引导和鼓励良好事件的发生)。控制系统的概念是组织用以实现其目标和目的的所有控制要素和活动的整合。
补偿性控制:是针对某些环节的不足或缺陷而采取的措施,目的是将风险限制在一定的范围内。
控制(续)
控制(Control):管理层、董事会及其他各方开展的旨在管理风险(增强风险管理),增加既定目标和目的实现可能性的各种活动。管理层计划、组织和指导诸多活动的实施,以合理保证组织的目标和目的得以实现。
控制过程(Control Processes):是控制框架的组成部分,包括政策、程序与控制活动。控制过程的设计用于确保将风险控制在既定的风险管理过程所允许的范围内。
例题
以下哪项对控制进行了最佳定义:
A.控制是管理层恰当计划、组织和领导的结果;
B.控制是对组织选择的要完成内容的表述;
C.控制就是组织所采取的将偏差限定在可接受水平的成本效益考评方法;
D.控制是以准确、及时、经济的方式实现组织的目标和目的。
解析
讨论:控制是指“管理层、董事会及其他各方开展的旨在增强风险管理、增加既定目标和目的实现可能性的各种活动。管理层计划、组织和领导各种活动的开展,以合理保证组织的目标和目的得以实现。”因而,控制是管理层恰当计划、组织和领导的结果。
答案B不正确,既定的目标和目的是组织所选择的要实现的内容;答案C不正确,为减少风险并将偏差限定在可接受的水平,在风险管理、控制和治理过程的设计和实施阶段就要采取成本效益考评方法,就能为组织的目标和目的有效率、经济地实现提供合理的保证(实务公告2100-1);答案D不正确,有效率的工作会以准确、及时和经济的方式来实现目标和目的。
例题
内部审计师定期评价控制。以下哪项是由内部审计师所认可的对控制概念的最佳描述:
A.管理层定期解聘没有达到预期目标的员工;
B.管理层采取行动以增强既定目标和目的实现的可能性;
C.控制表示由会计师和内部审计师设计的能确保处理正确性的特定程序;
D.控制程序应“自下至上”设计,以确保能够关注各种细节。
例题
控制可根据其所实施的职能来分类,比如,检查性控制、预防性控制、或指导性控制。以下哪项是指导性控制:
A.月度银行对账单;
B.在专用账户上对所有的支出进行双重签名;
C.当天记录发生的每项交易;
D.要求内部审计活动的所有成员都是注册内部审计师。
例题
某金融机构的外币交易风险管理制度禁止交易人员从事超过该银行总体风险上限的交易。该制度缺乏对交易人员个人的交易限制:
Ⅰ 是补偿性控制的缺点,因为任何交易者都可以过分运用银行的资金;
Ⅱ 对银行有好处,因为交易者可以利用大型交易的货币汇率浮动;
Ⅲ 不是缺点,因为对银行的风险有总体限制。
a. 只有Ⅰ是正确的;
b. 只有Ⅲ是正确的;
c. 只有Ⅰ和Ⅱ是正确的;
d. 只有Ⅱ和Ⅲ是正确的。
例题
控制被描述为包含6个要素的封闭系统。以下哪项是6项控制要素之一:
A.制定业绩标准;
B.适当地可得到的数据文件;
C.内部审计活动章程的批准;
D.独立的内部审计活动的建立。
解析
讨论:控制有4项要素:(1)建立目标;(2)采纳标准;(3)实际结果与所采纳结果的比较,以及(4)所需要采取的纠正活动。控制的4项要素为管理层制定目标和目的的实现提供了合理的保证。然而,在邵耶尔的内部审计学中,描述了6个要素系统:(1)制定标准;(2)业绩考评;(3)分析业绩,并将之与业绩比较;(4)评价差偏,并将之提交适当的人员注意;(5)纠正偏差;(6)后续追踪纠正活动。
答案B不正确,适当地可得到的数据文件不是封闭式控制系统的要素;答案C不正确,内部审计活动章程的批准不是封闭式控制系统的要素;答案D不正确,独立的内部审计活动的建立不是封闭式控制系统的要素。
例题
以下哪项是反馈控制系统的组成部分:
A.探测器、参考点和受动器;
B.发送者、媒体和接收者;
C.成功(achievement)、赏识(recognition)和能力倾向(aptitude);
D.计划、组织和领导。
解析
知识要点:反馈控制系统的组成。
讨论:反馈控制系统确保取得或保持理想的状态。控制目标是系统的行为变量,选自监督。探测器代表用于考评或比较业绩的标准;参考点是用于评估正发生事件重要性的设施,通常,它是通过鉴定器所提供的信息(实际发生的事情)与所制定的参考点(应发生的事件)作比较来实现的;受动器(activator)是决策制定者,它评价可行的纠正活动的备选方案,这种纠正活动给出了已辨识的偏差的本质,并通过鉴定器传送。受动机制的输出是典型的纠正性活动。
答案B不正确,通讯网络的要素是传送者、媒体和接收者;答案C不正确,成功、赏识和能力倾向是行为激励要素;答案D不正确,计划、组织和领导是管理职能而非控制。
例题
如果内部控制得到了很好的设计,由不同的人所执行的两项任务是:
A.批准坏账核销并核对应收账款明细分类账及控制账户;
B.薪金支票的发送以及批准赊销退回;
C.从现金收入日记账和收金支出日记账过到总分类账;
D.记录现金收入并准备银行对账单。
解析
讨论:现金记录建立了资产的责任。银行对账单将已记录的事项与实际资产相比较。因此,现金收入的记录与银行对账单的准备应由不同的人员执行,因为对账单的提供者能够隐藏现金的短缺。比如,如果出纳既要准备银行存款又要负责对账,则她就会盗窃现金并通过伪造对账单来隐藏这样的盗窃。
答案A不正确,核销坏账(应收账款)与核对应收账款之间没有冲突,两者都是一种责任;答案B不正确,薪金支票的支付与批准销货的退回是独立的职能,执行这两种分离任务的人不可能舞弊。实际上,某些组织利用独立部门的人员来发送薪金支票;答案C不正确,只要经办人不接触实际的现金,将两个明细账都进行过账就不会造成冲突。如果某个人只接触到了记录但不是资产,没有串通行为就不存在资产盗用的危险。
例题
以下哪种情形代表了薪酬部门内部控制的薄弱环节:
A.薪酬部门人员要轮换其职务;
B.薪金支票由员工的直接管理员发放;
C.薪金记录要每季度与税收报告核对;
D.时间记录职能是独立于薪酬部门的。
例题
以下哪项活动既能代表适当人事部门职能,又能防止薪金舞弊:
A.薪金支票的发送;
B.加班时间的授权;
C.薪金增减的授权;
D.未记名薪金支票的收集和保留。
解析
讨论:薪酬部门有责任通过簿记归总薪酬信息。人事部门负责员工的聘用、解聘、薪酬率的变动和减少等业务。记录和授权职能的分离有助于预防舞弊。
答案A不正确,出纳应实施有关薪酬的资产保全职能;答案B不正确,加班时间的授权是经营管理的职责;答案D不正确,未记名支票应由出纳保管,直到它们存放在银行专项账户。
例题
例题
拖车经常将有价值的金属废料从制造车间装运,并运送到组织10里外的废料场,以下哪项是最适当的控制方法:
A.在废料离开制造车间之前以及到达废料场之后,对拖车运送的废料都要实施全面的存货盘点;
B.需要安全守卫记录废料离开制造车间的时间以及到达废料场的时间,中途时间由监察员审核以防止舞弊;
C.拖车从制造车间前往废料场是由武装守卫护送的;
D.联系一位独立的搬运工来运送废料。
例题
一家投资于车辆修理的公用事业单位最有可能执行以下哪项内部控制可以降低车辆失窃的风险?
A.审核保险范围的适当性;
B.对所有修理工作通知单作系统地报告;
C.实地盘点所有车辆,将结果与会计记录相核对;
D.在安全地点存放维修车辆,并在保管员同意后发出和返库。
例题
在已购商品收条上,验收部门人员将已收商品数量与包装单数量进行对比,并以商品主要价格数据清单为基础标出零售价。然后,将已注释的包装条进行存货控制,商品自动送到零售销售区域。这项活动的最重要的控制力度是:
A.立即为零售商品定价;
B.将已收商品数与包装单数量进行对比;
C.按主要的价格数据清单标出售价;
D.自动地将商品运送到零售区域。
解析
讨论:使用主要的价格数据清单确保能标出正确的零售价。
答案A不正确,及时性没有价格的准确性重要;答案B不正确,将已收数量与包装单数量进行对比不能确保已收到所定购的数量;答案D不正确,零售区域可能需要商品,或可能不需要商品。
例题
首席审计执行官(CAE)评估和报告控制程序的职责包括:
A.与管理高层和审计委员会就内部控制的年度判断意见进行沟通;
B.监督内部控制流程的建立;
C.保持组织的治理过程;
D.仅在内部审计活动的基础上作出个别的评估
解析
讨论:管理高层和和审计委员会一般希望首席审计执行官在当年开展充分的业务工作,并收集其他可以获取的信息,以便就控制过程的充分性和有效性形成判断意见。首席审计执行官应将组织控制系统的总体判断意见向管理高层和审计委员会沟通。越来越多的组织在提交外部利益关系方的年度报告或定期报告中收入管理层关于内部控制系统的报告。因此,首席审计执行官通常每年一次向管理高层和审计委员会提高报告。
答案B不正确,管理高层对内部控制流程的建立负有监督的职责;答案C不正确,董事会对建立和保持组织的治理过程负有职责;答案D不正确,内部审计活动所面临的挑战是要在综合许多单个评估的基础上评价组织控制系统的有效性,而那些评估主要来源于内部审计业务、管理层的自我评估以及外部审计师的工作(实务公告-1)。
例题
内部审计师在对机构的差旅政策的审计中发现的以下哪项最不可能具备成本效益原则:
a.与宾馆、航空公司和租车公司谈判并签署公司协议;
b.追踪已取消的预订机票的贷方余额;
c.出差时选择最便宜的航班,但不考虑总的出差时间和距离;
d.出差时尽可能应用旅游淡季时旅游点的优惠政策。
控制环境
控制环境体现并影响着组织文化。它是内部控制其他几个组成部分的基础。
IIA将控制环境定义为:董事会和管理层关于组织内的重大控制的态度和行动。控制环境为实现内部控制系统的主要目标提供了主题和框架。控制环境包括下列要素:
诚实和道德价值;
管理的哲学和经营风格;
组织架构;
权利和责任的分配;
人力资源政策和实践;
员工的胜任能力。
例题
以下哪项是董事会与管理层有关控制在组织中的重要性所持的态度或行动的最为准确的语言:
A.控制过程;
B.控制环境;
C.治理过程;
D.管理的理念和经营风格。
例题
以下哪项要素包含在控制环境中:
A.组织构架、管理理念和规划;
B.诚实和道德价值、权限分配、人力资源政策;
C.员工的胜任能力、辅助设备、法律和规章;
D.风险评估、职责安排以及人力资源实务。
风险评估
风险评估是评价和综合对有关可能的不利情况或事情的专业判断的一个系统过程;是对不确定事件的可能的重要影响的思考。换言之,“风险评估”是对风险和机会的确认、评定和排列。
风险评估是确认和分析与完成某些特定目标有关的风险。它构成了决定如何管理风险的基础,是内部控制的职能。因此,目标的确定是风险评估的前提条件。在组织层次上需要考虑的风险有:
外部因素:新科技的发展、竞争对手新的市场策略、不利的法规变动、自然灾害、不利的经济环境和国外市场;
内部因素:信息处理操作的中断、无效的人员聘用和培训措施;管理责任的变动、防止员工获取公司资产的控制措施不足、高级管理层或审计委员会的缺乏自信或工作不力。
风险评估(续)
确认和分析风险是一个不断的过程和有效的内部控制的关键组成。管理层必须注重组织中各个层次的风险,并采取必要的行动管理它们。对于管理层而言,首先是要确认可能产生风险的因素,如:不能达到预定目标、人员素质、公司经营地点分散、核心经营过程的复杂性和重要性、新信息技术的引进、新竞争者的进入等因素都会导致增加风险。一旦确认出风险,管理层就要估计风险的重要性,评估风险发生的可能,采取特定的使风险减少到可接受程度的行动。当然,消除风险是有代价的。
管理层的风险评估与审计师的风险评估不同。管理层的风险评估是内部控制设计和运行的组成部分,是为了减少差错和舞弊;审计师要关注的是管理层风险评估的过程,评估风险会决定审计证据的收集。如果管理层能有效地评估风险并作出相应反应,审计师通常会收集较少的证据。通常,审计师通过确定管理层识别与财务报告有关的风险、评价它们的重要性、发生的可能性、针对风险需要采取的行动,以取得对管理层风险评估过程的了解。
例题
有可能促使首席审计执行官在审计规划阶段应用风险评估方法的原因在于风险评估提供了:
A. 可能对业务客户产生影响的清单;
B. 业务客户可供审计的活动清单;
C. 一个用以对可能产生的不利情形进行分析评估,并对由此作出的职业判断进行综合的系统过程;
D. 某事件或行为可能对业务客户产生不利影响的概率。
例题
在对采购部门的审计中,以下哪项往往被看作是风险因素:
A. 材料需求部门决定采购的详细内容;
B. 反对空白定单采购某些特定类型的物品;
C. 采购决策可能是从与本公司职员相关的供应商处采购;
D. 在授权的供应商之间未实现采购轮换。
例题
以下哪项内容是内部审计师在应用风险分析过程编制审计时间表时,应首先受到关注:
a.外部审计师要求为其即将开始的年度审计提供协助;
b.公司的信息技术部门正对新的应付款系统进行测试;
c.管理层已要求对应收账款可能发生的截留挪用情况进行调查;
d.上年中没有对现有的应付款系统进行审计。
例题
为了将风险进行优先排序,并确定可行的审计范围,审计师应该:
Ⅰ 获取或编制显示所有人员职责关系的现行组织结构图;
Ⅱ 编制主要部门的操作流程图,显示关键控制点;
Ⅲ 安排一次启动会议,以便获取管理层的支持。
A. 只有Ⅰ是正确的;
B. 只有Ⅲ是正确的;
C. 只有Ⅰ和Ⅱ是正确的;
D. Ⅰ,Ⅱ和Ⅲ都正确。
例题
评估职能领域的风险时,应考虑的因素包括:
1.交易量
2.系统完整性程度
3.上次业务距今时间
4.管理层的重大轮换
5.处于风险中的资产价值
6.每次业务交易的平均价值
7.上次业务的结果
对风险重要性作出最佳界定的因素是:
A.1至7;
B.2、4和7;
C.1、5和6;
D.3、4和6。
控制活动
控制活动。针对完成组织目标中的风险,组织需要采取必要措施,控制活动旨在帮助保证这种措施的政策和程序。控制活动贯穿于整个组织——在所有层次和对所有的活动和情况。除了最高管理层对组织业绩的审核,他们还包括很大的行动范围:审核各单位和各部门的业绩、请求某种授权和审批、进行协调、证实某种情况、职责分工、限制接近某领域或资产等。
IIA将控制过程定义这:政策、程序和活动是控制结构的组成部分,控制过程的设计是为了确保风险包含在既定的风险管理流程的允许范围内。
COSO报告和审计标准公告大致将信息系统控制分为两组:一般控制和应用控制。一般控制由存取控制、软件和系统开发等构成;应用控制是那些在进入系统时就能预防差错的控制,或是检查和纠正存在于系统中的差错的控制。事实上,这两组控制相互影响,如果一般控制不当,应用控制就会出现问题。一般控制对于应用控制安全准确的运转起着重大的作用。
信息和沟通
信息和沟通。在适当的时间内以适当的方式确认、取得和沟通所有相关和恰当的信息,以使相关人员能够执行他们的职责,这对于有效的管理是至关重要的。信息应当是相关、及时和准确的,并且它可能与某些标准或目标、与内部或外部的运营活动、与具体的情况有关。简言之,可以得到的信息应该是那些有利于作出决策和相关报告的信息。在获取信息的同时,也要注意以某种方式来交流信息,以保证对它的关注和充分利用。
监控
监控。有效控制系统的最后一个组成部分是监控。这一观察、检查内部控制系统的过程使管理人员可以对系统业绩的质量作出评价。通过持续不断地观察每项有规律的发现或结果,或对每个要素定期考察可以实现监控。监控还可以通过单独的评价来完成。一项具体的评价是否有必要取决于正在发生的变化的程度和性质、风险的程度、执行控制的人员的能力和持续监控的进展情况。监控应拓展到内部控制系统的各个要素中去。
例题
某销售公司最近发现就业申请中存在虚假信息。于是,内部审计师对招聘程序进行了审计。以下哪项内容代表了控制系统的薄弱环节:
Ⅰ 公司没有要求应聘对象将其署名申请表进行法律确认;
Ⅱ 在提供就业前,公司没有与有关教育机构核对证明应聘对象的教育信息;
Ⅲ 在提供就业前,公司没有核实应聘对象的长期工作经历。
a. 只有Ⅰ和Ⅱ是正确的;
b. 只有Ⅱ和Ⅲ是正确的;
c. 只有Ⅲ是正确的;
d. Ⅰ,Ⅱ和Ⅲ都正确。
例题
某银行正在进行机构重组,希望通过裁员提高利润。该银行的管理人员认为,主任会计助理一职是银行最无效的职位之一。该职位专门控制空白支票,并在将填写完毕的支票提交邮递部门之前对这些支票进行审查。主任会计负责管理印章,另外一名职员控制签署支票的密码。以下哪项说法是正确的:
a.应该取消主任会计助理这一职位,由会计主任承担其职责;
b.由某些人控制某些事项的做法与银行追求利润的目的不相容;
c.要取消主任会计助理的职位,应付项目过程应该重新设计,并对控制环节加以改变,以确保银行资产得到充分保护;
d.减少控制是重组过程中不可分割的一部分,管理层必须承担由此而来的业务风险。
例题
内部审计师观察到的以下情形中,哪两项表明资产防护方面存在控制的薄弱环节:
Ⅰ某服务部门因其地理位置不当,无法给其他部门提供充分的服务;
Ⅱ没有检查被聘用担任敏感职位职员的背景;
Ⅲ管理人员无法获取对照其他受评价部门的情况、描述本部门总体工作表现的报告;
Ⅳ管理层没有采取措施去纠正前几次审计发现的库存控制问题。
a.Ⅰ和Ⅳ正确;
b.Ⅱ和Ⅳ正确;
c.Ⅱ和Ⅲ正确;
d.Ⅰ和Ⅱ正确。
例题
某制造公司的存货记录包括了大量贵重金属。审计师对管理部门的贵重金属内部控制系统进行审计时,应当包括:
Ⅰ.采用复核程序,确保这些金属的价值在资产负债表中得以适当反映;
Ⅱ.检查原材料请购单是否得到批准,追踪发运单至永续存货记录,以证实这些存货的发出经过恰当的授权;
Ⅲ. 观察存货交易,察觉是否存在材料被偷窃的可能;
Ⅳ.检查制造部门的业务系统,比较这类金属的实际使用情况与标准用量之差异。
a.Ⅲ和Ⅳ; b.Ⅰ和Ⅳ;
c.只有Ⅰ; d.Ⅱ和Ⅲ。
控制(续)
2100 工作性质——内部审计活动评价并致力于组织风险管理、控制和治理体系的改进。
实务公告2100-1:工作性质
2120 控制——内部审计活动应通过评价组织控制的效率和效果、促进控制的持续改善,以帮助组织保持有效的控制。
2120.A1-内部审计活动应在风险评估结果的基础上,评价涵盖组织的治理、经营及信息系统的控制的充分性和有效性。此类评价应当包括:
财务和经营信息的可靠性和完整性;
经营的效率和效果;
资产的安全防护;
对法律、法规及合同的遵守情况。
实务公告2120.A1-1:对控制过程的评估和报告
实务公告2120.A1-2:应用控制自评对控制过程的适当性进行评估
与控制有关的标准与实务公告(续)
2120.A2- 内部审计师应查明已确定的操作和方案的宗旨、目标与组织宗旨、目标的一致程度。
2120.A3- 内部审计师应审核操作和方案,查明有关结果与已设立的宗旨、目标的一致程度,以确定操作和方案的实施是否按事前的设想进行。
2120.A4-评估控制需要适当的标准。内部审计师应查明管理人员建立的标准的适当程度,以确定是否已经达到目标和目的。如标准适当,则内部审计师应当在他们的评估中使用上述标准。如标准不适当,内部审计师应与管理人员一起制定的评估标准。
实务公告2120.A4-1:控制标准
2120.C1- 在咨询业务期间,内部审计师应重点关注与业务约定目标一致的控制,并且应对是否存在其他任何重大控制薄弱环节保持警觉。
2120.C2- 内部审计师应将从咨询业务中获取的控制情况用于识别和评估组织重大风险的不利影响。
例题
管理层对保持控制负有责任。事实上,有时管理就是控制。以下哪项将管理职能视作控制:
A.监督业绩;
B.使用组织政策手册;
C.保持质量保证方案;
D.建立内部审计活动。
解析
讨论:在管理层提供指导的方式能够确保组织的目标和目的得以实现时,风险管理、控制和治理过程就是有效的。除了完成组织的目标和已计划的活动,管理层通过授权活动和处理事务、监督业绩以及证实组织的程序按设计运行来开展指导工作(实务公告2100-1) 。
答案B不正确,由于手册是建议而非控制;答案C不正确,由于质量保证方案是内部评估的形式,质量保证方案的管理者应独立于所评估的业务;答案D不正确,由于内部审计活动应独立于所审核的业务,且它不是管理职能。
例题
领导、管理层、外部审计师以及内部审计师在创建适当的控制过程中起着重要作用。高层管理者的首要职责是:
A.建立和保持组织文化;
B.审核财务和经营信息的可靠性和完整性;
C.确保外部审计师和内部审计师监督风险管理和控制过程系统的管理;
D.实施和监督由董事会设计的控制。
解析
讨论:管理层计划、组织和领导实施大量的活动以合理确保组织的目标和目的得以实现。为适应内外部环境的变化,管理层会定期检查组织的目标和目的并修订其程序。管理层也建立和保持组织的文化,包括倡导控制的道德氛围(实务公告2100-1)。
答案B不正确,内部审计师有责任评价控制的充分性和有效性,包括那些与财务和经营信息的可靠性和完整性有关的控制(标准)。答案C不正确,管理高层的作用是监督风险管理和控制过程系统的建立、管理和评估(实务公告-1)。答案D不正确,虽然董事会有监督职责,但通常不涉及业务的细节。
例题—典型
在评价资源使用的效果和效率时,内部审计师对以下哪项负有责任:
A.确定适当的经营性标准制定的程度;
B.证实资产的存在性;
C.审核经营性信息的可靠性;
D.证实资产价值的准确性。
解析
讨论:内部审计活动评价覆盖治理、经营和信息系统的控制。这种评价包括经营的效果和效率(标准)。而且,内部审计师应该“确定管理层在多大程度上建立了恰当标准,从而可以确定有关目标和目的是否已经实现”(标准)。他们也应该“评价既定经营性目标和期望结果,并确定这些经营性标准是否可以接受并得到遵守”(实务公告-1)。
答案B不正确,证实存在性与资产的安全防护有关;答案C和D不正确,经营性信息的可靠性和资产价值的准确性关注信息的可靠性和完整性。
例题
有关内部审计师对经营性目标和目的所承担的作用包括:
A.批准经营性目标和目的,使之得以实现;
B.在管理层的目标和标准模糊时,寻求权威性的解释;
C.开发和执行控制程序;
D.完成预期的经营方案结果。
解析
讨论:“内部审计师应评价既定的经营性目标和预期结果,并应确定那些经营性目标准是可接受的并能够实现。在某些管理目标和标准模糊时,应寻求权威性解释。如果要求内部审计师解释或选择经营性标准,他们应与业务客户就衡量经营性业绩所需标准达成一致意见”(实务公告-1)。
答案A、C和D不正确,经营性问题是管理层的职责。“内部审计师不应承但经营性职责”(实务公告-1)。
例题
如果业务客户的业务标准是模糊的,需要解释,内部审计师应:
A.与业务客户就衡量经营性业绩所需标准达成一致意见;
B.确定该领域的最佳实务,将它们当作标准使用;
C.用最严格的意思解释标准,否则标准只能是可接受的最低限度;
D.忽略对标准以及与标准相关的业务客户的业绩的任何评论,因为上述分析是没有意义的。
解析
讨论:为确定组织目标和目的是否能够实现,管理层有责任制定适当的标准(标准)。然而,既定的内部审计师应评价经营性目标和预期结果,并应确定这些经营性标准是否可以接受,并得以实现。如果上述管理目标和标准是模糊的,应寻求权威的解释。如果要求内部审计师解释或选择经营性标准,他们应寻求与业务客户就衡量经营性业绩所需标准达成一致意见(实务公告-1)。
答案B不正确,内部审计师不需要应用竞争性的标杆原则;答案C不正确,环境会指导模糊的业务标准的解释;答案D不正确,如果业务客户的经营性标准模糊时,内部审计师必须解释或选择标准。
例题
内部审计师需要确定管理层已制定的标准的适当程度,以便确定组织目标和目的是否已经实现。以下哪项行动可能是恰当的:
Ⅰ 确定业务与项目目标和目的与组织的目标和目的是否一致;
Ⅱ 审核业务,确定结果与既定的目标和目的一致的程度;
Ⅲ 与管理层合作,制定适当的控制评价标准。
A.仅有Ⅰ;
B.仅有Ⅰ和Ⅱ;
C.Ⅰ、Ⅱ和Ⅲ;
D.仅有Ⅱ。
解析
讨论:“内部审计师应确定业务与项目目标和目的的确定程度,检查它们与组织目标的一致程度”(标准)。内部审计师也应“对业务与项目进行评价,检查其结果与既定目标的一致程度,判断这些业务和项目是否按预想的执行或实施”(标准)。此外,“评价控制需要适当的标准。内部审计师应确定管理层已制定的标准的适当性程度,用于判断组织的目标和目的是否已经实现。如果适当,内部审计师应在评价中加以应用。如果不适当,内部审计师应与管理层合作,制定适当的评价标准。”(标准)。
答案A、B和D不正确,内部审计师可以采取陈述Ⅰ、Ⅱ和Ⅲ所描述的行动。
例题
一家办公用品供应商在产品脱销的时候会将客户订单注明空缺,并汇总成可供管理人员核查和打印的文件。但是客户对这种不能及时交货的行为非常不满。能够保证脱销产品及时进货的程序是:
A.每日将空缺订单与收到的商品记录进行对照;
B.提高存货水平以减少脱销的发生;
C.建立与供应商的电子数据交换系统,以减少存货补充时间;
D.每日将已供应数和空缺的订单数与总订单数进行核对。
控制自评
控制自评是用于检查和评价组织内部控制系统的一种方法。它是传统内部审计概念、风险分析和自我评估方法的混合。
CSA具有以下要素:
a.从头至尾的计划和初步的审计工作。
b.一组人在同样的时间/地点开会,是典型的简易化座次安排(U型桌)以及会议协调者(facilitator)。参与者是“过程的拥有者”——涉及特定议题的管理层与员工处于检查中,他们知道谁最好,他们对实施适当的流程控制最为关键。
c.协调者在结构化议程中领导一个小组,对风险和控制流程进行全面的检查。通常,这个议程以定义明确的构架或模型为基础,以便参与者能明确关注所有必要的议题。这个模型可以注重于控制、风险,或为这个项目制定的具体议题构架。
d.抄写员在线随意出席会议及电子投票技术的出现使参与者能匿名表达他们的理解。
例题
控制自评要求员工评价控制措施的适当性,并在组织内找到改进的机会。让员工参与控制自评的原因是:
Ⅰ.更好地激励员工做正确的事情。
Ⅱ.员工对待其工作是客观的。
Ⅲ.员工能够独立地评价内部控制。
Ⅳ.管理人员需要员工的反馈信息。
A.Ⅰ和Ⅱ
B.Ⅲ和Ⅳ
C.Ⅰ和Ⅳ
D.Ⅱ和Ⅳ
解析
讨论:控制自评与在组织活动的各个方面进行质量的持续改进这个现代概念是相一致的。为了使控制自评更为有效,组织内所有的员工都应参与这项工作。也就是说,员工应得到授权、充分的培训、提供必要的信息和工具、参与重要的决策以及公平的补偿。员工的参与是积极的激励效果,因为它往往增加了对工作的责任以及产生了自我的满足。而且,所有员工参与需要双向的沟通,因而鼓励了从员工处的反馈。
答案A和D不正确,员工通常对他们的工作和业绩缺乏客观的看法;答案B不正确,尽管员工能参与内部控制的评估,但他们的评估是不独立的。
例题
控制自评的要素包括:
Ⅰ 将参与员工视为过程的拥有者;
Ⅱ 接受员工有关风险和控制的调研;
Ⅲ 在本领域对员工进行单独地面谈。
A.仅有Ⅰ;
B.仅有Ⅱ;
C.仅有Ⅱ和Ⅲ;
D.Ⅰ,Ⅱ和Ⅲ。
解析
讨论:根据IIA的规定,控制自评的要素是“一组人在同样的时间/地点开会,是典型的简易化座次安排(U型桌)以及会议协调者(facilitator)。参与者是“过程的拥有者”——涉及特定议题的管理层与员工处于检查中,他们知道谁最好,他们对实施适当的流程控制最为关键。”
答案B、C、D都不对,控制自评是以协调研讨班的方法进行结构化的、记录式的、重复的自评。因而,它应与员工对有关风险和控制的调研方法相对照。此外,控制自评是一群人开会,而不是本领域内的单独会谈。
例题
在完成对某职能部门的控制自我评估过程后:
a.内部审计活动应对每项经过确认的控制措施进行符合性测试;
b.内部审计管理人员应对他们不能同意的审计观察信息进行修正;
c.内部审计活动的管理层应编制行动计划,纠正问题领域;
d.在以后的年份中,自我评估应该不需要重新进行。
例题
在信息技术部门进行控制自我评估项目时,内部审计师要求管理人员为所发现的每一种风险的严重程度及其相应控制措施的力度评级。审计师应用软件包为所得数据进行制表与逐项对照,并对效果进行打分。这种做法的最大缺陷是:
a.花费的时间可能超过任何实际的好处;
b.随后对该部门的审计可能开展不了;
c.管理人员可能会漏报严重的控制薄弱环节;
d.将内部审计部门看作是负责控制的部门。
eSAC模型
为有效的信息技术风险管理建立了一个平台,并为评价业务控制提供了框架,对与信息和技术有关的问题提供了相关的业务确认目标指南,它可以充当管理层与审计师之间的沟通工具。
随着组织间电子商务的不断发展,针对电子商务的风险及控制的不断增加,针对电子商务的确认业务为整个审计界提供了巨大的机会,由于内部审计师了解组织的商务目标、风险和控制,他们处于提供电子商务确认服务的最佳位置。
eSAC Model
服务类型
传统的内部审计服务分为以下三类:
财务审计。“应用会计方法来衡量和报告对组织经济活动的分析。”
合规性审计。“既对财务的和经营的控制进行检查,又对交易进行检查,旨在观察它们是否良好遵守既定的法律、标准、规章和程序。”
经营(运营、作业)审计。“对组织内不同职能的综合性检查,旨在评价业务的效率和经济性,以及这些职能实现其目标的有效性。”
例题
首席执行官想要知道采购职能门是否恰当地实现其支出以便“在正确的时间以正确的数量采购了正确的原料”,以下哪项业务类型关注这项要求:
A.财务审计与采购部门有关;
B.经营审计与采购职能有关;
C.合规性审计与采购职能有关;
D.全面审计业务与制造业经营有关。
解析
讨论:根据邵耶尔的内部审计学,经营审计业务包括对“组织内各项职能的综合性检查,以评价经营的效率和经济性,以及这些职能实现其目标的有效性。”
答案A不正确,财务审计业务是应用会计方法计量和报告组织的经济活动的一种分析;答案C不正确,合规性业务是对财务、作业控制与交易进行检查,以确定是否遵守的既定的标准;答案D不正确,与制造业经营有关的全面审计业务具有财务、合规性和经营审计的特点。这超出了首席执行官的要求。
例题
在进行经营审计业务时,内部审计师将当前部门的员工与既定的行业标准相比较是为了:
A.确认领取部门薪酬的虚假员工;
B.评估部门的当前业绩,提出恰当的改进建议;
C.评价部门既定内部控制的充分性;
D.确定部门是否遵守了管理其员工的所有法律和规章。
解析
讨论:根据邵耶尔的内部审计学,经营审计业务包括对“组织内各项职能的综合性检查,以评价经营的效率和经济性,以及这些职能实现其目标的有效性。”
答案A不正确,内部审计师在测试和评价这类业务期间,不关注薪酬处理;答案C不正确,将员工水平与行业标准进行比较不能测试出内部控制的充分性;答案D不正确,内部审计师在开展合规性审计时更关注法律的规定。
例题
与生产职能有关的作业审计业务包括将实际成本与标准成本进行比较的程序。这项业务程序的目标是:
A.确定用于记录实际成本的系统的准确性;
B.考评标准成本系统的有效性;
C.评估标准成本的合理性;
D.协助管理层对其效果和效率进行评价。
解析
讨论:标准成本系统是以标准(事先确定的)成本来计算产品,并将预期成本与实际成本作比较。这种比较允许在预期结果与已确认并经调查的结果之间的偏差,并且可以查明责任,采取纠正措施。标准成本系统可在工序制和流程成本系统(process costing systems)中应用。
答案A、B和C不正确,这种比较不能确定实际成本的准确性、系统的有效性或标准成本的合理性。
例题
某大城市的首席审计执行官(CAE)正在规划下一年度的业务工作。这个城市有许多不同的资金,有些资金的使用要经政府授权的限制,有些资金的使用要向政府报送合规性报告。这个城市已取得的一个授权项目是对工作的再培训与安置。这个授权具体规定了某些情形,使项目参与者必须满足合格条件才能使用资金。CAE计划的一项业务是证实工作再培训项目遵守适用的授权规定情况。其中一项规定是要为这个项目编制预算并遵循随后的程序,以确保能够遵照预算执行项目,并且对这个项目仅支付正当的费用。内部审计师为关注这项规定的遵守情况所开展的业务中,不应开展以下哪项程序:
A.确定预算已经审核,且由城市内的监督部门批准;
B.确定预算已经审核,且由授权机构的监督部门批准;
C.抽取费用支出样本,确定费用支出:(1)是否恰当归类;(2)是否适合于该项目;(3)设计是否满足项目的目标;
D.比较实际结果与预算结果,确定偏差原因。确定这类偏差是否已经恰当的官员批准。
解析
讨论:授权机构关于城市的授权资金使用情况的活动与合规性审计不相关。内部审计师仅负责确定城市是否遵守授权的要求。
答案A不正确,内部审计师应该确定城市已遵守了采用预算的规定;答案C不正确,对费用支出的抽样核查可能揭示出已支出的费用支付到了错误账户,绕过了预算控制;答案D不正确,内部审计师应该证实已遵守了坚持预算的规定。
服务类型(续)
例题
内部审计活动在职能层面的审计目标是要评价组织的:
A.员工教育的收益项目;
B.人事部门;
C.制造业经营;
D.建筑合同。
解析
讨论:对于职能层面的审计,内部审计师从头至尾都是按职能进行审计的,即使这项职能涵盖了组织的更多下属单位。内部审计师会更多的着重于业务经营,而非人事或行政管理活动。
答案A不正确,项目结果审计涉及评价教育的收益状况,它评价由组织支助的、对其主要经营起辅助作用的活动的成本—收益的有效性问题;答案B不正确,组织层面的审计适用于单一的“组织”结构,如部门。这项审计主要关注管理控制,也就是说,管理者如何用好管理原则;答案D不正确,合同审计涉及对诸如建筑方等外部机构所承担的项目的评价。
例题
以下哪种情况下内部审计师会对采购职能内部控制的适当性提出质疑:
a.将采购定单的原件和复印件寄送供应商。为认可上述采购,供应商将复印件寄还采购部门;
b.验收报告送到可以核对采购定单的采购部门,并送交应付账款部门;
c.应付账款部门为付款编制凭证;
d.将未付款的凭单文件和永续盘存记录独立保管。
组织结构图
交易循环
循环是对各项交易分组,比如:
收入和现金收款循环
采购和支付循环
存货和仓储循环
人事和薪金循环
金融资本和支付循环
交易循环(续)
有些交易循环可以合并,这取决于业务和会计系统的类型。 比如,薪酬支付可以合并到支付循环中 。
有些循环可以再细分,如:收入循环和现金收款循环 ;采购循环和支付循环 。
销售与收款循环步骤
处理客户订单
批准赊销
发运货物
记录销售
向客户开具账单
收到、处理并记录现金收款
坏账准备
坏账核销
收到、处理并记录销售退回
提供其他的信用、调账和补救方式(allowances)
销售与收款交易
销售交易目标与控制测试
测试方向
例题
为测试借记的应收账款是否代表了有效的交易,审计师应:
a.从销售日记账追查至应收账款;
b.从应收账款追查至现金收入日记账;
c.从应收账款账户追查至销售凭证;
d.从现金收入凭证追查至应收账款。
例题
内部审计师从销售发票追查至运输记录是为了确认:
a.客户的发货都已开票;
b.开出发票的销售都已发货;
c.向客户的发货也作为应收账款记录;
d.应收账款明细账已经更新。
销售存在性问题
(1)销售已记录于销售日记账但尚未发货:审计师可通过抽取销售日记账中的分录,追查是否存在相关的发运凭证副联和其他支持凭证。如果审计师担心发运凭证副联有造假的可能性,那么就有必要追查永续制存货记录中的数量以测试存货是否减少。
(2)销售重复记录:查找重复记录的销售可以审阅销售交易分类表中的编号,看是否有重号。审计师也可测试发运凭证的作废号,它们减少了发运凭证被用于记录其他销售的可能性。
(3)货物发送给虚构的客户:这种舞弊通常发生在记录销售的人员同时批准发运货物的情况下。当内部控制很薄弱时,很难发现发运造假。
查出销售交易中上述三种错报的另一种有效程序是检查应收账款明细账中的贷项并查看其产生的依据。如果应收账款最终收回现金或货物被退回,则最初肯定有销售交易发生。如果贷项是坏账核销,或是贷项通知单,或在审计时客户仍未付款,那么,必须立即检查发运凭证和客户订单,因为这些现象都可说明有不适当的销售交易发生。
例题
根据客户的采购定单,货物从仓库运出,然后经核对过的送货单和采购定单被送至开票部门来准备销售发票,送货单既没有被清点也没有预先编号。针对这一控制弱点应扩大采取的实质性测试是:
a.从客户登记簿中抽取销售发票并审查相应的送货单;
b.从仓库抽取发货单并追查发货通知至相应的销售发票;
c.加总销售登记簿中的金额并追查至总账金额;
d.追查销售发票中的数量和价格至客户采购定单并进行延伸和加总测试。
例题
当审计目标是要评价所设计的控制能保证发货业务都被付款,应从哪项总体中抽取样本:
a.预先编号的客户发票;
b.客户的应收账款;
c.预先编号的发货凭证;
d.现金收据。
客户订单业务管理流程
装运
开单
现金收入
现金收入账户业务流程
现金收款交易中交易审计目标、关键控制和控制测试
应收账款业务流程中的交易循环控制
应收账款
应收账款业务流程
总分类账
例题
在应收账款审计过程中,审计师实施了如下审计程序:1)应收账款账龄分析;2)与管理层讨论可能的重大坏账损失。其目的是:
a.确定资产负债表日应收账款余额是否准确;
b.可收回应收账款得到恰当表达和披露;
c.资产负债表日所有重大应收账款金额是否准确;
d.坏账准备金和应收账款净额是否准确。
例题
以下哪项测试有助于审计师对公司为有疑问的账款提取适当的准备金作出评价?
a.将应收账款明细账与控制账户对账;
b.编制账龄分析表;
c.审查赊销期限的授权;
d.从贷项通知单追查至应收账款明细账。
例题
某审计师正对某分部的经营业绩进行审计。该分部的销售、毛利和净利润均存在超常增长的情形。假定经分析表明在11月至12月份存在超常高额销售及利润,审计师决定深入调查此问题。在分析是否存在虚假销售的情形时,以下哪项审计程序最为有效?
a.对发运凭单进行抽样测试并追踪调查相应的销售发票,注意是否所有事项均已恰当地开出凭单;
b.向大客户证实应收账款;
c.利用分析性程序将年终前10个月的销售额及毛利与下一年度第1个月的相应数据进行比较;
d.对年度内的前10个月进行回归分析,以估计后最近2个月的销售额和销售成本。
例题
在审查信用部门工作的有效性方面,以下哪项程序将提供最有力的证据?
a.观察工作过程;
b.审核坏账注销额的变动趋势;
c.向信用经理询问该部门的有效性;
d.通过抽查客户的订单,检查信用审批的情况。
例题
以下哪类实质性测试程序所提供的证据能够最有效地证明账面利润的完整性?
a.核对销售日记账与总分类账;
b.比较应收账款明细账费用与相应的发货单;
c.比较发货单与客户订单文件;
d.核对发货记录与账面销售记录。
例题
为测定某分部是否将下年度的销售收入记录在本年度,以下哪项审计程序效果最差?
a.实施分析性程序,比较过去两年相同月份的销售收入,特别是年末和年初的月份;
b.函证年末对主要客户的应收账款的余额;
c.运用整合测试法(ITF),通过计算机运行本年度12月份和下年度1月份的数据,以测定销售收入的记录是否准确;
d.实施分析性程序,比较本年度12月份和下年度1月份主要产品的发运数量。
例题
某审计师正进行分析性程序,将不同部门经营的利润与其他部门利润、该部门以前年度业绩进行比较。审计师发现某部门的利润有显著增长。在经过初步测试后,他发现该年度内该部门的产品、生产方式以及管理部门均未有任何变动。基于上述资料,利润增加的最可能原因是:
a.销售同样产品的竞争者增加;
b.制造本部门产品所需原料的供应商减少;
c.年末存货高估;
d.年末应收账款低估。
例题
管理当局坚持认为应收账款账户的变化是由于其客户构成和信用条件的变动而引起的。为了验证管理当局的这一认定,最恰当的审计程序是:
a.运用属性抽样获取客户样本,对于抽到的每个样本,追溯至信用评估机构对其的信用等级评估,从结果推断总体;
b.运用属性抽样获取年末客户样本,向所有抽到的样本进行函证,询问他们是否是新客户;
c.运用通用审计软件获取当年每个客户购货量的排序名单,并与以前年度的类似名单相比较;
d.运用通用审计软件生成应收账款账龄分析表,并与以前年度的账龄相比较来确定是否有变动。
例题
审计师向10个最大的客户发送积极性函证,并对其余客户进行随机抽样。这10个最大的客户中,有8个的表示不对应收账款加以证实。针对这8个客户不予答复的反应,下列程序中不要求采用的是:
a.将随后从该客户处收到的现金追查至公开账户余额,证实该收款适用于公开账户项目;
b.向客户第二次发函,指出答复积极性函证的必要性;
c.审查年末后发生的贷项通知单,确认它们是否针对年末前退回的商品或劳务,或是对年末余额的调整;
d.从剩余的公开项目追查至支持性文件,特别是运输凭证。
例题
审计师没有收到应收账款积极性函证的答复,有必要采取替代审计程序,以下哪项替代程序中最无效?
a.检查诸如货运单等凭证;
b.通过对公开账目付款的核对证明以后的客户付款;
c.再向客户发出回函请求;
d.获取管理当局承诺计价和未来能收到付款的书面证明。
例题
内部审计师正在审计公司的现金收款职能。公司是一家通过私人卡车公司运输产品的批发商。公司的签单政策要求支付个人发票。所有的现金收款都通过客户支票以邮寄方式完成。公司的政策要求每天的现金收款都要存入银行。为了验证该政策得到有效实施,审计师应当比较:
a.现金收入日记账与银行月对账单;
b.现金收入日记账与应收账款明细账;
c.存款凭单副本与银行月对账单;
d.汇款通知与现金收入日记账。
例题
内部审计师正在审计公司的现金收款职能。公司是一家通过私人卡车公司运输产品的批发商。公司的签单政策要求支付个人发票。所有的现金收款都通过客户支票以邮寄方式完成。公司的政策允许给予在15天内付款的客户2%的折扣,但是如果客户的汇款通知超过15天的期限仍然扣除了折扣额,那么支票按正常处理,但客户账户必须按净额入账(而不是包含折扣的总额)。为了确定是否给予了不当折扣,审计师应当:
a.抽取部分客户样本通过邮寄确认函明确账户余额;
b.在对银行对账单进行调整的过程中特别关注调整项目中的“在途存款”;
c.比较存款单副本与相关的银行月对账单和汇款通知;
d.比较现金收入日记账与相关的汇款通知和销售发票。
例题
应收账款审计的目标之一是:确定信用政策的执行是否符合既定的标准程序。以下哪项审计程序能够提供最合适的证据?
a.直接询问信用部门经理,信用政策的执行是否符合既定的政策和程序;
b.抽取一定的统计样本,测试是否符合既定程序;
c.对赊销趋势和坏账金额之间的关系进行分析性程序;
d.复核定期应收账款账龄分析程序。
例题
在证明应收账款的存在和价值方面最具说服力的证据是:
a.由客户已审计财务报表证明的信用核准文件;
b.由被审者提供的客户销售发票;
c.由客户直接提供的积极性函证;
d.被审计方记录的与赊销相关的客户采购订单。
例题
在计划对应收账款的控制实施审计时,首席审计执行官索取并得到了外部审计师相关的工作底稿。在审查这些工作底稿时,他注意到外部审计师使用消极性函证,这是因为:
a.发运和开票的内部控制薄弱;
b.审计师怀疑账户金额中有错误或违规;
c.许多账户金额较大;
d.内部控制较强,并且许多账户金额不大。
例题
一家大型服务公司的审计师正在对该公司的现金余额实施审计。审计师考虑运用最适当的审计程序来保证公司财务报表中准确记录了现金余额。为实现这一目标,以下哪项审计程序最为恰当?
a.审查收款程序并对应收账款实施分析性程序,函证应收账款账户余额,证实相关程序和措施是否存在;
b.将现金收入清单与现金收入日记账及银行存款单相比较,审查职责分离,观察并测试现金收入业务;
c.审查组织结构和各部门职责,证实空白支票的存在并说明空白支票的保护措施,包括安全措施;
d.审查银行存款余额调节表,证实银行存款余额,证实收入和支出的截止期,加总调整项目并与现金账户余额相比
例题
在对可疑的舞弊性销售进行测试时,以下哪项测试提供的证据最不重要:
a.通过存货运送单据样本从存货追查至开票再追查至销售日记账;
b.通过比较一定时期的销售额和毛利来对销售业务实施分析性程序;
c.对注销和销货退回进行分析,并比较过去几年的余额;
d.向客户函证销售业务并对客户没有答复的业务进行调查。
例题
某审计师实地观察现金销售情况以确定客户支付是否按书面规定。这类测试的目的是:
a.现金收入与全部现金收入吻合;
b.客户支付恰当金额;
c.现金余额准确;
d.所有的现金销售均有记录。
采购与支付循环的步骤
处理采购要求
发出采购订单
验收货物和服务
处理供应商发票、验收报告和采购订单
支出现金
记录货物验收、债务和现金支出
采购交易相关目标与控制测试
采购业务流程
采购分析流程
请购
采购
验收
现金业务交易处理流程图
现金业务流程图提要
现金支出
现金支付交易的相关审计目标、关键控制和控制测试
应付账款
总账
例题
如果要判断某公司的始发部门是否批准了对货物的采购,那么内部审计师应该查看以下哪项文件上的审批签字:
a.货物采购定单;
b.货物采购申请书;
c.验收报告书;
d.供应商发票。
例题
内部审计师将业务记录于工作底稿,工作底稿可以包括控制调查问卷、流程图、问题清单以及叙述性的描述。调查问卷由一系列有关控制的问题组成,内部审计师认为这些问题对于预防或阻止差错及舞弊很有必要。以下哪个问题对于帮助内部审计师了解支出循环的完整性最为适当:
A.内部证实销售发票的数量、价格以及计算的准确性;
B.预先编号支票的使用及说明;
C.处理现金收入;
D.会计人员的资质认定。
例题
为验证某公司有关材料必须从要价最低的供应商处采购的规定是否得到遵守,应采取的最有效审计程序是:
a.将供应商现行价格与相关采购定单所列价格进行比较;
b.将为所定采购行为获得的投标价格与相关的采购定单进行比较;
c.将为所选材料支付的价格与相关采购定单上所列的价格进行比较;
d.将经过审批的供应商清单与这所定采购行为获取的投标商进行比较。
例题
某审计助理发现一份价值$6500的来自正常供应商的采购订单。但该订单的签发日期晚于收到商品的日期。采购代表的解释是忘记发出这份采购订单。而且,对一份价值$500材料的支付缺乏验收报告。审计助理希望选取更多的采购订单来调查,但不关注验收报告是否存在。首席审计执行官应当:
a. 同意审计助理意见,由于采购订单偏差的金额远远大于验收报告的偏差金额;
b. 同意审计助理意见,由于现金验收人员保证现金出纳不会经常发生忘记填写报告的情形;
c. 不同意审计助理意见,由于与成本有关的所有问题会发生与之有关的相等的损失的风险;
d. 不同意审计助理的意见,由于验收报告的缺乏会发生与之有关的更大的损失的风险。
例题
某大型独立百货连锁商店的内部审计活动正在对采购系统进行审计,一位审计师的任务是确定是否主要的办公设备都以最佳价格取得。该审计师应该确定是否:
a.采购定单都预先编号并加以控制;
b.设备采购必须以使用部门的请购单为前提;
c.在已授权的供应商中进行竞价;
d.近年来的设备采购都在同时期固定资产预算中被批准。
例题
验收部门保留一份已定货但未收到商品的采购定单文件,这样有助于保证:
a.商品被及时地交付相应的部门;
b.只接收经批准的送货;
c.商品送到后准确地进行清点;
d.已收商品不会滥用。
例题
采购部门用公司的资金购置供个人使用的物品。公司允许经授权的职员在可修正合同下每天购置高达$250的商品。尽管公司要求采购业务都要经过督导的批准,但供应商并不知道这一要求。督导们并不对每张采购定单都进行审查和批准,而是在每月月末例行性地在批准单上签字,不去审查任何支持性凭证。由于这种性质的采购不受公司验收政策的约束,某不诚实的职员就到供应商仓库中去挑选物品。所有采购的物品都是以公司订购项目为名。过去一年中,该职员积累的商品已经足够开一家照相器材和打印耗材商店了。内部审计师实施的以下哪种审计程序能最有效地发现这种舞弊:
a.从追查注销支票样本至现金收入日记账和相关的供应商发票;
b.对两年期间打印耗材费用实施趋势分析;
c.从经选择的供应商发票样本价格和数量追查至相关采购定单;
d.重新计算经选择的供应商发票数字准确性,包括折扣和销售税。
例题
验收部门保留采购订单副本用来在确认和记录收货业务,采购订单列出了供应商的名称和订购材料的数量,该系统能够允许的可能错误是:
a.向未经批准的供应商付款;
b.对未经批准的采购业务付款;
c.对于分批送货多付货款;
d.耽误采购的记账时间。
例题
以下哪项属于控制缺陷:
a.采购程序设计完好、执行有效,除非在不同情况下受采购主管指使;
b.预先编号的空白采购订单在采购部门中保存;
c.$500至$1000之间的采购为正常的采购业务,超过$1000的采购必须由两名支票签发者的批准;
d.采购代理投资于公开交易的共同基金,此共同基金的投资组合中包括该公司一个供应商的股票。
例题
在初步调查中,审计师注意到许多给主要供应商的应付账款凭单上显示出对以前发票重复付款的调整。这意味着:
a.有必要进一步测试以确定相关的控制和目前对供应商重复付款的可能性;
b.有未记录的关于未被处理的采购金额的负债;
c.验收领域缺少控制,妨碍了向应付账款部门及时通知货物已经被验收;
d.存在一个复杂的应付账款系统使得多支付货款与发票相关,因此不需要进一步的审计关注。
例题
为了降低采购部门助理的谋私利行为,组织应当采取的措施是:
a.定期对采购助理的工作进行轮换;
b.要求内部审计对特定的采购行为和应付账款进行确认;
c.明确所有的购买行为必须通过采购单价复核;
d.直到采购部门记录所有的购买价格,并每6个月进行复核。
例题
对于组织而言,现金收付职能必须与相应的现金记录职能分离,目的在于:
a.保证现金收付的实物防护安全;
b.在现金收支的最初确定责任;
c.避免现金坐支;
d.避免现金被挪用。
例题
以下哪项控制措施能够防止对供应方的超额支付:
a.签发支票时对相关证据进行复核和确认;
b.要求支票签发者将支票直接邮寄给卖方;
c.复核支出的会计记录;
d.在卖方支付要求之前对购买进行授权。
例题
在对某仓库的扩建实施的事后完工审计中,审计师注意到一些由当地商人开出的重新装修服务的发票都注明账户号码,且仅由成本工程师签字后即支付价款。审计师应当:
a.将服务成本和种类与该建设项目使用的账户号码以及该建设项目预算中的相关估计值核对;
b.向成本工程师询问以确认这些采购都是经批准用于该建设项目的;
c.从应付账款小组取得成本工程师签字的副本并与发票上的签字相比较;
d.建议对重新装修费用重新归到各适当账户号码中。
例题
一位中型生产型公司的生产经理超额订货,并将它们运至他自己作为副业经营的一家仓储公司。为此,他窜改了验收凭证并批准了发票以便付款。下列审计程序中最可能发现这种舞弊行为的是:
a.对现金支出进行抽样,比较采购订单、验收报告、发票和支票副本;
b.抽样并向供应商函证订货的数量、价格以及送货日期;
c.观察收货地点并清点收到的材料,将清点结果与收货人员编制的验收报告相比较;
d.实施分析性测试,比较产量、原材料采购量以及原材料存货水平,调查差异。
例题
在采购审计中,内部审计师发现轮胎是最大的采购项目,它们作为车辆维修项目被费用化。车队经理根据每个星期对小汽车和卡车进行视察的结果来提出轮胎的采购申请。有时车队经理对轮胎进行验收,但通常都是直接签发验收报告。车辆服务数据在轮胎被安装以后由机械工输入一个维护数据库。在本案中审计师应采取的最恰当的审计程序是:
a.确定购入轮胎数是否与维修记录相符;
b.清点手头轮胎数并追查至相关的验收报告;
c.对采购申请进行判断抽样并证实每一申请都由车队经理签字;
d.比较用采购订单购入的轮胎数与上一年的采购数,判断合理性。
例题
某经理填制并签发了一张支票付给虚构的供应商,然后将款项存入其个人账户。以下哪一项内部控制的措施能最有效地防止或至少能发现该行为:
a.采购业务实行竞标制度;
b.向供应商的付款必须使用经批准的支票;
c.经理以外的支票签字人员只有在已批准的发票和已填制好但未签字的支票都提交上来,并经审核后才能签发支票;
d.必须由某位职员负责按时清点支票的编号顺序。
例题
审计师发现公司采购部门的政策允许产品每一部件的订货到收货天数最大化,即使部件的完成时间长达三个月或者更长。为了强调与该政策有关的降低存货持有成本目标,审计师应当关注:
a.复核产品样本的生产要求,以确定生产过程中材料与配件的最佳需求时间;
b.评估采购部门成员之间是否存在产品线任务安排的轮换;
c.确认与任一计算机控制系统有关的采购部门成员的签名授权系统;
d.对销售额最高的产品进行测试,以确定持有产成品的平均天数。
例题
某公司的一个经营部门缺少足够的程序来检测并验证收到商品的数量,为了评估这一控制缺陷的重要性,审计师应审查该部门的:
a.年末存货余额;
b.年度存货采购量;
c.年末资产总量;
d.年度运营成本。
例题
与采购流程相关的一个风险是订货数量可能超过了组织的需求量。以下控制能防止这种情况的是:
a.在申购单被提交给采购部门之前由用料部门主管进行审查;
b.当计算机提示存货水平过低时由采购部门进行订货;
c.验收部门在收到原始采购订单之后才对待验收商品进行卸货;
d.仓库拖延入库,直到检查部门提供了包括供应商编制的送货单在内的验收报告之后,商品才被入库保存。
例题
分析性证据应用于对应付账款时间表的确认。以下哪一项可以看作分析性证据:
a.对比应付账款确认单与应付账款总账或未付账款清单;
b.对比应付账款确认单与前期余额;
c.对比特定卖方确认函金额与总账金额;
d.检查确认单上特定商品的卖方发票。
例题
某计算机程序员通过更改应付账款程序使得有效的供应商支票寄送到他个人地址,并被存入一个舞弊性账户。能防止这种舞弊行为的控制是:
a.将所有支票上的收款人与支票登记薄上的名称相比较;
b.将支票上的总金额与应付账款过账数相比较;
c.保证对应用程序的修改必须有文件记录、独立地测试以及批准;
d.要求定期变更所有的系统访问口令。
人事与薪金循环的步骤
聘用员工
批准薪酬率、扣减额等
工作时间记录
薪酬准备
薪酬支付
支付薪酬税
薪酬税返还额归档(filing)
薪金与人事循环
薪金流程
薪金处理(1)
薪金处理(2)
薪金处理(3)
薪金总额表
薪金与人事循环例题
针对薪金支付职能的审计发现,有时候支付秘书通过虚拟员工将支票签发给其亲属。公司应当采取什么措施防止这类行为?
a.严格依据工时卡和出勤记录计算员工收益;
b.针对同一部门工作的亲属人员制订相关的政策;
c.由财务部门签发薪金支付支票;
d.明确必须由人事部门经理决定薪金支付的变动。
薪金与人事循环例题
审计师想了解计算机安全费用账户的借方数额是否均为合理支出,最适当的审计程序是:
a.对计算机发票进行属性抽样,确定是否所有的发票均经恰当分类;
b.运用分析性程序,比较本年度的支出数额与过去五年趋势分析得到的数额;
c.对外包商的雇员薪金支出进行属性抽样,并追查到适当的会计科目;
d.对所有账户借方进行抽样,并检查原始资料以确定支出的性质及授权。
薪金与人事循环例题
审计师通过测试性数据,检验一套电算化支付系统对正常和非典型交易类型的正常时间和超时计算结果。当出现以下哪种情形时,可以认定控制证据有效恰当:
a.未实施其他测试;
b.测试数据结果与预期结论相符;
c.通过例外证明控制系统有效执行;
d.测试结果数据直接导致其他审计数据文件的产生。
薪金与人事循环例题
审计师必须时时警惕舞弊行为存在的可能性。假定忽视对下述风险的控制,那么,哪项舞弊或滥用资产的风险最大?
a.总经理把组织和旅游娱乐基金用于一些值得怀疑的活动上;
b.在采购活动中,虚拟供应商;
c.总经理将款项拨给与其有关联的机构,或者进行违背组织的宗旨的其他拨款;
d.薪金管理职员伪造薪金花名册。
薪金与人事循环例题
审计师从个人工时卡片追查至薪金成本分配,并从薪金成本分配的总额追查至各在产品账户,如果没有发现例外,这些审计程序能证实的是:
a.在产品账户中不包括没有根据的薪金成本;
b.个人工时卡片经过正当批准;
c.薪金成本被准确地分配至在产品账户中;
d.仅根据实际工作时间向职员支付薪金。
薪金与人事循环例题
对薪金的内部审计中哪项最不重要?
a.对总薪金额与净薪金额计算的测试;
b.比较薪金成本及其预算;
c.对人事部门雇用记录中的职员名单进行抽样;
d.观察薪金支票的实际分发过程。
薪金与人事循环例题
初步调查显示审计客户职员的大量减少导致会计人员长时间地加班,部门成员明显地有压力,而且对于裁员的影响怨声载道。会计部门的薪金几乎和以前一样,而且许多关键控制,比如职责分工,已不再设置。会计主管现在执行现金收入和过账程序的所有工作,没有时间审查和批准由该部门其他人员处理的业务。自裁员以来的6个月的日记账显示出上月调整和更正记录数目的增加,包括月末结账时错记或漏记的收入、销售成本和应记账项。那么审计师应该:
a.与首席审计执行官讨论这些发现,确定进一步的审计工作能否有效使用现有的审计资源;
b.继续进行预定的审计工作,但是根据预期审计发现及不能得到审计客户会计管理部门的协助,而增加相应的审计师;
c.对临时协助机构进行调查,估计外来服务需求的成本和效益;
d.因为审计发现很明显,所以暂缓进一步的审计工作并且发出审计报告。
薪金与人事循环例题
许多非盈利组织都面临的一个潜在问题是,公众对其基金的使用情况表示怀疑。例如:一些基金并非用于真正的科研项目上,而是给组织的主管人员提供奢华的生活,或者支持其政治活动。下面哪一个控制程序最不能有效地解决这个问题?
a.定期公布经审计的财务报表,供公众和主要捐赠者审阅;
b.对所有超过一定金额的开支,必须由董事会复核和审批;
c.定期对费用开支进行审计,确定其是否符合既定的目标,并将结果报告给审计委员会;
d.定期进行薪金的审计,确定其是否符合规定的薪金标准。
薪金与人事循环例题
当通过电脑核对员工花名册与薪资支付文件(包括小时薪金制生产工人的工时记录与周薪制员工的加班记录)时,审计师主要测试以下哪类?
a.是否存在虚拟员工薪金支付;
b.加班记录的完整性;
c.生产工人薪金率的合理性;
d.辅助员工薪资的合理性。
薪金与人事循环例题
某组织委托服务机构处理其小时薪金支付行为。内部审计师关注当年的小时薪金支付是否准确,特别是由统一合同规定应当按季度计提的养老金项目是否计算准确。以下哪项审计程序能够最好实现该项目标?
a.对整个报告期间内的小时薪金支付活动进行随机抽样,重新计算支付金额和养老金金额,并与从服务机构获得的数据进行核对;
b.对整个报告期间内的小时薪金支付活动进行分层抽样,通过重新计算,核对从服务机构获得的数据;
c.对整个报告期间内的小时薪金支付活动进行发现抽样,对结果进行处理;
d.在年度审计过程中向服务机构提交一系列测试数据,将其处理结果与审计师预先计算好的结果进行对比。
薪金与人事循环例题
银行出纳员可能使用被授权的出纳员的终端通过将客户账户资金转入或转出来掩饰他们个人支票账户的透支。发现出纳员这种未授权行为的最佳控制要求:
a.只能在督导批准后才能进行银行客户账户之间的资金转移;
b.由联机出纳系统对所有账户进行突击结账;
c.定期检查能访问出纳职能的职员的账户;
d.对能访问出纳职能的职员实行年度休假。
薪金与人事循环例题
考虑到日益恶化的经济环境以及大多数部门可能存在冗员,管理当局要求内部审计活动对人事部门的有效性实施审计。这种审计能否解释冗员的问题:
a.能,因为招聘新员工通常经过了人事和其他部门之间的协商;
b.能,因为人事部门对所有关键职位和主要职员类型都实施了正式的职位分析;
c.不能,因为人事部门通常是集中的而其他部门在地理上可能是分散的;
d.不能,因为职员的规模通常是各个部门在它们的预算约束下决定的。
薪金与人事循环例题
在对人事职能进行审计的过程中,审计师发现公司提供多种员工福利项目,并且参与者享有自由选择权,为了评价不同员工福利项目的可接受性,以下哪类证据最有效?
a.与项目参与者讨论其满意度;
b.评估参与项目比率以及其倾向;
c.与人事主管探讨满意度;
d.评价项目的沟通方法。
薪金与人事循环例题
以下哪类下属员工业绩评价方法被认为违背有效的人事管理原则:
a.由于评价者对员工的影响不同,评价结果差异很大;
b.应当实施年度或更频繁的业绩评价,从而为员工提供及时的能力信息反馈;
c.新员工开始工作后不久就应当进行第一次业绩评价,以有效指导新员工工作;
d.由于存在诸多业绩优异的员工,所以最好采取标准业绩评价。
薪金与人事循环例题
各种审计活动的客观性程度不同,下列审计中客观性最强的是:
a.对公司加班政策的合规性审计;
b.对人事部门雇佣和解雇活动的经营性审计;
c.对市场部的绩效审计;
d.工薪程序的财务控制审计。
存货和仓储循环
验收货物
存储货物
核算验收和存储费用
处理货物(产成品)
核算产品与加工成本
产成品与半成品的储存
发货
存货与仓储循环中的物流与相关的原始凭证
存货与仓储循环审计的组成
制造业企业的交易流
制造业企业的交易流程(续)
存货与仓储循环例题
在一次审计中,内部审计师发现一个阴谋,某零售企业的仓库经理和采购代理将约$500,000的商品运出自己的仓库并出售给第三方。该舞弊行为早先并未被发现,直到仓库主管(在修改了存货永续盘记录之后)向应付账款部门提出验收报告。以下程序中最有可能发现丢失的材料和舞弊行为的是:
a.对验收报告进行随机抽样,并追查至永续盘存记录,关注差异并按商品类别进行调查;
b.对采购订单进行随机抽样并追查至验收文件和应付账款部门的记录;
c.进行年度存货实物盘点,将结果与永续盘存记录相核对,注意差异并调查;
d.对销售发票进行随机抽样并追查至永续盘存记录,以验证是否存货还在手中,调查差异。
存货与仓储循环例题
在测试存货控制的有效性时,审计师在工作底稿中指出该循环内许多账项调整涉及机床加工部的业务。该机床加工部去年同样导致了超常的多于其他部门的存货控制循环账款调整。审计师应该:
a.与管理部门协商并采用其他审计技术,以确定机床加工部的交易循环控制制度和程序是否充分;
b.不再深入审计工作,因为审计计划中设计的分析性检查程序中未表明这点;
c.提醒内部审计管理当局可能存在舞弊;
d.在工作底稿中注明下次检查时详细检查该问题。
存货与仓储循环例题
某制造型公司购买许多不同类型和尺寸的钢材以备生产之用。内部审计师可能使用计算机模拟来评价公司的钢材采购职能的:
a.采购钢材时采纳的技术说明书;
b.仓库职能实现的节约;
c.有关投资于存货和缺货成本的可选择采购政策的影响;
d.用来确定经济定货量的计算机程序的质量。
存货与仓储循环例题
某制造业工厂在生产过程中要大量使用螺母、螺栓、垫圈、手套等低值易耗品。这些物品购买后,在存货账上计入一个总数。平时,有一定数量的低耗品存放在生产车间的箱子里。每次补充时,则从仓库领取放进箱内,并把该次实践的低耗品成本记入车间的制造费用。针对以上情况,哪一控制措施最为适当:
a.把箱子放回仓库;
b.要求管理当局检查消耗性物品的成本报告,并与相应的预算作比较;
c.在正常的工作时间把箱子锁起来;
d.以上控制措施对低值易耗品等存货项目是不必要的。
存货与仓储循环例题
某大型制造业公司要求其审计师对公司的生产计划系统进行审查。公司通过联接于局域网中的微机具有的生产数据,并通过电子数据交换自动生成采购定单。购货是向经批准的供应商进行的,根据是下个月的生产计划以及经审批的确定每单位产品对零件需求的材料需求计划(MRP)。假设某人有舞弊意图,并且他能不经批准就可访问到局部网上的数据。为了向虚构的供应商发出订货单,继而骗取向该虚假供应商支付的货款,该人须要访问的数据库应包括:
Ⅰ.生产计划数据库
Ⅱ.经批准的供应商数据库
Ⅲ.原材料需求数据库
Ⅳ.外购零部件的存货数据库
a.只有Ⅰ和Ⅱ;
b.只有Ⅰ、Ⅱ和Ⅲ;
c.只有Ⅱ和Ⅲ;
d.Ⅰ、Ⅱ、Ⅲ和Ⅳ。
存货与仓储循环例题
永续盘存制使用一最低库存量来确定采购定单程序,在审查仓库部门设立的最低库存量的恰当性时,审计师最不可能考虑:
a.短缺成本,包括失去的顾客;
b.预测存货需求时的季节性变动;
c.由经济订货模型决定的最佳订货规模;
d.可供使用的仓库空间和潜在的报废数。
存货与仓储循环例题
与准时制生产系统(JIT)相关的风险包括:
a.潜在增加了完工产品存货的提早报废;
b.材料处理设备成本过高;
c.残次产品返工成本可能增高;
d.过分依赖有效供应商的风险。
存货与仓储循环例题
对采购职能的审计表明该部门又在订购当时按多余物资处理的材料,审计师应建议采取的纠正措施是:
a.所有的请购单都应由负责任的采购代理批准;
b.向使用部门证实对替代原材料的所有定货;
c.使用基于历史成本的再定货点系统;
d.编制并分发有关多余存货的定期报告。
金融资本和支付循环的步骤
发布长期债券和股票
支付利息和红利
证券回购和支付到期票据
核算金融交易
对利息和红利支付进行详细的记录,并将适当的税收表予以归档
服务类型--项目结果业务
项目结果业务(program-results engagement)欲意取得有关项目的成本、产出、收益和效果的信息。它试着考评组织已完成的项目及相关的成功项目。鉴于收益通常不能以财务条款来量化,为此要特别关注考评有效性的能力。因此,在项目开始前要提供清晰界定的目标和标准。
服务类型—审慎性复核
审慎性复核与会计师的自我保护责任有关。在他们对招股说明书或其他披露的财务报表进行准备或证明时,需证明他们在开展工作时开展了审慎性复核。
“审慎性复核”也适用于内部审计师与其他人员(外部审计师、税务专家、财务专家、律师等)确定一些重要的交易业务(如业务合并、关联投资、收购等)是否正当,并且这种正当性是否有效的服务。
内部审计师可能检查采购、运输与验收、存货管理等业务,也可能对信息系统的内部控制、公司文化的相容性以及财务和会计问题进行检查。
审慎性复核过程不仅确立了预期的交易收益(更广阔的市场、技能更好的员工、接触人力资本、业务协同)是否有可能实现,也确立了通过改进所开展交易的效果和效率来促进这些收益的实现。
服务类型—环境审计
环境审计,是对危险的废弃物所进行的控制的充分性和有效性的检查,它还可延伸到为治理环境而增加的或有责任合理性的检查。
环境审计是环境管理系统的组成部分,在这个系统中,管理层要确定组织的环境控制系统是否充分到足以确保其遵守规章制度与内部政策。
环境审计的七个类型
合规性审计,取决于违规风险的程度,它是对当前业务、过去的实务以及已计划的今后业务的详细的、特定场所的审计。通常是对可能受污染地点的所有环境媒介所进行的审计,包括空气、废弃物、土地和污水。
环境管理系统审计确定系统是否适当且恰当运行,以便管理将来的环境风险。
交易的审计要在所有权转移前对环境的风险和土地或设备的债务进行评估。当前的土地所有者要对是否由他们产生的污染负责。
处理、存储和设施处置审计。法律可能要求对危险的物品自始自终要通过记录的方式予以追踪。在这个追踪链中的所有人员都可能要承担责任。
污染预防审计
环境责任获利(accrual)审计。
产品审计确定产品对环境是否无害,产品和化学的限制是否实现。
例题
在内部审计活动的指导下,开展环境审计的优势是:
A.适当的独立性与权威性;
B.可以更容易地获取技术专家;
C.不强调财务方面;
D.内部审计工作结果是保密的。
解析
讨论:内部审计活动在组织中有确定的位置,具有广泛的、正常的工作范围,很容易吸收新的职能工作。而且,首席审计执行官对组织中具有很大权力的人员负责,以促进独立性,并确保广泛的审计范围、对业务沟通的充分考虑以及对业务建议的恰当行动。首席审计执行官也应直接向董事会沟通(实务公告1110-1)。因而,在内部审计活动的指导下开展环境审计的优势在于它具有恰当的组织地位。
答案B不正确,环境审计具有很强的复杂性,需要技术专家。这种复杂性在聘用了以技术为导向的部门指导下的环境审计小组的情况下就成了优势。内部审计师在正常情况下不具备必要的能承担主要责任的技术专长;答案C不正确,内部审计活动在财务问题重大的情况下会优先开展;答案D不正确,业务结果应该在恰当的人群中传播(标准2440)。
例题
某制造企业在其产品制造过程中需用一些具有危害性的原料。对这类有害原料的审计应当包括:
Ⅰ.建议将环境管理制度纳入企业政策与章程;
Ⅱ.确定这些有害原料自始至终的记录是否存在;
Ⅲ.利用专家意见以避免公司由于环境审计发现的非法事项而陷入诉讼威胁;
Ⅳ.评价因环境方面的应计事项而确认的相关成本。
a.只有Ⅱ;
b.只有Ⅰ和Ⅱ;
c.Ⅰ,Ⅱ和Ⅳ;
d.Ⅲ和Ⅳ。
解析
讨论:组织要服从于对其经营有重大影响的环境法和规定,并应建立环境管理系统。这个系统的一个特征就是环境审计,它包括对危险废料所施加的控制的充分性和有效性的检查。环境审计大致对强加于废料的生产者、运输者和所有者的管理规定进而作出的反应进行了考评,这还包括对经营者处理、存储和处置设备的考评。比如,有些法律对危险材料从有到无的过程进行控制。环境审计也延伸到为拯救环境而增加或有负债是否合理的检查。
答案A和B不正确,对危险材料的审计可以包括对环境管理系统所提的建议,证实追踪记录以及评价责任;答案D不正确,没有必要聘请咨询顾问来避免自我牵连。内部审计师既便发现了违反环境法的情形,并没有要求他们要向外部机构报告。
例题
公司正在考虑购买一家小型的有毒废料处理工厂。内部审计师对这项收购进行审慎性检查。内部审计师的工作范围最不可能包括:
A.将当前诉讼卷宗的价值不利于购买者的价值进行评价;
B.对购买者接受废料的程序进行检查,并与法律要求进行比较;
C.对购买者是否遵守贷款协议或披露贷款协议进行分析;
D.对购买者业务的效率进行评估。
解析
讨论:诉讼价值的评价要求法律专家。内部审计师最多就是对商法的基本原则作出正确评价,也就是说,认识到问题或潜在问题存在的能力,并确定需要采取的进一步研究或需要取得的帮助(实务公告)。因此,内部审计师的责任就限于应用外部服务提供者来评价诉讼的价值。
答案B和C不正确,对法律、法规与合同的合规性检查在内部审计的范围之内;答案D不正确,内部审计师要评价控制,包括对经营的效率和效果进行评价。
污染预防审计
确定如何使废弃物最小化以及如何在源头清除废弃物。这类审计常用的污染预防层级是:
恢复为可用产品
在源头清除
循环和再使用
能量转换
处理
处置
放弃
例题
管理层对制造业务设计了许多不同的减少或预防污染的办法。污染预防审计的目标在于确认能将废料降至最低限度的机会并在源头消除污染。以下降低废料的机会,应按哪项顺序排列:
Ⅰ.重复利用与重新使用;
Ⅱ.在污染源消除污染;
Ⅲ.能源转换;
Ⅳ.恢复成可使用产品;
Ⅴ.废物处理。
A.Ⅴ,Ⅱ,Ⅳ,Ⅰ和Ⅲ;
B.Ⅳ,Ⅱ,Ⅰ,Ⅲ和Ⅴ;
C.Ⅰ,Ⅲ,Ⅳ,Ⅱ和Ⅴ;
D.Ⅲ,Ⅳ,Ⅱ,Ⅴ和Ⅰ。
例题
由于某公司经营的性质,辐射安全性非常重要,因此正在进行审计,以测试对放射性物质的采购,改善和使用进行控制的系统,上述过程涉及采购和设备部门,审计师正在考虑对这两个部门的放射性物质的处理程序也进行审查。那么,审计师应该:
a.相信安全部门详细严格的程序,不应该将审计时间用于审查其他部门,因为安全部门对放射安全负有主要责任;
b.根据需要,调整审计时间安排和预算,并与采购和设备部门的有关人士进行面谈,确定是否存在对安全部门的程序进行补充的额外控制;
c.测试安全部门内部的控制措施,如果结果不理想,考虑是否让其他部门参与进来;
d.将有关采购、设备和其他部门的问题推延至可以对这些部门安排审计项目时再提出。
内部审计程序(黄皮书p162)
业务计划与业务监督
A. 业务计划
B. 初步调查
C. 业务监督
D.监控进程
业务计划之相应标准与公告
2200 业务规划-- 内部审计师在开展每项业务时都应制定并记录业务计划。
实务公告2200-1:业务计划
2201 规划考虑- 在规划业务时,内部审计师应考虑:
被检查活动的目标,及这项活动控制其业绩的方式;
被检查活动的重大风险、这项活动的目标、资源与运营,以及将风险的潜在影响保持在可接受水平的方式;
与相关的控制架构或模型相对照,风险管理及控制系统活动的适当性与有效性;
对风险管理和控制系统的活动进行重大改进的机会。
- 内部审计师应与咨询业务的客户就目标、范围、各自的职责及客户的其他期望达成共识。对一些重要的业务,这种共识必须形成书面文件。
例题
某外部咨询师正在为城市的重大设施制定管理办法,评价咨询师工作的恰当业务范围是:
A.检查咨询师的合同以确定其适当性;
B.制定所管理和控制项目的价值参数;
C.确定管理重大设施的风险管理和控制系统的充分性;
D.检查闲置设备的处理方式。
解析
答案A不正确,检查咨询师的合同以确定其适当性与采购决策有关;答案B不正确,制定所管理和控制项目的价值参数是管理层的职责;答案D不正确,管理层必须确定有关闲置设备的政策,可留下某些设备以备应急之用。
例题
测试控制的业务工作方案应该:
A.为每项所评价的经营活动专门制定;
B.通用于各种情形,但与各部门工作无关。
C.通用于所有地方的特定部门;
D.通过确保检查经营的每一个方面来减少昂贵的工作重复
解析
讨论:业务工作方案应该将内部审计师在开展业务过程中收集、分析、解释并记录信息的程序进行文件记录;说明业务的目标;阐明在业务的每个阶段实现业务目标所需的测试范围和程度;确认应该检查的技术方面、风险、流程与交易;说明所需测试的性质和范围;在业务工作开始前完成业务计划的准备工作,并在业务过程中进行恰当的修改(实务公告2200-1)。不过,在内部审计师确立了业务目标和范围并确定了所需的资源后,工作方案必须适应业务的具体要求。
答案B不正确,通用的方案允许来自变化的环境和不同状况所产生的变化;答案C不正确,通用的方案不考虑环境和状况的变化;答案D不正确,不需要对经营活动的每个方面都进行检查,只需要对最可能隐藏问题和困难的那些方面检查就行。
例题
内部审计师应该为每项业务制定并记录一个计划。计划过程不应包括以下哪项:
A.确立业务目标和工作范围;
B.获取有关被审计活动的背景信息;
C.确认充分的信息以实现业务目标;
D.确定如何、何时以及向谁沟通业务结果。
解析
讨论:计划应包括确定业务目标和工作范围、获取有关被审计活动的背景信息、确定开展业务的必要资源,并将上述内容告知需要了解有关审计业务的管理层。计划还应包括在恰当时候为熟悉各项活动、风险和控制所开展的调查,确认业务的重点领域,并从业务客户处征求评论和建议。此外,计划要延伸到制定工作方案,确定如何、何时以及向谁沟通业务结果,并取得业务工作方案的批准。确认充分的信息以实现业务目标是在实地工作期间的工作,不是计划阶段的工作(实务公告2200-1)。
业务计划之相应标准与公告(续)
2210 业务目标-- 咨询业务的目标应关注与被检查的活动有关的风险、控制及治理过程。
实务公告2210-1:业务目标
1. 业务计划应该得到记录,业务目标和工作范围应该得到确定。业务目标是内部审计师开发的、界定业务希望实现内容的较为宽泛的声明。业务程序是实现业务目标的手段。业务目标和业务程序的结合就界定了内部审计师的工作范围。
2. 业务目标和程序应该针对与被审计活动有关的风险。“风险”是指可能影响目标实现的事件发生的不确定性。风险根据后果和可能性来衡量。在业务计划阶段风险评估的目标是确认应该作为潜在业务目标得到检查的重要领域。
- 在规划业务时,内部审计师应确认及评估与被检查的活动有关的风险。业务目标应反映风险评估的结果。
实务公告-1:业务计划过程中的风险评估
- 在制定业务目标时,内部审计师应考虑到存在重大错误、不合规、违法及其它风险暴露的可能性。
- 咨询业务目标应按与客户达成协议的范围关注风险、控制及治理过程
例题
业务范围的确定应足以实现业务的目标。在制定业务目标时,内部审计师应该考虑:
A.重大的不合规性的可能性;
B.包括在业务工作方案中的信息;
C.业务程序的结果;
D.所需资源。
解析
讨论:根据标准,内部审计师在制定确认业务目标时,应考虑到存在重大错误、不合规、违法及其它风险暴露的可能性。在咨询业务中,咨询业务目标应按与客户达成协议的范围关注风险、控制及治理过程(标准)。
答案B不正确,业务目标必须在书面业务工作方案的编写之前确定;答案C不正确,目标确定了要开展的审计程序;答案D不正确,内部审计师确定所需资源以实现业务目标。
例题
以下哪项对审计目标和审计程序之间的差别作出了最佳的解释:
A.程序确立了宽泛的一般目标,目标专门针对所开展的详细工作;
B.目标是为每项业务特制的,程序的应用较为通用;
C.目标界定了具体需要实现的内容,程序提供了取得目标的方式;
D.程序和目标在本质上是相同的。
解析
讨论:根据实务公告2210-1,“应对业务计划予以记录,并对业务目标和工作范围予以确定。业务目标是内部审计师制定的、界定业务希望实现内容的较为宽泛的声明。业务程序是实现业务目标的手段。业务目标和业务程序的结合就界定了内部审计师的工作范围。”
答案A不正确,目标是具体的,程序专门针对详细的工作;答案B不正确,目标和程序都必须为每项业务专门制定;答案D不正确,程序是为实现业务目标在开展业务时收集、分析、解释和记录信息的方式。
例题
在审计的哪个阶段,内部审计师确认出被审计活动的目标和相应的控制:
A.初步调查阶段;
B.员工挑选阶段;
C.编制工作方案阶段;
D.审计结果报告阶段。
解析
讨论:计划包括在适当的情况下开展调查,以熟悉有关活动内容、风险和控制;确认业务的重点领域;征求业务客户的评论和建议(实务公告-1)。
答案B不正确,员工挑选是决定内部审计师开展业务的一个过程;答案C不正确,在初步调查后就要编制工作方案;答案D不正确,在结束审计业务后就要提交审计报告。
例题
以下哪项是对初步调查的最佳描述:
A.采用标准化的调查问卷来了解组织的管理目标;
B.对关键员工的工作态度、技能和知识等方面进行的统计抽样;
C.对财务控制系统进行“穿行测试”,确认风险和相应的控制措施;
D.为确认业务的重点领域,用于熟悉活动和风险的一个过程。
解析
讨论:计划包括在适当的情况下开展调查,以熟悉有关活动内容、风险和控制;确认业务的重点领域;征求业务客户的评论和建议(实务公告-1)。
答案A、B和C不正确,在初步调查期间所开展的详细的程序,包括采用标准化的调查问卷、统计抽样和穿行测试。
例题
某金融机构的内部审计师正开展审计,以评价该机构的投资和贷款业务。在上一年度,该机构在监控投资和贷款业务量方面采用了新的政策和程序。审计师还了解到该机构在去年投资于一些新型的金融工具,并运用大量的衍生金融工具来适当地防范风险。如果内部审计师要开展初步的检查,应实施以下哪个程序:
A.检查自上次内部审计之后,由管制部门和外部审计师出具的审计报告;
B.与管理层会谈,确认在投资和贷款方面的政策变化;
C.检查董事会会议记录,确认政策的变化对投资和贷款所产生的影响;
D.以上答案都正确。
解析
讨论:业务计划应予以记录,除此之外,还应包括从以前的业务工作底稿、其他业务的结果、预算数据、财务报表、组织的信息(主要的系统变化等)、通信文件以及适合被审计活动的技术性的文献中获取关于被审计活动的背景信息。计划还应包括在适当的情况下开展调查,以熟悉有关活动内容、风险和控制;确认业务的重点领域;征求业务客户的评论和建议。调查涉及与业务客户开展讨论、与受被审计活动影响的个人(如审计报告的使用者)进行面谈、进行现场观察、回顾管理报告和研究结果、分析性审计程序、绘制流程图、功能性“走查”(从头至尾对具体工作活动进行测试,也称穿行测试)以及记录关键的控制活动。(实务公告-1)。
答案A、B和C不正确,在调查期间,内部审计师应检查自上次内部审计之后,由管制部门和外部审计师出具的审计报告;与管理层会谈,确认在投资和贷款方面的政策变化;检查董事会会议记录,确认政策的变化对投资和贷款所产生的影响。
例题
内部审计师正计划对质量控制部门进行审计,以下哪项文件最不可能用于初步调查问卷的编制工作:
A.质量控制文件的分析;
B.永久性审计档案;
C.以前的审计报告;
D.用于质量控制部门的管理的章程。
解析
讨论:调查是在不加详细核证的前提下对被审计活动收集信息的过程。(实务公告-2)。质量控制文件的分析是现场工作的组成部分,可在初步调查中进行。
答案B和C不正确,永久性档案可能包含以往的业务中提到的问题、以前年度查出的问题以及以往的业务沟通等内容,它们都对目前要制定的恰当问题有帮助;答案D不正确,了解到质量控制部门打算做的事情会对内部审计师制定内容翔实的问题有帮助。
例题
在计划审计业务时,调查不会对以下哪项有帮助:
A.取得业务客户对控制问题的评论和建议;
B.取得控制的初步调查;
C.确认业务重点的范围;
D.评价控制的充分性和有效性。
解析
讨论:调查是在不加详细核证的前提下对被审计活动收集信息的过程。调查可以涉及与客户的讨论,记录关键的控制活动并确认重大的业务问题(实务公告-2)。调查对评价控制的充分性和有效性没有帮助,除非内部审计师对控制已有了相当的熟悉。评价需要测试。
答案A、B和C不正确,调查能帮助取得客户对控制问题的评论和建议,取得有关控制的初步信息,并确认业务重点的范围。
业务计划之相应标准与公告(续)
2220 业务范围-- 业务范围的确定应足以实现业务的目标。
- 业务的范围应考虑到相关的系统、记录、人员及包括受第三方控制的实物资产。
- 在开展咨询业务时,内部审计师应确保业务范围的充分性,以实现协定的目标。如果内部审计师在开展业务时对业务范围有保留,应与客户就这些保留进行讨论,以确定是否继续业务。
2230 业务资源分配-- 内部审计师应确定实现业务目标的恰当资源。人员的配备应依据对每项业务的性质和复杂性、时间限制以及可用资源的评价。
实务公告2230-1:业务资源的分配
例题
解析
讨论:根据标准2220,“业务范围的确定应足以实现业务的目标。”而且,根据实务公告2210-1,“业务计划应该得到记录,业务目标和工作范围应该得到确定。业务目标是内部审计师开发的、界定业务希望实现内容的较为宽泛的声明。业务程序是实现业务目标的手段。业务目标和业务程序的结合就界定了内部审计师的工作范围。”
答案B不正确,工作进度和时间估算要以业务的目标和范围为依据;答案C不正确,初步调查要在业务目标确定前开展,但目标和程序界定了业务的范围;答案D不正确,工作方案在初步调查之后制定,且要以业务目标为依据。
例题
在为某高风险领域的特定业务制定计划时,首席审计执行官认为现有助理人员不具备完成该业务的必备技能,那么最符合业务计划原则的最佳做法是:
A.由于不具备必备技能,因此不开展这项业务;
B.将该业务作为一次训练机会,让内部审计人员在业务实施过程中学习;
C.考虑运用外部资源来补充所需知识、技能和其他能力完成该项业务;
D.实施该项业务,但鉴于技能的缺乏而限定业务范围。
解析
讨论:在确定开展业务所必需的资源时, 首席审计执行官在为业务选择内部审计师时,应考虑内部审计人员的知识、技能和其他的能力;在需要进一步的知识、技能和其他能力时,首席审计执行官应考虑利用外部资源(实务公告2230-1)。
答案A不正确,不开展业务是不能被接受的,尤其是对高风险的领域;答案B不正确,应该适当地监督业务,内部审计活动中没有人对此进行监督;答案D不正确,只有在不能从外部资源获取所需的技能时,才应该限制业务范围。如果范围受到限制,应在中期报告中向管理层报告这种限制。
业务计划之相应标准与公告(续)
2240 业务工作方案-- 内部审计师应制定出能完成业务目标的工作方案,应对这些工作方案予以记录。
实务公告2240-1:业务工作方案
1. 如果可行,业务程序(包括所应用的测试和抽样技术)应该事先予以选择,并在条件允许的情形下得以扩充或修改。实务公告-1对此问题有更详尽的指导意见。
2. 收集、分析、解释和记录信息的过程应该得到监督,以合理保证审计师的客观性得到维护,业务目标得以实现。
- 工作方案应对业务期间为确认、分析、评价和记录信息制定程序。工作方案应在工作开始之前获得批准,方案的任何调整都应得到及时的批准。
实务公告-1:工作方案的批准
对业务工作方案的审批是指首席审计执行官或其指定人员在业务工作开始之前书面批准业务工作方案。对业务工作方案的调整应该及时得到批准。如果由于种种原因,无法在业务工作开始之前获得书面批准,可以先获取有关方面的口头同意。
- 咨询业务的工作方案在形式和内容上可以不同,这取决于业务的性质。
例题
制定业务工作方案发生在业务的以下哪个阶段:
A.计划阶段;
B.在评价风险管理和控制系统之后;
C.在开展业务时;
D.为确保下次业务能涵盖所指出的问题区域,在每次业务结束后对标准业务方案进行修改时。
解析
讨论:标准2200指出,“内部审计师在开展每项业务时都应制定并记录业务计划。”因此,标准2240指出,“内部审计师应制定出能完成业务目标的工作方案,应对这些工作方案予以记录。”此外,在业务工作开始前完成工作方案的准备工作,并在业务过程中进行恰当的修改(实务公告2200-1)。相应地,工作方案要在计划阶段准备。
答案B不正确,工作方案指出了测试的范围、深度、性质和程度。因此,它必须在计划阶段制定;答案C不正确,内部审计师应在计划阶段制定工作方案,而不是在业务开展时;答案D不正确,尽管为下次业务在每项业务结束后修改工作方案是允许的,但工作方案还是要在计划阶段制定。
例题
用于评价采购职能的综合性确认业务的工作方案应该包括:
A.以获取的风险为依据,对相应的程序进行优先排列;
B.对所检查的经营业务的审计目标的表述应得到业务客户的同意;
C.用于实现审计目标的程序;
D.注重于影响财务报表的作为控制对立面的风险。
解析
讨论:工作方案是业务计划的必然组成部分。工作方案应对业务期间为确认、分析、评价和记录信息制定程序。工作方案应在工作开始之前获得批准,方案的任何调整都应得到及时的批准(标准)。
答案A不正确,审计程序通常是按最有效率地完成工作方案的顺序排列;答案B不正确,业务目标应予以指出,但不需要得到业务客户的同意;答案D不正确,业务不应过窄地局限于财务信息的可靠性和完整性方面。
例题
对业务工作方案的批准应该:
A.不能晚于业务工作的结论;
B.由业务客户或指定人员做出;
C.在某些情况下获取有关方面的口头同意;
D.董事会书面批准。
解析
讨论:对业务工作方案的审批是指首席审计执行官或其指定人员在业务工作开始之前书面批准业务工作方案。对业务工作方案的调整应该及时得到批准。如果由于种种原因,无法在业务工作开始之前获得书面批准,可以先获取有关方面的口头同意(实务公告-1)。
答案A不正确,批准工作应在业务工作开始之前;答案B和D不正确,业务工作方案要经首席审计执行官或指定人员的批准。
业务监督之相关标准
2340 业务监督- 应对业务进行适当的监督,以确保实现目标、保证质量、提高职员素质。
实务公告2340-1:业务监督
1. 首席审计执行官负责确保提供恰当的业务监督。监督过程从业务计划开始,持续贯穿于业务的检查、评价、报告和后续追踪各个阶段。监督包括以下内容:
确保分配参加业务的审计师掌握必须的知识、技能和开展业务工作所需的其他能力;
在业务计划阶段提供恰当的指导并批准业务方案;
监督批准后的业务方案按计划进行,除非有充分的理由并得到授权改变业务方案;
确定业务工作底稿充分支持审计发现、结论和建议。
确保业务沟通准确、客观、清楚、及时、富有建设性。
确保业务目标得到实现。
为提升内部审计师的知识、技能和其他能力提供机会。
例题
以下哪项对业务监督作了最佳描述:
A.每位审计经理要对监督负最终的责任;
B.监督主要在审计的最后审核阶段采用,旨在确保审计报告的准确性;
C.监督在审计的计划阶段最为重要,用于确保适当的审计覆盖面;
D.监督是一个持续的过程,开始于审计计划,结束于对审计作出结论。
例题
内部审计业务的监督应该包括:
A.确定业务工作底稿充分支持审计发现;
B.为特定的业务分派审计师;
C.确定业务范围;
D.至少每年都要对每位内部审计师的业绩作出评价。
解析
讨论:监督包括以下内容:确保分配参加业务的审计师掌握必须的知识、技能和开展业务工作所需的其他能力;在业务计划阶段提供恰当的指导并批准业务方案;监督批准后的业务方案按计划进行,除非有充分的理由并得到授权改变业务方案;确定业务工作底稿充分支持审计发现、结论和建议;确保业务沟通准确、客观、清楚、及时、富有建设性;确保业务目标得到实现;为提升内部审计师的知识、技能和其他能力提供机会(实务公告2340-1)。
答案B不正确,业务资源分配属于计划职能,不属于监督职能(实务公告2230-1);答案C不正确,确定业务范围是计划职能;答案D不正确,每年评价内部审计师的业绩不属于特定业务的监督职能,而是内部审计活动的人力资源管理的组成部分(实务公告2030-1)。
例题
首席审计执行官对业务负有监督责任。在业务的现场工作阶段最重要的监督包括:
A.查看已批准的业务工作方案的执行情况,除非有充分的理由并得到授权改变业务方案;
B.在业务开始时提供合适的能被服从的指令,并批准业务工作方案;
C.至少每年都要评价内部审计师的业绩;
D.确保业务沟通是准确、客观、清楚、简明、富有建设性和及时的。
解析
讨论:监督包括以下内容:确保分配参加业务的审计师掌握必需的知识、技能和开展业务工作所需的其他能力;在业务计划阶段提供恰当的指导并批准业务方案;监督批准后的业务方案按计划进行,除非有充分的理由并得到授权改变业务方案;确定业务工作底稿充分支持审计发现、结论和建议;确保业务沟通准确、客观、清楚、及时、富有建设性;确保业务目标得到实现;为提升内部审计师的知识、技能和其他能力提供机会(实务公告2340-1)。在现场工作阶段需要对业务工作方案的执行进行监督。在现场工作之前或之后还要开展其他的监督任务。
答案B不正确,“在业务开始时”不属于现场工作阶段;答案C不正确,对于特定的业务,每年的业务业绩评价是不具体的;答案D不正确,业务沟通要在现场工作的结论阶段准备。
例题
以下哪项对特定的内部审计业务所需要确定的监督程度内容作出了最佳表述:
A.业务是否涉及管理层的可能的部分舞弊情况;
B.业务是否涉及可能违反法律或政府规章的情况;
C.内部审计师的熟练性和业务的复杂性;
D.内部审计活动以往处理特定业务客户的经验。
解析
讨论:首席审计执行官负责确保提供恰当的业务监督。所要求的监督程度取决于内部审计师的熟练性和经验以及业务的复杂程度(实务公告2340-1)。
答案A、B和D不正确,首要的监督问题是内部审计师是否具有开展业务所必备的知识、技能和其他能力。涉及管理层可能的舞弊或涉及违反法律或政府规章的业务,以及内部审计活动以往处理特定业务客户的经验都不是确定所需监督程度的首要因素。
例题
某新来的助理审计人员被分派参与该组织现金管理业务的审计项目,该审计人员并无现金管理方面的经验,而且这次是其第一次参加审计。内部审计部门应采用何种方式才是遵循《道德规范》有关知识和技能方面的规定:
a.由精通该领域的高级审计师严格监督助理人员的工作;
b.助理审计人员开展审计工作和编制审计报告,并交由首席审计执行官详细审阅;
c.选项a和b都对;
d.选项a和b都不对。
监控进程之相关标准
2500 监控进程-- 首席审计执行官应设立并保留一个系统,用以监控已向管理层沟通的业务结果的处理情况。
实务公告2500-1:监控进程
- 首席审计执行官应建立跟踪程序,用以监控和确保管理活动已得到有效开展,或管理高层已接受了不采取行动所带来的风险。
实务公告-1:后续追踪程序
- 内部审计活动应按与客户商定的范围监督咨询业务结果的处理情况。
2600 管理层对风险的接受-- 如果首席审计执行官认为管理高层接受了不应为组织所接受的剩余风险,他/她就应与管理高层讨论这一事项。如果关于剩余风险的讨论无法解决问题,则首席审计执行官和管理高层应向董事会报告以求解决。
实务公告2600-1:管理层对风险的接受
例题
假定内部审计师发现问题很严重,并认为管理层应该立即采取行动。以下哪项有关内部审计师沟通结果并进行后续追踪的表述是正确的:
Ⅰ.内部审计师应该立即主动监控这种情形直到采取纠正措施。
Ⅱ.即便审计工作尚未结束,也应将最初的发现与管理高层和审计委员会沟通。
Ⅲ.内部审计师应该立即测试由管理层实施的活动,以确定他们是否对问题进行了补救。
A.仅有Ⅰ正确;
B.仅有Ⅱ正确;
C.仅有Ⅱ和Ⅲ正确;
D.Ⅰ、Ⅱ和Ⅲ都正确。
解析
讨论:有些已报告的发现和建议可能非常重要,因而需要管理层马上采取措施。由于这些情况可能对组织产生的影响,内部审计活动应该对它们进行持续监控。首席审计执行官应该建立包括以下内容的程序:要求管理层对业务发现和建议作出反应的时间框架;对管理层作出反应的评价;(在适当条件下)对管理层作出反应的核证;(在适当条件下)开展后续追踪活动;将审计师不满意的反应/措施(包括风险假设)向上报告给恰当层面的管理层的沟通程序(实务公告2500-1)。
答案A、B和C都不正确,内部审计师应该向审计委员会和管理层沟通审计发现并提出建议。内部审计师应该监控上述情形,也应测试由管理层采取的任何纠正措施,以确定这些措施是否补救了问题。
例题
初步调查披露从来没有对以往报告的审计发现采取纠正措施。随后的现场工作证实这种情况依旧存在。以下哪项行动方案应该是内部审计师所遵循的:
A.不采取行动,开展经营方面的控制;
B.与首席审计执行官讨论这个问题,这个问题需要特别的解决方案;
C.与有关的负责这个问题的人员讨论,他们应知道如何解决这个问题;
D.命令有关的负责人员解决这个问题,他们有足够的时间去做这些事情。
解析
讨论:内部审计师应确认已经采取有关纠正措施并正在达到期望的结果,或者确认管理高层或董事会已经承担了对所报告的发现不采取纠正措施而产生的风险(实务公告-1)。而且,在提出审计报告前,对结论和建议的讨论应在管理层的适当层面(实务公告2440-1)。客户管理层要在“适当的”层面。取得客户的合作(或至少是理解)是解决任何问题的至关重要的组成内容。
答案A不正确,所观察到的状况使组织处于风险之中,除非情况变化或纠正了这种情形;答案B不正确,没有得到纠正的情形不是独有的,不需要特别的解决方案;答案D不正确,内部审计师对客户没有直接的权力,实施这类权力会有损客观性。
例题
某内部审计小组最近完成的审计业务对有关公司机动车使用是否符合公司出租与采购政策作出了评价。审计报告表明有若干项出租(而非采购)的决定没有在文件中记录因而无法审计。报告建议业务管理人员必须确保在有出租决定的书面文件时才可以办理出租协议。内部审计师准备对该审计报告开展后续追踪。开展后续追踪检查的首要原因是:
A.确保内部审计师的建议及时得到考虑;
B.确定管理层是否针对报告结果采取相关措施;
C.允许内部审计师评价其建议的有效性;
D.记录管理层对审计报告的反应并及时完成审计建档工作。
解析
讨论:根据实务公告-1,“内部审计师所进行的后续追踪是指他们用以确认管理层针对报告中的业务发现、建议(包括外部审计师和其他人员的审计发现和建议)所采取的措施是否充分、有效和及时的工作过程。”
答案A和C不正确,应该后续追踪审计发现和建议;答案D不正确,内部审计师的行政工作从属于对审计发现和建议采取的纠正措施。
例题
为确保在确认业务中对某些审计发现采取了纠正措施,可要求进行后续追踪活动。内部审计活动开展所需要的后续追踪活动的责任应当在以下哪项中界定:
A.内部审计活动的书面规章或与客户达成的协议;
B.审计委员会的使命声明;
C.在每次审计之前下发的业务通知单;
D.在适当的业务报告中的目标表述。
解析
讨论:内部审计师所进行的后续追踪是指他们用以确认管理层针对报告中的业务发现、建议(包括外部审计师和其他人员的审计发现和建议)所采取的措施是否充分、有效和及时的工作过程。在确认业务中的后续追踪责任应在内部审计活动的章程中界定(实务公告-1)。在咨询业务中,对结果处理的监控程度取决于与客户达成的协议。
答案B不正确,后续追踪不会在审计委员会的使命声明中具体说明;答案C不正确,业务通知单可以包含有关后续追踪责任的表述,但它应以书面的、权威的内部审计活动的章程为依据;答案D不正确,后续追踪的权力和职责可在适当的业务报告中引用,但应该首先在内部审计活动的章程中规定后续追踪的定义。
例题
在审核了业务报告的结果后,管理高层决定对某些业务发现承担不采取纠正措施的风险。首席审计执行官应评价并选择以下哪个最佳的备选方案:
A.将管理层的决定告之管制机构;
B.开展另外的业务程序,进一步确认违反政策的情形;
C.开展后续追踪业务,确定是否采取纠正措施;
D.如果剩余风险过大,与管理高层或尽可能是董事会讨论这个事件。
解析
讨论:根据标准2600,“如果首席审计执行官认为管理高层接受了不应为组织所接受的剩余风险,他/她就应与管理高层讨论这一事项。如果关于剩余风险的讨论无法解决问题,则首席审计执行官和管理高层应向董事会报告以求解决。”
答案A不正确,不需要通告管制机构;管理层已决定承担责任,并且没有提到违反规章的情形;答案B和C不正确,不需要进一步的行动,除非首席审计执行官相信所要承担的剩余风险过大。
例题
某内部审计小组最近完成的审计业务对有关公司机动车使用是否符合公司出租与采购政策作出了评价。审计报告表明有若干项出租(而非采购)的决定没有在文件中记录因而无法审计。报告建议业务管理人员必须确保在有出租决定的书面文件时才可以办理出租协议。内部审计师准备对该审计报告开展后续追踪。假定管理层已经决定接受由于公司机动车的出租与采购决定缺乏相关依据所带来的相应风险,则内部审计师的责任应是:
A.内部审计师没有进一步的责任;
B.应将管理层的决定及内部审计师的关注内容向审计委员会报告;
C.内部审计师应当管理层发出后续追踪报告,清楚地指出必须对出租与采购决定的有关依据进行记录;
D.内部审计师应向外部审计师和任何的负责的管制机构通告,管理层没有对所建议的问题采取纠正措施。
解析
讨论:由于费用或其他方面的考虑,管理高层可以决定不采取纠正措施并承担由此而产生的风险。此外,管理高层对所有重要的业务发现和建议所做的决定都应报告董事会(实务公告2600-1)。不过,上文没有指出关于记录出租与采购决定的建议是重要的这一事实。
答案B不正确,只有在这个建议相当重要时,才有必要向审计委员会报告管理层的决定;答案C不正确,管理高层已指出其理解并承担相应的风险;答案D不正确,向组织以外的机构报告既不要求也不适当。
业务开展
确认信息
分析和评价信息
记录信息
确认信息之相应标准
2300 开展业务—内部审计师应该确认、分析、评价和记录充分的信息以实现业务的目标。
2310 确认信息—内部审计师应该确认充分、可靠、相关与有用的信息以实现业务的目标。
实务公告2310-1:确认信息
1.内部审计师应该收集关于与业务目标和工作范围相关的所有事项的信息,并在确认和检查信息时应用分析性的审计程序。分析性审计程序研究并比较财务与非财务信息之间的关系。在确认要经检查的信息时运用分析性审计程序的依据是以下假设:在缺乏已知的相反情形时、可以合理期望信息之间的关系不仅存在,而且会得到发展。相反情形包括异常的或不重复发生的交易或事件;会计、组织、运营、环境与技术上的变化;效率低下;效果差;差错、不合规或违法行为。
实务公告2310-1:确认信息
2.信息应该充分、可靠、相关与有用,以便为业务观察、结论和建议提供合理的依据。充分的信息是指信息忠于事实、适当、具有说服力,在拥有此种信息的条件下,任何谨慎的知情人都会得出与内部审计师相同的结论。可靠的信息是胜任的,且能通过恰当的业务技术的运用得以最佳的获取。相关的信息能够支持业务观察和建议,并与业务目标保持一致。有用的信息有助于组织实现其目标。
确认信息(续)
1、充分性标准可明确地界定为客观的术语,得出结论的人应是那些谨慎的知情人。根本的问题是信息是否能按各种情形的需要具有说服力。
2、可靠的信息是胜任的,且能通过运用恰当的方法而得以最佳的获取。a. 在内部审计师的结论得到了其他人的证实,则信息是可靠的。
1)可靠的信息也是有效的。它准确地表示了所观察的现象。
b. 在信息经合理地努力收集,并服从于成本—收益限制等内在限制时,“通过运用恰当的业务技术可以最佳的获取信息”。
1)相应地,内部审计师要使用有效率的方法,比如,统计抽样和分析性审计程序。
c. 证据的可靠性程度取决于许多因素。比如,信息在以下情形下就更为可靠:1)信息从独立的业务客户处取得,比如对应收款的函证;2)信息可由其他信息确证;3)信息是直接的来自于内部审计师的个人观察,而不是间接的来自于道听途说;4)信息是原始凭证,而非复印件。
确认信息(续)
3、对相关性的定义强调为实现业务目标需要对业务工作进行限制。不过,信息也应在业务的范围内的“所有事件”中收集。
a. 相关的信息对于其要经证实的内容具有逻辑上的关系。比如,证实日记账分录不能够支持有关已报告的交易具备完整性的论断。
4、在信息“有助于组织实现其目标时”,信息是有用的。
a. 组织的最终目标是为其所有者、其他的股东、顾客和客户创造价值。因此,信息的这种特征与内部审计活动作为增加价值、改善经营,并帮助组织实现其目标的定义是一致的。
b. 此外,对组织有用的信息的确认是内部审计活动存在的最终理由。
例题
业务信息通常在以下哪种情形下可以被认为是相关的:
A.通过有效的统计抽样推出;
B.客观、无偏
C.忠于事实、适当、具有说服力;
D.与业务目标保持一致。
解析
讨论:信息应该充分、可靠、相关与有用,以便为业务观察、结论和建议提供合理的依据。相关的信息能够支持业务观察和建议,并与业务目标保持一致(实务公告2310-1)。
答案A不正确,抽样是否适当,结果是否有效,与确定信息的充分性、可靠性问题相关,与相关性无关;答案B不正确,客观无偏不能确保信息支持业务观察和建议,并与业务目标保持一致;答案C不正确,充分的信息是忠于事实、适当、具有说服力的,以致在拥有此种信息的条件下,任何谨慎的知情人都会得出与内部审计师相同的结论。
例题
以下哪项审计程序提供的信息对于确证薪酬支付给真实员工最不相关:
A.将使用的工时卡片与正在工作的员工相核对;
B.检查注销支票背书的准确性并与员工记录相比较;
C.测试付款批准职责是否与录用/解雇职责相分离;
D.通过追查未付支票到工资表,来测试薪酬账户的银行对账单。
解析
讨论:薪酬账户证据测试已记录交易的完整性问题,而非测试有效性问题。
答案A不正确,证实员工的实际工作情况是测试不存在员工的常见程序;答案B不正确,检查适当的背书并比较记录可以检查不适当的薪金支付;答案C不正确,付款批准职责与聘用决策职责分离有助于消除将薪酬分给虚假员工的情形。
例题
内部审计师的业务目标是确定所有的现金收入是否都完整无缺的存入银行。为达到这个目标,内部审计师与主计长进行了会谈,主计长保证所有的现金收入尽快存入银行是合理、可能的。针对实现内部审计师的目标所采用的信息而言,主计长的保证是:
A.充分的,但不可靠或不相关;
B.充分、可靠和相关的;
C.不充分、可靠或相关;
D.相关的,但不充分或不可靠。
解析
讨论:相关的信息能够支持业务观察和建议,并与业务目标保持一致。可靠的信息是胜任的,且能通过恰当的业务技术的运用得以最佳的获取。充分的信息是指信息忠于事实、适当、具有说服力,任何谨慎的知情人都会得出与内部审计师相同的结论(实务公告2310-1)。主计长的保证是相关的,由于他谈到了现金收入。不过,信息缺乏可靠性,这是因为它不是来自于独立的渠道。此外,信息自身没有为结论提供合理的依据,故不充分。
答案A、B和C不正确,信息是相关的,但不充分或不相关。
例题
在开展与现金控制有关的业务时,内部审计师观察到每日现金收入没有全部存入银行。对现金收入明细表的抽样比较揭示出:每日的现金收入明细表与现金日记账分录数相等,但与每日的银行存款数不符,从长期来看,现金收入明细账总额与银行存款总额相符。支持内部审计师的观察的信息是:
A.充分的,但不可靠或不相关;
B.充分、可靠和相关的;
C.不充分、可靠或相关;
D.相关的,但不充分或不可靠。
解析
讨论:通过检查直接来源于银行的银行对账单可以证实银行存款。从独立的来源处取得的信息通常比仅仅来自于机构内部的信息更为可靠(胜任)。而且,它对于现金收入是否未存入银行而言更为相关。理性的内部审计师应对组织的记录与银行对账单的比较进行判断,这可以很有说服力的表明现金收入是否存入银行。因此,信息也是充分的。
答案A、C和D不正确,由于信息是充分、可靠、相关的。
例题
函证是一种很有效的取证方法,它最能有效地证明以下哪项的存在性:
A.机械修理店新增了一台碾磨机;
B.正常经营过程中出售的货物;
C.受托代销的存货;
D.对某机构研制的一项特殊程序授予专利。
解析
讨论:在存货由外部机构保管时,内部审计师通常以书面方式直接向保管机构函证。代销品的函证很可能对存在性与权利-义务声明非常有效。
答案A不正确,观察和文件记录是有关资产状况的最为常见的形式;答案B不正确,需要对账户余额而不是个别的销售交易进行函证;答案D不正确,对专利文件的检查更具说服力。
例题
某非盈利组织的财务主管决定投资于一系列新的金融工具,并作为现金管理的一部分。审计委员会要求内部审计活动对新投资技术的内部控制的充分性作出评价。以下哪项不需要作为该项业务的组成部分:
A.确定与投资相关的政策是否存在,包括财务主管所能接受的风险和应选取的投资工具;
B.确定管理人员对复杂的投资业务的监控程度;
C.与类似的组织相比较,确定财务主管获得的投资收益率的高低;
D.确定财务主管用于监控投资风险的控制措施的性质。
解析
讨论:比较类似组织的收益率可能是有用的,但近期的金融投资丑闻表明这类比较很可能会导致极大的误导作用。高收益很可能来自对高风险程度的接受。因此,这种分析性程序不能评价控制的充分性与有效性。
答案A不正确,这项业务应确定是否遵守组织的政策。某些财务工具风险非常大,因此该类业务的第一步是应该确定为这类投资制定的界限;答案B不正确,管理委员会的监控是重要的控制。因此,内部审计师应确定监控和授权投资的性质和有效性。财务主管不应单方面将重要的风险强加给组织;答案D不正确,内部审计师业务范围的扩展有助于组织保持有效的控制,通过评价控制的效率和效果,促进控制的不断改善。此外,控制系统应包括风险评估部分。
例题
某非盈利组织在过去三年收到的捐款一直比较稳定,审计委员会注意到组织的总经理可能进行着一项计划,即把部分捐款转给其他组织。审计委员会怀疑总经理贪污了主要的捐款,并把它存入其他账户,或通过贿赂把捐款记在另一个组织的名下。为查明这一舞弊行为的存在,以下哪项业务程序可能最为有效:
A.运用通用审计软件,对已承诺但未收到的捐款进行抽查,并证实捐赠者应付的捐赠额;
B.选用过去三年所有的大额捐赠者的样本和其他捐赠者的统计抽样样本,并要求该组织或其分支机构证实所得的捐款总额;
C.对现金收入进行发现抽样,确认捐款者的捐款总额,并调查任何存在的差异;
D.运用分析性程序,将该组织所得的捐款额和其他类似机构同期所得的捐款额进行比较,如果金额异常小,对现金收入做详细抽样,并追查到有关的银行账单。
解析
讨论:业务目标是要确定捐赠是否错误地存在了其他组织的账户。相应地,对捐赠者进行函证是恰当的程序。不过,检查会计系统的账面交易不会产生引发有关捐赠转向其他组织的充分信息。因此,内部审计师必须对有关的会员进行询问。
答案A不正确,对已承诺但未收到的捐款进行抽查不能提供以前支付的捐赠及转向其他组织的捐赠的信息;答案C不正确,对组织已记录的现金收入进行抽样不能提供未记录的收入或转向其他地方的捐赠;答案D不正确,分析性程序的使用是有限的,而且,后续追踪程序仅能提供已存入银行得到记录的捐赠的信息。
业务信息类型
业务信息类型
a. 信息可由官方文件、内部审计师的计算、内部控制、数据间的内在关系、实物的存在性、财务报表编制后发生的事项、补充记录、业务客户与第三方的陈述组成。
1) 分析性信息来自于对数据间内在关系的考虑,或内部控制情形以及由特定的政策和程序组成。分析产生的间接证据以推论或结论的形式存在,它是检查要素的总体一致性、非一致性、原因-结果关系、相关性与非相关性事项等的根据。
2) 书面信息以某种持久性的形式存在,如支票、发票、货运记录、验收报告与采购单。
3) 实物信息由内部审计师的直接观察与检查构成,如对存货的清点。
4) 证明性信息由客户个人或其他人的陈述组成。
分析与评价信息之相关标准
2320 分析和评价—内部审计师应在恰当的分析和评价的基础上得出结论与业务结果。
实务公告2320-1:分析和评价
1.分析性审计程序为内部审计师提供了快速有效评估、评价业务期间收集的信息的方式。通过将收集的信息和内部审计师确认或拟定的期望值相比较,可以得出评估结果。分析性审计程序在确认以下内容时非常有用:
意外差异 预期的差异没有出现
潜在的差错
潜在的不合规或不合法行为
其他异常或不重复发生的交易或事件
例题
公司的内部审计师近期用自动的人力资源系统检查了退休福利计划,并确定在过去10年间退休金与医疗福利已变动过好多次。内部审计师想要确定进一步的调查是否正当,最恰当的业务程序是:
A.审核过去10年间退休金支出趋势。如果费用支出增加,就需要进一步的调查;
B.运用通用审计软件对退休金进行货币-单位抽样,并确定每位已退休员工是否得到了准确的支付;
C.以每个人为依据,审核退休金与医疗费用的合理性,以确保退休福利计划在每位员工退休时都还有效;
D.运用通用审计软件对退休金进行属性抽样,并进行详细测试,以确定所抽取的每个人是否得到了恰当的福利。
解析
讨论:分析性审计程序为内部审计师提供了快速有效评估、评价业务期间收集的信息的方式。通过将收集的信息和内部审计师确认或拟定的期望值相比较,可以得出评估结果。分析性审计程序在确认以下内容时非常有用:意外差异;预期的差异没有出现;潜在的差错;潜在的不合规或不合法行为;其他异常或不重复发生的交易或事件(实务公告2320-1)。相应地,诸如退休与医疗福利等重大的变化需要内部审计师改变其预期。在上述情形中,内部审计师根据退休福利计划在员工退休时的有效性进行样本分层,并根据每位员工的所属层面形成预期的结果。
答案A不正确,对过去10年间退休金支出趋势的审核不会考虑到退休福利计划的变动以及已退休员工的数量;答案B不正确,应对样本分层,总体是不均衡的;答案D不正确,对退休金进行属性抽样不对达到确定进一步调查是否正当的业务目标。
实务公告2320-1:分析和评价
可以通过运用货币金额、实物数量、比率或百分比开展分析性审计程序。具体的分析性审计程序包括但不限于以下内容:比率、趋势和回归分析、合理性测试、各阶段比较、与预算和预测以及外部信息的比较。分析性审计程序有助于内部审计师在随后的业务程序中确认需要的情形。内部审计师应根据第2200条标准(实务公告2210-1)在业务规划中应用分析性审计程序。
例题
某内部审计师正在评价车辆调配厂经营的效果和效率。业务工作方案包括运用分析性程序观察大型轮胎车辆的主要制造费用的趋势。该趋势表明下列各项有关的费用支出较去年有重大增长:(1)正使用的车辆数;(2)车辆运行里程数;(3)设备使用年数;(4)环境状况。内部审计师的调查指出厂里聘用了两家新的维修机构。所有维修业务的费用单据账项均完整,但在单据上发现维修报告的车辆牌号与正在使用的车辆不一致。审计师可能采取的业务程序包括:①与维修部门的负责人讨论此事并要求作出解释;②编制正开展的维修项目清单,并与制造业维修指南进行比较;③对车辆的车票进行分析来确定其中是否隐藏着需要注意的问题;④审核截止日报告,确定所维修的车辆在维修日期并未在使用中;⑤审核派遣时间安排,确定是否存在车辆正在使用的同时,维修部门报告中将其列为维修的情形;⑥与厂里安全部门讨论。
上述行动中,应采用怎样的优先顺序:
A.①,⑥,和④;
B.④,⑤,和⑥;
C.⑥,⑤,和②;
D.②,③,和④。
解析
讨论: 分析性审计程序可以运用货币金额、实物数量、比率或百分比等方式来开展。具体的分析性审计程序包括但不限于以下内容:比率、趋势和回归分析、合理性测试、各阶段比较、与预算和预测以及时性外部信息的比较。分析性审计程序有助于内部审计师在随后的业务程序中确认需要的情形(实务公告2320-1)。因此,维修成本比率的实质性增长表明需要进行更为广泛的调查。业务程序4和5可以提供有关汽车车辆的信息。如果发现了差异,应向组织中恰当的权威部门进行咨询。
答案A和C不正确,如果维修部门的负责人参与了舞弊活动,那么与该负责人讨论此事会使调查不客观;答案D不正确,尽管存在潜在的舞弊可能,但业务程序2和3却不能提供结论性的信息。
实务公告2320-1:分析和评价
内部审计师还应在业务期间运用分析性审计程序来检查和评价信息,以支持业务结果。内部审计师在确定在多大程度上应用分析性程序时,应考虑以下因素:
被检查领域的重要性
内部控制系统的充分性
财务与非财务信息的适用性(availability)和可靠性
预测分析性审计程序的准确性
组织所在行业有关信息的适用性和可比性
其他业务程序为业务结果提供支持的程度
例题
在审计过程中,内部审计师应该考虑以下哪个因素来确定分析性程序的使用范围:
A.内部控制系统的充分性;
B.被检查领域的重要性;
C.预测分析性程序结果的准确度;
D.以上答案都正确。
解析
讨论:在确定分析性程序的使用范围时,内部审计师应该考虑被检查领域的重要性、内部控制系统的充分性、财务与非财务信息的适用性与可靠性、预测分析性程序结果的准确度、有关组织经营行业的信息的适用性与可比性、其他业务程序为业务结果提供支持的程度(实务公告2320-1)。
答案A、B和C都不正确,内部控制系统的充分性、被检查领域的重要性以及预测分析性程序结果的准确度都应有予以考虑。
实务公告2320-1:分析和评价
当分析性审计程序发现意外的结果或关系时,内部审计师应检查并评价这些结果和关系。检查和评价通过应用分析性程序而发现的意外结果或关系应该包括对管理者进行问询,并运用其他业务程序,直到内部审计师确信这些结果或关系得到了充分的解释。如果此类结果或关系无法得到解释,则表明存在潜在的差错、不合规现象或违法行为等严重情形。内部审计师应该将这些通过分析性审计程序发现的、无法得到充分解释的结果或关系与恰当层面的管理人员沟通,并可根据情况,建议采取恰当的措施。
例题
在测试存货控制的有效性时,内部审计师在工作底稿中指出该循环内许多账项调整涉及机床加工部的业务。该机床加工部去年同样导致了超常的多于其他部门的存货控制循环账款调整。内部审计师应该:
A.与管理部门协商并采用其他业务程序,以确定机床加工部的交易循环控制制度和程序是否充分;
B.不再深入审计工作,因为业务工作方案中设计的分析性程序中未表明这点;
C.提醒内部审计管理部门可能存在舞弊;
D.在工作底稿中注明下次检查时详细检查该问题。
解析
讨论:当分析性审计程序发现意外的结果或关系时,内部审计师应检查并评价这些结果和关系。检查和评价通过应用分析性程序而发现的意外结果或关系应该包括对管理者进行问询,并运用其他业务程序,直到内部审计师确信这些结果或关系得到了充分的解释。如果此类结果或关系无法得到解释,则表明存在潜在的差错、不合规现象或违法行为等严重情形(实务公告2320-1)。
答案B不正确,业务工作方案仅是一个指南,它不能限制审计师追寻当时的在工作底稿中指出的未知信息;答案C不正确,有关事实并不支持已经发生舞弊的结论;答案D不正确,应迅速地处理存货重大错报的风险。
记录信息之相关标准
2330 记录信息—内部审计师应记录相关的信息以支持结论和业务结果。
实务公告2330-1:记录信息
记录业务情况的业务工作底稿应由内部审计师编制,并由内部审计活动的管理者进行复核。这些工作底稿应记录所获取的信息和做出的分析,并应作为所报告的业务观察、结论和建议的支持依据。业务工作底稿通常能够:
为业务沟通提供原则上的支持
帮助业务的规划、执行与审核
记录业务目标是否实现
便利了第三方的复核
为评价内部审计活动的质量方案提供依据
在诸如保险索赔、舞弊案件以及法律诉讼的情况下,提供有关支持。
帮助内部审计人员的专业发展
证明内部审计活动是否遵守《内部审计专业实务标准》。
例题
使用个人电脑的职员声称得了职业病,并要求相当数额的劳动赔偿金。确定组织在多大程度上应对这种职业病负责的审计工作底稿应该包括:
A.按每位员工使用的设备类型和使用程度对索赔进行分析;
B.保险公司根据劳动补偿政策所支付的赔偿额的证明;
C.审核证明个人电脑购置的文件;
D.列出在用的所有个人电脑以及被指定使用这些电脑的人员名单。
解析
讨论:业务工作底稿的一个潜在用途是在诸如保险索赔、舞弊案件以及法律诉讼的情况下,提供有关支持(实务公告2330-1)。在工作底稿中包含索赔分析是恰当的,它允许对导致索赔的两个关键因素(员工对这类设备的使用以及所费时间)有关的风险进行评估。
答案B不正确,员工赔偿金索赔的证明没有确认暴露的风险,它们仅支持保险公司按劳动补偿政策所支付的赔偿额;答案C不正确,支持个人电脑采购的文件不是针对风险评估的;答案D不正确,列出在用的所有个人电脑以及被指定使用这些电脑的人员名单没有表明与使用程度和设备类型有关的风险。
实务公告2330-1:记录信息(续)
业务工作底稿的组织、设计和内容取决于业务的性质。工作底稿应记录业务过程的以下各个方面:
计划的制定
检查与评价内部控制系统的充分性和有效性
实施的业务程序、获取的信息及得出的结论
复核
沟通
后续追踪
例题
业务工作底稿应该包括:
A.对内部控制系统的充分性和有效性进行检查和评价的记录;
B.在业务期间对所检查的所有原始凭证的复印件;
C.在业务期间对所审核的所有程序的复印件;
D.为以前开展的同一领域的业务所编制的所有工作底稿。
解析
讨论:工作底稿应记录业务过程的以下各个方面:计划的制定、检查与评价内部控制系统的充分性和有效性、实施的业务程序、获取的信息及得出的结论;复核;沟通、后续追踪(实务公告2330-1)。
答案B不正确,许多经检查的凭证证明的信息与业务目标不相关。这些凭证就不必包括在内;答案C不正确,在许多情形下,程序的准确措词不必支持业务观察或建议。工作底稿中所参考的程序可以是充分的;答案D不正确,某些以前的工作底稿可能已过期。不过,以前的工作底稿的内容可以包括在经过更新的当前工作底稿中。
实务公告2330-1:记录信息(续)
首席审计执行官应为已开展的各类业务制定有关工作底稿的政策。标准化的业务工作底稿,如调查问卷和工作方案,可以提高业务效率,便于业务工作的委派。有些业务工作底稿可能属于永久性的或延后的(carry-forward)业务档案。这些档案通常包含的信息具有持续的重要性。
例题
首席审计执行官应该为以下哪项制定政策:
A.索引并保留工作底稿类型;
B.对个别的业务所用时间进行界定;
C.界定标准化的核对符号并确保遵守它们;
D.确保审计过程中的所有观察都作出了书面记录。
解析
讨论:首席审计执行官应为已开展的各类业务制定有关工作底稿的政策,这其中包括运用标准化的工作底稿、指出永久性文件、索引和其他相关的事项。比如,标准化的业务工作底稿,如调查问卷和工作方案,可以提高业务效率,便于业务工作的委派(实务公告2330-1)。
答案B不正确,业务所用时间取决于其复杂性和其他的单一环境;答案C不正确,不需要界定标准化的核对符号并确保遵守它们;答案D不正确,仅需要对与业务有关的观察进行记录。
实务公告-1:对业务记录的控制
1.业务工作底稿是组织的资产。通常,业务工作底稿文档应该保持在内部审计活动的控制下,并且只有得到授权的人员才能接触工作底稿。
2.组织的管理层和其他的成员可以要求接触业务工作底稿。这种接触对于充实或解释业务观察与建议或出于其他业务目的而应用业务文件记录可能是必要的。这种接触要求应该得到首席审计执行官的批准。
3.内部审计师和外部审计师互相允许对方接触自己的工作底稿是常见的做法。接触外部审计师的工作底稿应该得到首席审计执行官的批准。
4.在有些情形下,组织以外的有关方面(外部审计师除外)可能要求接触工作底稿和建议。在公开这些文件记录之前,首席审计执行官应该获取管理高层和/或法律顾问的适当批准。
例题
公司仓库最近不幸遭遇火灾,损失了大部分存货。管理人员正在填写保险索赔,其中需要使用内部审计师的工作底稿来填写申请。根据专业实务标准,管理人员:
A.在填写保险索赔时可以不用内部审计工作底稿;
B.在填写保险索赔时可以使用内部审计工作底稿,前提是得到首席审计执行官的批准;
C.不应填写保险索赔,该职责应属于内部审计活动;
D.在填写保险索赔时可以使用内部审计工作底稿,前提是得到公司外部独立审计师的批准。
解析
讨论:业务工作底稿的一个潜在用途是在诸如保险索赔、舞弊案件以及法律诉讼的情况下,提供有关支持(实务公告2330-1)。公司的管理层和其他的成员可以要求接触业务工作底稿。这种接触对于充实或解释业务观察与建议或出于其他业务目的而应用业务文件记录可能是必要的。这种接触要求应该得到首席审计执行官的批准(实务公告-1)。相应地,保险索赔属于“其他的业务目标”,管理人员在填写保险索赔时可以使用内部审计师的工作底稿。
答案A不正确,工作底稿可以用于“其他的业务目的”;答案C不正确,管理人员,而非内部审计活动,应填写保险索赔;答案D不正确,不需要外部审计师的批准。
实务公告-2:对授权接触业务记录的法律考虑
内部审计业务记录包括报告、辅助性文件、复核笔记以及不受存储媒介限制的通讯记录。内部审计师向管理层和董事会提供服务,并在后两者的支持下编制业务记录。编制业务记录的假设是,业务记录的内容是机密的,而且很可能是对事实和意见的综合。但是,那些不能很快熟悉组织或其内部审计程序的人员可能会对这些事实和意见产生误解。在多种情况下,包括刑事诉讼、民事诉讼、税收审计、合规性检查、政府合同检查以及自律机构的检查,外部有关方面都会要求接触业务记录。组织内部不受律师—客户拒绝泄露内情权(attorney-client privilege)保护的所有记录在刑事诉讼中几乎都可以被外人获取。但在非刑事诉讼中,接触权问题就没有那么清楚。
例题
内部审计活动政策应得到制定以便管理业务记录的内容、保管期限、处理外部的接触要求以及法律顾问参与调查时所遵循的程序。在制定这些政策时最重要的考虑是:
A.不受律师—客户拒绝泄露内情权保护的记录在刑事诉讼中可以被外人获取;
B.内部审计师的工作成果受披露权的保护;
C.以很机密的方式创建的记录受披露权的保护;
D.揭示律师的思想过程的记录应被强制披露。
解析
讨论:在多种情况下,包括刑事诉讼、民事诉讼、税收审计、合规性检查、政府合同检查以及自律机构的检查,外部有关方面都会要求接触业务记录。组织内部不受律师—客户拒绝泄露内情权保护的所有记录在刑事诉讼中几乎都可以被外人获取。但在非刑事诉讼中,接触权问题就没有那么清楚(实务公告-2)。
答案B和C不正确,无论是否机密,多数记录在刑事诉讼不受律师—客户拒绝泄露内情权的保护,并在民事诉讼中可以被外人获取;答案D不正确,“律师—客户拒绝泄露内情权”通常保护了记录,揭示了律师的思想过程与策略。
记录信息之相关标准(续)
- 首席审计执行官应该为业务记录制定保管要求。这些保管要求应该与组织的方针、管理要求和其他相关要求相一致。
实务公告-1:记录的保管
1.记录的保管要求应适用于所有业务记录,不管业务记录以何种形式保存。
- 首席审计执行官应制定政策,规定业务记录的保管以及对内对外公布这些记录的要求。这些政策应与组织的方针和有关规定或其他规定相一致。
记录信息之相关标准(续)
实务公告2340-1:业务监督(与本学习单元相关的部分)
1. 所有的工作底稿都应予以复核,以确保它们恰当支持业务报告,并保证所有必须的业务程序都得以完成。监督性复核的证据应该包括复核人员在复核完每份工作底稿后在底稿上签署日期和自己的首字母。其他提供监督性复核证据的复核技术包括完成业务工作底稿复核清单和/或编制具体说明复核性质、范围和结果的备忘录。
2. 复核人员可以以书面形式(复核笔记)记录复核过程中出现的问题。在整理复核笔记时,应该注意确保工作底稿提供关于复核过程中所提问题已经得到解决的充分证据。处理复核笔记有两种不同的方法:
保留复核笔记,将笔记作为复核人员所提问题和解决问题所采取步骤的记录
在解决了所提问题、修改了相应业务工作底稿、提供了要求的额外信息之后,要将复核笔记销毁。
例题
通常,记录内部审计业务的工作底稿应该:
A.依据政府公布的指导意见来保管;
B.保管3年;
C.按内部审计活动政策的要求处理;
D.在随后开展的两项审计后销毁。
解析
讨论:首席审计执行官应该为业务记录制定保管要求。这些保管要求应该与组织的方针、管理要求和其他相关要求相一致(标准和标准)。因此,工作底稿应根据组织的政策保管或处理。
答案A不正确,工作底稿是组织的资产,并且仅有处理政府合同的工作底稿受政府公布的指导意见的影响;答案B和D不正确,没有要求具体的保管期限。
例题
以下哪项表述的不恰当政策与业务工作底稿的保管有关:
A.工作底稿在不作进一步使用时应予以披露;
B.为舞弊调查编制的工作底稿应无限期地保管;
C.工作底稿保管时间进度表应经法律顾问的批准;
D.工作底稿保管时间进度表应该考虑法律与合同上的需要。
解析
讨论:对于确认业务与咨询业务而言,首席审计执行官应该为业务记录(工作底稿)制定保管要求。这些保管要求应该与组织的方针、管理要求和其他相关要求相一致(标准和标准)。尽管含有舞弊调查的工作底稿要与其他的工作底稿分开,但没有哪份工作底稿要无限期的保留。
答案A不正确,工作底稿的保管期限要按其有用性来确定;答案C不正确,经过法律顾问的批准是恰当的;答案D不正确,法律与合同上的要求可以确定保管期限。
管理内部审计活动
A.计划、风险与沟通
B.资源管理
C.政策与程序
D.协调
E.质量保证
管理内部审计活动(续)
工作标准2000- 管理内部审计活动,
首席审计执行官应该有效地管理内部审计活动以确保该活动为组织增加价值。
实务公告2000-1:管理内部审计活动强调了以下职责:
首席审计执行官负责恰当管理内部审计活动,以便:
通过业务工作,实现经管理高层批准和审计委员会通过的内部审计活动章程所规定的总体目标并履行章程所规定的责任;
内部审计活动的资源得到迅速高效的使用;
业务工作遵循《内部审计专业实务标准》。
首席审计执行官应该建立以风险为基础的计划,将计划与所需资源向管理高层沟通,并经审计委员会批准,制定政策与程序,配合其他服务提供者的工作,并定期向管理高层与审计委员会报告。首席审计执行官还必须为内部审计活动制定质量保证与改进方案
计划、风险与沟通
2010 计划— 首席审计执行官应该以风险为基础、根据组织的目标制定计划,确定内部审计活动的工作重点。
实务公告2010-1:计划
实务公告2010-2:将审计计划与风险及暴露(exposures)相联系
- 内部审计活动的业务计划应以风险评估为基础,并至少每年进行一次。在这个过程中应考虑管理高层和审计委员会的参与。
- 首席审计执行官在考虑是否接受提议的咨询业务时,应以该业务改进风险管理、增加价值以及改善组织运营的潜力为基础。计划中应包括那些已接受的业务。
计划、风险与沟通(续)
2020 沟通和批准- 首席审计执行官应将内部审计活动计划和资源需求(包括重大的中期变化),交管理高层和审计委员会检查和批准。同时,还应与他们沟通资源方面的限制可能带来的影响。
实务公告2020-1:沟通与批准
2060 向审计委员会及管理高层报告- 首席审计执行官应定期向审计委员会及管理高层报告与其计划相关的内部审计活动的目标、权限、职责和业绩。报告也应包括重大的风险暴露及控制问题、公司治理问题,以及其他需要告知审计委员会和管理高层或审计委员会和管理高层要求告知的事项。
实务公告2060-1:向审计委员会与管理高层报告
例题
在与审计经理的会议上,首席审计执行官正在为下一年的计划作出业务工作安排。以下哪种方法能够确保每位审计经理在工作安排与内部审计活动资源的分担方面最为恰当:
A.根据风险和技能分析为每位审计经理分配工作;
B.根据审计领域以及所涉及的管理部门进行优先排序,由审计经理按意愿选择审计任务;
C.根据现阶段每位审计经理可用的总工作时数,由审计经理按一定的优先次序选择审计工作;
D.所有审计工作分派到审计人员个人,工作安排依据其职业兴趣和差旅要求设定。
解析
讨论:内部审计师应以熟练性与应有的职业审慎性开展业务(标准1200)。因此,职业审慎性应与业务的复杂程度相称,并且内部审计活动应确保所安排个人的技术熟练程度与教育背景是恰当的。因此,对所开展任务的技能进行分析是必要的。此外,在确定业务工作安排的重点时应该考虑的事项包括:(1)对风险、风险管理和控制过程的有效性的最新评估;(2)审计人员的变动与能力(实务公告2010-1)。
答案B不正确,由个人的偏好来选择审计任务不能确保对应有的职业审慎性的运用;答案C不正确,适用的工作时数与审计工作的风险或所需的综合性必要技能无关;答案D不正确,尽管在安排业务时要考虑职业兴趣和差旅要求,但这些因素不构成业务安排的客观基础。
例题
首席审计执行官应该制定目标并将其作为内部审计活动计划过程的内容。以下哪项是内部审计目标的特征:
A.可考评并能实现;
B.有预算并经批准;
C.已计划并能实现;
D.被要求并经批准。
解析
讨论:内部审计活动的目标应该能够在具体操作计划和预算范围内得到实现,并在可能的情况下得到考评。这些目标应该附带考评标准和实现的目标日期(实务公告2010-1)。
答案B不正确,内部审计目标应在预算限制范围内实现;答案C不正确,内部审计目标应是可以考评的;答案D不正确,内部审计目标通常并不被要求,相反,它们由首席审计执行官制定。
例题
在与管理高层讨论之后,首席审计执行官确认了几个战略性的经营问题以便在准备年度业务工作安排时加以考虑。以下哪项不能代表这种战略性的问题:
A.即将开展一项月度预算程序;
B.为扩大产品的知名度,并发挥新成立的以公司为基础的广告部门的作用,即将开始全球性的营销活动;
C.寻求联营者以便在欧洲和亚洲市场上扩大生产能力;
D.建立人力资源数据库来确保对政策的持续管理和加强对数据的保存。
解析
讨论:审计范围可以包含来自于组织战略性计划的组成部分。通过吸收组织的战略计划的组成部分,审计范围会考虑并反映整体的经营计划目标(实务公告2010-2)。不过,开展月度的预算程序是促进预算过程序以及改进信息的操作上的决策,它不构成战略性的问题,但它确实能对业务的主要变动等有影响。
答案B不正确,首席审计执行官需要确保在风险评估和计划活动中认可并监督新的营销流程以及集权化的广告部门;答案C不正确,增加联营伙伴就会产生在内部审计活动中对风险评估和计划的额外关注;答案D不正确,与人力资源数据库有关的活动需要在内部审计活动的计划中予以考虑。
例题
作为审计委员会季度性会晤的议程的一部分,首席审计执行官定期向审计委员会提交工作报告。管理高层要求在审计委员会召开之前审核首席审计执行官提交的工作报告,以便提前讨论有关事项和问题。首席审计执行官应该:
A.按要求向管理高层提交工作报告,并讨论需要解决的任何问题;
B.拒绝向管理高层披露工作报告,因为工作报告仅提供给审计委员会;
C.在工作报告中仅向审计委员会披露与内部审计活动的支出和财务预算有关的事项;
D.在向管理高层提交的信息中仅包含完成的审计和公开审计报告中的审计发现。
解析
讨论:首席审计执行官应至少每年向管理高层和审计委员会提交一次活动报告。活动报告应突出重要的业务观察和建议,并应向管理高层和审计委员会通报已批准的业务工作计划、人员配备计划、财务预算在执行中出现的任何重要偏离及其原因(实务公告2060-1)。
答案B不正确,工作报告应向管理高层提交;答案C不正确,工作报告不应仅限制于支出和财务预算,还应包括对业务工作安排与人员配备计划的重大偏离信息;答案D不正确,向管理高层提交的信息中不必限制于已完成的审计和公开审计报告中的审计发现。
例题
首席审计执行官的活动报告应当:
A.列出主要审计工作的重要发现;
B.列出未纠正的报告情形;
C.报告内部审计师个人的每周工作状况;
D.将实际完成的审计工作与计划的审计工作相比较。
解析
讨论:活动报告应定期向管理高层和审计委员会提交。活动报告还应该:(1)将内部审计的实际业绩与内部审计活动的目标和业务工作安排相比较;(2)将支出与财务预算相比较。报告应解释重大偏差的原因并简要地说明任何已采取或需要采取的行动(实务公告2060-1)。
答案A、B和C不正确,列出一系列的重要审计发现、列出未纠正的报告情形以及报告内部审计师个人的每周工作状况都不属于活动报告的内容。
例题
内部审计师正考虑以风险分析为依据确定对本机构应当审计的区域。以下哪项是有关风险分析的准确陈述:
A.某一领域内需要管理层判断的程度可以作为风险因子,而这有助于内部审计师进行比较性的风险分析;
B.最高程度的风险评估应总是安排给存在最大的潜在损失的区域;
C.最高程度的风险评估应总是安排给存在最大发生可能性的区域;
D.为在组织内部各部门间提供一定可比性,风险分析必须采用量化方式。
解析
讨论:大多数风险模型都运用风险因素来确定业务的重点,比如,这些因素有:金额的重要性、资产的流动性、管理能力、内部控制的质量、变化或稳定的程度、上次业务开展的时间、复杂性以及员工与政府的关系(实务公告2010-2)。因此,内部审计师可以恰当地将管理能力的程度(如判断)作为风险因素。
答案B不正确,风险分析应考虑潜在损失(或破坏)以及事件发生的可能性。最大的潜在损失区域有可能损失很小;答案C不正确,事件发生最大可能性的地方可能损失很小;答案D不正确,风险分析的概念不限于量化比较。
例题
关于风险评估程序的下列审计活动中,属于恰当的内部审计活动的有:
Ⅰ.低风险区域委托给外部审计师负责,而高风险区域则由内部审计师来负责;
Ⅱ.高风险区域应当与管理高层、审计委员会要求优先考虑的问题一起纳入业务工作安排;
Ⅲ.风险分析应当在确定年度业务工作计划时运用,因而只能每年开展一次。
A.仅有Ⅰ;
B.仅有Ⅱ;
C.仅有Ⅲ;
D.仅有Ⅰ和Ⅲ。
解析
讨论:风险评估主要用于作出业务工作安排。通常业务工作安排的重点就是高风险的业务区域。因此,在确定业务工作安排的重点时应该考虑的事项包括最近一次业务的日期与结果;对风险、风险管理和控制过程的有效性的最新评估;管理高层、审计委员会和管制机构的要求;当前与组织治理有关的问题;企业的业务、运营、方案、系统与控制的主要变化;实现营业利益的机会;内部审计人员的变动与能力(实务公告2010-1)。
答案A、C和D不正确,内部审计工作应与外部审计师协调,以避免重复劳动,并确保充分的审计范围,但对外部审计师和内部审计活动工作的分派没有必要以风险为依据。而且,变化的状况可以要求对当期的风险评估进行更新。
例题(94/5/41)
某城市的首席审计执行官刚刚与审计委员会开了一个季度会议,审计委员会表示希望内部审计活动将下面两个项目作为他们下一年经营审计的一部分加以审查:1.该城市完成的“裁员”最终是否使得职员数达到“合理水平”?审计委员会提出审查几个地区会是适当的,并且这将为他们关注的问题提供初步依据;2.该城市为增加短期现金流量而进行的长期决策是次优的吗?审计委员会还特别地建议内部审计部门对负责该城市公共汽车线路运营的运输部门实施一次经营审计。尽管有很多争论,但首席审计执行官仍决定对这两个领域实施初步调查来证实审计委员会的第一点考虑。那么在实施初步调查时,下列程序中不恰当的是:
A.与行政管理当局会晤,确认“合理水平”的部门,无论确认标准是否存在;
B.与部门经理会晤,确认他们用来缩减经营预算的方法;
C.使用风险分析并选择两个账户余额存在潜在错报风险最大的部门;
D.制定能够用于收集职员工作态度方面客观信息的初步调查问卷。
资源管理
2030 资源管理-- 首席审计执行官应确保内部审计资源部署的适当性、充分性和有效性,以实现已批准的计划。
实务公告2030-1:资源管理
实务公告2030-2:美国证券监督委员会(SEC)对外部审计师提供内部审计服务的独立性要求
例题
以下哪项可以充当内部审计活动财务预算的直接导入因素:
A.业务工作安排;
B.活动报告;
C.过去内部审计活动在确认成本节约额方面的效果;
D.内部审计活动的章程。
解析
讨论:内部审计活动的计划过程涉及目标、业务工作计划、员工配备计划和财务预算以及活动报告的建立。人员配备计划与财务预算包括审计师的人数以及开展业务工作所需的知识、技能和其他能力。人员配备计划和财务预算应根据业务工作安排、行政管理活动、教育和培训需求以及审计研究和开发工作的情况来确定(实务公告2030-1)。
答案B不正确,活动报告将实际工作、目标与工作安排相比较,并将实际支出与财务预算相比较;答案C不正确,过去的业绩能够表明内部审计的价值,但它不会对当前工作所需资金产生影响;答案D不正确,章程界定了内部审计活动的目标、权限和职责。
例题
内部审计人员的个人能力是决定内部审计活动有效性的关键因素。在内部审计活动的人员配备决策中,首要考虑的因素是什么:
A.背景核查;
B.职位说明书;
C.持续教育;
D.组织导向(organizational orientation)。
解析
讨论:首席审计执行官应制定方案以选择和开发内部审计活动的人力资源。此方案应规定:为每个层面的审计人员制定书面的岗位说明书;选择合格的和能够胜任工作的人员;对每位内部审计师进行培训并为其提供后续教育的机会;至少每年一次对每位内部审计师的业绩进行评价;向内部审计师提供业绩和专业发展方面的咨询建议(实务公告2030-1)。适当陈述的职位说明书为确定工作的条件(包括培训和经验)提供了依据。
答案A不正确,背景核查有助于确保未来的雇员作出的陈述的准确性。不过,它们不是首要必备的事项;答案C不正确,持续教育发生在聘用了适当的人选之后;答案D不正确,组织导向有助于新聘人员尽快的熟悉工作,但是,如果聘用了错误人选则无法补救。
例题
为客户提供内部审计服务的大型组织的外部审计师要服从美国证券和交易委员会的规定。在2001年采纳的修正条例中(不管以往的规定),外部审计师在为审计客户提供内部审计服务时如果发生了以下哪种情况,其独立性会受损:
A.审计客户的管理层确定外部审计师开展的内部审计服务的范围;
B.外部审计师在任意一个财务年度提供的内部审计服务占审计客户内部审计服务所需总时间的40%以上;
C.审计客户的管理层不依赖外部审计师的工作来确定其控制的充分性;
D.审计客户的总资产低于2亿美金。
解析
讨论:具体说来,如果发生以下情况,外部审计师的独立性就受到了损害:外部审计师在任意一个财务年度提供的内部审计服务占审计客户内部审计服务所需总时间的40%以上,除非审计客户的总资产少于2亿美元。(在本段中,“内部审计服务”并不包括与内部会计控制、财务系统或财务报表无关的经营性内部审计服务。)如何针对外部审计师可以提供的内部审计服务计算40%的限额?应该包括所有根据“全时对等内容(FTE)”计算的分配给内部审计服务的时间。40%的限额计算应该在审计阶段开始时进行,并以当年所计划的内部审计活动为依据。美国证券监督委员会条例适用于当年工作的实际小时数和实际活动(实务公告2030-2)。
答案A不正确,提供任何内部审计服务都会有损独立性,除非审计客户的管理层确定了内部审计活动的范围、风险和次数,包括那些由外部审计师开展的活动);答案C不正确,供任何内部审计服务都会有损独立性,除非审计客户的管理层没有依靠外部审计师的工作来作为其确定内部控制充分性的依据;答案D不正确,审计客户的总资产低于2亿美金的例外是允许的。
政策与程序
2040 政策和程序- 首席审计执行官应制定政策和程序,以指导内部审计活动。
实务公告2040-1:政策与程序
1.书面政策和程序的形式和内容应与内部审计活动的规模和结构及其工作的复杂性相适应,并不是所有的内部审计活动都需要正式的管理和审计技术手册。小型的内部审计活动的管理可以是非正式的。可以通过日常的、密切的监督和书面备忘录来指导和控制其审计人员。在大型内部审计活动中,正规、全面的政策和程序对指导审计人员坚持遵守内部审计实务标准是必不可少的。
例题
内部审计专业实务标准要求制定书面的政策和程序来指导内部审计活动。对于这项要求,以下哪项表述是错误的:
A.书面政策和程序的形式和内容应该与内部审计活动的规模相适应;
B.所有的内部审计活动都应该有详细的政策和程序手册;
C.不是所有的内部审计活动都需要正式的管理和技术手册;
D.小型内部审计活动可以通过密切监督和书面备忘录来进行非正式管理。
解析
讨论:书面政策和程序的形式和内容应与内部审计活动的规模和结构及其工作的复杂性相适应,并不是所有的内部审计活动都需要正式的管理和审计技术手册。小型的内部审计活动的管理可以是非正式的(实务公告2040-1)。
答案A不正确,书面政策和程序的形式和内容应与内部审计活动的规模相适应;答案C不正确,不是所有的内部审计活动都需要正式的管理和技术手册;答案D不正确,小型的内部审计活动的管理可以是非正式的,可以通过日常的、密切的监督和书面备忘录的形式来管理内部审计活动。
例题
以下哪项对于指导内部审计人员日常遵守内部审计活动的工作标准而言是最为根本的:
A.质量方案评估;
B.职位描述;
C.业绩评价;
D.政策和程序。
解析
讨论:首席审计执行官应制定政策和程序,以指导内部审计活动(标准2040)。书面政策和程序的形式和内容应与内部审计活动的规模和结构及其工作的复杂性相适应,并不是所有的内部审计活动都需要正式的管理和审计技术手册。小型的内部审计活动的管理可以是非正式的。可以通过日常的、密切的监督和书面备忘录来指导和控制其审计人员。在大型内部审计活动中,正规、全面的政策和程序对指导审计人员坚持遵守内部审计实务标准是必不可少的(实务公告2040-1)。
答案A、B和C不正确,质量方案评估、职位描述和业绩评价没有为员工提供关于遵守工作标准具体指南。
协调
2050 协调- 首席审计执行官应与其他内部的、外部的提供相关确认和咨询服务的人员共享信息、协调活动,以确保工作的全面性,最大限度地减少重复工作。
实务公告2050-1:协调
例题
近些年,以下哪两个因素改变了内部审计师与外部审计师之间的关系,以致内部审计师成为了合作者而非从属:
A.外部审计师日益增加的责任以及内部审计师日益增加的专业性;
B.内部审计师日益增加的专业性以及外部审计益发的经济性;
C.计算机化会计系统的使用以及外部审计益发的经济性;
D.审计机构的全球化以及对计算机化会计系统的益发依赖。
解析
讨论:外部审计师可以确定内部审计师的工作在审计程序上是有效的,如果:(1)内部审计的工作是相关的,(2)考虑到内部审计的工作如何影响外部审计的效率,(3)外部审计师确定了内部审计师具有充分的能力和客观性。因此,鉴于内部审计师日益增加的专业性,可将他们视为外部审计的合作伙伴。此外,外部审计的益发经济性使通过减少工作重复并且益发密切地监督外部审计师的工作时间来控制审计费成为必然。
答案A不正确,日益增加的责任使外部审计师更不可能确定内部审计师的工作对外部审计程序的影响;答案C和D不正确,计算机化会计系统的使用和审计机构的全球化对外部审计师与内部审计师的相应作用没有重大的影响。
例题
国外分公司聘请的外部审计机构想依靠母公司内部审计活动对某部门的审计结论。为了保证其可信程度,国外分公司审计师要求提供工作底稿复印件。以下哪项是对国外分公司审计师的最为恰当的回应:
A.提供工作底稿复印件;
B.向母公司的审计机构请教提供工作底稿的复印件是否恰当;
C.要求审计委员会允许提供工作底稿的复印件;
D.拒绝在任何情况下提供工作底稿的复印件。
解析
讨论:内部与外部审计工作应相互协调以确保充分的审计范围,最大限度地减少重复工作。协调涉及互相接触审计方案与工作底稿。应允许外部审计人员接触内部审计人员的业务方案和工作底稿,以便使外部审计人员确定在审计中依靠内部审计的工作是否恰当(实务公告2050-1)。
答案B不正确,工作底稿是组织的财产,首席审计执行官的责任是保持工作底稿的安全以及协调外部审计师的工作。因此,决策权不在母公司的外部审计师,而在首席审计执行官;答案C不正确,外部审计师接触工作底稿应得到首席审计执行官的批准(实务公告-1);答案D不正确,在授权外部审计师接触内部审计师的工作底稿时,首席审计执行官应确保与外部审计师的适当沟通。
质量保证
1300 质量保证和改进方案
1310 质量方案评估- 内部审计活动应包括监督和评估质量方案整体有效性的程序。这一程序应包括内部评估和外部评估。
实务公告1310-1:质量方案评估
质量保证(续)
1311 内部评估- 内部评估应该包括:
不断对内部审计活动的工作进行复核;
通过自我评估,或由组织中的其他具备内部审计实务知识及了解标准的人进行定期复核;
实务公告1311-1:内部评估
1.持续的复核
2.定期的内部复核
3.沟通结果
1312 外部的评估- 外部的评估,如质量保证检查,应至少每5年开展一次,由合格的、组织外部的独立检查人员或检查小组来进行。
实务公告1312-1:外部评估
质量保证(续)
1320 报告质量方案- 首席审计执行官应将外部评估的结果告知审计委员会。
实务公告1320-1:报告质量方案
1330 运用“遵循标准”声明- 鼓励内部审计师声明他们的活动“遵循了内部审计实务标准”。然而,只有在对质量改进方案的评估证实内部审计活动与标准相一致时,内部审计师才可以运用这种声明。
实务公告1330-1:运用“遵循标准”声明
1340 披露违规行为- 尽管内部审计活动应完全遵循标准,内部审计师应遵守道德规范,但偶尔也会出现不能完全遵守的情况。当不合规的行为影响到全局或影响内部审计活动的开展时,就应向管理高层和审计委员会进行披露。
例题
内部审计部门的质量保证计划对审计工作符合实务标准提供了适当的保证,以下活动对审计部门的有效性提供反馈信息的是:
Ⅰ.适当的监督
Ⅱ.适当的培训
Ⅲ.内部复核
Ⅳ.外部检查
A.仅有Ⅰ、Ⅱ和Ⅲ;
B.仅有Ⅱ、Ⅲ和Ⅳ;
C.仅有Ⅰ、Ⅲ和Ⅳ;
D.Ⅰ,Ⅱ,Ⅲ,Ⅳ。
解析
讨论:质量保证和改进方案应予以设计,以便对内部审计活动的各利害关系人提供合理的保证,如果:(1)内部审计活动的开展遵守其章程,而章程是与标准和道德规范保持一致的;(2)内部审计活动的运行是有效率和效果的;(3)利害关系人认为内部审计活动能增加价值和改善运营。质量保证和改进方案包括适当的监督、对质量保证的定期内部评估与持续的监督,以及定期的外部评估(实务公告1310-1)。
答案A、B和D不正确,适当的培训是前馈,不是反馈、控制。
例题
为评价内部审计活动的恰当工作情况,质量保证和改进方案必须包括:
A.在一定样本基础上对内部审计工作进行定期监督;
B.由内部审计人员之外的进行的内部评估,以评价内部审计活动的工作质量;
C.至少每5年进行一次的外部评估;
D.业务经理的定期轮换。
解析
讨论:外部的评估,如质量保证检查,应至少每5年开展一次,由合格的、组织外部的独立检查人员或检查小组来进行(标准1312)。应开展内部审计活动的外部评估,对内部审计活动遵守内部审计专业实务标准的情况进行评价并发现意见,并在适当时提出改进建议。应开展内部审计活动的外部评估,对内部审计活动遵守内部审计专业实务标准的情况进行评价并发现意见,并在适当时提出改进建议(实务公告1312-1)。
答案A不正确,监督过程从业务计划开始,持续业务检查、评价、沟通和后续追踪各阶段(实务公告2340-1)。因此,它是持续的,而非定期的;答案B不正确,内部评估包括:不断对内部审计活动的工作进行复核;通过自我评估,或由组织中的其他具备内部审计实务知识及了解标准的人进行定期复核(标准1311);答案D不正确,不需要对业务经理进行多期轮换。
信息技术审计
A. 计算机系统的内部控制--概述
B. 组织和操作控制
C. 程序开发和文件控制
D.硬件控制
E. 存取控制
F. 应用控制
G.计算机审计技术
H. 终端用户计算(EUC)
概述
当今的商业信息大部分是由计算机系统产生的。内部审计师,作为部分信息的提供者,在这些计算机系统中承担三种角色:
1.设计者——参与系统开发;
2.审计者——作为系统输出结果、系统组成和管理的评估者;
3.用户——作为系统输出结果的接收者,以及将系统作为决策输入的来源。
内部审计师必须在审计计算机系统之前,就熟悉信息技术。特别是,内部审计师必须理解计算机的使用如何影响了内部控制以及如何测试那些内部控制。
IT环境下的控制框架
信息技术职务分工
与信息技术环境相关的风险
对软件和硬件功能的依赖;
审计线索的可见性;
减少了人员的参与;
系统错误与随机错误;
未经授权的存取;
数据的损失;
减少了职务的分离;
传统授权的缺乏;
信息技术经验的要求。
计算机系统的内部控制
一般控制(general control)涉及所有的计算机处理活动。它们与所有的电算化会计活动有关,而且通常包括对应用程序开发、修改和维护的控制措施,也包括使用和修改存储在计算机文件中的数据的控制措施。一般控制包括:
1)组织计划和计算机操作活动:系统分析师、程序员、操作员、文件管理员和控制小组的职责必须由不同的个人完成,并且要提供必要的监管。
2)编辑、审核、测试和批准系统或者程序变化的过程:程序的开发和编辑的控制措施主要关注于计算机应用程序的计划、开发、编写和测试。
计算机系统的内部控制(续)
3)由供应商内置的设备控制措施(硬件控制措施):硬件控制保证数据移动和存储过程中的合理的内部处理。硬件控制包括奇偶校验、回叫检测、读写检查、和其他的保证数据完整性的内置于设备的控制措施。
4) 对设备和数据文件存取(进入)的控制措施:进入控制保证只有有效的个人可以使用系统,而且保证使用是为了有效的目的。这样的控制包括对设备的物理保护、合理的库安全措施和密码。
5) 其他的影响计算机总体操作的数据和过程控制措施。
一般控制对控制风险的影响
多数审计师在评价应用控制前会评价一般控制的有效性。一般控制无效,则对每一个基于计算机的会计应用就会存在重大错报的可能。如职责不能有效分离,计算机操作员也是程序员,并能存取计算机程序和文件,则审计师应关注虚假交易或未经授权的数据及遗漏销售、采购、薪金等账户的可能性。同样,如果审计师发现数据文件未能安全保管,则可以断定存在数据丢失的重大风险,因为一般控制影响着每一项应用。在这种情况,为满足完整性目标的审计测试可以扩大到现金收入、现金支付及销售等领域。
另一方面,如果一般控制设计适当,就增加了对应用控制更为信赖的可能。为此,审计师能够测试具体的应用控制的运行效率,并依靠测试结果减少实质性测试。这种对一般控制和应用控制的有效使用,会产生重大的审计效果。
然而,在IT环境下,组织软件程序变动会影响到审计师对控制的信任。审计师必须评价是否需要额外的测试。如果一般控制有效,审计师就容易识别应用软件的变动;如无效,审计师必须考虑在持续的年度内执行应用控制运行有效性的测试。
计算机系统的内部控制(续)
应用程序控制(application control)与系统完成的特定任务有关。它们提供对数据的记录、处理和报告的合理保证。应用程序控制与单个的电算化会计应用程序有关,例如测试客户账号和信用限额的程序化编辑控制。
1)输入控制(input control)为数据的接收和处理提供合理保证,它们保证数据处理被合理授权、转化为机器识别的格式、确认,保证数据(包括通讯线路中传输的数据)没有丢失、增加、重复和恶意更改。输入控制还与拒绝、更正和初始错误数据的重新提交有关。
2)处理控制(processing control)为特定应用程序进行的处理提供合理保证,也就是说所有的被处理的交易都得到了授权、非授权的交易被省略,并且没有添加未授权的交易。
3)输出控制(output control)为输出的处理结果(例如账户列表、报告、磁盘文件、发票或者花费支票)的准确性提供合理的保证,而且只有得到授权的人才可以得到输出结果。
输入控制的目标
确保各项交易处理系统的正确性;
完整、及时地接收有关交易的数据,并且在适当会计期间将这些交易数据记录于账户中;
及时发现与更正进入信息系统的各种异常数据,或是向使用部门反馈,以便重新处理。
输入控制(续)
良好的输入控制应当能够及时发现各种数据输入差错,确保进入系统的全部交易资料转换为计算机可读形式,并可通过通讯线路有效地传送。
在联机实时处理系统中,输入控制尤为重要。因为任何输入差错将在系统内部迅速蔓延,且较难以察觉,一项交易的输入差错可能会影响系统中的多个数据文件或文件记录,产生十分不利的后果。
输入控制(续)
根据交易数据收集的逻辑性步骤,可以分别对交易记录、交易数据分批、交易数据转换、交易程序校验以及交易数据传送等建立必要的控制程序和方法。
交易数据分批。如果采用批交易的处理方法,一般要计算和保留批控制总和(Batch total)。批控制总和有助于防止交易处理的遗漏或是有关数据的过账错误,也可防止在信息系统处理过程中插入未经授权的交易数据。
通常,交易执行部门员工先通过计算机计算各批次交易数据的控制总和,填制批交易数据传送单,随同批交易原始凭证移送至数据处理部门的数据控制组,并登记在批控制清单中。当交易数据键入系统并经验证后,计算机系统将自动计算且输出新的批总和,或在批交易数据处理完毕后自动登录于批控制清单。不同处理步骤所生成的批总和可以同使用部门生成的批控制总和相核对。若不相符,则数据输入有差错。数据控制组就能及时调查与更正有关的输入差错。计算机系统在资料输入与验证之后,列出不同控制总和之间的差异,非零差异表示存在差错。
批交易数据的输入控制
一般而言,批交易数据的输入控制可采用三种控制总和,即:
(1)总额控制数(Amount control total)。即批交易金额或数量栏内的汇总数,如应收账款总分类账或明细分类账数据文件记录的余额等。
(2)杂数总和(Hash total)。即某些特定数据要素区域值内的总和,本身无经济涵义。如批交易涉及的客户或员工编号总和;交易或产品代号总和等。
(3)记录项目总和(Record count)。如一批待处理交易原始凭单的数目之和。
输入控制(续)
交易数据转换通常是发生数据输入差错的一个原因。为此,经过转换的数据必须加以验证。在电子数据交易处理信息系统中,这一验证可以通过光学设备(OCR)、按键装置、计算机系统内置的编辑程序来执行。
交易数据转换(续)
可视校验(Visual verification)。即通过输入设备的屏幕显示,校验所输入的交易数据;可实时地直接核对原始凭证和已转录的数据。例如,交易数据通过终端机输入,屏幕上显示的输入资料必须与原始凭证的记录一致;如果交易数据经由非联机媒介批输入转换,则可能需要把已转换的结果列印输出后与交易原始凭证核对。
键校验(Key verification)。是对交易数据的重复键入并且核对两次键入结果是否一致。通常由非执行原始输入作业的其他职员来执行。这种方法由于较为费时或低效,一般仅适用于少量关键性数据要素(如客户编号、销售数量与金额)的校验。
编辑校验(Editing verification)。由计算机系统的内置编辑程序执行输入数据验证。这些计算机程序具有逻辑运算和查错功能,可以根据预先设定的交易有效性标准核对有关的输入数据。只有经过编辑校验无误的输入数据方可进入下一步处理;未能通过编辑验证的数据将视为无输入,并且转入差错报告与更正程序处理。对电子数据处理信息系统而言,数据编辑校验是保证输入正确性的最重要手段,尤其在某些情况下,可视较验和键校验方法可能无法有效地应用。
输入控制(续)
程序校验。当前的大部分应用软件都配有程序校验功能,以便对信息系统运行过程执行大量的逻辑性测试,并且确定:
(1)有效性测试:交易识别标志是否正确无误;
(2)合理性测试:交易数量和金额是否合理或是否符合预定的上下限域值;
(3)字段值测试:未填列资料数码或字母符号的备用字段位数是否适当;
(4)配比性测试:相关数据要素之间的逻辑关系。
在程序校验过程中,常采用校验数位(Check digit)。这些数位也称为“自测数据”,即加入的特定辨识标志的多余数字或字母,仅用于测试既定的系统处理过程能否有效地检测出这些“自测数据”,以校验数据输入与处理的正确性。
输入控制(续)
交易数据传送。交易数据可能从不同部门进入EDP信息系统,且必须使用相应的数据传送设备。为避免数据传送过程中出现差错或遗漏,可采用以入应用控制:
(1)回叫检验(Echo check)。把输入系统的交易数据反馈至输入终端与原数据相核对。例如,当异地销售分店把一项销货交易数据经由终端机传送给企业总部的中央信息系统后,其中客户姓名、代码与通讯地址等数据要素可能被反馈至传送者,直接验证其正确性。
(2)冗余测试(Redundancy test)。把一些无用或多余的字符或数字加入交易数据一起传送,以便于对传送结果的验证。例如,可以将客户姓名的前几位字母和客户代码一起传送,由信息系统内置的检测程序执行吻合性测试。
(3)完整性测试(completeness check)。检验交易数据是否已经如数地输入与传送。倘若在传送过程中遗漏了一项订购货品的代码,系统中的完整性测试功能将立即提示传送者重新传送,或者停止对这项交易数据的传送,直至遗漏的数据被补全。
处理控制
信息系统处理过程控制的主要目的:
确保已输入系统的全部数据均得到准确和完整的处理,包括读取和记入适当的应用程序和数据库,及时更新交易数据记录,以及全部已处理交易必须易于追溯查验等。
处理控制(续)
处理控制包括:交互核对、处理逻辑查验、运行间次验证
·交互核对(Cross check)。即员工的工作要经其他员工或部门的核对查验。
·处理逻辑查验(Processing logic check)。 如顺序性查验可用于检验有关交易处理的顺序逻辑性,确保信息处理过程依循预定的先后顺序执行。
·运行间次验证(Run-to-run verification)。由于交易数据的批处理必须辅之以必要的控制,以免遗漏记录或更新有关的交易文件或数据文件,或是插入未经授权的交易数据记录。为实现此目的,信息系统的每次批交易数据处理运行都要计算并且列印批总和来加以控制。在实时交易处理系统中,必须在各个工作日结束之前,由计算机系统编印“交易账户变动汇总”或“数据文件更新记录”,列示每个总分类账的期初余额、期间内发生的交易及期末余额。各账册余额的变动合计必须与交易原始凭证或其他文件记录的控制总和相符。
不足之处:无法确保交易数据过入正确的交易文件或数据文件,以及其后的过账处理适当无误。
处理控制(续)
·文件与程序更改控制(Files and program control)。这种方法可以确保在处理已输入的交易数据之前,检测拟读取或储存交易的数据文件或文件的适当性。这一检测可通过查阅数据文件记录标签标明有关文件或记录的设置日期及更新日期、名称、内容。倘若计算机处理程序接近不正确或未更新的交易数据文件或文件记录,系统控制台或有关的作业程序将自动显示预警信号以提示操作人员更正。此外,配比查验(Matching check)亦可用于查验有关的交易记录是否与相应的数据文件或文件记录相匹配。
处理控制(续)
·建立审计线索。信息处理过程控制的一个目的在于产生必要的审计线索,以便于追溯复核各项交易,为总账余额或其他会计记录变动提供证据,也有利于编制财务报表以及更正运算处理的差错或数据的遗漏。一般而言,适用于EDP信息系统的审计线索包括设立相应的输入/输出登记簿、作业运行登记簿和交易处理汇总。特别是处理过程控制程序应分别在下述两种情况下编印交易处理汇总表:(1)批交易处理系统中的每次数据文件更新之后;(2)实时处理系统中每个工作日结束之前。交易处理汇总表列示的数据必须按特定标志或顺序编号加以识别。这些交易顺序编号同时过入总账主文件记录,或是转录于相关的交易原始凭证之前,以便于追溯查验。
处理控制(续)
输出控制
输出控制是注重于处理控制完成后检查差错的控制,而不是防止差错的控制,重在保障信息系统输出的完整和可靠性,并且分发各种输出信息给适当的使用者。一般而言,输出控制包括:
处理结果的复核。该方法在涉及计算机系统数据文件或文件记录时尤为重要。计算机系统输出的账户变动报告列示各个交易数据文件中各项记录的变动状况,必须由使用部门复核。
输出控制组(output control group)。由信息系统部门设置的负责对各项拟分发输出信息的检查或差错更正。如,计算机系统打印的例外报告或差错汇总,就必须先由输出控制组检查。
输出结果的控制发放(controlled distribution of output)。
例题
一个分散化的生产设施使用小型计算机处理存货和生产纪录。每天计算机系统使用批处理的方法向生产设备中心传输数据。以下程序哪些是审计师检查生产部门一般控制程序:
Ⅰ.检查生产设施中的灭火装置;
Ⅱ.检查生产人员计算机职责的岗位说明书;
Ⅲ.检查不正确地输入存货交易的错误清单;
Ⅳ.检查传输到中心设施的生产数据记录总数。
A.仅有III; B.II和IV;
C.I和II; D.I、II、和III。
解析
讨论:一般控制是无处不在的,因为它们适用于所有的应用程序和设施。例如,合理的职责分离、系统开发方法、进入和安全性控制、管理控制和灾难-恢复计划都是例子。检查生产设施的灭火能力是对灾难-恢复计划的测试。检查生产人员计算机职责的岗位说明书是对行政管理控制的测试。
答案A和D不正确,错误清单与应用控制有关;答案B不正确,记录总数与应用控制有关。
例题
某公司最近将采购循环由手工操作转变为用联机系统操作。以下哪项是与这种向新型自动系统转化相关的结果:
a.操作错误会增加;
b.公司面临的风险将减少;
c.操作时间增加;
d.传统的职责分离会减少。
组织和操作控制----一般控制
职责分离
备份和恢复的政策与过程
蠕虫--通常善意或恶意的复制自身。它们通常作为一个单独的、独立的程序存在,并将操作系统作为它们复制的方式。当组织将其计算机联在开放的网络上时,就会引起来自于蠕虫的威胁。控制蠕虫的方法与控制病毒的方法是类似的。
热站和冷站备份设施--热站是一个服务局,它提供可以立即使用的完全操作处理设施;然而冷站是一个壳设施,使得用户可以迅速安装计算机设备。
信息中心帮助桌面--帮助桌面可以登记出现的问题、解决小的问题、将更复杂的问题转发到合适的个人。有效的帮助桌面使用户的受挫最小化,并在用户与信息系统接触时推迟处理中的、持续的差错。
信息技术职务分离
通常,信息技术管理、系统开发、操作及数据控制职责应做以下分离:
信息技术管理。通常,首席信息执行官(CIO)负责对信息技术职能的监控,并确保有关活动的执行与公司的信息技术战略规划相一致。此外,信息技术安全管理员要监控硬件、软件及数据文件的联机存取方式,在检查到安全漏洞时实施追踪调查程序。
系统开发。IT系统的开发和变动一般由系统分析员来协助完成。系统分析员负责每个应用系统的总体设计,并充当IT部门内负责程序应用的人员与IT职能外主要的系统使用人员(如应收账款人员)之间的纽带;程序员开发特定应用程序的流程图,准备计算机指令以及测试程序,在系统分析员的指导下记录结果。由于程序员对程序逻辑的理解能够很容易被用于个人利益,故他们不应接触输入数据或进行计算机操作,以防止他们对软件程序进行未经授权的改动。程序员只能在程序和数据的测试版上工作。(续)
信息技术职务分离(续)
操作。操作员负责计算机的日常操作,且要与CIO建立的工作日程表的工作相一致,还在监控计算机控制台;管理员负责计算机应用程序、交易文件以及其他重要的计算机记录和文件的维护,并保持对这些应用程序和记录的控制,且仅按工作日程表的指示将它们发布给操作员。只有经高层管理者的批准,管理员才能向程序员公布测试版。在网络环境下,网络管理员负责计划、实施和维护服务器的网络化。
数据控制。数据输入/输出的控制员独立确定输入信息的质量和输出信息的合理性。对于那些使用数据贮存信息,以便会计和其他职能可以共享的组织,数据库管理员负责这些共享数据库的操作和存取安全。
为了对测试过的软件能继续按计划处理信息增加信心,管理人员必须设计和执行内部控制,以减少未经授权的软件变动的风险。这些内部控制被称为系统开发方法程序。
无论软件是外购还是内部开发,用真实数据对软件进行大量测试非常关键。这是为了确保现有的软、硬件能够兼容新软件并确定它们能否处理实际交易量。试点测试及平行测试是两种典型的检测方法。试点测试是选取组织中的某一部门运行新系统,而其他部门继续使用旧系统。平行测试是指在整个组织内同时运行新、旧两套系统。
一旦测试成功,程序员应将新系统的支持软件移交管理员。对这一移交过程进行控制很关键,这是为了确定只有经批准的变动才能被执行。管理员只在系统开发的适当文件被提供后接受新软件或经修改的软件。此外,为了避免系统转换中出现问题,这一转换应安排在对系统的依赖时间较少的非高峰作业期。
例题
为确保开发活动得到恰当控制和管理,系统开发审计的一项内容是在不同的阶段进行审计。这种审计不包括以下哪项内容:
a.针对现有的硬件、软件和技术资源开展技术可行性研究;
b.检查每一实施阶段的用户参与程度;
c.验证程序开发、转换和测试时对控制和质量保证技术的应用情况;
d.确定系统、用户和动作文档处理是否遵循正式标准。
例题
一个大型的数据处理中心正在高峰时段经历着批处理处理瓶颈。有时,数据中心不能在下一个工作日开始之前处理完上一日的交易,为准时开始实时处理造成了困难。为了调查这个问题,内部审计师应该首先关注于以下哪些控制措施:
A.备份/重启程序;
B.工作进度安排;
C.控制台日志;
D.程序文档。
解析
讨论:工作进度安排显然是调查的开始。对工作进度安排的无效控制,不仅会造成高峰时段批处理的瓶颈,而且在其他时间造成使用的无效率,从而提高成本。例如,工作进度安排问题可能来自于每日工作变化、允许用户提交未安排的工作或者手工操作控制自动化系统。控制措施包括自动进度安排软件、限制手工操作的干扰、从管理层获得授权监督手工操作、记录完整的和现在的操作、确定所有的工作已经完成、以及将未安排的工作转到另一个处理器,或者转到正在运行已经安排工作的处理器的另外一个部分。
答案A不正确,备份/重启程序关注异常地放弃工作处理;答案C不正确,控制台日志只能给出问题地存在,因此可以在以后步骤检查控制台日志,但是不是首先需要考虑的因素;答案D不正确,程序文档也不是一个合理的开始,但是它可以在以后的步骤帮助确定为什么某个程序耽搁了处理过程。
例题
信息系统的应急计划应该包含合理的备份协议。以下哪项安排属于当重要的操作要求立即使用计算机资源时,对供应商的过于依赖:
A.“热站”协议;
B.“冷站”协议;
C.“冷站和热站”联合协议;
D.使用组织中其他数据中心的额外容量。
解析
讨论:为了预防出现的灾难,组织必须有一个操作的应急计划。这些计划通常包括在组织以外存储重要备份数据,并在另一个地点连续操作的安排。冷站具有上述所有要求,但是没有足够的计算机设备,因此对供应商及时送货需求很强。
答案A不正确,热站本身具有所有的计算机设备,不依赖于供应商的送货;答案C不正确,冷站与热站的联合可以在冷站设备准备完毕之前使用热站的设备,因此不是很依赖于供应商;答案D不正确,额外容量可以保证所需要的资产,因此不依赖于供应商。
硬件控制
回叫检测(echo check)为外设设备提供将CPU发出的信号反馈回去的功能。例如,CPU向打印机发送了一个信号,打印机在打印之前,要向CPU发送一个反馈信号,确定合适的打印区域已经激活。
奇偶校验(parity check)在字符或者信息后面加入一个比特,检查累加数字总和,确定它是奇数还是偶数,这依赖于计算机是奇数还是偶数校验。这种检查可以确保所有数据没有丢失地被传送。例如,如果计算机具有偶数校验,所有用二进制表示的包含奇数位数字的字符和消息,就要加上一位数字。如果字符或者消息包含偶数位字符,就不需要加上额外的数字了。
例题
硬件控制对审计师的重要性在于它们:
A.保证操作系统职能的正确编程;
B.保证机器指令的正确执行;
C.减少用户在实时系统的输入错误;
D.保证应用软件系统运行总数一致。
解析
讨论:自动化控制(硬件控制)是由硬件生产商在设备中内置的控制措施,用来监测和控制设备使用过程中出现的错误。硬件控制的例子包括奇偶校验(parity check)、读写检查、回叫检测等。硬件控制对于内部审计师的重要性在于它们保证应用软件系统使用的机器正确执行操作指令。没有硬件控制,内部审计师不可能知道硬件是否运转良好。
答案A不正确,硬件控制与程序修正是无关的;答案C不正确,输入控制减少用户在实时系统的输入错误;答案D不正确,总数控制实现这一职能。
例题
对工资主文件的更新是在一个实时系统中,由远程终端用户向一个主机结构程序发送。保证数据传输准确性的控制措施是:
A.回叫检测(echo check);
B.保护环;
C.杂项总和(hash total);
D.整合测试设施。
解析
讨论:回叫检测为外设设备提供将CPU发出的信号反馈回去的功能。例如,CPU向打印机发送了一个信号,打印机在打印之前,要向CPU发送一个反馈信号,确定合适的打印区域已经激活。
答案B不正确,保护环阻止对磁带文件的突然写入;答案C不正确,杂项总和用来控制一个批处理系统中的数据发送,而不是一个实时处理系统;答案D不正确,整合测试设施虽然是用在实时处理系统中的,但是不能保证数据传输的完整性。
存取控制
存取控制,如密码、用户名、存取日志和设备授权表,可以阻止对数据文件和程序的不正确使用和操作。它们确保只有那些有合理目的和合法授权的人才能进入计算机系统。存取控制要限制到具体的人员、文件、职务或设备。比如,某个人可以通过读的方式接触文件,而另一个人可以对文件进行更新。
a.密码和确认号
b.设备授权表(device authorization table)将对文件的进入限制于那些有合理进入要求的物理设备。例如,从生产车间的终端进入应收账款账户是不合理的,因此设备授权表将不准这些终端进入文件,即使它们拥有正确的密码。这样的测试通常称为相容性测试。
c.系统访问日志
d.加密
g.生物测定技术
例题
某负责工薪结算的财会人员拥有局域性网络(LAN)的使用授权,可以直接将独立于应用软件的人事文档进行更新。防止这一财会人员如此操作的最佳控制是:
a.在事先确定的不同键盘的时间之外用自动上锁的方式控制进入LAN工作站;
b.限制接近并监督有关软件产品及具有巨大更新能力的设施的安装;
c.使用密码来鉴别试图进入LAN的使用者是否经过授权;
d.为该部门建立一安全政策,以禁止对数据文件直接更新。
例题
与应用软件有关的数据进入的安全性,不能通过以下哪项实现:
A.内置于软件的用户身份和鉴定功能;
B.应用软件职能;
C.进入控制软件中的用户身份和鉴定功能;
D.数据库管理系统提供的安全职能。
解析
讨论:应用软件处理日常功能(例如排序和复制),对于所有用户都可用,立刻可以用于许多不同的应用程序。应用软件是数据存取控制的一个严重的弱点,因为有的人可以利用它规避正常的存取控制措施。
答案A不正确,虽然这种控制已经开始从应用程序转移到其他软件,但是大量的这种控制仍然内置于应用程序;答案C不正确,进入控制软件的一个主要目标就是提高系统中所有数据的进入安全性;答案D不正确,大多数数据库管理系统在运行的时候,可以提高数据进入的安全性。
例题
未经授权许可访问系统不会对以下哪个方面产生负面影响:
a.关键表格的准确准;
b.审计线索的可靠性;
c.开发人员访问系统的机会;
d.对存取控制记录的定期审查。
计算机审计技术
数据测试法
ITF
平行模拟
嵌入审计模块
通用审计软件
相对复杂的信息技术环境中的审计
信息系统审计可分为:审计规划、控制的符合性测试和实质性测试。
审计规划是要分析审计风险。风险分析包括对组织的一般控制和应用控制进行全面的评估和检查。在全面检查组织信息系统的一般控制时,审计师要熟悉组织的战略性和操作性政策、运营和组织结构。审计师还要了解组织的财务及会计系统,以及这些系统处理经营交易过程中的控制。
信息系统的审计包括内部审计师和外部审计师对于内部控制的符合性测试。外部审计的目标是证实财务报告的合法性、公允性和一致性。通常,内部审计师的工作也包括同样的目标;在另一些时候,内部审计师执行符合性测试是基于组织的特定需要,并且对最高管理层负责。信息系统审计适用的审计标准与其他审计工作所要遵循的审计标准一样。过去的这些年,AICPA、IIA、GAO、ISACA等都在有关的标准中对信息系统审计作了具体规定。为此,审计师要对信息系统的一般控制和应用控制执行一系列的测试或检验。
相对复杂的信息技术环境中的审计(续)
实质性测试的重点是对信息系统输出财务报表数据的检查,包括查验会计账户的余额和交易记录的准确性和可靠性。实质性测试检查的性质和范围取决于组织符合性测试的结果和评估。
控制符合性测试和财务报表项目的实质性测试的目的都是为了尽可能地降低审计风险,保证审计结论的正确性。系统控制的符合性测试着重检查组织的内部控制机制。
信息系统控制的符合性测试
在信息系统审计中,控制的符合性测试主要检查以下几方面的控制:
·操作系统控制;
·数据控制;
·组织结构控制;
·系统开发控制;
·程序维护控制;
·计算机中心安全控制;
·传导通讯控制;
·电子数据交换控制;
·微机控制。
信息系统控制的符合性测试(续)
以EDI控制为例,该系统的目的是要确定:
·所有的EDI均遵循既定政策,并且经过适当的授权;
·未经事先授权的外部组织和个人一概不得接近交易数据库;
·经授权的外部组织只能存取与往来交易有关的特定数据;
·所有的电子数据交换都要保留审计线索。
电子数据交换的测试
授权控制的测试
审计师要审核商业伙伴进出本组织数据库的使用者身份码均已事先经过审批生效;并且还要审阅商业伙伴文件和交易合同文件的完整性与准确性。
存取数据控制的测试
EDI的关键环节在于有效商业伙伴文件和数据库的安全防护。审计师可以通过以下方式查验存取数据控制的有效性:
·是否只有经授权的人员才能接近存取供应商和客户数据文件;有关通行口令和授权清单是否都经过编码保护处理;
·商业伙伴接近组织的数据库存取数据是否限定在合同规定的范围之内;
·检查组织的交易数据库是否可能被非授权人士非法窜入。
审计线索控制的测试
必须审查EDI的全部过程是否都有作业记录。审计师可以从作业记录中抽样检查关键数据的记录是否准确无误。
信息系统审计方法
一种是在电子数据处理系统中审计复核的过程和内部控制评价过程。这种活动通常由审计师在符合性测试中进行,称为“穿过计算机的审计”(auditing through the computer)。
另一种通常是描述审计师用计算机取代手工来完成的审计工作的活动。这种活动通常在关于账目平衡的实质性测试中进行,可称为“使用计算机的审计” (auditing with the computer)。
穿过计算机的审计
穿过计算机的审计是对计算机系统内部控制的证实,它不仅要求对系统的内在逻辑具有深刻的了解,而且必须对系统的内在逻辑功能加以直接测试。
比如,审计师可以利用若干专门设计的、用于测试的交易来检查某个应用程序特定的逻辑功能和控制。这种测试通常较为严密和精确。
以数据测试法为例,审计师将测试用交易的各种数据输入组织的实际运行系统,并且由需要检验的应用程序加以处理和输出其结果。通过对比系统的输出和预先设计测试的输出结果,可以确定组织信息系统中的应用程序功能的正确和有效。
通常,应用程序控制测试包括真实性测试、准确性测试(含范围测试、字段测试、极限测试)、完整性测试(含字段测试、记录顺序测试、杂数总和)、冗余测试、存取测试、审计线索测试和四余五入差错测试(rounding error test)。
信息系统审计技术表
数据测试法
数据测试法(续)
这种方法利用组织的计算机系统和应用程序来处理审计师的测试数据,以确定计算机执行的控制能否准确处理测试数据。测试数据包括审计师准备的用于输入的有效数据和无效数据。在测试数据被处理前,数据被审计师手工处理并判断应有的输出结果。审计师将实际处理的结果与应该出现的结果进行核对。由于这些数据是由审计师设计的,他们能确认出这些测试项目应被组织的计算机系统接受或拒绝。审计师将由系统测试数据生成的结果与他们的预期结果相比较,评估应用程序内部控制的有效性。
数据测试法(续)
测试数据法可用来判断计算机程序处理数据的准确性。测试数据可以用来证实输入处理程序的有效性、处理逻辑的合理性、计算程序的准确性。对于涉及利息或对折旧的计算程序,这个方法尤其有效。该法对审计师的计算机知识和技能的要求较低,并且由于不涉及对现有计算机操作的修改,实施成本通常低。
在使用测试数据法时,测试的程序是实际使用的程序,并且必须确保测试数据不会影响系统的其他文件。
数据测试法(续)
在运用测试数据法时,审计师应关注:
测试数据应涵盖审计师想测试的所有相关情况,审计师应设计测试数据以测试他们想要依靠的关键的基于计算机的控制,以减少控制风险。这些测试数据应当包括可能是组织正常处理部分的真实项目,包括有效和无效的交易。
用于测试审计师的测试数据的应用程序,必须与组织当年全年使用的应用程序相一致。
必须从组织有关记录中清除测试数据的痕迹。如果审计师选择在被测试系统处理实际业务数据的同时,进行数据测试的处理,测试一结束,审计师就应该从组织文件中清除测试数据的痕迹。不能允许这些虚构的业务数据始终留在组织的主文件中。
ITF
ITF(续)
是在计算机系统的主文件中既使用测试数据又使用虚拟会计对象的数据。之所以称这种方法是整合测试,是由于测试数据和真实会计交易数据由包含在真实会计处理对象和虚拟会计处理对象的主文件同时处理。
该方法不需要中断现有的计算机处理程序,也不需要对现有计算机程序做任何特殊修改。审计师通常在被审计的计算机会计信息系统的开发阶段同时开发为执行特定审计功能设计的整合测试程序。系统一旦投入使用,运营成本将很低。
ITF(续)
两个优点:
可以持续不断的测试,并且不会引起系统运行成本的大幅提高;
不影响系统使用者的正常业务,也不需要计算机系统操作人员的干预。因此,有可能提高审计的效率和可靠性。
缺点:
测试数据可能窜入正常交易数据,故对交易企业的数据文件造成破坏。
平行模拟
平行模拟法(续)
是使用审计师设计的与被审计程序功能相同的模拟程序处理真实数据,将模拟的输出结果与被审计程序的正常输出结果进行对比,可以评价应用程序的控制是否可靠。审计师仅对其特别感兴趣的部分用模拟程序进行重复处理。
该方法通常成本较高,且需要大量的时间,但该方法能够处理真实数据,并且不依赖于被审计单位的人员和设备。
嵌入审计模块
嵌入审计模块法(续)
审计师在组织的应用系统中插入一个审计模块,抽取出在审计师看来是具备了特定利益特征的交易。该方法的优点是可以在不同时点上进行连续测试,另外有能力识别出所有异常交易。
例题
以下哪项审计技术可以对电脑交易进行连续监测和分析,以便开展详细的审计:
a. 整合测试应用程序(ITF);
b. 平行模拟;
c. 数据测试;
d. 内设审计例行程序。
例题
某大型公司的运输部在其车队管理办公室独立型电脑的数据库保存其车辆存货和维修记录,要评估该数据库信息的准确性,以下哪种审计方法最合适:
a.将从数据库摘取的记录抽样与辅助文件等支持性凭证进行核对;
b.通过现行系统提交成批的测试会计事项,并与预期结果进行核对;
c.运用数据测试程序,模拟正常处理过程;
d.运用程序追踪,显示程序指令是按什么程序,如何在系统中得到处理。
例题
许多公用事业公司使用复杂的客户服务系统(CSS)来管理它们的客户服务部门。CSS运行于联机实时环境中,这样能保证客户服务数据直接经由客户电话传入系统。以下哪项电子数据处理审计技术能使审计师连续监控来自于CSS的客户服务数据?
a.通用审计软件;
b.控制流程图(control flowcharting);
c.嵌入审计数据集合(Embedded audit data collection);
d.整合测试法(ITF)。
例题
某审计师怀疑计算机的人力资源系统包含无效的数据。例如,无效的工种分类、超过退休年限的年龄及无效的民族分类等。为确定此情况,最佳的方法是:
A.利用测试数据,测试数据输入的编辑控制的有效性;
B.检查和测试存取控制,确保只有经授权的职员才能进入系统;
C.运用通用审计软件,确定不在特定参数内的所有数据;
D.运用通用审计软件选取职员的样本,确定样本中数据项目的有效性,并以此推断总体情况。
解析
讨论:通用审计软件主要用途是为额外的测试选取和汇总客户的记录。这些软件包允许审计师进行穿过计算机的审计,抽取、比较、分析和汇总数据,并生成用于审计的输出结果。它们允许审计师使用计算机检查更多的记录,不仅仅针对在其它方面所可能出现的更快的速度与准确性问题。因此,通用审计软件对所有潜在差错资源的分析更为容易。
答案A不正确,测试数据方法关注控制,而不是已经在数据库中的数据;答案B不正确,测试存取控制没有直接针对数据的完整性问题;答案D不正确,通用审计软件的运用不一定受限于样本。
例题
内部审计活动使用整合测试设施法对薪金支付进行测试。审计师确认了程序中应设置的关键控制与处理程序,利用测试数据进行测试。假设审计师在测试结果中未发现任何差异,审计师可以得出结论:
a.该系统准确地计算了全年职员的工作小时,该工作小时数被准确地提交给了薪金系统并得到了准确处理;
b.全年所有的职员的薪金是准确计算并支付的;
c.计算机程序与其控制程序在过去的年份里对薪金的处理是准确的;
d.以上均是。
例题
为获取应收账款的函证,审计师最有可能应用通用审计软件来:
a.测试计算的结果;
b.确定单个账目的准确性;
c.选择并打印需要函证的账目;
d.比较从其他审计程序得来的数据。
例题
某大型制造业公司要求对公司的生产计划系统进行审计。生产数据储存在通过局域网相联的个人电脑上,并通过电子数据交换自动生成采购定单。采购是向经批准的供应商进行的,根据是下个月的生产计划以及经批准的确定每单位产品对零件需求的物料需求计划(MRP)。
由于所需生产零件缺货,生产线曾被迫停产。在识别零件不足的原因时,以下哪项审计程序最为有效:
A. 确定是否存在充分的存取控制来限制错误数据被输入生产数据库;
B. 使用通用审计软件生成一份造成每次停产的短缺零件的完整清单,并对这些数据加以分析;
C. 从个人电脑数据库中对现存的存货零件进行随机抽样,并与零件的实有数进行比较;
D.对一段时间内的生产信息进行随机抽样,并追踪输入到保存在LAN中的生产数据库中
例题—接上题
审计师想要确定生产工艺变动时采购需求是否及时更新,以下哪项审计程序最为有效:
A.按照当前生产计划和MRP重新计算生产工艺变动后零件的需求量,将结果与同期系统中生成的采购定单中的数量相比较;
B.将测试数据输入LAN并将由测试数据生成的定货数量和由生产数据生成的定货数量相比较;
C.使用通用审计软件编制超贮存存货报告,将存货量与当前生产规模相比较;
D.抽取若干期的生产计划和MRP,并追踪检查其输入系统时是否正确。
例题
保险公司正收到各医院通过电脑媒体直接发来的住院保险索赔,但医院没有向保险公司移交保险单,要在这种环境下发现虚假要求,以下哪项控制程序最为有效:
A.应用整合测试法(ITF),以对数据处理透明的方式测试处理过程的准确性;
B.编制监控程序,根据科目类别特性辨别反常的索赔种类或索赔数目,供索赔处理部门调查;
C.应用通用审计软件,将索赔鉴定数与有效的保险客户主要数目清单相对比;
D.针对从某家医院收到的所有索赔要求,建立批量控制,并处理这些索赔要求。
解析
讨论:监控是对内部控制质量的评估。管理层考虑内部控制是否适当的设计且按预期运行,并修改它以反映变化了的情形。监控可以采取单独的、定期评价的或持续不断的监控形式。持续不断的监控可作为日常运营的一部分,它包括管理和监督性的复核、比较、核对以及由部门人员所采取的可作为其日常活动一部分的其它行动。因而,对索赔数量及性质的监控可以发现内部控制的疏忽。
答案A不正确,由于ITF对确定适当地进入交易的数据处理的准确性而言是有用的。而本题的问题是已输入数据的有效性问题;答案C不正确,由于编辑控制应建立于应用程序,以测试有效的保险单号码;答案D不正确,由于批控制的设计是确保所提交的所有条款得到了处理,如条款没有丧失或增加。批控制适合控制目标,但主要关注数据输入的有效性。
舞弊
A. 内部审计活动的职责
B. 舞弊迹象
C. 业务程序
D.控制
内部审计师的工作范围要延伸到对组织内部控制系统的检查和评价。内部控制是遏制和发现舞弊的主要方式。内部审计师在最小化舞弊对组织的影响方面发挥着重要作用。
内部审计活动的职责
- 内部审计师应具有充分的知识以识别舞弊的迹象,但不能指望内部审计师具备与专门负责检查和调查舞弊的专家的相同的能力。
实务公告-1:确认舞弊
舞弊包括以故意欺骗为特征的一系列违规和违法行为。舞弊可以是为组织谋利,也可以给组织带来损害。组织内部与外部人员都可以进行舞弊。
用以为组织谋利的舞弊一般通过利用不公正的或不诚实的优势欺骗外部有关方面,从而产生预期利益。此类舞弊者经常会获取间接的个人收益。
危害组织的舞弊活动一般是为了直接或间接地给组织的员工、外部人员或其他机构谋利。
实务公告-1:确认舞弊(续)
遏制舞弊包括采取行动防止舞弊的发生,并在舞弊确实发生时限制其涉及范围。遏制舞弊的首要机制是控制。管理层负有建立并保持控制的首要职责。
内部审计师根据组织业务活动各方面存在的潜在风险水平,通过检查并评价组织内部控制系统的充分性和有效性来协助遏制舞弊。
在内部审计师怀疑组织内部存在舞弊行为时,应该将情况告之组织的恰当权威人士。内部审计师可以就此情形下需要开展的调查活动提出建议。此后,内部审计师应该不断追踪,以了解内部审计活动的职责是否得到实现。
舞弊调查包括开展必要的延伸程序,以确定有关迹象所表示的舞弊是否已发生。这种调查要收集有于已发现舞弊的具体详情。内部审计师、律师、调查人员、安全管理人员和其他来自组织内部或外部的专家都经常开展或参与舞弊调查。
实务公告-1:确认舞弊(续)
在开展舞弊调查时,内部审计师应该:
评估组织内部发生舞弊的可能程度和同谋程度。这对于保证内部审计师避免为可能涉及舞弊的人员提供信息或从这些人员那里获取误导信息具有关键意义;
确定有效开展调查所需的知识、技能和其他能力。对内部审计师和可以参加舞弊调查的专家的资历和技能的评估应该能够确保这种调查工作确实是由拥有恰当技术专长的人员来开展。这包括确认有关人员的职业资历证明、执照、声誉,并确保这些人员与被调查人员或机构的任何员工和管理人员都没有任何关系;
设计相关程序,设法确认舞弊者、舞弊程度、所用技术和舞弊的原因;
在整个调查过程中,只要条件允许就应该与管理者、法律顾问和其他专家协调活动;
认识到舞弊嫌疑人和有关人员在调查范围内和组织自身声誉内的权力。
实务公告-1:确认舞弊(续)
一旦舞弊调查结束,内部审计师就应该评价已知事实,以便:
确定是否需要开展或加强控制,减少未来的控制薄弱环节;
设计调查测试内容,以协助披露未来的类似舞弊现象;
协助内部审计师履行其职责,以保持其对舞弊的充分了解,并因此能发现未来的舞弊迹象。
对舞弊的报告过程是指向管理者提供有关舞弊调查情况和结果的各种口头或书面、中期及最终的报告。首席审计执行官负责马上将所有严重舞弊现象向管理高层和审计委员会报告。在进行舞弊报告之前,应该进行充分的调查,合理确认确实发生了舞弊。在调查阶段结束时提出初步或最终报告可能比较可取。报告应该包括内部审计师就是否存在足以推动全面调查的信息所得出的结论。报告还应该总结这种结论所依据的调查发现和建议。书面报告可以采用任何向管理高层和审计委员会所做的简要口头汇报,以便记录有关的发现和建议。
实务公告-1:确认舞弊(续)
对于舞弊报告的额外解释性指导如下:
在内部审计师已在合理程度上确认组织发生了严重的舞弊现象时,应该将这种情况及时告知管理高层和审计委员会;
舞弊调查的结果可能表明舞弊在一年或几年中对组织的财务状况和经营成果已经产生了以前尚未发现的严重负面影响,而这些年份的财务报表已经公布。内部审计师应该将此发现告知管理高层和审计委员会;
确认充分的舞弊迹象构成了舞弊发现,以确保有充分的理由建议开展舞弊调查。作为管理层建立的控制、内部审计师进行的测试以及组织内外部的其他渠道共同作用的结果,可能会使舞弊迹象浮出水面。
实务公告-1:确认舞弊(续)
在开展调查工作时,内部审计师在发现舞弊方面的责任有:
充分了解舞弊,以便能够发现可能发生舞弊的迹象。要获取这种知识,内部审计师需要了解舞弊的特征、用于舞弊的技术以及与被审计活动有关的舞弊类型;
警惕诸如控制薄弱环节等可以引发舞弊的机会。如果发现了严重的控制薄弱环节,内部审计师所开展的额外测试就应该包括旨在发现其他舞弊现象的测试。此类舞弊迹象包括未经授权开展的交易、无视控制措施、未经解释的定价例外情形以及异常的巨额产品亏损。内部审计师应该认识到,同时存在一种以上的舞弊迹象增加了可能发生舞弊的可能性;
评价可能已发生舞弊的各种迹象,并确定是否需要采取进一步的措施,或是否应建议进行舞弊调查;
如果内部审计师确定已有充分迹象表明发生了舞弊,因而建议进行舞弊调查时,内部审计师应该将此情况通报组织内恰当的权威人士。
实务公告-2:发现舞弊的职责
1.管理层和内部审计活动在发现舞弊方面扮演了不同的角色。内部审计活动的常规工作是作为一项服务为组织提供独立的评估、检查和评价。在发现舞弊的过程中,内部审计的目标是向组织的有关人员提供对被审计活动的分析、评估、建议、咨询和信息。业务目标包括在合理的成本基础上促成有效的控制。
2.管理层有责任在合理的成本基础上建立和保持有效的控制系统。在某种程度上,舞弊可能会出现在上述所定义的常规审计过程中。内部审计师有责任履行“应有的专业审慎”,内部审计师应具备足够的舞弊知识来确认可能发生的舞弊的迹象,警惕可能引起舞弊的机会,评价额外调查的需要并通报有关的管理层。
3. 一个设计良好的内部控制系统不应有益于舞弊的发生。将内部审计师开展的测试与管理层建立的合理控制相结合,就会提高发现现有的舞弊迹象并考虑进一步调查的可能性。
例题
以下有关遏制舞弊行为的表述中,准确的是:
Ⅰ.遏制舞弊的首要方式是管理高层倡导实行有效的控制系统。
Ⅱ.内部审计师有责任通过检查和评价内部控制系统的充分性,来协助遏制舞弊行为。
Ⅲ.内部审计师应确定沟通渠道能否向管理层提供有关控制系统的有效性以及异常交易发生情况的充分、可靠的信息。
A.仅有Ⅰ;
B.仅有Ⅰ和Ⅱ;
C.仅有Ⅱ;
D.Ⅰ,Ⅱ和Ⅲ。
解析
讨论:遏制舞弊包括采取行动防止舞弊的发生,并在舞弊确实发生时限制其涉及范围。遏制舞弊的首要机制是控制。管理层负有建立并保持控制的首要职责。此外,内部审计师根据组织业务活动各方面存在的潜在风险水平,通过检查并评价组织内部控制系统的充分性和有效性来协助遏制舞弊。在履行上述职责时,内部审计师应该确定:织织环境是否有助于培养控制意识;切实可行的组织目标是否可以实现;是否拥有书面政策(如行为规范),对明令禁止的活动和发现违例现象时所需采取的行动进行了说明;是否为业务交易制定并保持恰当的授权政策;组织是否建立有关的政策、实务、程序、报告和其他机制,以便监控有关活动和保护资产(特别是在高风险领域的);沟通渠道是否为管理者提供充分可靠的信息;是否需要为建立或加强具有成本效益的控制措施提供建议,以便帮助遏制舞弊(实务公告-1)。
答案A、B和C不正确,有效的控制、内部审计部门以及与管理层进行充分、有效的沟通都有助于遏制舞弊。
例题
在注意到几处红旗标志之后,内部审计师明显感到可能存在舞弊行为。以下哪项是对内部审计师责任的最佳描述:
A.扩大审计活动,以确定进一步调查是否合理;
B.向管理高层和审计委员会报告舞弊存在的可能性,并向他们询问是否继续审计工作;
C.向外部法律顾问咨询,确定要采取的一系列行动,如批准已提交的审计工作方案,确保这些方案在法律范围内是可接受的;
D.向审计委员会报告这一事实,并要求提供专款,聘用外部服务提供者,以协助调查可能存在的舞弊行为。
解析
讨论:内部审计师在发现舞弊方面的责任之一是评价可能已发生舞弊的各种迹象,并确定是否需要采取进一步的措施,或是否应建议进行舞弊调查(实务公告-1)。
答案B和D不正确,当内部审计师确定舞弊迹象足够多,以至于要建议进行舞弊调查时,才应该向组织内的恰当权威人士通报;答案C不正确,内部审计师没有权力向外部法律顾问咨询。
例题
首席审计执行官揭示了一项明显涉及常务副总经理的重大舞弊活动,而首席审计执行官要向其提交报告。首席审计执行官最好采取以下哪项措施:
A.开展调查,确定副总经理是否参与舞弊活动;
B.与副总经理面谈以获得实质性的证据;
C.告知管制机构和保卫部门;
D.将事实报告给首席执行官和审计委员会。
解析
讨论:在内部审计师怀疑组织内部存在舞弊行为时,应该将情况告之组织的恰当权威人士。内部审计师可以就此情形下需要开展的调查活动提出建议。此后,内部审计师应该不断追踪,以了解内部审计活动的职责是否得到实现(实务公告-1)。在首席审计执行官的上级涉嫌参与舞弊活动时,组织内的恰当权威人士就要高于参与舞弊活动的管理层,比如,首席执行官和审计委员会。
答案A不正确,管理层必须确定是否要开展调查活动;答案B不正确,内部审计师应避免涉嫌贪污或舞弊的人,直到告知组织内恰当的权威人士并已确定了恰当活动后;答案C不正确,内部审计师的道德义务通常不包括将舞弊活动向外部的权威机构报告,除非管理高层没有采取恰当的行动。
例题
内部审计师在以下哪种情况下有责任向管理高层和审计委员会报告舞弊情况:
A.在合理程度上确认组织发生了严重的舞弊现象时;
B.内部审计师已报告了所有可疑活动;
C.在确认并调查违规交易时;
D.针对可能存在舞弊的交易的核查已经完成。
解析
讨论:在做出任何的报告前,应进行充分的调查以合理地确认发生了舞弊。在内部审计师已在合理程度上确认组织发生了严重的舞弊现象时,应该将这种情况及时告知管理高层和审计委员会(实务公告-1)。
答案B不正确,内部审计师不仅仅要报告可疑活动;答案C不正确,调查活动只有在合理程度上确定发生了重大舞弊时,才要对违规交易的调查进行报告;答案D不正确,内部审计师在合理程度上确认组织发生了严重的舞弊时才应该报告。
例题
以下哪项是舞弊报告的必备信息:
A.目标、范围、结果以及在恰当时内部审计师对整体意见的表述;
B.标准、情况、原因和效果;
C.背景资料、审计发现和建议;
D.审计发现、结论、建议和纠正措施。
解析
讨论:在舞弊调查阶段结束时应提交书面的或其他的正规报告。调查报告应包括所有的审计发现、结论、建议和采取的纠正措施(实务公告-1)。
答案A不正确,每份最终的审计报告中都会包含目标、范围和结果。结果包含结论(意见)(实务公告2410-1)。这个界定没有包括纠正措施;答案B不正确,标准、情况、原因和效果是审计发现和建议的属性。舞弊报告中不仅仅包含审计发现和建议;答案C不正确,在最终的审计报告(业务沟通)中可以建议包含背景资源,但这不属强制要求。此外,该项忽略了结论和纠正措施。
例题
红旗标志表明舞弊发生的可能性很高。以下哪项不应标示红旗:
A.管理层授权其下属人员,在一定限额范围内可自行从事采购活动;
B.某职员长期从事现金管理工作,未进行任何的岗位轮换;
C.外理流通证券的员工负责采购业务及其记录工作,并向管理高层汇报采购中出现的偏差和损益情况;
D.在应收账款部门中,职责分工不明。
例题
以下是关于某分公司的一些情况:
1.该分公司已成立多年,尽管经济处于萧条期,并且这种萧条影响到了竞争者,但它仍有可观的盈利;
2.营运资本比率由较理想的3:1下降至:1;
3.过去几年的人员调整包括三个主计长、两个应收账款管理人员、四个应付账款管理人员和财务岗位的其他职员;
4.公司采购政策要求3个招标者,但是分公司采购管理员为了减少供应商数目而制订了一项独家采购政策。在对该分公司实施财务审计的过程中,内部审计师可能:
a.不可能追查1,2或3;
b.对2不予理睬,因为经济处于萧条期;
c.认为3是正常的人员调整,但将2和4作为舞弊的警示信号;
d.将1,2,3和4都作为舞弊的警示信号。
例题
内部审计师应关注舞弊的可能性,如果:
A.每日存入银行的现金收入的净额用于支付日常小额支出;
B.每月由同一人对银行存款进行核对,该人保管永久性的存货记录;
C.应收账款明细账和应付账款明细账由同一人保管;
D.某人可以单独接触到备用金。
例题
侵吞公司资金的舞弊者与财务报告舞弊者(窜改财务报表)相比,后者最不可能:
A.处于一种专制独裁的管理体制下;
B.生活条件超过他们正常收入水平;
C.使舞弊行为合理化;
D.把公司的期望值作为自己行为的正当理由。
例题
以下哪项控制薄弱环节最有可能导致舞弊的产生:
a.计算机化信息管理系统合同期已满的雇员的注册账目没有立即取消;
b.负责现金记录核对工作和银行存款工作的雇员同时负责所有现金销售;
c.无论什么时候到货,某雇员都负责将辨别性信息输入存货数据库。经理定期将库存记录手头现有的货物进行比较;
d.由于人手短缺以及优先考虑对象的利益冲突,旨在核实永续库存系统的实物清点安排经常推迟。
例题
有匿名电话告知某审计师,其所审计的业务部门正发生舞弊,但此人没有提及舞弊的种类所涉及的个人的有关细节。由于有好几个领域都可能发生舞弊,审计师应该:
a.确认交易量最大的领域,设计实质性测试的抽样计划;
b.将分析性程序用于可能受到舞弊活动影响的领域;
c.计划对集中最大金额交易的领域进行详细测试;
d.与该业务部门的雇员面谈,确认可能发生舞弊的领域。
例题
某公司的政策允许采购方在不需要任何其他批准手续的情况下授权进行最高限额达$50000的开支。要确定是否发生了向虚构的公司付款的舞弊行为,以下哪项审计程序最为有效:
a.应用通用审计软件,列举所有超过$50000的采购行为,确定它们是否具备恰当的批准手续;
b.开发抽点打印技术,追踪有疑点的采购方的所有交易活动;
c.应用通用审计软件,对所有低于$50000的开支进行随机抽样,确定它们是否具备恰当的批准手续;
d.应用通用审计软件,抽取对新采购方已付款发票的样本,并检查表明已收到服务或商品的证据。
可审计的活动(Auditable activities)
Consist of those subjects, units, or systems. which are capable of being defined and evaluated. Auditable activities may include:
• Policies, procedures and practices
• Cost centres, profit centres and investment centres
• General ledger account balances
• Information systems (manual and computerised)
• Major contracts and programmes
• Organisational units such as product or service lines
• Functions such as information technology, purchasing. marketing, production, finance, accounting and human resources
• Transaction systems for activities such as sales, collection, purchasing, disbursement, inventory and cost accounting, production. treasury, payroll and capital assets.
• Financial statements;
• Laws and regulations
例题
风险评估程序的第一步是将组织内可审计活动进行确认和分类。以下哪项不应作为可审计活动:
A.审计委员会为其召开的一次季度会议而制订的会议日程;
B.总分类账余额;
C.电算化信息系统;
D.与本组织有关的法律及法规。
