2013年内部审计师考试[内部审计作用]知识点

2013年内部审计师考试《内部审计作用》

知识点1

20世纪90年代以后，为适应经济全球化的运行模式，国际内部审计也在寻求变革，其主要特征是从以检查、评估为主要内容的符合性审计向以增值和改革机构运行状况为主要内容的增值型审计转变。这些转变使得内部审计在公司治理中的作用越来越重要。在公司治理结构中，先有管理、管理控制，后有内部审计。内部审计既是管理控制的组成部分，同时也是评价其他管理控制的手段。其基本目的是帮助组织完成其目标，为此要揭露相关的风险，并提出改进建议。为了实现内部审计的基本目的需要具备一定的条件，这就是内部审计部门的独立性和人员的客观性。为保证内部审计部门的独立性和客观性，内部审计部门必须使内部审计章程获得董事会的批准，以确保内部审计部门的地位和活动不受限制。

内部审计章程一般由内部审计部门起草，并报经董事会、审计委员会、相关治理机构和高级管理层批准或认可。上述程序有如下几方面的好处：

能最大程度地保证内部审计活动的独立性，确立内部审计部门的地位和作用; 获得批准的内部审计章程还可以作为管理层和董事会评价内部审计工作质量的依据; 保证内部审计活动能在章程授权内不受限制地开展工作，也可为消除与审计客户间就审计范围、审计职责等方面的分歧提供依据。

【典型试题】

例1. 经董事会批准并概括了内部审计部门的目的、权力、责任的书面章程最主要的目的是加强内部审计部门

a. 应有的职业审慎性。

b. 在组织中的地位。

c. 与管理层的关系。

d. 独立性。

答案：d

解题思路：

a. 不正确。规定了内部审计部门权力和责任的书面章程与内部审计师应有的职业审慎性没有直接关系。

b. 不正确。内部审计章程有助于加强内部审计部门在组织中的地位，但相对而言，独立性更加有利于内部审计部门开展工作以帮助实现组织的目标，因而加强地位不是书面章程的最主要目的。

c. 不正确。内部审计章程一般不在内部审计师与管理层的关系方面作出明确规定。 d. 正确。根据《实务公告》1000-1，书面章程的最主要目的是保证内部审计部门的独立性。

例2. 内部审计部门的地位应该不受管理层不负责任地更改政策的影响。对此给予保证的最有效途径是

a. 由管理层和董事会共同批准内部审计章程。

b. 采取有利于赋予内部审计部门职责的政策。

c. 在董事会内设置审计委员会。

d. 制定书面的政策和程序作为部门业绩标准。

答案：a

解题思路：

a. 正确。根据《实务公告》1000-1，首席审计执行官应征得高级管理层对章程的批准以及董事会、审计委员会和相关的治理组织对章程的认可。由于内部审计章程确定了内部审计部门在组织中的地位，因而，一经董事会批准，管理层无权擅自更改。

b. 不正确。虽然赋予内部审计部门职责，但如果没有履行职责的保障，也不能保证内部审计职能的发挥。

c. 不正确。在董事会内设置审计委员会有助于加强内部审计的地位，但没有明确管理层的角色和责任，相对而言，这样做没有a 选项那样有效。

d. 不正确。制定部门业绩标准是管理措施，与保证内部审计职能的地位不受影响没有直接关系。

知识点2

首席审计执行官负责与高级管理层和董事会的沟通工作。沟通审计业务计划包括如下含义：

内部审计部门的工作业务计划应报高级管理层审批，并报董事会备案，报告中应包括充分的信息，以便他们能够确定内部审计部门的目标和计划是否有助于实现组织的目标和计划;

审计业务计划在中期发生重要变化时，亦应及时沟通;

在执行审计业务计划的过程中，如果内部审计资源不足和审计范围受到限制，首席审计执行官应及时向高级管理层和董事会报告，报告内容包括资源不足和范围限制可能带来的后果。

【典型试题】

例1. 最近对于内部审计活动的批评指出，审计业务的覆盖面没有就该组织关键业务部门采用的工作流程向高级管理层提供充分的反馈。问题进一步明确是缺乏自动支持系统。首席审计执行官需要改善以下哪两项职能?

a. 人员配备和沟通。

b. 人员配备和决策过程。

c. 计划和组织。

d. 计划和沟通。

答案：d

解题思路：

a. 不正确。题目中未提到人员配备的问题。

b. 不正确。题目中未提到人员配备和决策过程的问题。

c. 不正确。题目中未提到组织的问题。

d. 正确。题干中所说" 缺乏自动支持系统" 是指" 内部审计活动" 缺乏自动支持系统。这些支持系统包括内部审计活动的工作计划和沟通系统。缺乏充分反馈说明CAE 在计划方面和在向高级管理层通报必要信息方面所分配的内部审计资源存在问题，导致遗漏了对于关键业务部门的业务流程的审计，或者没有按照高级管理层的要求对其进行审计。

例2. 下列哪种活动不包含在审计工作表的确定工作中?

a. 计划工作量需求

b. 评估风险要素

c. 制定审计方案

d. 识别可审计领域

答案：c

解题思路：

a. 不正确。见题解c 。

b. 不正确。题解c 。

c. 正确。审计方案的制定过程发生在一个独立审计的计划阶段。它不包括在制定审计工作表的范围内。

d. 不正确。见题解c 。

知识点3

报告重大审计事项

首席审计执行官应每年至少向高级管理层和董事会提交一次工作报告，这是定期的工作。当出现重大的审计事项时，首席审计执行官应及时向董事会报告。重大审计事项是指那些根据首席审计执行官的判断，可能对组织产生不利影响的情况，包括处理违章、违法、差错、低效率、浪费、无效、利益冲突和控制系统的薄弱环节。首席审计执行官在向董事会报告重大审计事项前，应与高级管理层进行讨论。即便讨论取得了令人满意的结果，首席审计执行官也应报告。此外，首席审计执行官还应将高级管理层对重大审计事项所做的决定通知董事会。在报告重大审计事项后，若高级管理层和董事会决定不采取任何行动并承担由此产生的风险，或者组织、董事会、高级管理层或其他方面有变动，首席审计执行官最好将原先报告的事项再次向董事会报告。

【典型试题】

例1. 在对补助金发放情况的审查中，内部审计师发现有一些补助金是经总裁而不是按照组织章程的要求由补助金批准委员会来批准的，如果在审计报告提交之前，补助金批准委员会已开会并追认了这些补助金，内部审计师应该

a. 不报告补助金的问题，因为它们在审计报告提交之前已得到批准。

b. 与补助金批准委员会主席讨论该问题来确定以前未批准补助金的理由，如果该补助金是例行发放的，那么在审计报告中不必涉及。

c. 将补助金问题作为组织的控制缺陷写入审计报告，详细说明每笔补助金的性质并进一步调查有无舞弊的现象。

d. 向审计委员会报告控制结构中的缺陷。

答案：d

解题思路：

a. 不正确。该审计发现说明有关内部控制存在缺陷，因此，即使该问题已经得到纠正，也应进行报告。

b. 不正确。审计发现应当报告，补助金是否常规不影响有关内控制度遭到破坏这个事实。 c. 不正确。因为委员会已经开会并批准了这些补助金，这说明错误只是未按组织的章程进行审批，因此没必要详细说明每笔补助金的性质和舞弊调查。

d. 正确。该审计发现说明在高级管理层的内部控制结构中存在缺陷，内部审计师应当将这一情况向审计委员会等相关的治理机构报告。

例2. 审计政策要求在管理层没有答复之前不能发布最终审计报告。某项具有重大发现的审计工作已经结束，但尚未得到管理层的答复。评价以下行动并作出最佳选择。 a. 发布有关应注意重要问题的中期报告。

b. 修改审计政策，给管理层答复规定一个明确时期。

c. 等管理层的答复后再发布审计报告。

d. 与外部审计师讨论这一情况。

答案：a

解题思路：

a. 正确。根据《实务公告》2410-1第14条，" 中期报告可以用于报告需要马上注意的信息，报告审计活动审计范围的变化或当审计延续时间较长时将审计的进展通报管理层" ，重大审计发现应及时提请有关部门注意，在无法发布最终报告的情况下，发布中期报告是恰当的。

b. 不正确。审计政策的改动可能要经过繁琐的手续，不一定能及时解决目前的问题，而且审计部门没有权力向管理层作出上述限定。

c. 不正确。这样会使审计工作陷入被动等待的局面，而且无法及时报告审计结果。 d. 不正确。在向董事会等机构报告并取得授权之前，内部审计师不应将内部事务与外部审计师进行讨论。

例3. 有些信息可能不适合向所有的报告接受者披露，因为它是特许的、专有的或与不正当、非法的行为相关。如果被报告的信息涉及某高级经理的不正当行为，该报告应发送给 a. 外部审计师。

b. 董事会。

c. 股东。

d. 高级管理层。

答案：b

解题思路：

a. 不正确。向外部审计师报告这些信息很可能会损害组织的利益。

b. 正确。根据《实务公告》2410-1第13条，" 如果所报告情况涉及高级管理层，应将报告分发给董事会" 。

c. 不正确。在公司的治理机构中，股东不直接对公司事务进行管理，该信息不应向股东报告。

d. 不正确。庙于涉及某高级经理，向高级管理层报告可能会使审计工作陷入被动。 例4. 某首席审计执行官发现一项明显涉及某副总裁的重大舞弊活动，而该副总裁正是首席审计执行官要向其汇报的主管人员。该首席审计执行官最好采取以下哪一措施? a. 进行调查以确定舞弊程度。

b. 与副总裁会谈以获得重要证据。

c. 通知法规监管机构和警察局。

d. 将事实报告给总裁和董事会的审计委员会。

答案：d

解题思路：

a. 不正确。由于该副总裁身份特殊，调查工作可能难以进展，无法确定其舞弊程度。 b. 不正确。该副总裁是主管内部审计工作的高层主管，内部审计师在取得明确的授权之前，不应与其进行和舞弊调查相关的会谈。

c. 不正确。首席审计执行官首先应向组织内部的治理机构报告，而不是向外报告。 d. 正确。根据《实务公告》1210.A2-1第6条，" 当内部审计师怀疑内部存在错误做法时，应该将情况告知组织有关主管人员" ，由于该副总裁是主管内部审计部门的高层主管，" 有关的主管人员" 应当是总裁和审计委员会。

例5. 在对某银行的审计中，内部审计师发现一名贷款官员批准了向某企业集团所属的各独立机构发放的贷款，这违反了监管政策。内部审计师认为这一行为可能是蓄意的; 因为贷款官员与控制该企业集团的一个主要负责人有密切关系，该内部审计师应当

a. 将利益冲突和违规行为告知管理层，并建议作进一步调查。

b. 将违规行为报告给法规部门，因为这构成了银行控制系统的重大缺陷。

c. 如果该贷款官员同意采取纠正措施，则可以不报告该违规行为。

d. 扩大审计范围，确定贷款官员是否有舞弊行为，并在后续调查完成后将调查结果向管理层报告。

答案：a

解题思路：

a. 正确。该利益冲突和违规行为属于一种重要的审计发现，但由于牵涉集团的主要负责人，内部审计师应当报告管理层，并提出深入开展调查的建议。

b. 不正确。根据《标准》规定，内部审计师没有将审计发现向法规部门报告的责任。 c. 不正确。由于该行为已经违反了银行的常规政策，无论该贷款官员是否同意改正，这个审计发现都应当报告。

d. 不正确。由于该审计发现牵涉集团的主要负责人，内部审计师未必有能力开展下一步的审计工作，最恰当的做法是先报告，根据报告的情况决定是否以及如何开展后续工作。

知识点4

定期向董事会报告关键绩效指标

内部审计师应该评估组织的绩效管理系统以及核心工作目标的完成情况。评估组织绩效时应考虑的基本要素是：

(1)确定衡量绩效的相关标准;

(2)将绩效成果与已确定的标准相比较;

(3)评估绩效差距(按照评价标准进行区分) 。

在评估之后，相应的纠正活动应当具体而及时地完成，最终，一个有效的绩效管理系统将成为支持组织目标和个人目标共同达成的有力工具。

尽管每一个组织都有大量的绩效评价方法，在组织的每一个层级都存在一些关键的绩效指标被用于有效控制工作目标的达成。它们通常被称为关键绩效指标(key performance indi cators or KPIs) 。这些指标将成为内部审计师的评估对象。

内部审计师在一个审计项目中或者在组织范围内是否评估关键绩效指标首先要判断两点：

(1)要判断这些指标是否是正确的指标(需要考虑的问题如：它们是否能够涵盖组织的全部目标? 它们能否反映组织实际绩效的变化? 使用者能否理解这些指标? 这些指标是否反映及时?);

(2)这些指标能否有效的发挥作用?(如，数字是否精确? 信息来源是否可靠?) 通常，关键绩效指标被用来衡量产出(如销售收入产量) 。有时，关键绩效指标也被用来衡量组织流程的特征(如及时性、精确性) 。

有时，关键绩效指标被用来衡量风险，被参考用作关键风险指标(key risk indicators or KRIs)(如过错发生率、错误发展趋势等) 。关键风险指标通常被用来作为指示风险的指标，也就是说，假如关键风险指标趋势反映出危险值已超过指标上限，管理层就能够在损害发生前及时发现错误原因并及时纠正它。

一种新的关键绩效指标出现在组织中，它被称为可持续指标或公司社会责任指标，这种指标强调组织不仅要对短期的财务结果负责，同时也应为组织经营和人类赖以生存的环境负责。

当组织开始履行正式的社会责任和义务时，相应的绩效评价指标也就应运而生。逐渐地，组织会向外部股东披露他们对社会责任和义务的尽职情况，内部审计师也开始对社会责任绩效管理的设计、实施和评价指标的可靠程度进行评价。

讨论重大风险领域

风险管理是管理层的一项主要职责，而对组织的风险管理过程进行评估和报告通常是内部审计工作的一项重要内容。在适当情况下，内部审计师应与管理层、审计委员会和董事会就风险和风险管理实务中的薄弱环节进行讨论。如果首席审计执行官认为高级管理层接受的风险水平与机构的风险管理战略和政策不一致，或该水平不能被机构接受，首席审计执行官应就此与高级管理层进行讨论。若讨论仍然解决不了这些问题，首席审计执行官和高级管理层应将此事报告董事会解决。管理层负责对重大风险采取针对性行动，首席审计执行官负责评价这些行动。若高级管理层出于某些原因决定不采取纠正行动并承担后果，首席审计执行官应向董事会报告这些情况。

【典型试题】

例1：在审计计划阶段，内部审计师应设计审计目标和程序来评估与审计活动相关的风险，此处风险的定义是( ) 。

A. 账户余额或交易类别以及相关的认定包含可能对财务报表有重大影响的误报风险

B. 事件或行为对审计活动产生不利影响的可能性

C. 没有遵守组织政策、计划和程序或没有遵循相关法律法规

D. 未完成审计活动或方案的既定目标

答案：B

解题思路：

A. 不正确。审计风险由固有风险、控制风险和检查风险组成，这里描述的只是审计风险中的固有风险，不够全面。

B. 正确。《标准》对风险定义如下，" 风险是指可能对目标实现产生影响的事件发生的不确定性" 。即事件或行为对审计活动产生不利影响的概率。

C. 不正确。这里描述的内容与审计风险中的控制风险相关，但尚不能全面涵盖风险的全部内容。

D. 不正确。这里描述的内容与审计风险中的检查风险相关，不够全面。

例2：某内部审计师怀疑存在付款方面的舞弊，即某(几) 个未知姓名的雇员同时提交和批准相关发票的付款。在与管理层讨论潜在舞弊行为之前，内部审计师决定进一步收集证据。在提供附加证据方面以下哪个程序最有效?

A. 使用审计软件获得附有邮局信箱号码或有其他异常特征的供应商名单; 对这些事项进行抽样并追踪检查其支持文件，如验收报告等

B. 对年内已付款项进行抽样，检查各笔款项的审批手续

C. 对可代表调查期间的验收报告进行抽样，并追踪检查经批准的付款; 注意未经除当程序的任何事项

D. 对上月收到的发票进行抽样检查，确定是否具有适当的付款授权; 并追踪检查验收报告等支持文件

答案：A

解题思路：

A. 正确。通过审计软件获得异常的供货商名单，并对其进行抽样并追踪支持文件，可以得到付款是否合理或正确的证据，是有效的程序。

B. 不正确。因为所有付款都会有审批手续，所以仅仅检查审批手续而不进一步追踪检查其相关支持文件如验收报告，无法取得是否舞弊的附加证据，因此对年内已付款进行抽样不是最有效的程序。

C. 不正确。因为舞弊行为的付款很可能没有验收报告，因此对验收报告抽样很可能发现不了舞弊行为，该程序不是很有效。

D. 不正确。因为收到发票不一定马上付款，而且仅对一个月的发票进行抽查不足以说明问题，因此这不是最有效的程序。

例3：某新上任大型零售公司的首席审计执行官对审计活动中对存货广泛使用符合性测试表示质疑，他声称这个方法不符合重要性原则。以下陈述中哪一条是对这位首席审计执行官的说法最合理的反应?

I. 重要性不仅与每一存货的数量大小有关，它也与影响整个组织的控制结构有关。 II. 根据定义，任何偏离规定控制程序的情形都是重要的。

III. 确保公司控制结构中重要的环节都受到检查的唯一方法是全面审计所有存货。

A. 只有I

B. 只有III

C.I 和II

D.I 、II 和III

答案：A

解题思路：

I. 正确。重要性被定义为对组织的潜在损害项目，重要性包括数量和性质两个方面，而不限于在数量上被确定的项目。

II. 不正确。有一些性质轻微的控制错误不被认为是重要的。

III. 不正确。可以使用抽样方法来全面覆盖整个组织的控制结构。

知识点5

支持董事会开展全面风险评估

风险管理是管理层的一项主要职责，管理层应当确保组织中存在良好的风险管理过程并使其发挥作用。董事会和审计委员会负责监督和确定存在适当的风险管理流程，这些流程是充分和有效的。内部审计师应当运用风险管理方法和控制措施，对风险管理过程的充分性和有效性进行检查、评价和报告，提出改进意见，为管理层和审计委员会提供帮助。内部审计师对组织的风险管理评估不同于利用风险分析来制定审计业务计划。内部审计师应采用适当的审计程序收集足够的证据，从总体上对风险管理过程的充分性以及所选择风险管理方式的

适当性发表意见。风险管理过程充分与否，取决于风险管理过程是否着眼于如下五个主要目标，以及目标是否得以实现：

(1)找出业务战略与活动领域的风险并进行优先排序;

(2)管理层和审计委员会已经确定了组织可以接受的风险水平，包括为实现组织战略计划而承受的风险;

(3)设计、实施了降低风险的活动，把风险降低并管理在上述可接受的水平上;

(4)开展持续的监督活动，定期对风险和控制的有效性进行再评估，以管理风险;

(5)董事会和管理层定期收到风险管理过程的结果报告。

公司治理过程应该包括定期向利益关系方传递风险、风险战略和控制情况。评估过程应考虑如下审计程序：

(1)评价组织和行业的发展情况和趋势，确定是否可能存在影响组织的风险;

(2)检查公司政策、董事会和审计委员会的会议记录，确定机构的经营战略、风险管理理念和方法、对风险的兴趣和对风险的接受;

(3)检查管理层、内部和外部审计师以及有关方面以前发表过的风险评估报告;

(4)与相关管理层讨论，确定业务部门的目标、相关的风险以及管理层采取的降低风险和控制监督活动;

(5)收集信息，独立评估降低风险、监督、风险控制和相关控制活动的有效性;

(6)评估针对风险监督活动建立报告专线的恰当性;

(7)评价风险管理结果报告的充分性和及时性;

(8)评价管理层对风险的分析是否全面、为防止风险而采取的措施是否完善、建议是否有效;

(9)对管理层的自我评估进行实地观察、直接测试，检查自我评估所依据的信息是否准确，以及其他审计技术，以确定管理层的自我评估过程是否有效;

(10)评估与风险管理有关的管理薄弱环节，并与管理层、董事会和审计委员会讨论。如果管理层接受的风险水平与组织风险管理战略不一致，应按《标准》2600" 管理层对风险的接受" 进行报告。

管理层选择的风险管理方式的适当与否很难有统一的标准，各个组织应当根据自身活动的性质来设计风险管理过程。风险管理过程可以有以下三种方式：

(1)正式的方式和非正式的方式;

(2)定量的方式和定性的方式;

(3)分散管理的方式和集中管理的方式。

一般说来，规模大的、上市的公司必须用定量的风险管理方式。规模小的、业务不太复杂的，则可以设置非正式的风险管理委员会定期开展评价活动。内部审计师的职责是评价组织风险管理方式与组织活动的性质是否适当。

【典型试题】

例1：审计委员会对以下的现象表示关注：金融机构为追求短期利润目标而发放高风险的贷款，为证实这一点，以下哪项审计程序提供的有用信息最少?

A. 对(利息收入/投资额) 比率进行分析性复核，并与同行业相比较

B. 选取本期贷款的随机样本，并就贷款风险与两年前的贷款随机样本进行对比

C. 进行分析性审查，并编制一份图表，以比较过去十年的利息收入

D. 对过去五年的利息收入进行时间序列的多元回归分析，分析的因素包括：市场利率、贷款总额规模和每年新增加的贷款额

答案：C

解题思路：

A. 不正确。通过分析性复核和与同行业比较，可以获取非正常高收益的证据，进而分析获取高收益的原因，从而发现是否有进行高风险放贷情况，是有效的做法。

B. 不正确。通过本期贷款与两年前的贷款进行对比分析，以发现本期的做法与以前相比有无大的变化，从而发现贷款政策的改变，以取得进行高风险放贷的证据，也是有效的审计程序。

C. 正确。因为利息收入与发放的贷款总额和利息率有关，单单比较利息收入无法得到是否进行高风险放贷的证据。

D. 不正确。通过多元回归分析，可以发现各因素的影响，从而得到进行高风险放贷的证据，是有效的审计程序。

例2：管理层坚持认为应收账款账户的变动是由于其客户构成和信用条件的变动而引起的。为了验证管理层的这一认定，最恰当的审计程序是( ) 。

A. 运用属性抽样获取客户样本，对于抽到的每个样本，追溯至如邓白氏之类的信用评估机构对其的信用评级，从结果推断总体

B. 运用属性抽样获取年末客户样本，向所有抽到的样本客户进行函证，询问他们是否是新客户

C. 运用通用审计软件获取本年度以销售量排序的客户清单，并与以前年度类似的客户清单进行比较

D. 运用通用审计软件生成应收账款账龄分析表，并与以前年度的账龄相比较来确定是否有变动

答案：C

解题思路：

A. 不正确。针对本年度的客户样本进行属性抽样和分析，而没有将本年度与上年度的比较，无法验证" 应收账款的变化是由于其客户构成和信用条件的变化而引起的" 的说法是否正确。

B. 不正确。见题解A 。

C. 正确。通过比较客户清单，可以确定是否客户构成和信用条件起了变化，并就其变化对应收账款的影响作出评估。

D. 不正确。对应收账款进行账龄分析可以看出账龄的变化，但无法分析客户构成和信用条件的变化及其造成的影响。

知识点6

检查内部审计部门在组织内风险管理框架中的定位

风险管理是管理层的一项关键责任。进行组织的风险管理流程的评估并作出书面报告一般具有较高的审计优先顺序。CAE 应当理解管理层和董事会对于内部审计活动在本组织的风险管理流程中的预期，理解应当被载入内部审计活动和审计委员会的章程。风险管理责任和活动应当在该组织的风险管理流程中负有责任的群体和个人中间协调一致。这些责任和活动应当在该组织的战略规划、董事会政策、管理层指导方针、操作流程和其他治理工具中被适当地记载。具体来说，董事会应当负责制定战略目标; 风险的所有权应当赋予高级管理层; 剩余风险的接纳应当留给执行管理层; 持续的识别、评估、减轻和监督活动应当交与运营层; 内部审计部门应当定期评价并协助其他部门进行风险管理。

对于尚未建立风险管理流程的组织，首席审计执行官应提请管理层注意，并提出建议。如果有关方面提出要求，内部审计师可以积极协助组织进行风险管理过程的初步建立工作，但更为积极的作用是通过改善组织基本程序的咨询工作对传统保证业务进行补充。但这些协助工作不能超出正常的保证和咨询范围，以免损害独立性。也就是说，内部审计师可以促进、协助风险管理过程的建立，但不负风险管理的责任。内部审计部门在建立风险管理过程之中和之后所承担的责任，也要在内部审计章程中作出规定。

【典型试题】

例1：最近全球发生了一些灾难。鉴于灾难可能对其组织造成破坏性影响，内部审计师应该鼓励管理者制定灾难管理程序。此种程序制定的第一步工作是( ) 。

A. 制订应急计划

B. 开展风险分析

C. 创建风险管理小组

D. 练习对风险的反应

答案：B

解题思路：

A. 不正确。首先应当清楚灾难发生的可能性、可能范围及其后果，才能有针对性地制订应急计划。

B. 正确。开展风险分析可以弄清楚灾难发生的可能性、可能范围及其后果，以便灾难管理程序更有针对性、更适用和更经济。因此，开展风险分析是制定灾难管理程序的首要工作。

C. 不正确。风险管理的组织形式应当根据风险的可能性和危害性来确定。在确定风险的可能性和危害性之前，不适合确定风险管理的组织形式。

D. 不正确。应当先有计划，后有行动。

例2：你所在的公司最近将采购循环由手工处理转变为用联机系统处理。以下哪项是与这种向新型自动系统转化相关的结果?

A. 处理错误会增加

B. 公司面临的风险将减少

C. 处理时间增加

D. 传统的职责分离会减少

答案：D

解题思路：

A. 不正确。一般情况下，计算机处理比人工处理出现的错误更少。

B. 不正确。使用联机系统处理后，公司对相关数据的控制风险将会增加

C. 不正确。计算机处理将会缩短处理时间，提高处理效率。

D. 正确。联机系统将会取代某些手工工作，并提高了信息的共享性，传统的职责分离将会减少。

例3：在内部审计结束不久发生了一项重大雇员舞弊事件。内部审计师可能没有很好地履行防止舞弊发生的责任，因为他没有关注并报告( ) 。

A. 低风险领域中用于监督行动并保护资产的政策、实践以及程序不如高风险领域中的那么广泛

B. 依赖职责分工的控制系统可能因为三个雇员的串通而失败

C. 没有书面政策来规定禁止的活动以及发现违规时要求采取的行动

D. 分公司雇员没有经过适当的培训来辨别授权书上的真实签名和假冒签名

答案：C

解题思路：

A. 不正确。这是风险管理中一个比较普遍的做法，并非管理缺陷，也不是造成雇员重大舞弊事件的原因，内部审计师不予关注并报告是没有责任的。

B. 不正确。即使很完善的内部控制系统也可能因为数名雇员的串通而失败，这是众所周知的事情，内部审计师无需专门进行报告。

C. 正确。公司没有书面政策来规定禁止的行动以及发现违规时要求采取的行动，这说明公司的风险管理和控制中没有对舞弊加以很好的防范。如果内部审计师没有关注并报告这个问题，则没有很好地履行防止舞弊发生的责任。

D. 不正确。未向雇员提供适当的培训是控制弱点，但不是造成重大的雇员舞弊事件的直接原因。

例4：根据美国证券交易委员会(SEC)的新规定和《萨班斯一奥克斯利法案》，内部审计师在季度财务报告过程中不能履行以下哪项职能?

A. 所需过程的初始设计者

B. 该过程的独立评估人

C.SEC 第13A 一14和15D 一14条规则的履行者

D. 管理层和审计师之间的协调人或联系人

答案：C

解题思路：

A. 不正确。根据《实务公告》2120.A1-3，该职能是一种增值服务。

B. 不正确。根据《实务公告》2120.A1-3，该职能是一种增值服务。

C. 正确。SEC 第13A 一14和15D 一14条规则的履行者应当是首席执行官和首席财务官。

D. 不正确。根据《实务公告》2120.A1-3，该职能是一种增值服务。

知识点7

内部审计师考试《内审计作用》知识点

监督遵守公司行为规范和商业管理情况

公司行为规范是由组织制定的、旨在规范员工行为、防止过失违法违纪的正式和书面的规章制度。行为规范强化了在经营决策中的道德的要求。具体的行为规范随着组织的不同而不同，但通常都包括下列方面：

(1)利益冲突

(2)保密

(3)公平交易

(4)恰当使用组织资产

(5)礼品及酬金

(6)遵守法律、规则及监管制度

(7)报告违法及不道德行为

例如，一个书面的关于利益冲突的行为规范通常包括：

(1)利益冲突的一般定义;

(2)强调组织对雇员、其他公司代理方、供应方的具体行为要求;

(3)关于对影响组织诚信和声誉的经营活动、投资或其他相关利益行为的具体规定。

行为规范反映了组织希望在道德恪守和合规管理方面积极主动的制度要求，而并非来自于法律的强制。

商业惯例是在商业活动中形成的被广泛接受的通用做法，一般是非正式的，但一旦违反，会给组织带来不利影响。

公司行为规范和商业惯例对组织目标的实现都有影响，内部审计师有责任评价遵守公司行为规范和商业惯例的执行情况和执行效果，以改进组织的控制系统。在监督遵守公司行为规范和商业惯例情况时，内部审计师应从评估组织相关行为规范和商业惯例是否存在、相关的控制和保证系统是否充分建立、运行是否充分和恰当、以及系统的执行效果如何等方面进行。具体应确定以下内容：

(1)组织是否建立了关于行为规范和商业惯例的道德规范，这些道德规范应该是书面的、易于人们理解的和具有指导性的，机构内不同层次的人的执行标准应有所不同; 组织内所有员工和其他有关代理人都应有机会了解和接触上述行为规范，如参加培训、发放手册、公告等;

(2)组织应在多种场合将道德规范向各层次的员工进行讲解，并针对不同部门的员工强调不同的重点;

(3)组织的代理人要参加为他们量身定做的讲座，新员工要专门培训;

(4)组织应保证员工已经阅读、理解并遵守了公司的行为规范和商业惯例;

(5)组织应采取合理措施促进行为规范和商业惯例的遵守，例如，应用监督和审计机制以发现不遵守情况，建立举报机制，设立相关奖惩制度等;

(6)组织的高层人员应总体负责监督对行为规范和商业惯例的遵守情况;

(7)公司行为规范和商业惯例是否得到切实的遵守。

知识点8

内部审计师考试《内审计作用》知识点

【典型试题】

例1：某制造业公司的潜在问题是，采购代表可能会收到回扣或收取供应商的礼物，并以此作为交换条件，使供应商得到优惠的合同。为防止这一行为，下面措施中哪项效果最差?

A. 公司制定一项特别政策，禁止从供应商处接受任何有价值的物品

B. 公司制定《职业道德规范》，禁止这种行为

C. 对新供应商，要求采购代表必须在提供有关供应商的简介之后，才能列入认可的供应商名单中

D. 与主要供应商建立长期合同关系，合同条款由最高级管理层审批

答案：C

解题思路：

A. 不正确。从公司政策上明确禁止收受礼物的行为，有利于规范采购代表的行为。

B. 不正确。从公司《职业道德规范》的角度禁止这种行为，对采购代表具有一定的约束性。

C. 正确。要求采购代表提供供应商的简介，这无论从制度上还是从操作上都不属于一种控制措施，无法防止供应商送礼或采购代表违规操作等问题。

D. 不正确。这样做一方面可以从长远发展的角度约束供应商的行为，另一方面也使采购代表的权力得到了有效控制，可以在很大程度上防止上述行为。

例2：某公司正向新市场拓展，在这一领域便利性支出(即贿赂) 是常见的活动。公司的政策严禁这种活动，并且内部审计师被要求帮助证实是否发生了这类支出。以下哪项表明可能发生了这类活动?

A. 娱乐费用增长了150%

B. 公司外部审计师与当地一家公共会计师事务所签订合同来对存货进行实地观察

C. 在公司范围内实行独家采购政策

D. 向以前并未使用过服务的人支付许多大额咨询费用

答案：A 、D

解题思路：

A. 正确。娱乐费用不属于公司的一项固定费用或者经常性的费用，其剧增表明了可能存在通过娱乐的方式或利用娱乐费用发票套取现金进行贿赂的可能性。

B. 不正确。外部审计师与会计师事务所之间进行合作是一项正常的业务行为，对存货如何进行实地观察与公司的便利性支出无关。

C. 不正确。与选定的供应商进行独家合作是一项正常的市场行为，而且公司在采购领域向供应商行贿的可能性一般不大。

D. 正确。咨询费用在公司的费用中属于一种弹性较大的费用支出，存在套现或便利性支出的可能，尤其是服务提供者以前没有向公司提供过服务的情况下，这种可能性则更大。

知识点9

内部审计师考试《内审计作用》知识点

例3：许多非盈利组织都面临的一个潜在问题是，公众对其资金的使用情况表示怀疑。例如：一些资金未用于真正的科研项目上，而是给组织的总裁提供奢华的生活，或者支持其政治活动。以下哪一个控制程序最不能有效地解决这个问题?

A. 定期公布经审计的财务报表，供公众和主要捐赠者审阅

B. 对所有超过一定金额的开支，必须由董事会复核和审批

C. 定期对费用开支进行审计，确定其是否符合既定的目标，并将结果报告给审计委员会

D. 定期进行工资的审计，确定其是否符合规定的工资标准

答案：D

解题思路：

A. 不正确。通过公布经审计的财务报表，可以保护公众和主要捐赠者的知情权，消除公众的疑虑。

B. 不正确。通过实行大额开支审批制度，可以在一定程度上抑制不合理的开支。

C. 不正确。通过对费用开支情况进行审计，可以从另外一个角度保障开支的合理化，消除公众疑虑。

D. 正确。很多不合理的开支与工资支出无关，仅对工资情况进行审计对解决上述问题的帮助是最小的。

例4：内部审计师要确定由终端用户及局域网(LAN)上的其他共享用户开发的应用系统的文档记录是否遵守公司政策时，最适当的审计程序是( ) 。

A. 向终端用户发放问卷以确定他们已经进行开发的局域网终端用户应用程序的情况

B. 向终端用户发放调查表以测试他们对应用程序文档知识的掌握程度

C. 随机抽取一组终端用户，检查他们计算机中储存的所有应用程序是否都与公司的政策相符

D. 随机抽取一组储存在服务器中的终端用户应用程序，检查这些应用程序是否与公司的政策相符

答案：D

解题思路：

A. 不正确。这只能提供终端用户开发应用程序的有限信息，却不能提供对公司政策遵循情况的任何信息。

B. 不正确。这只能提供用户对公司政策了解程度的信息，却不能提供对政策遵循情况的信息。

C. 不正确。这是一个很好的审计程序，但却局限于个人计算机中储存的应用，没有涉及用户间共享并被存储于服务器中的应用程序。更大的问题是它还要求审计师浏览所有的应用程序，而不仅仅是用户间共享的那些。

D. 正确。这样可以任由审计师检查那些在用户间共享的应用程序。

知识点10

内部审计师考试《内审计作用》知识点

为保证调查问卷产生可信且有价值的数据，内部审计师在采集数据时应注意以下几点：

(1)问卷调查应得到最高管理层的支持，问卷调查结果将作为有力的反馈工具;

(2)合理设计调查问卷，确保问卷回答项便于回答(封闭式答案，如：同意/不同意; 满意/不满意);

(3)设计问卷中应保留发表意见栏，以便于对象解释为什么选择某项答案，尤其是当对象选择的答案反映组织的薄弱环节时;

(4)使调查问卷保持在一个合理的长度内，内容不要过少或过多;

(5)要对调查问卷进行实地考察;

(6)如何方便的话，将调查问卷交由独立的市场调查公司进行处理，将统计分析数据及有关意见反馈给内部审计师。

值得注意的是，如果调查参与者害怕被报复，则问卷结果可能出现模棱两可的状况，因此问卷调查必须做到保密以降低参与者对于信息泄露的担心。另一方面，后续跟踪的方式能够提升问卷调查的效果，同时，另一个关键的方面是应让问卷参与者知道管理者是把问卷调查作为一种有用的工具并对调查结果作出积极反应，通常，参与者都希望看到他们在调查问卷中的反馈能够产生积极的影响。

在评价组织道德氛围时，除了访谈和问卷调查，内部审计师也可以促进关于组织道德方面的访谈并协助解决道德难题。

内部审计师在评价组织道德恪守中的作用：众所周知，道德因素是组织内部控制环境中的重要组成部分。董事会与管理层的高度重视与身体力行已成为组织道德恪守的必要条件。组织的管理者对道德价值观的确信与行动将把有用的价值观转移到组织的经营活动中来。 对组织道德恪守情况的识别有不同的方式。一种获取道德恪守情况信息的方式是通在操作实践中发现违反法律法规的情况或者接到举报者的报告，另一种方式是内部审计。有时，即使常规合规性审计报告没有报告道德瑕疵现象，对以往审计发现或专项审计的再次检查也可能由那些最初只是显露出微小瑕疵的事项中发现正在存在着的道德违反事项。

额外的道德违反信息恰恰会直接或间接促进组织中不诚实、不道德行为的发生的原因。通常的事例包括：

(1)过分强调收益，尤其是短期收益;

(2)片面关注收益底线(如销售收入和利润目标);

(3)高压力的销售策略;

(4)残酷的谈判;

(5)与财务信息和非财务信息相捆绑的奖惩制度。

一个组织的道德政策明确了董事会和管理层期望发生的事项。而组织文化则会影响那些关系到组织规则被遵守、被定型、被破坏的经济事项。

知识点11

内部审计师考试《内审计作用》知识点

评估在特定领域遵守政策的情况

根据《标准》，内部审计部门应该在风险评价结果的基础上，评价涵盖公司治理、运营及信息系统等内容的控制程序的充分性与有效性。组织的管理控制目标有四个：

(1)财务和运营信息可靠、完整;

(2)运营工作高效率、有成效;

(3)资产得到保护;

(4)组织的行为和决定遵守相关的法律、规定和合同。

上述目标明确了内部审计部门要评估法律、法规、政策和合同的遵守情况，包括了特定领域的政策。评估时，内部审计部门关注的重点是：

(1)组织内是否建立了监督遵守相关法规政策的监管控制系统;

(2)这些系统是否充分、有效;

(3)相关的业务活动是否遵守了那些法规政策，效果如何。

电子商务(e-commerce)就是在互联网上从事商业活动。由于电子商务及其技术突飞猛进的发展，内部审计师应当审查管理层的战略规划和风险管理过程及其关于以下问题的决策：

(1)哪些风险是严重的;

(2)哪些风险可以被保险;

(3)当前采取了哪些减轻风险的控制;

(4)哪些额外的补偿控制是必要的;

(5)需要哪种监督形式。

对于电子商务的主要审计活动包括：

(1)评估内部控制结构;

(2)对于目标能够被达成提供合理的保证;

(3)确定风险是否可以被接受;

(4)理解信息的流动：

(5)审查界面问题(比如，硬件与硬件、软件与软件、硬件与软件之间的界面);

(6)评估营业持续和灾难恢复计划。

电子商务审计业务的审计目标包括：

(1)电子商务交易的证据;

(2)安全系统的可用性和可靠性;

(3)电子商务和财务系统之间的有效界面;

(4)客户认证过程的有效性;

(5)营业持续流程的充分性，包括运营的重启;

(6)遵守通行安全标准的情况;

(7)数字签名的有效使用和控制;

(8)控制公共密钥证书的系统、政策和流程的充分性(使用公共密钥加密技术);

(9)运行数据和信息的充分性和准时性;

(10)有效的内部控制系统的书面记载证据。

知识点12

内部审计师考试《内审计作用》知识点

首席审计执行官应当将环境、健康和安全风险包括在全企业范围的风险管理评估当中，并且以平衡的方式与企业运营的其他形式的风险一起进行评估。为此，首席审计执行官应当与本组织的环境安全负责人保持密切的工作关系，协调环境审计计划的有关审计活动。环境、健康和安全(EHS)审计程序采用面向遵循性的方法--检查遵守法律、规章和本组织的EHS 政策、流程和业绩目标，或面向管理系统的方法--评估为了确保遵守法律和内部规定以及降低风险的管理系统，或上述两种方法同时使用。

经营中断可能是自然产生的、偶然发生的或故意的犯罪行为导致的。这种中断会产生重大的财务和运营后果。许多经营专家指出，经营中断不是会不会发生的问题，而是何时发生的问题。CAE 应当评估本组织处理经营中断的准备情况。完善的计划可以提供应急响应流程、后备通讯系统和场所、信息系统备份、灾难恢复、经营影响评估和重启计划、重建设备服务流程、以及确保本组织在紧急情况或灾难发生时已经有所准备的维护流程。

内部审计师可以作为客观独立的参与者评价经营持续和灾难恢复计划的设计、全面性和充分性。内部审计师可以审查该计划，确定它反映了那些在风险评估过程中包括的和评估的运营活动，并且包含了充分的内部控制事项和要求。

衍生产品(derivatives)是有关各方的金融安排，其支付的款项或价值是由某些约定的指标的表现决定的。衍生产品包括期权型和远期型两种合约类型。衍生产品指向的指标可以是商品、利率或汇率。为了有效地控制衍生产品的风险，内部审计师应当审查本组织在以下方面的规定：

(1)管理层的监管和责任;

(2)允许的和禁止的业务范围;

(3)风险极限;

(4)风险衡量和报告流程;

(5)内部控制。

【典型试题】

例1：某小城市自己管理养老基金。根据城市的规章，养老基金只能投资于债券、金融市场基金或高质量的股票。某内部审计师已经证实了养老金资产的存在性，基金余额并不特别大，由城市财政员管理。该审计师决定估计基金投资收益，方法是用基金平均余额乘以当前投资组合下的加权平均投资收益率。在这一过程中，该审计师发现记录的收益额比预计的少得多。下一步该审计师应该( ) 。

A. 询问财政员投资收益少于预计金额的原因

B. 通过向股息和报告服务机构咨询来编制一份更详细的收益估计报告，列示出特定股票或债券支付的利息或股息

C. 通知管理层和审计委员会可能会有舞弊行为，并建议邀请法律顾问一起完成调查

D. 从基金收入账户记录中抽样并追查至现金日记账，以便确定现金是否收到

答案：B

解题思路：

A. 不正确。该审计师应先做进一步的测算和分析性复核工作，询问所得到的口头证据没有多大证明力和说服力。

B. 正确。该审计师根据基金持有股票或债券的情况测算其应有收益是恰当的审计程序。

C. 不正确。这里并不表明存在舞弊的迹象，该审计师需要进一步调查和分析才能得出结论。

D. 不正确。在记录的收益比预计的少的情况下，原因可能是漏计了收益，而从收入账户记录追查现金日记账不会取得效果，因为收入收到了也解释不了该审计师的疑问。

知识点13

内部审计师考试《内审计作用》知识点

例2：银行业面临的一种批评是：贷款委员会并未恰当地履行其职能，其中包括检查贷款申请，确定既定抵押物的实际存在，在同意贷款前评价相关风险等。在收集有关贷款委员会是否有效运作的证据时，内部审计师应当( ) 。

A. 询问贷款业务方面的经理人员，以确定他们各自作出的贷款建议是否被采纳

B. 将已发放贷款总额与受拒贷款总额之和与提交贷款委员会批准的贷款总额核对

C. 检查各项具体贷款项目上的委员会成员签名，并确定在各项会议上贷出的贷款金额以及在审批各项贷款时大致花费的时间

D. 上述各项

答案：C

解题思路：

A. 不正确。是否采纳经理人员的贷款建议都无法证明贷款委员会的运作是否有效，因为贷款建议不一定正确，也可能是相互矛盾的，是否采纳贷款建议与审计目标无关。

B. 不正确。已发放贷款总额与受拒贷款总额之和为所有申请贷款总额，等于已提交贷款委员会审批的贷款总额，两者比较没有意义。且比较结果与贷款委员会运作是否有效无关，因此，这不是审计师应采取的行动。

C. 正确。本选项的做法可以收集贷款委员会如何检查和批准贷款申请的证据，并通过检查所花费的时间来衡量其工作效率。因此，本选项做法能帮助审计师收集贷款委员会是否有效运作的证据。

D. 不正确。A 、B 选项不正确。

例3：假定合同还表明承包商必须遵循所有涉及的环境法规，理由是政府担负着对违反环境法的行为进行罚款的职责。政府的审计师发现环保部门最近已对承包商进行环境审计，并且审计结果表明承包商在现行环境法规的要求方面有极大出入。其中最主要的问题是：承包商的气体排放不符合法定标准。该审计师在与环保官员的接触中发现公司已经采取相关措施。承包公司已经解决了所有的小问题，并且批准一项大型资本性支出来解决有害气体的排放问题。关于这些发现的以下陈述哪些正确?

I. 发现结果的重大性取决于可能罚款的多少，而不是取决于大多数违规性质轻微的事实。 II. 该审计师应当报告有害气体的排放而不应报告其他事项，原因是这些项目性质轻微。 III. 由于报告对政府的重大影响，该审计师只有当污染性质与类型得到证实时方才报告有害气体的排放问题。

A. 只有I

B. 只有II

C.I 、II 和III

D.I 和III

答案：A

解题思路：

I. 正确。因为内部审计活动的目的在于为组织增加价值并提高运作效率。增加价值的也包括减少损失，因此，重大性取决于罚款(损失) 的数额大小以及罚款的可能性，而非性质轻微的违规事实。

II. 不正确。该审计师应及时报告所有重大的审计发现而不应有所隐瞒，因为除了排放有害气体这一发现外，还有其他较多的不合规情况，这些也应报告。

III. 不正确。该审计师应及时报告所有重大的审计发现，以便有关方面及时采取措施加以改进，而不应等到事态发展到最严重时才报告。

2013年内部审计师考试《内部审计作用》

知识点1

20世纪90年代以后，为适应经济全球化的运行模式，国际内部审计也在寻求变革，其主要特征是从以检查、评估为主要内容的符合性审计向以增值和改革机构运行状况为主要内容的增值型审计转变。这些转变使得内部审计在公司治理中的作用越来越重要。在公司治理结构中，先有管理、管理控制，后有内部审计。内部审计既是管理控制的组成部分，同时也是评价其他管理控制的手段。其基本目的是帮助组织完成其目标，为此要揭露相关的风险，并提出改进建议。为了实现内部审计的基本目的需要具备一定的条件，这就是内部审计部门的独立性和人员的客观性。为保证内部审计部门的独立性和客观性，内部审计部门必须使内部审计章程获得董事会的批准，以确保内部审计部门的地位和活动不受限制。

内部审计章程一般由内部审计部门起草，并报经董事会、审计委员会、相关治理机构和高级管理层批准或认可。上述程序有如下几方面的好处：

能最大程度地保证内部审计活动的独立性，确立内部审计部门的地位和作用; 获得批准的内部审计章程还可以作为管理层和董事会评价内部审计工作质量的依据; 保证内部审计活动能在章程授权内不受限制地开展工作，也可为消除与审计客户间就审计范围、审计职责等方面的分歧提供依据。

【典型试题】

例1. 经董事会批准并概括了内部审计部门的目的、权力、责任的书面章程最主要的目的是加强内部审计部门

a. 应有的职业审慎性。

b. 在组织中的地位。

c. 与管理层的关系。

d. 独立性。

答案：d

解题思路：

a. 不正确。规定了内部审计部门权力和责任的书面章程与内部审计师应有的职业审慎性没有直接关系。

b. 不正确。内部审计章程有助于加强内部审计部门在组织中的地位，但相对而言，独立性更加有利于内部审计部门开展工作以帮助实现组织的目标，因而加强地位不是书面章程的最主要目的。

c. 不正确。内部审计章程一般不在内部审计师与管理层的关系方面作出明确规定。 d. 正确。根据《实务公告》1000-1，书面章程的最主要目的是保证内部审计部门的独立性。

例2. 内部审计部门的地位应该不受管理层不负责任地更改政策的影响。对此给予保证的最有效途径是

a. 由管理层和董事会共同批准内部审计章程。

b. 采取有利于赋予内部审计部门职责的政策。

c. 在董事会内设置审计委员会。

d. 制定书面的政策和程序作为部门业绩标准。

答案：a

解题思路：

a. 正确。根据《实务公告》1000-1，首席审计执行官应征得高级管理层对章程的批准以及董事会、审计委员会和相关的治理组织对章程的认可。由于内部审计章程确定了内部审计部门在组织中的地位，因而，一经董事会批准，管理层无权擅自更改。

b. 不正确。虽然赋予内部审计部门职责，但如果没有履行职责的保障，也不能保证内部审计职能的发挥。

c. 不正确。在董事会内设置审计委员会有助于加强内部审计的地位，但没有明确管理层的角色和责任，相对而言，这样做没有a 选项那样有效。

d. 不正确。制定部门业绩标准是管理措施，与保证内部审计职能的地位不受影响没有直接关系。

知识点2

首席审计执行官负责与高级管理层和董事会的沟通工作。沟通审计业务计划包括如下含义：

内部审计部门的工作业务计划应报高级管理层审批，并报董事会备案，报告中应包括充分的信息，以便他们能够确定内部审计部门的目标和计划是否有助于实现组织的目标和计划;

审计业务计划在中期发生重要变化时，亦应及时沟通;

在执行审计业务计划的过程中，如果内部审计资源不足和审计范围受到限制，首席审计执行官应及时向高级管理层和董事会报告，报告内容包括资源不足和范围限制可能带来的后果。

【典型试题】

例1. 最近对于内部审计活动的批评指出，审计业务的覆盖面没有就该组织关键业务部门采用的工作流程向高级管理层提供充分的反馈。问题进一步明确是缺乏自动支持系统。首席审计执行官需要改善以下哪两项职能?

a. 人员配备和沟通。

b. 人员配备和决策过程。

c. 计划和组织。

d. 计划和沟通。

答案：d

解题思路：

a. 不正确。题目中未提到人员配备的问题。

b. 不正确。题目中未提到人员配备和决策过程的问题。

c. 不正确。题目中未提到组织的问题。

d. 正确。题干中所说" 缺乏自动支持系统" 是指" 内部审计活动" 缺乏自动支持系统。这些支持系统包括内部审计活动的工作计划和沟通系统。缺乏充分反馈说明CAE 在计划方面和在向高级管理层通报必要信息方面所分配的内部审计资源存在问题，导致遗漏了对于关键业务部门的业务流程的审计，或者没有按照高级管理层的要求对其进行审计。

例2. 下列哪种活动不包含在审计工作表的确定工作中?

a. 计划工作量需求

b. 评估风险要素

c. 制定审计方案

d. 识别可审计领域

答案：c

解题思路：

a. 不正确。见题解c 。

b. 不正确。题解c 。

c. 正确。审计方案的制定过程发生在一个独立审计的计划阶段。它不包括在制定审计工作表的范围内。

d. 不正确。见题解c 。

知识点3

报告重大审计事项

首席审计执行官应每年至少向高级管理层和董事会提交一次工作报告，这是定期的工作。当出现重大的审计事项时，首席审计执行官应及时向董事会报告。重大审计事项是指那些根据首席审计执行官的判断，可能对组织产生不利影响的情况，包括处理违章、违法、差错、低效率、浪费、无效、利益冲突和控制系统的薄弱环节。首席审计执行官在向董事会报告重大审计事项前，应与高级管理层进行讨论。即便讨论取得了令人满意的结果，首席审计执行官也应报告。此外，首席审计执行官还应将高级管理层对重大审计事项所做的决定通知董事会。在报告重大审计事项后，若高级管理层和董事会决定不采取任何行动并承担由此产生的风险，或者组织、董事会、高级管理层或其他方面有变动，首席审计执行官最好将原先报告的事项再次向董事会报告。

【典型试题】

例1. 在对补助金发放情况的审查中，内部审计师发现有一些补助金是经总裁而不是按照组织章程的要求由补助金批准委员会来批准的，如果在审计报告提交之前，补助金批准委员会已开会并追认了这些补助金，内部审计师应该

a. 不报告补助金的问题，因为它们在审计报告提交之前已得到批准。

b. 与补助金批准委员会主席讨论该问题来确定以前未批准补助金的理由，如果该补助金是例行发放的，那么在审计报告中不必涉及。

c. 将补助金问题作为组织的控制缺陷写入审计报告，详细说明每笔补助金的性质并进一步调查有无舞弊的现象。

d. 向审计委员会报告控制结构中的缺陷。

答案：d

解题思路：

a. 不正确。该审计发现说明有关内部控制存在缺陷，因此，即使该问题已经得到纠正，也应进行报告。

b. 不正确。审计发现应当报告，补助金是否常规不影响有关内控制度遭到破坏这个事实。 c. 不正确。因为委员会已经开会并批准了这些补助金，这说明错误只是未按组织的章程进行审批，因此没必要详细说明每笔补助金的性质和舞弊调查。

d. 正确。该审计发现说明在高级管理层的内部控制结构中存在缺陷，内部审计师应当将这一情况向审计委员会等相关的治理机构报告。

例2. 审计政策要求在管理层没有答复之前不能发布最终审计报告。某项具有重大发现的审计工作已经结束，但尚未得到管理层的答复。评价以下行动并作出最佳选择。 a. 发布有关应注意重要问题的中期报告。

b. 修改审计政策，给管理层答复规定一个明确时期。

c. 等管理层的答复后再发布审计报告。

d. 与外部审计师讨论这一情况。

答案：a

解题思路：

a. 正确。根据《实务公告》2410-1第14条，" 中期报告可以用于报告需要马上注意的信息，报告审计活动审计范围的变化或当审计延续时间较长时将审计的进展通报管理层" ，重大审计发现应及时提请有关部门注意，在无法发布最终报告的情况下，发布中期报告是恰当的。

b. 不正确。审计政策的改动可能要经过繁琐的手续，不一定能及时解决目前的问题，而且审计部门没有权力向管理层作出上述限定。

c. 不正确。这样会使审计工作陷入被动等待的局面，而且无法及时报告审计结果。 d. 不正确。在向董事会等机构报告并取得授权之前，内部审计师不应将内部事务与外部审计师进行讨论。

例3. 有些信息可能不适合向所有的报告接受者披露，因为它是特许的、专有的或与不正当、非法的行为相关。如果被报告的信息涉及某高级经理的不正当行为，该报告应发送给 a. 外部审计师。

b. 董事会。

c. 股东。

d. 高级管理层。

答案：b

解题思路：

a. 不正确。向外部审计师报告这些信息很可能会损害组织的利益。

b. 正确。根据《实务公告》2410-1第13条，" 如果所报告情况涉及高级管理层，应将报告分发给董事会" 。

c. 不正确。在公司的治理机构中，股东不直接对公司事务进行管理，该信息不应向股东报告。

d. 不正确。庙于涉及某高级经理，向高级管理层报告可能会使审计工作陷入被动。 例4. 某首席审计执行官发现一项明显涉及某副总裁的重大舞弊活动，而该副总裁正是首席审计执行官要向其汇报的主管人员。该首席审计执行官最好采取以下哪一措施? a. 进行调查以确定舞弊程度。

b. 与副总裁会谈以获得重要证据。

c. 通知法规监管机构和警察局。

d. 将事实报告给总裁和董事会的审计委员会。

答案：d

解题思路：

a. 不正确。由于该副总裁身份特殊，调查工作可能难以进展，无法确定其舞弊程度。 b. 不正确。该副总裁是主管内部审计工作的高层主管，内部审计师在取得明确的授权之前，不应与其进行和舞弊调查相关的会谈。

c. 不正确。首席审计执行官首先应向组织内部的治理机构报告，而不是向外报告。 d. 正确。根据《实务公告》1210.A2-1第6条，" 当内部审计师怀疑内部存在错误做法时，应该将情况告知组织有关主管人员" ，由于该副总裁是主管内部审计部门的高层主管，" 有关的主管人员" 应当是总裁和审计委员会。

例5. 在对某银行的审计中，内部审计师发现一名贷款官员批准了向某企业集团所属的各独立机构发放的贷款，这违反了监管政策。内部审计师认为这一行为可能是蓄意的; 因为贷款官员与控制该企业集团的一个主要负责人有密切关系，该内部审计师应当

a. 将利益冲突和违规行为告知管理层，并建议作进一步调查。

b. 将违规行为报告给法规部门，因为这构成了银行控制系统的重大缺陷。

c. 如果该贷款官员同意采取纠正措施，则可以不报告该违规行为。

d. 扩大审计范围，确定贷款官员是否有舞弊行为，并在后续调查完成后将调查结果向管理层报告。

答案：a

解题思路：

a. 正确。该利益冲突和违规行为属于一种重要的审计发现，但由于牵涉集团的主要负责人，内部审计师应当报告管理层，并提出深入开展调查的建议。

b. 不正确。根据《标准》规定，内部审计师没有将审计发现向法规部门报告的责任。 c. 不正确。由于该行为已经违反了银行的常规政策，无论该贷款官员是否同意改正，这个审计发现都应当报告。

d. 不正确。由于该审计发现牵涉集团的主要负责人，内部审计师未必有能力开展下一步的审计工作，最恰当的做法是先报告，根据报告的情况决定是否以及如何开展后续工作。

知识点4

定期向董事会报告关键绩效指标

内部审计师应该评估组织的绩效管理系统以及核心工作目标的完成情况。评估组织绩效时应考虑的基本要素是：

(1)确定衡量绩效的相关标准;

(2)将绩效成果与已确定的标准相比较;

(3)评估绩效差距(按照评价标准进行区分) 。

在评估之后，相应的纠正活动应当具体而及时地完成，最终，一个有效的绩效管理系统将成为支持组织目标和个人目标共同达成的有力工具。

尽管每一个组织都有大量的绩效评价方法，在组织的每一个层级都存在一些关键的绩效指标被用于有效控制工作目标的达成。它们通常被称为关键绩效指标(key performance indi cators or KPIs) 。这些指标将成为内部审计师的评估对象。

内部审计师在一个审计项目中或者在组织范围内是否评估关键绩效指标首先要判断两点：

(1)要判断这些指标是否是正确的指标(需要考虑的问题如：它们是否能够涵盖组织的全部目标? 它们能否反映组织实际绩效的变化? 使用者能否理解这些指标? 这些指标是否反映及时?);

(2)这些指标能否有效的发挥作用?(如，数字是否精确? 信息来源是否可靠?) 通常，关键绩效指标被用来衡量产出(如销售收入产量) 。有时，关键绩效指标也被用来衡量组织流程的特征(如及时性、精确性) 。

有时，关键绩效指标被用来衡量风险，被参考用作关键风险指标(key risk indicators or KRIs)(如过错发生率、错误发展趋势等) 。关键风险指标通常被用来作为指示风险的指标，也就是说，假如关键风险指标趋势反映出危险值已超过指标上限，管理层就能够在损害发生前及时发现错误原因并及时纠正它。

一种新的关键绩效指标出现在组织中，它被称为可持续指标或公司社会责任指标，这种指标强调组织不仅要对短期的财务结果负责，同时也应为组织经营和人类赖以生存的环境负责。

当组织开始履行正式的社会责任和义务时，相应的绩效评价指标也就应运而生。逐渐地，组织会向外部股东披露他们对社会责任和义务的尽职情况，内部审计师也开始对社会责任绩效管理的设计、实施和评价指标的可靠程度进行评价。

讨论重大风险领域

风险管理是管理层的一项主要职责，而对组织的风险管理过程进行评估和报告通常是内部审计工作的一项重要内容。在适当情况下，内部审计师应与管理层、审计委员会和董事会就风险和风险管理实务中的薄弱环节进行讨论。如果首席审计执行官认为高级管理层接受的风险水平与机构的风险管理战略和政策不一致，或该水平不能被机构接受，首席审计执行官应就此与高级管理层进行讨论。若讨论仍然解决不了这些问题，首席审计执行官和高级管理层应将此事报告董事会解决。管理层负责对重大风险采取针对性行动，首席审计执行官负责评价这些行动。若高级管理层出于某些原因决定不采取纠正行动并承担后果，首席审计执行官应向董事会报告这些情况。

【典型试题】

例1：在审计计划阶段，内部审计师应设计审计目标和程序来评估与审计活动相关的风险，此处风险的定义是( ) 。

A. 账户余额或交易类别以及相关的认定包含可能对财务报表有重大影响的误报风险

B. 事件或行为对审计活动产生不利影响的可能性

C. 没有遵守组织政策、计划和程序或没有遵循相关法律法规

D. 未完成审计活动或方案的既定目标

答案：B

解题思路：

A. 不正确。审计风险由固有风险、控制风险和检查风险组成，这里描述的只是审计风险中的固有风险，不够全面。

B. 正确。《标准》对风险定义如下，" 风险是指可能对目标实现产生影响的事件发生的不确定性" 。即事件或行为对审计活动产生不利影响的概率。

C. 不正确。这里描述的内容与审计风险中的控制风险相关，但尚不能全面涵盖风险的全部内容。

D. 不正确。这里描述的内容与审计风险中的检查风险相关，不够全面。

例2：某内部审计师怀疑存在付款方面的舞弊，即某(几) 个未知姓名的雇员同时提交和批准相关发票的付款。在与管理层讨论潜在舞弊行为之前，内部审计师决定进一步收集证据。在提供附加证据方面以下哪个程序最有效?

A. 使用审计软件获得附有邮局信箱号码或有其他异常特征的供应商名单; 对这些事项进行抽样并追踪检查其支持文件，如验收报告等

B. 对年内已付款项进行抽样，检查各笔款项的审批手续

C. 对可代表调查期间的验收报告进行抽样，并追踪检查经批准的付款; 注意未经除当程序的任何事项

D. 对上月收到的发票进行抽样检查，确定是否具有适当的付款授权; 并追踪检查验收报告等支持文件

答案：A

解题思路：

A. 正确。通过审计软件获得异常的供货商名单，并对其进行抽样并追踪支持文件，可以得到付款是否合理或正确的证据，是有效的程序。

B. 不正确。因为所有付款都会有审批手续，所以仅仅检查审批手续而不进一步追踪检查其相关支持文件如验收报告，无法取得是否舞弊的附加证据，因此对年内已付款进行抽样不是最有效的程序。

C. 不正确。因为舞弊行为的付款很可能没有验收报告，因此对验收报告抽样很可能发现不了舞弊行为，该程序不是很有效。

D. 不正确。因为收到发票不一定马上付款，而且仅对一个月的发票进行抽查不足以说明问题，因此这不是最有效的程序。

例3：某新上任大型零售公司的首席审计执行官对审计活动中对存货广泛使用符合性测试表示质疑，他声称这个方法不符合重要性原则。以下陈述中哪一条是对这位首席审计执行官的说法最合理的反应?

I. 重要性不仅与每一存货的数量大小有关，它也与影响整个组织的控制结构有关。 II. 根据定义，任何偏离规定控制程序的情形都是重要的。

III. 确保公司控制结构中重要的环节都受到检查的唯一方法是全面审计所有存货。

A. 只有I

B. 只有III

C.I 和II

D.I 、II 和III

答案：A

解题思路：

I. 正确。重要性被定义为对组织的潜在损害项目，重要性包括数量和性质两个方面，而不限于在数量上被确定的项目。

II. 不正确。有一些性质轻微的控制错误不被认为是重要的。

III. 不正确。可以使用抽样方法来全面覆盖整个组织的控制结构。

知识点5

支持董事会开展全面风险评估

风险管理是管理层的一项主要职责，管理层应当确保组织中存在良好的风险管理过程并使其发挥作用。董事会和审计委员会负责监督和确定存在适当的风险管理流程，这些流程是充分和有效的。内部审计师应当运用风险管理方法和控制措施，对风险管理过程的充分性和有效性进行检查、评价和报告，提出改进意见，为管理层和审计委员会提供帮助。内部审计师对组织的风险管理评估不同于利用风险分析来制定审计业务计划。内部审计师应采用适当的审计程序收集足够的证据，从总体上对风险管理过程的充分性以及所选择风险管理方式的

适当性发表意见。风险管理过程充分与否，取决于风险管理过程是否着眼于如下五个主要目标，以及目标是否得以实现：

(1)找出业务战略与活动领域的风险并进行优先排序;

(2)管理层和审计委员会已经确定了组织可以接受的风险水平，包括为实现组织战略计划而承受的风险;

(3)设计、实施了降低风险的活动，把风险降低并管理在上述可接受的水平上;

(4)开展持续的监督活动，定期对风险和控制的有效性进行再评估，以管理风险;

(5)董事会和管理层定期收到风险管理过程的结果报告。

公司治理过程应该包括定期向利益关系方传递风险、风险战略和控制情况。评估过程应考虑如下审计程序：

(1)评价组织和行业的发展情况和趋势，确定是否可能存在影响组织的风险;

(2)检查公司政策、董事会和审计委员会的会议记录，确定机构的经营战略、风险管理理念和方法、对风险的兴趣和对风险的接受;

(3)检查管理层、内部和外部审计师以及有关方面以前发表过的风险评估报告;

(4)与相关管理层讨论，确定业务部门的目标、相关的风险以及管理层采取的降低风险和控制监督活动;

(5)收集信息，独立评估降低风险、监督、风险控制和相关控制活动的有效性;

(6)评估针对风险监督活动建立报告专线的恰当性;

(7)评价风险管理结果报告的充分性和及时性;

(8)评价管理层对风险的分析是否全面、为防止风险而采取的措施是否完善、建议是否有效;

(9)对管理层的自我评估进行实地观察、直接测试，检查自我评估所依据的信息是否准确，以及其他审计技术，以确定管理层的自我评估过程是否有效;

(10)评估与风险管理有关的管理薄弱环节，并与管理层、董事会和审计委员会讨论。如果管理层接受的风险水平与组织风险管理战略不一致，应按《标准》2600" 管理层对风险的接受" 进行报告。

管理层选择的风险管理方式的适当与否很难有统一的标准，各个组织应当根据自身活动的性质来设计风险管理过程。风险管理过程可以有以下三种方式：

(1)正式的方式和非正式的方式;

(2)定量的方式和定性的方式;

(3)分散管理的方式和集中管理的方式。

一般说来，规模大的、上市的公司必须用定量的风险管理方式。规模小的、业务不太复杂的，则可以设置非正式的风险管理委员会定期开展评价活动。内部审计师的职责是评价组织风险管理方式与组织活动的性质是否适当。

【典型试题】

例1：审计委员会对以下的现象表示关注：金融机构为追求短期利润目标而发放高风险的贷款，为证实这一点，以下哪项审计程序提供的有用信息最少?

A. 对(利息收入/投资额) 比率进行分析性复核，并与同行业相比较

B. 选取本期贷款的随机样本，并就贷款风险与两年前的贷款随机样本进行对比

C. 进行分析性审查，并编制一份图表，以比较过去十年的利息收入

D. 对过去五年的利息收入进行时间序列的多元回归分析，分析的因素包括：市场利率、贷款总额规模和每年新增加的贷款额

答案：C

解题思路：

A. 不正确。通过分析性复核和与同行业比较，可以获取非正常高收益的证据，进而分析获取高收益的原因，从而发现是否有进行高风险放贷情况，是有效的做法。

B. 不正确。通过本期贷款与两年前的贷款进行对比分析，以发现本期的做法与以前相比有无大的变化，从而发现贷款政策的改变，以取得进行高风险放贷的证据，也是有效的审计程序。

C. 正确。因为利息收入与发放的贷款总额和利息率有关，单单比较利息收入无法得到是否进行高风险放贷的证据。

D. 不正确。通过多元回归分析，可以发现各因素的影响，从而得到进行高风险放贷的证据，是有效的审计程序。

例2：管理层坚持认为应收账款账户的变动是由于其客户构成和信用条件的变动而引起的。为了验证管理层的这一认定，最恰当的审计程序是( ) 。

A. 运用属性抽样获取客户样本，对于抽到的每个样本，追溯至如邓白氏之类的信用评估机构对其的信用评级，从结果推断总体

B. 运用属性抽样获取年末客户样本，向所有抽到的样本客户进行函证，询问他们是否是新客户

C. 运用通用审计软件获取本年度以销售量排序的客户清单，并与以前年度类似的客户清单进行比较

D. 运用通用审计软件生成应收账款账龄分析表，并与以前年度的账龄相比较来确定是否有变动

答案：C

解题思路：

A. 不正确。针对本年度的客户样本进行属性抽样和分析，而没有将本年度与上年度的比较，无法验证" 应收账款的变化是由于其客户构成和信用条件的变化而引起的" 的说法是否正确。

B. 不正确。见题解A 。

C. 正确。通过比较客户清单，可以确定是否客户构成和信用条件起了变化，并就其变化对应收账款的影响作出评估。

D. 不正确。对应收账款进行账龄分析可以看出账龄的变化，但无法分析客户构成和信用条件的变化及其造成的影响。

知识点6

检查内部审计部门在组织内风险管理框架中的定位

风险管理是管理层的一项关键责任。进行组织的风险管理流程的评估并作出书面报告一般具有较高的审计优先顺序。CAE 应当理解管理层和董事会对于内部审计活动在本组织的风险管理流程中的预期，理解应当被载入内部审计活动和审计委员会的章程。风险管理责任和活动应当在该组织的风险管理流程中负有责任的群体和个人中间协调一致。这些责任和活动应当在该组织的战略规划、董事会政策、管理层指导方针、操作流程和其他治理工具中被适当地记载。具体来说，董事会应当负责制定战略目标; 风险的所有权应当赋予高级管理层; 剩余风险的接纳应当留给执行管理层; 持续的识别、评估、减轻和监督活动应当交与运营层; 内部审计部门应当定期评价并协助其他部门进行风险管理。

对于尚未建立风险管理流程的组织，首席审计执行官应提请管理层注意，并提出建议。如果有关方面提出要求，内部审计师可以积极协助组织进行风险管理过程的初步建立工作，但更为积极的作用是通过改善组织基本程序的咨询工作对传统保证业务进行补充。但这些协助工作不能超出正常的保证和咨询范围，以免损害独立性。也就是说，内部审计师可以促进、协助风险管理过程的建立，但不负风险管理的责任。内部审计部门在建立风险管理过程之中和之后所承担的责任，也要在内部审计章程中作出规定。

【典型试题】

例1：最近全球发生了一些灾难。鉴于灾难可能对其组织造成破坏性影响，内部审计师应该鼓励管理者制定灾难管理程序。此种程序制定的第一步工作是( ) 。

A. 制订应急计划

B. 开展风险分析

C. 创建风险管理小组

D. 练习对风险的反应

答案：B

解题思路：

A. 不正确。首先应当清楚灾难发生的可能性、可能范围及其后果，才能有针对性地制订应急计划。

B. 正确。开展风险分析可以弄清楚灾难发生的可能性、可能范围及其后果，以便灾难管理程序更有针对性、更适用和更经济。因此，开展风险分析是制定灾难管理程序的首要工作。

C. 不正确。风险管理的组织形式应当根据风险的可能性和危害性来确定。在确定风险的可能性和危害性之前，不适合确定风险管理的组织形式。

D. 不正确。应当先有计划，后有行动。

例2：你所在的公司最近将采购循环由手工处理转变为用联机系统处理。以下哪项是与这种向新型自动系统转化相关的结果?

A. 处理错误会增加

B. 公司面临的风险将减少

C. 处理时间增加

D. 传统的职责分离会减少

答案：D

解题思路：

A. 不正确。一般情况下，计算机处理比人工处理出现的错误更少。

B. 不正确。使用联机系统处理后，公司对相关数据的控制风险将会增加

C. 不正确。计算机处理将会缩短处理时间，提高处理效率。

D. 正确。联机系统将会取代某些手工工作，并提高了信息的共享性，传统的职责分离将会减少。

例3：在内部审计结束不久发生了一项重大雇员舞弊事件。内部审计师可能没有很好地履行防止舞弊发生的责任，因为他没有关注并报告( ) 。

A. 低风险领域中用于监督行动并保护资产的政策、实践以及程序不如高风险领域中的那么广泛

B. 依赖职责分工的控制系统可能因为三个雇员的串通而失败

C. 没有书面政策来规定禁止的活动以及发现违规时要求采取的行动

D. 分公司雇员没有经过适当的培训来辨别授权书上的真实签名和假冒签名

答案：C

解题思路：

A. 不正确。这是风险管理中一个比较普遍的做法，并非管理缺陷，也不是造成雇员重大舞弊事件的原因，内部审计师不予关注并报告是没有责任的。

B. 不正确。即使很完善的内部控制系统也可能因为数名雇员的串通而失败，这是众所周知的事情，内部审计师无需专门进行报告。

C. 正确。公司没有书面政策来规定禁止的行动以及发现违规时要求采取的行动，这说明公司的风险管理和控制中没有对舞弊加以很好的防范。如果内部审计师没有关注并报告这个问题，则没有很好地履行防止舞弊发生的责任。

D. 不正确。未向雇员提供适当的培训是控制弱点，但不是造成重大的雇员舞弊事件的直接原因。

例4：根据美国证券交易委员会(SEC)的新规定和《萨班斯一奥克斯利法案》，内部审计师在季度财务报告过程中不能履行以下哪项职能?

A. 所需过程的初始设计者

B. 该过程的独立评估人

C.SEC 第13A 一14和15D 一14条规则的履行者

D. 管理层和审计师之间的协调人或联系人

答案：C

解题思路：

A. 不正确。根据《实务公告》2120.A1-3，该职能是一种增值服务。

B. 不正确。根据《实务公告》2120.A1-3，该职能是一种增值服务。

C. 正确。SEC 第13A 一14和15D 一14条规则的履行者应当是首席执行官和首席财务官。

D. 不正确。根据《实务公告》2120.A1-3，该职能是一种增值服务。

知识点7

内部审计师考试《内审计作用》知识点

监督遵守公司行为规范和商业管理情况

公司行为规范是由组织制定的、旨在规范员工行为、防止过失违法违纪的正式和书面的规章制度。行为规范强化了在经营决策中的道德的要求。具体的行为规范随着组织的不同而不同，但通常都包括下列方面：

(1)利益冲突

(2)保密

(3)公平交易

(4)恰当使用组织资产

(5)礼品及酬金

(6)遵守法律、规则及监管制度

(7)报告违法及不道德行为

例如，一个书面的关于利益冲突的行为规范通常包括：

(1)利益冲突的一般定义;

(2)强调组织对雇员、其他公司代理方、供应方的具体行为要求;

(3)关于对影响组织诚信和声誉的经营活动、投资或其他相关利益行为的具体规定。

行为规范反映了组织希望在道德恪守和合规管理方面积极主动的制度要求，而并非来自于法律的强制。

商业惯例是在商业活动中形成的被广泛接受的通用做法，一般是非正式的，但一旦违反，会给组织带来不利影响。

公司行为规范和商业惯例对组织目标的实现都有影响，内部审计师有责任评价遵守公司行为规范和商业惯例的执行情况和执行效果，以改进组织的控制系统。在监督遵守公司行为规范和商业惯例情况时，内部审计师应从评估组织相关行为规范和商业惯例是否存在、相关的控制和保证系统是否充分建立、运行是否充分和恰当、以及系统的执行效果如何等方面进行。具体应确定以下内容：

(1)组织是否建立了关于行为规范和商业惯例的道德规范，这些道德规范应该是书面的、易于人们理解的和具有指导性的，机构内不同层次的人的执行标准应有所不同; 组织内所有员工和其他有关代理人都应有机会了解和接触上述行为规范，如参加培训、发放手册、公告等;

(2)组织应在多种场合将道德规范向各层次的员工进行讲解，并针对不同部门的员工强调不同的重点;

(3)组织的代理人要参加为他们量身定做的讲座，新员工要专门培训;

(4)组织应保证员工已经阅读、理解并遵守了公司的行为规范和商业惯例;

(5)组织应采取合理措施促进行为规范和商业惯例的遵守，例如，应用监督和审计机制以发现不遵守情况，建立举报机制，设立相关奖惩制度等;

(6)组织的高层人员应总体负责监督对行为规范和商业惯例的遵守情况;

(7)公司行为规范和商业惯例是否得到切实的遵守。

知识点8

内部审计师考试《内审计作用》知识点

【典型试题】

例1：某制造业公司的潜在问题是，采购代表可能会收到回扣或收取供应商的礼物，并以此作为交换条件，使供应商得到优惠的合同。为防止这一行为，下面措施中哪项效果最差?

A. 公司制定一项特别政策，禁止从供应商处接受任何有价值的物品

B. 公司制定《职业道德规范》，禁止这种行为

C. 对新供应商，要求采购代表必须在提供有关供应商的简介之后，才能列入认可的供应商名单中

D. 与主要供应商建立长期合同关系，合同条款由最高级管理层审批

答案：C

解题思路：

A. 不正确。从公司政策上明确禁止收受礼物的行为，有利于规范采购代表的行为。

B. 不正确。从公司《职业道德规范》的角度禁止这种行为，对采购代表具有一定的约束性。

C. 正确。要求采购代表提供供应商的简介，这无论从制度上还是从操作上都不属于一种控制措施，无法防止供应商送礼或采购代表违规操作等问题。

D. 不正确。这样做一方面可以从长远发展的角度约束供应商的行为，另一方面也使采购代表的权力得到了有效控制，可以在很大程度上防止上述行为。

例2：某公司正向新市场拓展，在这一领域便利性支出(即贿赂) 是常见的活动。公司的政策严禁这种活动，并且内部审计师被要求帮助证实是否发生了这类支出。以下哪项表明可能发生了这类活动?

A. 娱乐费用增长了150%

B. 公司外部审计师与当地一家公共会计师事务所签订合同来对存货进行实地观察

C. 在公司范围内实行独家采购政策

D. 向以前并未使用过服务的人支付许多大额咨询费用

答案：A 、D

解题思路：

A. 正确。娱乐费用不属于公司的一项固定费用或者经常性的费用，其剧增表明了可能存在通过娱乐的方式或利用娱乐费用发票套取现金进行贿赂的可能性。

B. 不正确。外部审计师与会计师事务所之间进行合作是一项正常的业务行为，对存货如何进行实地观察与公司的便利性支出无关。

C. 不正确。与选定的供应商进行独家合作是一项正常的市场行为，而且公司在采购领域向供应商行贿的可能性一般不大。

D. 正确。咨询费用在公司的费用中属于一种弹性较大的费用支出，存在套现或便利性支出的可能，尤其是服务提供者以前没有向公司提供过服务的情况下，这种可能性则更大。

知识点9

内部审计师考试《内审计作用》知识点

例3：许多非盈利组织都面临的一个潜在问题是，公众对其资金的使用情况表示怀疑。例如：一些资金未用于真正的科研项目上，而是给组织的总裁提供奢华的生活，或者支持其政治活动。以下哪一个控制程序最不能有效地解决这个问题?

A. 定期公布经审计的财务报表，供公众和主要捐赠者审阅

B. 对所有超过一定金额的开支，必须由董事会复核和审批

C. 定期对费用开支进行审计，确定其是否符合既定的目标，并将结果报告给审计委员会

D. 定期进行工资的审计，确定其是否符合规定的工资标准

答案：D

解题思路：

A. 不正确。通过公布经审计的财务报表，可以保护公众和主要捐赠者的知情权，消除公众的疑虑。

B. 不正确。通过实行大额开支审批制度，可以在一定程度上抑制不合理的开支。

C. 不正确。通过对费用开支情况进行审计，可以从另外一个角度保障开支的合理化，消除公众疑虑。

D. 正确。很多不合理的开支与工资支出无关，仅对工资情况进行审计对解决上述问题的帮助是最小的。

例4：内部审计师要确定由终端用户及局域网(LAN)上的其他共享用户开发的应用系统的文档记录是否遵守公司政策时，最适当的审计程序是( ) 。

A. 向终端用户发放问卷以确定他们已经进行开发的局域网终端用户应用程序的情况

B. 向终端用户发放调查表以测试他们对应用程序文档知识的掌握程度

C. 随机抽取一组终端用户，检查他们计算机中储存的所有应用程序是否都与公司的政策相符

D. 随机抽取一组储存在服务器中的终端用户应用程序，检查这些应用程序是否与公司的政策相符

答案：D

解题思路：

A. 不正确。这只能提供终端用户开发应用程序的有限信息，却不能提供对公司政策遵循情况的任何信息。

B. 不正确。这只能提供用户对公司政策了解程度的信息，却不能提供对政策遵循情况的信息。

C. 不正确。这是一个很好的审计程序，但却局限于个人计算机中储存的应用，没有涉及用户间共享并被存储于服务器中的应用程序。更大的问题是它还要求审计师浏览所有的应用程序，而不仅仅是用户间共享的那些。

D. 正确。这样可以任由审计师检查那些在用户间共享的应用程序。

知识点10

内部审计师考试《内审计作用》知识点

为保证调查问卷产生可信且有价值的数据，内部审计师在采集数据时应注意以下几点：

(1)问卷调查应得到最高管理层的支持，问卷调查结果将作为有力的反馈工具;

(2)合理设计调查问卷，确保问卷回答项便于回答(封闭式答案，如：同意/不同意; 满意/不满意);

(3)设计问卷中应保留发表意见栏，以便于对象解释为什么选择某项答案，尤其是当对象选择的答案反映组织的薄弱环节时;

(4)使调查问卷保持在一个合理的长度内，内容不要过少或过多;

(5)要对调查问卷进行实地考察;

(6)如何方便的话，将调查问卷交由独立的市场调查公司进行处理，将统计分析数据及有关意见反馈给内部审计师。

值得注意的是，如果调查参与者害怕被报复，则问卷结果可能出现模棱两可的状况，因此问卷调查必须做到保密以降低参与者对于信息泄露的担心。另一方面，后续跟踪的方式能够提升问卷调查的效果，同时，另一个关键的方面是应让问卷参与者知道管理者是把问卷调查作为一种有用的工具并对调查结果作出积极反应，通常，参与者都希望看到他们在调查问卷中的反馈能够产生积极的影响。

在评价组织道德氛围时，除了访谈和问卷调查，内部审计师也可以促进关于组织道德方面的访谈并协助解决道德难题。

内部审计师在评价组织道德恪守中的作用：众所周知，道德因素是组织内部控制环境中的重要组成部分。董事会与管理层的高度重视与身体力行已成为组织道德恪守的必要条件。组织的管理者对道德价值观的确信与行动将把有用的价值观转移到组织的经营活动中来。 对组织道德恪守情况的识别有不同的方式。一种获取道德恪守情况信息的方式是通在操作实践中发现违反法律法规的情况或者接到举报者的报告，另一种方式是内部审计。有时，即使常规合规性审计报告没有报告道德瑕疵现象，对以往审计发现或专项审计的再次检查也可能由那些最初只是显露出微小瑕疵的事项中发现正在存在着的道德违反事项。

额外的道德违反信息恰恰会直接或间接促进组织中不诚实、不道德行为的发生的原因。通常的事例包括：

(1)过分强调收益，尤其是短期收益;

(2)片面关注收益底线(如销售收入和利润目标);

(3)高压力的销售策略;

(4)残酷的谈判;

(5)与财务信息和非财务信息相捆绑的奖惩制度。

一个组织的道德政策明确了董事会和管理层期望发生的事项。而组织文化则会影响那些关系到组织规则被遵守、被定型、被破坏的经济事项。

知识点11

内部审计师考试《内审计作用》知识点

评估在特定领域遵守政策的情况

根据《标准》，内部审计部门应该在风险评价结果的基础上，评价涵盖公司治理、运营及信息系统等内容的控制程序的充分性与有效性。组织的管理控制目标有四个：

(1)财务和运营信息可靠、完整;

(2)运营工作高效率、有成效;

(3)资产得到保护;

(4)组织的行为和决定遵守相关的法律、规定和合同。

上述目标明确了内部审计部门要评估法律、法规、政策和合同的遵守情况，包括了特定领域的政策。评估时，内部审计部门关注的重点是：

(1)组织内是否建立了监督遵守相关法规政策的监管控制系统;

(2)这些系统是否充分、有效;

(3)相关的业务活动是否遵守了那些法规政策，效果如何。

电子商务(e-commerce)就是在互联网上从事商业活动。由于电子商务及其技术突飞猛进的发展，内部审计师应当审查管理层的战略规划和风险管理过程及其关于以下问题的决策：

(1)哪些风险是严重的;

(2)哪些风险可以被保险;

(3)当前采取了哪些减轻风险的控制;

(4)哪些额外的补偿控制是必要的;

(5)需要哪种监督形式。

对于电子商务的主要审计活动包括：

(1)评估内部控制结构;

(2)对于目标能够被达成提供合理的保证;

(3)确定风险是否可以被接受;

(4)理解信息的流动：

(5)审查界面问题(比如，硬件与硬件、软件与软件、硬件与软件之间的界面);

(6)评估营业持续和灾难恢复计划。

电子商务审计业务的审计目标包括：

(1)电子商务交易的证据;

(2)安全系统的可用性和可靠性;

(3)电子商务和财务系统之间的有效界面;

(4)客户认证过程的有效性;

(5)营业持续流程的充分性，包括运营的重启;

(6)遵守通行安全标准的情况;

(7)数字签名的有效使用和控制;

(8)控制公共密钥证书的系统、政策和流程的充分性(使用公共密钥加密技术);

(9)运行数据和信息的充分性和准时性;

(10)有效的内部控制系统的书面记载证据。

知识点12

内部审计师考试《内审计作用》知识点

首席审计执行官应当将环境、健康和安全风险包括在全企业范围的风险管理评估当中，并且以平衡的方式与企业运营的其他形式的风险一起进行评估。为此，首席审计执行官应当与本组织的环境安全负责人保持密切的工作关系，协调环境审计计划的有关审计活动。环境、健康和安全(EHS)审计程序采用面向遵循性的方法--检查遵守法律、规章和本组织的EHS 政策、流程和业绩目标，或面向管理系统的方法--评估为了确保遵守法律和内部规定以及降低风险的管理系统，或上述两种方法同时使用。

经营中断可能是自然产生的、偶然发生的或故意的犯罪行为导致的。这种中断会产生重大的财务和运营后果。许多经营专家指出，经营中断不是会不会发生的问题，而是何时发生的问题。CAE 应当评估本组织处理经营中断的准备情况。完善的计划可以提供应急响应流程、后备通讯系统和场所、信息系统备份、灾难恢复、经营影响评估和重启计划、重建设备服务流程、以及确保本组织在紧急情况或灾难发生时已经有所准备的维护流程。

内部审计师可以作为客观独立的参与者评价经营持续和灾难恢复计划的设计、全面性和充分性。内部审计师可以审查该计划，确定它反映了那些在风险评估过程中包括的和评估的运营活动，并且包含了充分的内部控制事项和要求。

衍生产品(derivatives)是有关各方的金融安排，其支付的款项或价值是由某些约定的指标的表现决定的。衍生产品包括期权型和远期型两种合约类型。衍生产品指向的指标可以是商品、利率或汇率。为了有效地控制衍生产品的风险，内部审计师应当审查本组织在以下方面的规定：

(1)管理层的监管和责任;

(2)允许的和禁止的业务范围;

(3)风险极限;

(4)风险衡量和报告流程;

(5)内部控制。

【典型试题】

例1：某小城市自己管理养老基金。根据城市的规章，养老基金只能投资于债券、金融市场基金或高质量的股票。某内部审计师已经证实了养老金资产的存在性，基金余额并不特别大，由城市财政员管理。该审计师决定估计基金投资收益，方法是用基金平均余额乘以当前投资组合下的加权平均投资收益率。在这一过程中，该审计师发现记录的收益额比预计的少得多。下一步该审计师应该( ) 。

A. 询问财政员投资收益少于预计金额的原因

B. 通过向股息和报告服务机构咨询来编制一份更详细的收益估计报告，列示出特定股票或债券支付的利息或股息

C. 通知管理层和审计委员会可能会有舞弊行为，并建议邀请法律顾问一起完成调查

D. 从基金收入账户记录中抽样并追查至现金日记账，以便确定现金是否收到

答案：B

解题思路：

A. 不正确。该审计师应先做进一步的测算和分析性复核工作，询问所得到的口头证据没有多大证明力和说服力。

B. 正确。该审计师根据基金持有股票或债券的情况测算其应有收益是恰当的审计程序。

C. 不正确。这里并不表明存在舞弊的迹象，该审计师需要进一步调查和分析才能得出结论。

D. 不正确。在记录的收益比预计的少的情况下，原因可能是漏计了收益，而从收入账户记录追查现金日记账不会取得效果，因为收入收到了也解释不了该审计师的疑问。

知识点13

内部审计师考试《内审计作用》知识点

例2：银行业面临的一种批评是：贷款委员会并未恰当地履行其职能，其中包括检查贷款申请，确定既定抵押物的实际存在，在同意贷款前评价相关风险等。在收集有关贷款委员会是否有效运作的证据时，内部审计师应当( ) 。

A. 询问贷款业务方面的经理人员，以确定他们各自作出的贷款建议是否被采纳

B. 将已发放贷款总额与受拒贷款总额之和与提交贷款委员会批准的贷款总额核对

C. 检查各项具体贷款项目上的委员会成员签名，并确定在各项会议上贷出的贷款金额以及在审批各项贷款时大致花费的时间

D. 上述各项

答案：C

解题思路：

A. 不正确。是否采纳经理人员的贷款建议都无法证明贷款委员会的运作是否有效，因为贷款建议不一定正确，也可能是相互矛盾的，是否采纳贷款建议与审计目标无关。

B. 不正确。已发放贷款总额与受拒贷款总额之和为所有申请贷款总额，等于已提交贷款委员会审批的贷款总额，两者比较没有意义。且比较结果与贷款委员会运作是否有效无关，因此，这不是审计师应采取的行动。

C. 正确。本选项的做法可以收集贷款委员会如何检查和批准贷款申请的证据，并通过检查所花费的时间来衡量其工作效率。因此，本选项做法能帮助审计师收集贷款委员会是否有效运作的证据。

D. 不正确。A 、B 选项不正确。

例3：假定合同还表明承包商必须遵循所有涉及的环境法规，理由是政府担负着对违反环境法的行为进行罚款的职责。政府的审计师发现环保部门最近已对承包商进行环境审计，并且审计结果表明承包商在现行环境法规的要求方面有极大出入。其中最主要的问题是：承包商的气体排放不符合法定标准。该审计师在与环保官员的接触中发现公司已经采取相关措施。承包公司已经解决了所有的小问题，并且批准一项大型资本性支出来解决有害气体的排放问题。关于这些发现的以下陈述哪些正确?

I. 发现结果的重大性取决于可能罚款的多少，而不是取决于大多数违规性质轻微的事实。 II. 该审计师应当报告有害气体的排放而不应报告其他事项，原因是这些项目性质轻微。 III. 由于报告对政府的重大影响，该审计师只有当污染性质与类型得到证实时方才报告有害气体的排放问题。

A. 只有I

B. 只有II

C.I 、II 和III

D.I 和III

答案：A

解题思路：

I. 正确。因为内部审计活动的目的在于为组织增加价值并提高运作效率。增加价值的也包括减少损失，因此，重大性取决于罚款(损失) 的数额大小以及罚款的可能性，而非性质轻微的违规事实。

II. 不正确。该审计师应及时报告所有重大的审计发现而不应有所隐瞒，因为除了排放有害气体这一发现外，还有其他较多的不合规情况，这些也应报告。

III. 不正确。该审计师应及时报告所有重大的审计发现，以便有关方面及时采取措施加以改进，而不应等到事态发展到最严重时才报告。