2016国际内审师《内审作用》讲义:政策和
程序-国际内审师
小编整理“2016年国际内审师《内审作用》讲义:公司治理模型”更多国际内审师考试复习指导信息,请关注国际内审师。
查看汇总:2016年国际内审师考试《内部审计作用》讲义汇总
政策和程序
书面政策和程序的形式和内容,应当同内部审计活动的规模和结构及其工作的复杂性相适应,并不是所有的内部审计活动都需要正式的管理和审计技术手册。小型的内部审计活动的管理可以是非正式的。可以通过日常的、密切的监督和书面备忘录来指
导和控制其审计人员。
【例题】多数情况下,内部审计活动应该记录有关的政策和程序,确保其工作的一致性和质量。这项原则的例外情况直接与以下哪项有关:
A.部门化(departmentation);
B.劳动分工;
C.内部审计活动的规模; D.权限。
【答案】C
【解析】并不是所有的内部审计活动都需要正式的管理和审计技术手册。小型的内部审计活动的管理可以是非正式的。可以通过日常的.密切的监督和书面备忘录来指导和控制其审计人员。在大型内部审计活动中,正规、全面的政策和程序对指导审计人员坚持遵守内部审计实务标准是必不可少的(实务公告2040-1)。因此选项C正确。
选项A不正确,部门化使团队成员间能得到沟通,但如果控制幅度太大就缺乏充分的直接监督;选项B不正确,劳动分工使人员分工高度专业化,但在内部审计机构很大时,对于新员工而言,正式的指南是必要的;选项D不正确,不管审计执行主管权限施展的程度,大型的内部审计机构需要正式的政策。
【例题】《内部审计专业实务标准》要求制定书面的政策和程序来指导内部审计活动。对于这项要求,以下哪项表述是错误的:
A.书面政策和程序的形式和内容应该与内部审计活动的规模相适应;
B.所有的内部审计活动都应该有详细的政策和程序手册;
C.不是所有的内部审计活动都需要正式的管理和技术手册;
D.小型内部审计活动可以通过密切监督和书面备忘录来进行非正式管理。
【答案】B
【解析】书面政策和程序的形式和内容应与内部审计活动的规模和结构及其工作的复杂性相适应,并不是所有的内部审计活动都需要正式的管理和审计技术手册。小型的内部审计活动的管理可以是非正式的(实务公告2040-1)。因此选项B应该入选。
选项A不正确,书面政策和程序的形式和内容应与内部审计活动的规模相适应;选项C不正确,不是所有的内部审计活动都需要正式的管理和技术手册;选项D不正确,小型的内部审计活动的管理可以是非正式的,可以通过日常的、密切的监督和书面备忘录的形式来管理内部审计活。
2016年国际内审师考试的特点分析
2016年国际内审师考试《内部审计业务》试题汇总
2016国际内审师考试《经营管理技术》复习考点汇总
基础学习班
冲刺串讲班
冲刺串讲班:
冲刺串讲班是考前比较关键的一个环节,由专家结合实战训练,规划考试重点内容,讲解答题思路,传授胜战技巧,加深考生对内审理论、出题思路和CIA知识的理解掌握,提高考生的综合分析和解题能力,做到触类旁通,确保在考试中遇到类似题目不失分。经过冲刺串讲班的学习,可帮助考生更准确地把握考试方向,做好考前最后冲刺。
电子邮件安全
电子邮件是因特网上应用最广泛的功能之一,随着电子邮件的广泛使用,其安全控制也变得越来越重要。常见的控制措施包括:
公司应该规定雇员不能用电子邮件发送高度敏感或机密的信息。
对敏感电子邮件要进行加密。
限制使用电子邮件软件的种类。
在工作终端上的一些商务电子邮件需要保存以备公司查阅。
保密性电子邮件不能储存在邮件服务器中。
雇员离职后,应保留其电子邮件以备查阅。
在较大的公司,可以在安全程度不等的不同地点由几人同时负责管理电子邮件的安全性。
电子邮件系统的密码可以有效防止电子邮件被其他人随便接触,包括防止有人企图以用户的名义随意访问用户的个人数据。但电子邮件不可能比它赖以运行的计算机环境更安全,当计算机操作系统的安全得不到保障时,电子邮件的密码很容易被绕过。
18.4 Navigator Security
浏览器安全控制
浏览器的安全缺陷是很多攻击的根源。与其它应用程序一样,即使是最新版本的浏览器也会存在各种程序故障,需要通过补丁包进行升级。一般来说,管理员应该关闭所有不需要的浏览器特性,如动态页面和插件。虽然实现这些特性的编程语言(Active
X或JAVA)是在一个受控的环境中运行,不能直接访问系统
的其它部分,但这种保护很可能被黑客攻破,因此很多企业规定只允许浏览静态页面。Cookies(小甜饼)是浏览器的另一个特性,它是Web站点在用户计算机中生成的,存放用户登录信息等参数,以便用户再次访问时无需重复输入相关信息。但这也会带来安全隐患,通常应该禁用cookies或只允许在访问可信站点时使用。
弹出窗口(如广告)有可能引入恶意代码,因此也应该阻断。对于外部站点,管理员应该将其安全控制属性设为“高”,在该设置下,管理员需要定义“可信”站点,即允许正常访问的站点,而其它站点则只能在受控方式下浏览或根本禁止访问。
18.5
Service-Oriented Architecture(SOA)
面向服务的体系结构
SOA是目前非常有发展潜力的一种IT体系结构样式,它将应用程序的不同功能单元(称为服务)通过这些服务之间定义良好的接口和契约联系起来。接口是采用中立的方式进行定义的,它独立于实现服务的硬件平台、操作系统和编程语言。这使得构建在这样的系统中的各种服务可以以一种统一和通用的方式进行交互。
这种具有中立的接口定义(没有强制绑定到特定的实现上)的特征称为服务之间的松耦合。松耦合系统的好处有两点,一点是它的灵活性,另一点是,当组成整个应用程序的每个服务的内部结构和实现逐渐地发生改变时,它能够继续存在。而另一方面,紧耦合意味着应用程序的不同组件之间的接口与其功能和结构是紧密相连的,因而当需要对部分或整个应用程序进行某种形式
的更改时,它们就显得非常脆弱。
对松耦合的系统的需要来源于业务应用程序要根据业务的需要变得更加灵活,以适应不断变化的环境,比如经常改变的政策、业务级别、业务重点、合作伙伴关系、行业地位以及其他与业务有关的因素,这些因素甚至会影响业务的性质。这种能够灵活地适应环境变化的业务被称为按需(On
demand)业务,在按需业务中,一旦需要,就可以对完成或执行任务的方式进行必要的更改。
SOA可以说是更传统的面向对象的模型的替代模型。面向对象的模型是紧耦合的,而基于SOA的系统虽然并不排除使用面向对象的设计来构建单个服务,但是其整体设计却是面向服务的。
18.6 Web infrastructure
环球网基础设施
WEB基础设施是指构成当今电子商务应用中间层的基础资源——运行在操作系统平台上的网络服务器和应用服务器。如IBM的Websphere
Application
Server、Oracle的Application
Server、BEA的WebLogic等。因为这些资源经常是面向客户的应用,所以它是所有要求具有高性能和可用性的网络应用的公共基础。不良的性能不仅会影响到终端用户的工作效率,也会
影响到提供应用的组织的形象。网络基础设施必须得到有效的管理。
20XX国际内审师《内审作用》讲义:政策和程序-国际内审师.doc
