内部审计师应该对组织的灾难恢复计划做出定期评价,以保证高管层了解灾难准备情况。此时内审师作用: (1) (2) (3)
协助开展风险分析
对已经草拟计划的设计和详细程度作出评价 定期开展确认业务,证明计划得到及时更新。
4、内部审计在灾难发生后的作用
(1)在恢复时期,内审师应该对经营活动恢复和控制的有效性进行监督。内部审计活动应当对内部控制和减轻风险措施需要改进的领域加以确认,对业务延续计划的改进提出建议。
(2)在灾难发生后的几个月内,内审师能够帮助发现从中汲取的教训。这类观察和建议可以加强恢复活动,更新以后的灾难恢复计划。 二、内部审计在隐私制度中的作用 1、隐私
隐私的定义根据国家、文化、政治环境和法律制度的不同而存在广泛的差异。隐私包括个人秘密(身体的和心理的)、活动自由(不受监视)、言论交流自由(不受监督)以及信息保密(由他人收集、使用、公布个人资料)。 2、保护隐私的原因 (1)减少损害
未能通过适当的控制措施保护隐私和个人资料可能对组织造成严重影响。
(2)法律法规的要求
(3)有助于良好的治理和责任
董事会和高管层有责任为组织建立必要的隐私制度并实施监督。 3、内部审计在隐私保护中的作用
评价组织的隐私制度,确认重大风险同时对降低风险提出适当建议。包括:确认组织收集个人信息的类型和适当性,采用的收集方法,组织对这些信息的使用是否符合原定的用途,是否遵守法律等。 鉴于隐私具有很高的技术和法律方面的特性,内部审计师可能必须寻求第三方专家的帮助来评估组织的隐私制度。
三、内部审计在报告环境、安全和健康(ESH)风险中的作用 1、首席审计执行官应当在组织风险评价中,对环境、健康和安全进行评估,并与组织经营过程中的其他类型风险相联系。应当评估的风险暴露有:组织的报告结构,造成环境危害的可能性,罚款、处罚、环保部门要求的支出,伤亡记录,客户损失记录,公众形象和名誉损失。
环境审计的组织形式:
(1)首席审计执行官和环境审计主管分别隶属不同的职能部门,双方互不联系;
(2)首席审计执行官和环境审计主管分别隶属不同的职能部门,双方合作开展工作;
(3)首席审计执行官负责环境审计事宜。
2、首席审计执行官在环境审计中的作用
(1)建立与环境主管官员的密切合作关系,就环境审计计划开展合作。
(2)在环境审计职能不对首席审计执行官报告的情况下,对审计计划和审计项目的实施进行检查。
(3)如果环境审计在组织设置上独立于内部审计部门,首席审计执行官应该定期安排质量确认检查,以确定环境风险是否被充分揭示。 ESH审计方案可以:(1)侧重合规性 (2)侧重管理体制;(3)两种方式结合。
四、内部审计在信息或物理安全方面的作用
1、安全:包括采取物理上的和程序上的措施来保护组织的建筑物、使用者、建筑物内的财产。
安全的目标是消除和减少组织财产损失的风险,无论其是有形的、无形的;无论是人为的还是自然灾害。
2、薄弱环节是指系统可能被不良目的所利用的某些方面,包括系统弱点、安全漏洞和实施缺陷等。 信息安全的薄弱环节集中于: 保密性、完整性和有效性。
物理安全的薄弱环节集中于:
自然灾害、信息服务崩溃、人为错误、盗窃或故意损坏、恐怖行为等。
3、要消灭所有的信息或物理安全是不可能的,一个组织要拥有一套恰当的风险管理流程及时处理可能暴露的信息或实物损失。
4、内部审计师应当确定管理层和董事会或其他治理机构清楚地认识到信息或物理安全是管理层的一份责任。首席审计执行官应当确定内部审计活动拥有或可以接触到有证明力的审计资源,用来评价安全及风险。
5、内部审计师应当评价针对以往发生的及未来可能发生的对信息系统的攻击进行预防、发现和减轻的有效性。应当确认董事会或其他治理机构已经被告知了威胁、事故、发现的薄弱环节和纠正措施。
以风险为基础制定计划,确定内部审计活动的优先次序 一建立评估风险的框架
1《标准》中谈到审计计划或风险评估时使用的“风险”一词,它的含义是()
A内部审计师未发现导致财务报表或内部报告错报或误导的重大错误或事件的可能性。
B对组织有不利影响或活动的可能性。
C管理层有意或无意地作出增加组织潜在负债的决策的可能性。 D财务报表和/或内部报告包含重大错误的可能性。
2以下哪项是首席审计执行官对在选择被审计单位时使用的风险损失的最合理定义?() A风险暴露乘以损失概率。 B部门年成本总额。 C损失概率 D部门资产总额
3一个高价耐用品零售商设置了一个按价目表订货的部门来接受客户的电话订货。该零售商经常进行价格促销,这时电话接线员就按促销价处理订货。这种做法的风险是 A客户可以按较低价格付账
B频繁的价格变动可能使订货输入系统超载 C接线员可能向竞争者透露促销价
D接线员可能与外部串通使用未经批准的价格 4在实施审计时,审计风险的最好定义是内部审计师 A可能没有将有错误的凭证作为检查内容
B由于内部控制的薄弱,可能不能正确的对活动进行评价 C检查中可能没有发现重大错误或弱点
D可能不具备足以对某特定活动实施审计的专门知识 二应用该框架
5风险评估程序的第一步是将组织内部可审计活动进行识别和分类。
管理审计之二
