遵守国际内部审计师协会的属性标准 习题的答案
1-10CACBB DDCAA 11-20DCBBD DABDB 21-30AAACA BCDDC 31-40DBAAB BBACA 41-50BDACB BABDD 51-54ADDC
内部审计在治理风险和控制中作用
B以风险为基础制定计划,确定内部审计活动的优先次序 一、风险的定义
风险:是指发生对目标的实现可能产生影响的事件的不确定性。 风险的衡量标准是后果和可能性。 习题:
1.《标准》中谈到审计计划或风险评估时使用的“风险”一词的定义是() A内部审计师未发现导致财务报表或内部报告错误的可能性 B 对组织有不利影响的事件或活动的可能性
C管理层有意或无意地做出增加组织潜在负债的决策的可能性 D财务报表或内部报告包含重大错误的可能性
2.以下哪项是首席审计执行官在选择被审计单位时使用的风险损失的最合理定义?
A、风险暴露乘以损失概率 B、部门年成本总额 C、损失概率
D、部门资产总额
3、一个高价耐用品零售商设置了一个按价目表订货的部门来接受客户的电话订货。该零售商经常进行价格促销,此时电话接线员可自主定价。这种做法的风险是()
A、客户可以按较低价格付帐
B、频繁的价格变动可能使得订货输入系统超载 C、接线员可能向竞争者透露促销价
D、接线员可能与外部串通使用未经批准的价格 二、风险的分类 外部风险 内部风险
三、风险管理框架(ERM) 2004年COSO报告:
全面风险管理是一个受该实体的董事会、管理层和其他个人影响,并应用在整个
机构战略设定中的过程。它被设计用于识别影响整个实体的潜在重大风险,能根据该组织的具体情况提供一个风险管理框架,并为组织目标的实现提供合理的保证。包括:八个要素。
内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督
1、内部环境:
董事会、管理层、组织结构、组织文化、人力资源政策、 2、目标设定
战略目标、经营目标、报告目标、合法性目标 3、事项识别
正面影响事项(机会)和负面影响事项(风险) 4、风险评估
定量方法和定性方法(同等重要) 5、风险应对
风险规避、风险降低、风险分担、风险承受 剩余风险:采取措施后仍然存在的风险。 6、控制活动 7、信息与沟通 8、监督
二、内部审计在风险管理中的作用
内部审计活动应协助组织识别和评价重大风险问题,并帮助组织改进风险管理与控制系统
具体而言,内部审计师应通过检查、评价、报告风险管理过程的适当性和有效性并提出改进建议来协zhu管理层和审计委员会的工作。
以咨询顾问身份开展工作的内部审计师可以协助组织确定、评价并应用处理风险的管理方法和开展措施。
不同国家、不同环境下的内部审计活动发挥作用可能相差很大,内部审计在风险管理过程中的作用可以随着时间的推移而发生变化,产生不同的作用: (1) 从无任何作用;到
(2) 作为内部审计工作计划的一部分对风险管理过程进行审计;到
(3) 积极持续地支持并参与风险管理过程,如:参加监督委员会、检测活动并
报告情况;到
(4) 管理和协调对风险的管理过程。
首席审计执行官应该理解管理层和董事会期望内部审计活动在组织的风险管理过程中发挥的作用。这种理解应该在内部审计活动和审计委员会各自的章程中予以明确。
三、内部审计在尚未建立风险管理过程的组织中的作用
1、如果组织尚未建立风险管理guocheng,内部审计师应该提请管理层注意这种情况,并同时提出建立风险管理过程的建议。
2、如果有关方面提出要求,内部审计师可以在协助初步建立风险管理过程的工作中发挥积极作用。通过咨询方式改善基础过程,以此作为对传统确认活动的补充。注意不能超过正常的确认和咨询工作的范围,以免审计独立性受到损害。 3、内部审计师在建立和管理风险管理过程中所起的积极作用有别于“风险所有
者”的作用。
风险管理框架为首席审计执行官和内部审计职能提供了一套系统的方式去评估内外部风险因素和制定年度审计计划(风险评估和年度计划均至少一年一次)。以风险为基础的审计是一种预先行动的方式,它着重于未来的事件,以阻止问题的出现。步骤: (1) 确定审计领域
识别所有潜在的组织资源和所有潜在的待审业务(以风险为基础的审计领域,不是依据经营实体来定义的),要考虑的产生潜在风险的职能内部的具体业务活动。此外,还要考虑管理层的要求,法规要求和其他来源(如安全、质量、健康部门以及外审师)
(2) 检查风险要素
从对组织目标的影响角度来评估;同组织高层管理人员讨论确定风险水平、新业务或程序的变动;如果组织中有ERM程序,考虑其风险管理的结果。总之,对高风险的活动优先实施审计。 (3) 确定审计顺序
以风险的大小为依据判断其对组织的影响以及组织对风险的容忍度;考虑内审人员数量、胜任能力,是否推迟或外包。最终形成审计计划
一、内部审计在灾难恢复计划中的作用 (一)业务中断与灾难恢复计划
1、业务中断可能是由自然事件或故意犯罪行为导致的。这种中断对财务和经营的方方面面都产生影响。审计师应该对组织处理业务中断的准备情况做出评价。 2、灾难恢复计划:一份详细的计划应该能够提供紧急反应程序,替代通讯系统和现场设施,信息备份、灾难恢复、业务影响评价和恢复计划、功能恢复程序,以及确保组织有准备应对紧急或灾难事件的日常维持程序。 3、内部审计在制定灾难恢复计划时的作用
内部审计师应该对组织的灾难恢复计划做出定期评价,以保证高管层了解灾难准备情况。此时内审师作用: (1) 协助开展风险分析 (2) 对已经草拟计划的设计和详细程度作出评价 (3) 定期开展确认业务,证明计划得到及时更新。 4、内部审计在灾难发生后的作用
(1)在恢复时期,内审师应该对经营活动恢复和控制的有效性进行监督。内部审计活动应当对内部控制和减轻风险措施需要改进的领域加以确认,对业务延续计划的改进提出建议。
(2)在灾难发生后的几个月内,内审师能够帮助发现从中汲取的教训。这类观察和建议可以加强恢复活动,更新以后的灾难恢复计划。 二、内部审计在隐私制度中的作用 1、隐私
隐私的定义根据国家、文化、政治环境和法律制度的不同而存在广泛的差异。隐私包括个人秘密(身体的和心理的)、活动自由(不受监视)、言论交流自由(不受监督)以及信息保密(由他人收集、使用、公布个人资料)。 2、保护隐私的原因
(1)减少损害
未能通过适当的控制措施保护隐私和个人资料可能对组织造成严重影响。 (2)法律法规的要求
(3)有助于良好的治理和责任
董事会和高管层有责任为组织建立必要的隐私制度并实施监督。 3、内部审计在隐私保护中的作用
评价组织的隐私制度,确认重大风险同时对降低风险提出适当建议。包括:确认组织收集个人信息的类型和适当性,采用的收集方法,组织对这些信息的使用是否符合原定的用途,是否遵守法律等。
鉴于隐私具有很高的技术和法律方面的特性,内部审计师可能必须寻求第三方专家的帮助来评估组织的隐私制度。
三、内部审计在报告环境、安全和健康(ESH)风险中的作用
1、首席审计执行官应当在组织风险评价中,对环境、健康和安全进行评估,并与组织经营过程中的其他类型风险相联系。应当评估的风险暴露有:组织的报告结构,造成环境危害的可能性,罚款、处罚、环保部门要求的支出,伤亡记录,客户损失记录,公众形象和名誉损失。 环境审计的组织形式:
(1)首席审计执行官和环境审计主管分别隶属不同的职能部门,双方互不联系; (2)首席审计执行官和环境审计主管分别隶属不同的职能部门,双方合作开展工作;
(3)首席审计执行官负责环境审计事宜。 2、首席审计执行官在环境审计中的作用
(1)建立与环境主管官员的密切合作关系,就环境审计计划开展合作。
(2)在环境审计职能不对首席审计执行官报告的情况下,对审计计划和审计项目的实施进行检查。
(3)如果环境审计在组织设置上独立于内部审计部门,首席审计执行官应该定期安排质量确认检查,以确定环境风险是否被充分揭示。 ESH审计方案可以:(1)侧重合规性 (2)侧重管理体制;(3)两种方式结合。
四、内部审计在信息或物理安全方面的作用
1、安全:包括采取物理上的和程序上的措施来保护组织的建筑物、使用者、建筑物内的财产。
安全的目标是消除和减少组织财产损失的风险,无论其是有形的、无形的;无论是人为的还是自然灾害。
2、薄弱环节是指系统可能被不良目的所利用的某些方面,包括系统弱点、安全漏洞和实施缺陷等。
信息安全的薄弱环节集中于: 保密性、完整性和有效性。
物理安全的薄弱环节集中于:
自然灾害、信息服务崩溃、人为错误、盗窃或故意损坏、恐怖行为等。
3、要消灭所有的信息或物理安全是不可能的,一个组织要拥有一套恰当的风险管理流程及时处理可能暴露的信息或实物损失。
4、内部审计师应当确定管理层和董事会或其他治理机构清楚地认识到信息或物理安全是管理层的一份责任。首席审计执行官应当确定内部审计活动拥有或可以接触到有证明力的审计资源,用来评价安全及风险。
5、内部审计师应当评价针对以往发生的及未来可能发生的对信息系统的攻击进行预防、发现和减轻的有效性。应当确认董事会或其他治理机构已经被告知了威胁、事故、发现的薄弱环节和纠正措施。
以风险为基础制定计划,确定内部审计活动的优先次序 一建立评估风险的框架
1《标准》中谈到审计计划或风险评估时使用的“风险”一词,它的含义是() A内部审计师未发现导致财务报表或内部报告错报或误导的重大错误或事件的可能性。
B对组织有不利影响或活动的可能性。
C管理层有意或无意地作出增加组织潜在负债的决策的可能性。 D财务报表和/或内部报告包含重大错误的可能性。
2以下哪项是首席审计执行官对在选择被审计单位时使用的风险损失的最合理定义?()
A风险暴露乘以损失概率。 B部门年成本总额。 C损失概率
D部门资产总额
3一个高价耐用品零售商设置了一个按价目表订货的部门来接受客户的电话订货。该零售商经常进行价格促销,这时电话接线员就按促销价处理订货。这种做法的风险是
A客户可以按较低价格付账
B频繁的价格变动可能使订货输入系统超载 C接线员可能向竞争者透露促销价
D接线员可能与外部串通使用未经批准的价格
4在实施审计时,审计风险的最好定义是内部审计师 A可能没有将有错误的凭证作为检查内容
B由于内部控制的薄弱,可能不能正确的对活动进行评价 C检查中可能没有发现重大错误或弱点
D可能不具备足以对某特定活动实施审计的专门知识 二应用该框架
5风险评估程序的第一步是将组织内部可审计活动进行识别和分类。以下哪项不能作为可审计活动
A审计委员会为其召开的一次季度会议而制定的会议日程
内部审计之二以风险为基础制定计划,确定内部审计活动的优先次序
