讲义第4章国际内审师《内审计作用》.docx
- 文档编号:11572884
- 上传时间:2023-06-01
- 格式:DOCX
- 页数:19
- 大小:27.50KB
讲义第4章国际内审师《内审计作用》.docx
《讲义第4章国际内审师《内审计作用》.docx》由会员分享,可在线阅读,更多相关《讲义第4章国际内审师《内审计作用》.docx(19页珍藏版)》请在冰点文库上搜索。
讲义第4章国际内审师《内审计作用》
合规项目可以协助机构防止雇员过失违法,发现违法行为并打击雇员的故意违法乱纪行为,还可以协助证明保险索赔,确定董事和高级职员的责任,创建并加强机构身份并决定惩罚性赔偿的适当性。
内部审计师应该按照以下建议步骤评价机构的合规项目,促进合规项目的有效执行。
(1)组织应该制定合规性标准和程序让其员工和其他代理机构遵守,这能合理的减少犯罪行为发生的可能性。
(2)机构高层的具体人员应该总体负责监督对标准和程序的遵守情况。
(3)机构应该行使合理的审慎,避免将实质性的可控制权授予机构或通过职业审慎应该知道有违法乱纪企图的人员。
(4)机构应采取步骤将其标准和程序向所有雇员和其他有关代理人进行有效宣传。
(5)机构应该采取合理步骤促成对其标准的遵守。
可以采取的措施包括:
可以利用设计合理的能够发现员工和其他代理机构犯罪行为的监控系统或者说审计系统;建立并且公布一个报告系统。
(6)应该通过恰当的纪律机制持续一致地实施标准。
(7)在发现违法行为后,机构应该采取合理步骤对违法行为做出恰当反应并防止类似的错误再次发生。
[练习5]
组织应建立合规性标准,并制定书面的业务行为规范让其员工遵循。
以下( )项是有关商业行为规范和标准的准确表述
A.合规性标准应该直白,并能合理减少犯罪行为发生的可能性;
B.合规性标准应体现在审计委员会的章程中;
C.有国际业务的公司应根据所选择的地理区域制定各种合规性项目,这能恰当的应映地区规章;
D.为防范未来的法律责任,行为规范应包含法律术语和定义。
[答疑编号11040105:
针对该题提问]
答案:
A
解释:
行为规范应明令禁止某些活动,使合规性标准能合理地减少犯罪行为发生的可能性(例如,劝阻员工的有意违法)。
此外,直白、公允的行为规范往往会减少员工参与不道德或非法行为的风险(实务公告2100-5)。
选项B不正确,合规性标准仅需要体现在行为规范中。
审计执行主管应该取得管理层和董事会关于内部审计活动在组织风险管理过程中的期望值的理解。
这种理解应该在内部审计活动和审计委员会的章程中有所体现(实务公告2100-3);
选项C不正确,有国际业务的公司应该在全球范围内建立合规性项目,而非选定的少数地区。
这些项目应该恰当反映当地环境、法律及规定(实务公告2100-5);
选项D不正确,行为规范应采用所有员工都能理解的语言,避免法律措辞(实务公告2100-5)。
[练习6]
以下( )个部门最能用到环境的合规性信息和培训,并应该向他们提供
A.销售部门;
B.人力资源部门;
C.制造部门;
D.信息技术部门。
答案:
C
解释:
在介绍合规性信息和培训时,针对不同职能群体的员工要向他们介绍有重要关系的信息,这些信息要能适应这些群体的工作要求(实务公告2100-5)。
在这种情况下,环境合规性不是指向市场或信息技术环境,而是指向实物环境或者生产环境。
因此,制造部门最能应用与环境合规性有关的信息,因为这个部门具有不断增加的违反或发现违反这类法律和规章的可能性。
[练习7]
内部审计计划应包含对组织的合规性项目及其程序的审核,审核工作不能确定以下( )项
A.书面材料的效果;
B.员工对沟通信息的接收情况;
C.恰当的处理已发现的违规情形;
D.对员工和新雇员开展全面的背景核查。
答案:
D
解释:
审计计划应包含对组织合规性项目及其程序的审核,审核是要确定以下内容:
书面材料是否有效、员工是否已收到沟通信息、发现的违规情形是否已恰当处理、处分是否公平、检举人是否受到报复,以及合规部门是否履行了职责。
审计师应审核这些合规性项目,以确定能否改进这个项目,并征求员工的意见。
此外,公司筛选各个层面的职位申请者,并查问以往的犯罪判决情况,并审慎行事,确保在适用法律的范围内不侵犯员工和职位申请人的隐私权(实务公告2100-5)。
所以,对员工和新雇员开展全面的背景核查不用包含在审计计划中,作为组织合规性项目审核的组分部分。
[练习8]
具备有效、常规的合规性项目的组织表现出以下( )项特征
A.根据资历来惩罚不道德的或非法活动;
B.处分那些知道或应该知道不当行为且不予报告的人员,并且不伤害那些应该知道但确实不知道不当行为的人员;
C.在发现过错之后,组织会采取必要的措施--除修改其整个项目之外--以防止进一步的类似错误;
D.在记录员工的处分记录时会小心谨慎。
答案:
D
解释:
组织在记录员工的处罚时应小心谨慎、一丝不苟,并能证明在收集有关事件的信息,以及根据适用的信息采取恰当的措施方面尽到了最大的努力。
选项A不正确,合规性项目的处罚一定要公正。
按照资历进行不同的惩罚肯定是不公正的。
如果不道德或非法活动不受处罚,特别是不处罚管理高层或业务骨干的上述活动,合规性项目几乎没有成功的机会。
一旦对这些人员的过错姑息,就会在其他员工身上滋生这样的行为;
选项B不正确,合规性项目应该处分那些知道或应该知道不当行为且不予报告的管理者或其他的责任人;
选项C不正确,在发现过错之后,组织应采取各种合理措施对过错做出恰当的反应,并且进一步防止类似过错,包括对其合规性项目的必要修正,从而防止和发现违法行为。
2014年国际内审师《内审计作用》复习讲义第四章第2节
第二部分:
风险管理
2100-3 内部审计在风险管理中的角色
风险管理是管理人员的关键职责,管理人员应该保证机构的风险管理过程健全有效,并能够充分发挥作用。
董事会和审计委员会负责监督、判断机构是否有适当的风险管理过程,以及是否充分、有效。
内部审计师的职责是,运用风险管理方法和控制措施,对风险管理过程的充分性和有效性进行检查、评价和报告,提出改进建议,为管理层和审计委员会提供帮助。
作为咨询顾问身份开展工作的内部审计师可以协助机构确定、评价并实施针对风险的管理方法和控制措施。
对机构的风险管理过程进行评价和报告一般是审计的重点。
评价管理风险程序有别于审计师应用风险分析对审计进行的计划工作。
但是,来自综合性风险管理过程的信息有助于内部审计师计划审计工作。
审计执行主管应理解管理层和董事会对内审部门在风险管理过程中起何作用的期望。
这种理解应该在内部审计部门和审计委员会各自的章程中得到规定。
风险管理过程中,在一个组织内部应当有职责分工,各司其职。
如战略方向的确定由董事会或委员会负责;风险的归属可以由管理高层分配;对剩余风险的接受可以由执行管理层决定;持续的确认、评价、减缓和监测活动可以由操作层人员分配决定;定期评价和保证工作由内审部门负责。
内部审计部门在风险管理过程中的作用有一个发展过程,即从不在风险管理过程中起任何作用;到作为内部审计工作计划的一部分对风险管理过程进行审计;到积极持续地支持并参与风险管理过程。
至于起多大作用(或在以上三个层面中哪一个层面的作用)要由管理层和审计委员会决定。
2100-4 内部审计在尚未建立风险管理过程的组织中的角色
这种情况下,审计执行主管应提请管理层注意,并提出建议。
内部审计师应该就内部审计部门在风险管理过程中应起的作用获得管理层和董事会的领导层的支持,并在章程中做出规定。
如果有关方面提出要求,内部审计师可以积极协助机构风险管理过程的初步建立工作。
内部审计师更为积极的作用是通过改善基本程序的咨询方式对传统保证活动进行补充。
如果这些协助活动超出了内部审计师正常的保证和咨询工作范围,审计的独立性就会受到损害。
在这种情况下,内部审计师应该遵守《标准》的披露要求。
内部审计师在开发和管理风险管理过程中所起的积极作用有别于在“风险归属”问题上所起的作用。
为了避免参与“风险归属”问题(即承担管理层的责任),内部审计师应该要求管理层证实其在确定、防范、监测以及决定风险“归属”方面的责任。
总之,内部审计师可以促进风险管理过程的建立或使建立成为可能,但是,不应该“拥有”已确认的风险或负责对这些风险的管理。
2110-2 内部审计在业务持续过程中的角色
内部审计师在评价与业务持续业务有关的业务时的目的,是确保组织在遭受灾难时能够恢复业务持续。
1制定全面计划时:
首先要评估灾难的潜在影响和后果,了解风险,测试计划,对计划进行审计。
2业务中断的原因:
意外(又分有意地和无意地)、灾难(常见的水灾火灾、地震、恐怖袭击等)
3业务中断的后果:
大的方面包括财务和运营。
4定期评价组织的业务持续计划:
否则不能保证这个计划是适用的。
变更(特别是部分系统更新后,更应进行评价整个系统是否适用)还有个办法是投保,把风险转移给保险公司
5内部审计师在灾难恢复计划中的角色:
有风险分析、确认重大风险、进行业务分类(有些业务是辅助性的,有些是直接影响组织生存的)等。
6风险分析:
内部审计师在确认重大风险的时候,首先对业务进行分类,分成关键的、重要的、不重要的等等不同的类型。
在考虑业务持续的时候,一旦遇到意外,首先要保证关键的业务能够在短时间内迅速恢复,不重要的业务可以在一段时间内恢复。
7评价计划的全面性:
目的主要是看那些关键的业务是否包括在了风险评估中,风险评估是否足够全面。
8定期的确认业务是要保证持续计划的时效性:
看计划有没有妥善的保存,管理层能否获取,备用场所怎么样、备用系统的硬件、软件情况是不是可用的,有没有得到及时地维护和更新,硬件及各种备用设施的兼容性如何。
这些都需要定期地确认业务保证持续计划的时效性。
最后一点,灾难发生以后,不管业务有没有得到及时地恢复,有没有达到预期的目标,要及时的总结教训,也就是所说的改进。
[练习9]内部审计师在协助组织风险管理过程的初创工作时会起到前瞻性的角色。
不过,如果这些协助活动超出了内部审计师所开展的正常的确认和咨询活动的范畴,独立性就会受损。
以下哪项对于参与风险管理过程初创工作的内部审计的独立性有损害:
A.评估风险管理过程并报告;
B.管理已发现的风险;
C.评价风险管理过程的适当性和效果;
D.针对已发现的风险实施控制。
[答疑编号11040201:
针对该题提问]
答案:
B
解释:
内部审计师的更为前瞻性的角色是通过咨询的方式改进组织的基本流程,对传统的确认活动予以补充。
不过,内部审计师在建立和管理风险管理过程的前瞻性角色和“风险责任人”的角色是不一样的(实务公告2100-4)。
内部审计师不能承担这种角色,或是在不损害独立性的情况下承担管理层、董事会或审计委员会在风险管理过程中的任何角色。
比如建议。
董事会和审计委员会对于确定是否具有恰当的风险管理过程以及风险管理过程的适当性、有效性方面负有监督角色,并且,管理者要对负责管理已发现的风险,并确保组织具有合理的风险管理过程,且能发挥作用(实务公告2100-3)。
内部审计师若是管理已发现的风险,就会承担管理者的角色,有损其独立性。
选项A不正确,评估风险管理过程并报告不仅是内部审计的任务,而且通常还是内部审计优先考虑的工作;选项C不正确,内部审计师还要协助管理层和审计委员会检查、评价、报告和建议改进风险管理过程的适当性和效果;选项D不正确,内部审计师在充当咨询角色时,可以协助组织确认、评价风险并执行风险管理方法和控制来解决这些已发现的风险(实务公告2100-3)。
[练习10]风险管理是管理层的职责。
内部审计活动在风险管理流程的作用可以包括以下哪些内容:
Ⅰ.监督活动
Ⅱ.将对风险管理流程的评价作为业务计划的一部分
Ⅲ.参与监督委员会、监督活动以及状况报告
Ⅳ.管理和协调风险管理过程
A.只有Ⅰ;
B.只有Ⅱ;
C.只有Ⅰ、Ⅱ和Ⅲ;
D.Ⅰ、Ⅱ、Ⅲ和Ⅳ。
[答疑编号11040202:
针对该题提问]
答案:
D
解释:
内部审计活动评价并帮助组织改进风险管理、控制和治理体系(标准2100)。
内部审计活动在风险管理流程中的具体作用取决于管理层和董事会对内部审计活动的期望。
对内部审计活动的期望的理解应该在内部审计活动和审计委员会各自的章程中得到规定。
相应地,内部审计活动在组织风险管理流程中的作用可以随时间的推移而发生变化,并可能经历一种延续的发展过程,即:
从不在风险管理流程中起任何作用;到作为内部审计工作计划的组成部分对风险管理流程进行审计;到积极持续地支持并参与风险管理流程,如:
参与监督委员会、监督活动到报告情况;到对风险管理流程进行管理和协调(实务公告2100-3)。
选项A、B和C不正确,内部审计活动在风险管理流程中的作用可以经历从不在风险管理流程中起作用到管理并协调这个流程的这样一个连续的统一体。
[练习11]以下哪项是风险管理和风险化解的要素:
I.威胁事件和成本/收益分析;
II.安全措施、成本和ROI分析;
III.频率和不确定性;
IV.安全措施和控制成本。
A.只有Ⅰ;
B.只有Ⅱ;
C.只有Ⅰ和Ⅲ;
D.只有Ⅱ和Ⅳ。
[答疑编号11040203:
针对该题提问]
答案:
D
与风险管理和风险化解有关的要素包括安全措施和控制、安全措施和控制成本以及成本/收益或ROI分析。
威胁事件、单一的损失暴露价值、频率和不确定性等其他的风险要素构成了风险识别和风险量化。
[练习12]以下哪项是内部审计师必须关注的关键风险和控制事项:
I.快速的技术变革;
II.保持交易的完整性;
III.网站内容审批;
IV.组织结构的变化。
A.只有Ⅰ和Ⅱ;
B.只有Ⅰ和Ⅲ;
C.只有Ⅱ和Ⅲ;
D.Ⅰ、Ⅱ、Ⅲ和Ⅳ。
[答疑编号11040204:
针对该题提问]
答案:
D
解释:
内部审计师应该关注某些更为关键的风险和控制事项:
总体的项目管理风险;具体的安全危险,比如拒绝服务、实物攻击、病毒、发现盗窃以及未授权存取或披露数据;在复杂的网络连接到遗留系统以及数据仓库的情况下保持交易的完整性;在网站内容频繁变动以及老练的客户有能力提供持续不断的服务时,审批网站内容;快速的技术变革;法律事项,比如日渐增多的全球范围内保护个人隐私的法规、组织以外国家合约的强制执行情况、税务和会计事项;围绕业务流程以及组织结构的变化。
2014年国际内审师《内审计作用》复习讲义第四章第3节
第三部分.隐私
2100-8内部审计在评价组织的隐私框架中所处的角色
信息技术的发展带来的新的风险和对隐私的威胁。
可移动存储介质如U盘、移动硬盘的普及使用,也带来了一系列的风险和威胁。
内部审计师要对新的信息技术有所了解。
才能有效运用职业谨慎,去识别相应的风险。
隐私随国家、文化、法律的变化而变化,是风险管理问题。
必要时,使用第三方专家来解决问题。
[练习13]确保组织遵守隐私的要求,IS审计师应该首先审查:
A.IT基础设施
B.组织的政策、标准和程序
C.法律和规章的规定
D.组织政策、标准和程序的附件
[答疑编号11040205:
针对该题提问]
答案:
C.法律和规章的规定
说明:
确保组织遵守隐私的问题,IS审计师首先确定法律和规章要求。
要遵守法律和规章的要求,需要组织采用适当的组织基础结构。
在理解了法律和规章要求以后,IS审计师应该评价组织的策略,标准和程序,以便确定是否他们满足了隐私需求,接下来审查这些特殊政策,标准和程序的附件。
结合上面的例题,举例如下:
如对可移动储存介质,它对组织带来的风险是什么?
控制是什么?
我们应该如何进行审计?
对可移动储存介质的使用,从规章上来说,应该首先对公司的信息和数据进行分解,说明哪些是存放在计算机设备上的,哪些是可以允许用可移动存储介质来保管的。
考生可能觉得太细致,实际上很多大公司都是这样要求的。
比如客户档案或者信息,就只能在公司的电脑上看,是不允许拷贝到U盘上的,不允许带到家里的,因为一旦离开公司,就不可能对信息进行有效的控制。
有了这个政策,还要让全体员工都知道,进行相应的培训。
第三,还要保证员工都遵守了。
对审计师来说,相应的审计策略就是:
首先看政策程序存在不存在,有没有正式的书面文档存在,第二呢,看这些正式的书面文档是怎么样传达到员工的手中的;第三呢就是定期的抽查,通过抽样来检查,看U盘里面到底有没有不该存的信息,U盘上应该加密的有没有加密等一系列的措施。
[练习14]下面哪一项最可能暗示,客户数据仓库应该由内部开发而不是外包给海外运营:
A.时差不同有可能影响IT团队的沟通
B.通信费在第一年非常高
C.有关隐私权的法律可能会阻碍信息跨国界传输
D.软件开发需要更详细的说明
[答疑编号11040206:
针对该题提问]
答案:
C隐私权的法律可能会阻碍信息跨国界传输
说明:
有关隐私权的法律禁止私人确认的信息跨国界传输,使得在其他国家建立客户数据仓库变得不可能。
时区不同和高昂的通讯费用是容易解决的。
当涉及到海外运营的时候,软件开发通常需要有更为详细的细节说明。
2014年国际内审师《内审计作用》复习讲义第四章第4节
第四部分D.信息或物理安全
2100-2 信息安全
内部审计师应确定管理层是否明确信息安全性是一种管理责任;
应确定内部审计活动拥有或有办法获取相关的审计资源,对信息安全性和有关风险进行评价;这些风险暴露既有内部的风险暴露,又有外部的风险暴露,包括与组织的外部机构有关的风险。
应确定管理人员是否保证一旦出现威胁机构的侵害信息安全的情况会马上告知内部审计人员;
应该评价对侵害行为采取措施的有效性和核证董事会、审计委员会或其他治理机构已通过恰当途径获知侵害行为等的具体情况;
应定期评价机构的信息安全实务,在合适的条件下,加强或实施新的控制和保卫措施,并根据评价结果为董事会、审计委员会或其他治理机构提供保证报告。
这类评估可作为单独的业务来开展,也可以综合到既定审计计划的其他审计或业务中去。
物理安全,比如避免环境风险和未授权进入计算机终端的安全防范措施;即便软件控制能够为信息提供最大程度的保护,仍从内部控制角度关注信息。
物理安全与逻辑安全相区别。
物理安全:
XX的人员接近计算机设备,就是物理安全。
通过IC卡控制或指纹识别,授权相关人员后才能接近。
逻辑安全一般是能够接近计算机,但只能通过密码进入计算机系统,并根据权限不同,赋予相应的浏览或控制能力。
实务公告2100-6:
电子商务活动中的控制和审计含义
电子商务(e-commerce)通常可定义为“在因特网上开展商务活动”。
在当今社会发展迅速。
这些商务活动可以分为商务对商务(B2B)、商务对消费者(B2C)以及商务对雇员(B2E)的形式。
另外还有个人对个人、政府对个人等等一些形式。
1、了解和计划电子商务的业务。
内部审计师在对系统和流程进行审计之前,首先要了解商务、信息系统、及有关的风险。
了解信息系统对业务的影响程度,有些是支撑性的,有些是辅助性的,对公司的重要程度不同、影响不同。
了解企业的战略计划。
比如,内部审计师应当审核管理层的战略计划和风险评估过程以及有关的决策。
2、电子商务活动审计的主要内容是:
评估内部控制结构,包括管理高层的基调设定;对目的和目标的实现提供合理的保证;确定是否可以接受风险;了解信息如何流动,经过了哪些途径和接口;审核接口问题(接口问题是相当重要的。
比如,硬件和硬件、软件和软件、以及硬件和软件的结合。
有些需要进行测试。
还有各种软件的运行平台的不同要求。
用友8.0不能安装在XPHOME版本中),以及评价业务持续和灾难恢复计划(中国银联的系统业务受损、高速公路的收费系统)。
3、限制内部审计活动的可能因素:
内部审计活动是否具有充分的技能,培训和资源情况等
4、电子商务风险和控制事项。
从管理层目标而言,以下7个关键问题能用于识别组织的风险并指向控制或化解这些暴露的方法。
A风险确认和量化(威胁事件、单一损失的暴露价值、频率、不确定性);
B风险管理和化解(安全措施和控制、成本、成本/效益或投资回报率(ROI)分析);
内部审计师应当关注的更加关键的风险和控制事项。
1项目管理风险
2快速的技术变化
3业务流程变化
审计电子商务活动
审计目标;考生要了解。
电子商务审计方案的参考:
(1)电子商务的组织
(2)舞弊行为发生的可能:
如密码不够安全,或者操作人员没有基本的知识,或者有丰富的经验
(3)鉴定
(4)数据的破坏
(5)业务中断
(6)管理事项
【例题1】管理层看待内部审计活动的角色很可能不能由以下哪项因素来确定?
( )
A.组织文化;
B.对外部审计师的偏爱;
C.内部审计人员的能力;
D.所在国的环境和习俗。
[答疑编号11040301:
针对该题提问]
答案:
B
解释:
执行管理层和审计委员会的角色是要确定内部审计在风险管理过程中的角色。
管理层看待内部审计的角色很可能是由组织文化、内部审计人员的能力以及所在国环境和习俗等因素决定的(实务公告2100-3)。
【例题2】以下哪项不是审计电子商务活动的主要内容:
( )
A.确定目的和目标能够实现;
B.评估内部控制结构;
C.审核接口问题;
D.评价业务持续和灾难恢复计划。
[答疑编号11040302:
针对该题提问]
答案:
A
解释:
审计电子商务活动应对目的和目标的实现提供合理的保证,但不能保证或确定目的和目标得以实现。
审计师不能绝对肯定目的和目标将能实现。
以下是审计电子商务活动的其他主要内容:
评估内部控制结构,包括管理高层的基调设定;确定是否可以接受风险;了解信息流动;审核接口问题(比如,硬件和硬件、软件和软件、以及硬件和软件),以及评价业务持续和灾难恢复计划。
【例题3】内部审计师最有可能评估的电子商务项目中,风险最低的是:
( )
A.涵盖了电子商务系统的计划、设计和执行同组织战略的一体化过程的业务计划;
B.考虑政府的以及管制机构的要求,并且在其风险评估中包含了其他的外部因素;
C.要求运用外部供应商来提供主机服务;
D.关注软件的安全性以及交易处理的准确性。
[答疑编号11040303:
针对该题提问]
答案:
A
解释:
以下是内部审计师在开展电子商务业务和评估风险时应该考虑的问题:
电子商务项目或方案是否有业务计划;业务计划是否涵盖了电子商务系统的计划、设计和执行同组织战略的一体化过程;政府的以及管制的要求是否得到了分析和考虑;硬件和软件的安全性有多少,它们能否防止或发现未授权的登陆、不恰当的使用以及其他有害的影响和损失;交易处理是否是当前的、准确的、完整的以及无可置疑的;风险评估是否包含内部和外部的力量;如果采用外部供应商,是否由合格的能证明供应商的受托第三方来评价供应商?
“持续经营”情况;如果供应商提供主机服务,他们是否具有经过测试的业务应急计划?
他们是否提供了最新的SAS-70报告?
(SAS-70报告能向用户机构提供有关内部控制的有价值信息。
)还有,隐私问题是否得以解决?
基于电子商务项目很好的关注了这些问题,取得最低的风险评估的项目很可能是涵盖了电子商务系统的计划、设计和执行同组织战略的一体化过程的业务计划。
选项B不正确,这个项目的业务计划除了要在风险评估中包含外部力量,还应包含内部力量;选项C不正确,运用外部供应商会增加电子商务项目的风险,除非由合格的能证明供应
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 内审计作用 讲义 国际 内审师 审计 作用