1、根据实务公告1000-1,书面章程的最主要目的是保证内部审计部门的独立性。例2.内部审计部门的地位应该不受管理层不负责任地更改政策的影响。对此给予保证的最有效途径是a.由管理层和董事会共同批准内部审计章程。b.采取有利于赋予内部审计部门职责的政策。c.在董事会内设置审计委员会。d.制定书面的政策和程序作为部门业绩标准。aa.正确。根据实务公告1000-1,首席审计执行官应征得高级管理层对章程的批准以及董事会、审计委员会和相关的治理组织对章程的认可。由于内部审计章程确定了内部审计部门在组织中的地位,因而,一经董事会批准,管理层无权擅自更改。虽然赋予内部审计部门职责,但如果没有履行职责的保障,也不
2、能保证内部审计职能的发挥。在董事会内设置审计委员会有助于加强内部审计的地位,但没有明确管理层的角色和责任,相对而言,这样做没有a选项那样有效。d.不正确。制定部门业绩标准是管理措施,与保证内部审计职能的地位不受影响没有直接关系。知识点2首席审计执行官负责与高级管理层和董事会的沟通工作。沟通审计业务计划包括如下含义:内部审计部门的工作业务计划应报高级管理层审批,并报董事会备案,报告中应包括充分的信息,以便他们能够确定内部审计部门的目标和计划是否有助于实现组织的目标和计划;审计业务计划在中期发生重要变化时,亦应及时沟通;在执行审计业务计划的过程中,如果内部审计资源不足和审计范围受到限制,首席审计执
3、行官应及时向高级管理层和董事会报告,报告内容包括资源不足和范围限制可能带来的后果。例1.最近对于内部审计活动的批评指出,审计业务的覆盖面没有就该组织关键业务部门采用的工作流程向高级管理层提供充分的反馈。问题进一步明确是缺乏自动支持系统。首席审计执行官需要改善以下哪两项职能?a.人员配备和沟通。b.人员配备和决策过程。c.计划和组织。d.计划和沟通。题目中未提到人员配备的问题。题目中未提到人员配备和决策过程的问题。题目中未提到组织的问题。题干中所说缺乏自动支持系统是指内部审计活动缺乏自动支持系统。这些支持系统包括内部审计活动的工作计划和沟通系统。缺乏充分反馈说明CAE在计划方面和在向高级管理层通
4、报必要信息方面所分配的内部审计资源存在问题,导致遗漏了对于关键业务部门的业务流程的审计,或者没有按照高级管理层的要求对其进行审计。例2.下列哪种活动不包含在审计工作表的确定工作中?a.计划工作量需求b.评估风险要素c.制定审计方案d.识别可审计领域c见题解c。题解c。c.正确。审计方案的制定过程发生在一个独立审计的计划阶段。它不包括在制定审计工作表的范围内。知识点3报告重大审计事项首席审计执行官应每年至少向高级管理层和董事会提交一次工作报告,这是定期的工作。当出现重大的审计事项时,首席审计执行官应及时向董事会报告。重大审计事项是指那些根据首席审计执行官的判断,可能对组织产生不利影响的情况,包括
5、处理违章、违法、差错、低效率、浪费、无效、利益冲突和控制系统的薄弱环节。首席审计执行官在向董事会报告重大审计事项前,应与高级管理层进行讨论。即便讨论取得了令人满意的结果,首席审计执行官也应报告。此外,首席审计执行官还应将高级管理层对重大审计事项所做的决定通知董事会。在报告重大审计事项后,若高级管理层和董事会决定不采取任何行动并承担由此产生的风险,或者组织、董事会、高级管理层或其他方面有变动,首席审计执行官最好将原先报告的事项再次向董事会报告。例1.在对补助金发放情况的审查中,内部审计师发现有一些补助金是经总裁而不是按照组织章程的要求由补助金批准委员会来批准的,如果在审计报告提交之前,补助金批准
6、委员会已开会并追认了这些补助金,内部审计师应该a.不报告补助金的问题,因为它们在审计报告提交之前已得到批准。b.与补助金批准委员会主席讨论该问题来确定以前未批准补助金的理由,如果该补助金是例行发放的,那么在审计报告中不必涉及。c.将补助金问题作为组织的控制缺陷写入审计报告,详细说明每笔补助金的性质并进一步调查有无舞弊的现象。d.向审计委员会报告控制结构中的缺陷。该审计发现说明有关内部控制存在缺陷,因此,即使该问题已经得到纠正,也应进行报告。审计发现应当报告,补助金是否常规不影响有关内控制度遭到破坏这个事实。因为委员会已经开会并批准了这些补助金,这说明错误只是未按组织的章程进行审批,因此没必要详
7、细说明每笔补助金的性质和舞弊调查。该审计发现说明在高级管理层的内部控制结构中存在缺陷,内部审计师应当将这一情况向审计委员会等相关的治理机构报告。例2.审计政策要求在管理层没有答复之前不能发布最终审计报告。某项具有重大发现的审计工作已经结束,但尚未得到管理层的答复。评价以下行动并作出最佳选择。a.发布有关应注意重要问题的中期报告。b.修改审计政策,给管理层答复规定一个明确时期。c.等管理层的答复后再发布审计报告。d.与外部审计师讨论这一情况。根据实务公告2410-1第14条,中期报告可以用于报告需要马上注意的信息,报告审计活动审计范围的变化或当审计延续时间较长时将审计的进展通报管理层,重大审计发
8、现应及时提请有关部门注意,在无法发布最终报告的情况下,发布中期报告是恰当的。审计政策的改动可能要经过繁琐的手续,不一定能及时解决目前的问题,而且审计部门没有权力向管理层作出上述限定。这样会使审计工作陷入被动等待的局面,而且无法及时报告审计结果。在向董事会等机构报告并取得授权之前,内部审计师不应将内部事务与外部审计师进行讨论。例3.有些信息可能不适合向所有的报告接受者披露,因为它是特许的、专有的或与不正当、非法的行为相关。如果被报告的信息涉及某高级经理的不正当行为,该报告应发送给a.外部审计师。b.董事会。c.股东。d.高级管理层。b向外部审计师报告这些信息很可能会损害组织的利益。b.正确。根据
9、实务公告2410-1第13条,如果所报告情况涉及高级管理层,应将报告分发给董事会。在公司的治理机构中,股东不直接对公司事务进行管理,该信息不应向股东报告。庙于涉及某高级经理,向高级管理层报告可能会使审计工作陷入被动。例4.某首席审计执行官发现一项明显涉及某副总裁的重大舞弊活动,而该副总裁正是首席审计执行官要向其汇报的主管人员。该首席审计执行官最好采取以下哪一措施?a.进行调查以确定舞弊程度。b.与副总裁会谈以获得重要证据。c.通知法规监管机构和警察局。d.将事实报告给总裁和董事会的审计委员会。由于该副总裁身份特殊,调查工作可能难以进展,无法确定其舞弊程度。该副总裁是主管内部审计工作的高层主管,
10、内部审计师在取得明确的授权之前,不应与其进行和舞弊调查相关的会谈。首席审计执行官首先应向组织内部的治理机构报告,而不是向外报告。根据实务公告1210.A2-1第6条,当内部审计师怀疑内部存在错误做法时,应该将情况告知组织有关主管人员,由于该副总裁是主管内部审计部门的高层主管,有关的主管人员应当是总裁和审计委员会。例5.在对某银行的审计中,内部审计师发现一名贷款官员批准了向某企业集团所属的各独立机构发放的贷款,这违反了监管政策。内部审计师认为这一行为可能是蓄意的;因为贷款官员与控制该企业集团的一个主要负责人有密切关系,该内部审计师应当a.将利益冲突和违规行为告知管理层,并建议作进一步调查。b.将
11、违规行为报告给法规部门,因为这构成了银行控制系统的重大缺陷。c.如果该贷款官员同意采取纠正措施,则可以不报告该违规行为。d.扩大审计范围,确定贷款官员是否有舞弊行为,并在后续调查完成后将调查结果向管理层报告。该利益冲突和违规行为属于一种重要的审计发现,但由于牵涉集团的主要负责人,内部审计师应当报告管理层,并提出深入开展调查的建议。根据标准规定,内部审计师没有将审计发现向法规部门报告的责任。由于该行为已经违反了银行的常规政策,无论该贷款官员是否同意改正,这个审计发现都应当报告。由于该审计发现牵涉集团的主要负责人,内部审计师未必有能力开展下一步的审计工作,最恰当的做法是先报告,根据报告的情况决定是
12、否以及如何开展后续工作。知识点4定期向董事会报告关键绩效指标内部审计师应该评估组织的绩效管理系统以及核心工作目标的完成情况。评估组织绩效时应考虑的基本要素是:(1)确定衡量绩效的相关标准;(2)将绩效成果与已确定的标准相比较;(3)评估绩效差距(按照评价标准进行区分)。在评估之后,相应的纠正活动应当具体而及时地完成,最终,一个有效的绩效管理系统将成为支持组织目标和个人目标共同达成的有力工具。尽管每一个组织都有大量的绩效评价方法,在组织的每一个层级都存在一些关键的绩效指标被用于有效控制工作目标的达成。它们通常被称为关键绩效指标(key performance indicators or KPIs
13、)。这些指标将成为内部审计师的评估对象。内部审计师在一个审计项目中或者在组织范围内是否评估关键绩效指标首先要判断两点:(1)要判断这些指标是否是正确的指标(需要考虑的问题如:它们是否能够涵盖组织的全部目标?它们能否反映组织实际绩效的变化?使用者能否理解这些指标?这些指标是否反映及时?);(2)这些指标能否有效的发挥作用?(如,数字是否精确?信息来源是否可靠?)通常,关键绩效指标被用来衡量产出(如销售收入产量)。有时,关键绩效指标也被用来衡量组织流程的特征(如及时性、精确性)。有时,关键绩效指标被用来衡量风险,被参考用作关键风险指标(key risk indicators or KRIs)(如过
14、错发生率、错误发展趋势等)。关键风险指标通常被用来作为指示风险的指标,也就是说,假如关键风险指标趋势反映出危险值已超过指标上限,管理层就能够在损害发生前及时发现错误原因并及时纠正它。一种新的关键绩效指标出现在组织中,它被称为可持续指标或公司社会责任指标,这种指标强调组织不仅要对短期的财务结果负责,同时也应为组织经营和人类赖以生存的环境负责。当组织开始履行正式的社会责任和义务时,相应的绩效评价指标也就应运而生。逐渐地,组织会向外部股东披露他们对社会责任和义务的尽职情况,内部审计师也开始对社会责任绩效管理的设计、实施和评价指标的可靠程度进行评价。讨论重大风险领域风险管理是管理层的一项主要职责,而对
15、组织的风险管理过程进行评估和报告通常是内部审计工作的一项重要内容。在适当情况下,内部审计师应与管理层、审计委员会和董事会就风险和风险管理实务中的薄弱环节进行讨论。如果首席审计执行官认为高级管理层接受的风险水平与机构的风险管理战略和政策不一致,或该水平不能被机构接受,首席审计执行官应就此与高级管理层进行讨论。若讨论仍然解决不了这些问题,首席审计执行官和高级管理层应将此事报告董事会解决。管理层负责对重大风险采取针对性行动,首席审计执行官负责评价这些行动。若高级管理层出于某些原因决定不采取纠正行动并承担后果,首席审计执行官应向董事会报告这些情况。例1:在审计计划阶段,内部审计师应设计审计目标和程序来
16、评估与审计活动相关的风险,此处风险的定义是( )。A.账户余额或交易类别以及相关的认定包含可能对财务报表有重大影响的误报风险B.事件或行为对审计活动产生不利影响的可能性C.没有遵守组织政策、计划和程序或没有遵循相关法律法规D.未完成审计活动或方案的既定目标BA.不正确。审计风险由固有风险、控制风险和检查风险组成,这里描述的只是审计风险中的固有风险,不够全面。B.正确。标准对风险定义如下,风险是指可能对目标实现产生影响的事件发生的不确定性即事件或行为对审计活动产生不利影响的概率。C.不正确。这里描述的内容与审计风险中的控制风险相关,但尚不能全面涵盖风险的全部内容。D.不正确。这里描述的内容与审计
17、风险中的检查风险相关,不够全面。例2:某内部审计师怀疑存在付款方面的舞弊,即某(几)个未知姓名的雇员同时提交和批准相关发票的付款。在与管理层讨论潜在舞弊行为之前,内部审计师决定进一步收集证据。在提供附加证据方面以下哪个程序最有效?A.使用审计软件获得附有邮局信箱号码或有其他异常特征的供应商名单;对这些事项进行抽样并追踪检查其支持文件,如验收报告等B.对年内已付款项进行抽样,检查各笔款项的审批手续C.对可代表调查期间的验收报告进行抽样,并追踪检查经批准的付款;注意未经除当程序的任何事项D.对上月收到的发票进行抽样检查,确定是否具有适当的付款授权;并追踪检查验收报告等支持文件AA.正确。通过审计软
18、件获得异常的供货商名单,并对其进行抽样并追踪支持文件,可以得到付款是否合理或正确的证据,是有效的程序。B.不正确。因为所有付款都会有审批手续,所以仅仅检查审批手续而不进一步追踪检查其相关支持文件如验收报告,无法取得是否舞弊的附加证据,因此对年内已付款进行抽样不是最有效的程序。因为舞弊行为的付款很可能没有验收报告,因此对验收报告抽样很可能发现不了舞弊行为,该程序不是很有效。因为收到发票不一定马上付款,而且仅对一个月的发票进行抽查不足以说明问题,因此这不是最有效的程序。例3:某新上任大型零售公司的首席审计执行官对审计活动中对存货广泛使用符合性测试表示质疑,他声称这个方法不符合重要性原则。以下陈述中
19、哪一条是对这位首席审计执行官的说法最合理的反应?I.重要性不仅与每一存货的数量大小有关,它也与影响整个组织的控制结构有关。II.根据定义,任何偏离规定控制程序的情形都是重要的。III.确保公司控制结构中重要的环节都受到检查的唯一方法是全面审计所有存货。A.只有IB.只有IIIC.I和IID.I、II和IIII.正确。重要性被定义为对组织的潜在损害项目,重要性包括数量和性质两个方面,而不限于在数量上被确定的项目。II.不正确。有一些性质轻微的控制错误不被认为是重要的。III.不正确。可以使用抽样方法来全面覆盖整个组织的控制结构。知识点5支持董事会开展全面风险评估风险管理是管理层的一项主要职责,管
20、理层应当确保组织中存在良好的风险管理过程并使其发挥作用。董事会和审计委员会负责监督和确定存在适当的风险管理流程,这些流程是充分和有效的。内部审计师应当运用风险管理方法和控制措施,对风险管理过程的充分性和有效性进行检查、评价和报告,提出改进意见,为管理层和审计委员会提供帮助。内部审计师对组织的风险管理评估不同于利用风险分析来制定审计业务计划。内部审计师应采用适当的审计程序收集足够的证据,从总体上对风险管理过程的充分性以及所选择风险管理方式的适当性发表意见。风险管理过程充分与否,取决于风险管理过程是否着眼于如下五个主要目标,以及目标是否得以实现:(1)找出业务战略与活动领域的风险并进行优先排序;(
21、2)管理层和审计委员会已经确定了组织可以接受的风险水平,包括为实现组织战略计划而承受的风险;(3)设计、实施了降低风险的活动,把风险降低并管理在上述可接受的水平上;(4)开展持续的监督活动,定期对风险和控制的有效性进行再评估,以管理风险;(5)董事会和管理层定期收到风险管理过程的结果报告。公司治理过程应该包括定期向利益关系方传递风险、风险战略和控制情况。评估过程应考虑如下审计程序:(1)评价组织和行业的发展情况和趋势,确定是否可能存在影响组织的风险;(2)检查公司政策、董事会和审计委员会的会议记录,确定机构的经营战略、风险管理理念和方法、对风险的兴趣和对风险的接受;(3)检查管理层、内部和外部
22、审计师以及有关方面以前发表过的风险评估报告;(4)与相关管理层讨论,确定业务部门的目标、相关的风险以及管理层采取的降低风险和控制监督活动;(5)收集信息,独立评估降低风险、监督、风险控制和相关控制活动的有效性;(6)评估针对风险监督活动建立报告专线的恰当性;(7)评价风险管理结果报告的充分性和及时性;(8)评价管理层对风险的分析是否全面、为防止风险而采取的措施是否完善、建议是否有效;(9)对管理层的自我评估进行实地观察、直接测试,检查自我评估所依据的信息是否准确,以及其他审计技术,以确定管理层的自我评估过程是否有效;(10)评估与风险管理有关的管理薄弱环节,并与管理层、董事会和审计委员会讨论。
23、如果管理层接受的风险水平与组织风险管理战略不一致,应按标准2600管理层对风险的接受进行报告。管理层选择的风险管理方式的适当与否很难有统一的标准,各个组织应当根据自身活动的性质来设计风险管理过程。风险管理过程可以有以下三种方式:(1)正式的方式和非正式的方式;(2)定量的方式和定性的方式;(3)分散管理的方式和集中管理的方式。一般说来,规模大的、上市的公司必须用定量的风险管理方式。规模小的、业务不太复杂的,则可以设置非正式的风险管理委员会定期开展评价活动。内部审计师的职责是评价组织风险管理方式与组织活动的性质是否适当。审计委员会对以下的现象表示关注:金融机构为追求短期利润目标而发放高风险的贷款
24、,为证实这一点,以下哪项审计程序提供的有用信息最少?A.对(利息收入/投资额)比率进行分析性复核,并与同行业相比较B.选取本期贷款的随机样本,并就贷款风险与两年前的贷款随机样本进行对比C.进行分析性审查,并编制一份图表,以比较过去十年的利息收入D.对过去五年的利息收入进行时间序列的多元回归分析,分析的因素包括:市场利率、贷款总额规模和每年新增加的贷款额C通过分析性复核和与同行业比较,可以获取非正常高收益的证据,进而分析获取高收益的原因,从而发现是否有进行高风险放贷情况,是有效的做法。通过本期贷款与两年前的贷款进行对比分析,以发现本期的做法与以前相比有无大的变化,从而发现贷款政策的改变,以取得进
25、行高风险放贷的证据,也是有效的审计程序。C.正确。因为利息收入与发放的贷款总额和利息率有关,单单比较利息收入无法得到是否进行高风险放贷的证据。通过多元回归分析,可以发现各因素的影响,从而得到进行高风险放贷的证据,是有效的审计程序。管理层坚持认为应收账款账户的变动是由于其客户构成和信用条件的变动而引起的。为了验证管理层的这一认定,最恰当的审计程序是( )。A.运用属性抽样获取客户样本,对于抽到的每个样本,追溯至如邓白氏之类的信用评估机构对其的信用评级,从结果推断总体B.运用属性抽样获取年末客户样本,向所有抽到的样本客户进行函证,询问他们是否是新客户C.运用通用审计软件获取本年度以销售量排序的客户
26、清单,并与以前年度类似的客户清单进行比较D.运用通用审计软件生成应收账款账龄分析表,并与以前年度的账龄相比较来确定是否有变动针对本年度的客户样本进行属性抽样和分析,而没有将本年度与上年度的比较,无法验证应收账款的变化是由于其客户构成和信用条件的变化而引起的的说法是否正确。见题解A。通过比较客户清单,可以确定是否客户构成和信用条件起了变化,并就其变化对应收账款的影响作出评估。对应收账款进行账龄分析可以看出账龄的变化,但无法分析客户构成和信用条件的变化及其造成的影响。知识点6检查内部审计部门在组织内风险管理框架中的定位风险管理是管理层的一项关键责任。进行组织的风险管理流程的评估并作出书面报告一般具有较高的审计优先顺序。CAE应当理解管理层和董事会对于内部审计活动在本组织的风险管理流程中的预期,理解应当被载入内部审计活动和审计委员会的章程。风险管理责任和活动应当在该组织的风险管理流程中负有责任的群体和个人中间协调一致。这些责任和活动应当在该组织的战略规划、董事会政策、管理层指
