CIA第一部分(B以风险为基础制定计划,确定内部审计活动的优先次序)
b以风险为基础制定计划确定内部审计活动的优先次序
【典型试题】
2.首席审计执行官需要决定怎样将一个组织划分为 各项可审计活动,以下哪项属于可审计活动? a.一个程序。 b.一个系统。 c.一个账户。 d.以上三项都是。
答案:d 解题思路:a.不正确。见题解d。
b.不正确。见题解d。 c.不正确。见题解d。 d.正确。可审计的活动由那些能被评价和作出结 论的问题、单位或系统组成,因此程序、系统和 账户都属于可审计活动。
5
COSO的企业风险管理
▪ 企业风险管理框架包括八个基本要素
1. 内部环境
2. 目标制定
3. 事件识别 4. 风险评估 5. 风险应对 6. 控制活动 7. 信息和沟通 8. 监控
内部环境 目标设定 事件识别 风险评估 风险应对 控制活动 信息与沟通
业子
企分 务公
业支 整体机
单司 位
层构
次
监控
6
COSO的企业风险管理
答案:C 解题思路:A.不正确。没有全面检查有问题的凭证可能会在一定程
度上导致没有发现重大的问题或弱点,这与审计风险有直接关系, 但相对而言,C选项中所描述的定义更加全面。
B.不正确。内部会计控制的薄弱构成了一种控制风险,但不能 完整描述实施审计过程中的审计风险。
C.正确。在实施审计时,如果没有发现重大的错误或弱点,则 可能没有达到审计目标,导致审计失败,这是在实施审计时审计风 险的最佳定义。
a.识别潜在审计业务的来源(如审计域、管理层的要求、法规要求)。 b.评估全组织范围内的风险。 c.从不同来源征求潜在审计业务。 d.收集和分析拟审计业务的资料。 e.对风险高低进行排序和确认。 3.识别内部审计资源需求。 4. 与各方面协调内部审计工作: a.外部审计师 b.法规监管机构 c.其他内部保证部门(如,健康和安全部门)。 5.选择审计业务: a.参与审计业务选择过程。 b.选择审计业务。 c. 与董事会沟通以获得其对审计业务计划的批准。
CIA考试《内部审计业务》历年真题精选及答案1127-66
CIA考试《内部审计业务》历年真题精选及答案 1127-662 •审计师在审计描述公司采购部门的流程图时最有可能发现以下哪种控制薄弱环节?A、公司的采购政策尚未得到更新。
B、公司没有利用其供应商按采购数量提供的折扣。
C、公司没有为已收货物的付款规走恰当级别的授权。
D、公司在收到货物之前就对供应商付款。
【正确答案】D[答案解析】本题考查的知识点是过程描述的具体方法和技术。
A.不正确。
应该有新旧流程图方可发现采购政策是否已经得到更新。
B・不正确。
这需要针对具体的采购内容才能审查。
U不正确。
这需要针对具体的采购内容才能审查。
D正确。
流程图能反映采购步骤的流程。
付款的次序可以在流程JI顷序中得到体现。
从流程图中就可以发现公司关于付款是否要在”公司收到货物之前或之后〃的规走 2 •内部审计师要对需要收集的信息类别和数量进行判断的主要目的是:A、消除审计风险B、节约审计成本C、为审计观察和建议提供健全依据D、遵守《标准》【正确答案】C【答案解析】本题考查的知识点是收集和分析拟审计业务的资料。
内部审计师要对需要收集的信息类别和数量进行判断的主要目的是为审计观察和建议提供健全依据。
3•下列那些选项是属于组织提升其道德行为的方法?「组织自下而上走调诚实正直。
n •设计并且执行对员工和持股人的道德素质调查 in •通过多媒体传递道德信息IV •提供热线以供方便报告A、只有IB、只有nC、n、m 和IVD、n和m【正确答案】C【答案解析】本题考查的知识点是组织系统的影响因素(文化和期望、组织结构、政治和权力、职场道德和重大变化L f组织应该从上而下包括每一位经理、主管和员工,定调诚实正直的基调,并且都应该维护这些价值。
4下列关于信息的可靠性的理解的说法中,正确的是:A•信息能够支持业务吕标,并与业务目标保持一致B.信息能够有助于组织实现其预定的目标U信息忠于事实、适当具有说服力,任何谨慎的知情人都会得出与内部审计师相同的结论D.信息是胜任的,且能通过恰当的业务技术的运用得以最佳的茯取【正确答案】D【答案解析】本题考查的知识点是审计证据的评估标准。
CIA考试第一科a-样题
B.要求所有采购都具备详细的原材料说明。 D.在制造过程结束时确定因损坏而造成的损失 数额。
C.及时对所有不利的用量差异采取措施。
以下哪项控制措施能防止订购数量超出组织的需求? A.在向采购部门提交采购申请书之前, 由使用部 门的一位主管审查所有采购申请书。
16
B.当系统显示库存水平较低时由采购部门自动 重新订货。 D.要求在储存新收到的货物之前确认收货报告 和装货单保持一致的政策。
4
B.为风险管理提供保证工作。 D.以设计控制措施减轻已识别的风险。
C.根据风险暴露情况更新风险管理程序。
首席审计执行官采用一种风险评估模型来制订年度审计计划。以下首席审计执行所采取的行 动中哪些是适当的? I、维持与管理层和审计委员会动态对话机制。 II、确保审计日程表的先后顺序保持不变。
5
III、只使用定量方法来决定风险权数。 IV、只有充分理由情况下修订风险评估和审计日程的先后顺序。 A.Ⅲ B.Ⅰ和Ⅱ
10 Ⅲ、B 公司缺乏正式的公司道德规范,这将妨碍对其道德行为的成功审计。
A.仅为Ⅱ。 C.Ⅰ和Ⅱ。
B.仅为Ⅲ。 D.Ⅱ和Ⅲ。
根据以下信息回答问题:某公司在通过局域网(LAN)相连的个人电脑上储存生产数据,通 过电子数据交换(EDI)来利用这些数据实现自动采购。根据下个月的生产计划和能确定每 一产品所需零部件的经授权的物料需求计划(MRP),向经授权的供应商采购。在确定采购 需求是否随生产工艺变动而及时更新时,以下哪项审计程序最有效? A.按照目前生产计划和物料需求计划重新计算
以下各项均是某工厂为防止排出不符合排放标准的废水的控制系统的组成部分,除了 A.在排放前, 对许可证中所指明的废水成分进行 化学分析。
34
B.(通过政策、培训和建议标牌)详细说明哪些 物质可以经工厂内的污水槽和地面排水管处理。 D.定期由大量净水冲洗污水槽和地面排水管, 以 确保污染物质被充分地稀释。
CIA第一部分(B 以风险为基础制定计划,确定内部审计活动的优先次序)
B.1 建立评估风险的框架首席审计执行官必须以风险为基础制订计划,以确定与组织目标相一致的内部审计活动重点。
架,包括管理层针对不同的业务或部门确定的风险偏好水平。
如果尚未建立风险管理框架,首席审计执行官可以与高级管理层和董事会磋商后,自行作出风险判断。
首席审计执行官在考虑是否接受拟开展的咨询业务时,应当考虑该业务在改善风险管理、增加价值、改善组织运营等方面的潜在作用。
已经接受的咨询业务必须纳入计划。
首席审计执行官应根据COSO企业全面风险管理框架(也可选用COSO内部控制框架)开发出的风险评估模型建立以下评估风险的框架:● 内部环境;● 目标设定;● 事件识别;● 风险评估;● 风险应对;● 控制活动;● 信息与沟通;● 监控。
● 内部审计根据COSO企业全面风险管理框架建立评估风险的框架时应注意:风险评估的衡量标准是后果与可能性。
通常使用潜在的可货币化或因风险暴露对组织将产生的不利影响来衡量。
风险的后果(the effects of risk● 由于使用不正确、不及时、不全面的信息而作出了错误的决定;● 对于错误记录的保存、不适当的会计记录、舞弊的财务报告、财务损失的暴露;● 没有恰当地保护资产;● 被审计单位的不满意、负面的宣传、名誉的损失;● 没有遵守政策、程序、计划、法律和规章;● 不经济地获取资源或没有效率、没有效果地使用这些资源;● 没有达到项目经营所确定的目标和任务。
内部审计师不可能去评估组织面临的所有可能的风险。
大量的潜在审计业务伴随着相应范围内的工作一套系统的方式去评估内外部风险因素和制订年度审计计划。
风险评估对于审计部门计划的重要意义在于明确审计范围或识别可审计活动,IIA通过《实务公告》发布了一些具体指导,包括:● 在制订内部审计部门的审计计划时,许多首席审计执行官发现,先制定或更新审计活动领域是很有效的方法。
审计活动领域是指所有可能进行的审计活动。
首席审计执行官可以听取高级管理层和董事会关于审计活动领域的意见。
CIA内部审计师科目1:内部审计基础第一章 强制性指南
CIA内部审计师科目1:内部审计基础第一章强制性指南一、单选题1、为提高工作质量,某公司规定一个部门可以检查另一个部门的工作,比如每季度技术一部的人员可以对技术二部的工作进行审查,那么审计师在对技术二部开展审计业务时:A.为避免审查不全面,应该忽略其他部门的审查,进行独立的审计工作B.缩小审计范围,在其他部门审计的基础上进行审计C.应该考虑和参考其他部门的审查工作以提高审计效率D.建议取消这种互相检查的工作,减少资源浪费【参考答案】:C【试题解析】:内部审计部门应该在审查该部门时考虑其他部门的审查工作,可以减少重复劳动。
2、下列事项中,可以加强独立性的是:A.某公司规定首席审计执行官必须为注册内部审计师B.首席审计执行官与董事会定期进行交流C.某国通过法律要求内部审计机构需要在大中型公司内设立D.某公司的公司章程规定人员不得从其他部门调入内部审计部门【参考答案】:B【试题解析】:选项A,注册内部审计师资格仅能说明首席审计执行官的能力和专业性,但不能加强其独立性;选项C,国家对内部审计机构的法定要求体现的是国家对内部审计活动的重视,但不等于其有很强的独立性;选项D,从其他部门向内部审计部门调入人员可以充实内部审计队伍,提高内部审计水平,虽然会面临对其以往责任开展保证业务的情况,但是只要处理得当,这种对独立性的影响是可以避免的。
3、质量审查小组在对某内部审计部门的独立性进行审查时,会考虑许多因素,则下面哪项是审查小组可以不予以重点关注的因素:A.内部审计师不偏不倚的审计判断B.内部审计师是否参加了本年的持续教育C.刚进入内部审计部门的内部审计师是来自于哪个部门的D.给内部审计师分配任务时所依照的标准【参考答案】:B【试题解析】:审计人员是否参加了本年的持续教育与独立性之间没有必然的联系。
4、内部审计章程是用以确定内部审计活动的宗旨、权利和职责的正式文件,下列关于内部审计章程的说法不正确的是:A.内部审计章程须与《标准》保持一致,内部审计章程的最终审批权在董事会B.内部审计章程中确定了咨询服务的性质C.内部审计章程是唯一规定了内部审计部门活动宗旨、权力和职责的文件D.内部审计章程确立了内部审计部门在组织内部的地位【参考答案】:C【试题解析】:除内部审计章程之外,还有其他文件规定了内部审计活动的宗旨、权力和职责。
CIA培训教案(第一门)第二部分
2013年CIA培训:第一科——内部审计在治理、风险和控制中的作用主讲:董达勇第二部分以风险为基础制定计划确定内部审计活动的优先顺序第一讲建立风险评估框架应用风险评估框架(前半部分)今天起我们来学习第一科的第二部分,也就是考试大纲的B部分:以风险为基础制定计划,确定内部审计活动的优先次序(15%~25%)(要求熟练掌握),按照教材的体系,这部分包括五个子内容:建立评估风险的框架、应用风险评估框架、识别内部审计资源需求、协调内部审计工作还有选择审计业务五个方面。
这一章的内容不太多,而且有些内容第一部分已经或多或少的讲过一些了,但是这部分包含的知识点是很多的,很密集,而且这部分内容从考试分值和整个第一门的知识结构上来说是非常重要的内容,特别是:风险、制定计划,分配审计资源,内外部的协调等内容大家一定要予以重视。
我们再来看一下这部分内容对应的红皮书的内容是哪几项,实际上从今天的内容开始我们就已经在讲红皮书的工作标准部分了,上一章的内容基本都是属性标准的内容。
教材的第二部分内容具体对应的是红皮书标准的2000、2100还有2200这几个部分,当然还有相对应的实务公告部分。
标准的2000实际上是工作标准的一个总纲,叫做“内部审计活动的管理”,而后面的2100、2200一直到2600六大项呢,是对2000的具体规定和细化。
它是这样的一个体例。
那么在讲今天的正式内容前呢,我们先给大家介绍一下红皮书的体例结构,我特意画了一个图表。
我们来看这个图表,整个红皮书的内容可以分成两个部分,强制性的指南和强力推荐的指南,这个我们之前都说过了。
强制性指南的主体内容是《内部审计实务标准》,简称《标准》。
强力推荐的指南的主体是实务公告,其实实务公告和标准基本是一一对应的,只不过标准是更原则性的东西,那么适用性就更好,所以要求一定要执行,而实务公告呢,是更细化和更具操作性的一些指南,所以实务公告的适用范围就不见得所有内部审计部门都要遵照执行,所以它就是非强制性的指南,而是强力推荐的指南。
CIA第一科点题
在应用风险模型制定审计计划时,至关重要的一点是审计执行主管考虑以下哪项内容:A、上次审计的结果B、外部审计师来年的计划内审计造访C、管理方向和目标的最新或预期变化D、未来董事会会议的日期以下哪项关于内部审计师在发现舞弊方面应负责任的说法不正确的?A、如果出现危险信号,审计师应该发现舞弊。
B、审计师应该拥有充分知识,正确识别表明可能已发生舞弊的有关迹象。
C、审计师应该发现姑息舞弊发生的控制薄弱环节。
D、审计师应该拥有充分只是评估舞弊迹象,以确定是否应该开展舞弊调查。
在制定并落实内部审计部门的年度计划时,一般不涉及以下哪项内容?A、为工作底稿和参考工作制定相关政策和程序。
B、针对正在开展的审计业务,向审计委员会提交阶段性审计业务报告。
C、评估主要部门的风险程度。
D、就如何以恰当方式应对新确定的风险培训审计人员。
这是什么???第一科一共要掌握五个大问题一是什么是内部审计?二是如何组建内部审计部门?三是如何成为一名合格的内部审计师?四是内部审计有什么用?五是内部审计怎么开展工作?一是什么是内部审计?1.内部审计业务包括确认(评价)和咨询(改善),必须在章程中规定;以下哪一项活动属于《国际内部审计专业实务框架》所述的正常确认业务范围?A.审查“是自己制造还是外部购买”的决策选择,并将相关建议报管理层批准。
B.参与企业收购谈判。
C.围绕新的生产设备,分析不同备选融资方案。
D.对管理层的计划过程进行评估。
以下哪项是内部审计师的咨询而不是确认角色?A.评价控制效率和管理关键风险。
B.以可靠的方式评价和报告风险。
C.教管理层关于风险和控制的工具和技术。
D.设计和评估风险管理程序。
审计人员教育和经验的标准和内部审计独立性的关系A.关系不大B.关系紧密12343.为实现组织【目标】提供合理(而非绝对)保证,要时刻考虑职业审慎性!C内部审计师开展以下哪项工作最有可能与《标准》中的有关客观性的规定相冲突?选项B:产品开发团队负责人;在相关程序得到落实之前先对其进行审计;就不会影响审计师的客观性!有效促进客观性的是:如果内部审计师建议在实施系统控制或检查程序之前采用控制标准,不会对客观性产生负面影响。
内部审计之二以风险为基础制定计划,确定内部审计活动的优先次序
内部审计之二以风险为基础制定计划,确定内部审计活动的优先次序遵守国际内部审计师协会的属性标准习题的答案1-10CACBB DDCAA11-20DCBBD DABDB21-30AAACA BCDDC31-40DBAAB BBACA41-50BDACB BABDD51-54ADDC内部审计在治理风险和控制中作用B以风险为基础制定计划,确定内部审计活动的优先次序一、风险的定义风险:是指发生对目标的实现可能产生影响的事件的不确定性。
风险的衡量标准是后果和可能性。
习题:1.《标准》中谈到审计计划或风险评估时使用的“风险”一词的定义是()A内部审计师未发现导致财务报表或内部报告错误的可能性B 对组织有不利影响的事件或活动的可能性C管理层有意或无意地做出增加组织潜在负债的决策的可能性D财务报表或内部报告包含重大错误的可能性2.以下哪项是首席审计执行官在选择被审计单位时使用的风险损失的最合理定义?A、风险暴露乘以损失概率B、部门年成本总额C、损失概率D、部门资产总额3、一个高价耐用品零售商设置了一个按价目表订货的部门来接受客户的电话订货。
该零售商经常进行价格促销,此时电话接线员可自主定价。
这种做法的风险是()A、客户可以按较低价格付帐B、频繁的价格变动可能使得订货输入系统超载C、接线员可能向竞争者透露促销价D、接线员可能与外部串通使用未经批准的价格二、风险的分类外部风险内部风险三、风险管理框架(ERM)2004年COSO报告:全面风险管理是一个受该实体的董事会、管理层和其他个人影响,并应用在整个机构战略设定中的过程。
它被设计用于识别影响整个实体的潜在重大风险,能根据该组织的具体情况提供一个风险管理框架,并为组织目标的实现提供合理的保证。
包括:八个要素。
内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督1、内部环境:董事会、管理层、组织结构、组织文化、人力资源政策、2、目标设定战略目标、经营目标、报告目标、合法性目标3、事项识别正面影响事项(机会)和负面影响事项(风险)4、风险评估定量方法和定性方法(同等重要)5、风险应对风险规避、风险降低、风险分担、风险承受剩余风险:采取措施后仍然存在的风险。
2008年度CIA考试大纲
2008年度CIA考试大纲Part I - The Internal Audit Activity′s Role in Governance,Risk,and Control第一部分:内部审计在治理、风险和控制中的作用A.Comply With the IIA′s Attribute Standards(15——25percent)(Proficiency Level)遵守国际内部审计师协会的属性标准(15%——25%)(要求熟练掌握)1.Define purpose,authority,and responsibility of the internal audit activity.明确内部审计的宗旨、权力和职责。
a.Determine if purpose,authority,and responsibility of internal audit activity are clearly documented/approved.确定内部审计的宗旨、权力和职责是否清楚地以书面形式记录并获得批准。
b.Determine if purpose,authority,and responsibility of internal audit activity are communicated to engagement clients.确定内部审计的宗旨、权力和职责是否通报审计业务客户。
c.Demonstrate an understanding of the purpose,authority,and responsibility of the internal audit activity.阐明内部审计的宗旨、权力和职责。
2.Maintain independence and objectivity.保持独立性和客观性。
a.Foster independence.加强独立性。
1)Understand organizational independence.理解机构的独立性。
第1章国际内部审计专业实务框架强制性指南
内部审计产品形式:
提供处理意见 咨询建议 书面报告或口头交流
为组织增值提供服务的目标定位: 使内部审计与管理层的目标定位保持一致,更利于实现内部审计 与管理层的密切合作
获取领导的支持,取得被审者的认 同,推动价值信息采用,影响领导 和被审者决策,落实决策执行,评 价决策执行的效果
1.2.2 内部审计主体:内部审计外包
• 内部审计外包(internal audit outsourcing) 是指组织将其内部审计职能部分或全部通过契约 委托给组织外部的机构执行。 • 内部审计外包的推出
–安达信、安永、毕马威等咨询机构最先提出内部审计 外部化,在20 世纪90 年代迅速发展,在大规模公司 更为流行,财富100 强公司有50%以上外包了相当部分 的内部审计职能。 –据美国内部审计师协会调查,实行内部审计外包化的美 国企业已占21.5%,汽车、电子、感光材料等行业超过 50%。
• 内部审计外包的缺点 –外部收费较高; –逐渐失去对公司的了解与专业审计技能; –公司缺乏对审计及其质量的控制; –未来管理层没有机会参加内部审计。 • 内部审计外包对内部审计的威胁: –在组织内部机构调整和重构中,作为非核心管理 活动的不成功的内部审计机构首当其冲惨遭淘汰。 –内部审计要充分认识到竞争的现实性、残酷性。 –内部审计是资源耗费者、成本中心,还是价值增 加者、利润中心?决定着内部审计机构的存亡。
2内部审计定义iia新定义的变化变化的方面变化的内容内部审计目标为管理层提供保护建设服务衡量评价其他控制有效性协助组织成员有效履行职责增加价值和改善组织的运营内部审计服务对象管理层组织内部审计主体内部审计机构外包内部审计职能检查评价确认咨询内部审计本质独立评价活动独立客观的确认咨询活动内部审计内容财务活动经营活动风险管理控制和管理过程的有效性企业目标审计目标价值增值提供价值信息推进价值信息的利用实现价值增值的企业目标121内部审计目标
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
B.1 建立评估风险的框架首席审计执行官必须以风险为基础制订计划,以确定与组织目标相一致的内部审计活动重点。
首席审计执行官负责以风险为基础制订计划。
制订计划时,首席审计执行官需考虑组织的风险管理框架,包括管理层针对不同的业务或部门确定的风险偏好水平。
如果尚未建立风险管理框架,首席审计执行官可以与高级管理层和董事会磋商后,自行作出风险判断。
首席审计执行官在考虑是否接受拟开展的咨询业务时,应当考虑该业务在改善风险管理、增加价值、改善组织运营等方面的潜在作用。
已经接受的咨询业务必须纳入计划。
首席审计执行官应根据COSO企业全面风险管理框架(也可选用COSO内部控制框架)开发出的风险评估模型建立以下评估风险的框架:•内部环境;•目标设定;• 事件识别;•风险评估;•风险应对;•控制活动;•信息与沟通;•监控。
•内部审计根据COSO企业全面风险管理框架建立评估风险的框架时应注意:风险评估的衡量标准是后果与可能性。
•H GGi曲口I'rf aul I通常使用潜在的可货币化或因风险暴露对组织将产生的不利影响来衡量。
风险的后果(the effects of risk)包括:•由于使用不正确、不及时、不全面的信息而作出了错误的决定;•对于错误记录的保存、不适当的会计记录、舞弊的财务报告、财务损失的暴露;•没有恰当地保护资产;•被审计单位的不满意、负面的宣传、名誉的损失;•没有遵守政策、程序、计划、法律和规章;•不经济地获取资源或没有效率、没有效果地使用这些资源;•没有达到项目经营所确定的目标和任务。
内部审计师不可能去评估组织面临的所有可能的风险。
大量的潜在审计业务伴随着相应范围内的工作需要对有限的内部审计资源进行有效的利用。
风险评估框架可以为首席审计执行官和内部审计职能提供了一套系统的方式去评估内外部风险因素和制订年度审计计划。
风险评估对于审计部门计划的重要意义在于明确审计范围或识别可审计活动,IIA通过《实务公告》发布了一些具体指导,包括:•在制订内部审计部门的审计计划时,许多首席审计执行官发现,先制定或更新审计活动领域是很有效的方法。
审计活动领域是指所有可能进行的审计活动。
首席审计执行官可以听取高级管理层和董事会关于审计活动领域的意见。
•审计活动领域可以吸收组织战略计划的成分。
通过吸收战略计划,审计活动领域将考虑到并反映出总体业务目标。
战略计划也可能反映出组织对待风险和实现既定目标困难程度的态度。
一般来说,风险管理过程的结果会对审计活动领域产生影响。
组织战略计划的制定会考虑到组织运营的环境,而环境因素很可能对审计活动领域和对相关风险的评估产生影响。
•首席审计执行官在准备内部审计部门的审计计划时,要以从高级管理层和董事会获取的审计活动领域以及风险、风险暴露对组织的影响进行的评估为基础。
审计目标的关键常常是向高级管理层和董事会提供确认和相关信息,包括对管理层的风险管理活动效果的评估。
以帮助他们实现组织目标。
•审计活动领域和相关审计计划内容的更新,应该反映岀管理层的方针、目标、重点和关注点岀现的变化。
建议至少每年对审计活动领域评估一次,以反映组织最新的战略和方针。
在某些情况下,审计计划需要进行比较频繁(例如,每季度)的更新,目的是对组织的主营业务、程序、系统和控制等方面的变化作岀反应。
•应该在评估风险和风险暴露优先次序的基础上安排审计工作。
只有对风险进行优先排序之后,才能根据风险暴露的重要性分配相关的资源。
多种风险模型的存在对首席审计执行官是很有帮助的。
大多数的风险模型都利用了影响力、可能性、重要性、资产流动性、管理能力、内部控制的质量和内涵、变化或稳定程度、上次审计业务开展的时间和结果、复杂性、与雇员及政府的关系等风险因素。
某种程度来讲,评估风险的框架和以风险为基础制定的计划会因企业不同而有所不同。
组织规模、正规性、管理团队动态、行业、管理要求和其他人员问题都仅仅只是一部分的潜在影响因素。
但通常来讲,大部分以风险为基础的框架包含如下步骤:确定审计领域:•识别所有潜在审计业务的组织资源和所有潜在的待审业务;不能仅仅局限于某些职能上面(例如付款和会计),还要考虑到产生潜在风险的职能内部的具体业务活动;•随着行业或是组织的性质有所变化,例如,地点、进程、产品或区域都需要被考虑到。
例:组织中所有单位和流程的列示(可能包含数百条要素)。
检查组织的风险要素:•假设主要是从对组织目标的影响角度而不是具体职能的变化角度考察组织的内外部风险;•考虑潜在的审计业务资源;•包括同组织高层管理人员讨论确定风险水平、新计划的业务和/或程序变动;•如果组织中有风险管理系统(ERM )程序的话,考虑风险管理结果。
例:考虑收入或资产的规模、区域的显著性、偿债能力或现金流、其他检查的结果,还有财务报告问题。
确定审计顺序:•评价确认的审计业务;•以风险的显著性为依据判断其对组织成功的影响标准和界限以及组织对于风险的容忍度;•考虑是否内部审计人员已经足够可以控制所有的主要风险,一些是否可以推迟和/或由外部审计人员负责;•最终形成年度审计计划。
例:以最高水平的风险评估、计划程序变动、管理层的要求和可以获取的内部审计资源为基础确定下一年度最重要的审计领域。
以风险为基础的审计是一种预先行动的方式,它着重于未来的事件,以阻止问题的岀现。
【典型试题】1.首席审计执行官在制订审计计划时大多采用风险评估的方法,因为它提供了:a.一种系统化的评估程序,并结合了对可能不利情形的专业判断。
b. 一张对组织有潜在不利影响事项的清单。
c.组织内可审计活动的清单。
d.某事件或行动对组织造成不利影响的可能性。
『答案解析』a.正确。
由于风险评估可以提供建立在专业判断基础上的系统化的评估程序,因此首席审计执行官在制定审计计划时往往采用风险评估。
b.不正确。
这样一个清单可能会使首席审计执行官相信进行风险评估有必要,但没有提供相关的方法。
c.不正确。
这在风险评估过程中要运用到,但不是运用风险评估的基本原因。
d.不正确。
这是风险的定义,而不是采用风险评估的原因。
2.《标准》中谈到审计计划或风险评估时使用的“风险” 一词,它的定义是:a.内部审计师未发现导致财务报表或内部报告错报或误导的重大错误或事件的可能性。
b.对组织有不利影响的事件或活动的可能性。
c.管理层有意或无意地作岀增加组织潜在负债的决策的可能性。
d.财务报表和/或内部报告包含重大错误的可能性。
『答案解析』a.不正确。
这里指的是内部审计师的审计风险,而非《标准》中所指的制定审计计划和进行风险评估时所考虑的组织的风险。
b.正确。
风险是指可能对组织目标的实现产生影响的事情发生的不确定性,因此本选项很好地阐述了风险的定义。
c.不正确。
这里指的是管理层的决策风险,不能全面阐述《标准》中所指的制定审计计划和进行风险评估时所考虑的组织的风险。
d.不正确。
这里指的是财务报表和内部报告的报告风险,不能全面阐述《标准》中所指的制定审计计划和进行风险评估时所考虑的组织的风险。
3.以下哪项是首席审计执行官对在选择被审计单位时使用的风险损失的最合理定义?a.风险暴露乘以损失概率b.部门年成本总额c.损失概率d.部门资产总额『答案解析』a.正确。
风险的衡量标准是后果和可能性,因而风险损失既应考虑到风险暴露,又要考虑到损失发生的概率。
b.不正确。
部门年成本总额与风险损失的金额相关,但没有考虑损失发生的概率,因而不是风险损失最合理的定义。
c.不正确。
损失概率只是风险损失发生的概率,而没有考虑风险损失的金额,因而不是风险损失最合理的定义。
d.不正确。
部门资产总额与风险损失的金额相关,但没有考虑损失发生的概率,因而不是风险损失最合理的定义。
4.一个高价耐用品零售商设置了一个按价目表订货的部门来接受客户的电话订货。
该零售商经常进行价格促销,这时电话接线员就按促销价处理订货。
这种做法的风险是:a.客户可以按较低价格付账。
b.频繁的价格变动可能使订货输入系统超载。
c.接线员可能向竞争者透露促销价。
d.接线员可能与外部串通使用未经批准的价格。
『答案解析』a.不正确。
客户可以按较低价格付账本身就是价格促销的手段,不属于公司的一种风险。
b.不正确。
题目中没有提及订货输入系统的处理能力问题,一般情况下价格变动无论多频繁也不会影响计算机系统的运作。
c.不正确。
促销价是向所有客户公开的,不是公司的商业秘密,接线员向竞争者透露促销价不会损害公司利益。
d.正确。
这种制度下接线员直接与客户接洽,具有相机处理的权利,且缺乏对接线员权力的限制和监督,因此,存在接线员与外界串通使用未经批准的价格、造成公司损失的风险。
5.作为本组织的首席审计执行官,你制定了一个计划,内容是下一年度将进行审计的详细日程、预计所需时间,以及每项审计的开始时间。
特定审计的时间安排是根据每个领域中上一次审计以来的时间长短来确定的。
这个计划并不全面,因为没有:a.引用诸如《标准》等权威支持。
b.考虑组织中风险、易受外界影响的薄弱环节以及潜在损失等因素。
c.说明计划中所有审计资源是否都得到了应用。
d.提请管理层批准计划。
『答案解析』a.不正确。
所有内部审计工作都应当按照《标准》来执行,但不需要在计划中特别加以引用。
b.正确。
根据《标准》2010条的规定,__________ 显这个计划没有考虑到组织中的风险、薄弱环节和潜在损失等因素。
c.不正确。
为了完成审计计划安排、实现审计目标,首席审计执行官应保证审计资源的适当性、充分性及有效利用,但不一定需要将所有的审计资源都应用上。
d.不正确。
审计计划应当提请高级管理层和董事会(审计委员会)批准,但提请本身是审计计划的审批程序,而不是计划的一个组成部分。
而且,题目中也没有说明是否将该计划提请管理层审批。
B.2应用该框架2.1识别潜在审计业务的来源 (如审计域,管理层的要求,法规要求)风险评估是对可能出现的不利情况或事件进行评价和综合的一个专业判断过程。
风险评估使首席审计 执行官能够确定审计工作日程安排的先后次序。
首席审计执行官利用来自风险管理过程的综合性信息(包 括对董事会所关心问题的识别)制定内部审计本部门计划的风险评估过程,有别于内部审计师在审计过程 对组织管理风险进行的评价工作。
根据《标准》,首席审计执行官应在风险评估的基础上为 内部审计部门至少一年制订一次审计业务计划,以确定符合内部审计部门章程和组织目标的内部审计工作重点。
在某些情况下,审计计划需要进行经常性(例如,每季度)修改,目的是对组织治理层活动的变化作出反应。
首席审计执行官通常对高风险的活动优先考虑实施审计。
审计委员会要求的活动不一定比管理层要求 的活动风险更咼。
内部审计的最终目的是向治理层提供信息, 以减少在实现组织目标过程中可能带来的负面影响, 因此,内部审计部门的计划应该反映组织的风险战略,组织的风险管理应与内部审计程序之间协调一致,使之协 同增效。