《2010管理审计之二》由会员分享,可在线阅读,更多相关《2010管理审计之二(53页珍藏版)》请在金锄头文库上搜索。
1、遵守国际内部审计师协会的属性标遵守国际内部审计师协会的属性标准准习题的习题的答案答案 1-10CACBB DDCAA 11-20DCBBD DABDB 21-30AAACA BCDDC 31-40DBAAB BBACA 41-50BDACB BABDD 51-54ADDC内部审计在治理风险和控制中作用内部审计在治理风险和控制中作用B 以风险为基础制定计划,确定内部以风险为基础制定计划,确定内部审计活动的优先次序审计活动的优先次序一、风险的定义一、风险的定义风险:是指发生对目标的实现可能风险:是指发生对目标的实现可能产生影响的事件的不确定性。产生影响的事件的不确定性。风险的衡量标准是风险的衡量标
2、准是后果和可能性后果和可能性。习题:习题:1.标准标准中谈到审计计划或风险评中谈到审计计划或风险评估时使用的估时使用的“风险风险”一词的定义是一词的定义是()()A 内部审计师未发现导致财务报表或内部审计师未发现导致财务报表或内部报告错误的可能性内部报告错误的可能性B 对组织有不利影响的事件或活动对组织有不利影响的事件或活动的可能性的可能性C 管理层有意或无意地做出增加组织管理层有意或无意地做出增加组织潜在负债的决策的可能性潜在负债的决策的可能性D 财务报表或内部报告包含重大错误财务报表或内部报告包含重大错误的可能性的可能性2.以下哪项是首席审计执行官在选择以下哪项是首席审计执行官在选择被审计
3、单位时使用的风险损失的最被审计单位时使用的风险损失的最合理定义?合理定义?A、风险暴露乘以损失概率、风险暴露乘以损失概率B、部门年成本总额、部门年成本总额C、损失概率、损失概率D、部门资产总额、部门资产总额3、一个高价耐用品零售商设置了一、一个高价耐用品零售商设置了一个按价目表订货的部门来接受客户个按价目表订货的部门来接受客户的电话订货。该零售商经常进行价的电话订货。该零售商经常进行价格促销,此时电话接线员可自主定格促销,此时电话接线员可自主定价。这种做法的风险是()价。这种做法的风险是()A、客户可以按较低价格付帐、客户可以按较低价格付帐B、频繁的价格变动可能使得订货输、频繁的价格变动可能使
4、得订货输入系统超载入系统超载C、接线员可能向竞争者透露促销价、接线员可能向竞争者透露促销价D、接线员可能与外部串通使用未经、接线员可能与外部串通使用未经批准的价格批准的价格二、风险的分类二、风险的分类外部风险外部风险内部风险内部风险三、风险管理框架(三、风险管理框架(ERM)2004 年年 COSO 报告:报告:全面风险管理是一个受该实体的董全面风险管理是一个受该实体的董事会、管理层和其他个人影响事会、管理层和其他个人影响,并应并应用在整个机构战略设定中的过程。用在整个机构战略设定中的过程。它被设计用于识别影响整个实体的它被设计用于识别影响整个实体的潜在重大风险潜在重大风险,能根据该组织的具体
5、能根据该组织的具体情况提供一个风险管理框架情况提供一个风险管理框架,并为组并为组织目标的实现提供合理的保证。包织目标的实现提供合理的保证。包括:八个要素。括:八个要素。内部环境、内部环境、目标设定目标设定、事项识别事项识别、风险评估、风险评估、风险应对风险应对、控制活动、控制活动、信息与沟通、监督信息与沟通、监督1、内部环境:内部环境:董事会、管理层、组织结构、组织董事会、管理层、组织结构、组织文化、人力资源政策、文化、人力资源政策、2、目标设定目标设定战略目标战略目标、经营目标、报告目标、经营目标、报告目标、合法性目标合法性目标3、事项识别事项识别正面影响事项(机会)和负面影响正面影响事项(
6、机会)和负面影响事项(风险)事项(风险)4、风险评估风险评估定量方法和定性方法(同等重要)定量方法和定性方法(同等重要)5、风险应对风险应对风险规避、风险降低、风险分担、风险规避、风险降低、风险分担、风险承受风险承受剩余风险:采取措施后仍然存在的剩余风险:采取措施后仍然存在的风险。风险。6、控制活动控制活动7、信息与沟通信息与沟通8、监督监督二、内部审计在风险管理中的作用二、内部审计在风险管理中的作用内部审计活动应协助组织识别内部审计活动应协助组织识别和评价重大风险问题,并帮助组织和评价重大风险问题,并帮助组织改进风险管理与控制系统改进风险管理与控制系统具体而言,内部审计师应通过具体而言,内部
7、审计师应通过检查、评价、报告风险管理过程的检查、评价、报告风险管理过程的适当性和有效性并提出改进建议来适当性和有效性并提出改进建议来协协 zhu 管理层和审计委员会的工作。管理层和审计委员会的工作。以咨询顾问身份开展工作的内以咨询顾问身份开展工作的内部审计师可以协助组织确定、评价部审计师可以协助组织确定、评价并应用处理风险的管理方法和开展并应用处理风险的管理方法和开展措施。措施。不同国家、不同环境下的内部不同国家、不同环境下的内部审计活动发挥作用可能相差很大,审计活动发挥作用可能相差很大,内部审计在风险管理过程中的作用内部审计在风险管理过程中的作用可以随着时间的推移而发生变化,可以随着时间的推
8、移而发生变化,产生不同的作用:产生不同的作用:(1) 从无任何作用;到从无任何作用;到(2) 作为内部审计工作计划的一作为内部审计工作计划的一部分对风险管理过程进行审计;部分对风险管理过程进行审计;到到(3) 积极持续地支持并参与风险积极持续地支持并参与风险管理过程,如:参加监督委员会、管理过程,如:参加监督委员会、检测活动并报告情况;到检测活动并报告情况;到(4) 管理和协调对风险的管理过管理和协调对风险的管理过程。程。首席审计执行官应该理解管理首席审计执行官应该理解管理层和董事会期望内部审计活动在组层和董事会期望内部审计活动在组织的风险管理过程中发挥的作用。织的风险管理过程中发挥的作用。这
9、种理解应该在内部审计活动和审这种理解应该在内部审计活动和审计委员会各自的章程中予以明确。计委员会各自的章程中予以明确。三、内部审计在尚未建立风险管理三、内部审计在尚未建立风险管理过程的组织中的作用过程的组织中的作用1、如果组织尚未建立风险管理、如果组织尚未建立风险管理guocheng,内部审计师应该提请管,内部审计师应该提请管理层注意这种情况,并同时提出建理层注意这种情况,并同时提出建立风险管理过程的建议。立风险管理过程的建议。2、如果有关方面提出要求,内部审、如果有关方面提出要求,内部审计师可以在协助初步建立风险管理计师可以在协助初步建立风险管理过程的工作中发挥积极作用。通过过程的工作中发挥
10、积极作用。通过咨询方式改善基础过程,以此作为咨询方式改善基础过程,以此作为对传统确认活动的补充。注意不能对传统确认活动的补充。注意不能超过正常的确认和咨询工作的范围,超过正常的确认和咨询工作的范围,以免审计独立性受到损害。以免审计独立性受到损害。3、内部审计师在建立和管理风险管、内部审计师在建立和管理风险管理过程中所起的积极作用有别于理过程中所起的积极作用有别于“风险所有者风险所有者”的作用。的作用。风险管理框架为首席审计执行官和风险管理框架为首席审计执行官和内部审计职能提供了一套系统的方内部审计职能提供了一套系统的方式去评估内外部风险因素和制定年式去评估内外部风险因素和制定年度审计计划(风险
11、评估和年度计划度审计计划(风险评估和年度计划均至少一年一次)均至少一年一次) 。以风险为基础的以风险为基础的审计是一种预先行动的方式,它着审计是一种预先行动的方式,它着重于未来的事件,以阻止问题的出重于未来的事件,以阻止问题的出现。现。步骤:步骤:(1) 确定审计领域确定审计领域识别所有潜在的组织资源和所有潜识别所有潜在的组织资源和所有潜在的待审业务(以风险为基础的审在的待审业务(以风险为基础的审计领域,不是依据经营实体来定义计领域,不是依据经营实体来定义的)的) ,要考虑的产生潜在风险的职能,要考虑的产生潜在风险的职能内部的具体业务活动。此外,还要内部的具体业务活动。此外,还要考虑管理层的要
12、求,法规要求和其考虑管理层的要求,法规要求和其他来源(如安全、质量、健康部门他来源(如安全、质量、健康部门以及外审师)以及外审师)(2) 检查风险要素检查风险要素从对组织目标的影响角度来评估;从对组织目标的影响角度来评估;同组织高层管理人员讨论确定风险同组织高层管理人员讨论确定风险水平、新业务或程序的变动;如果水平、新业务或程序的变动;如果组织中有组织中有 ERM 程序,考虑其风险管程序,考虑其风险管理的结果。总之,理的结果。总之,对高风险的活动对高风险的活动优先实施审计。优先实施审计。(3) 确定审计顺序确定审计顺序以风险的大小为依据判断其对组织以风险的大小为依据判断其对组织的影响以及组织对
13、风险的容忍度;的影响以及组织对风险的容忍度;考虑内审人员数量、胜任能力,是考虑内审人员数量、胜任能力,是否推迟或外包。最终形成审计计划否推迟或外包。最终形成审计计划一、内部审计在灾难恢复计划中的一、内部审计在灾难恢复计划中的作用作用(一)业务中断与灾难恢复计划(一)业务中断与灾难恢复计划1、业务中断可能是由自然事件或故、业务中断可能是由自然事件或故意犯罪行为导致的。这种中断对财意犯罪行为导致的。这种中断对财务和经营的方方面面都产生影响。务和经营的方方面面都产生影响。审计师应该对组织处理业务中断的审计师应该对组织处理业务中断的准备情况做出评价。准备情况做出评价。2、灾难恢复计划:一份详细的计划、
14、灾难恢复计划:一份详细的计划应该能够提供紧急反应程序,替代应该能够提供紧急反应程序,替代通讯系统和现场设施,信息备份、通讯系统和现场设施,信息备份、灾难恢复、业务影响评价和恢复计灾难恢复、业务影响评价和恢复计划、功能恢复程序,以及确保组织划、功能恢复程序,以及确保组织有准备应对紧急或灾难事件的日常有准备应对紧急或灾难事件的日常维持程序。维持程序。3、内部审计在制定灾难恢复计划时、内部审计在制定灾难恢复计划时的作用的作用内部审计师应该对组织的灾难恢复内部审计师应该对组织的灾难恢复计划做出定期评价,以保证高管层计划做出定期评价,以保证高管层了解灾难准备情况。此时内审师作了解灾难准备情况。此时内审师
15、作用:用:(1) 协助开展风险分析协助开展风险分析(2) 对已经草拟计划的设计和详细对已经草拟计划的设计和详细程度作出评价程度作出评价(3) 定期开展确认业务,证明计划定期开展确认业务,证明计划得到及时更新。得到及时更新。4、内部审计在灾难发生后的作用、内部审计在灾难发生后的作用(1)在恢复时期,内审师应该对经)在恢复时期,内审师应该对经营活动恢复和控制的有效性进行监营活动恢复和控制的有效性进行监督。内部审计活动应当对内部控制督。内部审计活动应当对内部控制和减轻风险措施需要改进的领域加和减轻风险措施需要改进的领域加以确认,对业务延续计划的改进提以确认,对业务延续计划的改进提出建议。出建议。(2
16、)在灾难发生后的几个月内,内)在灾难发生后的几个月内,内审师能够帮助发现从中汲取的教训。审师能够帮助发现从中汲取的教训。这类观察和建议可以加强恢复活动,这类观察和建议可以加强恢复活动,更新以后的灾难恢复计划。更新以后的灾难恢复计划。二、内部审计在隐私制度中的作用二、内部审计在隐私制度中的作用1、隐私、隐私隐私的定义根据国家、文化、政治隐私的定义根据国家、文化、政治环境和法律制度的不同而存在广泛环境和法律制度的不同而存在广泛的差异。隐私包括个人秘密(身体的差异。隐私包括个人秘密(身体的和心理的)的和心理的) 、活动自由(不受监视)、活动自由(不受监视)、言论交流自由(不受监督)以及、言论交流自由(不受监督)以及信息保密(由他人收集、使用、公信息保密(由他人收集、使用、公布个人资料)布个人资料) 。2、保护隐私的原因、保护隐私的原因(1)减少损害)减少损害未能通过适当的控制措施保护隐私未能通过适当的控制措施保护隐私和个人资料可能对组织造成严重影和个人资料可能对组织造成严重影响。响。(2
