2010管理审计之二.doc

遵守国际内部审计师协会的属性标准习题的答案1-10CACBB DDCAA11-20DCBBD DABDB21-30AAACA BCDDC31-40DBAAB BBACA41-50BDACB BABDD51-54ADDC内部审计在治理风险和控制中作用B以风险为基础制定计划，确定内部审计活动的优先次序一、风险的定义风险：是指发生对目标的实现可能产生影响的事件的不确定性。风险的衡量标准是后果和可能性。习题：1.标准中谈到审计计划或风险评估时使用的“风险”一词的定义是（）A内部审计师未发现导致财务报表或内部报告错误的可能性B 对组织有不利影响的事件或活动的可能性C管理层有意或无意地做出增加组织潜在负债的决策的可能性D财务报表或内部报告包含重大错误的可能性2.以下哪项是首席审计执行官在选择被审计单位时使用的风险损失的最合理定义？A、风险暴露乘以损失概率B、部门年成本总额C、损失概率D、部门资产总额3、一个高价耐用品零售商设置了一个按价目表订货的部门来接受客户的电话订货。该零售商经常进行价格促销，此时电话接线员可自主定价。这种做法的风险是（）A、客户可以按较低价格付帐B、频繁的价格变动可能使得订货输入系统超载C、接线员可能向竞争者透露促销价D、接线员可能与外部串通使用未经批准的价格二、风险的分类外部风险内部风险三、风险管理框架（ERM）2004年COSO报告：全面风险管理是一个受该实体的董事会、管理层和其他个人影响,并应用在整个机构战略设定中的过程。它被设计用于识别影响整个实体的潜在重大风险,能根据该组织的具体情况提供一个风险管理框架,并为组织目标的实现提供合理的保证。包括：八个要素。内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督1、 内部环境：董事会、管理层、组织结构、组织文化、人力资源政策、2、 目标设定战略目标、经营目标、报告目标、合法性目标3、 事项识别正面影响事项（机会）和负面影响事项（风险）4、 风险评估定量方法和定性方法（同等重要）5、 风险应对风险规避、风险降低、风险分担、风险承受剩余风险：采取措施后仍然存在的风险。6、 控制活动7、 信息与沟通8、 监督二、内部审计在风险管理中的作用内部审计活动应协助组织识别和评价重大风险问题，并帮助组织改进风险管理与控制系统具体而言，内部审计师应通过检查、评价、报告风险管理过程的适当性和有效性并提出改进建议来协zhu管理层和审计委员会的工作。以咨询顾问身份开展工作的内部审计师可以协助组织确定、评价并应用处理风险的管理方法和开展措施。不同国家、不同环境下的内部审计活动发挥作用可能相差很大，内部审计在风险管理过程中的作用可以随着时间的推移而发生变化，产生不同的作用：（1） 从无任何作用；到（2） 作为内部审计工作计划的一部分对风险管理过程进行审计；到（3） 积极持续地支持并参与风险管理过程，如：参加监督委员会、检测活动并报告情况；到（4） 管理和协调对风险的管理过程。首席审计执行官应该理解管理层和董事会期望内部审计活动在组织的风险管理过程中发挥的作用。这种理解应该在内部审计活动和审计委员会各自的章程中予以明确。三、内部审计在尚未建立风险管理过程的组织中的作用1、如果组织尚未建立风险管理guocheng，内部审计师应该提请管理层注意这种情况，并同时提出建立风险管理过程的建议。2、如果有关方面提出要求，内部审计师可以在协助初步建立风险管理过程的工作中发挥积极作用。通过咨询方式改善基础过程，以此作为对传统确认活动的补充。注意不能超过正常的确认和咨询工作的范围，以免审计独立性受到损害。3、内部审计师在建立和管理风险管理过程中所起的积极作用有别于“风险所有者”的作用。风险管理框架为首席审计执行官和内部审计职能提供了一套系统的方式去评估内外部风险因素和制定年度审计计划（风险评估和年度计划均至少一年一次）。以风险为基础的审计是一种预先行动的方式，它着重于未来的事件，以阻止问题的出现。步骤：（1） 确定审计领域识别所有潜在的组织资源和所有潜在的待审业务（以风险为基础的审计领域，不是依据经营实体来定义的），要考虑的产生潜在风险的职能内部的具体业务活动。此外，还要考虑管理层的要求，法规要求和其他来源（如安全、质量、健康部门以及外审师）（2） 检查风险要素从对组织目标的影响角度来评估；同组织高层管理人员讨论确定风险水平、新业务或程序的变动；如果组织中有ERM程序，考虑其风险管理的结果。总之，对高风险的活动优先实施审计。（3） 确定审计顺序以风险的大小为依据判断其对组织的影响以及组织对风险的容忍度；考虑内审人员数量、胜任能力，是否推迟或外包。最终形成审计计划一、内部审计在灾难恢复计划中的作用（一）业务中断与灾难恢复计划1、业务中断可能是由自然事件或故意犯罪行为导致的。这种中断对财务和经营的方方面面都产生影响。审计师应该对组织处理业务中断的准备情况做出评价。2、灾难恢复计划：一份详细的计划应该能够提供紧急反应程序，替代通讯系统和现场设施，信息备份、灾难恢复、业务影响评价和恢复计划、功能恢复程序，以及确保组织有准备应对紧急或灾难事件的日常维持程序。3、内部审计在制定灾难恢复计划时的作用内部审计师应该对组织的灾难恢复计划做出定期评价，以保证高管层了解灾难准备情况。此时内审师作用：（1） 协助开展风险分析（2） 对已经草拟计划的设计和详细程度作出评价（3） 定期开展确认业务，证明计划得到及时更新。4、内部审计在灾难发生后的作用（1）在恢复时期，内审师应该对经营活动恢复和控制的有效性进行监督。内部审计活动应当对内部控制和减轻风险措施需要改进的领域加以确认，对业务延续计划的改进提出建议。（2）在灾难发生后的几个月内，内审师能够帮助发现从中汲取的教训。这类观察和建议可以加强恢复活动，更新以后的灾难恢复计划。二、内部审计在隐私制度中的作用1、隐私隐私的定义根据国家、文化、政治环境和法律制度的不同而存在广泛的差异。隐私包括个人秘密（身体的和心理的）、活动自由（不受监视）、言论交流自由（不受监督）以及信息保密（由他人收集、使用、公布个人资料）。2、保护隐私的原因（1）减少损害未能通过适当的控制措施保护隐私和个人资料可能对组织造成严重影响。（2）法律法规的要求（3）有助于良好的治理和责任董事会和高管层有责任为组织建立必要的隐私制度并实施监督。3、内部审计在隐私保护中的作用评价组织的隐私制度，确认重大风险同时对降低风险提出适当建议。包括：确认组织收集个人信息的类型和适当性，采用的收集方法，组织对这些信息的使用是否符合原定的用途，是否遵守法律等。鉴于隐私具有很高的技术和法律方面的特性，内部审计师可能必须寻求第三方专家的帮助来评估组织的隐私制度。三、内部审计在报告环境、安全和健康（ESH）风险中的作用1、首席审计执行官应当在组织风险评价中，对环境、健康和安全进行评估，并与组织经营过程中的其他类型风险相联系。应当评估的风险暴露有：组织的报告结构，造成环境危害的可能性，罚款、处罚、环保部门要求的支出，伤亡记录，客户损失记录，公众形象和名誉损失。环境审计的组织形式：（1）首席审计执行官和环境审计主管分别隶属不同的职能部门，双方互不联系；（2）首席审计执行官和环境审计主管分别隶属不同的职能部门，双方合作开展工作；（3）首席审计执行官负责环境审计事宜。2、首席审计执行官在环境审计中的作用（1）建立与环境主管官员的密切合作关系，就环境审计计划开展合作。（2）在环境审计职能不对首席审计执行官报告的情况下，对审计计划和审计项目的实施进行检查。（3）如果环境审计在组织设置上独立于内部审计部门，首席审计执行官应该定期安排质量确认检查，以确定环境风险是否被充分揭示。ESH审计方案可以：（1）侧重合规性（2）侧重管理体制；（3）两种方式结合。四、内部审计在信息或物理安全方面的作用1、安全：包括采取物理上的和程序上的措施来保护组织的建筑物、使用者、建筑物内的财产。安全的目标是消除和减少组织财产损失的风险，无论其是有形的、无形的；无论是人为的还是自然灾害。2、薄弱环节是指系统可能被不良目的所利用的某些方面，包括系统弱点、安全漏洞和实施缺陷等。信息安全的薄弱环节集中于：保密性、完整性和有效性。物理安全的薄弱环节集中于：自然灾害、信息服务崩溃、人为错误、盗窃或故意损坏、恐怖行为等。3、要消灭所有的信息或物理安全是不可能的，一个组织要拥有一套恰当的风险管理流程及时处理可能暴露的信息或实物损失。4、内部审计师应当确定管理层和董事会或其他治理机构清楚地认识到信息或物理安全是管理层的一份责任。首席审计执行官应当确定内部审计活动拥有或可以接触到有证明力的审计资源，用来评价安全及风险。5、内部审计师应当评价针对以往发生的及未来可能发生的对信息系统的攻击进行预防、发现和减轻的有效性。应当确认董事会或其他治理机构已经被告知了威胁、事故、发现的薄弱环节和纠正措施。以风险为基础制定计划，确定内部审计活动的优先次序一建立评估风险的框架1标准中谈到审计计划或风险评估时使用的“风险”一词，它的含义是（）A内部审计师未发现导致财务报表或内部报告错报或误导的重大错误或事件的可能性。B对组织有不利影响或活动的可能性。C管理层有意或无意地作出增加组织潜在负债的决策的可能性。D财务报表和/或内部报告包含重大错误的可能性。2以下哪项是首席审计执行官对在选择被审计单位时使用的风险损失的最合理定义？（）A风险暴露乘以损失概率。B部门年成本总额。C损失概率D部门资产总额3一个高价耐用品零售商设置了一个按价目表订货的部门来接受客户的电话订货。该零售商经常进行价格促销，这时电话接线员就按促销价处理订货。这种做法的风险是A客户可以按较低价格付账B频繁的价格变动可能使订货输入系统超载C接线员可能向竞争者透露促销价D接线员可能与外部串通使用未经批准的价格4在实施审计时，审计风险的最好定义是内部审计师A可能没有将有错误的凭证作为检查内容B由于内部控制的薄弱，可能不能正确的对活动进行评价C检查中可能没有发现重大错误或弱点D可能不具备足以对某特定活动实施审计的专门知识二应用该框架5风险评估程序的第一步是将组织内部可审计活动进行识别和分类。以下哪项不能作为可审计活动A审计委员会为其召开的一次季度会议而制定的会议日程B总分类账余额C电算化信息系统D与本组织有关的法律及法规6首席审计执行官需要决定怎样将一个组织划分为各项可审计活动，以下哪项属于可审计活动A一个程序B一个系统C一个账户D以上三个都是利用以下信息回答7-10题某公司有两大生产厂。每家工厂均包括两大生产工序和一个独立的包装工序，两大系统的生产工序均相同。使用的原材料包括铝、塑料原料、各种化学物品及溶剂。在一些操作过程中，如原料运输和储存、经特殊处理化学制品的使用、产成品的流转和安放均存在污染现象。在废品中也包括一些污染物质，无害废品均运至当地垃圾填充场。外部废物处理商处理、贮存、处置所有的有害废品。管理层了解其必须遵循环境保护法的相关义务。公司最近还制定了一项环境政策，其中要求其每个员工必须遵守环境保护法。7管理层正在考虑开展环境审计项目的必要性，以下哪项不属于整个项目的目标？A对两大生产厂进行实地评估B评价公司对所有环境法规的遵守情况C评价将废物减少至最低限度的可能性D确保管理系统足以使未来环境风险降至最低限度8如果环境审计由内部审计部门来开展，首先应采取哪项行动A对各生产厂进行风险评估B检查公司政策与程序C对审计人员进行技术培训D检查环境管理系统9内部审计部门开展环境审计的优势是A现有的独立性与权威性B技术技能更有优势C不强调财务方面D内部审计工作可以保密10许多国家要求生产有害废物的公司自始至终对其废物承担责任。公司的潜在风险在于使用外部废物处理商来处置有关废物。在对外部处理商审计时应采用哪个步骤A检查处理商与有害材料相关的文件资料B检查处理商的偿债能力C检查处理商的应急反应计划D所有上述步骤11首席审计执行官刚完成一个风险评估程序，确定了该单位的最高风险区域并决定优先审计这些区域。以下哪项与该风险评估在逻辑上一致并与标准相一致？I各项目应当按照本组织的风险暴露、可量化风险级数进行量化II风险先后顺序应当以重大控制缺陷为依据III量化的风险评估，仍是对风险暴露及其发生的可能性方面作出专业判断的结果A只有IB只有IIICII和IIIDIII和III12管理层注意到某分公司最近开支增加，利润降低，要求内部审计部门对该分公司进行经营审计。管理层希望该项审计能尽早完成，并要求内部审计部门投入一切可能的资源。但首席审计执行官认为时间上有矛盾，因为内部审计部门此时正忙于审计委员会下达的一个重要的合法性审计任务。关于这两个项目风险评估的表述哪项正确？I审计委员会要求进行的被审计事项，其风险总是高于管理层要求的被审计事项II预算金额高的被审计事项的风险总是高于预算金额低的被审计事项III风险高低应通过对企业潜在价值的估计或不利因素的暴露来衡量A只有IB只有IIC只有IIID I和III13风险评估是对可能出现的对组织不利的情况和/或事件的专业判断进行评估和综合的系统过程，以下陈述中哪项正确反应了首席审计执行官应采取的恰当行动?A首席审计执行官通常应当对高风险的活动优先考虑实施审计B首席审计执行官应该限制风险评估过程中使用的信息来源的数目C为了指导首席审计执行官进行风险评估，要对审计工作时间表上的优先顺序加以确定D至少每三至五年实施一次风险评估14在风险评估过程中，以下哪项属于恰当的内部审计行为？I低风险区域委托给外部审计师负责，而高风险区域则由内部审计师来负责II高风险区域应当与管理层、审计委员会要求优先考虑的问题一起纳入审计计划III风险分析应当在确定年度审计工作计划时运用，因而只能每年开展一次A只有IB只有IIC只有IIIDI和III15内部审计师正考虑开展风险分析，以此为基础决定本组织应当审计的领域。关于风险分析的以下陈述哪项正确？A内部审计师进行比较风险分析时，某一领域内依赖于管理层判断的程度可以作为风险因素B潜在损失最大的领域评估为高风险C发生可能性最大的领域评估为高风险D为组织内部各部门间提供一定可比性，风险分析应当采用量化形式16首席审计执行官设置了一套电算化的电子表格，以便对组织内不同部门进行风险评估。该电子表格包括以下因素：部门经理完成利润指标的压力经营活动的复杂程度部门员工的胜任程度部门内会计账户受主观影响的金额，例如退休津贴等费用账户即受管理层决策影响首席审计执行官召集了审计管理层的会议，已达成对部门员工胜任情形的共识。其他因素则由首席审计执行官或负责具体某部门审计的审计经理按高中低来估定。首席审计执行官对各因素设定了0.5至1.0的权数，然后计算出综合的风险系数。以下关于风险评估的说法哪项正确？A风险分析是不恰当的，因次它混淆了定量因素与定性因素，所以不可能进行预期值的计算B将各因素按高、中、低等离散水平来测定风险的风险评估程序是不适当的，因为风险级别不可量化C权数的确定具有主观性，必须通过多元回归分析等程序来确定D通过主观的集体共识来评估员工的胜任情况是恰当的三识别内部审计资源需求17在确定分配给某项审计业务的内部审计师的数量和经验水平时，首席审计执行官应考虑的因素不包括A审计业务的复杂性B可利用的审计资源C内部审计师的培训需求D与上一次审计的间隔时间18假设某内部审计人员拥有必要的经验和训练，那么以下哪项工作适合其承担？A在应付账款主管请病假时代替他的位置B确定各种投资方式的盈利能力并选取最优的一个C作为评估小组的成员，审查供应商会计软件内部控制并根据风险暴露划分为等级D从会计部门调出后不久参加对该部门的内部审计19公司管理层刚实施一项政策，要求各部门立即削减10%的员工及预算。首席审计执行官响应了组织最近作出的“缩减规模”（即全面缩减员工人数）计划，要求审计经理们对每项工作分配的时间均缩减10%，以下哪项关于首席审计执行官的行为和审计经理们的可能行为说法正确？A首席审计执行官行为将导致与以前审计计划大致相同的风险，只是降低了10%B各审计经理可以通过同时削减10%的审计程序获得相当于以前界定的90%的审计收益范围C首席审计执行官应当重新估定风险次序并削减特定的审计任务，而不是全面削减10%D以上各项均正确20以下哪项审计计划工具最常见，并能保证一定时期内适当的审计覆盖面？A长期日程表B审计方案C部门预算D部门章程四与以下方面协调内部审计工作21以下那种有关协调内部审计和外部审计工作结果的说法正确？A首席审计执行官不应将非法审计行为的信息告诉外部审计师，因为外部审计师会根据要求将这类事件报告给董事会和/或法规监管机构B外部审计师工作底稿的所有权和保密性妨碍了内部审计师对他们的查阅C首席审计执行官应该确定，在外部审计师给管理层的建议书中提到的事情已经由管理层采取了适当的跟踪检查和纠正行动D如果内部审计师在年度审计中协助外部审计师工作，那么他们不必遵循标准22作为某制造业公司的环境、安全和健康（ESH）自检系统的重要组成部分，在一定工作区域或场所内的有关冲突是由一个ESH职员和作业经理来处理的。如果缺陷不能及时被纠正，这个ESH职员会将其输入跟踪数据库，这个数据库可以通过局域网被所有部门访问。ESH经理利用这个数据库每季度向上级管理部门提供自检系统检查情况的报告。内部审计师注意到，输入锁合信息和确认已经完成纠正行动的工作都是由作业经理完成的。以下控制系统中的哪一种变化可以作为潜在利益冲突的补救措施?A不需要增加控制措施，因为季度报告由上级管理部门来复查在这种情况下已经提供了充分的监督。B不需要增加控制措施，因为那些实施纠正行动的人最适合评估行动的充分性和完成情况C在锁合信息输入系统后，应由该区域检查团的ESH职员进行复查，以核实锁合信息D ESH部门的秘书负责根据作业经理所做的备忘录，将所有信息输入系统23高级管理层中的某些人提出疑问，作为公司总体质量管理过程的一部分，内部审计部门是否应该向最近设立的质量审计职能部门报告工作。首席审计执行官审阅了质量审计经理提出的质量标准和计划，他对高级管理层的答复应该是A改变公司内部审计的运用标准以便遵循质量审计标准B改变新的内部审计人员的资格要求，使之包括具有质量审计经验C对撤销内部审计职能后部门成本的节约额进行估计D确认与质量审计职能相关的活动，保证审计日程表与总体审计责任的协调24一位大气质量问题上很有经验的内部审计师与环境、安全与健康（ESH）部经理交谈时发现该经理对有关控制大气排放的法律要求了解甚少，他应当A将审计范围转变为关注与大气排放相关的活动B向ESH经理介绍相关知识C记录这一弱点，并进一步提问以便确定该弱点的潜在影响D把在这方面有违法可能性的情况向适当的法规机构报告25标准不要求首席审计执行官：A为年度报表的财务审计提供资料B与懂事会和高级管理层沟通外部审计师关于绩效评估的结果C与外部审计师协调审计工作D与董事会和高级管理层沟通关于内外部审计师协调工作的评估结果五选择审计业务26在考虑是否将现有的内部审计资源从正在进行的合规性审计转向管理层要求的对某分公司进行审计时，以下哪一种情况最不重要？A该分公司一年前由外部审计师进行过一次财务审计B与合规性审计相关的舞弊的可能性C过去一年中该分公司费用的增长D与合规性审计相关的潜在的重大违规罚款的可能性27在确认是否应将采购部或人事部列入审计日程安排时，以下那个因素最不重要？A其中一个部门的经营发生了重大变动B最近新来了一个精通其中某个领域知识的内部审计师C其中一个部门比其他部门更有机会取得经营收益D其中一个部门的潜在损失远远大于其他部门28在对某个高风险领域的特定审计项目制定计划时，首席审计执行官认为现有人员不具备完成该业务的必备技能，那么最符合审计计划标准的做法应该是A由于不具备必备技能，因此不实施该计划B将该审计作为一次锻炼机会让内部审计师们在审计实施过程中学习C考虑运用外部资源来补充所需知识、技能、方法并完成该项业务D实施该审计，但鉴证技能的缺乏而限定审计范围29某地方政府机构收到一笔中央政府转向基金，用于向低收入家庭提供资助。该机构被要求对家庭经济条件进行调查。资助金额与家庭规模、家庭成员的收入、家庭中儿童的年龄以及入学情况相关。该机构的内部审计师计划对该机构发放资助基金的过程实施合规性审计。最适当的审计范围应该是A该机构是否对受益者的资格以及资金发放的适当性进行调查B该机构发放政府基金时的效率性C提供给中央政府的发放报告的正确性D资金能缓解家庭经济问题的充分性30某制造企业在其产品制造过程中需用一些有危害性的原料。对这类有害原料的审计应当包括：I建议将环境管理制度纳入企业政策与章程II确定这些有害原料自始至终的记录是否存在III利用专家意见以避免公司由于环境审计发现的非法事项而陷入诉讼威胁IV评价因环境方面的应计事项而确认的相关成本A只有IIB I和IIC I、II和IVD III和IV31以下活动由内部审计部门实施较为妥当的是A设计控制系统B起草控制系统的程序C在实施之前审查控制系统D安装控制系统32内部审计部门遇到了来自高级管理层的范围限制，这将会影响内部审计部门对潜在被审计单位审计时实现审计目标的能力。该范围限制的性质应该A在审计工作底稿中注明