第1部分以风险为基础制定计划确定内审重点(B部分)

培训讲座第一部分（B）课程提纲中国审计网CIA考试培训讲座第一部分（B）课程提纲以风险为基础制定审计计划，确定内部审计的重点试题比重约1525，主要包括6个方面的内容：1.计划2.沟通和批准3.资源管理4.政策和程序5.协调6.向董事会和高层管理者报告首先我们就标准的相关内容来了解这部分的内容： 1.计划：重点了解第2010条标准以及2个实务公告：（1）IIA实务公告2010-1：计划（2）IIA实务公告2010-2将审计计划同风险和风险暴露相联系2.沟通和批准：重点了解第2020条标准和2020-1号实务公告3.资源管理：重点了解第2030条标准和2030-1号实务公告4.政策和程序：重点了解第2040条标准：“首席审计执行官应该制定指导内部审计活动的政策和程序”以及IIA实务公告2040-1：政策和程序 书面政策和程序的形式和内容，应当同内部审计活动的规模和结构及其工作的复杂性相适应； 并不是所有的内部审计活动都需要正式的管理和审计技术手册。 小型的内部审计活动的管理可以是非正式的。可以通过日常的、密切的监督和书面备忘录来指导和控制其审计人员。在大型内部审计活动中，正规、全面的政策和程序对指导审计人员坚持遵守内部审计专业实务标准而言是必不可少的。典型试题内部审计专业实务标准要求制定书面的政策和程序来指导内部审计活动。对于这项要求，以下哪项表述是错误的：A.书面政策和程序的形式和内容应该与内部审计活动的规模相适应；B.所有的内部审计活动都应该有详细的政策和程序手册；C.不是所有的内部审计活动都需要正式的管理和技术手册；D.小型内部审计活动可以通过密切监督和书面备忘录来进行非正式管理。解析书面政策和程序的形式和内容应与内部审计活动的规模和结构及其工作的复杂性相适应，并不是所有的内部审计活动都需要正式的管理和审计技术手册。小型的内部审计活动的管理可以是非正式的（实务公告2040-1）。因此答案为B。A不正确，书面政策和程序的形式和内容应与内部审计活动的规模相适应；C不正确，不是所有的内部审计活动都需要正式的管理和技术手册；D不正确，小型的内部审计活动的管理可以是非正式的，可以通过日常的、密切的监督和书面备忘录的形式来管理内部审计活动。5.协调：重点了解第2050条标准以及2050-1，2050-2实务公告对外部审计师独立性的评估应该有内部审计的参与，至少每年进行一次，并应该向审计委员会报告。6.向董事会和高层管理者报告：重点了解第2060条标准（1）IIA实务公告2060-1：向董事会和高层管理者报告首席审计执行官应当在全年内定期向高层管理者和董事会提交活动报告。活动报告应该强调重要的业务观察和建议。其中重要的业务观察是指那些根据审计执行主管的判断，可能对组织产生不利影响的情况。重要的业务观察可以包括对违规、违法、低效率、浪费、无效、利益冲突和控制系统的薄弱环节的处理情况。管理层的职责是对重大的业务观察和建议所应采取的适当改进措施做出决定。高层管理者可能决定，考虑到成本费用和其他原因，他们将不采取报告中指出的整改措施，并承担由此引起的风险。应将高层管理者对所有重要业务观察和建议所做的决定告知董事会。（2）IIA实务公告2060-2：与审计委员会的关系审计委员会是由独立于管理层的外部董事组成的专门委员会。 根据标准，首席审计执行官应在风险评估的基础上为内部审计部门至少一年制定一次审计业务计划，这也就是说，风险评估至少每年进行一次。在制定审计计划的过程中，应充分考虑高风险区域、高级管理层、董事会、审计委员会以及监管部门的要求优先考虑的问题。评估风险的框架依据这个COSO（koso）内部控制的三大目标：1是运营的效果和效率、2是财务报告的可靠性、3是遵守适用的法律法规。以及内控的五大要素：控制环境、风险评估、控制活动、信息沟通和监控这五个基本的层次，来评估我们风险的框架。对于风险评估之后，才能形成审计计划。典型试题在为审计业务开发合适的工作方案时，审计监督人员需要考虑的最为重要的因素是：A记录和数据的可获得性；B风险的潜在影响；C审计人员的知识和经验；D完成审计业务所需的时间。风险是指发生对目标的实现可能产生影响的事件的不确定性。风险的衡量标准是后果（风险暴露）与可能性（发生风险的损失概率）这两个关健的因素。典型试题以下哪项是首席审计执行官对在选择被审计单位时使用的风险损失的最合理定义?a风险暴露乘以损失概率。b部门年成本总额。C损失概率。 d部门资产总额。风险它是指对组织有不利影响的事件或活动的可能性，包括管理层的决策风险、财务报表和内部报告风险、内部审计师的审计风险等等。通常使用潜在的可货币化或因暴露对组织将产生的不利影响来衡量。风险的后果包括： 由于使用不正确、不及时、不全面的信息而作出了错误的决定； 对于错误记录的保存、不适当的会计记录、舞弊的财务报告、财务损失的暴露； 没有恰当地保护资产； 被审计单位的不满意、负面的宣传、名誉的损失； 没有遵守政策、程序、计划、法律和规章； 不经济地获取资源或没有效率、没有效果地使用这些资源； 没有达到项目经营所确定的目标和任务。风险评估框架可以为首席审计执行官和内部审计职能提供了一套系统的方式去评估内外部风险因素和制定年度审计计划。内部审计师要清楚并让管理层理解和认识到：内部审计师不可能去评估组织面临的所有可能的风险。通常来讲，大部分以风险为基础的框架包含如下步骤：1.识别可审计的活动；2.分析可审计主体会给组织带来的风险；3.对风险进行排序，确定审计计划。一.识别可审计的活动：内部审计业务范围是由本组织的内部审计章程、管理层的要求和内部审计部门的具体目标等因素来确定的。可审计活动包括能评价和作出结论的问题、单位或系统。具体操作时可以对组织中的所属各层次单位和流程进行列示从而发现潜在审计业务；在评估的过程中要注意在大量来源中收集有用的数据，可以通过访谈、焦点小组、观察、会议这样的方法来收集定性数据，通过专业研究、报告、调查等方法获得定量数据。典型试题风险评估程序的第一步是将组织内部可审计活动进行识别和分类，以下哪项不应作为可审计活动?a一个账户。b与本组织有关的法规。C一个程序或系统。 d审计委员会一次会议日程。 二.分析可审计主体会给组织带来的风险一旦潜在审计业务来源确定，就需要评估能够对组织目标产生影响的风险和机会。就是说要分析出风险重要性，可能性：一是风险的重要性，二是风险发生的可能性。分析风险的程序包括：风险识别，风险度量和风险排序三个过程。组织风险包括战略风险、项目/方案/程序风险、经营风险等等。风险也可以以接受风险、避免风险、转移风险和控制风险几种方式进行处理的。典型试题将机构的设施管理职能外包是哪种风险的处理范例：a接受风险；b转嫁风险；c规避风险；d控制风险。思路：a接受风险；（也叫自保风险，企业自己承担风险，象通过建立突发事件应急预案来管理，或小额损失纳入生产经营成本，损失发生时用企业的收益补偿。或针对发生的频率和强度都大的风险建立意外损失基金，损失发生时用它补偿。）b转嫁风险；（利用保险或者其它部分来分担或转移风险，象在风险发生前，通过采取出售、转让、保险等方法，将风险转移出去。）C规避风险；（寻找能够阻止风险发生的办法。比如避免航空事故可改用陆路运输等。因为存在以下问题，所以一般不采用：1是可能会带来另外的风险。比如航空运输改用陆路运输，虽然避免了航空事故，但是却面临着陆路运输工具事故的风险。2是可能会影响企业经营目标的实现。比如为避免生产事故而停止生产，则企业的收益目标无法实现。）d控制风险。（也叫预防风险，采取措施消除或者减少风险发生的因素。通过内控手段等来降低风险，例如为了防止水灾导致仓库进水，采取增加防洪门、加高防洪堤等，可大大减少因水灾导致的损失。）三.对风险进行排序，确定审计计划。风险评估的最后一步，就是将风险评估过程中收集的信息资料进行综合分析，并尽可能对各种风险因素进行量化，对已知风险通过绝对排序、相对排序和矩阵排序等方法进行打分，并将照等级进行排列，一般分为高、中、低档，按风险水平高低对组织中的拟审计对象进行排序，比如金额的大小和可能发生损失的机率这两个因素缺一不可，从而确定开展内部审计的先后顺序。这里我们要注意的一点就是并非所有的风险都可以量化，对风险的评估在很大程度上属于一种职业判断。在确定审计工作安排重点时应该考虑的事项包括：最近一次审计的日期和结果；对风险和风险管理控制过程效果的最新评价；管理高层、审计委员会和理事会的要求；当前与组织治理有关的问题；企业业务、运营、程序、系统和控制发生的主要变化；实现营业利益的机会；审计人员的变化和能力。工作安排应该具有充分的灵活性，以便覆盖对内部审计活动的意外要求。列出内部审计重点之后，接着就可以确定审计计划。我们以最高水平的风险评估、计划程序变动、管理层的要求和可以获取的内部审计资源为基础确定下一年度最重要的审计领域。首席审计执行官应当对高风险的活动优先考虑实施审计，但不是绝对。换句话说，首席审计执行官不能只选择最高风险作为要开展的审计业务。完成风险评估之后，首席审计执行官就应该识别内部审计资源的需求，这就是审计资源配置的问题，属于首席审计执行官的职责。首席审计执行官应制定选择和开发内部审计部门人力资源的方案，以规定各层次审计人员的岗位职责、选择合格和能胜任工作的人员、培训审计人员、提供审计人员后续教育机会和专业发展建议、至少一年一次对内部审计人员进行业绩评价、并向内部审计人员提供业绩和专业发展方面的咨询建议。典型试题如果环境审计由内部审计部门来开展，首先应采取哪项行动?a对各生产厂进行风险评估。b检查公司政策与程序。c对审计人员进行技术培训。d检查环境管理系统。思路：a不正确。对生产厂进行风险评估是实施环境审计的基础，但在审计人员掌握有关技能和公司的政策和程序之前，风险评估工作无法开展。b正确。检查公司政策和程序应该在风险评估之前进行。c正确。对审计人员进行培训以满足审计业务的胜任要求，应在实施审计工作前进行。不具备相关知识的内部审计师无法开展具体的环境审计工作，甚至没有能力检查公司政策和程序。因此，在内部审计人员缺乏环境审计知识技能的情况下，首先应对审计人员进行技术培训。d不正确。对环境管理系统进行检查也是实施审计的一个步骤，但只有在审计人员掌握有关技能并熟悉公司的政策和程序的情况下才能开展，因此，该行动在时间顺序上排在b和c之后。典型试题在确定分配给某项审计业务的内部审计师的数量和经验水平时，首席审计执行官应考虑的因素不包括a审计业务的复杂性。b可利用的审计资源。C内部审计师的培训需求。d与上一次审计的间隔时间。思路：a不正确。根据标准2230，“人员的配置应依据对每项审计工作的性质和复杂性、时间限制以及可利用资源的评价”，因此首席审计执行官应考虑审计业务的复杂性。b不正确。根据标准2230，“人员的配置应依据对每项审计工作的性质和复杂性、时间限制以及可利用资源的评价”，因此首席审计执行官应考虑可利用的审计资源。C不正确。根据实务公告22301，“由于每一项委托的审计工作任务都是满足内部审计部门不断发展要求的基础，所以应考虑内部审计师的培训要求”，因此首席审计执行官应考虑内部审计师的培训要求。d正确。审计间隔时间与审计人力资源的分配没有直接关系。识别出这个审计资源之后，我们就要和有关方面协调内部审计工作， 比如说我们要通知被审计对象，让被审计对象知道我们这个审计目标。另外还要根据风险和资源的实际情况，要和高级管理层和董事会沟通计划和资源安排。在面临审计范围限制时，最好以书面形式向董事会、审计委员会或其它相关的治理机构报告审计范围的界限及其潜在影响。在资源有限时，首席审计执行官应该采取其它的替代措施，比如利用外部资源。象与外部审计师的合作，标准规定内部审计师与外部审计师共享信息、相互协调，以确保工作的全面性，最大限度地减少重复工作。内部审计师通过和外部审计师以及法规监管机构等协调合作，最终保证正常实施内部审计业务。在协调内外部审计人员的工作时，首席审计执行官应确保内部审计人员遵循标准的有关规定，并经常评估内外部审计人员的工作协调情况。典型试题对内外部审计工作协调情况的监督，归根到底是属于谁的职责？A董事会B首席审计执行官C外部审计业务合作伙伴D高层管理人员思路：B.正确。根据实务公告2060-2.5，首席审计执行官向审计委员会提供相关信息，包括与其他控制和监督部门的协调情况及对其监督的情况。内部审计师在风险管理过程中的作用，主要是评价和改善的作用，利用系统的和规范的方法对风险管理、控制和治理过程的有效性进行评价和改善。风险管理是管理层的主要责任；对于组织风险管理过程中的评估和报告，才是内部审计师的工作重点。典型试题假设某内部审计人员拥有必要的经验和训练，那么以下哪项工作适合