第1部分内部审计在公司治理中的作用(CDE部分-1)

培训讲座第一部分（3）课程提纲中国审计网CIA考试培训讲座第一部分（3）课程提纲内部审计在公司治理中的作用将大纲中的C部分：理解内部审计在公司治理中的作用和D部分：执行其他内部审计任务和职责以及E部分：治理、风险和控制知识要点归纳成两个问题来讲：第一个问题：公司治理与内部审计；第二个问题：风险和控制要点。 公司治理问题一直是企业的核心问题。狭义的公司治理是指，公司股东直接或间接（通过董事会）对公司管理层进行监督和评价其表现行为；广义的公司治理则包括了公司的整个内部控制系统，它通过自上而下地分配和行使责权、监督、评价和激励董事会、管理层以及员工实现公司目标，以保障包括股东、董事会、管理层、员工、供应商、债权人、客户、政府和社区、其它利益相关者在内的利益关系人的权益。公司治理的实质是确保经营者的行为符合利益相关者的利益，公司治理的核心就是内部控制。 典型试题：以下哪项内容以最佳方式描述了公司利益相关方代表用以对管理层管理下的过程进行监督相关程序：A治理B控制C风险管理D监控世界经济合作发展组织制定的公司治理结构原则指出：一个良好的公司治理结构应当：实现组织既定的目标，维护股东的权益；确保利益相关者的合法权益，并且鼓励公司和利益相关者积极进行合作，保证及时准确地披露与公司有关的任何重大问题，包括财务状况、经营状况、所有权状况和公司治理状况的信息；确保董事会对公司的战略性指导和对管理人的有效监督，并确保董事会对公司和股东负责。因此，完善的公司治理应该：保持良好的内部控制系统；不断检查内部控制的有效性；对外如实披露内部控制现状；保持强有力的内部审计。一、公司治理模式与内部审计目前从国际上来讲公司治理主要有两种模式：英美模式和德日模式。1、外部控制主导型的内部审计模式内部审计由董事会下设的由外部独立董事构成的审计委员会领导，内部审计人员接受审计委员会的职能监督，可以不受限制地与董事会进行接触交流，其任命和撤换必须经审计委员会批准，可以较好地保持与管理当局的独立。内部审计人员可以不受限制地检查会计资料及其反映的生产经营活动的内部控制情况，对公司的内部控制制度和经营活动的合理性做出持续的评估，协助审计委员会对高级经理层的监督，防止重大舞弊问题的出现，帮助管理当局改进管理，是兼顾财务制约和管理建设型的内部审计。 2、内部控制主导型的内部审计模式内部审计由兼任董事长的行政首领领导，很难与管理当局保持独立，内部审计人员主要由管理当局任命。内部审计也对内部控制制度和会计资料的真实性有效性进行评估，但很少涉及到对高级经理人员的监督，更多地是从事改进管理效率、增加公司财务利润的管理审计和经营审计，是管理建设型的内部审计。二、公司治理与董事会公司的董事会具有以下七个方面的主要职责：1.董事会负责公司战略计划的制定和实施；2.开展风险管理活动；3.坚持公司道德和价值取向，遵守法律法规和有关国际约定；4.衡量和监控公司的业绩（注意一种新的关键绩效指标，可持续发展指标或公司社会责任指标）；5.评价、任命和撤换管理层等方面的工作（在了解评估业绩测评系统的业务）；6.监控企业的购并活动，防范购并带来重大损失。7.审批企业的主要财务报告，监督、促进管理层采取措施，使财务与非财务信息的生成以及发布的方式、时机在有效控制之下，符合监管机构的要求。董事会有效履行职责的途径和手段有许多，其中重要的手段之一就是内部审计。内部审计作为董事会及其审计委员会或监事会强化与改进公司治理的重要手段，主要表现在通过定期和不定期向审计委员会汇报内部审计情况、开展内部治理审计，协助董事会及其审计委员会促进和帮助最高层管理当局有效履行其受托管理责任。 典型试题：谁对建立和维持组织的治理程序负责？a首席审计执行官b董事会 c高级经理d内部审计师解题思路：b正确。董事会对建立和维持公司治理程序负责并确保风险管理与控制程序的效果。三、审计委员会与内部审计萨班斯法案规定，审计委员会至少应有一位成员是财务专家。董事会及其审计委员会对内部审计实施监督、指导的典型事项：1、批准内部审计章程。一般来说，内部审计章程由内部审计部门起草，并报经董事会、审计委员会、相关治理机构和高级管理层批准或认可，一经董事会的批准，管理层无权擅自更改，从而确保内部审计部门的地位和活动不受限制。另外，批准过的内部审计章程可作为管理层和董事会评价内部审计工作质量的依据。2、提名或审核批准首席审计执行官的聘用和解聘。典型试题：审计委员会最有可能参与对以下哪项内容的审批工作?a审计人员的提拔和加薪。b内部审计报告中审计发现和审计建议。c审计工作时间表。d任命首席审计执行官。解题思路：a不正确。审计人员的提拔、加薪属于内部审计部门的内部管理事务，一般由公司首席审计执行官负责。b不正确。公司首席审计执行官作为内部审计业务的最高负责人，负责审批内部审计报告中的审计发现和审计建议。c不正确。对审计工作时间表的审批属于内部审计活动的计划职能，一般由公司首席审计执行官负责。d正确。当审计委员会参与任命首席审计执行官时，将提高内部审计活动的独立性。3、审核年度内部审计计划。审计委员会应根据首席审计执行官、有关管理当局对本企业当前面临风险的评价和通过其他途径了解的风险状况，审核、批准内部审计人拟定的年度审计计划。审核过程中提出改进意见，促进内部审计计划对企业高风险领域和环节予以足够的重视，促进审计资源的配置有利于科学地管理本企业的风险并与外部审计协调配合。首席审计执行官负责与高级管理层和董事会的沟通工作：内部审计部门的工作业务计划应报高级管理层审批，并报董事会备案，报告中应包括充分的信息，以便他们能够确定内部审计部门的目标和计划是否有助于实现组织的目标和计划；审计业务计划在中期发生重要变化时，亦应及时沟通；在执行审计业务计划的过程中，如果内部审计资源不足和审计范围受到限制，首席审计执行官应及时向高级管理层和董事会报告，报告内容包括资源不足和范围限制可能带来的后果。 典型试题：审计政策要求在管理层没有答复之前不能发布最终审计报告。某项具有重大发现的审计工作已经结束，但尚未得到管理层的答复。评价以下行动并作出最佳选择。a发布有关应注意重要问题的中期报告。b修改审计政策，给管理层答复规定一个明确时期。c等管理层的答复后再发布审计报告。d与外部审计师讨论这一情况。解题思路：a正确。根据实务公告24101第14条，“中期报告可以用于报告需要马上注意的信息，报告审计活动审计范围的变化或当审计延续时间较长时将审计的进展通报管理层”，重大审计发现应及时提请有关部门注意，在无法发布最终报告的情况下，发布中期报告是恰当的。b不正确。审计政策的改动可能要经过繁琐的手续，不一定能及时解决目前的问题，而且审计部门没有权力向管理层作出上述限定。c不正确。这样会使审计工作陷入被动等待的局面，而且无法及时报告审计结果。d不正确。在向董事会等机构报告并取得授权之前，内部审计师不应将内部事务与外部审计师进行讨论。4、审查内部审计组织结构和人员素质结构。5、审核内部审计的预算。审计委员会应根据本企业当前必需的内部审计活动的质和量，审核内部审计的年度预算和临时承担的重要审计项目的预算，并在预算不足时提出增加预算的具体意见，促进最高层管理当局确保内部审计活动的经费支持。6、听取首席审计执行官的审计结果报告，并责成其对有关事项实施审计或审计调查。首席审计执行官应每年至少向高级管理层和董事会提交一次工作报告。这是定期的工作。当出现重大的审计事项时，首席审计执行官应及时及时向董事会报告。首席审计执行官在向董事会报告重大审计事项前，应与高级管理层进行讨论。即便讨论取得了令人满意的结果，首席审计执行官也应报告。此外，首席审计执行官还应将高级管理层对重大审计事项所做的决定通知董事会，象通过后续的跟踪并报告管理层对检查结果的落实情况向审计委员会报告。报告中的有些审计发现和审计建议可能非常重要，因而需要管理层马上采取措施。由于这些情况可能对组织产生不利影响，内部审计部门应该对它们进行跟踪检查，直到它们被纠正为止。在报告重大审计事项后，若高级管理层和董事会决定不采取任何行动并承担由此产生的风险，或者组织、董事会、高级管理层或其他方面有变动，首席审计执行官最好将原先报告的事项再次向董事会报告。这就是说，在报送审计报告后。经过一段合理时间，内审人员对被审计单位进行复查。看其是否采取了合适的纠正行动并取得了理想的效果，如果不采取纠正行动，是否是高级管理层和董事会的责任。 典型试题：有些信息可能不适合向所有的报告接受者披露，因为它是特许的、专有的或与不正当、非法的行为相关。如果被报告的信息涉及某高级经理的不正当行为，该报告应发送给a外部审计师。b董事会。c股东。d高级管理层。解题思路：a不正确。向外部审计师报告这些信息很可能会损害组织的利益。b正确。根据实务公告24101第13条，“如果所报告情况涉及高级管理层。应将报告分发给董事会”。c不正确。在公司的治理机构中，股东不直接对公司事务进行管理，该信息不应向股东报告。d不正确。由于涉及某高级经理，向高级管理层报告可能会使审计工作陷入被动。同样的试题：某首席审计执行官发现一项明显涉及某副总裁的重大舞弊活动，而该副总裁正是首席审计执行官要向其汇报的主管人员。该首席审计执行官最好将事实报告给总裁和董事会的审计委员会。 典型试题：审计师发现即使是经过相关方同意，纠正行动有时仍未得到执行，那么内部审计师应该a决定必要的跟踪检查的范围。b请管理层决定何时进行跟踪检查，因为这是管理层的最终责任。c只有当管理层要求内部审计师协助时才决定进行跟踪检查。d将所有的审计发现和它们对经营活动的重要性写成一份跟踪检查报告。解题思路：a正确。标准2500A1定，“首席审计执行官应建立跟踪检查过程，以监督、保证管理行为得到有效落实”，因此在纠正行动没有得到执行的情况下，内部审计师应该开展跟踪检查。在这里，我们还要提示考生掌握的另一个知识点就是“内部审计师应确认已经采取有关纠正行动并正在达到期望结果，或者确认高级管理层或董事会已经承担了对所报告的审计发现不采取纠正行动而产生的风险”。b不正确。如何进行跟踪检查是内部审计部门而非管理层的责任。c不正确。跟踪检查不是只有在管理层的要求下才能进行，而是由内部审计师根据实际情况自行决定。d不正确。必须要先开展跟踪检查，才能编写跟踪检查报告。7、检查内部审计结果的采用情况。四、公司治理审计在强化公司治理方面，国际内部审计已逐渐形成三种职能趋势：强化报告关系、协助董事会完成其职责、评价整个组织的道德环境。IIA实务公告2130-1内部审计部门和内部审计师在组织道德文化中的作用指出：治理过程是指组织履行下述四种责任的行为方式： 遵守法律和规章； 遵守公认的业务规范、道德观念，并满足社会期望； 为社会提供总体福利，并增强利益关系方的长期和短期利益； 全面地向业主、执法人员、其他利害关系方和一般公众报告，保证对其决定、行为、行动和业绩负责。 1、强化公司治理2002年，IIA在对美国国会的建议中指出：一个健全的治理结构是建立在有效治理体系的四个主要条件的协同之上的，这主要四个条件是：董事会、执行管理层、外部审计和内部审计。在司法机构和管理机构的监管下，这四个部分是有效治理赖以存在的基石也就是我们日常所说的公司治理的四大基石（关键要素）是： 董事会：确保有效的内部控制系统，确定并监控经营风险和绩效指标； 高级管理层：实施风险管理和内部控制，日常计划、组织安排； 外部审计师：应保持独立性，审计与咨询业务分开； 审计委员会（内部审计师）：增强报告关系上的独立性。2、强化审计委员会在推动更有效的公司治理方面，最重要的举措是加强审计委员会的职责。 第一，审计委员会的作用弥补公司三位一体（董事会、高级管理层和外部审计）治理结构的缺陷，强化了公司治理机制。萨班斯法案对审计委员会做出的具体规定是：（1）审计委员是独立的成员；（2）监管会计、财务报告程序，进行审计；（3）至少要有一位财务专家；（4）建立通畅的能够让员工反馈问题的沟通渠道-“热线电话”；（5）拥有聘用独立顾问的权利；（6）事前批准将由外部审计师提供的服务。第二，采用审计委员会这种内部监督机制，可以避免由高级管理层直接聘请会计师事务所和决定审计费用的现象，从而强化对公司管理层的监督功能。 第三，在审计委员会领导下的内部审计机构，受公司董事长的直接领导，地位比较超脱，有较强的独立性和权威性，其工作范围不受管理部门的限制，能够确保审计结果受到足够的重视，进而提高内部审计的效率。 第四，审计委员会可以充分利用内部审计机构的资源优势，更好地履行其应有的职责。 典型试题：根据萨班斯一奥克斯利法案，谁应当负责指定、偿付和监督为发行人的财务报表出具审计意见的会计师事务所的工作?a审计委员会。b管理层。c董事会。d股东。解题思路：a正确。萨班斯一奥克斯利法案把更多的责任交给了审计委员会。除上述责任之外，它还要负责实施对于会计和审计事项的申诉的接收、保管和处理。它应当得到公司适当的资金支持，并有权自主决定雇请法律顾问和其他咨询人员。3、协助董事会评估外部审计师的独立性内部审计机构有责任协助董事会确认和评估外部审计师的独立性、客观性，一般一年一次，并将评价结果报告董事会和审计委员会。具体说来，若发生以下情况，外部审计师的独立性就受到了损害：外部审计师在任意一个财务年度为某审计客户提供的内部审计服务超过了该客户全部内部审计活动所花时间的40，除非该客户的总资产少于2亿美元。在这里，内部审计服务不包括与内部会计控制、财务系统或财务报表无关的操作性内部审计服务。 典型试题：某个应当遵守美国证券交易委员会（SEC）要求的大型组织的外部审计师也可以为该客户提供内部审计服务。根据2001年采用的修订规则（不考虑过渡条款如何规定），如果存在以下哪种情形，则为该客户提供内部审计服务的外部审计师的独立性可能被损害?a业务委托人的管理层确定该审计师履行的内部审计活动的范围。b该审计师履行的内部审计活动超过了该客户本财年此类活动的全部时间的40。c业务委托人的管理层不依赖该外部审计师的工作来确定其控制的充分性。d该客户的总资产低于2亿美元。解题思路：a不正确。该客户的管理层并没有确定其自身的内部审计师的工作范围，而仅仅为外部审计师规定了范围，这是可以的。b正确。通常内部审计外包的总小时数不能超过全部内部审计小时数的40。c不正确。如果管理层不依赖该审计师的工作，其独立性不会受到影响。d不正确。当该审计客户的总资产超过2亿美元时，外部审计师的独立性会受到损害。4、促进企业文化和道德建设IIA要求内部审计在加强组织道德文化方面的作用是： 在支持道德文化方面发挥积极作用； 内部审计师应具备：高水准的信任度和诚实度； 具有倡导道德行为的技能； 有能力呼吁领导者、管理者和员工遵守法律、道德和社会责任。治理过程是否有效很大程度上取决于组织的道德氛围。越来越多的组织已经任命了首席道德官，作为“做正确事情”的优胜者，首席道德官是管理层的代表，负责组织开展违规调查。当发现违规行为时，无论违规者是何种职务，都应对其开展调查。内部审计活动应当制定适当的书面政策和流程，对道德规范合规情况的投诉进行调查，并提出解决办法。这些政策和流程还应当为内部员工和相关外部人士或机构提供报告和投诉的途径，从而及时发现和解决道德规范合规情况方面的问题。内部审计部门至少应该定期评价组织的道德氛围以及为了实现期望的遵纪守德水平而采取的组织战略、战术、信息沟通和其他过程的有效性。内部审计师对于道德氛围的评估方式是多样性的。值得注意的是，在进行问卷调查时首先应该得到最高管理层的支持、调查问卷设计要合理象回答项要设计得便于回答并保留发表意见栏，以便于调查对象提供更多的解释信息、同时要对调查问卷进行实地考察、同时要注意保密以保护参与者、如何方便的话，将调查问卷交由独立的市场调查公司进行处理，将统计分析数据及有关意见反馈给内部审计师。额外的道德违反信息恰恰会直接或间接促进组织中不诚实、不道德行为的发生的原因。象过分强调收益，尤其是短期收益而影响了企业长期发展象最近的三鹿事件、片面关注收益底线（如销售收入和利润目标）、残酷的谈判、与财务信息和非财务信息相捆绑的奖惩制度等。对违反道德规范行为的处理应采取一视同仁的态度。应循序渐进的惩戒程序，象口头质询、警告、直接处罚等；出现任何违规情况时直接向恰当的监管机构报告；当出现诸如盗窃或职场暴力的违法情况时直接向法律部门报告。 典型试题：当道德违反事件包括工作场所偷窃时，对该问题的恰当处理方式是?a停止该员工的工作，不予控告，避免该事件公开化。b先采取心理辅导或留用察看等积极的训诫程序。c直接向法律机关报告。d停止员工工作，如果员工返还全部现金则不予控告。解题思路：c正确。违法活动必须向法律机关报告。所有的违规行为都应当恰当地记录在案并按要求留存。 典型试题：假设舞弊者向内部审计师供认了其舞弊行为,那么内部审计师应该 A、要求舞弊者在内部审计师制作的供认书上签字,并将其存入审计工作底稿,向高级管理层详细报告,请示下一步的行为 B、不在工作底稿中记录,因为它是主观的,敏感的,而且可能会成为法律证据,但要向管理层详细报告,由他们请求法律顾问来对供认制作文件 C、向管理层口头报告该供认,并建议他们将其报告给执法机关,因为涉嫌犯罪,但不必制成文件记录 D、告知舞弊者他们的权利,将他们的供认制成磁带,并向执法机关报告该犯罪解题思路：A.正确，根据2330-1中(审计工作底稿)在诸如保险索赔,舞弊案件和向法院提出诉讼的情况下,提供有关支持的条款,当舞弊者承认舞弊后,舞弊者应该在供认书上签字,并将供认书存入工作底稿.同时,内部审计师应该向高级管理者汇报,以决定下一步的审计活动.B.不正确,舞弊者供认的上述性质并不对内部审计工作的程序造成影响,根据2330-1上述条款,内部审计师应当将舞弊者的供认在工作底稿中记录C.不正确.根据2330-1中上述条款,正是因为涉嫌犯罪,内部审计师应当将舞弊者的供认制成文件记录.D.不正确.告适用舞弊者权利和向执法机关报告犯罪都不是内部审计师的职责 典型试题：首席审计执行官对公司道德规范和决策环境实施审计，以下哪项对这一审计的范围和或建议的描述不恰当?a审阅公司职业道德规范）并与其他公司的规范进行比较b对公司雇员进行调查，询问一些有关公司决策的道德质量方面的问题。c实施一次不记名的“道德测试”，确认雇员是否知道什么是不道德的行为或自己是否曾有过不道德的行为。d对董事会进行调查，确定他们支持公司道德规范的程度。解题思路：a不正确。对审阅公司职业道德规范并与其他公司进行比较是道德规范和决策环境审计的一项内容。b不正确。对公司决策道德质量问题的调查是道德规范和决策环境审计的一项内容。 c正确。雇员自身的道德问题不属于公司道德规范和决策环境的内容，因此不属于这项审计的范围。d正确。内部审计部门向董事会负责并向其报告工作，因此董事会不应列入内部审计的范围。 典型试题：某个组织应当制定合规标准和流程，并且编制书面的员工应当遵守的业务行为规范。以下哪项有关业务行为规范和合规标准的陈述是正确的?a合规标准应当直白，并且有可能减少潜在的犯罪行为。b合规标准应当载入审计委员会章程。c为了防止在将来承担法律责任，该规范应当包括法律术语和定义。d跨国公司应当有选择地根据地理位置制定反映当地法规的各种合规程序。解题思路：a正确。道德规范应当明确地指出被禁止的活动，使合规标准能够合理地减少潜在的犯罪行为。另外，直白和公允的道德规范可以降低员工参与不道德或违法行为的风险。b不正确。合规标准只需载入道德规范。审计委员会章程记载的是CAE对于管理层和董事会有关风险管理过程中内部审计活动的预期的理解。c不正确。道德规范应当以员工可以理解的形式书写，避免使用法律专门用语。d不正确。跨国公司的合规程序应当基于全球标准，而不是选定的区域。这些程序无须反映当地的情况、法律和法规。5、监督遵守公司行为规范和商业惯例情况公司行为规范是由组织制定的、旨在规范员工行为、防止过失违法违纪的正式和书面的规章制度，而并非来自于法律的强制。行为规范强化了在经营决策中的道德的要求。具体的行为规范随着组织的不同而不同，但通常都包括利益冲突、保密、公平交易、恰当使用组织资产、礼品及酬金、遵守法律、规则及监管制度、报告违法及不道德行为。商业惯例是在商业活动中形成的被广泛接受的通用做法，一般是非正式的，但一旦违反，会给组织带来不利影响。 公司行为规范和商业惯例对组织目标的实现都有影响。道德规范应该是书面的、易于人们理解的和具有指导性的，机构内不同层次的人的执行标准应有所不同；组织内所有员工和其他有关代理人都应有机会了解和接触上述行为规范，如参加培训、发放手册、公告等； 典型试题：某公司正向新市场拓展，在这一领域便利性支出（即贿赂）是常见的活动。公司的政策严禁这种活动，并且内部审计师被要求帮助证实是否发生了这类支出。以哪项表明可能发生了这类活动?a娱乐费用增长了150。b公司外部审计师与当地一家公共会计师事务所签订合同来对存货进行实地观察。c在公司范围内实行独家采购政策。d向以前并未使用过服务的人支付许多大额咨询费用。解题思路：a正确。娱乐费用不属于公司的一项固定费用或者经常性的费用，其剧增表明了可能存在通过娱乐的方式或利用娱乐费用发票套取现金进行贿赂的可能性。b不正确。外部审计师与会计师事务所之间进行合作是一项正常的业务行为对存货如何进行实地观察与公司的便利性支出无关。 c不正确。与选定的供应商进行独家合作是一项正常的市场行为，而且公司在采购领域向供应商行贿的可能性一般不大。d正确。咨询费用在公司的费用中属于一种弹性较大的费用支出，存在套现或便利性支出的可能，尤其是服务提供者以前没有向公司提供过服务的情况下，这种可能性则更大。6、加强内部控制内部审计是实现内部控制的关键。评价的内容和范围评价的标准：如果本组织制定的标准适用，应予采用。如果本组织没有制定标准，或者不适用，应向管理层报告，建议采用行业标准、专业组织标准、协会标准、法律和政府标准。如果管理目标和标准模糊，审计师应寻求权威性解释。衡量控制框架的标准应与被审单位达成一致意见。评价的程序：用三种形式发表审计意见：否定式，即经过审计没有发现控制系统存在普遍的严重薄弱环节；保留意见，即审计发现存在控制系统漏洞或薄弱环节，但整体上不至于控制失效；否定意见，即控制系统有重大漏洞或严重的薄弱环节，控制系统整体上作用很小甚至失效。评价结果报告的接收对象：高级管理层和审计委员会。萨班斯法案对上市公司的治理和内部控制提出了更高的要求，其中：第304条“某些奖金和利润的剥夺”规定，如果由于存在不符合证券法律的财务报告要求的不当行为，而导致上市公司的重大不合规，上市公司被要求进行会计更正，上市公司的首席执行官和首席财务官应归还上市公司在首次公开发布或向SEC申报（二者当中先发生的事件）体现该财务报告要求的财务文件之前的12个月之内，自上市公司收到的奖金或其他鼓励性的权益类报酬，以及12个月内出售该上市公司的证券所实现的利润；第306条“养老基金管制期间的内部人交易”规定，禁止任何上市公司的董事或执行官员在证券管制期间买卖、取得或转移因其董事或执行官员的身份而获得的这些权益证券。凡是违反本规定，从购买、出售或其他取得或转让中实现的利润应当归还给该上市公司，而不管该董事或执行官员参与交易时的动机。第103条款：审计、质量控制和独立性准则及规定，要求外部审计师在每份审计报告中说明审计师对上市公司内部控制构成及程序的测试范围，并在该审计报告或单独的报告中注明。第302条款：公司对财务报告的责任，要求建立、评价和报告关于财务报告披露的内部控制；上市公司的首席执行官和首席财务官必须在报送给美国证券交易委员会的公司季报、年报上，书面声明对报告的责任。这里面要注意强性的规定只是对于首席执行官和首席财务官的规定，而不是对首席审计执行官的规定。 典型试题：在公募公司中，管理层经常要求内部审计部门参与审计对外公布并供内部使用的季度财务报表。一般认为，以下哪项内容不构成进行此种参与的理由？ A、管理层可能会关注其在金融市场的声誉 B、管理层可能担心，一旦季度财务报表出现错误，可能会引发有关部门对公司的处罚 C、根据标准，内部审计师应该参与对季度财务报表的审计工作 D、管理层可能认为，让内部审计师审计季度财务信息有助于提升这些信息对内部决策的价值 。解题思路： 标准没有规定内部审计师应该参与对季度财务报表的审计工作。第402条款：“强化的利益冲突条款”规定，禁止上市公司直接或间接为其经理人员或高级主管（或其他类似人员）以个人借款形式提供或保有贷款（看些可以例外）；第403条款：“对管理层和主要持股人所参与交易的披露”规定，主管、高级职员和主要持股人应该报告其直接或间接持有的超过发行在外总股份10的股票；第404条款：管理层对内部控制的评价证券交易委员会（SEC）应当制定规定，要求最高执行官和财务官员按1934年证券交易法第13条（a）或第15条（d）编制年度报告包括内部控制报告，书面证实其履行了以下责任： 负责制定和维护发行人的“信息披露控制和流程”（关于信息披露方面的规定）； 在报告被申报之前的90天内评估了发行人的信息披露控制和流程的有效性； 在报告中宣布基于所需的评估在签署当日对于信息披露控制和流程的有效性的结论。在季报和年报中要证明他们已经复核了报告，并且相信报告内容是真实的，完整的，没有产生误导，他们全面披露了控制缺陷，提示了涉及管理人员或其他重要雇员的舞弊行为。第406条款：“高级财务官员道德规范”规定，必须披露公司是否存在适用于高级财务官员、总会计师、高级会计官员及履行相似职能人员的道德准则，以及对道德规范的修改。为此，内部审计师可以提供以下增值服务：参与信息披露控制和流程的初始设计，加入信息披露委员会，协调外部审计师和管理层的行动。独立地评价信息披露控制和流程。内部审计师应当确保本组织具备正式的政策和书面记载的流程来管理财务报告以及相关法规监管机构要求的信息披露。CAE应当促进信息披露委员会的组建，并成为其一员。内部审计师应当定期审查和评估有关财务报告的信息披露控制和流程、信息披露委员会的活动及其相关文件，并向管理层和审计委员会提供总体运营和遵循政策和流程情况的评估。 典型试题：根据美国证券交易委员会（SEC）的新规定和萨班斯一奥克斯利法案，内部审计师在季度财务报告过程中不能履行以下哪项职能? a所需过程的初始设计者。 b该过程的独立评估人。cSEC第13a-14和15d-14条规则的履行者d管理层和审计师之间的协调人或联系人。解题思路：根据实务公告2120A1-3，A,B,D三项职能都是一种增值服务。C正确。SEC第13a14和15d14条规则的履行者应当是首席执行官和首席财务官。 典型试题：美国证券交易委员会（SEC）第13条a一14和第15条d14条规则要求证券发行人的主要执行官和主要财务官，或者其他履行类似职责的人员，应书面证实其履行了以下哪些职能？负责制定和维护发行人的“信息披露控制和流程”。设计了这些信息披露控制和流程，用以确保重要信息能够被其知晓，尤其在该期间报告所属的期间。在报告被申报之前的180天内评估了发行人的信息披露控制和流程的有效性。a和b和c和d,都对解题思路：a正确。实务公告2120A 1-3列明了一系列新的法定要求。萨班斯奥克斯利法案第302条明确了公司对于财务报告的责任。SEC发布了实施该法案的指引。SEC第13a14和15d14条规则采纳了该法案的有关规定，要求证券发行人的主要执行官和主要财务官，或者其他履行类似职责的人员，在每份季度或年度财务报告中，书面证实其履行了以下责任： 负责制定和维护发行人的“信息披露控制和流程”； 设计了这些信息披露控制和流程，用以确保重要信息能够被其知晓，尤其是期间报告所属的期间： 在报告被申报之前的90天内评估了发行人的信息披露控制和流程的有效性； 在报告中宣布基于所需的评估在签署当日对于信息披露控制和流程的有效性的结论。典型试题：健全的内部控制系统最可能发现由谁实施的违规行为?a一组雇员串通。b单个雇员。c一组经理串通。d单个经理。解题思路：a不正确。控制是由人来实施的，即使内部控制系统的功能健全，在相关雇员故意违反并串通合作的情况下也是可以绕过控制的。这里我们要注意的是，一般有效防止职员进行非授权行为的控制措施是通过职责分离，不同岗位之间互相牵制、互相监督，可以有效地防止该职员转移贵重商品、篡改存货总量等非授权行为。b正确。良好的内部控制系统很容易发现单个雇员在没有他人帮助的情况下实施的违规行为。c不正确。相对于雇员的串通，管理人员之间的串通更加容易脱离控制。d不正确。相对单个雇员来说，单个经理违规行为的隐蔽性更强，更容易绕过控制。典型试题：萨班斯法案适用于以下各种情况。除了a其股票被广泛持有并在主要股票交易所交易的美国国内公司。b其股票在美国被广泛持有并在主要股票交易所交易的外国公司。c公开交易的合伙企业。d一般合伙企业。解题思路：萨班斯法案适用于应当遵守美国联邦证券法律的在美国上市交易的发行人，包括在美国上市交易的外国公司和公开交易的合伙企业。d正确。一般合伙企业不发行股票，因此美国联邦证券法律不适用于它。7、评估在特定领域合规性内部审计部门还要评估法律、法规、政策和合同的遵守情况，包括了特定领域的政策。象隐私的薄弱环节、电子商务及其信息安全、环境审计等。（1）关于隐私。隐私损害是一种风险，指未能通过适当的控制措施保护隐私和个人资料可能会对组织造成严重的影响。隐私可以包含个人秘密（身体层面的和心理层面的）；活动自由（不受监视）；以及信息保密。内部审计师可以评估组织的隐私制度，确认重大风险并对降低风险提出适当的建议。内部审计师可以协助制定和实施隐私计划，开展隐私风险评估以决定组织的需要和风险暴露情况，或检查组织现有的隐私方面的政策、实务和控制，对其有效性提供确认。鉴于隐私具有很高的技术和法律方面的特性，内部审计师可能必须寻求第三方专家的帮助来评估组织的隐私框架。如果内部审计师承担了一部分制定和实施隐私计划的责任，那么审计师的独立性可能会受到损害。因为真正制定和实施隐私计划以及承担风险都是董事会和管理层的事情。内部审计师应当确定管理层和董事会、审计委员会或其他治理机构清楚地认识到信息安全是管理层的一份责任。它包括本组织的所有关键信息，而不论其以何种形式保存，包括内部和外部风险（包括与外部实体的关系相关的风险）。 典型试题：与保护隐私惯例有关的控制措施存在缺陷，造成这种情况的一大原因是没有遵守以下哪项内容： A、公司的内部隐私政策。 B、财务会计准则 C、有关隐私的法律和法规 D、标准 解题思路： 造成这种情况的一大原因是没有遵守有关隐私的法律和法规。(2005/2007)这里我们要注意的是，这道试题几乎每年都会出现，但在2006年以前以上述A，B，C，D的选项形式出现，那么就先C是最合适的；但在近年却是以组合出现，就是问以上哪几项是对的，我个人认为最优的选项是A和C都对，大家一定要注意这个不同哦。 典型试题：某税务咨询代理公司掌握着有关其客户的敏感个人信息。以下哪项内容违反了可接受的隐私惯例?A、用碎纸机对该公司不再应用的已印刷的客户信息副本进行碎纸处理；B、在征得客户同意后，该公司的雇员与其同事一起分享客户信息；C、公司只有在征得管理人员同意后才可发布客户信息；D、公司在其客户开始与公司开展业务往来之前就把相关隐私权内容告之客户。解题思路： 公司管理人员无权代客户同意个人信息是否发布，这种做法严重违反了可接受的隐私惯例。A，B，D是适当的处理方式。（2）电子商务与信息安全薄弱环节是指系统可能被不良目的所利用的某些方面，包括系统弱点、安全漏洞和实施缺陷等。从技术类别分类，包括主机系统、网络系统、数据库和应用软件系统等的薄弱环节分析。安全薄弱环节评估就是鉴别和理解系统安全的薄弱环节，包括分析系统资产，定义薄弱环节，并提供整个系统的薄弱环节评估报告。通常信息安全的薄弱环节集中于三个关键要素：保密性（防止非授权侵入的保护措施）；完整性（保证相关信息完整和正确）；有效性（可以减少瘫痪时间以及加强信息系统在遭受破坏、自然灾害、数据侵害等后数据快速恢复能力）。通常一些潜在物理安全的薄弱环节是：自然灾害（如火灾、洪水、地震）；信息服务崩溃（电话、网络、电力、设备等的故障）；人为错误；盗窃和故意破坏；恐怖行为；怠工；等。要消灭所有的信息或物理安全风险是不可能的，一个组织需要确认他们拥有一套恰当的风险管理流程可以及时处理可能暴露的信息或实物损失。通常的安全风险管理流程包括如下步骤：风险识别、风险可能性估计、潜在风险损失的量化、选择风险解决方案；经过资产识别与估价、威胁与薄弱环节的识别与评价，应利用适当的的风险测量的方法或工具确定风险的大小与等级，以便识别与选择适当和正确的安全控制方式。内部审计师应当定期评价本组织的信息安全实务，并提出改进意见和新的控制和保安措施的实施建议。所有对违反安全规定行为的处理都应当定期报送董事会，包括这些行为的数量和类型以及管理层如何处理问题的根源。内部审计师应当确认董事会、审计委员会或其他治理机构已经被适当地告知了威胁、事故、发现的薄弱环节和纠正措施。（3）关于环境审计首席审计执行官应当与本组织的环境安全负责人保持密切的工作关系协调环境审计计划的有关审计活动。环境、健康和安全（EHS）审计程序采用面向遵循性的方法检查遵守法律、规章和本组织的EHS政策、流程和业绩目标，或面向管理系统的方法评估为了确保遵守法律和内部规定以及降低风险的管理系统，或上述两种方法同时使用。（4）金融衍生品为了有效地控制衍生产品的风险，内部审计师应当审查本组织在以下方面的规定：管理层的监管和责任；允许的和禁止的业务范围；风险极限；风险衡量和报告流程；内部控制。 典型试题：除了数据保护，公司一般还应用以下哪种控制措施来捍卫其客户的隐私权？.终端用户计算.数据加密.间谍软件.入侵检测 A、只有是对的 B、只有和是对的 C、只有和是对的 D、只有、和是对的 解题思路： 除了数据保护，公司一般还应用数据加密、入侵检测控制措施来捍卫其客户的隐私权。 (2006考试题) 典型试题：环境遵循信息和培训最适合且应当向以下哪个部门提供?a销售。b人力资源。c制造。d信息技术。解题思路：c正确。在提供环境遵循信息和培训时，应当根据重要性选取受训员工，而且应当根据员工的工作特点组织培训资料。由于制造部门最有可能产生损害环境的行为，及时发现和制止这些行为对于本组织是至关重要的。 典型试题：以下哪项不是审计电子商务活动的主要组成部分?a确定目标可以被达成。b评估内部控制结构。c审查界面事项。d评估营业持续和灾难恢复计划。解题思路：a正确。审计电子商务活动应当提供目标可以达成的合理保证。而不是确保目标可以达成。B,C,D都是审计电子商务活动的主要组成部分。 典型试题：内部审计师可以在某个组织的营业持续和灾难恢复的计划中起到作用。内部审计活动的以下哪种方式对营业持续和灾难恢复的计划阶段有所帮助?a在计划形成阶段评估某组织的内部和外部环境，包括管理层的变动和市场情况的变化，控制的变革。b检查计划。确定其反映了那些在风险评估过程中包括的和评估的运营活动，并且包含了充分的内部控制事项和要求。c验证计划的充分性，确保营业活动在负面影响出现后及时重启。d检查该计划，确定它是否包含了随着时间的推移而发生的重要变化。解题思路：a正确。各种组织均依靠内部审计师对于运营的分析以及风险管理和控制流程的评估。因此，内部审计活动是在计划形成阶段评价灾难恢复计划的重要资源。该评价包括内部和外部环境两个方面。b不正确。这是内部审计活动在营业持续和灾难恢复评估阶段的工作。C不正确。这是内部审计活动在定期保证业务阶段的工作。d不正确。这是内部审计活动在定期保证业务阶段的工作。8、树立舞弊防范意识，鼓励报告不正当的行为没有组织能够避免舞弊，注册舞弊检查师协会评估认为每年因为舞弊和滥用权力会损失组织年营业收入总额的6。防范舞弊的首要机制是控制，是管理层的责任。内部审计的作用是通过评估相关控制的充分性和有效性来协助防止舞弊。审计人员可以应用足够的反舞弊知识来确认可能舞弊的线索，警惕可能引起舞弊的机会，在审计工作过程中保持足够的职业审慎，树立舞弊防范的意识；也可以利用自身优势在倡导良好的道德文化方面发挥更大的作用，通过促进良好的企业文化，防止舞弊的发生。动机机会合理化：这个“舞弊三角形”的三个关键要素通常在某些人决定