第一部分课程提纲

1、培训讲座第一部分（4）课程提纲中国审计网CIA考试培训讲座第一部分（4）课程提纲风险和控制知识要点将大纲中的C部分：理解内部审计在公司治理中的作用和D部分：执行其他内部审计任务和职责以及E部分：治理、风险和控制知识要点归纳成两个问题来讲：第一个问题：公司治理与内部审计；第二个问题：风险和控制要点。 COSO委员会认为，内部控制与风险管理有着密切的联系，内部控制是风险管理的一部分，对于内部控制与风险管理的定义及其组成要素分别是：内部控制：内部控制是由董事会、管理层以及其他员工共同实施的，为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。它包括五个要素：

2、控制环境、风险评估、控制活动、信息与沟通、监督。风险管理：企业风险管理是一个过程，是由董事会、管理层以及其他人员共同实施的，应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理的保证。它有八个组成要素：内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。从COSO的两份报告来看，企业风险管理与内部控制有以下相似或不同之处：第一，它们都是由“董事会、管理层以及其他人员共同实施的”，强调了全员参与的观点，指出各方在内部控制或风险管理中都有相应的角色与职责。第二，它们都明确是一个“过程”，不能当作某种

3、静态的东西，如制度文件、技术模型等，也不是单独或额外的活动，如检查评估等，最好是内置于企业日常管理过程中，作为一种常规运行的机制来建设。第三，它们都是为企业目标的实现提供合理的保证。风险管理的目标有四类，其中三类与内部控制相重合，即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展，它不仅包括财务报告的准确性，还要求所有对内对外发布的非财务类报告准确可靠。另外，风险管理增加了战略目标，即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果，而且介入了企业战略（包括经营目标）制定过程。第四，风险管理与内部控制的组成要素有五个方面是重合的，即（控制或内部）环境、风

4、险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险对策三个要素。重合的要素中，内涵也有所扩展，例如，内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权力与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外，还包括风险管理哲学、风险偏好和风险文化三个新内容。在风险评估要素中，风险管理要求考虑内在风险与剩余风险，以期望值、最坏情形值或概率分布度量风险，考虑时间偏好以及风险之间的关联作用。在信息与沟通方面，风险管理强调了过去、现在以

5、及关于未来的相关数据的获取与分析处理，规定了信息的深度与及时性等。第五，风险管理提出了风险组合与整体风险管理的新观念。企业风险管理框架借用现代金融理论中的资产组合理论，提出了风险组合与整体管理的观念，要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露，以统筹考虑风险对策，防止分部门分散考虑与应对风险，如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门，并考虑到风险事件之间的交互影响，防止两种倾向：一是部门的风险处于风险偏好可承受能力之内，但总体效果可能超出企业的承受限度，因为个别风险的影响并不总是相加的，有可能是相乘的；二是个别部门的风险暴露超过其限度，但总体风险水平还没

6、超出企业的承受范围，因为事件的影响有时有抵消的效果。此时，还有进一步承受风险，争取更高回报与成长的空间。按照风险组合与整体管理的观点，需要统一考虑风险事件之间以及风险对策之间的交互影响，统筹制定风险管理方案。全面风险管理涵盖了内部控制。内部控制仅是管理的一项职能，而全面风险管理属于风险范畴，贯穿于管理过程的各个方面。一、内部控制。公司治理的核心是内部控制。公司治理是组织应对风险的战略反应，其职责核心就是确保有效的内部控制方案的适当性，因此公司治理中包含一些战略性的内部控制的因素。一个特定组织的管理层为了实现组织的目标，必须要建立相应的内部控制系统，包括具体政策和程序：象内部监督、也可能是管理手

7、册、规章制度等。内部控制的内容，归根结底是由基本要素组成的。这些要素及其构成方式，决定着内部控制的内容与形式。设计内部控制，可以根据企业特征和需求，对内部控制要素加以有机组合。在组织中，所谓的“内部”，既包括股东会、董事会、监事会，也包括组织经营机构，也就是说，它涉及到组织内部的各个环节和各个方面。1.对内部控制概念的理解内部控制的目的：诚信经营、安全经营、稳健扩张。内部控制的原则：全面性、重要性、制衡性、适应性和成本效益。COSO报告指出:内部控制实际上只能帮助而并不能保证基本经营目标的实现，它存在很多固有的局限因素，包括：决策中可能因为经验和知识水平的限制而发生的判断错误；执行人员的失误，

8、如粗心大意、判断失误、执行偏差、对指令有误解等；在建立控制措施时人们对成本和效益的考虑（要简单了解控制失灵和过度控制的问题）；还有可能因管理层的越权；此外，两个以上的人的共谋串通舞弊，也会导致控制失效；还有一个可能的因素就是计划落后于变化也会造成内控的失效。早期的内控制度一般只强调两项目标，一是财务报告的可靠性目标，二是合规性目标。COSO报告在此基础上对企业内部控制的目标进行了完善。内部控制的首要目标是为了合理确保经营的效果和效率。其后才是保证财务报告的可靠性和完整性和遵循相应的法律法规这两个传统的内控目标以及资产的安全。所谓的财务报告的可靠性和完整性。所谓的资产安全包括维护资产的实物特性、

9、价值水平和增值能力，也就是说保证组织资产不因不当行为而损失、不因不当经营而减少、不因不当使用而低效、不因不当处置而贬值。组织资产的保值与增值是组织股东利益的最根本的体现。特别说明的是，前三类目标是COSO内部控制整体框架所明确的内部控制的三个目标。资产安全的目标在更多业界的观点来看其实是第一类效果效率目标的一个具体反映。 典型试题1：COSO将内部控制看作是一个旨在为实现目标提供合理保证的过程，这些目标是关于：a财务报告的可靠性。b经营的效率和效果。c遵循适用的法律和法规。d以上均正确。解题思路：d正确。财务报告的可靠性、经营的效率和效果以及遵循适用的法律和法规都是组织要实现的目标，此外保护资

10、产安全也是组织要实现的目标。典型试题2：以下哪项最恰当地描述了内审师审查内部控制系统充分性的目的?a帮助确定为实现审计目标而实施的必要测试的性质、时间和范围。b保证内部控制系统的重大弱点得到控制。c确定内部控制系统能否对经济有效地实现组织目标提供合理保证。d确定内部控制系统能否保证会计记录的正确和财务报表的公允表述。解题思路：a不正确。确定必要测试的性质、时间和范围，不仅仅局限于审查内部控制系统的充分性。b不正确。保证制度弱点得到控制是管理层而非内部审计师的责任，因此不是内部审计师审查内部控制系统的目的。c正确。根据实务公告21001第1条，“如果管理层提供指导的方式能够确保组织的目标、目的得

11、以实现，则风险管理、控制和治理程序就是有效的”。d不正确。内部控制系统不仅仅包括会计和财务方面的内部控制系统，因此会计记录的正确和财务报表的公允表达并不能完整、恰当地描述审查内部控制系统的充分性目的。2、内部控制的框架COSO内部控制整体模型指出，内部控制主要由五个要素组成的，即控制环境、风险评估、控制活动、信息与沟通和监控。五要素中控制环境是整个内控系统的基石，支撑和决定着风险评估、控制活动、信息传递和监督，是建立所有事项的基础；实施风险评估进而管理风险是建立控制活动的重点；控制活动是内部控制的主要组成部分；信息传递贯穿上下，将整个内控结构凝聚在一起，是内部控制的实质；监督位于顶端的重要位置

12、，是内控系统的特殊构成要素，它独立于各项生产经营活动之外，是对其他内部控制的一种再控制。构成内部控制系统的五要素取决于管理层经营企业的方式，并融入管理过程本身。（1）控制环境根据标准控制环境是指董事会和管理层对控制的重要性所持的态度和所采取的行动。控制环境为实现内部控制系统的基本目标提供了纪律和框架，是其他四项要素的基础。控制环境包括：治理结构、组织结构、组织制度、人力资源政策、文化建设等等，具体象员工的诚信度、职业道德和才能；董事会经营重点和目标；董事会或审计委员会、沟通、管理理念与经营风格、人事制度和权责划分等方面。在内部环境中的关注点主要要注意：诚信意识、法律意识、职业操守意识和风险意识

13、。 典型试题：以下因素中控制环境包括： a组织结构、管理理念和计划。 b诚信和道德观、权责划分及人力资源管理。c人员胜任能力、替代资源、法律和规章制度。d风险评估、职责分配和人力资源管理。解题思路：a不正确。计划不属于控制环境。b正确。根据标准控制环境是指董事会和管理层对控制的重要性所持的态度和所采取的行动。控制环境为实现内部控制系统的基本目标提供了纪律和框架。控制环境包括：诚信和道德观、能力要求、董事会或审计委员会、沟通、管理理念与经营风格、组织结构、组织文化、权责划分和人力资源管理等方面。C不正确。根据标准，替代资源、法律和规章制度不属于控制环境。d不正确。风险评估是计划内部审计活动和具体

14、项目时的一个过程，而不属于控制环境。组织结构组织结构是指组织内部的机构设置、职责与权限划分、责任机制、信息传递方式和相应的人员配备。组织结构往往是决定组织内部控制系统的基本条件。决定某组织的组织结构的主要因素包括组织内部分工和部门设置、管理层级、管理跨度以及责任与权限等等。组织结构的类型主要有机构式、有机式两种类型以及一种附加结构。（1）机械式组织结构的特点：制度严格；有很强的官僚色彩；沟通方式一般比较正式，常以命令和控制的形式（集权的决策）：工作任务明确，弹性很小；所要求的技能也很少；比较适应稳定的环境；（2）有机式组织结构的特点：结构弹性很大；能适应变化；以参与的形式沟通（分权的决策）；工

15、作任务不明确，弹性很大；所要求的技能很多；比较适应不确定的环境。有机式组织结构主要包括简单结构、矩阵结构和网络结构；（3）有机的附加结构。在保持总体机械式结构不变的情况下，为了获取有机式结构的灵活性，可以将一个有机式结构单位附加于机械式组织之上。企业为了避免因庞大而复杂所带来的不利，通过创建事业单位，更多的使用团队组织，使得组织结构趋向于更扁平化的方向发展。新的组织结构类型就又应运而生：沙漏型组织。在这种组织中，有三个层级：一是战略管理层；二是很小的中间经理层；三是技术专才层；丛集式组织。从本质上看，这种组织是一群团队构成的；虚拟组织。是一种增值的分包商的弹性网络结构，由因特网、电子邮件、传真

16、、以及电话等这些增值分包商联结在一起。不同组织的内部控制措施不能交叉混用。COSO特别强调：即使两个组织具有相同的目标并且在实现目标方面采取相似的战略，但由于组织环境、所处行业、经营规模与复杂程度、性质和经营范围、历史和企业文化以及影响控制的人员等具体组织，特征的不同，其内部控制活动必然会存在差异。组织的规模越庞大、越复杂，其所要面临的风险控制内容和挑战也就越多。相对于规模较小、组织结构相对简单的组织中较为稳定的控制活动而言，较大组织中的控制活动趋向多样化且要面临更多的问题要处理。典型试题1：以下原则体现了一定的组织结构的特征：高级管理层能授权下属作出决策，但不能转嫁对决策结果的最终责任。一个

17、主管的管理跨度不超过7人。责任应与充分的授权相结合。各层次的员工都有权进行决策。这些原则中。哪些对等级性和开放性的组织结构都适用?aI和bI和cII和d和IV解题思路：正确。管理层可以选择采用自行决策或授权决策等不同的决策方法，但始终应承担对决策结果的责任。不正确。管理跨度不超过7人的原则并非适用所有的结构，也不一定适用于具有同一组织结构的所有组织。正确。责任与充分的授权相结合是管理的一般原则，对于等级性和开放性的组织结构都适。不正确，对于等级性的组织结构来讲，并非各层次的员工都有权进行决策。典型试题2：组织结构与生产技术间的关系揭示，在使用大量生产技术（如汽车制造）的组织中，最好的组织结构是

18、 a有机式，强调宽松的控制和灵活性。 b矩阵式，员工既向产品经理报告，也向职能经理报告。 IC机械式，高度正规化。强调严格的控制。d综合性，强调部门之间的合作。解题思路：a不正确。宽松的控制和灵活性不利于生产技术的准确利用，不是最好的组织结构。b不正确。不适用于大量生产的制造商。c正确。技术与结构之间的关系揭示：使用大量大规模生产技术时，应采用机械式组织结构。d不正确。不存在综合性组织结构。典型试题3：随着一些国家的经济向服务性产业转移，一种新型的组织专家官僚型组织，也随之发展起来。虽然这种组织结构在若干方面与机械官僚型组织结构相似（后者依赖于标准化工作进程），但两者在关键方面有所不同。这一重

19、大差异在于专家官僚型组织结构a高级管理层不得不大幅度放权。b高效地完成任务。C严格遵守规章制度。d更容易造成下级单位的冲突。解题思路：a正确。专家官僚型组织是一种具有高度复杂性、正规化，但却分权化的组织。在这种组织里，接受过严格培训的专家具有较大的自主权，这些专家所从事的工作都需要多年的教育和培训。只有在被授予充分自主权的情况下，专家才能有效地进行工作。b不正确。无论是专家官僚型组织还是机械官僚型组织都能高效地完成常规任务。 c不正确。这是两种组织的共同特点。d不正确。下级单位的冲突是官僚型组织所共有的，因为下级单位更重视本单位的目标而不是组织整体的目标。典型试题4：某小型家具制造公司拥有10

20、0多名员工。生产及办公场地是一幢两层楼房，而且无扩充厂房的打算。该公司并非按顾客的订单要求或接受特别的订单去生产。考虑到这些因素，该公司的最一般的结构应该是a职能部门化。b产品部门化。c矩阵结构。d分部型结构。解题思路：a正确。在某种程度上，几乎所有的公司都是按履行的职能组合工作活动，建立公司的组织结构。这样，一方面避免了重复工作，另一方面又促进了专业化水平的提高。b不正确。产品部门化适用于拥有多条产品线的企业。c不正确。矩阵结构多用于产品研发和项目管理。d不正确。分部型结构适用于大公司。（2）风险评估风险评估的重要内容是对风险本身进行评价，也就是对风险的真实性、风险可能造成的损失、防范风险可

21、能采取的有效措施、这些措施可能产生的效果和风险发生后将产生的内外部影响进行分析和评价。在这里我们要注意风险评估有一个前提条件，那就是在各个管理层次上制定协调一致的经营目标。风险评估指识别、分析相关风险以实现既定目标，从而形成风险管理的基础。它包括收集信息（象财务会计信息、行业信息、市场信息、政策和法律信息、经济形势和国际信息等等）、识别风险（管理因素、财务因素、安全环保因素、经济因素、法律因素、技术因素等等以及风险承受度）、风险分析与排序（组建分析团队、定性和定量方法结合、确定重点和优先控制的风险、还要掌握决策人员的风险偏好）、确定风险对策（风险规避、风险降低、风险分担和风险承受这四个典型的对

22、策）等等。内部审计师可以定量或定性地评估这些风险。典型试题1：以下哪项内容是任何风险框架均拥有的共同要素？a机构目标；b已预测的产品损失；c董事会政策；d权力委托。解题思路：风险评估有一个前提条件，那就是在各个管理层次上制定协调一致的经营目标。典型试题2：以下哪种说法最准确地描述了风险评估？a风险评估是确定一种过程对另一种过程之相对影响的工具；b风险评估是分析师用以确定机构所面临的风险程序的模型；c风险评估是对风险状况进行的定性和定量评估；d风险评估系指具有独立身份的商业实体或交易所存在的风险量。解题思路：风险要同时考虑风险程度和风险概率两个因素，内部审计师可以定量或定性地评估这些风险。（3）

23、控制活动控制活动是指那些有助于管理层决策顺利实施的政策和程序。方法：手工控制、自动控制、预防性控制、发现性控制措施：不相容的职务分离控制、授权审批控制、会计控制系统、财产保护系统、预算控制、运营分析控制、绩效考评控制等等，还要建立重大的风险预警机制和突发事件应急处理机制。控制按时间来分，可分为：前馈控制发生在实际工作开始之前，是未来导向的。质量控制培训项目、预测、预算、实时的计算机系统都属于前馈控制。前馈控制是管理层最渴望采取的控制类型，因为它能避免预期出现的问题，而不必当问题出现时再补救；同期控制是发生在活动进行之中的控制，最典型的方式是监督视察。同期控制可使管理者在问题发生时及时纠正问题；

24、反馈控制发生在行动之后，通常是通过实际与标准或预算的对比来确认差异，在问题出现后要求采取纠正措施。客户回访、对完工产品进行检查、差异分析、评估客户投诉、监督产品退回情况等都属于反馈控制。控制按功能来分，可分为：预防型控制是为了防止错误和舞弊的发生而采取的事前控制。例如，对被审计单位的信用进行审核、采用招标方式选择供应商、职责分离、运用检查单、将任务分配给具有胜任能力的员工、使用密码、授权程序等。都属于预防型控制。检查型控制是为了发现已出现的不利事项而进行的控制。它可以为管理层提供有关预防型控制有效性的反馈信息。例如，检查和比较、核对银行对账单、实物清点、对账、周期盘点等都属于检查型控制。一道试

25、题提问以下哪项内容最有可能作为发现控制发挥作用，答案就是周期盘点。指导型控制是为了确保实现有利结果而采取的控制。各种政策、指南和手册等都属于指导型控制。例如，要求内部审计部门的所有员工都具有注册内部审计师资格、为管理层提供实现最低毛利率的合理保证、要求保证一定的员工出勤率；纠正型控制是为了纠正已发生的不利事项而采取的控制措施。它们纠正已检查出来的和已报告的差错。纠正程序、控制和例外报告都属于纠正型控制；计算机控制包括综合控制和应用控制。其中，综合控制包括数据中心操作控制、系统软件控制、存取安全控制和应用系统开发和维护控制；应用控制旨在对应用处理进行控制。许多应用控制依赖于计算机化的编辑校验，这

26、些校验包括数据的格式、存在性及合理性等，恰当设计的校验有助于确保交易处理的完整性、准确性以及授权和有效性。输人和输出控制也属于计算机控制。其中，输入控制是为了防止或发现将不正确或不完整的数据输入计算机而采取的控制；补偿性控制是针对某些环节的不足或缺陷而采取的控制措施。例如在小型企业中，由于人员有限，部分不相容职责不能很好地分离，则可以采用加强监督的方式进行补偿性控制。控制按照特定的控制目标进行分类，主要有数据的完整性控制、数据的及时性控制、数据的准确性控制和数据的权威性控制等。真正有效的内部控制制度应该“植入”经营管理系统之中，而不是附加在管理系统之上的。植入型的内部控制制度是一种主动型的控制

27、系统，可采取事前控制和事后控制（即前馈和反馈控制）来保证高效实现组织的既定目标。从质量控制方面来看，组织能否高效地实现组织目标，在很大程度上取决于组织运行的质量标准和质量目标。当内部控制体系渗透到组织的运行体系之后，管理层已完全依靠内部控制体系作为其日常经营控制体系与质量保证体系。植入型内部控制随时以既定的质量目标体系和质量标准来衡量和指导组织各方面的信息收集、信息分析和信息处理过程，为完善内部审计与控制提供充分、准确和真实的依据，内部控制还可以把市场需要、客户反映和企业竞争的各种因素纳入到控制目标之中，并通过内部控制保证企业以不断提高的质量标准服务于市场、服务于顾客，取得持续性的竞争优势。典

28、型试题1：组织程序允许员工预见可能出现的问题。这种控制被称为a反馈控制b战略性控制c前馈控制d业绩评价解题思路：a不正确。反馈控制为事后控制。b不正确。战略性控制与战略计划密切相关，应为从整体上进行的系统性、长期性和结构性的更为广泛的控制。这与员工参与的控制不符合。c正确。预见可能出现的问题是事前控制，亦即前馈控制。d不正确。业绩评价为事后事件，属反馈控制的范围。业绩评价是对员工的工作绩效进行评价，以便形成客观公正的人事决策过程。典型试题2：组织的控制系统由管辖组织各层次经营的各种部分构成。其中一部分产生于高级管理层，而其他的部分则可能由各部门来制定，用以指导组织或其中某一部门的日常经营活动的

29、组织控制系统的最基本组成部分是a统计报告b战略计划c业绩评价d政策与程序解题思路：a不正确。统计报告是事后控制的手段，不能指导日常经营活动。b不正确。战略计划仅说明整体任务与目标，分解为日常计划与目标后也不能代替对行为规范的要求。c不正确。业绩评价也是事后控制的手段，不能指导日常经营活动。d正确。政策与程序是事前控制手段，用以指导日常经营活动和个人行为。典型试题3：公司规定。必须从经过审批的卖方清单上的供应商处进行采购，这是以下哪种控制的范例?a预防型控制b检查型控制c纠正型控制d监督型控制解题思路：a正确。预防型控制是在交易发生前所采取的措施，目的在于防止发生错误。使用经过审批的卖方清单是防

30、止从未经批准的供货商处采购的一项控制。b不正确。检查型控制是在错误发生后确认错误的一种控制。C不正确。纠正型控制纠正那些由检查型控制所确定的问题。d不正确。监督型控制旨在确保控制系统的运行持续而有效。典型试题4：以下哪项控制措施能防止订购数量超出组织的需求? a在向采购部门提交采购申请书之前，由使用部门的一位主管审查所有申请书。 b当系统显示库存水平较低时由采购部门自动重新订货。 c要求在接收一批新的货物之前复核采购订单的政策。 d要求在储存新收到的货物之前确认收货报告和装货单保持一致的政策。解题思路： a正确。在提交订单的部门进行监督检查是对所订货物数量进行控制的一种方法。 b不正确。由于没

31、有考虑以后的计划，这一做法将会导致购买过多的材料。c不正确。该项控制能防止接收未订购的货物，而不能防止订购数量超出公司需要。 d不正确。该项控制能防止收货数量风险，而不能防止订购数量风险。（4）信息和沟通有效的沟通从广义上说是信息的自上而下的、横向及自下而上的传递。所有员工必须从管理层得到清楚的信息，认真履行控制职责。员工必须理解自身在整个内控系统中的位置。理解个人行为与其他员工工作的相关性。员工必须有向上传递重要信息的途径。同时，与外部诸如客户、供应商、管理当局和股东之间也需要有效的沟通。（5）监督内部控制系统需要被监控，即对该系统有效性进行评估的全过程。可以通过持续性的监控行为、独立评估或

32、者两者的结合来实现对内控系统的监控。持续性的监控行为发生在企业的日常经营过程中，包括企业的日常管理和监督行为、员工履行各自职责的行为。独立评估活动的广度和频度有赖于风险预估和日常监控程序的有效性。内部控制的缺陷应该自下而上进行汇报，性质严重的应上报最高管理层和董事会。 典型试题：以下哪一项描述了控制薄弱环节？（2007年）a采购代理投资公开上市的互助基金，而该基金的投资组合中包括公司某供应商的股票；b采购程序被设计良好。而且除非采购监事另有指示，这些程序一般得到遵守；c由于1，000美元以上的采购活动需要两个人的签名，正常的经营性采购都在500美元到1，000美元之问；d事先编好的空白采购订单

33、在采购部门内部保管。解题思路：b正确。就风险而言，管理层的判断凌驾于一个设计良好的控制系统之上就相当于没有控制。3、内部控制过程中组织各层级管理职责COSO报告认为，企业内部每一成员在实施内部控制方面都扮演着一定的角色，对内部控制也都负有一定的责任，报告也对企业中各层次人员的控制职责做出如下具体设计：（l）管理层：CEO最终负责整个控制系统。最高管理层负责监督风险管理和控制过程的建立与管理，对风险管理与控制系统进行评价。操作管理层在所管辖领域内设计、应用控制流程并提供持续的监督。（2）董事会：管理层对董事会负责，由董事会设计治理结构，指导监管的进行。有效的董事会应掌握有效的上下沟通渠道，设立财

34、务、内部审计等职能，防止管理层超越控制，有意歪曲事实来掩盖管理的缺陷。审计委员会要对公司内部控制评价工作进行监督，包括信息技术安全与控制部分。还要充分掌握内部和外部审计师在内部控制检查的工作范围，获取有关重要审计发现和审计建议的报告以及管理层对报告的反映。（3）首席审计执行官：制定一个通过采集保证获取充分证据，对风险管理与控制过程的有效性进行有效评价的（年度）审计计划，按计划对风险管理与控制过程的充分性和有效性进行判断，并根据总体判断意见向高级管理层和审计委员会报告。（4）内部其他人员：内部控制是企业中每个人的职责。因此所有员工应该明确各自的职责，提供系统所需的信息，实现相应的控制。所有职员都

35、有职责向上层汇报经营中存在的问题、背离准则和违规违法行为。（5）外部人员。公司的外部人员也有助于控制目标的实现，如外部审计可提供客观独立的评价，通过财务报表审计直接向管理阶层提供有用信息；另如法律部门、监管部门、客户、其他往来单位、财务分析师、信用评级公司、新闻媒体等也都有助于内部控制的有效执行。内部审计师和外部审计师的职责：为整个组织风险管理和控制过程的有效性提供各种程度的保证。其中。外部审计师重点关注基于财务报告的内部控制，而内部审计师工作范围涵盖整个内部控制系统的有效性评价。在评价组织控制过程的总体效果时应该考虑三大关键因素：通过所开展的审计工作和收集的其他评价信息是否发现了控制缺陷或薄

36、弱环节? 如果发现了，是否在发现之后进行了纠正或改进？是否可以从所发现的控制缺陷或薄弱环节及其后果中得出以下结论：该组织存在导致风险水平无法接受的普遍情形?评价报告应确定控制程序在实现组织目标中所发挥的作用，并且应该声明：没有发现任何控制弱点；有控制弱点-以及它们对风险水平和对实现组织目标的影响。4、管理控制技术控制过程可以划分为三个步骤：一是衡量实际绩效；二是将实际绩效与标准进行比较；三是采取管理行动来纠正偏差或不适当的标准。在控制过程中，预算是典型的管理控制技术。在预算控制之外，通常还包括成本控制、库存控制、项目控制和财务控制等控制技术。（1）预算是作为控制未来行动和评价其结果的依据。预算

37、目的决定预算选择的时间长度，预算期最常用的是一年，即以一个会计年度作为时间跨度的预算。（2）成本控制要了解目标成本法和作业成本法的区别，我们知道：目标成本法是一种控制产品成本的新方法，是发生在某一特定产品上，而仍能够使企业获得其所要求的边际利润的成本。目标成本是市场驱动型成本，为实现目标成本，企业必须关注并持续改进流程设计和产品设计。目标成本法将企业的战略经营规划与成本利润规划相结合；作业成本法是改进成本制度的一种特别方法，它将作业视为基本的成本对象。作业是有着特定目的的一个事件或一项工作。作业成本法以作业成本作为将成本分配给其他成本对象（如产品、服务或客户）的基础。它以成本动因（即任何能影响

38、成本的因素）来决定间接成本库（即单个成本项目的组合）的数目和每一间接成本库的最佳分配基础。（3）库存控制方面要了解经济订货批量EOQ模型的目标是使订货成本和保管成本之和为最小。这种模型可以帮助管理者权衡各种成本和确定批量规模，控制存货成本。其计算公式可以用Q=（2DP/S）计算，其中，Q表示经济订货批量，D表示每年需求量，P表示每次订购成本。S表示单位产品每年的库存费。（4）项目控制包括至少三个方面的内容：即项目的时间控制、成本控制和质量控制。项目的时间进度可以用进度表来安排。项目的成本控制是以项目预算作为控制依据的。项目的质量控制是为了保证项目整体及其各组成部分按预定的质量标准完成，以确保项

39、目达到预定的短期和长期效果。质量控制包括三个内容：规定绩效评价标准，以质量标准的方式说明项目目标或任务，按照标准和任务目标对项目的实施过程进行控制。（5）财务控制：计算和比较各种财务指标，包括流动比率、速动比率、资产负债比、利息倍数、存货周转率、总资产周转率、销售利润率和投资收益率等。典型试题：和传统的完全成本法不同，作业成本法（ABC）a仅按照非财务变量将成本分配到各产品中。b按照涉及的不同作业将成本分配到各产品中。c按照某一共同的生产规模尺度将管理费用分配到各产品中。d仅分配各产品发生的直接成本。解题思路：a不正确。在作业成本法下，对间接成本常按照成本动因进行分配，成本动因可以是非财务变量

40、也可以是财务变量。b正确。对间接成本，作业成本法以各项作业作为基本的成本对象，然后将每一作业成本按照相应的成本动因分配到产品中。c不正确。管理费用为期间费用，不对其进行分配。d不正确。作业成本法不仅对直接成本进行分配，还要对间接成本进行分配,分配基础常为非财务变量的成本动因。5、变革管理在现代社会中，任何一个组织都是一个开放的系统，随时受到外部因素和内部条件变化的影响。所有这此变化都影响着组织的竞争能力，影响着组织竞争优势的维持。作为管理层，他能够改变组织的人员、组织结构和组织技术等方面因素，但对于组织的环境是难以改变的，因为环境通常是由外部因素决定的，不在组织的直接控制之下，这是一个考点。面

41、对变化，只有不断地变革组织本身，才能持续不断地保持良好的竞争优势。流程再造与工作测评是促进变革的重要的管理技术。流程再造：又称为重新设计或业务过程的流程再造。它是基于对组织的一些基本问题的重新思考而进行的整体流程再造、重新安排，以更加适应组织的宗旨和满足市场的需要。流程再造相当于在组织现有资源的基础上重新建立一个新的组织。因此，这样的组织变革会要求组织员工、最高管理层以及外部顾问在实施该变革中承担相应的责任，这里要注意的是，考试的时候经常会问以下哪组人员将不在实施该变革中承担责任？选项中包括了员工、管理层、外部顾问和普通股股东，那么我们就要知道答案就是普通股股东。因为普通股股东不对决策的执行负

42、责，如果某个普通股股东也是管理团队中的一员，他必须以管理者的身份进行决策，并且必须将其作为所有者的利益与其管理职责区分开来。流程再造是一项对所有的因素进行重新思考、重新安排的过程，因而，组织中现有的各种因素可能会形成对流程再造的重重阻力，象担心缺乏技能、失业威胁、害怕失败等担心，这些都是员工拒绝组织变革的理由，大家要注意，这也是一个经常考的考点。另外，在变革中，一个部门或团队担心工作关系会发生变化而反对变革，因为工作关系的变化可能影响到员工的工作环境、团队协作、个人角色转换和个人利益等切身问题。因此，在凝聚力较强的工作团队，其成员经常施加压力以抵制那种会打破团队原有工作关系的变革，这也是一个考

43、点。在遇到变革阻力的时候，管理层可采取教育、培训和沟通提高员工对变革的适应性；通过采取鼓励参与规划变革、谈判和协商、分步披露、强制性措施等工作技巧尽可能减少冲突与矛盾。尤其要注意的是，管理层在面临变革阻力并且和在时间要求紧迫的时候，明的和暗的强迫也就是采用强制性措施是最佳选择，能较快地发挥作用，实现变革。这也是经常考的考点。变革需要有变革促进者来推动和策划实施。变革促进者未必是变革的发起者，可以来自于组织内部或组织外部。在一些咨询项目中，内部审计师可以充当变革促进者的角色。但这一定要建立在内部审计师在相关领域不承担管理职责或没有利益冲突的前提下。在确认业务中，内部审计师首先应该了解哪些正在进行

44、中的变革或者曾经参与过的变革。如果正在启动一项重要变革，那么审计师可以对变革管理的流程进行评估。评估流程应该特别关注风险和控制，一个无效果的变革流程可能会产生大量的控制缺陷。典型试题1：某组织决定重新修改许多主要工序，以下列出的员工抵制这种变化的各种理由中哪项是最不可能的？（近年经常出现的考试题）a失业的威胁。b必须参加培训班。c现存工作小组的分裂。 d新的工序没有事先讨论而由上层管理人员强加给员工。解题思路：a不正确。新的工序在许多情况下可能使部分员工失去工作。b正确。参加培训在任何时候都是员工的岗位要求和岗位责任。参加培训班会使员工掌握新的技术增强对岗位工作的适应能力，他们不会以此为理由抵

45、制任何新的技术和新的管理措施。c不正确。新的工序的确可能打破现存的工作团队，改变员工的工作环境和人际关系。许多员工在现存的组织环境下具有归宿感，而且不愿意失去这种归宿感。d不正确。没有经过员工参与的管理决定的确可能引起员工的不满，他们可以告诉管理层，新的工序安排从技术上和操作上存在着许多困难。他们可以提出此理由的基本前提是，只有他们最了解具体的生产过程和工作环境。典型试题2：内部审计师在某组织开展业务，该组织的管理层正在开展“流程再造”项目，其重点在于全面质量管理技术。在他们提出的提高业务处理效率的要求下，许多传统的控制程序被从组织的控制结构中删除。从这一变革看，管理层是a更加重视监督各种控制

46、活动。b相对传统控制技术而言，更以人的业绩及人的动机性质为根据作出不同的设想。c更加重视自我纠正的控制活动及自动化过程。d以上各项。解题思路：a不正确。全面质量管理将会更加重视监督各种控制活动，但不够全面。b不正确。相对传统控制技术而言，全面质量管理更加注重“以人为本”，但不够全面。c不正确。相对传统控制技术而言，“再造工程”项目更加重视自我纠正的控制活动及自动化过程，但不够全面。d正确。以上三项都恰当描述了“再造工程”项目给管理层带来的变化。典型试题3：某组织正在进行变革，采用一种使其质量控制贯穿于整个过程的质量保证项目，这种质量保证项目不同于以前年度依赖在过程结束时的质量控制。这种变革属于

47、a文化变革。b产品变革。c结构变革。d组织变革。 解题思路：a正确。这属于文化变革，因为这种变革涉及态度和思想意识的改变。b不正确。产品变革是改变产品的实物属性和有用性。c不正确。这里不存在对系统和结构的改变。d不正确。由于这种变革仅涉及质量保证方面，因而它不是组织变革。典型试题4：由于当地环境组织的不满，一家印刷公司将所用的油墨改成无毒性的。这一实例的组织变革称为：a预期变化型。b即时反应型。c增量型。d战略型。解题思路：a不正确。这类变革指那些经过系统规划的变革，旨在利用已经预期到的形势。而该公司的变革则是在当地环境组织提出不满后进行的。b正确。这类变革是由于发生了没有预见到的环境变化或压

48、力而被迫进行的变革，该公司的变革正是在当地环境组织施加压力的情况下进行的变革。c不正确。这类变革是为了确保组织按照既定的方向发展而必须进行的子系统的调整。d不正确。战略型变革改变组织的发展方向和整个结构，而该公司的变革未发生这类改变。6、冲突管理：冲突是任何组织不可避免的相互作用的一部分。我们要注意的是冲突不一定有害，它不仅可以成为组织中的积极动力，而且其中一些冲突对于组织的有效运作是绝对必要的，可以推动创新。管理者应维持一种冲突的最低水平，以使组织保持旺盛的生命力，不断创新。冲突分为建设性的冲突（积极性冲突）和功能失调的冲突（破坏性冲突）。通常冲突产生的诱因包括：纵向冲突（发生在不同的管理层

49、级之间）、横向冲突、直线同僚冲突、角色冲突、工作流程相互依赖冲突、领域模糊冲突、资源稀缺冲突等。三种典型的冲突管理技术：权益性协商、头脑风暴法、多次投票法。冲突管理的策略或者说冲突管理的具体措施主要涉及冲突的预防、冲突的解决和冲突的利用也叫冲突的激发。首先，冲突的预防可以采取以下具体方法：建立完善、科学的规章制度，明确工作职责，建立清晰可辨的目标体系，防治因制度疏漏、职责不清，目标不明等因素引起有害冲突；增强群体之间、个人之间以及个人与群体之间的信息和意见的沟通，减少误解和分歧；实行民主管理模式，使组织内信息畅通，让员工畅所欲言；采用人性化管理，使员工不断感受集体的温暖，形成良好的人际关系等等

50、。其次，冲突的解决是管理者的重要职责。通常冲突的解决有五种模式，即强制、妥协、迁就、回避和合作（也叫做“解决问题”）。最后，冲突的利用，在国内主要是指冲突的激发。内部审计师需要充分了解冲突管理，特别要理解以下几个方面： 冲突产生的每个诱因都可能成为导致控制失调的根源； 在针对冲突管理执行确认业务或咨询服务时，内部审计师应该灵活应对冲突双方，而不应倾向其中一方，否则将会深陷于冲突中； 内部审计师有时可以通过帮助管理者解决冲突来增加价值，特别是冲突与审计相关时。 多次投票法典型试题1：为了有效地将内部审计部门推荐给管理层，审计师必须认识到他们所履行的职责可能会导致不同程度的冲突。有关方面应该了解并

51、管理冲突的隐患，以避免对公司产生负面影响。以下哪项不是冲突的隐患? a沟通中断。b超常目标。 c个性冲突。d地位差异。 2011年此题答案更正为d选项。解题思路：A不正确。在意思难解、被误解和沟通受到干扰的情况下会造成意见不一致，产生冲突。因而沟通中断是冲突的隐患。 B不正确。工作目标制定过高会引发冲突。C不正确。由于个体的特性和价值观不同，会使某些人让人感到尖刻、不可信任或陌生，使得别人很难与他们合作，从而引发冲突。D正确。地位差异与组织的管理方式有关，不属于触发冲突的因素。 典型试题2：管理者可以应用不同的方法来解决导致公司内部运转不畅的冲突。以下哪种冲突解决方法会产生长期好处? a确定超

52、常目标b妥协。c缓和。d解决问题。解题思路：a不正确。确定超常目标不是一种冲突解决方法。b不正确。妥协往往只能暂时解决问题。因为产生冲突的原因并没有解决，随时可能再次引起冲突。c不正确。缓和只是冲突受到临时性的压制或让位于其他的更重要的因素。在根本问题解决之前，冲突仍然可能爆发。d正确。只有彻底解决问题，这一问题才能产生长期好处。二、风险要注意风险概念的要点取决于风险的后果和发生的机率两个因素问题。还要了解关于风险的几个术语：可接受风险、剩余风险（重要考点）、风险偏好、风险容忍度、风险应对、审计风险等。审计风险包括固有风险、控制风险和检查风险。它的计算公式是：审计风险=固有风险X控制风险X检查

53、风险。1.风险的内容风险是指可能对目标的实现产生影响的事件发生的不确定性。风险的衡量标准是后果与可能性。在经营管理活动中，风险常常被定义为生产运营的弊端、失误或失败带来组织危机的可能性。根据一般的分类标准，风险可以分为行业风险与组织风险。A行业风险：对所处的行业的总体趋势、当前状态和普遍存在的问题进行分析，从而确定本组织的发展方向、竞争优势和竞争策略。如果所处的行业本身存在较大的风险，或者已经被认定为日益衰退的行业，组织就应当考虑适时的退出策略。如果所处的行业处于暂时性低潮，组织就应当采用适当的措施分散风险。如果全行业的竞争日趋激烈。组织就应当通过加强技术力量、努力降低成本或产品多元化等办法来

54、加强竞争能力。B组织风险：组织风险的分析包括对组织结构的效率、组织结构与组织目标之间的适应性、组织结构与外部环境之间的适应性、组织文化、管理制度的合理性等因素进行综合分析。在快速增长的组织，组织风险的分析应主要集中在功能的健全和组织成本的平衡方面这是因为，快速增长的组织，既可能出现组织机构不健全，无法适应不断发展的业务量和经营结构的需求，也可能出现组织机构迅速膨胀，导致管理成本迅速上升的风险。对规模较大的组织进行分析，则主要应当考察其运行效率和对外部环境的适应性方面。大型企业往往可能因为作风成熟、官僚主义滋生或信息传递效率低等原因而不能对外部因素，特别是市场变化作出迅速反应，从而导致竞争优势的

55、丧失。（1）按风险发生的原因分，组织风险可以分为内在风险和外在风险。（2）按危机对组织持续经营的影响程度分类，组织风险可以分为以下几类：组织停止经营待转让或破产；组织被采取执行、收回抵押品、扣押财产等行动后仍不足以清偿债务而停业；组织主动消失留下未清偿的债务；组织卷入类似被要求接管和重组的法律诉讼；组织主动向债权人让步；（3）按组织经营管理职能分，有管理风险、供应风险、生产风险、融资风险、销售与信用风险等；（4）按资产内容分，有流动风险和资产分配风险。因此，组织在经营过程中随时注意组织风险，而组织风险的评估和防范、预警成为组织内部控制的重要内容。C沟通风险：沟通风险实际上是信息风险与关系风险的

56、总称。所谓信息风险，包括由于信息的不准确、不及时、不完整所造成的决策失误的风险或决策缓慢的风险。所谓关系风险是指由于沟通不力，或不能很好地了解信息，致使出现对信息的错误理解，并导致不适当的行动，进而造成的客户丧失、机会损失或士气低落以及各种冲突等。对这些风险进行及时观察和控制。也是组织风险控制的重要内容。典型试题：某组织对重新部署海上作业的直接成本和间接成本进行分析核算。根据分析结果，组织决定向海上作业倾斜，下列哪句表述能够最好的说明理由?a固有风险低于剩余风险：b该决定适合组织的风险偏好；c该分析确定普遍性风险较低。d与成功相关的主要风险的影响和可能性都很高。解题思路：b正确。实际上，每一项风险应对措施都应该将发生的直接成本和间接成本与该措施所能带来的收益相匹配。风险成本与收益必须与组织的经营目标、风险偏好和风险容忍度相适应。只有在这个前提下，组织才会愿意接受海上作业的相关风险。该项风险应对是在组织的风险偏好和风险容忍度内的。典型试题：在风险评估中，内部控制目标是确保员工能够有效保护自己的密码，下列哪种表述能够概括员工将密码留在显示屏上的情况? a固有风险b