第1部分内部审计在治理、风险和控制中的作用-LQ

CIAPartI内部审计在治理、风险和控制中的作用目录1如何应对CIA -1-2当代国际内部审计新发展 -2-2.1传统观念 -3-2.2内部审计和内部控制的关系 -3-2.3内部审计定义关键词 -4-2.421世纪的内审行业 -7-2.4.1SOX法案的出台背景 -7-2.5《萨班斯-奥克斯利法案》简介 -13-2.5.1法案的目标 -13-2.5.2法案的措施 -13-2.5.3法案主要内容 -14-2.6《内部控制—整体框架》的由来 -17-2.6.1COSO内部控制——整体框架（1992） -18-2.6.2企业内部控制发展的几个阶段——内部控制可靠性模型 -20-2.6.3企业目标、风险和内部控制的关系 -21-2.6.4COSO框架的三个维度为评价内部控制提供了标准 -22-2.6.5五大要素的具体说明 -23-2.7审计服务类型 -27-2.7.1尽职调查审计（DueDiligenceAudits） -27-2.7.2质量审计 -27-2.7.3第三方审计 -28-2.7.4合同审计 -28-2.7.5项目和绩效审计业务 -30-2.7.6运（经）营审计业务 -31-2.8审计工具 -37-2.8.1通用审计软件（GAS） -37-2.8.2测试数据法 -38-2.8.3整合测试工具（ITF）讲解 -39-2.8.4嵌入式审计模块（EAM） -40-2.8.5平行模拟法 -41-2.8.6总结 -42-2.9信息技术审计--计算机辅助审计技术及应用 -47-2.9.1IT审计方法三过程 -47-2.9.2定义计算机辅助审计技术 -48-2.9.3可用的CAAT工具以及技巧： -49-2.9.4用于数据提取与分析的计算机辅助审计工具和技术 -49-3国际内部审计专业实务框架简介 -51-3.1关于胜任能力/能力素质的认识 -53-3.1.1中国会计师行业的胜任能力建设问题 -54-3.1.2关于内部审计人员胜任能力框架 -55-3.2实务框架（ProfessionalPracticesFramework） -57-3.2.1标准 -58-3.2.21000系列属性标准（AttributeStandards） -59-3.2.32000系列工作标准（PerformanceStandards） -60-3.2.4职业道德规范 -62-3.2.5PPF总结 -62-4遵守IIA的属性标准 -65-4.11000目标、权限和责任 -65-4.1.11000目标、权限和职责 -65-4.21100独立性和客观性 -68-4.2.11100独立性和客观性 -69-4.2.21110组织的独立性 -69-4.2.31120个人的客观性 -69-4.2.41130独立性或客观性受损 -70-4.31200熟练程度和应有的职业审慎 -73-4.3.11200熟练程度和应有的职业审慎 -73-4.3.21210熟练程度 -73-4.3.31220应有的职业审慎 -75-4.3.41230持续的职业发展 -75-4.41300质量保障和改进方案 -79-4.4.11300质量保障和改进方案 -79-4.4.21310质量方案评估 -79-4.4.31320有关质量方案的报告 -79-4.4.41330运用“根据标准开展业务”的声明 -80-4.4.51340-披露违规行为 -80-4.5IIA职业道德规范 -82-4.5.1IIA职业道德规范--原则 -82-4.5.2IIA职业道德规范--行为规则 -82-5建立风险导向计划，确定内部审计活动的重点 -85-5.12000管理内部审计活动 -86-5.22010计划 -86-5.32020沟通和批准 -90-5.42030资源管理 -91-5.52040政策和程序 -92-5.62050协调 -93-5.72060向董事会和高层管理者报告 -95-6理解内部审计活动在组织治理中的角色 -99-6.12100工作性质 -100-6.22110风险管理 -103-6.32120控制 -105-6.3.1控制的自我评估（CSA） -108-6.3.2其他实务公告 -111-6.42130治理 -112-7履行其他的内部审计角色和职责 -113-7.1实务公告2100-2：信息安全 -114-7.2实务公告2100-3：内部审计在风险管理过程中的角色 -114-7.3实务公告2100-4：内部审计在尚未建立风险管理过程的组织中承担的角色 -115-7.4实务公告2100-5：在评价法定的合规性项目时的法律考虑事项 -115-7.5实务公告2100-6：电子商务活动中的控制和审计含义 -116-8治理、风险和控制知识要点 -122-8.1公司治理原则 -122-8.2可以选择的控制框架 -123-8.2.1目标 -123-8.2.2承诺 -124-8.2.3能力 -124-8.2.4监控与学习 -124-8.3风险管理概念和技术 -124-8.3.1ERM定义 -125-8.3.2ERM目标和组成要素 -125-9计划业务 -129-9.12200业务计划 -129-9.2业务目标和范围 -131-9.3业务资源配置 -134-9.4业务工作方案 -135-如何应对CIA1.一本好的考试复习用书，通读精读各一遍2.掌握基本概念，基本理念，不要去死记，理解就行3.合理安排自己的时间，理论卷和习题卷相结合，看完一部分，就去做与此相关的习题，不要看答案，即便选不出答案，也找一个最能说服自己的答案。4.答错的每一题道，都说明自己在某个环节存在薄弱点，某方面的概念没有搞清楚5.不要去背题，不要搞题海战术，认真做好每一道题，分析每一个选项，理解才是最重要的。6.切记：CIA考题考的是理论点及其应用，考题可以千变万化，但考点雷同。拿下每一个考点才是最切实际的办法7.看出关键词，运用一定的考试技巧，学会有效分析题、做对题的本事。8.不用去道听途说，心态要平和，每年的CIA考题中国地区是没有权力公布的，这是中国政府对IIA的承诺，也是每一位CIA考生对IIA的承诺。[例]某位员工长年不休假，加班工作，这有可能表明：

a.单位工作任务重，该员工只能放弃休假，经常加班；

b.该员工具有很好的敬业精神；

c.单位内部有规定，要求员工加班并尽可能放弃休假；

d.单位内部控制薄弱，该员工有可能存在舞弊行为。

答案[D]基本的控制活动：交易授权、职务分离、作业监督、资产接触限制、会计记录、独立性核对。不相容职务相互分离控制－示例工作职责存在的风险同时负责现金的收取和应收账款的会计记录可能会通过注销应收账款和截留应收账款等调节账簿的方法来私自挪用现金同时负责购货订单的审批和货物的收取可能以组织的名义为个人购入货物，在收取货物时利用职务之便将货物占为己有，同时不向会计部门递交原始凭证或者在原始凭证上反映虚假信息同时负责付款的审批和购货订单签发与审核可能会伪造购货业务并支付货款，从而贪污现金2例题

以下哪项控制薄弱环节最有可能致使舞弊产生：

a.计算机化信息管理系统合同期已满的雇员的注册账户没有立即取消；

b.负责现金记录的核对工作和银行存款工作的雇员同时负责所有现销工作；

c.无论什么时候到货，某雇员都负责将辨别性信息输入存货数据库。经理定期将库存记录同现有的货物进行比较；

d.由于人手短缺以及优先考虑事项存在利益冲突，用以核实永续库存系统的实物清点工作经常推迟。

对于组织而言，现金收付职能必须与相应的现金记录职能分离，目的在于:

a.确保现金收付的实物防护安全；

b.在现金收支的最初确定责任；

c.避免现金坐支；

d.避免挪用现金。

答案[D]当代国际内部审计新发展这样安排，是为了让广大学员：1.认识内审（what、how、why）2.明白内审可以为组织带来效益，为组织增值，也能提升个人的价值3.重视内审是公司治理的一个重要手段（地位的提升）4.了解建立成功内审职能的重要因素（能力素质、道德规范、工具运用）5.充分了解CIA考试的知识点，以及难点、重点6.明确考试动机，把握考试心态7.去掉考前准备的浮躁心理，去掉考试神秘感

传统观念对内部审计的一些传统观念成本中心通常分为成本中心、收入中心和利润中心三类。非增值部门负责「寻找麻烦」的工作，小事化大工作不受重视是一个可有可无的部门上述观念在中国很具普遍性，核心原因是对内部审计的定位不明晰，从业人员能力素质不匹配造成的。如果企业不设立内审部门，或者内部工作不到位，董事会、高管层只能依靠各主要业务部门负责人来评价各部门执行内部控制过程的优劣，而这将导致:内部控制缺乏客观性可能因其它工作压力而被忽视董事会得到的信心保证大减经营风险上升内部控制过程严重崩溃。内部审计和内部控制的关系1939年，AICPA第1号审计程序公告；1949年，第一个内部控制定义1977年，FCPA1992年，COSO2002年，SOX4042004年，PCAOB第2号审计准则企业的管理层大多不会亲自对企业每一部分运营工作进行控制，一般会依赖企业系统中的内部控制，代替其执行控制管理的工作，而这就容易产生“代理委托-代理关系，可能会出现委托代理的背离。人”委托-代理关系，可能会出现委托代理的背离。所以，高层管理者需要委派独立的人员，代他们履行职责，审核企业的所有内部控制过程是否正常运转。早期的内部审计从财务审计向运营审计的转变是意义深远而长久性的。·内部审计师早期的目标主要是围绕资产的安全保障。全美产业研究委员会对内部审计的早期动机研究（20世纪40年代）：保护公司财产和察觉舞弊行为是内部审计的主要目标。因此，审计师们将他们的注意力主要集中在对财务记录的检查和对那些很容易被盗用的资产的确认上。几十年前在管理人员中一个非常流行的观点就是：审计方案的主要目的就是从心理上威慑做错事的员工。·20世纪40年代，曾经由内部审计师开展的会计记录核对工作由自动化查验程序完成，内部审计师开始拓展审计范围，超出传统的财务审计范畴。他们努力转向通过运用各种方法来辅助管理层。1948年，阿瑟·肯特首次在《内部审计师》杂志提出“运营审计”的概念。·到1975年，IIA的调查表明：95%的受调查人员都在开展运营审计，运营审计的目的是判断运营的效率、效果和经济性。这份研究还发现审计时间中有51%用于运营审计。·1957年IIA《内部审计职责声明》：检查和评价会计、财务以及运营控制的合理性、适当性和适用性。确定对规定政策、计划和程序的遵循情况。确定对组织各类资产的负责程度以及免于各类损失的保障程度。确定组织内部所产生的会计及其数据的可靠性。评价履行职责的工作质量。1963年全美产业研究委员会对内部审计目标的研究表明：确定内部控制系统的适当性。调查对组织政策和程序的遵循情况。确认资产的存在性，确保保持对资产的合理保障或发现舞弊行为。核对会计和报告系统的可靠性。向管理层报告有关的发现并在必要时建议纠正措施。事实上，内部审计应该是：是一种独立、客观的确认和咨询活动，旨在增加组织的价值和改善组织的运营。它通过应用系统化、规范化的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。--国际内部审计师协会

（IIA，1999）内部审计定义关键词独立的客观的确认和咨询服务增值改善运营帮助组织实现目标确认服务：为了对组织的风险管理、控制和治理过程提供独立的评估而客观检查证据的活动。范例可以包括财务审计、运营审计、绩效审计、合规性审计、系统安全审计和尽职审计。咨询服务：是一种顾问及相应的客户服务活动，这种服务的性质和范围通过与客户协商确定，意在使内部审计师不承担管理责任的同时，为组织增值以及改善组织的治理、风险管理和控制过程。范例可以包括商议、建议、协调和培训等。独立性－不会威胁客观性或客观性外表的情况。这种对客观性的威胁一定要在内部审计师、业务、职能和组织的层面进行管理。客观性－是一种无偏的精神姿态，它要求内部审计师在开展业务时，对他们的工作成果持有诚实的信念，没有重大的质量妥协。客观性要求内部审计师不能把对其他事务的判断凌驾于对审计事务的判断之上。内部审计定义（1993）：内部审计是组织内部设立并服务于组织的一种独立的评价活动。它是一种控制，通过检查和评价其他控制的适当性和有效性来发挥作用。内部审计的目的是协助组织的管理层有效地履行其职责。为此，内部审计向他们提供与所审核的活动有关的分析、评价、建议、忠告和信息。内部审计的目标包括以合理的成本促进有效的控制。变化老定义新定义地位独立的独立的、客观的性质评价活动确认和咨询活动目标以合理的成本促进有效的控制目的是增加组织价值和改善织织的运营责任帮助机构成员有效履行职责帮助机构实现其目标方法对与被审核活动有关的信息进行分析、评价、建议和咨询系统化、规范化的方法工作范围通过检查和评价其他控制的适当性和有效性来发挥作用评价和改善风险管理、控制和治理过程的效果另外，内部审计和外部审计存在重大的区别内部审计外部审计公司内部管理、治理机制、控制机制的组成部分完全独立于公司架构对公司和董事局负责对公司股东负责对公司的运营和财务工作进行审核、评价对公司年度财务报表是否真实、公允发表意见针对公司管理层关注作重点调查（财务或非财务范围）针对会计账簿、凭证和有关资料进行实质性检查非定期性定期进行例题1.从现代内部审计的角度看，以下哪项声明表明内部审计活动是对管理层最为重要的收益：

a.确保已公布的财务报表的准确性；

b.确保可以检查出舞弊活动；

c.确保组织遵守法律规定；

d.确保对日常的运营进行合理的控制。

答案〔d〕2.建立内部审计活动的主要原因是：

a.减轻过重的管理责任，建立有效的控制；

b.安全保障委托给组织的资源；

c.确保财务、经营信息的可靠性和完整性；

d.评价并改进控制过程的效果。答案〔d〕例题1.内部审计能提供确认和咨询活动。确认服务的范例是：

a.顾问业务；

b.协调性业务；

c.培训业务；

d.合规性业务。答案〔d〕2.乔治是XYZ公司新来的内部审计师，他曾在10个月之前负责公司的薪酬工作。如果乔治开展以下哪项和薪酬有关的服务，将使独立性或客观性受损：

a.咨询服务；

b.确认服务；

c.确认或咨询服务；

d.既非确认服务，也非咨询服务。答案〔b〕在评估自己以前负责的具体业务时，内部审计师应该回避。倘若某位审计人员为自己在以前年度中负责的活动提供了确认服务，可以假定客观性受损（标准1130.A1）。因此，倘若乔治提供薪酬方面的确认服务，就可以认定其客观性受损。内部审计师可以对他们以前负责的相关业务提供咨询服务（标准1130.C1）。21世纪的内审行业21世纪的全球内部审计行业，在SOX、《COSO内部控制—整体框架》、《COSO企业风险管理—整体框架》、COBIT框架、BASELII以及PCAOB有关准则的推动下，正在迅速发展，行业地位明显改善，内部审计已成为有效公司治理的基石之一。2002年，《21世纪的美国上市公司治理原则》发布，明确提出了有效公司治理的10项原则，并得到IIA及相关行业部门、管制部门的认同，他们相信：董事会、管理层、外部审计师和内部审计师构成了有效公司治理的基石。因此，内部审计在组织治理中的角色大大提升。2002年，《萨班斯-奥克斯利法案》的出台，完全改变了财务审计、公司治理、外部审计、内部审计机构的角色以及其他的众多规则SOX法案的出台背景连续的会计丑闻是《萨班斯-奥克斯利法案》出台的直接原因。2001年年底美国安然、世通、施乐、默克制药、泰科等一批大公司会计丑闻接连曝光，诚信危机震撼着美国及国际社会，为了提高民众对美国金融市场和政府经济政策的信心。2002年7月美国总统布什签署了《萨班斯-奥克斯利法案，SOA》，这是一部管制美国上市公司会计和审计实务的联邦立法，也称“上市公司改革和投资者保护法案”。同年美国上市公司会计监督委员会（PCAOB）成立，这是一家对公共会计师行业进行监管、并制定财务审计准则的独立机构，它从AICPA手中接管了制定审计准则的程序。内部审计迎来了发展的大好良机，2002年，《时代》周刊头一次将三位女性评选为时代年度人物。·从某种角度看，这三位女性都是“小人物”，但她们涉及的是大问题。她们勇于揭示政府机构与大公司中的问题，而政府机构和大公司都是民众生命财产的守护者。·《时代》周刊用两句名言阐释了她们行为的正当：·马丁·路德·金说:“我们的生命终止于我们对要紧事物沉默之时。”·《人民公敌》中有句台词:“社会就像一艘船，每个人都要准备掌舵。”

世通公司内部审计师辛西娅·库珀（CynthiaCooper）

2002年，揭发世通在以往年度隐瞒亏损，把应计当期费用资本化为固定资产，透过折旧把当期费用分年摊销入损益表。

调查结果，世通从2000和2001年度原审核净利润76亿美元和24亿美元调整为净亏损489亿美元和92亿美元，虚增资产、少计费用及错计收入等共虚报利润高达740亿多美元。

公布利润需要作出调整之后，股价由最高64美元跌至最低0.9美元，裁减员工17,000人。安然公司副总裁莎朗·沃特金斯（SherronWatkins）2001年10月份，安然突然传出接近6亿美元亏损的季度财务报告。

调查结果，安然被迫承认做了假账，自1997年以来，虚报盈利大约6亿美元，并把即将到期的39亿美元的债务隐瞒了24亿美元。

2001年11月28日，曾高逾90美元的安然公司股票一天之内暴跌75%；两天后，又跌至每股0.26美元，股价缩水到不足高峰时期的0.3%。12月2日，安然向法院申请破产保护。

安然破产，不仅使数以千计的普通工人失业，JP摩根、花旗银行等大财团的损失也以百亿美元计算。联邦调查局干员科琳·罗利（ColeenRowley）2002年5月，她向联邦调查局局长米勒提交一份备忘录，强调联邦调查局并未重视她早先对穆萨维的怀疑，以至丧失有可能避免“9·11”事件发生的机会。

所以说，当前的内部审计正在走向前台

·国内外上市公司的会计信息失真情况越趋严重

而当前推进内部审计职能发展的逻辑关系是当然，内部审计也在面临挑战其实，有关内部审计何处去的讨论早在2000年3月就开始了，当时由J.P摩根、霍尼韦尔、花旗银行、美国股票交易所等全球知名公司发起，IBM、戴尔、科达、美林、GE、普华永道等公司高层管理者参与的内部审计领导者论坛，就内部审计行业的发展达成以下共识。中国的内部审计也在进步之中。全球内部审计导向在演变全球内部审计职能在转变全球内部审计的方法在改变全球领先级的内部审计职能在七个主题方面的改变全球企业对内部审计的期望在增加中国在海外上市企业的治理结构受到挑战，内部审计职能的建设已引起高管层关注。中国有关监管机构（如国资委、银监会）的内部审计法规正在相继出台。中国知名企业内部审计人员招聘正体现出现代内部审计工作的多样化。中国地区参加CIA考试的人数近年已达到全球报名人数的三分之二。全球内部审计导向在演变全球内部审计职能在转变全球内部审计的方法在改变全球领先级的内部审计职能现代内部审计正在改变的七个主题领导层具有商业运作的背景，不再是单纯的职业审计人员。平均在任两年，两年至三年后转到其他岗位。具有前瞻性的观点以及更加深厚的经验。较90年代中期发生了本质的变化。组织特性内部审计的领导者获得更高的重视，被看作是企业管理的强有力角色。可接触到最高管理层。在必要时有质询权。个性特征：非常进取严格要求。目标重塑对风险和控制事项提供审计和咨询服务。最终目标：提供增值服务。注重价值对风险、控制和治理过程进行独立评价。与企业运营单位是合作伙伴关系。为企业培育人力资本。优化运营活动。改变的速度企业整体更易于接受快速转变。电子商务"市场速度"的挑战。影响内部审计人才招聘和薪酬。人力稳定人才和薪酬是主要的挑战。运营经验是持续提供增值的重要能力。"金字塔型"变为"钻石型"的人力资源架构。更少的职业审计师，更多领域的专才，不仅仅是财会人员。电子商务崭新的不断改进的商业模式。电子商务不仅仅是一种技术。对现行的活动带来新的风险。信息技术/信息系统审计益发重要。全球企业对内部审计的期望在增加《萨班斯-奥克斯利法案》简介法案的目标提高公司根据证券法或其他目的的要求做出披露的准确性和可靠性加强公司治理，重建投资者的信心。法案的措施设立上市公司会计监督委员会（PCAOB）加强独立审计师的独立性强化公司的责任以及审计委员会的责任更新财务披露的要求设立了犯罪惩戒条款并进一步加强了白领犯罪的惩罚措施。管理层在新法案下需要承担的法律责任CEO和CFO必须签署书面声明如下：（a）302条款（民事）-管理层对财务报表的责任审核了公司历史财务报告确认财务报告的披露准确、完整、公允承担责任，保证维护及评估财务报告出具的相关披露控制及程序建立并且维护“披露控制和程序”的制度生效：2002年8月29日（b）404条款-管理层对内部控制的责任对公司设立和维持适当的财务报告内部控制系统负有责任对公司内部控制在过去90天内评估，并披露其效果（必须有足够的文本证据）已向独立审计师和审计委员会披露了内部控制的重大缺陷生效：在2005年7月15日当日或之后结束的首个财政年度结束时（c）906条款（刑事）-向美国证监会呈报的期报的责任报告完全遵循美国1934年证券交易法的规定和要求在所有重大方面，其信息披露都要公允地反映了公司财务情况和运营对于违反本条款，公司主管处罚额高达500万美元，并可判处高达20年的监禁生效：2002年7月30日。法案主要内容（a）对“财务报告的内部控制”的定义引用《COSO内部控制—整体框架》体系包括“财产保管控制”以及“防止舞弊欺诈”的控制（b）管理层在年报中声明：管理层声明管理层有职责建立并保持一套完整的有关财务报告的内部控制体系和程序管理层对公司财政年底时财务报告内部控制的执行效果进行的评估声明管理层评估内部控制所采用的框架标准，并由公司年报财务审计的会计师事务所对管理层的财务报告内部控制评估进行特别审计并出具审计意见。PCAOB第2号审计准则简介（1）PCAOB于2004年3月9日发布了审计准则第2号《与财务报表审计协同进行的对于财务报告的内部控制的审计》。（2）该准则已于2004年6月17是由美国证监会批准，成为审计师对财务报告的内部控制进行审计的法律依据。（3）明确了管理层的责任：（a）识别评估对象（b）识别评估范畴（c）评估控制的失效风险（d）评估控制效果（e）评估缺陷的严重性（f）就主要发现与相关方面进行沟通（g）评估主要发现是否和评估结果相一致。（4）审计师需要确定管理层是否开展了以上工作。（5）准则明确了管理层在内部控制审计中应承担的责任：管理层对内部控制的效果负责管理层应使用适当的标准（COSO）来评估公司内部控制的效果管理层应取得并保留充分的证据（包括文本记录）作为其对内控评估的依据管理层应从2005年12月31日起（6）准则要求审计师：评价管理层对内控的评估流程是否令人信服，以确保管理层评估结论是在合理的基础上得出的独立测试内部控制的效果，以确认管理层的评估是否正确，并得到了公允地表达。因此，准则要求审计师在报告中发表两项意见：一项意见针对管理层的评估流程，另一项意见则直接针对内部控制的效果。（7）准则要求当财务报告的内部控制存在一个或一个以上重大弱点（materialweakness）时，审计师必须对公司内部控制的效果发表否定意见。重要缺陷（significantdeficiency）是一个内控缺陷，或是多个缺陷的组合，负面地影响公司依照公认会计准则可靠地进行初始、授权、记录、处理或报告对外财务数据的能力，进而导致无法防范或发现公司年度或中期财务报表中存在并较为重要的错报。重大弱点是一个重要缺陷，或是多个重要缺陷的组合，进而导致年报或中期报告中显著错报不能被预防或发现的可能比较大。（8）管理层需要对内部控制制定充分的文本记录审计师将评价管理文件是否对管理层的评估提供了合理依据，以及这些记录是否包括以下内容：与所有财务报表的重要会计科目和披露事项的相关认定的内部控制的设计，包括对于财务报告有关的内部控制的五大要素（控制环境、风险评估、控制活动、信息与沟通、监控）以及公司层面的内部控制的文本记录重大交易如何初始、授权、记录、处理和报告的信息关于交易流程的充分信息，以便能发现可能产生的重大错报（一般由于错误或舞弊）为预防或发现舞弊而设计的控制，包括内部控制的责任人和相关职责分工对于期末财务报告流程的内部控制对于资产安全保障的内部控制管理层测试和评价的结果。（9）审计师的职责审计师需针对每一个影响重要会计科目或会计科目的主要交易类型，确定对应的重要流程。对于每一个重要流程，审计师应当了解交易流程，包括交易是如何初始、授权、记录、处理和报告的确定流程中可能产生相关财务报表认定错报的环节（包括由于舞弊产生的错报）明确管理层为防止潜在错报而实施的内控明确管理层针对防止或及时发现未授权取得、使用或处置公司资产而实施的内控。（10）准则要求审计师在每次年度审计中，对每个主要交易类别至少实施一次跟单作业（walkthrough）。在跟单作业中，审计师要从原始凭证开始，跟踪至公司的会计信息系统和财务报告的准备流程，直至财务报表跟单作业可以帮助审计师确定其对流程的了解是否准确，并为审计师评价财务报告的内部控制设计效果提供必要的信息。内部控制测试（1）内部控制设计准则要求审计师通过评估内控是否实现公司的内控目标，来评价内控设计的效果准则还要求审计师通过执行内控测试来获得相应的证据，以证实与所有重要会计科目和披露事项的相关财务报表认定相关的内控执行有效性对内控的测试量应覆盖业务交易金额的60%-70%。（2）内部控制执行每年，审计师都必须获取足够的证据来证明整个公司财务报告的内部控制（包括对所有内控要素的内控）都得到有效的执行同时准则要求审计师应当每年都应变更测试的方法。（3）2006年7月15日之后，中国在美上市企业将面临SOA考验目前，许多中国公司都在内部控制流程的记录、文档准备和IT控制活动的测试方面花了很多时间，有的公司建立了涉及企业经营、IT系统控制、投融资管理、财务监控、法律法规监督等方面涵盖几百个风险点的内部控制体系。这些是内部控制测评所要求的“硬件”程序，“硬件”比较容易通过。相对公司控制环境的“软件”而言，其实施难度要比“硬件”大得多，有些控制环境涉及整个公司治理结构，已超出了CEO、CFO控制力的范围。为了少走一些较早实施“SOA法案”美国公司已经走过的弯路，建议中国公司应从一开始就注重实施公司治理层面的改进工作。例如，公司的CEO和CFO应成为遵守内部控制制度的表率，充分发挥审计委员会和内部审计的作用，重视对员工遵守职业道德的培训，严格执行职责分离、工作分配、岗位描述等方面的规章制度，在公司内部形成一个自上而下有效贯彻内部控制的过程。2006年7月15日之前，各公司的CEO和CFO还要为对外披露的财务报告的可靠性签字而实施内部控制自我评估。由于在美国上市的中国公司大多都是规模很大的公司，需要测试所有重要的控制点。如果某一个公司有30个省级公司或分公司，每个省级公司又有5-8个市级公司，从流程上讲每个省级公司以及分公司都会有10多个或者更多的业务流程，每个业务流程有可能有5-10个重要的控制点。如果用3-4个小时测试一个控制点，计算下来，测试的工作量非常庞大。而这只是初步的测试，对测试发现的问题还需要改进，随后对改进的情况还需要进行再测试，从而达到没有重大的控制缺陷。1938年，《麦克森-罗宾斯丑闻》，当时的SEC对内部控制实务的研究是：所有审计关键的、基本的问题被很多会计师以一种草率的方式处理。因为在对财务报表进行审核的过程中，对很多审核事项都采用测试和抽样程序，所以对我们来说，全面了解客户的内部审核和控制体系的必要性怎么强调也不过分。1949年，会计职业团体提出第一个内部控制定义：内部控制包括在组织内部采用的，以保证资产的安全性、检查会计数据的准确性和可靠性、提高运营效率、促进管理政策的贯彻和实施为目的的计划，以及所有与之相协调的方法和措施。《内部控制—整体框架》的由来20世纪70年代中期的水门事件调查:确认出一些美国公司存在违反的政治捐赠，包括向国外政府官员贿赂。这样就产生了对内部控制的不断关注。反国外贿赂法案（FCPA，1977）:美国国会根据“水门事件”调查结果举行了听证会，并颁布了FCPA，包含有关会计和内部控制的条款，这些条款要求公司管理层保持适当的簿记和记录，并设计内部会计控制系统。SEC（1979）:SEC提议了针对机构内部会计控制的强制性管理报告规则。这些提议的规则还要求独立审计师的报告。密纳汉委员会（1979）:AICPA建立的有关内部控制的专门委员会，该委员会提供了有关建立并评价内部控制的指南。科恩科员会报告（1978）:这份由AICPA发起的有关审计师责任的研究，建议公司管理层在披露财务报表时附上一份披露公司内部控制制度的报告。该报告得到了FEI的认可。财务经理人研究基金会（1980）:该研究的在内部控制上的主要贡献是对内部控制特性、条件、做法和程序进行分类。特雷德威委员会报告（1987）:其主要目标是识别出欺诈性财务报告的偶然因素，并建议减少这种偶然性。许多建议都针对内部控制，要求发起组织合作，来统一内部控制概念和定义。COSO内部控制——整体框架（1992）COSO内部控制由三大目标和五大要素组成：（1）三大目标

——运营的效果和效率

——财务报告的可靠性

——遵守适用的法律法规。（2）五大要素

——控制环境

——风险评估

——控制活动

——信息沟通

——监控（3）在COSO下

——内部控制的定义为：受组织的董事会、管理层和其他人员影响的一个过程，内部控制的设计为组织以下目标的实现提供了合理的保证：内部控制是一个过程(工具)，它是达到目的的方式，内控本身并不是目的；内部控制（内部控制体系不等同于文档，还涉及到执行的问题，更多的企业是执行的问题，而不是内控文档的问题。问题在于，执行的阻力来自于哪里？来自于哪些方面？）通过人起作用，它不是纯粹的政策手册和表格，而是通过组织中各个层次的人员起作用；内部控制可以被期望为对组织的管理层或委员会提供合理的保证，但不是绝对的保证；内部控制的目的是为了实现一个、多个独立但相互重叠的组织目标（关于目标量化的问题。彼得.德鲁克，你无法测量他，那么你就无法管理它）。（4）对内部控制的态度我们经常使用内部控制，但我们对它还有很多误解。因此，我们需要花些时间来研究内部控制的本质和我们通过内部控制能得到什么不能得到什么。首先，强有力的内部控制系统意味着公司能够提高效率和效果，加强对外部事物的控制能力。另外，人们可以得到可靠的相关信息,他们可以在合适的时间和地点来使用。良好的管理和有效的内部控制可以保证一个组织随时处理出现的不利情况，限制其不利影响。有效的控制可以给公司成员充分的自由度来发挥其判断力和想象力，管理错误行为带来的风险,从而帮助公司走向成功。可是，内部控制并不能保证公司的成功（内控的目的在于防止最坏，而非实现最好）。内部控制只是管理过程的一个部分,而不是全部。无论内部控制设计得如何完美，执行得如何良好，它也只能对企业所要达到的目标提供合理的保证。内部控制不能解决企业的所有问题，内部控制只是一种防范机制。案例：摩托罗拉对内部控制的态度

SOX与COSO的关系企业内部控制发展的几个阶段——内部控制可靠性模型（1）不可靠级：控制处在未经设计或不运行的未知环境中。（2）不正式级：控制得到设计并运行，但没有适当的记录；控制多数情况下取决于人；对控制没有正式的培训或沟通。（3）标准化级：控制得到设计并运行；控制得到记录并向员工沟通；有可能未能发现控制的偏离事项。（4）可监控级：定期测试标准化的控制，并向管理层报告；以有效的方式运用自动化工具来支持控制。（5）优化级：管理层运用实时监控的内部控制整体框架，并持续改进；运用自动化工具来支持控制，并在需要时准许机构对控制迅速做出变动。企业目标、风险和内部控制的关系企业目标、风险和内部控制的关系示例目标一风险控制措施短期目标:

2005年度实现利润增长10%，其中：

-销售收入增长20%

-经营成本降低15%。

长期目标:

在未来五年内实现利润平均每年净增长10%由于不可靠的和不切实际的销售预测,在进出口业务中造成严重囤货和存货作废.

由于履行不平等的或不利的合同条款而造成严重损失（如赔偿损失,名誉损害）

由于未经授权的折扣或/折扣过多造成毛利降低或直接亏损

严重的坏帐损失

由于不适当的赏罚制度,关键员工的流失或管理人员能力不足对业务造成的不利影响有效的编制和控制经营计划和财务预算；采取措施增强销售预测的准确性并且只承担经过衡量并能接受的风险,比如:获得可靠的市场信息,将实际情况与预算进行比较等

在主要的经营领域建立制度和流程（须涵盖集团总部的制度和流程）:销售、采购、财务、投资等

人力资源管理：建立并贯彻制度和程序；公平而有效的奖罚制度；吸收、教育、培训及保留优秀员工；建立并贯彻职业经理人在责任、权利和义务方面的标准；设置公平、客观和及时的效绩考核系统。例题1：在开展审计前，以下哪项调查的工作顺序列举了审计活动？

Ⅰ.编写详细的审计程序；

Ⅱ.确定被审计单位的目标、目的和标准；

Ⅲ.确定有关风险和控制，以便防止相关的损失；

Ⅳ.确定相关的审计目标

a.顺序是Ⅱ，Ⅰ，Ⅳ，Ⅲ

b.顺序是Ⅱ，Ⅳ，Ⅰ，Ⅲ

c.顺序是Ⅲ，Ⅳ，Ⅱ，Ⅰ

d.顺序是Ⅱ，Ⅲ，Ⅳ，Ⅰ

答案〔d〕COSO框架的三个维度为评价内部控制提供了标准1.三个组成目标:

——运营的效果和效率

——财务报告的可靠性

——遵循适用的法律法规2.五个组成要素:

——控制环境

——风险评估

——控制活动

——信息和沟通

——监控3.要求机构层面关注和活动层面关注目标维度与要素维度（1）第一个目标针对机构的基本业务目标，包括绩效目标、赢利目标以及安全保障资源；（2）第二个目标与编制可靠的公开财务报表有关，包括中期财务报表、简明财务报表，以及从这些公开报表中选定的财务数据，比如盈余披露；（3）第三个目标与机构遵守有关的法律法规有关。这些截然不同但又相互重叠的目标类别针对不同的需求，需要直接关注来满足这些独立的需求。（4）三类目标和要素之间有直接的关系，目标是一个组织努力去实现的，而要素则代表了实现这些目标所必需的条件。所有要素都与每个目标分类相关。当提到任何一个目标分类时——例如运营的效率和效果——所有五个要素都要存在并有效运行，这样才能得出针对运营活动的内部控制是有效的结论。（5）内部控制的基本定义，即受人们影响的一个过程，为组织目标的实现提供合理的保证，同目标分类、构成要素、效果标准以及相关讨论一起，构成了内部控制的整体框架。五大要素的具体说明控制环境设定管理基调—诚信和道德价值观

—董事会和审计委员会参与

—胜任能力传达管理理念—管理理念和经营风格

—组织结构

—责权划分

—管理层评定业绩的方法

—外部影响，如监管部门的检查

—人力资源政策和实务作为审计师：（1）审计师应该评估公司管理层的诚信情况，审计师无法在一个管理层既腐败又无道德的环境中正常工作（2）审计师应当了解可能会引发企业管理层舞弊的情形。比如，缺乏足够的运营资本、不良信用等级等。（3）审计师应该确认公司的董事会是否积极参与制定商务政策，是否监管管理层和公司运作。一个独立的向董事会下属审计委员会报告工作的内部审计职能是一个优秀的环境控制手段。（4）从组织结构图和工作描述中，审计师可以评估公司内职能部门之间的职责分离是否充分、适当。例题2：以下哪项要素包含在控制环境中：

a.组织构架、管理理念和规划；

b.风险评估、职责安排以及人力资源做法；

c.员工的胜任能力、辅助设备、法律和规章；

d.诚信和道德价值观、权限划分、人力资源政策。

答案〔d〕例题3：以下哪项是董事会与管理层有关控制在组织中的重要性所持的态度或行动的最为准确的语言?

a.控制过程；

b.控制环境；

c.治理过程；

d.管理理念和经营风格。

答案〔b〕风险评估风险评估是确认并估计相关风险，从而实现各项目标，为确定如何管理风险形成依据。（1）每个机构都面临来自外部与内部的需要评估的各种风险。风险评估的前提条件是建立各项目标，与不同的层面联系起来，并在内部保持一致性。（2）隶属于内部控制要素的风险评估与管理人员的风险评估存在差别，由管理人员认定的必要的相应计划、方案或其他措施是用于针对有关风险的。这些采取的行动是更大的管理过程的关键部分，而不是内部控制系统的要素。□风险评估的基本原则就是确认变化的情形并采取必要行动的一个过程。原因是由于经济、行业、管制以及经营条件会持续发生变化，需要各种机制来确认并处理与变革有关联的专门风险。□虽然机构管理变革的过程与日常的风险评估过程较为相似，但还是要单独讨论这个过程。因为它对有效的内部控制至关重要，且在日常应对问题的过程中很容易忽略掉或没有引起足够的关注。例题1：某公司计划建造一座新办公楼，与一承包商签订了3000万美元固定价格的承包合同。以下哪项内容带来的风险最大？

a.对材料设备等实物保管不善；

b.人工费用超支；

c.材料以次充好；

d.工程不能及时完工。

答案〔c〕.首先要明白一个重要的概念：凡是能被评估出来的风险，都能够进行相应的控制将风险达到最小化。a,b,d都是可以明显被评估出来，c则很难被事前评估出来。例题2：审计师必须时时警惕舞弊行为存在的可能性。假定忽视对下述风险的控制，那么，哪项舞弊或滥用资产的风险最大?

a.总经理把组织和旅游娱乐基金用于一些值得怀疑的活动上；

b.在采购活动中，虚拟供应商；

c.总经理将款项拨给与其有关联的机构，或者进行违背组织的宗旨的其他拨款；

d.工资管理人员伪造工资花名册。答案〔c〕.和上题思路一样，容易被评估出来的风险，都能够进行相应的控制将风险达到最小化。c总经理将款项拨给与其有关联的机构到底钱是怎么花的很难确认，作为审计人员是最难控制的也是前期很难以被发现的。控制活动定义：为确保处理企业内部已发现的风险得到妥善处理而采取的适当政策和程序。□计算机控制：一般控制和应用控制。（1）一般控制属于企业整体层次的控制活动，适用于较宽范围的风险，这些风险系统地威胁到IT环境中所有应用程序的完整性。一般控制的例子：对计算机操作、数据管理系统、新系统开发、系统维护以及电子商务等的控制问题。（2）应用控制是针对特定系统的风险，如工资、应收账款和采购应用系统等。应用控制测试涉及到具体的审计目标，如检查应付账款的完整性。□物理控制：主要与应用手工操作的传统会计系统有关。六个传统类别：（1）交易授权。在IT环境下，交易授权可能由嵌入到计算机程序中的编码规则来进行。由于自动授权程序不能直接观察到，在公司出现不良症状之前，控制失败的情况可能容易被忽略。在IT环境下，达成交易授权控制目标的责任完全依赖于执行这些任务的程序的准确性和完整性。（2）职务分离。在IT环境下，审计师的注意力必须转移到那些对程序实施的完整性有威胁的活动方面。程序开发、操作和维护职能必须适当分离。（3）监督。（4）会计记录。（5）访问控制。所有访问控制技术的基本原则是“需要才知道”的原则，即只有表明雇员确实有与其分配任务相关的需要，才能授权其访问相应的数据。（6）独立核算。在IT环境下，许多例行任务由电脑程序完成，如果程序设计准确完整，就没有必要在工作过程中对电脑功能进行独立核查，此时需关注的是应用程序的完整性。例题3：如果内部控制得到了很好的设计，由不同的人所执行的两项任务是：

a.批准坏账核销并核对应收账款明细分类账及总账；

b.工资支票的发送以及批准赊销退回；

c.从现金收入日记账和收金支出日记账过到总分类账；

d.记录现金收入并准备银行对账单。

答案〔d〕

选项（a）不正确，核销坏账与核对应收账款之间没有冲突，两者可以由一个人做；选项（b）不正确，工资支票的支付与批准销货的退回是独立的职能，执行这两种分离任务的人不可能舞弊；选项（c）不正确，只要经办人不接触实际的现金，将两个明细账都进行过账就不会造成冲突。如果某个人只接触到了记录但不是资产，没有合谋行为就不存在资产盗用的危险；（d）现金记录建立了资产的责任。银行对账单将已记录的事项与实际资产相比较。因此，现金收入的记录与银行对账单的准备应由不同的人员执行，因为对账单的提供者能够隐藏现金的短缺。比如，如果出纳既要准备银行存款又要负责对账，则她就会盗窃现金并通过伪造对账单来隐藏这样的盗窃。例题4：以下哪项活动既能代表适当人事部门职能，又能防止工资舞弊：

a.工资支票的发送；

b.加班时间的授权；

c.工资增减的授权；

d.未记名工资支票的收集和保留。

答案〔c〕例题5：某银行信贷部经理的职责包括：做出信贷决定、发放贷款并收回贷款。某位职员负责各账户的对账并将交易记入客户明细账。对账工作已有4个月未完成。以前的对账存在已注销的小额差异。在以上情形下，内部审计师应关注：

a.对账没有及时完成；

b.对账职责没有被恰当分离；

c.贷款官员的职责没有恰当分离；

d.没有发现的问题。

答案〔c〕.信贷部经理的职责既包括做出信贷决定、发放贷款又包括收回贷款，这样会使他具有很大的舞弊空间和可能性。其它都是迷惑选项。监控监控是评估内部控制设计和运行质量的过程。它可能由独立的程序来完成，也可能由一系列连续的活动来完成。管理层必须确认内部控制是否达到了预期的效果。企业的内部审计师可能通过不同的程序来监控企业的活动，并通过控制测试来搜集有关控制完整性的证据，然后将控制的优势和缺陷通报给管理层。作为这个过程的组成部分，内部审计师会针对控制改进提出有针对性的建议。持续性监控是由信息系统内特定计算机模块完成的。这种计算机模块能捕获关键数据并将控制测试作为常规任务。这种嵌入审计模块可以使管理者和审计师对内部控制的功能实施持续性监控。另一种实现持续性监控的持术是合理使用管理报告。适时的报告可以使各职能领域（如销售、采购、生产和现金支付）的管理者有效监控其运作。通过总结活动，找出趋势并从正常工作中发现异常情况，设计良好的管理报告可以提供内部控制功能正常与否的证据审计服务类型内部审计是提供一系列确认和咨询服务。传统的内部审计服务分为三个类别：财务审计、合规性审计以及运营审计。现代的内部审计服务已经多元化，不仅涉及财务审计、合规性审计和运营审计，还涉及第三方审计、合同审计、绩效审计、舞弊检查、风险和控制自我评估、尽职调查、质量审计、安全审计、信息技术审计、隐私审计等等。咨询业务则体现在内部控制培训、业务流程审核、标杆比较、信息技术和系统开发以及绩效测评系统的设计等等。尽职调查审计（DueDiligenceAudits）（1）尽职调查审计是向管理层提供一个安全底限，以便他们在对其他业务的购并、管理或合并进行规划。尽职调查审计是最低程度的管理要求，可以确保所有适用的法律法规得到满足，并使风险和暴露最小化。例如，尽职调查审计对于银行、地产购置人以及贷款机构而言是一种风险管理工具。当地产购置人购买地产或将地产作为赠品时，他们希望将购置地产所引发的潜在法律责任最小化。（2）尽职调查审计要基于内部审计人员、外部审计师、律师、工程师、IT人员以及其他专家的团队工作成果。该项审计包括三个阶段：信息收集（第一阶段）、信息分析（第二阶段），以及信息报告（第三阶段）。

（a）信息收集涉及通过文本审核、访谈和会议收集信息；

（b）信息分析可以包括分析性复核，比率分析、回归分析以及其他定量的技术；

（c）信息报告包括基于事实书写一份均衡的执行纲要报告。除了书写报告之外，口头报告对于直接反馈和阐明有关的问题和发现而言也很有用。质量审计□质量审计业务发生在两个领域：对公司的产品和服务开展质量审计以及对内部审计职能开展质量审计□对于内部审计部门而言，审计质量部门是非常重要的事情，因为质量部门是组织的保障职能之一。无论是审计部门还是质量部门，都能向管理层保证组织的资源得到高效的利用。内部审计对质量职能的审计范围包括：审核章程、组织结构图、质量政策和规程、质量控制工具、质量费用、质量管理工具、质量标准、适用的法律法规，以及6σ矩阵。内部审计人员需要了解质量管理工具（亲合图、树状图、流程决策方案图、矩阵图、内在关系图、优先次序矩阵、以及活动网络图）的使用情况，包括它们的频率和适用性，6σ矩阵的实施情况或计划实施情况；质量控制工具（核查表、直方图、散点图、帕累托图、流程图、因果图、控制图）的使用情况，包括它们的频率和适用性，质量费用（预防费用、鉴定费用、内部失误费用、外部失误费用）的累积情况，向管理层的报告情况，它们对于行业标准和公司目标的合理情况，以及服务质量特征（无形性、不可分离性、异质性、易坏性）的衡量和报告情况。□对内部审计职能开展质量审计许多审计部门建立了全面质量管理（TQM）方法来提升审计工作，其中一种方法就是由美国审计总署（GAO）提议的，GAO概括出审计工作中遵循TQM的8个步骤：最初的质量评估、审计主管认知、形成质量委员会、培养审计中的团队工作、制定标准、庆祝成功、组织实施、年度审计质量复核。最初的质量评估步骤包括：识别审计部门的客户；建立客户要求；设定优先次序以便更好地满足客户的要求；评估审计产品（审计报告）质量，审计客户会从及时性、有用性、响应性以及成本方面看待审计产品；同客户访谈，以便揭示有关审计、审计人员绩效以及整个审计部门的相关信息。第三方审计在电子采购、电子支付、基于计算机的应用服务提供商（ASPs）、计算机系统外包服务以及计算机服务局等商务交易领域，至少要存在一个第三方。这些关键的当事方包括：采购商、第三方提供商以及供货商。第三方审计的目的在于确保控制的适当性，以及在当事方之间发生争论时，可以收集到恰当的证据。内部审计师应在第三方提供商的计算机中心审核一般控制和交易控制。一般控制的例子包括：系统开发和程序变更控制，安全和存取控制方法，备份、恢复和业务持续性控制，操作系统控制，以及审计轨迹；交易控制的例子包括：交易授权控制、准确性控制、完整性控制、补偿控制以及用户控制。合同审计根据成本回收条款，合同审计在舞弊、提供回扣、多开账款以及利益冲突等领域存在着诸多机会。内部审计人员应在早期参与合同审计，比如建筑审计。早期参与要求审计人员在竞标程序、成本估计、合同条款、承包商的会计（账单）系统、成本控制以及项目控制程序参与进来。合同中应对项目整体审核、账单审核、进度审核以及成本回收审计等提供条款。例题一、（第三方审计）一家公司委托服务机构处理其小时工资支付行为。内部审计师关注当年的小时工资支付是否准确，特别是由统一合同规定应当按季度计提的养老金项目是否计算准确。以下哪项审计程序能够最好地实现该项目标？

a.对整个报告期间内的小时工资支付活动进行随机抽样，重新计算支付金额和养老金金额，并与从服务机构获得的数据进行核对；

b.对整个报告期间内的小时工资支付活动进行分层抽样，通过重新计算，核对从服务机构获得的数据；

c.对整个报告期间内的小时工资支付活动进行发现抽样，对结果进行处理；

d.在年度审计过程中向服务机构提交一系列测试数据，将其处理结果与审计师预先计算好的结果进行对比。

答案：（d）测试数据法是可以利用的恰当方法；选项（a）不正确，主题干表明存在“大量的”交易，这意味着如果计划是合理有效的，就要抽取大量的样本；选项（b）不正确，利用分层模型可以降低总体样本的标准差。这样，就会减少实现给定置信水平所要求的样本规模；选项（c）不正确，发现抽样对于确定样本规模在一定的概率水平下是有用的，使样本至少包含一个错误或违规事件例子。该程序在假定存在错误或违规事件的情况下可以使用。本题中没有提到该假设。例题6：对员工的工作计时卡与人事部记录进行交叉核对，这可以使审计师得出以下哪一项结论？

a.员工仅在工作时间内挣得工资；

b.员工都是真实的雇员；

c.员工的工资率是准确的；

d.人事部记录与工资的会计记录是一致的。

答案〔b〕.选项（a）不正确，实际工资可能不是按照员工的工作小时计算的；（b）如果拥有工作计时卡的员工在人事部存在着人事记录，那么可以认为该员工是真实的公司雇员；选项（c）不正确，工作计时卡上并没有标明工资率；选项（d）不正确，审计师并没有检查工资的会计记录。例题7：在一次审计中，内部审计师发现零售企业的仓库主管和采购代理商将大量的商品转移到他们自己的仓库并卖给第三方的计划。该舞弊行为早先并未被发现，因为仓库主管是在修改了存货永续盘存记录之后向应付账款部门提交验收报告以便该部门支付账款的。以下哪项程序最有可能发现丢失的材料和舞弊行为:

a.对验收报告进行随机抽样，并追查至存货的续盘存记录，关注差异并按商品类别进行调查；

b.对采购定单进行随机抽样并追查至验收文件和应付账款部门的记录；

c.进行年度存货实物盘点，将结果与永续盘存记录相核对，注意差异并调查；

d.对销售发票进行随机抽样并追查至永续盘存记录，了解存货是否还在，调查任何的差异。答案〔c〕.选项（a）不正确，抽取验收报告不一定会识别出舞弊，因为仓库主管在将验收报告送交应付账款部门之前，已更新了永续盘存记录；选项（b）不正确，抽取采购订单不会揭示任何差异，因为所有商品都是订购的，即便将有些商品转移到其他地方，但舞弊者会合谋拼凑验收报告；（c）年度存货实物盘点，应该可以识别系统性的存货增减情况。该模式应当产生采购代理商采购的产品模式，这时就应采取舞弊调查；选项（d）不正确，已售商品可以表明存货是存在的。可是，销售人员或发运人员应当更早地识别出潜在的问题，并在调查中帮助审计师。典型例题：确认业务审计师怀疑某位不知名的雇员在提交并批准发票进行支付时存在付款舞弊行为。审计师在和管理层讨论可能的舞弊前，决定收集额外的证据。下列哪项程序最有助于提供额外的证据？

a.利用通用审计软件形成附有邮箱号的供应商清单或其他异常特征，从其中选择样本并追溯到验收报告等相关凭单；

b.选择本年度支付的样本，调查每项支付的批准情况；

c.选择调查期间的验收报告代表性样本，并追踪到批准的付款。注意没有适当处理的任何事项。

d.抽取过去一个月收到的发票样本，检查并确定付款是否得到恰当的授权，追溯到验收报告等基本的凭单。

答案：（a）这是最为有效的程序，因为它关注最有可能发生的舞弊事项；选项（b）不正确，该程序没有选项（a）有效，因为它涉及所有的付款，没有关注最有可能的不恰当付款情形；选项（c）不正确，这不是一个有效的程序，因为它注重于验收报告。本题的关注点是没有有效支持的付款是否存在；选项（d）不正确，该程序没有选项（a）有效，因为它：（1）只注重于上一个月数；（2）不注重于最有可能舞弊的事项。项目和绩效审计业务1、项目成果审计意在取得有关项目的成本、产出、收益和效果的信息，它将设法考评组织已完成的项目及相关的成功项目。由于收益通常不能以财务条款来量化，为此要特别关注考评效果的能力。因此，在项目开始前要提供清晰界定的目标和标准。2、绩效审计业务任何经营职能，无论是生产型的还是服务型的，都需要根据绩效进行考核。为了考核绩效，必须制定并监控同经营职能的主要目标有关的绩效标准。此外，每个绩效标准都必须根据效率和效果标准进行表达。如果存在太多的绩效标准或指标，员工就无法恰当地应对它们，以致产生资源的浪费。因此，无论是管理人员还是员工，都应注重于一些有意义的关键绩效指标（KPIs）。例题（项目和绩效审计业务）绩效审计被描述为“依据一系列公认的目标，来评估管理当局的绩效”。绩效审计通常关注效率和效果，强调有效性。绩效审计的最佳举例可能是评估：

a.实施一项重大变革的成本，这项重大变革旨在使成本会计系统更好的对用户需求进行反应；

b.政府机构实现改进电梯安全这一目标的成功性；

c.监控生产计划的委员会的职员水平；

d.流水线工人对于现有操作程序的遵循程度。

答案：（b）这要求评估机构实现目标的有效性；选项（a）不正确，评估达到目标的成本是效率审计的一部分，而效率审计是绩效审计的次要事项；选项（c）不正确，如果进行的是效率审计，那么职员水平可能是一个重大事项；选项（d）不正确，对于政策和程序遵循性的评估属于遵循事项。运（经）营审计业务运营审计：对组织内不同职能的综合性检查，旨在评价业务的效率和经济性，以及这些职能实现其目标的效果。任何一个实体的经济活动和交易可以分成若干个循环，这样就能对相似和相关的经济活动进行归类，并且可以富有成效地管理审计活动。一个制造型企业的典型循环：收入循环支出循环生产/转化循环证券（融资/投资）循环（外部）财务报告循环收入循环收入循环的主要活动包括：接受并记录客户的订单（涉及销售订单）、信用审批；处理发货订单；装运货物或交付服务；为客户开立账单和调整事项；更新存货记录和客户账户；记录销售和调整事项；计算销售和服务成本；验收、处理和记录现金收入；对产品保单进行解释；计提或核销坏账；销售退回和折让；通过日记账来记录销售和账单、现金收入和调整事项，并过到恰当的账户中；保护现金和应收账款记录；保持现金记录、应收账款记录余额和保单记录的准确性和完整性。不管组织的性质如何，其内部控制结构必须满足一些详细的内部控制目标，从而防止、发现和纠正业务交易循环处理过程中发生的错误、遗漏、舞弊和违规行为。这些目标适用于所有的交易循环，它们是：

1）对交易进行适当地授权

2）记录现有的交易

3）账面交易是有效的

4）对交易进行恰当地分类

5）对交易进行适当地估价

6）在适当的时间记录交易，而且这些交易都是合理的

7）将交易恰当地过到日记账、分类账、账簿和明细账中

8）对交易进行适当、迅速的核对，恰当地归总和报告管理认定与收入循环审计目标的联系管理认定收入循环审计目标存在与发生验证应收账款余额反映了公司在资产负债表中真实拥有的金额。

确认销售收入交易反映了财务报告所在期间发送的货物和提供的服务。完整性确认应收账款反映了公司在资产负债表日拥有的全部金额。

验收财务报告反映了其所在期间所有的发送的货物的销售、提供的服务和销售退回及折让。准确性验证收入交易被电脑正确记录，并以当前价格和正确数量为基础。

确认应收账款明细分类账、销售发票文件以及汇款文件在数字上是正确的，并与总分类账相等。权利和义务确定公司对于已记录的应收账款有合法权利。已经出售或被代管的客户账户已从应收账款余额中剔除。计价和分配确定应收账款余额反映了其可变现的净值。

确认对无法收回应收账款余额的分配是合理的。表达与披露验证财务报告对其所在期间的应收账款和收入进行了正确的描述和分类。例题在应收账款审计过程中，审计师实施了如下审计程序:1）应收账款账龄分析；2）与管理层讨论可能的重大坏账损失。其目的是:

a.确定资产负债表日应收账款余额是否准确；

b.可收回应收账款得到恰当表达和披露；

c.资产负债表日所有重大应收账款金额是否准确；

d.坏账准备金和应收账款净额是否准确。

答案：d计算机环境下的收入循环示例1、信用授权程序信用审核的目的是为了确认客户的信誉。只有与公司信用标准相符合的客户的交易才是有效的，而且应该进一步处理。在包括人工信用授权程序的批系统处理中，信用部门（或信用经理）负责执行公司的信用政策。当信用审核被计算机化以后，公司的信用政策通过系统中设定的决策规则来执行。对于日常交易，主要是决定当前交易加上客户的当前应收账款余额是否超过了预先设定的赊销限额。如果交易超过了赊销限额，它将受到程序的拒绝，并被送往异常文件中，管理层可以对其中的交易重新检查。信用经理将决定是拒绝交易，还是在其权限范围内放宽赊销限额。2、信用程序测试无法正确、一贯地运用信用政策，将影响到公司无法收回账款的备抵。下面介绍的测试为计价或分配这个审计目标提供了证据，在某种程度上也为准确性这个审计目标提供了证据。因此，审计师需要确定：确实存在有效的程序，以建立适当的客户赊销限额；与信用政策决策制定者进行充分的信息交流；定期检查信用政策并在必要时予以修正；同时还须监控现行信用政策的遵循情况。审计师可以通过测试数据法或ITF，验证程序化决策规则的准确性，以直接测试这些规则的作用。通过创建几个赊销限额不同的“虚拟”客户账户，然后处理超过一定赊销限额的测试交易。这一点很容易做到。审计师可以随即分析遭到拒绝的交易，以确定计算机应用程序是否正确执行了信用政策。3、数据校验控制输入校验控制是为了在交易数据被处理之前，发现其中的转录错误。由于早期发现的错误难以侵入到会计记录中，因此，当确认程序离交易源尽可能近时，确认程序就最有效。大量的错误日志、错误更正和交易的重新提交程序往往是这类系统的特点。这种方法可以将人工输入数据错误降到最低程度，从而减少了数据输入错误的风险。例如，当工作人员输入客户账号后，系统会自动检索其姓名和通信地址。当工作人员输入产品代码和销售数量后，数据输入系统会自动检索货物的名称和价格，并计算出加上税金和运费后的总价。同收入循环相关的常见校验测试：1）遗漏数据检查：可用于确定字段内容中出现的空白段。遗漏的产品代码和客户账号、不完整的通信或汇款地址将致使交易受到拒绝。当校验程序在应该有数据值的地方发现空白时，就是错误所在。2）数字—字母数据检查：确定字段中数据格式是否正确。比如，一张发票总数中不应该含有字母数据。和空白一样，数字字段中的字母数据可能产生严重的处理错误。3）限额检查：确定字段中的数据是否超过了特许的限度。比如，一个公司可能允许其销售人员在同客户就价格进行商谈时，有一个最大的折扣限额。订单输入确认程序可以质询销售订单记录中的折扣字段，以检查是否超过了规定的限额。4）范围校验：规定了可接受了数据值的上限和下限。比如，一个产品的实际销售价格可以与一个可接受的价格范围相比较。该项控制的目的在于检查将小数点移动一位或数位的键盘录入错误。5）有效性校验：将字段中的实际数值和已知的可接受数值相比较。这项控制用于检查产品代码、运输公司代码和客户地址中地名缩写等。如果字段的数值与可接受数据不相符合，记录就是有误的。6）校验数位：控制通过测试其内部效果，识别关键字段中的键盘录入错误。这项控制常用于控制数据输入错误，这些错误会导致向错误的客户账户收取一笔交易的费用。未发现而进入编辑程序中的数据输入错误可能导致已记录的应收账款和收入金额产生严重错误。下面描述的审计程序可以提供有关准确性认定的证据。审计的中心问题是：在数据编辑系统中的校验程序是否运行正常，并且在整个期间内部在按预期运行。测试校验程序的逻辑是一项重要工作。审计师可能决定依靠其他控制的质量来减少实质性测试。比如，在测试了系统开发和维护控制后，审计师可能确定对于源程序设计、测试以及随后对程序变更的控制是有效的。这个证据可以使审计师对重大程序错误的风险评估为较低水平，从而减少与审计准确性目标相关的实质性测试。如果对于系统开发和维护的控制很弱，而审计师可能会认为进行数据编辑控制测试比进行大量的实质性细节测试更有效。在这种情况下，ITF或数据测试法可以使审计师对其逻辑进行明确的测试。这要求审计师熟悉所有存在的校验程序。此时，审计师需要创建一整套的测试交易，包括落在范围之内和之外的所有正确和错误的数据值。测试结果分析将告诉审计师哪种错误可能通过校验程序而不被发觉。这个证据将帮助审计师决定随后的实质性测试的性质、时间和范围。此外，审计师可以通过检查错误清单和错误日志来获得某种程度的保证。这些文件提供了关于数据输入程序的效率、所遇错误的形式和数量，以及纠正错误和将错误重新输入系统方式的证据。不过，错误清单和日志无法提供未被发现错误的证据。4、批控制是用来管理通过系统的大量交易数据。批控制的目的是对系统输出与系统原输入进行核对。批控制开始于数据输入阶段，贯穿数据处理的所有阶段。例如，在收入循环中，销售发票被收集在一起，并在数据输入阶段被输入到系统中。在系统的每个处理阶段之后，数据批被检查以保证其完整性。批控制的一个重要元素是批传送单，它负责获取与该批数据相关的信息。比如：唯一的批号、批的日期、交易代码（表示交易的类型，如销售订单或者现金收入凭证）、批中的记录个数（记录总数）、批控制总数（财务字段的货币总值）、杂数总计（唯一的非财务字段的总和）。传送单中包含的信息作为独立的控制记录被输入，它被系统用于检查该批数据的完整性。将处理程序与控制记录相核对可以提供以下保证：所有输入系统的销售发票和现金收入记录都得到处理；对发票和现金收据的处理不超过一次；所有输入系统的发票和现金收据，要么成功地得到处理，要么因为错误而遭拒绝。5、批控制测试批控制如果运行失败将会使记录丢失或者被多次处理。批控制测试为审计师提供与管理认定完整性和准确性相关的证据。测试批控制包括检查整个期间已处理的各批数据的传送记录，以及将它们与批控制日志相核对。审计师需要调查不平衡的情况，以确定原因。比如，假定一批数据的传送记录显示100张销货发票价值是18万元，但是完整的批处理记录显示只有96张发票价值为17.2万元。这是怎么造成的？是因为遗漏或更改发票的原因吗？是数据输入人员错误计算批控制总数吗？是错误记录在处理中遭拒绝，并从该批数据中被删除了吗？被拒绝的记录有无改正，并重新提交处理？审计师应该通过检查并核对交易清单、错误日志以及重新提交的记录日志，掌握这些问题的答案。收集这些证据可能需要逐字检查上千份交易记录。在现代系统中，批处理记录以文本文件形式在储存，IDEA/ACL具备为不平衡情况查找日志文件的能力。例题—经营审计业务

例1：在审计目标是要评价遵循有关的控制可以确保所有发运都已开单时，审计师应该从哪项恰当的总体中抽取样本？

a.事先编号的客户发票；

b.客户应收账款；

c.事先编号的发运单；

d.现金收入记录。

答案：（c）这将允许将所有账面的发运单同有关的账单进行匹配；选项（a）不正确，发票可以构成账单，因此，对于完成这项审计目标而言，测试方向是错误的；选项（b）不正确，应收账款是根据账单建立的；选项（d）不正确，从客户的现金收入可以追踪到发运情况，但对于完成这项审计目标而言，测试方向是错误的。例2、下列哪项审计目标可以通过应收账款借方分录的样本追踪至客户发票和相应的发运单来实现？

a.销售得到恰当记录；

b.销售账单的价格准确；

c.应收账款表示有效的销售；

d.客户授信得到批准。

答案：（c）从账户的借方分录追踪到发票，可以确定它们是否表示有效的销售；选项（a）不正确，从