2017年国际内审师考试精华知识点整理

1、2017年国际内审师（CIA）考试精华知识点整理冃U 言重要词汇解析内部审计定义内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。职业道德规范IIA的职业道德规范是指与内部审计职业及实务相关的原则， 以及内部审计师应有 的行为规范。适用对象包括提供内部审计服务的个人和机构。国际内部审计专业实务标准 简称标准，指内部审计标准委员会发布的专业公告，阐述开展各类内部审计活动及 评估内部审计业绩的要求。强制性扌旨南标准/ /国际内部审计专业实务框辛立场实势公告实务指南公告蛍力推荐的指南内部审

2、计章程 是确定内部审计活动宗旨、权力和职责的正式书面文件，它确定了内部审计部门在组 织内部的地位，授权内部审计部门接触与业务实施相关的记录、人员和实物资产，界 定内部审计活动的范围。内部审计师VS.首席审计执行官内部审计师指协会会员、IIA 职业资格的获得者或申请者以及那些在内部审计定义范 围内提供内部审计服务的人。首席审计执行官指按照内部审计章程以及“内部审计定义”、职业道德规范和标准有效地开展内部审计活动的高级职位人员。董事会vs.审计委员会vs.管理层董事会是最高层次的治理机构，负责指导和监督组织的经营活动和管理情况。典型的 董事会由若干独立董事组成。审计委员会是由非执行董事组成的专业委

3、员会，是董事会的专门机构。管理层是指对经营活动的执行负有管理责任的人员或组织。独立性与客观性 组织上的独立性：只有当首席审计执行官在职能上向董事会报告的情况下才能够有效 实现。个人的客观性：内部审计师必须有公正、不偏不倚的态度，避免任何利益冲突。第一部分Topic A 内部审计的战略角色管理内部审计职能标准2000 -内部审计活动的管理“首席审计执行官必须有效地管理内部审计活动，确保为组织增加价值”内部审计部门的工作结果达到内部审计章程所包含的目的和责任；内部审计活动遵循“内部审计定义”和标准；内部审计人员遵循职业道德规范和标准。【NO.1本章概述】 三道防线模型高层治理机构僅事合/审计委员会

4、懿管理层外筮申计联系 高层协调外部 JflRk内部审计改进流程摄告业绩坛讥实务评怙道穗【N0.2各章节重点及习题】1. 发起、管理和应对变革，成为变革的催化剂2. 建立和保持与执行层的其他人员以及审计委员会之间的联系3. 在绘制、分析和业务流程改进当中组织和领导团队4. 评估和培养董事会和管理层的道德氛围5. 就公司治理、风险管理、控制和合规性的最佳实务培训高级管理层和董事会6. 定期向高级管理层和董事会报告内部审计的关键绩效指标7. 与外部审计师、法规监管机构以及其他内部确认部门协调内部审计工作8. 评估绩效考核系统的充分性以及公司目标的实现情况一一了解水平1. 发起、管理和应对变革，成为变

5、革的催化剂【1.发起、管理和应对变革，成为变革的催化剂】变革促进者，不一定是变革的发起者，可以来自于组织内部，也可以来自于组织外 部。在一些咨询项目中，内部审计师可以充当变革促进者的角色。但这一定要建立在内 部审计师在相关领域不承担管理职责或没有利益冲突的前提下。在确认业务中，内部审计师首先应该了解哪些正在进行中的变革或曾经参与过的变 革，对变革管理的流程进行评估。评估流程应该特别关注风险和控制，一个无效果的 变革流程可能会产生大量的控制缺陷。变革模式战略式变革组织结构变革技术变革流程再造文化变革推动变革通过沟通使员工了解变革方案，消除对未知情况的惧怕倡导员工在变革中的参与讨论，解决自尊心问题

6、对员工的积极行为和态度进行肯定对反映强烈的问题进行谈判和协商，降低冲突与矛盾对敏感问题有步骤有计划的进行披露对难以达成协调意见的问题，明确或暗中协迫【例题1】由于当地环境组织的不满，一家印刷公司将所用的油墨改成无毒性的。这一实例的组 织变革称为：a. 预期变化型b. 即时反应型c. 增量型d. 战略型正确答案b答案解析a. 预期变化型。不正确。这类变革指那些经过系统规划的变革，旨在利用已经预期到的形式。而该公司的变革则是在当地环境组织提出不满后进行的。b. 即时反应型。正确。这类变革是由于发生了没有预见到的环境变化或压力而被迫进行的变革，该公 司的变革正是在当地环境组织施加压力的情况下进行的变

7、革。c. 增量型。不正确。这类变革是为了确保按照既定的方向发展而必须进行的子系统的调整。d. 战略型。不正确。战略型变革改变组织的发展方向的整个结构，而该公司的变革未发生这类改 变。【例题2】分公司经理把内部审计部门看成是高级管理层的“看门狗”。对于内部审计部门，要改 变这种观点使人合作，下列哪种是最好的方法？a. 更多地向审计客户了解其所关切的问题。b. 增强技术技能。c. 增强对控制责任的关注。d. 增强调查性审计的保密性以最小化恐惧感。正确答案 a答案解析a. 更多地向审计客户了解其所关切的问题。 正确。双向沟通对于培养合作关系非常重要。b. 增强技术技能。 不正确。人际技能比技术技能在

8、培养合作关系方面更重要。c. 增强对控制责任的关注。 不正确。控制具有消极的含义，并且引起部门经理的对立情绪。d. 增强调查性审计的保密性以最小化恐惧感。不正确。 a 选项更好。2. 建立和保持与执行层的其他人员及审计委员会之间的联系【2. 建立和保持与执行层的其他人员及审计委员会之间的联系】2.1 审计委员会与内部审计的直接互动2.2 建立和保持与高级管理层、董事会和执行层其他人员的沟通2.3 报告重大审计事项2.4 评估组织向董事会报告的机制2.5 协助董事会评估外部审计师的独立性 萨班斯法案所有上市公司都必须设立审计委员会，直接监管独立于公司的外部审计机构；审计委员会必须具有独立性，其成

9、员必须全部是独立董事；审计委员会中至少有一名“财务专家”，理解审计委员会和内部审计之间的相互影响 审计委员会的职责：讨论年度和季度的财务报表并提出质疑；讨论公司的风险评估和管理政策；负责内部审计机构的建立及运行；负责聘请会计师事务所、报酬，并监督其工作；接受并处理本公司会计、内部控制或审计方面的投诉。2.1审计委员会与内部审计的直接互动监督和评估内部审计的有效性；评估内部审计人员情况及其必须拥有的资源；确保内部审计领导和董事会之间的沟通与报告路线；检查和评估内部审计年度计划；检查内部审计师工作的定期报告；检查管理层对内部审计发现问题和建议的反应。2.2建立和保持与高级管理层、董事会和执行层的沟

10、通审计计划的沟通报告质量保证程序业务结果和后续审计的沟通2.2.1审计计划的沟通内部审计部门的工作业务计划（年度计划）应报高级管理层审批，并报董事会备案； 及时沟通审计业务计划中期发生的重要变化；及时向高级管理层和董事会报告审计资源不足和审计范围受限；定期沟通内部审计活动的开展情况。2.2.2报告质量保证程序标准1300:首席审计执行官必须建立并维护涵盖内部审计活动所有方面的质量保 证与改进程序。首席审计执行官必须向高级管理层和董事会报告质量与改进程序的结果。内部评估每年一次，外部评估每五年一次2.3报告重大审计事项定期报告：首席审计执行官每年应至少向高级管理层和董事会提交一次工作报告； 重大

11、事项报告：当出现重大的审计事项时，首席审计执行官应及时向董事会报告； 重复报告：首席审计执行官应考虑是否应将原先已报告的重要审计发现和建议再次 向董事会报告。2.4评估组织向董事会报告的机制级织内部向董事会报告的机制是保障组织的有效和高效运行的政策、方法、程序、 技术手段的总称。内部审计部门对报告机制进行评估的主要内容：是否建立了相关报告机制；报告机制是否充分而有效；报告机制的运转情况和效果如何。2.5协助董事会评估外部审计师的独立性萨班斯法案规定，损害外部审计师独立性的情况：直接或重大的间接经济利益关系；以前、现在及未来的雇佣关系；自我评价关系。萨班斯法案规定， 损害外部审计师独立性的不相容

12、业务：与会计记录或财务报表有关的记账业务；财务信息系统的设计和实施；提供评价、评估、发表公允性意见及精算服务；内部审计服务；管理职能、人力资源、经纪人服务、法律服务。【例题1】某首席审计执行官发现一项明显涉及某副总裁的重大舞弊活动，而该副总裁正是首席 审计执行官要向其汇报的主管人员。该首席审计执行官最好采取以下哪一措施？a. 进行调查以确定舞弊程度。b. 与副总裁会谈以获得重要证据。c. 通知法规监管机构和警察局。d. 将事实报告给总裁和董事会的审计委员会。正确答案d答案解析a. 进行调查以确定舞弊程度。不正确。由于该副总裁身份特殊，调查工作可能难以进展，无法确定其舞弊程度。b. 与副总裁会谈

13、以获得重要证据。不正确。该副总裁是主管内部审计工作的高层主管，内部审计师在取得明确的授权之 前，不应与其进行和舞弊调查相关的会谈。c. 通知法规监管机构和警察局。不正确。首席审计执行官首先应向组织内部的治理机构报告，而不是向外报告。d. 将事实报告给总裁和董事会的审计委员会。正确。当内部审计师怀疑内部存在错误做法时，应该将情况报告组织有关主管人员， 由于该副总裁是主管内部审计部门的高层主管， “有关的主管人员”就当是总裁和审计 委员会。【例题 2】 在对某银行的审计中，内部审计师发现一名贷款官员批准了向某企业集团所属的各独 立机构发放的贷款，这违反了监管政策。内部审计师认为这一行为可能是蓄意的

14、，因 为贷款官员与控制该企业集团的一个主要负责人有密切关系，该内部审计师就当：a. 将利益冲突和违规行为告知管理层，并建议作进一步调查。b. 将违规行为报告给法规部门，因为这构成了银行控制系统的重大缺陷。c. 如果该贷款官员同意采取纠正措施，则可以不报告该违规行为。d. 扩大审计范围，确定贷款官员是否有舞弊行为，并在后续调查完成后将调查结果向 管理层报告。正确答案 a答案解析a. 将利益冲突和违规行为告知管理层，并建议作进一步调查。 正确。该利益冲突和违规行为属于一种重要的审计发现，但由于牵涉集团的主要负责 人，内部审计师应当报告管理理层，并提出深入开展调查的建议。b. 将违规行为报告给法规部

15、门，因为这构成了银行控制系统的重大缺陷。 不正确。根据标准规定，内部审计师没有将审计发现向法规部门报告的责任。c. 如果该贷款官员同意采取纠正措施，则可以不报告该违规行为。 不正确。由于该行为已经违反了银行的常规政策，无论该贷款官员是否同意改正，这 个审计发现都应当报告。d. 扩大审计范围，确定贷款官员是否有舞弊行为，并在后续调查完成后将调查结果向 管理层报告。不正确。由于该审计发现涉及集团的主要负责人，内部审计师未必有能力开展下一步 的审计工作，最恰当的做法是先报告，根据报告的情况决定是否以有如何开展后续工 作。【例题 3】 根据萨班斯法案，谁应当负责指定、偿付和监督为发行人的财务报表出具审

16、计意见 的会计师事务所的工作？a. 审计委员会。b. 管理层。c. 董事会。d. 股东。正确答案 a答案解析a. 正确。萨班斯奥克斯利法案 把更多的责任交给了审计委员会。 除上述责任之外， 它还要负责实施对于会计和审计事项的申诉的接收、保管和处理。它应当得到公司适 当的资金支持，并有权自主决定聘请法律顾问和其他咨询人员。b. 不正确。见解题 a。c. 不正确。见解题 a。d. 不正确。见解题 a。【例题 4】当专责舞弊调查人员处于以下哪种状态时是最有效的？I.在公司内办公。n.向董事会或首席合规官报告。川.在公司以外的地点办公。IV .不向任何人报告，从而确保发出警告者的隐秘性。a. 只有n。

17、b. I 和n。c. I和V。d. 川和V。正确答案 b答案解析I . 在公司内办公。正确。专责舞弊调查员在公司内办公可以起到警示作用，并增加员工对调查人员的信任。n . 向董事会或首席合规官报告。正确。专责舞弊调查人员直接向收悉合规官或董事会报告，以便该层次的人员根据调 查人员的发现展开对本组织现存政策的修改。川.在公司以外的地点办公。不正确。见题解 a。IV .不向任何人报告，从而确保发出警告者的隐秘性。不正确。不向任何人报告并不能确保发出警告者的隐秘性，只有采取后续审查确保没 有发生报复行为等更能保证调查人员工作的最为有效。【例题 5】某个应当遵守SEC要求的大型组织的外部审计师也可以为

18、该客户提供内部审计服务。 根据 2001年采用的修订规则，如果存在以下哪种情形，则为该客户提供审计服务的外 部审计师的独立性可能被损害？a. 业务委托人的管理层确定该审计师履行的内部审计活动的范围。b. 该审计师履行的内部审计活动超过了该客户本财年此类活动的 40%的时间。c. 业务委托人的管理层不依赖该外部审计的工作来确定其控制的充分性。d. 该客户的总资产低于 2 亿美元。正确答案 b答案解析a. 业务委托人的管理层确定该审计师履行的内部审计活动的范围。 不正确。该客户的管理层并没有确定其自身的内部审计师的工作范围，而仅仅为外部 审计师 b. 规定了范围，这是可以的。该审计师履行的内部审计

19、活动超过了该客户本财年此类活动的 40%的时间。 正确。通常内部审计外包的总小时数不能超过全部内部审计小时数的 40%。c. 业务委托人的管理层不依赖该外部审计的工作来确定其控制的充分性。 不正确。如果管理层不依赖该审计师的工作，其独立性不会受到影响。d. 该客户的总资产低于 2 亿美元。不正确。当该审计客户的总资产超过 2亿美元时，外部审计师的独立性会受到损害。3. 在绘制、分析和业务流程改进当中组织和领导团队【3. 在绘制、分析和业务流程改进当中组织和领导团队】3.1 组织和领导团队3.2 流程审计3.3 内部审计在绘制、分析和改进业务流程中的职责【3.1 组织和领导团队】协调来自组织其他

20、领域或组织外部的专家。根据组织的风险模型权衡可用预算和资源，在年度计划中安排整合审计业务的优先 次序。与客户协调，以便解决审计中的问题。【3.2流程审计】现在的很多审计活动穿越了组织的界限、地理区域和服务性单位，目的对构成整个组 织的主要过程的主要功能进行审计，这些功能包括：采购、资本资产的管理，预算的 制定和执行，验收和检查，存货管理以及仓储，财务经营等各项功能。3.3内部审计在描述、分析和改进业务流程中的职责内部审计部门应履行以下职责：创建流程文件。分析内部控制疏漏。测试。指导内部控制。内部审计师不能承担以下职责：起草、制定和实施内部控制、流程和程序。出任流程负责人。补效。【例题1】最近对

21、于内部审计活动的批评指出，审计业务的覆盖面没有就该组织关键业务部门采 用的工作流程向高级管理层提供充分的反馈。问题进一步明确为缺乏自动支持系统。 首席审计执行官需要改善以下哪两项职能？a. 人员配备和沟通。b. 人员配备和决策过程。c. 计划和组织。d. 计划和沟通。正确答案d答案解析a. 人员配备和沟通。不正确。题目中未提到人员配备的问题。b. 人员配备和决策过程。不正确。题目中未提到人员配备和决策过程的问题。c. 计划和组织。不正确。题目中未提到组织的问题。d. 计划和沟通。正确。题干中所说“缺乏自动支持系统”是指“内部审计活动”缺乏自动支持系统。这些支持系统包括内部审计活动的工作计划和沟

22、通系统。缺乏充分反馈说明CAE在计划方面和在向高级管理层通报必要信息方面所分配的内部审计资源存在问题，导致遗 漏了对关键业务部门的业务流程的审计，或者没有按照高级管理层的要求对其进行审 计。【例题2】以下活动中由内部审计部门实施较为妥当的是：a. 设计控制系统。b. 起草控制系统的程序。c. 在实施之前审查控制系统。d. 安装控制系统。正确答案c答案解析a. 设计控制系统。不正确。根据实务公告“个人的客观性”的内容，“如果内部审计师参加了这 些系统的设计、安装、程序起草或操作，就可以认为其客观性受到了损害”。b. 起草控制系统的程序。不正确。起草控制系统的程序同样使内部审计师承担了管理责任，损

23、害了内部审计师 的客观性。c. 在实施之前审查控制系统。正确。根据实务公告“个人的客观性”的内容，“如果内部审计师为系统推荐 控制标准或在程序实施前对其进复合，不会对其客观性产生负面的影响”。d. 安装控制系统。不正确。安装控制系统使内部审计师承担了管理责任，损害了内部审计师的客观性。4. 评估并培养董事会和管理层的道德氛围【4.评估并培养董事会和管理层的道德氛围】4.1调查并提出解决道德规范/合规投诉的办法，确定违反道德规范的处置4.2维护和管理商业行为政策，并报告合规情况4.1调查并提出解决道德规范/合规投诉的办法，确定违反道德规范的处置董事会并不承担直接的管理责任，但它却通过设立组织“最

24、高基调”和监督所有治 理活动来为组织描绘了整体愿景。（企业文化）最终，董事会要为公司的风险和业绩承担责任。内部审计部门和内部审计师有责任定期评估整个组织，包括董事会的道德水平 内部审计部门在评估董事会的道德水平时应考虑以下因素：董事会是否倡导并建立道德文化；道德文化是否有清晰并符合实际的道德规范；董事会对道德文化的执行情况及效果；是否有定期的道德文化检查及评估机制。内部审计部门在评估董事会的道德水平时应关注以下内容：董事会的结构、目标和活动；董事会成员的职能；董事会会议；董事会方针手册；董事会教育与培训。良好的组织道德文化具有以下特征：制度清晰领导宣传持续改进检举保护定期声明明确责任学习机会检

25、举评价鼓励参与定期调查检杳压力人员招聘内部审计师可以通过如下措施来评估组织的道德氛围：评价组织道德政策和行为守则的 健全性；检查支持组织道德环境的积极的 人事政策的充分性；检查组织是否建立和实施恰当的 沟通机制；确定组织是否建立明确的战略支持和强化道德文化：确定是否存在恰当的程序确保不良行为被调查且舞弊发现被恰当的报告 促使不诚实、不道德行为发生的事例：过分强调收益，尤其是短期收益；片面关注收益底线；高压力的销售策略；残酷的谈判：与财务信息和非财务信息相结合的奖惩制度。萨班斯法案规定的需报告的有关合规情况：第402条：禁止上市公司直接或间接为其经理人员或高级主管以个人借款形式提供 或保有贷款。

26、第403条：主管、高级职员和主要持股人应该报告其直接或间接持有的超过发行在外总股份10%勺股票。第406条：必须披露公司是否存在适用于高级财务官员、总会计师、高级会计官员 及其相似职能人员的道德准则。首席道德官是管理层的代表，负责组织开展违规调查。当发现违规行为时，无论违规者是何种职务，都应对其开展调查。内部审计活动应当制定适当的书面政策和流程，对道德规范 /合规情况的投诉进行调 查，并提出解决办法。对违反道德规范行为的处理应采取一视同仁的态度，没有人能够免于受罚。通常的处理措施包括：直接进行处罚向监管机构报告向法律部门报告所有的违规行为都应当恰当地记录在案按要求留存。【例题1】首席审计执行官

27、对公司道德规范和决策环境实施审计，以下哪项对这一审计的范围和/或建议的描述不恰当？a. 审阅公司职业道德规范并与其他公司的规范比较。b. 对公司雇员进行调查，询问一些有关公司决策的道德质量方面的问题。c. 实施一次不记名的“道德测试”，确认雇员是否知道什么是不道德的行为或自己是否 曾有过不道德的行为。d. 对董事会进行调查，确定他们支持公司道德规范的程度。正确答案c答案解析a. 审阅公司职业道德规范并与其他公司的规范比较。不正确。对审阅公司职业道德规范并与其他公司进行比较是道德规范和决策环境 审计的一项内容。b. 对公司雇员进行调查，询问一些有关公司决策的道德质量方面的问题。 不正确。对公司决

28、策道德质量的调查是道德规范和决策环境审计的一项内容。c. 实施一次不记名的“道德测试”，确认雇员是否知道什么是不道德的行为或自己是否曾有过不道德的行为。正确。雇员自身的道德问题不属于公司道德规范和决策环境的内容，因此不属于这项 审计的范围。d. 对董事会进行调查，确定他们支持公司道德规范的程度。 不正确。内部审计部门可以通过调查和访谈的方式了解董事会对公司道德规范和决策 的支持力度，甚至可以获取实务范例，董事会强有力的支持表明了公司具备了遵循道 德规范和决策的良好环境基础，是道德规范和决策环境审计的一项内容。【例题 2】某经理填制并签发了一张支票给虚构的供应商付款， 然后将款项存入其个人银行账

29、户 以下哪项内部控制措施最有效地防止，或至少发现该贪污行为？a. 所有采购业务实行招标。b. 向供应商的付款必须使用经批准的支票。c. 经理以外的支票签字人员只有在已批准的发票和填制好但未签字的支票都提交上 来，并对其进行了审查后，才能签发支票。d. 必须由某个负责任的职员定期清点支票的编号顺序。正确答案 c答案解析a. 所有采购业务实行招标。不正确。对采购业务实行招标在一定程度上可以防止将货款付给事实上完全不存在的 供应商，但是如果没有在签发支票上设置职责分离，则该经理仍有可能根据事实上存 在的供应商虚构采购业务，从而贪污公款。b. 向供应商的付款必须使用经批准的支票。不正确。由于签发支票的

30、权力在该经理手中，给供应商的付款肯定是经批准的，因此 这个措施没有用。c. 经理以外的支票签字人员只有在已批准的发票和填制好但未签字的支票都提交上 来，并对其进行了审查后，才能签发支票。正确。通过职责分离，可以防止该经理既批准发票，又签发支票，从而防止出现虚构 供应商、贪污公款的行为。d. 必须由某个负责任的职员定期清点支票的编号顺序。 不正确。由于该经理签发支票的程序本身没有错，不存在盗用支票的问题，所以通过 清点支票不能发现或防止贪污行为。【例题3】试图了解员工对组织价值观理解程度如何以及在日常工作压力下他们是如何秉承价值 观的，最恰当的方式是？a. 把该工作作为常规的控制评价。b. 与董

31、事会及高级管理层开展讨论。c. 自我评估实践。d. 作为全面风险管理战略的一部分。正确答案c答案解析a. 把该工作作为常规的控制评价。不正确。见题解C ob. 与董事会及高级管理层开展讨论。不正确。见题解C oc. 自我评估实践。正确。公司价值观不能仅通过常规的风险与控制评估机制来评定。实际上，自我评估 的方式和恰当的审计项目通常被用来衡量公司价值观的理解和遵从。d. 作为全面风险管理战略的一部分。不正确。见题解C o4.2维护和管理商业行为政策，并报告合规情况公司行为规范是由组织制定的、旨在规范员工行为、防止过失违法违纪的正式书面的规章制度。行为规范强化了在经营决策中的道德要求。商业惯例是在

32、商业活动中形成的被广泛接受的通用做法，一般是非正式的，但一旦 违反，会给组织带来不利影响。公司行为规范和商业惯例对组织目标的实现都有影响，内部审计师有责任评价遵守公司行为规范和商业惯例的执行情况和执行效果，以改进组织的控制系统。在监督遵守公司行为规范和商业惯例情况时，内部审计师应从评估组织相关行为规范和商业惯例是否存在、相关的控制和保证系统是否充分建立、运行是否充分和恰当、 以及系统的执行效果等方面进行。组织是否建立了关于行为规范和商业惯例的道德规范，这些道德规范应该是书面的、易于理解的和具有指导性的，机构内不同层次的人的执行标准应有所不同：组织内所有员工都应有机会了解和接触上述行为规范；组织

33、应在多种场合将道德规范向各层次的员工进行讲解；组织的代理人要参加为他们量身定做的讲座，新员工要专门培训；组织应保证员工已经阅读、理解并遵守了公司的行为规范和商业惯例；组织应采取合理的措施促进行为规范和商业惯例的遵守；组织的高层人员应总体负责监督对行为规范和商业惯例的遵守情况；公司行为规范和商业惯例是否得到切实遵守。【例题1】组织应当制定合规标准和流程，并且编制书面的员工应当遵守的业务行为规范。以下 哪项有关业务行为规范和合规标准的陈述是正确的？a. 合规标准应当直白，并且有可能减少潜在的犯罪行为。b. 合规标准应当载入审计委员会章程。c. 跨国公司应当有选择地根据地理位置制定反映当地法规的各种

34、合规程序。d. 为了防止在将来承担法律责任，该规范应当包括法律术语和定义。正确答案a答案解析a. 合规标准应当直白，并且有可能减少潜在的犯罪行为。正确。道德规范就当明确地指出被禁止的活动，使合规标准能够合理地减少潜在的犯 罪行为。b. 另外，直白和公允的道德规范可以降低员工参与不道德或违法行为的风险。合规标准应当载入审计委员会章程。不正确。合规标准只需载入道德规范。审计委员会章程记载的是CAE对于管理层和董事会有关风险管理过程中内部审计活动的预期的理解。c. 跨国公司应当有选择地根据地理位置制定反映当地法规的各种合规程序。不正确。跨国公司的合规程序应当基于全球标准，而不是选定的区域。这些程序无

35、须 反映当地的情况、法律和法规。d. 为了防止在将来承担法律责任，该规范应当包括法律术语和定义。不正确。道德规范就当以员工可以理解的形式书写，避免使用法律专门用语。【例题2】当道德违反事件包括工作场所偷盗时，对该问题的恰当处理方式是？a. 停止该员工的工作，不予控告，避免该事件公开化。b. 先采取心理辅导或留用察看等积极的训诫程序。c. 直接向司法部门报告。d. 停止员工工作，如果员工返还全部现金则不予控告。正确答案c答案解析a. 停止该员工的工作，不予控告，避免该事件公开化。不正确。见题解C ob. 先采取心理辅导或留用察看等积极的训诫程序。不正确。见题解C oC.直接向司法部门报告。正确。

36、违法活动必须向司法部门报告。d.停止员工工作，如果员工返还全部现金则不予控告。不正确。见题解C o5. 就公司治理、风险管理、控制和合规性的最佳实务培训高级管理层和董事会【5.就公司治理、风险管理、控制和合规性的最佳实务培训高级管理层和董事会】董事会和高级管理层可能因各种原因受限，从而影响他们监督和作出正确决策的能力: 专业技能和经验；商业压力和目标驱动；不熟悉风险管理原则。首席审计执行官可通过以下方式培训高级管理层和董事会：审查董事会、高级管理层、运营和内部审计师在风险管理过程中的角色；审查影响组织治理和运营的重要事项；召开专题讨论会，用来识别与组织环境相关的风险；在董事会会议上提供与组织相

37、匹配的公司关于治理和风险管理的最佳实务。5.1公司治理的最佳实务5.2风险管理的最佳实务5.3控制的最佳实务5.4合规性的最佳实务5.2风险管理的最佳实务推动组织风险管理的主要要素有：使用共同的风险框架和语言；对风险的认识与经营目标的实现以及总体的业务单位应保持一致;获得业务活动的信息；风险等级或优先次序的分类；组织风险及其影响力的明确描述。5.3控制的最佳实务控制矩阵，识别业务目标识别与业务目标相关的风险根据风险发生的可能性和畫要性评估每个风险识别控制方法-评怙控制方法的充分性测试控制方法的有效性-对控制方法的充分性和有效性做岀最终评价5.4合规性的最佳实务内部审计部门关注的重点应该是：组织

38、内是否建立了监督遵守相关法规政策的监管控制系统;这些系统是否充分、有效；相关的业务活动是否遵守了那些法规政策、效果如何。针对电子商务的主要审计活动包括：评估内部控制结构；对于目标能够被达成提供合理的保证；确定风险是否可以被接受；理解信息的流动；审查界面问题；评估营业持续和灾难恢复计划。【例题1】F面哪种结构代表了最优的公司治理结构?董事会运营管理层内部审计a.监督作用风险责任咨询顾问b.风险责任监督作用咨询顾问c.风险责任咨询顾问监督作用d.监督作用咨询顾问风险责任正确答案a答案解析a. 正确。运行管理层承担风险管理责任，董事会承担监督职能，内部审计为咨询顾问b. 不正确。见题解a。c. 不正

39、确。见题解a。d. 不正确。见题解a。【例题2】以下哪项目标将风险管理战略定位在最优水平上？a. 成本最小化。b. 市场份额最大化。c. 损失最小化。d. 股东价值最大化。正确答案d答案解析a. 成本最小化。不正确。这不是一种全面风险管理方法。b. 市场份额最大化。不正确。这不是一种全面风险管理方法。c. 损失最小化。不正确。这不是一种全面风险管理方法。d. 股东价值最大化。正确。这是一种全面的方法，它可以使风险管理战略贯穿于整个组织。【例题3】以下哪项不是审计电子商务活动的主要组成部分？a. 确定目标可以被达成。b. 评估内部控制结构。c. 审查界面事项。d. 评估营业持续和灾难恢复计划。正

40、确答案 a答案解析a. 确定目标可以被达成。 正确。审计电子商务活动应提供目标可能达成的合理保证，而不是确目标可以达成。b. 评估内部控制结构。 不正确。这是审计电子商务活动的主要组成部分。c. 审查界面事项。 不正确。这是审计电子商务活动的主要组成部分。d. 评估营业持续和灾难恢复计划。 不正确。这是审计电子商务活动的主要组成部分。【例题 4】 内部审计师认为以下哪一项电子商务项目的风险最低？a. 具备符合本组织战略目标的涵盖电子商务系统的规划、设计和实施的商业计划的项 目。b. 具备在风险评估中考虑到政府和监管规定以及其他外部因素的商业计划的项目。c. 具备要求由外部供货商提供主机服务的商

41、业计划的项目。d. 具备解决交易处理的准确性和软件安全性的商业计划的项目。 正确答案 a答案解析a. 具备符合本组织战略目标的涵盖电子商务系统的规划、设计和实施的商业计划的项 目。正确。本条符合低风险商业计划的主要要求。b. 具备在风险评估中考虑到政府和监管规定以及其他外部因素的商业计划的项目。 不正确。只有在风险评估中同时包括了内部要求的商业计划才能被认为是低风险的。c. 具备要求由外部供货商提供主机服务的商业计划的项目。 不正确。使用外部主机服务将增加电子商务项目的风险，除非由可靠的第三方对其营 业持续能力进行了评估。d. 具备解决交易处理的准确性和软件安全性的商业计划的项目。 不正确。商

42、业计划应当在软件安全之外还要解决硬件安全问题。另外，该计划不应当 确保交易处理的准确性，而应当确保交易处理的及时性、完整性和确定性。【例题 5】以下哪一项是有关电子商务风险的最好描述？a. 发生对目标的达成有负面影响的某事件的不确定性。b. 发生对管理层保护本组织的资产的能力有正面影响的某事件的不确定性。c. 发生对目标的达成有正面影响的某事件的不确定性。d. 发生对本组织的资源的有效和高效利用有影响的某事件的不确定性。正确答案a答案解析a. 发生对目标的达成有负面影响的某事件的不确定性。正确。电子商务风险和控制环境是复杂和不断演进的。风险可以被定义为发生对目标 的达成有负面影响的某事件的不确

43、定性。b. 发生对管理层保护本组织的资产的能力有正面影响的某事件的不确定性。 不正确。管理层保护本组织的资产只是许多管理目标中的一个。c. 发生对目标的达成有正面影响的某事件的不确定性。不正确。应当是负面影响，而不是正面影响。d. 发生对本组织的资源的有效和高效利用有影响的某事件的不确定性。不正确。虽然对本组织的资源的有效和高效利用是一个有效的目标，但是本题解没有 严格地指出是负面影响。【6.定期向高级管理层和董事会报告内部审计的关键绩效指标】标准第2060条：“首席审计执行官必须定期向高级管理层和董事会报告内部审计 活动的宗旨、权力、职责及其与计划有关的工作开情况，报告中还必须包括重大风险

44、披露和控制事项，其中包括舞弊风险、治理以及高级管理层和董事会需要或要求的其 他事项。”6. 定期向高级管理层和董事会报告内部审计的关键绩效指标IPPF “衡量内部审计效率和效果”四步法：*明确内部审计的有效性识别关键内、外部利益相关方l44-7-建立业绩衡*标准和关键绩效指标-监控和报告结果【例题1】IPPF 的实务指南针对“衡量内部审计效率和效果”建立业绩衡量系统提出四步法，此 四部法包括：I .明确内部审计的有效性；n.识别关键内、外部利益相关方；川.为评估内部审计工作的效率和效果，建立业绩衡量标准或关键绩效指标；IV .监控和报告结果。a. I和川b. U 和 Vc. Id. inm 和

45、v正确答案 d答案解析a. 不正确。见题解 d。b. 不正确。见题解 d。c. 不正确。见题解 d。d. 正确。 IPPF 在实务指南针对“衡量内部审计效率和效果”建立业绩衡量系统提出四 步法，此四步法包括：第一步是明确内部审计的有效性；第二步是识别关键内、外部 利益相关方；第三步是为评估内部审计工作的效率和效果，建立业绩衡量标准或关键 绩效指标；第四步是监控和报告结果。【例题 2】 为了鼓励消费，销售部在新产品销售中发放贵重的赠品。这一促销手段看起来很成功， 但管理当局觉得成本可能过高。以下哪项审计程序在确定该促销活动的有效性方面作 用最小？a. 比较促销期和类似非促销期的产品销售量。b.

46、比较促销期前后销售产品的单位成本。c. 对促销期的边际收入和边际成本进行分析，并与促销之前相比较。d. 检查销售部门用来评价一项促销活动成败的标准。正确答案 b答案解析a. 比较促销期和类似非促销期的产品销售量。 不正确。这种比较有助于了解促销活动在增加销售量方面的有效性。b. 比较促销期前后销售产品的单位成本。正确。没有迹象表明售出产品的成本发生变动。其任务是要证明促销活动的有效性。c. 对促销期的边际收入和边际成本进行分析，并与促销之前相比较。不正确。这样可以算出收入减去成本后的差额大小，因此是一项很关键的分析。d. 检查销售部门用来评价一项促销活动成败的标准。不正确。这样做有用，因为销售

47、部可能会有一些有关新顾客的有用信息并可促使他们 再次购买。7. 与外部审计师、法规监管机构以及其他内部确认部门协调内部审计工作【7.与外部审计师、法规监管机构以及其他内部确认部门协调内部审计工作】7.1确认服务提供者7.2确认职能的分工与合作-确认图谱7.3外部审计师7.4法规监管机构7.1确认服务提供者标准2050条-协调“首席审计执行官应当与相关确认和咨询服务的其他内、外部提供方共享信息、相互协调，以确保适当的工作覆盖面，并尽可能地减少重复工作。” 三类确认服务提供者：向管理层报告的人员或本身就是管理层的组成部分：实施控制自我评估的人员、质 量审核人员、环境审计人员向董事会报告的人员：内部

48、审计师向外部利益相关者报告的人员：外部审计人员7.2确认职能的分工与合作-确认图谱重丈凤险类别凤睑责任人外部审计覆盖面雄认活动的职 责管理层1内部审计部门1风睑管理部门1合规部门内部审计覆盖面固有风险评定其他确认握供者首席审计执行官的职责:在制订内部审计计划时，需要考虑未被适当覆盖的领域了解董事会和组织对于独立确认的要求，明确内部审计部门扮演的角色及所提供确 认的水平针对各个类别的风险性质和级别，向董事会提供恰当程度的确认7.3外部审计师内部审计师外部审计师工作范评估和促进组织在风险管理、控制和治理程序对年度财务报告公正与否发方面的有效性；表意见；畴关注组织的所有方面；关注历史情况。对将来发生

49、的事件加以关注专业标“内部审计的定义”独立审计准则标准准职业道德规范章程内、外部审计协调的具体内容：协助外部审计师进行财务报表审计；对比内外部审计计划；评价双方的工作协调情况和外部审计师的工作情况，并向管理层和董事会报告；就特定事项与外部审计师交流。协调双方的审计范围，互相接触工作底稿，交换审计报告和管理建议书，互相理解 对方使用的审计技术、方法和术语7.4法规监管部门内部审计师在从事内部审计工作尤其是合规性审计、风险审计、舞弊审计等具体审 计业务时，应当主动征求法规监管机构的意见，积极与法规监管机构展开合作。同监管部门进行沟通的程度和方法取决于监管部门。交换信息的目的是减少重复劳动。7.4.

50、1跟踪并报告管理层对法规监管机构检查结果的落实情况“后续程序”包括：首席审计执行官必须建立后续程序，监督及确保管理层已采取有效措施，或高级管 理层已接受不采取行动的风险。内部审计师应确认管理层已采取行动或已落实建议。内部审计部门章程应明确后续审计的责任。将后续审计作为制定业务工作计划的一部分。如对管理层答复已采取行动表示接受，可将后续程序安排在下次业务中。【例题 1】某内部审计小组最近完成了一项关于公司汽车使用是否符合公司 “租赁或购 置”政策的审计。审计报告表明有若干出租（而非购买）的决定没有被记载因而无法 审计。报告建议管理人员必须确保存在出租决策的书面文件的情形下方执行该决策。 内部审计

51、师决定根据该审计报告继续进行有关的跟踪检查。进行跟踪检查的主要目的 是：a. 确保内部审计师的建议得到及时考虑。b. 确保管理层针对报告结果已采取相关措施。c. 以便内部审计师能评价其建议的有效性。d. 记录管理层对审计报告的反应并及时完成审计归档。正确答案 b答案解析a. 确保内部审计师的建议得到及时考虑。 不正确。内部审计师的建议是否能及时得到考虑是内部审计师关心的问题，但内部审 计师更加关心建议落实的实际效果，即管理层的行动。b. 确保管理层针对报告结果已采取相关措施。正确。标准2500.A1的规定：首席审计执行官必须建立后续程序，监督及确保管理 层已采取有效措施，或高级管理层已接受不采

52、取行动的风险。因此，进行跟踪检查的 主要原因就是确定管理层是否已经针对审计建议采取相应措施。c. 以便内部审计师能评价其建议的有效性。 不正确。跟踪检查的首要目的是确定有关建议是否落实，而不是对建议本身有效性的 评价。d. 记录管理层对审计报告的反应并及时完成审计归档。 不正确。跟踪检查的原因不是内部审计活动本身，不是为了审计而开展审计。【例题 2】内部审计师发现即使是经过相关方同意， 纠正行动有时仍未得到执行， 那么 内部审计师应该：a. 决定必要的跟踪检查的范围。b. 请管理层决定保时进行跟踪检查，因为这是管理层的最终责任。c. 只有当管理层要求内部审计师协助时才决定进行跟踪检查。d. 将

53、所有的审计发现和它们对经营活动的重要性写成一份跟踪检查报告。正确答案 a答案解析a. 决定必要的跟踪检查的范围。正确。标准 2500.A1 的规定：“首席审计执行官必须建立后续程序，监督及确保管理 层已采取有效措施，或高级管理层已接受不采取行动的风险” ，因此在相关方同意采取 纠正行动但没有得到执行的情况下，内部审计师应该开展跟踪检查。b. 请管理层决定保时进行跟踪检查，因为这是管理层的最终责任。 不正确。如何时行跟踪检查是内部审计部门而非管理层的责任。c. 只有当管理层要求内部审计师协助时才决定进行跟踪检查。 不正确。跟踪检查不是只有在管理层的要求下才能进行，而是由内部审计师根据实际 情况自

54、行决定。d. 将所有的审计发现和它们对经营活动的重要性写成一份跟踪检查报告。 不正确。必须要先开展跟踪检查，才能编写跟踪检查报告。【例题 3】以下哪种陈述最能体现内部审计部门针对先前审计工作进行跟踪检查的责 任？a. 内部审计师应确认是否采取了纠正行动，并达到了理想的结果，或者管理层已经承 担不采取纠正行动所带来的风险。b. 内部审计师应该确认管理层是否已经开始实施纠正行动，但没有责任确认该行动是 否获得理想结果，因为那是管理层的责任。c. 只有在高级管理层或审计委员会指示下，首席审计执行官才有责任安排跟踪检查工 作。否则，是否实施跟踪检查是可自主决定的。d. 以上三项都不正确。正确答案 a答案解析a. 内部审计师应确认是否采取了纠正行动，并达到了理想的结果，或者管理层已经承 担