CIA考试中的重点、难点—实施内部审计业务
CIA的结构框架包括《实务标准》、《道德规范》以及《实务公告》。其中《实务标准》包括属性标准(包括内部审计章程、独立性和客观性)、工作标准(内审工作的性质和评价工作的质量标准)以及实施标准。《道德规范》强调的是客观、公正、保密和胜任。《道德规范》既适用于内部审计师,也适用于为内部审计提供服务的外部团体,在应用时要注意个人的判断。
内部审计师在发现舞弊疑点时应扩大审计范围,以确认是不是存在舞弊的情况;在有充分证据确认已经发生了舞弊时,要通知权力机关,请示进一步的行动。(考试中会考察何时扩大审计范围,而何时要请示进一步行动)
实物证据是对实际存在的东西、行为或个人进行观察、检查或计算,从而得到的信息。它可以以照片、地图、图表或其他形式存在。
文件证据以某种永久的形式存在,如支票、发票、运输记录、收货(报告)单和订购单。它既包括外部的信息,如业务客户收到的来自普通运货商的运货单,也包括来自业务客户内部的文件。
证明证据是面对讯问或面谈时的口头或书面的说明。
考试中会给出一个东西,然后让我们分辨这是什么证据。很容易把实物证据和文件证据混淆。我的记忆方法是文件证据就是纸质的,别的都是实物证据。
证据的类别
可以把首要证据(最有说服力的审计证据)和附属证据(从首要证据中推断出来的)归在一起记忆
直接证据和旁证归在一起记忆 佐证证据是证明审计证据的审计证据 考察方法同上 审计都会存在抽样风险(样本不能反映总体)和非抽样风险(判断产生错误)。关键是把风险控制在合理的范围(“合理”的标准为成本/受益原则和重要性原则)
充分性:忠于事实、适当、具有说服力,任何谨慎的知情人都会得出与内部审计师相同的结论
可靠性:胜任的,且能通过恰当的业务技术的运用得以最佳的获取。 相关性:能够支持业务观察和建议,并与业务目标保持一致
有用性:能够保证财务和经营信息的可靠和完整;保证经营的效率和效果;保护资产的安全;保证遵守法律、规章制度和合同。
个人意见把这些证据评估标准背下来,考试时往上套。相关题目可以参见《实施内部审计业务600题》,从第46题开始。
审计工作底稿的作用见P65,内容较多,不一一列出,应该有一个大致的了解。 审计工作底稿包含的内容可以采用时间顺序记忆,计划-检查内控—执行程序—审查—报告—追踪检查。然后结合工作内容结合记忆需要的资料,详见P68。
审计报告应该包括审计目的、范围和结果。其中审计结果包括审计发现、审计结论(意见)和审计建议。审计范围包括确定的被审计活动及审计阶段,必要时还包括未经审计的相关活动、审计工作的性质和范围。审计结论涉及到专业判断。
审计报告除了最终报告需要正式编制之外,其余的可以是非正式的。总结报告适合于向被审计单位的上级管理部门强调审计结果时使用。口头报告可以及时快速地反馈信息,但它不能代替书面的报告。中期报告适合于报告周期较长、敏感或特殊的审计业务的进展情况。
中期报告是为了满足某些审计项目的特殊需要,而在审计工作结束前提交的报告。中期审计报告的形式灵活,可以是书面也可以是口头,可以是正式报送,也可以是非正式报送。
控制自我评价的三种方法为促进小组研讨班、调查法和管理部门分析法。
1、促进小组讨论班收集的信息来源于组织内部、代表不同层次经营单位或职能部门的工作小组,从而有助于解决不同观点之间、利益集团之间的差异。
2、调查法一般应用调查问卷形式进行。
3、管理部门分析法是利用管理部门小组,应用很多方法来形成和收集有关被选择业务程序、风险管理活动和控制程序的信息资源。
绩效审计的目标是确定效果、效率和效益(是投入与产出之间的关系和结果)。经营审计的目标是检查和评价内部控制系统以及所分配职责的完成情况,主要是关注已经建立的目标的完成情况、资源使用的经济性和效益性。合规性审计的目标是确定组织对政策、程序、标准或者法律和政府法规的遵守程度,关注的是企业组织中存在的违纪违规问题。
终端用户计算即终端用户开发。
认证是证明用户身份的过程。授权是标识认证用户可访问资源的过程。 管理控制的主要目标是实现职责分离。硬件控制包括回波检验()、奇偶校验()。访问控制是确保只有被授权的用户才能实现对特定数据和资源进行访问的控制。
校验数位是对某字段进行某种计算后得出,并附加在该字段之后的校验位。通过重新计算校验位并和原校验位进行比较,可以发现该字段内容是否已经发生变化。
相关性校验用于检查多个字段之间是否存在某种关联,来判断字段内容的正确性。 数据库管理系统中的数据字典是用来定义数据元素的属性以及使用方法的。指针是在层次和网状数据库中实现数据间逻辑关系的工具,数据库中的检索都是通过指针来完成的。
如果要实施咨询业务,那么在实施之前要先修改内部审计章程,赋予内部审计师权利及附加义务。如果在实施了咨询业务之后的一年内又实施了保证业务,那么可以认定内部审计的独立性和客观性受到了损害。内部审计师在开展咨询活动是,也必须遵守IIA的《道德规范》和《标准》。
基准比较法是比较最好的。
追踪活动的责任应该在内部审计活动的书面章程中加以规定,由首席审计官决定跟踪活动的性质、时间安排和范围。
内部控制问卷的结果非常系统和详细,回答问题的形式通常采用“是/否”或短句。内部控制问卷的由电视降低了忽视内部控制系统重要方面的风险;可以对被测试的控制系统进行初步分析。缺点是编制难度大、花费时间长、不能包括所有想了解的事情。
数据收集工具
复算的缺点是不能保证所用数据的准确性;核单的缺点是只能证明存在性和发生性,而不能证明完整性。
否定式函证要求收到者只有在不同意函证内容时才作出回复;肯定式函证要求收到者不论是否同意函证的内容都要作出回应。
观察是内部审计师验证实物证据的过程,可以证实某一时点上某物的存在性,具有较高的可靠性,但是缺点是不能确认所有权的归属。
控制自我评价包括对控制系统本身的制度评价、控制效果和效率的评价、对参与控制的人员的资格、工作程序和工作表现的评价。
数据提取技术能够将数据从大型机提取到个人PC机上,以免占用大型机的资源,提高审计的效率和效益,确定是提取的数据可能缺乏完整性和及时性。
水平流程图将程序中所涉及的部门或职能以水平的方式描述在页面上;垂直流程图以从上到下的形式来反映某程序的连续步骤。
平行模拟(审计模型技术)是一种使用审计师设计的程序,来重复处理管理者的数据。审计师的程序来模拟管理者程序的逻辑。因此审计师必须输入数据,并将模拟结果与被审计者程序得到的结果相比较。平行模拟可以用在审计师虚拟的测试数据,也可以用于公司的实际数据。对平行模拟程序的维护是非常广泛的,因为这些程序必须随着管理者程序的变化而更新。平行模拟适合于审计折旧费用,因为这些计算容易编程。
业务计划部分
