WileyCIA講義-第1部分內部審計在治理、風險和控制中的作用

1、第I部分 內部審計在治理、風險和控制中的作用 第一部分如何應對CIA考試 00:36:14第二部分當代國際內部審計新發(fā)展（一） 00:54:43第二部分當代國際內部審計新發(fā)展（二） 01:02:58第二部分當代國際內部審計新發(fā)展（三） 00:12:24第二部分當代國際內部審計新發(fā)展（四） 00:59:19第二部分當代國際內部審計新發(fā)展（五） 00:55:42第二部分當代國際內部審計新發(fā)展（六） 00:56:17第二部分當代國際內部審計新發(fā)展（七） 00:55:47第二部分當代國際內部審計新發(fā)展（八） 00:56:55第二部分當代國際內部審計新發(fā)展（九） 00:29:43第二部分當代國際內部審計

2、新發(fā)展（十） 00:41:53第二部分當代國際內部審計新發(fā)展（十一） 00:34:58第二部分當代國際內部審計新發(fā)展（十二） 00:26:51第二部分當代國際內部審計新發(fā)展（十三） 00:32:35第三部分國際內部審計專業(yè)實務框架簡介（一） 00:43:09第三部分國際內部審計專業(yè)實務框架簡介（二） 00:22:02第三部分國際內部審計專業(yè)實務框架簡介（三） 00:50:06第三部分國際內部審計專業(yè)實務框架簡介（四） 01:00:52第三部分國際內部審計專業(yè)實務框架簡介（五） 00:57:51第三部分國際內部審計專業(yè)實務框架簡介（六） 00:28:17第四部分遵循IIA的屬性標準（一） 00:

3、40:45第四部分遵循IIA的屬性標準（二） 00:46:28第四部分遵循IIA的屬性標準（三） 00:42:18第四部分遵循IIA的屬性標準（四） 00:34:02第四部分遵循IIA的屬性標準（五） 00:41:35第四部分遵循IIA的屬性標準（六） 00:47:43第五部分建立風險導向計劃，確定內部審計活動的優(yōu)先順序（一） 01:00:48第五部分建立風險導向計劃，確定內部審計活動的優(yōu)先順序（二） 00:34:18 第五部分建立風險導向計劃，確定內部審計活動的優(yōu)先順序（二） 00:34:18 第五部分建立風險導向計劃，確定內部審計活動的優(yōu)先順序（三） 00:58:41 第六部分理解內部審計

4、活動在組織治理中的角色（一） 00:27:53 第六部分理解內部審計活動在組織治理中的角色（二） 00:33:07 第六部分理解內部審計活動在組織治理中的角色（三） 00:56:55 第六部分理解內部審計活動在組織治理中的角色（四） 00:26:35 第七部分履行其他的內部審計角色和職責（一） 00:27:41 第七部分履行其他的內部審計角色和職責（二） 00:47:38 第八部分治理、風險和控制知識要點 00:45:56 第九部分計劃業(yè)務 00:40:35 前言第一部分如何應對CIA考試 第二部分當代國際內部審計新發(fā)展 第三部分國際內部審計專業(yè)實務框架簡介 第四部分遵循IIA的屬性標準 第五

5、部分建立風險導向計劃，確定內部審計活動的優(yōu)先順序 第六部分理解內部審計活動在組織治理中的角色 第七部分履行其他的內部審計角色和職責 第八部分治理、風險和控制知識要點 第九部分計劃業(yè)務一、如何應對CIA 1.一本好的考試復習用書，通讀精讀各一遍 2.掌握基本概念，基本理念，不要去死記，理解就行 3.合理安排自己的時間，理論卷和習題卷相結合，看完一部分，就去做與此相關的習題，不要看答案，即便選不出答案，也找一個最能說服自己的答案。 4.記?。捍疱e的每一題道，都說明自己在某個環(huán)節(jié)存在薄弱點，某方面的概念沒有搞清楚。 5.不要去背題，不要搞題海戰(zhàn)術，認真做好每一道題，分析每一個選項，理解才是最重要的。

6、 6.切記：CIA考題考的是理論點及其應用，考題可以千變萬化，但考點雷同。拿下每一個考點才是最切實際的辦法。 7.看出關鍵詞，運用一定的考試技巧，學會有效分析題、做對題的本事。 8.不用去道聽途說，心態(tài)要平和，每年的CIA考題中國地區(qū)是沒有權力公布的，這是中國政府對IIA的承諾，也是每一位CIA考生對IIA的承諾。例某位員工長年不休假，加班工作，這有可能表明： a.單位工作任務重，該員工只能放棄休假，經常加班； b.該員工具有很好的敬業(yè)精神； c.單位內部有規(guī)定，要求員工加班并盡可能放棄休假； d.單位內部控制薄弱，該員工有可能存在舞弊行為。 【答疑編號10010101：針對該題提問】答案D

7、基本的控制活動：交易授權、職務分離、作業(yè)監(jiān)督、資產接觸限制、會計記錄、獨立性核對。 不相容職務相互分離控制示例 工作職責存在的風險同時負責現金的收取和應收賬款的會計記錄可能會通過注銷應收賬款和截留應收賬款等調節(jié)賬簿的方法來私自挪用現金同時負責購貨訂單的審批和貨物的收取可能以組織的名義為個人購入貨物，在收取貨物時利用職務之便將貨物占為己有，同時不向會計部門遞交原始憑證或者在原始憑證上反映虛假信息同時負責付款的審批和購貨訂單簽發(fā)與審核可能會偽造購貨業(yè)務并支付貨款，從而貪污現金2 例題 以下哪項控制薄弱環(huán)節(jié)最有可能致使舞弊產生： a.計算機化信息管理系統(tǒng)合同期已滿的雇員的注冊賬戶沒有立即取消； b.

8、負責現金記錄的核對工作和銀行存款工作的雇員同時負責所有現銷工作； c.無論什么時候到貨，某雇員都負責將辨別性信息輸入存貨數據庫。經理定期將庫存記錄同現有的貨物進行比較； d.由于人手短缺以及優(yōu)先考慮事項存在利益沖突，用以核實永續(xù)庫存系統(tǒng)的實物清點工作經常推遲。 對于組織而言，現金收付職能必須與相應的現金記錄職能分離，目的在于: a.確保現金收付的實物防護安全； b.在現金收支的最初確定責任； c.避免現金坐支； d.避免挪用現金?！敬鹨删幪?0010102：針對該題提問】答案D第二部分 當代國際內部審計新發(fā)展這樣安排，是為了讓廣大學員：1.認識內審（what、how、why）2.明白內審可以為

9、組織帶來效益，為組織增值，也能提升個人的價值3.重視內審是公司治理的一個重要手段（地位的提升）4.了解建立成功內審職能的重要因素（能力素質、道德規(guī)范、工具運用）5.充分了解CIA考試的知識點，以及難點、重點6.明確考試動機，把握考試心態(tài)7.去掉考前準備的浮躁心理，去掉考試神秘感對內部審計的一些傳統(tǒng)觀念成本中心 非增值部門負責尋找麻煩的工作，小事化大工作不受重視是一個可有可無的部門上述觀念在中國很具普遍性，核心原因是對內部審計的定位不明晰，從業(yè)人員能力素質不匹配造成的。如果企業(yè)不設立內審部門，或者內部工作不到位，董事會、高管層只能依靠各主要業(yè)務部門負責人來評價各部門執(zhí)行內部控制過程的優(yōu)劣，而這將

10、導致內部控制缺乏客觀性可能因其它工作壓力而被忽視董事會得到的信心保證大減經營風險上升內部控制過程嚴重崩潰。內部審計和內部控制的關系1939年，AICPA第1號審計程序公告；1949年，第一個內部控制定義1977年，FCPA1992年，COSO2002年，SOA4042004年，PCAOB第2號審計準則 企業(yè)的管理層大多不會親自對企業(yè)每一部分運營工作進行控制，一般會依賴企業(yè)系統(tǒng)中的內部控制，代替其執(zhí)行控制管理的工作，而這就容易產生“代理人”的問題. 所以，高層管理者需要委派獨立的人員，代他們履行職責，審核企業(yè)的所有內部控制過程是否正常運轉。早期的內部審計從財務審計向運營審計的轉變是意義深遠而長久

11、性的。內部審計師早期的目標主要是圍繞資產的安全保障。全美產業(yè)研究委員會對內部審計的早期動機研究（20世紀40年代）： 保護公司財產和察覺舞弊行為是內部審計的主要目標。因此，審計師們將他們的注意力主要集中在對財務記錄的檢查和對那些很容易被盜用的資產的確認上。幾十年前在管理人員中一個非常流行的觀點就是：審計方案的主要目的就是從心理上威懾做錯事的員工。20世紀40年代，曾經由內部審計師開展的會計記錄核對工作由自動化查驗程序完成，內部審計師開始拓展審計范圍，超出傳統(tǒng)的財務審計范疇。他們努力轉向通過運用各種方法來輔助管理層。1948年，阿瑟肯特首次在內部審計師雜志提出“運營審計”的概念。到1975年，I

12、IA的調查表明：95%的受調查人員都在開展運營審計，運營審計的目的是判斷運營的效率、效果和經濟性。這份研究還發(fā)現審計時間中有51%用于運營審計。1957年IIA內部審計職責聲明：檢查和評價會計、財務以及運營控制的合理性、適當性和適用性。確定對規(guī)定政策、計劃和程序的遵循情況。確定對組織各類資產的負責程度以及免于各類損失的保障程度。確定組織內部所產生的會計及其數據的可靠性。評價履行職責的工作質量。1963年全美產業(yè)研究委員會對內部審計目標的研究表明：確定內部控制系統(tǒng)的適當性。調查對組織政策和程序的遵循情況。確認資產的存在性，確保保持對資產的合理保障或發(fā)現舞弊行為。核對會計和報告系統(tǒng)的可靠性。向管理

13、層報告有關的發(fā)現并在必要時建議糾正措施。事實上，內部審計應該是：是一種獨立、客觀的確認和咨詢活動，旨在增加組織的價值和改善組織的運營。它通過應用系統(tǒng)化、規(guī)范化的方法，評價并改善風險管理、控制和治理過程的效果，幫助組織實現其目標。 -國際內部審計師協會（IIA，1999）內部審計定義關鍵詞獨立的客觀的確認和咨詢服務增值改善運營幫助組織實現目標確認服務：為了對組織的風險管理、控制和治理過程提供獨立的評估而客觀檢查證據的活動。范例可以包括財務審計、運營審計、績效審計、合規(guī)性審計、系統(tǒng)安全審計和盡職審計。咨詢服務：是一種顧問及相應的客戶服務活動，這種服務的性質和范圍通過與客戶協商確定，意在使內部審計師

14、不承擔管理責任的同時，為組織增值以及改善組織的治理、風險管理和控制過程。范例可以包括商議、建議、協調和培訓等。 獨立性 不會威脅客觀性或客觀性外表的情況。這種對客觀性的威脅一定要在內部審計師、業(yè)務、職能和組織的層面進行管理。 客觀性 是一種無偏的精神姿態(tài)，它要求內部審計師在開展業(yè)務時，對他們的工作成果持有誠實的信念，沒有重大的質量妥協?？陀^性要求內部審計師不能把對其他事務的判斷凌駕于對審計事務的判斷之上。 內部審計定義（1993）：內部審計是組織內部設立并服務于組織的一種獨立的評價活動。它是一種控制，通過檢查和評價其他控制的適當性和有效性來發(fā)揮作用。內部審計的目的是協助組織的管理層有效地履行其

15、職責。為此，內部審計向他們提供與所審核的活動有關的分析、評價、建議、忠告和信息。內部審計的目標包括以合理的成本促進有效的控制。變化老定義新定義地位獨立的獨立的、客觀的性質評價活動確認和咨詢活動目標以合理的成本促進有效的控制目的是增加組織價值和改善織織的運營責任幫助機構成員有效履行職責幫助機構實現其目標方法對與被審核活動有關的信息進行分析、評價、建議和咨詢系統(tǒng)化、規(guī)范化的方法工作范圍通過檢查和評價其他控制的適當性和有效性來發(fā)揮作用評價和改善風險管理、控制和治理過程的效果 另外，內部審計和外部審計存在重大的區(qū)別內部審計外部審計公司內部管理、治理機制、控制機制的組成部分完全獨立于公司架構對公司和董事

16、局負責對公司股東負責對公司的運營和財務工作進行審核、評價對公司年度財務報表是否真實、公允發(fā)表意見針對公司管理層關注作重點調查（財務或非財務范圍）針對會計賬簿、憑證和有關資料進行實質性檢查非定期性定期進行例題1.從現代內部審計的角度看，以下哪項聲明表明內部審計活動是對管理層最為重要的收益：a.確保已公布的財務報表的準確性；b.確?？梢詸z查出舞弊活動；c.確保組織遵守法律規(guī)定；d.確保對日常的運營進行合理的控制。 【答疑編號10020201：針對該題提問】答案d2.建立內部審計活動的主要原因是：a.減輕過重的管理責任，建立有效的控制； b.安全保障委托給組織的資源；c.確保財務、經營信息的可靠性和

17、完整性；d.評價并改進控制過程的效果。 【答疑編號10020202：針對該題提問】答案d例題1.內部審計能提供確認和咨詢活動。確認服務的范例是：a.顧問業(yè)務；b.協調性業(yè)務；c.培訓業(yè)務；d.合規(guī)性業(yè)務?！敬鹨删幪?0020203：針對該題提問】答案d 2.喬治是XYZ公司新來的內部審計師，他曾在10個月之前負責公司的薪酬工作。如果喬治開展以下哪項和薪酬有關的服務，將使獨立性或客觀性受損：a.咨詢服務； b.確認服務；c.確認或咨詢服務；d.既非確認服務，也非咨詢服務。 【答疑編號10020204：針對該題提問】答案b在評估自己以前負責的具體業(yè)務時，內部審計師應該回避。倘若某位審計人員為自己在

18、以前年度中負責的活動提供了確認服務，可以假定客觀性受損（標準1130.A1）。因此，倘若喬治提供薪酬方面的確認服務，就可以認定其客觀性受損。內部審計師可以對他們以前負責的相關業(yè)務提供咨詢服務（標準1130.C1）。 21世紀的全球內部審計行業(yè)，在SOA、COSO內部控制整體框架、COSO企業(yè)風險管理整體框架、COBIT框架、BASEL II以及PCAOB有關準則的推動下，正在迅速發(fā)展，行業(yè)地位明顯改善，內部審計已成為有效公司治理的基石之一。2002年，21世紀的美國上市公司治理原則發(fā)布，明確提出了有效公司治理的10項原則，并得到IIA及相關行業(yè)部門、管制部門的認同，他們相信：董事會、管理層、外

19、部審計師和內部審計師構成了有效公司治理的基石。因此，內部審計在組織治理中的角色大大提升。2002年，薩班斯-奧克斯利法案的出臺，完全改變了財務審計、公司治理、外部審計、內部審計機構的角色以及其他的眾多規(guī)則連續(xù)的會計丑聞是薩班斯-奧克斯利法案出臺的直接原因。2001年年底美國安然、世通、施樂、默克制藥、泰科等一批大公司會計丑聞接連曝光，誠信危機震撼著美國及國際社會，為了提高民眾對美國金融市場和政府經濟政策的信心。2002年7月美國總統(tǒng)布什簽署了薩班斯-奧克斯利法案，SOA，這是一部管制美國上市公司會計和審計實務的聯邦立法，也稱“上市公司改革和投資者保護法案”。同年美國上市公司會計監(jiān)督委員會（PC

20、AOB）成立，這是一家對公共會計師行業(yè)進行監(jiān)管、并制定財務審計準則的獨立機構，它從AICPA手中接管了制定審計準則的程序。內部審計迎來了發(fā)展的大好良機，2002年，時代周刊頭一次將三位女性評選為時代年度人物。從某種角度看，這三位女性都是“小人物”，但她們涉及的是大問題。她們勇于揭示政府機構與大公司中的問題，而政府機構和大公司都是民眾生命財產的守護者。時代周刊用兩句名言闡釋了她們行為的正當：馬丁路德金說:“我們的生命終止于我們對要緊事物沉默之時?！?人民公敵中有句臺詞:“社會就像一艘船，每個人都要準備掌舵?！笔劳ü緝炔繉徲嫀?辛西婭庫珀（ Cynthia Cooper）2002年，揭發(fā)世通在以

21、往年度隱瞞虧損，把應計當期費用資本化為固定資產，透過折舊把當期費用分年攤銷入損益表。調查結果，世通從2000和2001年度原審核凈利潤76億美元和24 億美元調整為凈虧損489億美元和92 億美元，虛增資產、少計費用及錯計收入等共虛報利潤高達740億多美元。公布利潤需要作出調整之后，股價由最高64美元跌至最低0.9美元，裁減員工17,000人。安然公司副總裁莎朗沃特金斯（Sherron Watkins）2001年10月份，安然突然傳出接近6億美元虧損的季度財務報告。調查結果，安然被迫承認做了假賬，自1997年以來，虛報盈利大約6億美元，并把即將到期的39億美元的債務隱瞞了24億美元。2001年

22、11月28日，曾高逾90美元的安然公司股票一天之內暴跌75%；兩天后，又跌至每股0.26美元，股價縮水到不足高峰時期的0.3%。12月2日，安然向法院申請破產保護。安然破產，不僅使數以千計的普通工人失業(yè)，JP摩根、花旗銀行等大財團的損失也以百億美元計算。聯邦調查局干員科琳羅利（Coleen Rowley）2002年5月，她向聯邦調查局局長米勒提交一份備忘錄，強調聯邦調查局并未重視她早先對穆薩維的懷疑，以至喪失有可能避免“911”事件發(fā)生的機會。所以說，當前的內部審計正在走向前臺國內外上市公司的會計信息失真情況越趨嚴重而當前推進內部審計職能發(fā)展的邏輯關系是當然，內部審計也在面臨挑戰(zhàn)其實，有關內部

23、審計何處去的討論早在2000年3月就開始了，當時由J.P摩根、霍尼韋爾、花旗銀行、美國股票交易所等全球知名公司發(fā)起，IBM、戴爾、科達、美林、GE、普華永道等公司高層管理者參與的內部審計領導者論壇，就內部審計行業(yè)的發(fā)展達成以下共識。中國的內部審計也在進步之中。全球內部審計導向在演變全球內部審計職能在轉變全球內部審計的方法在改變全球領先級的內部審計職能在七個主題方面的改變全球企業(yè)對內部審計的期望在增加中國在海外上市企業(yè)的治理結構受到挑戰(zhàn)，內部審計職能的建設已引起高管層關注。中國有關監(jiān)管機構（如國資委、銀監(jiān)會）的內部審計法規(guī)正在相繼出臺。中國知名企業(yè)內部審計人員招聘正體現出現代內部審計工作的多樣化

24、。中國地區(qū)參加CIA考試的人數近年已達到全球報名人數的三分之二。全球內部審計導向在演變全球內部審計職能在轉變 全球內部審計的方法在改變 全球領先級的內部審計職能 現代內部審計正在改變的七個主題 現代內部審計正在改變的七個主題（續(xù)）領導層具有商業(yè)運作的背景，不再是單純的職業(yè)審計人員。平均在任兩年，兩年至三年后轉到其他崗位。具有前瞻性的觀點以及更加深厚的經驗。較90年代中期發(fā)生了本質的變化。組織特性內部審計的領導者獲得更高的重視，被看作是企業(yè)管理的強有力角色?？山佑|到最高管理層。在必要時有質詢權。個性特征：非常進取、嚴格要求。現代內部審計正在改變的七個主題（續(xù)）目標重塑對風險和控制事項提供審計和咨

25、詢服務。最終目標：提供增值服務。注重價值對風險、控制和治理過程進行獨立評價。 與企業(yè)運營單位是合作伙伴關系。為企業(yè)培育人力資本。優(yōu)化運營活動。改變的速度企業(yè)整體更易于接受快速轉變。電子商務市場速度的挑戰(zhàn)。影響內部審計人才招聘和薪酬?，F代內部審計正在改變的七個主題（續(xù)）人力穩(wěn)定人才和薪酬是主要的挑戰(zhàn)。運營經驗是持續(xù)提供增值的重要能力。金字塔型變?yōu)殂@石型的人力資源架構。更少的職業(yè)審計師，更多領域的專才，不僅僅是財會人員。電子商務嶄新的不斷改進的商業(yè)模式。電子商務不僅僅是一種技術。對現行的活動帶來新的風險。信息技術/信息系統(tǒng)審計益發(fā)重要。全球企業(yè)對內部審計的期望在增加 華為招聘-與國際接軌的趨勢職位

26、：內控審計專員職責：開展公司業(yè)務拓展中的內控建設；通過優(yōu)化業(yè)務流程及制度，增加業(yè)務的自我控制與調節(jié)功能；推動建立公司審計、財務監(jiān)控、業(yè)務稽核三級監(jiān)控體系；開展對重點業(yè)務領域的審計工作；職位要求：具備扎實審計內控基礎知識；英語6級以上；良好的溝通推動能力；有效期：2004-10-01至2005-06-01內部監(jiān)控經理 (全國) 發(fā)布日期: 2004-10-12 工作職責：1.組織和參與各類審計、內控項目； 2.根據審計發(fā)現，推動或協助相關部門進行改進和優(yōu)化； 3.參與公司總體內控和風險管理的體系建設； 4.制定相關的操作指導和管理制度，并監(jiān)控和優(yōu)化體系運作。技能要求：1.本科或以上學歷，理工科背

27、景的MBA優(yōu)先； 2.跨國企業(yè)3年以上管理內審經驗；或具有四大會計師事務所外審經驗；或具有國內著名企業(yè)3年以上內審工作經驗； 3.具備較全面的內審知識，熟悉項目管理，了解業(yè)界發(fā)展趨勢； 4.誠實正直，富有合作精神，具備良好的溝通和表達能力。華為招聘-與國際接軌的趨勢（續(xù)）職位：業(yè)務內控和審計職位要求：1.本科或以上學歷，有良好的邏輯分析能力和職業(yè)素養(yǎng)； 2.掌握企業(yè)內審方法，熟悉ISO9000質量體系、內控方法和企業(yè)流程管理，最好有IT制造業(yè)工作經驗，有2年以上工作經驗，熟悉供應鏈領域業(yè)務的優(yōu)先考慮。工作地點：深圳有效期：2006-04-07至2006-12-31職位：審計專員職責：1.在終端

28、公司范圍內開展各項業(yè)務環(huán)節(jié)的審計工作，揭示業(yè)務問題和風險； 2.開展重要崗位的離任審計工作，界定管理責任。 3.結合審計發(fā)現的問題，推動業(yè)務流程的管理完善，推動財務核算的精細化。職位要求：1.財務管理、會計、會計電算化、審計等專業(yè)本科以上學歷； 2. 至少2年終端通訊產品制造或銷售行業(yè)財務管理經驗；3.較強的組織推動能力和協調能力，溝通能力良好；4.可以適應經常性出差。工作地點：全國各地有效期：2006-05-01至2006-12-31例題1.以下哪項主要結果可以說明內部審計行業(yè)在發(fā)展： a.大學畢業(yè)生、有經驗的審計師對內部審計行業(yè)的興趣在增加 ；b.外部審計范圍的局限性 ；c.強調背景知識和

29、技能的職位說明書 ；d.不斷增加的商業(yè)運營的復雜性和迷惑性 ?！敬鹨删幪?0020301：針對該題提問】答案：d 薩班斯-奧克斯利法案簡介法案的目標v提高公司根據證券法或其他目的的要求做出披露的準確性和可靠性v加強公司治理，重建投資者的信心。法案的措施v設立上市公司會計監(jiān)督委員會（PCAOB）v加強獨立審計師的獨立性v強化公司的責任以及審計委員會的責任v更新財務披露的要求v設立了犯罪懲戒條款并進一步加強了白領犯罪的懲罰措施。管理層在新法案下需要承擔的法律責任CEO和CFO必須簽署書面聲明如下：（a）302條款（民事）-管理層對財務報表的責任v審核了公司歷史財務報告v確認財務報告的披露準確、完整

30、、公允v承擔責任，保證維護及評估財務報告出具的相關披露控制及程序v建立并且維護“披露控制和程序”的制度v生效：2002年8月29日（b）404條款-管理層對內部控制的責任v對公司設立和維持適當的財務報告內部控制系統(tǒng)負有責任v對公司內部控制在過去90天內評估，并披露其效果（必須有足夠的文本證據）v已向獨立審計師和審計委員會披露了內部控制的重大缺陷v生效：在2005年7月15日當日或之后結束的首個財政年度結束時（c）906條款（刑事）-向美國證監(jiān)會呈報的期報的責任v報告完全遵循美國1934年證券交易法的規(guī)定和要求v在所有重大方面，其信息披露都要公允地反映了公司財務情況和運營v對于違反本條款，公司主

31、管處罰額高達500萬美元，并可判處高達20年的監(jiān)禁v生效：2002年7月30日。 法案主要內容（a）對“財務報告的內部控制”的定義v引用COSO內部控制整體框架體系v包括“財產保管控制”以及“防止舞弊欺詐”的控制（b）管理層在年報中聲明：v管理層聲明管理層有職責建立并保持一套完整的有關財務報告的內部控制體系和程序v管理層對公司財政年底時財務報告內部控制的執(zhí)行效果進行的評估v聲明管理層評估內部控制所采用的框架標準，并由公司年報財務審計的會計師事務所對管理層的財務報告內部控制評估進行特別審計并出具審計意見。PCAOB第2號審計準則簡介（1）PCAOB于2004年3月9日發(fā)布了審計準則第2號與財務報

32、表審計協同進行的對于財務報告的內部控制的審計。（2）該準則已于2004年6月17是由美國證監(jiān)會批準，成為審計師對財務報告的內部控制進行審計的法律依據。（3）明確了管理層的責任：（a）識別評估對象（b）識別評估范疇（c）評估控制的失效風險（d）評估控制效果（e）評估缺陷的嚴重性（f）就主要發(fā)現與相關方面進行溝通（g）評估主要發(fā)現是否和評估結果相一致。（4）審計師需要確定管理層是否開展了以上工作。（5）準則明確了管理層在內部控制審計中應承擔的責任：v管理層對內部控制的效果負責v管理層應使用適當的標準（COSO）來評估公司內部控制的效果v管理層應取得并保留充分的證據（包括文本記錄）作為其對內控評估的

33、依據v管理層應從2005年12月31日起，在公司年報中發(fā)表對于財務報告內部控制效果的書面評估意見。（6）準則要求審計師：v 評價管理層對內控的評估流程是否令人信服，以確保管理層評估結論是在合理的基礎上得出的v 獨立測試內部控制的效果，以確認管理層的評估是否正確，并得到了公允地表達。因此，準則要求審計師在報告中發(fā)表兩項意見：一項意見針對管理層的評估流程，另一項意見則直接針對內部控制的效果。（7）準則要求當財務報告的內部控制存在一個或一個以上重大弱點（material weakness）時，審計師必須對公司內部控制的效果發(fā)表否定意見。v重要缺陷（significant deficiency）是一個

34、內控缺陷，或是多個缺陷的組合，負面地影響公司依照公認會計準則可靠地進行初始、授權、記錄、處理或報告對外財務數據的能力，進而導致無法防范或發(fā)現公司年度或中期財務報表中存在并較為重要的錯報。v重大弱點是一個重要缺陷，或是多個重要缺陷的組合，進而導致年報或中期報告中顯著錯報不能被預防或發(fā)現的可能比較大。（8）管理層需要對內部控制制定充分的文本記錄，審計師將評價管理文件是否對管理層的評估提供了合理依據，以及這些記錄是否包括以下內容：v與所有財務報表的重要會計科目和披露事項的相關認定的內部控制的設計，包括對于財務報告有關的內部控制的五大要素（控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控）以及公司層面的

35、內部控制的文本記錄v重大交易如何初始、授權、記錄、處理和報告的信息v關于交易流程的充分信息，以便能發(fā)現可能產生的重大錯報（一般由于錯誤或舞弊）v為預防或發(fā)現舞弊而設計的控制，包括內部控制的責任人和相關職責分工v對于期末財務報告流程的內部控制v對于資產安全保障的內部控制v管理層測試和評價的結果。（9）審計師的職責審計師需針對每一個影響重要會計科目或會計科目的主要交易類型，確定對應的重要流程。對于每一個重要流程，審計師應當：v了解交易流程，包括交易是如何初始、授權、記錄、處理和報告的v確定流程中可能產生相關財務報表認定錯報的環(huán)節(jié)（包括由于舞弊產生的錯報）v明確管理層為防止?jié)撛阱e報而實施的內控v明確

36、管理層針對防止或及時發(fā)現未授權取得、使用或處置公司資產而實施的內控。（10）準則要求審計師在每次年度審計中，對每個主要交易類別至少實施一次跟單作業(yè)（walkthrough）。v在跟單作業(yè)中，審計師要從原始憑證開始，跟蹤至公司的會計信息系統(tǒng)和財務報告的準備流程，直至財務報表v跟單作業(yè)可以幫助審計師確定其對流程的了解是否準確，并為審計師評價財務報告的內部控制設計效果提供必要的信息。 內部控制測試（1）內部控制設計v準則要求審計師通過評估內控是否實現公司的內控目標，來評價內控設計的效果v準則還要求審計師通過執(zhí)行內控測試來獲得相應的證據，以證實與所有重要會計科目和披露事項的相關財務報表認定相關的內控執(zhí)

37、行有效性v對內控的測試量應覆蓋業(yè)務交易金額的60%-70%。（2）內部控制執(zhí)行v每年，審計師都必須獲取足夠的證據來證明整個公司財務報告的內部控制（包括對所有內控要素的內控）都得到有效的執(zhí)行v同時準則要求審計師應當每年都應變更測試的方法。（3）2006年7月15日之后，中國在美上市企業(yè)將面臨SOA考驗v目前，許多中國公司都在內部控制流程的記錄、文檔準備和IT控制活動的測試方面花了很多時間，有的公司建立了涉及企業(yè)經營、IT系統(tǒng)控制、投融資管理、財務監(jiān)控、法律法規(guī)監(jiān)督等方面涵蓋幾百個風險點的內部控制體系。這些是內部控制測評所要求的“硬件”程序，“硬件”比較容易通過。相對公司控制環(huán)境的“軟件”而言，其

38、實施難度要比“硬件”大得多，有些控制環(huán)境涉及整個公司治理結構，已超出了CEO、CFO控制力的范圍。v為了少走一些較早實施“SOA法案”美國公司已經走過的彎路，建議中國公司應從一開始就注重實施公司治理層面的改進工作。例如，公司的CEO和CFO應成為遵守內部控制制度的表率，充分發(fā)揮審計委員會和內部審計的作用，重視對員工遵守職業(yè)道德的培訓，嚴格執(zhí)行職責分離、工作分配、崗位描述等方面的規(guī)章制度，在公司內部形成一個自上而下有效貫徹內部控制的過程。v2006年7月15日之前，各公司的CEO和CFO還要為對外披露的財務報告的可靠性簽字而實施內部控制自我評估。由于在美國上市的中國公司大多都是規(guī)模很大的公司，需

39、要測試所有重要的控制點。如果某一個公司有30個省級公司或分公司，每個省級公司又有5-8個市級公司，從流程上講每個省級公司以及分公司都會有10多個或者更多的業(yè)務流程，每個業(yè)務流程有可能有5-10個重要的控制點。如果用3-4個小時測試一個控制點，計算下來，測試的工作量非常龐大。而這只是初步的測試，對測試發(fā)現的問題還需要改進，隨后對改進的情況還需要進行再測試，從而達到沒有重大的控制缺陷。v1938年，麥克森-羅賓斯丑聞，當時的SEC對內部控制實務的研究是：所有審計關鍵的、基本的問題被很多會計師以一種草率的方式處理。因為在對財務報表進行審核的過程中，對很多審核事項都采用測試和抽樣程序，所以對我們來說，

40、全面了解客戶的內部審核和控制體系的必要性怎么強調也不過分。v1949年，會計職業(yè)團體提出第一個內部控制定義：內部控制包括在組織內部采用的，以保證資產的安全性、檢查會計數據的準確性和可靠性、提高運營效率、促進管理政策的貫徹和實施為目的的計劃，以及所有與之相協調的方法和措施。內部控制整體框架的由來20世紀70年代中期的水門事件調查:確認出一些美國公司存在違反的政治捐贈，包括向國外政府官員賄賂。這樣就產生了對內部控制的不斷關注。反國外賄賂法案（FCPA，1977）:美國國會根據“水門事件”調查結果舉行了聽證會，并頒布了FCPA，包含有關會計和內部控制的條款，這些條款要求公司管理層保持適當的簿記和記錄

41、，并設計內部會計控制系統(tǒng)。SEC （1979）:SEC提議了針對機構內部會計控制的強制性管理報告規(guī)則。這些提議的規(guī)則還要求獨立審計師的報告。密納漢委員會 （1979）:AICPA建立的有關內部控制的專門委員會，該委員會提供了有關建立并評價內部控制的指南?？贫骺茊T會報告 （1978）:這份由AICPA發(fā)起的有關審計師責任的研究，建議公司管理層在披露財務報表時附上一份披露公司內部控制制度的報告。該報告得到了FEI的認可。財務經理人研究基金會 （1980）:該研究的在內部控制上的主要貢獻是對內部控制特性、條件、做法和程序進行分類。特雷德威委員會報告 （1987）:其主要目標是識別出欺詐性財務報告的偶

42、然因素，并建議減少這種偶然性。許多建議都針對內部控制，要求發(fā)起組織合作，來統(tǒng)一內部控制概念和定義。COSO內部控制整體框架（1992） COSO內部控制由三大目標和五大要素組成：（1）三大目標運營的效果和效率財務報告的可靠性遵守適用的法律法規(guī)。（2）五大要素控制環(huán)境風險評估控制活動信息溝通監(jiān)控（3）在COSO下內部控制的定義為：受組織的董事會、管理層和其他人員影響的一個過程，內部控制的設計為組織以下目標的實現提供了合理的保證：內部控制是一個過程，它是達到目的的方式，內控本身并不是目的；內部控制通過人起作用，它不是純粹的政策手冊和表格，而是通過組織中各個層次的人員起作用；內部控制可以被期望為對組

43、織的管理層或委員會提供合理的保證，但不是絕對的保證；內部控制的目的是為了實現一個、多個獨立但相互重疊的組織目標。（4） 對內部控制的態(tài)度（5）我們經常使用內部控制，但我們對它還有很多誤解。因此，我們需要花些時間來研究內部控制的本質和我們通過內部控制能得到什么不能得到什么。強有力的內部控制系統(tǒng)意味著公司能夠提高效率和效果，加強對外部事物的控制能力。另外，人們可以得到可靠的相關信息, 他們可以在合適的時間和地點來使用。良好的管理和有效的內部控制可以保證一個組織隨時處理出現的不利情況，限制其不利影響。有效的控制可以給公司成員充分的自由度來發(fā)揮其判斷力和想象力，管理錯誤行為帶來的風險,從而幫助公走向成

44、功。可是，內部控制并不能保證公司的成功。內部控制只是管理過程的一個部分,而不是全部。無論內部控制設計得如何完美，執(zhí)行得如何良好，它也只能對企業(yè)所要達到的目標提供合理的保證。內部控制不能解決企業(yè)的所有問題，內部控制只是一種防范機制。案例：摩托羅拉對內部控制的態(tài)度SOX與COSO的關系 企業(yè)內部控制發(fā)展的幾個階段內部控制可靠性模型（1）不可靠級：控制處在未經設計或不運行的未知環(huán)境中。（2）不正式級：控制得到設計并運行，但沒有適當的記錄；控制多數情況下取決于人；對控制沒有正式的培訓或溝通。（3）標準化級：控制得到設計并運行；控制得到記錄并向員工溝通；有可能未能發(fā)現控制的偏離事項。（4）可監(jiān)控級：定期

45、測試標準化的控制，并向管理層報告；以有效的方式運用自動化工具來支持控制。（5）優(yōu)化級：管理層運用實時監(jiān)控的內部控制整體框架，并持續(xù)改進；運用自動化工具來支持控制，并在需要時準許機構對控制迅速做出變動。企業(yè)目標、風險和內部控制的關系企業(yè)目標、風險和內部控制的關系示例目標 一風險控制措施短期目標:2005 年度實現利潤增長10%，其中：-銷售收入增長20%-經營成本降低15%。長期目標: 在未來五年內實現利潤平均每年凈增長10%由于不可靠的和不切實際的銷售預測,在進出口業(yè)務中造成嚴重囤貨和存貨作廢.由于履行不平等的或不利的合同條款而造成嚴重損失（如賠償損失, 名譽損害）由于未經授權的折扣或/折扣過

46、多造成毛利降低或直接虧損嚴重的壞帳損失由于不適當的賞罰制度,關鍵員工的流失或管理人員能力不足對業(yè)務造成的不利影響有效的編制和控制經營計劃和財務預算；采取措施增強銷售預測的準確性并且只承擔經過衡量并能接受的風險,比如:獲得可靠的市場信息,將實際情況與預算進行比較等 在主要的經營領域建立制度和流程 （須涵蓋集團總部的制度和流程）:銷售、采購、財務、投資等人力資源管理：建立并貫徹制度和程序；公平而有效的獎罰制度；吸收、教育、培訓及保留優(yōu)秀員工；建立并貫徹職業(yè)經理人在責任、權利和義務方面的標準；設置公平、客觀和及時的效績考核系統(tǒng)。例題1：在開展審計前，以下哪項調查的工作順序列舉了審計活動？.編寫詳細的

47、審計程序；.確定被審計單位的目標、目的和標準；.確定有關風險和控制，以便防止相關的損失；.確定相關的審計目標a.順序是，b.順序是，c.順序是，d.順序是，【答疑編號10020501：針對該題提問】答案dCOSO框架的三個維度為評價內部控制提供了標準1.三個組成目標:運營的效果和效率財務報告的可靠性遵循適用的法律法規(guī)2.五個組成要素:控制環(huán)境風險評估控制活動信息和溝通監(jiān)控3.要求機構層面關注和活動層面關注目標維度與要素維度（1）第一個目標針對機構的基本業(yè)務目標，包括績效目標、贏利目標以及安全保障資源；（2）第二個目標與編制可靠的公開財務報表有關，包括中期財務報表、簡明財務報表，以及從這些公開報

48、表中選定的財務數據，比如盈余披露；（3）第三個目標與機構遵守有關的法律法規(guī)有關。這些截然不同但又相互重疊的目標類別針對不同的需求，需要直接關注來滿足這些獨立的需求。（4）三類目標和要素之間有直接的關系，目標是一個組織努力去實現的，而要素則代表了實現這些目標所必需的條件。所有要素都與每個目標分類相關。當提到任何一個目標分類時例如運營的效率和效果所有五個要素都要存在并有效運行，這樣才能得出針對運營活動的內部控制是有效的結論。（5）內部控制的基本定義，即受人們影響的一個過程，為組織目標的實現提供合理的保證，同目標分類、構成要素、效果標準以及相關討論一起，構成了內部控制的整體框架。五大要素的具體說明（

49、1）控制環(huán)境設定管理基調誠信和道德價值觀董事會和審計委員會參與勝任能力傳達管理理念管理理念和經營風格組織結構責權劃分管理層評定業(yè)績的方法外部影響，如監(jiān)管部門的檢查人力資源政策和實務作為審計師：（1）審計師應該評估公司管理層的誠信情況，審計師無法在一個管理層既腐敗又無道德的環(huán)境中正常工作（2）審計師應當了解可能會引發(fā)企業(yè)管理層舞弊的情形。比如，缺乏足夠的運營資本、不良信用等級等。（3）審計師應該確認公司的董事會是否積極參與制定商務政策，是否監(jiān)管管理層和公司運作。一個獨立的向董事會下屬審計委員會報告工作的內部審計職能是一個優(yōu)秀的環(huán)境控制手段。（4）從組織結構圖和工作描述中，審計師可以評估公司內職能

50、部門之間的職責分離是否充分、適當。案例研究：深發(fā)展15億元貸款調查該筆貸款牽涉人數之廣，為深發(fā)展建行以來之最。自深發(fā)展總行高層，到總行信貸部門、風險部門相關人等；再到北京、天津、海口三家分行（15億元貸款出賬行）的行長、主管副行長，信貸、風險、財務等部門相關人。（1）相關人士指出，15億元貸款分三個地方出賬，這種戲法挺一般，但該筆貸款異?；靵y，問題不僅出在貸后，也出在貸前，即貸款流程有問題。深圳某銀行在一筆貸款發(fā)出后，竟然發(fā)現抵押物是一間廁所；而用同一處不動產在同一家銀行的數個支行也能相繼貸出款來 。這反映的都是銀行貸款流程的混亂問題。銀行貸款流程混亂表象的背后，實質往往是總行和分行高層在操縱

51、貸款（另有員工聯合操縱）。總行高層僅僅通過在分行關鍵位置上安排嫡系人馬，即可“再造”流程。如此一來，所謂的銀行內部制度則形同廢紙一張。此邏輯之下，15億元貸款的流程從一開始就是非正常的?！胺强傂嘘P鍵高層點頭，該貸款不可能在會上討論，3家分行簡單地成了出賬行后，相關的風險管理責任在總行和出賬行之間卻沒有形成?！弊罱K，15億貸款一發(fā)放，就已完全失控。（3）深發(fā)展存在的最大問題是管理極度分權化?？傂懈嘞窨毓晒?，而分行則像一級法人機構，權力被過多地授予了分支行。例題2：以下哪項要素包含在控制環(huán)境中：a.組織構架、管理理念和規(guī)劃；b.風險評估、職責安排以及人力資源做法；c.員工的勝任能力、輔助設備、

52、法律和規(guī)章；d.誠信和道德價值觀、權限劃分、人力資源政策。【答疑編號10020502：針對該題提問】答案d例題3：以下哪項是董事會與管理層有關控制在組織中的重要性所持的態(tài)度或行動的最為準確的語言?a.控制過程；b.控制環(huán)境；c.治理過程；d.管理理念和經營風格?！敬鹨删幪?0020503：針對該題提問】答案b風險評估風險評估是確認并估計相關風險，從而實現各項目標，為確定如何管理風險形成依據。（1）每個機構都面臨來自外部與內部的需要評估的各種風險。風險評估的前提條件是建立各項目標，與不同的層面聯系起來，并在內部保持一致性。（2）隸屬于內部控制要素的風險評估與管理人員的風險評估存在差別，由管理人員

53、認定的必要的相應計劃、方案或其他措施是用于針對有關風險的。這些采取的行動是更大的管理過程的關鍵部分，而不是內部控制系統(tǒng)的要素。風險評估的基本原則就是確認變化的情形并采取必要行動的一個過程。原因是由于經濟、行業(yè)、管制以及經營條件會持續(xù)發(fā)生變化，需要各種機制來確認并處理與變革有關聯的專門風險。雖然機構管理變革的過程與日常的風險評估過程較為相似，但還是要單獨討論這個過程。因為它對有效的內部控制至關重要，且在日常應對問題的過程中很容易忽略掉或沒有引起足夠的關注。例題1：某公司計劃建造一座新辦公樓，與一承包商簽訂了3000萬美元固定價格的承包合同。以下哪項內容帶來的風險最大？a.對材料設備等實物保管不善

54、；b.人工費用超支；c.材料以次充好；d.工程不能及時完工?！敬鹨删幪?0020601：針對該題提問】答案c.首先要明白一個重要的概念：凡是能被評估出來的風險，都能夠進行相應的控制將風險達到最小化。a , b, d都是可以明顯被評估出來，c 則很難被事前評估出來。例題2：審計師必須時時警惕舞弊行為存在的可能性。假定忽視對下述風險的控制，那么，哪項舞弊或濫用資產的風險最大?a.總經理把組織和旅游娛樂基金用于一些值得懷疑的活動上；b.在采購活動中，虛擬供應商；c.總經理將款項撥給與其有關聯的機構，或者進行違背組織的宗旨的其他撥款；d.工資管理人員偽造工資花名冊?！敬鹨删幪?0020602：針對該題

55、提問】答案c.和上題思路一樣，容易被評估出來的風險，都能夠進行相應的控制將風險達到最小化。c總經理將款項撥給與其有關聯的機構到底錢是怎么花的很難確認，作為審計人員是最難控制的也是前期很難以被發(fā)現的?？刂苹顒樱簽榇_保處理企業(yè)內部已發(fā)現的風險得到妥善處理而采取的適當政策和程序。計算機控制：一般控制和應用控制。（1）一般控制屬于企業(yè)整體層次的控制活動，適用于較寬泛圍的風險，這些風險系統(tǒng)地威脅到IT環(huán)境中所有應用程序的完整性。一般控制的例子：對計算機操作、數據管理系統(tǒng)、新系統(tǒng)開發(fā)、系統(tǒng)維護以及電子商務等的控制問題。（2）應用控制是針對特定系統(tǒng)的風險，如工資、應收賬款和采購應用系統(tǒng)等。應用控制測試涉及到

56、具體的審計目標，如檢查應付賬款的完整性。物理控制：主要與應用手工操作的傳統(tǒng)會計系統(tǒng)有關。六個傳統(tǒng)類別：（1）交易授權。在IT環(huán)境下，交易授權可能由嵌入到計算機程序中的編碼規(guī)則來進行。由于自動授權程序不能直接觀察到，在公司出現不良癥狀之前，控制失敗的情況可能容易被忽略。在IT環(huán)境下，達成交易授權控制目標的責任完全依賴于執(zhí)行這些任務的程序的準確性和完整性。（2）職務分離。在IT環(huán)境下，審計師的注意力必須轉移到那些對程序實施的完整性有威脅的活動方面。程序開發(fā)、操作和維護職能必須適當分離。（3）監(jiān)督。（4）會行記錄。（5）訪問控制。所有訪問控制技術的基本原則是“需要才知道”的原則，即只有表明雇員確實有

57、與其分配任務相關的需要，才能授權其訪問相應的數據。（6）獨立核算。在IT環(huán)境下，許多例行任務由電腦程序完成，如果程序設計準確完整，就沒有必要在工作過程中對電腦功能進行獨立核查，此時需關注的是應用程序的完整性。 例題3：如果內部控制得到了很好的設計，由不同的人所執(zhí)行的兩項任務是：a.批準壞賬核銷并核對應收賬款明細分類賬及總賬；b.工資支票的發(fā)送以及批準賒銷退回；c.從現金收入日記賬和收金支出日記賬過到總分類賬；d.記錄現金收入并準備銀行對賬單。【答疑編號10020603：針對該題提問】答案d選項（a）不正確，核銷壞賬與核對應收賬款之間沒有沖突，兩者可以由一個人做；選項（b）不正確，工資支票的支付

58、與批準銷貨的退回是獨立的職能，執(zhí)行這兩種分離任務的人不可能舞弊；選項（c）不正確，只要經辦人不接觸實際的現金，將兩個明細賬都進行過賬就不會造成沖突。如果某個人只接觸到了記錄但不是資產，沒有合謀行為就不存在資產盜用的危險；（d）現金記錄建立了資產的責任。銀行對賬單將已記錄的事項與實際資產相比較。因此，現金收入的記錄與銀行對賬單的準備應由不同的人員執(zhí)行，因為對賬單的提供者能夠隱藏現金的短缺。比如，如果出納既要準備銀行存款又要負責對賬，則她就會盜竊現金并通過偽造對賬單來隱藏這樣的盜竊。例題4：以下哪項活動既能代表適當人事部門職能，又能防止工資舞弊：a.工資支票的發(fā)送；b.加班時間的授權；c.工資增減

59、的授權；d.未記名工資支票的收集和保留。【答疑編號10020604：針對該題提問】答案c例題5：某銀行信貸部經理的職責包括：做出信貸決定、發(fā)放貸款并收回貸款。某位職員負責各賬戶的對賬并將交易記入客戶明細賬。對賬工作已有4個月未完成。以前的對賬存在已注銷的小額差異。在以上情形下，內部審計師應關注：a. 對賬沒有及時完成；b. 對賬職責沒有被恰當分離；c. 貸款官員的職責沒有恰當分離；d. 沒有發(fā)現的問題。【答疑編號10020605：針對該題提問】答案c.信貸部經理的職責既包括做出信貸決定、發(fā)放貸款又包括收回貸款，這樣會使他具有很大的舞弊空間和可能性。其它都是迷惑選項。監(jiān)控監(jiān)控是評估內部控制設計和

60、運行質量的過程。它可能由獨立的程序來完成，也可能由一系列連續(xù)的活動來完成。管理層必須確認內部控制是否達到了預期的效果。企業(yè)的內部審計師可能通過不同的程序來監(jiān)控企業(yè)的活動，并通過控制測試來搜集有關控制完整性的證據，然后將控制的優(yōu)勢和缺陷通報給管理層。作為這個過程的組成部分，內部審計師會針對控制改進提出有針對性的建議。持續(xù)性監(jiān)控是由信息系統(tǒng)內特定計算機模塊完成的。這種計算機模塊能捕獲關鍵數據并將控制測試作為常規(guī)任務。這種嵌入審計模塊可以使管理者和審計師對內部控制的功能實施持續(xù)性監(jiān)控。另一種實現持續(xù)性監(jiān)控的持術是合理使用管理報告。適時的報告可以使各職能領域（如銷售、采購、生產和現金支付）的管理者有效