CIA内部审计知识要素第二章风险管理

国际注册内部审计师cia考试红皮书精要解读国际注册内部审计师(CIA)考试是全球内部审计领域最具影响力

和权威性的认证考试之一。该考试的通过率相对较低，需要考生具备扎实的内部审计专业知识和实践经验。为了帮助考生更好地备考该考试，本文将对CIA考试红皮书的精要内容进行解读和梳理。

CIA考试红皮书是CIA考试的权威教材，共包含四个部分，涵盖了内部审计的基本原理、实践技能以及全球化经营背景下的风险和挑战。其中，第一部分主要介绍了内部审计的基本概念、职责和规范，包括内部审计职能的定义、内部审计的工作流程、内部审计师的道德准则和职业素养等内容。第二部分则重点介绍了内部审计的实践技能，包括评估风险、编制审计计划、执行审计程序、编写审计报告等方面。第三部分则着重探讨了全球化经营背景下的内部审计风险和挑战，包括跨国公司的治理、风险管理和合规性问题等。最后，第四部分则介绍了CIA考试的考试形式、内容和难度等方面的信息。

在备考CIA考试时，考生需要重点关注以下几点：

首先，熟悉CIA考试的考试内容和考试形式，了解考试难度和通过率等信息，有助于考生制定科学的备考计划和策略。

其次，深入理解内部审计的基本原理和实践技能，掌握内部审计工作的核心要素和流程，有助于考生在考试中做到应知应会。

此外，考生还需重点关注内部审计的道德准则和职业素养，了解内部审计师的职业道德和职责，有助于考生在实践中做到遵循规范、尽职尽责。

最后，考生需要通过模拟考试、练习题目等方式进行实战演练，提高答题技巧和应试能力，以应对考试中的各种情况。

2014年CIA培训:第三科新教材

内部审计知识要素

主讲：董达勇

今天我们讲新教材的第三门课。因为只有一节课的时间了，所以具体内容，我们不太可能详细讲解，只能重点说一说这门的基本内容、教材变化情况，还有学习方法等等。当然，除了时间因素外，还有一点原因是第三门的内容与其详细展开讲解，不如从直接做题入手，做题的时候如果感觉某方面的知识特别欠缺再回过头来补充。因为所有内容都像我们前两门课那么细致展开讲是不可能的。

那么，我们首先来看一下第三门课的基本内容。这门课叫做内部审计知识要素，和前两门不同，前两门无论是内部审计基础还是内部审计实务，其实都是内部审计学的内容，也就是怎么根据IIA的内部审计专业实务框架实施审计和管理内部审计的学问。但是只懂得内部审计学肯定是做不好审计工作的，甚至于说根本无法开展审计工作，因为至少来讲审计被认为是会计和管理认定的再认定，审计师对于自己所确认的业务所涉及的知识如果没有足够的了解，甚至于说达到熟悉的程度是不行的。这一点和会计工作不同，一名会计人员假如只熟悉会计学科，比如对基础会计、财务会计等比较熟悉，就能够胜任基本的会计工作了。但是审计不行，除了要精通审计知识和技能以外，还必须要了解很多经营、管理、财务、IT、经济学等等知识。只有这样才能对企业的财务会计、经营、管理等进行结论性的确认，更不用说现在内部审计特别注重的咨询性业务，咨询业务说白了就是顾问、

要为人师，要指导别人，那就更得强调相关业务知识的精通了。而这些知识，都属于我们第三课的范畴，以前叫经营分析和信息技术，今年名字改成内部审计知识要素了。

内部审计师(CIA)考试：2021内部审计知识要素真题模拟及答案(3)

1、依据专业实务框架（PPT），业务的最后沟通中，观察结果应包括：（）（单选题）

A. 对观察结果的原因的观点陈述

B. 在业务过程中发现的有关内部控制缺陷的事实说明

C. 在业务过程中形成的事实证据和观点陈述

D. 针对未来潜在事项以及可能对业务客户有益的情况陈述

试题答案：B

2、总体存在一种特别例外的情况。如果要测定样本中至少会有一次发生这种情况的确定性，应当用（）。（单选题）

A. 随机抽样法

B. 探索抽样法

C. 比例抽样法

D. 变量抽样法

试题答案：B

内部审计师(CIA)考试：2021内部审计技术真

题模拟汇编

3、在计算过程中对资金的时间价值忽略不计的资本预算编制技术是以下哪一项？（）（单选题）

A. 传统的成本收回法；

B. 纳税调整后的现金流法；

C. 内部收益率法；

D. 净现值法。

试题答案：A

4、某公司希望根据其销售预测情况编制生产计划和原材料采购

计划。公司可以应用过去4年中每个季度的销售数据来分析确定是否存在趋势、季节性态势或周期性态势。公司应该应用以下哪种量化技术来更好地理解以往的销售情况，从而对未来销售情况进行月度预测：（）（单选题）

A. 德尔菲预测法

B. 多元回归

C. 简单回归

D. 时间序列分析

试题答案：D

内部审计师(CIA)考试：2021内部审计知识要

素真题模拟汇编

5、下列程序属于灾难恢复计划的关键步骤的是：（）（单选题）

A. 确保操作人变更程序时不能绕过变更控制

B. 备份和重新启动程序

C. 确保安装杀毒软件

D. 设备容量满足工作负荷的要求

CIA内部审计师-科目1：内部审计基础-05治理、风险管理和控制

[单选题]1.电子数据交换系统（EDI）的风险评估已确定，控制失败的风险评估分别为控制管理5%，物理控制10%，软件控制6%。因此，EDI的控制（江南博哥）风险是：

A.0.03%

B.0.07%

C.7%

D.10%

正确答案：A

参考解析：控制风险是所有三层控制都失败的风险。控制风险=管理风险百分比×物理风险百分比×软件风险百分比=0.05×0.1×0.06=0.0003(0.03%)。

[单选题]2.下列哪项陈述描述了2100系列标准中反映的控制的本质？Ⅰ.识别控制作为关键机制，确保功能单元的财务一体化。Ⅱ.使控制与广泛的组织目标相一致。Ⅲ.将控制限制在组织政策和程序之内。Ⅳ.将控制描述为促进组织风险的管理和治理过程的有效性。

A.仅有Ⅰ

B.Ⅰ和Ⅲ

C.Ⅱ和Ⅳ

D.Ⅲ和Ⅳ

正确答案：C

[单选题]3.以下哪项最恰当地描述了内部审计师在组织现存的风险管理、控制以及治理过程中的工作目标？

A.帮助确定必要测试的性质、时间安排及范围，以实现业务目标

B.确保内部控制系统的薄弱环节得到纠正

C.为组织的目标和宗旨得以有效率和有效果地实现提供合理的确认

D.确定内部审计过程是否能确保会计记录的正确性以及财务报表的公允披露

正确答案：C

参考解析：本选项符合国际内部审计师协会内部审计专业实务框架中的内部审计定义。内部审计是一项独立的、客观的确认和咨询活动。它通过采取系统化、规范化的方法评价和改善组织的风险管理、控制及治理过程的有效性，帮助组织实现其目标。因此，内部审计可以为组织的目标和宗旨得以有效率和有效果地实现过程提供合理的确认。

培训讲座第一部分（4）课程提纲

中国审计网CIA考试培训讲座第一部分（4）课程提纲

风险和控制知识要点

将大纲中的C部分：理解内部审计在公司治理中的作用和D部分：执行其他内部审计任务和职责以及E部分：治理、风险和控制知识要点归纳成两个问题来讲：

第一个问题：公司治理与内部审计；第二个问题：风险和控制要点。

COSO委员会认为，内部控制与风险管理有着密切的联系，内部控制是风险管理的一部分，对于内部控制与风险管理的定义及其组成要素分别是：

内部控制：内部控制是由董事会、管理层以及其他员工共同实施的，为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。它包括五个要素：控制环境、风险评估、控制活动、信息与沟通、监督。

风险管理：企业风险管理是一个过程，是由董事会、管理层以及其他人员共同实施的，应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理的保证。它有八个组成要素：内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。

从COSO的两份报告来看，企业风险管理与内部控制有以下相似或不同之处：

第一，它们都是由“董事会、管理层以及其他人员共同实施的”，强调了全员参与的观点，指出各方在内部控制或风险管理中都有相应的角色与职责。

第二，它们都明确是一个“过程”，不能当作某种静态的东西，如制度文件、技术模型等，也不是单独或额外的活动，如检查评估等，最好是内置于企业日常管理过程中，作为一种常规运行的机制来建设。

内部审计具体准则第16号——风险管理审计风险管理是指组织在实现其目标过程中识别、评估和应对的风险。风险管理审计的目的是确定组织是否能够合理地识别和评估风险，并采取适当的措施来管理和应对风险。

在进行风险管理审计时，内部审计人员应该分析组织的风险管理策略和政策，并评估其与业务目标的一致性。他们还应该评估组织的风险识别和评估过程，并确定是否存在重大风险未能被适当地识别和评估的情况。

内部审计人员还应该评估组织的风险监测和报告机制，以确定是否存在风险监测不准确或报告不及时的问题。他们还应该评估组织的风险响应策略和应急计划，并评估其有效性和适用性。

风险管理审计还包括评估组织的内部控制体系，以确定其对风险管理的支持程度。内部审计人员应该评估组织的内部控制政策和程序，并根据风险管理的需要，提出改进建议。

在进行风险管理审计时，内部审计人员还应该与组织内部的风险管理人员和其他相关人员进行沟通和合作。他们应该了解风险管理人员的责任和职责，并与他们讨论并确定可能存在的问题和风险。

总之，内部审计具体准则第16号，风险管理审计要求内部审计人员对组织的风险管理活动进行评估，并提供改进建议。这有助于组织更好地识别和应对风险，提高风险管理的效果和效率。

第二部分——A章节——控制类型

是《标准》中要求的内部审计要覆盖风险管理活动。

公司治理指的是对公司的统治和支配，它决定运营的目标和方向。根据《标准》中的定义，治理是指董事会实施的各种流程和架构的组合，用以告知、指导、管理和监督组织的活动，以实现组织目标。治理程序则指组织的投资人代表（例如股东等）所遵循的程序，旨在对管理层执行的风险和控制过程加以监督。与公司治理相关的主要关系人包括：股东、董事会、由总经理领导的经理人员、公司员工、供应商、客户、债权人、政府和社区在内的其他利益相关者。公司治理就是要研究这些利益相关者的权利、责任及其互相关系。

对公司治理的内部审计

内部审计在公司治理中得到了不断的发展。公司治理在全世界很多地方都得到了发展，内部审计角色变化只是发展中的一部分。

在与内部审计相关的公司治理实务中，董事会的运作是核心内容。董事会负责公司战略计划的制定和实施，开展风险管理活动，坚持公司道德和价值取向，衡量和监控公司的业绩，评价、任命和撤换管理层等方面的工作。有效的董事会处在公司的中心位置开展运作，积极而恰当地参与公司的各项管理工作，为管理层提供一切必要的帮助，为实现公司价值和股东价值的不断增加开展工作。

通常组织应采取各种法律形式、结构、战略和程序，以确保组织自身：

-遵守社会的法律和规章制度；

-满足商业惯例、道德观念以及社会期望；

-有益于全社会，并增强特定利益相关方的长期和短期利益；

-全面真实地向所有者、监管人员、其他利益相关方和公众提供报告，确保履行其决定、行为、行动和业绩的责任。

IIA的《实务公告》说明，组织选择上述四种履行责任的方式一般被称为治理过程。任何有助于完成这些职责的内部审计活动，实际上就是改善了治理过程。

CIA内部审计师

科目3：内部审计知识要素

高频考点精选题【五星推荐】

第四章沟通综合练习与答案

一、单选题

1、工作指令、正式的备忘录和程序手册是哪种类型的组织沟通的范例？

A.横向沟通

B.下行沟通

C.斜向沟通

D.上行沟通

【参考答案】：B

【试题解析】：

B正确。下行沟通是上级向下级的沟通。工作指令、正式的备忘录和程序手册通常用于上级向下级传达信息，因此是属于下行沟通。

2、当经理通过电子邮件宣布裁员消息时，员工变得很沮丧。经理犯了哪种类型的沟通错误？

A.沟通风格

B.沟通网络

C.沟通渠道

D.沟通流程

【参考答案】：C

【试题解析】：

C正确。在信息传递过程中，需要借助于媒介物才能实现信息从发送者到达接收者。这个媒介物通常被称为“沟通通道”或“沟通渠道”。通过电子邮件沟通与面对面沟通相比，缺少及时的信息反馈，容易造成信息失真，在此种情况下，不是合适的选择。

3、在公司内部开办舞弊热线的首要目的是：

A.减少公司的总运营成本。

B.检测组织内部各单位实现组织目标的情况。

C.建立沟通渠道，方便人们报告有嫌疑的行为。

D.强调值得注意的地方，并减少对正常运作领域的关注

【参考答案】：C

【试题解析】：

A、不正确。这不是开办舞弊热线的首要目的。对于任何一项控制措施来说，其最终目的都是为了减少损失，从而降低总成本。但是每项控制措施的直接目的或首要目的却各不相同，而且建立一项控制措施还会直接增加成本。

B、不正确。该选项为正常经营活动，这与开办舞弊热线无关。

C、正确。这是开办舞弊热线的首要目的,强调的是沟通（不当行为嫌疑）。沟通是收集信息、传递信息的重要渠道。开办舞弊热线，为人们提供了一条信息传递渠道，方便了人们举报不当行为。

CIA内部审计师-科目3：内部审计知识要素-高频考点题-Ⅱ.信息安全[单选题]1.某内部审计人员完成某数据中心的物理安全审计后，建议采用生物认证技术来控制建筑物的人员出入，其建议中应不包括以下哪一项？

A.虹（江南博哥）膜。

B.语音。

C.口令。

D.指纹。

正确答案：C

参考解析：A.不正确。虹膜是一种生物特征。B.不正确。语音是一种生物特征。C.正确。口令不属于生物特征。D.不正确。指纹是一种生物特征。

[单选题]2.由于公司邻近河流，洪水泛滥时，即使洪水不会淹到数据中心，公司仍会遭受哪方面的风险？

A.顾客可能会拒绝与公司做生意。

B.贵重设备可能需要更换。

C.雇员可能无法提交工作报告。

D.许多顾客可能无法按时付款。

正确答案：C

参考解析：A.不正确。只要公司仍能提供有效的服务，顾客没有理由会拒绝与公司做生意。B.不正确。贵重设备通常集中在数据中心，既然洪水没有淹到数据中心，其贵重设备当然也无需更换。C.正确。洪水可能导致道路中断，公司雇员本人、家人或财产受到损害等，以致雇员无法提交工作报告。D.不正确。顾客的付款行为应是在顾客所在地进行，因此尽管受洪水影响区域的部分顾客可能无法按时付款，但大多数顾客的付款并不会受影响。

[单选题]3.在审查某公司对外出售已用过微机的政策时，审计人员最关心的是以下哪项内容？

A.电脑上是否存在ERP软件。

B.电脑是否有病毒。

C.电脑上的所有软件是否获得恰当许可。

D.硬盘驱动器上已经删除的文件是否彻底消除。

正确答案：D

参考解析：A.不正确。微机上安装的ERP软件在没有获得授权或联网等情况下，危害不如D选项大。B.不正确。如果微机上的病毒破坏了购买单位的数据或程序，公司可能需承担一定责任。但是，购买单位应该使用反病毒软件来检测和消除微机上的病毒。这个问题虽然也重要，但没有D选项严重。C.不正确。购买单位有责任确保它们的软件都有适当的许可。如果公司宣称（微机内）所有的软件都有适当的许可，则也可能会产生法律责任。然而，这种可能性没有D选项所产生的后果严重。D.正确。多数删除程序只是删除文件的指针，而并不清除相关的数据。公司要彻底清除数据就必须使用特殊的工具。因

cia 内部审计实务内容点

CIA（内部审计准则）是一套广泛被用于内部审计实践中的指导原则。它由三个核心部分组成：保证(C)、信息(I)和审计(A)。下面是对这三个部分的具体内容点进行解释，以确保清晰条理。

1.保证（C）：保证是CIA的首要目标，它涉及内部审计的独立性和客观性，以及确保组织达到其目标的可行性和有效性。以下是一些与保证相关的内容点：

-内部审计的独立性：内部审计部门应该与其他部门保持独立，以确保审计活动不受外部或内部的不当影响。内部审计人员应该有权力直接报告给组织的最高管理层或董事会。

-内部审计的客观性：内部审计人员应该保持客观和公正，避免利益冲突。他们应该基于证据而不是个人意见来作出审计结论。

-组织目标的可行性和有效性：内部审计应帮助组织检查和评估其目标实现的过程，以确保组织的长期可持续性和成功。

2.信息（I）：信息是内部审计过程中的重要组成部分，包括数据和信息系统的完整性、准确性和可靠性。以下是一些与信息相关的内容点：

-数据和信息系统的完整性：内部审计应评估组织的数据和信息系统，确保它们能够支持组织的决策过程和监控活动。这包括确保数据的完整性和正确性，以及信息系统的安全和可用性。

-数据和信息系统的准确性：内部审计应验证组织的数据和信息系统是否准确和可靠。这包括检查数据的来源、收集和处理过程，以及验证信息系统的正确配置和操作。

-数据和信息系统的可靠性：内部审计应评估组织的数据和信息系统的可靠性，包括与其他外部和内部系统的接口和集成。这可以确保数据和信息系统的一致性和可靠性。

内部审计与风险管理

内部审计作为企业内部的一项重要管理控制工具，对风险管理起着至关重要的作用。本文将从内部审计的定义与目的、内部审计与风险管理的关系、内部审计的方法与过程等方面进行探讨，以便更好地理解内部审计如何对风险管理进行支持和保障。

一、内部审计的定义与目的

内部审计是一种独立、客观的管理控制活动，通过对企业的风险管理、控制和治理过程进行评估，为企业提供独立、可靠的审核服务。内部审计的目的主要包括评估风险管理流程的有效性、发现与解决控制缺陷和风险隐患、改进内部控制体系和治理结构、提高企业绩效和价值等。

二、内部审计与风险管理的关系

内部审计与风险管理密不可分，二者相互依赖、相互促进。内部审计通过评估风险管理的有效性，发现并解决潜在的风险和控制缺陷，为企业提供风险管理的重要支持和保障。同时，风险管理也为内部审计提供了评估的重要依据和工作范围。

三、内部审计的方法与过程

内部审计的方法与过程包括风险评估、内部控制评价、审计实施和审计报告等环节，以保证内部审计的全面性和有效性。

1. 风险评估：通过对企业运营过程中的风险进行全面评估，确定风险的影响程度和控制紧迫性，为后续的内部审计工作提供依据。

2. 内部控制评价：对企业的内部控制体系进行评价，包括控制的设计、实施和有效性等方面的检查，寻找控制缺陷和风险隐患。

3. 审计实施：根据风险评估和内部控制评价的结果，制定审计计划和方法，对可能存在的风险和控制缺陷进行实地检查和核实，并提出改进建议。

4. 审计报告：整理审计过程中的发现和问题，编写审计报告并汇报给企业的管理层，提供改进内部控制和风险管理的建议和方向。

CIA内部审计定义

CIA 第一章内部审计定义

第一章内部审计定义

内部审计定义：是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运

营。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现目标。

独立性被看作是审计职能（组织上）的一种属性；而客观性则是内部审计师的属性。

1.1 独立性与客观性

1.1.1 独立性原则

组织独立性

如何保证组织独立性：首席执行官必须向组织内部能够确保内部审计部

门履行职责的层级报告，如：董事会、审计委员会或其他相关治理机

构。

首席审计官必须至少每年一次向董事会确认内部审计部门在组织中的独

立性。

董事会有效履行以下职能，将有效促进组织的独立性

批准内部审计章程

批准以风险为基础编制的内部审计计划

批准内部审计预算和所需资源计划

与首席审计官就内部审计计划实施情况或其他事项进行沟通

批准关于首席审计官任免决定

批准首席审计官的薪酬

适当询问管理层和首席审计官以确定是否存在不适当的审计范围或

资源限制

积极参与、监督、审查，并采取后续行动

内部审计活动在确定内部审计范围、开展工作和报告结果时，必须

免受干扰

内部审计人员的独立性：在审计活动中不受任何来自外界的干扰，独立自主

开展审计工作。内部审计必须有专职的审计人员，不能由其他部门兼职。

内部审计业务的独立性：内部审计人员不办理经济业务，不直接参与各部门

生产经营活动，应以第三者身份检查、监督、分析、评价和服务于组织的各

项经济业务。

1.1.2 客观性原则

个人的客观性

避免利益冲突（与自身）是内部审计师保持客观性的重要途径。如果可

CIA学习笔记

内部审计在治理风险和控制中的作用

A 遵守国际内审协会的属性标准（熟练掌握）

1、明确内部审计的宗旨、权力和职责（1000）

a 确定内审的宗旨、权力和职责是否清楚地以书面形式记录并获得批准

内部审计：是一种独立、客观的保证工作与咨询业务活动，它的目的是为组织增加价值并提高组织的运作效率。它采用系统化、规范化的方法来对风险管理、控制及治理程序进行评价，提高它们的效率，从而帮助实现组织目标。

业务：保证工作和咨询活动

目的：为组织增加价值并提高组织运作效率

方法：方法系统化、规范化

对象：风险管理、控制及治理程序进行评价

书面文件形式：内部审计章程。要求与《标准》一致，并经批准，也作为评价内审工作质量和业绩依据，处理分歧的依据

要求：1、内审地位 2、授权接触人、资料、实物 3、活动范围

批准章程组织：董事会、审计委员会、相关治理机构和高级管理层

b确定内审的宗旨、权力和职责是否通报业务委托人

业务委托人：审计监督对象，更是审计服务对象

通报目的：消除分歧，分清责任，取信合作实现审计目标

c阐明内审的宗旨、权力和职责

宗旨：审计活动要达到的目标

权力：实现目标的保证

职责：需要履行的责任

首席审计执行官定期评价，并报高级管理层和董事会，首席审计执行官的任期《标准》没有规定

2、保持独立性和客观性（1100）

a 加强独立性

独立性：独立于所审查的活动之外，包括机构独立和人员独立，是否独立就看有没有干扰其活动机构独立性：在组织中享有经费、人事、内部管理、业务开展等方面的相对独立性，不受管理层和其他方面的干扰、阻挠开展活动，机构独立性更重要。不承担组织经营责任机构获得独立性：1、审计章程规定