讲义-第4章2014年国际内审师《内审计作用》
20XX年内审师考试《内部审计作用》最新讲义-F4-国际内审师.doc
第1页:与以下方面协调审计业务工作第2页:典型试题F4与以下方面协调审计业务工作a.外部审计师b.法规监管机构本部分主要介绍在审计业务工作、外部审计师和法规监管机构间进行协调的重要性。
关于外部审计师的探讨主要集中在《标准》2050“协调”和相关的实务公告中,描述了董事会和首席审计执行官在协调外部审计师中的应扮演的角色。
同样还提到,同法规监管机构交换信息可以使重复工作降到最少。
关于“协调”的内容强调以下几点:首席审计执行官应当与相关确认和咨询服务的其他内外部提供方共享信息、相互协调,以确保适当的工作覆盖面,并尽可能减少重复工作。
对外部审计师工作的监督,包括其与内部审计部门的协调是董事会的责任。
实际的内外部审计协调工作由首席审计执行官负责。
首席审计执行官需得到董事会对审计工作有效协调的支持。
组织可以利用外部审计师的成果来提供内部审计范围内的相关确认服务。
在这种情况下,首席审计执行官应采取必要的步骤了解外部审计师所从事的工作,包括:与内部审计师所计划工作相关的外部审计师计划的工作性质、范围和时间,应符合《标准》2100条的要求。
外部审计师对风险和重要性的评估。
外部审计师的技术、方法和术语,使首席审计执行官能够:(1)协调内部与外部审计工作;(2)评估决定是否信赖外部审计工作;(3)与外部审计师进行有效的沟通。
通过获取外部审计师的审计方案和工作底稿,能够把外部审计的工作可靠地运用到内部审计工作中。
内部审计人员有责任保证这些方案和工作底稿不被泄露。
外部审计师在审计时可以利用内部审计工作的成果。
在这种情况下,首席审计执行官需要给外部审计师提供充分的信息,以使外部审计师理解内部审计师的技术、方法和术语,并应用到他们的工作中。
将内部审计师的审计方案和工作底稿提供给外部审计师,以便外部审计师能够借鉴内部审计师的工作成果来满足外部审计的目标。
对内、外部审计师而言,运用相同的技术、方法和术语有助于有效地协调他们之间的工作。
年国际内审师《内审作用》讲义企业治理框架-国际内审师.doc
查看汇总:2016年国际内审师考试《内部审计作用》讲义汇总公司治理的基本框架1.依据:经济合作与发展组织理事会于1999年5月通过了《OECD公司治理结构原则》。
2.董事会在与内部审计相关的公司治理实务中,董事会的运作是核心内容。
董事会负责公司战略计划的制定和实施,开展风险管理活动,坚持公司道德和价值取向,衡量和监控公司的业绩,评价、任命和撤换管理层等方面的工作。
有效的董事会处在公司的中心位置开展运作,积极而恰当地参与公司的各项管理工作,为管理层提供一切必要的帮助,为实现公司价值和股东价值的不断增加开展工作。
内部控制和风险管理是出色的公司治理极为重要的组成部分。
出色的公司治理意味着董事会必须对企业的所有风险加以识别和管理。
就风险管理而言,内部控制系统涉及运营、财务、遵守法律法规及资产安全等方面。
3.内部审计在治理中发挥的作用内部审计活动必须评价并提出适当的改进建议,以改善组织为实现下列目标的治理过程:(1)在组织内部推广适当的道德和价值观;(2)确保整个组织开展有效的业绩管理、建立有效的问责机制;(3)向组织内部有关方面通报风险和控制信息;(4)协调董事会、外部审计师、内部审计师和管理层之间的工作和信息沟通;(5)内部审计部门必须针对组织内与职业道德相关的目标、计划和业务,评估其设计、实施和效果;(6)内部审计活动必须评估组织的信息技术治理是否持续支持组织的战略和目标,信息技术治理包括确保企业的信息技术支持组织战略和目标的领导能力、组织架构和相关流程。
2016年国际内审师考试的特点分析2016年国际内审师考试《内部审计业务》试题汇总2016国际内审师考试《经营管理技术》复习考点汇总基础学习班冲刺串讲班冲刺串讲班:冲刺串讲班是考前比较关键的一个环节,由专家结合实战训练,规划考试重点内容,讲解答题思路,传授胜战技巧,加深考生对内审理论、出题思路和CIA知识的理解掌握,提高考生的综合分析和解题能力,做到触类旁通,确保在考试中遇到类似题目不失分。
国际内审师《内审计作用》考试辅导精讲(2).doc
2012年国际内审师《内审计作用》考试辅导精讲(2)、树立舞弊防范意识,鼓励报告不正当的行为树立防范舞弊意识没有组织能够避免舞弊。
然而当大的公司舞弊案及由此引发的对公司高级管理人员的诉讼见诸媒体头条的时候,公司舞弊也同样在许多其他的组织普遍存在--只是这些隐藏在”雷达搜索”下而已。
实际上,注册舞弊检查师协会评估认为每年因为舞弊和滥用权力会损失组织年营业收入总额的6%。
动机-机会.合理化:这个”舞弊三角形”的三个关键要素通常在某些人决定实施舞弊的时候都会出现。
其中,动机和合理化是人为因素,机会■-通常暴露的是组织内控机制的薄弱环节, 也是内部审计师应该着重发挥作用的部分。
首先要明确的是,防范舞弊的首要机制是控制,是管理人员的责任。
注册舞弊检查师协会的研究结果表明,组织建立和维持一套舞弊控制机制应包括三个基本活动:创设诚实和高标准道德规范的组织文化;评估舞弊防范流程与控制;建立一套恰半的监督机制。
内部审计部门的作用是通过评估相关控制的充分性和有效性来协助防止舞弊,因此,在胜任能力上要求内部审计师应有足够的反舞弊知识来确认可能的舞弊线索,警惕可能引起舞弊的机会,在审计工作过程中要保持足够的职业审慎,树立舞弊防范的意识。
此外,培养良好的企业文化,对防范舞弊也有积极的效果。
内部审计帅可以利用其自身优势在倡导良好的道德文化方面发挥更大的作用。
良好的道德文化应该包括:有清楚易懂的正式道德规范以供全体人员遵守;有在保密前提下通畅地举报不正当行为的渠道;对合理举报行为进行鼓励,对被举报情况进行调查和处理;对雇员,包括新招聘雇员进行定期调查和评估。
报告不正当的行为信息搜集系统被认为是最普遍的舞弊检查手段。
那些报告舞弊和权力滥用的人通常被称为举报者。
典型的举报者通常是雇员,当然也会有前雇员和一些组织外部的人会报告组织的不合规行为。
那些拥有舞弊证据的合法的举报人应被合理保护免受报复。
举报热线是报告舞弊的最普遍的工作手段,这种工作方式最直接, 它是潜在举报人报告信息的最简易的方法。
内审作用基础班讲义
声明:本资料由大伙儿论坛国际注册内部审计师考试专区收集整理,转载请注明出自更多国际注册内部审计师考试信息,考试真题,模拟题下载大伙儿论坛,全免费公益性考试论坛,期待您的光临!总论〔二〕二、语言的障碍关于大多数中国考生来讲,选择的考试语言是母语——中文。
CIA考试原始试卷的语言是英语,但答应各国依据此考题翻译本钞票国语言进行考查,这就存在着翻译质量咨询题和翻译过程中语义缺失、重点转移的咨询题,往往是题目是中国字,但不是中国话。
例如:在审计中有一种了解被审计单位情况,猎取审计证据的方法喊做穿行测试,即go-throughtesting,但在有一年的试卷中被翻译成“走——通过〞测试,导致许多中国考生不知所云。
因此,假如我们英语语言水平还算能够的话,建议大伙儿最好参加英文考试,如此能够防止翻译咨询题、防止语义缺失和重点转移。
这对考试中对正确答案的选定会带来非常大的妨碍。
三、备考模式与中国传统考试不同中国传统考试是:有明确的考试大纲、配套的考试教材、明确的考试范围、丰富的辅导练习等等。
1.然而CIA考试至今没有一套特殊权威的、涵盖CIA考试全部内容的教材或辅导书。
2.CIA考试考查的范围对比广、考得对比“杂〞,但考得不深、不难;盼瞧内审人员是一个“杂家〞。
3.CIA考试的题目对比“活〞,通常与实际场景相结合,要模拟在实际经济生活中解决咨询题,也正因为如此,答案往往是四个选项中相对来讲最好的一个,那个最好是相对而言的,并非尽对的最优,因为在实际经济生活中不大可能实现理论上的最优,有些决策是各利益集团互相角逐、妥协的折中结果。
四、IT知识是中国考生的一大杀手在CIA考试第三科?内部审计在治理、风险和操纵中的作用?,其中一半的考查内容是围绕IT及相关风险管控来展开的,这关于中国考生来讲是诸多挑战之一。
1.大多数考生对IT知识把握较少,即使有,也仅局限于日常的实际应用;关于从一个企业整体角度来瞧待信息战略、信息技术,从理论上了解较为广泛的相关IT知识,显得知识匮乏,力不从心。
2014国际内审师《经营分析和信息技术》讲义4-国际内审师.doc
2014国际内审师《经营分析和信息技术》讲义4-国际内审师点击查看:2014国际内审师《经营分析和信息技术》讲义汇总E15系统安全系统安全是在风险分析的基础上,选择适宜的控制目标与控制方式,对系统的安全进行控制,使信息资产的风险降到组织可以接受的水平。
15.1GeneralControlV8.ApplicationControl一般控制和应用控制应用控制与一般控制是两个不同层次的控制手段:一般控制(GeneralContr01)包括各种相对通用的控制手段和技术,包括:管理控制、计算机运行控制、系统实施控制、软件控制、硬件控制、访问控制和数据安全控制等。
应用控制(ApplicationControl)包括和特定应用相关的、为保障应用程序正确运行而设定的控制,如输入控制(inputcontr01)、处理控制(processcontrol)、输出控制(outputcontr01)等。
相对于应用控制,一般控制更为基础,且其有效性不受应用控制的影响。
相反,应用控制的有效性则往往受到一般控制,尤其是操作系统访问控制的影响。
当审计师审查一个应用系统的应用控制时,应首先确认该系统已经建立完善的一般控制。
对于较复杂的信息系统,通常应结合使用这两种控制技术。
一般控制包括:管理控制(administrativecontr01)的主要目标是实现职责分离。
常见的管理控制包括:系统分析员不应该接触计算机设备、数据和程序;计算机编程人员不应该接触计算机设备、数据和已交付使用的程序;操作员不应该参与系统设计或更改程序,这样可以最好地防止拥有充分技术的人员绕过安全程序,对生产程序进行修改。
运行控制(operationscontrol)包括:计算机运行控制是为确保系统的正常运行而实施的控制。
例如,对不需要的文件要在受控条件下及时删除;系统实施控制(implementationcontrol)是在系统开发实施过程的各个环节都建立控制点并编制文档以保证系统的实施是在适当的控制和管理之下,文档应从技术和应用两个角度说明系统是如何运行的;软件控制(softwarecontrol)是保证已投入运行的软件未经许可不得修改的控制;硬件控制(hardwarecontr01)是保证硬件正常运行的控制,如回波检验(echocheck)、奇偶校验(paritycheck)等;访问控制(accesscontr01)是确保只有被授权用户才能实现对特定数据和资源进行访问的控制,通常特指逻辑访问控制(logicalaccesscontrol);物理设备控制(physicaldevicecontr01)是防止对物理设备的非授权接触的控制。
国际内审师《内审计作用》考试辅导精讲(4).doc
2012年国际内审师《内审计作用》考试辅导精讲(4)一、隐私内容讲解:隐私是一个广泛的概念,在某种程度上很难去定义。
对于不同的人,隐私具有不同的含义。
正如《实务公告》2100-8”内部审计师在评价组织的隐私制度中的作用”中规定的那样,”隐私的定义根据国家、文化、政治环境和法律制度的不同而存在广泛的差异”。
隐私可以包含个人秘密(身体的和心理的);活动自由(不受监视); 以及信息保密(由他人收集,适用、公布个人资料)。
个人资料通常指与某个特定个人有关的信息,或具备辨识特征,有可能结合其他的信息与特定个人相联系的信息。
国际内部审计师协会IIA特意指出,隐私损害是一种风险,指未能通过适当的控制措施保护隐私和个人资料可能会对组织造成严重的影响。
潜在的薄弱环节是普遍存在的,因为隐私已经渗透到组织的基础结构中的方方面面。
一个组织的网站,电子化服务、信息技术系统、数据库、应用系统以及通过网络连接的外部服务提供者和第三方都需要关注隐私。
因为隐私可能损害个人或组织的声誉,引起法律责任事项、引发客户和员工的猜疑,必须对隐私进行明智有效的控制。
全球范围内己经制定了一系列有关保护个人信息的法律法规。
同时,还可以适用相关的公认政策和惯例。
众所周知,董事会和高级管理层有责任确认组织的巳经识别了的主要风险,同时确保己经开展了适当的措施降低这些风险,包括为组织建立必要的隐私制度并实施监督的措施。
内部审计帅可以评估组织的隐私制度,确认重大风险并对降低风险提出适当的建议。
内部审计师对隐私制度实施评价过程中应考虑如下方面:1.不同管辖范围关于隐私的不同法律、法规、政策(包括组织开展业务的所在的管辖范围);2.与组织内部法律顾问联系,确定适用于组织或经营活动所在国家的上述法律、法规、其它标准实务的具体性质;3.与信息技术专家联系,确保有适当的信息安全和数据保护控制,并且定期对适当性进行检查和评价;4.组织的隐私工作的水平和完备情况。
5.根据不同的情况,内部审计师可以起到不同的作用。
内审作用基础班讲义
内审作用基础班讲义总论(二)四、IT知识是中国考生的一大杀手在CIA考试第三科《内部审计在治理、风险和操纵中的作用》,其中一半的考查内容是围绕IT及相关风险管控来展开的,这关于中国考生来讲是诸多挑战之一。
1. 大多数考生对IT知识把握较少,即使有,也仅局限于日常的实际应用;关于从一个企业整体角度来看待信息战略、信息技术,从理论上了解较为广泛的相关IT知识,显得知识匮乏,力不从心。
2. 美国属于信息技术发达国家,在此方面进步较快,日新月异,CIA考试在IT部分考查的内容,每年都会与时俱进,增加部分新内容。
也正因为上述两点缘故,使第三科成为中国考生全科通过考试的一个“拦路虎”。
应对方案:CIA考试尽管对IT部分考得新、考的宽,但考得不深,只要将讲义中涉及到的知识点能够从原理上有所了解,再辅以相应练习,并不是无法战胜的。
因此大伙儿不要“发憷”,不要有负面的心理预期。
【知识点3】开始CIA学习之旅前应该把握的差不多知识和差不多结论一、CIA考试四门科目的内在逻辑关系总论图0-2二、内部审计师在组织内的地位以及由此引出的CIA学习“差不多三原则”总论图0-3【看图讲话】1. 董事会下设各专业委员会。
内审部隶属于审计委员会,向其负责并报告。
内审部的负责人由审计委员会任命。
2. 董事会受股东托付聘任高级经营治理层。
3. 内审部受董事会(下设审计委员会)的托付,对董事会实施内部审计。
总论图0-4【看图讲话】1.经营治理层负责内部操纵制度的设计、建立和实施运行。
2.内部审计师/内审部负责对事实上施内部审计。
两者负责的重点各不相同,不能越界。
——到位不越位,帮忙不添乱。
3.内部审计师要紧受股东的委派对经营治理层实施内部审计,因此一定要向审计委员会进而董事会,最终向股东负责。
内审做得好与坏,由股东讲了算。
做事不由东,累死也无功。
4.内部审计范畴涉及企业的方方面面,能够讲是无所不包。
总论图0-5总体分成鉴证业务和咨询业务。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
合规项目可以协助机构防止雇员过失违法,发现违法行为并打击雇员的故意违法乱纪行为,还可以协助证明保险索赔,确定董事和高级职员的责任,创建并加强机构身份并决定惩罚性赔偿的适当性。
内部审计师应该按照以下建议步骤评价机构的合规项目,促进合规项目的有效执行。
(1)组织应该制定合规性标准和程序让其员工和其他代理机构遵守,这能合理的减少犯罪行为发生的可能性。
(2)机构高层的具体人员应该总体负责监督对标准和程序的遵守情况。
(3)机构应该行使合理的审慎,避免将实质性的可控制权授予机构或通过职业审慎应该知道有违法乱纪企图的人员。
(4)机构应采取步骤将其标准和程序向所有雇员和其他有关代理人进行有效宣传。
(5)机构应该采取合理步骤促成对其标准的遵守。
可以采取的措施包括:可以利用设计合理的能够发现员工和其他代理机构犯罪行为的监控系统或者说审计系统;建立并且公布一个报告系统。
(6)应该通过恰当的纪律机制持续一致地实施标准。
(7)在发现违法行为后,机构应该采取合理步骤对违法行为做出恰当反应并防止类似的错误再次发生。
[练习5]组织应建立合规性标准,并制定书面的业务行为规范让其员工遵循。
以下( )项是有关商业行为规范和标准的准确表述A.合规性标准应该直白,并能合理减少犯罪行为发生的可能性;B.合规性标准应体现在审计委员会的章程中;C.有国际业务的公司应根据所选择的地理区域制定各种合规性项目,这能恰当的应映地区规章;D.为防范未来的法律责任,行为规范应包含法律术语和定义。
[答疑编号11040105:针对该题提问]答案:A解释:行为规范应明令禁止某些活动,使合规性标准能合理地减少犯罪行为发生的可能性(例如,劝阻员工的有意违法)。
此外,直白、公允的行为规范往往会减少员工参与不道德或非法行为的风险(实务公告2100-5)。
选项B不正确,合规性标准仅需要体现在行为规范中。
审计执行主管应该取得管理层和董事会关于内部审计活动在组织风险管理过程中的期望值的理解。
这种理解应该在内部审计活动和审计委员会的章程中有所体现(实务公告2100-3);选项C不正确,有国际业务的公司应该在全球范围内建立合规性项目,而非选定的少数地区。
这些项目应该恰当反映当地环境、法律及规定(实务公告2100-5);选项D不正确,行为规范应采用所有员工都能理解的语言,避免法律措辞(实务公告2100-5)。
[练习6]以下( )个部门最能用到环境的合规性信息和培训,并应该向他们提供A.销售部门;B.人力资源部门;C.制造部门;D.信息技术部门。
答案:C解释:在介绍合规性信息和培训时,针对不同职能群体的员工要向他们介绍有重要关系的信息,这些信息要能适应这些群体的工作要求(实务公告2100-5)。
在这种情况下,环境合规性不是指向市场或信息技术环境,而是指向实物环境或者生产环境。
因此,制造部门最能应用与环境合规性有关的信息,因为这个部门具有不断增加的违反或发现违反这类法律和规章的可能性。
[练习7]内部审计计划应包含对组织的合规性项目及其程序的审核,审核工作不能确定以下( )项A.书面材料的效果;B.员工对沟通信息的接收情况;C.恰当的处理已发现的违规情形;D.对员工和新雇员开展全面的背景核查。
答案:D解释:审计计划应包含对组织合规性项目及其程序的审核,审核是要确定以下内容:书面材料是否有效、员工是否已收到沟通信息、发现的违规情形是否已恰当处理、处分是否公平、检举人是否受到报复,以及合规部门是否履行了职责。
审计师应审核这些合规性项目,以确定能否改进这个项目,并征求员工的意见。
此外,公司筛选各个层面的职位申请者,并查问以往的犯罪判决情况,并审慎行事,确保在适用法律的范围内不侵犯员工和职位申请人的隐私权(实务公告2100-5)。
所以,对员工和新雇员开展全面的背景核查不用包含在审计计划中,作为组织合规性项目审核的组分部分。
[练习8]具备有效、常规的合规性项目的组织表现出以下( )项特征A.根据资历来惩罚不道德的或非法活动;B.处分那些知道或应该知道不当行为且不予报告的人员,并且不伤害那些应该知道但确实不知道不当行为的人员;C.在发现过错之后,组织会采取必要的措施--除修改其整个项目之外--以防止进一步的类似错误;D.在记录员工的处分记录时会小心谨慎。
答案:D解释:组织在记录员工的处罚时应小心谨慎、一丝不苟,并能证明在收集有关事件的信息,以及根据适用的信息采取恰当的措施方面尽到了最大的努力。
选项A不正确,合规性项目的处罚一定要公正。
按照资历进行不同的惩罚肯定是不公正的。
如果不道德或非法活动不受处罚,特别是不处罚管理高层或业务骨干的上述活动,合规性项目几乎没有成功的机会。
一旦对这些人员的过错姑息,就会在其他员工身上滋生这样的行为;选项B不正确,合规性项目应该处分那些知道或应该知道不当行为且不予报告的管理者或其他的责任人;选项C不正确,在发现过错之后,组织应采取各种合理措施对过错做出恰当的反应,并且进一步防止类似过错,包括对其合规性项目的必要修正,从而防止和发现违法行为。
2014年国际内审师《内审计作用》复习讲义第四章第2节第二部分:风险管理2100-3 内部审计在风险管理中的角色风险管理是管理人员的关键职责,管理人员应该保证机构的风险管理过程健全有效,并能够充分发挥作用。
董事会和审计委员会负责监督、判断机构是否有适当的风险管理过程,以及是否充分、有效。
内部审计师的职责是,运用风险管理方法和控制措施,对风险管理过程的充分性和有效性进行检查、评价和报告,提出改进建议,为管理层和审计委员会提供帮助。
作为咨询顾问身份开展工作的内部审计师可以协助机构确定、评价并实施针对风险的管理方法和控制措施。
对机构的风险管理过程进行评价和报告一般是审计的重点。
评价管理风险程序有别于审计师应用风险分析对审计进行的计划工作。
但是,来自综合性风险管理过程的信息有助于内部审计师计划审计工作。
审计执行主管应理解管理层和董事会对内审部门在风险管理过程中起何作用的期望。
这种理解应该在内部审计部门和审计委员会各自的章程中得到规定。
风险管理过程中,在一个组织内部应当有职责分工,各司其职。
如战略方向的确定由董事会或委员会负责;风险的归属可以由管理高层分配;对剩余风险的接受可以由执行管理层决定;持续的确认、评价、减缓和监测活动可以由操作层人员分配决定;定期评价和保证工作由内审部门负责。
内部审计部门在风险管理过程中的作用有一个发展过程,即从不在风险管理过程中起任何作用;到作为内部审计工作计划的一部分对风险管理过程进行审计;到积极持续地支持并参与风险管理过程。
至于起多大作用(或在以上三个层面中哪一个层面的作用)要由管理层和审计委员会决定。
2100-4 内部审计在尚未建立风险管理过程的组织中的角色这种情况下,审计执行主管应提请管理层注意,并提出建议。
内部审计师应该就内部审计部门在风险管理过程中应起的作用获得管理层和董事会的领导层的支持,并在章程中做出规定。
如果有关方面提出要求,内部审计师可以积极协助机构风险管理过程的初步建立工作。
内部审计师更为积极的作用是通过改善基本程序的咨询方式对传统保证活动进行补充。
如果这些协助活动超出了内部审计师正常的保证和咨询工作范围,审计的独立性就会受到损害。
在这种情况下,内部审计师应该遵守《标准》的披露要求。
内部审计师在开发和管理风险管理过程中所起的积极作用有别于在“风险归属”问题上所起的作用。
为了避免参与“风险归属”问题(即承担管理层的责任),内部审计师应该要求管理层证实其在确定、防范、监测以及决定风险“归属”方面的责任。
总之,内部审计师可以促进风险管理过程的建立或使建立成为可能,但是,不应该“拥有”已确认的风险或负责对这些风险的管理。
2110-2 内部审计在业务持续过程中的角色内部审计师在评价与业务持续业务有关的业务时的目的,是确保组织在遭受灾难时能够恢复业务持续。
1制定全面计划时:首先要评估灾难的潜在影响和后果,了解风险,测试计划,对计划进行审计。
2业务中断的原因:意外(又分有意地和无意地)、灾难(常见的水灾火灾、地震、恐怖袭击等)3业务中断的后果:大的方面包括财务和运营。
4定期评价组织的业务持续计划:否则不能保证这个计划是适用的。
变更(特别是部分系统更新后,更应进行评价整个系统是否适用)还有个办法是投保,把风险转移给保险公司5内部审计师在灾难恢复计划中的角色:有风险分析、确认重大风险、进行业务分类(有些业务是辅助性的,有些是直接影响组织生存的)等。
6风险分析:内部审计师在确认重大风险的时候,首先对业务进行分类,分成关键的、重要的、不重要的等等不同的类型。
在考虑业务持续的时候,一旦遇到意外,首先要保证关键的业务能够在短时间内迅速恢复,不重要的业务可以在一段时间内恢复。
7评价计划的全面性:目的主要是看那些关键的业务是否包括在了风险评估中,风险评估是否足够全面。
8定期的确认业务是要保证持续计划的时效性:看计划有没有妥善的保存,管理层能否获取,备用场所怎么样、备用系统的硬件、软件情况是不是可用的,有没有得到及时地维护和更新,硬件及各种备用设施的兼容性如何。
这些都需要定期地确认业务保证持续计划的时效性。
最后一点,灾难发生以后,不管业务有没有得到及时地恢复,有没有达到预期的目标,要及时的总结教训,也就是所说的改进。
[练习9]内部审计师在协助组织风险管理过程的初创工作时会起到前瞻性的角色。
不过,如果这些协助活动超出了内部审计师所开展的正常的确认和咨询活动的范畴,独立性就会受损。
以下哪项对于参与风险管理过程初创工作的内部审计的独立性有损害:A.评估风险管理过程并报告;B.管理已发现的风险;C.评价风险管理过程的适当性和效果;D.针对已发现的风险实施控制。
[答疑编号11040201:针对该题提问]答案:B解释:内部审计师的更为前瞻性的角色是通过咨询的方式改进组织的基本流程,对传统的确认活动予以补充。
不过,内部审计师在建立和管理风险管理过程的前瞻性角色和“风险责任人”的角色是不一样的(实务公告2100-4)。
内部审计师不能承担这种角色,或是在不损害独立性的情况下承担管理层、董事会或审计委员会在风险管理过程中的任何角色。
比如建议。
董事会和审计委员会对于确定是否具有恰当的风险管理过程以及风险管理过程的适当性、有效性方面负有监督角色,并且,管理者要对负责管理已发现的风险,并确保组织具有合理的风险管理过程,且能发挥作用(实务公告2100-3)。
内部审计师若是管理已发现的风险,就会承担管理者的角色,有损其独立性。
选项A不正确,评估风险管理过程并报告不仅是内部审计的任务,而且通常还是内部审计优先考虑的工作;选项C不正确,内部审计师还要协助管理层和审计委员会检查、评价、报告和建议改进风险管理过程的适当性和效果;选项D不正确,内部审计师在充当咨询角色时,可以协助组织确认、评价风险并执行风险管理方法和控制来解决这些已发现的风险(实务公告2100-3)。