2011年CIA学习笔记1

关于复习的几点建议：
*转变思维，更新知识
*着眼实践，注重能力
*既要理解，也要记忆
考试答题技巧：读题——标出关键词，注意逻辑关系，注意最不怎么样或不可能如何如何
解题——定义概念选择/实务、逻辑推理/排除不相关/换角度思维，“无罪推断”：没有错的理由即是对的选项。

A 审计
内部审计的概念
*内部审计的最新定义：内部审计是一种独立、客观的保证工作与咨询活动，它的目的是为组织增加价值并提高组织的运作效率，它采取系统化、规范化的方法对风险管理、控制及治理过程进行评价。

提高它们的效率从而帮助实现组织目标。

内部审计的最新定义最新要点：
1、保证工作和咨询工作
2、评价和改进风险管理、控制和治理程序
3、系统化和规范话的方法
4、独立性和客观性
5、增加价值和提高效率
6、组织的目标
1.1审计工作计划
相关规定：有首席审计执行官制定/根据风险来制定/符合组织的目标/至少一年制定一次/考虑是否接受咨询工作。

审计工作计划的内容包括：内部审计部门目标/业务工作安排、人员配备和财务预算/业务活动报告
制定审计日程安排时应考虑的事项：
1、最近一次审计的日期和结果
2、对风险和风险管理/控制程序效果的最新评价
3、董事会、高层管理人员的要求
4、与治理有关的问题
5、业务、经营、程序、系统和控制方面的只要变化
6、实现营业利益的机会
7、内部审计师的变化和能力
8、应具有充分的灵活性、以便应付意外要求
审计实施步骤：选择被审计单位——制定审计项目计划——实地调查——描述、分析、评价内部控制制度——（非必须）扩大测试——提出审计发现和审计建议——做出审计报告——跟踪检查——审计评价
审计项目计划制定程序：拟订审计目的和范围——取得背景资料——确定资料来源——与有关人员进行交流——初步调查——编写方案—（以上为内部审计师的工作）/—确定如何报告审计结果——对审计方案的审批（本部分为首席审计执行官或其指定人员的工作）
1.2审计实施
描述、分析和评价内部控制制度的方式：
内部控制问卷/流程图/文字描叙/穿行测试/小样本测试/内部控制矩阵图/重估风险
扩大性测试的方法：审查文件记录/面谈/实地观察/检查资产/帐实核对
审计发现及审计建议
（在进行评价或核证时应用标准、措施或期望值）标准与情况（在检查中发现的实施证据）核对和评价，对差异分析存在原因，及存在的差异使组织及其他部门面临的风险——总结——得出审计结论，提出审计建议进行呼吁。

1.2审计实施
审计报告的内容：审计目标/审计范围/审计结论/建议和行动计划/对违反《标准》的披露
审计报告的质量要求：准确、客观/清楚、简明/富有建设性/完整、及时
2.风险/范围
2.1风险/衡量风险的标准是后果和可能性降低风险是内部审计的目标之一/风险平谷是指定内部审计计
划、安排审计工作的基础。

2.2风险的表现：
*因使用不正确、不及时、不完整、不可靠的资料导致决策错误
*记录有错误、会计核算资料不真实、不完整、财务报表有欺骗性行为，以及发生财务损失。

*资产保护不当
*客户不满意，组织信誉受损
*执行组织决策、计划、程序不力，或有违法违规行为
*不经济地获取或无效地利用资源
*没有完成组织的任务和目标。

2.3风险评估
风险评估/风险评估对审计工作目标安排极为重要/通常对高风险活动贫农感的优先考虑实施审计/风险评估应每年进行一次。

风险评估的步骤：（许多审计部门运用数字模型进行风险评估）
*挑选出对组织各单位最重要的风险因素
*给风险因素逐一打分
*加总得出风险分值
*按各单位的风险值排序。

风险管理程序的目标：
1、找出风险并优化加以解决
2、确立组织可以接受的风险水平
3、把风险降低和控制在可接受水平
4、定期对风险和控制的有效性进行再评估
5、审计委员会和管理层定期听取风险管理程序的结果报告。

对风险管理的审计：
1、内部审计师应该帮助组织发现并评价重要的风险因素，帮助改进风险管理和控制体系
2、内部审计师应检查、评价和报告组织的风险管理程序的充分性和有效性
3、如果组织尚未建立风险管理程序，内部审计师应该提请管理层注意这种情况，并提出相关建议
4、内部审计师应评价管理层对风险的接受水平
3.确定适当审计目标和范围
3.1审计目标
审计目标和审计程序的结合决定了内部审计师的工作范围
根据不同的审计目标可以划分审计的类型
治理程序
对治理程序的审计重点内容：
1、制订、传达目标和价值
2、监控目标的实现情况
3、确保责任制
4、维护价值
根据不同的审计目标划分不同的审计类型：经营型/绩效审计/合规性审计/质量审计/财务控制审计/财务报表审计
信息技术审计
评价与信息安全性有关的活动：明确信息安全性是一种管理责任/读对信息安全性和有关风险进行评价/评价有关预防性、发现性和减缓性措施的有效性/定期评价组织的信息安全情况
计算机辅助审计种类包括：
测试数据/平行模拟/通用审计软件/整体测试/标记和跟踪/映像和程序分析/程序编码分析/电子数据处理系统
3.2审计范围
审计工作职责范围：
1、审查财务和经营信息资料的可靠性和完整性
2、审查为保证组织政策、计划、政策等得以遵循而建立起来的组织系统
3、审查财产的保护方式和状况
4、评价使用资源的经济性和有效性
5、审查并评价经营性项目和行为
对内部控制的审查：审查内部控制制度的恰当性/有效性/及执行效果
范围相关要求：划分审计业务范围应能够足以实现审计目标/当审计范围受到限制时，最好书面报告董事会
4.评估内部控制
内部控制的主要目的：财务和经营信息的可靠、完整/经营工作有效率有效果/资产得到保护/组织的行为和决定遵守相关的法律、规定和合同
控制措施的种类：预防性控制/检查性控制/纠正性控制/指导性控制/补偿性控制
控制方法：组织控制/经营控制/人事控制/检查控制/设施和设备的控制
控制标准：内部审计部门需要恰当的标准对控制进行评价
内部审计师应该确定管理层已在多大程度上建立了恰当的标准：如认为恰当则内部审计师应该在其评价工作中进行应用/如认为不恰当，内部审计师就应该和管理层一起开发恰当的评价标准.
内部控制程序各角色的作用：董事会——建立并维护组织的治理程序，高级管理层——监督、评价整个组织的风险管理和控制程序，操作部门管理人员——评价所在部门的风险和控制
审计师将审计发现和审计评价汇报高级管理层和操作部门管理人员，年度报告汇报和总体判断意见汇报给董事会。

（达到为组织的风险管理和控制程序的有效性提供保证）
审查、评价、改善组织的控制：
1、评价并帮助改进组织的控制是内部审计的一项重要工作
2、对内部控制充分性和有效性的评价
3、对经营与项目的评价
4、开展咨询工作与内部控制的关系
5、适当的审计程序
审计程序流程：查找、收集（信息）——分析、评价（实施分析性审计程序等得出审计结论和审计结果）——记录（编制审计工作底稿支持审计结论和审计结果）
审计证据的要求：充分/有力/相关/有用
审计工作底稿：记录与审计相关的信息，应支持审计结论和审计结果，审计工作底稿类别包括：报告/辅助性文件/检查笔记/通讯记录
审计工作底稿相关规定和要求：审计工作底稿属于组织的财产（非审计部门和个人的财产）/应有相应的接触控制/对外的披露须谨慎/应当进行索引/都应经过复核
6、计部门的管理
审计业务监督：审计业务监督由首席审计执行官负责/审计业务监督贯穿于计划、检查、评估、报告和跟踪检查各个阶段。

审计业务监督的内容：
1、确保内部审计时拥有所需要的知识和技能。

2、在计划和通过审计方案过程中提供指导
3、确定经批准的审计方案已被执行
4、确定审计工作底稿恰当地支持审计发现/结论和报告
5、确保审计报告符合质量要求
6、确保已达到审计目标
7、员工培训和个人发展、工作请胯骨评估
8、时间和费用的控制。

管理内部审计部门——首席审计执行官。

负责管理，负责定期向董事会与高级管理层报告。

获取外部服务：内部审计部门在特殊情况下可以应用外部服务提供者：例如信息技术/税收/翻译/土地、艺术品、投资金融工具资产评估/开展舞弊和安全调查/遇到兼并和收购的情况
首席审计执行官在获取外部服务时的有关要求：
1、评价外部服务提供者的知识、技能和其他能力
2、评价外部服务提供者的独立性合乎客观性
3、获取关于外部服务的充分信息
4、保证外部服务就工作遵守《标准》的要求
5、适当地报告外部服务
B职业特征
1.1属性标准：定义和结构/宗旨、权利和职责/内部审计章程/独立性和客观性/熟练性与应有的职业审慎性/质量保证和改进项目
宗旨、权利和职责——宗旨：内部审计活动所要达到的目标，权利：实现内部审计目标的保证，职责：内部审计部门和人员需要履行的责任
章程——内部审计工作的目的/内部审计在组织中地位/内部审计活动的有关的权利/内部活动的范围/有关开展内部保证服务和咨询服务的规定和原则（章程应提交管理层审批，并交董事会认可）
独立性和客观性——独立性
内部审计活动应独立他们所审查的活动之外，内部审计活动只有具备应有的独立性才能做出公正的、不偏不倚的坚定和评价/独立性要求内部审计活动全过程不受干扰
独立性的具体表现——个人的独立性（形式独立性/实质独立性）和机构的独立性
如何获得机构的独立性：
1、最重要和最大的保证来自内部审计章程
2、内部审计部门应对组织中具有足够权利的领导负责并报告工作
3、内审部门与各治理机构直接沟通信息，并有权出席与其职责有关的各种会议
4、首席审计执行官由董事会一致任免
5、审计委员会主要由非管理层人员组成。

独立性和客观性——客观性
客观性对内部审计时的要求：
1、要做到独立判断
2、对他们的工作成果抱有诚实的信条
3、不会与任何方面达成重大的质量妥协
4、不能把对其他事物的判断凌驾于对审计事物的判断之上
5、不应被置于无法做出客观的专业判断的处境中
如何保证客观性：
1、内部审计师的指派必须避免利益冲突和偏见
2、内部审计师不应承担经营风险
3、内部审计师不能履行设计、安装和经营系统的职责
4、在审计报告公布之前，必须复核内部审计工作
5、不接受雇员、客户、供应商或者有工作关系人员的酬金或礼物
对独立性或客观性的损害：偏见/范围限制/评价以前负责的经营工作/借调、临时聘用未隔合理时间等人员参与审计/参与审计、安装、程序起草、操作/接受相关人员礼金/负责可能受审计的经营性工作
独立性或客观性受到损害时的披露：出现利益冲突时，内部审计师报告首席审计执行官，由其指派审计师/审计范围限制，书面报告。

具体情况报告在审计结果报告或工作报告进行披露。

内部审计师可以为其负责的运营工作提供咨询服务
熟练性——熟练应用审计实务标准、程序和技术/具有发现无比线索所需足够知识/应懂得处理人际关系/应由熟练的口头和书面沟通技巧/继续职业发展
应有的职业审慎性——
1、根据审计目标确定审计范围、拟订审计程序
2、充分认识需要提供保证性服务事项的复杂性、重大性和重要性
3、对风险管理、控制和治理程序的充分性和有效性做出判断和建议
4、对严重出错、违规和不守法行为保持警惕
5、考虑潜在利益相对的审计成本
应有的职业审慎性不意味着用永不出错。

质量保证与改进项目——内部评价/外部评价
内部质量项目的报告依据《标准》开展内部审计活动，披露不合规行为
3、职业道德规范的重要性：在组织中建立信任的基础/在业界倡导一种道德文化/有助降低组织的风险
适用性与执行：个人/团体。

个人包括协会会员/CIA/IIA接受合参加者/按《标准》提供内部审计服务的人员
使用和信守的原则：正直/客观/保密/能力
行为规则：正直/客观/保密/适任
C舞弊
舞弊手段：做假帐/行贿受贿/支付或收受回扣/低价出售或转让/给关系人利益/从事非法活动/贪污/截留收入舞弊征兆：（个人）超支购买、奢侈生活/情绪复杂波动/具有掩盖其舞弊行为的能力/不请假或离开岗位/长
期士气低下/沉重个人债务
（组织）太多“取消”或“退款”/财务经理频繁调动/先进流失/应付应收增加/存货和销售成本增加/帐目年底做重大调整/缺少附件的支出/不正确的会计记录
舞弊的预防：防止舞弊的发生/在舞弊发生时限制其影响范围
首要预防机制是内部控制制度/内部审计师有责任防止舞弊（检查和评价内部控制/揭露风险）
评估舞弊的标准：现有条件招致重大违法行为的奉贤/组织内的个人或集体出于某种原因或动机从事违法活动的可能性/组织内的个人或集体工作态度或道德观念有问题，以致进行违法活动的可能性
风险因素：控制弱点（容易出现舞弊的控制点）——红旗标志法（主观判断结果）/制造错误法（穿行测试）
与舞弊调查相关的审计步骤：
接受审计委托（保持职业审慎性）——发现并评价可能舞弊现象（具有足够证据时）——决定采取进一步行动，提出审计建议（同时通报组织有关部门）——进行必要延续程序，组织对无比的调查（收集足够的证据）——得出审计调查结论（提交书面报告）——报告问题、结论、建议、纠正措施等。

舞弊调查的步骤：
评价舞弊的概率、参与人员的层次和同谋程度——确认内审人员知识能力——设计相关审计次序，确认舞弊者，舞弊程度、所永技术和舞弊原因——与管理人员、法律顾问和其他专家协调行动——避免侵犯舞弊嫌疑人和其他有关人员的正当权利，以避免损害组织本身的信誉。

计算机舞弊：
舞弊类型：绕过控制/盗用服务/软件剽窃/计算机病毒
管理控制与信息管理
第一章管理控制（35％）
一、内部控制的概念（定义、核心、要素、类型、技术方法、局限性、关系、过程等）
二、业绩测评（评定生产率、生产能力、交货速度；基准、质量管理等）
三、变革（工程再造、工作评定）
四、控制的自我评估
五、预算管理
第二章作业管理（15％）
一、管理科学（时间序列、回归分析、敏感性分析、模拟分析、关键路径法、计划评审技术）
二、组织结构和战略
三、风险管理
四、存货管理
第一章管理控制
一、内部控制
（一）控制
1、概念：控制是指管理层开展的旨在增强实现既定宗旨和目标的实现可能性的一切活动。

控制系统是组织用以实现其宗旨和目标的所有控制要素和活动的整合。

2、控制的方式：组织、政策、程序、人事、会计、预算、报告等
3、控制标准：内部审计师应评价既定操作目标和期望结果，并确定操作标准是否可以接受并得到遵守。

若管理目标和标准模糊，审计师应寻求权威解释，并与客户就衡量操作业绩所需标准达成一致。

4、控制的核心可以是反馈企业出于评估和管理目的的行动的结果信息。

可以分为三类：反馈控制、实时控制、前馈控制。

5、典型的控制过程：
（1）选择战略性的控制点；（2）观察作业或者收集样本及其它显著的数据；（3）积累、分析或记录这些
信；（4）将记录的信息和事先确定的质量标准、进度标准和成本标准比较；（5）判断工作的完成情况是否令人意；（6）向相关经理报告重大的偏差；（7）重复上述步骤，确定采取的纠正行为是否有效；（8）复核和修改标准。

6、有效控制的特点：
（1）经济的（2）有意义的（3）恰当的（4）一致的（5）及时的（6）简单的（7）可以操作的
7、控制的术：（1）预算（2）使用PERT图（3）甘特图（4）流程图（5）因果分析图（6）帕雷特图（意利经济学家）（7）统计质量控制图（8）直方图（9）相关分析（10）时间序列
（二）内部控制
1、内部控制要素：控制环境、风险评估、控制活动、信息和交流、监督
2、作用和职责：
高管（CEO和经理）_ 直接对内控负责/董事会提供经验和监督/内部审计师评价内控系统/外部力量对内控产生影响、但不负责/其他一定程度上发挥作用、扮演一定角色3、局限性
（1）合理保证，而不是绝对保证/（2）职业判断，故有时需要修改/（3）控制失败，内控失效/（4）管理人员的忽视/（5）同谋/（6）成本效益原则
4、控制类型
（1）预防型控制/2）指导型控制//（3）改正型控制
（三）组织结构（与控制）
1、组织控制对于实现组织任务最为有效，也最为可能。

组织控制：
（1）是大型控制流程的组成部分；/ （2）与组织活动的具体控制问题无关；（3）包括：任务设计以实现组织的特定目标；对方案的持续再评价及修正。

2、在组织控制活动中内部审计活动的作用是：
（1）内部审计活动是管理层关注全面控制过程的一部分；（帮助改进组织控制、监督组织变革）
（2）内部审计师必须熟悉组织的业务；
（3）内部审计师必须业务安排与业务缺陷相联系；
（4）内部审计活动应该在其职能范围内实施同程度的组织控制。

3、组织类型（不同的组织取决于控制）
直线职能制：将企业按照职能的不同划分成若干部门，每一部门由企业最高层领导直接进行管理。

（1）优点：A分工严密，各个职能部门持职责容易明确规定；
B每个部门实行专业分工，可以有较高的工作效率。

（2）缺点：A由于实行高度的集权，企业中层管理人员既不上政策的制定者，也不是政策的执行者，只是一种“上传下达”的作用，难以发挥其积极性，也影响企业决策的灵活性和敏感性。

B高层领导的协调工作量很大，容易陷入日常事务。

C高级主管作为各种专家，几乎总是从其自身的专业和部门的立场来评价总公司的政策，因此公司政策的制定或计划的编制通常是有利益关系的各方协商的结果，而不是根据公司全盘需要而做出的反映。

D各部门主管属于专业职能人员，不易从内部培养出全面的管理人才。

（3）适用性：中小企业及产品品种比较单一、市场销售情况比较稳定的企业。

事业部：20世纪20年代初，美国通用汽车公司副总经理参考了杜邦化学公司的经验，而设计出了事业部制结构，取得了很大成功。

（1）特点：A企业的第二级机构不是按职能而是按产品（或地域）成立专业化的生产经营部门，即事业部。

B实行分权化管理，各事业部同公司总部的关系实行“集中决策、分散管理”的原则，事业部不具有独立法人地位。

C事业部是一个利润中心，各事业部都要计算盈亏。

（2）优点：A既有较高的稳定性，又有较高的适应性；
B能充分发挥各事业部对经营管理的积极性、主动性，又有利于公司总部摆脱具体事务；
C有利于培养出全面的管理人才；
D按产品划分部门，便于建立考核部门绩效的标准。

E对于经理层的职业化以及随之出现的管理权与所有权的分离具体推动作用。

（3）缺点：A由于各事业部相对独立，容易产生本位主义，而忽视长远的整体利益；
B在公司上层与事业部内部都要设置职能机构，可能造成机构重叠、管理人员增多、管理费用上升。

C集权与分权的“度”的把握难以掌握。

适用性：品种多样以及市场变化较快的大型企业。

矩阵结构：即在原来的直线职能制结构的基础上，再建立一套横向的组织系统，两者结合而形成一个矩阵。

这一结构中的执行人员（或小组）既受纵向的各职能部门的领导，又同时接受水平的、为执行某一专项职能而设立的工作小组的领导。

（1）优点：加强职能部门的横向业务联系，集中调动资源以较高效率完成某项目优点。

（2）缺点：双重领导、领导责任不清、决策延误。

虚拟组织
（1）生产：为了适用急剧变化的市场，企业生存和发展的关键是具有高度的柔性和快速反应能力。

1991年，美国国防部拟定了一个较长期的制造技术规划基础结构，并提出了一份：“21世纪制造企业战略”的报告，文中提出了新的生产模式，即以动态联盟为基础的灵捷制造。

它总结了当今成功企业的创新思维，考虑了最新的信息技术的成就，极富创造性的构想了一种新企业“虚拟公司”，在企业间以市场导向建动态联盟，以便能够利用整个社会的制造资源，在市场竞争中取胜。

“虚拟组织”实际上不是一个具有命令系统的组织实体，只不过是由于承担一定的功能而看起来具有实体性的组织。

它追求的是最大的灵活性，创造了各种关系网络，管理人员如果认为别的公司在生产、配送、营销、服务方面比自己更好或成本更低，就可以把自己的有关业务出租给他们。

“虚拟公司”从组织外部寻找各种资源，来执行研究、开发、生产、销售等职能，而把精力集中在自己最擅长的业务上。

管理人员主要通过计算机网络联系的方式，把大部分时间用于协调和控制外部关系上。

（2）特征：A卓越性，网络中的成员均具有自身的核心竞争力，每一项职能和流程都是最佳的。

B机会性，网络中的成员关系是非制式的、较少稳定、随机变动的形态。

C高科技，企业要能结合起来，须高度依赖信息网络。

D相互依赖。

E无边界。

二、业绩评定
（一）责任系统：
责任系统应鼓励实现组织目标。

管理和组织目标的致性要求为作业分配责任，为完成项目授权，建立责任制度，以及评估工作的完成情况。

责任中心有五类：
（1）成本中心
（2）收入中心
（3）利润中心
（4）投资中心
（5）服务中心
（二）绩效评价
财务绩效评价通常是建立在剩余收入或者投资回报的基础上的。

这种方法的优点可以在不同的投资规模的实体间进行比较。

绩效标准包括预算和标准成本。

（三）评定生产率、生产能力、周围速度
1、生产率
生产率是指产出量与完成该规定的产量所要求的投入量之比。

2、生产能力
生产能力通常被用作衡量固定管理费用率的标准。

3、周转速度。