内部审计重点

内部审计

题型：

1. 单选（20*1’=20’）

2. 简答（2*15’=30’）

3. 辨析（1*10’=10’）

4. 案例分析（2*20’=40’）

第一章

1.IIA在2001年的《内部审计专业实务标准》中的定义：

内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。

2. 内部审计职能：确认和咨询服务

内部审计通过评估系统的机能及可靠性（确认服务）和提供具体的建议支持这些系统的设计（咨询服务）来发挥作用。

● 确认服务： 对组织的风险管理、内部控制和治理程序提供独立的评价，包括财务、经营业绩、遵循性、系统安全、审慎性调查等业务。为提供上述确认服务，内审人员需要独立和客观，也即正直、胜任、职业谨慎和道德行为规范。

● 咨询服务：提供建议及相关的客户服务活动，其性质和范围与客户协商确定，其目的是增加组织价值和改善组织营运。 这包括顾问服务、建议、协调、流程设计和培训。 ● 确认和咨询服务存在根本性差别：

确认活动的几个基本要素：一是确认项目包括客观获取和评价证据的系统过程；二是这些项目需要事先确立的标准；三是项目涉及到将结果传递给相关使用者，除服务提供者和被审计方的第三方，这个第三方，即客户决定着这项服务的价值，在确认过程中要保护第三方的利益。

咨询服务仅涉及两个主体：审计人员和业务管理者（委托人，服务的客户），咨询项目所增加的价值取决于该项目对业务管理活动的价值。在实际工作中，内部审计实际所能提供的服务取决于其在组织中的定位及其预先设定的职能。

例子1-1：

以下哪一项活动属于《国际内部审计专业实务框架》（简称“IPPF”）所述的正常确认业务范围？

A、审核“是自己制造还是外部购买”的决策选择，并将相关建议报上级管理层批准。

B、参与企业收购谈判。

C、围绕新的生产设备，分析不同备选融资方案。

D、对管理层的计划过程进行评估。

答案：D

例子1-2：

以下哪项是内部审计师的咨询而不是确认角色？

A、评价控制效率和管理关键风险。

B、以可靠的方式评价和报告风险。

C、教管理层关于风险和控制的工具和技术。

D、评估风险管理程序。

答案：C

3. 内部审计师与外部审计师的区别

在检查会计控制的充分性等方面，外部审计和内部审计可以是重合的。

但是其根本目标不同，如果内部审计师在采用公众会计审计技术的同时，没有根据内部审计的目标做出改变，很可能导致审计失败。

1) 使 命：

i. 外部审计师的首要责任是对组织的财务报表发表意见。：1.财务报表是否真实公

允地反映了特定经营期间内该组织的财务状况和经营结果 。2.财务报表是按照

公认会计原则的要求编制的（3）对原则的运用与以前年度是一致的。（4）资产

是安全的

ii. 内部审计师为整个企业内的管理者提供有效履行其职责所需的信息，为组织目

标服务。内部审计师从事的是一项对企业经营进行独立评价的活动，他们是通

过衡量和评价控制的充分性和执行的效率与效果来向组织提供这种服务的。他

们还密切关注与公司治理和风险相关的所有活动。

2) 范 围:

i. 外部审计关注的范围相当窄一些，内部审计关注的范围更广泛。

外部审计师对于不会造成严重后果的，或对于财务报表来说未达到重要性水平的舞弊和浪费并没有给予过多的关注。

ii. 而内部审计师对于所有的浪费和舞弊行为都非常关注，无论其原因或数量。 iii. 关于独立性的区别:

内部审计的独立性: 主要指组织上的独立性。“首席审计执行官必须向组织内部能够确保内部审计部门履行职责的层级报告”（IPPF1110）。即内部审计在组织中所属以及报告的层级越高，其独立性越强。

外部审计的独立性: 包括：（1）组织上的独立性，即审计机构与被审计单位没有行政管理关系；（2）经济上的独立性，即审计机构与被审计单位之间不存在经费上的依附关系；（3）精神上的独立性，强调审计人员独立不偏不倚、客观公正的审计态度。

iv. 与外部审计师的关系

确认信息时的重要合作在于外部审计和内部审计的协调。

可以互相利用对方的工作结果，降低审计成本、提高审计效率，借鉴外部审计人员的优势。

内部审计强大组织的自我监督机制，弥补外部审计的不足。

最高审计机构国际组织认为，当今世界各国的审计重点是欺诈和舞弊，但仅靠国家审计机构和民间审计机构而不建立一种自我监督机制，很难保证组织内部的资源不被侵占。

内部审计师与外部审计师的对比 内部审计师

是组织的员工，或者是独立的实体（外包或

分包）

为组织的需求服务，其职能应服从于组织

通过对控制的评价，关注未来的发展，以保

证实现整体目标

对任何审计行为所发现的任何形式和达到任

何程度的舞弊予以直接的关注和预防

独立采取审计活动，但是对于管理者的需要

和意愿要及时回应

持续性地进行审计活动

外部审计师 独立的订约人 服务于需要可靠财务信息的第三方 关注通过财务报表所披露的历史数据的准确性和可理解性 附带关注对一般性舞弊的预防和检查，直接关注对财务报告产生实质性影响的舞弊 在事实上和意识上都独立于管理层和董事会 定期对财务报告进行审计，通常一年一次，或两次

第二章

1. 内部审计外包、内置的优缺点及对比

1) 内部审计外包

a) 涵义：（又称内部审计外部化）指企业管理层将本企业的内部审计职能全部或部分

地委托给会计师事务所或其他专业人员实施。

b) 主要形式：

i. 补充：主要由组织内部的审计师承担，外部人员起协助作用，获得所需的专业技能。

ii. 审计管理咨询： 对会计师事务所现有咨询或审计项目的延伸和扩展，可以指导组织，确认是否设立内审部门，如何设置，内审计划如何形成，组织风险如何确定。

iii. 全部外包：内部可保留内部审计长，担当沟通媒介。

iv. 内外结合：分别承担不同的责任。

c) 优点：获得高水准的服务，提高企业内部审计职能的独立性，符合成本效益原则，

企业能集中精力搞好主业。

d) 缺点：审计工作不够“贴心”，外包审计人员不熟悉企业情况，缺少了为未来管理

人员提供培训的平台，内部审计丧失主动性和前瞻性，泄露商业秘密。

2) 内部审计内置

a) 内审机构组织关系主要类型（P15）

i. 从西方国家的企业内部审计机构的设置实践来看，内审机构的领导关系主要有四种情况：

ii. 传统观点——置于财务部门；理由：内审主要为了加强对于财务的监督。

iii. 现实观点——由最高管理者直接领导；理由：内部审计是公司管理活动的一部分。 iv. 专业观点——由监事会或领导；理由：使得内审工作专业性、针对性更强，利于

提高内审的权威性、效率性。

v. 发展观点——由董事会或审计委员会领导；理由：为了维护其独立性，内审人员不应受经营管理部门的约束。

2. 审计委员会与内部审计的关系

1) 复核内部审计功能的章程、活动、人员配备以及结构；

2) 决定首席审计执行官的任免、更替，确保内部审计范围不受限制；

3) 复核内部审计功能的有效性；

4) 定期与首席审计执行官会晤讨论重要事项；

5) 与管理当局及首席审计执行官讨论与风险评估和风险管理有关的事宜等。

内部审计人员，职能上向审计委员会（或同类组织）报告，行政上向CEO或类似权力的高管报告。

3. 内部审计人员（理解）

1) 内部审计人员的职业道德

《国际内部审计专业实务框架》（IPPF）：诚信、客观、保密、胜任

1. 诚信

1.1 应当诚实、勤奋并负责地完成工作。

1.2 应当按照法律及其职业要求，遵守法律和做出披露。

这一条有两点要求：

（1）如果内部审计师了解到一些对组织重要的信息，他依照法律和职业的要求，负有报告该信息的责任。

（2）反之，如果审计师没有足够证据来说明他的判断，就不应作出评价。

1.3 不得故意参与非法活动，或参加有损于内部审计职业或其机构的行为。

1.4 应当遵守并贡献于组织的合法道德目标。

2、客观

这条原则包括3条行为规则：

2.1 不应参与可能妨碍或被认为妨碍其公正评价的一些活动或关系。这种参与包括那些与组织的目标相冲突的活动和关系。

2.2 不接受可能妨碍或被认为妨碍其职业判断的任何东西。

2.3 应当揭示其知道的所有重要事实，如果不予揭示，可能歪曲对所复核活动的报告。

3、保密

内部审计师应尊重其收到的信息的价值和所有权。除非法律允许或有适当的授权，不能披露获取的信息。这条原则包括2条行为规则：

3.1 应当谨慎利用和保护在其职责中获取的信息。

3.2 不应当为个人目的，或者以任何有悖于法律或有害于机构的合法道德目标而利用信息。

4、胜任

内部审计师在工作中应使用在内部审计业务中所需要的知识、技能和经验。这条原则包括3条行为规则：

4.1 应当只从事他们具备必要的知识、技能和经验的服务活动。

4.2 应当根据《内部审计实务标准》完成内部审计。

4.3 应当持续提高专业能力和服务的效果、质量。

2) 内部审计人员的业务素质要求

1200-专业能力和应有的职业审慎

审计执行主管和每位内部审计师都有责任保证开展审计业务所必需的专业水平，包括知识、技能和其他有关能力。

1210-专业能力

1.（1）应用内部审计标准、程序和技术所必须的专业水平；

（2）广泛涉及财务报告和记录的审计师必须拥有的与会计原则和技术有关的专业水平；

（3）识别舞弊信号的知识。

（4）有关信息技术风险和控制的技术以及利用技术的审计方法。

（5）确认和评价良好实务之行为的重大性和重要性所必须的对管理原则的理解；

（6）对会计、经济学、商法、税收、金融、量化方法和信息技术等领域的基本内容的了解。

（7）拥有开展有效人际交流的技能。

（8）拥有出色的口头和书面表达能力。

2.内部审计部门在整体上应具备在组织内履行职能所必需的知识、技能和其他能力。

1210.A1-1获取外部服务

当内部审计人员缺乏完成全部或部分的审计工作所应具备的知识、技巧或其他能力时，审计执行主管应向他人寻求有力的建议或帮助。

外部服务提供者是指独立于内部审计部门所在机构、拥有某一学科或领域的专门知识、技能和经验的个人或公司，可以是精算师、会计师、评估师、证券专家、统计师、信息技术专家、机构外部审计师和其他审计机构。可以通过董事会、管理高层或审计执行主管来聘用外部服务提供者。

审计执行主管应该分析外部服务提供者与机构和内部审计部门的关系，确定不存在会妨碍外部服务提供者公正地进行判断和得出结论的财务、机构或私人关系。

1220-应有的职业审慎

应有的职业审慎性意味着合理的谨慎和能力，而不是永不出错或永不出现反常工作表现。

所谓职业审慎，是指内部审计师在复杂的环境中，能运用自己的专业熟练性和技巧， 识别出损害组织利益的行为，

对故意作假犯错、发生错误和遗漏、消极怠工、浪费、工作无效、利益冲突和不正当的行为，

以及最可能发生违法乱纪现象的情形和活动保持警惕。

内部审计师必须考虑以下因素，来履行应有的职业审慎：

为实现业务目标而需要开展工作的范围；

业务的相对复杂性、重要性或严重性；

治理、风险管理和控制过程的适当性和有效性；

发生重大错误、舞弊或不合法的可能性；

与潜在效益相对的业务成本。

1230-持续职业发展

内部审计师应通过继续职业发展来增长知识、提高技能及其他方面的能力。

1、内部审计师有责任继续接受教育，维持其专业水平。

2、鼓励内部审计师通过获得恰当的专业资格证书(如：注册内部审计师头衔和其他

国际内部审计师协会授予的头衔)来展示其专业水平。

3、拥有专业资格证书的内部审计师应该获得充分的继续专业教育，来满足与所持专业资格证书相关的要求。

4、鼓励目前尚未拥有专业资格证书的内部审计师参加能够帮助他们获取专业资格证书的教育项目。

3) 内部审计人员的立场

i. 以组织整体利益为依据：

应具备“综合审计”的观念，不仅考虑被审事项本身的情况，还要全面衡量组织的整体利益。

ii. 争取超然独立的地位，保持客观的态度：

一般不能参与组织任何实际作业，摈弃个人偏见，避免利益冲突。

iii. 在审计工作中与有关方面保持良好的关系：

观念应从“监察管制”转变为“经营管理伙伴”，与其他部门保持合作、协调，发现问题需要及时良好的沟通。

第三章

1. 首席审计执行官五大职责

首席审计执行官必须有效地管理内部审计活动，确保为组织增加价值。

包括：对内部审计部门和对内部审计项目的管理。

具体：

1) 内部审计章程（确立制度）

2) 向董事会和高级管理层报告（确立上下报告关系）

首席审计执行官的报告关系对实现内部审计的独立性、客观性以及在组织中的地位至关重要，它们是内部审计有效履行其义务的必要因素。

恰当的报告关系对于保证适当的信息沟通、与高级管理层进行沟通等也非常重要，是开展风险评估和报告审计工作结果的基础。

IIA推崇的理想的报告关系：首席审计执行官在职能上向审计委员会报告，在行政上向组织的CEO报告。

3) 内部审计部门管理（对内事务）

一、 计划

首席审计执行官负责制定年度审计计划。

年度审计计划围绕两方面展开：一是风险导向；二是成本效益原则。

首席审计执行官必须以风险为基础制定计划，以确定与组织目标相一致的内

部审计活动重点。

(一) 年度审计计划的主要内容：

1. 确定审计范围

2. 确定内部审计活动的优先次序（工作重点）

3. 确定资源配置

4. 确定审计目标

5. 审计范围和计划的更新

(二) 确定审计范围时，应考虑的因素：

1. 董事会和管理层的要求

2. 公司战略

3. 其他，如：需要采取管理措施的当前不可接受的风险，组织依赖程

度最高的控制系统，固有风险非常高的领域。

4. 另外，还包括法律法规的要求、外部审计师报告中提到的问题等。

(三) 确定审计工作安排重点时应考虑的事项：

1. 最近一次审计的日期和结果；

2. 对风险和风险管理/控制过程效果的最新评价；

3. 管理高层和董事会的具体要求；

4. 当前与组织治理有关的问题；

5. 企业业务、运营、程序、系统和控制发生的主要变化；

6. 实现营业利益的机会；

7. 审计人员的变化和能力。工作安排应具有灵活性，以便适应对内审活

动的意外要求。

二、沟通和批准

三、资源管理

四、政策和程序

五、对内部审计活动的风险进行管理

4) 协调外部服务和其他部门工作（对外协调）

5) 质量保证与改进程序

2. 内外部审计师的协调：

1) 审计覆盖面

2) 互相接触审计方案和工作底稿

3) 交换审计报告和管理建议书

4) 审计技巧、方法及术语的共识

3. 内部审计业务

1) 确认服务：为独立评估组织的治理、风险管理和控制过程而对证据进行的客观检查，如

财务、绩效、合规性、系统安全和舞弊调查等业务。

A. 特点：

确认服务的性质和范围由内部审计师确定。

一般而言，确认服务涉及三方：与接受确认服务的机构、业务、部门、流程或其他对象存在直接关系的个人或机构，即被审计单位或个人。开展确认服务的个人或机构，即内部审计师。应用确认服务的个人或机构，即用户。

B. 具体的确认业务：

1) 舞弊调查

2) 风险和控制自我评估：它是由管理层或业务人员直接参与的考察和评估内部控制效果的过程，其目的是为组织目标的实现提供合理保证。

3) 第三方审计与合同审计：是指对那些为组织提供服务或产品、与组织有利益往来的独立的第三方实施的审计业务，特别是影响交易事项的重要控制制度存在

于组织外部时，实施第三方审计是非常必要的。对提供外包服务的组织进行审

计，或者对电子数据交换系统涉及的交易伙伴审计是比较典型的第三方审计。

4) 尽职调查审计业务：又称勤勉审计，指由尽职调查审计小组实施对与组织有利

益关系的第三方的特定领域所实施的有限和专门审计，主要应用于涉及合资、

合并、联合及并购等的金融交易事宜的决策。

5) 隐私审计业务：是指内审师对组织的隐私制度及其运行情况实施评价的过程。隐私属于风险管理内容。

6) 质量审计业务

7) 安全审计业务

8) 绩效审计业务

9) 经营审计业务

10) 财务审计业务

11) 遵循性审计业务

12) IT审计业务

2) 咨询服务：提供顾问及其相关的客户服务活动，其性质和范围需与客户协商确定，目的

是在内部审计师不承担管理层职责的前提下，增加价值并改进组织的治理、风险管理及控制过程。顾问、建议、协调、培训、程序设计等均属于咨询服务。

A. 特点：

1) 本质上是一种顾问服务，应客户具体要求开展。

2) 内审师必须与咨询业务客户就业务目标、范围、各自的职责和其他客户期望达成协议

（开展咨询业务时，保持客观性，不承担管理责任。）

3) 咨询业务与确认业务的关系：

● 咨询业务可以增强对与确认业务相关的经营过程或事项的了解，并且不一定会损害内审师或内审活动的客观性。

● 内审师在开展正式咨询业务后的一年内又对同一领域提供确认服务，其独立性和客观性会受损。

● 采取以下措施可以最小化受损影响：

A. 安排不同的内审师对同一领域开展不同的服务；

B. 建立独立的管理和监督机制；

C. 为项目的结果确定各自的责任；

D. 披露认定的受损情况；

E. 管理层应该负责接受和实施咨询业务中的建议。

4.独立性与客观性（理解）

内部审计活动应独立，内审人员在开展工作时应保持客观。

客观性与确认或咨询服务的评价、判断和决策活动的质量有关，而独立性与确认或咨询服务所处的环境状态有关。

1) 独立性

指内部审计活动公正地、不偏不倚地履行职责时免受任何威胁其履职能力的情况影响。具体来说，独立性是在内审部门或首席审计执行官不受任何影响和控制的情况下执行内审活动的能力。

独立性所面临的各种威胁必须在审计师个人、具体业务、职能部门和整个组织等不同层面上得到解决。

A. 组织的独立性

指首席审计执行官必须向组织内能够确保内部审计部门履行其职责的阶层报告。 最佳的报告关系！

B. 内部审计人员的独立性：

是指内部审计师在内部审计活动中不受任何来自外界的干扰，独立自主地开展审计工作。

内部审计必须有专职的审计人员，不应由其它业务部门，特别是会计部门的人员兼任。

C. 内部审计业务的独立性：

内部审计人员不办理经济业务，不直接参与单位各部门的生产经营活动，而应以第三者身份检查、监督、分析、评价和服务于组织的各项经济业务。

2) 客观性

是一种公正、不偏不倚的态度，可使内部审计师开展业务确信其工作成果、不作任何重大的质量妥协。

客观性要求内部审计师对于审计事项的判断不得屈服于他人。

强调个人的客观性

A. 在评估个人客观性时，内部审计师应考虑以下建议：

i. 内审师不应被置于有损其客观的职业判断能力的情形中；

ii. 要求内部审计执行官分配工作任务时，避免潜在的或现实的利益冲突和偏见。可行时，定期轮换指派内审人员的工作；

iii. 进行相关业务沟通之前审查并复核内审工作结果；

iv. 内审师为系统推荐控制标准或在程序实施前对其进行复核，不会对其客观性造成负

面影响。但如果参与系统设计、安装等，认为对客观性造成损害；

v. 接受公司雇员、客户等与其有工作关系人员的酬金或礼物都是不道德的；

vi. 应披露可能发生利益冲突的活动以及遇到的审计限制。

B. 造成损害的因素包括但不限于：

个人利益冲突（自我检查，社会压力，经济利益，私人关系，熟悉程度，文化、

种族与性别歧视，认知偏差等）；

审计范围限制（如章程规定、计划本身限制，接触相关记录、人员和实物资产

限制，在经费等资源方面受到约束等）。

第四章

1. 内部审计在治理中的作用：内部审计活动必须评价并提出适当的改进建议，以改善组织

为实现下列目标的治理过程：

1) 在组织内部推广适当的道德观和价值观；

2) 确保整个组织开展有效的业绩管理、建立有效的问责机制；

3) 向组织内部有关方面通报风险和控制信息；

4) 协调董事会、外部审计师、内部审计师和管理层之间的信息沟通。

2. 内部审计在控制中的作用

内部审计活动应该评价组织控制的效果和效率，促进控制的持续改进，以帮助

组织保持有效的控制。

——识别风险、评估、提建议

根据风险评估的结果，内部审计活动应评价围绕组织的治理、运营和信息系统的控制的适当性和有效性。

包括：

✓ 财务和运营信息的可靠性、完整性；

✓ 运营的效果和效率；

✓ 资产的安全保障；

法律、法规及合同的遵守情况。

3. 两个基本的风险概念：

1) 固有风险：假定不存在相关的化解风险的控制措施，信息或数据对重大错报的敏感

性。

2) 剩余风险：管理层采取措施以减少负面事件的影响及可能性之后仍然存在的风险。

4. 内部审计在风险管理中的作用

内部审计活动必须评估风险管理过程的有效性，并对其改善作出贡献。

帮助组织确认并评价重要的风险暴露，并促进风险管理和控制系统的改进 ——监控、评价组织风险管理系统的效果

——评价组织与完成目标有关的治理、运营和信息系统的风险暴露

第五章

1. 例5-1

如果项目审计计划不允许对影响公司的所有重要法规进行足够的遵循性测试，内部审计部门应该：

A、确保董事会和高级管理层已知道这个限制。

B、在审计计划里附一个备忘录，列明缺少审计覆盖面的理由。

C、标明本年没有包含在测试中的法规将在下年进行审查。

D、缩小经营和财务审计的范围，以腾出额外的审计去进行遵循性审计。

2. CAO应就以下事项与外部审计师交流：

1) 重大的控制薄弱环节；

2) 错误和违规事项；

3) 违法行为；

4) 管理层的判断和会计行为；

5) 重大的审计调整；

6) 与管理层意见不一致；

7) 开展审计工作时遇到的困惑；

8) 影响外部审计师独立性的事项。

3. 确认业务的评价标准

内审师必须确认管理层制定适当标准的程度。

如果标准适当，内审师必须使用该标准进行评估。

如果不适当，内审师必须与管理层共同制定适当的评估标准，或就其他标准达成一致。

公认的确认业务合适标准：

法律法规、政策和程序、指引标准；风险管理、控制框架；经营成果信息、预算与计划；行业最优实践、认证部门专家提供的指南等。

4. 确认所需的审计资源

在制定审计计划时应考虑：

所需要的审计人员数量、经验水平和其他能力；

根据审计任务的性质、复杂程度及时间限制，挑选相适应的审计人员；

应考虑内审部门不断发展的需要，对内审人员进行培训；

如果不具备开展业务的能力条件，应该考虑是否需要聘请外部专家。

5. 例5-2

以下哪个审计证据最具说服力？

A、在政府机构有记载的不动产契约。

B、由会计填写的并且从银行退回的已核销支票。

C、由经理保管的雇员时间卡。

D、由会计部门归档的供货商发票。

6. 工作底稿的所有权

内部审计工作底稿的所有权归组织所有。 工作底稿由内审部门保管，并且在内审部门的控制下，只有获得授权的人才能接触底稿。

但在以下几种情况下，经CAO批准后可以使用工作底稿：

i. 外部审计师可以调用工作底稿；

ii. 法院在执行公务过程中正常调用或借阅；

iii. 审计业务客户的管理层或其它成员为了证实和解释审计结果，可以调用工作底稿； iv. 其它外部组织也可以调用工作底稿，如税务审计、法规检查、政府合同检查等。

7. 审计建议及原因

1) 审计建议

内审师应根据审计发现在适当的时候编制审计建议书。

内审师的审计建议只是意见，不是命令，所以不应该提出必须执行的唯一行动建议。

2) 原因

1. 避免承担管理责任。

2. 在根据建议采取行动所取得的可能结果方面，管理层的视野要比内审师的视野广；

3. 在审计结束前，与管理层共同探讨审计建议可以促进建议得到采纳；

4. 与管理人员共同探讨纠正措施并取得一致意见可以改善双方关系；

5. 如果审计报告中说明审计建议是在与管理人员讨论后提出的，会维护管理人员的尊严，促进建议的实施；

8. 退出会议的目的：

1) 讨论审计发现与建议，及时发现不正确的地方；

2) 允许客户为澄清特定事项提出问题，且发表看法，消除误解；

3) 就报告中的问题解决方案取得一致意见；

4) 取得管理层对报告的反馈意见，确认管理层的反应和采取的措施。

9. 内部审计报告对象 最终审计报告的发送一般局限于组织内部，可根据内审组织的要求和审计活动本身的性质来决定分发的对象，首席审计执行官在沟通最终审计结果时应考虑：

应发送给那些有权采取纠正措施或能保证采取纠正措施的人；

总结报告或报告摘要一般送给较高层次的组织成员；

或其他感兴趣的或受报告影响的人员，如外部审计师和董事会。

10. 后续审计的概念 后续审计是完成前期审计后继续进行的追踪审计。 “后续审计是内审师用以确认管理层针对报告的审计发现而采取行动是否恰当、有效和及时的工作过程。这种发现也包括由外部审计师和其他成员所做的有关审计发现。”

11. 管理层的反应

1) 管理层的反应

管理层负责决定针对报告中的审计发现和审计建议应要采取的适当行动。

1、针对审计发现和建议，采取行动。（不一定完全按照审计建议开展行动。）

2、管理层接受风险，不采取行动。

2) 内审师的反应

1、内审师应确认针对发现和建议所采取的行动是否纠正了潜在的问题。后续程序也要被适当记录。

2、若管理层选择接受风险，不采取行动，则内审师应向首席审计执行官报告，并促使高级管理层了解这一情况。

3) 接受风险的决定

A. 如果内审人员认为管理层没有回应的理由是重组导致管理人员变化，新的管理

人员不可能了解审计建议时，首席审计执行官要制定策略，重新介绍反馈意见并与管理层沟通。

B. CAO必须就此事与

高级管理层讨论。

C. 如果高级管理层决定“鉴于成本和其他方面考虑，承担不纠正报告中问题所带

来的风险”，那么首席执行官应该要让董事会注意到这件事，并向董事会通报管理层已经选择了承担风险。

12. 流程图的作用 流程图用图示来表示业务的循序渐进，包括凭单编制、授权、流程、存储等。 流程图使内审师能分析并确定所谓的内控强项和薄弱环节以及审计重点的恰当领域。

13. 风险和控制自我评估（CSA）

1) CSA的定义

CSA是指企业内部为实现目标、自我评估的方法。

《索耶内部审计》中，也对CSA作出定义：

“一个过程，即来自基层和行政执行层的员工小组和管理层，对影响组织目标实现的所有重要因素都能一直保持清醒认识，从而促进他们作出适当的调整。为了提高整个过程的独立性、客观性和质量，使整个过程得到有效管理，内审师最好参与到过程中去，向高级管理层和董事会独立报告过程结果。”

2) CSA的作用

A. 有效进行软控制的评价

B. 提升控制环境

C. 尽快找到并解决问题

D. 预测并控制风险

E. 使内审更具效率与效果

3) CSA的适用范围

组织CSA所应用的各种不同方法和组织的文化、授权的程度以及制定战略和政策方式是有关联的。

CSA不能完全代替内审师的测评活动。内审师应该在发挥作用。

在某些情况下，可能不适合应用CSA。

例如：

组织不重视沟通和公开

雇员流动性大

对工作领域的风险和内控认识不足

审计人员素质不具备开展CSA等。

例5-6

统计抽样和非统计抽样的区别在于前者：

A、不需要判断，所有参数均根据公式计算。

B、样本量较小。

C、结论更正确。

D、可以取得可测量的可靠程度的总体估计。

例5-7

以下哪一项审计技术可以对电脑交易进行连续监测和分析，以便开展详细的审计？

A、通用审计软件。

B、并行程序。

C、测试数据。

D、嵌入式审计模块。