国际注册内部审计师

2.4 设计适当的审计业务步骤以应对重要的舞弊风险

内部审计部门必须评估发生舞弊的可能性以及所在组织如何管理舞弊风险。

内部审计师在开展业务时，必须具备专业能力和应有的职业审慎性。≠不出差错;审计师不是神仙

Due Professional Care

内部审计师必须警惕可能影响目标、运营或资源的重大风险。

确认程序本身并不能保证发现所有的重大风险

充分考虑成本与效益因素

控制制度只是将舞弊风险降低到一个合理的最低水平。

合理保证≠绝对保证

是通才，不是专才;如有需要，寻求外援

内部审计师必须充分了解有关评估和管理舞弊风险的知识，但不期望内部审计师掌握专门技能。Fraud Investigator

内部审计师必须充分了解关键信息技术风险和控制以及可以获得的利用技术的审计方法，以开展工作，但不期望掌握专门技能。IT Audit Specialist

可聘请专家或将内部审计活动外包，但内部审计部门必须对专家工作的结果负责。外部服务提供者必须使组织知悉维持有效的内部审计活动是组织的责任。组织通过开展质量保证与改进程序。Outsourcing

2.4.1 控制程序的目的

2.4.2 控制程序的评估过程和评估标准

2.4.3 注意到某些舞弊已经发生的征兆或注意到控制弱点

2.4.4 具有足够的证据怀疑存在舞弊行为

2.4.5 实施舞弊调查的审计测试技术及方法

2.4.6.审计调查结论的沟通

2.4.1 控制程序的目的

高级管理层的任务之一是监督风险管理系统和控制程序的建立、管理和评估。

控制程序主要用于确保：财务和运营信息的可靠性与完整性;运营的效率和效果;资产的安全;对法律、法规及合同的遵守。COSO Framework

内部审计部门必须评估上述针对组织内部治理、运营和信息系统等风险的控制的适当性和有效性。

2.4.2 控制程序的评估过程和评估标准

内部审计部门评估控制的效果和效率，并促进持续改进控制，从而协助组织维持有效的控制。

首席审计执行官要对控制程序的适当性和有效性发表总体意见。

内部审计师通过检查和评估内部控制系统的适当性和有效性，来确定这些系统与组织中各个部门内存在的潜在风险范围是否相适应，能否阻止舞弊的发生。

确定风险管理过程是否有效是内部审计师对下列事项进行评估后的判断：

组织目标支持组织的使命并与其保持一致;

重大风险得到识别和评估;

选定适当的风险应对方案，并符合组织的风险偏好;

获取相关的风险信息并在组织内部及时沟通，以便员工、管理层和董事会履行其相关职责。

内部审计活动可以在多项业务实施过程中收集信息以支持上述判断，综合审视这些业务的结果，可以对组织的风险管理过程及其有效性有所了解。

评估控制需要依据适当的标准，以确定目标和目的是否实现。内部审计师必须确认管理层制定标准的适当程度。如果标准适当，内部审计师必须使用该标准进行评估。如果不适当，内部审计师必须与管理层共同制定适当的评估标准。

为完成这一重要责任，内部审计师应该确定：

1.组织环境能否促进控制意识的增强;

2.组织是否建立了切实可行的目标;

3.是否制定了书面政策，对明令禁止的活动以及发现违法现象后所要采取的措施进行了说明;

4.是否建立和维护了适当的交易授权政策;

5.是否制定了有关政策、程序，编制了报告以及采取了其他手段来监督各种活动，保护资产，尤其是高风险区域的活动和资产;

6.沟通交流渠道能否为管理层提供充分可靠的信息来源;

7.是否需要提出有关建立和强化控制制度(符合成本效益原则)的建议。

2.4.3 注意到某些舞弊已经发生的征兆或注意到控制弱点

如果内部审计师注意到某些舞弊已经发生的征兆或注意到控制弱点之后，应决定是否需要采取进一步的行动，例如扩展审计程序，扩大审计范围，或提出进行调查的建议，以确定是否有理由怀疑发生了舞弊。

这些征兆可能来源于管理层已建立的控制系统的实施结果，也可能来源于内部审计师所实施的检查结果;既可能来源于组织内部，也可能来源于组织外部。协助管理层建立或改善风险管理过程时，内部审计师必须避免在实际工作中对风险进行管理，从而承担任何管理层的责任。

2.4.4 具有足够的证据怀疑存在舞弊行为

如果内部审计师已经具有足够的证据怀疑存在舞弊行为，这时要通知组织内适当的权力机构。内部审计师可以建议实施在此环境下被认为是必要的任何舞弊调查程序。此后，内部审计师还应采取跟踪活动来检查相关程序是否得到履行。Fraud Investigation

《标准》不仅要求内部审计师在实施审计业务时，精通业务，保持职业审慎性，而且还明确管理层也要承担责任。管理层不仅要负责在组织内部建立一种良好的道德氛围，制定适当的控制制度，而且还要配合(董事会)授予审计师的某些权限，否则审计师无法承担发现舞弊征兆的责任。授权 authorization

内部审计师必须得到授权去：

1.检查和评论年度报告;

2.审计所有咨询合同(合同方面尤其容易出现多支付款项问题。合同中应该包括审计权力的条款);

3.分析组织程序;

4.检查经理批准的交易事项;

5.获得接近董事活动委员会的权利;

6.检查与分支机构和关联组织的交易;

7.测试支持财务报告的文件;

8.监督组织文件保存政策的遵守情况;

9.询问管理层有关非法政治捐款的事;

10.检查费用账户;

授权

2.4.5 实施舞弊调查的审计测试技术及方法

内部审计师实施舞弊调查时，应该采用一些审计测试技术及方法，收集与被发现舞弊征兆相关的足够证据和材料(调查舞弊的技术方法详见D部分舞弊知识要点)。一般来说，内部审计师通常采用分析性程序来发现舞弊征兆，包括趋势分析、比率分析和检查交易事项(这些具体方法请参见本书E部分)。

2.4.6.审计调查结论的沟通

在得出审计调查结论后，要及时报告发现的问题、结论、建议和所应采取的纠正措施。

【例题1·单选题】在一次审计中，内部审计师发现一个阴谋，某零售企业的仓库主任和采购代表将约$ 500，000的商品运到自己的仓库并出售给第三方。该舞弊行为早先并未被发现，因为仓库主任(在更改了永续盘存记录之后)向应付账款部门提交验收报告以备处理。以下哪项程序最有可能发现丢失的材料和该舞弊行为?

a.对验收报告进行随机抽样，并追查至永续盘存记录，关注差异并按商品类别进行调查

b.对采购订单进行随机抽样并追查至收货文件和应付账款部门的记录

c.进行年度存货实物盘点，将结果与永续盘存记录相核对，注意差异并调查

d.对销售发票进行随机抽样并追查至永续盘存记录，以验证是否存货还在手中，调查差异原因

【正确答案】c

【答案解析】

a.不正确。因为验收报告和永续盘存记录都由该仓库主任经手，所以将两者进行核对不能发现材料丢失和舞弊问题。

b.不正确。因为该采购代表参与了这项舞弊行为，而仓库主任负责编制验收报告并提供给应付账款部门，因此核对采购订单、验收报告和应付账款部门的记录不能发现材料丢失和舞弊行为。

c.正确。通过实物盘点最有可能发现材料丢失问题，将盘点结果与永续盘存记录进行核对，可以发现两者之间存在差异，调查这些差异，就可以发现仓库主任和采购代表的舞弊行为。

d.不正确。该舞弊行为和销售环节没有直接关系。

【例题2·单选题】根据章程，内部审计部门有责任调查舞弊行为。如果内部审计师不可能接触到外部经销商记录和员工，那么他们为调查市场部收受回扣的控告应采取的最好方法是：

a.从经销商处寻找未记录的负债

b.获取经批准的经销商名单

c.观察嫌疑人的财务状况和行为

d.追踪应收账款中任何重大核销项目

【正确答案】c

【答案解析】

a.不正确。由于内部审计师不可能接触外部经销商记录和员工，因而无法从经销商处找到未记录的负债。

b.不正确。由于内部审计师不可能接触外部经销商记录和员工，因而获取经销商名单没有作用。

c.正确。通过观察嫌疑人的财务状况和行为，证实是否与其正当收入相符，可以判断市场部是否收受回扣。

d.不正确。由于内部审计师不可能接触外部经销商记录和员工，则无法通过外部调查的方法追踪应收账款的重大核销项目。

【例题3·单选题】公司政策允许采购人员不必再经过其他审批，直接有权批准不超出$ 50,000的支出。以下哪项审计程序能最有效确定是否存在向伪造公司付款的舞弊行为?

a.使用通用审计软件，列出所有超过$ 50,000的采购业务清单，确认它们是否经过适当的审批

b.运用“抽点”技术，追踪可疑采购人员所有的经济业务

c.使用通用审计软件对不超过$ 50，000的支出进行随机抽样，确认它们是否经过适当的审批

d.使用通用审计软件，对向新供应商付款的发票进行随机抽样，审查商品或劳务已经被收到的证据

【正确答案】d

【答案解析】

a.不正确。采购人员只能批准不超过$ 50，000的采购业务，因此应检查不超过$ 50，000的采购业务，才能发现是否存在向伪造公司付款的舞弊行为。

b.不正确。这样做效率性太差，而且运用“抽点”技术不一定能发现涉嫌向伪造公司付款的采购人员。

c.不正确。公司政策允许$ 50，000以下的采购业务不用其他人审批，由采购人员直接审批，因而这种做法无效。

d.正确。抽样审查商品或劳务已被收到的证据，如果这些证据不存在，则表明存在向伪造公司付款的舞弊行为。

【例题4·单选题】内部审计师最有可能发现舞弊行为的程序是?

a.确认并询问组织中发生的变化

b.讯问舞弊者以便找出实施舞弊的原因

c.建立内部控制来防止舞弊的发生

d.将电算化操作系统程序存档

【正确答案】a

【答案解析】

a.正确。通过确认组织中发生的变化，可以寻找与舞弊行为相关的线索，是这四个选项中最有可能发现舞弊行为的程序。

b.不正确。讯问舞弊者实施舞弊的原因是发现了舞弊以后的事情，而本题的意思是如何发现舞弊行为线索或征兆。

C.不正确。建立内部控制是管理部门而非内部审计师的责任。

d.不正确。将系统程序存档是一项获取审计相关证据的基础性工作，与发现舞弊行为没有直接关系。

【例题5·单选题】某非盈利机构在过去三年收到的捐款一直固定不变，审计委员会注意到该机构总经理可能进行着一项计划，即把部分捐款转到其他组织。审计委员会怀疑总经理贪污了大部分捐款，并把它存入其他账户，或通过贿赂把捐款记在另一个机构的名下。为了检测这一舞弊行为是否存在，下列哪一项审计程序最有效?

a.运用通用审计软件，对已承诺但未收到的捐款进行抽查，并证实捐赠者应付的捐赠额

b.选取过去三年所有的大额捐赠者的样本和其他捐赠者的统计抽样样本，并要求该机构或其分支机构确认所得的捐款总额

c.选取现金收入的发现样本，确认捐款者的捐款总额，调查任何存在的差异

d.运用分析性复核程序，将该机构所得的捐款额和其他类似机构同期所得的捐款额进行比较，如果金额异常小，则选取现金收入的详细样本，并追查到有关的银行账单

【正确答案】b

【答案解析】

a.不正确。这个程序只涉及那些已承诺但尚未支付的捐款，这只是全部捐款中的一部分，难以准确、全面地确定是否存在题中给出的舞弊行为。

b.正确。这是一个很有效的程序，既涵盖了以往三年所有大额捐赠者，又抽查了其他的捐赠者。内部审计师通过核对捐款确认额和账面数，并追查其差异，可以有效检测舞弊行为的存在。

c.不正确。这一程序只涉及机构已经记录的现金收入，而对尚未记录的或转移到别处的收入提供不了任何信息，难以作出全面的结论。

d.不正确。类似机构之间的捐款额没有很强的可比性，难以得出捐款被贪污或转移的结论;如果被贪污或转移的捐款根本没有通过机构的现金收支流程，那么追查到银行账单也是没有用的。

【例题6·单选题】某组织中的所有员工都必须选择一家金融机构以便组织将他们每月工资存入其中。组织向其开户银行发送一份电子文件，其中包括每个员工选择的金融机构名称、账号以及应付工资金额。按账号将此文件排序将有助于该组织的内部审计师测试：

a.无效账号

b.电子文件的准确性和完整性

c.虚构的员工

d.多余的工资支付

【正确答案】c

【答案解析】

a.不正确。账号是否有效不是内部审计师所关心的问题，将有效的账号提供给会计部门以便将工资准确有效地存入该账号是员工的责任。

b.不正确。仅仅对文件进行排序无法判断其准确性和完整性，而且一般情况下文件的准确性和完整性应当没有问题，否则将无法完成发放工资的工作。

c.正确。是否存在虚构的员工是内部审计师所关注的问题，按照账号对文件排序后，可以通过与员工名单一一核对等方法测试是否存在虚构的员工。

d.不正确。按账号给文件排序的审计程序与是否存在支付多余工资的问题没有直接联系，因为具体工资的支付依据没有包括在文件中。

【例题7·单选题】关于内部审计师在注意到某些舞弊征兆之后的责任，以下描述正确的是：

a.扩展审计程序来确定是否有理由进行调查

b.向最高管理层报告舞弊的可能性，并询问他们希望怎样继续审计活动

c.向外部法律顾问咨询，来决定如何采取行动，包括确保拟实施的审计方案从法律角度上看是可行的

d.将情况报告给审计委员会，申请经费以便聘请外部专家来帮助调查可能发生的舞弊

【正确答案】a

【答案解析】

a.正确。当存在舞弊的有关迹象时，内部审计师应当扩展审计程序，评估存在舞弊的可能性，并确定是否有理由进行调查。

b.不正确。当内部审计师已在合理程度上确认组织发生了严重的舞弊现象时，应当将这种情况及时通知管理高层和董事会，在仅发现舞弊征兆而未能合理确定舞弊发生的可能性之前，没有向最高管理层报告的责任。

c.不正确。关于舞弊的最终报告的草稿应该提交组织法律顾问审查，在未查明舞弊之前，内部审计师没有咨询外部法律顾问的责任。

d.不正确。在未能合理确定舞弊存在的可能性之前，内部审计师没有向审计委员会报告的责任

【例题8·单选题】在对某银行的审计中，内部审计师发现一贷款官员批准向某企业集团所属的各独立机构发放贷款，这违反了常规政策。内部审计师认为这一行为可能是有意的，因为贷款官员与控制该企业集团的一个主要负责人有密切关系，该内部审计师应当：

a.将此利益冲突和违规行为告知管理层，并建议作进一步调查

b.将违规行为报告给法规部门，因为这构成了银行控制系统的重大缺陷

c.如果该贷款官员同意采取纠正措施，则可以不报告该违规行为

d.扩大审计范围，确定贷款官员是否有舞弊行为，并在后续调查完成后将调查结果向管理层报告

【正确答案】a

【答案解析】

a.正确。该利益冲突和违规行为属于重要的审计发现，内部审计师应当报告管理层。

b.不正确。根据《标准》2440.A1，首席审计执行官负责将最终结果报告给能够确保对结果给予应有考虑的对象，除非法律、法规或其他规章另有规定，首席审计执行官向组织外部通报结果之前，必要时向高级管理层和/或法律顾问咨询。因此，内部审计师没有将审计发现向法规部门报告的责任。

c.不正确。由于该行为已经违反了银行的常规政策，无论该贷款官员是否同意改正，内部审计师都应当报告这个审计发现。

d.不正确。该利益冲突和违规行为属于重要的审计发现，内部审计师应当及时地向管理层和董事会报告，扩大审计范围可以放在下一步进行。

【例题9·单选题】如果内部审计师怀疑存在舞弊行为，他应该：

a.确认已经发生的损失

b.与控制资产的人员面谈

c.确定可能与该事件有牵连的雇员

d.建议不论在何种情况下都有必要进行调查

【正确答案】d

【答案解析】

a.不正确。若不经过深入的调查，仅靠怀疑是无法确认舞弊所造成的损失的。

b.不正确。舞弊行为不一定都涉及到资产问题，因此与控制资产的人员面谈不一定是必要的。

c.不正确。若不经过深入调查，仅靠怀疑无法确定与舞弊行为有牵连的雇员。

d.正确。当内部审计师怀疑组织内部存在舞弊时，应该将情况告知组织内有关主管人员。内部审计师可以就此形势下需要进行何种调查提出建议。因此，内部审计师应该提出进行调查的建议。

相关推荐：

2014年注册内部审计师考试内部审计业务考点汇总

2014年国际注册内部审计师考试内部审计作用考点

2014年国际内部注册审计师报考条件

2014年国际内部注册审计师考试科目

更多关注：内部审计师考试报考指南  考试教材  成绩管理 内审师报名时间

（责任编辑：中大编辑）

共2页,当前第1页  第一页  前一页  下一页