CMA-P1-冲刺讲义-内部控制课件.ppt

1、第五章 内部控制v5.1 公司治理、风险与合规性v5.2 内部审计v5.3 系统控制与安全措施5.1 公司治理、风险与合规性v一.内部控制的原则vI.内部控制只是手段，不是目的vII.内部控制只能提供合理保证，而非绝对保证v二.内部控制的目标vI.经营的效果和效率vII.财务报告的可靠性vIII.遵守法律法规性vIV.资产的安全和组织目标的实现v三.内部控制的5个要素vI.控制环境va.是其他要求的基础vb.构成要素v 诚信和道德观v 员工的胜任能力v 董事会或审计委员会v 管理哲学（原则）和经营风格v 组织结构v 分配权责v 人力资源政策和措施vII.风险评估va.风险是客观存货咋，任何控制

2、方法只能降低风险，不能消除风险vb.风险分析和排序v风险的重要性：绝对的损失v风险的可能性：相对的可能v根据两者的乘积来对风险进行排序vc.风险的类型v固有风险：无控制，无审计v控制风险：有控制，无审计v检查风险：有控制，有审计v审计风险=固有风险 控制风险 检查风险vIII.控制活动va.基本的控制活动v职责划分：最有效但最费钱的控制方式；合谋会瓦解职责划分的效用v适当授权v对于资产和记录的保管v恰当的文件和记录：预编号码v独立核查vb.控制活动的类型v预防控制预防控制：v避免差错发生v成本效益高v检查控制检查控制：v识别已发的差错v用来检验预防控制v成本效益低v纠正控制纠正控制：避免差错再

3、次发生v指向控制：为了产生正面的控制结果v补偿控制：弥补控制系统中的缺陷v会计控制：确保资产的安全和财务报告的可靠性v管理控制：关注合规、运营的效率与效用和组织目标的实现vIV.信息和沟通vV.监督v四四.相关法律相关法律vI.海外反腐败法va.立法意图v 禁止通过行贿来获得或维持商业利益vb.反行贿条款v 禁止美国企业、美国公民和在美国上市的外国企业通过贿赂外国的官员、外国政党或政党官员或外国政治职务候选人来获取或维持商业利益vc.会计条款v 为了能够精确和正确地体现资产交易和处置情况，账册、记录和账户必须以合理详尽的方式进行保存v 应设立一套内部会计控制系统v 交易授权、交易记录、定期核查

4、vII.II.萨班斯萨班斯-奥克斯利法案奥克斯利法案va.201a.201条款条款 审计师执业范围之外的业务审计师执业范围之外的业务v外部审计师不能执行的业务外部审计师不能执行的业务v涉及被审计客户的会计记录及财务报表的簿记或其他业务；涉及被审计客户的会计记录及财务报表的簿记或其他业务；v设计及执行财务信息系统；设计及执行财务信息系统；v评估或估价业务、公正业务或出具实物捐赠报告书；评估或估价业务、公正业务或出具实物捐赠报告书；v精算业务；精算业务；v内部审计外部化业务；内部审计外部化业务；v代行使管理或人力资源职能；代行使管理或人力资源职能；v作为客户的经纪人或经销商，投资顾问，或提供投资银

5、行服作为客户的经纪人或经销商，投资顾问，或提供投资银行服务；务；v提供与审计无关的法律服务或专家服务；提供与审计无关的法律服务或专家服务；v任何委员会所规定的未被许可的业务。任何委员会所规定的未被许可的业务。v只有事前得到发行证券公司审计委员会许可后，注册会计师只有事前得到发行证券公司审计委员会许可后，注册会计师事务所才可以执行如税务咨询等非审计业务事务所才可以执行如税务咨询等非审计业务vb.203条款 负责审计合伙人的轮换v对审计某发行证券公司的注册会计师事务所而言，如果该所负责（或负责协调）该审计项目的合伙人或负责复核该审计项目的合伙人已连续超过5年对该公司的审计或复核负责，则该事务所提供

6、上述审计业务的行为是非法的vc.302条款 公司对财务报告的责任v签字的官员已审阅过该报告，认为报告中的会计报表及其他财务信息在所有重大方面，公允地反映了公司在该报告期末的财务状况及该报告期内的经营成果。v签字官员对建立及保持内部控制负责vd.404条款 管理层对内部控制的评价v 强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任v 报告编制的年度报告中应包括内部控制报告；要求管理层对内部控制的评价，担任公司年报审计的会计公司应当对其进行测试和评价，并出具评价报告ve.上市公司会计监督委员会v 根据萨班斯法案设立的，用于监督上市公司的审计以及相关事项，以便为购买及持有其证券的公司

7、或公众投资者编制准确、独立的审计报告v 负责监督和监管的事项v 要求会计师事务所进行注册v 制定或采纳审计标准和质量控制 v 对会计师事务所进行检查v 对会计师事务所及相关人员进行调查和惩处vf.f.第第5 5号审计公告号审计公告v 第第5 5号公告号公告引入了基于风险的规则，引入了基于风险的规则，其关注的重点是针对事实与环境的企业层面其关注的重点是针对事实与环境的企业层面控制的有效性控制的有效性v 第第5 5号公告号公告有有4 4个目标个目标v 内控审计关注点为最重要的事项内控审计关注点为最重要的事项v 剔除那些对于实现预期目的没有价值的审剔除那些对于实现预期目的没有价值的审计步骤计步骤v

8、使审计范围能适应企业的规模和复杂程度使审计范围能适应企业的规模和复杂程度v 简化标准的内容简化标准的内容v5-1.5-1.某公司正在进行风险分析来量化其数据中心受某公司正在进行风险分析来量化其数据中心受到的各类威胁。下列哪种情况在进行了保险赔付调到的各类威胁。下列哪种情况在进行了保险赔付调整之后，它所代表的年损失是最高的？整之后，它所代表的年损失是最高的？v 发生频率发生频率(年年)损失金额损失金额 保险保险(%(%赔付率赔付率)vA.1$15,000 A.1$15,000 8585vB.8$75,000 B.8$75,000 8080vC.20$200,000 C.20$200,000 80

9、80vD.100$400,000 D.100$400,000 5050v题解：风险评估的判断，选题解：风险评估的判断，选A Av 在对风险进行评估时，需要考虑风险的绝对损失和相对在对风险进行评估时，需要考虑风险的绝对损失和相对的可能，通过两者的乘积来对风险进行排序的可能，通过两者的乘积来对风险进行排序v 风险风险A A的年损失的年损失 =$2,250/=$2,250/年年v 风险风险B B的年损失的年损失 =$1,875/=$1,875/年年v 风险风险C C的年损失的年损失 =$2,000/=$2,000/年年v 风险风险D D的年损失的年损失 =$2,000/=$2,000/年年v5-2.

10、5-2.某公司新任主计长正在评估她所在部门的职责划分是否某公司新任主计长正在评估她所在部门的职责划分是否合理。请评估以下各项陈述并判断同一员工可以履行哪一组合理。请评估以下各项陈述并判断同一员工可以履行哪一组职责且同时仍能保持合理的职责划分。职责且同时仍能保持合理的职责划分。vA.A.接收该公司的存款并记录这笔交易。接收该公司的存款并记录这笔交易。vB.B.收取现金和支票并将这些款项存到银行。收取现金和支票并将这些款项存到银行。vC.C.将费用录入总分类账并支付信用卡账单。将费用录入总分类账并支付信用卡账单。vD.D.授权现金支付并发放付款。授权现金支付并发放付款。v题解：职责划分的判断，题解

11、：职责划分的判断，B Bv 接收与记录存款的职责必须分开接收与记录存款的职责必须分开v 收取现金和支票并存入银行部不违反职责划分的原则，收取现金和支票并存入银行部不违反职责划分的原则，是出纳的职责是出纳的职责v 记录费用和支付账款必须分开记录费用和支付账款必须分开v 收取支付和进行实际的支付必须分开收取支付和进行实际的支付必须分开v5-3.5-3.一家在美国上市的公司完成了其年度审计和内部控制一家在美国上市的公司完成了其年度审计和内部控制评估。某位外部审计人员通过给出审计意见鉴证了财务报评估。某位外部审计人员通过给出审计意见鉴证了财务报表，但并未报告管理层对内部控制的评估结果。该公司是表，但并

12、未报告管理层对内部控制的评估结果。该公司是否违反了否违反了萨班斯萨班斯-奥克斯利法案奥克斯利法案的第的第404 404 款？款？vA.A.未违反，根据未违反，根据“安全港安全港”规定，该公司仍然是合规的。规定，该公司仍然是合规的。vB.B.违反了，因为该公司未提供首席财务官和首席执行官的违反了，因为该公司未提供首席财务官和首席执行官的证明。证明。vC.C.未违反，但该公司违反了未违反，但该公司违反了萨班斯萨班斯-奥克斯利法案奥克斯利法案的第的第302 302 款。款。vD.D.违反了，因为该公司未安排审计人员鉴证并报告对其内违反了，因为该公司未安排审计人员鉴证并报告对其内部控制的评估结果。部控

13、制的评估结果。v题解：题解：萨班斯萨班斯-奥克斯利法案奥克斯利法案404404条款的判断，选条款的判断，选D Dv 萨班斯萨班斯-奥克斯利法案奥克斯利法案404404条款要求，条款要求，v公司管理层建立和维护内部控制系统及相应控制程序充分公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任有效的责任v发行人管理层最近财政年度末对内部控制体系及控制程序发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价有效性的评价v5-4.5-4.以下哪一项最准确地描述了美国以下哪一项最准确地描述了美国海外反腐败法海外反腐败法的一的一条重要规定？条重要规定？vA.A.审计人员不得提供记账服务或

14、与审计客户的会计记录或财审计人员不得提供记账服务或与审计客户的会计记录或财务报表有关的其他服务。务报表有关的其他服务。vB.B.公司必须遵守该公司本国公司必须遵守该公司本国/地区的法律及其所有境外子公地区的法律及其所有境外子公司所在国司所在国/地区的法律。地区的法律。vC.C.首席执行官和首席财务官必须证明自己不知晓美国公司的首席执行官和首席财务官必须证明自己不知晓美国公司的所有境外子公司的任何贪腐行为。所有境外子公司的任何贪腐行为。vD.D.应检查内部会计控制机制，如果发现重大漏洞，则必须加应检查内部会计控制机制，如果发现重大漏洞，则必须加强相关控制。强相关控制。v题解：题解：海外反腐败法海

15、外反腐败法的判断，选的判断，选D Dv 海外反腐败法海外反腐败法的立法主旨是，禁止美国企业通过行贿的方式来的立法主旨是，禁止美国企业通过行贿的方式来获取或维持商业利益获取或维持商业利益v 海外反腐败法海外反腐败法的会计条款要求为了能够精确和正确地体现资产的会计条款要求为了能够精确和正确地体现资产交易和处置情况，账册、记录和账户必须以合理详尽的方式进行保存；交易和处置情况，账册、记录和账户必须以合理详尽的方式进行保存；并应设立一套内部会计控制系统并应设立一套内部会计控制系统v 审计人员的职业范围是审计人员的职业范围是萨班斯法案萨班斯法案201201条款中的内容条款中的内容v5-5.职责划分是有效

16、内控体系中一个基础性的概念。然而，内部审计师必须认识到，v以下哪项可以损害此种控制？vA.员工缺乏培训vB.员工间的合谋vC.不定期的员工评估vD.缺乏内部审计v题解：海外反腐败法的判断，选Dv 职责划分是内部控制的诸多控制活动中最有效的方法，但是划分的效用会被员工的合模瓦解可编辑5.2.内部审计v一一.内部审计与内部控制的关系内部审计与内部控制的关系vI.I.内部审计评估和监督内部控制的有效性和效率内部审计评估和监督内部控制的有效性和效率vII.II.内部审计不直接涉及内部控制的具体活动内部审计不直接涉及内部控制的具体活动v二二.内部审计的独立性和客观性内部审计的独立性和客观性vI.I.没有

17、利益往来就能确保内部审计的独立性和客观性没有利益往来就能确保内部审计的独立性和客观性vII.II.以下情况的出现有可能损害内部审计的独立性和客观性以下情况的出现有可能损害内部审计的独立性和客观性v a.a.审计方与被审计方存在着利益冲突审计方与被审计方存在着利益冲突v b.b.审计范围受限审计范围受限v c.c.获取资料、询问受限获取资料、询问受限v d.d.审计活动的资金受限审计活动的资金受限v e.e.审计之前负责运营的部门审计之前负责运营的部门v f.f.首席审计官的活动不是由内审之外的第三方来监督的首席审计官的活动不是由内审之外的第三方来监督的v三.内部审计活动的类型vI.财务审计：分

18、析一个实体对其经济活动进行计量和报告的会计方法vII.合规性审计：对财务和运营控制以及交易进行检查，判断它们是否与现有的法律、准则、法规和程序相符合vIII.营运审计：组织内部的不同职能进行综合检查以评估经营活动的效率和经济性，以及这些职能实现经营目标的有效性v5-6.以下哪项陈述最准确地解释了内部审计部门在合规性审核方面的责任及其在经营审计方面的责任之间的区别？vA.合规性审核是确保组织遵守法律、规定和条例的手段，而经营审计则主要以发现经营问题并提高经营效率和成效为目的。vB.合规性审核的目的在于确保实体的财务报表符合公认会计原则，而经营审计则是在部门级别执行的活动。vC.合规性审核的目的在

19、于确保员工遵守公司规定和准则，而经营审计则是为了解决管理层指示的特定财务问题。vD.合规性审核是为了确保组织遵守规定和条例，而经营审计则是为了确保实体的财务报表符合公认会计原则而开展的。v题解：内部审计类型的判断，选Av 内部审计主要有3种基本形式v财务审计是指分析一个实体对其经济活动进行计量和报告的会计方法v合规性审计是指对财务和运营控制以及交易进行检查，判断它们是否与现有的法律、准则、法规和程序相符合v营运审计是指对组织内部的不同职能进行综合检查以评估经营活动的效率和经济性，以及这些职能实现经营目标的有效性v5-7.5-7.对内部审计职能最贴切的描述是对内部审计职能最贴切的描述是vA.A.

20、为需要可靠财务信息的第三方提供服务。为需要可靠财务信息的第三方提供服务。vB.B.重点关注财务报表中的历史信息。重点关注财务报表中的历史信息。vC.C.评估为确保达到实体目标而制定的控制措施。评估为确保达到实体目标而制定的控制措施。vD.D.致力于发现与数额重大的虚报相关的欺诈致力于发现与数额重大的虚报相关的欺诈v题解：内部审计的判断，选题解：内部审计的判断，选C Cv 内部审计是一种独立、客观的确认和咨询活动，旨在增内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运加价值和改善组织的运v营。它通过应用系统的、规范的方法，评价并改善风险管理、营。它通过应用系统的、规范的方法，

21、评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标控制和治理过程的效果，帮助组织实现其目标v 内部审计不需要向企业之外的第三方提供信息内部审计不需要向企业之外的第三方提供信息v 内部审计关注的信息不仅仅局限于财务信息内部审计关注的信息不仅仅局限于财务信息v 发现欺诈是内部审计的职能之一。发现欺诈是内部审计的职能之一。v5-8.以下哪些活动超出了内部审计的范围？vA.评估某一经营部门在实现组织目标时的效用vB.保管资产vC.对法律法规遵守的控制进行评估vD.确定已经建立起的目标的范围v题解：内部审计范围的判断，选题解：内部审计范围的判断，选B Bv 内部审计的职能检查和评估内部控制政策

22、和流内部审计的职能检查和评估内部控制政策和流程的有效性程的有效性v 内部审计师不直接设计具体的内部控制活动内部审计师不直接设计具体的内部控制活动5.3.系统控制与安全措施v一一.一般控制一般控制vI.I.职责划分职责划分va.a.系统分析师独立于计算机操作，独立于文件的输系统分析师独立于计算机操作，独立于文件的输入入/输出输出vb.b.程序员独立于计算机操作（最重要的职责划分），程序员独立于计算机操作（最重要的职责划分），不能改变原始记录或文件不能改变原始记录或文件vc.c.系统操作员不能访问文件库或程序文档，独立于系统操作员不能访问文件库或程序文档，独立于文件的输入文件的输入/输出输出vd.

23、d.信息系统活动库管员独立于计算机操作，不能负信息系统活动库管员独立于计算机操作，不能负责文件或程序的异地存储责文件或程序的异地存储ve.e.数据控制组负责数据的输入数据控制组负责数据的输入/输出、检查和修正，输出、检查和修正，独立于计算机操作，不负责信息系统资产的保管独立于计算机操作，不负责信息系统资产的保管vII.系统开发生命周期va.系统申请vb.可行性研究vc.总体系统设计vd.详细系统设计ve.程序编码和测试vf.转换vg.实施vh.维护vIII.数据安全va.逻辑访问控制v授权访问v分级访问vb.密码控制的有效性v密码至少要有4个字符，不能包含元音字母，但要包含数字v密码永远都不要

24、由易于推算的内容构成vIV.物理安全va.物理访问v磁卡门禁v生物测定门禁系统vV.环境危害va.位于隐蔽的区域vb.充足的空调能力vc.火灾和洪水防护v火警系统v烟雾检测装置vd.供电v柴油机或其他独立的长期发电设备v短期的不间断电源vVI.应急计划和灾后恢复va.由董事会批准作为计算机安全计划的一个重要组成部分，并在公司的最高层级中贯彻执行vb.灾后恢复计划应被完整存档并由管理高层和计划委员会批准vc.一个拥有充分灾难恢复能力的计划应包括3个主要部分：v关键数据、程序、操作系统和文档的异地存储vd.最重要的部分就是明确指定备份的站点v 热站立即恢复数据，充分运行v 冷站需要几天或一周恢复数

25、据，无法充分运行v 暖站介于热站和冷站之间vVII.存储和备份va.采用祖-父-子三级式进行存储和备份vb.使用在线备份vc.以交易日志的方式进行存储vd.备份的数据应异地存储v二.应用控制vI.输入控制vII.处理控制vIII.输出控制v三.信息安全vI.数据传送va.加密可以降低数据被窃听或盗窃的风险vb.加密的方式v 在秘密-密钥加密中，对信息进行加密和解密都用来同样的密钥v 在公共-密钥加密中，加密和解密使用两把不同的密钥，应用最普遍vII.防火墙va.隔离外网与内网vb.限制了来自于外部的对公司服务器上的信息的访问v四.流程图vI.流程图的类型va.系统流程图：确定整体和主要的运营流

26、向，说明输入的产出和次序、处理模式v和输出的形式或内容vb.程序流程图：由系统开发人员使用，更关注详细的处理功能vc.分析流程图：确定一个应用系统中所有重要的处理程序，分析实施控制的任务流程vd.文件流程图：列出应用系统中所使用的所有文档并确定这些文档组织、分步和最终处置的控制点v5-9.以下哪项关于灾难恢复规划的陈述是不正确的？vA.灾难恢复计划必须在公司内的最低级别实施。vB.灾难恢复计划应完整地记录在册并获得批准。vC.灾难恢复计划的设计应包含对公司需求的评估、恢复优先顺序表以及一套恢复策略和规程。vD.灾难恢复计划的一个非常重要的环节是备份站点的指定。v题解：灾难恢复，Av 灾难恢复计

27、划在公司中应由董事会批准作为计算机安全计划的一个重要组成部分，并在公司的最高层级中贯彻执行v 灾后恢复计划应被完整存档并由管理高层和计划委员会批准v 关键数据、程序、操作系统和文档的异地存储v 一份包含灾难发生时应采取的详细步骤的计划文档v5-10.ABC5-10.ABC公司由于意外进水导致了大量的数据丢失。虽然该公司由于意外进水导致了大量的数据丢失。虽然该公司采取了异地存储的备份模式，但是在从异地取回的数据公司采取了异地存储的备份模式，但是在从异地取回的数据备份中并没有发现备份的信息。为避免再次发生此类事件并备份中并没有发现备份的信息。为避免再次发生此类事件并能快速找到正确的备份磁带，公司应

28、：能快速找到正确的备份磁带，公司应：vA.A.附有详细说明的备份磁带附有详细说明的备份磁带vB.B.将文件备份到磁盘里，并用将文件备份到磁盘里，并用“祖祖-父父-子子”3 3级模式进行管级模式进行管理理vC.C.将备份的磁带存放于不同的地方将备份的磁带存放于不同的地方vD.D.以上均不正确以上均不正确v题解：数据备份原则的判断，选题解：数据备份原则的判断，选B Bv 异地存储和异地存储和3 3级式存储都是文件备份的基本原则级式存储都是文件备份的基本原则v 虽然案例中的企业已经采取了异地存储的模式，但是依虽然案例中的企业已经采取了异地存储的模式，但是依然无法获取备份的数据然无法获取备份的数据v 因此，必须采取因此，必须采取“祖祖-父父-子子”3 3级的模式进行数据的备份级的模式进行数据的备份v祝各位同学都能顺利通过考试！可编辑