《CMA P1 冲刺讲义 内部控制课件.ppt》由会员分享,可在线阅读,更多相关《CMA P1 冲刺讲义 内部控制课件.ppt(37页珍藏版)》请在三一办公上搜索。
1、第五章 内部控制,5.1 公司治理、风险与合规性5.2 内部审计5.3 系统控制与安全措施,5.1 公司治理、风险与合规性,一.内部控制的原则I.内部控制只是手段,不是目的II.内部控制只能提供合理保证,而非绝对保证二.内部控制的目标I.经营的效果和效率II.财务报告的可靠性III.遵守法律法规性IV.资产的安全和组织目标的实现,三.内部控制的5个要素I.控制环境a.是其他要求的基础b.构成要素 诚信和道德观 员工的胜任能力 董事会或审计委员会 管理哲学(原则)和经营风格 组织结构 分配权责 人力资源政策和措施,II.风险评估a.风险是客观存货咋,任何控制方法只能降低风险,不能消除风险b.风险
2、分析和排序风险的重要性:绝对的损失风险的可能性:相对的可能根据两者的乘积来对风险进行排序c.风险的类型固有风险:无控制,无审计控制风险:有控制,无审计检查风险:有控制,有审计审计风险 = 固有风险 控制风险 检查风险,III.控制活动a.基本的控制活动职责划分:最有效但最费钱的控制方式;合谋会瓦解职责划分的效用适当授权对于资产和记录的保管恰当的文件和记录:预编号码独立核查,b.控制活动的类型预防控制:避免差错发生成本效益高检查控制:识别已发的差错用来检验预防控制成本效益低纠正控制:避免差错再次发生,指向控制:为了产生正面的控制结果补偿控制:弥补控制系统中的缺陷会计控制:确保资产的安全和财务报告
3、的可靠性管理控制:关注合规、运营的效率与效用和组织目标的实现IV.信息和沟通V.监督,四.相关法律I.海外反腐败法a.立法意图 禁止通过行贿来获得或维持商业利益b.反行贿条款 禁止美国企业、美国公民和在美国上市的外国企业通过贿赂外国的官员、外国政党或政党官员或外国政治职务候选人来获取或维持商业利益c.会计条款 为了能够精确和正确地体现资产交易和处置情况,账册、记录和账户必须以合理详尽的方式进行保存 应设立一套内部会计控制系统 交易授权、交易记录、定期核查,II.萨班斯-奥克斯利法案a.201条款 审计师执业范围之外的业务外部审计师不能执行的业务涉及被审计客户的会计记录及财务报表的簿记或其他业务
4、;设计及执行财务信息系统;评估或估价业务、公正业务或出具实物捐赠报告书;精算业务;内部审计外部化业务;代行使管理或人力资源职能;作为客户的经纪人或经销商,投资顾问,或提供投资银行服务;提供与审计无关的法律服务或专家服务;任何委员会所规定的未被许可的业务。只有事前得到发行证券公司审计委员会许可后,注册会计师事务所才可以执行如税务咨询等非审计业务,b.203条款 负责审计合伙人的轮换对审计某发行证券公司的注册会计师事务所而言,如果该所负责(或负责协调)该审计项目的合伙人或负责复核该审计项目的合伙人已连续超过5年对该公司的审计或复核负责,则该事务所提供上述审计业务的行为是非法的c.302条款 公司对
5、财务报告的责任签字的官员已审阅过该报告,认为报告中的会计报表及其他财务信息在所有重大方面,公允地反映了公司在该报告期末的财务状况及该报告期内的经营成果。签字官员对建立及保持内部控制负责,d.404条款 管理层对内部控制的评价 强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任 报告编制的年度报告中应包括内部控制报告;要求管理层对内部控制的评价,担任公司年报审计的会计公司应当对其进行测试和评价,并出具评价报告e.上市公司会计监督委员会 根据萨班斯法案设立的,用于监督上市公司的审计以及相关事项,以便为购买及持有其证券的公司或公众投资者编制准确、独立的审计报告 负责监督和监管的事项 要
6、求会计师事务所进行注册 制定或采纳审计标准和质量控制 对会计师事务所进行检查 对会计师事务所及相关人员进行调查和惩处,f.第5号审计公告 第5号公告引入了基于风险的规则,其关注的重点是针对事实与环境的企业层面控制的有效性 第5号公告有4个目标 内控审计关注点为最重要的事项 剔除那些对于实现预期目的没有价值的审计步骤 使审计范围能适应企业的规模和复杂程度 简化标准的内容,5-1.某公司正在进行风险分析来量化其数据中心受到的各类威胁。下列哪种情况在进行了保险赔付调整之后,它所代表的年损失是最高的? 发生频率(年) 损失金额 保险(% 赔付率)A. 1 $15,000 85B. 8 $75,000
7、80C. 20 $200,000 80D. 100 $400,000 50题解:风险评估的判断,选A 在对风险进行评估时,需要考虑风险的绝对损失和相对的可能,通过两者的乘积来对风险进行排序 风险A的年损失 = $2,250 /年 风险B的年损失 = $1,875 /年 风险C的年损失 = $2,000 /年 风险D的年损失 = $2,000 /年,5-2.某公司新任主计长正在评估她所在部门的职责划分是否合理。请评估以下各项陈述并判断同一员工可以履行哪一组职责且同时仍能保持合理的职责划分。A.接收该公司的存款并记录这笔交易。B.收取现金和支票并将这些款项存到银行。C.将费用录入总分类账并支付信用
8、卡账单。D.授权现金支付并发放付款。题解:职责划分的判断,B 接收与记录存款的职责必须分开 收取现金和支票并存入银行部不违反职责划分的原则,是出纳的职责 记录费用和支付账款必须分开 收取支付和进行实际的支付必须分开,5-3.一家在美国上市的公司完成了其年度审计和内部控制评估。某位外部审计人员通过给出审计意见鉴证了财务报表,但并未报告管理层对内部控制的评估结果。该公司是否违反了萨班斯-奥克斯利法案的第404 款?A.未违反,根据“安全港”规定,该公司仍然是合规的。B.违反了,因为该公司未提供首席财务官和首席执行官的证明。C.未违反,但该公司违反了萨班斯-奥克斯利法案的第302 款。D.违反了,因
9、为该公司未安排审计人员鉴证并报告对其内部控制的评估结果。题解:萨班斯-奥克斯利法案404条款的判断,选D 萨班斯-奥克斯利法案404条款要求,公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价,5-4.以下哪一项最准确地描述了美国海外反腐败法的一条重要规定?A.审计人员不得提供记账服务或与审计客户的会计记录或财务报表有关的其他服务。B.公司必须遵守该公司本国/地区的法律及其所有境外子公司所在国/地区的法律。C.首席执行官和首席财务官必须证明自己不知晓美国公司的所有境外子公司的任何贪腐行为。D.应检查内部会计控制机制,如果发
10、现重大漏洞,则必须加强相关控制。题解:海外反腐败法的判断,选D 海外反腐败法的立法主旨是,禁止美国企业通过行贿的方式来获取或维持商业利益 海外反腐败法的会计条款要求为了能够精确和正确地体现资产交易和处置情况,账册、记录和账户必须以合理详尽的方式进行保存;并应设立一套内部会计控制系统 审计人员的职业范围是萨班斯法案201条款中的内容,5-5.职责划分是有效内控体系中一个基础性的概念。然而,内部审计师必须认识到,以下哪项可以损害此种控制?A.员工缺乏培训B.员工间的合谋C.不定期的员工评估D.缺乏内部审计题解:海外反腐败法的判断,选D 职责划分是内部控制的诸多控制活动中最有效的方法,但是划分的效用
11、会被员工的合模瓦解,19,可编辑,5.2.内部审计,一.内部审计与内部控制的关系I.内部审计评估和监督内部控制的有效性和效率II.内部审计不直接涉及内部控制的具体活动二.内部审计的独立性和客观性I.没有利益往来就能确保内部审计的独立性和客观性II.以下情况的出现有可能损害内部审计的独立性和客观性 a.审计方与被审计方存在着利益冲突 b.审计范围受限 c.获取资料、询问受限 d.审计活动的资金受限 e.审计之前负责运营的部门 f.首席审计官的活动不是由内审之外的第三方来监督的,三.内部审计活动的类型I.财务审计:分析一个实体对其经济活动进行计量和报告的会计方法II.合规性审计:对财务和运营控制以
12、及交易进行检查,判断它们是否与现有的法律、准则、法规和程序相符合III.营运审计:组织内部的不同职能进行综合检查以评估经营活动的效率和经济性,以及这些职能实现经营目标的有效性,5-6.以下哪项陈述最准确地解释了内部审计部门在合规性审核方面的责任及其在经营审计方面的责任之间的区别?A.合规性审核是确保组织遵守法律、规定和条例的手段,而经营审计则主要以发现经营问题并提高经营效率和成效为目的。B.合规性审核的目的在于确保实体的财务报表符合公认会计原则,而经营审计则是在部门级别执行的活动。C.合规性审核的目的在于确保员工遵守公司规定和准则,而经营审计则是为了解决管理层指示的特定财务问题。D.合规性审核
13、是为了确保组织遵守规定和条例,而经营审计则是为了确保实体的财务报表符合公认会计原则而开展的。,题解:内部审计类型的判断,选A 内部审计主要有3种基本形式财务审计是指分析一个实体对其经济活动进行计量和报告的会计方法合规性审计是指对财务和运营控制以及交易进行检查,判断它们是否与现有的法律、准则、法规和程序相符合营运审计是指对组织内部的不同职能进行综合检查以评估经营活动的效率和经济性,以及这些职能实现经营目标的有效性,5-7.对内部审计职能最贴切的描述是A.为需要可靠财务信息的第三方提供服务。B.重点关注财务报表中的历史信息。C.评估为确保达到实体目标而制定的控制措施。D.致力于发现与数额重大的虚报
14、相关的欺诈题解:内部审计的判断,选C 内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标 内部审计不需要向企业之外的第三方提供信息 内部审计关注的信息不仅仅局限于财务信息 发现欺诈是内部审计的职能之一。,5-8.以下哪些活动超出了内部审计的范围?A.评估某一经营部门在实现组织目标时的效用B.保管资产C.对法律法规遵守的控制进行评估D.确定已经建立起的目标的范围题解:内部审计范围的判断,选B 内部审计的职能检查和评估内部控制政策和流程的有效性 内部审计师不直接设计具体的内部控制活动,5
15、.3.系统控制与安全措施,一.一般控制I.职责划分a.系统分析师独立于计算机操作,独立于文件的输入/输出b.程序员独立于计算机操作(最重要的职责划分),不能改变原始记录或文件c.系统操作员不能访问文件库或程序文档,独立于文件的输入/输出d.信息系统活动库管员独立于计算机操作,不能负责文件或程序的异地存储e.数据控制组负责数据的输入/输出、检查和修正,独立于计算机操作,不负责信息系统资产的保管,II.系统开发生命周期a.系统申请b.可行性研究c.总体系统设计d.详细系统设计e.程序编码和测试f.转换g.实施h.维护,III. 数据安全a.逻辑访问控制授权访问分级访问b.密码控制的有效性密码至少要
16、有4个字符,不能包含元音字母,但要包含数字密码永远都不要由易于推算的内容构成IV.物理安全a.物理访问磁卡门禁生物测定门禁系统,V.环境危害a.位于隐蔽的区域b.充足的空调能力c.火灾和洪水防护火警系统烟雾检测装置d.供电柴油机或其他独立的长期发电设备短期的不间断电源,VI.应急计划和灾后恢复a.由董事会批准作为计算机安全计划的一个重要组成部分,并在公司的最高层级中贯彻执行b.灾后恢复计划应被完整存档并由管理高层和计划委员会批准c.一个拥有充分灾难恢复能力的计划应包括3个主要部分:关键数据、程序、操作系统和文档的异地存储d.最重要的部分就是明确指定备份的站点 热站立即恢复数据,充分运行 冷站需
17、要几天或一周恢复数据,无法充分运行 暖站介于热站和冷站之间,VII.存储和备份a.采用祖-父-子三级式进行存储和备份b.使用在线备份c.以交易日志的方式进行存储d.备份的数据应异地存储二.应用控制I.输入控制II.处理控制III.输出控制,三.信息安全I.数据传送a.加密可以降低数据被窃听或盗窃的风险b.加密的方式 在秘密-密钥加密中,对信息进行加密和解密都用来同样的密钥 在公共-密钥加密中,加密和解密使用两把不同的密钥,应用最普遍II.防火墙a.隔离外网与内网b.限制了来自于外部的对公司服务器上的信息的访问,四.流程图I.流程图的类型a.系统流程图:确定整体和主要的运营流向,说明输入的产出和
18、次序、处理模式和输出的形式或内容b.程序流程图:由系统开发人员使用,更关注详细的处理功能c.分析流程图:确定一个应用系统中所有重要的处理程序,分析实施控制的任务流程d.文件流程图:列出应用系统中所使用的所有文档并确定这些文档组织、分步和最终处置的控制点,5-9.以下哪项关于灾难恢复规划的陈述是不正确的?A.灾难恢复计划必须在公司内的最低级别实施。B.灾难恢复计划应完整地记录在册并获得批准。C.灾难恢复计划的设计应包含对公司需求的评估、恢复优先顺序表以及一套恢复策略和规程。D.灾难恢复计划的一个非常重要的环节是备份站点的指定。题解:灾难恢复,A 灾难恢复计划在公司中应由董事会批准作为计算机安全计
19、划的一个重要组成部分,并在公司的最高层级中贯彻执行 灾后恢复计划应被完整存档并由管理高层和计划委员会批准 关键数据、程序、操作系统和文档的异地存储 一份包含灾难发生时应采取的详细步骤的计划文档,5-10.ABC公司由于意外进水导致了大量的数据丢失。虽然该公司采取了异地存储的备份模式,但是在从异地取回的数据备份中并没有发现备份的信息。为避免再次发生此类事件并能快速找到正确的备份磁带,公司应:A.附有详细说明的备份磁带B.将文件备份到磁盘里,并用“祖-父-子”3级模式进行管理C.将备份的磁带存放于不同的地方D.以上均不正确题解:数据备份原则的判断,选B 异地存储和3级式存储都是文件备份的基本原则 虽然案例中的企业已经采取了异地存储的模式,但是依然无法获取备份的数据 因此,必须采取“祖-父-子”3级的模式进行数据的备份,祝各位同学都能顺利通过考试!,37,可编辑,