检查内部审计部门在组织内风险管理框架中的定位
风险管理是管理层的一项关键责任。进行组织的风险管理流程的评估并作出书面报告一般具有较高的审计优先顺序。CAE应当理解管理层和董事会对于内部审计活动在本组织的风险管理流程中的预期,理解应当被载入内部审计活动和审计委员会的章程。风险管理责任和活动应当在该组织的风险管理流程中负有责任的群体和个人中间协调一致。这些责任和活动应当在该组织的战略规划、董事会政策、管理层指导方针、操作流程和其他治理工具中被适当地记载。具体来说,董事会应当负责制定战略目标;风险的所有权应当赋予高级管理层;剩余风险的接纳应当留给执行管理层;持续的识别、评估、减轻和监督活动应当交与运营层;内部审计部门应当定期评价并协助其他部门进行风险管理。
对于尚未建立风险管理流程的组织,首席审计执行官应提请管理层注意,并提出建议。如果有关方面提出要求,内部审计师可以积极协助组织进行风险管理过程的初步建立工作,但更为积极的作用是通过改善组织基本程序的咨询工作对传统保证业务进行补充。但这些协助工作不能超出正常的保证和咨询范围,以免损害独立性。也就是说,内部审计师可以促进、协助风险管理过程的建立,但不负风险管理的责任。内部审计部门在建立风险管理过程之中和之后所承担的责任,也要在内部审计章程中作出规定。
【典型试题】
例1:最近全球发生了一些灾难。鉴于灾难可能对其组织造成破坏性影响,内部审计师应该鼓励管理者制定灾难管理程序。此种程序制定的第一步工作是( )。
A.制订应急计划
B.开展风险分析
C.创建风险管理小组
D.练习对风险的反应
答案:B
解题思路:
A.不正确。首先应当清楚灾难发生的可能性、可能范围及其后果,才能有针对性地制订应急计划。
B.正确。开展风险分析可以弄清楚灾难发生的可能性、可能范围及其后果,以便灾难管理程序更有针对性、更适用和更经济。因此,开展风险分析是制定灾难管理程序的首要工作。
C.不正确。风险管理的组织形式应当根据风险的可能性和危害性来确定。在确定风险的可能性和危害性之前,不适合确定风险管理的组织形式。
D.不正确。应当先有计划,后有行动。
例2:你所在的公司最近将采购循环由手工处理转变为用联机系统处理。以下哪项是与这种向新型自动系统转化相关的结果?
A.处理错误会增加
B.公司面临的风险将减少
C.处理时间增加
D.传统的职责分离会减少
答案:D
解题思路:
A.不正确。一般情况下,计算机处理比人工处理出现的错误更少。
B.不正确。使用联机系统处理后,公司对相关数据的控制风险将会增加
C.不正确。计算机处理将会缩短处理时间,提高处理效率。
D.正确。联机系统将会取代某些手工工作,并提高了信息的共享性,传统的职责分离将会减少。
例3:在内部审计结束不久发生了一项重大雇员舞弊事件。内部审计师可能没有很好地履行防止舞弊发生的责任,因为他没有关注并报告( )。
A.低风险领域中用于监督行动并保护资产的政策、实践以及程序不如高风险领域中的那么广泛
B.依赖职责分工的控制系统可能因为三个雇员的串通而失败
C.没有书面政策来规定禁止的活动以及发现违规时要求采取的行动
D.分公司雇员没有经过适当的培训来辨别授权书上的真实签名和假冒签名
答案:C
解题思路:
A.不正确。这是风险管理中一个比较普遍的做法,并非管理缺陷,也不是造成雇员重大舞弊事件的原因,内部审计师不予关注并报告是没有责任的。
B.不正确。即使很完善的内部控制系统也可能因为数名雇员的串通而失败,这是众所周知的事情,内部审计师无需专门进行报告。
C.正确。公司没有书面政策来规定禁止的行动以及发现违规时要求采取的行动,这说明公司的风险管理和控制中没有对舞弊加以很好的防范。如果内部审计师没有关注并报告这个问题,则没有很好地履行防止舞弊发生的责任。
D.不正确。未向雇员提供适当的培训是控制弱点,但不是造成重大的雇员舞弊事件的直接原因。
例4:根据美国证券交易委员会(SEC)的新规定和《萨班斯一奥克斯利法案》,内部审计师在季度财务报告过程中不能履行以下哪项职能?
A.所需过程的初始设计者
B.该过程的独立评估人
C.SEC第13A一14和15D一14条规则的履行者
D.管理层和审计师之间的协调人或联系人
答案:C
解题思路:
A.不正确。根据《实务公告》2120.A1—3,该职能是一种增值服务。
B.不正确。根据《实务公告》2120.A1—3,该职能是一种增值服务。
C.正确。SEC第13A一14和15D一14条规则的履行者应当是首席执行官和首席财务官。
D.不正确。根据《实务公告》2120.A1—3,该职能是一种增值服务
相关推荐: