CMA P1(2015)冲刺讲义-5内部控制

第五章内部控制5.1公司治理、风险与合规性5.2内部审计5.3系统控制与安全措施5.1公司治理、风险与合规性一.内部控制的原则I.内部控制只是手段，不是目的II.内部控制只能提供合理保证，而非绝对保证二.内部控制的目标I.经营的效果和效率II.财务报告的可靠性III.遵守法律法规性IV.资产的安全和组织目标的实现三.内部控制的5个要素I.控制环境a.是其他要求的基础b.构成要素诚信和道德观员工的胜任能力董事会或审计委员会管理哲学（原则）和经营风格组织结构分配权责人力资源政策和措施II.风险评估a.风险是客观存货咋，任何控制方法只能降低风险，不能消除风险b.风险分析和排序风险的重要性：绝对的损失风险的可能性：相对的可能根据两者的乘积来对风险进行排序c.风险的类型固有风险：无控制，无审计控制风险：有控制，无审计检查风险：有控制，有审计审计风险=固有风险×控制风险×检查风险III.控制活动a.基本的控制活动职责划分：最有效但最费钱的控制方式；合谋会瓦解职责划分的效用适当授权对于资产和记录的保管恰当的文件和记录：预编号码独立核查b.控制活动的类型预防控制：避免差错发生成本效益高检查控制：识别已发的差错用来检验预防控制成本效益低纠正控制：避免差错再次发生指向控制：为了产生正面的控制结果补偿控制：弥补控制系统中的缺陷会计控制：确保资产的安全和财务报告的可靠性管理控制：关注合规、运营的效率与效用和组织目标的实现IV.信息和沟通V.监督四.相关法律I.《海外反腐败法》a.立法意图禁止通过行贿来获得或维持商业利益b.反行贿条款禁止美国企业、美国公民和在美国上市的外国企业通过贿赂外国的官员、外国政党或政党官员或外国政治职务候选人来获取或维持商业利益c.会计条款为了能够精确和正确地体现资产交易和处置情况，账册、记录和账户必须以合理详尽的方式进行保存应设立一套内部会计控制系统交易授权、交易记录、定期核查II.《萨班斯-奥克斯利法案》a.201条款–审计师执业范围之外的业务外部审计师不能执行的业务涉及被审计客户的会计记录及财务报表的簿记或其他业务；设计及执行财务信息系统；评估或估价业务、公正业务或出具实物捐赠报告书；精算业务；内部审计外部化业务；代行使管理或人力资源职能；作为客户的经纪人或经销商，投资顾问，或提供投资银行服务；提供与审计无关的法律服务或专家服务；任何委员会所规定的未被许可的业务。只有事前得到发行证券公司审计委员会许可后，注册会计师事务所才可以执行如税务咨询等非审计业务b.203条款–负责审计合伙人的轮换对审计某发行证券公司的注册会计师事务所而言，如果该所负责（或负责协调）该审计项目的合伙人或负责复核该审计项目的合伙人已连续超过5年对该公司的审计或复核负责，则该事务所提供上述审计业务的行为是非法的c.302条款–公司对财务报告的责任签字的官员已审阅过该报告，认为报告中的会计报表及其他财务信息在所有重大方面，公允地反映了公司在该报告期末的财务状况及该报告期内的经营成果。签字官员对建立及保持内部控制负责d.404条款–管理层对内部控制的评价强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任报告编制的年度报告中应包括内部控制报告；要求管理层对内部控制的评价，担任公司年报审计的会计公司应当对其进行测试和评价，并出具评价报告e.上市公司会计监督委员会根据《萨班斯法案》设立的，用于监督上市公司的审计以及相关事项，以便为购买及持有其证券的公司或公众投资者编制准确、独立的审计报告负责监督和监管的事项要求会计师事务所进行注册制定或采纳审计标准和质量控制对会计师事务所进行检查对会计师事务所及相关人员进行调查和惩处f.《第5号审计公告》《第5号公告》引入了基于风险的规则，其关注的重点是针对事实与环境的企业层面控制的有效性《第5号公告》有4个目标内控审计关注点为最重要的事项剔除那些对于实现预期目的没有价值的审计步骤使审计范围能适应企业的规模和复杂程度简化标准的内容5-1.某公司正在进行风险分析来量化其数据中心受到的各类威胁。下列哪种情况在进行了保险赔付调整之后，它所代表的年损失是最高的？发生频率(年)损失金额保险(%赔付率)A.1$15,00085B.8$75,00080C.20$200,00080D.100$400,00050题解：风险评估的判断，选A在对风险进行评估时，需要考虑风险的绝对损失和相对的可能，通过两者的乘积来对风险进行排序风险A的年损失=$2,250/年风险B的年损失=$1,875/年风险C的年损失=$2,000/年风险D的年损失=$2,000/年5-2.某公司新任主计长正在评估她所在部门的职责划分是否合理。请评估以下各项陈述并判断同一员工可以履行哪一组职责且同时仍能保持合理的职责划分。A.接收该公司的存款并记录这笔交易。B.收取现金和支票并将这些款项存到银行。C.将费用录入总分类账并支付信用卡账单。D.授权现金支付并发放付款。题解：职责划分的判断，B接收与记录存款的职责必须分开收取现金和支票并存入银行部不违反职责划分的原则，是出纳的职责记录费用和支付账款必须分开收取支付和进行实际的支付必须分开5-3.一家在美国上市的公司完成了其年度审计和内部控制评估。某位外部审计人员通过给出审计意见鉴证了财务报表，但并未报告管理层对内部控制的评估结果。该公司是否违反了《萨班斯-奥克斯利法案》的第404款？A.未违反，根据“安全港”规定，该公司仍然是合规的。B.违反了，因为该公司未提供首席财务官和首席执行官的证明。C.未违反，但该公司违反了《萨班斯-奥克斯利法案》的第302款。D.违反了，因为该公司未安排审计人员鉴证并报告对其内部控制的评估结果。题解：《萨班斯-奥克斯利法案》404条款的判断，选D《萨班斯-奥克斯利法案》404条款要求，公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价5-4.以下哪一项最准确地描述了美国《海外反腐败法》的一条重要规定？A.审计人员不得提供记账服务或与审计客户的会计记录或财务报表有关的其他服务。B.公司必须遵守该公司本国/地区的法律及其所有境外子公司所在国/地区的法律。C.首席执行官和首席财务官必须证明自己不知晓美国公司的所有境外子公司的任何贪腐行为。D.应检查内部会计控制机制，如果发现重大漏洞，则必须加强相关控制。题解：《海外反腐败法》的判断，选D《海外反腐败法》的立法主旨是，禁止美国企业通过行贿的方式来获取或维持商业利益《海外反腐败法》的会计条款要求为了能够精确和正确地体现资产交易和处置情况，账册、记录和账户必须以合理详尽的方式进行保存；并应设立一套内部会计控制系统审计人员的职业范围是《萨班斯法案》201条款中的内容5-5.职责划分是有效内控体系中一个基础性的概念。然而，内部审计师必须认识到，以下哪项可以损害此种控制？A.员工缺乏培训B.员工间的合谋C.不定期的员工评估D.缺乏内部审计题解：《海外反腐败法》的判断，选D职责划分是内部控制的诸多控制活动中最有效的方法，但是划分的效用会被员工的合模瓦解5.2.内部审计一.内部审计与内部控制的关系I.内部审计评估和监督内部控制的有效性和效率II.内部审计不直接涉及内部控制的具体活动二.内部审计的独立性和客观性I.没有利益往来就能确保内部审计的独立性和客观性II.以下情况的出现有可能损害内部审计的独立性和客观性a.审计方与被审计方存在着利益冲突b.审计范围受限c.获取资料、询问受限d.审计活动的资金受限e.审计之前负责运营的部门f.首席审计官的活动不是由内审之外的第三方来监督的三.内部审计活动的类型I.财务审计：分析一个实体对其经济活动进行计量和报告的会计方法II.合规性审计：对财务和运营控制以及交易进行检查，判断它们是否与现有的法律、准则、法规和程序相符合III.营运审计：组织内部的不同职能进行综合检查以评估经营活动的效率和经济性，以及这些职能实现经营目标的有效性5-6.以下哪项陈述最准确地解释了内部审计部门在合规性审核方面的责任及其在经营审计方面的责任之间的区别？A.合规性审核是确保组织遵守法律、规定和条例的手段，而经营审计则主要以发现经营问题并提高经营效率和成效为目的。B.合规性审核的目的在于确保实体的财务报表符合公认会计原则，而经营审计则是在部门级别执行的活动。C.合规性审核的目的在于确保员工遵守公司规定和准则，而经营审计则是为了解决管理层指示的特定财务问题。D.合规性审核是为了确保组织遵守规定和条例，而经营审计则是为了确保实体的财务报表符合公认会计原则而开展的。题解：内部审计类型的判断，选A内部审计主要有3种基本形式财务审计是指分析一个实体对其经济活动进行计量和报告的会计方法合规性审计是指对财务和运营控制以及交易进行检查，判断它们是否与现有的法律、准则、法规和程序相符合营运审计是指对组织内部的不同职能进行综合检查以评估经营活动的效率和经济性，以及这些职能实现经营目标的有效性5-7.对内部审计职能最贴切的描述是A.为需要可靠财务信息的第三方提供服务。B.重点关注财务报表中的历史信息。C.评估为确保达到实体目标而制定的控制措施。D.致力于发现与数额重大的虚报相关的欺诈题解：内部审计的判断，选C内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标内部审计不需要向企业之外的第三方提供信息内部审计关注的信息不仅仅局限于财务信息发现欺诈是内部审计的职能之一。5-8.以下哪些活动超出了内部审计的范围？A.评估某一经营部门在实现组织目标时的效用B.保管资产C.对法律法规遵守的控制进行评估D.确定已经建立起的目标的范围题解：内部审计范围的判断，选B内部审计的职能检查和评估内部控制政策和流程的有效性内部审计师不直接设计具体的内部控制活动5.3.系统控制与安全措施一.一般控制I.职责划分a.系统分析师独立于计算机操作，独立于文件的输入/输出b.程序员独立于计算机操作（最重要的职责划分），不能改变原始记录或文件c.系统操作员不能访问文件库或程序文档，独立于文件的输入/输出d.信息系统活动库管员独立于计算机操作，不能负责文件或程序的异地存储e.数据控制组负责数据的输入/输出、检查和修正，独立于计算机操作，不负责信息系统资产的保管II.系统开发生命周期a.系统申请b.可行性研究c.总体系统设计d.详细系统设计e.程序编码和测试f.转换g.实施h.维护III.数据安全a.逻辑访问控制授权访问分级访问b.密码控制的有效性密码至少要有4个字符，不能包含元音字母，但要包含数字密码永远都不要由易于推算的内容构成IV.物理安全a.物理访问磁卡门禁生物测定门禁系统V.环境危害a.位于隐蔽的区域b.充足的空调能力c.火灾和洪水防护火警系统烟雾检测装置d.供电柴油机或其他独立的长期发电设备短期的不间断电源VI.应急计划和灾后恢复a.由董事会批准作为计算机安全计划的一个重要组成部分，并在公司的最高层级中贯彻执行b.灾后恢复计划应被完整存档并由管理高层和计划委员会批准c.一个拥有充分灾难恢复能力的计划应包括3个主要部分：关键数据、程序、操作系统和文档的异地存储d.最重要的部分就是明确指定备份的站点热站立即恢复数据，充分运行冷站需要几天或一周恢复数据，无法充分运行暖站介于热站和冷站之间VII.存储和备份a.采用祖-父-子三级式进行存储和备份b.