D 执行其他内部审计任务和职责（熟练掌握）

1、道德规范/合规情况

《萨－奥法案》对提供舞弊证据的上市公司雇员保护

对道德规范/合规投诉内审作什么？

1、制定书面政策和流程，并对投诉进行调查

2、监督管理层落实投诉解决办法有关决定，否则内审职业生涯受到损害

《萨－奥法案》规定：CEO CFO，报表被要求更正，其奖金和利润将被剥夺，即报告报出之前12个月内权益报酬（所持股票分红），或剥夺12个月内出售证券得到的利润（SEC：美国证券交易委员会）

上市公司的内审必须遵守《萨－奥法案》报告合规情况：

1、强化的利益冲突条款，规定管理人员不得以公司名义给个人贷款或借款

2、管理层和主要持股人参与公司交易，报告自己直接或间接持有10％股票

3、高级财务官员道德规范，要求披露道德准则，以及对其的修改

2、风险管理

内部审计作用：以咨询的方式帮助本组织识别、评价和实施风险管理方法和控制，从而解决风险，对风险评估一般具有较高的审计优先顺序，评估重点是管理过程的充分性和有效性。如果有部门提出要求，内审可以帮助机构进行风险管理的初步建立工作，咨询业务可作为保证业务的补充。必须明确内审可以促进、协助风险管理过程的建立，但不负担风险管理责任（在管理层没有识别风险时，审计可以协助识别，而不是帮助建立制度，制度建立是管理层的责任）

3、保密

对外发布信息：一般而言是董事会或审计委员会的责任，不是内部审计的责任，当非法律部门要求披露审计信息时，可将这一要求报董事会或审计委员会

4、信息或物理安全

薄弱环节：是指系统可能被不良目的所利用的某些方面，包括系统弱点、安全漏洞和实施缺陷，内审对其进行评价和检查纠正的落实

定期评价合规：向董事会或审计委员会定期报告，报告包括：物理安全的环境风险和未经授权的访问保安，遵守法律、法规有关隐私规定

防止获得口令的最有效办法：使用者使用卡片自动产生口令，密钥介入每次口令不同

E 治理、风险和控制知识要点

1、可选择的公司治理模型

治理：就是运用权力去指导、控制以及用法律来规范和协调人们利益的行为

公司治理：是指对公司的统治和支配，它决定运营的目标和方向，治理过程就是对管理层执行的风险和控制过程加以监督。研究投资人和公司各级管理层、外部利益互相作用和影响关系。治理程序的核心是：监督和控制，公司治理的实现是控制权。

公司治理程序：

1、公司权利机构（股东大会）、决策机构（董事会）、执行机构（高级管理层）三者之间的分立制衡关系

2、治理程序体现在与各个经营管理层的委托关系，通过内部控制制度构建，董事会是核心

治理模型：

1、英美国家的股东主权模型，融资结构以股本为主，股权分散，参与不多，收购容易并形成垄断

2、德日国家的共同治理模型，融资结构中银行占有很大比率，银行集股东和债权人于一身，公司负债率高，产生了股权与债权共同治理的模式，控制权集中，容易形成腐败和结派

2、可选择的控制框架

内部控制：是指管理层、审计委员会及其他各方面进行的、旨在加强风险管理、增大实现既定目标的可能性的行为。通过计划、组织、实施来保证目标实现，从三方面理解：

1、“内部”涉及组织的董事会和各个部门，通过内部指令完成，不是外部（政府、其他组织）

2、控制服务于组织的目标

3、控制不能必然保证目标实现，来自组织内部和外部的影响，就是风险，发现处理风险，把它降低到最低程度，就是风险管理

内控该内 容由中审网 校 所 属 ww w . au d itcn.com框架（COSO）和保证实现的组织目标

1、组织运行的效果与效率：效果：实现目标的程度，如利润多少，效率：资源的投入产出量

产出量：产量、利润、工作量或其他可以测得的成果

2、财务报告的可靠性和完整性：可靠：内容的真实，完整：全面、详尽反映资产负债和经营情况，财务报告不真实、不完整往往是组织重要风险之源

3、符合相关的法律和合同，违反法律和合同会给组织带来风险

4、资产的安全：不因不当行为而损失、不当经营而减少、不当使用而低效、不当处置而贬值，保值增值是股东的最根本的利益体现

参见评估风险框架

3、风险的词汇和概念

风险的种类：

1、行业风险：对所处的行业的总体趋势、当前状况和普遍存在的问题进行分析，从而确定本组织的发展方向、竞争优势和竞争策略

2、组织风险：分析包括组织结构的效率、组织结构与组织目标之间的适应性、组织结构与外部环境之间的适应性、组织文化、管理制度的合理性等因素进行综合分析

3、沟通风险：实际上是信息风险与关系风险的总称，信息风险：信息不准确、不及时、不完整造成的决策失误或缓慢的风险。关系风险：沟通不力，或不能很好地了解信息知识出现对信息的误解，并导致不适当的行动，进而造成客户丧失、机会损失或士气低落以及各种冲突

公司合并的风险含有文化差异的风险，这些风险是内审应当考虑

4、风险管理技术

风险管理技术：1、风险评估框架 2、风险防范系统

风险评估框架：1、风险评估：确定评估范围与方法，收集和分析相关数据，对结果进行说明

2、风险缓解：确定风险可能发生的范围、可能性、可能损失，采取的保护措施

3、不确定性分析：充分收集有关情报，借助一系列技术手段模型分析

风险战略目标最优化：股东价值最大化

5、不同组织结构中的风险/控制内容

1、部门设置：根据工作特征设置，部门多管理分工细，但管理效率低，成本高。部门少部门内部二次分工，增加层级数，信息传递容易失真，指挥效率低

2、管理层级：划分为高层、中层、基层，分管不同任务

3、管理跨度：管理者或管理层直接指挥的下属人员或部门的数量，它取决于管理者的能力和偏好和组织结构，跨度大，层级少，跨度小，层级多，授权下属决策，但不能转移对决策结果的最终职责

组织机构类型：（机构设置带来的风险，即缺点）

1、机械式：分工明确、弹性小，技能要求低，适应稳定环境，包括：职能型、分部型

2、有机式：弹性大、适应变化，参与决策，分工不明确，技能要求高，适应不确定环境

简单结构：集权小型企业

矩阵结构：产品部门化＋职能化，复杂而又独立项目＋专家组合，缺点：不统一指挥增加部门的模糊，混乱产生于不知向谁报告（报告产品经理、职能经理），会培养权力斗争的种子

网络结构：一个小中心，通过职能外包，进行运营，经济灵活，缺点：控制力、质量保证、信息保密有损害

3、有机附属结构：在有机结构不变的情况下，部分单位设置为机械组织，方法：成立任务小组结构、委员会结构

6、不同领导风格下的风险/控制内容

领导风格类型：1、任务驱动型：倾向于用命令指挥任务完成 2、关系驱动型：通过沟通协调调动积极性

领导方式类型：1、自由放任式：在工作比较复杂，有充分信任和技术保证前提下

2、体贴式：士气不振或分工明确、环境复杂目标难以完成下

3、民主式：发挥专业优势下，有一定信任程度，同时能统一意见下

4、结构式：按部就班领导成员完成任务

7、变革管理

流程再造：在现有的资源的基础上重新建立一个新的组织，不是纠正已经发生或正在发生的错误的事

造成的阻力：1、不确定性，造成担心工作的稳定，从而产生抵触

2、关心个人得失

3、认为变革不符合组织利益，造成失业、人员分裂、工作关系变化

解决手段：1、教育和沟通 2、鼓励参与 3、推动支持（积极行动肯定）4、谈判和协商 5、修改隐私部分信息（敏感问题分布进行，避免集中爆发） 6、公开和私下强制

8、冲突管理

冲突类型：功能正常的冲突，属于建设性的 功能失调冲突，属于破坏性的

产生冲突根源：沟通差异，沟通渠道有噪音，影响理解

结构差异，部门从各自利益出发形成的意见不一致

人格差异，独特的格产生的不信任，陌生，难合作

解决方法：回避：不属于主要冲突，可以不关注

迁就：顺从别人的目标，把别人目标看的比自己高

强制：牺牲别人

妥协：双方做出有价值的让步

合作：开诚布公讨论，关注对方意见，没有时间压力，问题十分重要不能妥协

激发建设性冲突：改变组织文化、运用沟通、引进外人、重新构建组织

9、管理控制技术

预算：计划大量化说明，把有关的经济活动计划用数字和表格的形式反映出来

全面预算：以利润为目标，以预算销售为基础，综合协调其他预算结果，对企业全部经济活动及其成果进行预算，包括：生产经营预算，财务状况和经营成果方面的预算，分类：业务预算、专门预算和财务预算

常用工具：增量预算、弹性预算、零基预算、滚动预算、KAIZEN（日本，预算期内累计不断改进）

10、控制类型

按时间分：事前，预防性控制

事中，典型的就是监督视察

事后，实际与标准比对，如分析投诉、客户回访、监督退回

按功能分：预防，审计客户信用、采用招标、职责分离、将任务分给胜任员工、使用密码

检查，核对账目、物资清点、对比检查

指导，政策、指南和手册，如要求从业资格、保证毛利率、出勤率

纠正，纠正程序、控制和例外报告

计算机，综合控制和应用控制