CIA冲刺笔记.docVIP

总　论 ?　　 一、 职业道德操守　　 二、风险定义　　　　 内部控制是企业公司治理内容的重要组成部分。 内部控制不是现在才有的，它的发展有其自身的脉络。 内部控制理论随着社会、经济和技术等环境的变化大致可分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架等几个不同阶段。COSO的两个著名文件·《内部控制——整合框架》·《企业风险管理》　　内部控制与风险管理的关系 描述类型 COSO《内部控制整合框架》 COSO《企业风险管理整合框架》 目标 经营目标财务报告目标合规目标 战略目标（新增，掌控全局）经营目标报告目标（范围更广）合规目标 风险观 没有提出风险组合观只有风险评估 从企业总体层面，提出风险组合观 环境 管理层及员工的内部控制观念 管理层及员工的风险观念，并提出风险偏好、风险可接受程度的概念 要素 控制环境 内部环境（更广义）目标设定（新增）事项识别（新增） 风险评估 风险评估风险应对（新增） 控制活动 控制活动 信息与沟通 信息与活动 监控 监控 三、内部审计师在良好公司治理机制下的相对独立性四、具体审计业务知识强调（一）内部审计业务类型　　　　鉴证业务是指内部审计师对证据进行客观的评价，针对程序、系统或其他常规事项，提出独立的意见或结论。鉴证业务的性质和范围由内部审计师决定，通常涉及三方： 直接参与程序、系统或其他常规事项的个人或群体，即程序的执行者； 作出评价的个人或群体，即内部审计师； 利用评价结果的个人或群体，即用户；　　咨询业务是内部审计业务的重要组成部分，是为审计业务客户提供服务的咨询或相关活动，其性质和工作范围取决于审计业务客户。咨询业务努力为组织增加价值，改善组织管理、风险评估和控制过程。在实施咨询业务，内部审计师不应该承担管理责任。 　 鉴证业务 咨询业务 服务对象 管理层 无 负责对象 董事会 管理层 涉及方 3 2 业务性质 评价 参谋 （二） 审计方向　　（三）舞弊的应对与舞弊相关的基本原则和结论：　　▲ 不是每次都必须调查舞弊，有迹象、有证据再说！　　▲ 内审人员没有主动询问的责任和义务　　▲ 仅仅发现迹象，没有做实，要先请示和调查，暂不对此向相关领导层进行报告　　▲ 进一步调查，做实后，再根据“涉案人员”层次决定向哪一层领导汇报　　▲ 内审人员在识别舞弊方面承担合理、适度的责任（四）内审报告　　凡是发现错的、不对的，无论当事人如何表态、行动，均应报告!这是《道德》、《标准》的要求。（五）控制自我评估　　相信群众、依靠群众、发动群众自我揭发、自我教育、自我完善（六）分析性复核　　　　▲ 和他人比　▲ 和自己比　▲ 和平均水平比主要以比率的形式。使用分析性复核必须要有或者说存在一定的关系可供预测。使用分析性复核的数据可获得且精准。 （七）IT环境下的审计▲ Around the computer（在计算机外围）（输入和输出）▲ Through the computer（假以计算机）（输入和处理） 　　四个字：“两点一线” 　　主要知识点：1. 数据库的类型和逻辑关系　　2. 计算机审计工具和技术　　▲ 嵌入式审计模块　▲ 数据提取技术　▲ 通用审计软件　▲ 电子表格分析　▲ 自动化工作底稿　　▲ 整体测试法（线上）　▲ 测试数据（线下）　▲ 平行测试（模拟）法（两套方法，相互佐证）（八）基于风险的审计　　“少花钱、多办事、没后患”　　“把钱花在刀刃上！”　仍没有改变唯利是图、利润最大化的本质！（九）内部审计的主要流程　　　　 【答题思路、技巧和方法论讲解】　　一、基本知识还原　　所谓基本知识还原，就是看了、学了、记了、掌握了，原则上讲无需技巧和思路直接选出正确答案。二、排除法　　　　三、专项题型讲解——单选形式考查的多项选择题 四、专项题型讲解——排序问题　　? PART I内部审计在治理、风险和控制中的作用 　　　　　　具体内审实施　　? PART II实施内部审计业务 　　 　　PART III经营分析与信息技术 ?　　　　　　【重点知识强调】　　1.物理安全和逻辑安全　　①物理安全：看得见，摸得着（机房重地，闲人免进）②逻辑安全：看不见，摸不着（非法访问，黑客入侵）　　2.验证权限　　验证为权限的设置提供了基础和前提条件。 　　3.一般控制和应用控制　　一般控制是应用控制的基础。一般控制的风险水平决定了应用控制的风险水平。 4. 常见审计技术　　①ITF: 在线上，和真实业务数据混在一起，比较方便、经济，但容易造成数据库数据不清洁。　　②数据测试：将被审计单位的系统进行copy，在线下进行测试，虽不会对实际业务数据库造成影响，但成本较高，