Please enable JavaScript.
Coggle requires JavaScript to display documents.
CIAReview - Coggle Diagram
CIAReview
CIAⅠ
01_強制性指引
1.1適用的準則
1.強制性指引
2.強烈建議指引
3.圖形說明IIA準則的層級結構:IIA的IPPF國際專業實務架構
4.内部稽核單位之目的、職權及責任
5.遵循聯邦法律
6.1970年代的勒索影響和貪腐組織法案
7.外國貪腐行爲法案,1977
8.沙賓法案,2002
9.遵循控制架構
1.2専業人員的道德行為規範
1.道德行爲規範的理由
2.道德行爲規範的觀點
3.一套道德行爲規範典型的組成要素
1.3内部稽核道德-介紹和原則
1.介紹
2.適用範圍
3.核心原則
1.4内部稽核道德-誠正
1.行爲準則一誠正
1.5内部稽核道德-客觀
1.行為準則–客觀
1.6内部稽核道徳-保密
1.行爲準則–保密
1.7内部稽核道德-適任
1.行爲準則一適任
1.8内部稽核規程
1.內部稽核規程
2.詞彙中的重要定義
02_獨立性.客觀性與善盡注意
2.1内部稽核單位之獨立性
1.獨立性
2.經由向董事會報告達成獨立性
3.經由雙重報告促進獨立性
2.2内部稽核人員的客観性
1.客觀性
2.利害衝突
3.客觀性各方面
4.評估個人的客觀性
5.維持個人的客觀性
2.3獨立性與客觀性受損
1.具體情況
2.內部稽核人員被指派查核先前負責作業將損及客觀性
3.指派非稽核功能之業務給內部稽核人員將損及客觀性
2.4稽核人員的技能專精
1.定義
2.共享和最終的責任
3.稽核人員專精之組成要素
2.5内部稽核資源
1.內部資源
2.外部資源
2.6專業上應有之注意及持續專業發展
1.實務上之應有注意
2.持續專業發展
2.7品質保證與改善計畫
1.品質保證與改善計畫(QAIP)
2.8品質保證之報導
1.報導結果
2.遵循準則的重要性
3.報導未遵循之重要性
2.9内部與外部評核
1.内部評核
2.外部評核
03_控制.類型與技術
3.1控制槪觀
1.IIA詞彙中的定義:
2.控制過程
3.2控制之分類
1.主要的控制
2.次要的控制
3.應用控制
4.時間基礎的分類
5.財務及營運控制
6.人員基礎與系統基礎的控制
7.使用控制矩陣
3.3會計循環與相關控制
1.內部控制
2.職能分工
3.組織層級
4.會計循環
5.作者注釋:
3.4管理控制
1.控制技術
2.各種角色與責任
3.外加控制與自我控制
4.其他方面的控制定義
5.組織
6.政策
7.程序
8.人事
9.會計
10.預算
11.報告
04_控制架構與舞弊
4.1控制架構
1.可用的控制架構
2.COSO控制目標
3.COSO內部控制的組成要素
4.圖形化描述
5.CoCo模型
6.COBIT –IT治理和管理架構
7.COBIT5 -五項關鍵原則
8.eSAC(電子系統確認與控制)模型
9.柔性控制
4.2企業風險管理
1.COSO之ERM架構
2.COSO風險詞彙
3.ERM的組成要素
4.風險回應的五個策略
5.各方責任
6.圖形化描述
4.3風險管理流程
1.內部稽核在風險管理角色之重要性
2.機構風險管理各方面的責任
4.4舞弊-性質、預防與偵測
1IIA詞彙中之定義
2.舞弊之影響
3.舞弊的肇致因素
4.舞弊的案例
5.各部門責任
6.舞弊預防計畫的組成要素
7.偵測的責任
4.5舞弊-指標
1.低層員工舞弊與管理階層舞弊
2.舞弊指標術語
3.各項偵測程序
4.一些可能的舞弊指標
05_抽樣
5.1統計觀念
1.母體和樣本
2.母體分配
3.中心趨勢的測度
4.常態分配的標準差及信賴水準
4.信賴水準和信賴區間
5.試驗取樣和標準誤(差)
5.2母體抽樣
1.非統計(判斷性)抽樣
2.統計抽樣
3.非抽樣與抽樣風險
4.選擇抽樣方法
5.3 屬性抽樣(Attribute Sampling)
1.用途
2.決定樣本大小
3.關於屬性樣本的稽核效果與稽核效率
4.計算規劃的精(確)度
5.其他兩種屬性抽樣方式
5.4變數抽樣
1.用途
2.決定樣本大小
3.變數抽樣的主要方法
5.5選擇抽樣方法
5.6流程控制技術
1.用途
2.允收抽樣
3.統計控制圖
4.各種變異
5.標竿比較
6.成本效益分析
7.柏拉圖(Pareto Diagrams)
8.直方圖(Histograms)
9.魚骨圖(Fishbone Diagrams)
06_資料蒐集與資料分析
6.1初步調查
1.初步調查之理由
2.初步調查之組成要素
3.從專案客戶輸入
4.分析性程序
5.之前稽核報告和其他相關文件
6.流程映射
7.核檢表
8.文件及結果的溝通
6.2問卷調查
1.內部控制問卷
2.訪談前的問卷調查
3.順序及格式
6.3訪談
1.用途
2.不喜歡評估
3.訪談的四種類型
4.規劃訪談
5.各項安排
6.開啓訪談
7.進行訪談
8.訪談的記錄
9.訪談的評估
6.4其他資料蒐集技術
1.觀察
2.核檢表
3.內部調査
4.外部資料來源
6.5確認關鍵風險和控制
1.風險
2.初步風險評估
6.6電腦稽核工具和技術
1.槪觀
2.通用稽核軟體(Generalized Audit Software GAS)
3.測試資料(Test Data)
4.平行模擬(Parallel Simulation)
5.資料採掘及萃取技術(Data Mining and Extraction Techniques)
6.整合測試工具(Integrated Test Facility - ITF)
7.嵌入的稽核模組(Embedded Audit Module)
8.應用程式追綜和系統映射(Application Tracing and System Mapping)
9.電腦化工作底稿(Computerized Working Papers)
10.試算表分析(Spreadsheet Analysis)
6.7分析性複核技術
1.稽核之分析性程序
2.比率分析
3.比率的各種比較
4.其他分析性程序
6.8標竿評比
1.槪觀
6.9分析性程序-解釋結果
1.分析性程序解釋
2.根本原因分析
6.10導出結論
1.指引
2.範例
07_報導.工作底稿與證據
7.1資料報導
1.向稽核領組報告測試結果
2.擬定初步的控制結論
7.2工作底稿-槪觀
1.工作底稿之功能
7.3工作底稿-編製
1.工作底稿之最佳實務
2.其他内容
3-索引
4.摘要
5.永久檔案
6.電腦化工作底稿
7.4工作底稿-控制
1.工作底稿之控制
2.工作底稿的存取
7.5工作底稿-保存
1.工作底稿之保存
7.6流程圖與流程映射
1.流程圖之用途
2.流程圖符號
3.流程映射
4.水平流程圖
5.垂直流程圖
6.資料流動圖(Data Flow Diagrams)
7.7資訊的四項特質
1.四項特質
2.充分性
3.可靠性
4.攸關性
5.有用性
6.其他問題
7.8判斷合適之資訊
7.9資訊的性質
1.法律證據
2.稽核證據
7.10資訊來源
1.內部資訊
2.內部-外部資訊
3.外部--內部資訊
4.外部資訊
5.委外服務
7.11說服力程度
1.證據的説服力程度
CIAⅡ
01內部稽核在策略和營運的角色
1.1變革管理
1.摘述
2.人際關係的技能
3.變革的類別
文化的:態度/心態,EX.採納全面品管
產品的:產品的實質性、對客戶的適用
結構的:機構的系統or結構
4.抗拒
5.規劃變革的模型
解凍→變革→再結凍
1.2與利害關係人的關係
1.與利害關係人的關係
2.董事會和審計委員會
3.審計委員會的角色
4.與管理階層的關係
參與式稽核
1.3道德氛圍
1.定義
2.企業道德議題
3.可能導致不道德行爲的因素
4.評估道德行爲的標準
5.道德行爲規範
6.内部稽核單位的角色
治理過程4項責任
遵循法律/規章
符合公認規範/社會期望
提供利益予社會&特定利害關係人
充分&真實的報導確保可課責
最基本的角色:
道德氛圍
有效性的評估者
1.4最佳實務的教育
1.工作性質
它協助機構透過一個系統化及紀律化的方法,評估及改善風險管理、控制及治理過程的效果,以達成機構的目標。
2.合理確保
經濟的執行是相對風險暴露以使用最少資源(例如,成本)達成目標。
提供,在設計和實施階段如果使用最成本–效益衡量,以降低風險並限制對容忍度的預期差異
3.內部稽核專案的基本類型
核心策略功能是提供確認性服務和諮詢服務
1.5協調
1.協調內部稽核單位與其他稽核的工作
董事會責任:對外部稽核人員工作的監督,包括與內部稽核單位的協調
內部稽核主管責任:內部稽核與外部稽核工作之協調
瞭解外部稽核執行的工作
工作性質、程度及時點
對於風險及重大性之評估
技術、方法及用語
稽核程式及工作底稿
2.與法定的監督機構協調:
1.6其他議題
1.治理
作業準則 2110 治理
2.內部稽核單位在策略上的角色
提供獨立、客觀的評估
進行治理實務的自行評估
提供領導、評估績效衡量系統的適足性提出適當的建議、並評估企業目標的達成
3.運營流程的改善
評估整體規劃、組織、和指揮的管理過程以判斷目標達成的合理保證是否存在
提供合理保證管理階層的
1)有效的風險管理作業;
2)內部控制的效果及效率
3)有效的治理過程
4.內部稽核的績效衡量
建立績效衡量的標準
辨識利害關係人認爲可增加價値和改善機構營運的各項作業關鍵績效衡量
建立報告的方法(例如,形式、時間、和指標)及報告的頻率(利害關係人的需要而定)
自關鍵利害關係人獲得稽核效果的回饋和需要時作調整
5.績效衡量制度和企業目標
透過評估績效衡量制度的適足性和公司目標的達成
內部稽核人員可以用公司所建立之績效目標來衡量績效
1.7政策及程序
1.正式化的程度
作業準則2040_政策及程序
政策及程序之形式及内容取決於内部稽核單位之規模及架構,以及其工作之複雜度
1.8内部稽核在風險管理的角色
1.槪述
負責建置及運作風險管理架構:管理階層
提供管理階層和董事會風險管理有效性的確認:內稽
2.內部稽核單位的角色
提供董事會客觀性確認能增加機構的價値
營運風險已適當管理
風險管理和內部控制架構有效運作
不應承擔可能威脅其獨立性和客觀性的任何活動
3.內部稽核在ERM的核心角色
風險管理過程提供確認
各項風險業已正確評估提供確認
評估各項風險管理
評估關鍵風險的報導
複核關鍵風險的管理
4.内部稽核單位角色對保全法律的角色
辨識及評估各項風險
指導管理階層
協調
合併報導
維護及發展
提倡ERM
研擬風險管理策略經董事會核准
5.不應承擔的角色
設定風險胃納
強制實行風險管理
管理風險的確認
決定如何回應風險
代表管理階層執行風險回應
對風險管理的責任
6.在風險管理的角色
準則2120
實施準則2120.A1
實施準則 2121
7.對機構風險管理的責任
實務諮詢2120-1
董事會扮演督導之角色
1.9内部稽核的管理作業
1.槪述
確保履行其職責
管理階層監督内部稽核單位的例行作業
2.預算
內部稽核主管負責建立營運及財務預算
3.人力資源
內稽主管負責達效率最大化、有效地提供所需的基本能力、並善用財務預算
應合格並適任
4.報導
將內部稽核單位之目的、職權、責任及工作計畫執行情形,定期提出報告
1.10品質保證及改善計畫
1.品質保證與改善計畫(QAIP)
一般準則 1300
實務諮詢1300-1
—般準則1310_品質保證與改善計畫之要求
嚴密的評估
持續性監督及測試執行
定期驗證遵循強制性的IIA指引
績效矩陣之持續衡量及分析
內部稽核主管應至少每年一次向高階管理階層及董事會報告其品質計畫之努力與結果
2.內部評核
—般準則1311_内部評核
實務諮詢1311-1_內部評核
IIA品質評核手冊
3.外部評核
一般準則1312_外部評核
外部評核須每五年至少進行一次
實務諮詢1312-1_外部評核
獨立性
利害衝突提供(1)財務報表查核,(2)重大諮詢服務,或(3)協助内部稽核單位
服務於受評機構之其他單位或其相關機構之人員
三個機構之間(但不能兩個之間)的同業評鑑協議可以滿足獨立性
一位或多位獨立人士可提供個別的驗證
4.報導
5.遵循準則的重要性
6.報導未遵循的重要性
02建立以風險為基礎的內部稽核計畫
2.1風險為基礎的稽核計畫
1.確定内部稽核單位的優先順序
作業準則2010_規劃
實施準則2010.A1、A2、C1
2.特殊指引
(實務諮詢2010-1、2)
固有風險:敏感性資訊或資料發生重大誤述,與降低控制無關。
剩餘風險:現有控制或控制制度之下管理的風險
關鍵控制:原本無法接受的風險,降低至可以容忍的水準
企業風險管理最終目的是以合理確保達成機構的目標。
內稽計畫通常聚焦於
無法接受的現有風險
最依賴的控制制度
固有與剩餘風險差異大的領域
固有風險非常高的領域
3.AICPA稽核風險模型
稽核風險=固有×控制×偵測
稽核風險:財務報表重大性誤述,稽核表達不適當稽核意見的風險 or 稽核提供高階、董事會有關治理、風險管理、控制有瑕疵or不完整資訊
固有風險:懷疑聲明...誤述可能重大...在考量任何控制前
控制風險:機構內控及時基礎,誤述風險可能發生於聲明...可能重大...無法避免or偵測及改正
偵測風險:稽核執行程序降低稽核風險至可接受,存在無法偵測存在的誤述,可能很重大....
4.分等及驗證風險的優先順序
風險是某項足以影響目標達成之事件發生之可能性
2.2辨識內部稽核資源需求
1.管理內部稽核資源
(作業準則2030_資源管理)
資源規劃考量
稽核範疇
風險水準
內稽計劃
預期涵蓋事項&未預期業務預估
適當人員考量
專案複雜度
人員經驗水準
人員所需訓練
可用資源
2.内部稽核單位的外包
作業準則2070
2.3向高階管理階層及董事會報告
(作業準則 2060_向高階管理階層及董事會報告)
1.內部稽核主管報告的責任
內稽主管同意董事會報告頻率、性質,內稽規程、績效
重大暴險與控制問題
高階及董事會決定會重大問題的回應
高階決定承擔風險>機構可承受時,與高階討論
內稽主管與高層無法達成共識時,向董事會報告
2.溝通及核准
(作業準則2020_溝通及核准)
內稽主管每年呈送予高層及董事會
年度稽核計畫
工作排程
用人計畫
財務預算彙總
03確認性和遵循性專案
3.1確認性專案
1.財務、遵循、營運以及IT稽核
財務確認
對個體的經濟作業分析由會計方法衡量及報導
檢視過去來確定財務資訊是否適當記錄並有適足的支持。
評估是否財務報表對過去績效的聲明是公允、正確、和可靠
"遵循性確認"是複核財務和營運控制,評估遵循已建立的法律、準則、法規、政策、計畫、程序、合約、以及其他的要求。
i)是否遵守法律規章?
ii)目前是否遵循法律以及主管機關的要求?
iii)什麼是機構的公司營運行爲規範的準則?
iv)是否所有成員和管理階層團隊一致遵循內部政策和程序?
"營運確認":複核功能或過程,以評核營運的經濟及有效性以及這些功能達成其目標的效果。
聚焦於現在和過去
評估
營運的效果(確保做對的事)
效率(確保以對方法執行)
經濟(確保成本的有效性)
IT的確認是複核和測試IT以確保資訊的正確性。
3.2風險和控制自行評佶
1.風險和控制自行評估(CSA)
增加整體機構風險和控制的意識
2.CSA的要素
前置規劃、初步稽核
親自開會
使用結構化的議程以引導團隊檢查流程的風險和控制
參與者以匿名方式表達對問題的看法
報導及研擬行動計畫
3.內部稽核人員如何使用CSA
增強內部稽核單位傳統的角色,協助管理階層履行其建置和維持風險管理和控制流程及評估其系統的適足性。
可降低蒐集有關控制程序的資訊和省去一些測試精力的投入
4.關鍵特質
包括自行評估調査和引導工作討論會
5.結果
較易找出及評估非正式及“軟性”的控制
6.方法
引導式研討會
調查(問卷)
自我認證
7.引導的方法
目標–最佳方式達成企業目標–決定控制程序有效運作而剩餘風險在可接受範圍內。
風險–列出達成目標的各種風險–決定重大剩餘風險
控制–現在控制的成效–有效降低風險及促成目標達成
程序–一連串程序中選出的部分活動--目的是在評估、更新、驗證、改善甚至整合整個程序及執行活動
8.調查的方法
主要以簡單的“是/否”或“有/無”問題之問卷
9.自我認證的方法
10.瞭解風險和控制
3.3第三方稽核和合約稽核
1.外部的企業關係
EBR的重大性風險
未辨識外部企業關係
外部企業關係的行動負面影響機構之聲譽
未維持適切的保險範圍
服務水準或產品令人不滿
利害衝突產生
智慧財產權授予他人,可能會不當使用、偷竊或收入損失。
被收取過高的服務費用
變成無法履行的契約
機構機密資訊遺失
2.稽核EBRs
暸解該機構、其環境、其流程、和毎一項EBR的性質
評估風險和控制
執行稽核
報導
監督進度
3.第三方稽核
4.契約稽核
3.4品質稽核
1.品質稽核
2.傳統與現代品質的觀點
3.全面品質管理(TQM)
3.5審慎性稽核
1.審愼性稽核
內部稽核人員和其他人(外部稽核人員、稅務專家、財務專家、律師等)確定重大性交易(企業合併、合資企業、撤資等)的正當性以及正當性理由是否有效的服務。
協調參與的團隊
3.6安全和隱私權稽核
1.資訊安全稽核
實施準則 2130.A1
定期評估機構的資訊可靠性及完整性實務,並適當的建議改善或導入新的控制及保護措施
確認對於機構形成威脅的資訊可靠性及完整性的違規行爲及情況,是否會迅速告知高階管理階層、董事會及内部稽核單位。
建立整體機構電腦網路對許多外部個體的存取增加極大潛在的風險
2.安全稽核
評估控制設計的適切性及有效性並由管理階層實施全面安全。
3.隱私權稽核
各種隱私
a)個人隱私(實體和心理)。
b)空間的隱私(免於監控)。
c)溝通的隱私(免於監督)。
d)資訊的隱私(由他人蒐集、使用及揭露個人之資訊)。
評估適切性(a)管理階層的風險辨識和(b)降低這些風險的控制。
內部稽核人員可
i)協助發展和執行隱私權專案,
ii)評估管理階層的隱私權風險評估,或
iii)執行有關隱私權架構有效性的確認性服務。
實務諮詢2300-1,執行專案時使用個人資訊
3.7績效和營運稽核
1.績效稽核
評估機構衡量績效的能力、辨識缺失、及採取改正行動
旨在激勵管理者以"最佳化衡量的績效評價模型"
平衡計分卡
SWOT分析
不強調短期結果,但聚焦在未来成功的關鍵因素。
典型的平衡計分卡包括衡量
財務:最終結果提供給所有者
客戶:客戶所需和滿意度
內部:關鍵驅動營運的流程
學習、成長和創新:未来成功的基礎
2.營運稽核專案
評估機構營運的效果和效率
流程(功能)專案
聚焦於營運及機構單位如何有效果和效率受影響相互合作
計畫–結果專案
取得有關成本、產出、利益、和計畫的成效
衡量達成和相關進行的成功
3.8遵循稽核
1.遵循
遵循(實施準則2120.A1)
回應這些風險之控制的適切性和有效性(實施準則2130.A1)
2.計畫協助
機構免於員工非意圖的違規、偵測違法行爲、和勸阻員工意圖違規
驗證保險索賠
確定主管和管理階層的責任
建立或加強企業識別
決定適當的懲罰性損害賠償
3.機構的標準和程序
以能合理降低犯法行爲的機會
4.職責
5.篩選應徵者
避免授權給有從事違法活動者
目的是偵測過往錯誤行爲的證據
6.溝通
訓練計畫和公告是典型的方法
要求員工定期聲明,其已閱讀、瞭解、並遵循行爲規範
7.監督和報導
偵測違法或不道徳的行爲以及員工熱線
律師監督熱線是最好能保護該特權。
對熱線由內部代表回覆並有無報復政策可能有信心。
道德問卷
遵循標準應適當、公平、特殊案例懲處,一致性的推動。
員工懲處應完全書面化
04財務.環境和諮詢專案
4.1環境稽核
1.環境風險
1)機構報告體系。
2)可能造成環境損害、罰款、懲處。
3)政府機構規定的支出。
4)傷害和死亡的歷史紀錄。
5)客戶流失的歷史紀錄。
6)負面新聞事件和公衆形象和聲譽的損失。
2.環境稽核功能
當暴險未適切的管理並有殘餘風險存在時,須改變專案計畫&進一步調查
內部稽核主管和環境稽核執行長常
屬個別的功能單位並很少接觸
屬個別的功能單位但協調彼此的作業
3.研究發現
環境稽核報告常發送予非高於高階環境執行長,因利益衝突而未給予高階管理階層和董事會
4.內部稽核主管的角色
環境稽核功能向非內部稽核主管報告,內部稽核主管提供複核稽核計畫和專案績效
定期安排環境稽核功能品質確認的複核
EHS計畫聚焦
驗證遵循法律、規章、和機構本身的EHS政策、程序、和績效目標
管理系統
5.環境稽核
4.2財務專案
1.財務報表和公司治理
2.內部控制的報導
3.內部控制架構
4.內部控制有效性的報導
5.內部稽核人員的角色;
6.會計循環
7.舞弊風險
4.3 諮詢專案–概述
1.定義
2.應用於內部稽核人員的諮詢活動的原則
3.專案類別
4.政府內部稽核
5.獨立性和客觀性
6.專業應有之注意
7.工作範圍
8.溝通結果
9.文件
10.監督
4.4諮詢專案–特殊類型
1.本子單元涵蓋五個特殊諮詢服務,列於CIA 2013考試課程大綱。
2.內部控制訓練
3.營運流程圖
4.標竿評比
5.糸統發展複核
6.績效衡量系統的設計
05規劃與專案管理
5.1專案目標、範圍和標準
1.專案
界定專案預期達成之事項,所作之廣泛性陳述
初步調查→初步風險評估→設定專案目的
風險評估:界定原始目的、辨識其他值得關切領域
3.專案範圍
相關制度、紀録、人員及實體財產,包括由第三者所掌控者
4.標準
確認管理階層建立適當標準之情形
5.2專案規劃
1.專案規劃
考量
目的及控制績效方法
面臨的重大風險及將風險控制在可接受水準
風險管理.控制的妥當性、有效性
風險管理.控制重大改善的可能性
2.辨識關鍵風險和控制
客戶的固有風險
風險評估應包括風險影響(結果)及其可能性。
降低營運風險至可接受低水準的控制必須辨識
5.3詳細的風險評估
1.風險
足以影響目標達成之事件發生之可能性
2.風險評估
初步調查→初步風險評估
考量
管理階層的風險評估、可靠性
風險和控制的過程
超過風險胃納之報導、回應及相關活動的風險
確認對目的和範圍的影響(藉著複核活動背景資料)
調查一般執行
彙總結果編製
5.4專案程序和工作程式
1.專案程序
搜集資料3種程序
人員觀察
人員訪談
可用問卷輔助
協助設計控制測試以評估有效性
應蒐集客觀資料佐證
檢查紀錄
驗證是確定資訊有效性過程廣泛的術語
特定程序
負面函證
驗證的金額不重大
當控制功能被認定運作非常良好。
正面函證
驗證的金額重大
順查/逆查
再執行
分析性程序
資料間的合理關係,可合理預期存在並持續,在沒有與此相反的已知條件
(1)分析相同規模的財務報表、(2)比率分析、(3)趨勢分析、(4)未來導向的資訊、和(5)內部和外部標竿評比
掃描(scanning):專業判斷複核會計紀錄
2.選擇專案程序
3.專案工作程式
用以辨識、分析、評估及記録資訊之程式
擬制性(ProForma)工作程式:處理重複性專案
5.5人員舆資源
1.專案的資源水準
資源分配基於
a)成員之人數及經驗;
b)成員之知識、技能及其他能力;
c)訓練需求;以及
d)是否需要外部資源。
2.稽核人員的排程
5.6專案監督
1.專案層級的監督
2.關係
3.專案期間的協調
5.7工作底稿、終結會議和人員評核
1.工作底稿的目的
複核工作底稿是為了確保
(a)支持專案的溝通
(b)所有需要程式的執行
複核過程做成備忘錄,複核過程提出問題已解決後可
保存複核備忘録,作爲提出之問題,採取之步驟,以及結果的紀錄。
丟棄該複核備忘録。在所提問題已經解決及適當之工作底稿皆予修正補充所要求之資訊後
2.終結會議
主要的目的是確保內部稽核使用資訊的正確性。
次要目的:改善與專案客戶的關係
3.人員績效評核
毎年至少一次對每位內部稽核人員的績效作書面評核
06溝通結果和監督結果
6.1與客户溝通
1.專案溝通
(a)解釋內部稽核的觀察、結論、和建議
(b)試圖說服收到報告者價値和有效性
(c)宣導改變的好處
2.初步溝通
可先透過問卷取得資訊,並於初步會議時取得回答
3.期中溝通
6.2建議
1.研擬建議
建議是描述稽核人員相信受查者應採取的行動,以彌補專案過程的負面觀察
於辨識、分析、評估、和記錄專案資訊後
2.觀察和建議的四個特性
1)標準:用於評估及/或驗證的基準、尺度、或期望(正確的狀態)。
2)情況:內部稽核人員在查核過程所發現的事實證據(目前的狀態)
3)肇因:預期情況與實際情況產生差異的原因。
4)影響:因爲實際情況與標準不一致,而對於機構及/或其他單位造成的風險或暴險(該項差異的影響)。
3.評估營運的標準範例,包括:
4.有利的觀察應簡短。例如,“在每個案例,生產排程、水準、和品質在預算或超乎預算水準。”
5.不利的觀察需進一步解釋以判斷改變的建議。例如下列:
彙總
標準
情況(事實)
肇因
影響
建議
採取改善行動
6.實務諮詢2410-1,溝通的標準,提供建議溝通的指引:
6.3準備報告或其他溝通
1.最終專案的報告
應包括稽核之目的、範圍及結果
包括背景資料
結論和意見涵蓋(但不限於)
營運或專案目標與機構的一致
目標達成
查核的作業依既定的運作
可能需要包括客戶改善成果
2.內部稽核溝通的目的
1)告知–告訴發現了什麼
2)說服–說服管理階層稽核發現的有效性和價值
3)獲得結果–促使管理階層改變和改善
3.報告品質的定義
正確–無錯誤及扭曲,並忠於相關之事實
客觀–公平、無私及不偏,且爲公正及平衡地評估所有攸關事實及情況之結果
明確–易於瞭解且合乎邏輯,避免不必要之專業術語及提供所有重要及攸關資訊
簡潔–切題及避免不必要之闈述、過度瑣碎、冗辭及贅語
具建設性–幫助專案客戶及機構,並促成必要之改善
完整–未遺漏對溝通對象重要之資訊,且包含所有支持建議及結論之重大與攸關之資訊與觀察
及時–議題之重要性而言,係屬時機恰當及適時,便於管理階層採取適當之改正行動
4.有效溝通的其他特性
5.錯誤和遺漏
6.遵循一詞
7.未遵循
8.整體意見
6.4報告的核准和傳送
1.專案報告的核准和傳送
提出前,內部稽核人員與適當的管理階層討論各項結論與建議
使專案客戶有機會澄清和表示看法
可以發送摘要報告給機構內較高層級之人員
2.傳送結果
收受者包括下列人士:
1) 內部稽核單位報告體系的主管。
2) 可以處理者。
3) 負責作業或作業複核者。
4) 需採取行動者。
3.法律的考量
鼓勵與法律顧問和遵循長保持密切的關係
6.5取得管理階層的回應
1.對報告的回應
客戶閱讀初稿對結果可能有不同的看法
讓其參與專案的過程(參與或諮詢的方法)以確保避免誤解或錯誤解釋(終結會議)
與客戶複核初稿–偵測遺漏或錯誤
不影響實質議題的溝通,對議題應有彈性
6.6報告結果
1.發送報告給適當的對象
2.敏感資訊
稽核人員一旦相信新的資訊重大且可信,通常會將該資訊向高階管理階層及董事會溝通
財務報導舞弊或違法行爲立即向董事會報告
特權、専有、或與不正當或非法行爲有關的的資訊,應揭露在個別的報告並呈送給董事會
3.與外界溝通
6.7監督專案結果
1.監督結果
內稽主管制定措施監控結果的處置
a) 管理階層應對於稽核發現及建議提出回應之時間點
b) 必要時,評估和驗證管理階層之回應。
c)必要時追蹤。
d) 對於不滿意的回應/行動,包括風險之承擔,向高階管理階層之適當層級或董事會提出報告之程序
2.追蹤過程
追蹤的性質、時機及程度,考量
a) 報告發現或建議的重大性
b) 改正所需之努力程度及成本
c) 改正行動失敗可能的影響
d) 改正行動的複雜性
e) 所涉及的期間
3.接受超出的風險
07舞弊風險與控制
7.1舞弊-風險和類型
1.定義–自IIA詞彙
任何具有欺騙、隱瞞或背信特徵之不法行爲。這些行爲並不依賴脅迫或暴力。舞弊係由個人或機構行之,以獲取金錢、財産或勞務;規避付款或提供勞務;或獲得個人或商業上之利益。”
2.槪述
3.舞弊的特徵
4.舞弊的影響
5.舞弊類型
6.低層級舞弊與執行階層舞弊
7.舞弊的徵兆
8.—些舞弊可能的指標
9.舞弊過程的類型
10.偵測的責任
7.2舞弊-調查
1.舞弊調査
2.訪談員工
7.3舞弊–控制
1.控制的責任
2.控制
7.4舞弊–程序
1.專案程序
7.5舞弊-意識
1.舞弊預防系統
2.舞弊報導
3.舞弊事件之處置
4.舞弊事件之溝通
5.舞弊相關控制的意見
CIAⅡ內容綱要
內部稽核單位之管理(20%)
1.內部稽核運作
A.描述有關規劃、組織、指導和監督內部稽核運作的政策和程序--基礎
B.闡述內部稽核單位的行政作業(如預算、資源管理、招募、人員配置等)--基礎
2.制定以風險為基礎的內部稽核計劃
A.辨識潛在的專案來源( 稽核範圍、 稽核週期需求、管理
階層的要求、 主管機關之規定、 攸關市場和產業驅勢、
新興議題等)--基礎
B.辨識風險管理架構, 以評估風險,並根據風險評估的結
果排列稽核專案之優先順序--基礎
C.闡述確認性專案的類型(風險和控制評估、第三方稽核
和契約遵循、安全與隱私、績效和品質稽核、關鍵績效
指標、營運稽核、財務和法令遵循稽核)--專精
D.闡述設計用以提供建議和洞見之諮詢專案的類型( 訓
練、系統設計、系統開發、盡職審查、隱私、標竿、內
部控制評估、流程圖繪製)--專精
E.描述內部稽核與外部稽核、 主管機關以及其他內部確認
職能部門之間的協調,以及內部稽核與其他確認服務提
供者之間相互依賴的可能性--基礎
3.向高階管理階層及董事會溝通與報告
A.瞭解稽核長負責向高階管理階層和董事會報告年度稽核
計畫,並尋求獲得董事會的核准--基礎
B.辨識重大暴險、控制和治理問題,以便稽核長向董事會
報告--基礎
C.瞭解稽核長負責向高階管理階層和董事會報告組織內部
控制和風險管理流程的整體有效性--基礎
D.瞭解稽核長定期與高階管理階層和董事會溝通內部稽核
關鍵績效指標--基礎
專案之規劃(20%)
1.專案規劃
A.確定專案之目標、評估標準和專案範圍--專精
B.規劃專案, 以確保能夠辨識關鍵之風險和控制--專精
C.對每個稽核範圍完成詳細之風險評估,包括針對風險和
控制因素, 評估及排列其優先順序--專精
D.確定專案流程並編製專案工作程式--專精
E.確定專案所需的人員水準和資源--專精
專案之執行(40%)
1.資訊蒐集
A.蒐集並檢查相關資訊(檢查之前的稽核報告和資料、 進
行全程測試、訪談、觀察等),並將其作為對專案範圍
進行初步調查的一部份--專精
B.編製檢查清單以及風險和控制調查問卷,並將其作為對
專案範圍進行初步調查的一部份--專精
C.運用適當的抽樣(非統計抽樣、判斷抽樣、 顯現抽樣
等)和資料分析技巧--專精
2.分析與評估
A.運用電腦化稽核工具及技巧 (例如:資料探勘與擷取、
持續性監控、自動化工作底稿、 嵌入式稽核模組等)--專精
B.評估潛在證據來源的攸關性、充分性和可信度--專精
C.運用適當的分析方法和流程圖繪製技術( 流程辨識、工
作流分析、流程圖產生和分析、義大利麵條圖和 RACI 圖
等)--專精
D.確定和運用分析性複核技術(比率估計、差異分析、預
算與實際對比、趨勢分析、其他合理性測試、標竿評比
等)--基礎
E.編製工作底稿並將攸關資訊予以文件化, 以作為稽核結
論和專案結果之佐證--專精
F.彙總和編製專案結論,包括對風險和控制所進行的評估--專精
3.專案督導
A.辨識專案督導過程中的關鍵活動(協調工作分派、 複核
工作底稿、評估稽核人員的績效等)--基礎
溝通專案結果及進度之監控(20%)
1.溝通專案結果及承受風險
A.與專案客戶進行初步的溝通--專精
B.展現溝通品質( 正確、客觀、明確、簡潔、具建設性、
完整與及時) 及要素(溝通之目的、範圍、結論、建議
事項和行動計畫)--專精
C.準備有關專案進度的期中報告--專精
D.提出增加和保護組織價值的建議--專精
E.描述稽核專案溝通和報導之流程,包括召開出點會、撰
寫稽核報告(包括草擬、 複核、 核准及發送),並取得
管理階層的回應--基礎
F.描述稽核長有責任評估剩餘風險--基礎
G.描述溝通風險承受程度的流程( 當管理階層接受風險的
程度可能超過組織可承受風險的程度)--基礎
2.監控進度
A.評估專案成果,包括管理階層的行動計畫--專精
B.管理有關監督和追蹤將稽核專案結果向管理階層和董事
會溝通後之處置情況--專精