国际注册内部控制师通用知识与技能指南PDF电子书下载

第1章　资格认证项目概述 3

1.1 资格认证项目的背景、意义与特点 3

1.1.1 内部控制立法的背景 3

1.1.2 国际内部控制协会简介 4

1.1.3 资格认证项目的意义 5

1.1.4 国际注册内部控制师资格认证项目特点 5

1.2　成为国际注册内部控制师的益处 6

1.2.1 对本职业提供的价值 6

1.2.2　对个人提供的价值 7

1.2.3 对用人单位提供的价值 8

第2章 国际注册内部控制师的考试指南 9

2.1 国际注册内部控制师的申报条件与程序 9

2.1.1 申报条件 10

2.1.2 申报程序 11

2.2 国际注册内部控制师的考试要求 12

2.2.1 总体要求 12

2.2.2 考试须知 12

2.3　对国际注册内部控制师的期待 13

2.3.1 精通专业技术的职责 13

2.3.2 养成终生学习的习惯 14

2.3.3　遵守职业道德规范 14

2.3.4　接受继续教育 15

2.4　如何准备国际注册内部控制师（CICS）的考试 16

2.4.1 注重增强职业胜任能力 16

2.4.2 掌握通用知识与技能 16

第3章 技能分类之一——内部控制的原理、术语与概念 21

3.1 内部控制的定义 21

3.1.1 美国注册会计师协会的内部控制定义 22

3.1.2 COSO的内部控制定义 23

3.1.3　控制系统的含义是什么 24

3.1.4 内部控制不能做什么 25

3.2　计划—执行—检查—整改（PDCA）的循环 26

3.3　业务工作流程 29

3.4　控制词汇表 31

3.5　控制的三个层级 31

3.6　内部会计控制 33

3.7 内部控制的层级制度 35

3.8　控制负有的责任 36

3.8.1 内部控制的责任 36

3.8.2 COSO定义的内部控制角色与职责 38

3.8.3 区分不同的控制责任 41

3.8.4 恢复内部控制中失去的信任 42

3.8.5 内部控制概念如何才能改进评估 45

第4章　技能分类之二——内部控制环境 46

4.1 环境控制的职责与概念 46

4.1.1 执行管理层建立控制环境的责任 46

4.1.2　控制的层级制度 46

4.1.3 环境控制（公司治理）如何发挥作用 48

4.1.4 控制环境与公司风险 49

4.1.5 有效控制环境的10个最高属性 50

4.1.6　行为守则政策 51

4.1.7　企业的价值观 55

4.1.8 首席执行官成为楷模 55

4.1.9 组织结构（职责分离） 56

4.1.10　人员的胜任能力 56

4.1.11 责任和权力的特别委派与沟通 57

4.1.12　一般授权（预算和财务报告）与责任制 57

4.1.13 内部审计 59

4.1.14 资产保护 59

4.1.15　规定的工作流程 60

4.2　建立控制环境 62

4.2.1 管理层的“高层基调” 62

4.2.2　作为环境控制的组织结构 63

4.2.3 作为环境控制的计划 63

4.2.4 作为环境控制的指导 64

4.3　监督控制的职责 65

4.4　控制环境的属性 66

4.4.1 控制环境中的授权 66

4.4.2　控制环境中的沟通 67

4.4.3　控制环境中职责分离 67

4.4.4 有能力和可信赖 69

4.4.5　记录保存程序 69

4.4.6　建立物理访问控制 69

4.4.7 制衡原则 70

4.4.8　监控合规性 70

4.5　计算机安全控制环境 71

4.5.1　计算机安全风险 72

4.5.2 规定关键的成功因素 72

4.6　组织的计算机安全政策 77

4.7　计算机安全的作用和职责 78

4.7.1 首席安全官 80

4.7.2　计算机安全规划委员会 80

4.7.3 安全员 81

4.7.4　安全责任人 82

4.7.5　安全质量保证 82

4.7.6　计算机安全项目的持续行动 82

4.8　发起行动激发个人对安全的热情 83

4.8.1 向下分解安全任务 84

4.8.2　安全的个人所有权 85

4.8.3　亲自反馈安全任务的效果 86

4.8.4 计算机安全活动的奖励制度 86

第5章　技能分类之三——风险管理 88

5.1　风险管理领域 88

5.1.1 风险的概念和词汇 89

5.1.2　什么是风险 89

5.1.3　风险的词汇 90

5.1.4　风险与控制 91

5.1.5 计算由于风险造成的损失 92

5.1.6 经营环境中的风险 93

5.1.7　风险与控制的三个层次 94

5.1.8 风险的概念和COSO控制框架 96

5.2　COSO对业务系统的控制活动 97

5.3　系统设计师如何面对业务应用系统的风险 98

5.4　风险的原因和结果 99

5.4.1 技术的不适当使用 100

5.4.2　错误的连锁效应 101

5.4.3 不合常规的处理 102

5.4.4 无法将需要转化成技术需求 103

5.4.5　无法控制技术 105

5.4.6　错误的重复 106

5.4.7　数据的不正确录入 107

5.4.8 数据的不正确使用和解释 108

5.4.9　数据的集中 109

5.4.10　无法快速反应 110

5.4.11 无法证实处理 111

5.4.12 职责的集中 113

5.5 与业务系统有关的集中风险暴露 114

5.5.1 按类型的风险暴露分类 114

5.5.2　按功能领域分类 115

5.5.3 按交易处理风险分类 116

5.6　管理风险的流程 117

5.6.1 风险管理的六个组成部分 118

5.6.2 选用风险与控制模型 118

5.6.3　建立内部控制 119

5.6.4　控制设计方法 119

5.7 环境控制的目标 120

5.7.1 能干又可信赖的员工 122

5.7.2 适当的职责分离 122

5.7.3　适当的授权程序 122

5.7.4　适当的会计程序 122

5.7.5 适当的资产保护程序 122

5.7.6 流程的适当文档记录 123

5.7.7　遵从法规的适当程序 123

5.7.8 有效果、经济的和高效率的运营 123

5.7.9 目标的实现 123

5.7.10 持续经营（盈利能力） 123

5.7.11 业绩的独立核查 123

5.8　系统（应用）和交易处理控制目标 124

5.9　规定业务系统的周期 127

5.10　控制措施如何才能使风险最小化 128

5.11 制订风险管理计划 130

第6章　技能分类之四——评估应用控制 133

6.1　应用评估方案的概念 133

6.1.1 评估方案的重要性 133

6.1.2 某一特定评估的PDCA循环涉及的四个步骤 134

6.1.3　评估方案的改进周期 134

6.1.4　评估方案框架的必要性 135

6.2　审计标准 135

6.3　COSO企业风险管理框架 137

6.4　COSO内部控制框架 138

6.5　法律法规——包括《萨·奥法案》 139

6.6　将适用的标准、框架和法规纳入应用评估方案 140

6.7　评估应用控制的评估方案框架 140

6.7.1 评价企业风险管理方案 141

6.7.2　评估环境控制 142

6.8　评估和测试应用控制 142

6.8.1 评估与被评价活动相关的信息与沟通 143

6.8.2　评估与被评价活动相关的监控 144

6.8.3 评价相关活动的交接 144

6.8.4　ICI应用程序的要素 145

6.9　五个业务循环的概述 164

第7章 技能分类之五——业务系统的控制评估 167

7.1　业务系统控制词汇 168

7.2　系统控制目标 169

7.3　交易处理控制目标 170

7.4　单独应用与应用周期比较 172

7.5　标准、合规性与强制实施的关系 175

7.6　系统和交易处理控制的类型 176

7.6.1 流程、可交付产品和控制连续区域 178

7.6.2 了解内部控制的“系统” 180

7.7　定义系统控制的目标 182

7.8　控制活动的交易处理部分 196

7.8.1 初始交易 197

7.8.2　信息技术交易的入口 203

7.8.3　数据通信的控制措施 209

7.8.4　计算机处理 212

7.8.5　数据存储与检索 216

7.8.6 输出处理 219

7.8.7 编写交易处理的控制目标 224

7.9　确认在业务系统中控制措施应处的位置 224

7.9.1 识别潜在控制缺陷的风险暴露点模型 225

7.9.2 四个步骤的流程 225

7.10　选择单独的交易处理控制 232

7.10.1 交易处理阶段 233

7.10.2　控制强度 233

7.10.3　控制类型 235

7.10.4 一般控制的种类 236

7.10.5　成本效益考虑 237

7.10.6　敏感性考虑 238

7.10.7　重要性考虑 239

7.11 控制选择流程 240

7.12　应用控制文档记录模型 243

7.13　计算控制措施的成本效益 250

7.13.1 成本效益考虑事项 250

7.13.2　确认针对成本效益计算的控制措施 252

7.13.3　控制确认方法 252

7.13.4　成本效益计算方式 253

7.13.5　成本效益决定 258

第8章　技能分类之六——风险评估 260

8.1　管理层的作用 260

8.2　意外损失与故意损失的比较 261

8.3　风险分析流程 262

8.4　识别风险、薄弱点与威胁 265

8.4.1 识别风险的调查 266

8.4.2 风险分析小组用于识别风险的方法 268

8.4.3 人员风险（职责冲突分离矩阵） 275

8.5　衡量风险大小的等级 277

8.5.1 衡量风险大小及可能性的方法 278

8.5.2　风险评分（使用外部应用特征） 278

8.5.3 风险评分（使用内部应用特征） 289

8.5.4　量化风险的步骤 294

第9章 技能分类之七——内部控制衡量与报告 304

9.1 《萨·奥法案》对组织环境控制的影响 304

9.1.1 法案条文所表达的法案意向 305

9.1.2 《萨·奥法案》的意向目标 306

9.2 内部审计在评估环境控制和《萨·奥法案》意向目标方面的作用 308

9.3 《萨·奥法案》在改进公众对公司会计与报告实务信任方面的意向目标 309

9.4　评估环境控制的效果 310

9.4.1　评估关注事项 310

9.4.2　评估指南 310

9.4.3　评估核查清单 311

9.4.4　评估促使公司执行层对其行为更负责任意向目标的合规性 313

9.4.5 评估强化内部控制系统和披露缺陷意向目标的合规性 316

9.4.6 强化内部控制系统的评估核查清单 319

9.4.7 评估鼓励与支持自行检举者意向目标的合规性 321

9.4.8 评估确保保留所需证据意向目标的合规性 325

9.4.9 评估对董事会及其审计委员会日益增强监管职责意向的合规性 329

9.4.10　评估增强独立审计师独立性意向目标的合规性 332

9.5　汇总《萨·奥法案》的意向合规性评估结果 336

第10章　技能分类之八——公司治理实务 338

10.1　公司治理的定义 338

10.2　从良好公司治理获得的价值 339

10.3　三种广泛被接受的公司治理模型 340

10.3.1 马科姆·波多里奇国家质量奖管理模型 340

10.3.2 COSO内部控制框架 341

10.3.3 企业风险管理框架 342

10.3.4 国际内部控制协会（ICI）公司治理模型 343

10.4　公司治理政策、原则和目标 345

10.5　COSO对董事会和高级管理层的控制目标 347

10.5.1 COSO对董事会的控制目标 347

10.5.2 公司高级管理层的治理方式 348

10.5.3 COSO正直性与道德价值观的控制目标 349

10.5.4 COSO管理理念和经营风格的控制目标 350

10.6　公司的核心价值观应当以哪种公司治理为依据 352

10.6.1 核心价值观 352

10.6.2　波多里奇七个类型的核心价值观 358

10.7　执行管理层领导力所需的有效公司治理 359

10.7.1 高级领导人的组织治理领导力 359

10.7.2 高级领导人的法律道德行为 359

10.8　公司治理的沟通目标 360

10.9　使用最佳实务实施治理方法 362

10.9.1 公司的行为守则 363

10.9.2 公司治理政策与程序（最佳实务） 366

10.10　监控公司治理政策和程序的遵从性 375

10.10.1 监控的两种类别 375

10.10.2　监控所需的四种类型 375

10.11 治理分析与强制实施 379

10.11.1 治理分析 380

10.11.2 治理的强制实施 381

10.12　对与治理标准和指南不一致的地方采取行动 383

10.13　改进公司治理流程 384

附录1　词汇表 385

附录2 参考书目资料来源 397