第一部分 国际注册内部控制师资格认证介绍 3
第1章 国际注册内部控制师资格认证概述 3
1.1 资格认证项目的背景与介绍 3
1.1.1 内部控制立法的背景 3
1.1.2 国际内部控制协会 4
1.1.3 组织实施内部控制的重要性 5
1.1.4 资格认证须知 6
1.2 成为国际注册内部控制师的好处 7
1.2.1 对内部控制职业发展提供的价值 7
1.2.2 对专业人士提供的价值 8
1.2.3 对用人单位提供的价值 8
1.2.4 对同事提供的价值 9
第2章 国际注册内部控制师资格考试指南 10
2.1 国际注册内部控制师资格考试申报条件与程序 10
2.1.1 申报条件 10
2.1.2 申报程序 11
2.2 国际注册内部控制师资格考试要求 12
2.2.1 总体要求 12
2.2.2 考试须知 13
2.3 对国际注册内部控制师的期待 14
2.3.1 精通专业技术的职责 14
2.3.2 养成终生学习的习惯 14
2.3.3 遵守职业道德规范 14
2.3.4 接受继续教育 15
2.4 如何准备国际注册内部控制师(CICS)资格考试 16
2.4.1 注重增强职业胜任能力 16
2.4.2 掌握内部控制管理技能 17
第二部分 国际注册内部控制师内部控制管理技能 21
第3章 技能一:掌握内部控制原理 21
3.1 内部控制的定义 21
3.1.1 美国注册会计师协会的内部控制定义 21
3.1.2 COSO内部控制定义 22
3.1.3 控制系统的含义 23
3.1.4 内部控制的局限性 24
3.2 计划一执行一检查一整改(PDCA)循环 25
3.2.1 PDCA循环的概念 25
3.2.2 两个PDCA循环 26
3.3 业务工作流程 27
3.4 控制的基本词汇 29
3.5 控制的三个层级 30
3.6 内部会计控制 32
3.7 内部控制的层级制度 33
3.8 控制的问责机制 34
3.8.1 内部控制的责任 34
3.8.2 COSO定义的内部控制角色与职责 36
3.8.3 区分不同的控制责任 39
3.8.4 恢复内部控制方面失去的信任 40
3.8.5 改进内部控制评估 43
第4章 技能二:加强控制环境建设 44
4.1 控制环境的职责与概念 44
4.1.1 执行管理层建立控制环境的责任 44
4.1.2 控制的层级制度 44
4.1.3 控制环境(公司治理)如何行使职责 46
4.1.4 控制环境与公司风险 47
4.1.5 有效控制环境的十大属性 48
4.1.6 行为准则政策 49
4.1.7 企业的价值观 52
4.1.8 首席执行官的表率作用 53
4.1.9 组织结构(职责分离) 53
4.1.10 员工的胜任能力 54
4.1.11 特别授权与责任权限的沟通 55
4.1.12 一般授权(预算和财务报告)与问责机制 55
4.1.13 内部审计 57
4.1.14 资产保护 57
4.1.15 定义工作流程 58
4.2 建立控制环境 59
4.2.1 管理层设定“高层基调” 59
4.2.2 控制环境要素——组织结构 60
4.2.3 控制环境要素——计划 61
4.2.4 控制环境要素——指导 62
4.3 监督控制的责任 62
4.4 控制环境的属性 63
4.4.1 控制环境中的授权 63
4.4.2 控制环境中的沟通 64
4.4.3 控制环境中的职责分离 64
4.4.4 胜任能力与可信度 66
4.4.5 记录保留程序 66
4.4.6 建立物理访问控制 66
4.4.7 制衡机制 67
4.4.8 监测合规性 67
4.5 计算机安全控制环境 68
4.5.1 计算机安全风险 68
4.5.2 定义关键的成功因素 69
4.6 组织的计算机安全政策 73
4.7 计算机安全的角色和职责 74
4.7.1 首席安全官 75
4.7.2 计算机安全规划委员会 76
4.7.3 安全员 77
4.7.4 安全保证人 77
4.7.5 安全质量保证 77
4.7.6 计算机安全计划的持续行动 78
4.7.7 激发员工的安全热情 78
4.8 下达安全任务 79
4.8.1 下达安全任务的方法 79
4.8.2 安全的个人所有权 80
4.8.3 个人对安全任务效果的反馈 81
4.8.4 计算机安全活动的奖励制度 81
第5章 技能三:做好风险管理 83
5.1 风险管理领域 83
5.1.1 风险的概念和词汇 83
5.1.2 什么是风险 84
5.1.3 风险词汇 85
5.1.4 风险与控制 85
5.1.5 计算由于风险造成的损失 86
5.1.6 商业环境中的风险 87
5.1.7 风险与控制的三个层级 88
5.1.8 COSO内部控制框架要求的风险评估 90
5.2 COSO对业务系统的控制活动 91
5.3 系统设计师如何解决业务应用系统中的风险 92
5.4 风险的原因和结果 93
5.4.1 技术使用不当 94
5.4.2 级联错误 95
5.4.3 不合逻辑的处理 96
5.4.4 无法将用户需求转化成技术需求 97
5.4.5 无法控制技术 98
5.4.6 重复错误 99
5.4.7 数据输入错误 100
5.4.8 数据的不正确使用和解释 101
5.4.9 数据集中 102
5.4.10 无法快速反应 103
5.4.11 无法证实处理情况 104
5.4.12 职责集中 105
5.5 与业务系统有关的一般风险暴露 106
5.5.1 不同类型的风险分类 107
5.5.2 职能领域的风险分类 107
5.5.3 交易处理的风险分类 108
5.6 风险管理过程 109
5.6.1 风险管理的6个组成部分 109
5.6.2 采用风险与控制模型 109
5.6.3 建立内部控制 111
5.6.4 控制设计方法 111
5.7 控制环境的目标 112
5.7.1 能干又诚信的员工 113
5.7.2 不相容职责分离 113
5.7.3 适当的授权程序 113
5.7.4 适当的会计程序 114
5.7.5 适当的资产保护程序 114
5.7.6 适当的文档记录程序 114
5.7.7 遵守法规的适当程序 114
5.7.8 有效果、经济和高效率的运营 114
5.7.9 实现既定目标 114
5.7.10 持续经营(盈利能力) 115
5.7.11 独立检查业绩 115
5.8 系统控制和交易处理控制的目标 115
5.9 定义业务系统循环 117
5.10 控制措施如何最大限度地降低风险 119
5.11 制定风险管理计划 120
第6章 技能四:开展应用控制评估 123
6.1 应用评估方案的概念 123
6.1.1 评估方案的重要性 123
6.1.2 特定评估涉及的PDCA循环 124
6.1.3 评估方案的改进周期 124
6.1.4 评估方案框架的必要性 124
6.2 审计标准 125
6.2.1 国际内部审计师协会(IIA)专业标准 126
6.2.2 美国银行管理协会的标准 126
6.3 COSO企业风险管理框架 126
6.4 COSO内部控制框架 128
6.4.1 COSO内部控制新框架的主要变化简介 130
6.4.2 COSO内部控制17项原则及其关注点 132
6.5 《萨班斯-奥克斯利法案》及相关法律法规 144
6.6 将适用的法规、标准和框架纳入应用评估方案 145
6.7 应用控制评估方案框架 145
6.7.1 评估企业风险管理计划 146
6.7.2 评估控制环境 147
6.7.3 评估和测试应用控制 147
6.7.4 评估与信息沟通相关的活动 148
6.7.5 评估与监控相关的活动 148
6.7.6 评估业务循环内相关活动的接合 148
6.8 ICI应用控制评估的组成部分 149
6.8.1 企业风险管理的组成部分与评估计划核对清单 150
6.8.2 评估本组织控制环境的可依赖性 153
6.8.3 评估控制活动的组成部分 155
6.8.4 评估信息与沟通的组成部分 159
6.8.5 评估监控的组成部分 162
6.8.6 评估相关业务活动接合的适当性 164
6.9 五大业务循环概述 166
第7章 技能五:实施业务系统控制评估 169
7.1 业务系统控制词汇 169
7.2 系统控制目标 171
7.3 交易处理控制目标 171
7.4 单独应用与应用循环 173
7.5 标准与合规性与强制实施 176
7.6 系统控制和交易处理控制的类型 177
7.6.1 流程、可交付产品和控制连续区域 179
7.6.2 了解内部控制的“系统” 180
7.7 定义系统控制的目标 182
7.8 控制活动的交易处理部分 195
7.8.1 交易起始 196
7.8.2 信息技术交易录入 201
7.8.3 数据通信控制 206
7.8.4 计算机处理 209
7.8.5 数据存储与检索 211
7.8.6 输出处理控制 214
7.8.7 编写交易处理的控制目标 218
7.9 确定业务系统关键控制点的位置 218
7.9.1 识别潜在控制缺陷的风险暴露点矩阵 219
7.9.2 风险暴露点矩阵的流程 219
7.10 选择单个交易处理控制 225
7.10.1 交易处理阶段 226
7.10.2 控制强度 227
7.10.3 控制类型 228
7.10.4 通用控制的类别 228
7.10.5 成本效益考虑 229
7.10.6 敏感性考虑 231
7.10.7 重要性考虑 231
7.11 控制选择流程 232
7.12 应用控制文档矩阵 235
7.13 计算控制措施的成本效益 240
7.13.1 成本效益考虑事项 241
7.13.2 确定用于成本效益计算的控制措施 242
7.13.3 控制确认方法 243
7.13.4 成本效益计算方式 243
7.13.5 效益计算表 247
7.13.6 成本效益决定 248
第8章 技能六:执行风险评估 250
8.1 管理层的作用 250
8.2 意外损失与故意造成的损失 250
8.3 风险分析流程 252
8.4 识别风险、漏洞与威胁 254
8.4.1 调查以识别风险 254
8.4.2 风险分析小组用于识别风险的方法 256
8.4.3 人员风险(职责分离冲突矩阵) 262
8.5 测量风险大小程度 264
8.5.1 测量风险大小和发生概率的方法 264
8.5.2 风险评分(使用外部应用特性) 265
8.5.3 风险评分(使用内部应用特性) 273
8.5.4 量化风险的步骤 276
第9章 技能七:测评与报告内部控制合规性 286
9.1 《萨班斯-奥克斯利法案》对组织控制环境的影响 286
9.1.1 法案条文阐述的法案意图 287
9.1.2 《萨班斯-奥克斯利法案》的意向目标 288
9.2 内部审计在评估《萨班斯-奥克斯利法案》控制环境和意向目标方面的作用 289
9.3 《萨班斯-奥克斯利法案》的意向目标——改进公众对公司会计与报告做法的信任 290
9.4 评估控制环境的有效性 291
9.4.1 评估关注事项 291
9.4.2 评估指南 292
9.4.3 遵守《萨班斯-奥克斯利法案》评估核对清单 292
9.4.4 评估遵守“促使企业高管对其行为更加负责”的意向目标 293
9.4.5 评估遵守“加强内部控制系统和披露内控缺陷”的意向目标 297
9.4.6 评估遵守“鼓励与支持举报人”的意向目标 302
9.4.7 评估遵守“确保保留所需证据”的意向目标 305
9.4.8 评估遵守“增强董事会及其审计委员会监督职责”的意向目标 308
9.4.9 评估遵守“增强独立审计师独立性”的意向目标 312
9.5 汇总《萨班斯-奥克斯利法案》合规性评估结果 315
9.6 《多德-弗兰克法案》概述 316
9.7 监管信用卡、贷款和抵押借款 317
9.8 监督华尔街 317
9.9 强制执行《沃尔克规则》 317
9.10 监管风险最大的衍生工具 318
9.11 监测对冲基金交易 318
9.12 监督信用评级机构 318
9.13 加强对保险公司的监管 319
9.14 改革美国联邦储备局 319
第10章 技能八:完善公司治理 320
10.1 公司治理的定义 320
10.2 良好公司治理的价值 321
10.3 三种广泛接受的公司治理模型 321
10.3.1 “马科姆·波多里奇”国家质量模型 322
10.3.2 COSO内部控制框架 323
10.3.3 COSO企业风险管理框架 324
10.3.4 国际内部控制协会(ICI)公司治理模型 325
10.4 公司治理政策、原则和目标 326
10.5 COSO对董事会和高级管理层的控制原则和关注点 328
10.5.1 COSO控制原则2:行使监督职责 328
10.5.2 COSO控制原则1:展现对诚信和道德价值观的承诺 330
10.5.3 COSO控制原则4:展现对胜任能力的承诺 331
10.5.4 COSO控制原则3:确立组织架构、权力与责任 331
10.6 公司治理应基于的核心价值观和概念 332
10.6.1 核心价值观和概念 332
10.6.2 波多里奇模型的核心价值观 337
10.7 有效公司治理所需的执行管理领导力 338
10.7.1 高级领导人的组织治理领导 338
10.7.2 高级领导人的法律道德行为 338
10.8 公司治理的沟通目标 339
10.9 使用最佳实务执行治理方法 341
10.9.1 公司行为准则 342
10.9.2 公司治理政策与程序(最佳实务) 345
10.10 监督对公司治理政策和程序的遵守情况 352
10.10.1 监控的两种分类 352
10.10.2 需要四种类型的监控 352
10.11 治理分析与强制执行 356
10.11.1 治理分析 356
10.11.2 治理实施 357
10.12 对偏离治理标准和准则的差异行为采取行动 359
10.13 改善公司治理的流程 360
附 录 内部控制管理技能词汇表 361
参考书目 371
后记 373