國際注冊內(nèi)部審計師

　　1．保證業(yè)務
　　舞弊調(diào)查
　　1、確定調(diào)查的適當對象
　　舞弊調(diào)查：已有征兆，需要執(zhí)行擴展程序確定舞弊是否發(fā)生
　　調(diào)查步驟：a組織內(nèi)部發(fā)生舞弊的概率和同謀程度
　　b確定開展調(diào)查需要的知識、技能和其他能力
　　c設計程序：確認舞弊者、舞弊程度、所用技術和舞弊原因
　　d多與管理人員協(xié)調(diào)行動
　　e嫌疑人與調(diào)查范圍內(nèi)有關人員的權利和對本組織名譽
　　2、證實舞弊事實和程度
　　評價已知事實：需要加強的控制環(huán)節(jié)（分析性程序：就是前期、預算等的比較）
　　設計測試內(nèi)容，披露未來出現(xiàn)類似舞弊現(xiàn)象
　　協(xié)助其他人發(fā)現(xiàn)未來舞弊跡象
　　3、向適當方面報告結(jié)果
　　首席審計執(zhí)行官：負責向管理層和董事會報告，報告口頭或書面、中期、最終報告
　　報告包括：調(diào)查發(fā)現(xiàn)、結(jié)論、建議意見，可根據(jù)過去的口頭、書面匯報、發(fā)現(xiàn)記錄做
　　解釋性指導：確認已發(fā)生嚴重舞弊，及時報告管理層和懂事會
　　舞弊可能涉及以前年度財務報告，已經(jīng)發(fā)生以前未產(chǎn)生負面影響，應通知管理層和董事會
　　報告包括：調(diào)查發(fā)現(xiàn)、調(diào)查結(jié)論、調(diào)查建議和糾正措施
　　報告應提交法律顧問審查，
　　4、對過程進行檢查一－改善預防舞弊的控制，并提出改進建議
　　發(fā)現(xiàn)舞弊的責任
　　a了解舞弊特點、手段、舞弊種類
　　b關注控制薄弱環(huán)節(jié)可能引發(fā)的舞弊機會，包括未經(jīng)授權開展的交易、無視控制措施
　　未加解釋的定價例外情形、異常巨額產(chǎn)品損失，認識到一種以上舞弊跡象會提高舞弊概率
　　c通過評估發(fā)現(xiàn)舞弊跡象，并進一步采取措施或建議開展的調(diào)查工作
　　d有舞弊跡象，應建議進行調(diào)查，并通報組織主管人員
　　e舞弊的工作底稿要保證安全和保密，詢問底稿要被問人簽字，防止上訴，證據(jù)兩次檢查
　　風險和控制自我評價
　　風險：發(fā)生對目標的實現(xiàn)可能產(chǎn)生影響的事件的不確定行，風險的衡量標準是后果的可能性，可用貨幣化潛在損失，對組織的不利影響來衡量
　　控制：采用適當?shù)姆椒?、措施調(diào)整行為，使其滿足目標的需要
　　控制自我評價的目的（控制措施在重大風險控制中的作用、程度）、作用、過程、方法（三大主要方法）
　　1、促進方法（促進小組研討班，代表不同層次水平的信息）a業(yè)務委托人自我促進b審計促進
　　2、調(diào)查問卷方法（人多分散，企業(yè)文化阻礙坦誠、措辭簡單回答是/否、有/無，投票方法不是最有效的）
　　3、自我認證方法（管理部門小組，對管理程序設計內(nèi)部審計師可以參與）高級管理人員負責檢查監(jiān)督風險管理和控制程序的建立、管理和評估
　　對第三方的審計：與組織有利益關系的獨立第三方，如提供外包服務的組織等
　　合同審計：大型建筑合同和經(jīng)營合同，類型：固定合同、成本加總合同、單位價格合同
　　監(jiān)督全過程：合同的招標、成本評估和控制程序、預算、稅收等，而不是只在執(zhí)行過程
　　質(zhì)量審計業(yè)務：質(zhì)量管理的水平和效果，各項活動及結(jié)果是否與制定計劃相一致
　　關注質(zhì)量四要素：a顧客的需要
　　b為滿足顧客需要的產(chǎn)品/服務計劃、生產(chǎn)和運輸
　　c生產(chǎn)和運輸產(chǎn)品/服務程序的計劃和執(zhí)行
　　d程序控制，尤其是對個別顧客需要的產(chǎn)品的服務
　　盡職調(diào)查審計業(yè)務：為合資、合并、聯(lián)合和并購事宜決策收集信息，包括有利和不利信息
　　參與人包括：內(nèi)部審計師、律師、外部審計師，工作各有關注點
　　安全審計業(yè)務：組織使用的系統(tǒng)、程序及所實施的經(jīng)營活動安全性正規(guī)檢查和復核（計算機系統(tǒng)安全）
　　保密審計業(yè)務：檢查信息收集、存儲、共享、使用和銷毀的過程是否符合保密要求
　　績效審計業(yè)務：效果：目標完成情況
　　效率：所消耗的資源
　　效益：投入與產(chǎn)出之間的關系
　　這種審計就是確認上述目標，但必須建立一套認可的目的、目標和標準評價指標
　　經(jīng)營審計業(yè)務：檢查和評價內(nèi)部控制系統(tǒng)，分配職責完成情況，關鍵是理解內(nèi)部控制
　　包括：建立經(jīng)營目標情況（部門與組織目標是否一致，涉及對部門的檢查）
　　對照標準衡量業(yè)績水平
　　檢查和分析偏差
　　采取糾正措施
　　依據(jù)經(jīng)驗重新評估標準
　　財務審計業(yè)務：財務審計關注的是財產(chǎn)安全以及財務信息的可靠性和完整性
　　合規(guī)性審計業(yè)務：關注組織中的違紀違規(guī)問題，組織政策、程序、標準的法律遵守程度
　　信息技術審計業(yè)務
　　1、操作系統(tǒng)
　　除管理硬件和軟件外，它的另一主要功能是保證雇員只對經(jīng)授權的數(shù)據(jù)進行讀寫訪問
　　a大型機：大多數(shù)時候它指的開始于system/360一系列IBM計算機和其他兼容機
　　b工作站：微型計算機
　　c服務器：具有固定的地址，并為網(wǎng)絡用戶提供服務的節(jié)點，它是實現(xiàn)資源共享的重要組成部分。
　　操作系統(tǒng)審計要點：系統(tǒng)信息收集、用戶權限、資源訪問、系統(tǒng)安全存儲、維護記錄
　　系統(tǒng)主機的審計包括：容量管理程序和性能評價
　　硬件采購計劃
　　硬件可靠性及使用狀態(tài)
　　2.應用軟件
　　a應用軟件認證：認證是證明身份用戶的過程，授權則是標識用戶可訪問資源的過程
　　復合認證技術：只有你知道的事情，如賬號、密碼（訪問控制）
　　只有你擁有的東西，如身份證、工作證
　　只有你具有的特征，如指紋、聲音、虹膜
　　審計內(nèi)容：測試安全性、隱蔽性，檢查認證變動情況，包括非法用戶撤銷
　　b系統(tǒng)開發(fā)方法
　　生命周期法：自上而下，優(yōu)點：系統(tǒng)性、規(guī)范性、嚴密性，缺點：周期長，變化慢
　　原型法：根據(jù)用戶一個最基本的需求，開發(fā)一個實驗模型，交用戶使用，啟發(fā)其需求
　　稱為快速應用開發(fā)法，嚴密性不如生命周期法
　　面向?qū)ο蟮拈_發(fā)方法：把握相對固定事件的本質(zhì)開發(fā)軟件，不管用戶不斷變化的需求
　　固定不變的部分稱為對象（如通用軟件）
　　系統(tǒng)開發(fā)活動：系統(tǒng)分析、系統(tǒng)設計、測試、轉(zhuǎn)換、運行與維護
　　審計重點：組織要建立規(guī)范的開發(fā)過程
　　c變動控制：變動管理控制是指計算機系統(tǒng)的任何變動只有經(jīng)過管理層的批準后才能進行，包括硬件和程序變動控制
　　對變動管理的的審計，升級主機軟件程序版本，利于全網(wǎng)絡用戶同步
　　對程序變動控制審計，是防止私自開發(fā)軟件系統(tǒng)最有效方法，建立良好的變動控制程序，測試庫程序緊急投入使用的風險是:未經(jīng)進一步測試就永久的投入運行，保護計算機程序庫的安全最佳方式：限制對程序庫的物理和邏輯訪問
　　d終端用戶通訊：系統(tǒng)的終端用戶在沒有和只有很少技術專家證實協(xié)助的條件下，自行完
　?。‥UC）成系統(tǒng)開發(fā)的策略，主要審計內(nèi)容是這樣做的風險，因為自行開發(fā)系統(tǒng)整體分析功能考慮不全，建議成立信息中心負責用戶咨詢，制定相應規(guī)章制度
　　3.數(shù)據(jù)和網(wǎng)絡通訊：遠程用戶溝通，進行信號傳輸
　　基礎通信網(wǎng)絡：PSTN公共電話交換網(wǎng)絡
　　DDN數(shù)字數(shù)據(jù)網(wǎng)絡
　　FR幀中繼
　　ISDN綜合服務數(shù)字網(wǎng)
　　ADSL非對稱用戶數(shù)字環(huán)線 　　審計重點：通訊網(wǎng)絡控制，設計、標準和規(guī)范，選擇網(wǎng)絡是否考慮成本/效益原則，以太網(wǎng)的數(shù)據(jù)傳輸量比電話線大，軟件初始化不正確，可能造成網(wǎng)絡反映遲緩
　　4.語音通訊：（PBX）通過電話交換機進行語音溝通，主要承載：PSTN/ISDN/IP/無線移動
　　語音黑客通過專用分組（交換機）PBX攻擊調(diào)制解調(diào)器和訪問數(shù)據(jù)網(wǎng)，如果防止語音郵件舞弊控制也帶來系統(tǒng)功能降低
　　5.系統(tǒng)安全
　　系統(tǒng)控制：一般控制，通用的控制手段和技術，是基礎控制，有效性不受應用控制的影響，審計應首先確認已建立完善的一般控制，包括：管理控制、運行控制（計算機運行控制、系統(tǒng)實施控制、軟件控制、硬件控制、訪問控制、物理設備控制）
　　應用控制，特定為保障應用程序正確運行而設定的控制，如輸入、處理、輸出控制，包括：輸入控制、處理控制、輸出控制）
　　工作站腳本：建立終端運行環(huán)境，登錄時起作用
　　自動注銷不活動用戶可使攻擊者失去獲得合法用戶的機會
　　批量總額檢查測試有利于輸入的完整性和正確性
　　6.應急計劃：災難后果處理，計劃包括減少破壞事件的后果，及時恢復、增強數(shù)據(jù)中心靈活性和可用性（移植、升級，不中斷業(yè)務）
　　審計內(nèi)容：計劃的標準和法律實效適用性
　　測試災難發(fā)生后恢復有效性
　　異地存儲的適當性（遠離現(xiàn)場的保存較好）
　　員工災難發(fā)生時的反映能力（培訓、救助能力）
　　7.數(shù)據(jù)庫：層次型數(shù)據(jù)庫：樹狀結(jié)構
　　網(wǎng)狀型數(shù)據(jù)庫：網(wǎng)絡中的元素之間通過指針進行連接
　　關系型數(shù)據(jù)庫：以表的形式表示，每個記錄用字段表示
　　數(shù)據(jù)庫管理系統(tǒng)（DBMS）
　　審計要點：設計：圖表描述業(yè)務與其是否一致
　　訪問：訪問被適當控制
　　管理：訪問級別設置、災難恢復管理、處理過程一致和完整
　　界面：信息保密性、可靠性及完整性
　　便利性：只要有可能應用結(jié)構化查詢語言SQL
　　數(shù)據(jù)庫規(guī)范化：目標是減少數(shù)據(jù)沉余，保證關系型數(shù)據(jù)庫的二維表特征
　　8.數(shù)據(jù)中心運行：負責軟硬件日常工作
　　審計要點：網(wǎng)絡操作控制（職能部門管理）、信息系統(tǒng)操作（事件日志）、緊急狀態(tài)操作（電壓調(diào)整器：防止電力浪涌，保證硬件設備安全）、問題處理報告（提供防止病毒服務）
　　9.網(wǎng)絡基礎設施：運行在操作系統(tǒng)平臺上的網(wǎng)絡服務器和應用服務器
　　審計要點：提供網(wǎng)絡服務器和應用服務器的性能和可靠性
　　檢查迅速排除故障的能力
　　檢查時時性能狀態(tài)監(jiān)控，保證提供歷史報告和公共數(shù)據(jù)輸入
　　SSL安全協(xié)議：提供數(shù)據(jù)加密、服務器身份驗證、消息完整性和客戶身份驗證功能，網(wǎng)上通過安裝一個數(shù)字證書數(shù)字被加密傳輸，加密在后臺，不需要用戶交互操作（如網(wǎng)上銀行下載密碼證書）
　　小程序：從WWW服務器下載到客戶機上，威脅最大的是從客戶機建立與網(wǎng)絡連接的小程序
　　10.軟件許可：使用盜版軟件的風險、建立防止非法軟件的管理制度、發(fā)現(xiàn)非法軟件使用
　　降低盜版法律風險方法：保存購置記錄
　　對計算機使用的軟件進行鑒別
　　建立軟件使用政策
　?。ㄌ峁┱姘惭b）
　　正版拷貝備份為合法，拷貝多人使用為非法
　　上千臺計算機工作站遵守軟件許可調(diào)查起點，是看軟件安裝是否集中管理
　　2、實施咨詢業(yè)務
　　內(nèi)部控制培訓：審計對相關人員在內(nèi)控方面的培訓
　　經(jīng)營過程檢查（BPR）：對組織的業(yè)務流程和程序進行檢查（電話費用控制方法的制定）
　　基準比較法：與最優(yōu)（標桿企業(yè)）比較，組織內(nèi)部也有最優(yōu)情況
　　信息技術與系統(tǒng)開發(fā)
　　業(yè)績測評系統(tǒng)的設計
　　實施咨詢業(yè)務的原則：
　　a委托業(yè)務更適合保證業(yè)務，就應當做保證業(yè)務
　　b章程中含有此項業(yè)務，并制定相應政策和程序
　　c一人從事咨詢業(yè)務一年內(nèi)，不能作保證業(yè)務，處理方法：派另一人、建立獨立監(jiān)督機制、闡明結(jié)果、披露認定的損害，要管理層明白
　　d避免不必要的超出業(yè)務范圍和脫離原定的目標管理責任
　　職業(yè)謹慎：了解咨詢動機和原因，確定范圍，工作技巧，潛在影響，組織從中獲什么益處
　　如何處理目標：審計目標優(yōu)于管理人員特殊要求，如何協(xié)調(diào)：
　　將額外目標納入咨詢業(yè)務中
　　記錄額外目標，最后溝通時，報告觀察結(jié)果
　　將額外目標納入后續(xù)保證業(yè)務中
　　咨詢計劃：包括業(yè)務目標、范圍、完成目標的技術手段
　　結(jié)果溝通：要求清楚的報告業(yè)務性質(zhì)、存在的局限性、引起主意的地方。越過服務對象，直接于上級溝通的情況：重大風險漏洞和控制弱點
　　報告使用：董事會、審計委員會、其他政府部門，在包括其他審計活動時進行披露
　　其他溝通：這種方式不具體，但可描述業(yè)務類型和重要建議，這是審計職責

（責任編輯：中大編輯）