當前位置:

內(nèi)審師考試(CIA)輔導:實施具體審計業(yè)務(wù)

發(fā)表時間:2014/4/12 17:00:00 來源:中大網(wǎng)校 點擊關(guān)注微信:關(guān)注中大網(wǎng)校微信
關(guān)注公眾號
內(nèi)審師考試(CIA)輔導:實施具體審計業(yè)務(wù)
  1.保證業(yè)務(wù)
  舞弊調(diào)查
  1、確定調(diào)查的適當對象
  舞弊調(diào)查:已有征兆,需要執(zhí)行擴展程序確定舞弊是否發(fā)生
  調(diào)查步驟:a組織內(nèi)部發(fā)生舞弊的概率和同謀程度
  b確定開展調(diào)查需要的知識、技能和其他能力
  c設(shè)計程序:確認舞弊者、舞弊程度、所用技術(shù)和舞弊原因
  d多與管理人員協(xié)調(diào)行動
  e嫌疑人與調(diào)查范圍內(nèi)有關(guān)人員的權(quán)利和對本組織名譽
  2、證實舞弊事實和程度
  評價已知事實:需要加強的控制環(huán)節(jié)(分析性程序:就是前期、預(yù)算等的比較)
  設(shè)計測試內(nèi)容,披露未來出現(xiàn)類似舞弊現(xiàn)象
  協(xié)助其他人發(fā)現(xiàn)未來舞弊跡象
  3、向適當方面報告結(jié)果
  首席審計執(zhí)行官:負責向管理層和董事會報告,報告口頭或書面、中期、最終報告
  報告包括:調(diào)查發(fā)現(xiàn)、結(jié)論、建議意見,可根據(jù)過去的口頭、書面匯報、發(fā)現(xiàn)記錄做
  解釋性指導:確認已發(fā)生嚴重舞弊,及時報告管理層和懂事會
  舞弊可能涉及以前年度財務(wù)報告,已經(jīng)發(fā)生以前未產(chǎn)生負面影響,應(yīng)通知管理層和董事會
  報告包括:調(diào)查發(fā)現(xiàn)、調(diào)查結(jié)論、調(diào)查建議和糾正措施
  報告應(yīng)提交法律顧問審查,
  4、對過程進行檢查一-改善預(yù)防舞弊的控制,并提出改進建議
  發(fā)現(xiàn)舞弊的責任
  a了解舞弊特點、手段、舞弊種類
  b關(guān)注控制薄弱環(huán)節(jié)可能引發(fā)的舞弊機會,包括未經(jīng)授權(quán)開展的交易、無視控制措施
  未加解釋的定價例外情形、異常巨額產(chǎn)品損失,認識到一種以上舞弊跡象會提高舞弊概率
  c通過評估發(fā)現(xiàn)舞弊跡象,并進一步采取措施或建議開展的調(diào)查工作
  d有舞弊跡象,應(yīng)建議進行調(diào)查,并通報組織主管人員
  e舞弊的工作底稿要保證安全和保密,詢問底稿要被問人簽字,防止上訴,證據(jù)兩次檢查
  風險和控制自我評價
  風險:發(fā)生對目標的實現(xiàn)可能產(chǎn)生影響的事件的不確定行,風險的衡量標準是后果的可能性,可用貨幣化潛在損失,對組織的不利影響來衡量
  控制:采用適當?shù)姆椒?、措施調(diào)整行為,使其滿足目標的需要
  控制自我評價的目的(控制措施在重大風險控制中的作用、程度)、作用、過程、方法(三大主要方法)
  1、促進方法(促進小組研討班,代表不同層次水平的信息)a業(yè)務(wù)委托人自我促進b審計促進
  2、調(diào)查問卷方法(人多分散,企業(yè)文化阻礙坦誠、措辭簡單回答是/否、有/無,投票方法不是最有效的)
  3、自我認證方法(管理部門小組,對管理程序設(shè)計內(nèi)部審計師可以參與)高級管理人員負責檢查監(jiān)督風險管理和控制程序的建立、管理和評估
  對第三方的審計:與組織有利益關(guān)系的獨立第三方,如提供外包服務(wù)的組織等
  合同審計:大型建筑合同和經(jīng)營合同,類型:固定合同、成本加總合同、單位價格合同
  監(jiān)督全過程:合同的招標、成本評估和控制程序、預(yù)算、稅收等,而不是只在執(zhí)行過程
  質(zhì)量審計業(yè)務(wù):質(zhì)量管理的水平和效果,各項活動及結(jié)果是否與制定計劃相一致
  關(guān)注質(zhì)量四要素:a顧客的需要
  b為滿足顧客需要的產(chǎn)品/服務(wù)計劃、生產(chǎn)和運輸
  c生產(chǎn)和運輸產(chǎn)品/服務(wù)程序的計劃和執(zhí)行
  d程序控制,尤其是對個別顧客需要的產(chǎn)品的服務(wù)
  盡職調(diào)查審計業(yè)務(wù):為合資、合并、聯(lián)合和并購事宜決策收集信息,包括有利和不利信息
  參與人包括:內(nèi)部審計師、律師、外部審計師,工作各有關(guān)注點
  安全審計業(yè)務(wù):組織使用的系統(tǒng)、程序及所實施的經(jīng)營活動安全性正規(guī)檢查和復核(計算機系統(tǒng)安全)
  保密審計業(yè)務(wù):檢查信息收集、存儲、共享、使用和銷毀的過程是否符合保密要求
  績效審計業(yè)務(wù):效果:目標完成情況
  效率:所消耗的資源
  效益:投入與產(chǎn)出之間的關(guān)系
  這種審計就是確認上述目標,但必須建立一套認可的目的、目標和標準評價指標
  經(jīng)營審計業(yè)務(wù):檢查和評價內(nèi)部控制系統(tǒng),分配職責完成情況,關(guān)鍵是理解內(nèi)部控制
  包括:建立經(jīng)營目標情況(部門與組織目標是否一致,涉及對部門的檢查)
  對照標準衡量業(yè)績水平
  檢查和分析偏差
  采取糾正措施
  依據(jù)經(jīng)驗重新評估標準
  財務(wù)審計業(yè)務(wù):財務(wù)審計關(guān)注的是財產(chǎn)安全以及財務(wù)信息的可靠性和完整性
  合規(guī)性審計業(yè)務(wù):關(guān)注組織中的違紀違規(guī)問題,組織政策、程序、標準的法律遵守程度
  信息技術(shù)審計業(yè)務(wù)
  1、操作系統(tǒng)
  除管理硬件和軟件外,它的另一主要功能是保證雇員只對經(jīng)授權(quán)的數(shù)據(jù)進行讀寫訪問
  a大型機:大多數(shù)時候它指的開始于system/360一系列IBM計算機和其他兼容機
  b工作站:微型計算機
  c服務(wù)器:具有固定的地址,并為網(wǎng)絡(luò)用戶提供服務(wù)的節(jié)點,它是實現(xiàn)資源共享的重要組成部分。
  操作系統(tǒng)審計要點:系統(tǒng)信息收集、用戶權(quán)限、資源訪問、系統(tǒng)安全存儲、維護記錄
  系統(tǒng)主機的審計包括:容量管理程序和性能評價
  硬件采購計劃
  硬件可靠性及使用狀態(tài)
  2.應(yīng)用軟件
  a應(yīng)用軟件認證:認證是證明身份用戶的過程,授權(quán)則是標識用戶可訪問資源的過程
  復合認證技術(shù):只有你知道的事情,如賬號、密碼(訪問控制)
  只有你擁有的東西,如身份證、工作證
  只有你具有的特征,如指紋、聲音、虹膜
  審計內(nèi)容:測試安全性、隱蔽性,檢查認證變動情況,包括非法用戶撤銷
  b系統(tǒng)開發(fā)方法
  生命周期法:自上而下,優(yōu)點:系統(tǒng)性、規(guī)范性、嚴密性,缺點:周期長,變化慢
  原型法:根據(jù)用戶一個最基本的需求,開發(fā)一個實驗?zāi)P?,交用戶使用,啟發(fā)其需求
  稱為快速應(yīng)用開發(fā)法,嚴密性不如生命周期法
  面向?qū)ο蟮拈_發(fā)方法:把握相對固定事件的本質(zhì)開發(fā)軟件,不管用戶不斷變化的需求
  固定不變的部分稱為對象(如通用軟件)
  系統(tǒng)開發(fā)活動:系統(tǒng)分析、系統(tǒng)設(shè)計、測試、轉(zhuǎn)換、運行與維護
  審計重點:組織要建立規(guī)范的開發(fā)過程
  c變動控制:變動管理控制是指計算機系統(tǒng)的任何變動只有經(jīng)過管理層的批準后才能進行,包括硬件和程序變動控制
  對變動管理的的審計,升級主機軟件程序版本,利于全網(wǎng)絡(luò)用戶同步
  對程序變動控制審計,是防止私自開發(fā)軟件系統(tǒng)最有效方法,建立良好的變動控制程序,測試庫程序緊急投入使用的風險是:未經(jīng)進一步測試就永久的投入運行,保護計算機程序庫的安全最佳方式:限制對程序庫的物理和邏輯訪問
  d終端用戶通訊:系統(tǒng)的終端用戶在沒有和只有很少技術(shù)專家證實協(xié)助的條件下,自行完
 ?。‥UC)成系統(tǒng)開發(fā)的策略,主要審計內(nèi)容是這樣做的風險,因為自行開發(fā)系統(tǒng)整體分析功能考慮不全,建議成立信息中心負責用戶咨詢,制定相應(yīng)規(guī)章制度
  3.數(shù)據(jù)和網(wǎng)絡(luò)通訊:遠程用戶溝通,進行信號傳輸
  基礎(chǔ)通信網(wǎng)絡(luò):PSTN公共電話交換網(wǎng)絡(luò)
  DDN數(shù)字數(shù)據(jù)網(wǎng)絡(luò)
  FR幀中繼
  ISDN綜合服務(wù)數(shù)字網(wǎng)
  ADSL非對稱用戶數(shù)字環(huán)線   審計重點:通訊網(wǎng)絡(luò)控制,設(shè)計、標準和規(guī)范,選擇網(wǎng)絡(luò)是否考慮成本/效益原則,以太網(wǎng)的數(shù)據(jù)傳輸量比電話線大,軟件初始化不正確,可能造成網(wǎng)絡(luò)反映遲緩
  4.語音通訊:(PBX)通過電話交換機進行語音溝通,主要承載:PSTN/ISDN/IP/無線移動
  語音黑客通過專用分組(交換機)PBX攻擊調(diào)制解調(diào)器和訪問數(shù)據(jù)網(wǎng),如果防止語音郵件舞弊控制也帶來系統(tǒng)功能降低
  5.系統(tǒng)安全
  系統(tǒng)控制:一般控制,通用的控制手段和技術(shù),是基礎(chǔ)控制,有效性不受應(yīng)用控制的影響,審計應(yīng)首先確認已建立完善的一般控制,包括:管理控制、運行控制(計算機運行控制、系統(tǒng)實施控制、軟件控制、硬件控制、訪問控制、物理設(shè)備控制)
  應(yīng)用控制,特定為保障應(yīng)用程序正確運行而設(shè)定的控制,如輸入、處理、輸出控制,包括:輸入控制、處理控制、輸出控制)
  工作站腳本:建立終端運行環(huán)境,登錄時起作用
  自動注銷不活動用戶可使攻擊者失去獲得合法用戶的機會
  批量總額檢查測試有利于輸入的完整性和正確性
  6.應(yīng)急計劃:災(zāi)難后果處理,計劃包括減少破壞事件的后果,及時恢復、增強數(shù)據(jù)中心靈活性和可用性(移植、升級,不中斷業(yè)務(wù))
  審計內(nèi)容:計劃的標準和法律實效適用性
  測試災(zāi)難發(fā)生后恢復有效性
  異地存儲的適當性(遠離現(xiàn)場的保存較好)
  員工災(zāi)難發(fā)生時的反映能力(培訓、救助能力)
  7.數(shù)據(jù)庫:層次型數(shù)據(jù)庫:樹狀結(jié)構(gòu)
  網(wǎng)狀型數(shù)據(jù)庫:網(wǎng)絡(luò)中的元素之間通過指針進行連接
  關(guān)系型數(shù)據(jù)庫:以表的形式表示,每個記錄用字段表示
  數(shù)據(jù)庫管理系統(tǒng)(DBMS)
  審計要點:設(shè)計:圖表描述業(yè)務(wù)與其是否一致
  訪問:訪問被適當控制
  管理:訪問級別設(shè)置、災(zāi)難恢復管理、處理過程一致和完整
  界面:信息保密性、可靠性及完整性
  便利性:只要有可能應(yīng)用結(jié)構(gòu)化查詢語言SQL
  數(shù)據(jù)庫規(guī)范化:目標是減少數(shù)據(jù)沉余,保證關(guān)系型數(shù)據(jù)庫的二維表特征
  8.數(shù)據(jù)中心運行:負責軟硬件日常工作
  審計要點:網(wǎng)絡(luò)操作控制(職能部門管理)、信息系統(tǒng)操作(事件日志)、緊急狀態(tài)操作(電壓調(diào)整器:防止電力浪涌,保證硬件設(shè)備安全)、問題處理報告(提供防止病毒服務(wù))
  9.網(wǎng)絡(luò)基礎(chǔ)設(shè)施:運行在操作系統(tǒng)平臺上的網(wǎng)絡(luò)服務(wù)器和應(yīng)用服務(wù)器
  審計要點:提供網(wǎng)絡(luò)服務(wù)器和應(yīng)用服務(wù)器的性能和可靠性
  檢查迅速排除故障的能力
  檢查時時性能狀態(tài)監(jiān)控,保證提供歷史報告和公共數(shù)據(jù)輸入
  SSL安全協(xié)議:提供數(shù)據(jù)加密、服務(wù)器身份驗證、消息完整性和客戶身份驗證功能,網(wǎng)上通過安裝一個數(shù)字證書數(shù)字被加密傳輸,加密在后臺,不需要用戶交互操作(如網(wǎng)上銀行下載密碼證書)
  小程序:從WWW服務(wù)器下載到客戶機上,威脅最大的是從客戶機建立與網(wǎng)絡(luò)連接的小程序
  10.軟件許可:使用盜版軟件的風險、建立防止非法軟件的管理制度、發(fā)現(xiàn)非法軟件使用
  降低盜版法律風險方法:保存購置記錄
  對計算機使用的軟件進行鑒別
  建立軟件使用政策
 ?。ㄌ峁┱姘惭b)
  正版拷貝備份為合法,拷貝多人使用為非法
  上千臺計算機工作站遵守軟件許可調(diào)查起點,是看軟件安裝是否集中管理
  2、實施咨詢業(yè)務(wù)
  內(nèi)部控制培訓:審計對相關(guān)人員在內(nèi)控方面的培訓
  經(jīng)營過程檢查(BPR):對組織的業(yè)務(wù)流程和程序進行檢查(電話費用控制方法的制定)
  基準比較法:與最優(yōu)(標桿企業(yè))比較,組織內(nèi)部也有最優(yōu)情況
  信息技術(shù)與系統(tǒng)開發(fā)
  業(yè)績測評系統(tǒng)的設(shè)計
  實施咨詢業(yè)務(wù)的原則:
  a委托業(yè)務(wù)更適合保證業(yè)務(wù),就應(yīng)當做保證業(yè)務(wù)
  b章程中含有此項業(yè)務(wù),并制定相應(yīng)政策和程序
  c一人從事咨詢業(yè)務(wù)一年內(nèi),不能作保證業(yè)務(wù),處理方法:派另一人、建立獨立監(jiān)督機制、闡明結(jié)果、披露認定的損害,要管理層明白
  d避免不必要的超出業(yè)務(wù)范圍和脫離原定的目標管理責任
  職業(yè)謹慎:了解咨詢動機和原因,確定范圍,工作技巧,潛在影響,組織從中獲什么益處
  如何處理目標:審計目標優(yōu)于管理人員特殊要求,如何協(xié)調(diào):
  將額外目標納入咨詢業(yè)務(wù)中
  記錄額外目標,最后溝通時,報告觀察結(jié)果
  將額外目標納入后續(xù)保證業(yè)務(wù)中
  咨詢計劃:包括業(yè)務(wù)目標、范圍、完成目標的技術(shù)手段
  結(jié)果溝通:要求清楚的報告業(yè)務(wù)性質(zhì)、存在的局限性、引起主意的地方。越過服務(wù)對象,直接于上級溝通的情況:重大風險漏洞和控制弱點
  報告使用:董事會、審計委員會、其他政府部門,在包括其他審計活動時進行披露
  其他溝通:這種方式不具體,但可描述業(yè)務(wù)類型和重要建議,這是審計職責

(責任編輯:中大編輯)

2頁,當前第1頁  第一頁  前一頁  下一頁
最近更新 考試動態(tài) 更多>

考試科目