國際注冊內(nèi)部審計(jì)師

　　1．保證業(yè)務(wù)
　　舞弊調(diào)查
　　1、確定調(diào)查的適當(dāng)對象
　　舞弊調(diào)查：已有征兆，需要執(zhí)行擴(kuò)展程序確定舞弊是否發(fā)生
　　調(diào)查步驟：a組織內(nèi)部發(fā)生舞弊的概率和同謀程度
　　b確定開展調(diào)查需要的知識(shí)、技能和其他能力
　　c設(shè)計(jì)程序：確認(rèn)舞弊者、舞弊程度、所用技術(shù)和舞弊原因
　　d多與管理人員協(xié)調(diào)行動(dòng)
　　e嫌疑人與調(diào)查范圍內(nèi)有關(guān)人員的權(quán)利和對本組織名譽(yù)
　　2、證實(shí)舞弊事實(shí)和程度
　　評價(jià)已知事實(shí)：需要加強(qiáng)的控制環(huán)節(jié)（分析性程序：就是前期、預(yù)算等的比較）
　　設(shè)計(jì)測試內(nèi)容，披露未來出現(xiàn)類似舞弊現(xiàn)象
　　協(xié)助其他人發(fā)現(xiàn)未來舞弊跡象
　　3、向適當(dāng)方面報(bào)告結(jié)果
　　首席審計(jì)執(zhí)行官：負(fù)責(zé)向管理層和董事會(huì)報(bào)告，報(bào)告口頭或書面、中期、最終報(bào)告
　　報(bào)告包括：調(diào)查發(fā)現(xiàn)、結(jié)論、建議意見，可根據(jù)過去的口頭、書面匯報(bào)、發(fā)現(xiàn)記錄做
　　解釋性指導(dǎo)：確認(rèn)已發(fā)生嚴(yán)重舞弊，及時(shí)報(bào)告管理層和懂事會(huì)
　　舞弊可能涉及以前年度財(cái)務(wù)報(bào)告，已經(jīng)發(fā)生以前未產(chǎn)生負(fù)面影響，應(yīng)通知管理層和董事會(huì)
　　報(bào)告包括：調(diào)查發(fā)現(xiàn)、調(diào)查結(jié)論、調(diào)查建議和糾正措施
　　報(bào)告應(yīng)提交法律顧問審查，
　　4、對過程進(jìn)行檢查一－改善預(yù)防舞弊的控制，并提出改進(jìn)建議
　　發(fā)現(xiàn)舞弊的責(zé)任
　　a了解舞弊特點(diǎn)、手段、舞弊種類
　　b關(guān)注控制薄弱環(huán)節(jié)可能引發(fā)的舞弊機(jī)會(huì)，包括未經(jīng)授權(quán)開展的交易、無視控制措施
　　未加解釋的定價(jià)例外情形、異常巨額產(chǎn)品損失，認(rèn)識(shí)到一種以上舞弊跡象會(huì)提高舞弊概率
　　c通過評估發(fā)現(xiàn)舞弊跡象，并進(jìn)一步采取措施或建議開展的調(diào)查工作
　　d有舞弊跡象，應(yīng)建議進(jìn)行調(diào)查，并通報(bào)組織主管人員
　　e舞弊的工作底稿要保證安全和保密，詢問底稿要被問人簽字，防止上訴，證據(jù)兩次檢查
　　風(fēng)險(xiǎn)和控制自我評價(jià)
　　風(fēng)險(xiǎn)：發(fā)生對目標(biāo)的實(shí)現(xiàn)可能產(chǎn)生影響的事件的不確定行，風(fēng)險(xiǎn)的衡量標(biāo)準(zhǔn)是后果的可能性，可用貨幣化潛在損失，對組織的不利影響來衡量
　　控制：采用適當(dāng)?shù)姆椒?、措施調(diào)整行為，使其滿足目標(biāo)的需要
　　控制自我評價(jià)的目的（控制措施在重大風(fēng)險(xiǎn)控制中的作用、程度）、作用、過程、方法（三大主要方法）
　　1、促進(jìn)方法（促進(jìn)小組研討班，代表不同層次水平的信息）a業(yè)務(wù)委托人自我促進(jìn)b審計(jì)促進(jìn)
　　2、調(diào)查問卷方法（人多分散，企業(yè)文化阻礙坦誠、措辭簡單回答是/否、有/無，投票方法不是最有效的）
　　3、自我認(rèn)證方法（管理部門小組，對管理程序設(shè)計(jì)內(nèi)部審計(jì)師可以參與）高級管理人員負(fù)責(zé)檢查監(jiān)督風(fēng)險(xiǎn)管理和控制程序的建立、管理和評估
　　對第三方的審計(jì)：與組織有利益關(guān)系的獨(dú)立第三方，如提供外包服務(wù)的組織等
　　合同審計(jì)：大型建筑合同和經(jīng)營合同，類型：固定合同、成本加總合同、單位價(jià)格合同
　　監(jiān)督全過程：合同的招標(biāo)、成本評估和控制程序、預(yù)算、稅收等，而不是只在執(zhí)行過程
　　質(zhì)量審計(jì)業(yè)務(wù)：質(zhì)量管理的水平和效果，各項(xiàng)活動(dòng)及結(jié)果是否與制定計(jì)劃相一致
　　關(guān)注質(zhì)量四要素：a顧客的需要
　　b為滿足顧客需要的產(chǎn)品/服務(wù)計(jì)劃、生產(chǎn)和運(yùn)輸
　　c生產(chǎn)和運(yùn)輸產(chǎn)品/服務(wù)程序的計(jì)劃和執(zhí)行
　　d程序控制，尤其是對個(gè)別顧客需要的產(chǎn)品的服務(wù)
　　盡職調(diào)查審計(jì)業(yè)務(wù)：為合資、合并、聯(lián)合和并購事宜決策收集信息，包括有利和不利信息
　　參與人包括：內(nèi)部審計(jì)師、律師、外部審計(jì)師，工作各有關(guān)注點(diǎn)
　　安全審計(jì)業(yè)務(wù)：組織使用的系統(tǒng)、程序及所實(shí)施的經(jīng)營活動(dòng)安全性正規(guī)檢查和復(fù)核（計(jì)算機(jī)系統(tǒng)安全）
　　保密審計(jì)業(yè)務(wù)：檢查信息收集、存儲(chǔ)、共享、使用和銷毀的過程是否符合保密要求
　　績效審計(jì)業(yè)務(wù)：效果：目標(biāo)完成情況
　　效率：所消耗的資源
　　效益：投入與產(chǎn)出之間的關(guān)系
　　這種審計(jì)就是確認(rèn)上述目標(biāo)，但必須建立一套認(rèn)可的目的、目標(biāo)和標(biāo)準(zhǔn)評價(jià)指標(biāo)
　　經(jīng)營審計(jì)業(yè)務(wù)：檢查和評價(jià)內(nèi)部控制系統(tǒng)，分配職責(zé)完成情況，關(guān)鍵是理解內(nèi)部控制
　　包括：建立經(jīng)營目標(biāo)情況（部門與組織目標(biāo)是否一致，涉及對部門的檢查）
　　對照標(biāo)準(zhǔn)衡量業(yè)績水平
　　檢查和分析偏差
　　采取糾正措施
　　依據(jù)經(jīng)驗(yàn)重新評估標(biāo)準(zhǔn)
　　財(cái)務(wù)審計(jì)業(yè)務(wù)：財(cái)務(wù)審計(jì)關(guān)注的是財(cái)產(chǎn)安全以及財(cái)務(wù)信息的可靠性和完整性
　　合規(guī)性審計(jì)業(yè)務(wù)：關(guān)注組織中的違紀(jì)違規(guī)問題，組織政策、程序、標(biāo)準(zhǔn)的法律遵守程度
　　信息技術(shù)審計(jì)業(yè)務(wù)
　　1、操作系統(tǒng)
　　除管理硬件和軟件外，它的另一主要功能是保證雇員只對經(jīng)授權(quán)的數(shù)據(jù)進(jìn)行讀寫訪問
　　a大型機(jī)：大多數(shù)時(shí)候它指的開始于system/360一系列IBM計(jì)算機(jī)和其他兼容機(jī)
　　b工作站：微型計(jì)算機(jī)
　　c服務(wù)器：具有固定的地址，并為網(wǎng)絡(luò)用戶提供服務(wù)的節(jié)點(diǎn)，它是實(shí)現(xiàn)資源共享的重要組成部分。
　　操作系統(tǒng)審計(jì)要點(diǎn)：系統(tǒng)信息收集、用戶權(quán)限、資源訪問、系統(tǒng)安全存儲(chǔ)、維護(hù)記錄
　　系統(tǒng)主機(jī)的審計(jì)包括：容量管理程序和性能評價(jià)
　　硬件采購計(jì)劃
　　硬件可靠性及使用狀態(tài)
　　2.應(yīng)用軟件
　　a應(yīng)用軟件認(rèn)證：認(rèn)證是證明身份用戶的過程，授權(quán)則是標(biāo)識(shí)用戶可訪問資源的過程
　　復(fù)合認(rèn)證技術(shù)：只有你知道的事情，如賬號、密碼（訪問控制）
　　只有你擁有的東西，如身份證、工作證
　　只有你具有的特征，如指紋、聲音、虹膜
　　審計(jì)內(nèi)容：測試安全性、隱蔽性，檢查認(rèn)證變動(dòng)情況，包括非法用戶撤銷
　　b系統(tǒng)開發(fā)方法
　　生命周期法：自上而下，優(yōu)點(diǎn)：系統(tǒng)性、規(guī)范性、嚴(yán)密性，缺點(diǎn)：周期長，變化慢
　　原型法：根據(jù)用戶一個(gè)最基本的需求，開發(fā)一個(gè)實(shí)驗(yàn)?zāi)Ｐ?，交用戶使用，啟發(fā)其需求
　　稱為快速應(yīng)用開發(fā)法，嚴(yán)密性不如生命周期法
　　面向?qū)ο蟮拈_發(fā)方法：把握相對固定事件的本質(zhì)開發(fā)軟件，不管用戶不斷變化的需求
　　固定不變的部分稱為對象（如通用軟件）
　　系統(tǒng)開發(fā)活動(dòng)：系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、測試、轉(zhuǎn)換、運(yùn)行與維護(hù)
　　審計(jì)重點(diǎn)：組織要建立規(guī)范的開發(fā)過程
　　c變動(dòng)控制：變動(dòng)管理控制是指計(jì)算機(jī)系統(tǒng)的任何變動(dòng)只有經(jīng)過管理層的批準(zhǔn)后才能進(jìn)行，包括硬件和程序變動(dòng)控制
　　對變動(dòng)管理的的審計(jì)，升級主機(jī)軟件程序版本，利于全網(wǎng)絡(luò)用戶同步
　　對程序變動(dòng)控制審計(jì)，是防止私自開發(fā)軟件系統(tǒng)最有效方法，建立良好的變動(dòng)控制程序，測試庫程序緊急投入使用的風(fēng)險(xiǎn)是:未經(jīng)進(jìn)一步測試就永久的投入運(yùn)行，保護(hù)計(jì)算機(jī)程序庫的安全最佳方式：限制對程序庫的物理和邏輯訪問
　　d終端用戶通訊：系統(tǒng)的終端用戶在沒有和只有很少技術(shù)專家證實(shí)協(xié)助的條件下，自行完
　?。‥UC）成系統(tǒng)開發(fā)的策略，主要審計(jì)內(nèi)容是這樣做的風(fēng)險(xiǎn)，因?yàn)樽孕虚_發(fā)系統(tǒng)整體分析功能考慮不全，建議成立信息中心負(fù)責(zé)用戶咨詢，制定相應(yīng)規(guī)章制度
　　3.數(shù)據(jù)和網(wǎng)絡(luò)通訊：遠(yuǎn)程用戶溝通，進(jìn)行信號傳輸
　　基礎(chǔ)通信網(wǎng)絡(luò)：PSTN公共電話交換網(wǎng)絡(luò)
　　DDN數(shù)字?jǐn)?shù)據(jù)網(wǎng)絡(luò)
　　FR幀中繼
　　ISDN綜合服務(wù)數(shù)字網(wǎng)
　　ADSL非對稱用戶數(shù)字環(huán)線 　　審計(jì)重點(diǎn)：通訊網(wǎng)絡(luò)控制，設(shè)計(jì)、標(biāo)準(zhǔn)和規(guī)范，選擇網(wǎng)絡(luò)是否考慮成本/效益原則，以太網(wǎng)的數(shù)據(jù)傳輸量比電話線大，軟件初始化不正確，可能造成網(wǎng)絡(luò)反映遲緩
　　4.語音通訊：（PBX）通過電話交換機(jī)進(jìn)行語音溝通，主要承載：PSTN/ISDN/IP/無線移動(dòng)
　　語音黑客通過專用分組（交換機(jī)）PBX攻擊調(diào)制解調(diào)器和訪問數(shù)據(jù)網(wǎng)，如果防止語音郵件舞弊控制也帶來系統(tǒng)功能降低
　　5.系統(tǒng)安全
　　系統(tǒng)控制：一般控制，通用的控制手段和技術(shù)，是基礎(chǔ)控制，有效性不受應(yīng)用控制的影響，審計(jì)應(yīng)首先確認(rèn)已建立完善的一般控制，包括：管理控制、運(yùn)行控制（計(jì)算機(jī)運(yùn)行控制、系統(tǒng)實(shí)施控制、軟件控制、硬件控制、訪問控制、物理設(shè)備控制）
　　應(yīng)用控制，特定為保障應(yīng)用程序正確運(yùn)行而設(shè)定的控制，如輸入、處理、輸出控制，包括：輸入控制、處理控制、輸出控制）
　　工作站腳本：建立終端運(yùn)行環(huán)境，登錄時(shí)起作用
　　自動(dòng)注銷不活動(dòng)用戶可使攻擊者失去獲得合法用戶的機(jī)會(huì)
　　批量總額檢查測試有利于輸入的完整性和正確性
　　6.應(yīng)急計(jì)劃：災(zāi)難后果處理，計(jì)劃包括減少破壞事件的后果，及時(shí)恢復(fù)、增強(qiáng)數(shù)據(jù)中心靈活性和可用性（移植、升級，不中斷業(yè)務(wù)）
　　審計(jì)內(nèi)容：計(jì)劃的標(biāo)準(zhǔn)和法律實(shí)效適用性
　　測試災(zāi)難發(fā)生后恢復(fù)有效性
　　異地存儲(chǔ)的適當(dāng)性（遠(yuǎn)離現(xiàn)場的保存較好）
　　員工災(zāi)難發(fā)生時(shí)的反映能力（培訓(xùn)、救助能力）
　　7.數(shù)據(jù)庫：層次型數(shù)據(jù)庫：樹狀結(jié)構(gòu)
　　網(wǎng)狀型數(shù)據(jù)庫：網(wǎng)絡(luò)中的元素之間通過指針進(jìn)行連接
　　關(guān)系型數(shù)據(jù)庫：以表的形式表示，每個(gè)記錄用字段表示
　　數(shù)據(jù)庫管理系統(tǒng)（DBMS）
　　審計(jì)要點(diǎn)：設(shè)計(jì)：圖表描述業(yè)務(wù)與其是否一致
　　訪問：訪問被適當(dāng)控制
　　管理：訪問級別設(shè)置、災(zāi)難恢復(fù)管理、處理過程一致和完整
　　界面：信息保密性、可靠性及完整性
　　便利性：只要有可能應(yīng)用結(jié)構(gòu)化查詢語言SQL
　　數(shù)據(jù)庫規(guī)范化：目標(biāo)是減少數(shù)據(jù)沉余，保證關(guān)系型數(shù)據(jù)庫的二維表特征
　　8.數(shù)據(jù)中心運(yùn)行：負(fù)責(zé)軟硬件日常工作
　　審計(jì)要點(diǎn)：網(wǎng)絡(luò)操作控制（職能部門管理）、信息系統(tǒng)操作（事件日志）、緊急狀態(tài)操作（電壓調(diào)整器：防止電力浪涌，保證硬件設(shè)備安全）、問題處理報(bào)告（提供防止病毒服務(wù)）
　　9.網(wǎng)絡(luò)基礎(chǔ)設(shè)施：運(yùn)行在操作系統(tǒng)平臺(tái)上的網(wǎng)絡(luò)服務(wù)器和應(yīng)用服務(wù)器
　　審計(jì)要點(diǎn)：提供網(wǎng)絡(luò)服務(wù)器和應(yīng)用服務(wù)器的性能和可靠性
　　檢查迅速排除故障的能力
　　檢查時(shí)時(shí)性能狀態(tài)監(jiān)控，保證提供歷史報(bào)告和公共數(shù)據(jù)輸入
　　SSL安全協(xié)議：提供數(shù)據(jù)加密、服務(wù)器身份驗(yàn)證、消息完整性和客戶身份驗(yàn)證功能，網(wǎng)上通過安裝一個(gè)數(shù)字證書數(shù)字被加密傳輸，加密在后臺(tái)，不需要用戶交互操作（如網(wǎng)上銀行下載密碼證書）
　　小程序：從WWW服務(wù)器下載到客戶機(jī)上，威脅最大的是從客戶機(jī)建立與網(wǎng)絡(luò)連接的小程序
　　10.軟件許可：使用盜版軟件的風(fēng)險(xiǎn)、建立防止非法軟件的管理制度、發(fā)現(xiàn)非法軟件使用
　　降低盜版法律風(fēng)險(xiǎn)方法：保存購置記錄
　　對計(jì)算機(jī)使用的軟件進(jìn)行鑒別
　　建立軟件使用政策
　?。ㄌ峁┱姘惭b）
　　正版拷貝備份為合法，拷貝多人使用為非法
　　上千臺(tái)計(jì)算機(jī)工作站遵守軟件許可調(diào)查起點(diǎn)，是看軟件安裝是否集中管理
　　2、實(shí)施咨詢業(yè)務(wù)
　　內(nèi)部控制培訓(xùn)：審計(jì)對相關(guān)人員在內(nèi)控方面的培訓(xùn)
　　經(jīng)營過程檢查（BPR）：對組織的業(yè)務(wù)流程和程序進(jìn)行檢查（電話費(fèi)用控制方法的制定）
　　基準(zhǔn)比較法：與最優(yōu)（標(biāo)桿企業(yè)）比較，組織內(nèi)部也有最優(yōu)情況
　　信息技術(shù)與系統(tǒng)開發(fā)
　　業(yè)績測評系統(tǒng)的設(shè)計(jì)
　　實(shí)施咨詢業(yè)務(wù)的原則：
　　a委托業(yè)務(wù)更適合保證業(yè)務(wù)，就應(yīng)當(dāng)做保證業(yè)務(wù)
　　b章程中含有此項(xiàng)業(yè)務(wù)，并制定相應(yīng)政策和程序
　　c一人從事咨詢業(yè)務(wù)一年內(nèi)，不能作保證業(yè)務(wù)，處理方法：派另一人、建立獨(dú)立監(jiān)督機(jī)制、闡明結(jié)果、披露認(rèn)定的損害，要管理層明白
　　d避免不必要的超出業(yè)務(wù)范圍和脫離原定的目標(biāo)管理責(zé)任
　　職業(yè)謹(jǐn)慎：了解咨詢動(dòng)機(jī)和原因，確定范圍，工作技巧，潛在影響，組織從中獲什么益處
　　如何處理目標(biāo)：審計(jì)目標(biāo)優(yōu)于管理人員特殊要求，如何協(xié)調(diào)：
　　將額外目標(biāo)納入咨詢業(yè)務(wù)中
　　記錄額外目標(biāo)，最后溝通時(shí)，報(bào)告觀察結(jié)果
　　將額外目標(biāo)納入后續(xù)保證業(yè)務(wù)中
　　咨詢計(jì)劃：包括業(yè)務(wù)目標(biāo)、范圍、完成目標(biāo)的技術(shù)手段
　　結(jié)果溝通：要求清楚的報(bào)告業(yè)務(wù)性質(zhì)、存在的局限性、引起主意的地方。越過服務(wù)對象，直接于上級溝通的情況：重大風(fēng)險(xiǎn)漏洞和控制弱點(diǎn)
　　報(bào)告使用：董事會(huì)、審計(jì)委員會(huì)、其他政府部門，在包括其他審計(jì)活動(dòng)時(shí)進(jìn)行披露
　　其他溝通：這種方式不具體，但可描述業(yè)務(wù)類型和重要建議，這是審計(jì)職責(zé)

（責(zé)任編輯：中大編輯）