內(nèi)審流程方法和技巧

1、內(nèi)審流程方法和技巧,,Introduction,侯博（Angelo）,ACCA memberCIA memberBaker-Tilly China ——External auditorNew China Life Insurance Co. ——Internal auditorFootball，Gym，MMAEmail: angelo.hou@kbfinancial.com.cn,鑒證業(yè)務 Assurance Engag

2、ement,外部審計的角色,內(nèi)審與外審的差異,內(nèi)審的限制因素,Reporting system－向管理層匯報Scope of work－審計范圍由誰來決定Recruitment of staff－內(nèi)審團隊由誰來招聘Audit work－工作內(nèi)容由誰來復核Length of service of internal audit staff－長期服務的關系Variation of standard－缺乏統(tǒng)一的標準,產(chǎn)生的問題,管理層

3、設計的內(nèi)控和管理制度，內(nèi)審檢查后向管理層匯報，管理層愿不愿意聽取意見，愿不愿意實施改進措施審計范圍由管理層來決定，不想讓你檢查的就不讓檢查內(nèi)審團隊成員和內(nèi)審部門主管由公司管理層來招聘，不聽話的就干掉工作內(nèi)容由部門內(nèi)部互相復核，走形式長期服務的關系，講情面，缺乏獨立性缺乏統(tǒng)一的標準，并且不局限于財務領域,內(nèi)審流程方法和技巧,內(nèi)審理論框架基礎 實施內(nèi)審業(yè)務 其他知識 案例分享,一 內(nèi)審理論框架基礎,內(nèi)審的宗旨，權利和

4、職責客觀性和獨立性風險導向制定內(nèi)審計劃內(nèi)審在公司治理中的角色其他內(nèi)審任務和職責計劃審計業(yè)務,1.內(nèi)審的宗旨，權利和職責,宗旨－對風險管理，控制和治理過程進行評價，提高組織效率，幫助實現(xiàn)組織目標權利－是實現(xiàn)內(nèi)審目標的保證職責－內(nèi)部審計部門和人員需要履行的責任如何保證權力以實現(xiàn)目標－建立制度性文件內(nèi)部審計章程職能與責任說明書內(nèi)部審計政策說明書審計手冊崗位職責描述,1.內(nèi)審的宗旨，權利和職責,內(nèi)部審計章程內(nèi)容規(guī)

5、定內(nèi)審部門在組織中的地位授權內(nèi)審部門接觸與執(zhí)行審計工作有關的記錄，人員和實物資產(chǎn)明確內(nèi)審活動的范圍明確規(guī)定服務的性質(zhì)審批權董事會，審計委員會，相關治理機構和高級管理層批準或認可。作用最大程度的保證獨立性評價內(nèi)審工作質(zhì)量和工作業(yè)績的依據(jù)內(nèi)審與管理層和其他部門就審計范圍進行協(xié)調(diào)和消除分歧的依據(jù),2. 獨立性和客觀性,獨立性－內(nèi)審部門公正無偏地履行其職責，免受任何威脅其履職能力的情況影響。（內(nèi)審的生命，賴以生存的必要條件）

6、內(nèi)審部門設置的考慮事項部門的設置是否經(jīng)董事會，審計委員會等批準的內(nèi)部審計章程中作出規(guī)定雙重報告關系：首席審計執(zhí)行官應該對審計委員會，董事會或其他相關治理機構報告業(yè)務工作，向CEO報告行政工作首席審計執(zhí)行官能否直接且無限制地與董事會，審計委員會等接觸和溝通首席審計執(zhí)行官的任免應由董事會或?qū)徲嬑瘑T會等治理機構一致同意后確定審計委員會的組成，不能主要由管理層人員來組成,2. 獨立性和客觀性,客觀性－公正的，不偏不倚的態(tài)度，避免利益

7、沖突內(nèi)審的參照性政策盡量定期輪換內(nèi)部審計師不應承擔組織的運營責任。并且，應該在至少一年后才能參加審計其負責的運營領域（對于借調(diào)或臨時聘用人員）進行業(yè)務溝通之前審查內(nèi)部審計工作結(jié)果（應由首席審計執(zhí)行官或其他具備資格的人審查工作底稿和結(jié)果）不履行設計，安裝和經(jīng)營系統(tǒng)的職責，但可以在控制系統(tǒng)實施前進行審查和提出建議不接受員工，客戶，供貨商或者有工作關系的酬金或禮物，除非價值不大。,2. 獨立性和客觀性,其他需要注意事項具備必要

8、的知識，技能和勝任能力保持應有的職業(yè)審慎態(tài)度進行后續(xù)教育由首席審計執(zhí)行官建立和保持質(zhì)量保證和改進程序－內(nèi)部評估（由首席審計執(zhí)行官挑選評估小組進行評估）與外部評估（聘請合格的獨立的外部檢查小組進行評估，至少每5年開展一次），制定《質(zhì)量評估手冊》，向董事會或其他治理機構報告結(jié)果,3.風險導向制定內(nèi)審計劃,COSO企業(yè)全面風險管理框架（ERM）三個維度第一維是企業(yè)的目標第二維是全面風險管理要素第三維是企業(yè)的各個層級,3.風險導向

9、制定內(nèi)審計劃,首席審計執(zhí)行官須以風險為基礎制定計劃，考慮組織的風險管理框架，包括管理層針對不同業(yè)務或部門的風險偏好（Risk Appetite）COSO風險管理框架內(nèi)部環(huán)境－Control Environment－高層態(tài)度風險評估流程－Risk Assessment Process事件識別－Identify風險評估－Risk Assessment－Risk Map（impact and likelihood）－prioriti

10、zation風險應對－TARA信息系統(tǒng)－Information Systems控制活動－Control Activities－Authorization, Review, Information processing, Physical controls, Segregation of Duties監(jiān)督－Monitoring,3.風險導向制定內(nèi)審計劃,應用該框架識別潛在的審計業(yè)務－審計領域考慮公司戰(zhàn)略，了解管理層態(tài)度，工作方

11、針和工作重心（分析－PESTEL，SWOT；訪談；問卷）管理層的特殊要求法律法規(guī)要求的變化內(nèi)部制度或其他變化評估組織風險：識別－度量－排序根據(jù)風險排序，確定審計先后次序,3.風險導向制定內(nèi)審計劃,識別內(nèi)審資源需求－為了審計工作有效完成內(nèi)審人員的配置計劃（內(nèi)審人員的技能和知識要與審計業(yè)務相匹配，必要的后續(xù)教育和培訓計劃）財務預算（應根據(jù)審計工作日程表和活動，人力發(fā)展需求，人員的教育與培訓相匹配）時間管理（根據(jù)項目，人員素質(zhì)

12、，管理層需求設定合理的起止時間）選擇審計業(yè)務－與董事會溝通并獲得其對審計業(yè)務計劃的批準風險評估過程應當每年進行，審計業(yè)務計劃的變更應得到審批，以保證及時更新,4.內(nèi)審在公司治理中的角色,報告重大審計事項－及時告知高級管理層和董事會評估業(yè)績考核體系的充分性和有效性，并定期向董事會報告KPI指標與管理層討論重大風險領域－管理層接受的風險水平與機構的風險管理戰(zhàn)略是否一致；管理層對重大風險采取的措施是否恰當；如果管理層決定對風險不采

13、取糾正措施并承擔后果，應及時向董事會報告這些情況協(xié)助董事會開展全面風險評估監(jiān)督遵守公司行為規(guī)范和商業(yè)慣例的情況－保密，公平交易，恰當使用組織資產(chǎn)，禮品及酬金，違法和不道德行為等報告控制框架的有效性協(xié)助董事會評估外審的獨立性評估董事會和公司的道德氛圍評估在特定領域的政策遵循情況跟蹤并報告管理層對監(jiān)管機構和外審檢查結(jié)果的落實情況樹立舞弊防范意識，鼓勵報告不正當?shù)男袨?5.其他內(nèi)審任務和職責,道德規(guī)范／合規(guī)情況對道德合規(guī)情況

14、的投訴進行調(diào)查并提出解決辦法，確定違反道德規(guī)范的處理，培養(yǎng)健康的道德氣氛風險管理建立和實施風險和控制框架；進行風險評估，并向董事會報告風險評估結(jié)果；對災難準備情況作出評價，并對災后重建恢復的有效性進行監(jiān)督隱私評估組織的隱私保護制度和保證合規(guī)信息或物理安全確定安全薄弱環(huán)節(jié)（自然災害，信息系統(tǒng)崩潰，恐怖行為，盜竊和故意破壞）；確定違反安全規(guī)定行為的處理；并報告合規(guī)情況,6.計劃審計業(yè)務,開展與審計業(yè)務客戶的初步溝通－正式會議溝通

15、審計目標和審計范圍審計工作計劃和審計方式要求客戶報送財務資料，內(nèi)控制度，有關政策等文件資料對審計業(yè)務范圍實施初步調(diào)查－確定重點審計領域并熟悉組織活動和風險（從被審計單位獲得信息－了解經(jīng)營目標，政策，重點關注事項，組織信息等）進行分析性復核 Analytical review－財務比率，趨勢和合理性測試與預算，預測等進行比較進行基準比較法 Benchmarking－尋找最佳對象，并比較，找尋差距實施面談 Interview－

16、4 C 法則：清晰 Clear（使用對方能聽得懂的術語）， 簡潔 Concise（簡短，突出重點），完整 Complete（包含所有相關信息）， 正確 Correct（保證與對方溝通時數(shù)據(jù)正確）查閱以前的審計報告和其他相關資料繪制流程圖－Flow Chart，Organization Chart，內(nèi)控調(diào)查問卷編制檢查清單,6.計劃審計業(yè)務,完成相關領域的詳細風險評估－除了關注組織的風險管理，還要關注審計風險審計風險＝IR＊CR＊

17、DR－發(fā)表不恰當?shù)膶徲嬕庖婏L險控制矩陣識別經(jīng)營目標－審計小組與管理層共同確認識別經(jīng)營目標的相關風險－向管理層詢問達成目標的障礙按照可能性和重要性度量風險識別控制活動－TARA評價控制是否充分測試內(nèi)部控制的有效性對控制的充分性和有效性作出最終意見,6.計劃審計業(yè)務,與外審和監(jiān)管機構協(xié)調(diào)審計工作－經(jīng)濟性，效率，有效性建立并完善審計業(yè)務的目標，確定審計范圍審計類型：營銷部門經(jīng)營目標：提升產(chǎn)品在中國市場的認可度審計業(yè)務目

18、標：識別和評價提升產(chǎn)品在中國市場的認可度的合適控制手段識別審計所依照的標準－例如：（合適，且雙方都認可）經(jīng)營成果信息－盈利性行業(yè)最優(yōu)內(nèi)控制度政策和程序法律法規(guī),6.計劃審計業(yè)務,考慮舞弊的可能性－注意風險因素和危險信號風險因素－控制弱點：缺乏審批，越權管理等危險信號－個人原因（嚴重的病情，賭博等），公司原因（財務困難，過度的債務等）可能助長舞弊的因素：無效的內(nèi)控，員工的勾結(jié)，流動資產(chǎn)的存在確定審計業(yè)務程序－相關（應收

19、的價值認定－詢證函）步驟：收集審計資料－分析和評價資料－記錄信息－對審計業(yè)務的監(jiān)督確定審計所需人員水平和資源數(shù)量和經(jīng)驗；技能和勝任能力；外部資源的考慮；對內(nèi)部人員的培訓建立對審計業(yè)務計劃和監(jiān)督－保證完成和審計質(zhì)量督導過程貫穿業(yè)務活動始終，所有底稿都有進行復核，監(jiān)督復核都要形成記錄記入底稿編制審計業(yè)務工作底稿記錄信息，以支持結(jié)論；為編制報告提供依據(jù)；便于第三者審查等,一 內(nèi)審理論框架基礎,內(nèi)審的宗旨，權利和職責客觀

20、性和獨立性風險導向制定內(nèi)審計劃內(nèi)審在公司治理中的角色其他內(nèi)審任務和職責計劃審計業(yè)務,二 實施內(nèi)審業(yè)務,實施業(yè)務監(jiān)督業(yè)務結(jié)果舞弊知識要點業(yè)務公具,1.實施業(yè)務,內(nèi)部審計的四個步驟－收集和評價證據(jù)是核心工作計劃業(yè)務－確認，分析，評估記錄證據(jù)－溝通業(yè)務結(jié)果－監(jiān)督整個審計業(yè)務過程證據(jù)的采集控制測試（符合性測試）－證明控制是否運行有效實質(zhì)性測試－詳細測試：對各類賬戶余額，交易具體細節(jié)進行測試；實質(zhì)性分析程序：研究數(shù)據(jù)

21、間關系來評估證據(jù)多種證據(jù)間要相互印證，注意抽樣風險，和重要性水平,1.實施業(yè)務,評估證據(jù)的標準－風險決定證據(jù)的數(shù)量和質(zhì)量充分的Sufficient－證據(jù)符合事實，具備說服力，可以使審慎的，具備相關知識的人員得出相同的結(jié)論可靠的Reliable－恰當?shù)募夹g可以獲得的最佳證據(jù)－外部大于內(nèi)部，內(nèi)控好的大于內(nèi)控差的，文件大于口頭，原件大于復印件相關的Relevant－證據(jù)能夠支持發(fā)現(xiàn)和建議有用的Useful－能夠幫助組織實現(xiàn)其目標編

22、制工作底稿內(nèi)容：計劃過程－風險評估－對內(nèi)控系統(tǒng)健全性和有效性的檢查和評價－執(zhí)行的審計程序，取得的資料和得出的結(jié)論－復核－報告－跟蹤程序要求：整齊，統(tǒng)一，容易理解，相關，經(jīng)濟，完整，書寫簡單明了，邏輯有序溝通中期進展情況－中期報告（可以是書面的，也可以口頭的）需要編制中期報告的情況：審計業(yè)務工作需要延長；審計業(yè)務中發(fā)現(xiàn)了需要馬上引起注意的重要問題；管理當局迫切需要了解情況；審計業(yè)務范圍發(fā)生變化,1.實施業(yè)務,編制建議書建議不是命

23、令，內(nèi)審不承擔管理職能，否則會威脅客觀性不應該提出唯一的行動建議，管理人員視野要比審計師的視野廣與管理人員共同討論建議是個不錯的辦法，并且共同探討采取的糾正措施，不僅可以改善雙方關系，而且有助于建議和措施的實施報告業(yè)務結(jié)果召開退出會議的目的：與客戶討論審計發(fā)現(xiàn)，結(jié)論和建議；允許客戶澄清特定事項；取得一致的解決意見；取得管理層對報告的反饋意見編制業(yè)務報告的質(zhì)量要求：準確，客觀，清晰，簡潔，富有建設性，完整，及時內(nèi)容：業(yè)務目標，

24、范圍說明，業(yè)務結(jié)果（發(fā)現(xiàn)，結(jié)論，建議和行動）發(fā)現(xiàn)和建議應包括下列內(nèi)容：標準（正確的情況），實際情況，差異原因，后果注意：可以包括對出色業(yè)績的肯定，以及達成一致的糾正措施,2.監(jiān)督業(yè)務結(jié)果,重要性：在業(yè)務完成后，審計報告中涉及的發(fā)現(xiàn)和提出的建議對組織的經(jīng)營非常重要，需要管理層馬上采取糾正措施，所以內(nèi)審部門應該對建議的執(zhí)行情況進行監(jiān)督，以保證實現(xiàn)業(yè)務目標，提高經(jīng)營活動的效率和效果責任：首席審計執(zhí)行官負責建立后續(xù)追蹤程序，監(jiān)督業(yè)務結(jié)果，

25、確保管理層采取有效的措施，或高級管理層已接受不采取行動的風險。需要考慮：風險和漏洞的嚴重程度業(yè)務發(fā)現(xiàn)或建議的重要性采取糾正行動的成本和工作量（值不值得）設定糾正時間,2.監(jiān)督業(yè)務結(jié)果,計劃－確認監(jiān)督業(yè)務結(jié)果的適當方法將業(yè)務發(fā)現(xiàn)或建議向負責采取糾正措施的恰當管理層報告收集并評價管理層對業(yè)務發(fā)現(xiàn)和建議的反饋意見誰來監(jiān)督，監(jiān)督什么，如何實施監(jiān)督活動，何時實施監(jiān)督活動收集并評價采取糾正行動的信息和進度糾正措施的結(jié)果向誰匯報實

26、施跟蹤活動－3個步驟與被審計方協(xié)商，決定是否，何時，怎樣按照內(nèi)審的建議采取糾正行動被審計方按照決定采取行動經(jīng)過一段合理的時間，內(nèi)審對被審計方進行復查，看是否采取了合適的糾正措施并取得了理想的效果針對不滿意的反應或者措施，向適當?shù)母呒壒芾韺踊蚨聲▓?3.舞弊知識要點,舞弊審計是一項重要且耗費很大的工作。舞弊檢查的結(jié)果可能最終會進入司法程序，所以需要收集符合司法標準的證據(jù)。發(fā)現(xiàn)舞弊和進入司法程序?qū)镜穆曌u影響很大，如果指控不能

27、證實，還會給組織帶來潛在的法律責任內(nèi)審的任務－“早期預警系統(tǒng)”，發(fā)現(xiàn)舞弊征兆，收集足夠信息，幫助高級管理層決定是否值得安排更加專業(yè)的舞弊調(diào)查團隊進行進一步的調(diào)查，并確保嫌疑人對調(diào)查沒有警覺因此，內(nèi)審需要了解舞弊方面的知識和技巧,3.舞弊知識要點,舞弊的類型－為組織謀取利益的舞弊行為，例如故意錯報以粉飾財務報表進行不當付款行為，例如：非法政治捐款，向政府官員行賄，向客戶或供應商支付酬金等進行不當?shù)年P聯(lián)方交易行為故意在納稅環(huán)節(jié)中

28、出現(xiàn)錯誤已達到少交稅的目的舞弊的類型－為個人謀取利益的舞弊行為，例如貪污。典型情況：挪用資產(chǎn)或現(xiàn)金收受賄賂和回扣申請為組織實際上并未獲得的服務或商品支付款項盜竊未經(jīng)授權或非法使用應該保密或具有專利權的信息,3.舞弊知識要點,導致舞弊的因素－機會。比如：較弱的內(nèi)控或缺乏內(nèi)控，過于集中的權利等導致舞弊的因素－動機。比如：奢侈的生活習慣，昂貴的醫(yī)療費用，賭博，保住工作崗位等導致舞弊的因素－合理化。實施舞弊的人都需要能夠以一些方

29、式來解釋自己的行為。比如：我先借用一下公司的資金，下個月還上；我這樣做是為了公司的生存；別人都這么做，所以這樣做一定是對的此外，還需要注意職員間的互信串通,3.舞弊知識要點,組織舞弊的征兆，例如分批采購－繞過審批遺失或破壞記錄和文件過多的“取消”或“退款”現(xiàn)象壞賬增多財務經(jīng)理和執(zhí)行官頻繁變動個人舞弊的征兆，例如奢侈的生活方式沉重的個人債務跡象不愿意請假或離開崗位承受的壓力過大無法解釋的情緒波動或復雜行為,3.舞

30、弊知識要點,紅旗標志法（危險信號法）－作用在于提高警惕，并不意味著舞弊已經(jīng)發(fā)生，編制“危險信號”清單是很好的做法。危險信號的類型審計循環(huán)危險信號環(huán)境危險信號行業(yè)特有的危險信號犯罪者危險信號管理舞弊財務報表危險信號其他危險信號,3.舞弊知識要點,審計循環(huán)危險信號收入和應收－與行業(yè)趨勢不符的增長，高運輸量和低銷售量，漫長的應收賬款回收期等支出和采購－個別供應商的超常采購數(shù)額，容易接觸空白支票或支票簽發(fā)系統(tǒng)生產(chǎn)成本－大量

31、廢料，異常的高維護和維修成本，標上運輸標記卻沒有運走的貨物財務處理－大量或有事項，有重大融資事項（貸款或發(fā)行股票）環(huán)境危險信號激烈的競爭環(huán)境－給公司帶來壓力，進而將壓力轉(zhuǎn)嫁給個人企業(yè)的類型和性質(zhì)導致的內(nèi)控缺少－人手缺乏，權利集中，復雜交易行業(yè)或文化中存在的不良風氣重組或是企業(yè)結(jié)構重大調(diào)整－控制政策被打亂跨國組織－向外國官員行賄，偽造員工，將匯兌差額占為己有依賴計算機技術的組織－未經(jīng)授權的登入系統(tǒng)，用戶名和密碼保護不善,3

32、.舞弊知識要點,行業(yè)特有的危險信號，有四個行業(yè)發(fā)生舞弊的比率占白領舞弊的70%以上金融服務部門－有動機，有機會；轉(zhuǎn)移客戶賬戶資金，偽造實體發(fā)放貸款等保險業(yè)－欺詐性索賠，向不存在的客戶付款等制造業(yè)－復雜的成本核算過程，專業(yè)的產(chǎn)品和業(yè)務決策能源行業(yè)－客戶很難核對實際收到的貨物犯罪者危險信號機會方面－拒絕休假，某管理人員在某一特定崗位年限太長，員工與某些客戶建立緊密聯(lián)系動機方面－與收入不符的財產(chǎn)，滿足公司或家庭目標帶來的壓力，高

33、負債，過度投資股市或房產(chǎn)合理化方面－低標準的道德意識，過去破壞法律或非正當?shù)睦寐殬I(yè)便利的經(jīng)歷，對雇主不滿,3.舞弊知識要點,管理舞弊，舞弊規(guī)模大小與犯罪者職位有關，他們比一般人有更多的機會，由執(zhí)行官層面實施舞弊造成的損失是管理人員的5倍，管理人員舞弊造成的損失是雇員舞弊的13倍銷售經(jīng)理偽造銷售記錄，以完成銷售目標部門領導為了獎金，錯報業(yè)績水平偽造費用，并簽字批準費用報銷財務報表危險信號虛假利潤－異常增長，負現(xiàn)金流但仍舊增長

34、的收入，非常復雜的交易項目等不當?shù)馁Y產(chǎn)價值－主觀的確認資產(chǎn)價值，不當?shù)馁Y本化不當?shù)呐叮稑藴是昂竺芷渌ｋU信號無法解釋的差異（如，與前期比較發(fā)現(xiàn)的異常高額費用支出）繞過審批程序控制（如，分割訂單，使每部分金額都低于需要批準的最低金額）不同供貨商的地址相同,3.舞弊知識要點,面談技術。訊問是希望犯罪者對答案的承認，內(nèi)審的職責不是尋求對犯罪事實的坦白，而是收集可用于法庭審判的證據(jù)，因此我們會使用面談技術，鼓勵對方自由地，開

35、誠布公地回答所有問題，提供更多的信息建立和諧融洽的談話氛圍－表示出理解對方的感受和價值觀，讓對方愿意分享充分考慮面談對象的需要，約見時間，準時赴約，方便面談對象的面談地點，嚴格限制參與面談的人數(shù)溫和的眼神，表示理解的面部表情，傾聽，不要打斷對方的說話，以不引人注目的方式做記錄多使用開放性問題（開放式問題：你能夠向我解釋系統(tǒng)中的數(shù)字為什么與驗收報告不匹配嗎？封閉式問題：你篡改這份報告了嗎？）提問順序，全面概括的問題到具體特定事項

36、；先開放性問題，后封閉性問題,3.舞弊知識要點,面談中的特殊行為，紅旗信號躁動－經(jīng)常變換位置，站立，來回踱步姿勢不自然－身體不與面談者正面相對不愿意眼神接觸不當態(tài)度－突然改變回答態(tài)度，沒有根據(jù)的充滿敵意或諷刺的態(tài)度焦慮信號，如嘆息，出汗，嘴唇發(fā)干，搓手或搓臉，語速快或說話聲調(diào)提高在面談中改變已回答的問題答案,3.舞弊知識要點,面談步驟－4個階段準備－確定目標和目的，收集面談對象的背景資料，制定面談策略，確認面談時間和地點

37、開始面談－按計劃實施面談，了解面談對象的陳述是事實還是不實之詞與面談對象取得一致－以取得面談對象的認可或消除誤解記錄面談過程－形成報告，決定下一步行動,3.舞弊知識要點,司法鑒定審計－用于收集法庭上使用證據(jù)的審計技術，考慮：獲得適當?shù)氖跈喑浞钟涗浐捅Ｗo相關證據(jù)收集證據(jù)方面的法律規(guī)定以符合法律要求的方式報告發(fā)現(xiàn)的問題是否需要征求法律建議評估和評價收集的證據(jù)保密不僅了解會計準則，還要熟悉和掌握調(diào)查技術和法律訴訟制度及規(guī)定

38、豐富的經(jīng)驗，職業(yè)敏感性,4.業(yè)務工具,抽樣Sampling統(tǒng)計學抽樣－概率抽樣：產(chǎn)生量化的結(jié)果；包含了對抽樣風險，置信水平和精確度的估計值／費時費力，成本較高；需要培訓，需要購買軟件非統(tǒng)計學抽樣－判斷抽樣：靈活；符合成本效益原則／依賴經(jīng)驗和主觀看法；不能明確說明可衡量的抽樣風險；不能產(chǎn)生有統(tǒng)計數(shù)字的結(jié)果幾種常用的抽樣方法屬性抽樣－常用于控制測試停－走抽樣：預計總體偏差率為零，抽取一定的樣本進行檢查，如果沒發(fā)現(xiàn)問題，足以證明控

39、制有效，結(jié)束測試，否則擴大樣本量繼續(xù)，直到發(fā)現(xiàn)充分的審計證據(jù)為止（比較適合預期總體差錯率較低，需要的樣本量最少）發(fā)現(xiàn)抽樣：預計總體偏差率為零，對選出的樣本進行檢查，一旦發(fā)現(xiàn)偏差就立即停止抽樣，如果在樣本中沒有發(fā)現(xiàn)偏差，則可以得出總體可接受的結(jié)論（適合查找重大舞弊或非法行為）變量抽樣－常用于實質(zhì)性程序每單位均值估計法：總體1500個賬戶，總體賬面值1,000,000美元，挑選100個賬戶做樣本，樣本賬面值66,666.67美元。對樣

40、本檢查后，發(fā)現(xiàn)實際值69,350美元。推斷總體： 69,350／100＝693.5，693.5 *1500=1,040,250.00隨機抽樣：編號，從隨機數(shù)表中挑選號碼，將號碼對應的項目挑出來,4.業(yè)務工具,問卷Questionnaire－內(nèi)部控制問卷ICQ優(yōu)點容易實施規(guī)范所有人提供的信息，方便比較便于對大量的信息提供人員實施調(diào)查適合對控制系統(tǒng)進行初步評估缺點不能涵蓋所有情況不適合收集有深度的問題容易產(chǎn)生高估的結(jié)果

41、含有一些不相關的控制問題,4.業(yè)務工具,其他常用的證據(jù)收集手段復算：審計師為了證實數(shù)字的正確性而進行重新計算函證：外部證據(jù)，可靠性高否定式函證：收到著不同意時，才回復肯定式函證：不論是否同意都回復分析性復核RatioTrendsProof in Total觀察：權利歸屬無法證明，受經(jīng)驗影響，只能證明時點盤點,4.業(yè)務工具,解決問題－常用于提出建議和改進措施步驟：定義問題：現(xiàn)實狀況Vs期望狀況，差異原因構造解決方

42、案選擇方案執(zhí)行和評估方案構造解決方案頭腦風暴法：鼓勵每個成員提出自己的想法共同研討法：精心選擇具有不同個性和專長的人組成的小群體，以非正式交流方式，通過運用類推和隱喻等方法，描述問題及構造解決方案德爾斐技術：先從不同專家那里就某一問題征詢意見，總結(jié)意見后，返回給專家，但專家之間不互相溝通。反復的做，直到意見趨同與一個最優(yōu)的解決方案為止。,4.業(yè)務工具,圖標的使用關鍵路徑法－項目管理,4.業(yè)務工具,圖標的使用甘特圖－項目管

43、理,4.業(yè)務工具,圖標的使用散點圖－兩個變量的相關性,4.業(yè)務工具,圖標的使用因果圖（魚骨圖）－發(fā)現(xiàn)根本問題和根本原因,4.業(yè)務工具,圖標的使用趨勢圖,4.業(yè)務工具,圖標的使用流程圖,二 實施內(nèi)審業(yè)務,實施業(yè)務監(jiān)督業(yè)務結(jié)果舞弊知識要點業(yè)務公具,三 其他知識,溝通IT審計,1.溝通,溝通的方向－垂直（下行，上行），水平群體成員之間的溝通方式口頭溝通－優(yōu)點：快速傳遞和快速反饋；缺點：信息失真書面溝通－優(yōu)

44、點：持久保持，可核實；缺點：費時，不具備內(nèi)在反饋機制非語言溝通－下課鈴，紅綠燈，肢體語言，語調(diào)等組織溝通正式的小群體網(wǎng)絡：鏈式，輪式，全通道式小道消息－特點：1.不受管理層控制 2.大多數(shù)認為它比高級管理層通過正式渠道發(fā)布的消息更可靠，更可信 3.它主要服務于其內(nèi)部人員自身利益電子溝通,1.溝通,利益相關方（所有者，員工，管理者，政府，社區(qū)）－利益沖突Stakeholder Mapping（power，interest）管

45、理策略對抗策略－如果管理層認為利益相關方群體的目標是威脅公司業(yè)績，就可以采取對抗策略，如：起訴，調(diào)動公共關系和通過游說反對立法。（煙草公司）謹慎使用，可能會給公司樹立負面形象損失控制策略－當公司認為錯誤已經(jīng)鑄成，希望提高公司形象，改善關系時，會使用此策略適應策略－公司按照利益相關方要求進行改變，以符合利益相關方的目標先發(fā)制人策略－公司決定超出利益相關方的期望時，會選擇此策略。會和利益相關方形成伙伴關系。,2.It審計,安全應用

46、開發(fā)業(yè)務連續(xù)性,2.It審計,安全物理安全和控制物理安全－通過物理手段或過程手段來保全公司資產(chǎn)并確保使用者的人身安全物理安全風險－自然的和人為的：如，臺風，洪水，電力故障，操作錯誤，盜竊和設備故障等物理安全控制：包括物理訪問控制，環(huán)境風險控制和防火防水等，如，煙霧報警器，電子安全門禁，運動傳感器，攝像頭，不間斷電源，設置禁入?yún)^(qū)域等防火墻（設置在被保護網(wǎng)絡和外部網(wǎng)絡間的一道屏障，以防止發(fā)生不可預測的，潛在的破壞性侵入）入侵檢

47、測系統(tǒng)（IDS, Intrusion Detection System）－對應用數(shù)據(jù)流進行監(jiān)測并檢測出可能的入侵行為防火墻和入侵檢測系統(tǒng)的集成可以構成入侵防御系統(tǒng),2.It審計,安全信息安全－基本要素保密性－保證敏感信息不被非授權的瀏覽或截取完整性－保證信息的完整和準確可用性－保證信息隨時可用，并能在各種故障或災難發(fā)生后能迅速恢復數(shù)據(jù)惡意軟件，病毒及防范通過合理維護和配置系統(tǒng)－如：及時下載并安裝操作系統(tǒng)和應用系統(tǒng)的補丁包，

48、在系統(tǒng)運行時關閉管理員特權，現(xiàn)在特權代碼的使用，只從經(jīng)過驗證或指定網(wǎng)站下載，通過直接輸入URL地址來訪問網(wǎng)站（不要點擊各種鏈接）安裝防病毒軟件預防和偵測病毒的管理控制策略－如：安裝正版軟件，凡未在單機中掃毒的軟件不允許在網(wǎng)絡環(huán)境中使用，確保在工作站，主機和服務器中均已安裝殺毒軟件，及時更新病毒特征庫，備份數(shù)據(jù)也需要經(jīng)過殺毒程序，至少每年審核一次防病毒策略與程序,2.It審計,安全應用認證－防止非授權用戶訪問軟件應用，分類只有你知

49、道的事情－賬號和密碼只有你擁有的東西－智能IC卡，身份證，工作證只有你具有的特征－指紋，聲音，虹膜與訪問控制相關的手段或措施訪問日志－對用戶訪問信息系統(tǒng)的時間，內(nèi)容等進行記錄，便于分析控制自動注銷登錄－自動注銷非活動終端的登錄可以防止通過無人照管的終端來訪問主機上的數(shù)據(jù)回撥－遠程用戶撥叫主機后掛斷，由主機回撥該用戶以保證信息按指定線路傳輸工具軟件－可以繞過訪問控制和審計，應該制定限制使用具有訪問特權的工具軟件的政策,2.I

50、t審計,安全數(shù)據(jù)加密－使他人即使非法訪問了數(shù)據(jù)也不能理解數(shù)據(jù)內(nèi)容非對稱密碼體制－由公鑰（Public Key）和私鑰（Private Key）組成公鑰（Public Key）－通常用于數(shù)據(jù)加密或簽名驗證，可以在網(wǎng)上發(fā)布，是公開的私鑰（Private Key）－通常用于數(shù)據(jù)解密或簽名，只有本人知道，是秘密的常見的數(shù)據(jù)加密數(shù)字簽名－發(fā)送者用私鑰對所發(fā)送消息的摘要信息進行加密，常用于電子郵件，電子轉(zhuǎn)賬和辦公自動化等系統(tǒng)中數(shù)字證書

51、－是一個包含證書持有人的個人信息，公開密鑰，證書序號，證書有效期和發(fā)證單位等內(nèi)容的數(shù)字文件認證中心－是承擔網(wǎng)絡電子商務交易安全認證服務，簽發(fā)數(shù)字證書，確認用戶身份等工作，具有權威性和公正性的第三方服務機構,2.It審計,應用開發(fā)各項活動系統(tǒng)分析－包括用戶需求分析和系統(tǒng)可行性研究－《系統(tǒng)需求分析規(guī)格書》系統(tǒng)設計－具體設計系統(tǒng)的過程，分為邏輯設計和物理設計－《系統(tǒng)設計規(guī)格書》編程測試－包括，模塊測試，系統(tǒng)測試，驗收測試轉(zhuǎn)換－平

52、行運行，直接轉(zhuǎn)換，分階段轉(zhuǎn)換等策略運行和維護常見的檢查與控制是否滿足組織需求，是否符合公司戰(zhàn)略，開發(fā)方式是否符合經(jīng)濟性原則是否提供并完善保留編程代碼程序中是否包含完善的應用控制,2.It審計,應用開發(fā)常見的檢查與控制是否滿足組織需求，是否符合公司戰(zhàn)略，開發(fā)方式是否符合經(jīng)濟性原則是否提供并完善保留編程代碼程序中是否包含完善的應用控制－常見的應用控制：1. 輸入控制：如，輸入授權，合理性檢驗，格式檢驗，存在性檢驗等；2.

53、處理控制：運行總數(shù)控制，計算機匹配等；3. 輸出控制：復核處理日志，審核輸出報告，審核制度與文件變更控制是否經(jīng)過管理層審批，變更后是否進行全面測試并保存文檔，以留下何人，何時，做了和事的線索是否嵌入審計模塊或在系統(tǒng)中保留審計線索是否有專人負責后續(xù)運行維護服務,2.It審計,業(yè)務連續(xù)性－災難發(fā)生時，避免關鍵業(yè)務中斷制定應急計劃－高級管理層的職責，步驟業(yè)務影響分析－對各種風險的可能性和后果進行評估業(yè)務運行分類和重要性分析－根據(jù)不

54、同類別的業(yè)務制定不同的保護級別和恢復順序制定計劃－如，備份計劃和恢復的技術手段，財產(chǎn)保險，人員角色和通訊方式，恢復階段的員工交通和生活設施等測試和實施計劃－模擬中斷和紙面上串行測試監(jiān)測－及時更新,2.It審計,業(yè)務連續(xù)性－災難發(fā)生時，避免關鍵業(yè)務中斷故障弱化保護廉價冗余磁盤陣列RAID－將多只容量較小的，相對廉價的硬盤驅(qū)動器進行有機組合，使其性能超過一只昂貴的大硬盤，并且當其中一塊或幾塊硬盤發(fā)生故障時，只會降低讀寫速度而不會丟

55、失數(shù)據(jù)虛擬存儲－將多個物理存儲設備結(jié)合成一個邏輯虛擬存儲設備的方法服務器雙機熱備－兩臺服務器同時運行相同或不同的任務，當其中一臺服務器故障時，另一臺可以接管其關鍵任務，從而保證關鍵任務的不間斷運行負載均衡／服務器集群：通過負載均衡，流量可以被動態(tài)分配到一組運行相同應用程序的服務器組中的不同服務器上，這樣可以避免某臺服務器過載，也可以確保在某一臺服務器故障時，不會停機,2.It審計,業(yè)務連續(xù)性－災難發(fā)生時，避免關鍵業(yè)務中斷數(shù)據(jù)異地

56、備份－異樓備份（防火災），異城備份（防地震，洪水），跨國備份（防戰(zhàn)爭）脫機異地備份－利用磁帶機，定期對數(shù)據(jù)進行備份后通過物理手段送至存放地聯(lián)機異地備份－通過網(wǎng)絡進行聯(lián)機實時備份電子鏈接－通過電子線路自動傳送數(shù)據(jù)備份和實現(xiàn)數(shù)據(jù)的自動恢復遠程日志－通過電子線路自動傳送處理日志和實現(xiàn)數(shù)據(jù)的自動恢復,2.It審計,業(yè)務連續(xù)性－災難發(fā)生時，避免關鍵業(yè)務中斷信息設施異地冗余－防止系統(tǒng)故障或重大災難時的信息恢復手段熱站（Hot Site）

57、－提供從機房環(huán)境，網(wǎng)絡，主機，操作系統(tǒng)，數(shù)據(jù)庫，通信等各方面的全部配置，災難發(fā)生后，一般幾個小時就可使業(yè)務恢復運行。只需要操作人員到位并安裝應用程序，數(shù)據(jù)與文件即可運行溫站（Warm Site）－只配備了部分設備，通常沒有主機，只提供網(wǎng)絡連接和一些外部設備?；謴涂赡苄枰獛滋炖湔荆–old Site）－只提供支持信息處理設施運行的基本環(huán)境（如電線，空調(diào)，場地等）。災難發(fā)生時，所有設備都必須運送到站點，從基礎設施開始安裝，恢復可能需要幾