主办方：宁波市内部审计协会秘书处 协办方：宁波市审计局计算机中心 技术支持：宁波中经数据科技发展有限公司 　
地址：宁波市江东区宁穿路2001号 2号楼 7-8层
Copyright @
Ningbo Auditing Bureau , All Rights Reserved .
Email: 　Tel:(1 []当前位置： >>
2004年实施内部审计兆泰培训讲义
2004 年实施内部审计兆泰培训讲义1CONDUCTING THE INTERNAL AUDIT ENGAGEMENT 实施内部审计业务 北京兆泰投资顾问有限公司CIA研究中心 基本内容 1 2 3 4 5 6 7 8 标准 舞弊 证据 审计工作底稿 报告审计结果 内部审计业务种类 实施监督 审计业务工具 1 1 1.1 需要遵守的标准： 《内部审计实务标准》 标 准 标准?? 《实务公告》 ? 《道德规范》 ?其他相关标准 标准1 《内部审计实务标准》:?属性标准 ?工作标准 ?实施标准1 标准2004 年实施内部审计兆泰培训讲义21.2 内部审计师可以采用的标准包括：? ? ?工作指南 组织指示 预算? 产品说明 ? 行业惯例 ? 内部控制的最低标准 ? 公认会计准则 ? 合同和著名的商业实务，等等◇ 典型试题 1.根据《标准》，报告中的审计发现应该以“应该是什么”和“是什么”相比较的形式说 明。在对公司财政职能审计期间，决定“应该是什么”时，以下哪一项是用于对目 前经营情况进行判断的最不理想的标准？ a.上次审计记录的财政职能运行情况。 b.公司授权和分配责任的政策、程序。 c.财务课本中列举的一般公认的好的财政职能实例。 d.相关行业财政职能的最好实例的编纂材料。 ◇ 典型试题 2.以下有关衡量雇员工作业绩质量的标准中，哪一项适合于用来衡量专业人士，比 如说学院教员？ I.产出的数量 II.产出的质量 III.成本 IV.产出的及时性 V.资金需求 VI.产生的收益 a.I、II和III b.I、II和IV c.III、V和VI d.I、II、III、IV、V和VI2004 年实施内部审计兆泰培训讲义3◇ 典型试题 3.内部审计师遇到了一个IIA《道德规范》没有明确规定的道德难题，其通常应该 a.咨询独立的律师，以确定潜在行动对个人的影响。 b.采取与IIA《道德规范》体现的原则相一致的行动。 c.在决定采取行动前，咨询审计委员会。 d.采取与雇主公司的道德规范相一致的行动，即使该行动与IIA的《道德规范》不一 致。 ◇ 典型试题 4．在IIA《道德规范》框架下，以下哪一项是被允许的？ a.某内部审计师被法庭传唤，披露可能损害到该审计师所在组织的机密的、与审计 有关的信息。 b.某内部审计师利用审计中获得的信息来决定是否购买雇主公司发行的股票。 c.某内部审计师在最近一次的审计业务交流中表扬了某职员，之后，他（她）接受 了该职员赠送的礼物。 d.因为管理层表示他们将处理某非法活动，所以某内部审计师没有将与此相关的重 大发现向董事会报告。 2 2 2.1 舞弊审计的动因 舞 弊 舞弊? ?一些非常规性交易和记录遗漏所发出的警告信号。 管理层期望通过内部审计能减少雇员舞弊的风险。内部审计师发现舞弊的责任包括：? ? ?有足够的知识用以确认舞弊发生的征兆； 确认允许舞弊发生的控制弱点； 充分评价舞弊征兆以确定是否实施舞弊调查。 2.2 发现舞弊的审计步骤:? 保持应有的职业审慎性； ? 评价舞弊的迹象或征兆，并决定是否需要采取进一步的行动或提出进行调查的建2004 年实施内部审计兆泰培训讲义4议；? 开展舞弊调查； ? 评价获得的事实证据； ? 发布舞弊报告。2.2 发现舞弊的审计步骤: 舞弊调查步骤：? 评价组织内部发生舞弊的概率和同谋程度。 ? 确定有效开展调查所需的知识、技能和其他能力。 ? 设计相关程序，确认舞弊者、舞弊程度、所用技术和舞弊原因。进行舞弊调查的注意事项：? 在整个调查过程中，只要条件合适，就应该与管理人员协调行动。 ? 认识到舞弊嫌疑人和调查范围内有关人员的权利以及组织本身的名誉。2.2 发现舞弊的审计步骤: 评价已知事实的目的：? ? ?确定是否需要实施或加强控制，减少未来的薄弱环节。 设计调查测试内容，以协助披露未来的类似舞弊现象。 协助其他内部审计师履行其职责，以维护对舞弊的充分了解，并发现未来的舞弊 迹象。 2.2 发现舞弊的审计步骤:舞弊报告形式：? ?书面或口头报告 中期或最终报告舞弊报告内容：?调查发现2004 年实施内部审计兆泰培训讲义5? ? ?调查结论 调查建议 纠正性措施。2.2 发现舞弊的审计步骤: 对于舞弊报告的解释性指导如下：? 当内部审计师已在合理程度上确认组织发生了严重的舞弊现象时，应该将这种情况及时通知管理高层和董事会。? 舞弊调查的结果可能表明舞弊在一年或几年中对组织的财务状况和经营成果已经产生了以前尚未发现的严重负面影响，而这些年份的财务报表已经公布。内部 审计师应该将此发现通知管理高层和董事会。? 关于舞弊最终报告的草稿应该提交组织法律顾问审查。2.3 舞弊的一些知识要点 评估舞弊发生的标准：? 现有条件招致重大违法行为的风险；? ?组织内拥有权力和责任的个人（或集体），出于某种原因或动机从事违法活动 的可能性； 组织内拥有权力和责任的个人（或集体）工作态度或道德观念有问题，以致（或 甚至寻找机会）进行违法活动的可能性。 舞弊的迹象和征兆--员工舞弊的征兆：? ? ? ? ? ?超支采购或奢侈的生活方式； 无法解释的情绪波动或复杂的行为； 不能够承受压力； 具有使他们的盗窃行为合理化的能力； 能够利用内部控制的弱项以掩盖自己的舞弊行为； 不愿意请假或离开岗位；2004 年实施内部审计兆泰培训讲义6? ? ?在工作中，长期性的士气低下； 与卖主之间不正常的亲密关系或突然换掉一个长期卖主； 沉重的个人债务迹象。舞弊的迹象和征兆―组织舞弊的迹象（1）? ? ? ? ? ? ? ? ? ? ?划整为零采购； 遗失或破坏记录和文件； 太多的“取消”或“退款”； 财务经理和执行官频繁变动； 现金流失； 销售量和收入减少； 应付和应收账款增加； 不正常的或重复的票据背书； 存货和销售成本增加； 收入和支出经常重新分类； 暂记事项没有完全解决或解决不及时； 舞弊的迹象和征兆―组织舞弊的迹象（2）? ?暂记事项没有任何说明就被注销了； ? ?坏账增多； ? ?账目在年底作重大调整； ? ?长期未兑现支票； ? ?大量的顾客投诉；2004 年实施内部审计兆泰培训讲义7? ?缺少附件的支出； ? ?错误或不正确的会计记录； ? ?双重开单； ? ?以劣质货物作为替代品；舞弊的迹象和征兆―组织舞弊的迹象（3）??没有及时完成银行调节表； ??有关利益冲突的谣言； ??使用单方取得的合同； ??不现实的业绩预测； ??员工士气长期低落。舞弊的一般类型： ? 为组织谋取利益的舞弊行为 ? 为个人谋取利益的舞弊行为 为组织谋取利益的舞弊行为-1? ? ? ?出售或分配子虚乌有的或错报的资产； 进行非法政治捐款、行贿、提供回扣，向政府官员、政府官员的中介、客户、供 应商支付酬金等不当付款行为； 故意错报或错误评估业务交易、资产、负债或收入； 对转移支付故意进行不当定价（关联交易的计价）。通过故意地不恰当地定价， 管理人员可以改善参与交易组织的经营结果，从而给其他组织带来损害； 为组织谋取利益的舞弊行为-2?进行故意的不当关联方交易，在此类交易中一方得到了一些在正常交易中不能获 得的利益；2004 年实施内部审计兆泰培训讲义8? ? ?故意不记录或不披露重要信息，而这些信息有助于外部方面更好地了解组织的财 务状况； 开展明令禁止的商业活动（如：违反政府法令、规则、规定或合同的活动）； 税务欺诈。 为个人谋取利益的舞弊行为：? 收受贿赂和回扣； ? ?将在正常情况下会给组织带来利润的潜在赢利交易转给雇员或外部人员； 贪污。典型情况是挪用资金或财产，并篡改财务记录以掩盖贪污行为，从而使 贪污行为不易被发现；? 故意隐藏或错报事项或数据； ? 要求为实际上并未提供给组织的服务或商品支付款项； ? 由于服务或货物提供的赔偿，没有如实上交给组织。2.4 发现舞弊的一些技术方法 ? “ 危险信号” 法 ? 发现抽样 ? 司法鉴定审计 ? 讯问技术 ? 分析性程序 2.4 发现舞弊的一些技术方法： “危险信号”法：是在总结以往舞弊的基础上，用一整套文字来描述哪种条件下舞弊 发生率比较高的方法。 局限性： （1）危险信号并不一定意味着舞弊的存在； （2）危险信号难以被量化或估价。2004 年实施内部审计兆泰培训讲义9“危险信号”举例：? ? ?由个人原因而产生的过度压力，如严重的疾病、赌博、缺乏个人道德观念、受过 别人的恩惠等； 由公司原因而产生的过度压力，如经济困难、过度的财务杠杆作用、大量的审计 调账项目、较差的业务控制等； 具体的控制风险，如监督不力、责任和义务的委派不明确、在分配的任务中存在 明显的利益冲突等。发现抽样 属于属性抽样技术的一个分支，用于测试非常有效的控制系统以及发现舞弊行为。 司法鉴定审计的作用：? 倡导建立一种能够提高防范经济犯罪意识的计划，以强调潜在风险的存在和对经济犯罪预防战略的需要。? 检查和经济犯罪有关的犯罪审判系统以及所有相关的法律，以确认是否存在重大缺陷，是否应适当地报告此发现。? 制定必要的政策和操作指南，包括用于审计和其他目的的风险评估模型。讯问技术的实施? ?内部审计师应该采用很多在其他情况下使用的面谈技术； 这些方法应该不带感情色彩，并且不含有威胁意味，同时，应该假设接受面谈 的人是无辜的；? 讯问应该由两个人进行，其中一人作为证人； ? 讯问人不应该打断被讯问人的谈话（除非需要澄清事实），并且应该努力争取获得被讯问人的信任；? 在实施讯问前，讯问人必须清楚犯罪嫌疑人的情况； ? 在讯问过程中，要注意维护法律规定的一些被讯问人享有的权利。分析性程序 利用计算机查询和分析数据的技术：2004 年实施内部审计兆泰培训讲义10? 结构化查询语言：一种数据操作语言，它能把来自多元数据库表格的数据加入逻辑文件中，以便对数据进行查找更新。? 管理查询设施：可用于趋势分析、制作图表，并可提供在线信息。 ? 逻辑视图：从一个或多个数据库表中生成新的数据结构（视图），以便以更直观的方式表示数据。? 数据挖掘：指导决策。对大量数据进行分析，从中发现隐藏在数据背后的一般规律，用来◇ 典型试题 1. 以下不属于内部审计师防止舞弊的责任的是 a.确定组织环境是否有利于增强控制意识。 b.保证防止舞弊的发生。 c.了解可能发生舞弊的活动。 d.评估管理层为防止舞弊而采取措施的有效性 。 ◇ 典型试题 2. 以下哪项表明市场部可能存在舞弊？ a.有些向新供应商支付的较大数额货款没有文件记录。 b.某经理的生活方式似乎超过了一个市场部经理薪金所能提供的生活方式。 c.为了鼓励创新，管理者创造了一个“相当宽松”的控制环境。 d.以上三项都对。 ◇ 典型试题 3．以下哪项最有可能被认为是舞弊的征兆？ a.管理层在不友好地被更换之后又复职。 b.财务主管的频繁更换。 c.向新市场的快速扩张。 d.政府对组织的纳税申报审计。 ◇ 典型试题 4．在一次审计中，内部审计师发现一个阴谋，某零售企业的仓库主任和采购代表将 约￥500,000的商品运到自己的仓库并出售给第三方。该舞弊行为早先并未被发 现，因为由仓库主任（在更新了存货永续盘存记录之后）向应付账款部门提出验 收报告。以下哪项程序最有可能发现丢失的材料和舞弊行为？ a. 对验收报告进行随机抽样，并追查至永续盘存记录，关注差异并按商品类别进行 调查。 b. 对采购订单进行随机抽样并追查至收货文件和应付账款部门的记录。 c. 进行年度存货实物盘点，将结果与永续盘存记录相核对，注意差异并调查。2004 年实施内部审计兆泰培训讲义11d. 对销售发票进行随机抽样并追查至永续盘存记录，以验证是否存货还在手中，调 查差异。 ◇ 典型试题 5．根据章程，内部审计部门有责任调查舞弊行为。如果内部审计师不可能接触到外 部经销商记录和员工，那么他们为调查市场部收受回扣的控告应采取的最好方法 是 a. 从经销商处寻找未记录的负债。 b. 获取经批准的经销商名单。 c. 观察嫌疑人的财务状况和行为。 d. 对应收账款的重大注销项目进行证实。◇ 典型试题 6. 以下哪项是有关内部审计师在注意到某些舞弊征兆之后的责任的最佳描述？ a.扩展审计程序来确定是否有理由进行调查。 b.向最高管理层报告舞弊的可能性，并询问他们希望审计活动怎样继续。 c.向外部法律顾问咨询，来决定如何采取行动，包括确保拟实施的审计方案从法律 角度上看是可行的。 d.将情况报告给审计委员会，申请经费以便聘请外部专家来帮助进行可能舞弊的调 查。◇ 典型试题 7．在对某银行的审计中，内部审计师发现一贷款官员批准了向某企业集团所属的各 独立机构发放的贷款，这违反了常规政策。内部审计师认为这一行为可能是有意 的，因为贷款官员与控制该企业集团的一个主要负责人关系密切，该内部审计师 应当 a.将此利益冲突和违规行为告知管理层，并建议作进一步调查。 b.将违规行为报告给法规部门，因为这构成了银行控制系统的重大缺陷。 c.如果该贷款官员同意采取纠正措施，则可以不报告该违规行为。 d.扩大审计范围，确定贷款官员是否有舞弊行为，并在后续调查完成后将调查结果 向管理层报告。◇ 典型试题 8.某内部审计师怀疑存在付款方面的舞弊，即某个未知姓名的雇员同时提交和批准 相关发票的付款。在与管理层讨论潜在舞弊行为之前，内部审计师决定进一步收 集证据。在提供附加证据方面以下程序最有效的是: a.使用审计软件获得附有邮局信箱号码或其他反常事项的供应商名单；对这些事项2004 年实施内部审计兆泰培训讲义12进行抽样并追踪检查其支持文件，如验收报告等。 b.对年内已付款项进行抽样，检查各笔款项的审批手续。 c.对可代表被调查期间的验收报告进行抽样，并追踪检查经批准的付款；注意未经 恰当程序的任何事项。 d.对上月收到的发票进行抽样检查，确定是否具有适当的付款授权；并追踪检查验 收报告等支持文件。◇ 典型试题 9.某生产经理订购了大量的原材料运送到一个其自己拥有的独立公司。该经理伪造 验收文件并且批准支付货款。以下哪一项审计程序最可能发现这一舞弊？ a. 挑选一个付款样本并且与采购定单、验收报告、发票和支票复印件比较。 b. 挑选一个付款样本并且向供货商证实购买数量、购买价格和运输日期。 c. 观察收货堆栈并且清点收到的材料， 将清点数和负责验收的人提交的验收报告进 行比较。 d. 实施分析性测试， 比较生产产量、 材料采购和原材料库存水平， 调查存在的差异。 ◇ 典型试题 10. 某中型公司由于某会计人员承担过多的职责，发生了舞弊行为。该年度公司更 换了一个新的劳务供应商，该会计人员却继续提交“前供应商”开来的发票。由于 订立劳务合同、批准供应商发票以及寄送支票都由该会计人员负责，因此他有可 能继续处理前供应商开来的发票并将付款支票存入他以前供应商名义开立的一 个新账户中。管理层一直认为该会计人员是个很优秀的雇员，最后又不恰当地给 他增加了编制部门预算的职责，这一职责使得他有机会将舞弊余额也编入预算。 分析性测试在发现舞弊行为中很有用，以下哪项分析性程序最可能显示出存在舞 弊？ a.当期产量与前期产量的比较。 b.当期劳务费用与前期劳务费用的比较。 c.劳务费用预算数与实际数的比较。 d.公司产品销售成本与行业产品销售成本的比较。 ◇ 典型试题 11.假设舞弊者向内部审计师供认了其舞弊行为，那么内部审计师应该 a.要求舞弊者在内部审计师制作的供认书上签字并将其存入审计工作底稿，向高级 管理层详细报告，请示下一步的行动。 b.不在工作底稿中进行记录，因为它是主观的、敏感的，而且可能会成为法律证据， 但要向管理层详细报告，由他们请求法律顾问来制作供认文件。 c.向管理层口头报告该供认，并建议他们将其报告给执法机关，因为涉嫌犯罪，但 不必制成文件记录。 d.告知舞弊者他们的权利，将他们的供认制成磁带并向执法机关报告犯罪。2004 年实施内部审计兆泰培训讲义13◇ 典型试题 12.以下哪一项关于舞弊调查的工作底稿记录的叙述是正确？ I.所有控告证据都应该包含在工作底稿中。 II.所有重要的证言证据都应该进行检查以保证其能够为结论提供充分的依据。 III.如果和被怀疑对象进行面谈，那么就应该将书面证明材料或书面陈述材料归入 工作底稿中。 a.只有I b.只有II c.II和III d.I、II和III◇ 典型试题 13. 以下哪项不能说明存在较大舞弊可能性？ a.管理层将在一定金额范围内的采购授权给下属。 b.某职员长期负责现金管理工作而没有实施岗位轮换。 c.处理可变现有价证券的职员负责采购、记录采购并向高级管理层报告差异和收益 或损失。 d.应收账款部门的职责分工和责任并不明确。◇ 典型试题 14. 最常见的管理层舞弊的动机是以下哪一项的存在？ a. 恶习，例如赌博的习惯。 b. 对工作不满意。 c. 对组织的财务压力。 d. 对实施完美罪行的挑战。 ◇ 典型试题 15.以下哪项陈述正确地描述了最近在审计专业界出现的“危险信号”这一新名词的 特征？ I.危险信号是与舞弊性行为相关的项目或行为。 II.内部审计师应该对在审计业务中注意到的所有危险信号进行记录。 III.许多“危险信号”的性质是“主观的”，即使是在合理计划并且按《标准》实施的 审计过程中也有可能没有引起内部审计师的注意。 a.I和II b.I和III c.II和III d.只有III2004 年实施内部审计兆泰培训讲义14◇ 典型试题 16.内部审计师在部分完成了对应付账款部门的内部控制检查后， 怀疑某种舞弊情况 已经发生。为证实该舞弊是否已经发生，最好的抽样方法是使用： a.简单随意抽样法，抽取去年该部门已处理的发票样本。 b.概率比例大小抽样法，抽取去年该部门已处理的发票样本。 c.发现抽样法，抽取去年该部门已处理的发票样本。 d.判断抽样法，抽取被该部门经理怀疑的职员处理的发票样本。◇ 典型试题 17.当与被怀疑有舞弊行为的人进行面谈时，面谈者应该 a.保证在面谈期间嫌疑人的上司在场。 b.锁上门以保证没有人打扰此次面谈。 c.注意嫌疑人对措词的选择。 d.询问嫌疑人是否犯有舞弊行为。 ◇ 典型试题 18. 用于质询舞弊嫌疑人的调查问卷应该 a.遵循事前确定的顺序。 b.包含一个以上的课题或主题。 c.从一般问题到特殊问题。 d.诱导被质询人员做出质询人员想要的回答。 ◇ 典型试题 19.对某主要零售公司实施审计的审计师怀疑三个具有较高销售成本的商店存在存 货舞弊问题。以下哪一项审计活动可以为舞弊的发生提供最有说服力的证据？ a.利用整体测试法（ITF）将单个销售交易与测试交易进行比较。调查所有的差异。 b.与三个商店的经理面谈以确定他们对于差异的解释是否一致，然后将他们的解释 与部门经理的解释进行比较。 c.计划实施一项突击存货审计，包括实物盘点。调查存货短少的区域。 d.挑选每个商店价格的样本，并且与相同现金收款柜台的销售记录进行比较。◇ 典型试题 20.首席审计执行官（CAE）怀疑几个雇员利用台式电脑获取个人利益。在进行调查 中，首席审计执行官选择司法鉴定信息系统审计师而不是利用该组织的信息系统 审计师的主要原因是：司法鉴定信息系统审计师拥有 a.能够用于更全面地评估计算机使用及滥用的计算机系统知识。 b.在法庭上能够构成可接受证据的知识。 c.有利于证实计算机滥用的高级分析性技术。 d.有利于向高级管理层和董事会陈述审计发现的高水平的归档和组织技能。2004 年实施内部审计兆泰培训讲义15◇ 典型试题 21. 首席审计执行官获得了有关某副董事长（该执行官要向其报告工作）不道德商 业行为的事实证明材料，这时，首席审计执行官应该： a.实施调查以确定该副董事长卷入不道德行为的程度。 b.在进一步工作前，用事实与副董事长对证。 c.安排对涉及的业务部门进行审计。 d.将此事实向首席执行官和审计委员会报告。 3 3 3.1 证据的概念 审计证据指内部审计师在审计过程中收集的、 为审计结论和审计建议提供支持的 信息。 ◇ 典型试题 证 据 证据1. 以下关于审计证据的最好描述是 a.初步计划和调查记录、审计方案以及外勤工作结果。 b.审计师记录整理的信息和通过观察情况、与人员面谈和检查记录所取得的信息。 c.一个中间事实或一组事实，审计师能够通过它们来断定某一审计结论的合理性。 d.对没有实现的预计目标、不适当的行动和应该采取却没有采取的行动的相关系统 所做的详细记录。3.2 证据分类-1 按证据来源： ? 内部证据（internal） ? 内- 外证据（internal-external） ? 外- 内证据（external-internal） ? 外部证据（external）◇典型试题2004 年实施内部审计兆泰培训讲义161. 以下哪项是内部文件证据的例子？ a.承运人的提货单。 b.销售发票副本。 c.顾客采购订单。 d.供货商的月末报表。 3.2 证据分类 -2 按证据的特征： ? 实物证据(physical evidence) ? 证明证据(testimonial evidence) ? 文件证据(documentary evidence) ? 分析证据(analytical evidence) ◇ 典型试题 1. 回复内部审计师质询的信件是以下哪一种审计证据的例子？ a.实物证据 b.证明证据 c.文件证据 d.分析证据◇ 典型试题 2.在审计销售人员的旅行费用时，内部审计师计算所有销售人员每天平均的旅行费 用，然后对高于平均值的销售人员的旅行费收据进行详细检查，这个过程表示使 用了哪种类型的审计证据？ a.文件及实物证据。 b.分析及实物证据。 c.文件及分析证据。 d.实物及证明证据。3.2 证据分类 -3 按审计证据的说服力程度： ? 充分信任(full reliance) ? 部分信任(partial reliance) ? 不可信任(no reliance) ◇ 典型试题1.对下面示例的审计证据类型来说，以下哪一选项表示各类型审计证据的说服力按 照从高到低的一般顺序排列？ I.询问管理部门 II.观察被审计单位的处理过程2004 年实施内部审计兆泰培训讲义17III.实物检查 IV.外部提供的资料 a.III、IV、II和I b.IV、I、II和III c.II、IV、I和III d.IV、III、I和II◇ 典型试题 2.内部审计师关心所有存货的计价，将以下判定存货计价的审计证据按说服力从高 到低顺序进行排列。 I.按单个产品计算存货周转率。 II.通过与市场部经理面谈来确定产品的可销售性，对存货周转率小于或等于2的存 货项目评价其净变现能力。 III.计算所有存货产品的可变现净值（NRV）（根据最后的销售价格，用审计软件计 算NRV）并将其与成本进行比较。 IV.选取存货的一个统计样本，检查最后的采购文件（发票和收货清单），以计算存 货成本。 a.I、II、III和IV b.I、IV、II和III c.IV、I、III和II d.II、III、IV和I ◇ 典型试题 3．以下哪一个审计证据最具说服力？ a.在政府机构有记载的不动产契约。 b.由会计填写的并且从银行退回的已核销支票。 c.由经理保管的雇员时间卡。 d.由会计部门归档的供货商发票。 3.2 证据分类 -4 按审计证据的法律概念： ? 直接证据(direct evidence) ? 旁证(hearsay evidence) ? 最优证据或首要证据(best evidence or primary evidence) ? 次要证据(secondary evidence) ? 意见证据(opinion evidence) ? 附属证据(circumstantial evidence) ? 确证证据(conclusive evidence) ? 佐证证据(corroborative evidence)2004 年实施内部审计兆泰培训讲义18◇ 典型试题 1.在与存货部门工作人员面谈过程中，某内部审计师了解到销售人员经常在没有得 到主管销售副总裁批准的情况下，订购存货。同时，详细测试显示在补充备件采 购订单上也没有书面的批准。详细测试是以下哪种审计证据的一个很好的例子？ a.间接证据。 b.附属证据。 c.佐证证据。 d.主观证据。 ◇ 典型试题 2.内部审计师的多数工作都涉及审计证据的收集。合同的复印件（而不是原件）是 哪类审计证据的实例？ a.次要证据。 b.附属证据。 c.旁证。 d.意见证据。3.3 收集审计证据时应考虑的问题? 应该考虑收集多种类型审计证据 ? 应该考虑审计目标 ? 应该考虑风险因素，包括抽样风险和非抽样风险。 ? 应该考虑是否有利于被审计单位的上级管理部门和董事会提高对内部审计职能的认识和重视程度? 应该考虑被审计单位的反馈信息 ? 应该考虑应有的职业审慎性3.3 收集审计证据时应考虑的问题 非抽样风险举例：? 内部审计师采取了不适当的审计程序； ? 不恰当地执行了审计程序； ? 在抽样过程中没能意识到错误的存在或错误地评估了抽样结果。2004 年实施内部审计兆泰培训讲义19“合理”的涵义包括：? 成本/效益原则； ? 重要性(materiality)原则。其中，重要性衡量方法包括绝对数、相对数和问题的本质属性。 关于“应有的职业审慎”，内部审计师应该考虑以下因素：? 为实现审计目标而需要开展的审计工作范围； ? 所要保证事项的相对复杂性、重大性和重要性； ? 风险管理、控制和治理过程的充分性和有效性； ? 重大错误、违反规定或不守法情况的发生概率； ? 与潜在利益相关的审计保证成本。◇ 典型试题 1.某内部审计师最可能判断账户余额的一个错误是重要的，如果该错误涉及 a.不可能再次发生的会计人员错误。 b.占净收入的比例很大。 c.无法证实的常规交易。 d.对组织来说的异常交易。 ◇ 典型试题 2.如果在复核有关现金交易审计工作底稿时，揭示出近来发现的欺诈交易没有包括 在已经过测试且经合理设计的交易项目样本中，以下哪项是正确的推论？ a.由于现金交易是高风险区域，应对所有交易进行测试。 b.审计是在合理的职业审慎情况下进行的，因为已对重要交易的适当抽样样本进行 了测试。 c.在最近的审计区域中，欺诈行为不可能不被发现。 d.对现金交易的审计需要特别的关注，内部审计师应该对该疏忽负责。 ◇ 典型试题 3.内部审计师在进行内部审计时要保持应有的职业审慎性，包括 a.建立首席审计执行官和董事会之间的直接交流。 b.评价已建立的经营标准，确定其是否是可接受的以及是否被遵守。 c.收集足够的审计证据以使内部审计师可以绝对地保证不存在不合规事项。 d.建立适当的教育标准和适合内部审计职位的经历要求。2004 年实施内部审计兆泰培训讲义203.4 审计证据的评估标准? ? ? ?充分的（sufficient）是指审计证据是真实的、恰当的和有说服力的，可使一个谨慎精明的人能够得出与内部审计师相同的结论。可靠的（reliable）是指通过运用适当的审计技术所能得到的最好的审计证据。 相关的（relevant）是指审计证据能够支持审计发现和审计建议，并且与审计目标相一致。有用的(useful)是指审计证据能够帮助组织保证:财务和经营信息的可靠性和完整性；经营的效率和效果；资产的安全；遵循法律、规章制度以及合同。 ◇ 典型试题 1.充分的审计证据应该是 a.较好地归档，在工作底稿中交叉索引。 b.以被认为可信的参考资料为基础。 c.与发现的事实有直接关系，包括这一发现的所有因素。 d.确信一个谨慎的人根据这些审计证据足以得出相同的结论。 ◇ 典型试题 2. 某内部审计师正在实施对公司广告职能的审计，该公司已将杂志等出版物上的广 告业务交给一个中型的地方广告业务代理机构代理。作为审计工作底稿复核的一 部分，内部审计主管对收集到的审计证据进行了评估。内部审计师通过与广告部 经理、产品销售部主任（他也许更客观一些）、五个大客户（他们也许知之甚少） 进行面谈，以核对广告词的合法性和遵循公平销售原则的情况。该主管有理由得 出结论，即这些审计证据是 a.可靠的。 b.不相关。 c.决定性的。 d.不充分的。 ◇ 典型试题 3.在对组织的现金控制进行审计时，内部审计师发现现金并不是每天都完整地存入 银行。通过对现金收入清单的样本进行比较揭示出每张现金收款清单与现金日记 账的金额相等，但与每日银行存款金额不等，而现金收入清单总数长期以来一直 等于银行存款总数。作为支持内部审计师发现的这一审计证据是 a.充分但不可靠或不相关。 b.充分、可靠和相关。2004 年实施内部审计兆泰培训讲义21c.不充分但相关。 d.相关但不充分或不可靠。◇ 典型试题 4.最好将有证明力的审计证据定义为 a.审计证据远离错误和偏见，并忠实地表明其所要表明的意思。 b.审计证据是在观察人、资产和事件过程中取得的。 c.审计证据是对其他已经收集到的审计证据的补充，并且加强或证实了这些证据。 d.审计证据证明了一个间接事实或一组事实，从这些事实中可以推理出其他事实。 3.5 分析和解释数据 分析性审计程序的作用：? ? ?? ? ? ? ? ? ?确定各种数据之间的关系； 确认期望发生的变化是否发生； 确认是否存在异常变化。 比较分析： 多期比较（period-to-period comparisons 预算与实际比较(budget-to-actual comparisons) 账户间内部关系分析(interrelationships among accounts) 与行业数据比较(comparisons to industry data) 与经营数据的比较(comparisons to operating data) 与经济数据的比较(comparisons to economic data) 与非财务数据的比较(comparisons to nonfinancial data) ◇ 典型试题利用以下信息回答1―2题： 内部审计师在调查一个分公司的运作时发现 ● 销售量保持不变 ● 客户量没发生变化 ● 库存明显增加 ● 毛利明显增加 1.以下哪一项陈述，如果是真实的，可以解释毛利的变化? I.公司开发了一种新的、更有效率的生产流程。 II.单位销售价格提高了。2004 年实施内部审计兆泰培训讲义22III.存货被高估。 a.只有I b.I 和II c.只有III d.I、II和III ◇ 典型试题 2.假定该分公司管理人员声明毛利的增加是由于生产经营的效率提高所致。内部审 计师希望通过调查证实这种说法，以下哪种审计程序与这种说法是最相关的? a.取得存货的实物盘点数。 b.取得一产品样本，对比今年和去年的单位成本，检查成本的增长，并分析与标准 成本的差异。 c.取得设备的实际库存数，确定有无显著变化。 d.取一完工产品库存的样本，从原材料成本追踪到原材料购买价格，以确定记录的 原材料价格是否准确。 ◇ 典型试题 3.在经营审计业务中，内部审计师将子公司的存货周转率与公认行业标准相比较， 目的是 a.评价内部财务报告的准确性。 b.测试旨在保护资产的控制制度。 c.确定是否遵守关于存货水平的公司程序。 d.评价业绩并显示哪里需要额外的审计工作。 ◇ 典型试题 4. 在对存货控制有效性进行检查过程中， 内部审计师在工作底稿中记录的大多数设 备数量的周期性调整都涉及到机械设备部门的业务。与上年度其他部门相比，机 械设备部门确实做了一些额外的周期性调整，内部审计师应该 a.与部门经理面谈，并实施其他审计程序以确定机械设备部门内部的业务控制和处 理程序是否适当。 b.不用再做更进一步的工作，因为在审计方案中设计的分析性程序没有对关心的事 项进行确认。 c.向内部审计部门管理层通报怀疑有舞弊行为。 d.在审计工作底稿中加上批注，以备在复核时进行详细检查。 ◇ 典型试题 5. 分析性程序最好归类于以下哪一项？ a.实质性测试。 b.控制测试。 c.定性检查。 d.预算比较。2004 年实施内部审计兆泰培训讲义234 审计工作底稿 4 审计工作底稿 4.1 审计工作底稿的作用： ? 为内部审计报告提供主要的证据支持； ? 帮助审计计划的制定、执行和检查； ? 记录是否完成审计目标； ? 方便第三方检查； ? 为评价内部审计部门的工作质量提供依据； ? 为诸如保险索赔、舞弊案件及法律诉讼等情况提供支持材料； ? 帮助内部审计师的专业发展； ? 证实内部审计部门是否遵守了《标准》； ? 为内部审计师与被审计单位之间交换意见和探讨专业问题提供了必要的背景资 料； ? 有助于内部审计师在今后审计类似审计对象时，做好准备工作； ? 促进了异地内部审计工作之间的协调以及职员之间责任的分配。 ◇ 典型试题 1.以下哪一项没有描述审计工作底稿的一项职能？ a.方便第三方检查。 b.在审计的计划、执行和复查中提供帮助。 c.为审计报告提供主要的审计证据支持。 d.在操作工人的专业发展方面提供帮助。 ◇ 典型试题2.审计工作底稿的主要目的是 a.提供计划和实施审计程序情况的证据。 b.用作编制财务报表的一种方法。 c.记录内部控制结构中的缺陷和向管理层提出的改进建议。 d.遵守专业审计标准。 4.2 审计工作底稿包含的内容：? ? ? ?计划； 对内部控制系统的健全性和有效性所进行的检查和评价； 执行的审计程序、取得的资料以及所得出的结论； 审查；2004 年实施内部审计兆泰培训讲义24? ?报告； 跟踪检查。具体地，审计工作底稿可包括： ? 计划文件和审计方案； ? 控制调查问卷、流程图、核对清单和叙述文字； ? 调查记录和备忘录； ? 组织机构的系统数据，如组织系统图和岗位说明； ? 重要合同和协议的复印件； ? 关于经营和财务政策的资料； ? 控制系统的评价结果； ? 函证和陈述的信件； ? 对交易事项、处理过程和账户余额的分析和检查； ? 分析性审计程序的结果； ? 审计的最终报告和管理层的反馈； ? 如果记载了得出的审计结论，应附有关审计证据的交流情况。 ◇ 典型试题 1.以下哪项最完整地描述了工作底稿的适当内容？ a.审计目标、程序和结论。 b.目的、标准、技术和结论。 c.目标、程序、事实、结论和建议。 d.审计对象、目的、抽样信息和分析。 ◇ 典型试题 2.以下哪项是电子工作底稿的不足？ a.每名内部审计师必须配有个人电脑。 b.关键的工作底稿仍然必须打印和归档。 c.互相索引更难。 d.要求进行特别的技术培训。 电子工作底稿 优点： 1、不用准备储存的地方； 2、很容易在审计师之间进行传递； 3、容易做到交叉参考； 4、很容易并且可以迅速地对底稿进行修改； 5、总的来说，节省时间； 6、利用计算机网络可以快速地在审计职员之间分享信息资料； 缺点：2004 年实施内部审计兆泰培训讲义251、要求进行特殊的技术培训； 2、不能在底稿上正式签名； 3、要求执行复杂的接触控制； 4、不容易与纸质工作底稿进行对比； 5、要求配备计算机； 6、很难对交叉参考进行检查验证。 手工编制的工作底稿 优点： 1、可以随时随地做记录和进行讨论； 2、因为是大家熟悉的介质，容易利用和工作。 缺点： 1、难以作出改变，需要花费较多时间； 2、当有很多卷时，不便于携带和难以传递； 3、要准备一定的地方来储存； 4、纸容易被火、水所毁坏； 5、难以进行交叉参考，并且花费一定的时间。 ◇ 典型试题3.工作底稿应包括 a.检查和评估内部控制系统适当性和有效性的文件记录。 b.审计过程中检查的所有原始凭证的复印件。 c.审计中检查过的所有程序的复印件。 d.在以前对相同领域的审计过程中所编制的所有工作底稿。 4.3 审计工作底稿编制技术? ?每份审计工作底稿必须有一个标头。这个标头通常包括正在被审查的组织或活 动的名称、有关该项工作内容或目的的标题或说明以及审计工作的日期或时期； 每份审计工作底稿应有内部审计师的签名（或印签）和日期记录；? 每份审计工作底稿应有目录或索引（应简单、详细）； ? 审计核实的符号（记号）应加以注释 ? 数据的来源应清楚地标明。审计工作底稿的编制指南：??完整(completeness)和准确(accuracy)；2004 年实施内部审计兆泰培训讲义26??清晰(clarity)和可理解(understandability)； ??易读(legibility)和整洁(neatness)； ??相关(relevance)和详略得当； ?? 注意设计(design)和格式(layout)。◇ 典型试题 1.审计工作底稿为内部审计师的报告提供文件支持。以下哪项对于工作底稿来说不 是好的实务操作： a.工作底稿应足以支持内部审计师的报告，不需要内部审计师的额外书面证实。 b.工作底稿应一直被安全地保存，防止意外损失或未经授权的接触。 c.工作底稿应按时间顺序组织，例如最早准备的文件放在最前面。 d.某一组织内的内部审计师应为组织和记录文件制定标准化的方法。 ◇ 典型试题2.被适当记录的工作底稿应： a.简洁但是完整。 b.遵循独特的格式和安排。 c.包含被审计单位使用的所有表格和程序的例子。 d.不含被审计单位记录的复印件。 ◇ 典型试题 3.审计工作底稿用参考数字的方法进行索引，索引的主要目的是 a.允许交叉参考和简化监督性检查。 b.支持审计报告。 c.消除后续检查的需要。 d.确定工作底稿是否充分支持审计发现、结论和报告。 ◇ 典型试题 4. 如果编制工作底稿摘要，则其可用于 a.提高内部审计主管复核工作底稿的效率。 b.替代作永久保留之用的详细工作底稿文件。 c.用作给高级管理层报送的内部审计报告。 d.记录审计发现的所有发展情况。 4.4 复核审计工作底稿 为监督检查提供证据：?由审核人员在每一张底稿上签字并注明审核日期；2004 年实施内部审计兆泰培训讲义27? ?编制已接受检查的工作底稿清单； 编制一份记载检查的性质、范围和结果的备忘录（复核记录）。工作底稿复核人员应该确定： ? 内部审计师遵循了业务工作程序； ? 内部审计师遵循了他们得到的特定指令； ? 工作底稿反映了工作过程； ? 完成了所有的计划步骤； ? 得出的结论是合理的； ? 就审计发现、审计建议和审计结论与审计业 务委托人进行了磋商，并将磋商 结果记录下来 ? 遵守了工作底稿编制指南。 4.5 审计工作底稿的保存： ? 审计工作底稿的所有权归组织拥有。 ? 审计工作底稿应该被妥善保管，注意防火、防盗。 ◇ 典型试题 1.内部审计师的审计工作底稿应该由以下哪个部门复核？ a.被审计单位管理层。 b.内部审计部门的管理层。 c.董事会的审计委员会。 d.组织安全部门的管理层。 ◇ 典型试题 2.以下哪个概念区分了电子审计工作底稿的保留与传统的手写工作底稿保留的区 别？ a.分析、结论和建议都在电子媒介中归档，因此受到计算机系统控制和安全程序的 支配。 b.在退出会议上当地管理部门和收到最终审计报告的每个人都将得到所有支持审计 发现的审计证据。 c.电子数据档案可用于信息系统审计程序。 d.可以将审计方案标准化，以减少对每个地点进行初步调查的需要。 ◇ 典型试题 3.工作底稿是内部审计师的财产，对其好的控制是 a.不允许给被审计单位看工作底稿。 b.要求保存工作底稿至少三年。 c.要求电子工作底稿只能由制作底稿的内部审计师更改。 d.当政府机构发出传唤需要底稿时，拒绝交出。2004 年实施内部审计兆泰培训讲义28◇ 典型试题 4.以下哪一项描述的是工作底稿复核的适当证据？ I.复核者在每一张工作底稿上的签名 II.工作底稿复核清单 III.说明工作底稿复核的性质、范围和结果的备忘录 IV.评估审计师编制的工作底稿质量的业绩评价表 a.II和IV b.I、II和III c.I、III和IV d.I、II、III和IV 5 报告审计结果5 5.1 准备工作：报告审计结果??沟通中期进展情况 ??得出结论 ??在适当的时候编制建议书 ??召开结束会议或退出会议5 审计建议类型包括： 报告审计结果?现有系统无须改变； ?现有内部控制系统需要修正； ?当增加控制措施的做法不可能或不可行时，建议增加保险方面的支出； ?影响风险的某项报酬率需要调整。5 《标准》规定：报告审计结果2004 年实施内部审计兆泰培训讲义29“内部审计师在签发最终审计报告前，应该与适当的管理层讨论审计结论和建议” ◇ 典型试题 1. 审计报告中包括审计建议的目的是： a.为管理层解决审计发现的问题提供选择 b.确保存在的问题能够以审计师建议的方式解决 c.缩短用于纠正审计发现所要求的时间 d.保证审计发现能够被解决，而不论成本多寡 ◇ 典型试题 2.以下哪项不是结束或退出会议的主要目标？ a.解决冲突。 b.讨论审计发现。 c.确认对未来审计的关注。 d.确认管理者对审计发现的反应和采取的措施。 ◇ 典型试题 3.退出会议是为了保证内部审计师所使用的信息是准确的。其第二个目的是 a.针对建议立即采取行动。 b.改善与被审计单位的关系。 c.在最终报告的适当分发上达成一致。 d.使高级管理人员简要了解审计结果。 ◇ 典型试题 4.内部审计中成功的咨询交流，部分地基于被审计单位对内部审计师在审计期间行 为的反馈意见，这种反馈 a.应该仅仅报给高级管理层，作为检查该审计师工作的一种手段。 b.应该仅仅报给审计师，以帮助他们提高审计业绩。 c.应该报给管理层和审计师, 以保证经营价值的提高。 d.将保持被审计单位对审计师的对抗情绪。 5.2 编制审计报告 审计报告的作用和重要性?对于内部审计师来说：? ? ? ?审计报告总结概括了审计工作的目的、范围和结果； 审计报告鼓励被审计单位采取行动来加强控制； 审计报告促进对内部审计师的教育与培训； 审计报告为评价内部审计师的工作业绩提供方便；2004 年实施内部审计兆泰培训讲义30?审计报告为后续审计的进行提供便利条件。5.2 编制审计报告 审计报告的作用和重要性? 对于管理层来说：? ? ? ?审计报告提出了行动计划，可以促进管理层采取必要的改进措施； 审计报告为需要最高管理者关注的事情能够得到关注提供了支持； 审计报告有助于繁忙的管理层了解经营情况； 审计报告有助于评价经营业绩。5.2 编制审计报告 审计报告的作用和重要性?对于最高管理者来说：? ? ? ?审计报告提供了其他报告不能提供的、有关经营和控制的详细情况； 审计报告提供了一些高层管理者不可能从其他途径获得的客观信息； 审计报告提供的有关审计活动的信息，可以使最高管理者判断是否很重要或高风 险的事件正在接受审计； 审计报告可以促进经营活动的规范化。5.2 编制审计报告 审计报告的作用和重要性?对于其他组织来说：? ? ?审计报告是一项重要的信息来源； 外部审计师可以借助审计报告来评估其依赖内部审计工作的程度，以避免重复工 作。 审计报告有助于保证监管机构的利益。◇ 典型试题 1.编制书面的正式的审计报告的主要原因是 a.给被审计单位提供反应机会。 b.将高级管理层要求采取的改进行为记录在案。2004 年实施内部审计兆泰培训讲义31c.为外部审计师评价对内审部门的可信赖程度提供正式的途径。 d.记录所有审计发现和建议采取的行动。 ◇ 典型试题 2.某内部审计报告指出了薪酬管理部门的弱点并提出了相应的改正措施，这份审计 报告对谁最有用？ a.出纳员。 b.董事会的审计委员会。 c.薪酬部门经理。 d.总裁。 ◇ 典型试题 3.以下哪一项不是审计报告的主要目的？ a.通知。 b.取得结果。 c.认定责任。 d.说服。 5.2 编制审计报告 审计报告的内容：?审计目的：审计目标、审计原因和预计目标。 ?审计范围：审计活动及审计阶段、未经审计的相关活动、审计工作的性质和范围。 ?审计结果：审计发现、审计结论（意见）和审计建议。5.2 编制审计报告 审计发现是与事实有关的说明，应基于以下因素：??标准(criteria) ??条件(condition) ??原因(cause) ??效果(effect)2004 年实施内部审计兆泰培训讲义325.2 编制审计报告 审计结论（意见）包括但不限于：?部门或项目的任务和目标是否与组织 ?正在被审查的活动是否如期进行； ?组织的任务和目标是否完成。的相一致；◇ 典型试题 1.根据《标准》，以下哪项是必须包括在舞弊报告里的正确信息清单? a.目标、范围、结果以及在适当地方表述的内部审计师意见。 b.标准、原因、条件和效果。 c.背景、审计发现和建议。 d.审计发现、结论、建议和改正措施。 ◇ 典型试题 2.根据《标准》，以下哪项是审计报告的必要组成部分？ I.背景信息 II.审计目的 III.审计范围 IV.审计结果 V.摘要 a.I、II和III b.I、III和V c.II、III和IV d.II、IV和V◇ 典型试题 3.根据《标准》，内部审计报告的审计发现应该包括 a.对审计发现发生原因的意见陈述。 b.对在审计过程中发现的有关部门控制弱点的事实陈述。 c.对在审计过程中形成的事实和意见的陈述。 d.对处理未来潜在事件的看法的陈述及对被审计单位有所帮助的一些看法的陈述。 5.2 编制审计报告 审计报告的种类：??最终审计报告(final audit report) ??总结报告(summary reports)2004 年实施内部审计兆泰培训讲义33??口头报告(oral reports) ??过程报告(progress reports)◇ 典型试题 1.某内部审计主管发现其内部审计师越来越多地以口头报告来补充书面报告。内部 审计师使用口头报告的增加最为可能的原因是口头报告： a.减少支持审计发现所需的测试数量。 b.用非正式形式传达意见，无需准备。 c.采用灵活的形式编制，因此提高整体审计效率。 d.允许内部审计师表达相反的论点，并为听众提供可能需要的额外信息。 ◇ 典型试题 2. 几个管理层都对市场部门的审计结果感兴趣， 什么是沟通审计结果的最好方法？ a.给每一管理层写一份详细的报告。 b.给市场部管理层写一份报告，给其他管理层总结报告。 c.与市场部管理层讨论结果并给最高管理层提交一份总结报告。 d.与所有层次的管理者讨论结果。 5.2 编制审计报告 编制标准： ? 准确(accurate) ? 客观(objective) ? 清晰(clear) ? 简明(concise) ? 富有建设性(constructive) ? 完整(complete) ? 及时(timely) ◇ 典型试题 1.一个连锁零售店的内部审计部门最近结束了对东南部地区所有商店的销售调整审 计。审计揭示几个商店每季度花费了公司近85000美元给顾客的费用账户重复赊 账。审计结束8周后发表的审计报告，包含了内部审计师对商店管理部门提出的 建议, 该建议提出应阻止对顾客账户的重复赊账。在上述的案例中，以下哪一个 报告标准被忽视了？ a.进一步的行动是不适当的。 b.当重复赊账的情况一经发现，内部审计师应执行适当的纠正措施。 c.内部审计师的建议不应包含在报告中。 d.报告不及时。2004 年实施内部审计兆泰培训讲义34◇ 典型试题 2.无论选择口头形式还是以书面形式提交审计报告， 字句的选择对接受者均有影响。 在内部审计师的目的是为说服接受者接受审计建议的书面或口头报告中, 采用 高度含蓄及富有感情的措辞而不采用不含蓄的字句将 a.可能促使接受者有意朝审计建议方向考虑。 b.可能不奏效，使接受者偏离审计建议。 c.使接受者很快地无保留接受审计建议。 d.无论哪一种，对接受者均无影响。审计报告的分发?首席审计执行官或其指定的人审核和批准审计报告，并决定分发对象。 ?审计报告应该分送给组织中能够保证审计结果会得到应有考虑的成员。◇ 典型试题 1.以下哪项是首席审计执行官将列举重要内部控制弱点的审计报告送给审计委员会 和外部审计师的最可能原因？ a.审计委员会和外部审计师通常会收到所有内部审计报告的复印件。 b.期望审计委员会和外部审计师对审计发现采取纠正措施。 c.审计委员会和外部审计师的活动会受到可能错报财务报表的影响。 d.一些政府治理机构要求这样分发。 ◇ 典型试题 2.最终审计报告应该由谁检查和批准？ a.被审计单位或被审计单位需要报告的人。 b.审计项目经理。 c.首席审计执行官或其指派者。 d.首席财务执行官。中期报告(interim reports) 编制中期报告的特殊情况包括：? 审计工作需要延长一段时间； ? 审计中发现一些需要马上引起注意的重要问题；2004 年实施内部审计兆泰培训讲义35? 管理当局迫切需要了解某些特殊问题； ? 审计范围发生变化。中期报告(interim reports) 中期报告的作用： ? 及时向被审计单位反馈信息； ? 与最终报告相比，更有可能促进被审计单位采取及时、快速行动； ? 被审计单位采取了快速行动，会有助于顺利完成一份令大家满意的最终报告； ? 在审计结束前，内部审计师有机会跟踪了解报告中所提到问题的进展情况。 ◇ 典型试题 1.以下哪项不是利用中期报告的好处？ a.编写审计报告的时间可以缩短。 b.中期报告允许传递要求得到及时关注的信息。 c.中期报告可以是非正式的。 d.正式的、书面的中期报告可以减少对最终审计报告的需要。 ◇ 典型试题 2.以下哪个情况最可能是对被审计单位管理层出具书面中期报告的目的？ a.已完成计划审计工作的70%，没有发现重大的不利的审计发现。 b.内部审计师决定用调查程序替代一些原计划对某些记录的详细检查。 c.决定扩展审计方案，因为发现可能存在舞弊。 d.子公司露天燃烧造成可能违反污染管理条例的后果。6 6内部审计业务种类 内部审计业务种类??保证业务 ? 咨询业务6.1 实施保证业务 ? 舞弊调查 ? 风险和控制的自我评价2004 年实施内部审计兆泰培训讲义36? ? ? ? ? ? ? ? ? ?第三方审计和合同审计 质量审计 尽职调查审计 安全审计 保密审计 绩效（主要业绩指标）审计 经营（效率和效果）审计 财务审计 信息技术（IT）审计 合规性审计 6.1 实施保证业务第三方审计举例：? 对提供外包服务的组织的审计； ? 对商业伙伴有关电子数据交换系统（EDI）控制的审计。合同审计中涉及的合同大致为：? ? ?一次付款（固定价格）合同（lump-sum contracts) 成本加总合同（cost-plus contracts) 单位价格合同（unit-price contracts)6.1 实施保证业务 质量审计关注的四个关键要素：? 顾客的需要； ? 为满足顾客需要的产品/服务计划、生产和运输程序； ? 生产和运输产品/服务程序的计划和执行； ? 程序控制。6.1 实施保证业务 尽职调查审计： 收集信息，为被审计单位管理部门作出有关合资、合并、联合及其他并购事宜的决2004 年实施内部审计兆泰培训讲义37策提供帮助。 6.1 实施保证业务 安全审计目的：? ? ? ? ? ?确认现行安全控制的有效性； 监督是否有滥用和错用系统、程序的情况； 检查现行安全政策的遵循情况； 收集可能发生的犯罪行为（既包括与计算机有关的，也包括无关的）的证据； 发现组织内存在的潜在威胁或风险。这些威胁或危险可能存在于各项政策、程序 以及计算机网络和应用软件中； 为解决组织安全问题提供建议。6.1 实施保证业务 保密审计： 通过检查信息的收集、存储、共享、使用和销毁过程，来确定信息处理程序是否符 合保密要求，同时评价组织敏感性、安全风险以及对组织收集到信息的敏感性和 公众理解性。 6.1 实施保证业务 绩效审计的目标：? ? ?效果：目标的完成情况 效率：在达到目标的过程中所耗费的资源 效益：投入和产出之间的关系和结果6.1 实施保证业务 经营审计的内容：?建立经营目标； ?对照标准衡量业绩水平； ?检查和分析偏差；2004 年实施内部审计兆泰培训讲义38?采取纠正措施； ?依据经验重新评估标准。6.1 实施保证业务 财务审计的目的：? ? ?财务信息的揭示是否遵守已建立的标准或准则； 组织是否遵守某些法律或法规的特殊财务规定； 组织是否恰当地建立并实施了有关财务报告和资产安全的内部控制制度，以促 进控制目标的完成。 6.1 实施保证业务 合规性审计的目标确定组织对政策、程序、标准或者法律和政府法规的遵守程度。 ◇ 典型试题 1.确定成本节约最可能是以下哪一项审计业务的目的? a.程序审计业务。 b.财务审计业务。 c.合规性审计业务。 d.经营审计业务。 ◇ 典型试题 2.内部审计师正在实施对某信息系统部门的经营审计，在评估该部门有效性时最重 要的因素是： a.它的目标与该组织整体目标一致。 b.它有大量技术人员。 c.在预算过程中最优先考虑它。 d.它运用最先进的技术。◇典型试题3.一项典型的绩效审计业务包括 a.检查财务报表信息，包括各种财务处理方法的适当性。 b.测试遵循政策、程序、法律和规章的情况。 c.评价环境并与建立的标准相比较。 d.评价组织和部门结构，包括对程序流程的评估。2004 年实施内部审计兆泰培训讲义39◇ 典型试题 4.一内部审计小组正在实施一项尽职调查审计，以评估一项将要进行的并购业务。 以下哪一项将是公司合并或取得另一公司的最不正当理由？ a.为了分散风险。 b.为了响应政府政策。 c.为了降低劳动成本。 d.为了提高股票价格。 ◇ 典型试题 5.为测试某一建筑项目成本超支是否是因为合同商不恰当地核算了与合同变更定单 相关的成本，以下哪一项程序是适当的？ I.证实合同商没有从变更定单中收取已经计入原来合同中的成本费用 II.确定合同商是否将因为变更定单而取消的原始合同计入账单 III.证实变更定单是经过管理层批准的 a.只有I b.只有III c.I和II d.I和III ◇ 典型试题 6．某内部审计师被派去审计某公司薪金控制制度，该控制制度的处理过程最近被外 包给一家信息服务机构。考虑到这项外包决策，该内部审计师应该采取什么行 动？ a.检查该公司和该服务机构中的薪金控制制度。 b.只是检查该公司对发送给服务机构和从服务机构接收的数据的控制。 c.只是检查依据合同付款给服务机构方面的控制。 d.取消审计业务，因为该控制程序是由组织之外的机构执行的。 保证业务-信息技术审计业务?操作系统 ?应用软件开发 ?数据和网络通信 ?语音通讯 ?系统安全2004 年实施内部审计兆泰培训讲义40?应急计划 ?数据库 ?数据运行中心 ?WEB基础设施 ?软件许可保证业务-信息技术审计业务 操作系统管理的计算机资源包括：o o o o输入/输出设备 存储器 CPU 网络保证业务-信息技术审计业务 常用的操作系统有：? PC机操作系统（DOS、MS Windows ? 服务器、MAC OS等）? 工作站操作系统（MS Windows Server, Linux等） ? 大型机操作系统（IBM S/390、IBM MVS等）。操作系统提供的功能包括：? 定义用户接口； ? 允许用户共享硬件；2004 年实施内部审计兆泰培训讲义41? 允许用户共享数据； ? 在用户之间进行资源调度及个人使用输出/输入资源。 ? 通知用户所有处理器、输入、输出设备或程序存在的相关错误信息； ? 对出现的故障能进行恢复； ? 管理系统文件； ? 管理系统账号； ? 操作系统与程序之间进行通信。对操作系统实施审计的要点-1：? 收集操作系统所安装平台的所有软件系统，包括操作系统、数据库、应用系统概要信息及其主要配置；? 输出文件列表，记录特权用户、普通用户账号信息及其权限，缺省用户设置情况； ? 以管理员身份登录到系统中，收集并记录各种系统信息，如主机配置、用户环境、网络信息、口令、权限设置等；? 检查并测试口令设置规则与强度，口令输入检查控制是否有效； ? 检查对操作系统文件的访问控制是否适宜； ? 检查系统初始化环境参数的设置是否适宜； ? 检查用户登录环境是否受到适当的限制；对操作系统实施审计的要点-2： ? 检查系统缺省启动的程序，确定没有不明来历的程序被启动，确定暂时不需要的 程序是否被禁止； ? 检查是否容许用户未经口令验证（或使用缺省的口令）直接进入系统，如系统某 些缺省的用户是否有缺省的口令或空口令； ? 检查系统日志是否打开，保证对日志的直接访问受到限制；2004 年实施内部审计兆泰培训讲义42? 检查用户账号的授权或对系统资源授权访问是否适宜； ? 是否有操作系统备份计划，备份设备是否就绪； ? 设备能力测试，当前应用环境下操作系统对内存、磁盘、网络的容量要求是否能满足； ? 操作系统版本测试，补丁程序是否及时； ? 检查是否对出现故障的操作系统有完备的维护程序与记录。 保证业务-信息技术审计业务 对系统主机的审计包括：?审计主机容量管理程序及性能评估程序 ?审计硬件采购计划 ?审计硬件可用性及使用状态◇ 典型试题 1. 以下哪项可以被看作是局域网的服务器？ a.对局域网的节点进行实物互连的光缆设Z。 b.为局域网用户储存程序和数据文件的设备。 c.将局域网与其他网络连接的设备。 d.专门供局域网某单个用户使用的工作站。 ◇ 典型试题 2.保证客户机/服务器系统的安全是一项复杂的任务， 以下哪项不是导致这一复杂性 的因素？ a.关系型数据库的使用。 b.访问点的数量。 c.多个用户会话的并发操作。 d.分布广泛的数据访问和更新能力。 保证业务-信息技术审计业务 系统开发方法包括：? 生命周期法(systems life cycle) ? 原 型 法 (prototyping) ， 又 称 为 快 速 原 型 法 或 快 速 应 用 开 发 （ rapiddevelopment）方法 application? 面向对象的开发方法2004 年实施内部审计兆泰培训讲义43保证业务-信息技术审计业务 生命周期法的六个阶段：? ? ? ? ? ?项目定义 系统分析 系统设计 编程 实施 后续维护优点：? 系统 ? 规范 ? 严密缺点：? 开发周期长 ? 对系统分析的要求极高保证业务-信息技术审计业务 原型法的优点：?用户满意度高，开发速度较快。原型法的缺点：?对系统开发技术和工具要求极高 ?在系统的整体性和文档的严密性上不如生命周期法。保证业务-信息技术审计业务 面向对象的开发方法：在满足需求的情况下，将系统设计成由一些不变（相对固定）2004 年实施内部审计兆泰培训讲义44的部分组成的最小组合。 对象：不变（相对固定）的部分。 优点：不被周围环境及用户不断变化的需求所左右。 保证业务-信息技术审计业务 进行系统开发的各项活动包括：? 系统分析：《系统需求分析规格书》 ? 系统设计：《系统设计规格书》 ? 编程：《系统设计规格书》?计算机软件代码 ? 测试：模块测试（也叫程序测试）、系统测试、验收测试? 转换：平行转换、直接转换、试点转换和分阶段转换 ? 运行与维护保证业务-信息技术审计业务 信息系统审计师在系统开发过程中 的主要任务有：? ? ? ? ? ? ? ? ? ? ? ?赢得用户信息系统专家的支持； 审查用户需求； 审查人工控制和应用控制； 审查所有技术说明是否符合公司标准； 审计是否适当地应用项目管理工具； 在每个开发阶段，进行设计走查，并在每次走查后提出书面建议； 在下一个阶段开始之前，保证建议被采纳； 每个阶段结束后，进行项目审查； 审查测试计划； 评估实施准备； 向管理层提交审计发现； 保持独立性。 ◇ 典型试题2004 年实施内部审计兆泰培训讲义451.可以快速产生用户接口、用户与系统的交互过程以及处理逻辑的模型的系统开发 方法称为 a.神经网络。 b.原型法。 c.业务流程再造。 d.焦点群（focus groups）。 ◇ 典型试题 2.某电子公司决定通过应用快速应用程序开发技术来实现某新系统。以下哪项内容 将被包括在该新系统的开发之中？ a.将系统文档编制的需要延迟到最后模块完成之时。 b.把项目管理责任从开发小组转移出去。 c.分模块创建系统直至系统完成。 d.应用对象开发技术将以往编码的使用减少到最低程度。 ◇ 典型试题 3.以下哪一项不是一个新的应用系统的实施方法? a.直接转换 b.平行转换 c.试点转换 d.测试 ◇ 典型试题 4.系统开发审计业务包括在各个关键点的检查，以保证开发过程受到恰当地控制和 管理。这些检查包括以下所有各项，除了 a.对可用的硬件、软件和技术性资源进行技术可行性研究。 b.在实施的每一阶段都要检查用户参与程序。 c.验证用于程序开发、代码转换和测试的控制和质量保证技术的使用。 d.确定系统、用户和运行文档是否符合正式标准。 ◇ 典型试题 5．在以自顶向下开发法设计系统元素时，应该检查以下哪一项？ a.竞争对手使用的处理系统类型。 b.系统需要的计算机设备。 c.管理者为进行计划和控制所需的信息。 d.现有系统的控制。 保证业务-信息技术审计业务 变动管理控制：?硬件变动控制2004 年实施内部审计兆泰培训讲义46?软件（程序）变动控制保证业务-信息技术审计业务 内部审计师对变动管理控制的审计重点：?确认IT部门使用的操作文件，在软件和硬件变动前是否已做了适当的修改； ?确认信息系统管理层是否掌握并执行变动计划，有充足的时间保证新软件和硬件的安装与测试；?抽查一个影响到信息处理的软件和硬件变动，以判断变动计划是否及时处理； ?确定所有的硬件和软件变动都己通知系统程序员、应用程序以及IT部门人员，以确保变动及测试经过适当的协调；?评估变动的有效性，以确保不会影响正常应用程序的操作。保证业务-信息技术审计业务 对程序变动控制的审计-1：? 确认当用户提出系统变更请求时，是否有授权、优先排序及跟踪机制； ? 在日常工作手册中，是否明确指出紧急变更程序； ? 变更控制是否同时为用户及项目开发组所认可； ? 变更控制日志是否确认所记录的变量都已完成； ? 评估对产品源代码和可执行代码模块的安全访问限制是否充分； ? 评估组织在处理紧急情况下程序变更流程是否合理； ? 评估对紧急情况下使用的登录ID的安全访问控制是否充分；保证业务-信息技术审计业务 对程序变动控制的审计-2：?? 评估变更需求是否被记录在适当的申请文件中；2004 年实施内部审计兆泰培训讲义47? 确认现存文件是否均已反映变更后的系统环境； ? 评估系统变更测试程序的适当性； ? 复核测试计划与测试结果等证据，确认该测试程序是依据组织相关标准而定； ? 复核保证源代码与可执行代码完整性的程序； ? 复核产品可执行模块，证实有且只有惟一与源代码对应的最新版本； ? 复核整个变更管理流程在时间成本、效率方面、用户满意度上是否有需要改善之处。 ◇ 典型试题 1.对于传统的系统，程序变动控制能够保证生产系统是从经批准的程序的正确版本 中产生。而在客户机／服务器环境下运行的系统有可能增加程序变动控制的复杂 性。一个在客户机／服务器环境中要求而在大型主机环境中不要求的程序变动控 制功能是保证 a.程序版本在全网络上同步。 b.程序紧急移动手续应制成文档并得到遵守。 c.程序变动测试有适当的用户参与。 d.从测试库到生产库的传递要受到控制。 ◇ 典型试题 2.要最大程度地降低未经授权编辑生产程序、作业控制语言和操作系统软件的可能 性，以下哪种方法效果最佳？ a.数据库访问检查。 b.符合性检查。 c.良好的变动控制程序。 d.有效的网络安全软件。 ◇ 典型试题 3.虽然管理层要求严格遵守有关制度，但是在紧急情况下测试库程序还是被用于企 业运营。在紧急情况下使用测试库程序的风险是 a.编制测试库程序的人员可能未被授予编写和修改程序的权限。 b.测试库程序可能未经进一步测试就永久投入运行。 c.测试库的完整性可能受到威胁。 d.操作人员可能对程序的输出不完全满意。2004 年实施内部审计兆泰培训讲义48保证业务-信息技术审计业务 终端用户计算的缺点： ?系统整体分析功能常被忽略，难以和其他系统集成和共享数据； ?整个系统内会产生一些专用的信息系统； ?缺乏标准文档，使用及维护都严重地依赖开发者； ?由于缺乏监督， 致使相同的信息可能被以不同的方式处理， 失去了信息的一致性。 对应用终端用户计算的审计包括： ?确定终端用户计算的应用程序 ?对应用程序风险进行排列 ?对控制情况进行文件处理和测试 ◇ 典型试题 1.与主机系统相比，终端用户计算（EUC）环境更有可能遇到以下哪种风险？ a.没有能力提供足够的不间断电源系统。 b.用户输入屏幕缺乏图形用户接口（GUI）。 c.应用软件难以与其他信息系统进行集成。 d.缺乏足够的工具程序。 ◇ 典型试题 2.传统的信息系统开发和运行包括四个功能区域。系统分析功能主要是分析和设计 系统以满足组织的需求；编程功能主要负责设计、编码、测试和调试程序来具体 实现系统分析所提出的系统功能；计算机运行功能主要负责数据准备、作业管理 和系统维护；用户功能主要为系统提供输入和接收输出。这四项功能中的哪一项 功能在终端用户开发（EUC）环境下经常被忽视？ a.系统分析功能。 b.编程功能。 c.运行功能。 d.用户功能。 保证业务-信息技术审计业务 应用系统用户认证是系统的每一位用户都被分配了一个惟一的用户名。对关联该用 户名的资源或功能的访问都要接受特定口令的保护。 认证（authentication）和授权（authorization）：?认证是证明用户身份的过程； ?授权是标识认证用户可访问资源的过程。2004 年实施内部审计兆泰培训讲义49保证业务-信息技术审计业务 在特殊情况下，用户认证类型基本上分为：? 只有你知道的事情，如账号和密码； ? 只有你拥有的东西，如身份证、工作证； ? 只有你具有的特征，如指纹、声音、虹膜。保证业务-信息技术审计业务 对应用系统用户认证的审计：??检查密码是否定期变换口令； ??检查无效登录账号和口令是否及时删除； ??检查口令格式是否符合安全要求； ??针对未使用的终端设备自动退出的测试； ??针对终端设备密码屏蔽的测试； ??对于访问失败后终端设备自动锁定的测试； ??用破解工具+字典进行破解测试； ??对智能卡（如电子密钥）、生物测量技术（如指纹识别）的测试等。◇ 典型试题 1.在对用户身份识别控制程序进行审计时，内部审计师应进行以下哪项测试？ a.在数据终端检查口令的隐藏。 b.检查利用访问控制软件建立适当的职责分工的情况。 c.检查非活动用户的撤消情况。 d.以上都是。 ◇ 2.口令是以下哪种控制的例证？ a.物理控制。 典型试题2004 年实施内部审计兆泰培训讲义50b.编辑控制。 c.数字控制。 d.访问控制。 保证业务-信息技术审计业务 数据和网络通讯基础通信介质和通信技术包括： ? 专用分组交换机(PBX: private branch exchange) ? 同轴电缆（coaxial cable） ? 双绞线电缆（twisted pair line） ? 光导电缆（fiber-optic cable） ? 无线信道（wireless channel）保证业务-信息技术审计业务 基础通信网络包括： ?公用电话交换网络（PSTN：public switched telephone network） ? 数字数据网络（DDN：digital data network） ? 帧中继（FR：frame relay） ?综合服务数字网(ISDN：integrated services digital networks) ?非对称用户数字环线（ADSL：asymmetrical digital subscriber line ）保证业务-信息技术审计业务 对数据与网络通讯审计重点内容：? 网络通讯拓扑结构及设计； ? 重要的网络通讯设备物理性级与参数设置； ? 网络通讯管理员及其职责； ? 通讯设置的使用，包括主要应用和特殊流量等； ? 公司在网络通讯设计、支持、数据安全等方面的工作程序和标准； ? 网络传输媒体及技术，包括桥接器、路由器和网关等； ? 通讯设备的物理访问控制是否限制只供授权用户访问； ? 通讯设备的环境控制是否完备；2004 年实施内部审计兆泰培训讲义51? 检查通讯设备的逻辑访问控制是否完备。网络拓扑结构 星型拓扑图 网络拓扑结构 环型拓扑图 网络拓扑结构 总线型拓扑图 ◇ 典型试题 1.某不动产经纪公司正迁入一座装有足够电话线路的大楼。公司考虑安装一套专用 分组交换机（PBX），来连接公司计算机以及复印机、打印机、传真机等其他办 公设备。在这个网络中使用PBX系统的局限性是 a.公司将依赖外人来维护系统。 b.系统不能轻易处理大量数据。 c.同轴电缆线必须装遍整幢大楼。 d.对办公设备的布Z比较困难，并且成本较高。 保证业务-信息技术审计业务 目前常用的通信业务主要有以下几种：?普遍模拟电话，由公用电话网（PSTN）来承载； ?ISDN数字电话，由综合业务数字网（ISDN）来承载； ?IP数据电话，由IP网络来承载； ?无线移动电话，由蜂窝无线网来承载。保证业务-信息技术审计业务 对语音通讯进行审计时，需要：? 收集当前电话通讯设备的使用政策和使用者信息； ? 收集电话网络拓扑图及设备清单； ? 检查技术保护管理措施，如：检查是否有专人负责管理与维护电话设备；电信管理部门多长时间检查一次PBX交换机的故障及性能报告；检查变动PBX交换机程 序的过程；谁可以访问系统软件，访问权限如何定义等；? 检查组织的电话使用政策是否清晰明确，并传达到每一个员工；是否有特殊场合需求限制通讯设备的使用；对员工为个人目的使用通讯设备有何限制；对员工的2004 年实施内部审计兆泰培训讲义52通信是否有监控；? 通讯费用的管理、检查是否由专人负责并审批通讯设备及服务的购置；描述通讯费用的管理与监督措施。 ◇ 1.语音黑客可以 a.盗窃信息和损害计算机系统。 b.攻击调制解调器和访问数据网络。 c.访问数据网络和盗窃通讯服务。 d.攻击调制解调器和损害计算机系统。 ◇ 典型试题 2.以下哪一组防止语音邮件舞弊的控制措施在抵消系统安全缺点的同时，也损失了 原来的优点？ I.在非工作时间，关闭自动拨入系统访问端口(DISA) II.分离内部外部的呼叫转移特权 III.实施呼叫定向 IV.断开拨入维护端口 a.I 和 II b.I 和 IV c.III 和 IV d.II 和 III 典型试题保证业务-信息技术审计业务 信息系统的控制可粗分为：??一般控制：管理控制、计算机运行控制、系统实施控制、软件控制、硬件控制、访问控制和数据安全控制等??应用控制：输入控制、处理控制和输出控制等。保证业务-信息技术审计业务 一般控制包括：? 管理控制：职责分离 ? 运行控制：系统正常运行 ? 系统实施控制：控制点和文档2004 年实施内部审计兆泰培训讲义53? 软件控制：授权修改 ? 硬件控制，如回波检验（echo check）、奇偶校验(parity check)等 ? 访问控制，又被称为逻辑访问控制 ? 物理设备控制：授权接触保证业务-信息技术审计业务 应用控制包括：?输入控制：? 输入授权：输入操作的审核、记录和授权 ? 数据转换： ? 编辑检验：输入数据的准确性，包括合理性检验、格式检验、存在性检验、依赖性检验（又称相关性检验）、检验位、重新输入控制? ?处理控制：运行总数控制、计算机匹配、并发控制 输出控制：平衡总数、复核处理日志、审核输出报告、审核制度与文件。◇ 典型试题 1.用户和管理人员都需认可最初的建议、设计规划、转换计划和信息系统测试计划。 这是以下哪项控制的例证? a.实施控制。 b.硬件控制。 c.计算机运行控制。 d.数据安全性控制。 ◇ 典型试题 2.以下哪项是信息系统逻辑安全控制的目标？ a.保证数据记录的完整和准确。 b.保证数据处理的完整和准确。 c.限制对特定数据和资源的访问。 d.提供处理结果的审计轨迹。 ◇ 典型试题2004 年实施内部审计兆泰培训讲义543.通过应用以下哪种技术可以防止未经授权对在线记录进行篡改？ a.关键字核对。 b.电脑顺序检查。 c.计算机匹配。 d.数据库访问控制。 ◇ 典型试题 4.为了避免非法数据的输入，某银行在每个账号结尾新加一个数字并对新加的数字 进行一种计算，此种技术被称为： a.光学字符识别。 b.校验数位。 c.相关性检验。 d.格式检验。 ◇ 典型试题 5.以下哪项不是典型的输出控制？ a.审查计算机处理记录，以确定所有正确的计算机作业都得到正确执行。 b.将输入数据与主文件上的信息进行匹配，并将不对应的项目放入暂记文件中。 c.定期对照输出报告，以确认有关总额、格式和关键细节的正确性及其与输入信息 的一致性。 d.通过正式的程序和文件指明输出报告、支票或其他关键文件的合法接收者。 保证业务-信息技术审计业务 关于应急计划，需要了解： ?制定应急计划首先应该对组织经营环境进行风险分析，然后才是分析恢复策略等 步骤； ?灾难恢复计划的一个重要组成部分是备份和重新启动程序； ?验证灾难恢复计划充分性的最有效手段是事先未通知的恢复测试，通常可以模拟 中断时的情况或在纸面上对恢复过程进行一次穿行测试； ?当组织的结构和运营发生改变时，灾难恢复计划必须随之改变，以保证恢复计划 的及时、有效。保证业务-信息技术审计业务 对应急计划的审计包括： ?审查应急计划并将他们与相应的标准和法律进行比较，评估该计划的适用性与实 效性； ?审查对先前信息系统及所有用户的测试结果及应急计划有效性， 确保灾难发生时， 可迅速恢复业务； ?审查异地存储设施和它的内容、安全和环境控制，以评估并确认异地存储的适当 性；2004 年实施内部审计兆泰培训讲义55?审查应急措施、员工培训、测试结果，评估在紧急情况下，信息系统及其所有用 户的有效反应能力。◇ 典型试题 1.最能说明紧急故障恢复计划有效的证据是 a.去年的计算机处理没有发生过中断。 b.关于该计划的详尽文档。 c.由内部审计部门对计划签署意见。 d.对计划进行成功的试验。◇ 典型试题 2.良好的计划可以帮助组织在处理中断之后恢复计算机操作。良好的灾难恢复计划 应该确保 a.备份/重启程序已嵌入作业流程和程序中。 b.变动控制程序不会被操作人员所绕过。 c.对设备工作能力的变动计划与设计好的工作量相容。 d.与应用程序所有者达成服务级别的书面协议。 ◇ 典型试题 3.在对某组织的灾难恢复能力进行审计时，审计师可能认为以下哪一项是最严重的 控制弱点？ a. 测试利用了恢复脚本。 b. 热站合同有两年时间了。 c. 备份介质被保存在现场。 d. 每年只测试几个系统。保证业务-信息技术审计业务 数据库类型： ? 层次型数据库：子元素?父元素 ? 网状型数据库：元素?元素 ? 关系型数据库：表?记录?字段(主关键字、次关键字) 数据库管理系统（DBMS）的组成部分： ? 数据定义语言 ? 数据操纵语言：结构化查询语言（SQL） ? 数据字典2004 年实施内部审计兆泰培训讲义56保证业务-信息技术审计业务 对数据库进行审计时，信息系统审计师应该评价数据库的： ???? 设计 ???? 访问 ???? 管理 ???? 界面 ???? 便利性◇ 典型试题 1.数据库管理人员应用以下哪种语言接口来建立数据库表结构？ a.数据定义语言。 b.数据控制语言。 c.数据操纵语言。 d.数据查询语言。 ◇ 典型试题 2.除了哪项以外，都是将关系型数据库分布到多个服务器的方法？ a.快照（制作一个拷贝用于分布数据库）。 b.复制（在不同位Z建立和保持重复拷贝）。 c.规范化（将数据库分割成逻辑表以便于用户处理）。 d.分段（将数据库分割成多个部分，并分配到需要它们的地方）。 保证业务-信息技术审计业务 信息系统运行的基本内容? 信息系统运行的管理； ? 计算机操作； ? 技术支持/帮助台； ? 数据输入/输出； ? 质量保证； ? 程序变更控制； ? 问题管理程序；2004 年实施内部审计兆泰培训讲义57? 监控资源有效运行的程序； ? 实体及逻辑安全的管理； ? 应用管理与业务持续计划。保证业务-信息技术审计业务 对数据中心运行的审计：? ?网络操作控制的审计 ? ?信息系统操作的审计 ? ?紧急状况操作的审计 ? ?问题处理报告的审计◇ 典型试题 1.建立数据所有权关系的任务应当是以下哪一种人的责任？ a.职能部门用户。 b.内部审计师。 c.数据处理人员。 d.外部审计师。◇ 典型试题 2.以下哪一种日志文件有助于评估计算机安全事例的危害程度？ a.联络日志。 b.活动日志。 c.事件日志。 d.审计日志。 保证业务-信息技术审计业务 网络基础设施：?网络服务器 ?应用服务器IBM: Websphere Application Server Oracle: Application Server2004 年实施内部审计兆泰培训讲义58BEA: Weblogic 保证业务-信息技术审计业务 对网络基础设施的审计： ? 关注点主要集中在应用服务器及为其提供数据的网络服务器，确保他们能够拥 有最佳的性能和可用性； ? 确定组织是否了解网络环境中关键组成部分的状态，检查管理员能否快速识别 网络基础设施的故障，在需要时能否向适当人员发出报警，并实现故障的自动纠 正； ? 检查组织能否获得实时的性能状态视图，并为一个用于提供历史报告和分析的 公共数据库提供数据输入。 ◇ 典型试题1. WWW站点证书的主要功能是 a.对用户要访问的WWW站点进行身份验证。 b.对访问WWW站点的用户进行身份验证。 c.防止黑客访问WWW站点。 d.与数字证书有同样的目的。 ◇ 典型试题 2.以下哪一种小程序(Applet)入侵类型会使组织面临系统运行中断的最大威胁？ a.在客户机上放Z病毒的程序。 b.能记录用户击键行为和收集口令的小程序。 c.从网上下载的能读硬盘文件的代码。 d.可以从客户机建立网络连接的小程序。保证业务-信息技术审计业务 使用盗版软件的危害：??违反版权法，需要承担法律责任 ??容易感染病毒保证业务-信息技术审计业务 防止使用非法软件的方法：? 建立组织内部的软件许可使用规章制度和政策，并通过版权法教育来增强雇员的版权意识；? 保存组织购买软件的原始记录，定期对每台计算机上使用的软件进行审查鉴别；2004 年实施内部审计兆泰培训讲义59? 正版软件的安装盘应由专人保管，可以为了备份目的制作拷贝，但不得用于其他计算机的安装使用。 保证业务-信息技术审计业务 对软件许可的审计包括：? 收集网络中用户当前所使用的所有软件的清单； ? 收集授权安装的软件清单，包括：软件的名称、安装平台、当前版本；购买的拷贝数量；购买日期；软件许可证据；软件许可的具体实施记录；? 检查关于正式软件购买与使用的政策与程序是否完备； ? 检查对非正式软件的使用规定； ? 确定是否进行持续性的或阶段性的软件许可检查； ? 软件是否有专人保管，软件存放是否得到有效控制； ? 对违反软件许可的行为如何处罚与纠正。◇ 典型试题 1.组织中使用了未经许可的软件，则 I.增加了感染病毒的风险。 II.如果只涉及低成本软件，就不是严重的风险。 III.会被在网络服务器上运行的例行检查软件探测出来。 a.只有I b.II和III c.I，II和III d.I和III ◇ 典型试题 2.通过因特网获得盗版软件可能引起法律纠纷。以下哪项能降低组织在这方面的风 险？ I.保存所有软件购Z的记录。 II.对每台计算机上使用的软件进行鉴别。 III.建立公司的软件使用政策。 IV.为每个用户都提供软件安装盘。 a.I和IV b.I，II和III2004 年实施内部审计兆泰培训讲义60c.II和IV d.II和III ◇ 典型试题 3.对于评估拥有超过15000台计算机工作站的组织遵守软件许可证规定的情况， 以下 哪一项是最适合的起点？ a.确定软件安装是否被集中控制或者软件的安装是在整个组织内分散进行。 b.确定什么样的软件被安装在公司计算机中以及安装的每一个软件的数量。 c.确定公司购买了多少套软件。 d.确定为监督软件的使用，安装了什么样的设备。 6.2 实施咨询业务 6.2.1 咨询业务种类 包括：? 正式的咨询业务―计划内且经书面协议规定的业务； ? 非正式的咨询业务―各种日常性活动，例如，参加常务会议、临时项目、专门会议及日常信息交流；? 特殊的咨询业务―参加兼并或收购小组，参加流程再造小组等； ? 紧急的咨询业务―参加灾后恢复或重建小组，参加非正常经营事件的恢复或重建小组，参加为满足特殊需要而建立的小组活动。 6.2 实施咨询业务 6.2.2 咨询业务中需要关注的问题: 6.2.2.1 独立性和客观性：? 在提供咨询业务前，首席审计执行官应该确认董事会了解并且同意要提供的咨询业务的内容及概念；? 在得出结论和向管理层提供建议时，内部审计师要保持其客观公正性； ? 同一内部审计师，在咨询业务完成后的一年内，对同一委托人实施保证业务，也会损害其独立性和客观性；? 内部审计师不要不适当地或下意识地去承担超出业务范围或脱离原定目标的管理责任。2004 年实施内部审计兆泰培训讲义616.2 实施咨询业务 6.2.2.2 应有的职业审慎性 内部审计师了解以下一些内容：?管理人员的需要，包括：性质、时间要求以及业务结果的沟通；? 提出此项要求的可能动机和原因； ? 为满足业务目标所涉及的业务范围； ? 实施此项业务所需要的技巧和资源； ? 对审计委员会已批准审计计划范围的影响； ? 对未来审计业务和计划的潜在影响； ? 组织可从此项业务中获得的利益。6.2 实施咨询业务 此外，内部审计师还要注意以下几点：? 召开适当的会议，收集必要的信息，以评估将要提供服务业务的性质和范围； ? 确认那些接受服务的组织能够了解和同意内部审计章程中规定的相关条款、内部审计活动的政策和程序以及其他相关规定；? 评价咨询业务与内部审计活动的整体业务计划的兼容性； ? 以书面的协议或计划书的形式，记录下与咨询业务有关的一般条款、解释、说明或者重要事实。6.2 实施咨询业务 6.2.3 咨询业务的工作范围：? 内部审计师设计咨询业务的工作范围,标达成一致；同时与服务接受方就咨询业务的范围和目? 内部审计师应该制定适当的目标，以满足服务接受方管理人员的需要；2004 年实施内部审计兆泰培训讲义62? 正规咨询业务的工作计划中应该记录业务的目标和范围，以及为完成目标所使用的技术手段；? 内部审计师应该关注风险管理和控制程序的有效性；6.2 实施咨询业务 6.2.4 咨询业务结果的沟通：? 咨询业务结果和程序的沟通形式多种多样，沟通内容要依业务的性质和客户的要求而定。? 在一些情况下，内部审计师可以决定哪些结果应该越过服务接受者，而与其上级直接沟通。? 内部审计师应该向管理部门、审计委员会、董事会或者其他政府部门披露正规咨询业务的性质、范围和结果。6.2 实施咨询业务 沟通步骤： 首先，确认协议中规定的涉及咨询业务的业务方向是什么； 第二，努力说服那些接受服务或要求提供服务的组织或个人能够自愿将业务结果与 适当方面进行沟通； 第三，确认内部审计章程或审计政策和程序中有关咨询业务的操作指南是什么； 第四，确认组织制定的操作规范、道德规范以及其他相关政策中有关咨询业务的操 作指南是什么； 第五，确认内部审计协会制定的《标准》和《道德规范》、审计师应该遵守的其他 准则和规范以及一些相关法规中有关咨询业务的指南是什么。 6.2 实施咨询业务 6.2.5 咨询业务的记录要求：? ?内部审计师应该将所做的工作记录下来，以有助于业务目标的完成，并且为业务 结果提供支持。 一般鼓励审计师采取适当的文件记录保存政策，以妥善保护组织利益和避免不必要的误解。 6.2.6 咨询业务的监督： 应该采用一些内部审计活动来监督咨询业务结果符合客户要2004 年实施内部审计兆泰培训讲义63求的程度，不同类型的咨询业务需要采取不同类型的监督手段。6.2 实施咨询业务 6.2.6 开展咨询活动的指导原则： ? 价值观 ? 遵循内部审计定义 ? 审计活动不只包括保证和咨询业务 ? 保证工作与咨询活动之间的相互关系 ? 由内部审计章程为咨询活动授权 ? 客观性 ? 提供咨询服务的基础 ? 基础信息的沟通 ? 组织所了解的咨询活动原则 ? 首席审计执行官（CAE）的职责 ? 解决冲突或新问题的标准 6.2 实施咨询业务 6.2.8 具体咨询业务：? 内部控制培训 ? 经营过程检查 ? 基准比较法，又称为基准管理或标杆管理法。 ? 信息技术及系统开发 ? 业绩测评系统的设计6.2 实施咨询业务 基准比较法的基本点：? 在组织外部寻找同本组织内部某一事项类似的最佳基准，并总结其特点、优势和经验；? 根据基准评价组织自身的水平，寻找差距； ? 制订计划和方案，改进组织内部的工作； ? 持续不断地寻找更先进的基准；2004 年实施内部审计兆泰培训讲义64? 根据组织特性，确定关键的、需要改进的问题作为设立基准的要素。6.2 实施咨询业务 在参与计算机系统的开发过程中，内部审计师：? ? ? ?要关心开发计划的适当性及成本/效益问题； 要监督开发过程的整个进展情况； 虽然不能参与计算机系统的设计，但应该建议在计算机系统中建立一定的控制并 保留审计线索； 在正式运行软件前，要组织对其进行测试，为慎重起见，新程序应与现行程序并 行运行至少一个处理周期。◇ 典型试题 1.以下哪项关于基准比较法的陈述是正确的？ a.将一个公司的业绩与其最接近的竞争对手的业绩进行比较是基准比较法的典型做 法。 b.它即可以进行定性比较，也可以进行定量比较。 c.通常局限于制造业和生产过程。 d.它是通过将某公司的业绩与具有最佳业绩的组织业绩进行比较来完成的。 ◇ 典型试题 2.以下哪项是内部非财务基准的例子？ a.主要竞争对手的技术熟练工人工资率。 b.公司效率最高的工厂的一种特定产品的平均每磅实际成本成为公司其他工厂的基 准。 c.公司在每家工厂建立一个基准为5万美元的员工培训项目。 d.公司中效率最高的工厂按时交付客户订货的比例成为其他工厂的基准。 ◇ 典型试题 3.某单位的高级管理层要求内部审计活动为所有的管理职员提供持续的内部控制培 训。以下哪一项是最好的解决办法？ a.一项正式的咨询业务协议。 b.一项非正式的咨询业务协议。 c.一项特殊的咨询业务协议。2004 年实施内部审计兆泰培训讲义65d.一项紧急的咨询业务协议。 ◇ 典型试题 4.以下哪一项是内部审计机构可适当实施的咨询活动？ a.设计控制系统。 b.起草控制系统的流程。 c.在实施前检查控制系统。 d.安装控制系统。 ◇ 典型试题 5.某内部审计师正在检查公司编制业绩计分卡的一份计划。该审计师应该建