Part II - Conducting the Internal Audit Engagement
第二部分 – 实施内部审计业务
A. A. Conduct Engagements (25 - 35 percent) (Proficiency Level)
实施审计业务 (25 – 35%) (要求熟练掌握) 1. 1. Research and apply appropriate standards:
研究和采用适当的标准:
a. a. IIA Professional Practices Framework (e.g., Code of Ethics, Standards, Practice
Advisories) IIA 职业实务框架(如,《道德规范》、《标准》、《实务公告》); b. b. Other professional., legal, and regulatory standards 其他职业的、法律的和法规的标准; 内部审计师可以采用的标准包括: ? 工作指南 ? 组织指示 ? 预算 ? 产品说明 ? 行业惯例
? 内部控制的最低标准 ? 公认会计准则
? 合同和著名的商业实务,等等
例.以下有关衡量雇员工作业绩质量的标准中,哪一项适合于用来衡量专业人士,比如说学院教员? I.产出的数量 II.产出的质量 III.成本 IV.产出的及时性 V.资金需求 VI.产生的收益
a.I、II和III b.I、II和IV c.III、V和VI
d.I、II、III、IV、V和VI
对专业人士业绩的考核,主要是对工作的质量\\效率和效果进行评价. 产生的收益\\资金需求用于成本和利润中心的业绩考核.
2. 2. Maintain awareness of potential for fraud when conducting an engagement
1
在实施审计业务时,要保持防范潜在舞弊的意识:
a. a. Notice indicators or symptoms of fraud 注意舞弊的迹象和征兆;
舞弊审计的动因
? 一些非常规性交易和记录遗漏所发出的警告信号。 ? 管理层期望通过内部审计能减少雇员舞弊的风险。
内部审计师发现舞弊的责任包括:
? 有足够的知识用以确认舞弊发生的征兆; ? 确认允许舞弊发生的控制弱点;
? 充分评价舞弊征兆以确定是否实施舞弊调查。
b. b. Design appropriate engagement steps to address significant risk of fraud 设计适当的审计业务步骤以应对重大的舞弊风险; ? 保持应有的职业审慎性;
? 评价舞弊的迹象或征兆,并决定是否需要采取进一步的行动或提出进行调查的建议; ? 开展舞弊调查;
A、舞弊调查步骤:
? 评价组织内部发生舞弊的概率和同谋程度。 ? 确定有效开展调查所需的知识、技能和其他能力。
? 设计相关程序,确认舞弊者、舞弊程度、所用技术和舞弊原因。
B、进行舞弊调查的注意事项:
? 在整个调查过程中,只要条件合适,就应该与管理人员协调行动。 ? 认识到舞弊嫌疑人和调查范围内有关人员的权利以及组织本身的名誉。
? 评价获得的事实证据;
评价已知事实的目的: ? ? ?
确定是否需要实施或加强控制,减少未来的薄弱环节。 设计调查测试内容,以协助披露未来的类似舞弊现象。
协助其他内部审计师履行其职责,以维护对舞弊的充分了解,并发现未来的舞弊迹象。
? 发布舞弊报告。
A、舞弊报告形式: ? 书面或口头报告 ? 中期或最终报告
B、舞弊报告内容: ? ? ?
调查发现 调查结论 调查建议
2
? 纠正性措施
c. c. Employ audit tests to detect fraud 采用审计测试以发现舞弊;
d. d. Determine if any suspected fraud merits investigation 确定是否应对任何可疑的舞弊进行调查
对于舞弊报告的解释性指导如下:
? 当内部审计师已在合理程度上确认组织发生了严重的舞弊现象时,应该将这种情况
及时通知管理高层和董事会。
? 舞弊调查的结果可能表明舞弊在一年或几年中对组织的财务状况和经营成果已经产
生了以前尚未发现的严重负面影响,而这些年份的财务报表已经公布。内部审计师应该将此发现通知管理高层和董事会。
? 关于舞弊最终报告的草稿应该提交组织法律顾问审查。 P14页第5题、P20页第5题、P25页11题
8.某内部审计师怀疑存在付款方面的舞弊,即某个未知姓名的雇员同时提交和批准相关发票的付款。在与管理层讨论潜在舞弊行为之前,内部审计师决定进一步收集证据。在提供附加证据方面以下程序最有效的是:
a.使用审计软件获得附有邮局信箱号码或其他反常事项的供应商名单;对这些事项进行抽样并追踪检查其支持文件,如验收报告等。
b.对年内已付款项进行抽样,检查各笔款项的审批手续。
c.对可代表被调查期间的验收报告进行抽样,并追踪检查经批准的付款;注意未经恰当程序的任何事项。
d.对上月收到的发票进行抽样检查,确定是否具有适当的付款授权;并追踪检查验收报告等支持文件。 A
12.以下哪一项关于舞弊调查的工作底稿记录的叙述是正确? I.所有控告证据都应该包含在工作底稿中。
II.所有重要的证言证据都应该进行检查以保证其能够为结论提供充分的依据。 III.如果和被怀疑对象进行面谈,那么就应该将书面证明材料或书面陈述材料归入工作底稿中。 a.只有I b.只有II c.II和III d.I、II和III D
19.对某主要零售公司实施审计的审计师怀疑三个具有较高销售成本的商店存在存货舞弊问题。以下哪一项审计活动可以为舞弊的发生提供最有说服力的证据?
a.利用整体测试法(ITF)将单个销售交易与测试交易进行比较。调查所有的差异。 b.与三个商店的经理面谈以确定他们对于差异的解释是否一致,然后将他们的解释与部
3
门经理的解释进行比较。
c.计划实施一项突击存货审计,包括实物盘点。调查存货短少的区域。 d.挑选每个商店价格的样本,并且与相同现金收款柜台的销售记录进行比较。 C
*4.整体测试法(ITF)
整体测试法又是称作“虚构公司法”。这是一种对系统功能动态的审查方法,即在系统真实运行时对系统进行审查。它根据系统使用同一应用程序处理各分公司(或部门、或其他个体)业务的原理,通过审查系统对虚构公司的测试业务处理结果来判断系统的功能是否正确。采用整体检测法对信息系统功能进行审查的步骤如下:
(1)通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。 (2)在被审系统中建立一个虚拟公司,针对系统应有的功能,设计与虚拟公司有关的测试业务,并准备这些测试业务处理应有的正确结果。
(3)在被审系统正常运行时,把虚构公司的测试数据和被审单位的真实数据一起输入系统处理,找出系统对虚拟公司测试业务的处理结果。
(4)把系统对虚拟公司测试业务的处理结果与应有的正确结果进行比较,从而判断被审系统的处理和控制是否正确。如果结果一致,说明系统功能正确;否则要检查差异原因,确定是否系统的功能有问题。
此方法是在系统正常处理过程中进行测试的,因此可直接测试到被审系统在真实业务处理时的功能是否正确有效。然而,整体检测法也有弊端。因为测试是在系统真实业务处理过程中进行的,如果未能及时、恰当的处理虚拟的测试数据,这些虚拟的测试数据可能会对被审单位真实的业务和汇总的信息造成破坏或影响。
补充: 计算机辅助审计的方法可以分为以下几种: 1.程序编码审查法
顾名思义,这种方法是直接对系统应用程序的源程序编码进行审查。众所周知,计算机是按给他编定的程序指令运行并实现相应功能的。如果审查证明信息系统的应用程序正确有效,则可以直接证实程序的功能正确有效,反之亦然。采用这种方法对应用程序进行审计的步骤如下:
(1)取得与被审程序有关的得文档资料,如程序说明书、程序流程图、源程序表、与此程序有关的数据文件结构和代码表等。
(2)通过向有关人员询问及查阅文档资料了解被审程序应有的处理和控制功能。
审阅源程序表。对较复杂的程序,根据源程序划出程序流程图活和对原有的程序流程图。通过对源程序和程序流程图的分析,判断被审程序是否能实现预定的功能,逻辑流程有无错误,是否包含舞弊程序,最后导出审计结论。
(3)采用这种方法对应用程序进行审计的优点是审计人员审查的事程序本身,因此能发现程序中存在的任何的错弊问题。其缺点是对审计人员的计算机水平要求高,比较费事费时,而且要注意证实被审的源程序确是真实运行程序的源程序。 2.测试数据法
测试数据法是将一卒正对系统应有功能而设计的测试数据输入被审的系统进行处理,将处理的结果与应有的正确结果进行比较,进而判断系统的处理与控制功能是否正确有效的一种系统功能审查方法。采用这种方法对应用程序进行审计的步骤如下:
(1)通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。
(2)针对系统应有的功能涉及测试业务数据,并根据系统应有的功能准备这些业务处理应有的正确结果。
4
(3)在专门的测试时间里,把测试数据输入被审系统处理,得到处理结果。
(4)把实际的处理结果和预期的正确结果进行比较,进而判断系统的功能是否正确有效。如果两者一致,说明系统功能正确;否则,要查找差异的原因,再做出判断。
测试数据法的优点是适用范围广,应用简单易行,对审计人员的计算机技术水平要求不高。因此,它被广泛应用于各种系统的测试和验收。其主要的缺点是可能不能发现程序中所有的错弊。如果审计人员没有预想到程序中的某些错弊,没有针对它们设计测试数据进行测试,则这种审查方法不可能发现这些错弊。 3.受控处理法
对于一些已经投入使用的较大型网络系统,例如银行系统、ERP系统等,被审单位可能难以为审计人员专门准备一个与实际系统一样的测试环境,因而难以用测试数据法对被审系统的功能进行审计。在这种情况下,可以采用受控处理法对系统功能进行审查。受控处理法是审计人员通过监控系统对各类真实业务的处理并检查其处理结果,进而判断系统功能是否正确。采用受控处理法进行系统测试的步骤如下:
(1)通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。
(2)在系统的正常运行中,审计人员监控系统对各类真实业务的处理,取得相应的处理结果;同时,审计人员根据正确的处理原则对相应的业务进行处理,得到正确的处理结果。 (3)把系统处理结果与正确结果比较,从而判断被审系统功能是否正确有效。
受控处理法的优点是简单、易行,不用准备测试数据,对审计人员的计算机技术水平要求不高。其主要缺点是在某一时间里,真实业务可能不能覆盖系统的所有功能,用此方法可能不能发现系统存在的所有问题。 5.平行模拟法
平行模拟法又叫并行模拟法,它是通过比较被审系统和模拟系统对被审单位真实业务处理的结果来判断被审系统功能是否正确的一种系统功能的审查方法。使用这种方法进行审计的步骤如下: (1)通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能;
(2)审计人员取得一套具有被审系统应有的处理和控制功能、且功能正确的模拟系统。模拟系统可以专门开发,也可以通过别的途径取得,例如购买商品化通用软件。
(3)把被审单位真实的业务数据分别输入模拟系统与被审系统进行处理,并分别得出处理结果。 (4)把两者的结果进行比较,从而确定被审系统功能是否正确。因为模拟系统功能是正确的,如果两者结果相同,则可确定被审系统功能也正确。如果发现两者结果不一致,要检查差异的原因,确定被审程序功能是否有问题。
平行模拟法的优点是一旦取得了模拟程序,可以随时对被审系统进行抽查,也可以用模拟系统重新处理全部的真实业务数据,进行比较全面的审查。与抽查相比,可以进行更彻底的测试。其主要却电视模拟系统的开发通常需要花费较长的时间,开发或购买费用都较高;而且,如果实际使用的系统更新,则模拟系统亦要随之更新,相应要增加费用。 6.程序比较法
程序比较法是一种通过把被审程序与标准程序进行比较,进而确定二者是否一致,被审程序功能是否正确的一种审查方法。这种审计方法只能用于某系统或某应用程序的再次审计。使用这种方法对信息系统功能进行审查的步骤如下:
(1)被审的应用程序曾被审查过且证实其处理与控制功能正确有效。审计人员保存了一份该程序的备份,且确保没有人可以改动它。
(2)审计时,审计人员使用专门的程序比较软件来比较再用的被审程序和此备份程序。如果两者没有差异,则可确定在用的被审程序未被改动过,功能正确。否则,说明被审程序被改动过,需要进一步检查系统的修改是否经批准的修改维护,修改后功能是否正确。采用程序比较法可比较两者的源程序码,亦可比较其经过编译的目标程序码。
这种方法因为比较的是程序的本身,其优点是能发现被审程序的任何改动。其缺点是要使用程序比较软件,而且当发现两者有差异时,要进一步判断修改后的程序功能是否恰当比较困难。 7.嵌入审计程序法
嵌入审计程序是指在被审计算机信息系统的开发阶段,在被审系统中嵌入为执行特定审计功能而
5
设计的程序。嵌入审计程序法是指利用嵌入审计程序对系统功能进行审查的方法。嵌在计算机信息系统中主要有两类:一类主要是在一些特定点上对系统的处理进行实时监控的程序。这类审计程序只要系统一运行,它就在特定的处理环节对系统进行连续监控,凡是出现满足制定条件的情况将被写进特定的审计文件中,以便审计人员进行调查分析。另一类嵌入审计程序只有在审计人员调用时才起作用。这类嵌入审计程序不一定仅用于对程序功能的审查,也可以是其他的辅助审计程序。
要采用嵌入审计程序法,要求审计人员在系统开发阶段就对嵌入审计程序的功能提出需求,以便在系统设计中包含了要嵌入的审计程序。 8.程序跟踪法
程序跟踪法是通过一步一步跟踪被审程序对业务的处理过程的处理结果,进而判断被审程序是否正确的程序审查方法。除可以用专门的跟踪软件对被审程序的运行进行跟踪外,不少高级语言或数据库管理系统都有程序跟踪测试的命令,审计人员可以利用这些命令对被审程序进行跟踪。
程序跟踪法的优点是通过跟踪被审程序的运行,可确切知道程序是怎样处理的;对有错误的程序,可通过跟踪找出错误所在。其缺点是要求审计人员熟练掌握编程语言的指示,而且进行跟踪并分析程序存在的问题一般很费事费时,所以这种方法不会用于整个信息系统应用程序的审查。这种方法通常用于程序员对程序的调试和排错。 9.漏洞扫描与入侵检测
漏洞扫描与入侵检测适用于审查和测试系统安全性的技术方法,它利用计算机帮助检查和发现系统存在的安全漏洞及入侵的迹象。
漏洞扫描是一种自动检测远端或本地主机安全脆弱点的技术。扫描程序集中了已知的常用攻击方法,针对系统存在的各种脆弱点,对系统进行扫描,并按统一的格式输出扫描结果,以便审查人员分析并发现系统存在的漏洞。
入侵检测指对计算机和网络资源的恶意使用行为进行识别的处理过程。它不仅可以检测外来的入侵行为,而且可以检测内部用户未经授权的滥用行为。对系统的入侵检测,可利用嵌入被审系统中的入侵检测程序执行。一方面检测程序可以根据用户的行为和系统资源的使用情况是否出现异常判断是否发生了入侵情况。另一方面,检测程序可根据常见的入侵模式和入侵过程的特征判断入侵是否发生。一旦发现系统被入侵的迹象,系统将给出警告信息。漏洞扫描与入侵检测不仅可以审查计算机信息系统应用程序的漏洞与缺陷,而且可审查包括网络和硬、软件在内的整个信息系统的安全性。
3. 3. Collect data.
收集数据。
审计证据指内部审计师在审计过程中收集的、为审计结论和审计建议提供支持的信息。
按证据来源:
i 内部证据(internal) i 内-外证据(internal-external) i 外-内证据(external-internal) i 外部证据(external) 按证据的特征:
i 实物证据(physical evidence):指CIA通过对人.财.物和事件的直接观察和审查所获得的证据 i 证明证据(testimonial evidence):在回答询问或面谈时所做的口头或书面的说明. i 文件证据(documentary evidence):以固定形式存在 i 证据(analytical evidence) 按审计证据的说服力程度: i 充分信任(full reliance) i 部分信任(partial reliance)
6
i 不可信任(no reliance)
2.内部审计师关心所有存货的计价,将以下判定存货计价的审计证据按说服力从高到低顺序进行排列。
I.按单个产品计算存货周转率。
II.通过与市场部经理面谈来确定产品的可销售性,对存货周转率小于或等于2的存货项目评价其净变现能力。
III.计算所有存货产品的可变现净值(NRV)(根据最后的销售价格,用审计软件计算NRV)并将其与成本进行比较。
IV.选取存货的一个统计样本,检查最后的采购文件(发票和收货清单),以计算存货成本。
a.I、II、III和IV b.I、IV、II和III c.IV、I、III和II d.II、III、IV和I C
按审计证据的法律概念: i 直接证据(direct evidence)
i 旁证(hearsay evidence):为证明尚待证实事情而提供的一种声明,往往不被接纳,不能通过交叉检查
i 最优证据或首要证据(best evidence or primary evidence):如:文件证据 i 次要证据(secondary evidence)如:复印件\\口头证据 i 意见证据(opinion evidence)
i 附属证据(circumstantial evidence):从首要证据中推断而来 i 确证证据(conclusive evidence)
i 佐证证据(corroborative evidence) :支持其他审计证据 3.3 收集审计证据时应考虑的问题 ? 应该考虑收集多种类型审计证据 ? 应该考虑审计目标
? 应该考虑风险因素,包括抽样风险和非抽样风险。
? 应该考虑是否有利于被审计单位的上级管理部门和董事会提高对内部审计职能的认
识和重视程度
? 应该考虑被审计单位的反馈信息 ? 应该考虑应有的职业审慎性
关于“应有的职业审慎”,内部审计师应该考虑以下因素: ? 为实现审计目标而需要开展的审计工作范围; ? 所要保证事项的相对复杂性、重大性和重要性; ? 风险管理、控制和治理过程的充分性和有效性; ? 重大错误、违反规定或不守法情况的发生概率; ? 与潜在利益相关的审计保证成本
7
4. 4. Evaluate the relevance, sufficiency, and competence of evidence.
评估证据的相关性、充分性和适当性。 ? ? ? ?
充分的(sufficient)是指审计证据是真实的、恰当的和有说服力的,可使一个谨慎精明的人能够得出与内部审计师相同的结论。
可靠的(reliable)是指通过运用适当的审计技术所能得到的最好的审计证据。 相关的(relevant)是指审计证据能够支持审计发现和审计建议,并且与审计目标相
一致。
有用的(useful)是指审计证据能够帮助组织保证:财务和经营信息的可靠性和完整性;
经营的效率和效果;资产的安全;遵循法律、规章制度以及合同。
5. 5. Analyze and interpret data.
分析和解释数据。 分析性审计程序的作用: ? 确定各种数据之间的关系; ? 确认期望发生的变化是否发生; ? 确认是否存在异常变化。
u 多期比较(period-to-period comparisons u 预算与实际比较(budget-to-actual comparisons) u 账户间内部关系分析(interrelationships among accounts) u 与行业数据比较(comparisons to industry data) u 与经营数据的比较(comparisons to operating data) u 与经济数据的比较(comparisons to economic data) u 与非财务数据的比较(comparisons to nonfinancial data) P62
5. 分析性程序最好归类于以下哪一项? a.实质性测试。 b.控制测试。 c.定性检查。 d.预算比较。
A
6. 6. Develop workpapers.
编制工作底稿。作用:
? 为内部审计报告提供主要的证据支持; ? 帮助审计计划的制定、执行和检查; ? 记录是否完成审计目标; ? 方便第三方检查;
? 为评价内部审计部门的工作质量提供依据;
? 为诸如保险索赔、舞弊案件及法律诉讼等情况提供支持材料; ? 帮助内部审计师的专业发展; ? 证实内部审计部门是否遵守了《标准》;
8
? 为内部审计师与被审计单位之间交换意见和探讨专业问题提供了必要的背景资料; ? 有助于内部审计师在今后审计类似审计对象时,做好准备工作; ? 促进了异地内部审计工作之间的协调以及职员之间责任的分配。 内容: ? ? ? ? ? ?
计划;
对内部控制系统的健全性和有效性所进行的检查和评价; 执行的审计程序、取得的资料以及所得出的结论; 审查; 报告; 跟踪检查。
例如:
? 计划文件和审计方案;
? 控制调查问卷、流程图、核对清单和叙述文字; ? 调查记录和备忘录;
? 组织机构的系统数据,如组织系统图和岗位说明; ? 重要合同和协议的复印件; ? 关于经营和财务政策的资料; ? 控制系统的评价结果; ? 函证和陈述的信件;
? 对交易事项、处理过程和账户余额的分析和检查; ? 分析性审计程序的结果; ? 审计的最终报告和管理层的反馈;
? 如果记载了得出的审计结论,应附有关审计证据的交流情况
手工编制的工作底稿 优点:
1、可以随时随地做记录和进行讨论; 2、因为是大家熟悉的介质,容易利用和工作。 缺点:
1、难以作出改变,需要花费较多时间; 2、当有很多卷时,不便于携带和难以传递; 3、要准备一定的地方来储存; 4、纸容易被火、水所毁坏;
5、难以进行交叉参考,并且花费一定的时间。 电子工作底稿 优点:
1、不用准备储存的地方; 2、很容易在审计师之间进行传递; 3、容易做到交叉参考;
4、很容易并且可以迅速地对底稿进行修改; 5、总的来说,节省时间;
9
6、利用计算机网络可以快速地在审计职员之间分享信息资料; 缺点:
1、要求进行特殊的技术培训; 2、不能在底稿上正式签名; 3、要求执行复杂的接触控制; 4、不容易与纸质工作底稿进行对比; 5、要求配备计算机;
6、很难对交叉参考进行检查验证。
编制指南:
? 完整(completeness)和准确(accuracy); ? 清晰(clarity)和可理解(understandability); ? 易读(legibility)和整洁(neatness); ? 相关(relevance)和详略得当; ? 注意设计(design)和格式(layout)。
? 每份审计工作底稿必须有一个标头。这个标头通常包括正在被审查的组织或活动的
名称、有关该项工作内容或目的的标题或说明以及审计工作的日期或时期; ? 每份审计工作底稿应有内部审计师的签名(或印签)和日期记录; ? 每份审计工作底稿应有目录或索引(应简单、详细); ? 审计核实的符号(记号)应加以注释 ? 数据的来源应清楚地标明。
3.审计工作底稿用参考数字的方法进行索引,索引的主要目的是 a.允许交叉参考和简化监督性检查。 b.支持审计报告。 c.消除后续检查的需要。
d.确定工作底稿是否充分支持审计发现、结论和报告。
7. 7. Review workpapers.
复核工作底稿。 为监督检查提供证据:
? 由审核人员在每一张底稿上签字并注明审核日期; ? 编制已接受检查的工作底稿清单;
? 编制一份记载检查的性质、范围和结果的备忘录(复核记录)。
工作底稿复核人员应该确定: u 内部审计师遵循了业务工作程序; u 内部审计师遵循了他们得到的特定指令; u 工作底稿反映了工作过程; u 完成了所有的计划步骤;
10
u 得出的结论是合理的;
u 就审计发现、审计建议和审计结论与审计业 务委托人进行了磋商,并将磋商结果记录下来
u 遵守了工作底稿编制指南。 保存:
u 审计工作底稿的所有权归组织拥有。
u 审计工作底稿应该被妥善保管,注意防火、防盗。
8. 8. Communicate interim progress.
沟通中期进展情况。 5.1 准备工作: ? 沟通中期进展情况 ? 得出结论
? 在适当的时候编制建议书 ? 召开结束会议或退出会议
9. 9. Draw conclusions.
得出结论。
10. 10. Develop recommendations when appropriate.
在适当的时候编制建议书。 审计建议类型包括: ? 现有系统无须改变; ? 现有内部控制系统需要修正;
? 当增加控制措施的做法不可能或不可行时,建议增加保险方面的支出; ? 影响风险的某项报酬率需要调整。
11. 11. Report engagement results
报告审计业务结果: 《标准》规定:
“内部审计师在签发最终审计报告前,应该与适当的管理层讨论审计结论和建议” 审计报告的作用和重要性?对于内部审计师来说:
a. 审计报告总结概括了审计工作的目的、范围和结果; b. 审计报告鼓励被审计单位采取行动来加强控制; c. 审计报告促进对内部审计师的教育与培训; d. 审计报告为评价内部审计师的工作业绩提供方便; e. 审计报告为后续审计的进行提供便利条件。 审计报告的作用和重要性? 对于管理层来说:
? 审计报告提出了行动计划,可以促进管理层采取必要的改进措施; ? 审计报告为需要最高管理者关注的事情能够得到关注提供了支持;
11
? 审计报告有助于繁忙的管理层了解经营情况; ? 审计报告有助于评价经营业绩。
审计报告的作用和重要性?对于最高管理者来说:
? 审计报告提供了其他报告不能提供的、有关经营和控制的详细情况; ? 审计报告提供了一些高层管理者不可能从其他途径获得的客观信息;
? 审计报告提供的有关审计活动的信息,可以使最高管理者判断是否很重要或高风险
的事件正在接受审计;
? 审计报告可以促进经营活动的规范化。
审计报告的作用和重要性?对于其他组织来说: ? 审计报告是一项重要的信息来源;
? 外部审计师可以借助审计报告来评估其依赖内部审计工作的程度,以避免重复工作。 ? 审计报告有助于保证监管机构的利益。
a. Conduct exit conference
召开退出会议;
b. Prepare report or other communication
编制审计报告或其他沟通文件; 审计报告的内容: ? ? 围。
?
审计结果:审计发现、审计结论(意见)和审计建议。
审计发现是与事实有关的说明,应基于以下因素: ? 标准(criteria) ? 条件(condition) ? 原因(cause) ? 效果(effect)
审计结论(意见)包括但不限于:
? 部门或项目的任务和目标是否与组织 的相一致; ? 正在被审查的活动是否如期进行; ? 组织的任务和目标是否完成。
c. Approve engagement report
批准审计业务报告; 审计报告的种类: ? ? ? ?
最终审计报告(final audit report) 总结报告(summary reports) 口头报告(oral reports)
过程报告(progress reports) :如:中期报告
编制中期报告的特殊情况包括: 审计目的:审计目标、审计原因和预计目标。 审计范围:审计活动及审计阶段、未经审计的相关活动、审计工作的性质和范
12
? 审计工作需要延长一段时间;
? 审计中发现一些需要马上引起注意的重要问题; ? 管理当局迫切需要了解某些特殊问题; ? 审计范围发生变化。 中期报告的作用:
u 及时向被审计单位反馈信息;
u 与最终报告相比,更有可能促进被审计单位采取及时、快速行动; u 被审计单位采取了快速行动,会有助于顺利完成一份令大家满意的最终报告;
u 在审计结束前,内部审计师有机会跟踪了解报告中所提到问题的进展情况。
审计报告编制标准: u 准确(accurate) u 客观(objective) u 清晰(clear) u 简明(concise)
u 富有建设性(constructive) u 完整(complete) u 及时(timely)
d. Determine distribution of report
确定审计报告的分发; ? ?
首席审计执行官或其指定的人审核和批准审计报告,并决定分发对象。 审计报告应该分送给组织中能够保证审计结果会得到应有考虑的成员。
e. Obtain management response to report
取得管理层对报告的反馈意见;
2.以下哪项不是结束或退出会议的主要目标? a.解决冲突。 b.讨论审计发现。 c.确认对未来审计的关注。
d.确认管理者对审计发现的反应和采取的措施。 C
3.以下哪一项不是审计报告的主要目的? a.通知。 b.取得结果。 c.认定责任。 d.说服。
13
C
1.某内部审计主管发现其内部审计师越来越多地以口头报告来补充书面报告。内部审计师使用口头报告的增加最为可能的原因是口头报告: a.减少支持审计发现所需的测试数量。 b.用非正式形式传达意见,无需准备。
c.采用灵活的形式编制,因此提高整体审计效率。
d.允许内部审计师表达相反的论点,并为听众提供可能需要的额外信息 D
12. 12. Conduct client satisfaction survey.
实施顾客满意度调查。 缓解冲突,增加顾客参与
13. 13. Complete performance appraisals of engagement staff.
完成审计业务人员的业绩评价。
标准包括:各种技能,努力实现的成果的质量和范围,工作性质.对审计和组织程序的了解,与被审计单位关系,持续教育,上次评价后的改善情况及计划能力等. B. B. Conduct Specific Engagements (25 - 35 percent) (Proficiency Level)
实施具体审计业务 (25 - 35 %)(要求熟练掌握) 分类:保证与咨询
1. 1. Conduct assurance engagements.
实施保证业务: P 舞弊调查
P 风险和控制的自我评价 P 第三方审计和合同审计 P 质量审计 P 尽职调查审计 P 安全审计 P 保密审计
P 绩效(主要业绩指标)审计 P 经营(效率和效果)审计 P 财务审计
P 信息技术(IT)审计 P 合规性审计
a. a. Fraud investigation.
舞弊调查步骤。
1) 1) Determine appropriate parties to be involved with investiagion
确定调查的适当对象;
2) 2) Establish facts and extent of fraud (e.g., interviews, interrogations, and data
analysis)
证实舞弊事实和程度(如,面谈、讯问和数据分析); 3) 3) Report outcomes to apprpriate parties
向适当方面报告结果;
14
4) 4) Complete a process review to improve controls to prevent fraud and recommend
changes
对过程进行检查以改善预防舞弊的控制,并提出改进建议。
? 评价组织内部发生舞弊的概率和同谋程度。 ? 确定有效开展调查所需的知识、技能和其他能力。
? 设计相关程序,确认舞弊者、舞弊程度、所用技术和舞弊原因。 进行舞弊调查的注意事项:
? 在整个调查过程中,只要条件合适,就应该与管理人员协调行动。 ? 认识到舞弊嫌疑人和调查范围内有关人员的权利以及组织本身的名誉 评价已知事实的目的: ? ? ?
确定是否需要实施或加强控制,减少未来的薄弱环节。 设计调查测试内容,以协助披露未来的类似舞弊现象。
协助其他内部审计师履行其职责,以维护对舞弊的充分了解,并发现未来的舞弊迹象。 舞弊报告形式: ? 书面或口头报告 ? 中期或最终报告 舞弊报告内容: ? ? ? ?
调查发现 调查结论 调查建议 纠正性措施。
对于舞弊报告的解释性指导如下:
? 当内部审计师已在合理程度上确认组织发生了严重的舞弊现象时,应该将这种情况
及时通知管理高层和董事会。
? 舞弊调查的结果可能表明舞弊在一年或几年中对组织的财务状况和经营成果已经产
生了以前尚未发现的严重负面影响,而这些年份的财务报表已经公布。内部审计师应该将此发现通知管理高层和董事会。
? 关于舞弊最终报告的草稿应该提交组织法律顾问审查。 CIA在发现舞弊方面的责任 ? 充分了解,以便能够发现迹象
? 警惕诸如控制薄弱环节等可以引发舞弊的机会.如果发现了严重的控制薄弱环节,所
开展的额外测试就应该包括旨在发现其他舞弊迹象的测试.
? 通过评估来表明可能存在的舞弊迹象,并确定是否需要采取进一步的措施,或建议开
展调查工作
? 如果有充分迹象,并确定是否需要采取进一步措施,需将此情况通报组织主管人员 舞弊审计工作底稿的安全性
? 书面证据的副本或意见应放入工作底稿中,并要有被询问者的签名 ? 所有指证舞弊的证据,应将期副本放入工作底稿中 ? 证据应经过两次检查 ? 机密性的工作底稿应上锁保存
15
评估舞弊发生的标准:
? 现有条件招致重大违法行为的风险;
? 组织内拥有权力和责任的个人(或集体),出于某种原因或动机从事违法活动的可
能性;
? 组织内拥有权力和责任的个人(或集体)工作态度或道德观念有问题,以致(或甚
至寻找机会)进行违法活动的可能性 ?
b. b. Risk and control self-assessment
风险和控制自我评价。: 控制自我评估包括自我评估调查和协调研讨,用于管理人员和内审师合作评价控制程序有效性。它综合了业务目标和控制过程的风险,也称控制/风险自我评估。
控制自我评价的目的: u 确认存在的风险和漏洞; u 评价管理或降低风险的控制过程; u 编制将风险降低到可接受程度的行动计划; u 确定实现业务目标的前景。 控制自我评价的内容包括: ? ? ? ? ? ? ? 进作用;
?
增强了组织内部对风险管理和控制过程的管理责任,并且管理人员不会再推卸
责任,将这些活动交给专家(例如,审计人员)来完成。
控制自我评价的作用包括--对内部审计来说: ? ? ? ? ? ?
有利于内部审计人员充分了解自我评价过程;
使内部审计活动获得更多的有关控制程序的信息,并且能够促进审计师更加关强化了内部审计活动的传统作用;
内部审计师和管理人员可以联合收集有关控制程序是否运行良好、剩余风险严是审计师与被审计人员之间充分沟通的过程。
通过参与评价项目可以减少在收集有关控制程序信息方面花费的时间,并且也对控制系统本身的制度评价 控制效果和效率的评价
对参与控制的人员的资格、工作程序和工作表现的评价
使组织内部人员通过评估风险,在将管理风险和提高组织目标实现机率与控制较容易鉴别和评价非正规的“软”控制;
鼓励职员以主人翁态度对待控制程序,使团队能够及时、有效地采取纠正行动; 使一个组织的全部“目标—风险—控制”基础都能起到有效地监督和持续地促
控制自我评价的作用--对组织来说: 过程相结合的过程中,得到锻炼;
注存在重大控制弱点或高风险的单位或职能部门;
重程度等方面的信息。
可以减少一些测试工作
16
控制自我评价包括5个过程: u预先做好计划和初步审查。 u通过会议收集每个岗位人员的情况。
u根据组织结构,安排专门人员审查整个过程的风险及其控制情况。
u安排一个记录员和一台可以记录每个人评论或观点的投票机,对调查了解的情况、每个人的观点和最后表决的结果进行准确地记录。
u报告结果,并制订改进方案。
控制自我评价的三大主要方法:(应结合应用) ? ? ?
促进小组研讨班(Facilitabed team nerkshops):收集的信息来源于组织内部代表调查法(Surveys):问卷
管理部门进行分析法(Management-produced analysis):利用管理部门小组,应用
不同层次经营单位或职能部门的工作小组
多种方法收集信息,适用于作出及时有见解的判断
适宜采取调查法的几种情况: (1)参与自我评价的人很多且分散; (2)缺乏进行坦诚公开讨论的氛围; (3)减低收集信息所花费的时间和费用。
CAS的适用范围:可以用于商业活动和财务状况的风险审查、控制活动、道德价值和
控制效果等方面的控制,也可用于考察、了解各项控制活动和政策的执行情况。而追踪不良行为、例行检查和实现复杂或不明确的目标不适用。
CAS的特点:CAS是一种包括自我调查和研讨的方法,是组织内部管理人员和内审师评价和确认风险管理和控制过程适当性的有效方法,它可减少在收集有关控制程序信息方面的花费时间,也可减少一些测试工作,有利于内审工作集中于对高风险活动和不正常状况的检查,收集来自全组织内方方面面的信息,对控制进行全面评价。
CAS的形式:依据基础类型区分为目标、风险、控制、过程等形式。
(1)以目标为基础:强调实现业务目标的最佳方式。过程为:确认现有的、用于支持目标的控制措施→确定剩余风险→通过CAS确认控制程序是否在有效运作→维持剩余风险在可接受的水平。
(2)以风险为基础:强调列举实现目标的各种风险。
过程为:列举所有可能阻止目标实现的障碍、威胁和风险→检查控制程序,已确定控制过程是否足以对关键风险进行管理→确定重要的剩余风险→维持剩余风险在可接受的水平。
(3)以控制为基础:强调现有控制措施的运作情况。 过程为:确认关键的风险和控制→工作小组对控制减少风险并促进目标实现的方式进行评价→分析控制程序目前的运作情况与管理人员的期望值之间的差距。
(4)以过程为基础:强调所挑选的、作为过程链组成因素的活动。 过程是一系列相关的、从一个起点通向一个终点的活动。内容覆盖对整个过程目标和各种中间步骤的确认,最终要评价、更新、证明、改善和简化整个过程及其组成活动的内容。
例题:6.以下哪一项是控制自我评价程序应该重视的,但不是控制自我评价程序应该做的?
a.将从组织各组成部分收集到的信息整合在一起。 b.增加对贯穿组织的控制程序的评估覆盖面。
17
c.提高由程序拥有者制定的纠正措施的质量。
d.将内部审计的工作集中于对高风险程序和异常情况的检查。 A
1) 1) Facilitated approach
促进方法
(a) (a) Client-facilitated
审计业务客户自我促进 (b) (b) Audit-facilitated
审计促进
2) 2) Questionnaire approach
调查问卷方法
3) 3) Self-certification approach
自我认证方法
c. c. Audits of third parties.
第三方的审计。 举例: ? ?
对提供外包服务的组织的审计;
对商业伙伴有关电子数据交换系统(EDI)控制的审计。
合同审计中涉及的合同大致为:
一次付款(固定价格)合同(lump-sum contracts) 成本加总合同(cost-plus contracts) 单位价格合同(unit-price contracts)
d. d. Quality audit engagements.
质量审计业务。 四个关键要素: ? ? ? ?
顾客的需要;
为满足顾客需要的产品/服务计划、生产和运输程序; 生产和运输产品/服务程序的计划和执行; 程序控制。
e. e. Due diligence audit engagements.
尽职调查审计业务。
收集信息,为被审计单位管理部门作出有关合资、合并、联合及其他并购事宜的决策提供帮助。
f. f. Security audit engagements.
安全审计业务。 目的: ? ? ? ?
确认现行安全控制的有效性;
监督是否有滥用和错用系统、程序的情况; 检查现行安全政策的遵循情况;
收集可能发生的犯罪行为(既包括与计算机有关的,也包括无关的)的证据;
18
? ?
发现组织内存在的潜在威胁或风险。这些威胁或危险可能存在于各项政策、程为解决组织安全问题提供建议。
序以及计算机网络和应用软件中;
g. g. Privacy audit engagements.
保密审计业务。
通过检查信息的收集、存储、共享、使用和销毁过程,来确定信息处理程序是否符合保密要求,同时评价组织敏感性、安全风险以及对组织收集到信息的敏感性和公众理解性。
h. h. Performance (key performance indicators) audit engagements
绩效(主要绩效指标)审计业务 目标: ? ? ?
效果:目标的完成情况
效率:在达到目标的过程中所耗费的资源 效益:投入和产出之间的关系和结果
i. i. Operational (efficiency and effectiveness) audit engagements
经营(效率和效果)审计业务 内容: ? ? ? ? ?
建立经营目标; 对照标准衡量业绩水平; 检查和分析偏差; 采取纠正措施; 依据经验重新评估标准。
j. j. Financial audit engagements.
财务审计业务。 目的: ? ? ?
财务信息的揭示是否遵守已建立的标准或准则; 组织是否遵守某些法律或法规的特殊财务规定;
组织是否恰当地建立并实施了有关财务报告和资产安全的内部控制制度,以
促进控制目标的完成。
k. k. Compliance audit engagements
合规性审计业务
: 确定组织对政策、程序、标准或者法律和政府法规的遵守程
度。
l. l. Information technology (IT) audit engagements.
信息技术 (IT) 审计业务。
19
1) 1) Operating systems
操作系统:管理硬件和软件,保证雇员只对经受权的数据进行访问
操作系统管理的计算机资源包括:输入/输出设备、存储器、CPU、网络
常用的操作系统有:
PC机操作系统(DOS、MS Windows 、MAC OS等) (a) Mainframe
大型机(IBM S/390、IBM MVS等) (a) (b) Workstations
工作站(MS Windows Server, Linux等,一种高档微机) (b) (c) Server
服务器(有固定地址,为网络用户提供服务的节点)
操作系统提供的功能包括: ? 定义用户接口; ? 允许用户共享硬件; ? 允许用户共享数据;
? 在用户之间进行资源调度及个人使用输出/输入资源。
? 通知用户所有处理器、输入、输出设备或程序存在的相关错误信息; ? 对出现的故障能进行恢复; ? 管理系统文件; ? 管理系统账号;
? 操作系统与程序之间进行通信。
对操作系统实施审计的要点:
? 收集操作系统所安装平台的所有软件系统,包括操作系统、数据库、应用
系统概要信息及其主要配置;
? 输出文件列表,记录特权用户、普通用户账号信息及其权限,缺省用户设
置情况;
? 以管理员身份登录到系统中,收集并记录各种系统信息,如主机配置、用
户环境、网络信息、口令、权限设置等;
? 检查并测试口令设置规则与强度,口令输入检查控制是否有效; ? 检查对操作系统文件的访问控制是否适宜; ? 检查系统初始化环境参数的设置是否适宜; ? 检查用户登录环境是否受到适当的限制;
? 检查系统缺省启动的程序,确定没有不明来历的程序被启动,确定暂时不需要的程序是否被禁止;
? 检查是否容许用户未经口令验证(或使用缺省的口令)直接进入系统,如
系统某些缺省的用户是否有缺省的口令或空口令;
? 检查系统日志是否打开,保证对日志的直接访问受到限制; ? 检查用户账号的授权或对系统资源授权访问是否适宜; ? 是否有操作系统备份计划,备份设备是否就绪;
? 设备能力测试,当前应用环境下操作系统对内存、磁盘、网络的容量要求
是否能满足;
? 操作系统版本测试,补丁程序是否及时;
20
? 检查是否对出现故障的操作系统有完备的维护程序与记录。
对系统主机的审计包括:
? 审计主机容量管理程序及性能评估程序 ? 审计硬件采购计划
? 审计硬件可用性及使用状态
C/S结构(Client/Server的简称,客户机/服务器结构),有一台或多台服务器以及大量的客户机。服务器配备大容量存储器并安装数据库系统,用于数据的存放和数据检索;客户端安装专用的软件,负责数据的输入、运算和输出。
客户机和服务器都是独立的计算机。当一台连入网络的计算机向其他计算机提供各种网络服务(如数据、文件的共享等)时,它就被叫做服务器。而那些用于访问服务器资料的计算机则被叫做客户机。严格说来,客户机/服务器模型并不是从物理分布的角度来定义,它所体现的是一种网络数据访问的实现方式。采用这种结构的系统目前应用非常广泛。如宾馆、酒店的客房登记、结算系统,超市的POS系统,银行、邮电的网络系统等。
B/S体系结构(Browser/Server的简称,浏览器/服务器模式)。基于Web的B/S方式其实也是一种客户机/服务器方式,只不过它的客户端是浏览器。B/S占有优势的是其异地浏览和信息采集的灵活性。任何时间、任何地点、任何系统,只要可以使用浏览器上网,就可以使用B/S系统的终端。 不过,采用B/S结构,客户端只能完成浏览、查询、数据输入等简单功能,绝大部分工作由服务器承担,这使得服务器的负担很重。采用C/S结构时,客户端和服务器端都能够处理任务,这虽然对客户机的要求较高,但因此可以减轻服务器的压力
2) 2) Application development
应用软件开发
(a) (a) Application authentication 应用软件认证
(b) (b) Systems development methodology
系统开发方法
? 生命周期法(systems life cycle)
软件的整个生命期分为需要分析、设计、开发、运行维护等阶段 生命周期法的六个阶段: ? 项目定义 ? 系统分析 ? 系统设计 ? 编程 ? 实施 ? 后续维护
21
优点:
? 系统 ? 规范 ? 严密
缺点:
? 开发周期长 ? 对系统分析的要求极高
? 原型法(prototyping),又称为快速原型法或快速应用开发(rapid
application development)方法
快速原型法的核心是用交互的,快速建立起来的实验原型取代了形式的,僵硬的(不易修改的)的规格说明,用户通过在计算机上实际运行和试用原型而向开发者提供真实的反馈意见。
原型法的优点:
? 用户满意度高,开发速度较快。
原型法的缺点:
? 对系统开发技术和工具要求极高(迅速修改)
? 在系统的整体性和文档的严密性上不如生命周期法。
? 面向对象的开发方法
面向对象的开发方法:在满足需求的情况下,将系统设计成由一些不变(相对固定)的部分组成的最小组合。
对象:不变(相对固定)的部分。
优点:不被周围环境及用户不断变化的需求所左右。
进行系统开发的各项活动包括:
? 系统分析:《系统需求分析规格书》 ? 系统设计:《系统设计规格书》 ? 编程:《系统设计规格书》?计算机软件代码 ? 测试:模块测试(也叫程序测试)、系统测试、 验收测试 ? 转换:平行转换、直接转换、试点转换和分阶段转换 ? 运行与维护
信息系统审计师在系统开发过程中的主要任务有:
? 赢得用户信息系统专家的支持;
? 审查用户需求;
? 审查人工控制和应用控制;
? 审查所有技术说明是否符合公司标准; ? 审计是否适当地应用项目管理工具;
? 在每个开发阶段,进行设计走查,并在每次走查后提出书面建议; ? 在下一个阶段开始之前,保证建议被采纳; ? 每个阶段结束后,进行项目审查; ? 审查测试计划;
22
? 评估实施准备; ? 向管理层提交审计发现; ? 保持独立性。
(c) (c) Change control变动控制
变动管理控制:指任何变动需经管理层批准
? 硬件变动控制
? 软件(程序)变动控制
内部审计师对变动管理控制的审计重点:
? 确认IT部门使用的操作文件,在软件和硬件变动前是否已做了适当的修改;
? 确认信息系统管理层是否掌握并执行变动计划,有充足的时间保证新软件和硬件的
安装与测试;
? 抽查一个影响到信息处理的软件和硬件变动,以判断变动计划是否及时处理; ? 确定所有的硬件和软件变动都己通知系统程序员、应用程序以及IT部门人员,以确
保变动及测试经过适当的协调;
? 评估变动的有效性,以确保不会影响正常应用程序的操作。 对程序变动控制的审计:
? 确认当用户提出系统变更请求时,是否有授权、优先排序及跟踪机制; ? 在日常工作手册中,是否明确指出紧急变更程序; ? 变更控制是否同时为用户及项目开发组所认可; ? 变更控制日志是否确认所记录的变量都已完成;
? 评估对产品源代码和可执行代码模块的安全访问限制是否充分; ? 评估组织在处理紧急情况下程序变更流程是否合理;
? 评估对紧急情况下使用的登录ID的安全访问控制是否充分; ? 评估变更需求是否被记录在适当的申请文件中; ? 确认现存文件是否均已反映变更后的系统环境; ? 评估系统变更测试程序的适当性;
? 复核测试计划与测试结果等证据,确认该测试程序是依据组织相关标准而定; ? 复核保证源代码与可执行代码完整性的程序;
? 复核产品可执行模块,证实有且只有惟一与源代码对应的最新版本;
? 复核整个变更管理流程在时间成本、效率方面、用户满意度上是否有需要改善之处。
(d) (d) End user computing
终端用户计算(开发)EUC
终端用户计算的缺点:
? 系统整体分析功能常被忽略,难以和其他系统集成和共享数据; ? 整个系统内会产生一些专用的信息系统;
? 缺乏标准文档,使用及维护都严重地依赖开发者;
? 由于缺乏监督,致使相同的信息可能被以不同的方式处理,失去了信息的一致性
对应用终端用户计算的审计包括: u确定终端用户计算的应用程序 u对应用程序风险进行排列
u对控制情况进行文件处理和测试
23
应用系统用户认证是系统的每一位用户都被分配了一个惟一的用户名。对关联该用户名的资源或功能的访问都要接受特定口令的保护。
认证(authentication)和授权(authorization):
? 认证是证明用户身份的过程;
? 授权是标识认证用户可访问资源的过程。
在特殊情况下,用户认证类型基本上分为:
? 只有你知道的事情,如账号和密码; ? 只有你拥有的东西,如身份证、工作证; ? 只有你具有的特征,如指纹、声音、虹膜。 对应用系统用户认证的审计:
? 检查密码是否定期变换口令;
? 检查无效登录账号和口令是否及时删除; ? 检查口令格式是否符合安全要求;
? 针对未使用的终端设备自动退出的测试; ? 针对终端设备密码屏蔽的测试;
? 对于访问失败后终端设备自动锁定的测试; ? 用破解工具+字典进行破解测试; ? 对智能卡(如电子密钥)、生物测量技术(如指纹识别)的测试等。
3) 3) Data and network communications
数据和网络通讯:
基础通信介质和通信技术包括:
u 专用分组交换机(PBX: private branch exchange)
专用分组交换机是指一种使用电话线在办公室中传真的技术,没有其他网络功能,不能处理大量数据。
优点:成本低,适合于没有局域网的小单位。
缺点:由于对公众开放,而且是使用公用电话线传输数据,所以传输质量差,安全性最低。
u 同轴电缆(coaxial cable)
同轴电缆(Coaxial)是指有两个同心导体,而导体和屏蔽层又共用同一轴心的电缆。是局域网中最常见的传输介质之一,传输数据通常不超过500米。同轴电缆根据其直径大小可以分为:粗同轴电缆与细同轴电缆。
优点:速度较快,成本比光纤电缆低。
缺点:粗同轴电缆安装难度大,所以总体造价高。细缆安装则比较简单,造价低,但由于安装过程要切断电缆,两头须装上基本网络连接头,当接头多时容易产生不良的隐患。 图片http://www.scitom.com.cn/museums/telecom/network/net209.html (Tom.com) u 双绞线电缆(twisted pair line)
双绞线采用了一对互相绝缘的金属导线互相绞合的方式来抵御一部分外界电磁波干扰。把两根绝缘的铜导线按一定密度互相绞在一起,可以降低信号干扰的程度。一般扭线的越密其抗干扰能力就越强。传输速度比同轴电缆快,但传输数据通常不超过100米。适用于新型
24
局域网。
优点:传输速度较快,价格较为低廉。
缺点:与其他传输介质相比,双绞线在传输距离、信道宽度和数据传输速度等方面均受到一定限制。
图片http://www.kibang.com/dlink/product_list.asp?class_name=大对数电缆 (大对数电缆)
u 光导电缆(fiber-optic cable)
光纤的完整名称叫做光导纤维,是用纯石英以特别的工艺拉成细丝,光纤的直径比头发丝还要细,但它的本事非常大,可以在很短的时间内传递巨大数量的信息。
优点:传输速度快,距离远,内容多,并且不受电磁干扰,不怕雷电击,很难在外部窃听,不导电,在设备之间没有接地的麻烦等。安全性最好(04年考过,让你选安全性最好的,应当选光导电缆)。
缺点:成本高。
图片http://www.dgzdh.com/autonics/fiber.htm (奥托尼克斯光纤、奥托尼克斯放大器...)
u 无线信道(wireless channel)
无线信道也就是常说的无线的“频段”,是以无线信号作为传输媒体的数据信号传送通道。如卫星转播,楼上的象大锅一样的东西。由于无线网络容易被非法接收,因此需要加密。但加密后仍会被解密,所以其安全性不如光导电缆。 缺点:安全性不如光导电缆。最容易被破译。
基础通信网络包括:
(1)公用电话交换网络(PSTN)
公共交换电话网(PSTN)是一种用于全球语音通信的电路交换网络,是目前世界上最大的网络,拥有用户数量大约是8亿。公共交换电话网最早是1876年由贝尔发明的电话开始建立的。PSTN目前几乎全部是数字化的网络。
缺点:安全性差
(2)数字数据网络(DDN)
数字数据网络是随着数据通信业务的发展而发展起来的一种新兴网络,是利用数字信道提供永久或半永久电路,以传输数据信号为主的数字传输网络,可以为客户提供专用的数字数据传输通道,为客户建立自己的专用数据网提供条件。该网络尤其适用于银行等金融机构,可使银行各分行、营业所通过网络连接起来,可实现通存通兑等快捷、方便的功能。
优点:传输质量好,利用率高、不需要价格昂贵的调制解调器、速度快,可靠性高。 缺点:收费高。 (3)帧中继(FR)
帧中继是八十年代初发展起来的一种数据通信技术,帧中继技术主要用于传递数据业务,它使用一组规程将数据信息以帧的形式(简称帧中继协议)有效地进行传送。它是广域网通信的一种方式。它具有吞吐量大、时延低、高品质、高速率、低成本等重要特性,特别适合于突发性数据通信业务。
中国电信为了推广帧中继业务,在1997年12月专门赞助主办了中国北京、上海、日本的东京、名古屋四城市间的网络围棋赛,通过帧中继来传送四地棋手的活动画面,四方棋手虽然各处一方,但各位棋手的英容笑貌彼此却能相见,这是用帧中继技术实现活动图象时实传送的很好的应用例子。
(4)综合服务数字网(ISDN)
25
综合业务数字网(ISDN)是以综合数字电话网(IDN)为基础发展演变而成的通信网,能够提供端到端的数字连接,用来支持包括语音和非话在内的多种电信业务,用户能够通过标准的用户--网络接口接入网内。
ISDN与其它网络的最大不同之处是它能够提供端到端的数字传输。所谓端到端数字传输的含义是指从一个用户终端到另一个用户终端之间的传输全部是数字化的。用ISDN打电话和上网两不误。
ISDN ISDN即综合业务数字网,目前中国电信推出的“一线通”业务是窄带综合业务数字网(N-ISDN),该网可以把各种电信业务(电话、电报、传真、数据图象等)综合在同一个网内处理并传输,并可在不同的业务终端之间实现互通 ISDN是窄带接入 ADSL是宽带接入
(5)非对称用户数字环线(ADSL)
DSL是数字用户线的简称,ADSL是DSL技术的一个分支,同样也是使用普通电话线路来传输数据,但它使用的频率要比语音波段高。
ADSL之所以被称为不对称数字用户.是因为它为上行、下行提供的带宽是不等的。 ADSL在一对铜线上支持非对称传输,有效传输距离在3~5公里以内。每个用户的数据传输带宽由用户独享,并且无需付另外的电话费。
ADSL用途:远程教学系统、网络电视、网上游戏、远地可视会议、远程医疗会诊。 优点:速度更快
补充: 简介如下
ISDN即综合业务数字网,目前中国电信推出的“一线通”业务是窄带综合业务数字网(N-ISDN),该网可以把各种电信业务(电话、电报、传 真、数据图象等)综合在同一个网内处理并传输,并可在不同的业务终端之间实现互通。用户只要用 一个电话端口即可实现电话、传真与图象的同时传送。用户可以经过一根电话线 ,一边在因特网(INTERNET)上漫游,一边打电话,或者一边发传真,因此被称“一线通”,使用64kb/s至128kb/s的带宽电路还可以为您提 供多媒体业务。并且,用户终端的设备十分便宜。现在,ISDN网上已开发了多种类型的业务。真正实现了“一线多能 万事皆通”。 ISDN的特点:
高速:上网速度64KB/s-128KB/s,更快于modem;
多能:通过一条普通用户线,连接8个相同或不同的终端;允许2个终端同时通信:边上网边打电话,两部电话同时使用,边上网边发传真;还可实现语音数据传真桌面会议局域互联网租用专线的备分等; “一线通”业务应用
一线二用:可以实现一条普通电话线上连接的两部终端同时使用,可边上网边打电话,边上网边发传真,或者两部计算机同时上网,两部电话同时通话。 高速上网:支持64k-128k的速率接入中国计算机互联网CHINANET和中国公众多媒体通信网CNINFO(实际接入速率与网络状况有关)。
“一线通”业务还可提供桌面会议电视系统、租用数据专线备份、局域网互联等应用。并能确保数据传输的准确、畅通和安全。具有低价、高速、实时,方 便的特点。此外还可提供多用户号码,用户子地址,主叫线识别提供,主叫线识别限制,被叫线识别提供,被叫线识别限制,呼叫转移等补充业务。
ADSL(Asymmetrical Digital Subscriber Line)即非对称数字用户线路,是xDSL家族成员中
26
的一员,被欧美等发达国家誉为“现代信息高速公路上的快车”。简单地说,ADSL是利用分频的技术 把普通电话线路所传输的低频信号和高频信号分离。3400Hz以下供电话使用;3400Hz以上的高频部分供上网使用,即在同一铜线上分别传送数据和语音 信号,数据信号并不通过电话交换机设备。这样既可以提供高速传输:上行(从用户到网络)的低速传输可达 640Kbps,下行(从网络到用户)的高速传输可达7Mbps;而且在上网的同时不影响电话的正常使用,这也意味着使用ADSL上网时,并不需要缴付另 外的电话费。
4) 4) Voice communications
语音通讯
目前常用的通信业务主要有以下几种:
? 普遍模拟电话,由公用电话网(PSTN)来承载;
? ISDN数字电话,由综合业务数字网(ISDN)来承载; ? IP数据电话,由IP网络来承载;
? 无线移动电话,由蜂窝无线网来承载。
5) 5) System security (e.g., firewalls, access control)
系统安全(如,防火墙、访问控制)
信息系统的控制可粗分为:
? 一般控制:管理控制、计算机运行控制、系统实施控制、软件控制、硬件控制、访
问控制和数据安全控制等 (相对通用的控制手段,不受应用控制影响)
? 应用控制:输入控制、处理控制和输出控制等。 (与应用相关,受一般控制影响)
一般控制包括:
? 管理控制:职责分离 ? 运行控制:系统正常运行 ? 系统实施控制:控制点和文档 ? 软件控制:授权修改
? 硬件控制,如回波检验(echo check)、奇偶校验(parity check)等 ? 访问控制,又被称为逻辑访问控制 ? 物理设备控制:授权接触
注:奇偶校验”。内存中最小的单位是比特,也称为“位”,位有只有两种状态分别以1和0来标示,每8个连续的比特叫做一
个字节(byte)。不带奇偶校验的内存每个字节只有8位,如果其某一位存储了错误的值,就会导致其存储的相应数据发生变化,进而导致应用程序发生错误。而奇偶校验就是在每一字节(8位)之外又增加了一位作为错误检测位。在某字节中存储数据之后,在其8个位上存储的数据是固定的,因为位只能有两种状态1或0,假设存储的数据用位标示为1、1、1、0、0、1、0、1,那么把每个位相加(1+1+1+0+0+1+0+1=5),结果是奇数,那么在校验位定义为1,反之为0。当CPU读取存储的数据时,它会再次把前8位中存储的数据相加,计算结果是否与校验位相一致。从而一定程度上能检测出内存错误,奇偶校验只能检测出错误而无法对其进行修正,同时虽然双位同时发生错误的概率相当低,但奇偶校验却无法检测出双位错误。
应用控制包括:
? 输入控制:
? 输入授权:输入操作的审核、记录和授权 ? 数据转换:
? 编辑检验:输入数据的准确性,包括合理性检验、格式检验、存在性检验、依赖性检验(又称相关性检验)、检验位、重新输入控制
27
? 处理控制:运行总数控制、计算机匹配、并发控制
? 输出控制:平衡总数、复核处理日志、审核输出报告、审核制度与文件。
? 关键字核对:是通过有另外一个人对选定的数据项重新输入其关键字,以保证这些
数据项的正确性
? 电脑顺序检查:即连续性检查是通过检查预分配文档序号的使用,来保证舒服和更
新数据的完整。
? 电脑匹配:是将输入数据的选定字段与暂记文件或主文件中的信息对照检查 ? 批量总额;即批量汇总检查对测试输入完整性和正确性都有效
? 校验数位;是对某字段进行某种计算后得出,并附加在该字段后的校验位,不可以测
试正确性,但可以使计算机机械地拒绝错误地收入。
? 相关性检验:多用余多个检查字段之间是否存在某种关系,来判断字段内容地正确
性
2.以下哪项是信息系统逻辑安全控制的目标? a.保证数据记录的完整和准确。 b.保证数据处理的完整和准确。 c.限制对特定数据和资源的访问。 d.提供处理结果的审计轨迹。 C
6) 6) Contingency planning
应急计划
关于应急计划,需要了解:
? 制定应急计划首先应该对组织经营环境进行风险分析,然后才是分析恢复
策略等步骤;
? 灾难恢复计划的一个重要组成部分是备份和重新启动程序;
? 验证灾难恢复计划充分性的最有效手段是事先未通知的恢复测试,通常可以模拟中断时的情况或在纸面上对恢复过程进行一次穿行测试;
? 当组织的结构和运营发生改变时,灾难恢复计划必须随之改变,以保证恢
复计划的及时、有效。 对应急计划的审计包括:
? 审查应急计划并将他们与相应的标准和法律进行比较,评估该计划的适用
性与实效性;
? 审查对先前信息系统及所有用户的测试结果及应急计划有效性,确保灾难
发生时,可迅速恢复业务;
? 审查异地存储设施和它的内容、安全和环境控制,以评估并确认异地存储
的适当性;
? 审查应急措施、员工培训、测试结果,评估在紧急情况下,信息系统及其
所有用户的有效反应能力。
2.良好的计划可以帮助组织在处理中断之后恢复计算机操作。良好的灾难恢复计
28
划应该确保
a.备份/重启程序已嵌入作业流程和程序中。 b.变动控制程序不会被操作人员所绕过。
c.对设备工作能力的变动计划与设计好的工作量相容。 d.与应用程序所有者达成服务级别的书面协议。 A
7) 7) Databases
数据库 数据库类型:
n 层次型数据库:子元素 父元素 n 网状型数据库:元素?元素
n 关系型数据库:表 记录(行) 字段(主关键字、次关键字) 关系型数据库以行
和列的形式存储数据,以便于用户理解。这一系列的行和列被称为表,一组表组成了数据库。用户用查询(Query)来检索数据库中的数据。
数据库管理系统(DBMS)的组成部分: 2 数据定义语言
2 数据操纵语言:结构化查询语言(SQL), SQL是操纵数据库的标准语言。 2 数据字典 :数据库中各字段的一个说明或者是规范
对数据库进行审计时,信息系统审计师应该评价数据库的: i 设计 i 访问 i 管理 i 界面
i 便利性:应使用SQL
8) 8) Data center operations
数据中心运行:指对组织信息系统硬件及软件的日常工作 信息系统运行的基本内容
? 信息系统运行的管理; ? 计算机操作; ? 技术支持/帮助台; ? 数据输入/输出; ? 质量保证; ? 程序变更控制; ? 问题管理程序;
? 监控资源有效运行的程序; ? 实体及逻辑安全的管理; ? 应用管理与业务持续计划。 对数据中心运行的审计:
29
? 网络操作控制的审计 ? 信息系统操作的审计 ? 紧急状况操作的审计 ? 问题处理报告的审计
9) 9) Web infrastructure
Web基础设施 网络基础设施:
? 网络服务器 ? 应用服务器
IBM: Websphere Application Server Oracle: Application Server BEA: Weblogic
对网络基础设施的审计:
u 关注点主要集中在应用服务器及为其提供数据的网络服务器,确保他们能够拥有最佳的性能和可用性;
u 确定组织是否了解网络环境中关键组成部分的状态,检查管理员能否快速识别网络基础设施的故障,在需要时能否向适当人员发出报警,并实现故障的自动纠正;
u 检查组织能否获得实时的性能状态视图,并为一个用于提供历史报告和分析的公共数据库提供数据输入。
SSL协议的整个概念可以被总结为:一个保证任何安装了安全套接字的客户和服务器间事务安全的协议,它涉及所有TC/IP应用程序。SSL安全协议主要提供三方面的服务:用户和服务器的合法性认证、加密数据以隐藏被传送的数据、保护数据的完整性 SSL通信的工作原理
SSL协议的主要用途是在两个通信应用程序之间提供私密性和可靠性,这个过程通过3个元素来完成: (1)握手协议:这个协议负责被子用于客户机和服务器之间会话的加密参数。当一个SSL客户机和服务器第一次开始通信时,它们在一个协议版本上达成一致,选择加密算法和认证方式,并使用公钥技术来生成共享密钥。
(2)记录协议:这个协议用于交换应用数据。应用程序消息被分割成可管理的数据块,还可以压缩,并产生一个MAC(消息认证代码),然后结果被加密并传输。接受方接受数据并对它解密,校验MAC,解压并重新组合,把结果提供给应用程序协议。
(3)警告协议:这个协议用于每时示在什么时候发生了错误或两个主机之间的会话在什么时候终止。
10) 10) Software licensing
软件许可
使用盗版软件的危害:
? 违反版权法,需要承担法律责任 ? 容易感染病毒
防止使用非法软件的方法:
? 建立组织内部的软件许可使用规章制度和政策,并通过版权法教育来增强雇员的版
权意识;
? 保存组织购买软件的原始记录,定期对每台计算机上使用的软件进行审查鉴别; ? 正版软件的安装盘应由专人保管,可以为了备份目的制作拷贝,但不得用于其他计 30
算机的安装使用。
对软件许可的审计包括:
? 收集网络中用户当前所使用的所有软件的清单;
? 收集授权安装的软件清单,包括:软件的名称、安装平台、当前版本;购买的拷贝
数量;购买日期;软件许可证据;软件许可的具体实施记录; ? 检查关于正式软件购买与使用的政策与程序是否完备; ? 检查对非正式软件的使用规定;
? 确定是否进行持续性的或阶段性的软件许可检查; ? 软件是否有专人保管,软件存放是否得到有效控制; ? 对违反软件许可的行为如何处罚与纠正。
11) Electronic funds transfer (EFT) and Electronic data interchange (EDI) 电子资金转帐
12) e-Commerce
电子商务
13) Information protection (e.g., viruses, privacy) 信息防护(如:病毒、保密)
14) Encryption
加密
15) Enterprise-wide resource planning (ERP) software (e.g., SAP R/3)
企业资源计划软件(如:SAP R/3)
2. 2. Conduct consulting engagements
实施咨询业务。 咨询业务种类 包括:
? 正式的咨询业务—计划内且经书面协议规定的业务;持续、影响时间长、非例外 ? 非正式的咨询业务—各种日常性活动,例如,参加常务会议、临时项目、专门会议
及日常信息交流;
? 特殊的咨询业务—参加兼并或收购小组,参加流程再造小组等;
? 紧急的咨询业务—参加灾后恢复或重建小组,参加非正常经营事件的恢复或重建小
组,参加为满足特殊需要而建立的小组活动。 咨询业务中需要关注的问题: 独立性和客观性:
? 在提供咨询业务前,首席审计执行官应该确认董事会了解并且同意要提供的咨询业
务的内容及概念;
? 在得出结论和向管理层提供建议时,内部审计师要保持其客观公正性;
? 同一内部审计师,在咨询业务完成后的一年内,对同一委托人实施保证业务,也会
损害其独立性和客观性;
31
? 内部审计师不要不适当地或下意识地去承担超出业务范围或脱离原定目标的管理责
任。
应有的职业审慎性
内部审计师了解以下一些内容:
? 管理人员的需要,包括:性质、时间要求以及业务结果的沟通; ? 提出此项要求的可能动机和原因; ? 为满足业务目标所涉及的业务范围; ? 实施此项业务所需要的技巧和资源; ? 对审计委员会已批准审计计划范围的影响; ? 对未来审计业务和计划的潜在影响; ? 组织可从此项业务中获得的利益。 此外,内部审计师还要注意以下几点:
? 召开适当的会议,收集必要的信息,以评估将要提供服务业务的性质和范围; ? 确认那些接受服务的组织能够了解和同意内部审计章程中规定的相关条款、内部审
计活动的政策和程序以及其他相关规定;
? 评价咨询业务与内部审计活动的整体业务计划的兼容性;
? 以书面的协议或计划书的形式,记录下与咨询业务有关的一般条款、解释、说明或
者重要事实。 咨询业务的工作范围:
? 内部审计师设计咨询业务的工作范围, 同时与服务接受方就咨询业务的范围和目标
达成一致;
? 内部审计师应该制定适当的目标,以满足服务接受方管理人员的需要;
? 正规咨询业务的工作计划中应该记录业务的目标和范围,以及为完成目标所使用的
技术手段;
? 内部审计师应该关注风险管理和控制程序的有效性;
咨询业务结果的沟通:
? 咨询业务结果和程序的沟通形式多种多样,沟通内容要依业务的性质和客户的要求
而定。
? 在一些情况下,内部审计师可以决定哪些结果应该越过服务接受者,而与其上级直
接沟通。
? 内部审计师应该向管理部门、审计委员会、董事会或者其他政府部门披露正规咨询
业务的性质、范围和结果。 沟通步骤:
首先,确认协议中规定的涉及咨询业务的业务方向是什么;
第二,努力说服那些接受服务或要求提供服务的组织或个人能够自愿将业务结果与适当方面进行沟通;
第三,确认内部审计章程或审计政策和程序中有关咨询业务的操作指南是什么; 第四,确认组织制定的操作规范、道德规范以及其他相关政策中有关咨询业务的操作指南是什么;
第五,确认内部审计协会制定的《标准》和《道德规范》、审计师应该遵守的其他准则
32
和规范以及一些相关法规中有关咨询业务的指南是什么。
咨询业务的记录要求:
? 内部审计师应该将所做的工作记录下来,以有助于业务目标的完成,并且为业务结
果提供支持。
? 一般鼓励审计师采取适当的文件记录保存政策,以妥善保护组织利益和避免不必要
的误解。
咨询业务的监督:应该采用一些内部审计活动来监督咨询业务结果符合客户要求的程度,不同类型的咨询业务需要采取不同类型的监督手段。 开展咨询活动的指导原则: n 价值观
n 遵循内部审计定义
n 审计活动不只包括保证和咨询业务 n 保证工作与咨询活动之间的相互关系 n 由内部审计章程为咨询活动授权 n 客观性
n 提供咨询服务的基础 n 基础信息的沟通
n 组织所了解的咨询活动原则 n 首席审计执行官(CAE)的职责 n 解决冲突或新问题的标准 具体咨询业务(5项): a. a. Internal control training
内部控制培训
b. b. Business process review
业务流程检查:也称经营过程检查BPR,评估管理和财务过程的绩效水平,考虑的是有效性和效率性 c. c. Benchmarking
C.
基准比较法:又称为基准管理或标杆管理法。 基准比较法的基本点:
? 在组织外部寻找同本组织内部某一事项类似的最佳基准,并总结其特点、优势
和经验;
? 根据基准评价组织自身的水平,寻找差距; ? 制订计划和方案,改进组织内部的工作; ? 持续不断地寻找更先进的基准;
? 根据组织特性,确定关键的、需要改进的问题作为设立基准的要素。 a. d. Information technology (IT) and systems development
信息技术 (IT) 与系统开发
在参与计算机系统的开发过程中,内部审计师: ? ?
要关心开发计划的适当性及成本/效益问题; 要监督开发过程的整个进展情况;
33
? ?
虽然不能参与计算机系统的设计,但应该建议在计算机系统中建立一定的控制在正式运行软件前,要组织对其进行测试,为慎重起见,新程序应与现行程序
并保留审计线索;
并行运行至少一个处理周期。
b. e. Design of performance measurement systems
业绩测评系统的设计
7.某组织想要改善其对某一新业务行业的业绩评价指标。以下哪一类型的基准比较方法最可能为这一目的提供有用的信息?
a.职能性的。 b.竞争性的。 c.一般性的。 d.内部的。 A
C. Monitor Engagement Outcomes (5 - 15 percent)(Proficiency Level) 监督审计业务结果 (5 – 15%)(要求熟练掌握)
1. Determine appropriate follow-up activity by the internal audit activity 根据内部审计结果确定适当的跟踪活动。
2. Identify appropriate method to monitor engagement outcomes 确认监督审计业务结果的适当方法。 3. Conduct follow-up activity 实施跟踪活动。
4. Communicate monitoring plan and results 沟通监督计划和结果。
为监督与管理层沟通后结果的处理情况,首席审计执行官应该: ? ? ? ? ? ? ? ? ? ?
要求管理层提出对审计发现和审计建议做出反应的时间表; 对管理层反应进行评估;
对管理层反应加以证实(如果需要); 实施跟踪活动(如果需要);
采取能够消除不满意反馈意见或行动的沟通程序。
将审计发现和审计建议向负责采取纠正性措施的恰当管理层报告。
在审计过程中或在审计结果得到报告后的合理时间内接收并评价管理层对审收集管理层对审计发现和审计建议反应的最新信息,以评价管理层纠正以前报接收并评价来自组织内部负责采取跟踪或纠正性措施的其他部门的信息。 向高级管理层或董事会报告对审计发现和审计建议的反应情况。
监督审计结果处理进展情况的技术:
计发现和审计建议的反应。 告涉及问题的努力程度。
34
跟踪检查活动的责任应该在内部审计章程加以规定,首席审计执行官决定跟踪活动的性质、时间安排和范围。确定跟踪活动的程序是要考虑如下:
报告的审计发现或建议的重要性; 纠正存在问题所需要的成本和精力
纠正措施失败可能造成的影响; 纠正措施的复杂程度
设计时间的长短; 组织内部其他部门实施的跟踪活动的性质 跟踪检查分三个步骤: ? ? ?
高级管理层与被审计单位进行协商,决定是否、何时、怎样按照内部审计师的被审计单位按照决定采取行动。
在报送审计报告后,经过一段合理时间,内审人员对被审计单位进行复查,看
建议采取纠正行动。
其是否采取了合适的纠正措施并取得了理想的效果,如果不采取纠正行动,是否是高级管理层和董事会的责任。
5.在实施有关现金管理流程的审计发现的跟踪活动时,以下哪一项是不需要考虑的? a.作为这种情况的解决结果,已经消除了固有风险。 b.采取的步骤解决了由审计发现揭示出来的这种情况。 c.已经实施了控制制度来阻止或发现这种审计发现的再次发生。 d.作为这种情况的解决结果,该组织已经得到了好处。 A
D. Fraud Knowledge Elements (5 - 15 percent) 舞弊知识要点(5 – 15%)
发现舞弊的一些技术方法
1. Discovery sampling (Awareness Level) 发现抽样。(要求了解)
属于属性抽样技术的一个分支,用于测试非常有效的控制系统以及发现舞弊行为。 是在既定的可信赖的程度下,在假定误差以既定的误差率存在于总体之中的情况下,至少查出一个误差的抽样方法. 用于:舞弊.重大发现
2. Interrogation techniques (Awareness Level) 讯问技术。(要求了解)
内部审计师应该采用很多在其他情况下使用的面谈技术;
? 这些方法应该不带感情色彩,并且不含有威胁意味,同时,应该假设接受面谈的人
是无辜的;
? 讯问应该由两个人进行,其中一人作为证人;(但嫌疑人上司不在场)
? 讯问人不应该打断被讯问人的谈话(除非需要澄清事实),并且应该努力争取获得被
讯问人的信任;
? 在实施讯问前,讯问人必须清楚犯罪嫌疑人的情况;
? 在讯问过程中,要注意维护法律规定的一些被讯问人享有的权利。
35
3. Forensic auditing (Awareness Level) 司法鉴定审计。(要求了解)
倡导建立一种能够提高防范经济犯罪意识的计划,以强调潜在风险的存在和对经济犯罪预防战略的需要。
? ?
检查和经济犯罪有关的犯罪审判系统以及所有相关的法律,以确认是否存在重制定必要的政策和操作指南,包括用于审计和其他目的的风险评估模型。
大缺陷,是否应适当地报告此发现。
4. Legal hazards (Awareness Level) 法律漏洞。(要求了解)
5. Use of computers in analyzing data (Proficiency Level) 利用计算机分析数据。(要求熟练掌握) 利用计算机查询和分析数据的技术:
? ? ? ?
结构化查询语言:一种数据操作语言,它能把来自多元数据库表格的数据加入管理查询设施:可用于趋势分析、制作图表,并可提供在线信息。
逻辑视图:从一个或多个数据库表中生成新的数据结构(视图),以便以更直数据挖掘: 对大量数据进行分析,从中发现隐藏在数据背后的一般规律,用
逻辑文件中,以便对数据进行查找更新。
观的方式表示数据。 来指导决策。
6. Red flags (Proficiency Level) 红旗标志。(要求熟练掌握) P “危险信号”法
“危险信号”法:是在总结以往舞弊的基础上,用一整套文字来描述哪种条件下舞弊发生率比较高的方法。
局限性:
(1)危险信号并不一定意味着舞弊的存在; (2)危险信号难以被量化或估价。 ? ? ?
例如:
由个人原因而产生的过度压力,如严重的疾病、赌博、缺乏个人道德
观念、受过别人的恩惠等;
由公司原因而产生的过度压力,如经济困难、过度的财务杠杆作用、大量的审具体的控制风险,如监督不力、责任和义务的委派不明确、在分配的任务中存
计调账项目、较差的业务控制等; 在明显的利益冲突等。
不需要对所有的危险信号进行记录
7. Types of fraud (Proficiency Level) 舞弊类型。(要求熟练掌握)
36
为个人,为组织
舞弊的迹象和征兆--员工舞弊的征兆: ? 超支采购或奢侈的生活方式; ? 无法解释的情绪波动或复杂的行为; ? 不能够承受压力;
? 具有使他们的盗窃行为合理化的能力;
? 能够利用内部控制的弱项以掩盖自己的舞弊行为; ? 不愿意请假或离开岗位; ? 在工作中,长期性的士气低下;
? 与卖主之间不正常的亲密关系或突然换掉一个长期卖主; ? 沉重的个人债务迹象。
舞弊的迹象和征兆—组织舞弊的迹象 ? 划整为零采购;
? 遗失或破坏记录和文件; ? 太多的“取消”或“退款”; ? 财务经理和执行官频繁变动; ? 现金流失; ? 销售量和收入减少; ? 应付和应收账款增加; ? 不正常的或重复的票据背书; ? 存货和销售成本增加; ? 收入和支出经常重新分类;
? 暂记事项没有完全解决或解决不及时; ? 暂记事项没有任何说明就被注销了; ? 坏账增多;
? 账目在年底作重大调整; ? 长期未兑现支票; ? 大量的顾客投诉; ? 缺少附件的支出; ? 错误或不正确的会计记录; ? 双重开单;
? 以劣质货物作为替代品; ? 没有及时完成银行调节表; ? 有关利益冲突的谣言; ? 使用单方取得的合同; ? 不现实的业绩预测;
员工士气长期低落。 E. Engagement Tools (15 - 25 percent) 审计业务手段 (15 - 25 %) 1. Sampling (Awareness Level) 抽样。(要求了解)
37
a. Nonstatistical (judgmental) 非统计 (判断) b. Statistical 统计 抽样
? ?
非统计抽样,又称判断抽样,以主观方法来决定样本量大小并选择样本。 统计抽样,又称概率抽样或随机抽样 ,以客观方法来决定样本量大小并选择变量抽样: ? 货币单位抽样,也称按概率比例大小抽样(简称PPS抽样):所谓货币抽样是
指以总体中的每一货币单位(如1元)作为一个抽样单位,并根据抽出的货币单元样本钩出其所在的物理单元(如一张凭单、一笔业务或一个明细帐)作为审计样本的一种统计抽样技术。因为每一元作为总体的一个抽样单位,即每一元被选出的概率是相等的,所以金额越大的项目被选出审查的概率就越大
样本。方法有:属性抽样:固定样本量抽样/发现抽样/停走抽样(连续抽样)
? 每单位均值估计法:单位平均数推算法是以样本的单位平均数作为总体的单位
平均数来推算总体数额的一种抽样方法
? 差额估计法:额推算法是以样本的审定值与帐面值之间的平均差额作为总体真
实值与帐面值的平均差额来推算总体的一种变量抽样法。
? 比率估计法:比率推算法是以样本的审定值与帐面值之比作为总体真实值与帐
面值之比来推算总体的一种变量抽样法。
分层法:也称多层次抽样,类似于连续抽样,多层次抽样是将总体中的
抽样单元分成若干个彼此不重叠的层,每个层中的个体都具有共同的属性,然后从这些层分别抽取样本,最后组成样本的全部。
分块法:分块抽样是在抽取样本之前,将总体划分为若干块(组),然后
选择一块(组)或若干块(组),再从选择的块(组)中随机抽取一定的样本量。
区别:
分层抽样是从每一层中抽取样本。
分块抽样是从选取的块(组)中抽取样本。
注:一般来说,在被审总体较接近于正态分布,样本的平均值将能较好地代表总体的平均值情况下应选用单位平均数推算法。若发现被审总体中各项目的真实值与其帐面值近似于有一定的比例关系,则选用比率推算法会更为恰当。而在总体各项目的误差较接近于正态分布,样本的平均差额能较好地反映总体的平均差额情况下,选用差额推算法更为恰当。
统计抽样与非统计抽样的相同点:
(1)都需要审计师作出判断; (2)基本的审计程序是一致的; (3)都被认可为是一种专业技术。 统计抽样与非统计抽样的不同点:
(1)统计抽样使用概率法来衡量与抽样程序相关的抽样风险,并且可以明确地控制抽样风险。非统计抽样不能衡量或控制抽样风险;
(2)统计抽样利用统计理论来抽取和评价样本。非统计抽样也是利用统计理论来抽取样本,但是在评价抽样结果时是非统计的;结果未必不如统计抽样
(3)统计抽样的成本要大于非统计抽样;
38
(4)统计抽样要求有效利用计算机软件和硬件。非统计抽样则不要求利用计算机设备;
(5)统计抽样依据抽样结果可以提供客观结论。非统计抽样提供的是主观结论; (6)统计抽样只能采用有限的几种样本选择方法。非统计抽样可以采用很多种样本选择方法。
(7)统计抽样的样本量较大且依据数量方法来确定。非统计抽样样本量较小且依据主观判断来确定。
统计抽样的术语与基本概念-1:
?
总体(population) : 审计抽样总体是指为了某一审计目的,准备要用审计抽样方法
进行审计的、具有相同性质的待查项目(可以是经济业务、会计记录或有关资料)的集合。总体中所包含待查项目的数量叫总体量,一般用N表示。
? ? ?
样本(sample) : 样本是指从被审总体中抽出的用于审查测试的若干个抽样单位。抽样单位(sampling unit) :构成抽样总体的各个项目或元素称为抽样单位。 样本量(sample size)
样本中包含抽样单位的数量叫样本量,一般用n表示。
1)变量抽样的样本量计算公式:n = ( U * S * N / A ) 2
U:可靠程度系数;S:估计的总体标准离差;N:总体量;A:要求的精确度 2)属性抽样的样本量:n=U 2 *P(1—P)/ A 2 U:可靠程度系数;P:预期差错率;A:要求的精确度
可利用总体量、要求的可靠系数、要求的精确度上限和预期的总体差错率查表确定,“属性抽样的样本量表”。
3)货币单位抽样的样本量(一般期望误差为零,即没有误报):n=B * U / T B:帐面价值;U:可靠系数(一般会告知);T:可容忍错报额 n=¥300000*3/¥15000=60
(300000/60=5000,每隔¥5000抽一个项目) ?
表示
方差——指每一个项目对项目平均值的偏差的平方的平均值。总体的方差常用σ2
?
S表示。
标准离差(standard deviation):方差的平方根。标准差也是衡量各项目的分布偏离
平均值情况(或称发散程度)一个常用指标。总体的标准差常用σ表示,样本的标准差常用
? ?
试点样本(the pilot sample) :从总体中抽取的初始样本,
先抽30-50试点样本,以测算标准离差 置信水平(confidence level)和可靠程度(reliability) :可靠程度又称可信赖程度
或置信度,是指预计根据样本推断总体特征能够代表真实的总体特征的概率。与抽样风险互补。即抽样风险为10%,置信水平为90%。
?
可靠程度系数(置信系数):可靠程度系数随置信水平的变大而变大。随置信
水平的降低而变小。一般是T(较小样本)或Z(较大样本)的统计量,由可靠程度查表可知可靠程度系数,一般都会告知。
?
精确度(precision) : 精确度指在可靠程度范围内,预期或允许由样本推断总体
39
的估算值与总体的真实值间最大的偏差,即指样本推断总体所能达到的准确程度.精确度的值与准确度成反向关系。要求的精确度提高(精确度的值变小)。反之,精确度的值从3%提高到5%(也可以用额来表示),精确度的值变化是从小到大,实际上准确程度下降了。(以前最大偏差为3%,现在为5%了,准确度下降)。
属性抽样中以比率表示:总体特征的估计值被期望落入的范围
变量抽样中以金额表示,=可靠程度系数*估计的标准离差/样本量的平方根。 实际应用中以一个区间(范围)或差错上限值(率)表示
? ?
精确度区间指(样本推断总体的估算值-精确度)至(估算值+精确度)间的置信区间(confidence interval) = 样本的推断值±(可靠程度系数×估计的标准
区间范围。
离差÷样本量的平方根),也称精确度区间。精确度衡量的是准确性,或精确程度/准确程度,精确度提高,置信区间变大;精确度降低,置信区间变窄
? ? ? ? ?
假设测试(hypothesis testing) :关注误受风险。确定是否存在重大差错的测试,边界:为货币单位抽样用。差错上(下)限边界=总体价值*精确度上限(百要求的精确度(desired precision) 达到的精确度(achieved precision)
可容忍差错率(tolerate error):愿意接受的最大差错率。根据主观判断确定。
结果与误受风险有关。 分比)*平均差错百分比
2—5%: 内部控制强有力的 6-10%: 合理的 11-20%: 可接受 20%以上:不能接受
统计变量与样本量的关系: ? ? 方。
? ?
当预计差错率增大时,样本量增加。
当要求的精确度(准确性)提高,即要求的精确度值减少时,样本量增加,且当总体量增加时,样本量增加,但不是成比例增加。当总体量超过5000个单当总体标准离差增大时,样本量增加,且增加的倍数是标准离差增加倍数的平
位时,总体量的增加对样本量的影响就很小。
样本量增加的倍数是要求的精确度(准确性)提高的倍数的平方,是要求的精确度值减少的倍数的倒数的平方。
? ? ?
当预计差错率接近可容忍差错率时,样本量增加。 当可容忍差错率增大时,样本量减少。 当可靠程度(置信水平)提高时,样本量增加。
? 当置信区间:置信水平越高,可接受的精确度程度就越低(精确度的值),置信区间
就越宽;置信水平降低,可接受的精确度程度提高,则置信区间越窄
40
在置信水平固定的情况下,样本量越多,置信区间越窄。
在样本量相同的情况下,置信水平越高,置信区间越宽。 在置信区间不变的情况下,样本量越多,置信水平越高。
例题:5.在评价属性抽样过程中,总体特征的估计值被期望落入的范围被称为 a.置信水平。 b.精确度。 c.差错率上限。 d.预期差错率。 B
抽样计划过程包含以下基本步骤: u 抽样审计目标的确定; u 总体的定义; u 抽样单位的确定; u 需要验证的错误的性质; u 采取的抽样方法(抽样计划的核心); u 抽样风险的评估; u 样本量的确定;
u 对抽样结果的评估和解释。 统计抽样类型 1、 属性抽样:
1) 定性的抽样:如有没有签字批准
2) 适用于测试内部控制的有效性,不管金额大小,只管对错是否。 A、 发现抽样:
1) 属于属性抽样,“极高的可靠程度查出极低的偏差”。 2) 用来测试非常有效的内部控制系统和舞弊测试
3) 预期差错几乎为0,或者存在个别但非常关键的偏差选取的样本量是固定的 B、 连续抽样(停-走抽样)
1) 类似发现抽样,也是用于差错率较低的情况,适用内控有效性测试
2) 分段抽样,第一段没问题则结束测试,若有则继续(发现抽样是发现问题“停”) 3) 样本量不固定
4) 当预期差错很少时,样本量最少。所以连续抽样的“目的就是为了减少样本量”。 C、 可接受属性抽样:就是质量检验技术。 1) 产品容易检验
2) 实现确定质量标准、样本量 3) 结果是接受/拒绝,采用不放回抽样 (2)变量抽样
1、古典变量抽样(狭义的变量抽样) 1)对金额和数量进行抽样
41
(一)属性抽样类型:属性抽样、变量抽样、混合抽样
2)目的时确定是否与预期有偏差
三个变量抽样的方法,即样本推断总体的方法 1) 单位平均数估计法: 总体值=总体数量*样本审定平均值 2) 差额估计法
总体值=总体帐面值+(—)总体数量*(样本平均审定值与样本平均帐面值的差) 3) 比率估计法
总体值=总体帐面值*(样本总审定值与其帐面值的比例) 例:总体帐面值1260000,总体量6000
样本平均帐面值210,平均审定值224,样本量200 则总体值计算如下:
(1) 按单位平均估计法:=6000*224=1344000
(2) 按差额估计法:=126000+6000*(210-224)=1344000 (3) 按比率估计法:=1260000*224/210=1344000
在一次抽样检查中,发现了一个高估的错误使得可容忍错报增加了$270。当样本量为1000,在抽样分析前如果无误差被发现,则高估的最大金额确定为$900。从以上抽样信息中,内部审计师可以得出什么结论?
A.他在95%的程度上确信凭证总体被高估的金额在$900和$1170之间; B.他在95%的程度上确信凭证总体被高估的金额超过$1170; C.他在95%的程度上确信凭证总体高估的金额少于$1170; D.根据以上信息不足以得出误报金额。 答案:C
解析:答案A和B都不正确,因为他可以有95%的把握确信凭证总体的高估金额少于$1170; 答案C正确,如果内部审计师在样本中没有发现错报,他就可以有95%的把握确信账户余额的高估数量小于$900。已知发现了一个高估的错误使得可容忍错报增加了$270,因此,内部审计师可以有95%的把握确信高估的金额小于$1170,即($900+$270)。 答案D不正确,因为即使没有发现错报,也可以得出结论。
2. Statistical analyses (process control techniques) (Awareness Level) 统计分析 (过程控制技术)。(要求了解) 名词解释(预备):
1、 频率分布:集合
2、 范围: 最高值与最低值之间的差额 3、 平均值: 总值/总数
4、 标准离差: 衡量了总体中个体的值对总体平均值离散程度,其计算公式可以参考前面统计抽样的内容。
5、 中值 :中点处的数据的值。 6、 众数 :出现次数最多的数值。
7、 斜度: 衡量的是频率分布形状的对称性。
1)完全对称的分布,如正态分布,斜度为0。众数=中值=平均数 2)非对称分布
(1) 右偏(右边不对称):斜度为正值,意味着大部份数据落在平均值的左边
42
(即低于平均值),众数〈中值〈平均数。
(2) 左偏(左边不对称):斜度为负值,意味着大部份数据落在平均值的右边(即高于平均值),众数〉中值〉平均数。
8、 峰度:指曲线的相对平坦度或陡峭度。 1)正态钟型曲线的峰度为0。
2)越陡峭或越窄的分布,峰度为正值。 3)比正态曲线平坦的分布,峰度为负值。
4)分布越平坦,标准离差越高,平均值统计量提供的信息就越少。
概率 :某一事件发生的机会,并对这种发生的可能性进行了量化。某一事件的概率只能在1和0之间变化。
概率种类:
P 联合概率和条件概率:联合是指两个事件都同时发生的可能性。条件是指在另一事件已经发生的情况下,某一事件发生的可能性。如果已知事件A发生了,那么在事件A发生的条件下,事件B发生的概率称为条件概率,记作P(B|A).同样在事件B发生的条件下,事件A发生的概率也称为条件概率,记作P(A|B).
P 主观概率和客观概率:主观判断,客观分析 概率事件:
? 互相排斥事件:不能在相同的时间和地点同时发生的事件。 ? 独立事件:一个事件的发生对另一事件发生的可能性没有影响。 ? 相互依赖事件:一个事件的发生确实要影响到另一事件发生的可能性。 几种概率计算方法: ? *P(B)
? ? ?
概率分布:
如果随机变量是离散的,则概率分布包括以下几种类型:
i 一元分布(uniform distribution):所有结果的概率都相等,且相加后总和等于一,扔硬币。
i 二元分布(binomial distribution) :每项测试只有两个可能结果,接受或拒绝、对或错,这种分布常被用于质量控制。
43
几个独立事件的联合概率等于每个事件的发生概率的乘积。P(AB)=P(A)某一事件的所有可能发生且相互排斥的结果,其发生概率之和必须等于1。 两个事件中至少会有一个发生的概率,等于两个事件的各自概率相加,再减去两个事件的联合概率等于第一个事件的概率乘以第一个事件已经发生情况下
它们的联合概率。
的第二个事件的条件概率。P(A+B)=P(A)*P(B/A)
i 贝努利分布(bernoulli distribution) :贝努利分布:涉及的只是一项测试,而二元分布可以涉及很多项测试。因此,当n为1时,二元分布就变成了bernoulli分布。火箭发射成功率。
i 超几何分布(hypergeometric distribution) :与二元分布相似,常被用于不放回数据的抽样中
i 泊松分布(poisson distribution) :以随机频率在一定时期内不只一次发生时,该分布是非常有用的
概率分布:
如果随机变量是连续的,则概率分布包括以下几种类型:
i 正态分布(normal distribution) :钟形,经常用平均数和标准离差来描述,变量统计抽样要求是正态分布,不管总体的分布如何,正态分布只对样本平均值的分布进行了描述。
i 指数分布(exponential distribution) :与泊松分布相关,是指一定时期内事件发生的频率为零的概率分布。计算撞车的概率。
i t分布(t-distribution),又称为学生分布是在样本量较小(通常小于30)和总体变动程度未知条件下使用的一种特殊分布,并不知道总体均值。
i x分布(chi-distribution) 用于测试实际数据与理想分布之间的适合程度,换句话说,根据样本变动程度和总体变动程度的比较结果,x分布可以测试是否样本来自于该总体。
2统计质量控制(statistical quality control)是用于决定装运量或生产量是否在可接受限制内的一种方法,它也常用于决定生产程序是否已经失去了控制。
统计控制图种类: i P型图:属性 i C型图:属性
i R型图:变量的分散范围 i X条型图:变量的样本平均值
期望值(expected value): ? ? ? ?
期望值等于每个备选方案与其发生概率相乘的乘积的总和。 期望值最大的方案应是最优方案。
期望值主要应用于存货采购决策、完全信息的期望值(expected value of perfect 完全信息的期望值(EVPI)是指缺少完全信息的期望值和拥有完全信息并采取information或EVPI)以及会计估计等方面。 了最佳行动后所获得的收益之间的差额。
3. Data gathering tools (Proficiency Level) 数据收集手段。(要求熟练掌握) a. Interviewing
44
面谈是一种收集证明(声明)证据的方式。
被审计人往往不愿被评价,更担心审计报告带来的可能不利的影响。
内部审计师应该具有良好的沟通技巧,争取获得信任,保持应有的良好关系:避免过度批评、解释是在帮助他们、自信、有说服力、客观、投入、胜任、诚恳(面谈对了解非财务知识特别有用)。 类型:
1) 初步面谈:一般性面谈,可以作为规划将来面谈的依据 2) 事实收集面谈:针对性面谈
3) 后续面谈(系列面谈):证实事实收集面谈的信息,寻找问题的答案
4) 退出面谈:外勤审计结束时面谈,有利于提高审计发现、结论和建议的准确性。 面谈对象:
? 被审计单位内部人员
? 其他与被审计单位有联系的人员 ? 独立的第三方
在应用面谈技术收集审计证据时,内部审计师应该注意:
u 面谈对内部审计师了解被审计单位经营活动、认识和分析被审计单位经营活动中出现的例外情况以及异常变动的可能原因是特别重要的。
u 同审计目标所涉及的被审计单位的内部人员进行面谈所获得的证据有效性,要低于内部审计师采用分析性程序、观察等方式所获得证据的有效性,也低于与独立第三方面谈所获得证据的有效性。
u 内部审计师应该快速且准确地将面谈结果记录下来。 u 面谈所获得的证据需要通过收集其他客观数据加以证实。 u 内部审计师应该具有与其他人相处和沟通的有效技巧。
u 内部审计师必须以个人的自信心、说服力、公正态度、同情心以及个人能力来取得接受面谈者的信任。 面谈准备
1) 阅读公司介绍、业务手册、组织结构、调查问卷、以前的工作底稿,了解被审计单位基本情况,甚至包括企业文化、管理者个性。 2) 明确需要了解的问题,排排序
合理安排面谈时间、地点、人物,舞弊审计除外 面谈开始 1) 应守时
2) 幽默开头或嘘寒问暖开始 3) 解释面谈目的(舞弊审计除外) 4) 真诚、乐于帮助、不带威胁 5) 保守秘密 实施面谈
1) 书面、口头、肢体语言、书面、幻灯配合 2) 清晰表达,避免使用专业术语
45
3) 少说多听,认真听取,信息反馈很关键,激发对方发言 4) 机智、客观、讲理、有趣 5) 遵循议程,但不死板
6) 避免询问一些有导向性(暗示)的问题 7) 避免询问一些负重感强的问题
8) 对下列情况要谨慎:过于流利顺畅的回答、过于适合预感,含有专业术语、回答是概括性或者是/否的
9) 谨慎区分事实声明和意见声明 10)避免争论 做好记录
1) 事先告知对方
2) 记录要有充分的可读性,可以进行全面整理(会议结束后尽可能马上整理) 3) 注明日期、地点、人物(职位) 4) 在匆忙记录时,不应提问
5) 记录应包含重大事件备忘,如中断或者被感情化的东西 评价面谈
1) 目标是否达成 2) 谨慎利用面谈信息 3)确定是否需要再次面谈
b. Questionnaires 调查问卷
进行问卷调查的方式: ? 面谈式 ? 电话式 ? 邮寄式 内部控制问卷优点:
1) 降低了忽视重要方面的风险
2) 可以对被测试的控制系统进行初步的评估
3) 问卷通常发给高级管理人员,促进对内部审计的理解 4) 给被审计单位一个自我评价的机会 5) 由最熟悉情况的人回答,结果可能更经济 内部控制问卷缺点: 1) 编制难度大 2) 花费时间长
3) 填表人员能猜到理想答案,回答不加思索、结果未必真实 4) 受到结构影响,不能包括想了解的所有问题
受篇幅影响,回答者不能一一解释(但可适当补充说明)
最常见的调查问卷:内部控制调查问卷,结构非常系统和详细,以是/否或短句回答
c. Checklists
46
检查清单:检查工作有无遗漏的核对清单,是结构化的、标准化的方法 问题清单的优点:
? 采用标准方法,提高了数据取得的一致性;
? 考虑问题较全面,降低了遗漏应该而且能够予以考虑的问题的可能性; ? 可以用于加强对审计执行过程的管理,为进入会议和退出会议做准备; ? 在检查审计工作底稿质量方面发挥的作用最大。 缺点 1) 造成了似乎很全面的错觉 2) 项目间重要程度不分
3) 机械性重复劳动,不能体现工作经验
其他数据收集工具: ? 复算;
? 详细测试,常用的两种审计程序是核单(vouching)和追踪(tracing); ? 浏览;
? 函证 :否定式函证(消极式函证)和肯定式函证(积极式函证); ? 从图书馆中的权威性或技术性出版物中收集数据; ? 利用计算机从各网址收集数据。
4. Analytical review techniques (Proficiency Level) 分析性复核技术。(要求熟练掌握) a. Ratio estimation 比率估计
b. Variance analysis (e.g., budget vs. actual) 变量分析 (如,预算与实际相比较) c. Other reasonableness tests 其他合理性测试 分析性复核技术:
u 变动分析(fluctuation analysis) u 比率估计(ratio estimation):次的数据进行分析估计。
债务权益比率 = 总债务÷普通股股东权益
权益比率 = 总股东权益÷总资产
已获利息倍数 =〔净收益+利息支出+所得税支出〕÷利息支出 存货周转率小,意味着存货过大,存货保管成本增加和存货过时风险提高。 酸性测试比率,又称速动比率=速动资产÷流动负债
其他条件不变的情况下,当流动比率提高,速动比率降低时,明存货增加。
比率分析的最大局限性在于任何比率的变化,既可能源于分子变化,又可能源于分母的变化,而且变化的原因不是很明显。
u 实际与预算比较(actual-to-budget comparisons)
通常对一般财务比率、特殊财务比率和经营重点三个层
47
u 差异分析(variance analysis) u 高低点法(the high-low method) u 趋势分析(trend analysis):
是对过去发生的账户余额、其他财务信息或经营信息的变
化进行的分析,常被称为“水平分析”。 u 建立模型(model building) 分析性复核技术的应用:
A 在审前准备阶段,分析性复核技术可以帮助内部审计师确定审计重点和审计范围; A 在现场工作阶段,分析性复核技术可以用于检查和评估获得的信息以支持审计发现。 应用分析性复核技术需具备的四种能力: § 理解能力; § 联系能力;
§ 控制数字和图表能力; § 沟通能力。 变量分析: 1 相关分析:散布图 相关系数 决定系数
形成直线,则说明两个变量是相关的;散点,没有关系;曲线,相关或者没有关系。 相关系数的值域是-1到+1。零值表示不相关;正值表示正相关;负值表示负相关或反相关,相关系数的绝对值越接近1表明相关关系越强。
决定系数为相关系数的平方,即R2,解释相关性,越大越相关决定系数的范围是从0到
1
2 建立模型
u 简单回归分析(simple regression analysis) 又称最小二乘法,就是一种分析预测模型
1) 简单回归公式为:y=a+bx ,其中:b指回归系数(或斜率
u 多元线性回归(multiple regression analysis) 多元一次方程式,有两个或两个以上的独立变量,计算时要使用代数中的矩阵工具。
u 辨别分析(discriminant analysis) 是回归分析的一个变种。把陷入困境企业与没有陷入困境企业相比较预测破产或陷入困境企业的经营活动。 回归分析时,可以时间,也可以区域为序列。
u 时间序列分析(time series analysis) u 跨区域分析(cross-sectional analysis)
48
相关分析主要用于衡量一个变量与另一个变量的关系, 但衡量的只是变
量之间的线性关系。
3 其他合理性测试:
A 成长曲线(growth curve):以时间作为主变量,每个观察值都赋予同等的重要性,进行加权平均预测,适于短期预测。
以时间为自变量的即时间序列的分析还有:季节性变化、周期波动、不规则变化(天气) A 指数平滑(exponential smoothing): 移动平均预测的一种技术,对近期的数据给予更大的比重,强调的是所关注数据的最新趋势。 F=a*H+(1-a)P
F:修正的预测值;a:权重;H:近期数据;P:预测数
A 学习曲线(learning curve) :适用于评价投入新生产线的效率之类。根据观察,学习曲线在60%到80%之间,80%意味着每当累计重量增长一倍,每单位的平均生产时间将降低20%。
A 现值(present value) :
A 线性规划(linear programming) :
技术可对稀缺资源进行分配。在满足所有限制
概括了可能的备选方案以及可能的结果等 利用计算机通过随机行为模拟,然后几
条件下,找出使目标函数最大化的最优解。 A 决策树分析(decision-tree analysis) :细节,适合于风险决策。连接处叫节点。
A 敏感性分析(sensitivity analysis)
A 蒙特卡罗模拟(monte carlo simulations) : A “如果怎么样”分析(“what if” analysis) : A 对策论(game theory) :
次评估特定模型以决定平均业绩。该模拟一般应用于新产品的开发与研究及存货控制。
对备选方案的发生概率进行决策,以决
定何时改变决策结果。它对评估风险非常有用。
在各种激励计划和谈判情况下的最优战略
A 排队论(queuing theory):在既定的顾客到达率条件下,使总成本最小 A 经济订货量(economic order quantity or EOQ)
A 风险分析(risk analysis) 对可能性、概率和可能的结果进行量化分析
A 成本/效益研究(cost/benefit studies)
A 动态规划(dynamic programming) :是一种最大化理论,可以帮助分析逐期决策和全面风险评估的结果
5. Observation (Proficiency Level) 观察。(要求熟练掌握)
观察的优势:由于是内部审计师亲自进行的,所以通过观察获得的证据的可靠程度较高。 观察的局限性:
I. 观察者所具有的专业知识、经验和能力可能不足,限制了通过观察所取得证据的可靠性;
II. 观察不能确定被审计单位对观察到的资产拥有所有权,或者说,不能确定是否其他
49
单位对这些资产拥有留置权或质权(lien)。
III 可能被观察者伪装、别扭,而且只能证明存在性和一个时点。
6. Problem solving. (Proficiency Level) 解决问题。(要求熟练掌握) 步骤:
1定义问题—认识现状;确认期望状况;比较现实和期望状况,分析存在差异的原因 定义问题的三个阶段: u 认识现实状况; u 确认期望状况;
u 比较现实与期望状况,分析存在差异的原因。 定义问题的困难包括:
1) 先入为主:根据给定的解决方案定义问题,不去考虑更好的方案。 2) 抓小放大:忽视重要的,处理无关紧要的。
3)表本不分:如员工士气低落,原因是没有休息,此时加薪效果不大。
4)有限合理:不可能看到事情各个方面。有主观原因:人们往往留心想知道的事、已经发生的事、事情的影响等。有客观原因:工作压力、环境因素等
2构造解决问题方案:
构造解决方案的技术方法:
头脑风暴法—非结构化的方法,不允许任何批评意见 共同研讨法—一种高度结构化的群体决策方法
德尔菲技术——管理者先从不同专家那里就一问题征询意见,总结后再返回给专家直到意见趋于同一个最优的解决方案
价值分析法—主要用于以最小的成本获得某一项活动最优业绩,强调成本/收益原则。
作业研究法—严格的科学方法,通过使用一些传统的概念如统计、模拟、逻辑思维及其他方法提出和测试假设
自由组合法—可以使参与决策的人自由的表达自己的想法,不受任何限制。
构造解决方案需要极强的创造力,可以是内部审计师直接的过
程,如调查、抽样;也可以是间接的,如聘用顾问来完成、或阅读研究论文。
50