1.保证业务

　　舞弊调查

　　1、确定调查的适当对象

　　舞弊调查：已有征兆，需要执行扩展程序确定舞弊是否发生

　　调查步骤：a组织内部发生舞弊的概率和同谋程度

　　b确定开展调查需要的知识、技能和其他能力

　　c设计程序：确认舞弊者、舞弊程度、所用技术和舞弊原因

　　d多与管理人员协调行动

　　e嫌疑人与调查范围内有关人员的权利和对本组织名誉

　　2、证实舞弊事实和程度

　　评价已知事实：需要加强的控制环节(分析性程序：就是前期、预算等的比较)

　　设计测试内容，披露未来出现类似舞弊现象

　　协助其他人发现未来舞弊迹象

　　3、向适当方面报告结果

　　首席审计执行官：负责向管理层和董事会报告，报告口头或书面、中期、最终报告

　　报告包括：调查发现、结论、建议意见，可根据过去的口头、书面汇报、发现记录做

　　解释性指导：确认已发生严重舞弊，及时报告管理层和懂事会

　　舞弊可能涉及以前年度财务报告，已经发生以前未产生负面影响，应通知管理层和董事会

　　报告包括：调查发现、调查结论、调查建议和纠正措施

　　报告应提交法律顾问审查，

　　4、对过程进行检查一-改善预防舞弊的控制，并提出改进建议

　　发现舞弊的责任

　　a了解舞弊特点、手段、舞弊种类

　　b关注控制薄弱环节可能引发的舞弊机会，包括未经授权开展的交易、无视控制措施

　　未加解释的定价例外情形、异常巨额产品损失，认识到一种以上舞弊迹象会提高舞弊概率

　　c通过评估发现舞弊迹象，并进一步采取措施或建议开展的调查工作

　　d有舞弊迹象，应建议进行调查，并通报组织主管人员

　　e舞弊的工作底稿要保证安全和保密，询问底稿要被问人签字，防止上诉，证据两次检查

　　风险和控制自我评价

　　风险：发生对目标的实现可能产生影响的事件的不确定行，风险的衡量标准是后果的可能性，可用货币化潜在损失，对组织的不利影响来衡量

　　控制：采用适当的方法、措施调整行为，使其满足目标的需要

　　控制自我评价的目的(控制措施在重大风险控制中的作用、程度)、作用、过程、方法(三大主要方法)

　　1、促进方法(促进小组研讨班，代表不同层次水平的信息)a业务委托人自我促进b审计促进

　　2、调查问卷方法(人多分散，企业文化阻碍坦诚、措辞简单回答是/否、有/无，投票方法不是最有效的)

　　3、自我认证方法(管理部门小组，对管理程序设计内部审计师可以参与)高级管理人员负责检查监督风险管理和控制程序的建立、管理和评估

　　对第三方的审计：与组织有利益关系的独立第三方，如提供外包服务的组织等

　　合同审计：大型建筑合同和经营合同，类型：固定合同、成本加总合同、单位价格合同

　　监督全过程：合同的招标、成本评估和控制程序、预算、税收等，而不是只在执行过程

　　质量审计业务：质量管理的水平和效果，各项活动及结果是否与制定计划相一致

　　关注质量四要素：a顾客的需要

　　b为满足顾客需要的产品/服务计划、生产和运输

　　c生产和运输产品/服务程序的计划和执行

　　d程序控制，尤其是对个别顾客需要的产品的服务

　　尽职调查审计业务：为合资、合并、联合和并购事宜决策收集信息，包括有利和不利信息

　　参与人包括：内部审计师、律师、外部审计师，工作各有关注点

　　安全审计业务：组织使用的系统、程序及所实施的经营活动安全性正规检查和复核(计算机系统安全)

　　保密审计业务：检查信息收集、存储、共享、使用和销毁的过程是否符合保密要求

　　绩效审计业务：效果：目标完成情况

　　效率：所消耗的资源

　　效益：投入与产出之间的关系

　　这种审计就是确认上述目标，但必须建立一套认可的目的、目标和标准评价指标

　　经营审计业务：检查和评价内部控制系统，分配职责完成情况，关键是理解内部控制

　　包括：建立经营目标情况(部门与组织目标是否一致，涉及对部门的检查)

　　对照标准衡量业绩水平

　　检查和分析偏差

　　采取纠正措施

　　依据经验重新评估标准

　　财务审计业务：财务审计关注的是财产安全以及财务信息的可靠性和完整性

　　合规性审计业务：关注组织中的违纪违规问题，组织政策、程序、标准的法律遵守程度

　　信息技术审计业务

　　1、操作系统

　　除管理硬件和软件外，它的另一主要功能是保证雇员只对经授权的数据进行读写访问

　　a大型机：大多数时候它指的开始于system/360一系列IBM计算机和其他兼容机

　　b工作站：微型计算机

　　c服务器：具有固定的地址，并为网络用户提供服务的节点，它是实现资源共享的重要组成部分。

　　操作系统审计要点：系统信息收集、用户权限、资源访问、系统安全存储、维护记录

　　系统主机的审计包括：容量管理程序和性能评价

　　硬件采购计划

　　硬件可靠性及使用状态应用软件

　　a应用软件认证：认证是证明身份用户的过程，授权则是标识用户可访问资源的过程

　　复合认证技术：只有你知道的事情，如账号、密码(访问控制)

　　只有你拥有的东西，如身份证、工作证

　　只有你具有的特征，如指纹、声音、虹膜

　　审计内容：测试安全性、隐蔽性，检查认证变动情况，包括非法用户撤销

　　b系统开发方法

　　生命周期法：自上而下，优点：系统性、规范性、严密性，缺点：周期长，变化慢

　　原型法：根据用户一个最基本的需求，开发一个实验模型，交用户使用，启发其需求

　　称为快速应用开发法，严密性不如生命周期法

　　面向对象的开发方法：把握相对固定事件的本质开发软件，不管用户不断变化的需求

　　固定不变的部分称为对象(如通用软件)

　　系统开发活动：系统分析、系统设计、测试、转换、运行与维护

　　审计重点：组织要建立规范的开发过程

　　c变动控制：变动管理控制是指计算机系统的任何变动只有经过管理层的批准后才能进行，包括硬件和程序变动控制

　　对变动管理的的审计，升级主机软件程序版本，利于全网络用户同步

　　对程序变动控制审计，是防止私自开发软件系统最有效方法，建立良好的变动控制程序，测试库程序紧急投入使用的风险是:未经进一步测试就永久的投入运行，保护计算机程序库的安全最佳方式：限制对程序库的物理和逻辑访问

　　d终端用户通讯：系统的终端用户在没有和只有很少技术专家证实协助的条件下，自行完

　　(EUC)成系统开发的策略，主要审计内容是这样做的风险，因为自行开发系统整体分析功能考虑不全，建议成立信息中心负责用户咨询，制定相应规章制度数据和网络通讯：远程用户沟通，进行信号传输

　　基础通信网络：PSTN公共电话交换网络

　　DDN数字数据网络

　　FR帧中继

　　ISDN综合服务数字网

　　ADSL非对称用户数字环线