內(nèi)審流程方法和技巧

1、內(nèi)審流程方法和技巧,,Introduction,侯博（Angelo）,ACCA memberCIA memberBaker-Tilly China ——External auditorNew China Life Insurance Co. ——Internal auditorFootball，Gym，MMAEmail: angelo.hou@kbfinancial.com.cn,鑒證業(yè)務(wù) Assurance Engag

2、ement,外部審計的角色,內(nèi)審與外審的差異,內(nèi)審的限制因素,Reporting system－向管理層匯報Scope of work－審計范圍由誰來決定Recruitment of staff－內(nèi)審團(tuán)隊由誰來招聘Audit work－工作內(nèi)容由誰來復(fù)核Length of service of internal audit staff－長期服務(wù)的關(guān)系Variation of standard－缺乏統(tǒng)一的標(biāo)準(zhǔn),產(chǎn)生的問題,管理層

3、設(shè)計的內(nèi)控和管理制度，內(nèi)審檢查后向管理層匯報，管理層愿不愿意聽取意見，愿不愿意實施改進(jìn)措施審計范圍由管理層來決定，不想讓你檢查的就不讓檢查內(nèi)審團(tuán)隊成員和內(nèi)審部門主管由公司管理層來招聘，不聽話的就干掉工作內(nèi)容由部門內(nèi)部互相復(fù)核，走形式長期服務(wù)的關(guān)系，講情面，缺乏獨立性缺乏統(tǒng)一的標(biāo)準(zhǔn)，并且不局限于財務(wù)領(lǐng)域,內(nèi)審流程方法和技巧,內(nèi)審理論框架基礎(chǔ) 實施內(nèi)審業(yè)務(wù) 其他知識 案例分享,一 內(nèi)審理論框架基礎(chǔ),內(nèi)審的宗旨，權(quán)利和

4、職責(zé)客觀性和獨立性風(fēng)險導(dǎo)向制定內(nèi)審計劃內(nèi)審在公司治理中的角色其他內(nèi)審任務(wù)和職責(zé)計劃審計業(yè)務(wù),1.內(nèi)審的宗旨，權(quán)利和職責(zé),宗旨－對風(fēng)險管理，控制和治理過程進(jìn)行評價，提高組織效率，幫助實現(xiàn)組織目標(biāo)權(quán)利－是實現(xiàn)內(nèi)審目標(biāo)的保證職責(zé)－內(nèi)部審計部門和人員需要履行的責(zé)任如何保證權(quán)力以實現(xiàn)目標(biāo)－建立制度性文件內(nèi)部審計章程職能與責(zé)任說明書內(nèi)部審計政策說明書審計手冊崗位職責(zé)描述,1.內(nèi)審的宗旨，權(quán)利和職責(zé),內(nèi)部審計章程內(nèi)容規(guī)

5、定內(nèi)審部門在組織中的地位授權(quán)內(nèi)審部門接觸與執(zhí)行審計工作有關(guān)的記錄，人員和實物資產(chǎn)明確內(nèi)審活動的范圍明確規(guī)定服務(wù)的性質(zhì)審批權(quán)董事會，審計委員會，相關(guān)治理機(jī)構(gòu)和高級管理層批準(zhǔn)或認(rèn)可。作用最大程度的保證獨立性評價內(nèi)審工作質(zhì)量和工作業(yè)績的依據(jù)內(nèi)審與管理層和其他部門就審計范圍進(jìn)行協(xié)調(diào)和消除分歧的依據(jù),2. 獨立性和客觀性,獨立性－內(nèi)審部門公正無偏地履行其職責(zé)，免受任何威脅其履職能力的情況影響。（內(nèi)審的生命，賴以生存的必要條件）

6、內(nèi)審部門設(shè)置的考慮事項部門的設(shè)置是否經(jīng)董事會，審計委員會等批準(zhǔn)的內(nèi)部審計章程中作出規(guī)定雙重報告關(guān)系：首席審計執(zhí)行官應(yīng)該對審計委員會，董事會或其他相關(guān)治理機(jī)構(gòu)報告業(yè)務(wù)工作，向CEO報告行政工作首席審計執(zhí)行官能否直接且無限制地與董事會，審計委員會等接觸和溝通首席審計執(zhí)行官的任免應(yīng)由董事會或?qū)徲嬑瘑T會等治理機(jī)構(gòu)一致同意后確定審計委員會的組成，不能主要由管理層人員來組成,2. 獨立性和客觀性,客觀性－公正的，不偏不倚的態(tài)度，避免利益

7、沖突內(nèi)審的參照性政策盡量定期輪換內(nèi)部審計師不應(yīng)承擔(dān)組織的運營責(zé)任。并且，應(yīng)該在至少一年后才能參加審計其負(fù)責(zé)的運營領(lǐng)域（對于借調(diào)或臨時聘用人員）進(jìn)行業(yè)務(wù)溝通之前審查內(nèi)部審計工作結(jié)果（應(yīng)由首席審計執(zhí)行官或其他具備資格的人審查工作底稿和結(jié)果）不履行設(shè)計，安裝和經(jīng)營系統(tǒng)的職責(zé)，但可以在控制系統(tǒng)實施前進(jìn)行審查和提出建議不接受員工，客戶，供貨商或者有工作關(guān)系的酬金或禮物，除非價值不大。,2. 獨立性和客觀性,其他需要注意事項具備必要

8、的知識，技能和勝任能力保持應(yīng)有的職業(yè)審慎態(tài)度進(jìn)行后續(xù)教育由首席審計執(zhí)行官建立和保持質(zhì)量保證和改進(jìn)程序－內(nèi)部評估（由首席審計執(zhí)行官挑選評估小組進(jìn)行評估）與外部評估（聘請合格的獨立的外部檢查小組進(jìn)行評估，至少每5年開展一次），制定《質(zhì)量評估手冊》，向董事會或其他治理機(jī)構(gòu)報告結(jié)果,3.風(fēng)險導(dǎo)向制定內(nèi)審計劃,COSO企業(yè)全面風(fēng)險管理框架（ERM）三個維度第一維是企業(yè)的目標(biāo)第二維是全面風(fēng)險管理要素第三維是企業(yè)的各個層級,3.風(fēng)險導(dǎo)向

9、制定內(nèi)審計劃,首席審計執(zhí)行官須以風(fēng)險為基礎(chǔ)制定計劃，考慮組織的風(fēng)險管理框架，包括管理層針對不同業(yè)務(wù)或部門的風(fēng)險偏好（Risk Appetite）COSO風(fēng)險管理框架內(nèi)部環(huán)境－Control Environment－高層態(tài)度風(fēng)險評估流程－Risk Assessment Process事件識別－Identify風(fēng)險評估－Risk Assessment－Risk Map（impact and likelihood）－prioriti

10、zation風(fēng)險應(yīng)對－TARA信息系統(tǒng)－Information Systems控制活動－Control Activities－Authorization, Review, Information processing, Physical controls, Segregation of Duties監(jiān)督－Monitoring,3.風(fēng)險導(dǎo)向制定內(nèi)審計劃,應(yīng)用該框架識別潛在的審計業(yè)務(wù)－審計領(lǐng)域考慮公司戰(zhàn)略，了解管理層態(tài)度，工作方

11、針和工作重心（分析－PESTEL，SWOT；訪談；問卷）管理層的特殊要求法律法規(guī)要求的變化內(nèi)部制度或其他變化評估組織風(fēng)險：識別－度量－排序根據(jù)風(fēng)險排序，確定審計先后次序,3.風(fēng)險導(dǎo)向制定內(nèi)審計劃,識別內(nèi)審資源需求－為了審計工作有效完成內(nèi)審人員的配置計劃（內(nèi)審人員的技能和知識要與審計業(yè)務(wù)相匹配，必要的后續(xù)教育和培訓(xùn)計劃）財務(wù)預(yù)算（應(yīng)根據(jù)審計工作日程表和活動，人力發(fā)展需求，人員的教育與培訓(xùn)相匹配）時間管理（根據(jù)項目，人員素質(zhì)

12、，管理層需求設(shè)定合理的起止時間）選擇審計業(yè)務(wù)－與董事會溝通并獲得其對審計業(yè)務(wù)計劃的批準(zhǔn)風(fēng)險評估過程應(yīng)當(dāng)每年進(jìn)行，審計業(yè)務(wù)計劃的變更應(yīng)得到審批，以保證及時更新,4.內(nèi)審在公司治理中的角色,報告重大審計事項－及時告知高級管理層和董事會評估業(yè)績考核體系的充分性和有效性，并定期向董事會報告KPI指標(biāo)與管理層討論重大風(fēng)險領(lǐng)域－管理層接受的風(fēng)險水平與機(jī)構(gòu)的風(fēng)險管理戰(zhàn)略是否一致；管理層對重大風(fēng)險采取的措施是否恰當(dāng)；如果管理層決定對風(fēng)險不采

13、取糾正措施并承擔(dān)后果，應(yīng)及時向董事會報告這些情況協(xié)助董事會開展全面風(fēng)險評估監(jiān)督遵守公司行為規(guī)范和商業(yè)慣例的情況－保密，公平交易，恰當(dāng)使用組織資產(chǎn)，禮品及酬金，違法和不道德行為等報告控制框架的有效性協(xié)助董事會評估外審的獨立性評估董事會和公司的道德氛圍評估在特定領(lǐng)域的政策遵循情況跟蹤并報告管理層對監(jiān)管機(jī)構(gòu)和外審檢查結(jié)果的落實情況樹立舞弊防范意識，鼓勵報告不正當(dāng)?shù)男袨?5.其他內(nèi)審任務(wù)和職責(zé),道德規(guī)范／合規(guī)情況對道德合規(guī)情況

14、的投訴進(jìn)行調(diào)查并提出解決辦法，確定違反道德規(guī)范的處理，培養(yǎng)健康的道德氣氛風(fēng)險管理建立和實施風(fēng)險和控制框架；進(jìn)行風(fēng)險評估，并向董事會報告風(fēng)險評估結(jié)果；對災(zāi)難準(zhǔn)備情況作出評價，并對災(zāi)后重建恢復(fù)的有效性進(jìn)行監(jiān)督隱私評估組織的隱私保護(hù)制度和保證合規(guī)信息或物理安全確定安全薄弱環(huán)節(jié)（自然災(zāi)害，信息系統(tǒng)崩潰，恐怖行為，盜竊和故意破壞）；確定違反安全規(guī)定行為的處理；并報告合規(guī)情況,6.計劃審計業(yè)務(wù),開展與審計業(yè)務(wù)客戶的初步溝通－正式會議溝通

15、審計目標(biāo)和審計范圍審計工作計劃和審計方式要求客戶報送財務(wù)資料，內(nèi)控制度，有關(guān)政策等文件資料對審計業(yè)務(wù)范圍實施初步調(diào)查－確定重點審計領(lǐng)域并熟悉組織活動和風(fēng)險（從被審計單位獲得信息－了解經(jīng)營目標(biāo)，政策，重點關(guān)注事項，組織信息等）進(jìn)行分析性復(fù)核 Analytical review－財務(wù)比率，趨勢和合理性測試與預(yù)算，預(yù)測等進(jìn)行比較進(jìn)行基準(zhǔn)比較法 Benchmarking－尋找最佳對象，并比較，找尋差距實施面談 Interview－

16、4 C 法則：清晰 Clear（使用對方能聽得懂的術(shù)語）， 簡潔 Concise（簡短，突出重點），完整 Complete（包含所有相關(guān)信息）， 正確 Correct（保證與對方溝通時數(shù)據(jù)正確）查閱以前的審計報告和其他相關(guān)資料繪制流程圖－Flow Chart，Organization Chart，內(nèi)控調(diào)查問卷編制檢查清單,6.計劃審計業(yè)務(wù),完成相關(guān)領(lǐng)域的詳細(xì)風(fēng)險評估－除了關(guān)注組織的風(fēng)險管理，還要關(guān)注審計風(fēng)險審計風(fēng)險＝IR＊CR＊

17、DR－發(fā)表不恰當(dāng)?shù)膶徲嬕庖婏L(fēng)險控制矩陣識別經(jīng)營目標(biāo)－審計小組與管理層共同確認(rèn)識別經(jīng)營目標(biāo)的相關(guān)風(fēng)險－向管理層詢問達(dá)成目標(biāo)的障礙按照可能性和重要性度量風(fēng)險識別控制活動－TARA評價控制是否充分測試內(nèi)部控制的有效性對控制的充分性和有效性作出最終意見,6.計劃審計業(yè)務(wù),與外審和監(jiān)管機(jī)構(gòu)協(xié)調(diào)審計工作－經(jīng)濟(jì)性，效率，有效性建立并完善審計業(yè)務(wù)的目標(biāo)，確定審計范圍審計類型：營銷部門經(jīng)營目標(biāo)：提升產(chǎn)品在中國市場的認(rèn)可度審計業(yè)務(wù)目

18、標(biāo)：識別和評價提升產(chǎn)品在中國市場的認(rèn)可度的合適控制手段識別審計所依照的標(biāo)準(zhǔn)－例如：（合適，且雙方都認(rèn)可）經(jīng)營成果信息－盈利性行業(yè)最優(yōu)內(nèi)控制度政策和程序法律法規(guī),6.計劃審計業(yè)務(wù),考慮舞弊的可能性－注意風(fēng)險因素和危險信號風(fēng)險因素－控制弱點：缺乏審批，越權(quán)管理等危險信號－個人原因（嚴(yán)重的病情，賭博等），公司原因（財務(wù)困難，過度的債務(wù)等）可能助長舞弊的因素：無效的內(nèi)控，員工的勾結(jié)，流動資產(chǎn)的存在確定審計業(yè)務(wù)程序－相關(guān)（應(yīng)收

19、的價值認(rèn)定－詢證函）步驟：收集審計資料－分析和評價資料－記錄信息－對審計業(yè)務(wù)的監(jiān)督確定審計所需人員水平和資源數(shù)量和經(jīng)驗；技能和勝任能力；外部資源的考慮；對內(nèi)部人員的培訓(xùn)建立對審計業(yè)務(wù)計劃和監(jiān)督－保證完成和審計質(zhì)量督導(dǎo)過程貫穿業(yè)務(wù)活動始終，所有底稿都有進(jìn)行復(fù)核，監(jiān)督復(fù)核都要形成記錄記入底稿編制審計業(yè)務(wù)工作底稿記錄信息，以支持結(jié)論；為編制報告提供依據(jù)；便于第三者審查等,一 內(nèi)審理論框架基礎(chǔ),內(nèi)審的宗旨，權(quán)利和職責(zé)客觀

20、性和獨立性風(fēng)險導(dǎo)向制定內(nèi)審計劃內(nèi)審在公司治理中的角色其他內(nèi)審任務(wù)和職責(zé)計劃審計業(yè)務(wù),二 實施內(nèi)審業(yè)務(wù),實施業(yè)務(wù)監(jiān)督業(yè)務(wù)結(jié)果舞弊知識要點業(yè)務(wù)公具,1.實施業(yè)務(wù),內(nèi)部審計的四個步驟－收集和評價證據(jù)是核心工作計劃業(yè)務(wù)－確認(rèn)，分析，評估記錄證據(jù)－溝通業(yè)務(wù)結(jié)果－監(jiān)督整個審計業(yè)務(wù)過程證據(jù)的采集控制測試（符合性測試）－證明控制是否運行有效實質(zhì)性測試－詳細(xì)測試：對各類賬戶余額，交易具體細(xì)節(jié)進(jìn)行測試；實質(zhì)性分析程序：研究數(shù)據(jù)

21、間關(guān)系來評估證據(jù)多種證據(jù)間要相互印證，注意抽樣風(fēng)險，和重要性水平,1.實施業(yè)務(wù),評估證據(jù)的標(biāo)準(zhǔn)－風(fēng)險決定證據(jù)的數(shù)量和質(zhì)量充分的Sufficient－證據(jù)符合事實，具備說服力，可以使審慎的，具備相關(guān)知識的人員得出相同的結(jié)論可靠的Reliable－恰當(dāng)?shù)募夹g(shù)可以獲得的最佳證據(jù)－外部大于內(nèi)部，內(nèi)控好的大于內(nèi)控差的，文件大于口頭，原件大于復(fù)印件相關(guān)的Relevant－證據(jù)能夠支持發(fā)現(xiàn)和建議有用的Useful－能夠幫助組織實現(xiàn)其目標(biāo)編

22、制工作底稿內(nèi)容：計劃過程－風(fēng)險評估－對內(nèi)控系統(tǒng)健全性和有效性的檢查和評價－執(zhí)行的審計程序，取得的資料和得出的結(jié)論－復(fù)核－報告－跟蹤程序要求：整齊，統(tǒng)一，容易理解，相關(guān)，經(jīng)濟(jì)，完整，書寫簡單明了，邏輯有序溝通中期進(jìn)展情況－中期報告（可以是書面的，也可以口頭的）需要編制中期報告的情況：審計業(yè)務(wù)工作需要延長；審計業(yè)務(wù)中發(fā)現(xiàn)了需要馬上引起注意的重要問題；管理當(dāng)局迫切需要了解情況；審計業(yè)務(wù)范圍發(fā)生變化,1.實施業(yè)務(wù),編制建議書建議不是命

23、令，內(nèi)審不承擔(dān)管理職能，否則會威脅客觀性不應(yīng)該提出唯一的行動建議，管理人員視野要比審計師的視野廣與管理人員共同討論建議是個不錯的辦法，并且共同探討采取的糾正措施，不僅可以改善雙方關(guān)系，而且有助于建議和措施的實施報告業(yè)務(wù)結(jié)果召開退出會議的目的：與客戶討論審計發(fā)現(xiàn)，結(jié)論和建議；允許客戶澄清特定事項；取得一致的解決意見；取得管理層對報告的反饋意見編制業(yè)務(wù)報告的質(zhì)量要求：準(zhǔn)確，客觀，清晰，簡潔，富有建設(shè)性，完整，及時內(nèi)容：業(yè)務(wù)目標(biāo)，

24、范圍說明，業(yè)務(wù)結(jié)果（發(fā)現(xiàn)，結(jié)論，建議和行動）發(fā)現(xiàn)和建議應(yīng)包括下列內(nèi)容：標(biāo)準(zhǔn)（正確的情況），實際情況，差異原因，后果注意：可以包括對出色業(yè)績的肯定，以及達(dá)成一致的糾正措施,2.監(jiān)督業(yè)務(wù)結(jié)果,重要性：在業(yè)務(wù)完成后，審計報告中涉及的發(fā)現(xiàn)和提出的建議對組織的經(jīng)營非常重要，需要管理層馬上采取糾正措施，所以內(nèi)審部門應(yīng)該對建議的執(zhí)行情況進(jìn)行監(jiān)督，以保證實現(xiàn)業(yè)務(wù)目標(biāo)，提高經(jīng)營活動的效率和效果責(zé)任：首席審計執(zhí)行官負(fù)責(zé)建立后續(xù)追蹤程序，監(jiān)督業(yè)務(wù)結(jié)果，

25、確保管理層采取有效的措施，或高級管理層已接受不采取行動的風(fēng)險。需要考慮：風(fēng)險和漏洞的嚴(yán)重程度業(yè)務(wù)發(fā)現(xiàn)或建議的重要性采取糾正行動的成本和工作量（值不值得）設(shè)定糾正時間,2.監(jiān)督業(yè)務(wù)結(jié)果,計劃－確認(rèn)監(jiān)督業(yè)務(wù)結(jié)果的適當(dāng)方法將業(yè)務(wù)發(fā)現(xiàn)或建議向負(fù)責(zé)采取糾正措施的恰當(dāng)管理層報告收集并評價管理層對業(yè)務(wù)發(fā)現(xiàn)和建議的反饋意見誰來監(jiān)督，監(jiān)督什么，如何實施監(jiān)督活動，何時實施監(jiān)督活動收集并評價采取糾正行動的信息和進(jìn)度糾正措施的結(jié)果向誰匯報實

26、施跟蹤活動－3個步驟與被審計方協(xié)商，決定是否，何時，怎樣按照內(nèi)審的建議采取糾正行動被審計方按照決定采取行動經(jīng)過一段合理的時間，內(nèi)審對被審計方進(jìn)行復(fù)查，看是否采取了合適的糾正措施并取得了理想的效果針對不滿意的反應(yīng)或者措施，向適當(dāng)?shù)母呒壒芾韺踊蚨聲▓?3.舞弊知識要點,舞弊審計是一項重要且耗費很大的工作。舞弊檢查的結(jié)果可能最終會進(jìn)入司法程序，所以需要收集符合司法標(biāo)準(zhǔn)的證據(jù)。發(fā)現(xiàn)舞弊和進(jìn)入司法程序?qū)镜穆曌u(yù)影響很大，如果指控不能

27、證實，還會給組織帶來潛在的法律責(zé)任內(nèi)審的任務(wù)－“早期預(yù)警系統(tǒng)”，發(fā)現(xiàn)舞弊征兆，收集足夠信息，幫助高級管理層決定是否值得安排更加專業(yè)的舞弊調(diào)查團(tuán)隊進(jìn)行進(jìn)一步的調(diào)查，并確保嫌疑人對調(diào)查沒有警覺因此，內(nèi)審需要了解舞弊方面的知識和技巧,3.舞弊知識要點,舞弊的類型－為組織謀取利益的舞弊行為，例如故意錯報以粉飾財務(wù)報表進(jìn)行不當(dāng)付款行為，例如：非法政治捐款，向政府官員行賄，向客戶或供應(yīng)商支付酬金等進(jìn)行不當(dāng)?shù)年P(guān)聯(lián)方交易行為故意在納稅環(huán)節(jié)中

28、出現(xiàn)錯誤已達(dá)到少交稅的目的舞弊的類型－為個人謀取利益的舞弊行為，例如貪污。典型情況：挪用資產(chǎn)或現(xiàn)金收受賄賂和回扣申請為組織實際上并未獲得的服務(wù)或商品支付款項盜竊未經(jīng)授權(quán)或非法使用應(yīng)該保密或具有專利權(quán)的信息,3.舞弊知識要點,導(dǎo)致舞弊的因素－機(jī)會。比如：較弱的內(nèi)控或缺乏內(nèi)控，過于集中的權(quán)利等導(dǎo)致舞弊的因素－動機(jī)。比如：奢侈的生活習(xí)慣，昂貴的醫(yī)療費用，賭博，保住工作崗位等導(dǎo)致舞弊的因素－合理化。實施舞弊的人都需要能夠以一些方

29、式來解釋自己的行為。比如：我先借用一下公司的資金，下個月還上；我這樣做是為了公司的生存；別人都這么做，所以這樣做一定是對的此外，還需要注意職員間的互信串通,3.舞弊知識要點,組織舞弊的征兆，例如分批采購－繞過審批遺失或破壞記錄和文件過多的“取消”或“退款”現(xiàn)象壞賬增多財務(wù)經(jīng)理和執(zhí)行官頻繁變動個人舞弊的征兆，例如奢侈的生活方式沉重的個人債務(wù)跡象不愿意請假或離開崗位承受的壓力過大無法解釋的情緒波動或復(fù)雜行為,3.舞

30、弊知識要點,紅旗標(biāo)志法（危險信號法）－作用在于提高警惕，并不意味著舞弊已經(jīng)發(fā)生，編制“危險信號”清單是很好的做法。危險信號的類型審計循環(huán)危險信號環(huán)境危險信號行業(yè)特有的危險信號犯罪者危險信號管理舞弊財務(wù)報表危險信號其他危險信號,3.舞弊知識要點,審計循環(huán)危險信號收入和應(yīng)收－與行業(yè)趨勢不符的增長，高運輸量和低銷售量，漫長的應(yīng)收賬款回收期等支出和采購－個別供應(yīng)商的超常采購數(shù)額，容易接觸空白支票或支票簽發(fā)系統(tǒng)生產(chǎn)成本－大量

31、廢料，異常的高維護(hù)和維修成本，標(biāo)上運輸標(biāo)記卻沒有運走的貨物財務(wù)處理－大量或有事項，有重大融資事項（貸款或發(fā)行股票）環(huán)境危險信號激烈的競爭環(huán)境－給公司帶來壓力，進(jìn)而將壓力轉(zhuǎn)嫁給個人企業(yè)的類型和性質(zhì)導(dǎo)致的內(nèi)控缺少－人手缺乏，權(quán)利集中，復(fù)雜交易行業(yè)或文化中存在的不良風(fēng)氣重組或是企業(yè)結(jié)構(gòu)重大調(diào)整－控制政策被打亂跨國組織－向外國官員行賄，偽造員工，將匯兌差額占為己有依賴計算機(jī)技術(shù)的組織－未經(jīng)授權(quán)的登入系統(tǒng)，用戶名和密碼保護(hù)不善,3

32、.舞弊知識要點,行業(yè)特有的危險信號，有四個行業(yè)發(fā)生舞弊的比率占白領(lǐng)舞弊的70%以上金融服務(wù)部門－有動機(jī)，有機(jī)會；轉(zhuǎn)移客戶賬戶資金，偽造實體發(fā)放貸款等保險業(yè)－欺詐性索賠，向不存在的客戶付款等制造業(yè)－復(fù)雜的成本核算過程，專業(yè)的產(chǎn)品和業(yè)務(wù)決策能源行業(yè)－客戶很難核對實際收到的貨物犯罪者危險信號機(jī)會方面－拒絕休假，某管理人員在某一特定崗位年限太長，員工與某些客戶建立緊密聯(lián)系動機(jī)方面－與收入不符的財產(chǎn)，滿足公司或家庭目標(biāo)帶來的壓力，高

33、負(fù)債，過度投資股市或房產(chǎn)合理化方面－低標(biāo)準(zhǔn)的道德意識，過去破壞法律或非正當(dāng)?shù)睦寐殬I(yè)便利的經(jīng)歷，對雇主不滿,3.舞弊知識要點,管理舞弊，舞弊規(guī)模大小與犯罪者職位有關(guān)，他們比一般人有更多的機(jī)會，由執(zhí)行官層面實施舞弊造成的損失是管理人員的5倍，管理人員舞弊造成的損失是雇員舞弊的13倍銷售經(jīng)理偽造銷售記錄，以完成銷售目標(biāo)部門領(lǐng)導(dǎo)為了獎金，錯報業(yè)績水平偽造費用，并簽字批準(zhǔn)費用報銷財務(wù)報表危險信號虛假利潤－異常增長，負(fù)現(xiàn)金流但仍舊增長

34、的收入，非常復(fù)雜的交易項目等不當(dāng)?shù)馁Y產(chǎn)價值－主觀的確認(rèn)資產(chǎn)價值，不當(dāng)?shù)馁Y本化不當(dāng)?shù)呐叮稑?biāo)準(zhǔn)前后矛盾其他危險信號無法解釋的差異（如，與前期比較發(fā)現(xiàn)的異常高額費用支出）繞過審批程序控制（如，分割訂單，使每部分金額都低于需要批準(zhǔn)的最低金額）不同供貨商的地址相同,3.舞弊知識要點,面談技術(shù)。訊問是希望犯罪者對答案的承認(rèn)，內(nèi)審的職責(zé)不是尋求對犯罪事實的坦白，而是收集可用于法庭審判的證據(jù)，因此我們會使用面談技術(shù)，鼓勵對方自由地，開

35、誠布公地回答所有問題，提供更多的信息建立和諧融洽的談話氛圍－表示出理解對方的感受和價值觀，讓對方愿意分享充分考慮面談對象的需要，約見時間，準(zhǔn)時赴約，方便面談對象的面談地點，嚴(yán)格限制參與面談的人數(shù)溫和的眼神，表示理解的面部表情，傾聽，不要打斷對方的說話，以不引人注目的方式做記錄多使用開放性問題（開放式問題：你能夠向我解釋系統(tǒng)中的數(shù)字為什么與驗收報告不匹配嗎？封閉式問題：你篡改這份報告了嗎？）提問順序，全面概括的問題到具體特定事項

36、；先開放性問題，后封閉性問題,3.舞弊知識要點,面談中的特殊行為，紅旗信號躁動－經(jīng)常變換位置，站立，來回踱步姿勢不自然－身體不與面談?wù)哒嫦鄬Σ辉敢庋凵窠佑|不當(dāng)態(tài)度－突然改變回答態(tài)度，沒有根據(jù)的充滿敵意或諷刺的態(tài)度焦慮信號，如嘆息，出汗，嘴唇發(fā)干，搓手或搓臉，語速快或說話聲調(diào)提高在面談中改變已回答的問題答案,3.舞弊知識要點,面談步驟－4個階段準(zhǔn)備－確定目標(biāo)和目的，收集面談對象的背景資料，制定面談策略，確認(rèn)面談時間和地點

37、開始面談－按計劃實施面談，了解面談對象的陳述是事實還是不實之詞與面談對象取得一致－以取得面談對象的認(rèn)可或消除誤解記錄面談過程－形成報告，決定下一步行動,3.舞弊知識要點,司法鑒定審計－用于收集法庭上使用證據(jù)的審計技術(shù)，考慮：獲得適當(dāng)?shù)氖跈?quán)充分記錄和保護(hù)相關(guān)證據(jù)收集證據(jù)方面的法律規(guī)定以符合法律要求的方式報告發(fā)現(xiàn)的問題是否需要征求法律建議評估和評價收集的證據(jù)保密不僅了解會計準(zhǔn)則，還要熟悉和掌握調(diào)查技術(shù)和法律訴訟制度及規(guī)定

38、豐富的經(jīng)驗，職業(yè)敏感性,4.業(yè)務(wù)工具,抽樣Sampling統(tǒng)計學(xué)抽樣－概率抽樣：產(chǎn)生量化的結(jié)果；包含了對抽樣風(fēng)險，置信水平和精確度的估計值／費時費力，成本較高；需要培訓(xùn)，需要購買軟件非統(tǒng)計學(xué)抽樣－判斷抽樣：靈活；符合成本效益原則／依賴經(jīng)驗和主觀看法；不能明確說明可衡量的抽樣風(fēng)險；不能產(chǎn)生有統(tǒng)計數(shù)字的結(jié)果幾種常用的抽樣方法屬性抽樣－常用于控制測試停－走抽樣：預(yù)計總體偏差率為零，抽取一定的樣本進(jìn)行檢查，如果沒發(fā)現(xiàn)問題，足以證明控

39、制有效，結(jié)束測試，否則擴(kuò)大樣本量繼續(xù)，直到發(fā)現(xiàn)充分的審計證據(jù)為止（比較適合預(yù)期總體差錯率較低，需要的樣本量最少）發(fā)現(xiàn)抽樣：預(yù)計總體偏差率為零，對選出的樣本進(jìn)行檢查，一旦發(fā)現(xiàn)偏差就立即停止抽樣，如果在樣本中沒有發(fā)現(xiàn)偏差，則可以得出總體可接受的結(jié)論（適合查找重大舞弊或非法行為）變量抽樣－常用于實質(zhì)性程序每單位均值估計法：總體1500個賬戶，總體賬面值1,000,000美元，挑選100個賬戶做樣本，樣本賬面值66,666.67美元。對樣

40、本檢查后，發(fā)現(xiàn)實際值69,350美元。推斷總體： 69,350／100＝693.5，693.5 *1500=1,040,250.00隨機(jī)抽樣：編號，從隨機(jī)數(shù)表中挑選號碼，將號碼對應(yīng)的項目挑出來,4.業(yè)務(wù)工具,問卷Questionnaire－內(nèi)部控制問卷ICQ優(yōu)點容易實施規(guī)范所有人提供的信息，方便比較便于對大量的信息提供人員實施調(diào)查適合對控制系統(tǒng)進(jìn)行初步評估缺點不能涵蓋所有情況不適合收集有深度的問題容易產(chǎn)生高估的結(jié)果

41、含有一些不相關(guān)的控制問題,4.業(yè)務(wù)工具,其他常用的證據(jù)收集手段復(fù)算：審計師為了證實數(shù)字的正確性而進(jìn)行重新計算函證：外部證據(jù)，可靠性高否定式函證：收到著不同意時，才回復(fù)肯定式函證：不論是否同意都回復(fù)分析性復(fù)核RatioTrendsProof in Total觀察：權(quán)利歸屬無法證明，受經(jīng)驗影響，只能證明時點盤點,4.業(yè)務(wù)工具,解決問題－常用于提出建議和改進(jìn)措施步驟：定義問題：現(xiàn)實狀況Vs期望狀況，差異原因構(gòu)造解決方

42、案選擇方案執(zhí)行和評估方案構(gòu)造解決方案頭腦風(fēng)暴法：鼓勵每個成員提出自己的想法共同研討法：精心選擇具有不同個性和專長的人組成的小群體，以非正式交流方式，通過運用類推和隱喻等方法，描述問題及構(gòu)造解決方案德爾斐技術(shù)：先從不同專家那里就某一問題征詢意見，總結(jié)意見后，返回給專家，但專家之間不互相溝通。反復(fù)的做，直到意見趨同與一個最優(yōu)的解決方案為止。,4.業(yè)務(wù)工具,圖標(biāo)的使用關(guān)鍵路徑法－項目管理,4.業(yè)務(wù)工具,圖標(biāo)的使用甘特圖－項目管

43、理,4.業(yè)務(wù)工具,圖標(biāo)的使用散點圖－兩個變量的相關(guān)性,4.業(yè)務(wù)工具,圖標(biāo)的使用因果圖（魚骨圖）－發(fā)現(xiàn)根本問題和根本原因,4.業(yè)務(wù)工具,圖標(biāo)的使用趨勢圖,4.業(yè)務(wù)工具,圖標(biāo)的使用流程圖,二 實施內(nèi)審業(yè)務(wù),實施業(yè)務(wù)監(jiān)督業(yè)務(wù)結(jié)果舞弊知識要點業(yè)務(wù)公具,三 其他知識,溝通IT審計,1.溝通,溝通的方向－垂直（下行，上行），水平群體成員之間的溝通方式口頭溝通－優(yōu)點：快速傳遞和快速反饋；缺點：信息失真書面溝通－優(yōu)

44、點：持久保持，可核實；缺點：費時，不具備內(nèi)在反饋機(jī)制非語言溝通－下課鈴，紅綠燈，肢體語言，語調(diào)等組織溝通正式的小群體網(wǎng)絡(luò)：鏈?zhǔn)?，輪式，全通道式小道消息－特點：1.不受管理層控制 2.大多數(shù)認(rèn)為它比高級管理層通過正式渠道發(fā)布的消息更可靠，更可信 3.它主要服務(wù)于其內(nèi)部人員自身利益電子溝通,1.溝通,利益相關(guān)方（所有者，員工，管理者，政府，社區(qū)）－利益沖突Stakeholder Mapping（power，interest）管

45、理策略對抗策略－如果管理層認(rèn)為利益相關(guān)方群體的目標(biāo)是威脅公司業(yè)績，就可以采取對抗策略，如：起訴，調(diào)動公共關(guān)系和通過游說反對立法。（煙草公司）謹(jǐn)慎使用，可能會給公司樹立負(fù)面形象損失控制策略－當(dāng)公司認(rèn)為錯誤已經(jīng)鑄成，希望提高公司形象，改善關(guān)系時，會使用此策略適應(yīng)策略－公司按照利益相關(guān)方要求進(jìn)行改變，以符合利益相關(guān)方的目標(biāo)先發(fā)制人策略－公司決定超出利益相關(guān)方的期望時，會選擇此策略。會和利益相關(guān)方形成伙伴關(guān)系。,2.It審計,安全應(yīng)用

46、開發(fā)業(yè)務(wù)連續(xù)性,2.It審計,安全物理安全和控制物理安全－通過物理手段或過程手段來保全公司資產(chǎn)并確保使用者的人身安全物理安全風(fēng)險－自然的和人為的：如，臺風(fēng)，洪水，電力故障，操作錯誤，盜竊和設(shè)備故障等物理安全控制：包括物理訪問控制，環(huán)境風(fēng)險控制和防火防水等，如，煙霧報警器，電子安全門禁，運動傳感器，攝像頭，不間斷電源，設(shè)置禁入?yún)^(qū)域等防火墻（設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)間的一道屏障，以防止發(fā)生不可預(yù)測的，潛在的破壞性侵入）入侵檢

47、測系統(tǒng)（IDS, Intrusion Detection System）－對應(yīng)用數(shù)據(jù)流進(jìn)行監(jiān)測并檢測出可能的入侵行為防火墻和入侵檢測系統(tǒng)的集成可以構(gòu)成入侵防御系統(tǒng),2.It審計,安全信息安全－基本要素保密性－保證敏感信息不被非授權(quán)的瀏覽或截取完整性－保證信息的完整和準(zhǔn)確可用性－保證信息隨時可用，并能在各種故障或災(zāi)難發(fā)生后能迅速恢復(fù)數(shù)據(jù)惡意軟件，病毒及防范通過合理維護(hù)和配置系統(tǒng)－如：及時下載并安裝操作系統(tǒng)和應(yīng)用系統(tǒng)的補(bǔ)丁包，

48、在系統(tǒng)運行時關(guān)閉管理員特權(quán)，現(xiàn)在特權(quán)代碼的使用，只從經(jīng)過驗證或指定網(wǎng)站下載，通過直接輸入URL地址來訪問網(wǎng)站（不要點擊各種鏈接）安裝防病毒軟件預(yù)防和偵測病毒的管理控制策略－如：安裝正版軟件，凡未在單機(jī)中掃毒的軟件不允許在網(wǎng)絡(luò)環(huán)境中使用，確保在工作站，主機(jī)和服務(wù)器中均已安裝殺毒軟件，及時更新病毒特征庫，備份數(shù)據(jù)也需要經(jīng)過殺毒程序，至少每年審核一次防病毒策略與程序,2.It審計,安全應(yīng)用認(rèn)證－防止非授權(quán)用戶訪問軟件應(yīng)用，分類只有你知

49、道的事情－賬號和密碼只有你擁有的東西－智能IC卡，身份證，工作證只有你具有的特征－指紋，聲音，虹膜與訪問控制相關(guān)的手段或措施訪問日志－對用戶訪問信息系統(tǒng)的時間，內(nèi)容等進(jìn)行記錄，便于分析控制自動注銷登錄－自動注銷非活動終端的登錄可以防止通過無人照管的終端來訪問主機(jī)上的數(shù)據(jù)回?fù)埽h(yuǎn)程用戶撥叫主機(jī)后掛斷，由主機(jī)回?fù)茉撚脩粢员ＷC信息按指定線路傳輸工具軟件－可以繞過訪問控制和審計，應(yīng)該制定限制使用具有訪問特權(quán)的工具軟件的政策,2.I

50、t審計,安全數(shù)據(jù)加密－使他人即使非法訪問了數(shù)據(jù)也不能理解數(shù)據(jù)內(nèi)容非對稱密碼體制－由公鑰（Public Key）和私鑰（Private Key）組成公鑰（Public Key）－通常用于數(shù)據(jù)加密或簽名驗證，可以在網(wǎng)上發(fā)布，是公開的私鑰（Private Key）－通常用于數(shù)據(jù)解密或簽名，只有本人知道，是秘密的常見的數(shù)據(jù)加密數(shù)字簽名－發(fā)送者用私鑰對所發(fā)送消息的摘要信息進(jìn)行加密，常用于電子郵件，電子轉(zhuǎn)賬和辦公自動化等系統(tǒng)中數(shù)字證書

51、－是一個包含證書持有人的個人信息，公開密鑰，證書序號，證書有效期和發(fā)證單位等內(nèi)容的數(shù)字文件認(rèn)證中心－是承擔(dān)網(wǎng)絡(luò)電子商務(wù)交易安全認(rèn)證服務(wù)，簽發(fā)數(shù)字證書，確認(rèn)用戶身份等工作，具有權(quán)威性和公正性的第三方服務(wù)機(jī)構(gòu),2.It審計,應(yīng)用開發(fā)各項活動系統(tǒng)分析－包括用戶需求分析和系統(tǒng)可行性研究－《系統(tǒng)需求分析規(guī)格書》系統(tǒng)設(shè)計－具體設(shè)計系統(tǒng)的過程，分為邏輯設(shè)計和物理設(shè)計－《系統(tǒng)設(shè)計規(guī)格書》編程測試－包括，模塊測試，系統(tǒng)測試，驗收測試轉(zhuǎn)換－平

52、行運行，直接轉(zhuǎn)換，分階段轉(zhuǎn)換等策略運行和維護(hù)常見的檢查與控制是否滿足組織需求，是否符合公司戰(zhàn)略，開發(fā)方式是否符合經(jīng)濟(jì)性原則是否提供并完善保留編程代碼程序中是否包含完善的應(yīng)用控制,2.It審計,應(yīng)用開發(fā)常見的檢查與控制是否滿足組織需求，是否符合公司戰(zhàn)略，開發(fā)方式是否符合經(jīng)濟(jì)性原則是否提供并完善保留編程代碼程序中是否包含完善的應(yīng)用控制－常見的應(yīng)用控制：1. 輸入控制：如，輸入授權(quán)，合理性檢驗，格式檢驗，存在性檢驗等；2.

53、處理控制：運行總數(shù)控制，計算機(jī)匹配等；3. 輸出控制：復(fù)核處理日志，審核輸出報告，審核制度與文件變更控制是否經(jīng)過管理層審批，變更后是否進(jìn)行全面測試并保存文檔，以留下何人，何時，做了和事的線索是否嵌入審計模塊或在系統(tǒng)中保留審計線索是否有專人負(fù)責(zé)后續(xù)運行維護(hù)服務(wù),2.It審計,業(yè)務(wù)連續(xù)性－災(zāi)難發(fā)生時，避免關(guān)鍵業(yè)務(wù)中斷制定應(yīng)急計劃－高級管理層的職責(zé)，步驟業(yè)務(wù)影響分析－對各種風(fēng)險的可能性和后果進(jìn)行評估業(yè)務(wù)運行分類和重要性分析－根據(jù)不

54、同類別的業(yè)務(wù)制定不同的保護(hù)級別和恢復(fù)順序制定計劃－如，備份計劃和恢復(fù)的技術(shù)手段，財產(chǎn)保險，人員角色和通訊方式，恢復(fù)階段的員工交通和生活設(shè)施等測試和實施計劃－模擬中斷和紙面上串行測試監(jiān)測－及時更新,2.It審計,業(yè)務(wù)連續(xù)性－災(zāi)難發(fā)生時，避免關(guān)鍵業(yè)務(wù)中斷故障弱化保護(hù)廉價冗余磁盤陣列RAID－將多只容量較小的，相對廉價的硬盤驅(qū)動器進(jìn)行有機(jī)組合，使其性能超過一只昂貴的大硬盤，并且當(dāng)其中一塊或幾塊硬盤發(fā)生故障時，只會降低讀寫速度而不會丟

55、失數(shù)據(jù)虛擬存儲－將多個物理存儲設(shè)備結(jié)合成一個邏輯虛擬存儲設(shè)備的方法服務(wù)器雙機(jī)熱備－兩臺服務(wù)器同時運行相同或不同的任務(wù)，當(dāng)其中一臺服務(wù)器故障時，另一臺可以接管其關(guān)鍵任務(wù)，從而保證關(guān)鍵任務(wù)的不間斷運行負(fù)載均衡／服務(wù)器集群：通過負(fù)載均衡，流量可以被動態(tài)分配到一組運行相同應(yīng)用程序的服務(wù)器組中的不同服務(wù)器上，這樣可以避免某臺服務(wù)器過載，也可以確保在某一臺服務(wù)器故障時，不會停機(jī),2.It審計,業(yè)務(wù)連續(xù)性－災(zāi)難發(fā)生時，避免關(guān)鍵業(yè)務(wù)中斷數(shù)據(jù)異地

56、備份－異樓備份（防火災(zāi)），異城備份（防地震，洪水），跨國備份（防戰(zhàn)爭）脫機(jī)異地備份－利用磁帶機(jī)，定期對數(shù)據(jù)進(jìn)行備份后通過物理手段送至存放地聯(lián)機(jī)異地備份－通過網(wǎng)絡(luò)進(jìn)行聯(lián)機(jī)實時備份電子鏈接－通過電子線路自動傳送數(shù)據(jù)備份和實現(xiàn)數(shù)據(jù)的自動恢復(fù)遠(yuǎn)程日志－通過電子線路自動傳送處理日志和實現(xiàn)數(shù)據(jù)的自動恢復(fù),2.It審計,業(yè)務(wù)連續(xù)性－災(zāi)難發(fā)生時，避免關(guān)鍵業(yè)務(wù)中斷信息設(shè)施異地冗余－防止系統(tǒng)故障或重大災(zāi)難時的信息恢復(fù)手段熱站（Hot Site）

57、－提供從機(jī)房環(huán)境，網(wǎng)絡(luò)，主機(jī)，操作系統(tǒng)，數(shù)據(jù)庫，通信等各方面的全部配置，災(zāi)難發(fā)生后，一般幾個小時就可使業(yè)務(wù)恢復(fù)運行。只需要操作人員到位并安裝應(yīng)用程序，數(shù)據(jù)與文件即可運行溫站（Warm Site）－只配備了部分設(shè)備，通常沒有主機(jī)，只提供網(wǎng)絡(luò)連接和一些外部設(shè)備?；謴?fù)可能需要幾天冷站（Cold Site）－只提供支持信息處理設(shè)施運行的基本環(huán)境（如電線，空調(diào)，場地等）。災(zāi)難發(fā)生時，所有設(shè)備都必須運送到站點，從基礎(chǔ)設(shè)施開始安裝，恢復(fù)可能需要幾