【文章內容簡介】 要佐證的輔助證明，才能支持不可信任，但是，這些證據(jù)有助于指導審計方向，幫助獲取有價值的信息實物檢查――外部資料――審計觀察――詢問管理部門法律概念直接證據(jù)，提供證據(jù)人直接取得旁證，證明尚待證實的事情的真相提供的一種聲明，一般不被接納最優(yōu)證據(jù)，最有說服力，典型的是文件證據(jù)次要證據(jù)，由原始復印件或口頭證據(jù)形成意見證據(jù)，有偏見，一般不算作證明，但可了解范圍，專家意見除外附屬證據(jù)，從首要證據(jù)中推斷出來，屬于間接證據(jù)確證證據(jù)，同直接證據(jù)，間接證據(jù)不是確證證據(jù)佐證證據(jù)，支持其他證據(jù)的證據(jù)，它越多說服力越強收集證據(jù)應考慮的問題：獲得多、審計目標、抽樣風險、成本/效益、被上層認可、反饋應具有的職業(yè)審慎：工作范圍、對象復雜和風險管理、發(fā)生概率、審計成本分析和解釋數(shù)據(jù)包括比率、趨勢、回歸及比較分析等（審計工具：分析性復核技術中詳細講解）審計發(fā)現(xiàn)屬性：標準、條件、原因和效果，由此的工作底稿支持審計發(fā)現(xiàn)，發(fā)現(xiàn)就是對內部控制弱點的事實的貼切陳述標準：在進行評價或核實時所使用的標準、措施或期望值條件：在審計過程中發(fā)現(xiàn)的事實證據(jù)（p100旅行社差費）原因：事實與標準之間產生差異的原因（p100）效果：差異造成的影響（p100）編制工作底稿編制目的：為審計報告提供主要證據(jù)支持，記錄審計業(yè)務活動專業(yè)判斷分歧：把不同的觀點記錄在審計工作底稿上以便于存檔工作底稿的內容：（目標、程序、事實、結論和建議）計劃、審計方案對內部控制系統(tǒng)的健全性和有效性所進行的檢查和評價執(zhí)行的審計程序、取得的資料以及所得出的結論審查報告跟蹤檢查電子工作底稿的不足：需要特殊技術培訓編制工作底稿的技術：標頭（被審單位、活動名稱、目標、工作日期）、簽名、目錄（交叉索引）、核實的符號應加以注釋、標明數(shù)據(jù)來源復核工作底稿所有的工作底稿必須檢查、首席審計執(zhí)行官全面負責（可聘請部門人員來完成）復核辦法：每張工作底稿簽字注明日期、編制檢查的工作底稿清單、編制一份記載檢查性質、范圍和結果的備忘錄，被審單位所有表格和指令的復印件形成過渡文檔復核發(fā)現(xiàn)問題：形成復核記錄，發(fā)現(xiàn)問題必須得到解決且在工作底稿中顯示（修改后不留）工作底稿的歸屬權：組織，保管：內審機構，沒有進一步用途由法律顧問批準處理掉，使用：首席執(zhí)行官審批，用于：外部審計調用、被審單位人證實和解釋審計結果、法庭要求必須交出電子工作底稿：要制作原始憑證復制件，缺點：受到計算機系統(tǒng)控制和安全支配，只能由制作工作底稿的審計師更改（它無法讓編制人和檢查人簽字，只能規(guī)定這樣）溝通中期進展情況、得出結論、在適當?shù)臅r候編制建議書審計建議書：是根據(jù)審計發(fā)現(xiàn)和審計結論編制的，在有足夠證據(jù)之后編制，是審計師的職業(yè)判斷建議書類型：現(xiàn)有系統(tǒng)無需改變內部控制系統(tǒng)需要修正不可行的內部控制，建議增加保險方面的支出影響風險的某項報酬率需要調整報告審計業(yè)務結果編制審計報告的主要原因：陳述審計目標、范圍、工作結果 認定責任不是審計職能，是管理的職能審計目標：審計業(yè)務要達到的目的審計范圍：應該說明各項檢查活動，需要時包括審計期間或界定審計界限未審計活動a 召開退出會議簽發(fā)最終報告前，召開有被審計單位管理層參加的會議，進行溝通，取得反饋意見同時改善與被審計單位的關系，促進關注控制弱點最有效方法：表揚被審單位已做的改善并鼓勵進一步改進 b 編制審計報告或其他溝通文件編制標準：準確、客觀、清晰、簡明、建設性、完整、及時報告符合管理層和高層期望和認識，即包括概括情況，又包括經營方面的細節(jié)被審計單位不同意審計結論：報告中陳述雙方觀點以及意見不一致的原因審計報告：無固定格式，包括：正式、非正式、最終審計報告、總結報告（通常報告給高層或董事會，可以是對當前審計的總結）、口頭報告（審計人員與聽眾進行討論）、過程報告寫作技巧：應使用清楚、常見的詞匯和短而簡單的句子，多用主動語態(tài)，盡量使用段落短?。ㄈ纾翰⒘芯渥?，圖標、重復），使用圖標和注腳，使用下劃線或斜體字來強調重點內容，報告在審計開始時進行，而不是在發(fā)現(xiàn)問題才開始c 批準報告最終審計報告簽發(fā)前，應該經過首席審計執(zhí)行官或其指定人審核簽發(fā)，并決定向誰分發(fā)d 確定報告分發(fā)報告接受人：應該是有權采取糾正措施或者能夠保證采取糾正錯誤的人，內部審計師開始審計時的必須聯(lián)系人可得到一本副本涉及重大機密或不當違法行為，應單獨報告，涉及高層管理者，報董事會有利益關系或受到影響的方面，如董事會或外部審計師其他管理部門對審計報告有興趣，可給總結報告、口頭報告中期報告：在審計工作結束前提交的報告，是某些審計項目的特殊需要，書面、口頭報告內容：需要延長時間、馬上引起重視的問題（立即要采取措施）、管理當局迫切問題、審計范圍變化 e 取得管理層對報告的反饋意見審計結束實施顧客滿意度調查目的：緩解沖突，增加顧客參與，改善顧客與內部審計師之間的關系完成審計業(yè)務人員的業(yè)績評價評價標準：需要具備的各種技能（計算機、溝通能力等等）努力實現(xiàn)的成果的質量和范圍、工作性質、對審計和組織程序的了解與被審計單位的關系持續(xù)教育上次評價后的改善情況計劃能力（p116AB審計師按個人習慣從事審計工作，不了解評價標準）應加權平均，適用于特定項目的業(yè)績評價（具有普遍性），1年至少一次，對于低水平的審計師，要用特殊資料支持對其的評價，不能一般化B 實施具體審計業(yè)務（要求熟練掌握）1．保證業(yè)務舞弊調查確定調查的適當對象舞弊調查：已有征兆，需要執(zhí)行擴展程序確定舞弊是否發(fā)生 調查步驟：a組織內部發(fā)生舞弊的概率和同謀程度b確定開展調查需要的知識、技能和其他能力c設計程序：確認舞弊者、舞弊程度、所用技術和舞弊原因 d多與管理人員協(xié)調行動e嫌疑人與調查范圍內有關人員的權利和對本組織名譽證實舞弊事實和程度評價已知事實：需要加強的控制環(huán)節(jié)（分析性程序：就是前期、預算等的比較）設計測試內容，披露未來出現(xiàn)類似舞弊現(xiàn)象協(xié)助其他人發(fā)現(xiàn)未來舞弊跡象向適當方面報告結果首席審計執(zhí)行官：負責向管理層和董事會報告，報告口頭或書面、中期、最終報告報告包括：調查發(fā)現(xiàn)、結論、建議意見，可根據(jù)過去的口頭、書面匯報、發(fā)現(xiàn)記錄做解釋性指導：確認已發(fā)生嚴重舞弊，及時報告管理層和懂事會舞弊可能涉及以前財務報告，已經發(fā)生以前未產生負面影響，應通知管理層和董事會報告包括：調查發(fā)現(xiàn)、調查結論、調查建議和糾正措施報告應提交法律顧問審查，對過程進行檢查一－改善預防舞弊的控制，并提出改進建議發(fā)現(xiàn)舞弊的責任a了解舞弊特點、手段、舞弊種類b關注控制薄弱環(huán)節(jié)可能引發(fā)的舞弊機會，包括未經授權開展的交易、無視控制措施未加解釋的定價例外情形、異常巨額產品損失，認識到一種以上舞弊跡象會提高舞弊概率c 通過評估發(fā)現(xiàn)舞弊跡象，并進一步采取措施或建議開展的調查工作d有舞弊跡象，應建議進行調查，并通報組織主管人員e 舞弊的工作底稿要保證安全和保密，詢問底稿要被問人簽字，防止上訴，證據(jù)兩次檢查風險和控制自我評價風險：發(fā)生對目標的實現(xiàn)可能產生影響的事件的不確定行，風險的衡量標準是后果的可能性，可用貨幣化潛在損失，對組織的不利影響來衡量控制：采用適當?shù)姆椒?、措施調整行為，使其滿足目標的需要控制自我評價的目的（控制措施在重大風險控制中的作用、程度）、作用、過程、方法（三大主要方法）促進方法（促進小組研討班，代表不同層次水平的信息）a業(yè)務委托人自我促進 b審計促進調查問卷方法（人多分散，企業(yè)文化阻礙坦誠采用、措辭簡單回答是/否、有/無，投票方法不是最有效的）自我認證方法（管理部門小組，對管理程序設計內部審計師可以參與）高級管理人員負責檢查監(jiān)督風險管理和控制程序的建立、管理和評估第三方的審計：與組織有利益關系的獨立第三方，如提供外包服務的組織等合同審計：大型建筑合同和經營合同，類型：固定合同、成本加總合同、單位價格合同 監(jiān)督全過程：合同的招標、成本評估和控制程序、預算、稅收等，而不是只在執(zhí)行過程質量審計業(yè)務：質量管理的水平和效果，各項活動及結果是否與制定計劃相一致關注質量四要素：a顧客的需要b為滿足顧客需要的產品/服務計劃、生產和運輸 c生產和運輸產品/服務程序的計劃和執(zhí)行d程序控制，尤其是對個別顧客需要的產品的服務盡職調查審計業(yè)務：為合資、合并、聯(lián)合和并購事宜決策收集信息，包括有利和不利信息參與人包括：內部審計師、律師、外部審計師，工作各有關注點安全審計業(yè)務：組織使用的系統(tǒng)、程序及所實施的經營活動安全性正規(guī)檢查和復核（計算機系統(tǒng)安全）保密審計業(yè)務：檢查信息收集、存儲、共享、使用和銷毀的過程是否符合保密要求績效審計業(yè)務：效果：目標完成情況效率：所消耗的資源效益：投入與產出之間的關系這種審計就是確認上述目標，但必須建立一套認可的目的、目標和標準評價指標經營審計業(yè)務：檢查和評價內部控制系統(tǒng)，分配職責完成情況，關鍵是理解內部控制包括：建立經營目標情況（部門與組織目標是否一致，涉及對部門的檢查）對照標準衡量業(yè)績水平檢查和分析偏差采取糾正措施依據(jù)經驗重新評估標準財務審計業(yè)務：財務審計關注的是財產安全以及財務信息的可靠性和完整性合規(guī)性審計業(yè)務：關注組織中的違紀違規(guī)問題，組織政策、程序、標準的法律遵守程度信息技術審計業(yè)務操作系統(tǒng)除管理硬件和軟件外，它的另一主要功能是保證雇員只對經授權的數(shù)據(jù)進行讀寫訪問 a 大型機：大多數(shù)時候它指的開始于system/360一系列IBM計算機和其他兼容機b 工作站：微型計算機c 服務器：具有固定的地址，并為網(wǎng)絡用戶提供服務的節(jié)點，它是實現(xiàn)資源共享的重要組成部分。操作系統(tǒng)審計要點：系統(tǒng)信息收集、用戶權限、資源訪問、系統(tǒng)安全存儲、維護記錄 系統(tǒng)主機的審計包括：容量管理程序和性能評價硬件采購計劃硬件可靠性及使用狀態(tài)應用軟件a應用軟件認證 ：認證是證明身份用戶的過程，授權則是標識用戶可訪問資源的過程復合認證技術：只有你知道的事情，如賬號、密碼（訪問控制）只有你擁有的東西，如身份證、工作證只有你具有的特征，如指紋、聲音、虹膜審計內容：測試安全性、隱蔽性，檢查認證變動情況，包括非法用戶撤銷 b系統(tǒng)開發(fā)方法 生命周期法：自上而下，優(yōu)點：系統(tǒng)性、規(guī)范性、嚴密性，缺點：周期長，變化慢 原型法：根據(jù)用戶一個最基本的需求，開發(fā)一個實驗模型，交用戶使用，啟發(fā)其需求稱為快速應用開發(fā)法，嚴密性不如生命周期法面向對象的開發(fā)方法：把握相對固定事件的本質開發(fā)軟件，不管用戶不斷變化的需求固定不變的部分稱為對象（如通用軟件）系統(tǒng)開發(fā)活動：系統(tǒng)分析、系統(tǒng)設計、測試、轉換、運行與維護審計重點：組織要建立規(guī)范的開發(fā)過程c變動控制：變動管理控制是指計算機系統(tǒng)的任何變動只有經過管理層的批準后才能進行，包括硬件和程序變動控制對變動管理的的審計，升級主機軟件程序版本，利于全網(wǎng)絡用戶同步對程序變動控制審計，是防止私自開發(fā)軟件系統(tǒng)最有效方法，建立良好的變動控制程序，測試庫程序緊急投入使用的風險是:未經進一步測試就永久的投入運行，保護計算機程序庫的安全最佳方式：限制對程序庫的物理和邏輯訪問d終端用戶通訊：系統(tǒng)的終端用戶在沒有和只有很少技術專家證實協(xié)助的條件下，自行完（EUC）成系統(tǒng)開發(fā)的策略，主要審計內容是這樣做的風險，因為自行開發(fā)系統(tǒng)整體分析功能考慮不全，建議成立信息中心負責用戶咨詢，制定相應規(guī)章制度數(shù)據(jù)和網(wǎng)絡通訊：遠程用戶溝通，進行信號傳輸基礎通信網(wǎng)絡：PSTN 公共電話交換網(wǎng)絡 DDN 數(shù)字數(shù)據(jù)網(wǎng)絡 FR 幀中繼ISDN 綜合服務數(shù)字網(wǎng)ADSL 非對稱用戶數(shù)字環(huán)線審計重點：通訊網(wǎng)絡控制，設計、標準和規(guī)范，選擇網(wǎng)絡是否考慮成本/效益原則，以太網(wǎng)的數(shù)據(jù)傳輸量比電話線大，軟件初始化不正確，可能造成網(wǎng)絡反映遲緩語音通訊：（PBX）通過電話交換機進行語音溝通，主要承載：PSTN/ISDN/IP/無線移動語音黑客通過專用分組（交換機）PBX攻擊調制解調器和訪問數(shù)據(jù)網(wǎng)，如果防止語音郵件舞弊控制也帶來系統(tǒng)功能降低系統(tǒng)安全系統(tǒng)控制：一般控制，通用的控制手段和技術，是基礎控制，有效性不受應用控制的影響，審計應首先確認已建立完善的一般控制，包括：管理控制、運行控制（計算機運行控制、系統(tǒng)實施控制、軟件控制、硬件控制、訪問控制、物理設備控制）應用控制，特定為保障應用程序正確運行而設定的控制，如輸入、處理、輸出控制，包括：輸入控制、處理控制、輸出控制）工作站腳本：建立終端運行環(huán)境，登錄時起作用自動注銷不活動用戶可使攻擊者失去獲得合法用戶的機會批量總額檢查測試有利于輸入的完整性和正確性應急計劃：災難后果處理，計劃包括減少破壞事件的后果，及時恢復、增強數(shù)據(jù)中心靈活性和可用性（移植、升級，不中斷業(yè)務）審計內容：計劃的標準和法律實效適用性測試災難發(fā)生后恢復有效性異地存儲的適當性（遠離現(xiàn)場的保存較好）員工災難發(fā)生時的反映能力（培訓、救助能力）數(shù)據(jù)庫：層次型數(shù)據(jù)庫：樹狀結構 網(wǎng)狀型數(shù)據(jù)庫：網(wǎng)絡中的元素之間通過指針進行連接關系型數(shù)據(jù)庫：以表的形式表示，每個記錄用字段表示數(shù)據(jù)庫管理系統(tǒng)（DBMS）審計要點：設計：圖表描述業(yè)務與其是否一致訪問：訪問被適當控制管理：訪問級別設臵、災難恢復管理、處理過程一致和完整界面：信息保密性、可靠性及完整性便利性：只要有可能應用結構化查詢語言SQL 數(shù)據(jù)庫規(guī)范化：目標是減少數(shù)據(jù)沉余，保證關系型數(shù)據(jù)庫的二維表特征數(shù)據(jù)中心運行：負責軟硬件日常工作審計要點：網(wǎng)絡操作控制（職能部門管理）、信息系統(tǒng)操作（事件日志）、緊急狀態(tài)操作（電壓調整器：防止電力浪涌，保證硬件設備安全）、問題處理報告（提供防止病毒服務）網(wǎng)絡基礎設施：運行在操作系統(tǒng)平臺上的網(wǎng)絡服務器和應用服務器審計要點：提供網(wǎng)絡服務器和應用服務器的性能和可靠性檢查迅速排除故障的能力檢查時時性能狀態(tài)監(jiān)控，保證提供歷史報告和公共數(shù)據(jù)輸入 SSL安全協(xié)議：