1．保證業務
　　舞弊調查
　　1、確定調查的適當對象
　　舞弊調查：已有征兆，需要執行擴展程序確定舞弊是否發生
　　調查步驟：a組織內部發生舞弊的概率和同謀程度
　　b確定開展調查需要的知識、技能和其他能力
　　c設計程序：確認舞弊者、舞弊程度、所用技術和舞弊原因
　　d多與管理人員協調行動
　　e嫌疑人與調查范圍內有關人員的權利和對本組織名譽
　　2、證實舞弊事實和程度
　　評價已知事實：需要加強的控制環節（分析性程序：就是前期、預算等的比較）
　　設計測試內容，披露未來出現類似舞弊現象
　　協助其他人發現未來舞弊跡象
　　3、向適當方面報告結果
　　首席審計執行官：負責向管理層和董事會報告，報告口頭或書面、中期、最終報告
　　報告包括：調查發現、結論、建議意見，可根據過去的口頭、書面匯報、發現記錄做
　　解釋性指導：確認已發生嚴重舞弊，及時報告管理層和懂事會
　　舞弊可能涉及以前年度財務報告，已經發生以前未產生負面影響，應通知管理層和董事會
　　報告包括：調查發現、調查結論、調查建議和糾正措施
　　報告應提交法律顧問審查，
　　4、對過程進行檢查一－改善預防舞弊的控制，并提出改進建議
　　發現舞弊的責任
　　a了解舞弊特點、手段、舞弊種類
　　b關注控制薄弱環節可能引發的舞弊機會，包括未經授權開展的交易、無視控制措施
　　未加解釋的定價例外情形、異常巨額產品損失，認識到一種以上舞弊跡象會提高舞弊概率
　　c通過評估發現舞弊跡象，并進一步采取措施或建議開展的調查工作
　　d有舞弊跡象，應建議進行調查，并通報組織主管人員
　　e舞弊的工作底稿要保證安全和保密，詢問底稿要被問人簽字，防止上訴，證據兩次檢查
　　風險和控制自我評價
　　風險：發生對目標的實現可能產生影響的事件的不確定行，風險的衡量標準是后果的可能性，可用貨幣化潛在損失，對組織的不利影響來衡量
　　控制：采用適當的方法、措施調整行為，使其滿足目標的需要
　　控制自我評價的目的（控制措施在重大風險控制中的作用、程度）、作用、過程、方法（三大主要方法）
　　1、促進方法（促進小組研討班，代表不同層次水平的信息）a業務委托人自我促進b審計促進
　　2、調查問卷方法（人多分散，企業文化阻礙坦誠、措辭簡單回答是/否、有/無，投票方法不是最有效的）
　　3、自我認證方法（管理部門小組，對管理程序設計內部審計師可以參與）高級管理人員負責檢查監督風險管理和控制程序的建立、管理和評估
　　對第三方的審計：與組織有利益關系的獨立第三方，如提供外包服務的組織等
　　合同審計：大型建筑合同和經營合同，類型：固定合同、成本加總合同、單位價格合同
　　監督全過程：合同的招標、成本評估和控制程序、預算、稅收等，而不是只在執行過程
　　質量審計業務：質量管理的水平和效果，各項活動及結果是否與制定計劃相一致
　　關注質量四要素：a顧客的需要
　　b為滿足顧客需要的產品/服務計劃、生產和運輸
　　c生產和運輸產品/服務程序的計劃和執行
　　d程序控制，尤其是對個別顧客需要的產品的服務
　　盡職調查審計業務：為合資、合并、聯合和并購事宜決策收集信息，包括有利和不利信息
　　參與人包括：內部審計師、律師、外部審計師，工作各有關注點
　　安全審計業務：組織使用的系統、程序及所實施的經營活動安全性正規檢查和復核（計算機系統安全）
　　保密審計業務：檢查信息收集、存儲、共享、使用和銷毀的過程是否符合保密要求
　　績效審計業務：效果：目標完成情況
　　效率：所消耗的資源
　　效益：投入與產出之間的關系
　　這種審計就是確認上述目標，但必須建立一套認可的目的、目標和標準評價指標
　　經營審計業務：檢查和評價內部控制系統，分配職責完成情況，關鍵是理解內部控制
　　包括：建立經營目標情況（部門與組織目標是否一致，涉及對部門的檢查）
　　對照標準衡量業績水平
　　檢查和分析偏差
　　采取糾正措施
　　依據經驗重新評估標準
　　財務審計業務：財務審計關注的是財產安全以及財務信息的可靠性和完整性
　　合規性審計業務：關注組織中的違紀違規問題，組織政策、程序、標準的法律遵守程度
　　信息技術審計業務
　　1、操作系統
　　除管理硬件和軟件外，它的另一主要功能是保證雇員只對經授權的數據進行讀寫訪問
　　a大型機：大多數時候它指的開始于system/360一系列IBM計算機和其他兼容機
　　b工作站：微型計算機
　　c服務器：具有固定的地址，并為網絡用戶提供服務的節點，它是實現資源共享的重要組成部分。
　　操作系統審計要點：系統信息收集、用戶權限、資源訪問、系統安全存儲、維護記錄
　　系統主機的審計包括：容量管理程序和性能評價
　　硬件采購計劃
　　硬件可靠性及使用狀態
　　2.應用軟件
　　a應用軟件認證：認證是證明身份用戶的過程，授權則是標識用戶可訪問資源的過程
　　復合認證技術：只有你知道的事情，如賬號、密碼（訪問控制）
　　只有你擁有的東西，如身份證、工作證
　　只有你具有的特征，如指紋、聲音、虹膜
　　審計內容：測試安全性、隱蔽性，檢查認證變動情況，包括非法用戶撤銷
　　b系統開發方法
　　生命周期法：自上而下，優點：系統性、規范性、嚴密性，缺點：周期長，變化慢
　　原型法：根據用戶一個最基本的需求，開發一個實驗模型，交用戶使用，啟發其需求
　　稱為快速應用開發法，嚴密性不如生命周期法
　　面向對象的開發方法：把握相對固定事件的本質開發軟件，不管用戶不斷變化的需求
　　固定不變的部分稱為對象（如通用軟件）
　　系統開發活動：系統分析、系統設計、測試、轉換、運行與維護
　　審計重點：組織要建立規范的開發過程
　　c變動控制：變動管理控制是指計算機系統的任何變動只有經過管理層的批準后才能進行，包括硬件和程序變動控制
　　對變動管理的的審計，升級主機軟件程序版本，利于全網絡用戶同步
　　對程序變動控制審計，是防止私自開發軟件系統最有效方法，建立良好的變動控制程序，測試庫程序緊急投入使用的風險是:未經進一步測試就永久的投入運行，保護計算機程序庫的安全最佳方式：限制對程序庫的物理和邏輯訪問
　　d終端用戶通訊：系統的終端用戶在沒有和只有很少技術專家證實協助的條件下，自行完
　　（EUC）成系統開發的策略，主要審計內容是這樣做的風險，因為自行開發系統整體分析功能考慮不全，建議成立信息中心負責用戶咨詢，制定相應規章制度
　　3.數據和網絡通訊：遠程用戶溝通，進行信號傳輸
　　基礎通信網絡：PSTN公共電話交換網絡
　　DDN數字數據網絡
　　FR幀中繼
　　ISDN綜合服務數字網
　　ADSL非對稱用戶數字環線 　　審計重點：通訊網絡控制，設計、標準和規范，選擇網絡是否考慮成本/效益原則，以太網的數據傳輸量比電話線大，軟件初始化不正確，可能造成網絡反映遲緩
　　4.語音通訊：（PBX）通過電話交換機進行語音溝通，主要承載：PSTN/ISDN/IP/無線移動
　　語音黑客通過專用分組（交換機）PBX攻擊調制解調器和訪問數據網，如果防止語音郵件舞弊控制也帶來系統功能降低
　　5.系統安全
　　系統控制：一般控制，通用的控制手段和技術，是基礎控制，有效性不受應用控制的影響，審計應首先確認已建立完善的一般控制，包括：管理控制、運行控制（計算機運行控制、系統實施控制、軟件控制、硬件控制、訪問控制、物理設備控制）
　　應用控制，特定為保障應用程序正確運行而設定的控制，如輸入、處理、輸出控制，包括：輸入控制、處理控制、輸出控制）
　　工作站腳本：建立終端運行環境，登錄時起作用
　　自動注銷不活動用戶可使攻擊者失去獲得合法用戶的機會
　　批量總額檢查測試有利于輸入的完整性和正確性
　　6.應急計劃：災難后果處理，計劃包括減少破壞事件的后果，及時恢復、增強數據中心靈活性和可用性（移植、升級，不中斷業務）
　　審計內容：計劃的標準和法律實效適用性
　　測試災難發生后恢復有效性
　　異地存儲的適當性（遠離現場的保存較好）
　　員工災難發生時的反映能力（培訓、救助能力）
　　7.數據庫：層次型數據庫：樹狀結構
　　網狀型數據庫：網絡中的元素之間通過指針進行連接
　　關系型數據庫：以表的形式表示，每個記錄用字段表示
　　數據庫管理系統（DBMS）
　　審計要點：設計：圖表描述業務與其是否一致
　　訪問：訪問被適當控制
　　管理：訪問級別設置、災難恢復管理、處理過程一致和完整
　　界面：信息保密性、可靠性及完整性
　　便利性：只要有可能應用結構化查詢語言SQL
　　數據庫規范化：目標是減少數據沉余，保證關系型數據庫的二維表特征
　　8.數據中心運行：負責軟硬件日常工作
　　審計要點：網絡操作控制（職能部門管理）、信息系統操作（事件日志）、緊急狀態操作（電壓調整器：防止電力浪涌，保證硬件設備安全）、問題處理報告（提供防止病毒服務）
　　9.網絡基礎設施：運行在操作系統平臺上的網絡服務器和應用服務器
　　審計要點：提供網絡服務器和應用服務器的性能和可靠性
　　檢查迅速排除故障的能力
　　檢查時時性能狀態監控，保證提供歷史報告和公共數據輸入
　　SSL安全協議：提供數據加密、服務器身份驗證、消息完整性和客戶身份驗證功能，網上通過安裝一個數字證書數字被加密傳輸，加密在后臺，不需要用戶交互操作（如網上銀行下載密碼證書）
　　小程序：從WWW服務器下載到客戶機上，威脅最大的是從客戶機建立與網絡連接的小程序
　　10.軟件許可：使用盜版軟件的風險、建立防止非法軟件的管理制度、發現非法軟件使用
　　降低盜版法律風險方法：保存購置記錄
　　對計算機使用的軟件進行鑒別
　　建立軟件使用政策
　　（提供正版安裝）
　　正版拷貝備份為合法，拷貝多人使用為非法
　　上千臺計算機工作站遵守軟件許可調查起點，是看軟件安裝是否集中管理
　　2、實施咨詢業務
　　內部控制培訓：審計對相關人員在內控方面的培訓
　　經營過程檢查（BPR）：對組織的業務流程和程序進行檢查（電話費用控制方法的制定）
　　基準比較法：與最優（標桿企業）比較，組織內部也有最優情況
　　信息技術與系統開發
　　業績測評系統的設計
　　實施咨詢業務的原則：
　　a委托業務更適合保證業務，就應當做保證業務
　　b章程中含有此項業務，并制定相應政策和程序
　　c一人從事咨詢業務一年內，不能作保證業務，處理方法：派另一人、建立獨立監督機制、闡明結果、披露認定的損害，要管理層明白
　　d避免不必要的超出業務范圍和脫離原定的目標管理責任
　　職業謹慎：了解咨詢動機和原因，確定范圍，工作技巧，潛在影響，組織從中獲什么益處
　　如何處理目標：審計目標優于管理人員特殊要求，如何協調：
　　將額外目標納入咨詢業務中
　　記錄額外目標，最后溝通時，報告觀察結果
　　將額外目標納入后續保證業務中
　　咨詢計劃：包括業務目標、范圍、完成目標的技術手段
　　結果溝通：要求清楚的報告業務性質、存在的局限性、引起主意的地方。越過服務對象，直接于上級溝通的情況：重大風險漏洞和控制弱點
　　報告使用：董事會、審計委員會、其他政府部門，在包括其他審計活動時進行披露
　　其他溝通：這種方式不具體，但可描述業務類型和重要建議，這是審計職責

（責任編輯：中大編輯）