CIA考试考前辅导-实施内部审计业务

2006年CIA考试考前辅导–

实施内部审计业务

PartII-ConductingtheInternalAuditEngagement第二部分–

实施内部审计业务

A.实施审计业务(25–35%)(要求熟练掌握)B.实施具体审计业务(25-35%)（要求熟练掌握）C.监督审计业务结果(5–15%)（要求熟练掌握）D.舞弊知识要点(5–15%)E.审计业务手段(15-25%)2024/3/25第二部分-实施内部审计业务2A.ConductEngagements(25-35percent)(ProficiencyLevel)实施审计业务(25–35%)(要求熟练掌握)

1.研究和采用适当的标准：2.在实施审计业务时，要保持防范潜在舞弊的意识：

3.收集数据。

4.评估证据的相关性、充分性和适当性。

5.分析和解释数据。

6.编制工作底稿。

7.复核工作底稿。

8.沟通中期进展情况。

9.得出结论。

10.在适当的时候编制建议书。

11.报告审计业务结果：

12.实施顾客满意度调查。

13.完成审计业务人员的业绩评价。

2024/3/25第二部分-实施内部审计业务32024/3/25第二部分-实施内部审计业务41.研究和采用适当的标准：a.IIA职业实务框架（如，《道德规范》、《标准》、《实务公告》）；b.其他职业的、法律的和法规的标准；

内部审计是一项为了增加组织的价值和改善组织的运营所进行的独立的、客观的确认和咨询活动。它通过采取系统化、规范化的方法评价和改进组织的风险管理、控制及治理过程的有效性，帮助组织实现其目标。

2024/3/25第二部分-实施内部审计业务5IIA职业实务框架（如，《道德规范》、《标准》、《实务公告》）；审计规范体系：1、审计法规

2、审计职业道德

3、审计准则

4、审计质量控制5、其他审计规范2024/3/25第二部分-实施内部审计业务6审计规范体系

2024/3/25第二部分-实施内部审计业务7国际内部审计准则体系

内部审计活动是在一种多样化的环境和组织中进行的。因而，这些活动可以由内部人员开展，也可以外包出去。这些差异对每种环境和组织的内部审计实务都会产生影响。不过，对于提供内部审计服务的实体机构和个人而言，国际内部审计准则是一定要遵守的。当然，为弥补实务的差异性，国际内部审计准则的语言涵盖的内容很宽泛，并且更为具体的指南留待其他声明来解决。

2024/3/25第二部分-实施内部审计业务8

根据国际内部审计协会（IIA）的要求，国际内部审计准则要达到：对应该能够代表内部审计实务的基本原则进行表述；为开展并促进广义范围的价值增值型的内部审计活动提供框架；为内部审计工作业绩的评定确立基础；扶持经改进的组织流程和业务。2024/3/25第二部分-实施内部审计业务9内部审计职业实务框架专业实务框架分为六个层次：1、内部审计定义：是一种独立、客观的保证工作和咨询活动。它的目的是为组织增加价值并提高组织的运作效率。他采取系统化、规范化的方法来对组织的风险管理、控制及治理过程进行评价，提高它们的效率。从而帮助实现组织目标。2024/3/25第二部分-实施内部审计业务102、内部审计师协会职业道德规范：（正直、客观、保密、能力）3、属性标准：（1）、宗旨、权利和职责（1000）；（2）、独立性和客观性（1100）；（3）、熟练性与应有的职业审慎性（1200）；（4）、质量保证与改进项目（1300）。属性标准说明了内部审计活动的机构及人员的特点2024/3/25第二部分-实施内部审计业务114、工作标准：（1）、管理内部审计活动（2000）；（2）、工作性质（2100）；（3）、审计业务计划（2200）；（4）、开展审计业务（2300）；（5）、报告审计结果（2400）；（6）、监测进程（2500）；（7）、管理层对风险的接受（2600）。工作标准描述了内部审计活动的性质并提出了衡量内部审计活动开展的质量准绳。5、实施标准：是属性标准和工作标准在特定类型的审计活动中的具体体现。属性标准和工作标准只有一套，实施标准有很多套。每种主要类型的内部审计活动都有一套实施标准。2024/3/25第二部分-实施内部审计业务126、指南：实务公告、实务公告开发和目标其中第1、内部审计定义。2、内部审计师协会职业道德规范。3、属性标准。4、工作标准。5、实施标准。这五个层次是强制性的。而第6、指南。这个层次是非强制性的。2024/3/25第二部分-实施内部审计业务13内部审计实务标准框架：

2024/3/25第二部分-实施内部审计业务14属性标准1000宗旨、权力和职责1100独立性和客观性1200熟练性与应有的职业审慎性1300量保证项目和改进计划工作标准2000管理内部审计活动2100工作性质2200审计计划2300开展审计业务2400报告审计结果2500监测进程2600管理层对风险的接受词汇表2024/3/25第二部分-实施内部审计业务15b.其他职业的、法律的和法规的标准；国际内部审计师协会全球总部机构图

2024/3/25第二部分-实施内部审计业务16内部审计师可以采用的标准包括：1、工作指南2、组织指示3、预算4、产品说明5、行业惯例6、内部控制的最低标准7、公认会计准则8、合同和著名的商业实务，等等。2024/3/25第二部分-实施内部审计业务172.在实施审计业务时，要保持防范潜在舞弊的意识：a.注意舞弊的迹象和征兆；b.设计适当的审计业务步骤以应对重大的舞弊风险；c.采用审计测试以发现舞弊；d.确定是否应对任何可疑的舞弊进行调查。2024/3/25第二部分-实施内部审计业务18注意舞弊的迹象和征兆；舞弊审计的动因一些非常规性交易和记录遗漏所发出的警告信号。管理层期望通过内部审计能减少雇员舞弊的风险。舞弊的一般类型：为组织谋取利益的舞弊行为为个人谋取利益的舞弊行为2024/3/25第二部分-实施内部审计业务19舞弊调查步骤：评价组织内部发生舞弊的概率和同谋程度。确定有效开展调查所需的知识、技能和其他能力。设计相关程序，确认舞弊者、舞弊程度、所用技术和舞弊原因。2024/3/25第二部分-实施内部审计业务20

进行舞弊调查的注意事项：在整个调查过程中，只要条件合适，就应该与管理人员协调行动。认识到舞弊嫌疑人和调查范围内有关人员的权利以及组织本身的名誉。2024/3/25第二部分-实施内部审计业务21

发现舞弊的审计步骤：评价已知事实的目的：确定是否需要实施或加强控制，减少未来的薄弱环节。设计调查测试内容，以协助披露未来的类似舞弊现象。协助其他内部审计师履行其职责，以维护对舞弊的充分了解，并发现未来的舞弊迹象。2024/3/25第二部分-实施内部审计业务22

发现舞弊的审计步骤：舞弊报告形式：■书面或口头报告■中期或最终报告舞弊报告内容：■调查发现■调查结论■调查建议■纠正性措施。2024/3/25第二部分-实施内部审计业务23发现舞弊的审计步骤：对于舞弊报告的解释性指导如下：■当内部审计师已在合理程度上确认组织发生了严重的舞弊现象时，应该将这种情况及时通知管理高层和董事会。■舞弊调查的结果可能表明舞弊在一年或几年中对组织的财务状况和经营成果已经产生了以前尚未发现的严重负面影响，而这些年份的财务报表已经公布。内部审计师应该将此发现通知管理高层和董事会。■关于舞弊最终报告的草稿应该提交组织法律顾问审查。2024/3/25第二部分-实施内部审计业务24

舞弊的一些知识要点评估舞弊的标准：■现有条件招致重大违法行为的风险；■组织内拥有权力和责任的个人（或集体），出于某种原因或动机从事违法活动的可能性；■组织内拥有权力和责任的个人（或集体）工作态度或道德观念有问题，以致（或甚至寻找机会）进行违法活动的可能性。2024/3/25第二部分-实施内部审计业务25舞弊的迹象和征兆---员工舞弊的征兆：■超支采购或奢侈的生活方式；■无法解释的情绪波动或复杂的行为；■不能够承受压力；■具体使他们的盗窃行为合理化的能力；■能够利用内部控制的弱项以掩盖自己的舞弊行为；■不愿意请假或离开岗位；■在工作中，长期性的士气低下；■与卖主之间不正常的亲密关系或突然换掉一个长期卖主；■沉重的个人债务迹象。

2024/3/25第二部分-实施内部审计业务26

舞弊的迹象和征兆---组织舞弊的迹象：■划整为零采购；■遗失或破坏记录和文件；■太多的“取消”或“退款”；■财务经理和执行官频繁变动；■现金流失；■销售量和收入减少；■应付和应收账款增加；■不正常的或重复的票据背书；■存货和销售成本增加■收入和支出经常重新分类；■暂记事项没有完全解决或解决不及时；2024/3/25第二部分-实施内部审计业务27

■暂记事项没有任何说明就被注销了■坏账增多；■帐目在年底作重大调整；■长期未兑现支票；■大量的顾客投诉；■缺少附件的支出；■错误或不正确的会计记录；■双重开单；■以劣质货物作为替代品；■没有及时完成银行调节表；■有利益冲突的谣言；■使用单方取得的合同；■不现实的业绩预测；■员工士气长期低落。

2024/3/25第二部分-实施内部审计业务28为组织谋取利益的舞弊行为：①出售或分配子虚乌有的或错误的资产；②进行非法政治捐款、行贿、提供回扣，向政府官员、政府官员的中介、客户、供应商支付酬金等不当付款行为；③故意错报或错误评估业务交易、资产、负债或收入；④对转移支付故意进行不当定价（关联交易的计价）。⑤通过故意地不恰当地定价，管理人员可以改善参与交易组织的经营结果，从而给其他组织带来损害；⑥进行故意的不当关联方交易，在此类交易中一方得到了一些在正常交易中不能获得的利益；⑦故意不记录或不披露重要信息，而这些信息有助于外部方面更好地了解组织的财务状况；⑧开展明令禁止的商业活动（如：违反政府法令、规则、规定或合同的活动）；⑨税务期诈。2024/3/25第二部分-实施内部审计业务29为个人谋取利益的舞弊行为：①收受贿赂和回扣；②将在正常情况下会给组织带来利润的潜在赢利交易转给雇员或外部人员；③贪污。典型情况是挪用资金或财产，并篡改财务记录以掩盖贪污行为，从而使贪污行为不易被发现；④故意隐藏或错报事项或数据；⑤要求为实际上并未提供给组织的服务或商品支付款项；⑥由于服务或货物提供的赔偿，没有如实上交给组织。2024/3/25第二部分-实施内部审计业务30内部审计师发现舞弊的责任包括：■有足够的知识用以确认舞弊发生的征兆；■确认允许舞弊发生的控制弱点；■充分评价舞弊征兆以确定是否实施舞弊调查。

2024/3/25第二部分-实施内部审计业务31b.设计适当的审计业务步骤以应对重大的舞弊风险；发现舞弊的审计步骤：■保持应有的职业审慎性；■评价舞弊的迹象或征兆，并决定是否需要采取进一步的行动或提出进行调查的建议；■开展舞弊调查；■评价获得的事实证据；■发布舞弊报告。

2024/3/25第二部分-实施内部审计业务32c.采用审计测试以发现舞弊发现舞弊的一些技术方法：■“危险信号”法■发现抽样■司法鉴定审计■讯问技术■分析性程序

2024/3/25第二部分-实施内部审计业务33“危险信号”举例：■由个人原因而产生的过度压力，如严重的疾病、赌博、缺乏个人道德观念、受过别人的恩惠等；■由公司原因而产生的过度压力，如经济困难、过度的财务杠杆作用、大量的审计调账项目、较差的业务控制等；■具体的控制风险，如监督不力、责任和义务的委派不明确、在分配的任务中存在明显的利益冲突等。2024/3/25第二部分-实施内部审计业务34

司法鉴定审计的作用：

■倡导建立一种能够提高防范经济犯罪意识的计划，以强调潜在风险的存在和对经济犯罪预防战略的需要。■检查和经济犯罪有关的犯罪审判系统以及所有相关的法律，以确认是否存在重大缺陷，是否应适当地报告此发现。■制定必要的政策和操作指南，包括用于审计和其他目的的风险评估模型。2024/3/25第二部分-实施内部审计业务35

讯问技术的实施

■内部审计师应该采用很多在其他情况下使用的面谈技术；

■这些方法应该不带感情色彩，并且不含有威胁意味，同时，应该假设接受面谈的人是无辜的；

■讯问应该由两个人进行，其中一人作为证人；

■讯问人不应该打断被讯问人的谈话（除非需要澄清事实），并且应该努力争取获得被讯问人的信任；

■在实施讯问前，讯问人必须清楚犯罪嫌疑人的情况；

■在讯问过程中，要注意维护法律规定的一些被讯问人享有的权利。2024/3/25第二部分-实施内部审计业务36

分析性程序利用计算机查询和分析数据的技术：

■结构化查询语言：一种数据操作语言，它能把来自多元数据库表格的数据加入逻辑文件中，以便对数据进行查找更新。■管理查询设施：可用于趋势分析、制作图表，并可提供在线信息。■逻辑视图：从一个或多个数据库表中生成新的数据结构（视图），以便以更直观的方式表示数据。■数据挖掘：对大量数据进行分析，从中发现隐藏在数据背后的一般规律，用来指导决策。

2024/3/25第二部分-实施内部审计业务37d.确定是否应对任何可疑的舞弊进行调查

2024/3/25第二部分-实施内部审计业务383.收集数据。

审计证据的概念：审计证据指内部审计师在审计过程中收集的、为审计结论和审计建议提供支持的信息。

按证据来源：■内部证据■内-外证据■外-内证据■外部证据

2024/3/25第二部分-实施内部审计业务39

按证据的特征：■实物证据■证明证据■文件证据■分析证据按审计证据的说服力程度：1、

■充分信任2、

■部分信任

■不可信任

2024/3/25第二部分-实施内部审计业务40按审计证据的法律概念：

■直接证据■旁证■最优证据或首要证据■次要证据■意见证据■附属证据■确证证据■佐证证据

2024/3/25第二部分-实施内部审计业务41收集审计证据时应考虑的问题：■应该考虑收集多种类型审计证据■应该考虑审计目标■应该考虑风险因素，包括抽样风险和非抽样风险。抽样风险是指通过合理抽样得到的样本并不能代表总体的概率；也就是说，根据样本得出的结论可能与对总体中的每个元素进行检测所得出的结论不同。内部审计师只有在制定抽样计划时，通过确定风险的可接受程度来控制抽样风险。抽样风险是虽然正确得出样本结论但并不能完全代表总体的概率，也就是说，根据样本得出的结论可能与根据检测总体中的每个元素所得出的结论不同。抽样风险的可接受水平是指根据样本可能得出错误结论的可接受风险水平。这个风险与审计环境有关，而与内部审计师的经验和知识无关。

2024/3/25第二部分-实施内部审计业务42■应该考虑是否有利于被审计单位的上级管理部门和董事会提高对内部审计职能的认识和重视程度■应该考虑被审计单位的反馈信息■应该考虑应有的职业审慎性

2024/3/25第二部分-实施内部审计业务43收集审计证据时应考虑的问题非抽样风险举例：■内部审计师采取了不适当的审计程序；■不恰当地执行了审计程序；■在抽样过程中没能意识到错误的存在或错误地评估了抽样结果。■“合理“的涵义包括：■成本/效益原则；■重要性原则。其中，重要性量化方法包括绝对数、相对数（例如，占所有者权益的百分比、占利润的百分比、占资产的百分比）和问题的本质属性。

2024/3/25第二部分-实施内部审计业务44关于“应有的职业审慎”，内部审计师应该考虑以下因素：■为实现审计目标而需要开展的审计工作范围；■所要保证事项的相对复杂性、重大性和重要性；■风险管理、控制和治理过程的充分性和有效性；■重大错误、违反规定或不守法情况的发生概率；■与潜在利益相关的审计保证成本。

2024/3/25第二部分-实施内部审计业务454.评估证据的相关性、充分性和适当性。审计证据的评估标准：■充分的是指审计证据是真实的、恰当的和有说服力的，可使一个谨慎精明的人能够得出与内部审计师相同的结论。■可靠的是指通过运用适当的审计技术所能得到的最好的审计证据。■相关的是指审计证据能够支持审计发现和审计建议，并且与审计目标相一致。■有用的是指审计证据能够帮助组织保证：财务和经营信息的可靠性和完整性；经营的效率和效果；资产的安全；遵循法律、规章制度以及合同。

2024/3/25第二部分-实施内部审计业务465.分析和解释数据。

分析性审计程序的作用：■确定各种数据之间的关系；■确认期望发生的变化是否发生；■确认是否存在异常变化。比较分析：■多期比较■预算与实际比较■账户间内部关系分析■与行业数据比较■与经营数据的比较■与经济数据的比较■与非财务数据的比较

2024/3/25第二部分-实施内部审计业务476.编制工作底稿。

审计工作底稿的作用：■为内部审计报告提供主要的证据支持；■

帮助审计计划的制定、执行和检查；■记录是否完成审计目标；■方便第三方检查；■为评价内部审计部门的工作质量提供依据；■为诸如保险索赔、舞弊案件及法律诉讼等情况提供支持材料，帮助内部审计师的专业发展；■证实内部审计部门是否遵守了《标准》；■为内部审计师与被审计单位之间交换意见和探讨专业问题提供了必要的背景资料；■助于内部审计师在今后审计类似审计对象时，做好准备工作；■促进了异地内部审计工作之间的协调以及职员之间责任的分配。

2024/3/25第二部分-实施内部审计业务48审计工作底稿包含的内容：

计划;对内部控制系统的健全性和有效性所进行的检查和评价；执行的审计程序、取得的资料以及所得出的结论；审查;报告;跟踪检查。具体地，审计工作底稿可包括：计划文件和审计方案；控制调查问卷、流程图、核对清单和叙述文字；调查记录和备忘录；组织机构的系统数据，如组织系统图和岗位说明；重要合同和协议的复印件；关于经营和财务政策的资料；控制系统的评价结果；

函证和陈述的信件；对交易事项、处理过程和账户余额的分析和检查；分析性审计程序的结果；审计的最终报告和管理层的反馈；如果记载了得出的审计结论，应附有关审计证据的交流情况。

2024/3/25第二部分-实施内部审计业务49审计工作底稿编制技术：1、每份审计工作底稿必须有一个标头。这个标头通常包括正在被审查的组织或活动的名称、有关该项工作内容或目的的标题或说明以及审计工作的日期或时期；2、每份审计工作底稿应有内部审计师的签名（或印签）和日期记录；3、每份审计工作底稿应有目录或索引（应简单、详细）；4、审计核实的符号（记号）应加以注释5、数据的来源应清楚地标明。2024/3/25第二部分-实施内部审计业务50审计工作底稿的编制指南：■完整和准确；■清晰和可理解；■易读和整洁；■相关和详略得当；■注意设计和格式。

2024/3/25第二部分-实施内部审计业务517.复核工作底稿。■为监督检查提供证据：■由审核人员在每一张底稿上签字并注明审核日期；■编制已接受检查的工作底稿清单；■编制一份记载检查的性质、范围和结果的备忘录。

2024/3/25第二部分-实施内部审计业务52■工作底稿复核人员应该确定：■内部审计师遵循了业务工作程序；■内部审计师遵循了他们得到的特定指令；■工作底稿反映了工作过程；■完成了所有的计划步骤；■得出的结论是合理的；■就审计发现、审计建议和审计结论与审计业务委托人进行了磋商，并将磋商结果记录下来■遵守了工作底稿编制指南。

2024/3/25第二部分-实施内部审计业务538.沟通中期进展情况。■审计工作底稿的保存：■审计工作底稿的所有权归组织拥有。■审计工作底稿应该被妥善保管，注意防火、防盗。报告审计结果:■准备工作■沟通中期进展情况■得出结论■在适当的时候编制建议书■召开结束会议或退出会议

2024/3/25第二部分-实施内部审计业务549.得出结论。

审计建议类型包括：■现有系统无须改变；■现有内部控制系统需要修正；■当增加控制措施的做法不可能或不可行时，建议增加保险方面的支出；■影响风险的某项报酬率需要调整。

2024/3/25第二部分-实施内部审计业务55编制审计报告审计报告的作用和重要性--

对于内部审计师来说：审计报告总结概括了审计工作的目的、范围和结果；审计报告鼓励被审计单位采取行动来加强控制；审计报告促进对内部审计师的教育与培训；审计报告为评价内部审计师的工作业绩提供方便；审计报告为后续审计的进行提供便利条件。

2024/3/25第二部分-实施内部审计业务56审计报告的作用和重要性--

对于管理层来说：审计报告提出了行动计划，可以促进管理层采取必要的改进措施；审计报告为需要最高管理者关注的事情能够得到关注提供了支持；审计报告有助于繁忙的管理层了解经营情况；审计报告有助于评价经营业绩。

2024/3/25第二部分-实施内部审计业务57审计报告的作用和重要性--

对于最高管理者来说：审计报告提供了其他报告不能提供的、有关经营和控制的详细情况；审计报告提供了一些高层管理者不可能从其他途径获得的客观信息；审计报告提供的有关审计活动的信息，可以使最高管理者判断是否很重要或高风险的事件正在接受审计；审计报告可以促进经营活动的规范化。

2024/3/25第二部分-实施内部审计业务58审计报告的作用和重要性--

对于其他组织来说：审计报告是一项重要的信息来源：外部审计师可以借助审计报告来评估其依赖内部审计工作的程度，以避免重复工作。审计报告有助于保证监管机构的利益。

2024/3/25第二部分-实施内部审计业务59审计报告的内容：审计目的：审计目标、审计原因和预计目标。审计范围：审计活动及审计阶段、未经审计的相关活动、审计工作的性质和范围。审计结果：审计发现、审计结论（意见）和审计建议。

2024/3/25第二部分-实施内部审计业务60审计发现应基于以下因素：标准、条件、原因、效果标准：在进行评价和/或核证时应用的标准、措施或期望值；情况：内部审计师在检查过程中发现的事实证据；原因：预期和实际情况之间存在差异的原因；效果：由于情况与标准不一致，机构和/或其他部门面临的风险（即差异的影响）。在确定风险的程度时，内部审计师应该考虑其业务观察和建议可能对机构运营和财务报表产生的影响。

2024/3/25第二部分-实施内部审计业务61审计结论（意见）包括但不限于：经营或项目的任务和目标是否与组织的相一致；正在被审查的活动是否如期进行；组织的任务和目标是否完成。

2024/3/25第二部分-实施内部审计业务62审计报告的种类：最终审计报告总结报告口头报告过程报告

2024/3/25第二部分-实施内部审计业务63审计报告编制标准：准确;客观;清晰;简明;富有建设性;完整;及时

.审计报告的分发:首席审计执行官或其指定的人审核和批准审计报告，并决定分发对象。审计报告应该分送给组织中能够保证审计结果会得到及有考虑的成员。

2024/3/25第二部分-实施内部审计业务64编制中期报告的特殊情况包括：审计工作需要延长一段时间；审计中发现一些需要马上引起注意的重要问题；管理当局迫切需要了解某些特殊问题；审计范围发生变化。

2024/3/25第二部分-实施内部审计业务6510.在适当的时候编制建议书。中期报告的作用：及时向被审计单位反馈信息；与最终报告相比，更有可能促进被审计单位采取及时、快速行动；被审计单位采取了快速行动，会有助于顺利完成一份令大家满意的最终报告；在审计结束前，内部审计师有机会跟踪了解报告中所提到问题的进展情况。

2024/3/25第二部分-实施内部审计业务6611.报告审计业务结果：a.召开退出会议；b.编制审计报告或其他沟通文件；c.批准审计业务报告；d.确定审计报告的分发；e.取得管理层对报告的反馈意见；

2024/3/25第二部分-实施内部审计业务67a.召开退出会议；2024/3/25第二部分-实施内部审计业务68b.编制审计报告或其他沟通文件；2024/3/25第二部分-实施内部审计业务69c.批准审计业务报告；2024/3/25第二部分-实施内部审计业务70d.确定审计报告的分发；2024/3/25第二部分-实施内部审计业务71e.取得管理层对报告的反馈意见；2024/3/25第二部分-实施内部审计业务7212.实施顾客满意度调查。

2024/3/25第二部分-实施内部审计业务7313.完成审计业务人员的业绩评价。

2024/3/25第二部分-实施内部审计业务74B.ConductSpecificEngagements(25-35percent)(ProficiencyLevel)实施具体审计业务(25-35%)（要求熟练掌握）1.实施保证业务：

2.实施咨询业务。

2024/3/25第二部分-实施内部审计业务751.实施保证业务a..舞弊调查。b.风险和控制自我评价。c.第三方的审计。d.质量审计业务。e.尽职调查审计业务。f.安全审计业务。g.保密审计业务。h.绩效（主要绩效指标）审计业务i.经营（效率和效果）审计业务j.财务审计业务。k.信息技术(IT)审计业务。2024/3/25第二部分-实施内部审计业务76a..舞弊调查。1)确定调查的适当对象；2)证实舞弊事实和程度（如，面谈、讯问和数据分析）；3)向适当方面报告结果；4)对过程进行检查以改善预防舞弊的控制，并提出改进建议。

2024/3/25第二部分-实施内部审计业务771)确定调查的适当对象；2024/3/25第二部分-实施内部审计业务782)证实舞弊事实和程度（如，面谈、讯问和数据分析）；2024/3/25第二部分-实施内部审计业务793)向适当方面报告结果；2024/3/25第二部分-实施内部审计业务804)对过程进行检查以改善预防舞弊的控制，并提出改进建议。2024/3/25第二部分-实施内部审计业务81b.风险和控制自我评价。国际内部审计实务准则实务公告2120．A1-2：应用控制自评对控制过程的适当性进行评估。高层管理者负责监督风险管理和控制过程的建立、管理和评价。业务经理负责评价所在部门的风险和控制。内部和外部审计师则为整个组织风险管理和控制过程的状况的有效性提供各种程度的确认。管理层和审计师都有兴趣应用有关的技术和工具来重点对现有的风险管理和控制过程进行评估，并拓展这种评估工作，寻求改进效果的方式。控制自评是一种包括自评调查和协调研讨班的方法，是管理人员和内部审计师合作评估和评价控制过程有效性的有用方法。在最纯粹的形式上，控制自评综合了业务目标和控制过程的风险。有时也把控制自我评估称为控制/风险自评。虽然控制自评的实际应用者应用一系列的不同技术和格式，但大多数已经实施的项目具有共同的关键特征和目标。2024/3/25第二部分-实施内部审计业务82应用自评的机构拥有正式的、得到文件记录的程序，允许直接参与业务部门工作或有关程序的管理者和工作小组以规范化方式参与以下工作：★识别风险和不利影响；★评估用以减少或管理上述风险的控制过程；★制定用以将风险减少到可接受程度的行动计划；★确定实现业务目标的可能性。2024/3/25第二部分-实施内部审计业务83控制自我评估方法可以达到的结果通过控制自我评估方法可以达到的结果是：★业务部门的人员在评价风险和将控制过程与管理风险、改善实现业务目标的机会等内容相联系方面得到培训并获得经验；★非正式的、控制更容易得到发现和评估；★能够掌管本部门的控制过程使人们获得动力驱动，而工作小组所采取的纠正性行动经常更为有效及时；★组织的整体目标——风险——内部控制框架能够得到更多的监督和持续的改善；★通过为工作小组充当协调员、文书和报告人员，并为支持控制自评提供关于风险和控制概念的培训，内部审计师参与控制自评过程，并获得有关此过程的深入了解；2024/3/25第二部分-实施内部审计业务84★内部审计活动可以从组织内部获取有关控制过程的更多信息，而且可以在分配其稀有资源时对额外的信息进行控制，以便花更多的精力调查并测试存在严重控制薄弱环节或高度剩余风险的业务部门；★管理者在组织风险管理和控制过程中的责任到以加强，而经理们对于将这些管理活动拱手让给审计师等专家并不积极；★内部审计活动的首要任务是通过开展测试并发表关于整个风险管理和控制系统充分性和有效性的专业判断意见，继续对评价过程进行证实。组织控制自我评估所应用的各种不同方法反映了行业、地理、组织文化、雇员得到授权的程度、主流管理风格以及制定战略和政策方式等的区别。这种情况也表明，某种控制自我评估项目在一个组织获得了成功，并不意味着同样的项目肯定会在另一个组织获得成功。控制自评过程应该量体裁衣，适应每个组织的独特特征。而且，这种情况也表明，控制自评方法必须灵活，能够随着组织的持续发展而不断变化。2024/3/25第二部分-实施内部审计业务85控制自我评估项目的主要形式控制自我评估项目的三大主要形式是：协调小组研讨班、调查问卷和管理人员开展的分析。一般组织都综合这几种形式，而不是单纯应用某一种形式。协调小组研讨班通过代表业务目标或职能部门不同层次的工作小组成员收集信息。协调小组研讨班的形式以相关目标、风险、控制或过程为依据的。●以目标为基础的协调小组研讨班形式：强调实现业务目标的最佳方式。研讨班以确认现有的、用于支持目标的控制措施为起点，然后确定剩余风险。研讨班的目的是决定控制过程是否在有效运作，并使剩余风险维持在可以接受的水平。2024/3/25第二部分-实施内部审计业务86●以风险为基础的形式：强调列举影响实现目标的各种风险。研讨班以列举所有可能阻止目标实现的壁垒、障碍、威胁和风险为起点，然后对控制过程进行检查，以确定控制过程是否足以对关键风险进行管理。研讨班的目的是确定严重的剩余风险。在这种形式中，工作小组必须走遍组织的整个目标——风险——控制过程。●以控制为基础的形式：强调现有控制措施的运行情况。这种形式有别于以上两种形式，因为协调员在研讨班开始之前就确认了关键的风险和控制。而在研讨班进行过程中，工作小组对控制减少风险的方式进行评价，并促进目标的实现。研讨班的目的是分析控制过程目前的运行情况与管理人员的期望值之间的差距。2024/3/25第二部分-实施内部审计业务87●以流程为基础的形式：强调所选的、作为流程链上组成因素的活动。流程通常是一系列相关的、从一个起点通向一个终点的活动，如：采购的不同步骤、产品开发、收入的产生等。这种研讨班通常涵盖对整个流程目标和各种中间步骤的确认。研讨班的目的是评价、更新、证明、改善和简化整个流程及其组成活动内容。与以控制为基础的形式相比，这种研讨班可能会进行更广泛的分析，方法是涵盖流程中的各种目标、并对协同的管理工作提供支持（如：重组、质量改善、持续改进活动等）。2024/3/25第二部分-实施内部审计业务88控制自评一般应用问卷调查形式，这种问卷倾向于提出容易被问卷对象理解的、措辞谨慎的、最为简单的“是/否”或“有/无”等问题。如果理想的问卷答复人太多，或分布分散，因而无法邀请他们参加研讨班时，经常应用问卷调查方法。如果组织文化可能妨碍在研讨班环境下开展公开坦诚的讨论，或者，如果管理人员希望最大限度地减少收集信息所花的时间和成本，应用这种形式也比较可取。以管理人员开展的分析而著称的自评形式包括：管理小组用以产生关于所选业务流程、风险管理活动和控制过程的信息的很多方法。这种分析经常旨在得出关于控制过程具体特点的及时、知情的判断意见，一般由工作人员或辅助人员小组编制。内部审计师可以将这种分析与其他信息进行综合，从而加强对控制过程的理解，并与业务或职能部门的管理人员一起分享这些信息。这些工作将成为组织控制自评项目的组成部分。2024/3/25第二部分-实施内部审计业务89所有控制自我评估项目的支柱都是人，即理解“风险“和”控制“这两上概念并在沟通过程中应用这些概念的管理人员和工作小组成员。对于培训课程，为了推动研讨班讨论有序进行，并检查整个过程的完整性，组织经常采用COSO和COCO模式的控制框架。典型的控制自我评估协调研讨班大多在讨论过程中产生报告。各部分讨论都将是记录小组的一致意见，而且小组在最后的讨论结束之前审议所提交的最终报告。有些项目应用无记名投票方法来保证研讨班期间信息和观点的自由流动，并协助协调不同意见和不同利益小组的分歧。2024/3/25第二部分-实施内部审计业务90内部审计活动对有些控制自我评估项目进行支持是很重要的，可以采取的方式包括：赞助、设计、实施并实际拥有整个过程，开展培训，提供协调员、文书和报告人员，安排管理人员和工作小组参与项目等。在其他控制自评项目中，内部审计的作用几乎是微乎其微，主要作为项目感兴趣的方面、整个过程的顾问、工作小组评价工作的最终见证人，进行参与。在大多数项目中，内部审计的投入介于上述两种极端情形之间。随着内部审计在控制自评项目和研讨班讨论活动参与程度的提高，首席审计执行官应该监测内部审计人员的客观性，在必要情形下采取步骤管理这种客观性，并加强内部审计测试，以保证偏见或片面性并不影响对助理人员的最后判断。标准1120指出，内部审计师应该拥有公正、无偏的态度，避免利益冲突。2024/3/25第二部分-实施内部审计业务91控制自评项目通过协助管理人员履行其在建立并维护风险管理和控制过程以及评价这些过程的适当性等方面的职责，加强内部审计活动的传统作用。通过控制自评项目，内部审计活动和业务部门开展合作，出具更好的、关于控制过程如何运行以及剩余风险严重程度的信息报告。2024/3/25第二部分-实施内部审计业务92四、控制自我评估项目的特点控制自我评估项目的优点是：内部审计活动虽然通过配备协调员和专家等为控制自我评估项目提供人员支持，但它经常发现，它可以减少控制过程的信息收集工作并取消有些测试工作。控制自评项目应该增加在整个机构进行控制过程评价的覆盖面，改善流程负责部门采取的纠正性措施的质量，并强调内部审计在检查高风险过程和异常情形方面所开展的工作。它还可以突出对控制自评项目所出具的评价结论的证明工作，对从组织各部门收集的信息的综合工作和就控制有效性向管理高层和审计委员会进行的审计意见报告工作。国际内部审计准则2120．A2-内部审计师应查明已确定的操作和方案的宗旨、目标与组织宗旨、目标的一致程度。国际内部审计准则2120．A3-内部审计师应审核操作和方案，查明有关结果与已设立的宗旨、目标的一致程度，以确定操作和方案的实施是否按事前的设想进行。国际内部审计准则2120．A4-评估控制需要适当的标准。内部审计师应查明管理人员建立的标准的适当程度，以确定是否已经达到目标和目的。如标准适当，则内部审计师应当在他们的评估中使用上述标准。如标准不适当，内部审计师应与管理人员一起制定的评估标准。国际内部审计准则实务公告2120．A4-1：控制标准。内部审计师应评价既定操作目标和期望结果，并确定操作标准是否可以接受并得到遵守。如果管理目标和标准模糊，审计师应寻求权威解释。如果内部审计师需要解释或选择操作标准，应与业务客户就衡量操作业绩所需标准达成一致意见。2024/3/25第二部分-实施内部审计业务93

国际内部审计准则2120．C1-在咨询业务期间，内部审计师应重点关注与业务约定目标一致的控制，并且应对是否存在其他任何重大控制薄弱环节保持警觉。国际内部审计准则2120．C2-内部审计师应将从咨询业务中获取的控制情况用于识别和评估组织重大风险的不利影响。2024/3/25第二部分-实施内部审计业务941)促进方法

2)调查问卷方法

3)自我认证方法2024/3/25第二部分-实施内部审计业务951)促进方法

2024/3/25第二部分-实施内部审计业务962)调查问卷方法

2024/3/25第二部分-实施内部审计业务973)自我认证方法2024/3/25第二部分-实施内部审计业务98c.第三方的审计。第三方审计举例：对提供外包服务的组织的审计；对商业伙伴有关电子数据交换系统（EDI）控制的审计。合同审计中涉及的合同大致为：

一次付款（固定价格）合同成本加总合同单位价格合同

2024/3/25第二部分-实施内部审计业务99d.质量审计业务。质量审计关注的四个关键要素：顾客的需要；为满足顾客需要的产品/服务计划、生产和运输；生产和运输产品/服务程序的计划和执行；程序控制。

2024/3/25第二部分-实施内部审计业务100e.尽职调查审计业务。尽职调查审计业务：收集信息，为被审计单位管理部门作出有关合资、合并、联合及其他并购事宜的决策提供帮助。

2024/3/25第二部分-实施内部审计业务101f.安全审计业务。安全审计目的：

确认现行安全控制的有效性；监督是否有滥用和错用系统、程序的情况；检查现行安全政策的遵循情况；

收集可能发生的犯罪行为（既包括与计算机有关的，也包括无关的）的证据。发现组织内存在的潜在威胁或风险。这些威胁或危险可能存在于各项政策、程序以及计算机网络和应用软件中；为解决组织安全问题提供建议。

2024/3/25第二部分-实施内部审计业务102g.保密审计业务。保密审计：通过检查信息的收集、存储、共享、使用和销毁过程，来确定信息处理程序是否符合保密要求，同时评价组织敏感性、安全风险以及对组织收集到信息的敏感性和公众理确性。

2024/3/25第二部分-实施内部审计业务103h.绩效（主要绩效指标）审计业务绩效审计的目标：效果：目标的完成情况效率：投入和产出之间的关系和结果

经济性：在达到目标的过程中所耗费的资源2024/3/25第二部分-实施内部审计业务104i.经营（效率和效果）审计业务财务审计的目的：财务信息的揭示是否遵守已建立的标准或准则；组织是否遵守某些法律或法规的特殊财务规定；组织是否恰当地建立并实施了有关财务报告和资产安全的内部控制制度，以促进控制目标的完成。

2024/3/25第二部分-实施内部审计业务105j.财务审计业务。合规性审计的目标确定组织对政策、程序、标准或者法律和政府法规的遵守程度。

2024/3/25第二部分-实施内部审计业务106k.信息技术(IT)审计业务。1)操作系统2)应用软件开发3)数据和网络通讯4)语音通讯5)系统安全(如，防火墙、访问控制)6)应急计划7)数据库8)数据中心运行9)网络基础设施10)软件许可11)(EDI)电子资金转帐（同第三部分考试大纲E3）12)电子商务(同第三部分考试大纲E4)13)信息防护（如：病毒、保密）(同第三部分考试大纲E8)14)加密(同第三部分考试大纲E7)15)企业资源计划软件（如：SAPR/3）(同第三部分考试大纲E10)

2024/3/25第二部分-实施内部审计业务107

少量的补充手工操作的控制措施存在于计算机系统中。进入到信息社会后，商业信息大部分是由计算机系统产生的。特别是电子商务活动的开展，内部审计师，作为组织部分信息的提供者，在这些计算机系统中承担三种角色：设计者。参与系统开发；审计者。作为系统输出结果、系统组成和管理的评估者；用户。作为系统输出结果的接收者，以及将系统作为决策输入的来源。内部审计师必须在审计计算机系统之前，就熟悉信息技术。特别是，内部审计师必须理解计算机的使用如何影响了内部控制以及如何测试那些内部控制。不过，内部审计师必须评价对计算机系统的控制，而这些控制以同样的原理还可用于其它的系统。2024/3/25第二部分-实施内部审计业务108操作系统管理的计算机资源包括：输入/输出设备存储器CPU网络2024/3/25第二部分-实施内部审计业务109

常用的操作系统有：

■

PC机操作系统

■服务器

■工作站操作系统

■大型机操作系统2024/3/25第二部分-实施内部审计业务1102、

操作系统提供的功能包括：■定议用户接口；

■允许用户共享硬件；■允许用户共享数据；■在用户之间进行资源调度及个人使用输出/输入资源。■通知用户所有处理器、输入、输出设备或程序存在的相关错误信息；■对出现的故障能进行恢复；■管理系统文件；■管理系统账号；■操作系统与程序之间进行通信。2024/3/25第二部分-实施内部审计业务111

对操作系统实施审计的要点:

■收集操作系统所安装平台的所有软件系统，包括操作、数据库、应用系统概要信息及其主要配置；

■输出文件列表，记录特权用户、普通用户账号信息及其权限，缺省用户设置情况；■以管理员身份登录到系统中，收集并记录各种系统信息，如主机配置、用户环境、网络信息、口令、权限设置等；■检查并测试口令设置规则与强度，口令输入检查控制是否有效；■检查对操作系统文件的访问控制是否适宜；

2024/3/25第二部分-实施内部审计业务112

■检查系统初始化环境参数的设置是否适宜；

■检查用户登录环境是否受到适当的限制；

■检查系统缺省启动的程序，确定没有不明来历的程序被启动，确定暂不需要的程序是否被禁止；

■检查是否容许用户未经口令验证（或使用缺省的口令）直接进入系统，如系统某些缺省的用户是否有缺省的口令或空口令；

■检查系统日志是否打开，保证对日志的直接访问受到限制；

■检查用户账号的授权或对系统资源授权访问是否适宜；2024/3/25第二部分-实施内部审计业务113

■是否有操作系统备份计划，备份设备是否就绪；

■设备能力测试，当前应用环境下操作系统对内存、磁盘、网络的容量要求是否能满足；

■操作系统版本测试，补丁程序是否及时

■检查是否对出现故障的操作系统有完备的维护程序与记录。

对系统主机的审计包括：审计主机容量管理程序及性能评估程序审计硬件采购计划审计硬件可用性及使用状态

2024/3/25第二部分-实施内部审计业务1141)操作系统:

操作系统是直接运行在j计算机机上的最基本的系统软件，任何其它的软件都必须在操作系统的支持下才能运行，它已成为计算机系统不可缺少的基本组成部分。操作系统负责对计算机系统的各类资源进行统一控制、管理、调度和监督，合理地组织计算机的工作流程，其目标是提高各类资源的利用率，并能方便用户使用，为其它软件的开发提供必要的服务和相应的接口。操作系统软件的组成部分：进程管理（进程是一个有独立功能的程序在一个数据集合上的一次执行，该程序可以和别的程序并发执行，将它作为系统中资源分配和调度的独立运行的基本单位）、I/O管理、内存管理和系统文件管理。2024/3/25第二部分-实施内部审计业务1151)操作系统（续）:(a)大型机(b)工作站(c)服务器

计算机信息系统从发展初期至今，其应用模式经历了：主机／终端模式、客户机／服务器模式浏览器／服务器模式(即互联网模式)2024/3/25第二部分-实施内部审计业务116三个主要阶段。主机／终端模式是80年代以前信息系统的主流应用结构。其主要运行方式是企业的所有信息资源，包括应用程序和数据均存放在主机(通常为大中型机)中，采用集中处理模式；使用者通过用串行线路和主机相连接的终端(通常为字符方式的哑终端)操纵并共享大型机的计算能力，或通过批处理方式输入大量数据，由主机集中处理后输出运行结果。主机／终端模式的主要特点是采用价格昂贵的专用大型计算机，各系统之间交换信息十分复杂，字符终端无图形用户接口，只有大型企业才有能力应用。2024/3/25第二部分-实施内部审计业务11770年代末80年代初，为了摆脱对大型计算机厂家的依赖，兴起了所谓的开放系统浪潮，而集成电路、个人计算机和微机局域网络的迅速发展则为之提供了技术基础。开放系统要求各计算机厂家的软硬件产品能够互通互换，并通过市场竞争降低设备购置成本和维护成本，从而有力地促进了信息系统向中小企业的渗透。开放系统使得一个系统可以由多个供应商来共同提供(互用性)、可以依据用户的大小调控其规模(可测量性)、重新调试适应新的平台(可移植性)、长时间使用。开放系统浪潮中最有影响的成果是国际标准化组织(ISO)制定的开放系统互联(OSI：OpenSystemsInterconnect)模型。2024/3/25第二部分-实施内部审计业务118

伴随着开放系统的是所谓的降型化(downsizing)浪潮。降型化的技术基础是微机网络和个人计算机，其目的是利用微机网络的高速通信能力和个人计算机日益强大的计算能力，通过将系统的部分处理要求分散到微机上，降低对主机处理性能的要求，从而达到用更为开放和廉价的小型计算机或微机服务器来替代大型机的目的，此即所谓的客户机／服务器模式。

(客户机／服务器模式是指将信息系统分布到多台机器上去，支持资源共享，平衡各设备处理能力的一种信息处理体系结构)2024/3/25第二部分-实施内部审计业务119

降型化及其他相关技术的发展对主机／终端应用模式构成了严重的威胁，导致各企业纷纷转向客户机/服务器模式。而原有的主机／终端模式的应用系统由于受到硬件、技术、人才等多种因素的影响，难以继续发展，逐渐形成了所谓的遗产(Legacy)系统。由于遗产系统是企业信息系统多年经营的结晶，往往意味着巨额的投资、成熟的应用模式和稳定的运行，并在一定范围内仍然可能提供充足的服务，因此降型化浪潮并未导致遗产系统的彻底消亡。而各主机供应商也在不断提高大型机的开放特性，使之能适应技术的发展。因此，企业实施降型化并不是将原有的大型机应用系统彻底放弃，而是在保留大型机的稳定的操作平台的基础上，寻求其他非大型机的应用选择，或将遗产系统与各种新技术进行整合。(对遗产系统的处置方法)2024/3/25第二部分-实施内部审计业务120

随着客户机／服务器的发展和其规模的不断扩大，其固有的缺点也逐步被发现。由于应用系统分布在大量网络计算机中，个人计算机变得越来越臃肿，应用程序的发布和同步变得十分困难。当网络达到一定规模后，其维护费用直线上升，系统的总拥有成本甚至直追主机／终端模式。此外，由于访问点数量的增多、多个用户会话的并发操作以及普遍的数据访问和更新能力等因素，导致客户／服务器系统的安全保障成为一项复杂的任务。2024/3/25第二部分-实施内部审计业务121在这种情况下，所谓的多层结构模式应运而生，其典型代表是“瘦客户机／事务处理服务器／数据服务器”模式。其中瘦客户机仅完成应用的数据表现，事务处理服务器实现应用的事务逻辑，而数据服务器则专注于数据的存储和管理。多层结构模式结合了主机／终端模式和客户机／服务器模式的优点。2024/3/25第二部分-实施内部审计业务122互联网的兴起和迅速传播，使得多层结构模式得到充分的发挥。其中瘦客户机逐步统一为浏览器，而各种新兴技术(如HTTP协议、JAVA语言)使得各类事务处理服务器实现了平台无关性，从而使得用户从任一客户机上访问世界上任意服务器变成现实，也使企业信息系统从企业内部应用转为以客户为中心，从而实现整个产业供应链系统的信息化成为可能。但同时互联网的复杂性和松散管理结构也使得互联网应用系统的安全性变得更加突出，企业在建设互联网模式的信息系统时必须增加防火墙(防火墙是在需要保护的网络同可能带来安全威胁的因特网或其它网络之间建立一层保护)等网络安全软件才能确保网络的安全。综上所述，信息系统的物理结构有主机终端(单机)、局域网、广域网三种。2024/3/25第二部分-实施内部审计业务123(a)大型机也称主机，多采用对称处理器结构，有8个、16个、32个等处理器组成，承担主服务器的功能。

例题：虽然一个组织已经决定使用大型机来运行其制造工艺系统，但仍然在其他应用系统方面寻求降型化的机会。降型化的目的是：A、提高可靠性，B、提高安全性。C、降低复杂性。D、降低成本。2024/3/25第二部分-实施内部审计业务124例题：一些企业已经用微机和网络取代了大型计算机,因为较小的计算机能以较低的成本完成同样的工作。假设某企业管理层准备实施计算机降型化的项目,那么对于类似总帐这样原来的大型计算机应用系统,应如何处理?A、计划将所有大型机应用系统迅速转换为微机网络应用系统。B、考虑将总帐系统作为转换的首选对象。C、推迟改变总账系统，直至它明显不适用再进行转换。D、将降型化的应用系统与稳定的大型机应用系统进行整合。2024/3/25第二部分-实施内部审计业务125(b)工作站是高档个人计算机的一种，可以相互联网或者与大型主机相连，在功能上它往往面向某种应用，例如，工程工作站(图形工作站)、人工智能工作站、文字处理工作站等。

例题：面向对象技术为信息系统的开发者和用户提供了一种新的更好的构造和定制应用程序的方法。依照这种技术，管理层对较老的(遗产)系统应如何处理?a、计划迅速将遗产系统转换为面向对象的系统。

b、考虑将比较稳定的遗产系统作为转换的首选对象。

c、研究将对象技术的能力与遗产系统进行整合的可行性。

d、在遗产系统需要替换以前不使用对象技术。2024/3/25第二部分-实施内部审计业务126例题：许多公司和政府机构更愿意转向开放系统，以便

a、从设备供应商处获得批量折扣。

b、使设备获得更大规模经济性。

c、使用不太昂贵的计算机设备。

d、促使专用部件的一体化。2024/3/25第二部分-实施内部审计业务127例题：现在组织更倾向于使用微机来完成数据表现，因为相对大型主机系统而言微机更具有：

a、可控性

b、有利于数据完整性

c、可靠性

d、经济性2024/3/25第二部分-实施内部审计业务128(c)服务器例题：对于传统的系统，程序改变控制能够保证生产系统是从经批准的程序的正确版本中产生，而在客户机／服务器环境下运行的系统有可能增加程序改变控制的复杂性。一个在客户机／服务器环境中要求而在大型主机环境中不要求的程序变动控制功能是保证：

a、程序版本在全网络上同步。

b、程序紧急改动手续应制成文档并得到遵守。

c、程序改变测试有适当的用户参与。

d、从测试资料库到成品资料库的传递要受到控制。2024/3/25第二部分-实施内部审计业务129例题：成功实现的客户／服务器结构的好处之一是：

a、缩短开发和维护新的商业应用软件的时间。

b、减少数据网络的流量。

c、降低诊断用户故障的复杂性。

d、数据及其处理过程的集中化。答案：a2024/3/25第二部分-实施内部审计业务130例题：保证客户机/服务器系统的安全是一项复杂的任务，以下哪项不是导致这一复杂性的因素?a、关系型数据库的使用。

b、访问点的数量。

c、多个用户会话的并发操作。

d、普遍的数据访问和更新能力。答案：a2024/3/25第二部分-实施内部审计业务131例题：某公司管理层意识到，即使最好的计划也不能预见到每一个意外事件，然而管理层相信一个完全彻底的恢复计划能增强公司在事故后迅速恢复运营的能力，以便：

a、保持原有的雇员人数。

b、最大限度地降低设备维修成本。

c、履行对客户的义务。

d、从计划中获得最大的收益。答案：c2024/3/25第二部分-实施内部审计业务1322)应用软件开发信息系统开发的方法：生命周期法(systemslifecycle)：是一种自顶向下(top-down)的结构化开发方法。它把系统生命周期分为六个阶段：项目定义(ProjectDefinition)；系统分析(Systemsanalysis)；系统设计(Design)；编程(Programming)；实施(Implementing)；后续维护(PostImplementation)。对每一个阶段的任务、承担人员、职责、各阶段成果及其相互关系进行了严格的定义，并制定了严密的文档编制规范。2024/3/25第二部分-实施内部审计业务133生命周期法的优点：生命周期法具有系统性、规范性、严密性等优点。生命周期法的缺点：其缺点则是开发周期长，难以适应系统需求的快速变化。生命周期法对系统分析的要求极高，一旦系统分析出现偏差，则整个系统开发过程就可能要推倒重来.2024/3/25第二部分-实施内部审计业务134原型法(prototyping)：首先根据用户的最基本需求迅速开发一个实验模型交给用户使用，启发用户提出进一步需求，然后对原型进行修改，再使用、修改，如此反复直至满足用户需求。原型法的优点：原型法的优点是用户可以更好的参与系统的需求分析和设计过程，并在应用过程中不断完善，因此用户满意度高，开发速度较快。2024/3/25第二部分-实施内部审计业务135

原型法的缺点：原型法的缺点是由于原型法需要经常根据用户的需要迅速修改系统,对系统开发技术和工具要求极高；通常开发者只有在拥有并掌握了强大的计算机辅助开发工具时才有可能应用原型开发方法，因此原型法又称为快速原型法或快速应用开发(rapidapplicationdevetoranent)方法。快速原型法通常分模块创建系统直至整个系统完成，因此往往在系统的整体性和文档的严密性上不如生命周期法。2024/3/25第二部分-实施内部审计业务1362024/3/25第二部分-实施内部审计业务137

生命周期法和原型法可以结合使用。如在生命周期法的基础上，在某些环节，特别是在用户接口、用户与系统的交互作用以及处理逻辑等方面采用原型法。2024/3/25第二部分-实施内部审计业务138

系统开发的主要活动系统分析(Systemanalysis)是对需要用信息系统解决的问题的分析，包括：用户需求分析；系统可行性研究(Systemfeasibilitystudies)。系统分析工作由系统分析员完成，因此系统分析员是信息系统部门和其他业务部门联系的主要桥梁。系统分析阶段的成果是《系统需求分析规格书》。能力计划(Capacityplanning)是《系统需求分析规格书》的一个重要组成部分，包括系统能力的设计目标、现有的设备能力清单以及对未来需求的预测。它可以确保系统能满足现有及未来的性能需求，同时避免设备的浪费。如对于一项网络工程，就必须在网络实施前考虑过程的重新设置，并根据预期工作流量设计合适的网络改造方案。2024/3/25第二部分-实施内部审计业务139

系统设计(Systemdesign)是按照系统分析的要求来具体设计系统的过程，通常可分为总体设计和详细设计。系统设计阶段的成果是《系统设计规格书》。

编程(Programming)是把设计规格书转化成计算机软件代码的过程。2024/3/25第二部分-实施内部审计业务140

测试(Testing)：对所有编好的程序都必须进行详尽彻底的测试以确定系统是否能产生正确的结果。为确保系统测试的成功，开发小组与用户应共同作出一个系统的测试计划。测试包括：

●模块测试(Unittesting／programtesting}也叫程序测试，任务是分别测试系统中的每一个程序模块，以确保它们没有错误。不够充分的模块测试可能遗漏特定条件下的编程错误，导致同样的代码错误不断地出现在用户的命令序列中。●系统测试(Systemtestine)从整体的角度验证系统的功能。它用来确定分散的模块能否按规划的那样共同完成预定的功能。它要检查的方面包括执行时间、文件存储能力、处理满负荷的能力、恢复和重启动的能力以及人工介入的流程。●验收测试(Acceptancetestine)为系统准备实际投入使用提供最终的证明；它由用户评估。当用户认为各个部分都令人满意时，该系统就达到了验收的标准，可以实际投入运行。2024/3/25第二部分-实施内部审计业务141

转换(Conversion)：转换是用新系统替代老系统的过程。转换策略包括：●平行转换策略(Parallelstrategy)新旧系统并行，开销大、安全可靠。●直接转换策略(Directcutoverstrategy)某一时刻完成，新替旧。开销省，风险大。●试点转换策略(Pilotstudystrategy):一个部门先试，成功后再推广。●分阶段的转换策略(Phasedapproachstrategy):分期分批，逐个功能切换。2024/3/25第二部分-实施内部审计业务142

运行与维护(Productionandmaintenance):保障生产系统的正常运营，并解决系统中可能存在的不足，不断完善系统的功能。

内部审计师对信息系统开发的参与内部审计师可以连续参与系统开发，也可以在系统开发结束时参与，或系统实施后参与。相对于其他两种参与方法，连续参与的好处是可以最大限度地降低系统重新设计的成本。

(a)应用软件认证(b)系统开发方法学(c)变动控制(d)终端用户计算2024/3/25第二部分-实施内部审计业务143应用软件认证2024/3/25第二部分-实施内部审计业务144(b)系统开发方法学2024/3/25第二部分-实施内部审计业务145(c)变动控制2024/3/25第二部分-实施内部审计业务146(d)终端用户计算2024/3/25第二部分-实施内部审计业务1473)数据和网络通讯计算机网络是利用通信手段，把地理上分散的，能够以相互共享资源的方式有机地连接起来的，而各自又具备独立功能的计算机系统的集合。计算机网络的分类:计算机网络按其覆盖地域可分为广域网(Wideareanetwork