1.保证业务
　　舞弊调查
　　1、确定调查的适当对象
　　舞弊调查：已有征兆，需要执行扩展程序确定舞弊是否发生
　　调查步骤：a组织内部发生舞弊的概率和同谋程度
　　b确定开展调查需要的知识、技能和其他能力
　　c设计程序：确认舞弊者、舞弊程度、所用技术和舞弊原因
　　d多与管理人员协调行动
　　e嫌疑人与调查范围内有关人员的权利和对本组织名誉
　　2、证实舞弊事实和程度
　　评价已知事实：需要加强的控制环节(分析性程序：就是前期、预算等的比较)
　　设计测试内容，披露未来出现类似舞弊现象
　　协助其他人发现未来舞弊迹象
　　3、向适当方面报告结果
　　首席审计执行官：负责向管理层和董事会报告，报告口头或书面、中期、最终报告
　　报告包括：调查发现、结论、建议意见，可根据过去的口头、书面汇报、发现记录做
　　解释性指导：确认已发生严重舞弊，及时报告管理层和懂事会
　　舞弊可能涉及以前年度财务报告，已经发生以前未产生负面影响，应通知管理层和董事会
　　报告包括：调查发现、调查结论、调查建议和纠正措施
　　报告应提交法律顾问审查，
　　4、对过程进行检查一-改善预防舞弊的控制，并提出改进建议
　　发现舞弊的责任
　　a了解舞弊特点、手段、舞弊种类
　　b关注控制薄弱环节可能引发的舞弊机会，包括未经授权开展的交易、无视控制措施
　　未加解释的定价例外情形、异常巨额产品损失，认识到一种以上舞弊迹象会提高舞弊概率
　　c通过评估发现舞弊迹象，并进一步采取措施或建议开展的调查工作
　　d有舞弊迹象，应建议进行调查，并通报组织主管人员
　　e舞弊的工作底稿要保证安全和保密，询问底稿要被问人签字，防止上诉，证据两次检查
　　风险和控制自我评价
　　风险：发生对目标的实现可能产生影响的事件的不确定行，风险的衡量标准是后果的可能性，可用货币化潜在损失，对组织的不利影响来衡量
　　控制：采用适当的方法、措施调整行为，使其满足目标的需要
　　控制自我评价的目的(控制措施在重大风险控制中的作用、程度)、作用、过程、方法(三大主要方法)
　　1、促进方法(促进小组研讨班，代表不同层次水平的信息)a业务委托人自我促进b审计促进
　　2、调查问卷方法(人多分散，企业文化阻碍坦诚、措辞简单回答是/否、有/无，投票方法不是最有效的)
　　3、自我认证方法(管理部门小组，对管理程序设计内部审计师可以参与)高级管理人员负责检查监督风险管理和控制程序的建立、管理和评估
　　对第三方的审计：与组织有利益关系的独立第三方，如提供外包服务的组织等
　　合同审计：大型建筑合同和经营合同，类型：固定合同、成本加总合同、单位价格合同
　　监督全过程：合同的招标、成本评估和控制程序、预算、税收等，而不是只在执行过程
　　质量审计业务：质量管理的水平和效果，各项活动及结果是否与制定计划相一致
　　关注质量四要素：a顾客的需要
　　b为满足顾客需要的产品/服务计划、生产和运输
　　c生产和运输产品/服务程序的计划和执行
　　d程序控制，尤其是对个别顾客需要的产品的服务
　　尽职调查审计业务：为合资、合并、联合和并购事宜决策收集信息，包括有利和不利信息
　　参与人包括：内部审计师、律师、外部审计师，工作各有关注点
　　安全审计业务：组织使用的系统、程序及所实施的经营活动安全性正规检查和复核(计算机系统安全)
　　保密审计业务：检查信息收集、存储、共享、使用和销毁的过程是否符合保密要求
　　绩效审计业务：效果：目标完成情况
　　效率：所消耗的资源
　　效益：投入与产出之间的关系
　　这种审计就是确认上述目标，但必须建立一套认可的目的、目标和标准评价指标
　　经营审计业务：检查和评价内部控制系统，分配职责完成情况，关键是理解内部控制
　　包括：建立经营目标情况(部门与组织目标是否一致，涉及对部门的检查)
　　对照标准衡量业绩水平
　　检查和分析偏差
　　采取纠正措施
　　依据经验重新评估标准
　　财务审计业务：财务审计关注的是财产安全以及财务信息的可靠性和完整性
　　合规性审计业务：关注组织中的违纪违规问题，组织政策、程序、标准的法律遵守程度
　　信息技术审计业务
　　1、操作系统
　　除管理硬件和软件外，它的另一主要功能是保证雇员只对经授权的数据进行读写访问
　　a大型机：大多数时候它指的开始于system/360一系列IBM计算机和其他兼容机
　　b工作站：微型计算机
　　c服务器：具有固定的地址，并为网络用户提供服务的节点，它是实现资源共享的重要组成部分。
　　操作系统审计要点：系统信息收集、用户权限、资源访问、系统安全存储、维护记录
　　系统主机的审计包括：容量管理程序和性能评价
　　硬件采购计划
　　硬件可靠性及使用状态
　　2.应用软件
　　a应用软件认证：认证是证明身份用户的过程，授权则是标识用户可访问资源的过程
　　复合认证技术：只有你知道的事情，如账号、密码(访问控制)
　　只有你拥有的东西，如身份证、工作证
　　只有你具有的特征，如指纹、声音、虹膜
　　审计内容：测试安全性、隐蔽性，检查认证变动情况，包括非法用户撤销
　　b系统开发方法
　　生命周期法：自上而下，优点：系统性、规范性、严密性，缺点：周期长，变化慢
　　原型法：根据用户一个最基本的需求，开发一个实验模型，交用户使用，启发其需求
　　称为快速应用开发法，严密性不如生命周期法
　　面向对象的开发方法：把握相对固定事件的本质开发软件，不管用户不断变化的需求
　　固定不变的部分称为对象(如通用软件)
　　系统开发活动：系统分析、系统设计、测试、转换、运行与维护
　　审计重点：组织要建立规范的开发过程
　　c变动控制：变动管理控制是指计算机系统的任何变动只有经过管理层的批准后才能进行，包括硬件和程序变动控制
　　对变动管理的的审计，升级主机软件程序版本，利于全网络用户同步
　　对程序变动控制审计，是防止私自开发软件系统最有效方法，建立良好的变动控制程序，测试库程序紧急投入使用的风险是:未经进一步测试就永久的投入运行，保护计算机程序库的安全最佳方式：限制对程序库的物理和逻辑访问
　　d终端用户通讯：系统的终端用户在没有和只有很少技术专家证实协助的条件下，自行完
　　(EUC)成系统开发的策略，主要审计内容是这样做的风险，因为自行开发系统整体分析功能考虑不全，建议成立信息中心负责用户咨询，制定相应规章制度
　　3.数据和网络通讯：远程用户沟通，进行信号传输
　　基础通信网络：PSTN公共电话交换网络
　　DDN数字数据网络
　　FR帧中继
　　ISDN综合服务数字网
　　ADSL非对称用户数字环线
　　审计重点：通讯网络控制，设计、标准和规范，选择网络是否考虑成本/效益原则，以太网的数据传输量比电话线大，软件初始化不正确，可能造成网络反映迟缓
　　4.语音通讯：(PBX)通过电话交换机进行语音沟通，主要承载：PSTN/ISDN/IP/无线移动
　　语音黑客通过专用分组(交换机)PBX攻击调制解调器和访问数据网，如果防止语音邮件舞弊控制也带来系统功能降低
　　5.系统安全
　　系统控制：一般控制，通用的控制手段和技术，是基础控制，有效性不受应用控制的影响，审计应首先确认已建立完善的一般控制，包括：管理控制、运行控制(计算机运行控制、系统实施控制、软件控制、硬件控制、访问控制、物理设备控制)
　　应用控制，特定为保障应用程序正确运行而设定的控制，如输入、处理、输出控制，包括：输入控制、处理控制、输出控制)
　　工作站脚本：建立终端运行环境，登录时起作用
　　自动注销不活动用户可使攻击者失去获得合法用户的机会
　　批量总额检查测试有利于输入的完整性和正确性
　　6.应急计划：灾难后果处理，计划包括减少破坏事件的后果，及时恢复、增强数据中心灵活性和可用性(移植、升级，不中断业务)
　　审计内容：计划的标准和法律实效适用性
　　测试灾难发生后恢复有效性
　　异地存储的适当性(远离现场的保存较好)
　　员工灾难发生时的反映能力(培训、救助能力)
　　7.数据库：层次型数据库：树状结构
　　网状型数据库：网络中的元素之间通过指针进行连接
　　关系型数据库：以表的形式表示，每个记录用字段表示
　　数据库管理系统(DBMS)
　　审计要点：设计：图表描述业务与其是否一致
　　访问：访问被适当控制
　　管理：访问级别设置、灾难恢复管理、处理过程一致和完整
　　界面：信息保密性、可靠性及完整性
　　便利性：只要有可能应用结构化查询语言SQL
　　数据库规范化：目标是减少数据沉余，保证关系型数据库的二维表特征
　　8.数据中心运行：负责软硬件日常工作
　　审计要点：网络操作控制(职能部门管理)、信息系统操作(事件日志)、紧急状态操作(电压调整器：防止电力浪涌，保证硬件设备安全)、问题处理报告(提供防止病毒服务)
　　9.网络基础设施：运行在操作系统平台上的网络服务器和应用服务器
　　审计要点：提供网络服务器和应用服务器的性能和可靠性
　　检查迅速排除故障的能力
　　检查时时性能状态监控，保证提供历史报告和公共数据输入
　　SSL安全协议：提供数据加密、服务器身份验证、消息完整性和客户身份验证功能，网上通过安装一个数字证书数字被加密传输，加密在后台，不需要用户交互操作(如网上银行下载密码证书)
　　小程序：从WWW服务器下载到客户机上，威胁最大的是从客户机建立与网络连接的小程序
　　10.软件许可：使用盗版软件的风险、建立防止非法软件的管理制度、发现非法软件使用
　　降低盗版法律风险方法：保存购置记录
　　对计算机使用的软件进行鉴别
　　建立软件使用政策
　　(提供正版安装)
　　正版拷贝备份为合法，拷贝多人使用为非法
　　上千台计算机工作站遵守软件许可调查起点，是看软件安装是否集中管理
　　2、实施咨询业务
　　内部控制培训：审计对相关人员在内控方面的培训
　　经营过程检查(BPR)：对组织的业务流程和程序进行检查(电话费用控制方法的制定)
　　基准比较法：与最优(标杆企业)比较，组织内部也有最优情况
　　信息技术与系统开发
　　业绩测评系统的设计
　　实施咨询业务的原则：
　　a委托业务更适合保证业务，就应当做保证业务
　　b章程中含有此项业务，并制定相应政策和程序
　　c一人从事咨询业务一年内，不能作保证业务，处理方法：派另一人、建立独立监督机制、阐明结果、披露认定的损害，要管理层明白
　　d避免不必要的超出业务范围和脱离原定的目标管理责任
　　职业谨慎：了解咨询动机和原因，确定范围，工作技巧，潜在影响，组织从中获什么益处
　　如何处理目标：审计目标优于管理人员特殊要求，如何协调：
　　将额外目标纳入咨询业务中
　　记录额外目标，最后沟通时，报告观察结果
　　将额外目标纳入后续保证业务中
　　咨询计划：包括业务目标、范围、完成目标的技术手段
　　结果沟通：要求清楚的报告业务性质、存在的局限性、引起主意的地方。越过服务对象，直接于上级沟通的情况：重大风险漏洞和控制弱点
　　报告使用：董事会、审计委员会、其他政府部门，在包括其他审计活动时进行披露
　　其他沟通：这种方式不具体，但可描述业务类型和重要建议，这是审计职责