A 实施内部审计业务(要求熟练掌握)
1、审计准备
研究和采用适当的标准
a IIA专业实务框架 《内部审计实务标准》《实务公告》《道德规范》
判断准则要求:《道德规范》要求 聪次簇巍弘b 其他专业的、法律的和法规的标准
判断评价指标:采用内部控制最低标准、行业惯例、预算等
在实施审计业务时要保持防范潜在的舞弊的意识
a注意舞弊迹象和征 员工舞弊的征兆:9项 组织舞弊迹象25项 助长舞弊因素:内控无效、相互勾结和流动资产的存在
b设计适当的审计业务步骤以应对重大的舞弊风险
c 采用审计测试以发现舞弊
注意到舞弊征兆或控制弱点,应扩展审计程序,扩大审计范围,证明自己的判断
已发现:通知组织内部适当的权力机构,提出进一步调查的建议。组织承担风险可不查
评估共谋程度(串通)和可能范围(那些人),避免信息误导
d 确定是否应对任何可疑的舞弊进行调查
舞弊调查通常参与:内部审计师、律师、调查员、安全官员和来组织内外专家参与
通过盘点与永续盘存记录核对发现丢失存货
调查回扣,可看个人生活
2、实施审计
收集资料(内部审计的核心工作)
证据:为审计结论和建议提供支持的信息
证据分类:
证据来源
内部证据,内部单位产生、处理及保存信息资料,低于外部单位参与证明
内-外证据,内部产生,经过外部处理的资料,可靠性大于内部证据(销售发票)
外-内证据,外部产生,内部处理保存,证明力强,但有篡改和错误使用可能
外部证据,审计从外部直接获得,无法修改,证明力最强(提货单)
证据特征
实物证据:人财物和事件直接观察和审查获得(如盘点)
证明证据:被审单位个人和与单位有关联系人、独立第三方,口头书面,说服力弱
文件证据,支票、发票、运输记录、验收报告和采购订单,属内部或外部证明
分析证据,分析数据关系、内部控制、特殊政策及数据构成形成
说服程度
充分信任,不需要佐证就能支持审计结论
部分信任,必须要佐证的辅助证明,才能支持
不可信任,但是,这些证据有助于指导审计方向,帮助获取有价值的信息
实物检查――外部资料――审计观察――询问管理部门
法律概念
直接证据,提供证据人直接取得
旁证,证明尚待证实的事情的真相提供的一种声明,一般不被接纳
最优证据,最有说服力,典型的是文件证据
次要证据,由原始复印件或口头证据形成
1 意见证据,有偏见,一般不算作证明,但可了解范围,专家意见除外
附属证据,从首要证据中推断出来,属于间接证据
确证证据,同直接证据,间接证据不是确证证据
佐证证据,支持其他证据的证据,它越多说服力越强
收集证据应考虑的问题:获得多、审计目标、抽样风险、成本/效益、被上层认可、反馈
应具有的职业审慎:工作范围、对象复杂和风险管理、发生概率、审计成本
分析和解释数据
包括比率、趋势、回归及比较分析等(审计工具:分析性复核技术中详细讲解)
审计发现属性:标准、条件、原因和效果,由此的工作底稿支持审计发现,发现就是对内部控制弱点的事实的贴切陈述
标准:在进行评价或核实时所使用的标准、措施或期望值
条件:在审计过程中发现的事实证据(p100旅行社差费)
原因:事实与标准之间产生差异的原因(p100)
效果:差异造成的影响(p100)
编制工作底稿
编制目的:为审计报告提供主要证据支持,记录审计业务活动
专业判断分歧:把不同的观点记录在审计工作底稿上以便于存档
工作底稿的内容:(目标、程序、事实、结论和建议)
计划、审计方案
对内部控制系统的健全性和有效性所进行的检查和评价
执行的审计程序、取得的资料以及所得出的结论
审查
报告
跟踪检查
电子工作底稿的不足:需要特殊技术培训
编制工作底稿的技术:标头(被审单位、活动名称、目标、工作日期)、签名、目录(交叉索引)、核实的符号应加以注释、标明数据来源
复核工作底稿
所有的工作底稿必须检查、首席审计执行官全面负责(可聘请部门人员来完成)
复核办法:每张工作底稿签字注明日期、编制检查的工作底稿清单、编制一份记载检查性质、范围和结果的备忘录,被审单位所有表格和指令的复印件形成过渡文档
复核发现问题:形成复核记录,发现问题必须得到解决且在工作底稿中显示(修改后不留)
工作底稿的归属权:组织,保管:内审机构,没有进一步用途由法律顾问批准处理掉,使用:首席执行官审批,用于:外部审计调用、被审单位人证实和解释审计结果、法庭要求必须交出
电子工作底稿:要制作原始凭证复制件,缺点:受到计算机系统控制和安全支配,只能由制作工作底稿的审计师更改(它无法让编制人和检查人签字,只能规定这样)
沟通中期进展情况、得出结论、在适当的时候编制建议书
审计建议书:是根据审计发现和审计结论编制的,在有足够证据之后编制,是审计师的职业判断
建议书类型:现有系统无需改变
内部控制系统需要修正
不可行的内部控制,建议增加保险方面的支出
2 影响风险的某项报酬率需要调整
报告审计业务结果
编制审计报告的主要原因:陈述审计目标、范围、工作结果 认定责任不是审计职能,是管理的职能
审计目标:审计业务要达到的目的
审计范围:应该说明各项检查活动,需要时包括审计期间或界定审计界限未审计活动
a 召开退出会议
签发最终报告前,召开有被审计单位管理层参加的会议,进行沟通,取得反馈意见
同时改善与被审计单位的关系,
促进关注控制弱点最有效方法:表扬被审单位已做的改善并鼓励进一步改进 b 编制审计报告或其他沟通文件
编制标准:准确、客观、清晰、简明、建设性、完整、及时
报告符合管理层和高层期望和认识,即包括概括情况,又包括经营方面的细节
被审计单位不同意审计结论:报告中陈述双方观点以及意见不一致的原因
审计报告:无固定格式,包括:正式、非正式、最终审计报告、总结报告(通常报告给高层或董事会,可以是对当前审计的总结)、口头报告(审计人员与听众进行讨论)、过程报告
写作技巧:应使用清楚、常见的词汇和短而简单的句子,多用主动语态,尽量使用段落短小(如:并列句子,图标、重复),使用图标和注脚,使用下划线或斜体字来强调重点内容,报告在审计开始时进行,而不是在发现问题才开始
c 批准报告
最终审计报告签发前,应该经过首席审计执行官或其指定人审核签发,并决定向谁分发
d 确定报告分发
报告接受人:应该是有权采取纠正措施或者能够保证采取纠正错误的人,内部审计师开
始审计时的必须联系人可得到一本副本
涉及重大机密或不当违法行为,应单独报告,涉及高层管理者,报董事会
有利益关系或受到影响的方面,如董事会或外部审计师
其他管理部门对审计报告有兴趣,可给总结报告、口头报告
中期报告:在审计工作结束前提交的报告,是某些审计项目的特殊需要,书面、口头
报告内容:需要延长时间、马上引起重视的问题(立即要采取措施)、管理当局迫切问题、审计范围变化 e 取得管理层对报告的反馈意见
3、审计结束
实施顾客满意度调查目的:缓解冲突,增加顾客参与,改善顾客与内部审计师之间的关系
完成审计业务人员的业绩评价
评价标准:需要具备的各种技能(计算机、沟通能力等等)
努力实现的成果的质量和范围、工作性质、对审计和组织程序的了解
与被审计单位的关系
持续教育
上次评价后的改善情况
计划能力
(p116AB审计师按个人习惯从事审计工作,不了解评价标准)应加权平均,适用于特定项目的业绩评价(具有普遍性),1年至少一次,对于低水平的审计师,要用特殊资料支持对其的评价,不能一般化
B 实施具体审计业务(要求熟练掌握)
1.保证业务
舞弊调查
1、确定调查的适当对象
舞弊调查:已有征兆,需要执行扩展程序确定舞弊是否发生 调查步骤:a组织内部发生舞弊的概率和同谋程度
b确定开展调查需要的知识、技能和其他能力
c设计程序:确认舞弊者、舞弊程度、所用技术和舞弊原因 d多与管理人员协调行动
e嫌疑人与调查范围内有关人员的权利和对本组织名誉
2、证实舞弊事实和程度
评价已知事实:需要加强的控制环节(分析性程序:就是前期、预算等的比较)
设计测试内容,披露未来出现类似舞弊现象
协助其他人发现未来舞弊迹象
3、向适当方面报告结果
首席审计执行官:负责向管理层和董事会报告,报告口头或书面、中期、最终报告
报告包括:调查发现、结论、建议意见,可根据过去的口头、书面汇报、发现记录做
解释性指导:确认已发生严重舞弊,及时报告管理层和懂事会
舞弊可能涉及以前年度财务报告,已经发生以前未产生负面影响,应通知管理层和董事会
报告包括:调查发现、调查结论、调查建议和纠正措施
报告应提交法律顾问审查,
4、对过程进行检查一-改善预防舞弊的控制,并提出改进建议
发现舞弊的责任
a了解舞弊特点、手段、舞弊种类
b关注控制薄弱环节可能引发的舞弊机会,包括未经授权开展的交易、无视控制措施
未加解释的定价例外情形、异常巨额产品损失,认识到一种以上舞弊迹象会提高舞弊概率
c 通过评估发现舞弊迹象,并进一步采取措施或建议开展的调查工作
d有舞弊迹象,应建议进行调查,并通报组织主管人员
e 舞弊的工作底稿要保证安全和保密,询问底稿要被问人签字,防止上诉,证据两次检查
风险和控制自我评价
风险:发生对目标的实现可能产生影响的事件的不确定行,风险的衡量标准是后果的可能性,可用货币化潜在损失,对组织的不利影响来衡量
控制:采用适当的方法、措施调整行为,使其满足目标的需要
控制自我评价的目的(控制措施在重大风险控制中的作用、程度)、作用、过程、方法(三大主要方法)
1、促进方法(促进小组研讨班,代表不同层次水平的信息) a业务委托人自我促进 b审计促进
2、调查问卷方法(人多分散,企业文化阻碍坦诚采用、措辞简单回答是/否、有/无,投票方法不是最有效的)
3、自我认证方法(管理部门小组,对管理程序设计内部审计师可以参与)高级管理人员负责检查监督风险管理和控制程序的建立、管理和评估
第三方的审计:与组织有利益关系的独立第三方,如提供外包服务的组织等
合同审计:大型建筑合同和经营合同,类型:固定合同、成本加总合同、单位价格合同 监督全过程:合同的招标、成本评估和控制程序、预算、税收等,而不是只在执行过程
质量审计业务:质量管理的水平和效果,各项活动及结果是否与制定计划相一致
关注质量四要素:a顾客的需要
b为满足顾客需要的产品/服务计划、生产和运输 c生产和运输产品/服务程序的计划和执行
d程序控制,尤其是对个别顾客需要的产品的服务
尽职调查审计业务:为合资、合并、联合和并购事宜决策收集信息,包括有利和不利信息
参与人包括:内部审计师、律师、外部审计师,工作各有关注点
安全审计业务:组织使用的系统、程序及所实施的经营活动安全性正规检查和复核(计算机系统安全)
保密审计业务:检查信息收集、存储、共享、使用和销毁的过程是否符合保密要求
绩效审计业务:效果:目标完成情况
效率:所消耗的资源
效益:投入与产出之间的关系
这种审计就是确认上述目标,但必须建立一套认可的目的、目标和标准评价指标
经营审计业务:检查和评价内部控制系统,分配职责完成情况,关键是理解内部控制
包括:建立经营目标情况(部门与组织目标是否一致,涉及对部门的检查)
对照标准衡量业绩水平
检查和分析偏差
采取纠正措施
依据经验重新评估标准
财务审计业务:财务审计关注的是财产安全以及财务信息的可靠性和完整性
合规性审计业务:关注组织中的违纪违规问题,组织政策、程序、标准的法律遵守程度
信息技术审计业务
1、操作系统
除管理硬件和软件外,它的另一主要功能是保证雇员只对经授权的数据进行读写访问 a 大型机:大多数时候它指的开始于system/360一系列IBM计算机和其他兼容机
b 工作站:微型计算机
c 服务器:具有固定的地址,并为网络用户提供服务的节点,它是实现资源共享的重要组成部分。
操作系统审计要点:系统信息收集、用户权限、资源访问、系统安全存储、维护记录 系统主机的审计包括:容量管理程序和性能评价
硬件采购计划
硬件可靠性及使用状态
2、应用软件
a应用软件认证 :认证是证明身份用户的过程,授权则是标识用户可访问资源的过程
复合认证技术:只有你知道的事情,如账号、密码(访问控制)
只有你拥有的东西,如身份证、工作证
只有你具有的特征,如指纹、声音、虹膜
审计内容:测试安全性、隐蔽性,检查认证变动情况,包括非法用户撤销 b系统开发方法
5 生命周期法:自上而下,优点:系统性、规范性、严密性,缺点:周期长,变化慢 原型法:根据用户一个最基本的需求,开发一个实验模型,交用户使用,启发其需求
称为快速应用开发法,严密性不如生命周期法
面向对象的开发方法:把握相对固定事件的本质开发软件,不管用户不断变化的需求
固定不变的部分称为对象(如通用软件)
系统开发活动:系统分析、系统设计、测试、转换、运行与维护
审计重点:组织要建立规范的开发过程
c变动控制:变动管理控制是指计算机系统的任何变动只有经过管理层的批准后才能进行,包括硬件和程序变动控制
对变动管理的的审计,升级主机软件程序版本,利于全网络用户同步
对程序变动控制审计,是防止私自开发软件系统最有效方法,建立良好的变动控制程序,测试库程序紧急投入使用的风险是:未经进一步测试就永久的投入运行,保护计算机程序库的安全最佳方式:限制对程序库的物理和逻辑访问
d终端用户通讯:系统的终端用户在没有和只有很少技术专家证实协助的条件下,自行完 (EUC) 成系统开发的策略,主要审计内容是这样做的风险,因为自行开发系统整体分析功能考虑不全,建议成立信息中心负责用户咨询,制定相应规章制度
3、数据和网络通讯:远程用户沟通,进行信号传输
基础通信网络:PSTN 公共电话交换网络 DDN 数字数据网络 FR 帧中继
ISDN 综合服务数字网
ADSL 非对称用户数字环线
审计重点:通讯网络控制,设计、标准和规范,选择网络是否考虑成本/效益原则,以太网的数据传输量比电话线大,软件初始化不正确,可能造成网络反映迟缓
4、语音通讯:(PBX)通过电话交换机进行语音沟通,主要承载:PSTN/ISDN/IP/无线移动
语音黑客通过专用分组(交换机)PBX攻击调制解调器和访问数据网,如果防止语音邮件舞弊控制也带来系统功能降低
5、系统安全
系统控制:一般控制,通用的控制手段和技术,是基础控制,有效性不受应用控制的
影响,审计应首先确认已建立完善的一般控制,包括:管理控
制、运行控制(计算机运行控制、系统实施控制、软件控制、硬件控制、访问控制、物理设备控制)
应用控制,特定为保障应用程序正确运行而设定的控制,如输入、处理、
输出控制,包括:输入控制、处理控制、输出控制)
工作站脚本:建立终端运行环境,登录时起作用
自动注销不活动用户可使攻击者失去获得合法用户的机会
批量总额检查测试有利于输入的完整性和正确性
6、应急计划:灾难后果处理,计划包括减少破坏事件的后果,及时恢复、增强数据中心灵活性和可用性(移植、升级,不中断业务)
审计内容:计划的标准和法律实效适用性
测试灾难发生后恢复有效性
异地存储的适当性(远离现场的保存较好)
员工灾难发生时的反映能力(培训、救助能力)
7、数据库:层次型数据库:树状结构
6 网状型数据库:网络中的元素之间通过指针进行连接
关系型数据库:以表的形式表示,每个记录用字段表示
数据库管理系统(DBMS)
审计要点:设计:图表描述业务与其是否一致
访问:访问被适当控制
管理:访问级别设臵、灾难恢复管理、处理过程一致和完整
界面:信息保密性、可靠性及完整性
便利性:只要有可能应用结构化查询语言SQL 数据库规范化:目标是减少数据沉余,保证关系型数据库的二维表特征
8、数据中心运行:负责软硬件日常工作
审计要点:网络操作控制(职能部门管理)、信息系统操作(事件日志)、紧急状
态操作(电压调整器:防止电力浪涌,保证硬件设备安全)、问题处理
报告(提供防止病毒服务)
9、网络基础设施:运行在操作系统平台上的网络服务器和应用服务器
审计要点:提供网络服务器和应用服务器的性能和可靠性
检查迅速排除故障的能力
检查时时性能状态监控,保证提供历史报告和公共数据输入 SSL安全协议:提供数据加密、服务器身份验证、消息完整性和客户身份验证功能,
网上通过安装一个数字证书数字被加密传输,加密在后台,不需要用户交互操作(如网上银行下载密码证书)
小程序:从WWW服务器下载到客户机上,威胁最大的是从客户机建立与网络连接的小程序
0、软件许可:使用盗版软件的风险、建立防止非法软件的管理制度、发现非法软件使用
降低盗版法律风险方法:保存购臵记录
对计算机使用的软件进行鉴别
建立软件使用政策
(提供正版安装)
正版拷贝备份为合法,拷贝多人使用为非法
上千台计算机工作站遵守软件许可调查起点,是看软件安装是否集中管理
2、实施咨询业务
内部控制培训:审计对相关人员在内控方面的培训
经营过程检查(BPR):对组织的业务流程和程序进行检查(电话费用控制方法的制定)
基准比较法:与最优(标杆企业)比较,组织内部也有最优情况
信息技术与系统开发
业绩测评系统的设计
实施咨询业务的原则:
a 委托业务更适合保证业务,就应当做保证业务
b 章程中含有此项业务,并制定相应政策和程序
c 一人从事咨询业务一年内,不能作保证业务,处理方法:派另一人、建立独立监督机制、阐明结果、披露认定的损害,要管理层明白
d 避免不必要的超出业务范围和脱离原定的目标管理责任
职业谨慎:了解咨询动机和原因,确定范围,工作技巧,潜在影响,组织从中获什么益处 如何处理目标:审计目标优于管理人员特殊要求,如何协调: 将额外目标纳入咨询业务中
7 记录额外目标,最后沟通时,报告观察结果
将额外目标纳入后续保证业务中
咨询计划:包括业务目标、范围、完成目标的技术手段
结果沟通:要求清楚的报告业务性质、存在的局限性、引起主意的地方
越过服务对象,直接于上级沟通的情况:重大风险漏洞和控制弱点
报告使用:董事会、审计委员会、其他政府部门,在包括其他审计活动时进行披露 其他沟通:这种方式不具体,但可描述业务类型和重要建议,这是审计职责 C 监督审计业务结果(要求熟练掌握)
根据内部审计结果确定适当的跟踪活动
建立制度:首席审计执行官负责建立和维护一套系统程序
确认监督审计业务结果的适当方法
监督技术:建议报告给管理层
合理时间得到管理层的反馈
收集管理层最新信息,评价努力程度,包括执行和监督部门信息
向高层和董事会报告发现和反映
实施跟踪活动(3步骤)
与高层和审计单位协商整改计划
实施计划
进行复查,未采取行动,决定是否报告高层和董事会或确定其责任
沟通监督计划和结果
判断管理层已采取纠正措施的充分性,决定是否把跟踪活动放到以后的审计业务中
如果高层承担审计发现问题的风险,或不采取纠正措施的风险,审计责任就只有告知,可不再有跟踪报告责任
如果反复出现违反制度情况,首席审计执行官应判断是否管理层或董事会已经承担了不采取纠正措施带来的风险,同时应评估决定承担风险的原因,并向董事会报告 D 舞弊知识要点
4.利用计算机分析数据(要求熟练掌握)
5.危险信号(要求熟练掌握):一整套文字描述那种条件下舞弊发生率会比较高的方法,是总结
以往经验的基础上得出,就是征兆或特征,但无舞弊情况下有些危险信号也存在,难以被量化或估价,审计不需收集该内容
举例:由于个人原因而产生的过度压力,严重疾病、赌博、受人恩惠
由公司原因而产生的过度压力,经济困难、过渡财务杠杆、大量调账项目
具体的控制风险,监督不力、责任或义务不明确,任务分配存在明显的利益冲突
6.舞弊类型(要求熟练掌握)
舞弊特征:以有意识欺骗为特征,对组织有利、也有损害,可能是组织内部人员、也可能是外部人员所为
舞弊类型:为组织谋取利益,欺骗外部有关方面,个人间接获利,常见管理层舞弊动机是对组织的财务压力
为个人谋取利益,内部或外部人员或组织,直接间接获利
发现抽样法:怀疑的舞弊行为已经发,需要证实,用发现抽样法,如果要100%证明发生很少也用此法,只要有一个偏差,就停止抽样,如检查部门去年已处理过的发票,发现一个问题
停-走抽样:是当达到了目标差错率时,停止抽取样本
变量抽样:针对金额和数量
8 属性抽样:通过确认样本的属性,然后推断出总体属性
选择样本的技术:包括随即抽样、按概率比率大小抽样
面谈技术:两人以上在场、不能限制对象自由、注意对象谈话的措辞
问卷:从一般问题到特殊问题
司法鉴定审计:发现组织内部经济犯罪法律证据,首席审计执行官认为必要时的选择 E 审计业务工具
抽样:非统计抽样(比主观判断样本量的大小)
统计(概率抽样或随机抽样,客观方法确定样本量的大小)
总体:要得出结论或关心的事项,由审计目标决定,每个事项就是一个样本单位,是实际被挑选出来的检查项目,是总体的一部分。如审计资产维修,资产维修单据为样本单位
样本:抽出的个体,样本量计算可得,样本标准误差:样本项目的变化程度,如退货情况多集中在两个月,只对这两个月进行抽样检查,得出的结论不能代表全年。
代表性:样本的特征具有总体特征
臵信水平:风险5% 臵信水平95%(衡量希望抽样结果达到的可靠程度) 臵信区间:臵信水平99% 臵信区间宽 可接受的精确程度低
臵信水平80% 臵信区间窄 可接受的精确程度高
计算:样本的平均值75 标准离差 14 平均值的标准差2 样本量50 臵信区间=75±(2×14/√50)=71±79 2000个项,抽样100,抽出样本总值10000元,单个样本值=10000/100=100元
总体样本值=2000×100=200000,精确度范围±4000,臵信区间200000-4000=190000 和200000+40000=240000 精确度:查错率上下范围
试点样本:用来估计变动程度,即标准离差 3.数据收集工具(要求熟练掌握)
a 面谈 4阶段:1初步面谈 2 事实收集面谈 3 后续面谈 4 退出面谈 面谈多用于经营审计
重要性:交叉验证以前活动的信息资料,但证据有效性较低,需要其他客观实际进行证实 b 调查问卷:多用于内控制度调查,优点不忽视控制系统重要方面,并对内控系统进行初步评估。缺点,编制难度大,时间长,由于猜到答案,不能的到真是答案,回答笼统,受结构影响不能包括所有需要了解的问题
c 检查清单:结构化方法,采用标准格式收集,优点全面,检查工作底稿时作用大,收集数据一致,就是列出需要检查的内容以及被审单位提供的资料。 e 其他数据收集工具
复算:重新计算
详细测试:详细检查文件,核单:交易数额入帐证实,不能证明完整,追踪:从原始凭证一直到总帐的所有记录
浏览:粗略审查,目的发现异常
函证:发送给第三方,否定式函证(消极函证):只有存在不同意见时才回复,肯定函证(积极函证):不论同意都要作出回复,所以债务人发回的最具有说服力的审计证据
如果未回复,应采用其他方法,包括第二次做出肯定函证
4.分析性复核技术(要求熟练掌握)
统计抽样:对交易事项进行随机抽样,
9 定向抽样:以审计师个人判断对特殊交易事项进行抽样,如分析性复核技术
分析性复核技术:用于确定数据的合理性,在确定审计重点和范围,支持审计发现中有作用 a 比率估计(趋势分析)
流动性估计分析:1流动比率=
2、2速动比率(酷性测试比率)、3运营资金比率=流动-负债
资产活动估计分析:1存货周转率、2应收账款周转率(净赊销额/平均应收款),周转天数=360/周转率、3固定资产周转率、4资产周转率
高估赊销退回导致应收账款减少,周转率逐年提高、应收占资产比重下降
盈利性估计分析:
1、销售利润率、2资产利润率、3股东权益报酬率
资本结构估计分析:
1、杠杆作用、2融资偿债指标
其他估计分析:
1、每股盈余、2每股账面价值、3市盈率=市价/盈余(净收益/普通股) b 变量分析
散布图:如果是曲线说明非线性相关或不相关
相关系数:-1到+1,0不相关,+直接相关同方向增减,-相关相反,绝对值接近1相关系数强
决定系数:R2,平方后负数为正,值域=0到1,0不相关,1相关(只判定相关,没有正负) 建立模型:1简单回归分析、2多元回归分析、3辨别分析 回归分析可利用时间序列分析和跨区域分析技术(以其他单位为基数,分析本企业未来),
c 其他合理性测试
成长曲线、指数平滑(近期数据权数越大)、学习曲线、现值、线性规划、决策树分析(选择最有利的决策,分析后果的概率)、敏感性分析、蒙特卡罗模拟、如果怎样分析、对策论、排队论、经济订货量、风险分析、成本/效益研究、动态规划
5.观察(要求熟练掌握)
用于调查:是否实施了内部控制制度和经营活动遵守相关标准提供证据,主要是亲自观察实物的存在性,证据的可靠性高,局限:个人素质限制,资产所有权无法确认
6.解决问题(要求熟练掌握)
步骤:定义问题――构造解决方案(让现实接近理想状态)―选择方案――执行和评估方案
构造解决方案方法:
头脑风暴法:(非结构化)鼓励群体各自发表想法,不能批评,记录起来,以后评估
共同研讨法:(高度结构化)个性和专长人群非正式交流
德尔菲技术:就一个问题向多个专家征求意见,总结后反馈给这些专家,专家不沟通,直到征求到最佳方案,(一个点,到多条线)
毁坏,精炼:美国海军讨论问题方法,漠视已存在的方法
作业研究法:严格的科学方法,用统计、模拟、数学方法提出和测试假设
自由组合法:参与决策者自由表达自己的想法,不受任何限制和控制
演绎推理:从一般到特殊,逻辑推理:从特殊到一般
光环效应:指人们由于长期从事某项工作,形成了一个固定的思维和看法,从而影响正确看法,定期轮换审计对象可以防止此现象
决策过程:确定信息――确定可接受的风险水平-选择方案-在有的时间内决策
有时选择方案不一定是最佳方案,这是因为存在一些不确定因素情况下这一方案可能是合理的,也许是风险较低的一个
考虑因素:不同信息处理方式、不确定的因素、有限理性、成本/效益原则
存在不确定因素情况下:首要任务是建立多种结果出现的主观概率(信心程度)
有限理性:审计报告中用简单的语言叙述重要内容,基于管理者获得信息能力考虑,合理 10 的决策过程与风险相关,有限理性就是这一解释
群体决策过程:分析问题――确定解决方案――评估方案,使用其取决于活动的性质和参与者的能力,缺点:迫于环境压力,不敢提出异议(如有强权),决策时间长,个人承担责任小,个人平行与工作质量之间没有必然联系
群体思维:提出不同意见,担心自己成为异己分子,趋同他人意见,即使是错误的
用于:被审计单位存在一些不确定性和风险时用,有审计发现和结果不能用
7、风险和控制的自我评价
控制自我评价:对内部控制制度进行评价的工作过程,不是部门业绩和个人业绩的评价,涉及所有员工,用于商业活动和财务状况的风险、控制活动、道德价值和控制效果,不适合追踪不良行为、例行检查和实现负责和不明确的目标,管理人员与参与员工双向沟通
8.计算机审计工具和技术(要求熟练掌握)
a 嵌入式审计模块:在应用系统中各个环节设臵代码段,用来提供审计信息,标记、记录交易,嵌入设计难度大
b 数据提取技术:从大型、小型或网络机中提取数据到个人机上进行处理,缺点:不完整和时效性差 c 通用审计软件(GAS)能够直接访问数据库的标准软件,优点:操作简单、适应性强 d 电子表格分析:最常用工具,宏编程:记录用户的重复操作,使操作简单化 e 自动化工作底稿:可以是商业化软件和专用软件
9.包括流程图的过程描述(要求熟练掌握)
计划评审技术(PERT)和关键路径法(CPM):关键路径时间花费最长的一条路径,其他是松弛时间
甘特图:不显示各项活动的内在联系,不计算总路径时间
散布图:发现变量之间异常变动
因果图:帮助审计研究发现的问题的原因
条形图:比较数据事项
线图:趋势,时间序列,发生频率
流程图:实施初步调查和了解内部控制系统时非常有用,分:水平流程图和垂直流程图
垂直流程图缺点:自上而下,不能清晰显示部门职能
水平流程图优点:反映程序中涉及的部门及职能
