内部审计知识要素第六章.IT、业务连续性

第六章.IT/业务连续性

A.安全性

B.应用软件开发

C.系统基础设施

D.业务连续性

A.安全性

1）物理/系统安全（如：防火墙，访问控制）

2）信息保护（如：病毒，隐私）

3）应用软件认证

4）加密

一、物理/系统安全（例如，防火墙、访问控制）

物理/系统安全是在风险分析的基础上，选择适宜的控制目标与控制方式，对系统的安全进行控制，使信息资产的风险降到组织可以接受的水平。

（一）一般控制与应用控制

一般控制与应用控制是两个不同层次的控制手段，一般控制包括各种相对通用的控制手段和技术，应用控制包括和特定应用相关的、为保障应用程序正确运行而设定的控制。相对于应用控制，一般控制更为基础，且其有效性不受应用控制的影响。相反，应用控制的有效性则往往受到一般控制，尤其是操作系统访问控制的影响。

1.一般控制包括：

（1）管理控制的主要目标是实现职责分离。常见的管理控制包括：系统分析员不应该接触计算机设备、数据和程序；计算机编程人员不应该接触计算机设备、数据和已交付使用的程序；操作员不应该参与系统设计或更改程序等；

（2）运行控制是为确保系统的正常运行而实施的控制。例如，对不需要的文件在受控条件下及时删除；

（3）系统实施控制是在系统开发实施过程的各个环节都建立控制点并编制文档以保证系统的实施是在适当的控制和管理之下；

（4）软件控制是保证已投入运行的软件未经许可不得修改的控制；

（5）硬件控制是保证硬件正常运行的控制，如回波检验、奇偶校验等；

（6）访问控制是确保只有被授权用户才能实现对特定数据和资源进行访问的控制，通常特指逻辑访问控制；

（7）物理设备控制是防止对物理设备的非授权接触的控制。

2.应用控制的进一步论述参见“第二节应用开发”。

（二）物理安全和控制

1.概念

物理安全指通过物理手段或过程手段来保全公司资产并确保使用者的人身安全。

2.物理安全风险

包括自然的和人为的，如台风、洪水、地震、电力故障、操作错误、盗窃和设备故障等。

3.物理安全控制

包括物理访问控制、环境风险控制和防火防水等，其手段包括烟雾报警器、电子安全门禁、运动传感器、摄像头、不间断电源、设置禁入区域、信息中心选址的风险评价、生物统计访问系统等。对于使用租赁线路的网络应保证设置在各营业场所的传输线路的安全，以防止非法访问网络。

（三）防火墙

防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在的破坏性侵入。它可以通过监测、限制或更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部信息、结构和运行状况，以此来实现网络安全保护。利用因特网实现电子商务必须使用防火墙。

二、信息保护（例如，病毒、隐私）

（一）信息安全的基本要素

信息的保密性、完整性和可用性是信息安全的基本要素：

1.保密性：保证敏感信息（包括隐私信息）不被非授权的浏览或截取。

2.完整性：保证信息（如财务报告）的完整和准确。

3.可用性：保证信息随时可用，并能在各种故障或灾难发生后能迅速恢复数据。

（二）恶意软件、病毒及防范

恶意软件统指各种以非法途径访问系统，并以控制、破坏系统或窃取数据为目的的软件。

1.病毒软件

病毒软件是一类恶意软件，包括：

（1）病毒（virus）。是一段计算机代码，它可自行复制并感染其他计算机执行程序；

（2）宏病毒。是一种可附着于Word等数据文件的宏程序中的特殊病毒；

（3）蠕虫。是一个计算机程序，它通常仅存在于内存中，但可以通过网络快速并大量地将自身复制到其他系统中，从而消耗计算机或网络资源；蠕虫按其传播方式有电子邮件蠕虫、即时通讯（IM）蠕虫和移动设备蠕虫等。

2.木马

木马是一个计算机程序或隐藏于某个应用程序中的一段代码，它从表面上看是正常的程序，但是实际上却隐含着恶意意图。特洛伊木马可能用于窃取密码等敏感信息，也可以用于进一步安装其他恶意软件（如间谍软件），从而为其编制者长期所用。

相对于病毒，木马软件无需自行复制功能，因此更容易开发也更隐蔽，其增长速度也要大大高于其他恶意软件。

木马软件的种类繁多，根据目的和行为可分为后门、逻辑炸弹、特洛伊代理、超级用户工具箱等。

3.其他恶意软件和威胁

（1）僵尸网络（botnet）：BotNet病毒与木马的使用方式相仿，但木马通常只会攻击特定目标，而BotNet不但会攻击其他电脑，而且它具有“虫”的特性，会慢慢在网络空间中“爬行”，一遇到有漏洞的电脑主机，就会自行展开攻击。

（2）垃圾邮件工具：手机电子邮件地址以用于发送垃圾邮件。

（3）键盘跟踪软件：跟踪并分析用户的击键行为，从中获取其感兴趣的信息（如网上银行的登录密码）。

（4）拨号器：自动拨打900等高收费电话号码。

（5）广告软件：不断产生弹出式广告窗口。

（6）间谍软件：收集用户机器的各种软硬件和配置信息，以用于商业或其他目的。

（7）拒绝服务攻击（DOD）：通过超大量地发送消息或服务请求，将某个站点的网络或系统资源消耗殆尽，使其彻底瘫痪或无法提供正常服务。这是网络恐怖主义者最常用也最难防范的攻击手段。

（8）网络钓鱼：伪装成一个合法正规的网站，并通过各种方式（如建立虚假链接、大量发送带有诱惑性的电子邮件）引诱客户前来登录，从而骗取用户ID和口令。

（9）网址嫁接（Pharming）：和phishing相仿，也是伪装一个合法正规的网站，但通过篡改DNS服务器直接将其使用者导引到伪造的网站上。

（10）双面恶魔：是一个自制的无线接入点（热点），伪装成合法的接入点在终端用户不知情的情况下收集个人或企业信息。

（11）尾随：通常指物理上尾随某个合法人员进入受控区域，有时也指趁某个已登录用户暂离现场时，利用其身份逻辑访问网络。

4.防范

（1）通过合理地维护和配置系统可以增强系统的健壮性和免疫能力，有效抵御恶意软件的攻击，如：及时下载并安装操作系统和应用系统的补丁包；在系统运行时关闭管理员特权；限制特权代码

的使用；只从经过验证或指定的网站下载；启用高安全级别，阻断各种恶意软件的进入渠道；通过直接输入URL地址来访问网站，如不要点击电子邮件中的链接；加密敏感信息或离线保存。

（2）构建多层次的病毒防范体系，需建立规范、严谨的病毒管理策略与程序，同时采用有效的技术手段，如防病毒软件。

（3）预防和侦测病毒的管理控制策略包括：安装正版软件；凡未在单机中扫毒的软件（无论是否正版）不允许在网络环境中使用；确保在工作站、主机和服务器中均已安装杀毒软件。随时更新病毒特征库；备份数据也需要经过杀毒程序，以确保备份的有效性；教育用户遵守公司的策略及程序；至少每年审核一次防毒策略与程序。

（4）防病毒软件的功能通常包括：扫描、动态监控、完整性检查、行为阻断，此外，防病毒软件应具有预防控制的功能。应定期更新病毒特征库，否则防病毒软件将无法有效防止病毒。但即使拥有最新的病毒特征库，也不能保证查杀所有病毒，因此不能过于依赖防病毒软件。

（三）隐私权

隐私权是个人对其私有信息享有的权利。信息系统使侵犯隐私权变得更容易，因此对隐私权的保护越来越受到重视。

组织侵犯了隐私权可能给当事人带来巨大的伤害，越来越多的国家制定了各种保护隐私权的法律、条例，组织应确保予以遵守。大多数国家的隐私权立法均部分地基于美国联邦贸易委员会提出的公平信息原则（FIP），FIP认为交易双方均对对方负有责任，个人拥有隐私权但需要证明其身份，而组织则对信息的采集和使用承担责任。

FIP包括：

（1）通告：在采集数据之前，Web站点必须披露采集者的身份和其他受众、数据的用途、是否自愿以及将采取哪些措施保护数据。

（2）选择：消费者应能够选择如何在交易之外使用该信息。

（3）访问：消费者应能够方便访问和修改其个人信息而无需支付昂贵的费用。

（4）安全：数据采集者必须保证其拥有足够的数据控制。

（5）强制：通过各种法律法规保证FIP条款的强制实施。

组织至少应采取合理的措施，以避免招致法律诉讼、罚款以及负面的公众形象和信誉等严重后果。

三、应用认证

1.概念

应用认证可以防止非授权用户访问软件应用。

应用认证从概念上来说是非常简单的：系统的每一位用户都被分配了一个唯一的用户名，对关联该用户名的资源或功能的访问都要接受特定口令的保护。

所谓的认证是证明用户身份的过程，而授权则是标识合法用户可访问资源的过程，授权应遵循“最小特权”原则。

用户认证类型有可能采用多种复合认证技术，基本上分为：

（1）只有你知道的事情，如账号和密码；

（2）只有你拥有的东西，如智能IC卡、身份证、工作证；

（3）只有你具有的特征，如指纹、声音、虹膜。

2.口令

口令应由用户掌握和修改，还可以按用户的权限设置不同的口令等级，以防止掌握口令的人非法访问服务器上的所有用户文件。口令应该严格保密，并且在终端输入时不应该显示。为了防止口令被猜出，可使用能够实施口令组合标准的访问控制软件；为了防止存储在系统中的口令被窃取，可使用能够实施口令加密的访问控制软件。

有的用户因为进入系统过程较繁琐枯燥，就把登录串包括口令存在个人电脑里，以待进入主机设施时再调用，这样任何能访问用户个人计算机的人就能访问主机。屏幕保护程序口令安全性较低，因为它很容易被绕过。

3.身份认证和授权相关的技术和过程统称为IAM（身份和访问管理）。

（1）访问控制技术包括用户身份标识、认证和审计追踪，因此也称为3A系统。逻辑访问控制技术确保只有被授权用户才能实现对特定数据和资源的访问，可以应用在信息系统的不同层次，如操作系统访问控制、数据库访问控制、网页访问控制等。但访问控制技术的应用必须适当合理，尤其应注意系统安全性和系统可用性之间的平衡。访问控制列表用于存放访问控制信息。

（2）与访问控制相关的技术手段或措施有：

①访问日志对用户访问信息系统的时间、内容等进行记录，便于分析控制。安装访问日志系统属于检测性控制措施，它虽然可以发现未经授权的访问，但不能防止其发生。

②自动注销登录自动撤消非活动终端的登录可以防止通过无人照管的终端来访问主机上的敏感数据。

③回拨指远程用户拨叫主机后应立即挂断，由主机回拨该用户以保证信息按指定线路传输。例如：在电子资金汇划系统中，为了保证数据只传送给被授权的用户，最有效的控制措施就是要求接受数据的金融机构使用回拨系统。

④工具软件可以绕过访问控制和审计，管理层应制定限制使用具有访问特权的工具软件的政策，以降低利用特权软件进行非法访问的风险。

⑤安全软件的功能是限制对系统资源的访问，但不能限制未经许可软件的安装，也不能监控职责分离。使用安全软件要注意使安全软件与操作系统在安全控制方面保持同步。

四、加密

数据加密可以使他人即使非法访问了数据也不能理解数据的内容。加密和解密过程中需要两个因素，这就是算法和密钥（Arithmetic and Key）。算法是指加密解密的变换处理过程，正向为加密函数，反向为解密函数。对应某一个具体的加密和解密过程，通常还需要附加一些信息，这些附加的信息就是密钥。密文的保密主要取决于密钥的安全，因此对密钥的产生、存储、传递、使用和销毁的全过程应进行严格地控制。

（一）加密密钥

在加密和解密过程中，控制加密变换的密钥称为加密密钥（KE），控制解密变换的密钥称为解密密钥（KD）。在传统的对称密码体制中，加密密钥和解密密钥是相同的，而在现代公开密钥密码体制中，加密密钥和解密密钥是不同的，因此又称为非对称密码体制，这种体制的代表是RSA算法体制。

（二）非对称密钥

非对称密钥由公钥和私钥组成。公钥通常用于数据加密或签名验证，可以在网上发布，是公开的；私钥通常用于数据解密或签名，只有本人知道，是秘密的。

（三）哈希（HASH）加密算法

对消息用单向HASH加密算法得到一个唯一的摘要，作为消息的指纹，用来验证消息的完整性。

（四）数字签名

数字签名即发送者用私钥对所发送消息的摘要信息进行加密。数字签名可用于电子邮递、电子转账和办公自动化等系统中，实现远距离安全交易。

（五）数字证书

数字证书是一个包含证书持有人的个人信息、公开密钥、证书序号、证书有效期和发证单位等内容的数字文件。

（六）认证中心（CA）是承担网络电子商务交易安全认证服务、签发数字证书、确认用户身份等工作，具有权威性和公证性的第三方服务机构。

B.应用开发

一、终端用户计算

终端用户计算指系统的终端用户在没有或只有很少技术专家正式协助的条件下，自行完成系统开发的一种开发策略，具有见效快、用户参与等优点，但也存在一定的风险，包括：系统整体分析功能常被忽略，难以和其他系统集成和共享数据；系统内会产生一些专用的信息系统；缺乏标准和文档，使用及维护都严重地依赖开发者；信息一致性差；等等。

对应用终端用户计算的审计包括：确定终端用户计算的应用程序、对应用程序风险进行排列、对控制情况进行文件处理和测试等。

为降低终端用户计算的风险，内部审计师可以建议：在组织内部成立以咨询服务为主要职能的“信息中心”；制定相应的政策、规章制度来管理用户开发。

二、变更控制

变更控制是指计算机系统的任何变动只有经过管理层的批准后才能进行，包括硬件变更控制和程序（软件）变更控制。

程序变更必须经过全面测试并保存文档，以留下何人、何时、做了何事的线索。良好的变更控制程序应包括对工具软件的控制。例如，若对负责系统安装与维护的程序员缺乏必要的监督，该程序员就有可能利用系统的工具软件对生产程序进行变更，并且不留下任何审计线索。

三、系统开发方法论

随着信息技术的发展，信息系统的开发越来越成为一个庞大的系统工程，对内它涉及组织的内部结构、管理模式、业务运营、数据的收集与处理的各个方面，对外它涉及与其他系统的互联与数据交换，面对一个大型、复杂的组织机构和管理系统，需要有一个系统的开发方法论来指导人们进行应用软件开发。

（一）生命周期法。是一种自上而下的结构化开发方法，它把系统生命周期分为六个阶段：项目定义、系统分析、系统设计、编程、实施和后续维护。对每一个阶段的任务、承担人员、职责、各阶段成果及其相互关系进行了严格的定义，并制定了严格的文档编制规范。生命周期法具有系统性、规范性、严密性等优点，其缺点则是开发周期长、难以适应系统需求的快速变化。生命周期法对系统分析的要求极髙，一旦系统分析出现偏差，则整个系统开发过程就可能要推倒重来。

（二）原型法。首先根据用户的最基本需求迅速开发一个实验模型交给用户使用，启发用户提出进一步需求，然后对原型进行修改，再使用，再修改，如此反复，直至满足用户需求。原型法的优点是用户可以更好地参与系统的需求分析和设计过程，并在应用过程中不断完善，因此用户满意度髙，开发速度较快。但由于原型法需要经常根据用户的需要迅速修改系统，对系统开发技术和工具要求极高。

通常开发者只有在拥有并掌握了强大的计算机辅助开发工具时才有可能应用原型开发方法，因此，原型法又称为快速原型法或快速应用开发方法。快速原型法通常分模块创建系统直至整个系统完成，因此往往在系统的整体性和文档的严密性上不如生命周期法。

（三）面向对象的开发方法。该方法认为世界是由各种各样的对象组成，每种对象都有各自的内部状态和运动规律，不同对象之间的相互作用和联系就构成了各种不同的系统。当我们设计和实现一个客观系统时，如能在满足需求的条件下把系统设计成由一些不可变（相对固定）部分组成的最小结合，这个设计就是最好的。因为它把握了事件的本质，所以不再会被周围环境（物理环境和管理模式）的变化及用户不断变化的需求所左右，而这些不变的部分就是所谓的对象。

四、应用开发

（一）程序设计基础

源程序由各种计算机语言编制而成，计算机语言可分为机器语言、汇编语言、过程化语言和非过程化语言。

1.程序

程序根据其运行的方式可分为可直接执行程序和可解释执行程序。直接执行程序包含二进制机器语言，可由CPU直接运行。编译器将高级过程化语言程序转换成目标代码，汇编器将汇编语言程序转换成目标代码程序，链接器将多个目标代码程序链接成可执行程序。动态链接库（DDL）是一种特殊的执行程序文件，它在需要时才由主执行文件调入内存并执行。

2.解释执行程序包含的是一种中间代码，不能由CPU直接运行，而需要由解释程序将其转换成二进制机器语言后再由CPU执行。解释器将高级语言程序转换成中间代码，并逐行解释执行。

宏程序是解释运行的程序之一，通常用于记录重复执行的命令或击键，使用户能减少击键的次数。

3.软件由程序、过程（函数）、处理规则以及相应的文档构成。软件可分为系统软件和应用软件，系统软件用于管理计算机资源并为应用软件提供各种基本的和高级的运算支持，应用软件则是为解决特定问题而编写的程序。

4.系统软件包括操作系统、数据库管理系统、语言转换程序、实用程序、中间件等。磁盘工具是一种实用程序。大多数删除程序只是删除文件的指针，并不实际删除文件所包含的数据块，而磁盘工具则可以保证将数据块中的数据也一并抹去。

（二）应用系统开发

应用系统开发是指生产或修改应用软件的过程。应用软件包含两类：通用应用软件和专用软件。各种广泛使用的程序如电子表格和文字处理软件属于通用软件，而专用软件通常仅用于特定的业务场景，如客户关系管理系统。当今组织一般不自行开发应用软件，更多的是购买商用软件并在此基础上进行必要的定制。

无论采取哪种方式，都需要对应用开发（或外包）的过程进行控制，至少包括：

1.编制用户需求文档；

2.确保设计和开发落实了用户需求和控制的正式过程；

3.对元素和用户接口进行测试；

4.对应用维护工作进行规划；

5.受控的变更管理过程。

（三）应用控制

常见的应用控制包括：

1.输入控制包括输入授权、数据转换和编辑检验。其中，编辑检验又包括合理性检验、格式检验、存在性检验、依赖性检验（又称相关性检验）、检验位，重新输入控制等。

2.处理控制，包括运行总数控制、计算机匹配、并发控制。

3.输出控制包括平衡总数、复核处理日志、审核输出报告、审核制度与文件。

五、信息系统开发

（一）信息系统开发阶段

信息系统开发指对整个组织的信息网络，包括人员、过程、数据和技术进行统筹规划。一般应包括以下8个阶段：

1.确定企业战略；

2.确定信息化战略；

3.明确信息内容；

4.设置信息策略和控制；

5.确定信息基础设施；

6.指定数据库、网络、软件和配置；

7.制定信息系统变更策略和程序；

8.制定开发计划、优先级和步骤。

（二）不同层次的信息系统

信息系统按服务组织层次分为：

1.作业层系统。

它能帮助组织中从事基本交易活动的人员回答常规问题，跟踪组织事务流程。作业层的主要应用是事务处理系（TPS）。

2.知识层系统。

它能帮助组织中知识员工和数据员工把知识用到经营中去，为组织管理文件档案工作。知识层的主要应用有知识工作系统和办公自动化系统（OAS）。

3.管理层系统。

它能帮助中层经理从事监督、管理和决策，处理行政事务。管理层的主要应用有管理信息系统

（MIS）和决策支持系统（DSS）。

4.战略层系统。它能帮助高层经理解决战略问题，研究组织内部和外部环境。战略层的主要应用是高级经理支持系统（ESS）。

信息系统按职能部门可分为销售和市场系统、制造系统、财务系统、会计系统、人力资源系统等。

（三）系统开发的各项活动

1.系统分析：对需要用信息系统解决的问题的分析，包括用户需求分析和系统可行性研究。系统分析工作由系统分析员完成，因此系统分析员是信息系统部门和其他业务部门联系的主要桥梁。系统分析阶段的成果是《系统需求分析规格书》。

2.系统设计：按照系统分析的要求来具体设计系统的过程，通常可分为逻辑设计和物理设计。系统设计阶段的成果是《系统设计规格书》。

（1）编程：把设计规格书转化成计算机软件代码的过程。

（2）测试：对所有编好的程序都必须进行详尽彻底的测试以确定系统是否能产生正确的结果。为确保系统测试的成功，开发小组与用户应共同做出一个系统的测试计划。测试包括：模块测试（也叫程序测试）、系统测试、验收测试。

（3）转换：用新系统替代老系统的过程。转换策略包括：平行转换策略、直接转换策略、试点转换策略、分阶段的转换策略。

（4）运行与维护：为了保障生产系统的正常运营，并解决系统中可能存在的不足，不断完善系统的功能。

（四）数据处理方式

根据处理的时间分为：

1.批处理：适用于有大量相似数据且可以间隔一定时间进行集中处理的数据。

2.在线处理：适用于需要实时处理的数据。

根据处理的地点分为：

3.集中处理：所有处理都在处理中心进行，远程终端没有处理能力。便于加强控制。

4.分散处理：数据处理在各个远程节点独立进行，每个节点都有自己的独立处理能力。用户与系统数据最接近。

5.分布处理：根据需要决定部分数据集中处理、部分数据分配到远程节点共同处理，与分散处理的区别是：在分布式处理方式下，数据更新需要各节点协调进行，并增加了数据备份需求。其优点是具有弱化保护功能，即某一个节点发生故障，其他节点仍可以照常工作。

（五）常用计算机审计技术

1.测试数据：审计人员设计测试数据来检查被审计单位计算机信息系统是否按预期要求运行。

2.平行模拟：审计人员设计一种与被审计单位计算机信息系统功能相同的模拟系统，将数据在被审计单位的信息系统和模拟系统上平行运行，比较二者运行的结果是否一致。

3.集成测试设施：审计人员虚构一些公司的数据并与被审计单位的真实数据一起处理，分析处理结果。这种方法可以对被审计单位的信息系统进行持续测试，但其缺点是测试数据可能进入被审计单位的真实数据环境。

4.嵌入式审计模块：在应用系统的各个环节嵌入审计专用模块，特点是能对被审计事项进行连续监督。

1.用户和管理人员都需认可最初的建议、设计规划、转换计划和信息系统测试计划。这是以下哪项控制的例证？

A.实施控制。

B.硬件控制。

C.计算机运行控制。

D.数据安全性控制。

『正确答案』A

解题思路：

A正确。实施控制应存在于系统开发过程的各个环节，以确保系统实施处于适当的控制和

管理之下；

B不正确。硬件控制用以保证计算机硬件的物理安全和检查设备的故障；

C不正确。计算机运行控制应用在计算机部门的工作中，保证程序化的作业规程在数据的存储和处理过程中得到一贯正确地执行；

D不正确。数据安全性控制保证在磁盘或磁带上的数据文件不被非法访问、修改或毁坏。

2.某审计师完成某数据中心的物理安全审计后，建议采用生物认证技术来控制建筑物的人员出入，其建议中应不包括以下哪一项？

A.虹膜

B.语音。

C.口令

D.指纹。

『正确答案』C

解题思路：

A不正确。虹膜是一种生物特征；

B不正确。语音是一种生物特征；

C正确。口令不属于生物特征；

D不正确。指纹是一种生物特征。

3.以下哪种关于互联网是一种可靠的商业网络的说法是正确的？

A.公司若想保持内部数据的安全性，必须应用防火墙。

B.公司必须向互联网提出申请，得到创造主页的许可，从事电子商务。

C.希望在互联网上参与电子商务活动的公司必须遵守互联网供应商联盟确立的安全标准。

D.上述说法都对。

『正确答案』A

解题思路：

A正确。防火墙可以通过设立安全策略来控制互联网的人员对公司内网的访问；

B不正确。任何公司均可在互联网上创建主页并从事电子商务，并不需要提出申请；

C不正确。互联网是一个松散管理的网络，不存在互联网供应商联盟，当然也不存在互联网供应商联盟确立的安全标准；

D不正确。

4.通过从电脑网络下载软件来获取有关软件的潜在风险是下载软件可能含有有害程序编码，这些编码可以附着于其他程序，从而在整个公司蔓延。这种有害编码被称为

A.逻辑炸弹

B.陷阱门

C.特洛伊木马

D.病毒

『正确答案』D

解题思路：

A不正确。逻辑炸弹是隐藏在正常程序中的一段代码，该段代码可在某种条件下触发运行，并对系统产生危害，但不会自动蔓延；

B不正确。陷阱门是系统中存在的某种漏洞，利用它可以绕过正常的访问控制，从而窃取信息或获得某种特权。陷阱门也不会蔓延；

C不正确。特洛伊木马是一类黑客程序，通过冒充正常的程序（如登录程序）以非法获得信息（如用户口令等）。特洛伊木马本身不会蔓延；

D正确。病毒可以附着于其他程序，一旦激活可以在网络中蔓延。

5.某一种密钥系统有两个密钥，一个密钥是公开的、用于信息加密；另一个密钥只有信息接受方掌握，用于解密。这种密钥系统是

A.RSA算法。

B.数据加密标准。

C.调制解调器。

D.密码锁。

『正确答案』A

解题思路：

A正确。RSA是一种非对称加密算法；

B不正确。DES是一种对称加密算法；

C不正确。调制解调器是一种“模拟-数字”转换的方法，不是非对称加密算法；

D不正确。密码锁通常采用序列密码算法，不是非对称加密算法。

6.某保险公司使用了一个广域网，通过该广域网，其保险代理人可在家中通过笔记本电脑和拨入调制解调器获取当前费率和客户信息并提交已审核的客户索赔请求。对于这种应用，以下方法中哪一个能提供最佳的数据安全性？

A.专用电话线。

B.回拨特性。

C.频繁修改用户标识和口令。

D.端到端数据加密。

『正确答案』D

解题思路：

A不正确。专用电话线代价过于高昂，而且专用电话线仍有可能被人窃听；

B不正确。回拨特性可以防止假冒终端，提高数据源的节点真实性，但不能防止数据在传输过程中被窃听；

C不正确。频繁修改用户标识和口令可以防止假冒用户，提高数据源的真实性，但不能防止数据在传输过程中被窃听；

D正确。端到端数据加密可以有效防止数据在传输过程中被窃听。

7.能对源程序进行语法检查，并将其翻译成目标代码的程序是

A.解释程序

B.编译程序

C.调试程序

D.加密程序。

『正确答案』B

解题思路：

A不正确。解释程序将高级语言程序转换成中间代码，并逐行解释执行；

B正确。编译程序对源程序进行语法检查，并将其翻译成目标代码的程序；

C不正确。调试程序用于跟踪程序的执行，并找到发生错误的代码；

D不正确。加密程序用于对敏感数据进行密码变换，防止信息泄露。

8.以下哪项应用程序控制能够为库存数据完整、准确地输入提供合理保证？

A.顺序检查

B.批量总额

C.限额检查

D.检验数位

『正确答案』B

解题思路：

A不正确。顺序检查是一种测试输入完整性的相当好的控制，但它并不测试正确性；

B正确。批量汇总检查对测试输入完整性和正确性都很有效；

C不正确。极限检查只能判定输入的数据是否在可接受的范围内，因此也不能用来测试输入的正确性；

D不正确。数字检验位可以使计算机机械地拒绝错误的输入。生成数字校验位需要进行繁琐的运算，因而这种方法只适用于少数关键的输入项。数字校验位绝不会用于测试成批数据输入的正确性。

9.以下哪项是信息系统逻辑安全控制的目标？

A.保证数据记录的完整和准确。

B.保证数据处理的完整和准确。

C.限制对特定数据和资源的访问。

D.提供处理结果的审计轨迹。

『正确答案』C

解题思路：

A不正确。保证数据记录的完整和准确是输入控制的目标；

B不正确。保证数据处理的完整和准确是处理控制的目标；

C正确。限制对特定数据和资源的访问是逻辑安全控制的目标；

D不正确。提供处理结果的审计轨迹属于输出控制的目标。

10.要防止通过将无人照管的终端直接连接到主机上而对敏感数据进行非法访问，以下哪项安全控制效果最佳？

A.使用带密码的屏幕保护程序

B.使用工作站脚本程序。

C.对数据文件加密。

D.自动注销不活动用户。

『正确答案』D

解题思路：

A不正确。无人照管终端的主要风险是该终端可能已经合法地登录主机，因此任何人都可以利用该终端访问主机中的敏感数据。在这种情况下，带密码的屏幕保护程序较容易被绕过，如用另一台终端替换该终端；

B不正确。工作站脚本程序用来定制终端的运行环境，只有在终端登录时起作用；

C不正确。对数据文件加密不能防止攻击者访问敏感数据，因为此时攻击者已获得了合法用户的身份，系统会自动解密数据文件；

D正确。自动注销不活动用户可使攻击者失去获得合法用户的机会。

11.为了避免非法数据的输入，某银行在每个账号结尾新加一个数字并对新加的数字进行一种计算，此种技术被称为：

A.光学字符识别

B.校验数位。

C.相关性检验

D.格式检验。

『正确答案』B

解题思路：

A不正确。光学字符识别将印刷字符转换成计算机可以识别的内部代码；

B正确。校验数位是对某字段进行某种计算后得出，并附加在该字段之后的校验位。通过重新计算校验位并和原校验位进行比较，可以发现该字段内容是否已发生变化；

C不正确。相关性检验用于检查多个字段之间是否存在某种关联，来判断字段内容的正确

性。

D不正确。格式检验用于检查字段内容是否遵循某种特定的格式，如日期字段应该具有如下格式：YYYY：MM：DD。

12.使用安全软件（security software）的主要目的是

A.控制对系统资源的访问。

B.限制安装未经许可的工具软件。

C.检测病毒的出现。

D.对应用程序中职责分离的监控。

『正确答案』A

解题思路：

A正确。安全软件的目标就是控制对系统资源的访问，这些资源包括工具软件、程序库、各种敏感级别的数据文件等；

B不正确。安全软件只控制对工具的使用，但不会限制其安装；

C不正确。能检测病毒出现的是防病毒软件；

D不正确。可利用安全软件实现职责分离，但不能对职责分离进行监控。

13.通过以下哪种方式可以最好地防止拥有充分技术的人员绕过安全程序对生产程序进行修改？

A.对已完成工作的报告进行检查。

B.将生产程序与独立控制的拷贝进行比较。

C.定期运行测试数据。

D.制定合适的职责分离。

『正确答案』D

解题思路：

A不正确。对已处理作业进行检查只能发现非法访问的事实，但不能防止其发生；

B不正确。比较生产程序和受控拷贝只能发现程序改变的事实，但不能防止其发生；

C不正确。定期运行检测数据可以发现改变，但不能防止改变；

D正确。在职责分离的情况下，用户无法获得程序的详细知识，而计算机操作员则很难不受监督地接触生产程序。

C.系统基础设施

一、工作站、服务器和主机

（一）信息系统应用模式的历史演变及各阶段的技术特征

计算机信息系统从发展初期至今，其应用模式经历了主机/终端模式、客户机/服务器模式和浏览器/服务器模式（即互联网模式）三个主要阶段。

1.主机/终端模式

主机/终端模式是20世纪80年代以前信息系统的主流应用结构，其主要特征是企业的所有信息资源，包括应用程序和数据均存放在主机（通常为大中型机）中，采用集中计算模式，使用者通过用串行线路和与主机相连接的终端（通常为字符方式的哑终端）操纵，并共享大型机的计算能力，或通过批处理方式输入大量数据，由主机集中处理后输出运行结果。主机/终端模式的主要特点是采用价格昂贵的专用大型计算机，各系统之间交换信息十分复杂。

2.客户机/服务器模式

20世纪70年代末80年代初，为了摆脱对大型计算机厂家的依赖，兴起了所谓的开放系统浪潮，而集成电路、个人计算机和微机局域网络的迅速发展则为之提供了技术基础，并最终形成了以开放和分布计算为特征的客户机/服务器模式。开放系统要求各计算机厂家的软硬件产品能够互通互换，并通过市场竞争降低设备购置成本和维护成本。在开放系统浪潮中最有影响的成果是国际标准化组

织（ISO）制定的开放系统互联（OSI）模型。伴随着开放系统的是所谓的降型化浪潮，降型化就是用更为开放和廉价的客户机/服务器模式来替代昂贵的大型机/终端模式。

3.浏览器/服务器模式（即互联网模式）

随着客户机/服务器模式的发展及其规模的不断扩大，其固有的缺点也逐步被发现。由于应用系统分布在大量网络计算机中，个人计算机变得越来越臃肿（即所谓胖客户机），应用程序的发布和同步变得十分困难，当网络达到一定规模后，其维护费用直线上升，系统的总拥有成本甚至直追主机/终端模式。此外，由于访问点数量的增多、多个用户会话的并发操作以及普遍的数据访问和更新能力等因素，导致客户/服务器系统的安全保障成为一项复杂的任务。

在这种情况下，所谓的多层结构模式应运而生，其典型代表是“瘦客户机/事务处理服务器/数据服务器”模式，其中瘦客户机仅完成应用的数据表现，事务处理服务器实现应用的事务逻辑，而数据服务器则专注于数据的存储和管理。

多层结构模式结合了主机/终端模式和客户机/服务器模式的优点。

（二）工作站、服务器和主机

1.工作站

PC机/工作站即个人计算机，具有较强的信息处理功能和高性能的图形、图像处理功能，通常作为网络化应用系统的终端设备。由服务器、局域网络和PC机（胖客户机）构成的系统运行模式称为客户机/服务器模式，当采用基于浏览器（瘦客户机）的多层体系结构时则称为浏览器/服务器模式。

2.服务器

服务器是指具有固定的地址，并为网络用户提供服务的节点，它是实现资源共享的重要组成部分。服务器主要有网络服务器、打印服务器、终端服务器、磁盘服务器和文件服务器等。

3.主机

主机指那些拥有强大计算能力，能支持大量联机终端和外部设备的大型计算机，其主要代表包括开始于system/360的一系列IBM大型计算机。大型机连接终端的系统运行模式也称为主机/终端模式。随着云计算的兴起，超级计算机作用更加明显。

（三）与各类计算相关的常见外部设备

1.不间断电源（UPS）：在停电的情况下维持电脑系统的运行。

2.光学字符识别（OCR）：通过光学扫描仪器从纸质文件中读取并自动识别出字符，以字符编码形式输入计算机。

3.打印机：最常用的硬拷贝输出设备。

4.扫描仪：可以将文档和图形转换成数字形式的输入设备。

5.绘图仪：能接受绘图指令并在图纸上画出图形的设备。

6.条码阅读器：可以自动识别各类条码并将其转换成数字编码。

7.各种辅助存储器及特点：

（1）磁带：存储容量最大（达几百G），单位存储价格最便宜，是数据备份的最佳选择。但因为它按顺序存取数据，因此不适合需要随机存取的应用。

（2）磁带库是可以容纳多盘磁带并能通过磁带臂等机械装置自动选取活动磁带的设备。

（3）硬盘：采用直接存取数据方式和悬浮式磁头读取方式，速度快，容量较大。

（4）紧凑式只读光盘（CD-ROM）：光盘的一种，容量大，一般为660MB，存取速度比硬盘慢比磁带快，价格便宜且使用方便。但不能写入数据，其所含内容需在生产时直接模压成型，可以用来保存不需要经常更新且具有一定发行规模的信息，如各类标准和产品指南等。

（5）一次写多次读光盘（WORM）：光盘的一种，只可写入一次，但可读取多次，速度与CD-ROM 相似。其优势是可直接将电脑输出的内容刻入光盘，适用于保存不需要频繁更新且发行数量少的信息，如替换缩微照片、联网储存雇员信息、联网储存技术参考手册等。WORM也可用来记录电子数据交换的交易内容，从而提供事后审计线索。

（6）数字化视频光盘（DVD）：光盘的一种，容量更大，一般为5GB以上。

（7）光盘库：可同时容纳多张光盘并对其进行访问的设备。

（8）闪存。

二、数据库

（一）文件类型

文件按其所包含数据的结构组织方式可分为平面文件、直接存取文件、顺序存取文件和索引顺序存取文件。索引顺序存取方法是一种文件组织形式。记录按顺序存储在直接访问文件中，又按存储在索引记录中的主关键字进行组织，不使用指针。其特点是既可以按顺序处理大量记录又可以随机直接访问。

为了便于修改，经常把记录中相对固定的数据保存在主文件中，而把易于变化的部分保存在事务文件中，主文件和事务文件通过索引联系。

（二）数据库类型 3种

数据库管理系统能够协助应用程序方便地组织、控制及使用数据。数据库文件的内部结构要比普通文件更为复杂。数据库按数据的组织方式可分为：

1.层次型数据库的数据按树状组织，数据元素分为父元素和子元素，父元素中包含指针指向子元素。对层次数型据库的检索是从根元素开始的，因此根元素是最主要的数据元素。

2.网状型数据库（network data model）的数据按网络形式组织，网络中的所有数据元素之间均可通过指针进行链接。层次型数据库与网状数据库的主要区别是：层次型数据库的数据元素只能与其子元素进行链接，而网状数据库的数据元素则可以与任何元素进行链接。

3.关系型数据库的基础是关系理论，关系数据库中的数据以表的形式表示，一张表由多个记录构成，每个记录由多个字段组成。记录中包含主关键字和次关键字，不同的表之间通过关键字实现关联，从而保证数据的完整性。因此，应用几个独立的数据库而不是一个大型综合数据库的风险是数据完整性难以设计实施。

（三）关系型数据库的基本知识

1.数据定义语言：用来描述数据库内容和结构的语言。

2.数据操纵语言：为用户和程序员提供从数据库中提取数据的命令，以满足信息访问和开发应用程序的需求。典型的数据操作语言是结构化查询语言（SQL）。

3.数据字典：保存数据库中所有数据的结构定义，包括数据元素的名称、类型、存储位置和访问权限等信息。

（四）部分基于数据库的应用

1.专家系统：一种内含知识的依靠理想实物模型和当前信息做出智能决策的电脑程序。它通过获取人类专家在某一领域的经验和知识，利用推理模型来给出建议。例如：对于商品赊销行为的审批等，就可利用专家系统来控制。

2.神经网络：一种具有学习能力的人工智能系统，它在被人类告知其决策发生错误及答案以后，能够修改其知识库。

3.模糊逻辑：一种处理模糊数据的人工智能系统。

4.遗传算法：一种模仿生物进化过程，不断完善对特定问题的解决方案的人工智能系统。

5.智能代理：一种使用内设知识库来解决特定的、重复的、可预见的问题的人工智能系统。它能适应人类习惯和偏好，如在电子邮件系统中可以过滤进来的信息以避免收到大量不想接收的邮件。

三、控制框架（例如，eSAC、COBIT）

（一）COBIT（Control Objectives for information and related Technology）

COBIT（信息及相关技术的控制目标）由ITGI（信息技术治理协会）提出，其最新版的C0BIT4.1产品家族分三个层次，分别为执行管理层和董事会，业务和IT经理层，治理、鉴证、控制和安全专家提供支持。可见，COBIT已从一个审计师的工具，演变为IT治理框架，它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。

COBIT将IT过程，IT资源及信息与企业的策略与目标联系起来，形成一个三维的体系结构（如图）。

其中，信息准则维集中反映了企业的战略目标，主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性；

IT资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源，这是IT治理过程的主要对象；

IT过程维则是在IT准则的指导下，对信息及相关资源进行规划与处理，从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了信息技术处理过程。

COBIT是一个非常有用的工具，也非常易于理解和实施，可以帮助在管理层、IT与审计之间交流的鸿沟上搭建桥梁，提供了彼此之间沟通的共同语言。COBIT的优点有：5点

1.通过实施COBIT，增加了管理层对控制的感知及支持。

2.COBIT使IT管理工作简易并量化。

3.COBIT提供了一种国际通用的IT管理及问题解决方案。

4.COBIT有助于提高信息系统审计师的影响力，依据COBIT出具的信息系统审计报告更容易得到管理层的肯定。

5.COBIT框架可以帮助决定过程责任，提高IT治理水平。通过采用该框架作为对一个责任矩阵分析的基础，可以做到基于角色的IT管理，定义过程措施，确保客户利益。

（二）eSAC

eSAC是指系统鉴证与控制，由国际内审研究基金会推出。eSAC已成为IT审计师在信息技术安全、控制与审计领域中的重要指南。

在电子商务时代，随着互联网技术飞速发展，系统中的控制及相互依赖性已经没有组织与地理位置的限制，普遍存在于各种组织中。不管是什么规模的组织，都需要有一套控制指南来有效地管理信息系统和技术，并随着业务环境的变化和新技术的发展及时更新系统。

信息系统审计师及IT安全从业人员必须知道威胁来自何处，如何管理这些威胁带来的风险，而且也要知道如何与不同层次的管理人员共同讨论安全问题。我们在考虑信息与系统安全时，着重要回答以下关键问题：“如何管理IT风险？”“如何判断安全与控制措施是否完备？”“谁可以为IT安全提供鉴证？”“鉴证可以说明什么？”等。这就是制订eSAC控制规范的主要原因。

eSAC通过提供及时更新的信息，帮助我们理解、监测、评估及降低技术风险。eSAC检查业务系统各个组成部分的风险，包括客户、竞争对手、监管部门及合作伙伴。

模型中的左边箭头表示的是组织的任务，包括组织的价值取向、企业战略、主要目标等。

右边箭头表示的是组织获得所期望的回报，同时满足组织形象与声望的完善，及获得进一步提高绩效的学习能力。

从目标到结果需要建立合理的控制环境，包括系统运营的效果与效率，财务及管理的报告，对法律、法规的遵循，对信息资产的保护。

控制的效果要用与电子商务相关的各种控制属性来描述，如可用性、实际能力、机能性、可保护性、责任性，这些属性都可被称作业务鉴证目标，为人们正确看待各种控制提供了更广宽而准确的框架。对任何业务的控制都可以通过这些控制属性的组合来实现。例如：对隐私问题的控制可以通过可保护性和责任性的组合来实现。

要实现有效控制，需要利用各种资源，如人员，技术、流程、投资、沟通。

影响内部控制环境的外部因素主要有两种，如多方向的箭头表述了与外部实体（供应商、合作伙伴、代理商）之间的交互作用及相互依赖性，单方向箭头表述了外部市场力量（如客户、竞争对手、监管者、共同体、股东）和不断变化的环境对内部控制的影响。

椭圆形区域表示动态的控制内外部环境，为保证控制环境相对稳定和可控，就必须对环境进行监测与预测，使相关风险被控制在一个组织可以接受的水平。

四、IT运营的功能区域（例如，数据中心运营）

（一）与IT运营有关的部门及职责两类

1.系统开发小组。根据系统开发的目标开展系统分析、设计、编程和测试工作。系统开发小组由不同的信息系统专家组成，包括系统分析员、系统设计员、程序员和项目经理等。

2.系统运行小组。其主要职责是确保信息系统的正常运行。系统运行部门应建立系统的咨询帮助平台，及时回答并帮助解决用户提出的各种技术或操作问题。

（二）信息系统安全人员的职责

信息系统高层管理人员负责评估系统应用的风险，包括各种安全风险的发生概率以及可能引起的损失，并对实施和运行相关安全性措施所需的成本进行评估，从而在安全控制的成本和效益平衡的原则上，制定风险控制目标和措施。

信息系统安全主管的职责主要包括：为公司制定信息安全政策；评价应用程序的安全控制；检测并调查安全事件；监督具有访问特权的用户对生产数据的访问，以确保信息用于合理且经过授权的用途。

（三）数据中心运行

数据中心运行是指信息系统硬件及软件的日常工作。各组织的信息系统处理环境依计算机规模及负载量而有所不同，因此信息系统运行的内容也会有所不同，但一般而言，都具有如下基本内容：

10种

1.信息系统运行的管理；

2.计算机操作；

3.技术支持/帮助台；

4.数据输入/输出；

5.质量保证；

6.程序变更控制；

7.问题管理程序；

8.监控资源有效运行的程序；

9.实体及逻辑安全的管理；

10.应用管理与业务持续计划。

（四）外包服务

企业为了提高组织结构的适应性，使之能专注于核心业务，从而以最小的成本获取最大的边际利润，往往通过签订协议将其信息部门的部分或全部职能交给第三方服务机构来承担，即所谓的服务外包。第三方服务机构的类型及特点如下：

1.设备管理机构：按照用户的要求来管理运行用户拥有的数据处理设备。

2.计算机租赁公司：只提供设备，不负责设备管理运行。

3.服务局：管理运行自己拥有的数据处理设备，为不同客户提供处理服务。

4.共享服务商：管理运行自己拥有的数据处理设备和系统，使各类组织能使用它们的系统。

采用第三方服务是目前的流行趋势，但是这种服务同时也带来了合同纠纷、系统失败、运行不良、放弃日常操作控制等风险。

五、企业资源规划（ERP）软件（例如，SAP R/3）

（一）ERP概论

1.发展历程

（1）20世纪60年代制造业为了打破“发出订单，然后催办”的计划管理方式，设置了安全库存量，为需求与提前期提供缓冲。20世纪70年代，企业的管理者们已经清楚地认识到，真正的需要是有效的订单交货日期，产生了对物料清单的管理与利用，形成了物料需求计划MRP。

（2）20世纪80年代，企业的管理者们又认识到制造业要有一个集成的计划，以解决阻碍生产的各种问题，而不是以库存来弥补，或缓冲时间去补偿的方法来解决问题，要以生产与库存控制的集成方法来解决问题，于是MRP-Ⅱ即制造资源计划产生了。

（3）20世纪90年代以来，企业信息处理量不断加大，企业资源管理也更加复杂，这要求信息的处理有更高的效率，传统的人工管理方式难以适应以上系统，而只能依靠计算机系统来实现，信息的集成度要求扩大到企业的整个资源的利用、管理，从而产生了新一代的管理理论与计算机系统——企业资源计划ERP。

2.ERP概况

概括地说，ERP是建立在信息技术基础上的，利用现代企业的先进管理思想，全面集成了企业所有资源信息，为企业提供决策、计划、控制与经营业绩评估的全方位和系统化的管理平台。MRP-Ⅱ的核心是物流，主线是计划，伴随着物流过程，同时存在资金流和信息流。ERP的主线也是计划，但ERP已将管理的重心转移到财务上，在企业整个经营运作过程中，贯穿了财务成本控制的概念。

总之，ERP极大地扩展了业务管理的范围及深度，包括质量、设备、分销、运输、多工厂管理、数据采集接口等。ERP的管理范围涉及企业的所有供需过程，是对供应链的全面管理。

（二）ERP的风险与管理

1.ERP风险的种类

ERP的风险主要包括：项目决策风险、项目选型风险、需求分析风险、项目管理风险、对现有管理体制的冲击风险、实施质量风险、市场冲击风险、财务损失风险、人力资源风险和其他隐形风险等。

2.ERP风险造成的损失

ERP风险造成的损失可以分为四类：财产价值、净收入价值、法律责任、劳动力损失。

3.风险治理：

（1）回避风险：通常是在项目选择阶段要详细分析企业的需求、了解、掌握，选择合适的软件和实施服务供应商，仔细调查、分析供应商的案例。

（2）预防风险：指降低风险发生的频率，减少风险发生的可能性，但并不能完全消除风险，因此，剩余风险还需要用其他方式来处理。

（3）转移风险：转移风险是ERP项目较好的风险处理办法，其方式是通过合同方式规定风险承担者，以此来划分风险的责任，使风险向其他责任方转移。

（三）ERP的发展趋势

ERPⅡ正在取代ERP成为新一代的企业资源计划战略与应用。

ERPⅡ是通过支持和优化公司内部和公司之间的协作运作和财务过程，以创造客户和股东价值的一种商务战略和一套面向具体行业领域的应用系统。在ERPⅡ中，企业将从关注内部功能最优化的垂直一体化组织，转变为更灵活的以核心能力为基础的实体，努力使企业在供应链和价值网络中找到最佳定位。

六、数据、语音和网络通讯/连接（例如，LAN、VAN和WAN）

（一）计算机网络的分类

计算机网络按其覆盖地域可分为广域网（WAN）和局域网（LAN）。简单地说，局域网覆盖面较小（如一栋大楼内部），速度快；广域网覆盖面广（如全国），速度较慢。有时，也将连接一个城市内部的高速网络称为城域网（MAN）。

1.广域网络

广域网络根据其使用的通讯线路可分为专用网络和公用交换网络。专用网络是指应用单位直接铺设或租用专用的通信线路而构建的网络，其特点是系统安全性好，运行稳定，但投资巨大，非一般企业所能承受；公共交换网络则是利用共享的公共通信信道而建立的网络，其特点是系统投资少，但安全性较差。

虚拟专用网则是利用数据包封装和加密等技术，使数据包在公网传输时不会被他人所截获或篡改，从而在公用交换网络上建立的一个“虚拟”的专用网络，既具备私有网络的安全性，又具有公用网络的经济性，是目前十分流行的一种网络技术。

通常所说的广域网络是一种基础通讯网络，它不具备如公用协议接口、流量控制、日志审计、计费等高级服务功能，需要使用者自行解决。

于是就有第三方组织通过租用基础通讯网络，并在其上增加各种服务功能再转租给普通用户，这类网络统称为增值网。增值网通常根据流量计费，它不需要公司建设并维护自己的专用网络，但其租金比公共交换网络高，在传输大量数据的情况下，甚至有可能比专用网成本还高。

2.局域网的拓扑结构

（1）总线网。所有计算机都连在一条公共的电缆上，并按一定规则竞争使用信道，所以又称为共享网。特点：使用电缆较少，且容易安装，但电缆故障能导致整个网络的瘫痪，而且当网络流量接近带宽时，容易出现传输效率大幅下降。

（2）星型网。有一个中央节点，其他节点都与中央节点相连。特点：非中央节点的故障不会影响网络运行，也较容易扩充，但中央节点停止工作则整个网络将瘫痪。

（3）环型网。所有计算机相互串联成一个闭环，并通过一个循环令牌来分配信道，所以又称为令牌环网。特点：数据在通信线上的传输不会发生碰撞，性能平稳，但任一节点故障会导致整个系统失效。

一个典型的计算机网络中通常包括服务器和客户机，所有客户机共享服务器提供的各项服务（如文件服务、打印服务、目录服务等）。如果一个网络中没有指定专用服务器，任何节点都可与其他节点共享资源，则称这样的网络为对等网络。

3.各种网络连接设备

（1）网卡（NIC）：使计算机和网络相连的接口设备。

（2）调制解调器（modem）：能将数字信号和模拟信号相互转换，从而使数字信号能通过模拟

的语音信道传输的设备。

（3）中继器：能放大物理信号强度，从而延长通信电缆的有效距离。

（4）集线器：构成共享型星型网络的中心连接设备，其上所有端口共享信道。

（5）交换机：构成交换型星型网络的中心连接设备，其上的每个端口均独占各自的信道。

（6）网桥：一种网络连接设备，可以连接两个相同类型的网络，并通过设备的链路地址隔离网络。

（7）路由器：可以连接多个相同类型网络并根据网络地址实行路由选择。

（8）网关：一种网络连接设备，可以连接两个不同类型的网络并完成网络协议转换。

（二）网络管理和控制

大型网络的构成十分复杂，必须对组成网络的各种硬软件设施进行综合管理，以达到充分利用这些资源，并保证网络向用户提供可靠的通信服务。网络管理和控制软件就是用于实现这一目标的，其功能可分为：

1.故障管理：是网络管理最基本的功能，指系统出现异常情况下的管理操作。

2.计费管理：负责记录网络资源的使用情况和使用这些资源的代价。

3.配置管理：定义、收集、监测和管理系统的配置参数，使得网络性能达到最优。

4.性能管理：收集、分析和平衡网络资源的运行状况和通信效率等系统性能。

5.安全管理：控制对网络资源的访问，以保证网络不被侵害（有意识的或无意识的）。

（三）语音通讯

语音通讯从传输介质上可分为有线通讯和无线通讯，从传输方式上则可分为模拟语音通讯和数字化语音通讯：

普遍模拟电话，是传统的语音通话技术，它由公用电话网（PSTN）来承载，通过电路交换方式（模拟电话交换机）实现。

数字化语音电话，是将模拟语音信号数字化后，通过数字网络（如ISDN，IP网络等），以包交换的方式实现，包括IP电话、语音邮件等。

IP电话可大大节省企业的通讯费用，但同时也带来泄密和失真的潜在危险，入侵者可能在网络上窃听通话内容，甚至通过其语音系统入侵企业内部网络。端—端语音加密是防止泄密的有力手段，但有些国家对语音信息的端—端加密有法律限制。

语音通信作为组织重要的基础通信设施，其任何形式的中断甚至低效率运转均可能给组织带来重大的损失，因此必须将其纳入组织的应急计划。

七、软件许可

（一）软件版权

软件版权/许可协议是组织和软件提供商之间达成的软件使用条款，软件使用许可可以基于：

1.服务器；

2.每台计算机（每个处理器，每个个人）；

3.站点；

4.用户数（并发用户数或总用户数）；

5.使用量（总使用次数）；

6.浮动（灵活的）。

绝大多数许可会禁止利用反编译或逆向软件工程来还原源代码，除非该组织特别购买了源代码许可。许多软件许可允许出于灾备目的而制作拷贝。如果组织需要将软件许可转给外包服务商，则应该和软件提供商协商并修改原始合同。

如果在软件许可协议允许的范围之外制作或安装了非法的软件拷贝，就会构成盗版。有些软件需要进行注册或激活后才能运行，这可以检测并抑制盗版的发生，但许多软件并未设置反盗版技术，因此盗版行为是很容易发生的。

（二）盗版软件的危害和治理

使用盗版软件的危害：使用盗版软件一方面违反版权法，需要承担法律责任，另一方面容易感染病毒。

防止使用非法软件的方法：建立组织内部的软件许可使用规章制度和政策，并通过版权法教育

来增强雇员的版权意识；保存组织购买软件的原始记录，定期对每台计算机上使用的软件进行审查鉴别；正版软件的安装盘应由专人保管，可以为了备份目的制作拷贝，但不得用于其他计算机的安装使用。

非法软件的发现：发现个人电脑上正在使用非法软件的方法是定期将软件采购记录与个人电脑上的可执行文件进行比较，或者将显示器上的系列号与销售商的系列号进行比较。如果两者不一致，就证明正在使用非法软件。

（三）软件采购

和自行开发相比，采购商品化软件通常拥有更多的优势。一般来说，商品化软件文档更齐全，测试更全面，多数情况下成本也较低，而且可以得到持续的版本升级支持。此外，在某些紧急情况下，如企业内部员工突然离职时，软件提供商通常会根据协议提供必要的支持。

商品化软件通常可以灵活配置，以满足不同企业的需求。这种灵活性是一把双刃剑，一方面它可以满足企业不断变化的需要，但另一方面它也容易因不适当的配置而导致错误，而且灵活性越好的软件对硬件平台的配置要求也越高。一些企业倾向于进行更多的定制开发，但这样做的代价高昂而且会给产品升级带来问题。

八、操作系统

操作系统是计算机系统的核心软件，是计算机系统的核心软件，随着信息系统应用模式的变迁，操作系统的角色也在不断丰富，但其核心功能仍然是对中央处理器、存储器和输入/输出装置等系统资源进行分配、调度和监视，在物理硬件、应用软件和用户之间起桥梁作用。除管理硬件和软件外，它的另一主要功能是保证用户只能对经授权的数据进行读写访问。

1.监视器是操作系统的一个组成部分，其作用包括两方面，一是辨别计算机硬件的瓶颈和软件设计的问题，二是调整计算机运行的负荷。通过监视器也可以发现网络反应时间的恶化情况。

2.图形化用户接口（GUI）是操作系统的一个组成部分，用户可以用鼠标点击图形来输入命令。如WINDOWS就使用了GUI。

3.终端仿真是PC机操作系统配备的一个工具软件，可以模拟一台哑终端的功能。

常用的操作系统有：PC机/工作站操作系统（DOS、MS Windows、MAC OS等）、服务器操作系统（MS Windows Server、Linux等）、大型机操作系统（IBM S/390、IBM MVS等）。

九、网络基础设施

（一）因特网概述

因特网是计算机网络发展的划时代成果，利用因特网，任何人均可以使用网络浏览器（web browser）来浏览互联网上的超文本文件等各种信息。因特网为人们提供了几乎是无穷无尽的信息资源，但与此同时，如何在如此众多的信息中找到最好的信息源也成了使用因特网最大的困难。

因特网除了能提供各类信息外，还为人们的交流提供了各种手段和场所，如电子邮件（E-mail）、远程登录（telnet）、文件传输（FTP）、万维网（WWW）、专题论坛（usenet）、电子公告牌（BBS）等。

（1）专题论坛（usenet）是用户可以张贴问题，并由其他专家用户回答问题的专题小组。

（2）电子公告牌（BBS）是一种计算机系统，具有特殊兴趣的小组可以在BBS上发布和阅读信息，进行交流。

内联网（Intranet）和外联网（Extranet）：内联网是企业基于因特网技术建立的面向其内部职员的网络，企业职员可以通过内联网远程访问公司内部网络；外联网则将服务对象扩展到了企业的合作伙伴（客户、供应商、各类机构）。显然，无论是内联网还是外联网都需有设置适当的访问控制措施以防止用户滥用网络资源。

（二）因特网基础

1.因特网的网络架构

因特网的基础是一个由主干网、次级网和园区网构成的覆盖全球的通信网络。

（1）主干网：由代表国家或者行业的有限个中心节点通过专线连接形成，覆盖到国家一级；连接各个国家的因特网互连中心（如中国互联网信息中心CNNIC）。主干网节点之间通过主干线路连

接，主干线路通常由长途电话公司或政府管理。

（2）次级网（区域网）：若干个作为中心节点代理的次中心节点组成。次中心节点之间通过区域性线路连接，通常由区域电话或电信公司经营，这些通信公司将其信道带宽租给因特网服务提供商（ISP）经营。次级网和主干网之间的连接点称为网络接入点（NAPs）。

（3）园区网（校园网、企业网）：直接面向用户的网络（最后一公里），常见的连接手段有入户光纤、有线电视、DSL及电话拨号等。

与因特网的基础通信网络不同，因特网（资源网）本身是一个松散的网络，它既不属于任何组织，也不被任何机构所管理。正因为如此，有些国家严格控制甚至完全禁止其国民使用因特网。

2.因特网的工作原理：

因特网采用TCP/IP协议簇作为其通讯协议。其中TCP（传输控制协议）和IP（网间传输协议）是其中的两个核心协议。

TCP/IP协议中用于唯一确定网络节点地址的是IP地址，IP V4（版本4）地址由32位二进制（4个字节）组成，通常用4个十进制来表示，如：202.119.2.199

由于IP地址难于理解和记忆，采用了一套有助于记忆的符号化“域名地址”来表示网络节点，域名也采用层次命名结构：域.子域（.子域（.子域）），体现了一种隶属关系，如：https://www.360docs.net/doc/8813408541.html,中国.教育科研网.东南大学

域名管理系统（DNS）负责域名和IP地址之间的转换。

因特网上的节点可分为服务节点（服务器）和访问节点（终端），访问节点也称为网络终端或浏览器终端，服务节点则可能是运行各种操作系统和应用服务的设备。一个服务节点可以提供多种服务，通过服务端口号来区分，可以为每个服务端口号赋予一个名称，多数著名的服务均默认的端口号和名称，如：WWW（万维网）的默认端口号为80。

3.因特网术语：

（1）HTTP/HTTPS（超文本传输协议/安全的超文本传输协议）：实现因特网消息格式化和传输的标准协议，其中HTTPS是加密版本。

（2）IP地址/域名：唯一标识因特网上设备的数字化/符号化地址。

（3）域名管理系统（DNS）：负责域名和IP地址之间转换的层次化服务系统。

（4）URL（统一资源定位符）：唯一地表示因特网上的任一资源，由；传输协议、域名、服务名、目录路径、文件名和参数构成。例如：

http：//https://www.360docs.net/doc/8813408541.html,：80/finance/index.php？id=29&id=30

（5）FTP（文件传输协议）：TCP/IP协议簇中包含的一种应用层协议，用于通过网络传输各种文件。

（6）Telnet（远程登录协议）：TCP/IP协议簇中包含的一种应用层协议，用于通过网络远程登录主机。

（7）IM（即时消息传递）：一种服务，可通过网络实现文本消息的实时传递。

（8）CGI（通用网关脚本语言）：一种标准的编程语言，服务例程可通过调用它们动态访问服务器上的资源。其他常用的类似语言还有：perl，php，asp。

（9）Cookies（小甜饼）：是由Internet站点创建的并存储在本地计算机上的一段文本信息，例如访问站点时的首选项和个人可识别信息等，其作用是简化网页访问过程。

（10）Applets（小应用程序）：浏览器在访问网页时动态从服务器下载并执行的一段小程序，通常由JAVA编写。

（11）SMTP（简单邮件传输协议）：规定怎样将个人计算机连接到Internet的邮件服务器和发送电子邮件的协议。

（12）POP3（邮局协议版本3）：规定怎样将个人计算机连接到Internet的邮件服务器和下载电子邮件的协议。

（三）电子邮件安全

电子邮件是因特网上应用最广泛的功能之一，随着电子邮件的广泛使用，其安全控制也变得越来越重要。常见的控制措施包括：

1.公司应该规定雇员不能用电子邮件发送高度敏感或机密信息；

CIA内部审计知识要素第二章风险管理

Ⅱ.风险管理 10%-20% A.风险管理技术 B.风险框架的组织运用 C.内部审计在风险管理的定位 风险管理技术 1.概念 风险管理指识别、评估、管理和控制潜在事件或情况的过程，目的是为实现组织的既定目标提供合理保证。 风险管理就是采取一定的措施对风险进行检测评估，使风险降低到可以接受的水平，并将其控制在某一可以容忍的程度。 2.风险的定义 1）不确定性，也就是某种结果出现的概率； 2）后果，即实际结果与期望值的偏离。 风险的衡量标准是后果与可能性。 在经营管理活动中，风险常常被定义为生产运营的弊端、失误或失败带来组织危机的可能性。 对组织而言，风险是某种不利因素产生并造成实际损失，致使组织目标无法实现或降低实现目标效率的可能性。 组织中的风险可能来自很多方面，其中既包括内部管理不善、人为损害的风险，又包括外部环境变化造成的风险，同时包括可能出现的不可预知的自然灾害等因素。 3.风险管理 基本原则：以最小的成本获得最大的保障。 风险管理的处理方法： 1）回避风险 2）预防风险 3）保留风险 4）转移风险 4.回避风险（避免风险） 考虑到影响预定目标达成的诸多风险因素，结合决策者自身的风险偏好和风险承受能力而作出的中止、放弃某种决策方案或调整、改变某种决策方案的风险处理方式。 风险回避的前提在于企业能够对企业自身条件和外部形势，客观存在的风险属性和大小有准确的认识。这种方法明显具有很大的局限性，因为并不是所有的风险都可以回避或应该进行回避。 5.预防风险（控制风险） 指采取预防措施，以降低损失发生的可能性及损失程度。 预防风险涉及一个现时成本与潜在损失比较。 若潜在损失远大于采取预防措施所支出的成本，就应采用预防风险手段。 举例：兴修水利、建造防护林 6.保留风险（自留风险） 指自己非理性或理性地主动承担风险，即指一个企业以其内部的资源来弥补损失。 “非理性”保留风险是指对损失发生存在侥幸心理或对潜在的损失程度估计不足从而暴露于风险中； “理性”保留风险是指经正确分析，认为潜在损失在承受范围之内，而且自己承担全部或部分风险比购买保险要经济合算。 保留风险适用于发生概率小，且损失程度低的风险。 7.转移风险（分担风险） 指通过某种安排，把自己面临的风险全部或部分转移给另一方。通过转移风险而得到保障，是

内部审计法规知识竞赛百题

内部审计法规知识竞赛百题 成绩单 您的得分：98 分答对题数：98 题您的名次：650 名 问卷满分：100 分测试题数：100 题参与人次：1063 人 答案解析 基本信息：* [矩阵文本题] 1. 《审计署关于内部审计工作的规定》（第11号令）（以下简称《规定》）是由____ _____审计长签发的，经过___________会议审议通过。[分值：1] 您的回答：胡泽君审计署审计长（得分：1） 2. 《规定》从____年___月___日起施行。[分值：1] 您的回答：2018年3月1日 3. 《规定》共分为___章___条。[分值：1] 您的回答：7章34条 4. 依法属于审计机关______________的单位的内部审计工作，以及审计机关对单位内部审计工作的业务指导和监督，适用本规定。[分值：1] 您的回答：审计监督对象（得分：1） 5. 《规定》所称内部审计，是指对本单位及所属单位财政财务收支、经济活动、内部控制、风险管理实施独立、客观的监督、评价和______，以促进单位完善治理、实现目标的活动。[分值：1] 您的回答：建议（得分：1）

内部审计机构和内部审计人员从事内部审计工作，应当严格遵守有关法律法规、本规定和内部审计职业规范，忠于职守，做到______、客观、公正、______。[分值：1] 您的回答：独立保密（得分：1） 7. 国家机关、事业单位、社会团体等单位的内部审计机构或者履行内部审计职责的内设机构，应当在本单位______、________的直接领导下开展内部审计工作，向其负责并报告工作。[分值：1] 您的回答：党组织主要负责人（得分：1） 8. 内部审计人员应当具备从事审计工作所需要的________。单位应当严格内部审计人员录用标准，支持和保障内部审计机构通过多种途径开展继续教育，提高内部审计人员的职业胜任能力。[分值：1] 您的回答：专业能力（得分：1） 9. 审计机关可以通过业务培训、_____等方式，加强对内部审计人员的业务指导。[分值：1] 您的回答：交流研讨（得分：1） 10. 审计机关应当对单位报送的_______进行分析，将其作为编制年度审计项目计划的参考依据。[分值：1] 您的回答：备案资料（得分：1） 11. 国有企业应当按照有关规定建立___________。[分值：1] 您的回答：总审计师制度（得分：1） 12. 单位应当将内部审计工作计划、工作总结、审计报告、整改情况以及审计中发现的重大违纪违法问题线索等资料报送__________备案。 [分值：1] 您的回答：同级审计机关（得分：1）

质量体系内审流程及现场审核技巧

质量体系内审流程及现场审核技巧 内审，也称为第一方审核，由组织自己或以组织的名义进行，审核的对象是组织自己的管理体系，验证组织的管理体系是否持续的满足规定的要求并且正在运行。 它为有效的管理评审和纠正、预防措施提供信息，其目的是证实组织的管理体系运行是否有效，可作为组织自我合格声明的基础。 是对所策划的体系、过程及其运行的符合性、适宜性和有效性进行系统的、定期的审核，保证管理体系的自我完善和持续改进的过程。 1. 年度内审策划 按照内审程序规定，制定年度审核计划，确定内审的实施月份。 内审应覆盖质量管理体系所有过程、部门和场所，每年至少一次。 如下特殊情况时可增加内审频次： a) 当合同要求或客户需要评价质量管理体系时； b) 当机构和职能有所重大变更时； c) 发现严重不合格而需要审查时； d) 第三方审核认证或监督审核前； e) 最高管理者提出要求时。 2. 成立内审小组 根据内审活动目的、范围、部门、过程及日程安排，最高管理者授权成立内审小组。 内审人员资格条件： a) 内审人员应是所在部门负责人或主要骨干； b) 内审人员应通过质量管理体系内审课程培训并考试合格； 合格内审员应有符合内审员资格的相关说明文件。 内审组长职责： a) 协商并制定审核活动计划，准备工作文件，布置审核组成员工作； b) 主持审核会议，控制现场审核实施，使审核按计划和要求进行； c) 确认内审员审核发现的不合格项报告。 内审员职责：

a) 根据审核要求编制检查表（通常是体系部门制作）； b) 按审核计划完成审核任务； c) 将审核发现形成书面资料，编制不合格项报告； d) 协助受审核方制定纠正措施，并实施跟踪审核。 3. 编制内审实施计划 按照年度内审计划安排的月份，编制内审日程计划，在编制内审实施计划时，编制人应与各内审员及被审核部门负责人确认时间的安排是否合理，如有问题，及时调整计划。 审核实施计划应包括以下内容： a) 内审的目的、范围、起止日期； b) 依据的文件；关注公众号：质量教育学堂。 c) 本次审核的主要内容和时间安排； d) 内审员分工。 4.编制内审检查表 审核前内审员应根据分工编制检查表，检查表要求： a) 应突出审核区域的主要职能，选择典型关键的质量问题应覆盖质量管理方面的全部职能，包括本公司客户的一些特殊要求； b) 使用一段时间后形成相对稳定内容，作为标准检查表，为以后内审提供参考 5. 通知内审 内审前至少提前一周通知受审部门，内审实施计划应得到受审核部门负责人的确认。 6. 首次会议 现场审核前应召开首次会议，由审核组全员和受审部门负责人及有关人员参加，会议由内审组长主持，与会人员应签到，会议时间以不超过半小时为宜。 首次会议召开的主要内容： a) 向受审核部门介绍审核组成员分工；

内部审计专业知识.

内部审计专业知识 内部审计概论 1.内部审计是在受托经济责任关系下，基于经营管理和控制的需要而产生和发展起来的。 2.我国内部审计产生在奴隶社会。 3.企业内部设立“稽核”职务和部门，实行内部审计制度。 4.内部审计是国家审计的基础。 5. 1987年，中国内部审计学会成立。2001年，经审计署统一，民政部批准将学会更名为协会，成为行业自律管理的社会团体组织。 6.2003年3月，审计署发布了《审计署关于内部审计工作的规定》（4号令）。 7.1941年现代第一个内审团诞生于美国，这一年也是现代内部审计的奠基年。 8.内部审计发展的动因： （1）受托经济责任关系是基本前提 （2）是基于企事业单位内部管理和控制需要产生和发展的 （3）外部压力起到了推动作用 9.内部审计模式：控制导向审计→风险导向审计 内部审计职能：评价扩展→预测、咨询、保证 内部审计转变：独立向→注重价值（企业价值最大化，价值≠产值） 内部审计方式：说服→协商 10.中国内部审计协会在《内部审计基本准则》对内部审计的定义：指组织内部的一种独立客观的监督和评价互动，凭适当性、合法性、有效性、（合规性）促进组织目标的实现。 内部审计机构独立于被审计单位。 11.分类：（1）财务审计 （2）经营审计 （3）任期经济责任审计 12.特征： （1）内向性 （2）及时性和广泛性 （3）紧密相关性 13.作为内部管理和控制的重要手段的特点： （1）综合性 （2）高层次 14.作用： （1）监控 （2）咨询 （3）风险预警 （4）信息鉴证 15.需建立健全内部审计制度：国家机关、金融机构、企事业组织、社会团体。

16.模式： （1）设在董事会或其下审计委员会 （2）设在监事会 （3）隶属于总经理 （4）与纪检、监察合署 （5）隶属于财会部门：将审计者与被审计者合并，成了财务的内部监督，失去了审计的基本职能 17.内部审计机构不得负责被审计单位的经营活动和内部的决策与执行，但可以参与（参与≠参加）。 内部审计机构独立于被审计单位，但不独立于委托者。 18.权限： （1）报送资料权 （2）参与决策权 （3）检查权 （4）调查取证权 （5）强制措施权 （6）建议权 （7）通报批评权 （8）处理、处罚权 19.内部审计人员的基本条件： （1）学识及专业能力 （2）遵循职业道德规范 （3）保持独立性和客观性 （4）具有较强的人际交往技能 20.内部审计协会是内部审计行业的自律性组织，是社会团体法人。 21.审计机关对协会进行指导、监督和管理。 国家审计署、民政部对协会进行指导、监督和管理。 审计机关内设的内部审计管理机构负责对内部审计工作的指导、监督和管理。 22.内部审计协会不为成员提供专业服务和人事代理活动。 23.中国内部审计协会的最高权力机构是会员代表大会。 24.国际内部审计师协会制定内部审计的工作标准和有关规定。

{财务管理内部审计}中级审计师审计专业相关知识真题

{财务管理内部审计}中级审计师审计专业相关知识 真题

3.中央银行的下列行为中，能够导致货币供应量增加的是： A.提高利率 B.提高法定准备率 C.卖出有价证券 D.降低再贴现率 4.一国保护贸易政策中，除关税政策外，还有： A.汇率政策 B.财政政策 C.外资政策 D.非关税壁垒政策 5.某公司长期资金由长期负债、普通股和留存盈利组成，比例分别为50%、30%和20%，资金成本分别为10%、20%和15%，则该公司长期资金的加权平均成本为： A.10% B.14% C.15% D.20%

6.认为企业价值的大小只受资产投资决策影响的观点属于： A.信号传播理论 B.顾客效应理论 C.股利相关理论 D.股利不相关理论 7.在下列投资决策方法中，属于非折现方法的是： A.投资收益率法 B.净现值法 C.内含收益率法 D.盈利指数法 8.影响可比产品成本降低任务完成情况的因素分析中，标准价格下的实际成本与标准成本之间的差异为： A.数量差异 B.价格差异 C.成本差异 D.预算差异

9.在其他条件不变的前提下，经营杠杆系数大意味着： A.销售发生一个很小的变化会导致每股收益发生很大改变 B.销售发生一个很小的变化会导致经营利润发生很大改变 C.经营利润发生一个很小的变化会导致每股收益发生很大改变 D.经营利润发生一个很小的变化会导致销售发生很大改变 10.下列会计核算的一般原则中，属于会计要素确认计量原则的是： A.相关性原则 B.实际成本原则 C.可比性原则 D.重要性原则 11.分配单位内部医务人员的工资，应借记的会计科目是： A.管理费用 B.营业费用 C.生产成本 D.应付福利费

内审技巧

质量，职业健康安全，环境管理体系 内审技巧 1．编写内审计划的注意事项 1.1要覆盖标准的所有条款。 1.2要以手册中的职能分配表为依据编写各部门的审核条款（主条款和通用条款）。 1.3 不能机械地按GB/T19001-2000标准的条款分配时间,而应考虑各部门的过程多少. 1.4最高管理层也应审核,但审核的方式可以根据实际情况决定(自审,请外单位审核员,但提倡接受内审). 1.5懂专业的内审员可分配到专业性较强的过程和部门去审核(如生产车间,品质部). 2．进入一个部门时，先审核5.5.1,请受审核部门领导介绍部门的职责和分工的基本情况,查有无岗位职责等。 3．掌握时间。先审主条款,再审核通用条款(如销售部先查7.2/8.2.1/5.2再 查:7.5.1f/7.5.3/7.5.5/8.3/8.4a)b）) 。不超过规定的时间。一个部门的审核时间有限，应突出审核重点，兼顾其他。

4．通用条款如何审核和取证： 4.1从该部门职责入手，抽查相关的通用条款。（销售部门相关__7. 5.1f）/7.5.3/7.5.5/8.3/8.4a)b）。）4.2通用条款必查的有： 质量管理体系： 4.2.3/4.2.4/ 5.4.1/5.5.1/ 6.2.2/8.2.3/8.5.2/8.5.3 其中8.2.3/8.5.2/8.5.3.不一定每个部门都查,有的 可少查。但生产部，质监部,供应部，销售部必查。 职业健康安全，环境管理体系：4.3.1（环境因素识别/危险源辨别）/4.4.1（资源、作用、职责和权限，（结构和职责）/4.4.2（能力、培训和意识）/4.3.3（目标、指标和管理方案）/4.4.5（文件和资料控制）/4.5.3（记录和记录管理）/4.5.1监视和测量（绩效测量和监视）/4.5.2（事故，事件，不符合，纠正措施和预防措施。） 其中，4.5.1绩效测量和监视/4.5.2事故，事件，不符合，纠正和预防措施不一定每个部门都查。有的可少查。但生产部，质监部,安全环保部，供应部，销售部必查。 5. 审核方式及注意事项： 5.1向受审核方提问，听对方回答时，审核员边听边看文件，查对方是否按文件执行了.

内部审计知识

内部审计的定位、职能及部门构设 （一）内部审计的定位思路 无论企业所处何种发展阶段，对内部审计的定位都应该基于如下的目标之上。 一、审计部应致力于成为公司的不可缺少的价值创造部门 审计部门将通过确认和咨询服务等为组织创造真正的附加价值，把监督融于服务之中，通过审计独有的视角寻找问题、机会和风险，从而改进工作、堵塞漏洞、推动管理,以达到提高公司效益和效率的增值目标。 在这个过程中，我们一定要纠正一个观点，那就是认为内部审计的价值就是发现问题,以问题导向来对内部审计的价值进行评价，那么这种看法实际是片面的。内部审计的价值并不仅仅在于发现问题,更在于能够帮助组织改善管理、提高效率、促进经营、实现目标。 我们都听过扁鹊三兄弟的故事,世人均在说扁鹊人医术高超，为什么扁鹊自己却认为长兄最高呢？恐怕是世人只是看到了扁鹊解决问题的能力，而没看到长兄防范于未然的超前意识。 而这个超前意识恰恰是内部审计可以发挥更大价值的地方，也是容易被忽略的，不要等到组织出了问题才想到内部审计的好。 二、审计部应将致力于成为推动公司创新和变革的重要工具 审计部门作为一个新成立的部门要以全新的面貌出现,要通过对各部门和公司的审计,成为推动公司进行全面改革和创新的工具,通过审计改变过去不正确的工作思路、工作方式、工作流程和工作制度，从而为公司顺利向前发展扫除阻碍。 在这个过程中，内部审计不仅仅会发挥确认的作用，还有可能会涉及到咨询的职能。这些职能的作用均可以为组织目标服务,无论是那一条路最终都是一个终点。 通过内部审计这一群体不断优化创新组织的各个方面，甚至是变革。这样会做会起到一个很好的作用就是内部审计定位与组织的不断融合,这也是我们希望看到的一个场景。 三、审计部应致力于成为提高企业管理水平的重要力量 目前,在国内内部审计的一项工作与企业的绩效管理有关,那就是绩效审计。如需加强管理绩效审计力度，就要通过对各部门的管理绩效的定期评估,以最大限度地挖掘管理效率和效益，推动公司战略管理、风险管理、业务经营管理、人力资源管理和行政后勤管理等工作改善和提高，以真正提高公司的竞争力和战斗力。 当然，内部审计的定位不单单只是一个绩效审计这样简单，它的涵盖内容也是多种多样的。也正是通过这种方式才会帮助及促进组织的方方面面得到改善,才会在企业管理水平提升的过程中体现出内部审计的定位记及价值。 四、审计部应致力于成为推动公司规范化管理的有力武器 公司目前正在努力强化规范化管理,是达到公司事无巨细规范化和制度化的目标，审计部门的成立将在规范化管理中发挥两大作用：

内部审计完整流程体系

内部审计的完整流程体系 内部审计五大流程包括审前准备、审计实施、审计报告、后续审计和成果运用。审计方法不仅仅是取证方法，而且是一个完整的体系。审计人员与被审人员都有各自的心态表现，审计人员应及时掌握被审人员的心态，并适时调整自己的心态，恰当运用审计方法，以便能做好审计工作。 一直以来，理论界与实务界对内部审计流程与方法没有确切的说法。总是照搬照抄政府审计或民间审计，这是内部审计界的一大欠缺。笔者对其进行深入探讨，以期与同行交流，对实务界有所帮助。 一、审前准备工作 (一)整体内容框架 (二)主要工作 1 编制年度审计计划应该关注的因素

单位组织年度内经济工作的中心问题;单位组织重大政策措施落实情况及存在的问题;经营管理中存在的突出问题和难点问题;群众普遍关注或反映强烈的热点问题;以往审计发现的比较突出、影响较大的问题;具体审计项目先后顺序安排;审计资源(人员数量、审计耗时与审计经费)的合理分配;后续审计的必要安排。 2 项目审计计划的内容 审计目标;审计范围;重要性;审计风险评估;审计小组构成;审计时间分配;专家与外部审计工作结果的利用等。 3 审计前的调查内容 经营活动情况;内部控制设计与运行情况;财务会计资料;重要合同、协议及会议记录;上次审计结论、建议及后续审计执行情况;上次外部审计意见等。 4 审计方案的内容 具体审计目的;具体审计方法和程序;预定执行人及执行日期等。 5 审计通知书的内容 被审计单位及审计项目名称;审计目的;审计范围;审计时间;被审计单位应提供的具体资料和必要协助;审计小组名单;审计机构及负责人签章和签发日期。(附件包括：被审计单位承诺书、被审计单位提供资料清单、审计文书送达回证。 二、审计实施工作

审计学知识点及试题

.审计的特征包括（）。 ? A.独立性和法规性 ? B.独立性和权威性 ? C.合法性和权威性 ? D.合法性和公允性 【答案】B 【解析】审计特征包括独立性和权威性。 【知识点】审计特征。 【多选题】1.注册会计师审计的产生和发展经历的四个阶段( )。 ? A.详细审计阶段 ? B.资产负债表审计阶段 ? C.会计报表审计阶段 ? D.利润表审计阶段 ? E.现代审计阶段 【答案】ABCE 【解析】注册会计师审计的产生和发展经历详细审计阶段、资产负债表审计阶段、会计报表审计阶段和现代审计阶段四个阶段。 【知识点】注册会计师审计的产生和发展。 多选题】1.注册会计师进行年度财务报表审计时，应对被审计单位的内部审计进行了解，并可以利用内部审计的工作成果，这是因为（）。 ? A.内部审计是注册会计师审计的基础 ? B.内部审计是被审计单位内部控制的重要组成部分 ? C.内部审计和注册会计师审计在工作上具有一定程度的一致性 ? D.利用内部审计的工作成果可以提高注册会计师的工作效率 ? E.内部审计合法性和权威性 【答案】BCD 【解析】注册会计师审计作为一种外部审计，在工作中要利用内部审计的工作成果，这是因为内部审计是被审计单位内部控制的重要组成部分；内部审计和外部审计在工作上具有一致性；利用内部审计的工作成果可以提高注册会计师的工作效率，节约审计费用。 【知识点】注册会计师审计与其他审计之间的关系。

多选题】1.下列有关顺查法的提法中，正确的有( )。 ? A.审计取证的顺序与反映经济业务的会计资料形成过程相一致 ? B.审计人员沿着原始凭证—记账凭证—会计账簿一财务报表的顺序进行审查 ? C.方法简单、易于掌握 ? D.审计过程全面细致，不容易遗漏错弊事项 ? E.适用于业务规模较大、内部控制较为健全的被审计单位 【答案】ABCD 【解析】适用于业务规模较小、会计资料较少、存在问题较多的被审计单位。 【知识点】审计的分类和审计方法。 【多选题】1.注册会计师职业道德是指( )。 ? A.注册会计师职业品德 ? B.注册会计师职业能力 ? C.注册会计师职业纪律 ? D.注册会计师专业胜任能力 ? E.注册会计师职业责任 【答案】ACDE 【解析】注册会计师职业道德是指注册会计师职业品德、注册会计师职业纪律、注册会计师专业胜任能力、注册会计师职业责任等的总称。 【知识点】注册会计师职业道德概念。 【多选题】1.注册会计师对对同行的责任包括（）。 ? A.会计师事务所不得雇用正在其他会计师事务所执业的注册会计师 ? B.注册会计师及其所在会计师事务所不得对其能力进行广告宣传以招揽业务 ? C.对在执业过程中知悉的商业秘密保密 ? D.不能按服务成果的大小决定收费标准的高低 ? E.会计师事务所不得以不正当手段与同行争揽业务 【答案】AE 【解析】注册会计师对对同行的责任包括（1）注册会计师应当与同行保持良好的工作关系，配合同行工作。 （2）注册会计师不得诋毁同行，不得损害同得利益。（3）会计师事务所不得雇用正在其他会计师事务所执业的注册会计师。注册会计师不得以个人名义同时在两家或两家以上的会计师事务所执业。（4）会计师事务所不得以不正当手段与同行争揽业务。

第二部分：内部审计的职能和内容

（一）监督职能。监督职能是内部审计的基本职能。 （二）控制职能。内部审计机构是集团的一个重要职能部门，它独立于其它各部门和其它控制系统，是对其它控制的一种再控制，再此与其它控制形式相比，更具独立性、权威性和全面性。内部审计又是内部控制的特殊构成要素，是对内部控制实施的再控制。 （三）评价职能。通过内部审计可以熟悉子公司的生产经营情况和财务状况，并且由于内部审计部门独立于子公司，更能客观公正地评价子公司的管理情况和运行业绩。 （四）服务职能。内部审计可以通过事前、事中和事后控制为管理当局的决策、计划、控制提供依据，这些都充分体现了内部审计的服务职能。集团公司内部审计人员素质的不断提高、知识结构的日趋合理化，将起越来越重要的作用。（8、金勇） ２．内部审计职能。内部审计是监督财务制度及核算是否健全。是内部控制的重要组成部分。通过对内部控制制度和管理效能进行审计，发现管理方面存在的问题，找出管理中的薄弱环节，促进被审计单位改进管理，提高管理水平，帮助企业更好的实现组织目标。具体来说，现代内部审计具有监督、评价鉴证、管理控制、服务等四项职能。 （１）监督职能。企业内部审计监督对一个企业的规范化管理具有重要作用。内部审计监督包含两方面的意思：代表企业股东及董事会等决策层对本企业的会计机构及其他职能部门的经济活动进行监督，看其是否正确执行企业的经营方针政策，是否完成任务，不仅在于查错防弊，重要的是检查评价；二是业务上受当地政府审计厅局的业务领导，代表国家对企业的经济活动进行监督。 （２）评价鉴证职能。内部审计的评价是内部审计人员依据一定的审计标准对企业经营活动及其绩效进行合理的分析和判断。评价过程就是针对审核中发现的问题和缺陷进行评议，在肯定成绩的同时指出问题的所在。评价在内部审核中发挥着核心职能的作用。鉴证是对企业的财务管理及其经济活动的鉴定和证明，根据相关依据做出结论。 （３）管理控制职能。内部审计部门通过审计活动，对企业经营管理、生产、技术等各部门进行彻底的检查、取证、分析和评价，客观公正地做出结论，提出改进工作的意见和建议；协助领导进行科学的决策，强化内部控制，堵塞管理漏洞，提高经济效益。 （４）服务职能。企业内部审计的服务职能有两层含义：一是要为本企业服务，对最高层负责，完成其指派的任务；二是为国家审计机关及企业上级行业主管部门服务，完成他们交办的工作。（10、郑） 内部审计的职能就是对与本单位利益相关的各种活动进行监督，保证其运作的合法性、合规性

国际注册内部审计师的相关知识

国际注册内部审计师 CIA是国际注册内部审计师（CERTIFIED INTERNAL AUDITOR）的英文简称，它不仅是国际内部审计领域专家的标志，也是目前国际审计界唯一公认的职业资格。CIA需经国际内部审计师协会（INSTITUTE OF INTERNAL AUDITORS 简称 IIA）组织的考试取得。[1] 考试科目 第一部分：内部审计在治理、风险和控制中的作用 具体包括：遵守 IIA 的属性标准；以风险为基础制定审计计划，确定内部审计重点；理解内部审计在公司治理中的作用；执行其他内部审计任务和职责；治理、风险和控制的知识要点；策划审计业务。 第二部分：实施内部审计业务 具体包括：实施审计业务；实施具体审计业务；监督审计业务结果；舞弊知识要点；审计业务手段。 第三部分：经营分析和信息技术 具体包括：经营过程；财务会计与财务管理；管理会计；规章、法律和主要经济指标；信息技术。 第四部分：经营管理技术 具体包括：战略管理；管理技术；中国的经营环境；中国的内部审计环境。 第一部分、第二部分、第三部分由国际内部审计师协会命题，第四部分由中国内部审计学会命题，国际内部审计师协会统一阅卷。 考试范围在当年的《国际注册内部审计师考试大纲》中确定。 报考条件 具备下列条件之一者，可报名参加考试： 1、具有本科及本科以上学历； 2、具有中级及中级以上专业技术资格； 3、持有注册会计师证书； 4、本科院校审计、会计及相关专业四年级学生（含报名期间是三年级，考试期间升为四年级的学生）；

报考资格的审查和确认由辽宁省内部审计协会秘书处负责，并报中国内部审计协会备案。 免试条件 具有下列资格之一者，可以申请免试经营管理技术： 1、持有中级及中级以上审计师专业技术资格证书； 2、持有中级及中级以上会计师专业技术资格证书； 3、持有CPA、ACCA、CISA资格证书。 申请免试者应提交有关资格证书原件及复印件，经各地报名点工作人员审查确认后报各省省内部审计协会CIA考试办公室核准，并报中国内部审计协会备案，方可免试。申请免试的考生必须在申请免试的当年参加考试，其申请免试的成绩才能生效，否则下年度须重新交费申请。 报名时间 2008年报名时间为5、6、7月；报名具体时间、地点及其他有关事项参见各考点的报考简章或密切关注网校信息动态。点击进入>> 报名办法 （一）报考者需提供以下证件的原件与复印件（A4纸一式两份）：居民身份证、学历证书或职称证书、 国际注册内部审计师(4张) 注册会计师证书、学生证。全日制在校学生（含在校研究生）报名时，需凭学生证原件及复印件（一式两份），并有所在院校出具的说明其在校表现、所学专业和学业完成情况的证明（A4纸一式两份）。同时提供近期一寸免冠彩色照片4张，并在照片背面注明姓名及性别（注意字迹，避免模糊照片）。

知识产权内审员培训考试试题及参考答案

知识产权管理体系内审员考试试题 一、单项选择题(每题2分,共20分) 1. 企业知识产权管理处于企业生产经营的:( D ) A. 研发阶段 B. 采购阶段 C. 生产阶段 D.全过程 2.知识产权管理体系文件应包括:(E) A. 形成文件的知识产权方针和目标 B..知识产权手册 C.相关程序文件与制度 D.体系相关记录文件 E .A+B+C +D 3. 以下哪些不属于职务发明创造:( C ) A. 执行本职工作的发明创造 B. 利用本单位物质技术条件完成的发明创造 C. 离职一年后完成的发明创造 D. 完成本公司其他任务的发明创造 4. 企业合同相关的知识产权管理不包括: (D) A. 合同知识产权条款审查 B. 合同签订方知识产权状况调查 C. 合同保密管理 D. 合同签署地点的确定 5.下列环节哪一个不是知识产权管理体系教育培训的必要环节( D )。 A.识别培训的需要 B.编制培训计划 C.形成培训记录 D.评价培训效果 6.组织应该按GB/T29490-2013标准中4.2.2的要求文件控制的范围是(C ) A .组织制定的所有文件 B.组织需要用的所有外来文件 C .知识产权体系要求的文件 D. A+B+C 7.最高管理者应在本组织( D )中指定专人作为管理者代表。 A.有能力的人员 B.知识产权管理人员 C. 技术人员 D.最高管理层 8.最高管理者的职责可以不包括:( A )。 A.组织内部审核 B.制定知识产权方针 C.组织管理评审 D.确保资源的配备 9.审核发现是指:( C ) A.审核中观察到的事实。 B.审核的不合格项。 C.审核中搜集到的审核证据对照审核准则评价的结果。

内部审计的主要内容是什么

内部审计的主要内容是什么？部审计的内容是一个不断发展变化的范畴。现代内部审计的内容主要可分为以财务活动为对象的内部财务审计和以经营管理活动为对象的经济效益审计两大类。但在具体实施审计时，二者又是互相联系、交叉、渗透的。内部审计人员正是通过对这两部分内容的联系审计来促进审计工作目标的实现的。一般地，内部审计工作的内容包括以下几部分。 一、财政财务收支审计 同外部审计相比，内部审计实施的财政财务收支审计仅限于对本部门、本单位及所属各部门、各单位财政财务收支进行的真实、合法和效益审计。由于各部门、各单位的资金来源状况及资产、负债管理情况不尽相同，内部审计的重点也各不相同。对有国家财政资金介入的部门、单位，不仅要审查其自身财务状况，还须重点检查财政资金的使用渠道和使用方向。 1.行政单位的内部财政财务收支审计，重点是各级国家权力机关、行政机关、审判机关、检察机关、各党派、社会团体及其在境外的派出机构的行政经费、罚没收入和行政性收费的真实、合法和效益性。 2.事业单位的内部财政财务收支审计，重点是各项事业经费收支的真实、合法和效益性，包括用于科学、教育、文化、卫生、广播影视、地震、体育、民政、外交及农业、工业、交通、邮电通讯、商业贸易、工商行政、商品检验等各项事业发展的经费。这里，既包括财政预算拨款的审查，也包括财政预算外安排的各项资金、事业周转金和事业性收费的审查。 3.企业单位(包括金融企业)的内部财政财务收支审计，重点是其资产、负债和损益的真实、合法和效益性。审查的主要内容： 企业制定的各项制度是否符合国家有关法律法规的要求；企业一定时期内拥有的资产、承担的债务、经营成果及其分配情况的真实、合法性；企业占有的国有资产的安全、完整和保值增值情况。 二、经济效益审计 财政财务收支审计是内部审计的基础，经济效益审计则是内部审计发展到现阶段的特殊内容。而且，随着市场经济竞争的加剧，质量和效益已成为每个

内部审计准则知识竞赛试题(试题-答案)

审计法和内部审计准则知识竞赛试题 2014-6 1.根据《中华人民共和国审计法》的规定，依法属于审计机关审计监督对象的单位的内部审计工作，（B）审计机关的业务指导和监督。 A.可以接受 B.应当接受 C.不接受 D.需要接受 2.根据《中华人民共和国审计法实施条例》的规定，审计机关可以通过内部审计（B），加强对内部审计工作的业务指导和监督。 A.执业组织 B.自律组织 C.职业组织 D.行业组织 3.2013 年修订的中国内部审计准则开始施行的时间是：（C） A.2013 年9 月1 日 B.2013 年12 月1 日 C.2014 年1 月1 日 D.2014 年5 月1 日 4.制定《内部审计基本准则》的依据是：（D） A．《审计法》 B．《审计署关于内部审计工作的规定》 C．《审计法实施条例》 D．《审计法》及其实施条例，以及其他有关法律、法规和规章。 5.《内部审计基本准则》将内部审计界定为一种：（C） A.审查和评价活动 B.监督和评价活动 C.确认和咨询活动 D.保证和评价活动 6.《内部审计基本准则》适用于各类组织的内部审计机构、内部审计人员及其从事的内部审计活动。其他组织或者人员也应当遵守该准则

的情形是：（C） A.接受授权、聘用承办或参与内部审计业务 B.接受委托、指派承办或参与内部审计业务 C.接受委托、聘用承办或参与内部审计业务 D.接受委托、聘任承办或参与内部审计业务 7.随着组织面临风险的日益复杂和多元，为有效配置审计资源，降低审计风险，实现审计目标，在实施审计业务时，内部审计机构和内部审计人员应当全面关注：（A） A.组织风险 B.内部控制 C.组织业务 D.组织目标 8.内部审计机构应当对内部审计质量实施有效控制，建立指导、监督、分级复核和内部审计质量评估制度，并接受（B）。 A.内部审计质量检查 B.内部审计质量外部评估 C.内部审计质量考核 D.外部审计 9.内部审计机构应当编制中长期审计规划、年度审计计划、本机构人力资源计划和（C）。 A.奖惩制度 B.薪酬制度 C.财务预算 D.财务计划 10.内部审计机构负责人应当负主要责任的是：（A） A.内审机构管理的适当性和有效性 B.内审机构管理的适当性和充分性 C.内审机构管理的有效性和相关性 D.内审机构管理的充分性和相关性 11.根据《内部审计人员职业道德规范》，内部审计人员职业道德所

内部审计复习资料

《内部审计》复习资料 一、简答题。 1.国内外实践证明，机构设置主要取决于本组织的内在需要，内部审计机构设置也不例外。试简述内部审计组织选择模式？ 2.简述财务管理审计的要求？ 3.比较内部审计和外部审计的“独立性”？ 4.管理部门审计的任务可以分为基本任务和具体任务。请简述管理部门审计的具体任务是什么？ 5..2001年，IIA对《内部审计实务标准》进行了第二次修订，并对内部审计也进行了第七次定义。试简述内部审计的第七次定义及其特点？ 6.简述内部控制的基本方式。 7.审计程序，是指在开展具体审计活动时，内部审计人员必须要遵循的先后工作顺序。试简述内部审计的程序？ 8.简述公司治理审计的内涵与外延。 二、论述题。 1.论述经济责任审计的经济责任？ 2.现代企业管理要求如何优化产供销活动？ 3.风险管理审计从工作第一步开始就要考虑可能影响企业目标实现的风险，并将这种风险意识一直贯穿于整个审计过程之中。论述风险管理审计的途径与方法？ 4.管理活动审计的思路、依据和评价标准是什么？

5.随着经济全球化和知识经济时代的到来，市场竞争日益激烈，企业面临的经营风险也越来越大，而风险又和控制系统直接相关，风险越大，对管理控制的需求就越大。因此，对组织内部控制进行评价、审计是内部审计人员未来最有价值的工作之一。论述内部控制审计的要求？ 6.实施公司治理审计时，如何保持独立性和客观性？ 7.数据审计模式是中国审计署在2005提出的最新的计算机审计模型。论述数据审计模式的特点？ 8.论述信息系统一般控制的审计。 三、案例分析题。 1.以下是对某公司进行审计的各个阶段： 1）选择被审者 某公司执行副总裁要求立即对公司草坪洒水装置系统的耗水情况进行审计。因为，他发现，在他昨天上班的时候，中午离开办公室去吃饭的时候，下午下班的时候，公司总部大楼的草坪洒水装置都在洒水。审计主管立即同意马上进行审计。 2）审计准备 A初步确立审计目标。 查明本年的平均日耗水量是否比去年（公司在去年曾由于草地保养工作出色而受到了所在城市的嘉奖）有所增长。 B初步确定审计范围 （1）公司在该城市的所有分公司和办事处的草坪洒水系统

2020年(财务内部审计)审计背诵知识点

（财务内部审计）审计背诵 知识点

审计背诵知识点 1.客户关系和具体业务的接受与保持 会计师事务所应当制定有关客户关系和具体业务接受与保持的政策和程序，以合理保证只有在下列情况下，才能接受或保持客户关系和具体业务： （1）已考虑客户的诚信，没有信息表明客户缺乏诚信； （2）具有执行业务必要的素质、专业胜任能力、时间和资源； （3）能够遵守职业道德规范。 表6－2三类认定 1.各类交易和事项相关的认定与具体审计目标 表6－3各类交易和事项相关的认定与具体审计目标

2.期末账户余额相关的认定与具体审计目标 表6－4期末账户余额相关的认定与具体审计目标 3.列报相关的认定与具体审计目标

表6－5列报相关的认定与具体审计目标 【考点】会计师事务所在签订审计业务约定书前应做的工作（教材P116）（记忆）（1）明确审计业务的性质和范围； （2）初步了解被审计单位的基本情况； （3）会计师事务所评价专业胜任能力； （4）商定审计收费； （5）明确被审计单位应协助的工作。 【考点】签约前应初步了解被审计单位的基本情况（教材P116）（记忆） 注册会计师应了解的被审计单位基本情况包括：

（1）业务性质、经营规模和组织结构； （2）经营情况和经营风险； （3）以前年度接受审计的情况； （4）财务会计机构及工作组织； （5）其他与签订审计业务约定书相关的事项。 【考点】签约前会计师事务所评价专业胜任能力（教材P116）（记忆） 会计师事务所评价的内容主要包括： （1）执行审计的能力（确定审计小组的关键成员、考虑在审计过程中向外界专家寻求协助的需要和具有必要的时间）； （2）能否保持独立性； （3）保持应有关注的能力。如果会计师事务所不具备专业胜任能力，应当拒绝接受委托。【考点】在确定收费时，会计师事务所应当考虑以下主要因素（教材P116）（记忆）（1）专业服务的难度和风险以及所需的知识和技能； （2）所需专业人员的水平和经验； （3）每一专业人员提供服务所需的工时； （4）提供专业服务所需承担的责任。 【考点】在接受审计委托，为确定保持客户关系和具体审计业务的结论是恰当时，注册会计师应当考虑的主要事项:（教材P141）（记忆） （1）被审计单位的主要股东、关键管理人员和治理层是否诚信； （2）项目组是否具备执行审计业务的专业胜任能力以及必要的时间和资源； （3）会计师事务所和项目组能否遵守职业道德规范。

内部审计实战技巧【知识要点】

内部审计实战技巧 PRACTICAL SKILLS FOR INTERNAL AUDIT 持续提升内审技能做好企业内部顾问 内部审计是一个特殊的行业，从事内部审计的人员也是特殊的一群。他们既要从企业风险治理的角度为股东和管理层做好内部顾问，又要练就扎实的基本功，掌握专业的审计方法和技巧。可以说，无论是作为企业的“保健医生”还是董事会的“风险顾问”，内审人员都需要持续不断的提升自己的能力。 安越财务培训基于丰富的财务培训经验，结合企业需求，推出具有针对性和务实性的内审实战课程，帮助内审人员提升能力，在实战中体现价值。 课程优势 ?实战演练：以具体内审案例为主体，进行实战技巧演练 ?注重实务：细化的审计流程和方法，突出实用性 ?能力规划：独特的内审人员能力清单为您规划提升路径 培训收益 ?理解如何从企业战略目标出发，制定审计计划 ?以案例贯穿课程始终，注重细节和具体实施方法 ?理解对内审人员的能力要求 培训对象： ?内控内审经理、财务经理 ?内审专员 ?财务人员 课程大纲 第一模块内部审计组织与计划制定 ?企业战略目标和年度审计计划的制定 ?项目审计计划 ?确定组织人员 ?风险评估

?初步调查和信息收集 ?制定外勤工作计划 第二模块内部审计方法实务 ?从审计项目到审计底稿 ?审计底稿样本 ?审计底稿的勾稽关系 ?审计标识 ?审计抽样 ?审计项目中的审计重点 ?分析性程序及符合性测试 ?内部审计方法 ?审查书面资料的方法 ?客观实物证实方法 ?审计调查方法 ?分析性复核方法 ?操作审核与实战技巧 ?数据收集工具和技术 ?计算机化审计工具和技术 第三模块内部审计报告实务 ?内审报告框架 ?什么样的报告是好报告 ?切合企业目标 ?制定审计项目和计划 ?符合业务需求 ?大处着手，小处着眼 ?意见切实可行 ?内部审计报告撰写和评价 ?内审报告质量控制 第四模块通过实战提升能力

内部审计的五大流程和工作方法

内部审计的五大流程和工作方法 [摘要]内部审计五大流程包括审前准备、审计实施、审计报告、后续审计和成果运用。审计方法不仅仅是取证方法，而且是一个完整的体系。审计人员与被审人员都有各自的心态表现，审计人员应及时掌握被审人员的心态，并适时调整自己的心态，恰当运用审计方法，以便能做好审计工作。 [关键词]内部审计；流程工作；方法运用；心态分析 一直以来，理论界与实务界对内部审计流程与方法没有确切的说法。总是照搬照抄政府审计或民间审计，这是内部审计界的一大欠缺。笔者对其进行深入探讨，以期与同行交流，对实务界有所帮助。 一、审前准备工作 (一)整体内容框架 (二)主要工作 1编制年度审计计划应该关注的因素。 单位组织年度内经济工作的中心问题；单位组织重大政策措施落实情况及存在的问题；经营管理中存在的突出问题和难点问题；群众普遍关注或反映强烈的热点问题；以往审计发现的比较突出、影响较大的问题；具体审计项目先后顺序安排；审计资源(人员数量、审计耗时与审计经费)的合理分配；后续审计的必要安排。

2项目审计计划的内容。 审计目标；审计范围；重要性；审计风险评估；审计小组构成；审计时间分配；专家与外部审计工作结果的利用等。 3审计前的调查内容。 经营活动情况；内部控制设计与运行情况；财务会计资料；重要合同、协议及会议记录；上次审计结论、建议及后续审计执行情况；上次外部审计意见等。 4审计方案的内容。 具体审计目的；具体审计方法和程序；预定执行人及执行日期等。 5审计通知书的内容。 被审计单位及审计项目名称；审计目的；审计范围；审计时间；被审计单位应提供的具体资料和必要协助；审计小组名单；审计机构及负责人签章和签发日期。(附件包括：被审计单位承诺书、被审计单位提供资料清单、审计文书送达回证。 二、审计实施工作 (一)整体内容框架 表2审计实施工作的整体内容框架

内审员知识复习题库

内审员培训知识复习题库 一、单项选择题: 1.以下标准属管理体系指导标准的是___e____。 P6 《ISO9000族标准的文件结构》 a）ISO9001 b）ISO9004 c）ISO10012 d）ISO19011 e）b+c 2.质量策划_____a___。 a）是质量管理的一部分 b）要求编制质量计划 c）只要求设定质量目标 d）a+c 3.以下属于GJB9001B标准中八项质量管理原则内容的是_____b__。 P12质量管理8项原则 a）持续改进、与供方互利关系、管理职责、基于事实的决策方法 b）持续改进、过程方法、全员参与、领导作用 c）以顾客为关注焦点、管理的系统方法、资源管理、全员参与 d）以顾客为关注焦点、过程方法、统计技术、领导作用 4.某申请认证的组织将使用的测量设备送到国家有关计量部门进行检定，该组织___c____。 a）不能删减GJB9001B标准7.6条款 b）可以删减GJB9001B标准7.6条款 P38 1.2 c）可以把GJB9001B标准7.6条款的全部要求按外包过程进行控制 d）以上都不对 5）GJB9001B标准用于____d____。 P35 序号4 P18 表3-1 a）证实有能力提供满足顾客要求的产品 b）证实有能力提供满足适用法律法规要求的产品 c）持续改进质量管理体系 d）以上都是 6.质量手册应包括的内容是___C_____。 P44 4.2.2 a）质量方针和目标 b）过程的相互作用的表述 c）形成文件的程序或对其引用 d）体系文件的清单 7.管理者代表应是___d____。P51 5.5.2

a）本组织管理层中的成员 b）可以不是本组织管理层中的成员 c）能参加质量管理体系决策的最高管理层得成员，并具备履行管代职责所需的技术和行政管理能力 d）a+c 8.质量目标应____a_____。 P49 5.4.1 a）可测量的 b）都是量化的 c）应体现对产品质量水平的追求与顾客的期望相适应 d）b+c 9.GJB9001B标准中4.2.3要求控制的文件范围是___b____ P44 4.2.3 a）组织需用的所有文件和记录 b）标准要求的所有文件和记录 c）质量管理体系所要求的文件 d）组织制订的所有文件和记录 10.GJB9001B标准对质量信息的要求是___d_____。 P58 6.5 a）组织应编制形成文件的程序 b）产品质量信息管理应满足顾客的要求 c）应按规定收集、贮存、传递、处理和利用 d）以上都是 11.针对特定产品、合同或项目的质量管理体系的过程和资源作出规定的文件是__b__。 P59 a）质量目标 b）质量计划 c）质量手册 d）程序文件 12.进行产品实现的策划时应确定____e____。 P59 7.1 a）实施标准化管理要求，确定设计和开发中适用的标准和规范 b）产品接收准则 c）技术状态管理要求 d）b+c e）以上都是 13.设计输入应由以下___c____最终确定。 P68 理解要点，序号1） 4） 5 a）顾客 b）组织 c）组织与顾客共同 d）以上都不对 14.顾客的要求包括_____d_____。 P63 理解要点，序号1） a）书面定单 b）电话要货 c）任何方式提出的包括产品功能和交付的要求 d）a+c 15.产品防护涉及的对象是____d_____。 P82 7.5.5 a）成品 b）半成品 c）原材料 d）a+b+c 16.质量包括（C ） A价格 B维修费用 C产品的固有特性满足顾客要求的能力 DA+B+C