2010年內(nèi)審師實(shí)施內(nèi)部審計(jì)業(yè)務(wù)指導(dǎo)(10)

電子資金轉(zhuǎn)賬（EFT）和電子數(shù)據(jù)交換（EDI）
    電子資金轉(zhuǎn)賬就是通過(guò)銀行計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)支付的電子化。電子數(shù)據(jù)交換則是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)了格式化文件（如傳統(tǒng)訂單）的數(shù)字化傳送。EFT和EDI的風(fēng)險(xiǎn)包括：未經(jīng)許可的進(jìn)入及操作、重復(fù)的交易、不完整的交易、交易信息在傳輸過(guò)程中可能丟失、EDI/EFT系統(tǒng)的可用性、缺乏備份和恢復(fù)能力及缺乏法律指導(dǎo)等。
    題目11：在檢查一個(gè)利用第三方服務(wù)的EDI系統(tǒng)的應(yīng)用情況時(shí)，審計(jì)師應(yīng)該：
    Ⅰ、確認(rèn)加密密鑰符合ISO標(biāo)準(zhǔn)。
    Ⅱ、確定是否已經(jīng)對(duì)服務(wù)供應(yīng)商的營(yíng)運(yùn)進(jìn)行了獨(dú)立檢查。
    Ⅲ、核實(shí)該服務(wù)供應(yīng)商是否僅使用了公用交換數(shù)據(jù)網(wǎng)絡(luò)。
    Ⅳ、核實(shí)服務(wù)供應(yīng)商的合同是否包含了必要的條款，如審計(jì)權(quán)力等。
    a．Ⅰ和Ⅱ
    b．Ⅰ和Ⅳ
    c．Ⅱ和Ⅲ
    d．Ⅱ和Ⅳ
    正確答案：d
    解題思路： 由于利用第三方服務(wù)提供商，并不意味著采用了加密，而且目前并沒(méi)有針對(duì)加密密鑰的ISO標(biāo)準(zhǔn)，因此事項(xiàng)Ⅰ是不正確的，這就排除了a、b選項(xiàng)，此外，EDI服務(wù)有完整的安全協(xié)議保障，而公共交換數(shù)據(jù)網(wǎng)同EDI應(yīng)用沒(méi)有直接的關(guān)系，所以事項(xiàng)Ⅲ也是不正確的，排除了C選項(xiàng)。我們看事項(xiàng)Ⅱ和Ⅳ是準(zhǔn)確的。審計(jì)人員應(yīng)當(dāng)確保對(duì)第三方服務(wù)提供商的業(yè)務(wù)進(jìn)行獨(dú)立審核，并適當(dāng)?shù)暮罄m(xù)跟進(jìn)，同時(shí)，審查第三方服務(wù)提供商的合同是恰當(dāng)?shù)膶徲?jì)步驟。
    加密。它是通過(guò)設(shè)置密碼避免其他非授權(quán)用戶直接訪問(wèn)數(shù)據(jù)，或?qū)?shù)據(jù)加密，使他人即使非法訪問(wèn)了數(shù)據(jù)也不能理解數(shù)據(jù)的內(nèi)容，以達(dá)到訪問(wèn)控制的目的。數(shù)字證書是通過(guò)電子設(shè)備實(shí)現(xiàn)，發(fā)送者用私鑰對(duì)所發(fā)送消息的信息進(jìn)行加密，因此，目前在電子商務(wù)活動(dòng)中的身份認(rèn)證有效的方式是由權(quán)威機(jī)構(gòu)為參與電子活動(dòng)的各方發(fā)放數(shù)字證書。對(duì)加密的審計(jì)評(píng)估主要關(guān)注：密碼設(shè)備的物理安全、密碼政策是否得到有效遵循、用戶在安全域內(nèi)應(yīng)共享其本機(jī)身份、密鑰的長(zhǎng)度是否足夠。
    ERP。由于ERP涉及企業(yè)整個(gè)運(yùn)營(yíng)的各個(gè)環(huán)節(jié)，因此內(nèi)部審計(jì)師在ERP實(shí)施初期就應(yīng)該積極參與其中進(jìn)行評(píng)估。
    咨詢業(yè)務(wù)。
    咨詢業(yè)務(wù)是內(nèi)部審計(jì)業(yè)務(wù)的重要組成部分，為審計(jì)業(yè)務(wù)客戶提供服務(wù)的咨詢或相關(guān)活動(dòng)，其性質(zhì)和工作范圍取決于審計(jì)業(yè)務(wù)客戶。其主要作用是為組織增加價(jià)值，改善組織管理、風(fēng)險(xiǎn)評(píng)估和控制過(guò)程。許多咨詢業(yè)務(wù)是審計(jì)客戶提出的特殊要求，目的是幫助檢查由于組織變化、新技術(shù)應(yīng)用等而需要強(qiáng)化的現(xiàn)行程序。在實(shí)施咨詢業(yè)務(wù)，內(nèi)部審計(jì)師不應(yīng)該承擔(dān)管理責(zé)任。內(nèi)部審計(jì)章程中需要明確咨詢業(yè)務(wù)性質(zhì)。只有審計(jì)章程中明確了作用和責(zé)任，內(nèi)部審計(jì)師才能采取行動(dòng)。
    確認(rèn)業(yè)務(wù)和咨詢業(yè)務(wù)并不互相排斥，相反，兩者是互通的，首席審計(jì)執(zhí)行官可以采用混合方式開(kāi)展審計(jì)工作。
    咨詢業(yè)務(wù)從內(nèi)容方面來(lái)說(shuō)，包括提供專業(yè)咨詢和建議、開(kāi)展優(yōu)化促進(jìn)活動(dòng)、設(shè)計(jì)程序及開(kāi)展培訓(xùn)等。具體類型包括：
    正式的咨詢業(yè)務(wù)－計(jì)劃內(nèi)且經(jīng)書面協(xié)議規(guī)定的業(yè)務(wù)；
     非正式的咨詢業(yè)務(wù)－ 它適合各種日常性活動(dòng)；
     特殊的咨詢業(yè)務(wù)－它更適合偶然發(fā)生的；
     緊急的咨詢業(yè)務(wù)－更適合非計(jì)劃性業(yè)務(wù)。
    咨詢的工作范圍和目標(biāo)應(yīng)該與服務(wù)接收方達(dá)成一致。內(nèi)部審計(jì)師應(yīng)該制定適當(dāng)?shù)哪繕?biāo)，以滿足接收方管理人員的需要，但如果他們有特殊要求，而內(nèi)部審計(jì)師又認(rèn)為自己制定的目標(biāo)要先于這些要求實(shí)現(xiàn)時(shí)，內(nèi)部審計(jì)師可以考慮采取以下手段：1、說(shuō)服管理人員將提出的額外目標(biāo)納入到咨詢業(yè)務(wù)中去；2、將這些目標(biāo)沒(méi)有被實(shí)現(xiàn)的事實(shí)記錄下來(lái)，然后在后溝通業(yè)務(wù)結(jié)果時(shí)，揭示出這一問(wèn)題；3、將這些目標(biāo)納入到一項(xiàng)獨(dú)立的后續(xù)確認(rèn)業(yè)務(wù)中完成。內(nèi)部審計(jì)師在設(shè)計(jì)咨詢業(yè)務(wù)的工作范圍時(shí)，可以根據(jù)管理部門的要求增加或者縮減范圍。
    在一些情況下，內(nèi)部審計(jì)師可以決定哪些結(jié)果應(yīng)該越過(guò)服務(wù)接受者直接與其上級(jí)溝通，或要求提供服務(wù)者與其上級(jí)溝通。但需要明確相關(guān)指南。內(nèi)部審計(jì)師應(yīng)該向組織的管理層、審計(jì)委員會(huì)、董事會(huì)或者其他管理機(jī)構(gòu)披露正式咨詢業(yè)務(wù)的性質(zhì)、范圍和全面結(jié)果。在開(kāi)展咨詢業(yè)務(wù)時(shí)，內(nèi)部審計(jì)師遵循一定的原則，參考《實(shí)務(wù)公告》1000.C1-1。
    在開(kāi)展咨詢業(yè)務(wù)時(shí)，內(nèi)部審計(jì)師應(yīng)該保持獨(dú)立和客觀性，同一內(nèi)部審計(jì)師，在咨詢業(yè)務(wù)完成后的一年內(nèi)，對(duì)同一審計(jì)業(yè)務(wù)客戶實(shí)施確認(rèn)業(yè)務(wù)，是會(huì)損害其獨(dú)立性和客觀性的。因此，需要采取一些措施來(lái)減少這種損害的影響：（1）委派不同的內(nèi)部審計(jì)師去完成每一項(xiàng)服務(wù)業(yè)務(wù)；（2）建立獨(dú)立的管理和監(jiān)督機(jī)制；（3）闡明對(duì)項(xiàng)目結(jié)果應(yīng)承擔(dān)的責(zé)任；（4）披露已認(rèn)定的損害事實(shí)。管理層有責(zé)任接受且執(zhí)行內(nèi)部審計(jì)師提出的各項(xiàng)建議。
    咨詢的類型：
    1、內(nèi)部控制培訓(xùn)：是內(nèi)部審計(jì)師對(duì)組織內(nèi)相關(guān)人員進(jìn)行內(nèi)部控制制度方面的培訓(xùn)，幫助職員了解內(nèi)部控制的建立、目標(biāo)、相關(guān)流程和關(guān)鍵控制點(diǎn)，目的是使職員提高對(duì)內(nèi)部控制制度的了解和認(rèn)識(shí)。除了對(duì)組織的每個(gè)人要接受培訓(xùn)外，內(nèi)部審計(jì)師本身也要進(jìn)行控制培訓(xùn)。
    2、業(yè)務(wù)流程檢查：對(duì)組織內(nèi)的各個(gè)業(yè)務(wù)流程和程序進(jìn)行的檢查，目的是確認(rèn)業(yè)務(wù)流程的執(zhí)行情況和各業(yè)務(wù)流程的有效性，同時(shí)針對(duì)存在的漏洞和弱點(diǎn)，提出適當(dāng)?shù)母倪M(jìn)建議，以提高和改善組織經(jīng)營(yíng)活動(dòng)。
    3、基準(zhǔn)比較：又稱為基準(zhǔn)管理或標(biāo)桿管理。內(nèi)部審計(jì)師一般會(huì)首先根據(jù)組織特性，確定關(guān)鍵的、需要改進(jìn)的問(wèn)題作為設(shè)立基準(zhǔn)的要素，然后在自身、競(jìng)爭(zhēng)對(duì)手、所在行業(yè)的基準(zhǔn)和優(yōu)點(diǎn)等范圍內(nèi)選擇，確定比較基準(zhǔn)，然后與組織內(nèi)部的活動(dòng)、職能和操作程序相比較，制定計(jì)劃和方案，努力向基準(zhǔn)靠攏，而且會(huì)不斷地尋找更先進(jìn)的基準(zhǔn)，從而達(dá)到持續(xù)改善組織經(jīng)營(yíng)情況的目的。
    基準(zhǔn)比較也適合于績(jī)效審計(jì)和全面質(zhì)量審計(jì)。事實(shí)上，基準(zhǔn)比較和全面質(zhì)量管理是相聯(lián)系的。基準(zhǔn)比較可以用于整體運(yùn)行情況比較，也可以用于一個(gè)部門、一個(gè)項(xiàng)目小組甚至職員個(gè)人的比較。比較的內(nèi)容可以是全部，也可以是某一個(gè)或幾個(gè)方面。
    基準(zhǔn)比較可成為持續(xù)創(chuàng)新的有效動(dòng)力來(lái)源之一，它有助于推動(dòng)企業(yè)成長(zhǎng)，增加企業(yè)市場(chǎng)占有量，提高客戶滿意度，促進(jìn)企業(yè)重要目標(biāo)的實(shí)現(xiàn)。基準(zhǔn)比較包括以下幾種類型:
    內(nèi)部型基準(zhǔn)比較：在組織內(nèi)部找出較高的業(yè)績(jī)作為基準(zhǔn)；
    職能性：是與那些在同一技術(shù)領(lǐng)域中經(jīng)營(yíng)的組織相比較，從而獲取有關(guān)業(yè)務(wù)完善的信息，它適用于組織中的某一個(gè)業(yè)務(wù)的評(píng)價(jià)；
    競(jìng)爭(zhēng)型：本行業(yè)的佳競(jìng)爭(zhēng)對(duì)手業(yè)績(jī)水平作為基準(zhǔn)，將注意力集中在組織的整體業(yè)績(jī)方面，而不是組織內(nèi)的子活動(dòng)或子業(yè)務(wù)，目的是提高整體競(jìng)爭(zhēng)力，這是競(jìng)爭(zhēng)型和職能性的差別；
    一般型基準(zhǔn)比較法：是將經(jīng)營(yíng)活動(dòng)中的某一業(yè)務(wù)流程與具有相似特征的業(yè)務(wù)流程相比較，不考慮行業(yè)或生產(chǎn)過(guò)程，例如文件處理過(guò)程。
    行業(yè)型基準(zhǔn)比較法：使用行業(yè)的衡量標(biāo)準(zhǔn)作為提高完善的目標(biāo)。
    高級(jí)型基準(zhǔn)比較法：與一股型基準(zhǔn)比較法一樣，該方法是在組織所在的行業(yè)外部尋找比較模型。其基準(zhǔn)是某一業(yè)務(wù)領(lǐng)域中世界者的業(yè)績(jī)。
    流程型基準(zhǔn)比較法：將注意力集中在各個(gè)流程上。
    4、信息技術(shù)及系統(tǒng)開(kāi)發(fā)。內(nèi)部審計(jì)師應(yīng)該參與信息技術(shù)及系統(tǒng)的開(kāi)發(fā)過(guò)程，而且重點(diǎn)考慮的是軟件的監(jiān)督、修改、可靠性及軟件測(cè)試等問(wèn)題。參加開(kāi)發(fā)過(guò)程并不等于參加這些系統(tǒng)的設(shè)計(jì)、安裝、程序起草或操作工作。（《實(shí)務(wù)公告》1130.A1-1第4款）因此審計(jì)師該在實(shí)施系統(tǒng)控制或檢查程序之前建議采用一定的控制標(biāo)準(zhǔn)并保留審計(jì)線索，監(jiān)督開(kāi)發(fā)過(guò)程的整個(gè)進(jìn)展情況，關(guān)注過(guò)程中的成本效益問(wèn)題，在正式軟件運(yùn)行前要進(jìn)行測(cè)試，并為慎重起見(jiàn)，不應(yīng)立即舍棄舊的程序，應(yīng)該讓新程序與現(xiàn)行程序并行運(yùn)行至少一個(gè)處理周期。
    5、業(yè)績(jī)測(cè)評(píng)系統(tǒng)的設(shè)計(jì)：內(nèi)部審計(jì)接受組織委托，設(shè)計(jì)一系列考評(píng)標(biāo)準(zhǔn)體系，以衡量組織內(nèi)部各部門及職員的工作業(yè)績(jī)。其中主要業(yè)績(jī)指標(biāo)KPIS就是其中的一種標(biāo)準(zhǔn)，前面的績(jī)效審計(jì)也提及，但在確認(rèn)業(yè)務(wù)中，審計(jì)師更多是是評(píng)估指標(biāo)是否恰當(dāng)以及是否被適當(dāng)使用了，而在咨詢業(yè)務(wù)中，內(nèi)部審計(jì)師則是要和審計(jì)業(yè)務(wù)客戶共同來(lái)制定這些標(biāo)準(zhǔn)，并同時(shí)在審計(jì)中檢查這些標(biāo)準(zhǔn)。
    指標(biāo)應(yīng)該與組織的主要目標(biāo)相一致的，而且應(yīng)該更多關(guān)注可量化的標(biāo)準(zhǔn)，而不應(yīng)關(guān)注組織軟環(huán)境或者是只適用于組織長(zhǎng)期發(fā)展的標(biāo)準(zhǔn)。相比之下，平衡計(jì)分卡”包含了四套衡量標(biāo)準(zhǔn)或者“發(fā)展方向”，體現(xiàn)了組織全面、健康發(fā)展的總體思路。這四個(gè)“卡”是：財(cái)務(wù)方向、客戶方向
    業(yè)務(wù)流程方向（主要業(yè)務(wù)流程）、學(xué)習(xí)和成長(zhǎng)方向