信息系统一般控制审计(下)
信息系统一般控制审计(下)
(来源:《中国注册会计师》,2018-09-20)
编者按:在信息化环境下,企业运用信息技术编制财务报表,设计和执行内部控制。注册会计师在对企业的财务报表进行审计时,必须考虑信息技术的影响。同时,信息化也对注册会计师的审计技术和方法带来革命性变化。为了帮助注册会计师应对信息化带来的挑战,中国注册会计师协会资助普华永道中天会计师事务所研究编写了《信息系统环境下的财务报表审计》一书,即将出版。本刊约请作者加以摘编,分期连载,以飨读者。
本文拟从系统运行和维护、系统访问权限两个角度,探讨信息系统一般控制审计。
一、系统运维
(一)系统运维活动中与审计相关的特定风险
注册会计师在执行企业财务报表审计时,需要考虑被审计单位的信息系统变更活动可能对财务报表审计工作产生的影响。注册会计师需要进一步考虑系统运维活动中与财务报表审计相关的特定风险,主要体现在以下几个方面(如表1所示)。
表1 系统运维各阶段的主要审计风险
(二)系统运维审计领域相关控制
系统运维审计领域相关控制是围绕系统运维活动的一系列程序或机制,它们能够确保信息系统是根据管理层的应用控制目标运行的,确保运行中发生的问题得到及时的识别和解决,从而保证事务处理的准确性和完整性。系统运维审计领域的相关控制要保证系统的事务处理作业的运行与数据的备份是在受控的环境中执行的,任何运行中产生的异常也会得到及时处理。
系统运维审计领域相关控制的一般要素包括:
1. 对系统运维活动的整体管理;
2. 事务处理活动管理;
3. 问题管理;
4. 机房/数据中心运维管理。
系统运维各阶段面临的财务报表审计相关特定风险,与控制目标、COBIT5模型及常见控制机制的对应关系如下(如表2所示)。
表2 风险与控制目标、COBIT5模型及常见控制机制的对应关系
(三)系统运维审计领域控制测试的执行
根据《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》,在风险导向审计模式下,注册会计师应当根据被审计单位的特定信息技术环境,对财务报表重大错报风险进行识别,了解并评价与财务报表审计相关的内部控制。
就系统运维审计领域的内部控制而言,识别和了解与企业财务报告相关的内部控制,并确定控制测试的性质、时间安排和范围通常需要关注以下内容(如表3所示)。
表3 确定系统运维审计领域内部控制测试时的考虑
必须指出的是,以上考虑要点并非在任何情况下均适用,也并不能完全涵盖所有的情况。注册会计师需要结合被审计单位的信息技术环境和特定风险做出职业判断。
在执行系统运维审计领域的审计工作时,注册会计师需要充分考虑其审计发现对企业财务报表审计是否存在直接的影响,并据此评估对财务审计程序的性质、时间安排和范围的影响。我们将系统运维审计领域常见的审计发现及其影响列示如下(如表4所示)。
表4 系统运维审计领域常见审计发现及其影响
二、访问权限
(一)访问权限领域中与审计相关的特定风险
注册会计师在执行企业财务报表审计时,需要考虑被审计单位的信息系统变更活动可能对财务报表审计工作产生的影响。注册会计师需要进一步考虑访问权限管控中与财务报表审计相关的特定风险,主要体现在以下几个方面(如表5所示)。
表5 访问权限相关的主要审计风险
(二)访问权限审计领域相关控制
访问权限审计领域相关控制是围绕系统访问权限的一系列程序或机制,它们能够确保对应用程序和数据的访问权限是基于对用户真实身份的正确认定而赋予的,从而保证事务处理的准确性和完整性。访问权限审计领域的相关控制要保证,对于程序和数据的访问是处于有序受控的环境之中。
访问权限审计领域相关控制的一般要素包括:
1. 对访问权限活动的整体管理;
2. 应用层面访问权限管理;
3. 数据层面访问权限管理;
4. 操作系统层面访问权限管理;
5. 计算机网络层面访问权限管理;
6. 物理层面访问权限管理。
访问权限各阶段面临的财务报表审计相关特定风险,与控制目标、COBIT5模型及常见控制机制的对应关系如下(如表6所示)。
表6 风险与控制目标、COBIT5模型及常见控制机制的对应关系
(三)访问权限审计领域控制测试的执行
根据《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》,在风险导向审计模式下,注册会计师应当根据被审计单位的特定信息技术环境,对财务报表重大错报风险进行识别,了解并评价与财务报表审计相关的内部控制。
就访问权限审计领域的内部控制而言,识别和了解与企业财务报告相关的内部控制,并确定控制测试的性质、时间安排和范围通常需要关注以下内容(如表7所示)。
表7 确定访问权限审计领域内部控制测试时的考虑
必须指出的是,以上考虑要点并非在任何情况下均适用,也并不
能完全涵盖所有的情况。注册会计师需要结合被审计单位的信息技术环境和特定风险做出职业判断。
在执行权限审计领域的审计工作时,注册会计师需要充分考虑其审计发现对企业财务报表审计是否存在直接的影响,并据此评估对财务审计程序的性质、时间安排和范围的影响。我们将权限审计领域常见的审计发现及其影响列示如下(如表8所示)。
表8 访问权限审计领域常见审计发现及其影响
原文链接:https://www.360docs.net/doc/9313862828.html,/mag2018/201806/index.html,转载请注明。
信息系统一般控制审计上
信息系统一般控制审计(上) (来源:《中国注册会计师》,2018-09-12) 编者按:在信息化环境下,企业运用信息技术编制财务报表,设计和执行内部控制。注册会计师在对企业的财务报表进行审计时,必须考虑信息技术的影响。同时,信息化也对注册会计师的审计技术和方法带来革命性变化。为了帮助注册会计师应对信息化带来的挑战,中国注册会计师协会资助普华永道中天会计师事务所研究编写了《信息系统环境下的财务报表审计》一书,即将出版。本刊约请作者加以摘编,分期连载,以飨读者。 注册会计师在完成信息系统审计工作计划之后,就要进入信息系统审计的执行工作。我们将对信息系统审计的执行工作从信息系统一般控制、应用控制和数据三个领域分别阐述。 信息系统一般控制是整个信息系统审计的基础和内核,对被审计单位的应用控制和数据保驾护航,对整个财务报表产生普遍性的影响。如果信息系统一般控制没有得到有效设计或运行,依赖于其上的自动控制和手工控制就如建立在沙滩上的城堡,无法对财务报表提供有效的支撑。因此,如果信息系统一般控制和应用控制均在审计范围内,我们一般应该先安排执行信息系统一般控制的审计工作。在大致确保一般控制整体有效的前提下,再进行相关的应用控制审计的执行工作。如果一般控制整体无效或部分无效,我们需要评估无效的控制点对依
赖其上的应用控制的影响,确认是否仍然可以依赖该应用控制点,以及在此背景下该应用控制点的审计策略和方法是否需要有所调整。 简言之,应用控制是否有效并可以被依赖、以及如何测试将在很大程度上取决于一般控制的有效性。因此,信息系统一般控制审计在整个审计过程中具有举足轻重的作用。 一、系统建设 (一)系统建设活动中与审计相关的特定风险 注册会计师在执行财务报表审计时,需要考虑被审计单位的信息系统建设活动可能对审计工作产生的影响。例如,信息系统建设活动是否与财务报表相关?相关程度如何?如果新建的信息系统与财务报表不相关(如工程辅助设计系统),注册会计师并不需要将其纳入审计范围。反之,注册会计师需要进一步考虑系统建设活动中与财务报表审计相关的特定风险,如表1所示。 表1 信息系统建设生命周期各阶段的主要审计风险
管理系统信息系统期末考试试题库
管理信息系统试题库 一、单项选择题 1.当计算机在管理中的应用主要在于日常业务与事务的处理、定期提供系统的 业务信息时,计算机的应用处于()。 A. 管理信息系统阶段 B. 决策支持系统阶段 C. 电子数据处理阶段 D. 数据综合处理阶段 2.下面关于DSS的描述中正确的是()。 A.DSS是解决结构化和半结构化问题的信息系统 B.DSS中要求有与MIS中相同的数据库及其管理系统 C.DSS不仅支持决策者而且能代替决策者进行决策 D.DSS与决策者的工作方式等社会因素关系密切 3.ES的特点不包括()。 A.掌握丰富的知识,有专家水平的专门知识与经验 B.有通过学习或在运行中增长和扩大知识的能力 C.自动识别例外情况 D.有判别和推理的功能 4.管理系统中计算机应用的基本条件包括科学的管理基础、领导的支持与参与 及()。 A. 报表文件统一 B. 数据代码化 C. 建立组织机构 D. 建立专业人员队伍和培训 5.在因特网中用E-mail发送邮件,实现的实体间联系是()。 A. 1:1 B. 1:n C. n:1 D. m:n 6.为了解决数据的物理独立性,应提供某两种结构之间的映像,这两种结构为 ()。 A. 物理结构与用户结构 B. 逻辑结构与物理结构 C. 逻辑结构与用户结构 D. 概念结构与逻辑结构 7.系统结构化分析和设计的要点是()。 A. 由顶向下 B. 由底向上 C. 集中 D. 分散平等 8.在各种系统开发方法中,系统可重用性、扩充性、维护性最好的开发方法是
()。 A. 原型法 B. 生命周期法 C. 面向对象的方法 D. 增长法 9.在诺兰模型中,开始对计算机的使用进行规划与控制是在()。 A. 集成阶段 B. 成熟阶段 C. 控制阶段 D. 数据管理阶段 10.企业系统规划法的基本概念是:()地进行系统规划和()地付诸实 施。 A. 自上而下,自下而上 B. 自下而上,自上而下 C. 自上而下,由总到分 D. 由总到分,自上而下 11.从管理系统中计算机应用的功能来看,计算机在管理系统中应用的发展依次 为()。 A. EDP、DSS、MIS、EIS B. DSS、EDP、MIS、EIS C. MIS、EDP、DSS、EIS D. EDP、MIS、DSS、EIS 12.DSS的工作方式主要是()。 A. 人机对话方式 B. 键盘操作方式 C. 交互会话方式 D. 非交互会话方式 13.专家系统有两个核心组成部分,即知识库和()。 A. 数据库 B. 推理机 C. 方法库 D. 决策模型 14.处理功能分析常用的方法有:决策树、决策表和()。 A. 结构化语言 B. 数据字典 C. 数据功能格栅图 D. E-R图 15.在医院,患者与医生的关系是属于()。 A. 1:1 B. 1:n C. n:1 D. m:n 16.系统开发中强调系统的整体性,它采用先确定()模型,再设计() 模型的思路。 A. 实体,用户 B. 用户,实体 C. 逻辑,物理 D. 物理,逻辑 17.生命周期法的主要缺点是难以准确定义用户需求,及()。 A.阶段不明确
审计学重点整理汇编
弟一早 CPA教材定义一一审计是指注册会计师对财务报表是否不存在重大错报提供合理保证,以 积极方式提出意见,增强除管理层之外的预期使用者对财务报表的信赖程度(特指注册会计 师财务报表审计) 三、三方尖系 ——注册会计师对由责任方负责的财务报表提出结论,以增强除责任方之外的预期使用者对 财务报表的信任程度。 注意:责任方和预期使用者可能是同一方,也可能不是同一方。某些情况下,责任方和预期使用者可能来自同一企业,但并不意味着两者就是同一方 第二章
第二童 一、审计的总体目标 1对财务报表整体是否不存在由于舞弊或错误导致的重大错报获取合理保证,使得注册会计师能够对财务报表是否在所有重大方面按照适用的财务报告编制基础编制发表审计意见。 2、按照审计准则的规定,根据审计结果对财务报表出具审计报告,并于管理层和治理层沟通。 二、具体审计目标 认定一一管理层在财务报表中作出的明确或隐含的表达,注册会计师将其(明确或隐含的表 达)用于考虑可能发生的不同类型的潜在错报。 目标财务报表是否存在重大错报 程序一一具体检查错报的程序 三、认定 1?与所审计期间各类交易和事项相尖的认定 (1)发生:(2)完整性:(3)准确性:(4)截止:(5)分类: 2?与期末账户余额相尖的认定 (1)存在:(2)权利和义务:(3)完整性:(4)计价和分摊: 3?与列报和披露相尖的认定 (1 )发生以及权利和义务:(2 )完整性:(3)分类和可理解性:(4)准确性和计价: 五、财务扌艮表审计的责任戈U分
2、注册会计师的责任 按照审计准则的规定对财务报表发表审计意见是注册会计师的责任。
信息系统安全审计管理制度
信息系统安全审计管理制度 第一章工作职责安排 第一条安全审计员的职责是: 1.制定信息安全审计的范围和日程; 2.管理具体的审计过程; 3.分析审计结果并提出对信息安全管理体系的改进意见; 4.召开审计启动会议和审计总结会议; 5.向主管领导汇报审计的结果及建议; 6.为相关人员提供审计培训。 第二条评审员由审计负责人指派,协助主评审员进行评审,其职责是: 1.准备审计清单; 2.实施审计过程; 3.完成审计报告; 4.提交纠正和预防措施建议; 5.审查纠正和预防措施的执行情况。 第三条受审员来自相关部门,其职责是: 1.配合评审员的审计工作; 2.落实纠正和预防措施; 3.提交纠正和预防措施的实施报告。 第二章审计计划的制订
第四条审计计划应包括以下内容: 1.审计的目的; 2.审计的范围; 3.审计的准则; 4.审计的时间; 5.主要参与人员及分工情况。 第五条制定审计计划应考虑以下因素: 1.每年应进行至少一次涵盖所有部门的审计; 2.当进行重大变更后(如架构、业务方向等),需要进行一次涵盖所有部门的审计。 第三章安全审计实施 第六条审计的准备: 1.评审员需事先了解审计范围相关的安全策略、标准和程序; 2.准备审计清单,其内容主要包括: 1)需要访问的人员和调查的问题; 2)需要查看的文档和记录(包括日志); 3)需要现场查看的安全控制措施。 第七条在进行实际审计前,召开启动会议,其内容主要包括:1.评审员与受审员一起确认审计计划和所采用的审计方式,如在审计的内容上有异议,受审员应提出声明(例如:限制可访问的人员、可调查的系统等);
2.向受审员说明审计通过抽查的方式来进行。 第八条审计方式包括面谈、现场检查、文档的审查、记录(包括日志)的审查。 第九条评审员应详细记录审计过程的所有相关信息。在审计记录中应包含下列信息: 1.审计的时间; 2.被审计的部门和人员; 3.审计的主题; 4.观察到的违规现象; 5.相关的文档和记录,比如操作手册、备份记录、操作员日志、软件许可证、培训记录等; 6.审计参考的文档,比如策略、标准和程序等; 7.参考所涉及的标准条款; 8.审计结果的初步总结。 第十条如怀疑与相关安全标准有不符合项的情况, 审计员应记录所观察到的详细信息(如在何处、何时,所涉及的人员、事项,和具体的情况等)并描述其为什么不符合。关于不符合的情况应与受审员达成共识。 第十一条在每项审计结束时应准备审计报告,审计报告应包括: 1.审计的范围; 2.审计所覆盖的安全领域;
管理信息系统期末考试试题库
管理信息系统试题库 一、单项选择题(每小题2分,共计20分,把你认为正确答案的代码填入括号内) 1.当计算机在管理中的应用主要在于日常业务与事务的处理、定期提供系统的 业务信息时,计算机的应用处于()。 A. 管理信息系统阶段 B. 决策支持系统阶段 C. 电子数据处理阶段 D. 数据综合处理阶段 2.下面关于DSS的描述中正确的是()。 A.DSS是解决结构化和半结构化问题的信息系统 B.DSS中要求有与MIS中相同的数据库及其管理系统 C.DSS不仅支持决策者而且能代替决策者进行决策 D.DSS与决策者的工作方式等社会因素关系密切 3.ES的特点不包括()。 A.掌握丰富的知识,有专家水平的专门知识与经验 B.有通过学习或在运行中增长和扩大知识的能力 C.自动识别例外情况 D.有判别和推理的功能 4.管理系统中计算机应用的基本条件包括科学的管理基础、领导的支持与参与 及()。 A. 报表文件统一 B. 数据代码化 C. 建立组织机构 D. 建立专业人员队伍和培训 5.在因特网中用E-mail发送邮件,实现的实体间联系是()。 A. 1:1 B. 1:n C. n:1 D. m:n 6.为了解决数据的物理独立性,应提供某两种结构之间的映像,这两种结构为 ()。 A. 物理结构与用户结构 B. 逻辑结构与物理结构 C. 逻辑结构与用户结构 D. 概念结构与逻辑结构 7.系统结构化分析和设计的要点是()。
A. 由顶向下 B. 由底向上 C. 集中 D. 分散平等 8.在各种系统开发方法中,系统可重用性、扩充性、维护性最好的开发方法是 ()。 A. 原型法 B. 生命周期法 C. 面向对象的方法 D. 增长法 9.在诺兰模型中,开始对计算机的使用进行规划与控制是在()。 A. 集成阶段 B. 成熟阶段 C. 控制阶段 D. 数据管理阶段 10.企业系统规划法的基本概念是:()地进行系统规划和()地付诸实 施。 A. 自上而下,自下而上 B. 自下而上,自上而下 C. 自上而下,由总到分 D. 由总到分,自上而下 11.从管理系统中计算机应用的功能来看,计算机在管理系统中应用的发展依次 为()。 A. EDP、DSS、MIS、EIS B. DSS、EDP、MIS、EIS C. MIS、EDP、DSS、EIS D. EDP、MIS、DSS、EIS 12.DSS的工作方式主要是()。 A. 人机对话方式 B. 键盘操作方式 C. 交互会话方式 D. 非交互会话方式 13.专家系统有两个核心组成部分,即知识库和()。 A. 数据库 B. 推理机 C. 方法库 D. 决策模型 14.处理功能分析常用的方法有:决策树、决策表和()。 A. 结构化语言 B. 数据字典 C. 数据功能格栅图 D. E-R图 15.在医院,患者与医生的关系是属于()。 A. 1:1 B. 1:n C. n:1 D. m:n 16.系统开发中强调系统的整体性,它采用先确定()模型,再设计() 模型的思路。 A. 实体,用户 B. 用户,实体 C. 逻辑,物理 D. 物理,逻辑
审计学 期末考试重点
1-注册会计师执业准则体系由审计执业准则体系(审计准则)和注册会计师职业道德守则两类构成。 2-我国审计执业准则(practicing standards)体系包括鉴证业务准则、相关服务准则和会计师事务所质量控制准则三大部分。 3-中国注册会计师执业准则包括鉴证业务准则(审计准则、审阅准则、其他鉴证业务准则)、相关服务准则和会计师事务所质量控制准则三大部分 4-鉴证业务包括历史财务信息审计业务、历史财务信息审阅业务和其他鉴证业务。 5-鉴证业务要素包括三方关系、鉴证对象、标准、证据和鉴证报告五要素。 6-鉴证业务的三方关系人是指注册会计师、责任方和除责任方之外的预期使用者 7-事务所应当从以下六个方面建立质量控制:(1)对业务质量承担的领导责任;(2)相关职业道德要求;(3)客户关系和具体业务的接受与保持;(4)人力资源;(5)业务执行;(6)监控 8-职业道德基本原则包括:诚信、独立、客观、专业胜任能力和应有的关注、保密,职业行为 9-中国注册会计师协会会员职业道德守则规定,独立性包括实质上的独立性和形式上的独立性: 1.实质上的独立性是一种内心状态,要求注册会计师在提出结论时不受有损于职业判断的因素影响,能够诚实公正行事,并保持客观和职业怀疑态度;2.形式上的独立性,要求注册会计师避免出现重大的事实和情况,使得一个理性且掌握充分信息的第但方在权衡这些事实和情况后,很可能推定会计事务所或项目组成员的诚信、客观或职业怀疑已经受到损害。10-职业道德概念框架是指解决职业道德问题的思路和方法,用以指导注册会计师:(1)识别对职业道德基本原则的不利影响:(2)评价不利影响的严重程度(3)必要时采取防范措施消除不利影响或将其降低至可接受的水平。 11-可能对职业道德基本原则产生不利影响的因素包括:自身利益、自我评价、过度推介、密切关系和外在压力。 12-在具体工作中采取的防范措施:三个层次的防范:会计师事务所层面的防范具体业务层面的防范客户内部系统和程序中的防范 13-在提供专业服务的过程中,以下方面可能会对职业道德基本原则产生不利影响:(1)专业服务委托(2)利益冲突(3)应客户的要求提供第二次意见(4)收费(5)礼品和招待 14-收费报价过低产生不利影响:在承接业务时,如果收费报价过低,可能导致难以按照执业准则和职业道德规范的要求执行业务,从而对专业胜任能力和应有的关注原则产生不利影响,防范措施(1)在提供专业服务时,遵守执业准则和职业道德规范的要求,使工作质量不受损害(2)客户了解专业服务的范围和收费基础 15-或有收费产生的不利影响:评价不利影响考虑的因素:(1)业务的性质(法律法规允许的业务除外)(2)可能的收费金额区间(3)确定收费的基础(4)是否由独立第三方复核交易和提供服务的结果防范措施(1)预先就收费的基础与客户达成书面协议(2)向预期的报告使用者披露注册会计师所执行的工作及收费的基础(3)实施质量控制政策和程序(4)由独立第三方复核注册会计师已执行的工作 16-应客户要求提供第二次意见:评价可能产生的不利影响: 如果第二次意见不是以前任注册会计师所获得的相同事实为基础,或依据的证据不充分,可能对专业胜任能力和应有的关注原则产生不利影响。不利影响存在与否及其严重程度,取决于业务的具体情况,以及为提供第二次意见所能获得的所有相关事实及证据。防范措施:(1)征得客户同意与前任注册会计师沟通(2)在与客户沟通中说明注册会计师发表专业意见的局限性(3)向前任注册会计师提供第二次意见的副本 17-无法消除或降低不利影响时的决策:如果利益冲突对职业道德基本原则产生不利影响,并且采取防范措施无法消除不利影响或将其降低至可接受的水平,注册会计师应当拒绝承接
信息系统审计重点及应对措施
信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。随着计算机及网络技术的迅速发展,审计机关要想完成“全面审计,突出重点”的审计目标,担负起社会经济运行的“免疫系统”作用,就必须加快信息系统审计的步伐。为此,笔者认为,审计机关要开展好信息系统审计,就必须把握重点,加强组织,制定措施,积极推进。 一、开展信息系统审计应把握的重点 1、信息系统审计的目标和内容 信息系统审计目标:信息系统审计不仅要对系统信息的合法性、公允性进行审计,还要对信息系统的硬件和软件,以及整个信息系统的安全性、稳定性、内部控制的健全性与有效性等方面进行审计,指出被审计单位信息系统内部管理和控制上的薄弱环节,提高其信息系统的可靠性和真实性,有效地防止利用信息技术随意篡改系统信息或破坏磁介质上的数据等舞弊行为的发生。因此,信息系统审计目标不仅仅在于应用计算机进行审计(即传统EDI 审计或计算机辅助审计),更重要的是要对信息系统本身的安全性、稳定性及其实现组织目标的有效性进行实时的检查、评价和改造。 信息系统审计内容:主要包括信息系统开发过程审计、一般控制审计和应用控制审计三个方面。 2、信息系统审计的职能和方式 为了实现审计目标,保证和咨询应成为对信息系统进行审计的两大基本职能。“保证”即“系统可靠性保证”,就是通过对信息系统运行过程、商业连续性能力、维护状况进行评价,合理保证信息系统安全、稳定、有效,它是信息系统审计最基本的职能。“咨询”是指审计人员能够向信息系统的高层管理者以及使用者提供解决问题的方案,以达到改善经营和为组织增加价值的目的。 信息系统审计组织方式:一种是将信息系统审计作为常规项目审计的一部分,是为整个审计项目的总体目标服务的。检查信息系统本身及其内部控制的可靠性和有效性,为数据审计服务,最终通过审计数据得出审计结论,即数据审计、信息系统审计和系统内控审计“三位一体”的结合方式。另一种是独立立项的信息系统审计,直接针对信息系统进行审计,将信息系统本身的安全性、可靠性和有效性作为审计目标。现阶段开展的信息系统审计以第一种方式为主。 3、信息系统审计的依据和原则
会计信息系统期末考试案例题
业务流程和案例题 案例题 某集团 销售事业部冰箱事业部彩电事业部集团财务采购中心 北京公司上 海 公 司 广 州 公 司 海 滨 彩 电 泰 山 彩 电 西 北 彩 电 内 蒙 彩 电 1、集团财务 (1)集团财务主要负责对集团总部的日常报销 (2)集中采购,即各产品公司将采购信息发给集团,由集团统一进行采购,采购的物料直接到当地的公司的仓库 (3)负责整个集团的全面预算管理,集团统一制定预算体系,并对下属公司进行预算控制。 (4)各行业定期进行财务状况和经营成果的分析 2、销售事业部与其下属成员 (1)销售事业部是管理中心,对其在全国各地的销售公司进行管理。要求实时掌控各地销售公司的财务状况和经营成果,并进行横向对比分析 (2)各地的销售公司主要销售集团的各种产品,当地有仓库,进行统一存货核算。 3、彩电事业部与其下属成员 (1)彩电事业部是管理中心,对其在全国各地的生产彩电的公司进行管理。要求实时掌控各地生产型公司的财务状况和经营成果,并进行横向对比分析 (2)各地的生产型公司主要从事彩电生产,其采购申请提交给集团采购中心有材料仓库进行存货核算,其生产的产品销售给销售事业部,每月人产成品仓库。 要求: (1)集团财务会计信息系统应该具备哪些功能? (2)销售事业部和销售公司的会计信息系统应该具备那些功能? (3)彩电事业及其下属成员的会计信息系统应该具备哪些功能? 答:(1)这要根据企业集团类型和对分公司的管理要求来决定,这家企业集团是产业型企业集团,这种类型的企业集团对财务集中管理的要求比较高,往往对整个集团下属成员实行分散经营、集中管理,因此,会计信息系统从功能上讲,集团与成员单位的交集是最大的,集团总部应该涵盖所有功能模块或子系统,如总账、采购与付款管理、存货核算与管理、销与应收管理、生产、报告、继续评价等功能模型与子系统),做到集团与成员单位信息共享、单据在成员单位之间实时协同、预算体系和指标统一制定和共享、资金集中管理、集团能够利用信息评价整个集团成员的绩效等。 (2)销售事业部和销售公司会计信息系统应该具备功能。 销售事业部主要任务是完成销售核算与管理任务,销售公司是具体实现销售业务的经营单元,因此这两个层级的组织都应该选择与销售业务有关的功能模块或者子系统(如总账、销售与收款、存货、报表、绩效评价等模块)。 3. 彩电事业部与其下属成员会计信息系统应该具备功能。 彩电事业部主要任务是完成生产核算与管理任务,其下属成员是具体从事生产活动的单元,因此这两个层次的组织都应该选择与生产核算与管理有关的功能模型或者子系统(如总账、生产、存货、报表、绩效评价等模块)。
审计学期末考试重点名词解释
名词解释 1.审计P8 是一项具有独立性的经济监督、评价和鉴证活动 2.审计证据P58 指审计人员为了得出审计结论、形成审计意见而使用的所有信息,包括财务报表依据的会计记录中含有的信息和其他信息 3.审计准则(审计标准、执业准则)P24 是对审计业务中一般公认的惯例加以归纳并依据审计法律法规制定的、审计人员在实施审计过程中必须遵守的行为规范,也是评价审计质量的依据,系审计法律法规内容的进一步细化,属审计实践中贯彻审计法律法规的操作性规范 4.内部控制P105 指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序 5.审计风险P92 指被审计单位财务报表存在重大错报,审计人员却未能发现并发表不恰当审计意见的可能性6.审计报告P335 是审计人员根据有关规范的要求在对约定事项实施了必要的审计程序后出具的,用于对被审计单位财务报表发表审计意见的书面文件 7.审计工作底稿P69 指审计人员对制定的审计计划、实施的审计程序、获取的相关证据,以及得出的审计结论作出的记录 8.期后事项P308 指资产负债表日至审计报告日之间发生的事项以及审计报告日后发生的事实 9.审计抽样P171 指审计人员对某类交易或账户余额中低于百分之百的项目实施审计程序,使所有抽样单元都有被选取的机会 10.管理建议书P360 是审计人员在执行审计过程中或完成审计工作后,就被审计单位内部控制的评审结果提供建议的一种正式文件 11.重要性P86 指被审计单位对财务报表因错报或漏报造成的严重影响程度,在特定环境下,错报漏报足以改变任何一位理性投资者利用错报漏报财务报表作出的决策 12.信赖不足风险 指抽样结果使审计人员没有充分信赖实际上应予信赖的内部控制的风险 13.信赖过度风险 指抽样结果使审计人员对内部控制的信赖超过了其实际上可予以信赖的风险 14.误受风险P178 也称β风险,指抽样结果表明或使审计人员推断某一重大错报不存在而实际上存在的风险15.误拒风险 也称α风险,指抽样结果表明或使审计人员推断某一重大错报存在而实际上不存在的风险
网络安全审计系统(数据库审计)解决方案
数据库审计系统技术建议书
目次 1.综述 (1) 2.需求分析 (1) 2.1.内部人员面临的安全隐患 (2) 2.2.第三方维护人员的威胁 (2) 2.3.最高权限滥用风险 (2) 2.4.违规行为无法控制的风险 (2) 2.5.系统日志不能发现的安全隐患 (2) 2.6.系统崩溃带来审计结果的丢失 (3) 3.审计系统设计方案 (3) 3.1.设计思路和原则 (3) 3.2.系统设计原理 (4) 3.3.设计方案及系统配置 (14) 3.4.主要功能介绍 (5) 3.4.1.数据库审计....................... 错误!未定义书签。 3.4.2.网络运维审计 (9) 3.4.3.OA审计........................... 错误!未定义书签。 3.4.4.数据库响应时间及返回码的审计 (9) 3.4.5.业务系统三层关联 (9) 3.4.6.合规性规则和响应 (10) 3.4.7.审计报告输出 (12) 3.4.8.自身管理 (13) 3.4.9.系统安全性设计 (14) 3.5.负面影响评价 (16) 3.6.交换机性能影响评价 (17) 4.资质证书......................... 错误!未定义书签。
1.综述 随着计算机和网络技术发展,信息系统的应用越来越广泛。数据库做为信息技术的核心和基础,承载着越来越多的关键业务系统,渐渐成为商业和公共安全中最具有战略性的资产,数据库的安全稳定运行也直接决定着业务系统能否正常使用。 围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是IT治理人员和DBA们关注的焦点。做为资深信息安全厂商,结合多年的安全研究经验,提出如下解决思路: 管理层面:完善现有业务流程制度,明细人员职责和分工,规范内部员工的日常操作,严格监控第三方维护人员的操作。 技术层面:除了在业务网络部署相关的信息安全防护产品(如FW、IPS 等),还需要专门针对数据库部署独立安全审计产品,对关键的数据库操作行为进行审计,做到违规行为发生时及时告警,事故发生后精确溯源。 不过,审计关键应用程序和数据库不是一项简单工作。特别是数据库系统,服务于各有不同权限的大量用户,支持高并发的事务处理,还必须满足苛刻的服务水平要求。商业数据库软件内置的审计功能无法满足审计独立性的基本要求,还会降低数据库性能并增加管理费用。 2.需求分析 随着信息技术的发展,XXX已经建立了比较完善的信息系统,数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如XXX等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成企业或者社会的经济损失,重则影响企业形象甚至社会安全。 通过对XXX的深入调研,XXX面临的安全隐患归纳如下:
C15002S IT审计实务100分
IT审计实务 倒计时:00:31:55 单选题(共2题,每题10分) 1 . 以下属于对信息系统一般控制审计的是()。 ? A.对IT治理工作机制进行审计 ? B.对IT基础设施及运维的审计 ? C.对全面的IT风险管理框架的审计 ? D.对IT组织结构、管理制度的审计 2 . COBIT(Control Objectives for Information and Related Technology)是目前国际 上通用的IT管理标准之一,属于()。 ? A.IT服务管理体系标准 ? B.信息安全管理体系标准 ? C.IT控制标准 ? D.软件开发过程标准 多选题(共4题,每题10分) 1 . 国资委于2014年对央企提出了信息安全“三同步”的工作原则,即信息安全保障与信息 化建设应保持()。 ? A.同步设计 ? B.同步建设 ? C.同步运行 ? D.同步管理 2 . 关于IT审计的作用,下列说法正确的是()。
? A.IT审计具有鉴证价值、促进价值、咨询价值 ? B.通过IT审计发现控制缺陷或漏洞、提出解决问题的建议,可促进被审计单位提高管理水平、提高经济效益 ? C.通过IT审计,可以合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一致性 ? D.通过IT审计,审计师对被审计单位信息系统进行诊断咨询,客观中立地帮助其降低信息化建设过程中的风险 3 . 关于我国IT审计的现状,下列说法正确的是()。 ? A.近年来,审计署在对中央企业开展的审计项目中逐步加大了对信息系统的审计,向企业的核心业务系统进行延伸 ? B.目前我国一些领先的商业银行已经开始实施IT审计与业务审计紧密结合的应用控制审计 ? C.电信运营商的IT审计一般侧重于信息安全审计 ? D.IT审计工作开展的程度已经成为银行风险评价指标之一 4 . IT综合管控包括()等。 ? A.IT决策机制 ? B.IT架构规划 ? C.IT价值管理 ? D.信息安全与IT风险管理 判断题(共4题,每题10分) 1 . 随着国内企业对IT审计的重视程度的日益提高,国内已形成了强大的从事IT控制与IT 审计的专业人才队伍,对IT审计理解达到了一定的深度和广度。() 对错 2 . IT审计的内容从控制层的角度可分为对信息系统高层控制的审计、对信息系统一般控制 的审计和对信息系统应用控制的审计。() 对错
审计的考试重点(doc 9页)
审计的考试重点(doc 9页)
符合性测试与实质性测试的关系? 答:区别:(1)测试的具体对象和目的不同。符合性测试的具体对象是各种内部控制制度,其目的是揭示内部控制的可靠性;实质性测试的对象是依靠这些制度生出的数据,其目的是评价这些数据的公允性。(2)测试的依据和时间不同。符合性测试主要以建立内部控制的原则为依据,可以在期中进行;实质性测试的依据是公认会计原则,主要在期末进行。(3)测试方法不同。两者都用抽样方法,但符合性测试用属性抽样方法,而实质性测试用变量抽样。 联系:符合性测试是实质性测试的基础,前者得出的内部控制的可靠性和符合程度如何,
决定着实质性测试的性质、时间和范围。符合性测试表明的内部控制的控制能力越强,实质性测试的范围就越小。 固定资产的审计 1.A 【解析】根据新准则的规定对于建造在建工程,其土地使用权不进行结转还按照正常的期间进行摊销。 ?1.固定资产和在建工程审计工作底稿及其他相关审计工作底稿中有以下审计结论,其中错误的是()。 ?A.对某项在建厂房工程,建议将相关土地使用权一并转入该项在建工程核算 ?B.对某项尚未办理竣工决算但已启用的在建工程,建议暂估转入固定资产并计提折旧 ?C.对用流动资金借款建造的某项固定资产,不对计入到资本化的部分进行调整 ?D.对市场价格已经大幅下跌的某项固定资产,建议按资产的可收回金额和账面价值的差额计提减值准备 2.C 【解析】根据新准则的规定投资者投入的固定资产,按照合同或协议约定的价值入账,如果合同或协议约定的价值不公允则应当按照公允
价值入账。 ?2.在对固定资产入账价值进行审计时,A注册会计师发现L公司存在以下处理情况,其中不正确的是()。 ?A.购置的不需要经过建造过程即可使用的甲固定资产,按实际支付的买价、包装费、运输费、安装成本、交纳的有关税金等,作为入账价值 ?B.具有商业实质时,当企业用生产的产品换入固定资产时,该项固定资产的入账价值应该以换出资产的公允价值为基础计算确定 ?C.投资者投入的丙固定资产,按投资方原账面价值作为入账价值 ?D.接受捐赠的丁固定资产,以有关凭据上的金额加上相关税费作为入账价值 ?(一)在对M公司2006年的财务报表进行审计的过程中,L注册会计师负责有关期初余额的审计。在审计过程中遇到以下问题,请代为做出正确的专业判断。 ?3.BCD 【解析】不能根据期末的存货余额倒推确认期初的存货余额,因为期末余额的确认是在期初余额的基础上确认的。
涉密计算机信息系统的安全审计
涉密计算机信息系统的安全审计 来源:CIO时代网 一、引言 随着网络的发展,网络信息的安全越来越引起世界各国的重视,防病毒产品、防火墙、入侵检测、漏洞扫描等安全产品都得到了广泛的应用,但是这些信息安全产品都是为了防御外部的入侵和窃取。随着对网络安全的认识和技术的发展,发现由于内部人员造成的泄密或入侵事件占了很大的比例,所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到重视,要做到这点就需要在网络中实现对网络资源的使用进行审计。 在当今的网络中各种审计系统已经有了初步的应用,例如:数据库审计、应用程序审计以及网络信息审计等,但是,随着网络规模的不断扩大,功能相对单一的审计产品有一定的局限性,并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一,跨地区、跨网段、集中管理才是综合审计系统最终的发展目标。 本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后的发展方向做出了讨论。 二、什么是安全审计 国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖),简称“五性”。安全审计是这“五性”的重要保障之一,它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进行安全审计,记录所有发生的事件,提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的监控系统,不论是什么人进出银行,都进行如实登记,并且每个人在银行中的行动,乃至一个茶杯的挪动都被如实的记录,一旦有突发事件可以快速的查阅进出记录和行为记录,确定问题所在,以便采取相应的处理措施。 近几年,涉密系统规模不断扩大,系统中使用的设备也逐渐增多,每种设备都带有自己的审计模块,另外还有专门针对某一种网络应用设计的审计系统,如:操作系统的审计、数据库审计系统、网络安全审计系统、应用程序审计系统等,但是都无法做到对计算机信息系统全面的安全审计,另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况,就需要对每种设备的审计模块熟练操作,并且结合多种专用审计产品才能够做到。 为了能够方便地对整个计算机信息系统进行审计,就需要设计综合的安全审计系统。它的目标是通过数据挖掘和数据仓库等技术,实现在不同网络环境中对网络设备、终端、数据资源等进行监控和管理,在必要时通过多种途径向管理员发出警告或自动采取排错措施,并且能够对历史审计数据进行分析、处理和追踪。主要作用有以下几个方面: 1. 对潜在的攻击者起到震慑和警告的作用; 2. 对于已经发生的系统破坏行为提供有效的追究证据; 3. 为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞; 4. 为系统管理员提供系统的统计日志,使系统管理员能够发现系统性能上的不足或需要改进和加强的地方。 三、涉密信息系统安全审计包括的内容 《中华人民共和国计算机信息系统安全保护条例》中定义的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。涉密计算机信息系统(以下简称“涉密信息系统”)在《计算机信息系统保密管理暂行规定》中定义为:采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。所以针对涉密信息系统的安全审计的内容就应该
信息系统审计的指南(COBIT中文版)
COBIT信息技术审计指南(34个控制目标) 计划和组织(选择3/6/11) 1 定义战略性的信息技术规划(PO1)PO域 控制的IT过程: 定义战略性的IT规划 满足的业务需求: 既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成 实现路线: 在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划 需要考虑的事项: 企业的业务发展战略 IT如何支持业务目标的明确定义 技术解决方案和当前基础设施的详细清单 追踪技术市场 适时的可行性研究和现实性检查 已有系统的评估 在风险、进入市场的时机、质量方面,企业所处的位置 需要高级管理层出钱、支持和必不可少的检查 信息规 IT资源 P 效果 * 人员 S 效率 * 应用 * 技术 完整 * 设施 可用 * 数据 遵从 可靠 1.1 作为机构长期和短期计划一部分的IT 高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。在这一方面,高级管理层应 确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。IT的长期、短期 计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。 1.2 IT 长期计划 IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。计划编制的方法应包括寻求来自受IT战略计划影响的相关外部利害关系人引入的机制。相应地,管理层应执行一个长期计划的编制过程,采
用一种结构化的方法,并建立一个标准的计划结构。 1.3 IT 长期计划编制——方法与结构 对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法。这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。计划编制期间,需要考虑和充分投入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。已做出选择的好处应被明确地确定下来。IT 长期和短期计划应使绩效指标和目标合并在一起。计划本身还应参考其它的计划,比如机构的质量计划和信息风险管理计划。 1.4 IT 长期计划的变更 IT管理层和业务过程所有者应确保及时、准确地修改IT长期计划的过程的到位,以适应机构长期计划的变化和IT环境的变化。管理层应建立一个IT长期和短期计划开发和维护所需要的政策。 1.5 IT 功能的短期计划编制 IT管理层和业务过程的所有者应确保IT长期计划有规律地转换成IT短期计划。这样的短期计划应确保适当的IT功能资源以与IT长期计划容相一致的基础上来分配。短期计划应定期地进行再评估,并被作为适应正在变化的业务和IT环境所必须的事项而改进。可行性研究的及时执行应确保短期计划的实行是被充分地启动的。 1.6 IT 计划的交流 管理层应确保IT长期和短期计划同业务过程所有者以及跨越机构的其他相关部门人员的充分沟通。 1.7 IT 计划的监控和评估 管理层应建立一个流程,获取和报告来自业务过程所有者和用户有关长期和短期计划的质量及有效性的反馈。获取的反馈应予以评估,并在将来的IT计划编制中加以考虑。 1.8 现有系统的评估 在开发或变更战略规划或长期计划、IT计划之前,IT管理层应按照业务自动化的程度、功能性、稳定性、复杂性、成本、优势和劣势,评估现有信息系统,以确定现有系统支持机构业务需求的程度。 对高级和详细的控制目标进行审计: 获得了解: 访谈:
信息系统审计工作制度
信息系统审计工作 今天,信息系统已成为企业业务处理的中枢,信息系统的可靠、安全、效率左右着企业的命运。企业不仅要在内部设立信息系统审计部门,实施内部审计,还必须委托外部信息系统审计师站在第三方的客观立场对信息系统进行全面的检查与评价。要实施独立的信息系统审计,确立信息系统审计制度是十分重要的。 因此,为了规范部门内部工作流程和质量控制,协助其他部门了解信息系统审计部门的业务支持范围、工作内容及工作流程,促进部门间就项目中设计的信息系统审计业务范围进行有效沟通,协调项目工作计划的界定和质量管理,避免因项目中工作职责和工作范围界定不明确而降低审计工作的效率和效果,特制订此信息系统审计制度。 本制度主要内容包括信息系统审计部门应何时介入企业进行信息系统审计工作,为财务审计团队提供信息系统审计业务支持的工作范围及本部门其他的工作职责范围,信息系统审计的工作程序及方法,以及信息系统审计对客户能够达成的效果等,特作以下介绍说明。 一、信息系统审计何时介入 信息系统审计(IT Audit)是信息系统鉴证业务中的一种。信息系统审计是根据业务和信息控制目标,针对信息系统环境内设定的控制,通过搜集和评估审计证据,对信息系统控制的有效性发表结论或意见的过程。 信息系统审计有四个层面: 1.它的目的是对信息系统控制的有效性发表评估结论或审计意见。有效性包括控制设计的有效性和执行有效性; 2.它的对象是信息系统环境中的各种控制流程或机制,包括IT 一般控制和应用控制;3) 3.它的内容是搜集和评估审计证据; 4.它的依据是业务控制目标,比如系统是否有效实施控制保证财务软件计算的固定资产折旧程序是否准确。通过执行信息系统审计,可以协助财务审计团队了解和评价信息系统的可靠性和安全性及财务数据的完整性和准确性。 财务审计团队在财务审计业务计划阶段,需对客户的信息系统环境进行调查,若客户的信息系统环境评估结果为复杂时,需邀请信息系统审计人员介入共同探讨审计计划,根据业务系统的复杂度、实体业务性质、财务审计团队人员的技能和知识、业务处理本质(如:是否为高度自动化)、交易数量及信息系统的管理方式(如:若信息系统由第三方管理,则需考虑是否需要SAS70或者相关的报告)确定信息系统审计业务支持服务范围,并在信息系统审计计划中以书面的形式记录业务约定。若客户的信息系统环境评估结果为不复杂时,信息系统审计工作可由审计团队完成,必要时信息系统审计团队可以提供知识和技术的支持和咨询服务。 其中,若在计划审计程序阶段或者审计过程中了解到客户业务处理过程高度自动化(如:银行,保险,电信,和零售业等高度依赖电算化的企业环境和特定行业高度依赖信息系统处理业务),仅仅执行实质性程序无法提供足够的审计证据时,在约定信息系统审计业务服务范围时,需考虑同时包括应用控制审计及其他可以辅助财务审计团队确认交易的真实性、完整性、准确性、截止性的审计程序。 在约定信息系统审计是否介入时,需要考虑如下因素: ?系统的复杂性; ?业务的本质; ?财务审计团队的技能和知识; ?系统的位置(例如,如果包含一个服务组织,SAS70或相关的报告能否被使用);
审计学案例期末考试复习要点
《审计案例分析》期末考试复习重点 一、考试要求 《审计案例分析》是中央广播电视大学开放教育会计学专业( 本科) 限选课程, 是在专科《企业财务管理》、《中级财务会计》、《管理会计》和《审计学原理》以及本科《高级财务会计》、《高级财务管理》、《财务案例研究》等课程的基础上, 为进一步提高学生审计理论层次和专业判断能力而设置的一门专业课。要求学生在学完本课程后, 能够比较全面地了解、掌握审计学的基本理论、基本方法和基本技能, 并使审计理论研究与专业判断能力提升到一个更高的层面。据此, 本课程的考试重点包括基本知识和应用能力两个方面, 主要考核学生对审计的基本理论、现行法规的理解和案例分析能力。在各章的考核要求中, 有关基本理论及案例分析能力的内容按”重点掌握、一般掌握”两个层次要求。 重点掌握: 要求学生能综合运用所学的基本方法和基本技能, 根据所给的条件, 综合处理解决本课程涉及的业务问题及案例分析。一般掌握: 要求学生对本课程的基本知识和相关知识以及现行审计制度与法规有所了解。 二、试题类型及结构 试题类型大致分为客观性试题和主观性试题两大类。 ( 1) 判断并说明理由题: 考核对审计专业知识的分析判断能力。
判断题占全部试题的30%左右。 ( 2) 单项案例分析题: 考核对基本概念、理论、方法的掌握及应用程度。单项案例分析题占全部试题的30%左右。 ( 3) 综合案例分析题: 主要考核对国家财经法规和审计专业知识的掌握程度及综合分析能力。综合案例分析题中涉及计算题要求写出计算公式及主要计算过程; 需要进行理论分析的则要注明相应的国家财经法规。综合案例分析题占全部试题的40%左右。 三、考核形式 形成性考核形式为平时作业、参加学习小组活动和网上讨论等形式; 期末考试形式为开卷笔试。 四、答题时限 期末考试的答题时限为90分钟。 五、其它说明 本课程期末考试必须带教材, 能够携带计算器等计算工具。 六、期末考试复习要点 一、判断并说明理由题参考省电大”审计案例研究”在线学习平台”期末复习”栏目的”判断题及答案”里相关题目。