评估在特定领域遵守政策的情况

　　根据《标准》，内部审计部门应该在风险评价结果的基础上，评价涵盖公司治理、运营及信息系统等内容的控制程序的充分性与有效性。组织的管理控制目标有四个：

　　(1)财务和运营信息可靠、完整;

　　(2)运营工作高效率、有成效;

　　(3)资产得到保护;

　　(4)组织的行为和决定遵守相关的法律、规定和合同。

　　上述目标明确了内部审计部门要评估法律、法规、政策和合同的遵守情况，包括了特定领域的政策。评估时，内部审计部门关注的重点是：

　　(1)组织内是否建立了监督遵守相关法规政策的监管控制系统;

　　(2)这些系统是否充分、有效;

　　(3)相关的业务活动是否遵守了那些法规政策，效果如何。

　　电子商务(e—commerce)就是在互联网上从事商业活动。由于电子商务及其技术突飞猛进的发展，内部审计师应当审查管理层的战略规划和风险管理过程及其关于以下问题的决策：

　　(1)哪些风险是严重的;

　　(2)哪些风险可以被保险;

　　(3)当前采取了哪些减轻风险的控制;

　　(4)哪些额外的补偿控制是必要的;

　　(5)需要哪种监督形式。

　　对于电子商务的主要审计活动包括：

　　(1)评估内部控制结构;

　　(2)对于目标能够被达成提供合理的保证;

　　(3)确定风险是否可以被接受;

　　(4)理解信息的流动：

　　(5)审查界面问题(比如，硬件与硬件、软件与软件、硬件与软件之间的界面);

　　(6)评估营业持续和灾难恢复计划。

　　电子商务审计业务的审计目标包括：

　　(1)电子商务交易的证据;

　　(2)安全系统的可用性和可靠性;

　　(3)电子商务和财务系统之间的有效界面;

　　(4)客户认证过程的有效性;

　　(5)营业持续流程的充分性，包括运营的重启;

　　(6)遵守通行安全标准的情况;

　　(7)数字签名的有效使用和控制;

　　(8)控制公共密钥证书的系统、政策和流程的充分性(使用公共密钥加密技术);

　　(9)运行数据和信息的充分性和准时性;

　　(10)有效的内部控制系统的书面记载证据。

　　首席审计执行官应当将环境、健康和安全风险包括在全企业范围的风险管理评估当中，并且以平衡的方式与企业运营的其他形式的风险一起进行评估。为此，首席审计执行官应当与本组织的环境安全负责人保持密切的工作关系，协调环境审计计划的有关审计活动。环境、健康和安全(EHS)审计程序采用面向遵循性的方法——检查遵守法律、规章和本组织的EHS政策、流程和业绩目标，或面向管理系统的方法——评估为了确保遵守法律和内部规定以及降低风险的管理系统，或上述两种方法同时使用。

　　经营中断可能是自然产生的、偶然发生的或故意的犯罪行为导致的。这种中断会产生重大的财务和运营后果。许多经营专家指出，经营中断不是会不会发生的问题，而是何时发生的问题。CAE应当评估本组织处理经营中断的准备情况。完善的计划可以提供应急响应流程、后备通讯系统和场所、信息系统备份、灾难恢复、经营影响评估和重启计划、重建设备服务流程、以及确保本组织在紧急情况或灾难发生时已经有所准备的维护流程。

　　内部审计师可以作为客观独立的参与者评价经营持续和灾难恢复计划的设计、全面性和充分性。内部审计师可以审查该计划，确定它反映了那些在风险评估过程中包括的和评估的运营活动，并且包含了充分的内部控制事项和要求。

　　衍生产品(derivatives)是有关各方的金融安排，其支付的款项或价值是由某些约定的指标的表现决定的。衍生产品包括期权型和远期型两种合约类型。衍生产品指向的指标可以是商品、利率或汇率。为了有效地控制衍生产品的风险，内部审计师应当审查本组织在以下方面的规定：

　　(1)管理层的监管和责任;

　　(2)允许的和禁止的业务范围;

　　(3)风险极限;

　　(4)风险衡量和报告流程;

　　(5)内部控制。