必威体育精装版最全CISA学习笔记.pdf

说明：黄色背景需要特别关注，红色字体非常重要，红黄在一起的话，呵呵，大家就自己考虑吧，呵呵 这个笔记是我在得知考试分数后进行整理的，应该还是具有点参考价值的，整理时间2013 年2 月6 日 个人考试心得（10 月1 号开始学习，12 月8 号参加考试，2013 年2 月1 号成绩出来，得分582 分）： 1、有可能的话最好参加相关的培训，5 天的培训不会给你多少实质的提高，但最关键的是能给你一个学习的思路；而 且在培训的时候，有不懂的问题可以问老师； 2、如果你不是做IT 出身的，最好恶补一下IT 知识，CISA 对IT 方面的知识还是有些要求的； 3、对于IT 出身的人，学CISA 特别要注意：要以审计师的视角来学习以及看待题目，组织内部的项目审计师的角色 4 、审计师是不具体解决问题的，但是要发现问题； 5、最好能听两次培训，现在的培训只要缴费后，可以不限次数重听； 6、培训前先把书看一遍，要每个字都要看，不论能不能看懂，至少能有个映像； 7、不要急于做题目，我的做法是： 先把书看一遍（我花了3 周左右的时间）——参加培训（做好笔记）——再把书看一遍（我花了将近2 周左右的时 间）——开始做题目——参加培训（补充上次培训的笔记）——把书再看一遍（最好在一周左右的时间，这个我没 做到）——开始做题目，大量的做(我大概做了4000 道左右)——参加考试（我拿到582 分，自己觉得比较满意） 8、基本上每天花3 到4 个小时的时间就可以了，考试前两天，有条件的话最好在家里整理和复习一下自己所学的； 9、重视QQ 群的动态，群里面很多朋友和前辈，可以学到很多的； 10、 最关键的是，一定要参加考前辅导，这个是免费的，但是内容却是非常关键的！！！ 第一章信息系统审计过程 * IS 审计是基于风险的审计； * 保持审计独立性和胜任能力,确保审计小组所实施完成的审计任务能满足审计职能的目标要求 * 风险分析是审计计划的一部分，帮助IS 审计师识别风险和脆弱性并确定降低风险所需的控制 * 要以审计师的视角来学习以及看待题目，组织内部的项目审计师的角色； * 第一方审计：自查——报告给自己高层 * 第二方审计：甲方审乙方 * 第三方审计：外审——报告给公众或相关机构 * 按照IT 审计标准制定并实施基于风险的IT 审计战略 * 内审首先需要建立审计章程；外审首先需要合同以及委托书； * 审计章程或委托书应在组织内部适当的层次得到同意和通过，一旦创立，就只有在非常必要、并经过充分的论证后 才允许变更审计章程； * 审计章程涵盖整个范围的审计活动；合同侧重于特定的审计任务； * 信息系统审计的最重要的资源是：审计师 * IS 审计师应有合格的职业能力，具备进行审计工作的相应知识；IS 审计师应持续保持职业教育和培训，保持良好的职 业能力； * 在制定审计计划时，要通过风险评估，确认高风险区域，找到审计的重点范围，合理分配审计资源； * 信息系统审计师常常关注高风险的问题，如敏感和重要信息的机密性、可用性、完整性以及生成、存储和处理这些 信息的系统及流程等。在检查这类风险时，信息系统审计师常常对组织所使用的风险管理过程的有效性进行评估。 * 风险管理首要任务是识别出敏感或关键的信息资产；然后实施风险评估来识别威胁并确定其发生频率、所导致的影 响以及将风险降低至管理层可接受水平的相应安全措施； * 为保持其有效性，风险评估过程应当在组织中持续进行，以致力于及时发现和评估新出现的风险。 * 内部控制通常由能够降低组织风险的政策、规程、实务和组织结构组成； * 内部控制的设计是为管理层提供风险事件能够被预防、检测和纠正，业务目标能够达成的合理保证。 * 实施有效的 IS 审计的第一步是审计计划； * 长期审计计划与企业的业务与发展有关，一般为3 到5 年的期间； * 每年都需要对长、短期审计计划进行分析； * 无论长期短期规划每年都必须分析、调整；在环境有重大变化时也必须分析调整 * 证据的优先级：审计师自己收集第三方提供被审计方提供 （银行函证例外） * 制定审计计划的步骤： 1、了解组织业务使命、目标、目的和流程的了解，包括信息和处理要求：对组织关键设施现场巡视；收集阅读组织 背景资料；检查长期战略计划；与管理人员会谈；审阅以前的饿审计报告； 2、找出规定内容，如：政策、标准和作业指导书、程序和组织结构； 3、评价管理层实施的风险评估和隐私保护影响分析； 4 、实施风险分析，找出高风险区域—重点检查对象； 5、执行内部控制检查（针对风险检查）； 6、确定审计范围和审计目标；