Cisa学习笔记.pdf

CISA 学习笔记 注意：本笔记未包含全部课本内容，只是记录个人不熟悉的一些知识点 （错字请自行掠过） 目录 CISA 学习笔记 1 第一章 信息系统的审计流程 1 第二章 IT 治理和管理3 第三章 信息系统的购置开发和实施4 第四章 信息系统的操作维护与支持6 第五章 信息资产的保护7 第一章 信息系统的审计流程 标准主要定义对IS 审计和鉴证以及报告的强制性要求 准则主要在IS 审计和签证标准的应用方面提供指导 IS 审计和签证部门应在审计章程中适当载明审计职能。说明目的、职责、和问责制 ISACA 开发的工具和技术主要提供IS 审计师可在审计项目中遵循的的流程实例 风险是发生某事件的可能性及其可能产生的后果这三者的组合 风险评估的过程：识别业务目标、识别信息资产、进行风险评估、进行风险减缓、进行风险 处置 内部控制通常由政策、流程、实践和组织结构组成； 预防性、检测性、纠正性 Cobit 是用于治理、控制和鉴证信息及其相关技术的领先框架 满足利益相关者需要：企业的存在就是通过在实现收益、优化风险和运用资源之间维持 一种平衡，从而为其利益相关者创造价值 端到端覆盖企业 运用单一整合式框架 采用一个整体全面的方法 区分治理和管理：治理是确保利益相关者需要、条件和选项被评估，已决定平衡、协商 一致、需要实现的企业目标；管理层计划、构建、运行和监控活动与治理机构制定的方向一 致，以实现企业目标 审计计划：包含审计目标以满足以及满足这些目标所需的审计流程 审计过程要求IS 审计师收集证据、基于收集的证据通过审计测试来评估控制的优点和弱点， 然后准备向管理层提供一份审计报告，客观的叙述这些问题 合规性审计：包括具体的控制措施测试，以表明对特定法规或行业标准的遵守情况 实质性测试：评价交易、数据或其他信息的完整性，验证财务报表数据及相关交易的有效性 和完整性 1 / 8 2015-11 财务审计：评估组织财务报表的争取性，经常涉及到实质性测试 运营审计：旨在评估给定流程或区域的内部控制结构，比如对应用控制或逻辑安全系统的IS 审计 整合审计：结合了财务审计步骤和运营审计步骤 管理审计：旨在对组织内与运营生产力的效率相关的问题进行评估 IS 审计：此过程会收集和评估相关证据，以确定信息系统和相关资源对资产进行了足够的保 护、保持了数据和系统的完整性和可靠性、提供了可靠的相关信息 专业审计：属于一种 IS 审计，有许多专业的审查可以对者如第三方执行的服务等方面进行 检验 司法审计：专门针对发现、揭露和跟踪欺诈与犯罪行为的审计，主要目的是为执法部门和司 法当局进行审查提供证据 持续审计：及时发现风险或控制缺陷，独立于持续控制或监控活动 管理部门、审计师和审计委员会对检测和披露所有舞弊行为负有主要责任 审计流程与步骤： 审计对象：确定被审计领域 审计目标：明确审计目标 审计范围：确定要检查的具体系统、职能和单元 初步审计计划：确定所需技能与资源。确定测试检查的信息来源、确定审计地点和设置 审计程序和步骤：选择测试的方法、确定访谈对象、搜集政策和标准、开发审计工具 评价测试和检查结果 与管理人员沟通结果 审计报告 风险的种类 固有风险 要审计的流程/实体的风险等级或暴漏风险 控制风险 无法通过内部控制系统及时防止或检测到的实质性错误 检测风险 已经发生但IS 审计师无法检测到的重大错误或误报 整体审计风险 信息或者财务报告包含重大错误，且审计师没有察觉到已发生错误的 可能性 降低风险、接受风险、规避风险、转移/分摊风险 审计证据：适当性（质量）、充分性（数量） 证据收集技术：检查组织结构、IS 政策和规程、IS 标准、IS 文档、访谈、观察、重新执行（提 所提供的证据通常优先于其他技术提供的证据）、穿行测试（用来确定对控制的理解的审计 技术）、走查 置信系数：置信系数越大，样本量越大，如果内部控制很强大，则可降低置信系数 属性抽样：估计总体中某种特性的发生比率 停走抽样：如果结果可接受则停止抽样，用于相信总体中只存在少量错误的情况 发现抽样：错误发生率低的时候，用于发生舞弊、违法法规或其他非法行为的情况 变量抽样：分层单位平均估计抽样