cisa的知识梳理_原创精品文档.pdfVIP

先天下之忧而忧，后天下之乐而乐。——范仲淹

从其他地方找到的知识梳理，与大家一起分享下

内部控制的分类

预防性控制,在事情发生前监测问题,如职责分离/仅雇佣合格人员/使用访问控制软件/控制访问物理设备/完

成程序化的编辑检查

检查性控制,使用控制检查和报告发生的问题,如Hashtotals哈希汇总/生产作业中的检查点

内部审计/回显控制

纠正性控制,修复检查控制发现的问题/找出问题原因,纠正问题衍生的错误/修改处理系统以减少未来发生问

题,如意外处理计划/备份流程/恢复运营流程

审计风险的分类

固有风险,假设不存在相关的内部控制的情况下,发生重大错误的风险

控制风险,指有内部控制制度,但无法预防但无法预防及时发现或纠正重要错误的风险

检查风险,信息审计人员采用了不恰当的测试程序,未能发现已存在的重大错误风险

整体审计风险,是对个别控制目标所评估出的各类审计风险的综合

符合性测试和实质性测试

符合性测试:

1.关注内部控制的有效性,从而帮助审计师确定实质性测试的性质、时间和范围，

2.符合性测试可以用来测试既定程序的存在和有效性

3.符合性测试需要测试组织符合控制程序所收集的证据

实质性测试：

1．实质性测试验证实际处理的完整性，通过实质性测试可以确定财务报表和财务信息所反映的业务活动

的正确性和完整性

2．实质性测试需要评估组织的交易、数据若其他信息的完整性

审计抽样分类：

按抽样决策的依据不同，可分为

先天下之忧而忧，后天下之乐而乐。——范仲淹

1．统计抽样：审计人员在计算正式抽样结果时采用统计推断技术的一种抽样方法，客观的方法决定样本量

大小和抽样方式

2．非统计抽样：审计人员全凭主观标准和个人经验来评价样本结果并对总体做出结论

两者的区别是：非统计抽样不能理化抽样风险，统计抽样可以量化

按审计抽样所了解的总体特征不同，可分为

1．属性抽样：估计一个控制或一组相关控制属性的发生概率。与符合性测试有关

有三种基本方法：

固定样本量抽样

停-走抽样

发现抽样

2．变量抽样：根据总体的抽样来估计总体的金额数或其他衡量单位，与实质性测试有关

有三种常用方法：

分层单位平均估计抽样

不分层单位平均估计抽样

差额估计抽样

补偿性控制和重叠性控制

补偿性控制是由健全的控制来弥补其他控制缺陷

重叠的控制同时有两个健全的控制

标准IT平衡记分卡

使用一个三层架构来四个方面的评价要素：使命，战略，措施

四个方面：财务、客户、内部流程、学习与发展

风险管理过程

第一步：对那些具有脆弱性，易受威胁，需要保护的信息资产进行识别与分类

第二步：评价与信息资源相关的威胁和脆弱性，及其发生的可能性

第三步：结合考虑各风险要素形成对风险的总体

项目管理方法：

先天下之忧而忧，后天下之乐而乐。——范仲淹

1、关键路径法：因为项目的构成是一系列、次序排列的独立任务，利用类似网络结构的图示表示各行为

之间的关系，所有链中，时间消耗总数最大的一条链，也就是关键路径，因为它代表了整个项目预计的最

短耗时。

2、项目评审技术PERT，是一网络管理技术，常用于充分计划的系统开发项目，计算时间公式：

（乐观时间+悲观时间+4*最可能时间）/6

使用PERT技术也可以计算关键路径，它就是网络中最长的，唯一的那条路径。

3、时间盒管理TIMEBOX，它是一个相对短的、绝对的和不许变