cisa复习要点.docx

cisa复习要点.docx

《cisa复习要点.docx》由会员分享，可在线阅读，更多相关《cisa复习要点.docx（10页珍藏版）》请在冰豆网上搜索。

cisa复习要点

1、区分何时执行符合性测试和实质性测试?

符合性测试（执行情况）

验证控制的执行是否符合管理政策和规程验证真实的控制同审计师评价中所理解

的方式相一致，判断控制是否在起作用

测试一个既定流程的存在及其效果实质性测试（准确性）

正式实际处理的完整性，验证财务报表数据及相关交易的有效性和完整性

测试组织中直接影响财务报表平衡或其他相关数据的金额错误

确定磁带库存货记录是否准确

抽样执行：

用户访问权限、程序变更控制基于对账户和交易的抽样来正式复杂计算的结流程、文件流程、编程文档、例外跟踪、果

xx检查、软件xx

2、给定场景下，确定哪一种证据收集技术是最好的。

收集证据的技术

1）评价组织结构及其所提供的控制水平：

采用分布式协作处理或最终用户计算方式，其IS职能的组织形式与传统的、具有独立的系统和运营部门的IS组织有所不同。

2）检查IS政策和程序：

检查是否已建立适当的政策和规程，确定员工是否了解施行中的政策和规程、以及对这些政策和规程的遵循性。

验证管理层是否负责规划、制定、行文、发布和控制涵盖了总体目标与仿真的政策。

应当对政策和规程的适当性进行定期审查。

3）检查标准：

了解组织中正式施行的标准

4）检查IS文档：

了解组织中存在的文件（硬拷贝形式、电子存档格式等），如为电子存档的要评价对文件完整性的保护——查明文件的最低水平。

5）访谈适当的人员：

事先安排并确定明确的目标，按照预定的提纲进行并做好访谈记录。

收集审计证据的程序包括（调查、观察、检查、确认、演示和监控）。

6）观察工作流程和员工表现。

可考虑文件化的证据是否可作为有用证据，如照片等。

3、各种类型的抽样技术及其适用情况

抽样方法

统计抽样：

采用客观的方法

来确定样本量和样本抽取

标准。

利用统计抽样，审计

师可以量化描述样本与总

体的接近程度以及用百分

数表示的样本能够代表总

体的概念。

非统计抽样（判断抽样）：

采用审计师判断来确定抽

样方法、样本量及抽样标

准。

抽样结果基于审计师对

抽样事项或交易的重要性

及风险的主管判断属性抽样

属性抽样：

利用估计总体中

某种特性的发生比率的抽

样方法，属性抽样回答“有

多少”的问题变量抽样

分层单位平均估计抽样：

先对总体进行分层，然后从不同层分别抽取样本的统计抽样。

相对于不分层单位平均估计抽样，其样本量较小。

不分层单位平均估计抽样：

用样本均值来估计总体的统计抽样。

停-走抽样：

允许审计测试尽

可能在早期停止以防止过

度抽样的抽样方法。

停-走抽

样用于审计师相信总体中

只存在少量错误的情况

发现抽样：

可用在预期错误

发生率非常低的情况下的

抽样方法。

常用于审计目标

是发现舞弊、违反法规或其

他非法行为时。

差额估计：

根据样本差额来估计审计价值与账面价值之间的总体差额。

4、熟悉ISACA信息系统审计准则“审计工作执行”（S6）和IS审计指南“使用其他审计师的工作成果”（G1），重点关注对其他审计师或专家的工作成果的访问权限。

考虑关于使用其他审计师和专家服务的内容：

n法律、法规对审计或安全服务外包的限制

n审计章程或合同约定

n对整体或特定IS审计目标的影响

n对IS审计风险和职业责任的影响

n其他审计师和专家的独立性、客观性

n职业胜任能力、资格和经验

n计划外包的工作范围

n监督和审计管理控制

n审计工作成果的沟通方法和形式

n符合法律、法规的要求

n符合适用的职业准则要求

根据工作性质不同，还应特别考虑以下内容

n推荐信、介绍人或xx调查

n对系统、工作场所和记录的访问

n保护客户信息机密性的限制

n外部审计服务提供商所使用的计算机辅助审计技术和其他工具

n工作履行和文档方面的标准和方法

n保密协议

审计师应当负责管理外部服务以：

n使用正式的审计委托书来清晰的沟通审计目标、范围和方法、

n制定监督流程定期检查外部服务提供商的工作，包括：

计划、监督、检查和文档。

n评估外部服务报告的可用性及适当性，评估重大发现对整体审计目标的影响。

5、熟悉ISACA审计准则S7“审计报告”和S8“追踪审计”

审计报告通常具有以下结构和内容

报告提要，说明审计目标、范围和限制、审计期间、对审计中所执行审计程序和测试的性质及范围的总体说明、对IS审计方法和指导的说明。

分章描述审计发现，章节

第二章IT治理

知识点：

1、IT战略、政策、标准和规程对组织的意义及各自的基本内容；

2、IT治理框架

3、IT战略、政策、标准和规程的制定、实施及维护流程，如：

信息资产保护、业务持续和灾难恢复、系统和基础设施生命周期管理、IT服务交付与支持等；

4、质量管理战略和政策

5、与IT管理及使用相关的组织结构、角色和职责；

6、国际公认的IT标准和指南

7、在制定长期战略方针方面的企业IT架构及其实施

8、风险管理技术和工具

9、控制框架的使用，如Cobit，COSO，ISO17799等

10、成熟度和流程改进模型的使用，如：

能力成熟度模型（CMM）、COBIT等；

11、合同战略、流程和合同管理实务

12、IT绩效监督和报告实务，如：

平衡计分卡、关键绩效指标

13、相关法律、法规问题，如：

隐私、知识产权、公司治理要求等；

14、IT人力资源管理

15、IT资源投资和分配实务，如：

项目组合管理、投资回报（ROI）等

公司治理

力求在两个冲突目标间达到平衡：

一方面利用机会增加各利益相关方的价值，另一方面是保持组织运营符合法规和社会责任的要求。

IT治理在根本上关注以下两方面的问题：

IT向业务交付价值和IT风险得到管理。

IT治理由于以下因素变得更加重要：

n董事会和业务管理人员期望IT投资有更好的回报（如：

IT交付了业务所需要的来增加利益相关方价值）。

n对普遍持续增加的IT费用的关注。

nIT控制应满足法律要求的需要。

n服务提供商的选择，对服务外包和采购的管理。

n更加复杂的IT风险。

nIT治理工作采用框架控制和最佳实践来帮助监督和改善关键IT活动，以降低业务风险，增加业务价值。

n尽可能采用标准化而非特别订制的方法来优化成本的需要。

n提升成熟度和公认框架的认可度

n企业评估采用标准和基准的需求

6、指导委员会职责分析表

IT指导委员会的职责，指导委员会是干活的，包括分配资源、监督执行、沟通目标、承担责任等。

Ø决定IT开销的整体水平以及如何分配

Ø调整和批准企业IT架构

Ø批准项目计划和预算、设定优先级和里程碑

Ø获取并分配适当的资源

Ø确保项目满足业务需求，包括对业务模式的再评估

Ø监督项目执行，确保在预算内及时交付预期价值和既定产出

Ø监督IT职能与企业各部门及各项目间的资源冲突和优先级冲突

Ø对调整战略计划提出建议和要求（优先级、资金、技术方法和资源等）

Ø与项目团队沟通战略目标

Ø管理层IT治理职责的主要承担者

权力：

协助执行层实现IT战略；监督IT服务交付及IT项目的日常管理；关注实施；成员包括：

公司管理者、业务管理者、首席信息官、所需关键顾问。

IT战略委员会

在下述方面向董事会提供见解和建议：

Ø从业务角度的IT发展方向；

ØIT与业务方针的一致性

Ø符合战略目标的IT资源、技能及基础设施的可用性

Ø优化IT成本，包括外部IT资源的角色和价值交付

ØIT投资的风险、回报和竞争力

Ø重要IT项目的进展

ØIT对业务的贡献（如交付预期业务价值）

ØIT风险承受能力，包括合规性风险

ØIT风险减缓

Ø在IT战略方面向管理层提供指导

Ø推动董事会的IT事务

权力：

向董事会和管理层提供IT战略方面的建议；代表董事会起草战略并提交审批；关注当前和未来的IT战略问题

成员：

董事会成员和非董事会成员的专家

7、IT平衡记分卡

三层结构来描述四个方面的问题：

n使命，例如

Ø成为首选的信息系统供应商

Ø经济有效的交付IT应用系统和服务

ØIT投资能获得一个合理的业务回报

Ø抓住机遇应对未来挑战

n战略

Ø开发良好的应用系统与运营

Ø建立用户伙伴关系和良好的客户服务

Ø提高服务水平，优化价格结构

Ø控制IT费用

Ø为IT项目赋予业务价值

Ø提供新的业务能力

Ø培训和教育IT职员，追求xx

Ø为研究和开发提供支持

n措施

Ø提供一套稳定的指标（如KPI）来指导面向业务的IT决策

信息安全治理由领导关系、组织结构和保护信息的流程组成。

在控制环境下，把信息作为资产的前提没有任何改变，所改变的只是用来收集、处理和存储信息的平台和仓库。

管理人员已认识到信息安全治理带来的一系列收益：

Ø关注对于组织及管理者正在增加的风险

Ø提供对政策和标准的符合性保证

Ø通过降低风险至既定的可接受水平，减少业务运营的不确定性，提高可预见性Ø为有限的安全资源的最优化分配提供结构和框架

Ø为不基于错误信息做出关键决策提供适当水平的保证

Ø为风险管理、流程改善和事件快速响应的效果与效率提供一个稳定的基础Ø明确重大业务活动期间的信息保护责任。

nnnnnn信息安全治理的成果

战略一致

风险管理

价值交付

绩效衡量

资源管理

流程整合

治理框架：

在本质上与业务目标相衔接的全面的安全战略；

治理关注战略、控制和法规每个方面的安全政策；

确保程序和指南能与政策保持一致的一整套标准；

不存在利益冲突的一套有效的安全组织架构；

对符合性进行监督并能反馈其效果的制度化的监督流程。