CISA重要知识第一章-信息系统审计程序重要知识点
- 格式:pdf
- 大小:184.43 KB
- 文档页数:11
文档推荐
-
2015年6月CISA考试经验页数:1
-
cisa复习要点页数:11
-
真实成功cisa学习总结页数:7
-
人教版必修四第五单元知识点页数:37
下载文档原格式
合集下载
2023年CISA信息系统审计知识点完美总结
2023年CISA信息系统审计知识点完美总结1. 信息系统审计概述信息系统审计是指对组织的信息系统进行独立的、系统性的、全面的审查和评价,以确定其合规性和有效性。
2. 信息系统审计的目的和重要性信息系统审计的目的是保障信息系统的安全、可靠和合规性,以提供可靠的信息支持和决策依据。
信息系统审计的重要性体现在以下几个方面:- 保障信息资产的安全性- 确保信息系统的可靠性和完整性- 促进组织合规性和法律遵循3. 信息系统审计的基本原则信息系统审计遵循以下基本原则:- 独立性:审计工作应该独立于被审计对象和其他利益相关方。
- 审计证据:审计结论应该基于充分的审计证据。
- 综合性:审计应该综合考虑组织内外的各种因素。
4. 信息系统审计的方法和步骤信息系统审计的方法和步骤如下:- 确定审计目标和范围- 收集和分析审计证据- 评估和控制审计风险- 发现和跟踪审计问题- 提供审计报告和建议5. 信息系统审计的关键知识点信息系统审计的关键知识点包括但不限于以下几个方面:- 信息系统控制和安全- 数据备份和恢复- 网络安全和防护- 访问控制和权限管理- 数据完整性和准确性- IT合规性和法律法规遵循6. 信息系统审计的发展趋势随着信息技术的快速发展,信息系统审计也在不断发展变化。
未来信息系统审计的发展趋势可能包括但不限于以下几个方面:- 人工智能和机器研究在审计领域的应用- 云计算和大数据对信息系统审计的影响- 区块链技术在信息系统审计中的应用7. 信息系统审计的挑战和对策信息系统审计面临着一些挑战,应采取相应的对策来应对这些挑战,包括但不限于以下几个方面:- 技术变革的快速发展带来的审计方法与技能的更新- 信息系统环境的复杂性和多样性- 面临的安全风险和威胁的不断增加以上是2023年CISA信息系统审计知识点的完美总结,希望对您有所帮助。
参考资料:。
CISA知识点总结2024
引言概述:CISA(CertifiedInformationSystemsAuditor)是一项国际认可的信息系统审计师资格认证,对从事信息系统审计和控制的专业人士具有重要意义。
本文将针对CISA知识点进行总结,帮助读者全面了解CISA考试的内容和要求。
正文内容:一、信息系统审计的基本概念和原则1.信息系统审计的定义和目的2.信息系统审计的基本原则3.信息系统审计的类型和阶段4.信息系统审计的参与者和角色5.信息系统审计的国际标准和准则二、信息系统与技术基础1.信息系统的组成和分类2.信息系统的开发生命周期3.信息系统的运行和维护4.信息系统的风险与控制5.信息系统的安全性和保护措施三、信息系统审计过程与方法1.信息系统审计的策划和准备2.信息系统审计的实施和测试3.信息系统审计的发现和报告4.信息系统审计的跟踪和追踪5.信息系统审计的总结和建议四、信息系统审计的专业实践1.信息系统审计的法律法规和道德规范2.信息系统审计的流程和工具3.信息系统审计的案例和经验分享4.信息系统审计的问题识别和解决5.信息系统审计的持续学习和发展五、信息系统审计的未来发展趋势1.信息系统审计的技术创新和趋势预测2.信息系统审计的人才需求和发展机遇3.信息系统审计的国际合作和标准发展4.信息系统审计的重要性和挑战5.信息系统审计的职业形象和影响力总结:CISA知识点总结着重强调了信息系统审计的基本概念和原则、信息系统与技术基础、信息系统审计过程与方法、信息系统审计的专业实践以及信息系统审计的未来发展趋势五个大点。
每个大点下面设定了59个小点来详细阐述相关知识。
通过本文的学习,读者可以全面了解CISA考试所需的知识和技能,为提高信息系统审计能力和通过CISA考试提供有力的支持。
同时,本文还强调了信息系统审计在未来的发展趋势和重要性,鼓励读者不断学习和发展,为信息系统审计职业做出更大的贡献。
最新CISA认证全套中文资料完美版CH1知识点
一、IS audit function的管理(一)IS审计功能组织1.Audit chapter 由管理高层审批用于建立IS内部审计的角色。
需要定义审计功能的authority,scope,responsibilities2.Engagement letter 是针对特定的审计项目3.外部审计的话通过contract或者statement of work来详细说明审计服务的objectives and scope4.任何情况,内部审计功能应该保持独立并向审计委员会或者董事会等高层汇报。
(二)IS审计资源管理1.IS审计师应该technically competent 应该通过持续的教育获得技术上的胜任2.审计部门应制定详细的员工培训计划,并定期检查,应提供必要的IT资源来实施IS审计。
(三)审计计划1.年度计划是短期,2.长期是考虑到影响计划IT环境的IT战略方向变化所带来的风险3.单个的审计任务需要考虑到定期风险评估结果,应用技术的变化,隐私的关注以及法律要求等,都会影响审计方法。
也要考虑系统部署/升级的deadlines, 现在或者将来的技术,业务流程owner的要求,以及IS资源的有限性等方面。
4.计划过程:获取对业务任务,目标,目的,过程的了解;也包括对信息系统CIA等安全要求的了解识别stated 内容包括策略,标准,要求的指引和组织架构执行RA来帮助开发审计计划设立审计scope和objectives开发审计方法或者审计strategy为审计分派人员解决engagement logistics5.IS审计师了解业务的方法:阅读背景资料,包括:工业出版物,年报,独立的财务分析报告回顾之前的审计报告,或者IT相关报告回顾业务和IT相关的长期战略计划访谈关键岗位来了解业务识别特定的适用于IT的法规识别外包的IT功能或相关活动Touring 关键的机构facilities(四)法律法规对IS审计计划的影响。
CISA笔记
预防性控制职责分工,物理访问控制检查性控制审计轨迹纠正性控制备份程序IS审计了解审计环境---进行风险评估---编制审计计划符合性测试:属性抽样符合性测试是对内部控制的完整性、有效性和实施情况进行的测试。
用以确定内部控制制度是否落实执行的审计测试。
实质性测试:一种审计测试的方法,用来保证在足够的内部控制的基础上,可以避免发生严重错误或诈欺行为。
变量抽样、分层单位平均估计法、差额估计法1固有风险评估2控制风险评估3控制测试评估4实质性测试评估符合性测试与实质性测试的区别主要有以下6点:1)测试目的不同:前者是为确定实质性测试性质,范围,时间;后者是为了对被审核单位内控制度发表审核意见。
2)测试范围不同,前者只对拟信赖的内控进行测试;后者视委托目的而定。
3)测试依据不同,前者依据《独立审计准则》;后者依据《内部控制审核指导意见》。
4)测试时间不同,前者和报表审计期间相同;后者视委托目的而定。
5)测试结果不同,前者形成审计工作底稿;后者形成内部控制审核报告。
6)内部控制审核要求被审核单位提供有关内控情况的书面声明,而符合性测试不需要。
第一章信息系统审计过程审计计划包括短期计划和长期计划。
短期年度内需要实施,长期考虑IT战略方针对IT环境造成的影响所带来的相关风险问题。
制定审计计划时:必须理解整体被审计环境。
包括了解审计对象的各项业务流程和职能。
审计计划步骤:1了解业务使命,目标、目的和流程2找出相关规定(政策、标准等)3风险分析4执行IT相关内部控制检查5确定审计目标和审计范围6制定审计方法或策略7为审计事项分配人力资源8关注项目后勤保障了解业务的步骤1巡检设施2阅读背景资料(出版物,报告)3检察业务及IT长期战略规划4访谈关键管理人5审阅以往审计报告或相关报告6识别适用于IT的具体规章7识别已外包的IT职能和相关活动。
审计程序列表:1风险评估方法2数字签名3入侵检测4病毒和其他恶意代码5控制风险自评估6防火墙7违规和非法行为8安全评估——穿透测试和脆弱性分析9评估加密方法的管理控制10业务应用系统变更控制11电子资金转账(EFT)风险分析风险分析是帮助IS审计师识别风险和脆弱性并确定降低风险所需的控制。
CISA知识要点
CISA知识要点CISA(Certified Information Systems Auditor)是全球最受认可的信息系统审计师资质认证之一、获得CISA资格证书的人员能够提供专业的信息系统审计和保护建议,确保组织的信息系统安全和合规。
以下是CISA考试的主要知识要点:1.信息系统审计过程:了解信息系统审计的基本概念、目标和步骤,包括计划和准备、采集证据、分析和评估、确定问题和建议改进措施等。
2.信息系统和基础设施:熟悉不同类型的信息系统和基础设施,包括计算机网络、数据库、操作系统、应用程序、通信设备等。
3.信息系统开发和实施:了解信息系统开发和实施的方法和流程,包括需求分析、系统设计、编码和测试、部署和维护等。
4.信息系统运营、管理和维护:掌握信息系统运营、管理和维护的最佳实践,包括安全控制、备份和恢复、性能监控和优化等。
5.IT服务交付和支持:了解IT服务交付和支持的过程和工具,包括服务水平协议(SLA)、问题管理、变更管理等。
6.保护信息资产:熟悉保护信息资产的方法和技术,包括信息安全政策、访问控制、身份认证、加密等。
7.风险管理:了解风险管理的原则和方法,包括风险评估、风险处理和监控等。
8.确保应用系统安全:掌握确保应用系统安全的方法和控制措施,包括应用程序安全评估、代码审计、漏洞管理等。
9.IT治理:了解IT治理的原理和指南,包括组织结构、决策权责、合规性和合规审计等。
10.合规审计和信息系统审计管理:掌握合规审计的方法和要求,包括法规、标准和最佳实践;了解信息系统审计管理的方法和技术,包括资源管理、计划和监控、沟通和报告等。
11.业务持续性和灾难恢复计划:了解业务持续性和灾难恢复计划的制定和实施过程,包括业务影响分析、备份和恢复策略、测试和演练等。
12.微机审计和数据分析:掌握微机审计和数据分析的方法和工具,包括数据挖掘、数据可视化、模型和算法等。
13.信息系统审计法规和伦理:了解信息系统审计法规和伦理要求,包括隐私保护、知识产权和专业行为准则等。
2014年CISA最新知识点变化总结
第一章 信息系统审计过程
变化内容 1.3.2 ISACA IS审计和保障准则框架
1.3.3 ISACA IS审计和保障指南 1.3.4 ISACA IS审计和保障工具和技术
1.3.5 IT技术保障框架(ITAF) 1.6 实施IS审计 1.6.5 基于风险的审计
2.9.7 绩效优化
章节内容调整: 关键成功因素:清晰的绩效目标定义、建立有效测量方 法监控目标的实现 方法论和工具
PDCA循环
工具和技术
6 sigma IT平衡记分卡 BSC KPI指标 标杆管理 业务流程再造BPR
2.12.2 灾难和其他中断事件
1.3.2 ISACA IS审计和保障准则框架
审计准则的重大变化:原有的16个审计准则(S1-S16)变 更为3大类17个审计准则 通用 1001审计章程、1002组织独立性、1003职业独立性、 1004合理预期、1005职业审慎、1006能力胜任、1007 声明、1008标准 绩效 1201项目计划、1202计划中的风险评估、1203绩效与 监控、1204重大性、1205证据、1206使用其他专家成 果、1207违规和非法行为 报告 1401报告、1402追踪审计
1.6.5 基于风险的审计
段首新增:
有效的基于风险的审计包括两个阶段: 1、用来指定审计计划的风险评估工作(在1.6.7风险评估 与处置中有详细描述) 2、在审计执行期间,用来最小化审计风险的风险评估工 作(在1.6.6审计风险和重大性中有详细描述)
1.3.3 ISACA IS审计和保障指南
审计指南的变化: G14、G16、G18、G21-G29、G31-G33、G36-41更新 发布到了2013版
Cisa学习笔记
CISA学习笔记注意:本笔记未包含全部课本内容,只是记录个人不熟悉的一些知识点(错字请自行掠过)目录CISA学习笔记 (1)第一章信息系统的审计流程 (1)第二章IT治理和管理 (3)第三章信息系统的购置开发和实施 (4)第四章信息系统的操作维护与支持 (6)第五章信息资产的保护 (7)第一章信息系统的审计流程标准主要定义对IS审计和鉴证以及报告的强制性要求准则主要在IS审计和签证标准的应用方面提供指导IS审计和签证部门应在审计章程中适当载明审计职能。
说明目的、职责、和问责制ISACA开发的工具和技术主要提供IS审计师可在审计项目中遵循的的流程实例风险是发生某事件的可能性及其可能产生的后果这三者的组合风险评估的过程:识别业务目标、识别信息资产、进行风险评估、进行风险减缓、进行风险处置内部控制通常由政策、流程、实践和组织结构组成;预防性、检测性、纠正性Cobit是用于治理、控制和鉴证信息及其相关技术的领先框架满足利益相关者需要:企业的存在就是通过在实现收益、优化风险和运用资源之间维持一种平衡,从而为其利益相关者创造价值端到端覆盖企业运用单一整合式框架采用一个整体全面的方法区分治理和管理:治理是确保利益相关者需要、条件和选项被评估,已决定平衡、协商一致、需要实现的企业目标;管理层计划、构建、运行和监控活动与治理机构制定的方向一致,以实现企业目标审计计划:包含审计目标以满足以及满足这些目标所需的审计流程审计过程要求IS审计师收集证据、基于收集的证据通过审计测试来评估控制的优点和弱点,然后准备向管理层提供一份审计报告,客观的叙述这些问题合规性审计:包括具体的控制措施测试,以表明对特定法规或行业标准的遵守情况实质性测试:评价交易、数据或其他信息的完整性,验证财务报表数据及相关交易的有效性和完整性财务审计:评估组织财务报表的争取性,经常涉及到实质性测试运营审计:旨在评估给定流程或区域的内部控制结构,比如对应用控制或逻辑安全系统的IS 审计整合审计:结合了财务审计步骤和运营审计步骤管理审计:旨在对组织内与运营生产力的效率相关的问题进行评估IS审计:此过程会收集和评估相关证据,以确定信息系统和相关资源对资产进行了足够的保护、保持了数据和系统的完整性和可靠性、提供了可靠的相关信息专业审计:属于一种IS审计,有许多专业的审查可以对者如第三方执行的服务等方面进行检验司法审计:专门针对发现、揭露和跟踪欺诈与犯罪行为的审计,主要目的是为执法部门和司法当局进行审查提供证据持续审计:及时发现风险或控制缺陷,独立于持续控制或监控活动管理部门、审计师和审计委员会对检测和披露所有舞弊行为负有主要责任审计流程与步骤:审计对象:确定被审计领域审计目标:明确审计目标审计范围:确定要检查的具体系统、职能和单元初步审计计划:确定所需技能与资源。
CISA知识要点概述
CISA知识要点概述CISA(Certified Information Systems Auditor)认证是国际上被广泛认可的信息系统审计师资格认证。
它是由全球信息系统审计行业权威组织ISACA(Information Systems Audit and Control Association)设立和管理的一项专业认证,用于评估和认可个人在信息系统审计、控制和保护方面的专业知识和技能。
接下来,我将对CISA知识要点进行概述。
一、信息系统审计1. 信息系统审计基础- 了解信息系统审计的定义、目标和范围- 理解内部控制和风险管理的概念- 掌握信息系统审计过程的步骤和方法2. 信息系统审计准备- 理解信息系统审计的计划和组织- 学会编制信息系统审计计划和程序- 掌握有效的信息系统审计资源管理和沟通技巧3. 信息系统审计的执行- 掌握信息系统审计工作程序和技术- 学会收集、分析和评估审计证据- 熟悉信息系统审计报告的编制和沟通技巧二、信息系统控制和保护1. 信息系统控制的概念和目标- 了解信息系统控制的定义和角色- 掌握信息系统控制的基本原则和目标- 理解信息系统控制的分类和层次2. 信息系统控制框架- 掌握不同的信息系统控制框架,如COSO、COBIT等- 熟悉信息系统控制框架的组成和结构- 学会应用信息系统控制框架进行系统审计和评估3. 信息系统控制技术- 理解信息系统控制技术的定义和应用- 掌握常见的信息系统控制技术,如访问控制、网络安全、物理安全等- 学会评估和测试信息系统控制技术的有效性4. 信息系统控制策略和实施- 掌握信息系统控制策略的制定和实施- 了解信息系统控制策略的管理和监督- 学会评估和改进信息系统控制策略的效果三、信息系统生命周期管理1. 信息系统规划和组织- 了解信息系统规划和组织的基本概念- 掌握信息系统战略规划和业务需求分析的技术和方法- 学会制定和执行信息系统组织和资源管理策略2. 信息系统采购和交付- 掌握信息系统采购和供应商评估的技术和方法- 理解信息系统交付的过程和技术- 学会评估和监督信息系统采购和交付的质量和风险3. 信息系统操作和维护- 了解信息系统运营和维护的基本要求- 掌握信息系统操作和维护的技术和方法- 学会评估和改进信息系统操作和维护的效果4. 信息系统变更管理- 理解信息系统变更管理的定义和目标- 掌握信息系统变更管理的步骤和技术- 学会评估和监督信息系统变更管理的质量和风险总之,CISA知识要点包括信息系统审计、信息系统控制和保护以及信息系统生命周期管理三个方面。
最新最全的CISA知识体系讲解课件
第一部分 信息系统审计程序
1.1 ISACA 发布的信息系统审计标准、准则、程序和职业道德规 范
1.2 IS 审计实务和技术 1.3 收集信息和保存证据的技术(如观察、调查问卷、谈话、计
算机辅助审计技术、电子介质) 1.4 证据的生命周期(如证据的收集、保护和证据之间的相关性) 1.5 与信息系统相关的控制目标和控制(如CobiT 模型) 1.6 审计过程中的风险评估 1.7 审计计划和管理技术 1.8 报告和沟通技术(如推进、商谈、解决冲突) 1.9 控制自我评估(CSA) 1.10 不间断审计技术(即:连续审计技术)
ISACA
今天,ISACA在全球有两万八千多名成员,他们的组成 非常具有多元性。这些成员在100多个国家内生活和工 作,并涵盖众多专业信息技术的相关职业,比如信息 系统审计师、顾问、教导员、信息系统安全专家、管 理者、首席信息官和内部审计师等。有些职业是本领 域内新兴的,其他为中级管理人员,另外还有许多人 担任最高级的职位。他们几乎遍及所有行业,包括财 政金融、公共会计、政府与公共部门、公用事业和制 造业。这种多元性使众多成员能够相互学习,并在许 多专业问题上广泛交流彼此的观点。该特点一直被认 为是ISACA的强势之一。
CISSP〉CISA CISSP CISA
10 domains 6 domCISSP 6小时 CISA 4小时
250题 200题
CISA Overview
CISA overview
CISA and ISACA CISA认证 CISA考试 CISA考试内容 CISA vs. CISSP
本管理 3.7 确保IT 系统应用的交易和数据的完整性、准确性、有效性和
授权的控制目标和技术 3.8 关于数据、应用和技术的企业框架 3.9 需求分析和管理实务,如:需求验证、跟踪(可追溯)、差距
1.1 ISACA 发布的信息系统审计标准、准则、程序和职业道德规 范
1.2 IS 审计实务和技术 1.3 收集信息和保存证据的技术(如观察、调查问卷、谈话、计
算机辅助审计技术、电子介质) 1.4 证据的生命周期(如证据的收集、保护和证据之间的相关性) 1.5 与信息系统相关的控制目标和控制(如CobiT 模型) 1.6 审计过程中的风险评估 1.7 审计计划和管理技术 1.8 报告和沟通技术(如推进、商谈、解决冲突) 1.9 控制自我评估(CSA) 1.10 不间断审计技术(即:连续审计技术)
ISACA
今天,ISACA在全球有两万八千多名成员,他们的组成 非常具有多元性。这些成员在100多个国家内生活和工 作,并涵盖众多专业信息技术的相关职业,比如信息 系统审计师、顾问、教导员、信息系统安全专家、管 理者、首席信息官和内部审计师等。有些职业是本领 域内新兴的,其他为中级管理人员,另外还有许多人 担任最高级的职位。他们几乎遍及所有行业,包括财 政金融、公共会计、政府与公共部门、公用事业和制 造业。这种多元性使众多成员能够相互学习,并在许 多专业问题上广泛交流彼此的观点。该特点一直被认 为是ISACA的强势之一。
CISSP〉CISA CISSP CISA
10 domains 6 domCISSP 6小时 CISA 4小时
250题 200题
CISA Overview
CISA overview
CISA and ISACA CISA认证 CISA考试 CISA考试内容 CISA vs. CISSP
本管理 3.7 确保IT 系统应用的交易和数据的完整性、准确性、有效性和
授权的控制目标和技术 3.8 关于数据、应用和技术的企业框架 3.9 需求分析和管理实务,如:需求验证、跟踪(可追溯)、差距
CISA笔记第一章信息系统审计过程
* 风险评估过程应当在组织中持续进行,以致力于及时发现和评估新出现的风险;
* 内部控制:为减少风险所实施的各种政策、步骤、实践和组织结构;
* 风险控制另外分类方法:技术类控制、物理类控制以及管理类控制;
* COBIT通过域和流程框架来提供最佳实务,把34个IT流程组合到四个域中:
1、计划和组织(PO);
* 整体审计风险:对每一个具体控制目标所评估出的各类审计风险的综合。
* 统计抽样风险——指由选定样本得出错误的整体特征的风险
* 风险分析——量化风险的系统方法
* 风险评价——对比风险值与风险标准确定风险重要性的过程
* 风险评估中所识别出的每一个风险都必须处置,处置方式包括:降低、避免、接受、转移
* ISACA信息系统审计准则:
职业道德规范:必须遵守
信息系统审计标准:强制必须遵守,不可偏离
信息系统审计指南:在有合理解释的前提下可以调整和偏离
信息系统审计工具和技术:根据实际情况作出自己的职业判断
* 审计计划步骤:
1、计划审计纲要;
2、以书面形式记录一份基于风险评估的审计方法;
* 审计程序包括确定审计范围、说明审计目标、找出审计标准、执行审计步骤、检查和评估证据、形成审计结论和意见、与关键流程所有人讨论后报告管理层
* 审计方法是指:为实现预定的审计目标而设计的一系列书面审计程序,其内容包括审计范围、审计目标和审计步骤;
* 审计方法应当由审计管理层制定和批准并保持一致性。
检测性:使用控制措施来检查和报告已发生的错误;哈希、检查点、通讯回显控制
纠正性:纠正问题引起的错误,把威胁影响降到最小;BCP、备份、DRP
* 审计风险:审计过程中未发现信息可能存在的重大错误的风险;审计风险包括(固有风险、控制风险、检测风险、整体审计风险)
* 内部控制:为减少风险所实施的各种政策、步骤、实践和组织结构;
* 风险控制另外分类方法:技术类控制、物理类控制以及管理类控制;
* COBIT通过域和流程框架来提供最佳实务,把34个IT流程组合到四个域中:
1、计划和组织(PO);
* 整体审计风险:对每一个具体控制目标所评估出的各类审计风险的综合。
* 统计抽样风险——指由选定样本得出错误的整体特征的风险
* 风险分析——量化风险的系统方法
* 风险评价——对比风险值与风险标准确定风险重要性的过程
* 风险评估中所识别出的每一个风险都必须处置,处置方式包括:降低、避免、接受、转移
* ISACA信息系统审计准则:
职业道德规范:必须遵守
信息系统审计标准:强制必须遵守,不可偏离
信息系统审计指南:在有合理解释的前提下可以调整和偏离
信息系统审计工具和技术:根据实际情况作出自己的职业判断
* 审计计划步骤:
1、计划审计纲要;
2、以书面形式记录一份基于风险评估的审计方法;
* 审计程序包括确定审计范围、说明审计目标、找出审计标准、执行审计步骤、检查和评估证据、形成审计结论和意见、与关键流程所有人讨论后报告管理层
* 审计方法是指:为实现预定的审计目标而设计的一系列书面审计程序,其内容包括审计范围、审计目标和审计步骤;
* 审计方法应当由审计管理层制定和批准并保持一致性。
检测性:使用控制措施来检查和报告已发生的错误;哈希、检查点、通讯回显控制
纠正性:纠正问题引起的错误,把威胁影响降到最小;BCP、备份、DRP
* 审计风险:审计过程中未发现信息可能存在的重大错误的风险;审计风险包括(固有风险、控制风险、检测风险、整体审计风险)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统审计准则 信息系统审计准则是由信息系统审计准则、审计指南和审计程序构成的。
第一层次:信息系统审计准则。信息系统审计准则是整个审计准则体系的总纲,是信息 系统审计师的资格条件、执业行为的基本规范,是制定审计指南和审计程序的基础依据。分 为 8 大类,共 12 条准则。只要是信息系统审计师执行审计业务,出具审计报告,都必须遵 守执行,具有强制性。
CISA 考试复习关键点
第一章 信息系统审计程序
★ 必须的知识点
1、ISACA 发布的信息系统审计标准、准则、程序和职业道德规范 2、IS 审计实务和技术 3、收集信息和保存证据的技术(如观察、调查问卷、谈话、计算机辅助审计技术、电子介质) 4、证据的生命周期(如证据的收集、保护和证据之间的相关性) 5、与信息系统相关的控制目标和控制(如 C}}I}'模型) 6、审计过程中的风险评估 7、审计计划和管理技术 8、报告和沟通技术(如推进、商谈、解决冲突) 9、控制自我评估(CSA) 10、持续审计技术(即:连续审计技术)
如果重大的误报或非法行为影响到信息系统审计人员继续实施审计工作时,信息系统审计人 员应该考虑该环境下的法律和职业责任。信息系统审计人员可以采取的行动有:向业务主管 人员报告、向公司治理机构或司法机构报告、中止审计业务。
信息系统审计人员应该检查和评估 I 职能部门的使命、愿景、价值观、目标和战略是否与组 织相一致。 信息系统审计人员应该检查 I 职能部门是否存在书面明确的业绩标准,评价其履行情况。
ISACA 信息系统审计标准
审计章程或审计业务约定书应得到组织中适当的管理层的同意和批准。
信息系统审计师在从事审计事项时,应该在实质和形式上独立于被审计方。
信息系统审计人员应编制基于风险的审计方法。 信息系统审计人员应编制详细的审计计划,包括审计性质、目标、范围和所需的资源。 信息系统审计人员应编制审计程序和步骤。
ISACA 职业道德准则
信息系统审计和控制协会制定了职业道德准则用以指导协会会员和 CI}认证持有者的 职业和个人行为。
协会会员和 IS 认证持有者应该遵守以下道德规范: 1、遵从并努力符合信息系统审计标准、程序及控制; 2、在具体执行审计中要按照职业标准及最佳实践原则要求白己,做到敬业、公正及审 慎: 3、以诚实及符合法律要求的方式为利益相关者服务,保持高尚的行为及品德,不从事 有损于信息系统审计职业的活动; 4、对信息系统审计中所取得的信息,应予以保密,不得借以谋取私利和泄漏给他人; 5、保持在审计和信息系统控制相关领域的专业胜任能力,有效而可靠地完成审计任务; 6、审计结果应向适当的组织、部门和个人报告,并披露所有的重人事项: 7、应当对组织中的利益相关者进行信息系统安全与控制的教育,以促进其对审计及信 息系统的了解;
S12 审计重要性 Audit Meteriality
S3 使用外部专家 Use the work of other experts
S14 审计证据 Audit Evidence
风险分析 风险分析(Risk Analysis)作为审计计划的一部分,它有助于审计师确定信息资产的脆弱性、 面临的威胁及由此而产生的风险水平,并根据风险水平来决定如何引入控制措施降低风险。 “风险是特定的威胁利用资产的脆弱性从而造成对资产的一种潜在损害,风险的严重程度与 资产价值的损害程度及威胁发生的频度成正比”。 信息系统审计人员常常关注高风险问题,如敏感和重要信息的保密性、可用性、完整性以及 生成、存储和处理这些信息的重要的信息系统和流程等。在检查这些风险的时候,信息系统 审计人员常常评估组织所使用的风险管理过程的有效性。 对实施措施应运用成本效益分析的方法,选择降低风险到管理层可接受的水平的相关控制审 计师在进行风险分析时要考虑以一下问题: 比较控制成本与减少风险所得收益 管理层的风险喜好(如,管理层准备接受的剩余风险水平): 愿意采用的风险降低的方式(如,终止风险、减少发生的可能性、减少影响、转移或保险)
第二层次:信息系统审计指南。审计指南是依据审计准则制定的,是审计准则的具体化, 它详细规定了信息系统审计师执行各项审计业务、出具审计报告的具体指南,为审计师在执 行审计业务中如何遵守审计准则提供指导。审计师在执业时运用这些指南,离不开职业判 断,对任何偏离指南的行为一定要有充分的理由。
第三层次:信息系统审计程序。信息系统审计程序是依据审计准则和审计指南制定的。 它为审计师提供了一般审计业务的程序和步骤,是遵守审计准则和审计指南的一些通用审 计程序。审计程序为审计师提供了很好的上作范例。但这仅是审计师的一个参照而已,它所 提供的只是审计师在审计时能满足审计准则要求的通常做法,它并不要求强制执行。审计师 在执行具体的审计业务时,要根据特定的信息系统和特定的技术环境做出白己的职业判断, 选择适当的审计程序。
为测试或检查确定信息来源,比如:流程图、策略、标准、程序和以往的审计报告
所有的审计规划、计划、测试、发现和相关工作都要记录在工作底稿中。底稿的内容应该相 关、完整、清晰并被归档保存。
舞弊检查 公司治理相关法律法规规定,无论舞弊行为严重与否,管理层应对舞弊行为负责,审计人员 和审计委员会负责发现和披露舞弊行为。 应有的职业谨慎:审计师应该工作中注意并警惕舞弊行为的发生。 内部控制并不能完全消除舞弊,IT 审计师要清楚舞弊行为发生的可能性和舞弊的方式,舞 弊行为可能是利用控制的薄弱环节,也可能是通过超越控制发生的。 在实施常规保证审计任务时,巧审计人员可能会遇到舞弊现象或迹象,经过仔细评估,如果 需要进一步的调查,审计人员应该将该情况与适当的管理层沟通。一旦审计人员确认发生 了重大舞弊或检查风险很高时,审计经理也应该及时地与审计委员会沟通情况。
审计程序 ★★
特别要强调的是审计工作计划是审计的战略和规划,表明审计的范围和目的,审计步骤是为 了获取充分、恰当的审计证据来得出和支持审计结论和意见。
实施审计工作通常包括如下基本步骤: ★★ 1、获取并记录对审计对象的了解 这是进行审计检查的第一步 2、风险评估和总体审计计划和安排 3、详细审计计划 4、初步检杳审计对象 5、评估审计对象 6、符合性测试,即控制测试
审计计划
至少每年都应对短期计划与长期计划进行分析,特别是在采用了新的技术、新的控制措施及 新的评测技术时要做这样的分析得到管理层和审计委员会的批准并根据分析的结果来规划 将要开展的审计活动。审计计划应当如果可能的话,尽星通报到各级管理层负责人。 制定审计计划时,I 审计师必须了解执业的整体环境。它包括对审计课题相关的各种业务实 务和职能的一般性了解熟悉不同得业务运营环境也包括支持这些活动的各种信息系统和技 术。 ls 审计师制定审计计划时,要考虑到审计范围相关的审计对象的日标其技术框架。如果需要, l 审计师也应该考虑被检查的方面和它与组织的关系(战略的、财务的和/或运营的),并获得 包括 Is 战略规划在内的战略计划的信息。ls 审计师应该了解审计对象的信息框架和技术方 向,来设计适用于审计对象的当前和未来技术的审计计划。 IS 审计计划中,考虑法律、法规的影响。一是规范审计或信息系统审计活动的法律规则;另 一个是与审计委托人的信息系统、数据管理及财务报告等方面相关的法律法规,后者无论 是在内部审计还是在外部审计方面都很重要,组织中任何违反法律法规的事项都将对组织的 业务运营有负面影响。 组织中最好能设置法律部门,当发生有关法律方面事务时,1s 控制专员可以得到法律支持。 由于不断暴露的财务丑闻,提供给投资者的信息质量变成世界关注的焦点。
风险评估包括三个过程—风险评估、风险消除和风险再评估。
内部控制 为减少风险所实施的各种政策、步骤、实务和组织结构被称为内部控制。
预防性控制 在事情发生前监测问题监控运营和输入 在问题发生前预测潜在问题,并 做出纠正避免错误、疏忽或蓄意行为的发生
检查性控制 使用控制检查和报告发生的错误、疏漏或蓄意行为的发生
在计划和实施审计工作时,信息系统审计人员应该考虑不合规和非法行为等可能带来的审 计风险。 无论不合规和非法行为的风险评估结果如何,信息系统审计人员在实施审计作业时都要对 由于不合规和非法行为而导致的重大误报的可能性保持职业怀疑的态度。 在确定或得到存在重人的不合规和非法行为的信息时,信息系统审计人员应该及时与适当的 管理层沟通该情况。 在确定重大的不合规和非法行为牵涉到管理层或和内部控制中关键岗位人员时,信息系统审 计人员应该及时与董事会沟通该情况。
★ 知识点摘要
审计章程
信息系统审计(简称:ls 审计,下同)职能的角色应该建立在审计章程的基础上。一般,Is 审计 是内部审计的一部分;因此,审计章程还包括其他的审计职能。审计章程应当清楚地说明管 理层对于巧审计职能的的责任、目标和委托授权。审计章程还应全局性地说明审计职能的授 权、业务范围和责任。最高管理层和审计委员会,应当批准这部章程。一旦创立,就只有在 非常必要、并经过充分的论证后才允许变更审计章程。IsACA 信息系统审计标准要求审计 章程或业务委托书上适当地描述信息系统审计职能的责任、授权和义务。
★ 可能的考试重点
ISACA 审计标准的变化:违规和非法行为、IT 治理、在审计计划中运用风险评估 ISACA 审计指南索引与审计程序索引(不重要) COBIT(了解和补充) 审计程序(必考内容) 舞弊检查(审计师的职业谨慎、内部控制和舞弊) 面谈并观察员工履行职责情况(审计师识别职能、实际过程、安全意识和报告关系,原第二 章内容) 补偿控制与审计发现的重要性水平(重要) 审计报告(一般不会问到格式,考虑沟通技巧和报告关系) 控制自我评估:CSA 混合方式、CSA 优缺点、审计师在 CSA 中的作用 信息系统审计程序的新变化:电子底稿、综合审计、连续审计与在线审计
COBIT COBIT 控制框架共制定了 34 个高层控制日标,每个日标代表一个 IT 过程,可组合为
四人领域:计划与组织、采购与实施、交付与支持、监控和评估。通过定位这 34 个高层控制 目标,组织可以确保为 IT 环境提供了一个充分的治理和控制系统。
考生应该知道这个框架是什么,做什么用和企业为什么用它 COBIT 中文手册
第一层次:信息系统审计准则。信息系统审计准则是整个审计准则体系的总纲,是信息 系统审计师的资格条件、执业行为的基本规范,是制定审计指南和审计程序的基础依据。分 为 8 大类,共 12 条准则。只要是信息系统审计师执行审计业务,出具审计报告,都必须遵 守执行,具有强制性。
CISA 考试复习关键点
第一章 信息系统审计程序
★ 必须的知识点
1、ISACA 发布的信息系统审计标准、准则、程序和职业道德规范 2、IS 审计实务和技术 3、收集信息和保存证据的技术(如观察、调查问卷、谈话、计算机辅助审计技术、电子介质) 4、证据的生命周期(如证据的收集、保护和证据之间的相关性) 5、与信息系统相关的控制目标和控制(如 C}}I}'模型) 6、审计过程中的风险评估 7、审计计划和管理技术 8、报告和沟通技术(如推进、商谈、解决冲突) 9、控制自我评估(CSA) 10、持续审计技术(即:连续审计技术)
如果重大的误报或非法行为影响到信息系统审计人员继续实施审计工作时,信息系统审计人 员应该考虑该环境下的法律和职业责任。信息系统审计人员可以采取的行动有:向业务主管 人员报告、向公司治理机构或司法机构报告、中止审计业务。
信息系统审计人员应该检查和评估 I 职能部门的使命、愿景、价值观、目标和战略是否与组 织相一致。 信息系统审计人员应该检查 I 职能部门是否存在书面明确的业绩标准,评价其履行情况。
ISACA 信息系统审计标准
审计章程或审计业务约定书应得到组织中适当的管理层的同意和批准。
信息系统审计师在从事审计事项时,应该在实质和形式上独立于被审计方。
信息系统审计人员应编制基于风险的审计方法。 信息系统审计人员应编制详细的审计计划,包括审计性质、目标、范围和所需的资源。 信息系统审计人员应编制审计程序和步骤。
ISACA 职业道德准则
信息系统审计和控制协会制定了职业道德准则用以指导协会会员和 CI}认证持有者的 职业和个人行为。
协会会员和 IS 认证持有者应该遵守以下道德规范: 1、遵从并努力符合信息系统审计标准、程序及控制; 2、在具体执行审计中要按照职业标准及最佳实践原则要求白己,做到敬业、公正及审 慎: 3、以诚实及符合法律要求的方式为利益相关者服务,保持高尚的行为及品德,不从事 有损于信息系统审计职业的活动; 4、对信息系统审计中所取得的信息,应予以保密,不得借以谋取私利和泄漏给他人; 5、保持在审计和信息系统控制相关领域的专业胜任能力,有效而可靠地完成审计任务; 6、审计结果应向适当的组织、部门和个人报告,并披露所有的重人事项: 7、应当对组织中的利益相关者进行信息系统安全与控制的教育,以促进其对审计及信 息系统的了解;
S12 审计重要性 Audit Meteriality
S3 使用外部专家 Use the work of other experts
S14 审计证据 Audit Evidence
风险分析 风险分析(Risk Analysis)作为审计计划的一部分,它有助于审计师确定信息资产的脆弱性、 面临的威胁及由此而产生的风险水平,并根据风险水平来决定如何引入控制措施降低风险。 “风险是特定的威胁利用资产的脆弱性从而造成对资产的一种潜在损害,风险的严重程度与 资产价值的损害程度及威胁发生的频度成正比”。 信息系统审计人员常常关注高风险问题,如敏感和重要信息的保密性、可用性、完整性以及 生成、存储和处理这些信息的重要的信息系统和流程等。在检查这些风险的时候,信息系统 审计人员常常评估组织所使用的风险管理过程的有效性。 对实施措施应运用成本效益分析的方法,选择降低风险到管理层可接受的水平的相关控制审 计师在进行风险分析时要考虑以一下问题: 比较控制成本与减少风险所得收益 管理层的风险喜好(如,管理层准备接受的剩余风险水平): 愿意采用的风险降低的方式(如,终止风险、减少发生的可能性、减少影响、转移或保险)
第二层次:信息系统审计指南。审计指南是依据审计准则制定的,是审计准则的具体化, 它详细规定了信息系统审计师执行各项审计业务、出具审计报告的具体指南,为审计师在执 行审计业务中如何遵守审计准则提供指导。审计师在执业时运用这些指南,离不开职业判 断,对任何偏离指南的行为一定要有充分的理由。
第三层次:信息系统审计程序。信息系统审计程序是依据审计准则和审计指南制定的。 它为审计师提供了一般审计业务的程序和步骤,是遵守审计准则和审计指南的一些通用审 计程序。审计程序为审计师提供了很好的上作范例。但这仅是审计师的一个参照而已,它所 提供的只是审计师在审计时能满足审计准则要求的通常做法,它并不要求强制执行。审计师 在执行具体的审计业务时,要根据特定的信息系统和特定的技术环境做出白己的职业判断, 选择适当的审计程序。
为测试或检查确定信息来源,比如:流程图、策略、标准、程序和以往的审计报告
所有的审计规划、计划、测试、发现和相关工作都要记录在工作底稿中。底稿的内容应该相 关、完整、清晰并被归档保存。
舞弊检查 公司治理相关法律法规规定,无论舞弊行为严重与否,管理层应对舞弊行为负责,审计人员 和审计委员会负责发现和披露舞弊行为。 应有的职业谨慎:审计师应该工作中注意并警惕舞弊行为的发生。 内部控制并不能完全消除舞弊,IT 审计师要清楚舞弊行为发生的可能性和舞弊的方式,舞 弊行为可能是利用控制的薄弱环节,也可能是通过超越控制发生的。 在实施常规保证审计任务时,巧审计人员可能会遇到舞弊现象或迹象,经过仔细评估,如果 需要进一步的调查,审计人员应该将该情况与适当的管理层沟通。一旦审计人员确认发生 了重大舞弊或检查风险很高时,审计经理也应该及时地与审计委员会沟通情况。
审计程序 ★★
特别要强调的是审计工作计划是审计的战略和规划,表明审计的范围和目的,审计步骤是为 了获取充分、恰当的审计证据来得出和支持审计结论和意见。
实施审计工作通常包括如下基本步骤: ★★ 1、获取并记录对审计对象的了解 这是进行审计检查的第一步 2、风险评估和总体审计计划和安排 3、详细审计计划 4、初步检杳审计对象 5、评估审计对象 6、符合性测试,即控制测试
审计计划
至少每年都应对短期计划与长期计划进行分析,特别是在采用了新的技术、新的控制措施及 新的评测技术时要做这样的分析得到管理层和审计委员会的批准并根据分析的结果来规划 将要开展的审计活动。审计计划应当如果可能的话,尽星通报到各级管理层负责人。 制定审计计划时,I 审计师必须了解执业的整体环境。它包括对审计课题相关的各种业务实 务和职能的一般性了解熟悉不同得业务运营环境也包括支持这些活动的各种信息系统和技 术。 ls 审计师制定审计计划时,要考虑到审计范围相关的审计对象的日标其技术框架。如果需要, l 审计师也应该考虑被检查的方面和它与组织的关系(战略的、财务的和/或运营的),并获得 包括 Is 战略规划在内的战略计划的信息。ls 审计师应该了解审计对象的信息框架和技术方 向,来设计适用于审计对象的当前和未来技术的审计计划。 IS 审计计划中,考虑法律、法规的影响。一是规范审计或信息系统审计活动的法律规则;另 一个是与审计委托人的信息系统、数据管理及财务报告等方面相关的法律法规,后者无论 是在内部审计还是在外部审计方面都很重要,组织中任何违反法律法规的事项都将对组织的 业务运营有负面影响。 组织中最好能设置法律部门,当发生有关法律方面事务时,1s 控制专员可以得到法律支持。 由于不断暴露的财务丑闻,提供给投资者的信息质量变成世界关注的焦点。
风险评估包括三个过程—风险评估、风险消除和风险再评估。
内部控制 为减少风险所实施的各种政策、步骤、实务和组织结构被称为内部控制。
预防性控制 在事情发生前监测问题监控运营和输入 在问题发生前预测潜在问题,并 做出纠正避免错误、疏忽或蓄意行为的发生
检查性控制 使用控制检查和报告发生的错误、疏漏或蓄意行为的发生
在计划和实施审计工作时,信息系统审计人员应该考虑不合规和非法行为等可能带来的审 计风险。 无论不合规和非法行为的风险评估结果如何,信息系统审计人员在实施审计作业时都要对 由于不合规和非法行为而导致的重大误报的可能性保持职业怀疑的态度。 在确定或得到存在重人的不合规和非法行为的信息时,信息系统审计人员应该及时与适当的 管理层沟通该情况。 在确定重大的不合规和非法行为牵涉到管理层或和内部控制中关键岗位人员时,信息系统审 计人员应该及时与董事会沟通该情况。
★ 知识点摘要
审计章程
信息系统审计(简称:ls 审计,下同)职能的角色应该建立在审计章程的基础上。一般,Is 审计 是内部审计的一部分;因此,审计章程还包括其他的审计职能。审计章程应当清楚地说明管 理层对于巧审计职能的的责任、目标和委托授权。审计章程还应全局性地说明审计职能的授 权、业务范围和责任。最高管理层和审计委员会,应当批准这部章程。一旦创立,就只有在 非常必要、并经过充分的论证后才允许变更审计章程。IsACA 信息系统审计标准要求审计 章程或业务委托书上适当地描述信息系统审计职能的责任、授权和义务。
★ 可能的考试重点
ISACA 审计标准的变化:违规和非法行为、IT 治理、在审计计划中运用风险评估 ISACA 审计指南索引与审计程序索引(不重要) COBIT(了解和补充) 审计程序(必考内容) 舞弊检查(审计师的职业谨慎、内部控制和舞弊) 面谈并观察员工履行职责情况(审计师识别职能、实际过程、安全意识和报告关系,原第二 章内容) 补偿控制与审计发现的重要性水平(重要) 审计报告(一般不会问到格式,考虑沟通技巧和报告关系) 控制自我评估:CSA 混合方式、CSA 优缺点、审计师在 CSA 中的作用 信息系统审计程序的新变化:电子底稿、综合审计、连续审计与在线审计
COBIT COBIT 控制框架共制定了 34 个高层控制日标,每个日标代表一个 IT 过程,可组合为
四人领域:计划与组织、采购与实施、交付与支持、监控和评估。通过定位这 34 个高层控制 目标,组织可以确保为 IT 环境提供了一个充分的治理和控制系统。
考生应该知道这个框架是什么,做什么用和企业为什么用它 COBIT 中文手册