CISA整个考试共有五个章节,第一章信息系统审计的流程占比18%,第二章IT治理与管理占比18%,第三章信息系统的购置、开发与实施占比12%,第四章信息系统的运营和业务恢复能力占比26%,第五章信息资产保护占比26%。
第一章 信息系统审计的流程
1.1信息系统审计标准、准则、职能和道德规范
信息系统审计职能的责任、权限和义务应相应记录到审计章程或业务约定书中。内部审计职能都应独立运作,像审计委员会(如果存在)或最高管理层报告,只是报告不是听取意见,要保持审计团队的独立性.
1.2审计类型、评估和审查
与审计相比,评估和审查的正式感会更低。
审计、评估和审查的一些示例:信息系统审计、合规性审计、财务审计、运营审计、整合审计、管理审计、专业审计、计算机取证审计......
控制自我评估(CSA):是单位或相关单位的员工和管理层对控制做出的评估。CSA计划可通过问卷调查、引导式研讨会和非正式同行评审等方法来实施。
1.3基于风险的审计规划
风险评估的目的是了解并确定实体及其环境(包括相关的内部控制)中产生的风险。详细的审计工作侧重为管理风险而采取的相关控制措施。
审计规划在审计流程开始时进行的,以制定总体审计战略,并详细说明为实施战略和完成审计而需执行的特定程序。
审计风险包含固有风险、控制风险、检测风险(审计师无法检测到的实质性错误或失实陈述)、总体审计风险(审计师可能无法检测到信息或采取报告中实质性错误的风险)。
管理层对风险评估流程承担最终责任。
风险分析是风险评估的一个子集,在审计规划期间被用于确定风险和漏洞。
1.4控制类型和考虑因素
有效地控制可预防、检测和/或遏制事故。控制通常有政策、程序、实践和组织结构组成,用于缓解组织面临的风险。
一般控制方法分为管理、技术和物理三类。涉及日常运营、职能和活动的运营和管理控制通常属于管理控制的范畴。技术控制和物理控制分别涉及技术的使用和物理设备或装置的使用,以控制访问。每项一般控制方法都可以转变为信息系统特有的控制。
控制类别:预防性、威慑性(提供指导或警告以劝说威胁方放弃有意或无意的破坏意图)、检测性、改正性、补偿性(弥补企业控制结构中的缺陷或缺点,通常由于合法的技术或业务约束,基准控制无法符合规定的要求)。
1.5审计项目管理
审计执行:规划、定义、执行、报告结果。
1.6审计测试和抽样方法
样本的用途: 符合性测试/控制测试:旨在评估控制在预防、检测和纠正重大漏洞方面的运营有效性的审计程序。(测试组织是否遵循控制程序而进行的证据搜寻) 实质性测试/细节测试:旨在检测认定级别重大漏洞的审计程序。(收集的证据用于评估单个交易、数据或其它信息的完整性)
审计抽样一般使用统计抽样和非统计抽样。在两种通用的审计方法中,主要使用两种抽样方法:属性抽样和变量抽样(用于从一个样本部分估计总体的货币价值或其他计量单位的一项技术)。属性抽样属于符合性测试、变量抽样属于实质性抽样。 属性抽样指三种不同类型但彼此相互关系的抽样方法:属性抽样(估算总体中特定性质的发生率)、停-走抽样(可通过审计测试尽早停止,来帮助防止对某属性的过度抽样)、发现抽样(发现欺诈、违法或其他违规行为) 变量抽样指三种类型的定量抽样方法:分层单位均值(对总体进行分组,从不同组中进行抽样)、不分层单位均值(计算某样本的均值并将其作为总估计值)、差异估计(从样本观测得到的差异值来估计审计值和未审计值的总差异)
抽样风险:误受风险(在总体实际被严重误报的情况下、重大漏洞被评为不可能)、误拒风险(在总体实际未被严重误报的情况下,重大漏洞被评为有可能)
1.7审计数据收集技巧
评估审计证据可靠性的决定性因素:证据提供者的独立性(第三方审计测试报告>第三方确认函>内部审计测试报告>管理者提供)、提供信息/证据的个人资质要求、证据的客观性、证据的时效性
收集证据的技巧:审查信息系统组织架构、审查信息系统政策和程序、审查信息系统标准、审查信息系统文档、与相关人员面谈、观察流程和员工表现、重新执行、浏览审查
1.8审计数据分析
计算机辅助审计技术(CAAT)包括多种工具和技术,例如GAS(可以直接读取和访问来自各种数据库平台、平面文件系统和ASCII码格式的数据的标准软件)、调试和扫描软件......,CAAT能够持续在线审计。
适用于持续审计的自动化评估技术:系统控制审计审查文件和嵌入式审计模型、快照、审计钩、集成测试设施、连续与间接模拟。
1.9报告和沟通技巧
信息系统审计师可以借审计结束时的退出面谈,与受审方管理层讨论审计发现和建议,并向高级管理层报告建议的实施进度。
报告应包含所有重要的审计发现。审计记录通常归受审方所有
1.10质量保证和审计流程改进
单项审计质量由审计领导层和指定项目负责人负责。
扫一扫
931
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
