CISA 学习笔记
第一章 信息系统的审计流程 【开篇讲明 怎么审计 审计师应该如何开展工作】
第二章 IT 治理和管理 【后四章讲审什么 如何以审计师的视角 来看IT 信息系统 】
第三章 信息系统的购置开发和实施
第四章 信息系统的操作维护与支持
第五章 信息资产的保护
第一章 信息系统的审计流程
1、信息系统审计的职能管理:
1.2 信息系统审计的职能管理
应当对审计职能进行管理和引导,在保持审计独立性和胜任能力的同时,确保审计组所实施完成的审计任务 能满足审计职能的目标要求。
职能管理本身是获取审计授权,我们开展审计工作的职责权限,要进行一个有效的定义和管理。开展审计工作是检查性的工作,要获得足够高的授权,工作会很难开展。
审计的两个基本特征:独立性和胜任能力,其中独立性强调职能的独立性,和技能的独立性。胜任能力就是要懂行。
- IS审计服务 可以由内部或外部提供。
- IS内部审计职能的角色应当由审计章程来确定。
审计章程应该清楚地阐明管理层对于IS审计职责的责任、目标和授权。最高管理层和审计委员会应该批准章程。[章程是获得授权有力工具。]
审计项目委托书,是针对具体项目一事一议的授权,章程是整体的授权。
1.2 信息系统审计资源管理
最重要的资源是审计师 人,审计师具有稀缺性;审计工具 进行证据获取、评价证据和分析证据。
1.2.3 审计计划
审计计划:包含审计目标以满足以及满足这些目标所需的审计流程。在IS审计计划阶段,审计师的主要目标是:制定的审计计划要能实现审计目标,这需要审计师必须先审查整体业务/商业环境。
制定短期计划、长期计划,每年对短期计划和长期计划进行Review。
长期计划主要考虑组织调整IT战略方针对IT环境造成的影响所带来的相关风险。短期计划主要考虑年度内所需实施的审计事项。
Review要点关注:新的体制问题、风险环境的变化、技术和业务流程、以及提高评估技术等。
单项审计计划的步骤:
- 了解业务使命,目标、目的和流程,包括信息和处理要求。如,可用性、完整性、安全和业务技术以及信息机密性。
- 找出相关规定,如:政策、标准和所需指南,规程以及组织要求。
- 实施风险分析,以帮助制定审计计划。
- 确定审计目标和审计范围
- 制定审计方法或审计战略
- 为审计事项分配人力资源。
- 落实项目后勤保障。
法律法规对信息系统审计计划的影响
如个人隐私保护 或跨国数据问题。
2、ISACA IS审计和鉴证标准及准则
IS审计和鉴证标准,ISACA标准委员会制定了3大类17个信息系统审计标准:
- 标准 主要定义对 IS 审计和鉴证以及报告的强制性要求
- 推荐性准则 更像是一本参考书,主要在 IS 审计和签证标准的应用方面提供指导。
- ISACA 开发的工具和技术,更像是一个checklist, 主要提供 IS 审计师可在审计项目中遵循的的流程实例
3、风险分析
风险是特定威胁利用资产的脆弱性,而对组织造成损害的可能性。
风险分析是审计计划的一部分,帮助IS审计师识别风险和脆弱性,评估现有的控制措施, 然后把这些风险给排个序,要重点要解决的,危险度高的,优先解决它,进行风险处理。
风险评估的过程:①识别业务目标、②识别信息资产、③进行风险评估、④进行风险减缓、⑤进行风险处置
风险处理的几种手段:降低风险、接受风险、规避风险、转移/分摊风险
风险评估是要定期review的,进行持续改进。实际审计过程中,一般使用专家分析法 或者管理层指导。
4、内部控制
内部控制通常由政策、流程、实践和组织结构组成; 组织为了降低风险、保护其资产的安全性,会计资料的准确性和可靠性,提高经营效率以及贯彻执行其规定的管理方针,而在组织内部采取的i系列制度、策略、方法及程序。
控制措施包括:预防性(事先)、检测性(事中)、纠正性(事后)3种。
哈希汇总,在信息传输中 加入一个哈希值,其实并不能防止数据被篡改,但是通过哈希监测,可以知道数据被篡改了 重新传说,这就是检测性的措施。
审计师关注的重点,就是关注内部控制是否存在,控制是不是设计的有效和合理的,是不是执行的良好。如果三块都做的很好,那么我们认为风险是比较小的;如果有一个部分做的不好,那么要考虑做独立的审计,来不断的完善体系,保障顺利运行。
Cobit 5 关于IT治理 内部的控制框架。 是用于治理、控制和鉴证信息及其相关技术的领先框架
5、实施IS审计
5.1 审计是指有胜任能力的独立机构或人员接受委托或授权,对特性经济实体的可计量的信息证据,进行客观地收集和评价,以确定这些信息与既定标准的符合程度,并向利益相关者进行报告的一个过程。
满足利益相关者需要:企业的存在就是通过在实现收益、优化风险和运用资源之间维持 一种平衡,从而为其利益相关者创造价值。
审计工作的核心工作就是:收集证据、评价证据。 收集证据之后 进行分析,(现状)与相关法律法规之间的符合程度,发现缺陷,然后报告。
(审计过程要求 IS 审计师收集证据、基于收集的证据通过审计测试来评估控制的优点和弱点, 然后准备向管理层提供一份审计报告,客观的叙述这些问题 )
一般IT的审计包括两类:ITGC (General)一般控制的设计 和 ITAC(application)应用控制的审计。可以单独审计或二者结合。
- ITGC IT内部的运营流程,比如 SDLC的研发流程,按ITAL建立的运维流程,物理、逻辑访问控制,机房。范围更宽泛,比如:变更控制、访问控制、权限管理、数据库控制、项目管理、BCP、系统备份和恢复等。
- ITAC 应用控制中 关注业务流程中的要求,比如参数控制,审批控制。[如果针对业务环节中的某一应用软件进行控制(如检查银行利息计算软件)属于应用控制。]
5.2 审计程序 是审计策略和计划,说明了审计范围、目标和步骤,使用这些步骤可以获得充分、相关和可靠的证据 以得出并支持审计结论和意见。
实施审计工作的一般程序,通常包括以下基本步骤。
- 获取并记录对审计领域或审计对象的了解。 [首先 我们要对被审计领域(审计对象) 进行充分的了解。我们到底审什么(审计范围),在它的审计范围内考虑:它的固有风险有哪些、关键控制有哪些、它的组织流程、交易环节、业务流程是什么、]
- 风险评估和总体审计计划及进度
- 详细审计计划
- 初步检查审计领域或审计对象
- 评估和验证控制设计符合控制目标的适当程度。
- 符合性测试( 测试控制的实施情况及其运行可靠性)
- 实质性测试(确认信息的准确性)
- 报告(沟通结果)
- 内部审计职能的追踪活动。
审计目标:明确审计目标 通过风险分析 用有限的人力,去做重点的事项。
【符合性测试】:是为了测试组织对控制程序的符合性而收集证据。是对信息系统中内部控制的存在性、有效性及控规程序编写方法的合规性进行核实,并得出相应审计结论的一种测试方法。(控制是否存在,控制是否有效)
【实质性测试】:是为了评价交易、数据或其他信息的完整性而收集证据。实际处理的完整性,验证财务报表数据交易相关交易的有效性和完整性。(验证控制是否执行,以及实际执行的偏离情况 来判风险大小及报告层级)
审计人员应根据符合性测试的结果来确定实质性测试的范围。一般来说,符合性测试表明内控可靠性高,实质性测试范围小;反之,实质性测试范围就大。
5.3【测试和评估的手段】
IT审计师必须了解测试和评估信息系统控制的程序,包括:
- 使用通用审计软件调查数据文件的内容(包括系统日志)
- 使用专用软件评估系统数据库和应用参数文件的内容(或检查系统参数设置的不足)
- 使用流程图记录自动化应用系统和业务流程
- 使用操作系统或引用程序内置的审计日志或审计报告
- 文档检查
- 询问和观察
- 走查
- 对控制执行穿行测试
1.5.7审计的风险可定义为:审计过程中未发现信息可能存在的重大错误的风险。
审计报告中 风险的种类
- 固有风险: 无法避免的/不存在补偿控制措施/系统有陷门的 是固有风险。根据审计的流程/实体的风险等级,业务系统和OA系统一个风险等级高,一个风险影响低,我们可能会暂时放弃OA系统的审计,接受为固有风险;或假设在不存在相关的内部控制的情况下,发生重大错误或暴露的风险。[审计时 我们尽量往风险等级高的地方去]
- 控制风险: 存在内部控制制度,但无法通过内部控制系统及时防止或检测到的实质性错误。一般是失效的控制,需要加强控制。使用自动化方式(如大数据分析、数据校验程序、病毒扫描程序)可以降低。
- 检测风险: 已经发生但因 IS 审计师由于采用了不当的程序,未能检测到的重大错误或误报。和抽样风险相关的。[审计师需要关注,努力降低此类风险]
- 整体审计风险: 对个别控制目标所评估出的各类审计风险的综合。
确定重大性(或重要性 Materiality ),是审计师一项职业判断,包括从整体上考虑由被审计领域的控制缺陷所导致的错误、疏忽、违规和非法行为对组织的影响。 "重大"一词,当与任何审计风险结合时,是指在问题程度上可被组织视为严重的错误。
IT审计师在采用基于风险的审计方法来评估内部控制时,应关注对问题事项重大性的评估。
比如,在财务审计中,有明确的线,比如超过10万元的账目错误是“重大问题”,需要向管理层汇报;小于10万元的问题,作为小归问题,在报告中列举。 IT审计的重大性,依赖审计师的判断。
5.5 审计证据
审计证据就是IT审计师 用于确定所审计实体或数据是否遵循既定标准或目标所使用的任何信息,审计证据用来支持审计结论,
评价审计证据可靠性的决定因素包括:
- 审计证据人员的独立性
- 提供审计信息或证据的人员的资格
- 审计证据的客观性(被审计者提供 和审计师自行提取的 客观性程度不同)
- 审计证据的时效性
国际会计师协会(IFAC)称之为:适当性(质量)、充分性(数量)
证据收集技术:检查组织结构、IS 政策和规程、IS 标准、IS 文档、访谈、观察、重新执行(提 所提供的证据通常优先于其他技术提供的证据)、穿行测试(用来确定对控制的理解的审计 技术)、走查
1.5.13 抽样方法 【高频考点】
用于时间及成本都不允许对既定总体中的所有事件进行全面审计时。总体是根据需要检查的全部事项,用于测试的总体的子集称为样本,抽样就是根据样本的特征来推断总体特征。
统计抽样和非统计抽样
统计抽样是审计师在计算正式抽样结果时采用统计推断技术的一种抽样方法,非统计抽样是审计师凭借主观标准和个人经验来评价样本结果并对总体作出评价。根本来说,统计抽样可以量化风险。
属性抽样:估计总体中某种特性的发生比率,一般用于符合性测试中估计属性的有无。
- 停走抽样:如果结果可接受则停止抽样,用于相信总体中只存在少量错误的情况。
- 发现抽样:错误发生率低的时候,用于发生舞弊、违法法规或其他非法行为的情况 。
- 固定样本抽样:比如10%
变量抽样:分层单位平均估计抽样、不分层单位平均估计抽样、差额估计 ;一般用于实质性测试中估计总体的变化特征。
- 分层单位平均估计抽样
- 不分层单位平均估计抽样
- 差额估计抽样
统计抽样中的一些术语: 置信系数、风险水平、精度、预期差错率、样本均值、样本标准差、可容忍差率、总体标准差。
置信系数:置信系数越大,样本量越大,如果内部控制很强大,则可降低置信系数。
使用其他审计师和专家服务
当审计师受限于胜任能力或者独立性原则,或人数规模时,可以将审计活动进行外包,前提条件如下:
1.5.15 计算机辅助审计技术:优势是能够通过连续在线审计技术提高审计效率。
持续性审计/连续性审计/在线审计 具有高度自动化、处理海量数据、可提高系统安全的优点。
GAS通用审计软件:数学计算、统计分析、顺序检查、重复性检查和复算、主要用于实质性测试
1.6 审计报告
常考问题:当一个审计师 发现一个问题的时候 应该怎样做:
①先自省 发现是否足够充分 证据可以有效支撑发现; ② 观察补偿措施
③ 评估发现的重要性,对这个组织是否是一个重要的问题; ④与被发现组织讨论确认。
- IT审计师应当评价控制的强度和缺陷,以确认它们是否满足审计计划中控制目标的要求
- IT审计师在报告控制缺陷之前,应该先检查补偿性措施
- 确定审计发现重大性的关键,是评估这些审计发现对各级管理层的重要性,评估中需要判断未针对审计发现采取纠正措施,可能发生的潜在影响。
- 与高管沟通审计结果前,IT审计师应该与被审计组织的管理人员讨论审计发现,目的是就审计发现达成一致,并制定整改行动计划。
- 当不能达成一致时,IT审计师应当详细地描述审计发现的重要性,及不纠正控制缺陷的风险和影响。【由 IS 审计师决定是否将特点结果包含在审计报告中 管理人员可以不立即将所有审计建议付诸实践】
- 审计报告是IT审计工作的最终成果,用于向管理层呈现审计发现和建议。
- 被审计管理层应当评价审计发现,陈述将要采取的整改措施及整改时间。
整改/追踪审计/后续审计方案:
- 审计师应制定针对性的后续审计方案,以监督和确定一定的纠正措施是否已实施。
- 审计师审查上一年审计报告的主要原因是:确定上一年审计发现的弱点的整改措施。
- 如果已通过审计报告向高层汇报了重大缺陷,并商定了期限进行整改,但整改未落实。这个情况应该由高层管理者来解决,因为高层管理者对落实整改计划负责。
- 如果确定存在重大舞弊时,审计经理应该及时与审计委员会沟通。
审计文档(常说的工作底稿)
- 审计文档是支持审计结论的证据,应当清晰、完整、易于检索和易懂。
- 审计文档通常属于审计实体的财产,只有已获得授权的人才能调阅,当外部组织需要调阅这些文档的时候,应该获得高级管理者或客户的批准。
- IT审计师或审计部门也应当制定保管、保留和发布审计文档的政策。
1.7 控制自评估 CSA
CSA是在审计师资源有限的情况下,让控制执行者自己评价自己做的好不好。 用来对关键业务目标、实现目标所面临的风险及管理业务风险的内部控制进行检查的一系列正式的、书面的程序。
CSA有效么? 后面要跟上抽样审计(一把利剑),一旦被发现会面临更严厉的措置,所以一般来说有效。
CSA的目的:将一部分控制监控责任转移到职责部门,从而发挥内部控制的优势。
CSA的优势:(最重要的)尽早识别高风险领域;内部控制得到加强;使员工熟悉组织目标、业务风险和内部控制情况;激发员工能动性;降低控制成本。
CSA控制自评估的常见形式是调查问卷、专题研讨会。
CSA不是替代审计的职责、是一种加强,可以帮助业务部门理解自己需要符合的情况,有助于发挥业务部门主观能动性。
审计师只是 CSA的推动者,管理人员才是具体实施者,