CISA知识点总结

CISA知识点总结

第一章.信息系统审计过程

1.IS审计和保障标准、指南、工具、职业道德规范

信息技术保证框架（ITAF，Information Technology Assurance Framework）

●审计准则：强制性要求

✓一般准则：基本的审计指导原理

✓执行准则：涉及任务的执行和管理

✓报告准则：落实报告类型、沟通方式和沟通信息

●审计指南：侧重于审计方法、理论

●工具和技术（也叫程序）：提供各种方法、工具和模版

三者关系：IS审计师必须遵守审计准则，审计指南帮助应用审计准则，审计工具和技术提供了具体的流程和步骤范例。

2.风险评估概念、工具及技术

风险的定义：“风险是特定的威胁利用资产的脆弱性从而对组织造成损害的可能性。”（ISO/IEC PDTR13335-1）

风险评估的过程：

(1)识别业务目标（BO，Business Object）

(2)识别信息资产（IA，Information Asset）

(3)进行风险评估（RA，Risk Assessment）：威胁→脆弱性→可能性→影响

(4)进行风险减缓（RM，Risk Mitigation）：落实相关控制

(5)进行风险处置（RT，Risk Treatment）

基于风险的审计：

(1)搜集信息和计划

(2)理解内部控制

(3)执行符合性测试

(4)执行实质性测试

(5)完成审计和报告

审计风险：审计过程中未发现信息可能存在的重大错误的风险。

●固有风险（Inherent Risk）：业务自身风险，不采取控制时的风险

●控制风险（Control Risk）：采取控制后仍具有的风险

●检查风险（Detection Risk）：得出错误检查结论的风险

●整体审计风险（Overall Audit Risk）：对每一个控制目标评估出的各类审计风险的综合

审计重大性（Materiality）：在问题程度上可被组织视为严重的错误。

●抽样不能检查出样本总体的所有错误，但可以将检查风险降低到可接受水平。

●小错误可能不严重，但当他们组合到一起时，可能使这些错误的性质变为重大。

●重大性需要IS审计师合理判断，确定重大性是比较困难的。

风险的处置（应首先确定风险的可接受标准）：

●降低风险（Mitigate）：采取适当的控制来降低风险

●接受风险（Accept）：在符合组织的风险接受标准下，接受风险

●避免风险（Avoid）：停止产生风险的业务活动，从而避免风险的产生

●转移风险（Transfer）：向其他组织转移风险

风险评估技术：

●评分机制

●主观判断

●二者结合

3.信息系统相关控制目标和控制措施

内部控制的两个关键内容：要达到什么、要避免什么。

控制的分类：预防性、检测性、纠正性

COBIT5的5条关键原则：

●满足利益相关者需求

●端到端覆盖企业

●采用单一集成框架

●启用一种整体的方法

●区分管理和治理（董事会负责治理，管理层负责管理）

4.审计规划以及审计项目管理技术

审计计划

●年度计划

✓短期计划：年度内需实施的审计事项

✓长期计划：考虑组织调整IT战略方针对IT环境造成的影响所带来的风险问题

●单项审计任务

审计流程与步骤：

(1)审计对象：确定被审计领域

(2)审计目标：明确审计目标

(3)审计范围：确定要检查的具体系统、职能或单元

(4)初步审计计划：确定所需技能与资源；确定测试检查的信息来源；确定审计地点和设施

(5)审计程序和步骤：选择测试的方法；确定访谈对象；搜集政策和标准；开发审计工具

(6)评价测试和检查结果

(7)与管理人员沟通结果

(8)审计报告

5.抽样方法

符合性测试与实质性测试

●符合性测试：测试组织对控制程序的符合性，验证控制的执行是否符合管理政策和规程。

测试包括：用户访问权限、程序变更控制流程、文件流程、编程文档、例外跟踪、日志检查、软件许可审计等。

●实质性测试：评价交易、数据或其它信息的完整性，验证财务报表数据及相关交易的有

效性和完整性。测试包括：基于对账户或交易的抽样来证实复杂计算的结果等。

二者关系：如果符合性测试表明存在充分的内部控制，则可减少实质性测试；反之，如果符合性测试表明内部控制存在缺陷，就要执行较多的实质性测试。

抽样：根据样本的特征推断总体特征，用于时间及成本都不允许对总体中所有交易和事件进行全面审计时。

审计抽样的两种一般方法：

●统计抽样：允许通过置信系数量化抽样风险（即由样本得出错误结论的风险）

●非统计抽样（判断抽样）

抽样的分类：

●属性抽样：用于符合性测试，结论用比率表示发生率

✓属性抽样（Attribute Sampling）：估计总体中某种特性的发生比率，有多少？

✓停走抽样（Stop-or-Go Sampling）：先部分抽样，如果结果可接受则停止抽样，否则扩大抽样。用于相信总体中只存在少量错误的情况，防止过度抽样。

✓发现抽样（Discovery Sampling）：预期明确，错误发生率低的时候，用于发现舞弊、违反法规或其它非法行为的情况。

●变量抽样：用于实质性测试，结论是与正常值的偏差范围

✓分层单位平均估计抽样（Stratified Mean Per Unit）：先对总体分层，再从不同层抽取样本，样本量较小。

✓不分层单位平均估计抽样（Unstratified Mean Per Unit）：用样本均值估计总体。

✓差额估计（Difference Estimation）：根据样本差额来估计总体差额。

抽样术语：

●置信系数（Confidence Coefficient）：样本特征能代表总体特征的概率，置信系数越高，

样本量越大。

●风险水平（Level of Risk）：1-置信系数

●精度（Precision）：样本和总体之间的可接受误差范围。精度值越大，样本量越小，总

体误差就越大；精度值越小，样本量越大，总体误差就越小。

●预期差错率（Expected Error Rate）：预计可能存在的误差率，预期差错率越高，样本量

越大。只能用于属性抽样，不能用于变量抽样。

●样本均值（Sample Mean）：所有样本的平均值。

●样本标准差（Sample Standard Deviation）：样本值对于均值的变化，衡量样本值的离散

程度。

●可容忍差错率（Tolerable Error Rate）：可以存在的最大误报或差错值。

●总体标准差（Population Standard Deviation）：标准差越大，样本量越大。用于变量抽样，

不能用于属性抽样。

6.证据收集技术

证据的两个特性：适当性（质量）、充分性（数量）

证据收集技术：检查组织架构、IS政策和规程、IS标准、IS文档，访谈，观察，穿行测试，走查

计算机辅助审计技术（CAAT）

●通用审计软件（GAS，General Audit Software）：数学计算、统计分析、顺序检查、重复