考试通过并不能获取审计师身份是吧.pdfVIP

1．CISA 考试通过并不能获取审计师身份是吧？ 即使考生通过了 CISA 考试，也并不表示考生即可拥有 CISA 证书。考生通过 CISA 考试 之后，必须在考试当日后的五年内申请证书。考试及格的考生必须完成证书申请，并使用 ISACA 提供的申请表中所附的对应表单验证其工作经验。在ISACA 相关部门收到并批准其 完整的申请之前，考生不得使用 CISA 的称呼，也就是还不具备ISACA 认可的信息系统审 计师身份。 2 ．IT 审计、信息安全审计、信息系统审计有什么区别？ 目前在国内，大家对于IT 审计和信息系统审计基本上没有进行区分，也就是说IT 审计等同 于信息系统审计，通常以信息系统审计（IT 审计）或IT 审计（信息系统审计）的形式出现。 但是我个人认为它们之间还是有细微差别的，IT 审计涉及到IT 设施、IT 相关物理环境的控 制、网络、操作系统、中间件、数据库、应用系统等等与信息技术相关的所有领域。而ISACA 对信息系统审计的定义是“信息系统审计是一个获取并评价证据，以判断计算机系统是否能 够保证资产的安全、数据的完整以及有效率利用组织的资源并有效果地实现组织目标地过 程。”，它更关注与计算机信息系统实现组织目标的相关信息系统的审计，主要涉及的是网络、 数据库、操作系统和应用系统层面。不同类型的组织目标要求是不同的，某一个组织对于某 个信息系统的审计要求可能不会涉及到所有的IT 含盖领域，因此从某种程度讲上信息系统 审计的范围有可能是IT 审计内容的一个子集，但也有可能是一个全集。而信息安全审计主 要关注的是组织资产的保护，因此它是信息系统审计的一个子集（信息系统审计的4 个主要 目标：保护资产、确保数据完整性、提升系统有效性、提升系统效率）。 3 ．信息系统审计划分为那几个层面的审计？ 根据目前国内外的信息系统审计实践情况，它应当包含以下几个层面的审计： 组织及管理规划的审计：评价信息系统的管理、规划与组织方的策略、政策、标准、流程是 否一致； 基础设施及IT 服务的审计：评价组织在IT 基础设施的管理和IT 服务管理方面的有效性及 效率，以确保其充分实现组织的业务目标； 资产保护的审计：对资产的保护措施进行评价，确保资产安全，防止资产在未经授权的情况 下被使用、披露、修改、损坏或丢失； 灾难恢复与业务持续计划的审计：这些计划是在发生灾难时，能够使组织持续进行业务，对 这种计划的建立和维护流程需要进行评价； 信息系统生命周期的审计：对信息系统的开发、获得、实施与维护方面所采用的方法和流程 进行评价，以确保其满足组织的业务目标； 业务系统处理流程的审计：评估业务系统与处理流程，确保其在满足组织需求的情况下高效 的运转。 4 ．审计与风险评估之间是什么关系，有哪些不同之处？ 首先我们先了解一下审计和风险评估是什么： 审计是依据审计标准对被审计对象进行审查、取证，并评价其与所定标准之间的一致程度， 并将其结果传达给有利害关系使用者的有组织的过程。 风险评估是风险管理过程中的一个重要组组成部分，是一个识别组织面临的各种风险，并评 估风险概率和可能带来的负面影响，确定组织承受风险的能力，及风险消减和控制的优先等 级，推荐风险消减对策的过程。 审计与风险评估都是需要通过一定的方法或程序，去发现组织内部控制的薄弱环节，形成报 告并提交给管理层，并对发现的问题或威胁进行控制和改善。但审计是依据既定的审计标准 通过证据的收集和分析对实际情况和既定标准进行评价，发现不一致的地方。而风险评估是 依据组织风险接受准则，通过系统化的分析方法，将识别的风险及其控制措施与风险准则进 行比较从而来对风险及控制措施进行评价。它们的不同之处在于：从参照的标准来说审计是 参照组织的审计准则，而风险评估是参照的是组织的风险接受准则。从过程和方法来说审计 需要通过证据的收集来证明和分析，从而得出评价，而风险评估是通过系统化的分析方法进 行评价。同时，审计的独立性要求也比风险评估更高。 5 ．CISA 考试通过，但没有去申请认证的有效期是5 年？ 请参考第 1 个问题解答内容。 6 ．业务层面的合规性审计呢？ 业务层面的合规性审计通常是通过业务或运营审计来实现。如果该业务流程是通过信息系统 实现的话，需要将信息系统审计的内容作为参考。 7 ．国内有没有类似考试？ 据我所知国家及国内相关机构还没有信息系统审计师的类似认证和考试。 8 ．审计与内部控制之间的关系？ 信息系统审计和内部控制的目的都是为了更好的实现组织目标。内部控制的目标是合理保证 企业经营管理合法合规、资产安全、财务报告及相关信息真实完整