[IT认证]2012CISA笔记.docVIP

2012年10月27日 2012年11月24日 第一章信息系统审计过程 * IS审计是基于风险的审计； * 保持审计独立性和胜任能力,确保审计小组所实施完成的审计任务能满足审计职能的目标要求 * 风险分析是审计计划的一部分，帮助IS审计师识别风险和脆弱性并确定降低风险所需的控制 * 要以审计师的视角来学习以及看待题目，组织内部的项目审计师的角色； * 第一方审计：自查——报告给自己高层 * 第二方审计：甲方审乙方 * 第三方审计：外审——报告给公众或相关机构 * 各章节对应表 类型章节项目对应课程审计知识信息系统审计过程CISA信息系统IT相关知识IT治理与管理COBIT信息系统的购置、开发与实施PMP信息系统的操作、维护与支持ITIL、ISO20000信息资产的保护ISO27001* 按照IT审计标准制定并实施基于风险的IT审计战略 * 内审首先需要建立审计章程；外审首先需要合同以及委托书； * 审计章程或委托书应在组织内部适当的层次得到同意和通过，一旦创立，就只有在非常必要、并经过充分的论证后才允许变更审计章程； * 审计章程涵盖整个范围的审计活动；合同侧重于特定的审计任务； * 信息系统审计的最重要的资源是：审计师 * IS审计师应有合格的职业能力，具备进行审计工作的相应知识；IS审计师应持续保持职业教育和培训，保持良好的职业能力； * 在制定审计计划时，要通过风险评估，确认高风险区域，找到审计的重点范围，合理分配审计资源； * 信息系统审计师常常关注高风险的问题，如敏感和重要信息的机密性、可用性、完整性以及生成、存储和处理这些信息的系统及流程等。在检查这类风险时，信息系统审计师常常对组织所使用的风险管理过程的有效性进行评估。 * 风险管理首要任务是识别出敏感或关键的信息资产；然后实施风险评估来识别威胁并确定其发生频率、所导致的影响以及将风险降低至管理层可接受水平的相应安全措施； * 为保持其有效性，风险评估过程应当在组织中持续进行，以致力于及时发现和评估新出现的风险。 * 内部控制通常由能够降低组织风险的政策、规程、实务和组织结构组成； * 内部控制的设计是为管理层提供风险事件能够被预防、检测和纠正，业务目标能够达成的合理保证。 * 实施有效的 IS审计的第一步是审计计划； * 长期审计计划与企业的业务与发展有关，一般为3到5年的期间； * 每年都需要对长、短期审计计划进行分析； * 无论长期短期规划每年都必须分析、调整；在环境有重大变化时也必须分析调整 * 证据的优先级：第三方提供审计师自己收集被审计方提供 * 制定审计计划的步骤： 1、了解组织业务使命、目标、目的和流程的了解，包括信息和处理要求：对组织关键设施现场巡视；收集阅读组织背景资料；检查长期战略计划；与管理人员会谈；审阅以前的饿审计报告； 2、找出规定内容，如：政策、标准和作业指导书、程序和组织结构； 3、评价管理层实施的风险评估和隐私保护影响分析； 4、实施风险分析，找出高风险区域—重点检查对象； 5、执行内部控制检查（针对风险检查）； 6、确定审计范围和审计目标； 7、确定审计方法或审计战略； 8、为审计任务和其后勤支援分配人力资源 * 需要遵守相关的法律法规：被审计方、审计师； * 法律法规的合规性：识别政府或相关外部要求的法律法规——记录相关法律法规——评估被审计方在制定计划或设定策略时是否考虑相关的法律法规——制度的执行流程以及保障（文档及程序）——执行结果 * 信息系统审计是指审计内容中包含了对自动化信息处理系统、相关手工流程及两者间接口进行全部或部分检查及评价的任何审计 * 审计程序包括确定审计范围、说明审计目标、找出审计标准、执行审计步骤、检查和评估证据、形成审计结论和意见、与关键流程所有人讨论后报告管理层 * 审计方法是指：为实现预定的审计目标而设计的一系列书面审计程序，其内容包括审计范围、审计目标和审计步骤； * 审计方法应当由审计管理层制定和批准并保持一致性。 * ISACA信息系统审计准则： 职业道德规范：必须遵守 信息系统审计标准：强制必须遵守，不可偏离 信息系统审计指南：在有合理解释的前提下可以调整和偏离 信息系统审计工具和技术：根据实际情况作出自己的职业判断 * 审计计划步骤： 1、计划审计纲要； 2、以书面形式记录一份基于风险评估的审计方法； 3、以书面形式记录一份审计计划书，详述审计目标、性质、时间、范围以及所需相关资源； 4、以书面形式起草审计计划和审计程序 * 信息系统审计人员应该得到监督，合理保证其审计目标的完成，并且符合审计职业标准； * 审计工作中收集证据的工作量最大；通过证据评估结论最困难； *