cisa的知识梳理_原创文档.pdf

从其他地方找到的知识梳理，与大家一起分享下

内部控制的分类

预防性控制,在事情发生前监测问题,如职责分离/仅雇佣合格人员/使用访问控制软件/控制访问物理设备/完

成程序化的编辑检查

检查性控制,使用控制检查和报告发生的问题,如Hashtotals哈希汇总/生产作业中的检查点

内部审计/回显控制

纠正性控制,修复检查控制发现的问题/找出问题原因,纠正问题衍生的错误/修改处理系统以减少未来发生问

题,如意外处理计划/备份流程/恢复运营流程

审计风险的分类

固有风险,假设不存在相关的内部控制的情况下,发生重大错误的风险

控制风险,指有内部控制制度,但无法预防但无法预防及时发现或纠正重要错误的风险

检查风险,信息审计人员采用了不恰当的测试程序,未能发现已存在的重大错误风险

整体审计风险,是对个别控制目标所评估出的各类审计风险的综合

符合性测试和实质性测试

符合性测试:

1.关注内部控制的有效性,从而帮助审计师确定实质性测试的性质、时间和范围，

2.符合性测试可以用来测试既定程序的存在和有效性

3.符合性测试需要测试组织符合控制程序所收集的证据

实质性测试：

1．实质性测试验证实际处理的完整性，通过实质性测试可以确定财务报表和财务信息所反映的业务活动

的正确性和完整性

2．实质性测试需要评估组织的交易、数据若其他信息的完整性

审计抽样分类：

按抽样决策的依据不同，可分为

1．统计抽样：审计人员在计算正式抽样结果时采用统计推断技术的一种抽样方法，客观的方法决定样本量

大小和抽样方式

2．非统计抽样：审计人员全凭主观标准和个人经验来评价样本结果并对总体做出结论

两者的区别是：非统计抽样不能理化抽样风险，统计抽样可以量化

按审计抽样所了解的总体特征不同，可分为

1．属性抽样：估计一个控制或一组相关控制属性的发生概率。与符合性测试有关

有三种基本方法：

固定样本量抽样

停-走抽样

发现抽样

2．变量抽样：根据总体的抽样来估计总体的金额数或其他衡量单位，与实质性测试有关

有三种常用方法：

分层单位平均估计抽样

不分层单位平均估计抽样

差额估计抽样

补偿性控制和重叠性控制

补偿性控制是由健全的控制来弥补其他控制缺陷

重叠的控制同时有两个健全的控制

标准IT平衡记分卡

使用一个三层架构来四个方面的评价要素：使命，战略，措施

四个方面：财务、客户、内部流程、学习与发展

风险管理过程

第一步：对那些具有脆弱性，易受威胁，需要保护的信息资产进行识别与分类

第二步：评价与信息资源相关的威胁和脆弱性，及其发生的可能性

第三步：结合考虑各风险要素形成对风险的总体

项目管理方法：

1、关键路径法：因为项目的构成是一系列、次序排列的独立任务，利用类似网络结构的图示表示各行为

之间的关系，所有链中，时间消耗总数最大的一条链，也就是关键路径，因为它代表了整个项目预计的最

短耗时。

2、项目评审技术PERT，是一网络管理技术，常用于充分计划的系统开发项目，计算时间公式：

（乐观时间+悲观时间+4*最可能时间）/6

使用PERT技术也可以计算关键路径，它就是网络中最长的，唯一的那条路径。

3、时间盒管理TIMEBOX，它是一个相对短的、绝对的和不许变更的时间内以及有限资源的情况下，定

义和部署软件交付品

传统的系统开发生命周期法SDLC法

也称为瀑布式开发技术。各个阶段包括：可行性研究需求定义（自行开发时）设计（直接采购时）

选择（自行开发时）开发（直接采购时）配置实施实施后维护

其他的系统开发方法：

1．增量开发或渐进开发，系统内嵌到各阶段或版本中，而不是在开发完成后整体交付

2．迭代开发，这种方法涉及使用迭代或增量来构建系统（进化式开发、螺旋式开发、敏捷开发）

3．面向数据的开发方法，DOSD

4．面向对象开发方法，OOSD

5．基于组件的开发方法

6．基于WEB应用开发方法

7．原型法：也称启发式或演化式开发方法，不断建立和更新原型，采用快速开发工具，缺点是缺乏文档

8．快速应用开发方法（RAD），支持单独系统的开发和实施，但不支持整个企业信息需求

9．敏捷开发，是指支持非传统方式开发复杂系统的一系列开发程序，最早出现scrum方法

测试方法：

单元测试

接口测试/集成测试

系统测试：包括恢复测试、安全测试、压力测试/容量测试、性能测试

最终验收测试

其他类型测试：

α测试，由一个用户在开发环境下进行测试，也可以是公司内部的用户在模拟实际操作环境下测试，其目

的是评价软件产品的功能，可