说明：黄色背景需要特别关注，红色字体非常重要，红黄在一起的话，呵呵，大家就自己考虑吧，呵呵 1、 有可能的话最好参加相关的培训， 5天的培训不会给你多少实质的提高，但最关键的是能给你一个学习的思路；而 且在培训的时候，有不懂的问题可以问老师； 2、 如果你不是做 IT出身的，最好恶补一下 IT知识， CISA对IT方面的知识还是有些要求的； 3、 对于 IT出身的人，学 CISA特别要注意：要以审计师的视角来学习以及看待题目，组织内部的项目审计师的角色 4、 审计师是不具体解决问题的，但是要发现问题； 5、 最好能听两次培训，现在的培训只要缴费后，可以不限次数重听； 6、 培训前先把书看一遍，要每个字都要看，不论能不能看懂，至少能有个映像； 7、 不要急于做题目，我的做法是： 先把书看一遍（我花了 3周左右的时间）——参加培训（做好笔记）——再把书看一遍（我花了将近 2周左右的时 间）——开始做题目——参加培训（补充上次培训的笔记）——把书再看一遍（最好在一周左右的时间，这个我没 做到）——开始做题目，大量的做 (我大概做了 4000道左右 )——参加考试（我拿到 582分，自己觉得比较满意） 8、 基本上每天花 3到4个小时的时间就可以了，考试前两天，有条件的话最好在家里整理和复习一下自己所学的； 9、 重视 QQ群的动态，群里面很多朋友和前辈，可以学到很多的； 10、 最关键的是，一定要参加考前辅导，这个是免费的，但是内容却是非常关键的！ ！ ！ 第一章信息系统审计过程 * IS审计是基于风险的审计； * 保持审计 独立性和胜任能力 ,确保审计小组所实施完成的审计任务能满足审计职能的目标要求 * 风险分析是审计计划的一部分，帮助 IS审计师识别风险和脆弱性并确定降低风险所需的控制 * 要以审计师的视角来学习以及看待题目 ，组织内部的项目审计师的角色 ； * 第一方审计：自查 ——报告给自己高层 * 第二方审计：甲方审乙方 * 第三方审计：外审 ——报告给公众或相关机构 * 按照 IT审计标准制定并实施基于风险的 IT审计战略 * 内审首先 需要建立审计章程；外审首先需要合同以及委托书； * 审计章程或委托书应在组织内部适当的层次得到同意和通过，一旦创立，就只有在非常必要、并经过充分的论证后 才允许变更审计章程； * 审计章程涵盖整个范围的审计活动；合同侧重于特定的审计任务； * 信息系统审计的最重要的资源是：审计师 * IS审计师应有合格的职业能力，具备进行审计工作的相应知识； IS审计师应持续保持职业教育 和培训，保持良好的职 业能力； * 在制定审计计划时，要通过风险 评估，确认高风险区域， 找到审计的重点范围， 合理分配审计资源； * 信息系统审计师常常关注高风险的问题，如敏感和重要信息的机密性、可用性、完整性以及生成、存储和处理这些 信息的系统及流程等。在检查这类风险时，信息系统审计师常常对组织所使用的风险管理过程的有效性进行评估。 * 风险管理首要任务是识别出敏感或关键的信息资产；然后实施风险评估来识别威胁并确定其发生频率、所导致的影 响以及将风险降低至管理层可接受水平的相应安全措施； * 为保持其有效性，风险评估过程应当在组织中持续进行，以致力于及时发现和评估新出现的风险。 * 内部控制通常由能够降低组织风险的政策、规程、实务和组织结构 组成； * 内部控制的设计是为管理层提供风险事件能够被预防、检测和纠正，业务目标能够达成的合理保证。 * 实施有效的 IS审计的第一步是审计计划； * 长期审计计划与企业的业务与发展有关，一般为 3到5年的期间； * 每年都需要对长、短期审计计划进行分析； * 无论长期短期规划每年都必须分析、调整；在环境有重大变化时也必须分析调整 * 证据的优先级：审计师自己收集 >第三方提供 >被审计方提供 （银行函证例外） * 制定审计计划的步骤： 1、了解组织业务使命、目标、目的和流程的了解，包括信息和处理要求：对组织关 键设施现场巡视；收集阅读组织背景资料；检查长期战略计划；与管理人员会谈 ；审阅以前的饿审计报告； 2、找出规定内容，如：政策、标准和作业指导书、程序和组织结构； 3、评价管理层实施的风险评估和隐私保护影响分析； 4、实施风险分析，找出高风险区域 —重点检查对象； 5、执行内部控制检查（针对风险检查） ； 6、确定审计范围和审计目标； 7、确定审计方法或审计战略； 8、为审计任务和其后勤支援分配人力资源 * 需要遵守相关的法律法规：被审计方、审计师； * 法律法规的合规 性：识别政府或相关外部要求的法律法规 ——记录相关法律法规 ——评估被审计方在制定计划或设 定策略时是否考虑相关的法律法规 ——制度的执行流程以及保障（文档及程序） ——执行结果 * 信息系统审计是指审计内容中包含了对自动化信息处理系统、相关手工流程及两者间接口进行全部或部分检查及评 价的任何审计 * 审计程序包括确定审计范围、说明审计目标、找出审计标准、执行审计步骤、检查和评估证据、形成审计结论和意 见、与关键流程所有人讨论后报告管理层 * 审计方法是指：为实现预定的审计目标而设计的一系列书面审计程序，其内容包括审计范 围、审计目标和审计步骤； * 审计方法应当由审计管理层制定和批准并保持一致性。 * ISACA信息系统审计准则： 职业道德规范 ：必须遵守 信息系统审计标准 ：强制必须遵守，不可偏离 信息系统审计指南 ：在有合理解释的前提下可以调整和偏离 信息系统 审计工具和技术：根据实际情况作出自己的职业判断 * 审计计划步骤： 1、计划审计纲要； 2、以书面形式记录一份基于风险评估的审计方法； 3、以书面形式记录一份审计计划书，详述审计目标、性质、时间、范围以及所需相关资源； 4、以书面形式起草 审计计划和审计程序 * 信息系统审计人员 应该得到监督，合理保证其审计目标的完成，并且符合审计职业标准； * 审计工作中收集证据的工作量最大；通过证据评估结论最困难； * 信息系统审计师必须拥有足够的、恰当的审计证据来解释报告中的审计结果； * 在报告审计发现和建议后，审计师必须持续跟进后续审计结果； * 审计最终目的： A&A(Audit & Assurance) 审计及保证 * 审计实质性（重要性） ==阀值 * 审计实质性（重要性）越低，需要投入的资源越大；审计实质性（重要性）越高，需要投入的资源越小； * ITAF（信息技术保证框架）包括： 1、一般准则：通用准则，所有审计都须遵守； 2、执行准则：在实施审计中的要求 3、报告准则 （绩效准则） 4、指南 5、工具和技术 * 目标 ->风险 ->控制 ->审计 * 风险是特定的威胁，利用资产的脆弱性从而对组织造成的一种潜在的损害；它通过使用资产和价值损失的概念把风 险放在了组织的业务环境中。 * 业务风险是指那些可能对资产、流程、具体业务或组织目标造成负面影响的威胁。 * 风险的三个要素：威胁、脆弱性、资产（价值） ；其中应该首先评估资产； * 以年为单位评估风险 ——基于成本效益原则（财务以年结算） * 风险评估：识别风险 * 风险管理：消灭、控制风险 * 风险评估首先识别敏感或关键信息资产； * 风险评估的最终目标：将风险降低至管理层可接受水平的相应安全措施； * 高风险 ==高发展、高收益 * 风险控制 （风险消减的措施 ）： 1、预防：避免或减少风险事件发生的可能性； 2、检查：发现不良事件的发生； 3、纠正：减小影响 向别的组织转移风险 * 控制分为（书中） ： 预防性：在问题发生前预防，监控运营和输入；职责分离、控制对物理设施的访问、良好设计的文档、建立交易授 权的适当流程、编辑检查、访问控制软件、加密软件 检测性：使用控制措施来检查和报告已发生的错误；哈希、检查点、通讯回显控制 纠正性：纠正问题引起的错误，把威胁影响降到最小； BCP、备份、 DRP * 审计风险 ：审计过程中未发现信息可能存在的重大错误的风险；审计风险包括（固有风险、控制风险、检测风险、 整体审计风险） * 固有风险 ：审计过程中遇到的，在假定不存在相关补偿控制的情况下，当与其他错误相结合时会导致 重大错误的风 险；也可以定义为：在不存在相关控制的情况下，易于导致重大错误的风险；是由于业务性质所导致的，在审计中独 立存在（复杂计算比简单计算更容易出错） * 所有审计项目的基本目标之一都是确定控制目标及针对这些目标的相关控制。并找出关键控制点。 * 控制风险： 内部控制体系不能及时预防或检测出存在的重大错误的风险 （手工检查计算机日志的相关检查风险很高） * 检测风险：信息系统审计师由于采用了不恰当的测试程序，对实际存在的重大错误得出错误结论的风险。 （识别检测 风险能更好的评价审计师的能力） * 整体审计风险：对 每一个具体控制目标所评估出的各类审计风险的综合。 * 统计抽样风险 ——指由选定样本得出错误的整体特征的风险 * 风险分析 ——量化风险的系统方法 * 风险评价 ——对比风险值与风险标准确定风险重要性的过程 *