CISA学习笔记（20130206最新更新，附个人考试心得）

说明：黄色背景需要特别关注，红色字体非常重要，红黄在一起的话，呵呵，大家就自己考虑吧，呵呵

这个笔记是我在得知考试分数后进行整理的，应该还是具有点参考价值的，整理时间2013年2月6日 个人考试心得（10月1号开始学习，12月8号参加考试，2013年2月1号成绩出来，得分582分）：

1、 有可能的话最好参加相关的培训，5天的培训不会给你多少实质的提高，但最关键的是能给你一个学习的思路；而

且在培训的时候，有不懂的问题可以问老师；

2、 如果你不是做IT出身的，最好恶补一下IT知识，CISA对IT方面的知识还是有些要求的；

3、 对于IT出身的人，学CISA特别要注意：要以审计师的视角来学习以及看待题目，组织内部的项目审计师的角色 4、 审计师是不具体解决问题的，但是要发现问题；

5、 最好能听两次培训，现在的培训只要缴费后，可以不限次数重听；

6、 培训前先把书看一遍，要每个字都要看，不论能不能看懂，至少能有个映像； 7、 不要急于做题目，我的做法是：

先把书看一遍（我花了3周左右的时间）——参加培训（做好笔记）——再把书看一遍（我花了将近2周左右的时间）——开始做题目——参加培训（补充上次培训的笔记）——把书再看一遍（最好在一周左右的时间，这个我没做到）——开始做题目，大量的做(我大概做了4000道左右)——参加考试（我拿到582分，自己觉得比较满意） 8、 基本上每天花3到4个小时的时间就可以了，考试前两天，有条件的话最好在家里整理和复习一下自己所学的； 9、 重视QQ群的动态，群里面很多朋友和前辈，可以学到很多的； 10、 最关键的是，一定要参加考前辅导，这个是免费的，但是内容却是非常关键的！！！

第一章信息系统审计过程 * IS审计是基于风险的审计；

* 保持审计独立性和胜任能力,确保审计小组所实施完成的审计任务能满足审计职能的目标要求 * 风险分析是审计计划的一部分，帮助IS审计师识别风险和脆弱性并确定降低风险所需的控制 * 要以审计师的视角来学习以及看待题目，组织内部的项目审计师的角色； * 第一方审计：自查——报告给自己高层 * 第二方审计：甲方审乙方

* 第三方审计：外审——报告给公众或相关机构

* 按照IT审计标准制定并实施基于风险的IT审计战略

* 内审首先需要建立审计章程；外审首先需要合同以及委托书；

* 审计章程或委托书应在组织内部适当的层次得到同意和通过，一旦创立，就只有在非常必要、并经过充分的论证后才允许变更审计章程；

* 审计章程涵盖整个范围的审计活动；合同侧重于特定的审计任务； * 信息系统审计的最重要的资源是：审计师

* IS审计师应有合格的职业能力，具备进行审计工作的相应知识；IS审计师应持续保持职业教育和培训，保持良好的职业能力；

* 在制定审计计划时，要通过风险评估，确认高风险区域，找到审计的重点范围，合理分配审计资源；

* 信息系统审计师常常关注高风险的问题，如敏感和重要信息的机密性、可用性、完整性以及生成、存储和处理这些信息的系统及流程等。在检查这类风险时，信息系统审计师常常对组织所使用的风险管理过程的有效性进行评估。 * 风险管理首要任务是识别出敏感或关键的信息资产；然后实施风险评估来识别威胁并确定其发生频率、所导致的影响以及将风险降低至管理层可接受水平的相应安全措施；

* 为保持其有效性，风险评估过程应当在组织中持续进行，以致力于及时发现和评估新出现的风险。 * 内部控制通常由能够降低组织风险的政策、规程、实务和组织结构组成；

* 内部控制的设计是为管理层提供风险事件能够被预防、检测和纠正，业务目标能够达成的合理保证。 * 实施有效的 IS审计的第一步是审计计划；

* 长期审计计划与企业的业务与发展有关，一般为3到5年的期间； * 每年都需要对长、短期审计计划进行分析；

* 无论长期短期规划每年都必须分析、调整；在环境有重大变化时也必须分析调整 * 证据的优先级：审计师自己收集>第三方提供>被审计方提供（银行函证例外） * 制定审计计划的步骤：

1、了解组织业务使命、目标、目的和流程的了解，包括信息和处理要求：对组织关键设施现场巡视；收集阅读组织

背景资料；检查长期战略计划；与管理人员会谈；审阅以前的饿审计报告； 2、找出规定内容，如：政策、标准和作业指导书、程序和组织结构； 3、评价管理层实施的风险评估和隐私保护影响分析； 4、实施风险分析，找出高风险区域—重点检查对象； 5、执行内部控制检查（针对风险检查）； 6、确定审计范围和审计目标； 7、确定审计方法或审计战略；

8、为审计任务和其后勤支援分配人力资源

* 需要遵守相关的法律法规：被审计方、审计师；

* 法律法规的合规性：识别政府或相关外部要求的法律法规——记录相关法律法规——评估被审计方在制定计划或设定策略时是否考虑相关的法律法规——制度的执行流程以及保障（文档及程序）——执行结果

* 信息系统审计是指审计内容中包含了对自动化信息处理系统、相关手工流程及两者间接口进行全部或部分检查及评价的任何审计

* 审计程序包括确定审计范围、说明审计目标、找出审计标准、执行审计步骤、检查和评估证据、形成审计结论和意见、与关键流程所有人讨论后报告管理层 * 审计方法是指：为实现预定的审计目标而设计的一系列书面审计程序，其内容包括审计范围、审计目标和审计步骤； * 审计方法应当由审计管理层制定和批准并保持一致性。 * ISACA信息系统审计准则： 职业道德规范：必须遵守

信息系统审计标准：强制必须遵守，不可偏离

信息系统审计指南：在有合理解释的前提下可以调整和偏离 信息系统审计工具和技术：根据实际情况作出自己的职业判断 * 审计计划步骤： 1、计划审计纲要；

2、以书面形式记录一份基于风险评估的审计方法；

3、以书面形式记录一份审计计划书，详述审计目标、性质、时间、范围以及所需相关资源； 4、以书面形式起草审计计划和审计程序

* 信息系统审计人员应该得到监督，合理保证其审计目标的完成，并且符合审计职业标准； * 审计工作中收集证据的工作量最大；通过证据评估结论最困难；

* 信息系统审计师必须拥有足够的、恰当的审计证据来解释报告中的审计结果； * 在报告审计发现和建议后，审计师必须持续跟进后续审计结果； * 审计最终目的：A&A(Audit & Assurance)审计及保证 * 审计实质性（重要性）==阀值

* 审计实质性（重要性）越低，需要投入的资源越大；审计实质性（重要性）越高，需要投入的资源越小； * ITAF（信息技术保证框架）包括：

1、一般准则：通用准则，所有审计都须遵守； 2、执行准则：在实施审计中的要求 3、报告准则（绩效准则） 4、指南

5、工具和技术

* 目标->风险->控制->审计

* 风险是特定的威胁，利用资产的脆弱性从而对组织造成的一种潜在的损害；它通过使用资产和价值损失的概念把风险放在了组织的业务环境中。

* 业务风险是指那些可能对资产、流程、具体业务或组织目标造成负面影响的威胁。 * 风险的三个要素：威胁、脆弱性、资产（价值）；其中应该首先评估资产； * 以年为单位评估风险——基于成本效益原则（财务以年结算） * 风险评估：识别风险

* 风险管理：消灭、控制风险

* 风险评估首先识别敏感或关键信息资产；

* 风险评估的最终目标：将风险降低至管理层可接受水平的相应安全措施；

* 高风险==高发展、高收益 * 风险控制（风险消减的措施）：

1、预防：避免或减少风险事件发生的可能性； 2、检查：发现不良事件的发生； 3、纠正：减小影响 向别的组织转移风险 * 控制分为（书中）：

预防性：在问题发生前预防，监控运营和输入；职责分离、控制对物理设施的访问、良好设计的文档、建立交易授权的适当流程、编辑检查、访问控制软件、加密软件

检测性：使用控制措施来检查和报告已发生的错误；哈希、检查点、通讯回显控制 纠正性：纠正问题引起的错误，把威胁影响降到最小；BCP、备份、DRP

* 审计风险：审计过程中未发现信息可能存在的重大错误的风险；审计风险包括（固有风险、控制风险、检测风险、整体审计风险）

* 固有风险：审计过程中遇到的，在假定不存在相关补偿控制的情况下，当与其他错误相结合时会导致重大错误的风险；也可以定义为：在不存在相关控制的情况下，易于导致重大错误的风险；是由于业务性质所导致的，在审计中独立存在（复杂计算比简单计算更容易出错）

* 所有审计项目的基本目标之一都是确定控制目标及针对这些目标的相关控制。并找出关键控制点。 * 控制风险：内部控制体系不能及时预防或检测出存在的重大错误的风险（手工检查计算机日志的相关检查风险很高） * 检测风险：信息系统审计师由于采用了不恰当的测试程序，对实际存在的重大错误得出错误结论的风险。（识别检测风险能更好的评价审计师的能力）

* 整体审计风险：对每一个具体控制目标所评估出的各类审计风险的综合。 * 统计抽样风险——指由选定样本得出错误的整体特征的风险 * 风险分析——量化风险的系统方法

* 风险评价——对比风险值与风险标准确定风险重要性的过程

* 风险评估中所识别出的每一个风险都必须处置，处置方式包括：降低、避免、接受、转移 * 风险分析的目标是理解和识别由实体及其环境引起的风险和相关的内部控制 * 审计是典型的检测性控制；

* 审计可定义为：由具备资质、胜任、独立的组织或人员，针对流程的预定结果，客观地搜集并评价证据，以确定与既定标准的符合程度，形成意见并报告的系统过程。对特定经济实体的可计量的信息证据进行客观的收集和评价，向利益相关者报告。可重现当时场景

* 信息系统控制程序包括：战略和方针、全面的组织管理、IT资源的访问（包括数据和程序）、系统开发和变更控制、运行规程、系统编程及技术支持智能、质量保证（QA）流程、物理访问控制、BCP、DRP、网络和通讯、数据库管理、对内外部攻击的检查和保护机制

* 风险评估过程应当在组织中持续进行，以致力于及时发现和评估新出现的风险；

* 内部控制：为减少风险所实施的各种政策、步骤、实践和组织结构；确保业务目标的有效达成。提高经营效率 * 风险控制另外分类方法：技术类控制、物理类控制以及管理类控制；

* COSO内部控制框架：控制环境——风险分析——控制活动——内部沟通机制——监督和持续改进 * COBIT通过域和流程框架来提供最佳实务，把34个IT流程组合到四个域中： 1、计划和组织（PO）； 2、获取与实施（AI）； 3、交付与支持（DS）； 4、监督与评价（ME）.

* COBIT框架定义：IT资源需要由自然归组的流程管理，为组织提供实现其目标所需要各种类型的、符合质量、可用性以及安全要求的信息。（业务部门需要IT部门提供满足一定要求的信息）； * 管理：好的事情发生，产生价值、创造效益； * 控制：防止风险 * 业务需求七要素： 种类 质量 项目 解释 符合业务部门的期望 成本效益 效果 效率 安全 受信/受托 保密性 可用性 完整性 符合性 可靠性 信息泄露 物理设备的丢失、信息被破坏；需要时能用 防止篡改、修改 合规性，法律法规 数据准确 * IT资源：人员、信息、基础架构、应用系统； * 通过流程化管理IT资源；

* 通用控制：适用于组织的各个方面，包括：会计控制、运营控制、管理控制； * 应用控制：针对特定的流程；

* 信息系统控制：战略指导、信息系统开发流程的控制、程序变更管理控制、计算机运行管理控制、程序与数据访问控制、信息系统安全的控制、网络和通讯、数据库管理、IT计划；

* 审计是指：有胜任能力的独立机构或人员（审计主体）接受委托或授权（审计关系），对特定经济实体的可计量的信息（审计对象）证据进行客观的收集和评价证据（审计工作），以确定这些信息与既定标准（审计依据）的符合程度，并向利益相关者报告（审计目标）的一个系统的过程（审计过程）；审计的性质——独立、客观。 * 位流映像——镜像之后再做哈希——防止篡改 * 审计的实质：审计信息是否满足7要素；

* 制定信息系统审计计划的关键内容就是把宽泛的基本审计目标转化成具体的信息系统审计目标；信息系统审计师必须明白如何把一般审计目标转换成特定的信息系统控制目标。确定审计目标是信息系统审计计划的关键步骤。 * 审计目标是指审计工作必须实现的特定目的； * 控制目标是指内部控制应当如何发挥作用

* 信息系统审计人员从以下方面评估信息系统职能： 安全 质量 受托责任 服务和能力

* 信息安全控制应当在系统和项目的需求说明及设计阶段予以考虑 * 信息系统审计师应当对各类风险进行评价并选择高风险领域实施审计

* 符合性测试（控制测试）——实质性测试：是否有控制—控制是否落实—控制是否有效—控制是否持续 * 舞弊检查：1、检查确认；2、与适当管理层沟通；3、与审计委员会沟通——向董事会沟通；

* 审计师在接受客户审计时就应对审计风险进行评估，将评估风险与预计可接受的总审计风险水平比较后，决定是否接受客户；

* 审计风险分类：固有风险、控制风险、检查风险（审计风险）；总体审计风险。

* 符合性测试是为测试组织对控制程序的符合性而收集证据，验证控制的执行是否符合管理政策和规程（测试内控是否起作用）；

* 实质性测试是为评价交易、数据或其他信息的完整性而收集证据，证实实际处理的完整性。 * 需要进行实质性测试的数量与内部控制的水平直接相关 * 符合性测试（控制测试）——简单、快速、资源消耗少 * 实质性（重要性）：可容忍错报或漏报的最好界限，其运用的情形：1、在编制审计计划的时候，进行初步估计；2、在做出审计结果时候，进行判断。 * 审计风险与实质性（重要性）：实质性水平越高，审计工作风险就越低；实质性水平越低，审计工作风险就越高； * 符合性测试（控制测试）：属性抽样 * 实质性测试：判断控制是否完整

* 充分性—数量上足够；适当性—审计证据有效且相关；

* 统计抽样——采用统计推断技术的一种抽样方法，可以量化抽样风险 * 非统计抽样——随机抽样

* 属性抽样一般用于符合性测试中估计属性的有或无，结论是用比率表示发生率（属性抽样、停—走抽样、发现抽样）； * 变量抽样一般用于实质性测试中估计总体的变化特征，结论是与正常值的偏差范围具体数值（分层单位平均估计抽样、不分层单位平均估计抽样、差额估计） * 属性抽样：

1、固定样本抽样：100个里面抽10个

2、停—走抽样：100个里面先抽5个，如果没有问题就停止，如果有问题就再抽 3、发现抽样：100个里面一直抽，直到抽到一个有问题为止

* 变量抽样：分层单位平均估计抽样、不分层单位平均估计抽样、差额估计抽样； * 置信系数越高，样本量越大；风险水平=1-置信系数；精度值越小样本量越大 * 控制需求：发现高风险区域而又未控制的区域

* 补偿性控制与重叠性控制：需要重点关注的是补偿性控制； * 补偿控制是强控制补偿弱控制，而重叠控制是指两个强控制； * 信息系统审计师在报告控制缺陷之前应当先检查补偿性控制 * 判断控制是否有效率和效果；

* 信息系统审计师在报告发布前，就重要发现及时和合适的人员进行交流，但前提是交流不应该改变报告的内容； * 审计底稿是指在审计过程中产生的所有的记录和资料，应保存7年； * 控制自我评估（CSA）三个基本特征： 1、关注业务的过程和控制的成效； 2、有管理部门和职员共同进行； 3、用结构化的方法开展自我评估。

* 在控制自我评估（CSA）中，信息系统审计师作为控制专家和评估引导人，只是CSA的推动者； * CSA把部门经理的监督职责分散到员工中 * 审计师在CSA中的目标： 增强审计职责

在控制责任和监控当中教育各级管理者

通过对在CSA中注意到的高风险和非正常项目进行复核来确定审计工作目标 通过把纠错心动从所有者方面向雇员方面转移的办法来提高纠错行动的有效性 * 一些组织在做CSA评估时，可能还会包括客户、贸易伙伴等外部人员

* CSA主要目标是通过把一些控制监督职责分散到职能部门来充分发挥内部审计职能的左右，这并不是要替代审计的职责，而是一种加强

* 审计师应该牢记他们只是CSA的推动者，只有管理人员才是CSA程序的具体实施者

* 连续监控与连续审计区别：监控仅仅记录所有满足设定条件的事件；审计则一旦控制失效，自动触发报警。 * 持续审计的技术应该在系统开发和实施的早期阶段介入； * 持续审计的限制因素：成本问题

* 持续审计是被审计事实的发生至证据收集和审计报告之间的时间间隔非常短

* 持续审计应独立于持续控制或监控活动，当同时存在持续监控和持续审计时，就形成了持续保证 * IT系统通常是预防和检查性控制的第一道防线，综合审计的根本就在于合理评估它们的效果及效率

* 确定审计发现重要性的关键是评估这些审计发现对各级管理层的重要性，评估中需要判断未针对审计发现采取纠正措施可能导致的潜在影响。 * 审计证据可靠性的决定因素： 1、提供审计证据的人员的独立性 2、提供信息或证据的人员的资格 3、证据的客观性 4、证据的时效性

* 应当由信息系统审计师来最终决定审计报告中包括或不包括哪些内容

* 综合审计的一个关键步骤就是审计组集体讨论风险及其影响和发生的可能性 * 详细审计工作关注已存在的管理这些风险的相关控制。

* 进行实际取证时，只能对位流映像进行操作，目标驱动器应该封存

* 对司法取证审计师而言，最重要的考虑就是做好目标驱动器的位流映像（镜像），并检查该映像的时间戳和其他信息属性未被人为改变；

* 位流映像做出来后应该对目标驱动器进行哈希，然后与位流映像的哈希进行对比，确保两者的完全一致； * 除了位流映像以外还有内存信息转储到文件中也是司法取证的一种； * 信息系统审计师通常从许多不同的角度来评估IT职能和系统： 安全——机密性、完整性、可用性 质量——效果、效率

本文来源：https://www.bwwdw.com/article/l3sd.html