XXXX年12月1日谷安天下CISA考前串讲-陈伟

11CISA培训知识点串讲北京谷安天下科技有限公司目录一、对IT审计原理的理解√二、CISA考试难点分析三、各章节知识点串讲22IT审计的定义信息系统审计是一个获取并评价证据，以判断计算机系统是否存在充分的控制，以保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。控制：随时将计划的执行结果与标准进行比较，若发有超过计划容许范围的偏差时，则及时采取必要的纠正措施，以使系统的动趋于相对稳定，实现组织的既定目标。控制器被控对象反馈装置信息系统审计是判断IT控制是否有效的一种保证机制。Control!-3-IT审计与IT检查的区别？（一）、IT审计的概念与定位高层控制应用控制一般控制COSO控制框架-4-IT控制框架?控制IT风险控制企业风险IT审计师的关注点IT审计师的关注点35信息系统审计的作用鉴证价值♦通过审计，合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性，政策遵循的一贯性。促进价值♦审计师的证明可以增强人们对组织信息系统的信任程度。促进组织更有效地带入社会经济生活中。♦通过审计发现控制缺陷或漏洞，提出解决问题的建议，从而促进被审计单位提高管理水平，提高经济效益。咨询价值♦审计师帮助企业建立健全内部控制制度，进行系统诊断咨询，客观中立地帮助企业降低信息化建设过程中的风险。监管部门对IT审计的要求2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》，2010年4月发布《企业内部控制配套指引》（应用指引、评价指引）。2009年3月银监会发布新版《银行业金融机构信息系统风险管理指引》。2009年证监会发布《证券期货行业IT治理指引》，银监会、保监会的IT治理指引正在制定中。国资发[2009]102号文要求各中央企业根据信息化水平评价结果，制订信息化发展“登高计划”，A级企业要与国际先进水平全面对标，努力达到和超过世界先进水平。并开始对央企业进行信息化水平测评与排名。6监管规范以上监管要求中都明确了对IT审计的要求。企业自身的要求２4对信息系统的高层控制的审计对IT治理的组织和工作机制进行审计，判断组织IT战略与业务战略的有效匹配。对IT组织结构、管理制度的审计，判断组织IT管理体系的有效性。对IT规划与架构的审计，判断组织在IT战略愿景、蓝图规划、架构设计方面的有效性。对IT投资与价值管理的审计，判断组织在IT投入产出方面的效率性。对全面的IT风险管理框架的审计，判断是否能把IT风险控制在组织可接受范围内。-7-（二）、IT审计的对象国内银行IT治理问题总结案例2•对信息系统的一般控制的审计对项目建设与管理的审计对应用系统的开发、测试与上线的审计对IT基础设施及运维的审计对IT服务管理的审计对信息安全管理的审计对IT外包管理的审计对应急计划和业务连续性的审计….-8-案例案例5对信息系统的应用控制的审计应用控制是存在于应用系统中，用于保证记录的完整性和准确性及人工或自动数据录入的正确性的控制措施，应用控制是针对输入、处理和输出功能的控制。业务应用系统是日常运行过程中，业务敏感信息保护及访问控制等应用。交易失误示例-9-应用流程审计目录一、对IT审计原理的理解二、CISA考试难点分析√三、各章节知识点串讲106CISA应试的三个难点1从审计角度出发看问题2理解业务需求的重要性3知识掌握的广度与深度CISA试题CISA难点之一：从审计角度出发看问题CISA理念中的审计视角，就是站在一个旁观者的位置客观地看待问题，重点关注的是风险与控制，所以CISA对风险的把握应该是熟练乃至精通，对控制及其对风险的影响也应该深入理解；具体到如何设计和实施控制，如何控制风险以保证业务目标的实现则是管理层和执行层的责任，审计人员的职责仅仅是提供建议，对这些建议，管理层可根据实际情况决定采纳或者不采纳；理解这一点对CISA应试来说非常重要，因为CISA是对信息系统审计师的认证，所有题目都是对审计师理解能力的验证，应该从审计视角出发来寻找答案。合格的CISA可以告诉业务人员和管理层控制设计有缺陷、控制实施不到位、存在业务风险等等，但永远不能教导他们应该怎样控制、怎样实施、应该把风险控制到什么程度等等，“应该如何”是管理层和业务人员的责任如果一个选项是与发现控制缺陷与风险有关的，那它是审计人员应该关注的；如果是具体设计或实施控制的则多数情况下与审计无关，也不太可能是正确答案。127CISA难点之二：理解业务需求的重要性对一个组织而言，IT因业务而存在，离开了业务需求IT没有存在的价值；不管是IT治理目标，IT战略、计划、流程、开发、设计、实施均应落脚在业务需求上；对IT执行审计一个主要目标就是看IT是否能满足业务需求；业务需求、风险与控制是贯穿整个CISA教程的主线，应特别关注试题中与此有关的选项。13CISA难点之三：知识掌握的广度和深度对于从事审计相关工作的，对风险与控制的把握不会存在问题，准备的重点可放在知识面上，主要是理解概念及其应用，具体来讲就是概念及主要特点、实际应用中的优缺点、存在的主要风险及控制手段、相应的审计方法或步骤，对于技术细节则不必理解太深。对于有着丰富IT背景，尤其是IT科班出身的，知识面和深度都不是问题，但如果未参加过CIA或类似考试，也没有太多审计经验，准备的重点应是理解CISA的考试理念，重点学习ISACA的审计准则，把握什么是审计视角，理解风险与控制的概念，掌握如何从技术管理或实施角色中脱离出来，站在旁观者的位置看待问题。CISA是对审计师的考试,CISA不是IT工程师,因此，CISA对IT技术的要求面很广，但深度很浅，基本上是考察对IT概念的了解。148目录一、对IT审计原理的理解二、CISA考试难点分析三、各章节知识点串讲√15目标所占比重确保CISA考生具备提供符合IT审计准则的审计服务的必要知识，以协助组织保护和控制信息系统。（一）、IT审计过程917第一章知识结构图1、S2独立性(Independent)专业自主–在所有审计相关事项中，IS审计师应当对被审计人保持实质态度与表现形式上的独立性。组织独立性–IS审计职能应当对被审计领域或活动保持独立性以能够客观完成审计任务（练习A01）2、S3职业审慎性(Dueprofessionalcare)审计工作的全过程中，保持一种理性的细心和慎重的工作态度，努力减少工作中的差错与失误，以降低审计风险，保证审计业务质量。（练习A02）18（一）、了解重点概念103、S5IT审计计划的制订了解业务使命、目标、目的和流程，包括信息和处理要求，如：可用性、完整性、安全和业务技术以及信息机密性找出相关规定，如：政策、标准和所需指南、规程以及组织结构实施风险分析以帮助制定审计计划确定审计目标和审计范围制定审计方法或审计战略为审计事项分配人力资源落实项目后勤保障19（示例练习A03）4、S11IT风险特定的威胁利用信息资产的脆弱性从而造成对信息资产的一种潜在损害，风险的严重程度与资产价值的损害程度及威胁发生的频度成正比。包括：审计过程的检查风险、审计对象的固有风险及控制风险。205、S15控制为了降低IT风险，保护信息资产机密性完善性及可用性，提高IT运行效率，确保IT支持业务的有效支持，在组织内部采取的一系列制度、策略、方法及程序。（示例练习A03A）116、S11审计证据IS审计师应当获取充分和适当的审计证据并得出合理结论，以此支持审计成果。IS审计师应当分析审计中所获取审计证据的充分性。217、S9违规和非法行为如果IS审计师已发现重大违规或非法行为，或者得到存在重大违规或非法行为的线索，IS审计师应当及时与适当层级的管理人员沟通。（练习A04、A05）（案例）-22-IT审计的阶段IT审计计划IT审计方案审计沟通（二）、了解审计过程IT审计报告示例案例1案例2案例3案例4案例5案例6现场审计过程审计发现与整改建议12目标所占比重（二）、IT治理与IT管理确保CISA考生能够理解并为以下事项提供保证：企业具有实现目标和支持企业战略的必要的领导力、组织结构和流程。24第二章知识结构图ITITB.信息系统战略G.信息系统管理实务E.政策与程序B1.战略规划B2.IS指导委员会G1.人力资源管理G2.资源配备实务G3.组织变更管理G4、财务管理实务G5、质量管理G6、信息安全管理G7、绩效优化E1.政策E2.程序组成部分知识点J.对IT治理的审计H1.IS角色与职责H2.职责分离H3、职责分离控制Ａ.IT治理A1.公司治理A2.IT治理A3.董事会与管理层职责A3.IT战略委员会A4.IT平衡记分卡A5.信息安全治理A6.企业架构F.风险管理F1.制定风险管理程序F2.风险管理过程F3.风险分析方法H.信息系统组织结构与职责J1.审计文档J2.审核合同C.成熟度与流程改进模型D.IT投资与分配实践I1、信息系统的业务连续性计划/灾难恢复计划I2、灾难和其他业务中断事件I3、BCP过程I4、BCP事件管理I5、业务影响分析I6、制定BCP和DRPI7、组织与职责分配I8、制定计划的其他问题I9、BCP的组成I10、BCP的演练B、审计灾难恢复与业务持续性计划B1、对BCP进行审核B2、评估以前的测试结果B3、评估异地存储B4、访问关键人员B5、评估异地存储设施的安全性B6、合同的检查B7、审核保险事务I.BCP和DRP131、IT治理(ITGovernence)定义：♦ISACA：IT治理是企业的一种制度安排，它通过为IT提供必要的领导力、组织结构和相关过程，来保证企业的IT能支持企业战略和实现企业目标。IT治理是董事会和执行管理层的职责，是企业治理的重要组成部分。作用♦保持IT与业务目标一致，推动业务发展，♦促使收益最大化，♦合理利用IT资源，♦IT相关风险的适当管理。25（一）、了解重点概念26IT治理的四个域：关键的IT治理实务：董事会及管理层职责、IT治理委员会、IT风险管理、IT架构与规划、IT投资管理、IT绩效测量。（练习A06、A07）1427IT治理的落地工具：COBIT、ValIT、RiskIT2、IT管理(ITManagement)定义：♦为各种IS相关管理活动所设计的组织、政策与程序。IT审计师必须意识到并充分理解一个管理良好的IS部门对实现组织目标的关键程度。常见IT管理职能：♦人力资源管理、变更管理、财务管理、质量管理、信息安全管理和绩效优化实务。组成♦IT组织与职责♦IT制度与流程28153、组织结构：组织结构图应当清晰地描述部门层级及授权、具体角色和职责，结构图应当明确IS部门每个领域的角色。294、职责分离职责分离的目标是通过识别补偿控制来降低或消除业务风险。一般应当分离的职责是：资产保管、交易的授权和登记。如果必须合并职责，应当引入补偿控制。30（练习A08）165、对IT治理与IT管理的审计♦IT审计师应当评估所有的IS管理实务以确定管理层对IT的治理情况，包括IT战略文档、预算、政策和程序、信息安全控制、IS部门结构，这是因为每一项因素都能显示组织在确保IT向业务交付价值和管理IT风险方面的效果。31（案例）22011©谷安天下版权所有w.gooann.com6、业务连续性计划BCP172011©谷安天下版权所有w.gooann.comBIA应该考虑的问题组织的主要业务流程是什么与关键业务流程相关的关键信息资源是什么关键恢复时间周期是多长使总成本最小化的恢复策略是什么风险分析RA与业务影响分析BIA的联系与区别呼叫树342011©谷安天下版权所有w.gooann.comBCP演练基于桌面的评价/纸上推演预备性演练全面运行演练BCP审计18目标所占比重（三）、信息系统获取、开发与实施确保CISA的申请者理解并且能够保证：信息系统获取、开发