cisa复习要点

1、区分何时执行符合性测试和实质性测试?

符合性测试（执行情况）

验证控制的执行是否符合管理政策和规程验证真实的控制同审计师评价中所理解

的方式相一致，判断控制是否在起作用

测试一个既定流程的存在及其效果实质性测试（准确性）

正式实际处理的完整性，验证财务报表数据及相关交易的有效性和完整性

测试组织中直接影响财务报表平衡或其他相关数据的金额错误

确定磁带库存货记录是否准确

抽样执行：

用户访问权限、程序变更控制基于对账户和交易的抽样来正式复杂计算的结流程、文件流程、编程文档、例外跟踪、果

xx检查、软件xx

2、给定场景下，确定哪一种证据收集技术是最好的。

收集证据的技术

1)评价组织结构及其所提供的控制水平：

采用分布式协作处理或最终用户计算方式，其IS职能的组织形式与传统的、具有独立的系统和运营部门的IS组织有所不同。

2)检查IS政策和程序：

检查是否已建立适当的政策和规程，确定员工是否了解施行中的政策和规程、以及对这些政策和规程的遵循性。验证管理层是否负责规划、制定、行文、发布和控制涵盖了总体目标与仿真的政策。应当对政策和规程的适当性进行定期审查。

3)检查标准：

了解组织中正式施行的标准

4)检查IS文档：

了解组织中存在的文件（硬拷贝形式、电子存档格式等），如为电子存档的要评价对文件完整性的保护——查明文件的最低水平。

5)访谈适当的人员：

事先安排并确定明确的目标，按照预定的提纲进行并做好访谈记录。

收集审计证据的程序包括（调查、观察、检查、确认、演示和监控）。

6)观察工作流程和员工表现。可考虑文件化的证据是否可作为有用证据，如照片等。

3、各种类型的抽样技术及其适用情况

抽样方法

统计抽样：

采用客观的方法

来确定样本量和样本抽取

标准。利用统计抽样，审计

师可以量化描述样本与总

体的接近程度以及用百分

数表示的样本能够代表总

体的概念。

非统计抽样（判断抽样）：

采用审计师判断来确定抽

样方法、样本量及抽样标

准。抽样结果基于审计师对

抽样事项或交易的重要性

及风险的主管判断属性抽样

属性抽样：

利用估计总体中

某种特性的发生比率的抽

样方法，属性抽样回答“有

多少”的问题变量抽样

分层单位平均估计抽样：

先对总体进行分层，然后从不同层分别抽取样本的统计抽样。相对于不分层单位平均估计抽样，其样本量较小。

不分层单位平均估计抽样：

用样本均值来估计总体的统计抽样。

停-走抽样：

允许审计测试尽

可能在早期停止以防止过

度抽样的抽样方法。停-走抽

样用于审计师相信总体中

只存在少量错误的情况

发现抽样：

可用在预期错误

发生率非常低的情况下的

抽样方法。常用于审计目标

是发现舞弊、违反法规或其

他非法行为时。差额估计：

根据样本差额来估计审计价值与账面价值之间的总体差额。

4、熟悉ISACA信息系统审计准则“审计工作执行”（S6）和IS审计指南“使用其他审计师的工作成果”（G1），重点关注对其他审计师或专家的工作成果的访问权限。

考虑关于使用其他审计师和专家服务的内容：

法律、法规对审计或安全服务外包的限制

审计章程或合同约定

对整体或特定IS审计目标的影响

对IS审计风险和职业责任的影响

其他审计师和专家的独立性、客观性

职业胜任能力、资格和经验

计划外包的工作范围

监督和审计管理控制

审计工作成果的沟通方法和形式

符合法律、法规的要求

符合适用的职业准则要求

根据工作性质不同，还应特别考虑以下内容

推荐信、介绍人或xx调查

对系统、工作场所和记录的访问

保护客户信息机密性的限制

外部审计服务提供商所使用的计算机辅助审计技术和其他工具

工作履行和文档方面的标准和方法

保密协议

审计师应当负责管理外部服务以：

使用正式的审计委托书来清晰的沟通审计目标、范围和方法、

制定监督流程定期检查外部服务提供商的工作，包括：

计划、监督、检查和文档。

评估外部服务报告的可用性及适当性，评估重大发现对整体审计目标的影响。

5、熟悉ISACA审计准则S7“审计报告”和S8“追踪审计”

审计报告通常具有以下结构和内容

报告提要，说明审计目标、范围和限制、审计期间、对审计中所执行审计程序和测试的性质及范围的总体说明、对IS审计方法和指导的说明。

分章描述审计发现，章节

第二章IT治理

知识点：

1、IT战略、政策、标准和规程对组织的意义及各自的基本内容；

2、IT治理框架

3、IT战略、政策、标准和规程的制定、实施及维护流程，如：

信息资产保护、业务持续和灾难恢复、系统和基础设施生命周期管理、IT 服务交付与支持等；

4、质量管理战略和政策

5、与IT管理及使用相关的组织结构、角色和职责；

6、国际公认的IT标准和指南

7、在制定长期战略方针方面的企业IT架构及其实施

8、风险管理技术和工具

9、控制框架的使用，如Cobit，COSO，ISO17799等

10、成熟度和流程改进模型的使用，如：

能力成熟度模型（CMM）、COBIT等；

11、合同战略、流程和合同管理实务

12、IT绩效监督和报告实务，如：

平衡计分卡、关键绩效指标

13、相关法律、法规问题，如：

隐私、知识产权、公司治理要求等；

14、IT人力资源管理

15、IT资源投资和分配实务，如：

项目组合管理、投资回报（ROI）等