CISA 信息系统审计知识点 [第一章. 信息系统审计过程 ]

对有志成为审计师或者IT管理者de朋友,


第一章. 信息系统审计过程

 

 

1. IS 审计和保障标准、指南、工具、职业道德规范

 

 

信息技术保证框架ITAFInformation Technology Assurance Framework

l   审计准则强制性要求

 

ü   一般准则基本的审计指导原理

 

ü   执行准则涉及任务的执行和管理

 

ü   报告准则落实报告类型、沟通方式和沟通信息

 

l   审计指南侧重于审计方法、理论

 

l   工具和技术也叫程序):提供各种方法、工具和模版

 

 

三者关系IS 审计师必须遵守审计准则审计指南帮助应用审计准则审计工具和技术提供

 

了具体的流程和步骤范例。

 

 

2. 风险评估概念、工具及技术

 

 

风险的定义:“风险是特定的威胁利用资产的脆弱性从而对组织造成损害的可能性。(”ISO/IEC  PDTR13335-1

 

 

风险评估的过程

 

(1)     识别业务目标BOBusiness Object

 

(2)     识别信息资产IAInformation Asset

 

(3)     进行风险评估RARisk Assessment):威胁脆弱性可能性影响

 

(4)     进行风险减缓RMRisk Mitigation):落实相关控制

 

(5)     进行风险处置RTRisk Treatment

 

 

基于风险的审计

 

(1)     搜集信息和计划

 

(2)     理解内部控制

 

(3)     执行符合性测试

 

(4)     执行实质性测试

 

(5)     完成审计和报告


审计风险审计过程中未发现信息可能存在的重大错误的风险。

l  固有风险Inherent Risk):业务自身风险不采取控制时的风险

 

l   控制风险Control Risk):采取控制后仍具有的风险

 

l   检查风险Detection Risk):得出错误检查结论的风险

 

l   整体审计风险Overall Audit Risk):对每一个控制目标评估出的各类审计风险的综合

 

 

审计重大性Materiality):在问题程度上可被组织视为严重的错误。

l  抽样不能检查出样本总体的所有错误但可以将检查风险降低到可接受水平。

 

l   小错误可能不严重但当他们组合到一起时可能使这些错误的性质变为重大。

 

l   重大性需要 IS 审计师合理判断确定重大性是比较困难的。

 

 

风险的处置应首先确定风险的可接受标准):

l  降低风险Mitigate):采取适当的控制来降低风险

 

l   接受风险Accept):在符合组织的风险接受标准下接受风险

 

l   避免风险Avoid):停止产生风险的业务活动从而避免风险的产生

 

l   转移风险Transfer):向其他组织转移风险

 

 

风险评估技术

l  评分机制

 

l   主观判断

 

l   二者结合

 

 

 

 

3. 信息系统相关控制目标和控制措施

 

 

内部控制的两个关键内容要达到什么、要避免什么。

 

 

控制的分类预防性、检测性、纠正性

 

 

COBIT5 5 条关键原则

l  满足利益相关者需求

 

l   端到端覆盖企业

 

l   采用单一集成框架

 

l   启用一种整体的方法

 

l   区分管理和治理董事会负责治理管理层负责管理

 

 

 

4. 审计规划以及审计项目管理技术

 

 

审计计划

l  年度计划

 

ü   短期计划年度内需实施的审计事项

 

ü   长期计划考虑组织调整 IT 战略方针对 IT 环境造成的影响所带来的风险问题

 

l   单项审计任务

 

 

审计流程与步骤

 

(1)     审计对象确定被审计领域

 

(2)     审计目标明确审计目标

 

(3)     审计范围确定要检查的具体系统、职能或单元

 

(4)     初步审计计划确定所需技能与资源确定测试检查的信息来源确定审计地点和设施

 

(5)     审计程序和步骤选择测试的方法确定访谈对象搜集政策和标准开发审计工具

 

(6)     评价测试和检查结果

 

(7)     与管理人员沟通结果

 

(8)     审计报告

 

 

 

 

5. 抽样方法

 

 

符合性测试与实质性测试

 

l  符合性测试测试组织对控制程序的符合性验证控制的执行是否符合管理政策和规程。 测试包括用户访问权限、程序变更控制流程、文件流程、编程文档、例外跟踪、日志检查、软件许可审计等。

 

l  实质性测试评价交易、数据或其它信息的完整性验证财务报表数据及相关交易的有 效性和完整性。测试包括基于对账户或交易的抽样来证实复杂计算的结果等。

 


二者关系如果符合性测试表明存在充分的内部控制则可减少实质性测试反之如果符 合性测试表明内部控制存在缺陷就要执行较多的实质性测试。

 

 

抽样根据样本的特征推断总体特征用于时间及成本都不允许对总体中所有交易和事件进行全面审计时。

 

 

审计抽样的两种一般方法

l  统计抽样允许通过置信系数量化抽样风险即由样本得出错误结论的风险

 

l   非统计抽样判断抽样

 

 

抽样的分类

l  属性抽样用于符合性测试结论用比率表示发生率

 

ü   属性抽样Attribute Sampling):估计总体中某种特性的发生比率有多少

 

ü  停走抽样Stop-or-Go Sampling):先部分抽样如果结果可接受则停止抽样否则扩大抽样。用于相信总体中只存在少量错误的情况防止过度抽样。

 

ü  发现抽样Discovery Sampling):预期明确错误发生率低的时候用于发现舞弊、违反法规或其它非法行为的情况。

 

l  变量抽样用于实质性测试结论是与正常值的偏差范围

 

ü  分层单位平均估计抽样Stratified MeanPer Unit):先对总体分层再从不同层抽取样本样本量较小。

 

ü  不分层单位平均估计抽样Unstratified MeanPer Unit):用样本均值估计总体。

 

ü   差额估计Difference Estimation):根据样本差额来估计总体差额。

 

抽样术语

 

l  置信系数Confidence Coefficient):样本特征能代表总体特征的概率置信系数越高样本量越大。

l  风险水平Level of Risk):1-置信系数

l  精度Precision):样本和总体之间的可接受误差范围。精度值越大样本量越小体误差就越大精度值越小样本量越大总体误差就越小。

l 预期差错率Expected Error Rate):预计可能存在的误差率预期差错率越高样本量越大。只能用于属性抽样不能用于变量抽样。

l  样本均值Sample Mean):所有样本的平均值。

l  样本标准差Sample Standard Deviation):样本值对于均值的变化衡量样本值的离散程度。

l  可容忍差错率Tolerable Error Rate):可以存在的最大误报或差错值。

l  总体标准差Population StandardDeviation):标准差越大样本量越大。用于变量抽样不能用于属性抽样。

 

 

 

 

6. 证据收集技术

 

 

证据的两个特性适当性质量、充分性数量

 

 证据收集技术检查组织架构、IS 政策和规程、IS 标准、IS 文档访谈观察穿行测试走查

 

 

计算机辅助审计技术CAAT

l  通用审计软件GASGeneral AuditSoftware):数学计算、统计分析、顺序检查、重复

性检查和复算主要用于进行实质性测试。

l  调试和扫描软件

 

l   测试数据评价程序软件中是否存在逻辑错误用于检查数据的完整性。

 

l   应用软件跟踪映像

 

l   审计专家系统用于知识库查询提供指导信息

 

 

持续审计采用自动化报告流程来测评控制的效果和效率及时发现风险或控制缺陷。应独

 

立于持续控制或监控活动。



7. 报告和沟通技术

 

 

在审计结束时进行的退场会议中应该

l  确保审计报告中反映的情况是真实的

 

l   确保建议的可行性并且是符合成本效益的

 

l   确定协商好的实施日期

 

 

审计报告

 

应当由 IS 审计师来最终决定审计报告中包括或者不包括哪些内容。

 

内部 IS 审计师应该有一个追踪程序来确认既定的整改措施是否已经落实。

 

 

 

8. 审计质量保障体系和框架

 

 

使用其他审计师和专家服务

 

当把 IS 审计服务整体或部分外包给其他审计或外部服务提供商时应监督外包服务的关系

 

以确保任务执行期间的客观性和独立性。

 

 

控制自评估CSAControl Self Assessment):

 

用来对关键业务目标、实现目标所面临的风险及管理业务风险的内部控制进行检查的一系列正式的、书面化的程序。形式包括调查问卷、专题研讨会等等。

 

 

CSA 的目标

 

通过把一些控制监督职责分散到职能部门来充分发挥内部审计职能的作用不是替代审计的职责是一种加强。


CSA的优缺点:


 

 

优点

缺点

ü     及早发风险

ü     更有效改进部控制

ü     加强团精神

ü     增加员工对组织目标的理解,了解风险和 内部控制

ü     增强运与管人员间的

ü     激发员的能

ü     改善审的评过程

ü     减少控成本

ü     向利益关方客户供保证

ü     满足法法规内部制的

ü     可能被认为代了计职能

ü     增加了作量

ü     改进措实施败会坏员士气

ü     缺乏动力

 

 

审计CSA中的角色

审计作为内控制专及评估动者。只是  CSA  动者,管理人才是

CSA程序的具体实者。

 

 

审计方法与CSA方法的比较 传审计审计师和咨询顾对内控制负责

   CSA方法:进行内控制及行监的责任管理

你可能感兴趣的:(CISA 信息系统审计知识点 [第一章. 信息系统审计过程 ])