CISA考前辅导笔记.docVIP

20141130考前辅导 本次辅导主要是对部分题讲解，现场抄录，时间关系，有所遗漏 审计章程包括内容 ，选D ，ISA的访问权限 考点为章程应该 说明管理人员的责任以及审计职能的目标和授权。 审计委员会的职责： 数据安全 最关注：法律法规 医疗、银行等行业对数据重视的， 合规性，先找答案里是否有法规 审计独立性：审计标准，准则，如果出现在审计过程中，ISA被提拔为被审方的经理，应该披露此事件 政策规定不能共享ID ，但是实际存在的情况，ISA发现此情况，审计师应该： 答案：继续审查使用共享ID的原因 通常答案会有报告，记录，管理行为（停工，整改），但是应该选调查（查看， 确认范围、影响，原因，给出解决建议）。可以报告的情况是确信，职责冲突，如：程序做自己的QA ，此类可明显下结论的，选报告； ISA发现CEO有对ERP系统的完全控制的权限，选择报告 ISA面对被审单位的异议： 不同意，否决，反驳等情况，拿出证据的副本，如果在退出会议上被质疑，指明审计错误，可以选择引入第三方，重新测试； 现场工作过程中，被审单位立即整改，初级审计员删除了问题，高级ISA发现此情况， 要将此发现写入报告中。 （实际中可能不写），选项里可能会出现报告审计经理，这时要注意题干，是否有首先怎么做 ISA发现舞弊，被审计单位忽略，选择：经过审计部门批准，此题要注意：被审单位同意不可以，直接发外部机构也不可以。永远不直接对外，要交给高级管理层或者审计委员会后，经过同意才可以外发。 如果发现漏洞，也需要提前高级管理层批准后再可以外发或处理 影响独立性，B、在应用系统里有个人交易，C，ISA参与设计嵌入式审计模块，注意选项描述 组织管理层反映IT控制付出成本不见成效，选A：IT成本控制一般小于因没有控制而造成的损失 漏洞识别的目标，选A威胁的可能性， 因为漏洞和威胁没有直接的关系，威胁只是利用漏洞的可能性 内审外包，通常是内部资源不足， 选请求外部审计资源。 但要注意:工作可以外包，但主审计责任不能外包，可以利用外部资源，首先确认：1能否外包，2外包方SLA要求，3签合同，4，外包报告：查底稿，能否满足目标，如果不能满足，需要提出，向管理层告之，且由管理层负责任，ISA只能咨询建议。 检测控制，选：散列总计（hash total），就是哈希，HASH。 遇到诉讼的情况，首选：保护证据。如在组织内部出现，ISA可以协助，但不能负责。不能拔电，重启，可以的操作是，转到一次写入设备，内存转储，屏幕拍照，硬盘复制机。在证据移交时，底稿不能给看，必须经过批准才行 审计风险： 固有风险， 存在的，但注意例如： 现金比煤易丢失等客观情况； 控制风险，计算机日志的审查，自动化肯定比人工的准确，人工效率低遗漏，检测风险，ISA的技能不足，或者没查出来，或者委托别人工作，造成损失 符合性/实质性 符合性是指为测试组织是否遵循控制流程而进行的证据收集，实质性，是用于证实实际处理的完整性，提供有效且完整的证据 发现抽样，ISA正在进行抽样，发现有一个错误时，即进行深入分析，此方法是 发现抽样，如果发现一个样本，就足以形成对总体的统计结论。 最终会议，审计报告交给谁？ 审计经理（ISA自己的经理） 末次会议：争论事实，而不是观点，要确保内容真实 纠正改正的情况： 分配责任人跟踪改正情况 跟踪审计目的，确认改进的建议是否落实 实施后审查：如果建议未执行，采用了别的方式，ISA首先要做：选择调查为什么要用这种方式 CSA，控制自评估， ISA是CSA的协助者，推动者，不直接评估风险， CSA审计小组职能： 准确记录 IT治理框架， 指导和控制IT基础 IT战略委员会职责：协助董事会，建议，关注IT 价值，风险和绩效 BSC定义 4个视角， 财务 客户 流程 学习 战略执行， 政策准确 AUP 可接受使用政策，如果用户不签署，会导致政策不能执行 转移风险， 风险包括：1、回避， 2、降低（IT成本小于收益），3、转移（维保，保险），4、接受，需要管理层签字 RA风险分析， 脆弱性：选威胁的可能性 轮岗，休假的补偿控制， RBAC，基于角色的访问控制，如果是两个互相牵制的岗位不能轮岗，确定职责分离，不能舞弊，原本需要审核的，不能轮岗 有效评价供应商的方法， 突击评审 外包公司数据，如果对方不提供，在签署了第三方审计权和SLA协议的情况下，由SSAE（另外的第三方介入） 外包IS， 人员不外包，保留 SLA，关注宕机时间， 数据的机密性，及可用性 SAAS ， 平台服务 QMS 质量管理体系，选检查质量管理体系政策，流程（标准文本） IT绩效报告:针对运营改进的IT效益 （为业务服务，确保一致） QA职责：QA负责开发人员管理，保证流程，