讲明:黄色背景需要特不关注,红色字体特不重要,红黄在一起的话,呵呵,大伙儿就自己考虑吧,呵呵
那个笔记是我在得知考试分数后进行整理的,应该依旧具有点参考价值的,整理时刻2013年2月6日
个人考试心得(10月1号开始学习,12月8号参加考试,2013年2月1号成绩出来,得分582分): 1、
有可能的话最好参加相关的培训,5天的培训可不能给你多少实质的提高,
但最关键的是能给你一个学习的思路;而且在培训的时候,有不明白的问题能够问老师; 2、
假如你不是做IT出身的,最好恶补一下IT知识,CISA对IT方面的知识依
旧有些要求的; 3、
关于IT出身的人,学CISA特不要注意:要以审计师的视角来学习以及看待
题目,组织内部的项目审计师的角色 4、 5、 6、
审计师是不具体解决问题的,然而要发觉问题;
最好能听两次培训,现在的培训只要缴费后,能够不限次数重听; 培训前先把书看一遍,要每个字都要看,不论能不能看明白,至少能有个映
像; 7、
不要急于做题目,我的做法是:
先把书看一遍(我花了3周左右的时刻)——参加培训(做好笔记)——再把书
1 / 1
看一遍(我花了将近2周左右的时刻)——开始做题目——参加培训(补充上次培训的笔记)——把书再看一遍(最好在一周左右的时刻,那个我没做到)——开始做题目,大量的做(我大概做了4000道左右)——参加考试(我拿到582分,自己觉得比较中意) 8、
差不多上每天花3到4个小时的时刻就能够了,考试前两天,有条件的话最
好在家里整理和复习一下自己所学的; 9、
重视QQ群的动态,群里面专门多朋友和前辈,能够学到专门多的;
10、 最关键的是,一定要参加考前辅导,那个是免费的,然而内容却是特不关键的!!!
第一章信息系统审计过程 * IS审计是基于风险的审计;
* 保持审计独立性和胜任能力,确保审计小组所实施完成的审计任务能满足审计职能的目标要求
* 风险分析是审计打算的一部分,关心IS审计师识不风险和脆弱性并确定降低风险所需的操纵
* 要以审计师的视角来学习以及看待题目,组织内部的项目审计师的角色; * 第一方审计:自查——报告给自己高层
1 / 1
* 第二方审计:甲方审乙方
* 第三方审计:外审——报告给公众或相关机构 * 按照IT审计标准制定并实施基于风险的IT审计战略 * 内审首先需要建立审计章程;外审首先需要合同以及托付书;
* 审计章程或托付书应在组织内部适当的层次得到同意和通过,一旦创立,就只有在特不必要、并通过充分的论证后才同意变更审计章程;
* 审计章程涵盖整个范围的审计活动;合同侧重于特定的审计任务; * 信息系统审计的最重要的资源是:审计师
* IS审计师应有合格的职业能力,具备进行审计工作的相应知识;IS审计师应持续保持职业教育和培训,保持良好的职业能力;
* 在制定审计打算时,要通过风险评估,确认高风险区域,找到审计的重点范围,合理分配审计资源;
* 信息系统审计师常常关注高风险的问题,如敏感和重要信息的机密性、可用性、完整性以及生成、存储和处理这些信息的系统及流程等。在检查这类风险时,信息系统审计师常常对组织所使用的风险治理过程的有效性进行评估。
* 风险治理首要任务是识不出敏感或关键的信息资产;然后实施风险评估来识不威胁并确定其发生频率、所导致的阻碍以及将风险降低至治理层可同意水平的相应安全措施;
* 为保持其有效性,风险评估过程应当在组织中持续进行,以致力于及时发觉和评
1 / 1
估新出现的风险。
* 内部操纵通常由能够降低组织风险的政策、规程、实务和组织结构组成; * 内部操纵的设计是为治理层提供风险事件能够被预防、检测和纠正,业务目标能够达成的合理保证。
* 实施有效的 IS审计的第一步是审计打算;
* 长期审计打算与企业的业务与进展有关,一般为3到5年的期间; * 每年都需要对长、短期审计打算进行分析;
* 不管长期短期规划每年都必须分析、调整;在环境有重大变化时也必须分析调整 * 证据的优先级:审计师自己收集>第三方提供>被审计方提供(银行函证例外) * 制定审计打算的步骤:
1、了解组织业务使命、目标、目的和流程的了解,包括信息和处理要求:对组织关键设施现场巡视;收集阅读组织背景资料;检查长期战略打算;与治理人员会谈;批阅往常的饿审计报告;
2、找出规定内容,如:政策、标准和作业指导书、程序和组织结构; 3、评价治理层实施的风险评估和隐私爱护阻碍分析; 4、实施风险分析,找出高风险区域—重点检查对象; 5、执行内部操纵检查(针对风险检查); 6、确定审计范围和审计目标; 7、确定审计方法或审计战略;
1 / 1
8、为审计任务和其后勤支援分配人力资源 * 需要遵守相关的法律法规:被审计方、审计师;
* 法律法规的合规性:识不政府或相关外部要求的法律法规——记录相关法律法规——评估被审计方在制定打算或设定策略时是否考虑相关的法律法规——制度的执行流程以及保障(文档及程序)——执行结果
* 信息系统审计是指审计内容中包含了对自动化信息处理系统、相关手工流程及两者间接口进行全部或部分检查及评价的任何审计
* 审计程序包括确定审计范围、讲明审计目标、找出审计标准、执行审计步骤、检查和评估证据、形成审计结论和意见、与关键流程所有人讨论后报告治理层 * 审计方法是指:为实现预定的审计目标而设计的一系列书面审计程序,其内容包括审计范围、审计目标和审计步骤;
* 审计方法应当由审计治理层制定和批准并保持一致性。 * ISACA信息系统审计准则: 职业道德规范:必须遵守
信息系统审计标准:强制必须遵守,不可偏离
信息系统审计指南:在有合理解释的前提下能够调整和偏离 信息系统审计工具和技术:依照实际情况作出自己的职业推断 * 审计打算步骤: 1、打算审计纲要;
1 / 1
相关推荐:
loading