文档介绍：说明:黄色背景需要特别关注,红色字体非常重要,红黄在一起的话,呵呵,
大家就自己考虑吧,呵呵
这个笔记是我在得知考试分数后进行整理的,应该还是具有点参考价值的,整理时
间 2013 年 2 月 6 日
个人考试心得(10 月 1 号开始学****12 月 8 号参加考试,2013 年 2 月 1 号成绩出来,
得分 582 分):
1、有可能的话最好参加相关的培训,5 天的培训不会给你多少实质的提高,但最关键
的是能给你一个学****的思路;而且在培训的时候,有不懂的问题可以问老师;
2、如果你不是做 IT 出身的,最好恶补一下 IT 知识,CISA 对 IT 方面的知识还是有些要
求的;
3、对于 IT 出身的人,学 CISA 特别要注意:要以审计师的视角来学****以及看待题目,组
织内部的项目审计师的角色
4、审计师是不具体解决问题的,但是要发现问题;
5、最好能听两次培训,现在的培训只要缴费后,可以不限次数重听;
6、培训前先把书看一遍,要每个字都要看,不论能不能看懂,至少能有个映像;
7、不要急于做题目,我的做法是:
先把书看一遍(我花了 3 周左右的时间)——参加培训(做好笔记)——再把书看
一遍(我花了将近 2 周左右的时间)——开始做题目——参加培训(补充上次培训
的笔记)——把书再看一遍(最好在一周左右的时间,这个我没做到)——开始做
题目,大量的做(我大概做了 4000 道左右)——参加考试(我拿到 582 分,自己觉得
比较满意)
8、基本上每天花 3 到 4 个小时的时间就可以了,考试前两天,有条件的话最好在家里
整理和复****一下自己所学的;
9、重视 QQ 群的动态,群里面很多朋友和前辈,可以学到很多的;
10、最关键的是,一定要参加考前辅导,这个是免费的,但是内容却是非常关键
的!!!


第一章信息系统审计过程
* IS 审计是基于风险的审计;
* 保持审计独立性和胜任能力,确保审计小组所实施完成的审计任务能满足审计职能的目
标要求
* 风险分析是审计计划的一部分,帮助 IS 审计师识别风险和脆弱性并确定降低风险所需
的控制
* 要以审计师的视角来学****以及看待题目,组织内部的项目审计师的角色;
* 第一方审计:自查——报告给自己高层
* 第二方审计:甲方审乙方
* 第三方审计:外审——报告给公众或相关机构
* 按照 IT 审计标准制定并实施基于风险的 IT 审计战略
* 内审首先需要建立审计章程;外审首先需要合同以及委托书;
* 审计章程或委托书应在组织内部适当的层次得到同意和通过,一旦创立,就只有在非
常必要、并经过充分的论证后才允许变更审计章程;
* 审计章程涵盖整个范围的审计活动;合同侧重于特定的审计任务;
* 信息系统审计的最重要的资源是:审计师
* IS 审计师应有合格的职业能力,具备进行审计工作的相应知识;IS 审计师应持续保持
职业教育和培训,保持良好的职业能力;
* 在制定审计计划时,要通过风险评估,确认高风险区域,找到审计的重点范围,合理
分配审计资源;
* 信息系统审计师常常关注高风险的问题,如敏感和重要信息的机密性、可用性、完整
性以及生成、存储和处理这些信息的系统及流程等。在检查这类风险时,信息系统审
计师常常对组织所使用的风险管理过程的有效性进行评估。
* 风险管理首要任务是识别出敏感或关键的信息资产;然后实施风险评估来识别威胁并
确定其发生频率、所导致的影响以及将风险降低至管理层可接受水平的相应安全措施;
* 为保持其有效性,风险评估过程应当在组织中持续进行,以致力于及时发现和评估新
出现的风险。
* 内部控制通常由能够降低组织风险的政策、规程、实务和组织结构组成;
* 内部控制的设计是为管理层提供风险事件能够被预防、检测和纠正,业务目标能够达
成的合理保证。
* 实施有效的 IS 审计的第一步是审计计划;
* 长期审计计划与企业的业务与发展有关,一般为 3 到 5 年的期间;
* 每年都需要对长、短期审计计划进行分析;
* 无论长期短期规划每年都必须分析、调整;在环境有重大变化时也必须分析调整
* 证据的优先级:审计师自己收集>第三方提供>被审计方提供(银行函证例外)
* 制定审计计划的步骤:
1、了解组织业务使命、目标、目的和流程的了解,包括信息和处理要求:对组织关键
设施现场巡视;收集阅读组织背景资料;检查长期战略计划;与管理人员会谈;审阅
以前的饿审计报告;
2、找出规定内容,如:政策、标准和作业指导书、程序和组织结构;
3、评价管理层实施的风险评估和隐私保护影响分析