国际注册信息系统审计师(CISA)

课程名称：国际注册信息系统审计师（CISA）

课程大纲：

一、信息系统审计流程

1、IT审计部门管理

2、ISACA审计标准和指南

3、风险分析

4、内控

5、如何一步一步执行IT审计

6、SOX IT合规

7、ISO20000与ISO27001标准

8、控制自评估(如何在内部评估控制强弱和效果)

9、IT审计的未来发展趋势

二、IT管理和IT治理

1、公司治理

2、IT治理和COBIT 5

3、IT战略规划

4、成熟度评估和流程改善

5、IT投资组合管理和优化

6、IT政策和IT流程

7、风险管理流程

8、HR管理、外包管理、组织变革、IT财务管理、质量管理、信息安全管理和执行优化

9、组织架构模型

10、IT治理的审计（Entity-level控制审计）

11、业务连续性管理(BCM)

12、业务连续性审计

三、项目管理与信息系统需求、开发和实施

1、收益实现技术

2、项目管理(Prince2和PMBOK方法)

3、系统开发生命周期

4、常见的18类业务应用系统(如ERP、BI等)

5、软件开发方法

6、基础设施架构和采购方法

7、信息系统维护

8、应用系统控制（application controls）

9、应用系统审计

10、项目实施的过程审计

四、信息系统运维

1、IT运维流程

2、硬件

3、软件

4、网络设备和架构

5、IT运维审计(IT general control)

6、灾备管理

五、信息安全管理

1、信息安全管理体系

2、逻辑访问控制

3、网络安全

4、信息安全管理体系审计

5、网络安全审计

6、物理和环境安全

7、常见安全攻防

8、信息安全风险与审计实务

课程周期：

5天（6小时/天）

柯普瑞企业IT学院

课程日期：双休班、晚班、脱产班

上课地点：南京市秦淮区中山东路300号长发中心A栋23楼

国际信息系统审计标准(中文版)

信息系统审计标准 S1-审计章程 导言 01 ISACA 标准和其它相关指南包含强制性的基本原则和重要程序（以粗体标出）。 02 制定信息系统审计标准的目的是就审计章程在审计程序中的运用制定和提供指南。 标准 03 信息系统审计职能或信息系统审计任务的目的、责任、授权方和义务应在审计章程或委托书中予以正确的登载。 04 审计章程或委托书应在组织内的适当层次得到同意和通过。 注释 05 对于内部信息系统审计职能，应为所有进行中的业务活动制定一份审计章程。审计章程应通过年度审查。如果责任发生变动或变化，则应缩短审查周期。内部信息系统审计师可用委托书来进一步澄清或确认参与特定的审计或非审计任务。外部信息系统审计师参与每项审计或非审计任务通常应当准备委托书。 06 审计章程或委托书应足够详细以便能表达审计功能或审计任务的目的、责任和限制。 07 审计章程或委托书应定期审查，以确保（审计的）目的和责任已经记录在案。 08 如需有关准备审计章程或委托书进一步的信息，应参考下列指南： 信息系统审计指南G5，审计章程 COBIT 框架，监控目标M4 实施日期 09 此ISACA 标准适用于所有信息系统的审计，于2005 年1 月1 日起（之后）实施。 信息系统（IS）审计的专业性和进行这类审计所需的技术，要求制定出专门适用于信息系统审计的标准。推进全球适用的标准以 实现这个目标是信息系统审计与控制协会（ISACA?）的宗旨之一。信息系统审计标准的发展和传播是ISACA 为审计业界作出专 业贡献的基础。信息系统审计标准的框架提供了多层次的指引： 标准为信息系统审计和报告定义了强制性的要求。它们宣告： –根据ISACA 职业道德规范中关于职业责任的规定，信息系统审计师的执行绩效所应达到的最低标准。 –管理层和其他利益方对执业者在专业工作上的期待。 –认证信息系统审计师（CISA?）资格持有人的相关特定要求。CISA 资格持有人未能遵守上述标准的可能会导致ISACA 董事会或相应ISACA 委员会对其进行调查直至最终的纪律处分。 指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南，同时作出职业判断，对背离 标准的做法应随时提供解释。信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。 程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的 信息，但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。COBIT?资源应被当作最佳操作实施指南的来源。COBIT 框架强调，“保护企业的所有资产是管理层的责任，为履行这一责任以及 实现企业的期望，管理层必须建立起一套完善的内部监控体系。” COBIT 为信息系统管理环境提供了详细的监控和监控方法。

国际注册内部审计师实务框架1

职业道德规范 《职业道德规范》的建立对于内部审计职业必要而又适用,它是给予内部审计对风险管理、控制和治理作出的客观确认以信任的基础。协会的《职业道德规范》延展了内部审计的定义，包括两个基本部分： 1.与内部审计职业和实务相关的原则； 2.描述内部审计师行为规范的行为规则。这些规则有助于将上述原则运用于实践中，目 的在于指导内部审计师的道德行为。 《职业道德规范》与协会的实务框架和其他相关的公告一起，为服务于他人的内部审计师提供指导。“内部审计师”指协会会员，IIA职业资格的获得者或申请者以及那些在内部审计定义范围内提供内部审计服务的人。 适用性与执行 《职业道德规范》既适用于提供内部审计服务的个人，也适用于提供内部审计服务的团体。 对于协会会员、IIA职业资格的获得者或申请者，违反《职业道德规范》将根据协会的规章和行政指南予以评价和管理。在行为规则中没有提及的特殊行为，如果其无法接受或有损信誉，会员、资格获得者或申请者有责任接受纪律处罚。 原则 内部审计师应运用并信守以下原则： 1 内部审计师的公正建立信用，从而为对其判断的信任提供基础。 2 在收集、评价和沟通有关被检查的活动或过程的信息时，内部审计师展示其最大限度的职业客观。在作出判断时，内部审计师不受其个人喜好或他人的不适当影响，对所有相关环境作出公正的评价。 3 内部审计师尊重其获取的信息的价值和所有权，没有适当授权不得披露信息，除非是在有法律或职业义务的情况下。 4 内部审计师在执行内部审计业务时能够使用所需要的知识、技能和经验。 行为规则 公正 内部审计师： 11应当诚实、勤恳并负责地开展工作。 12应当遵守法律，按照法律及职业要求进行披露。

isaca_cisa_信息系统审计标准_审计独立性_s2

信息系统（IS）审计的专业性和进行这类审计所需的技术，要求制定出专门适用于信息系统审计的标准。推进全球适用的标准以实现这个目标是信息系统审计与控制协会（ISACA?）的宗旨之一。信息系统审计标准的发展和传播是ISACA为审计业界作出专业贡献的基础。信息系统审计标准的框架提供了多层次的指引： 标准为信息系统审计和报告定义了强制性的要求。它们宣告： – 根据ISACA职业道德规范中关于职业责任的规定，信息系统审计师的执行绩效所应达到的最低标准。 – 管理层和其他利益方对执业者在专业工作上的期待。 – 认证信息系统审计师（CISA?）资格持有人的相关特定要求。CISA资格持有人未能遵守上述标准的可能会导致ISACA 董事会或相应ISACA委员会对其进行调查直至最终的纪律处分。 指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南，同时作出职业判断，对背离标准的做法应随时提供解释。信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。 程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的 信息，但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。 C OBI T?资源应被当作最佳操作实施指南的来源。C OBI T框架强调，“保护企业的所有资产是管理层的责任，为履行这一责任以及实现企业的期望，管理层必须建立起一套完善的内部监控体系。” C OBI T为信息系统管理环境提供了详细的监控和监控方法。 基于特殊的C OBI T信息技术程序选择和对C OBI T信息标准的考虑来选用与特定审计范围最相关的材料。 依C OBI T框架中所定义，以下各项由IT管理程序进行组织。C OBI T为商业及IT管理层以及信息系统审计师而计，所以它的运用有助于商业目标的理解，最佳操作实施的交流和围绕已经达成共识和广受尊重的标准参考体系的意见的形成。C OBI T包括： 监控目标—广义上所需达到的最低限度良好监控之总括和详述。 监控实施—监控目标的实务原理和“如何实现”监控目标的指南。 审计指南—对于不同监控领域，如何理解和评估各种监控，考核监控的符合性和证实失控风险的指南。 管理方针—如何运用成熟度模型，指标和关键性成功因素等方法来评估和提高IT程序执行绩效的指南。它们提供一种针对管理层的框架应用于连续性和自发性的监控自我评估，特别专注于： – 绩效衡量—IT功能支持商用需求效果如何？管理方针既可用于支持自我评估的专题研讨，也可被管理层作为IT管治方案的一部分，用以支持持续监督和程序改进的推行。 – IT监控概况—哪些IT程序是重要的？哪些是监控的关键性成功因素？ – 监控意识—达不到目标会有哪些风险？ – 监控基准—其他人做了什么？如何衡量和比较结果？管理方针提供了对IT绩效的范例指标，可用于商业意义上对IT执行绩效的评估。关键的目标指标可以识别并衡量IT程序的成果，同时关键的执行绩效指标可以通过衡量程序的实现者来评估程序的执行绩效。透过成熟度模型和成熟度属性提供能力评估和基准，帮助管理层衡量监控能力，找到差距并提出相应改善策略。 术语表可在ISACA的网站：https://www.wendangku.net/doc/5f13463735.html,/glossary上查阅。审计和审查这两个词可以互换使用。 免责声明根据ISACA职业道德规范中对职业责任的规定，ISACA设计本指南作为执行绩效所应达到的最低标准。ISACA并未声明使用此产品一定会出现成功的结果。本出版物不能被视作包括所有合适的程序和测试，也不能被视作排斥通过合理引导获得同样结果的其它程序和测试。在决定任何具体的程序或测试的合理性时，监控专业人士应根据其自身的专业判断来判别由特定系统或信息技术环境产生的特定监控条件。 ISACA标准管理委员会致力于为信息系统审计标准、指南和程序的制定作出广泛的咨询。在发布任何文件之前，标准管理委员会向全球提供公开草案，供大众评论。标准管理委员会也寻求相关领域的专家和相关人士对必要处提出咨询意见。标准管理委员会现有研发计划，欢迎ISACA成员和其它相关人士报告任何新出现问题及其所需的新标准。所有建议请电邮至 (standards@https://www.wendangku.net/doc/5f13463735.html,)。或传真（+1.847.253.1443）或写信（地址在文件末尾）至ISACA国际总部，收件人注明研究标准和学术关系主任。本材料于2004年10月15日颁布。

国际注册内部审计师考试《内部审计业务》模拟题及答案

国际注册内部审计师考试《内部审计业务》模拟 题及答案 2017国际注册内部审计师考试《内部审计业务》模拟题及答案 模拟题一： 1.下列哪种情况是上述病毒出现的征兆： A.电压猛增，从而损坏计算机设备; B.未知原因的数据丢失和改变; C.不完全的备份、恢复和权变计划; D.大量由于未授权的软件使用而造成的侵犯版权事件。 答案：B 解析：答案A不正确，电压猛增可能是硬件或者供电设备造成的; 答案B正确，计算机病毒的影响从无害到完全破坏系统内的数据。计算机病毒的一种征兆可能是未知原因的数据丢失和改变。 答案C不正确，不完全的备份、恢复和权变计划是系统操作政策出现的问题; 答案D不正确，侵犯版权表明公司的软件政策不完善。 2.下列哪种操作程序增加了组织感染计算机病毒的可能性： A.对数据文件加密; B.对文件经常备份; C.从互联网上下载软件; D.在硬盘上安装软件的原装拷贝。

答案：C 解析：答案A不正确，病毒通过被感染的程序传播; 答案B不正确，对文件备份不会增加计算机感染病毒的可能性; 答案C正确，病毒主要通过共享数据传播。从互联网上下载软件，将增加计算机数据被病毒感染的可能性。 答案D不正确，应用软件原装拷贝是没有病毒的。 3.以下哪项不是在审计过程中使用计算机的一个优点： A.审计师可以独立于被审计者而工作; B.可以从远程看到工作底稿，从而节省了出差成本; C.审计师可以在很远的地方进入交易记录; D.如果需要，审计师可以更改公司数据。 答案：D 解析：答案A、B和C都不正确，它们都是在审计过程中使用计 算机的优点。 答案D正确，审计师使用计算机可以在很多方面简化审计过程和提高审计的质量。审计师可以独立于被审计者进行工作，也可以在 远方进入交易记录，从而节省出差费用。但是，审计师无论如何都 不能修改公司的数据。 4.现代技术使得进行无纸化审计成为可能。例如，在进行以计算机为基础的客户的应收账款的审计中，审计师可以使用微型计算机 直接进入应收账款账户，将选择的客户记录拷贝到微型计算机中， 进行审计分析。以下哪项是使用无纸化审计应收账款账户的优点： A.它减少了对支持性凭证的测试数量; B.它允许使用电子表格工作底稿立即处理审计数据; C.它增加了每个审计师所必备的技术和技能;

信息系统审计(IT审计)的实施

1. 信息系统审计的准备－审计部门 为了实施信息系统审计，需要在事前进行充足的准备，以获得良好的审计效果。 为了导入信息系统审计，事先需要进行下列的活动： ·信息系统审计的环境构建、文化导入； · IT审计师的培养； ·各种审计相关规章的整备； 信息系统审计的宗旨在于提高作为企业中枢神经的信息系统的可靠性、安全性和开发、运营效率，使企业能够健康地运营和发展。要使信息系统审计能够达成既定目标，上级主管 的完全授权是最重要的一环。 2. 信息系统审计的准备－被审计部门 IT审计师在实施信息系统审计的时候，常常要求被审计部门提供诸如文档之类相应的 资料作为审计依据。 被审计部门为此事先应该对文档、操作说明书等进行整理和准备。还要准备好计算机安全措施、个人信息保密措施等实施情况的说明。这些资料要尽可能让IT审计师一目了然。通常，被审计部门（信息化部门，用户部门）需要准备的东西如下面所示。当然，有关的系统设计书、程序设计说明书之类的必须保持最新的更新状态。 信息化部门： ·系统开发计划书 ·系统设计书 ·系统构成图 ·程序一览表 ·信息管理相关规章 ·操作指南 ·故障对应指南 ·计算机安全对策现状说明 用户部门： ·终端设备操作手册 ·系统输出列表 ·系统输入式样 ·系统使用指南

3. 信息系统审计的实施步骤 信息系统审计的实施步骤如下所示： 审计计划 ·基本计划（每年一度的审计计划，属于年度计划，概要性的计划） ·个别计划（个别，具体的审计实施计划，有实施细则） 审计实施 ·审计通知（实施前1－3周通知被审计部门） ·预备调查（审计实施前准备） ·审计实施（实际的审计活动） ·审计意见整备（基于审计结果的记录和文档） ·评议会（基于审计结果，与被审计部门交换本次审计意见） 审计报告 ·审计报告制作（完成信息系统审计报告） ·报告书提交（向上级主管提交信息系统审计报告） ·报告会（召集相应的干系人进行会议） ·改良指示（上级主管根据审计意见责令被审计部门进行相关的改良活动） ·审计追踪（IT审计师对改良情况进行检查） 4. 信息系统审计的留意点 在实施信息系统审计的时候为了确保审计高效的得以实施，必须制作相应的审计计划。 IT审计师在审计计划中必须明确审计的对象、审计目的、审计主题。 审计对象、审计主题的选定、优先度确定之类留意点可参照下面所述。 ·企业经营方针、上级主管的需求 ·信息化部门的问题、要求 ·用户部门的问题、要求 ·审计对象的业务特征 ·信息系统的重要度

内部审计人员岗位资格证书实施办法.

内部审计人员岗位资格证书实施办法 中内协发[2003]22号 第一条为了适应内部审计工作的需要,提高内部审计人员的素质,根据《审计署关于内部审计工作的规定》及有关规定,制定本办法。 第二条内部审计人员岗位资格证书(以下简称资格证书是从事内部审计工作的专兼职人员应具备的任职资格证明。 第三条资格证书的取得采取资格认证和考试两种办法。 (一凡具备下列条件之一者,经省级内部审计(师协会审批,报中国内部审计协会备案后,可发给资格证书: 1. 具有审计、会计、经济及相关专业中级及中级以上专业技术职称的人员; 2. 具有国际注册内部审计师证书的人员; 3. 具有注册会计师、造价工程师、资产评估师等相关执业证书的人员; 4. 审计、会计及相关专业本科以上学历工作满两年以上,以及大专学历工作满4年以上的人员。 对已取得省(行业级内部审计(师协(学会颁发的内部审计资格证书,时间不超过两年的人员,在本办法实施后可进行一次性的确认,发给资格证书。 (二不具备上述第(一款条件者,须参加中国内部审计协会统一组织的资格考试,考试合格者发给资格证书。 第四条资格证书考试内容: (一内部审计原理与技术;

(二有关法律法规与内部审计准则; (三计算机基础知识与应用。 第五条资格考试一般每年统一举行一次,时间为每年9月第三周的星期六。开始施行阶段,也可由中国内部审计协会授权省级内部审计(师协会根据实际情况做出考试安排。 第六条资格证书审核发放程序。凡具备取得资格证书条件的人员,由本人填写《内部审计人员岗位资格证书申请表》(略,经所在单位审核签章后,连同资格证明文件(职称证、执业资格证、学历证、人事部门出具的工作年限证明、考试合格证明原件及复印件、免冠2寸彩色照片,报省级内部审计(师协会审核后,发给资格证书。 第七条资格证书实行年检注册制度,每两年为一个年检注册周期。 符合下列条件的可通过年检,并进行注册: (一遵守国家的法律法规; (二严格执行《内部审计准则》; (三遵守内部审计职业道德; (四按照有关规定完成后续教育。 第八条因借调、出国等原因不能参加后续教育或年检的人员,须持本单位人事部门出具的证明,向所在省的内部审计(师协会提出延缓年检注册的申请。 第九条对无故不参加年检和注册的人员,应收回并注销其资格证书。 第十条因违法犯罪被追究刑事责任或弄虚作假骗取资格证书的人员,一律吊销其资格证书。

审计师考试心得

审计师考试高分心得分享 客观条件对每一个不作弊的人都是公平的，你既然参加了这个考试，就要遵守游戏规则。不过大家发发牢骚，这也是人之常情。任何人在考过之前也是经常抱怨考试越来越难的。但抱怨归抱怨，考试却是一点也不能放松的。了解到今年好象考了重要性的概念、审计抽样（大题（这里说的大题是指主观题））、审计调整等，很多人觉得很偏，其实这一点都不偏。重要性的概念、审计抽样等，都是审计书上的基本内容，审计调整在2001年已考过。重要性是审计的核心内容之一，考概念其实是送分，送都不要就没办法了。审计抽样直到上年止都没有出过大题，也应该作为复习的重点，前两年考试都应该对这一章复习得非常详细，因为虽然这一章在以往每年的分数都不多，而且都考得很简单，但因为这是属于审计基本原理的内容，难保当年不出大题，今年我考的话，应该能得分吧。审计调整则是命题的趋势，如果这都没有注意到，那就应该好好找找原因了，想想是自己的复习方法不正确，还是根本就没有为考试付出多少了。 关于何时开始复习的问题。一方面怕太早看书到时会忘记，又怕教材老是改动，结果造成后来复习时手忙脚乱。其实应该采取循序渐进的方法，看一点掌握一点。在复习过程中，应该逐步体会到，一分耕耘一分收获，无论你采取什么方法复习，只要你真正做到“认真”二字，工夫是不会白废的，看一点就是一点的积累。其实，注册会计师执业时也是经常要看新法规的，所以教材年年改，也不是全没道理的。 你的考试成绩= 复习内容覆盖题目内容的比例×你对复习内容的掌握程度×你做题的准确率 下面将一些备考的方法总结以下，希望抛砖引玉，请大家补充指正。 首先，请看考试成绩的计算公式： 你的考试成绩= A复习内容覆盖题目内容的比例× B你对复习内容的掌握程度× C你做会做的题的准确率× 100 要提高成绩，就要提高A、B、C， 1、提高A的方法。看每一章前，都应当仔细查看历年的考题，并反复比较，找到出题的一些思路，以举一反三。记住，多看几次全真题，必然有收获。但切记，上年刚考过的今年仍然有考的可能，不要因为上年刚考过就在看书时忽略了有关内容。详细方法，在后面将一一列出。 2、提高B的方法。反复复习，要做到背熟、记熟内容和章节结构，要做好总结、比较，对常见的主观题，复习时就要想好怎样答题，做到一看到题目就知道考那里，凡是复习过的马上就能写答案。很多人都说时间不够用，这就是熟练问题了。老是怨天尤人，没多大的意义，每年都有一定的通过率，为什么别人能及格，你就不能及格呢？平心而论，答题时间可

信息系统审计和监理比较

信息系统审计与信息系统监理的再比较 孟秀转孙强 所谓信息系统审计是指，审计人员接受委托或授权，收集并评估证据以判断一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整并最有效率地完成组织目标的活动过程。它既包括信息系统外部审计的鉴证目标——即对被审计单位的信息系统保护资产安全及数据完整的鉴证，又包含内部审计的管理目标--即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。信息系统工程监理，依据信息产业部《信息系统工程监理暂行规定》，是指依法设立且具备相应资质的信息系统工程监理单位，受业主单位委托，依据国家有关法律法规、技术标准和信息系统工程监理合同，对信息系统工程项目实施的监督管理。两者都可以服务于信息化建设，可以降低信息化投资风险。但目前在信息化建设领域，信息系统审计尚未被人们接受，在国内的推动中一提到审计，大家就认为是只有对会计报表的审计，似乎与IT和信息系统无关，相比较而言，人们更接受信息系统监理的概念，有些人甚至认为信息系统监理就是信息系统审计。对这两者认识的模糊，不仅影响到我国信息系统审计业的发展，而且影响到信息时代的市场经济秩序与国家安全等问题。国外没有信息系统监理的概念，在我国这一概念的提出是借鉴工程建设监理，而信息系统审计是21世纪初从国外介绍到国内的，尽管人们对两者存在模糊认识，但目前尚未见到系统比较两者的文章，笔者想通过比较，使人们认识到在信息化建设中，信息系统审计是不可替代与必不可少的，推动我国信息系统审计的发展是信息时代的要求。 1信息系统审计与信息系统监理的发展与实践 1.1信息系统审计。信息系统审计最早称为计算机审计，是随着计算机在财务会计领域的应用而产生的，作为传统财务审计业务的一种辅助工具，对客户的电子化会计数据进行处理和分析，为财务报表审计人员提供服务。随着计算机技术应用范围的不断扩展，计算机对被审计单位各个业务环节的影响越来越大，计算机审计所关注的内容也从单纯的对电子的处理，延伸到对计算机系统的可靠性、安全性进行了解和评价。信息技术的爆炸性发展改变了经济、社会、文化的结构和运行方式，网上商务、网上银行、网上证券、网上政府等相继出现，信息资源的作用得到充分发挥。人们的生活、工作越来越依赖信息技术。利用信息技术攻击对手信息系统，窃取机密，借助网络非法占有财富，

国际注册内部审计师(CIA)考试大纲(第二部分)

国际注册内部审计师（CIA）考试大纲（第二部分） 第二部分：内部审计实务 I管理内部审计活动(20%) 1.内部审计的运营 A描述有关计划、组织、指导和监督内部审计运营的政策和流程 B理解内部审计活动的行政工作（如预算、资源管理、招募、人员配置等） 2.制定以风险为基础的内部审计计划 A确定潜在的审计业务来源（审计范围、审计周期需求、管理层的要求、监管要求、相关市场和行业走向、新出现的问题等） B确定风险管理框架，用于评估风险，并根据风险评估的结果确定审计业务的重点C理解确认业务的种类（风险和控制评估、第三方审计和合同审计、安全与保密、绩效和质量审计、关键绩效指标、运营审计、财务和合规审计等） D理解旨在提供意见和建议的咨询业务的种类（培训、系统设计、系统开发、尽职调查、保密、对标分析、内部控制评估、流程设计等） E描述内部审计与外部审计、监管机构以及其他内部确认职能部门之间的协作，以及内部审计与其他确认服务提供方之间相互利用工作成果的可能性 3.与高级管理层和董事会沟通并向其报告 A了解首席审计执行官负责向高级管理层和董事会报告年度审计计划，并寻求获得董事会的批准 B确定重大风险的暴露、控制和治理，以便首席审计执行官向董事会报告 C了解首席审计执行官负责向高级管理层报告组织内部控制和风险管理程序的整体有效性 D了解首席审计执行官定期与高级管理层和董事会沟通的内部审计关键绩效指标 II计划审计业务(20%) 1.制定计划 A确定审计业务的目标、评估标准和业务范围 B制定业务计划，确保能够识别关键的风险和控制 C对每个审计领域开展具体风险评估，包括评估风险和控制因素，并确定其重要程度

2020会计继续教育业财融合的具体实施——信息系统审计

单项选择题（共 2 题） 1 在我国，审计署干部培训中心与信息系统审计与控制协会合作，在哪 年正式推出注册信息考试与培训（）。 2002年 2001年 2000年 2003年 2 下列各项不属于信息系统审计的目标的是（）。 系统的及时性 系统的安全性 系统的可靠性 系统的有效性 多选题（共 2 题） 3 下列各项属于信息系统的资源的有（）。 系统文档 数据文件 消耗性材料 硬件 软件 4 下列各项属于信息审计与控制协会发布的息系统审计准则的内容的有 （）。 信息技术管治 前期工作 审计报告 审计联合性 职业道德和标准

判断题（共 2 题） 5 数据的可靠性是指数据真实、准确和合理。（） 错误 正确 6 CISA成为信息系统审计发展的重要标志。（） 正确 错误 单项选择题（共 2 题） 1下列不属于获取审计证据的主要方法是（）。 监督 重新执行 询问和访谈 函证 2下列关于计算机辅助审计技术说法错误的是（）。 映像是用专门的软件测量包监控程序的执行 嵌入审计程序是在应用程序中嵌入审计模块，用于采集审计所需的信息 平行模拟是指审计人员复制被审计应用程序的功能与特点 综合测试需要在应用系统中建立一个虚拟实体，测试数据被认为是该实体数据多选题（共 2 题） 3下列各项属于获取审计证据的主要方法的有（）。 分析 审核 函证 观察 监督

4下列各项属于计算机辅助审计技术的有（）。 嵌入审计程序 间断审计 实用软件 测试数据 平行模拟 判断题（共 2 题） 5函证是指审计人员间接从第三方（被询证者）获取书面答复。（）错误 正确 6嵌入审计程序是在应用程序中嵌入审计模块，用于采集审计所需的信息。（）正确 错误 单项选择题（共 2 题） 1下列关于获取审计证据方法中的分析说法错误的是（）。 可以取得操作系统层、数据库管理层和应用系统层的系统运行记录 分析是指审计人员对相关资料进行系统分析 可以分析不同数据之间的内在关系，评价其合理性，以发现问题 分析是获取审计证据最重要的方法 2下列不属于获取审计证据的主要方法是（）。 重新执行 监督 询问和访谈 函证 判断题（共 2 题）

国际内部审计师协会发布新内部审计准则

国际内部审计师协会发布新内部审计准则（2004年） 2004-1-1 0:0【大中小】【打印】【我要纠错】 协会从1941年成立以来，先后发布过4个准则。本次修订是对2001年准则的修订。协会在修订前先在2003年1月发出征求意见稿。同年12月根据反馈的意见写出修订稿，经内部审计准则委员会批准，于2004年1月开始执行。 本次修订主要是针对保证性服务准则，以适应当前风险管理的需要。修订也为咨询性服务提供机会，以及为公司对外披露审计工作结果提供指导。 本次修订增加了5条准则： 1.1210.A3：对内部审计师知识和技能的要求 2.2201.A1：对接受第三方业务委托的规定 3.2220.A2：关于同时提供审计和咨询服务问题 4.2410.A3：向外部第三方分发审计报告时的沟通 5.2440.A2：分发审计报告无法律限制时的措施 本次修订还在不同程度上涉及原有的17条准则： 1.1130.A1：内部审计师应避免评价他们曾经负责过的运营工作 2.1220.A2：关于计算机辅助审计技术的应用 3.1300：质量保证与改进项目 4.2100：工作性质 5.2130：治理 6.2130.A1：内部审计师在组织道德文化建设中的作用 7.2200：审计业务计划 8.2210：审计业务的目标 9.2210.A1：审计工作的目标应反映风险评估的结果

10.2240.A1审计业务工作方案的审批 11.2400：报告审计结果 12.2410.A1：最终报告的必要 内容 13.2410.A2：对被审计单位的业绩应予肯定 14.2421：错误与遗漏 15.2440：发布审计结果 16.2440.A1：审计执行主管负责分发最终审计报告 17.2600：管理层对风险的接受 下面对此次修订的主要内容介绍如下： 一、确认内审准则的适应范围 修改后准则在引言中确认：内审准则可应用于不同的法律和文化环境。可应用在经营目标、经营规模、复杂性和结构多变的企业中。确认内审工作可由公司内部或外部人员来执行。 二、设定内审准则有一个假定前提 鉴于内审准则执行环境的多样性，而执行人员的水平又参差不齐，那么内审准则应当定在什么水平上？在修订时要有一个假定。这个假定就是：首席执行官和审计师在应用内审准则时，对内审概念具有良好的判断能力。也就是说能理解内审准则的规定。 三、强调执行内审准则是法定义务 修订后的内审准则规定，不论任何单位，也不论内审工作由谁来执行，都必须执行内审准则。新准则规定：“内部审计师如果由于法律、法规的原因不能遵循准则的某些部分的话，他们亦应该遵循准则的其它部分，并对这种情况做出适当的披露。” 准则用“应该”这个词来表示其法定义务。以工作准则2100条为例，修改前条文是：“内部审计活动评价并帮助改进机构的风险管理、控制和治理体系。”这个规定像是对内审活动的描述。新准则对此修改为“内部审计活动应该运用系统化 和严谨的方法去评价和帮助改善风险管理、控制和治理体系。“这里用了”应该“一词，表示执行内审准则是一种法定的义务。

2021年注册审计师和注册会计师的区别

注册审计师和注册会计师区别 中华人民共和国注册会计师协会和中华人民共和国注册审计师协会联合后,注册审计师改名为注册会计师,注册审计师本来所在工作机构,从其自愿,可仍称审计事务所,也可改为会计师事务所。国内社会审计组织虽然处在两所并存状态,但由于均接受联合后中华人民共和国注册会计师协会行业统一管理，其机构性质和执业范畴并没有多少差别。 注册会计师审计法定范畴,当前，重要涉及两大领域： 一为审计业务，是重要业务领域，涉及： ①审查公司会计报表，出具审计报告； ②验证公司资本，出具验资报告； ③办理公司合并、分立、清算事宜中审计业务，出具备关报告；④法律、行政法规规定其她审计业务。 二是会计征询和会计服务业务，涉及： ①设计财务会计制度； ②担任会计顾问，提供会计、财务、税务和其她经济管理征询； ③代理纳税申报； ④代理记帐； ⑤代办申请注册登记，协助拟定合同、合同、章程及其她经济文献； ⑥培训会计人员； ⑦审核公司前景财务资料； ⑧资产评估； ⑨参加进行可行性研究； ⑩其她会计征询和会计服务业务。 为了保证国内注册会计师法律地位和执业规范，国内关于法律、行政法规还规定

这些公司对外报送会计报表必要经国内注册会计师进行审计，这些审计业务，属于注册会计师法定审计业务，会计师事务所、注册会计师以外其她机构和人员不得承办。 注册会计师法定审计业务涉及如下内容： ①三资公司审计业务； ②股份制公司审计业务； ③其她公司审计业务。 注册审计师即CIA CIA是国际注册内部审计师（CERTIFIED INTERNAL AUDITOR）英文简称，它不但是国际内部审计领域专家标志，也是当前国际审计界唯一公认职业资格。CIA需经国际内部审计师协会（INSTITUTE OF INTERNAL AUDITORS 简称 IIA）组织考试获得。 IIA是世界范畴内部审计师组织。该协会1941年成立于美国纽约，在联合国经济和社会开发署享有顾问地位，是最高审计机关国际组织常任观测员，是国际政府财政管理委员会、国际会计师联合会团队会员。协会既有196个分会，分布在100各种国家和地区。 中华人民共和国内部审计学会1987年加入该协会，成为国家分会。协会既有全球会员7万多人。 IIA自1974年起在全球指定地点举办注册内部审计师资格考试，给考试合格者颁发注册内部审计师证书，授予“注册内部审计师”称号。 1998年中华人民共和国内审协会与IIA签定合同，将IIA在国际上举办国际注册内部审计师考试引入中华人民共和国，并获得成功。至国内通过CIA考试大概为2200人，考试报名8000人，通过率30%左右。 中华人民共和国内部审计协会负责全国国际注册内部审计师资格考试组织领导

一个专业IT审计师解读GMP附录

一个专业IT审计师解读GMP附录: 计算机化系统 NNIT 生命科学行业总监路璐（NNIT版权所有，如有转载请注明出处） 2015年五月，CFDA发布了GMP附录一：计算机化系统，从2015年12月1日开始执行。从食品 药品审核查验中心（CFDI）的资料显示，该附录起草背景如下： 1．科技发展，自动化越来越高 2．专业属性强，风险识别困难 3．数据完整性越来越被重视 4．多个国家/组织已将其作为单独附录发布 该附录共分为六章，分别从范围、原则、人员、验证、系统、术语几个角度，对GMP范围内的计算机 化系统提出了合规的要求。笔者在医药行业有六年的经验，在与医药行业相关的IT公司从事IT审计工 作八年的时间，取得了IT审计师资格证书。下面，就从IT审计的角度来解读一下这个附录的内容，希 望对于大家做自查或审计供应商有所帮助。 第一章范围 第一条本附录适用于在药品生产质量管理过程中应用的计算机化系统。计算机化系统由一系列硬件和软 件组成，以满足特定的功能。 第一章是最简单的一个章节，但是信息量非常大。如何界定范围一向是审计的关键。我们一定要把和GMP相关的系统界定出来，也就是要在GMP生产的整个环节去梳理，形成计算机化系统的清单。这个清单可以统一管理，也可以在部门或车间为单位管理，甚至这些信息可以存在于系统中，随时可以导出。很多系统其实在资产管理的台帐里都有体现，只是没有区分哪些是GMP相关的，哪些是GMP不相关的，那就需要在这些现有的台帐里加上一列，去识别GMP相关性。在我们做审计的时候，一个GMP 相关系统的完整清单通常是审计师最先要求的一个文档，因为这样便于我们规划审计。这个清单通常在 审计之前就会要求提供。有些药厂会故意隐瞒一些系统，这种做法是非常错误的。因为在审计的过程中，我们通常会关注数据的出处，这样就很容易发现一些不在清单上的系统，这样就会导致一个发现项：清 单没有及时更新，严重的时候，审计师会质疑被审方的诚信，会扩大审计范围或导致数据完整性的发现项。 很多人会问，那么如何界定哪些是和GMP相关的系统。这个就会用到风险评估的一些工具。对于审计 师来说，只要你有自己的评估方法，并且你的评估方法是合理的，我们通常会认可你的结论。合理的评 估方法就是，多关注系统里的数据，而不是单纯针对系统去评估。比如，我在培训的时候经常有人问我，ERP算不算GMP相关，PLC算不算GMP相关，等等。这个理念本身就是错误的，再复杂的系统，如 果你只是在里面输入一些财物、行政办公类的数据，它就不是GMP相关。反之，哪怕是一个excel表格，如果用来管理质量数据，它也是GMP相关。EMA的网站上问答里明确说到，与GMP相关的 excel表格也是需要验证的。所以，如果你的系统里用来管理GMP相关的数据，它就是GMP相关系统。至于哪些数据属于GMP相关的数据，相信在药厂工作的你比我要清楚。 在第一章，还有一个重点是说明了什么是计算机化系统。计算机化系统由一系列硬件和软件组成，以满 足特定的功能。我们在药厂有很多设备、仪器，现在由于自动化的发展，很多都带有软件和工作站。这 些软件如果在设备或仪器验证的时候已经验证了，我们在审计时不会要求单独再出一份验证文件，但是 我们会审核一下设备或仪器的这些验证文档里是否涵盖了软件这部分的功能。同时，我们会更关注这些 软件的运行和维护，比如用户名和密码、系统时间、审计追踪等功能。对于与设备相连的PLC，属于GAMP 5里界定的3类软件，不可配置的类型。要按照三类软件进行验证和管理。对于更高级别的软件，如ERP、MES等，要按照4类或4+5类来管理。还有很多药厂定制了一些软件，这些不是商业化的通用软件，而是企业按照自己的需求外包给开发商或内部IT部门自行开发的系统，这类系统属于5类软件，相对于其它类别来说，成熟度相对较低，风险较高，因此需要验证和管理的工作量加大。 目前IT审计的通行做法也是基于风险的，也就是说更关注风险较高的系统，如5类软件，可能会审到 代码的级别，或者至少会关注如何管理源代码。但是对于1、3、4类软件，会将关注点放在需求、功能、配置方面，不会涉及到源代码的问题。

国际注册内部审计师(CIA)考试大纲(第一部分)

国际注册内部审计师（CIA）考试大纲（第一部分） 第一部分：内部审计基础知识 I内部审计基础(15%) A阐述IIA提出的内部审计的使命、内部审计定义、内部审计实务的核心原则以及内部审计的宗旨、权力和职责 B了解内部审计章程的相关要求（包括章程的必备要素、经董事会通过、就章程进行必要的沟通等） C理解内部审计活动中确认服务和咨询服务的区别 D遵守IIA《职业道德规范》 II独立性和客观性(15%) A理解内部审计活动的组织独立性（独立性的重要性、职能报告等） B确定是否存在有损内部审计活动独立性的因素 C评估并保持内部审计人员的客观性，包括确定是否存在有损内部审计人员自身客观性的因素 D对促进客观性的政策进行分析 III专业能力与应有的职业审慎(18%) A了解履行内部审计活动职责所需的知识、技能和能力（可通过培养、聘请等方式获取） B展示内部审计人员为履行个人职责必须具备的知识和能力，包括技术能力和软技能（沟通技巧、思辨能力、说服/协商能力以及协作技巧等） C具备应有的职业审慎 D通过持续的专业发展展示内部审计人员的个人能力 IV质量保证与改进程序(7%) A描述质量保证和改进程序所需的要素（包括内部评估和外部评估等） B描述将质量保证与改进程序的结果上报董事会或其他治理机构的相关要求 C了解如何对遵循和未遵循《标准》的情况进行适当披露 V治理、风险管理和控制(35%)

A描述与组织治理相关的概念 B明确组织文化对整体控制环境以及单项业务风险和控制的影响 C认识并理解与组织职业道德和合规相关的问题、违规情况以及处置措施 D描述组织的社会责任 E理解有关风险和风险管理程序的基本概念 F描述适用于组织、且在全球范围内得到认可的风险管理框架（如虚假财务报告委员会下属的发起人委员会（COSO）的全面风险管理框架和ISO31000等）G检验工作流程和职能中风险管理的有效性 H了解内部审计活动在组织风险管理程序中发挥作用的适当性 I了解内部控制的概念以及控制的种类 J运用适用于组织、且在全球范围内得到认可的内部控制框架（如COSO框架等）K检查内部控制的效果和效率 VI舞弊风险(10%) A理解舞弊风险和舞弊的种类，并确定在开展审计业务时确定是否需要对舞弊风险进行特殊考虑 B评估出现舞弊的可能性（如危险信号等）以及组织为发现和管理舞弊风险采取的措施 C为组织预防和发现舞弊提供建议，帮助组织提升对舞弊的认识 D了解有关法务审计的相关技能，以及内部审计在其中扮演的角色（如访谈、调查、测试等）

IT审计简述

IT审计 概述： IT审计是分为：信息技术一般控制审计（ITGC)和应用层面控制审计（ITAC）1，ITAC（支持财审做对一些对具体余额的认定进行审计） ITAC即针对某一个应用软件的控制，例如对于银行来说，就有银行利息的计算软件。那么审计这个计算过程对不对，就是ITAC了。IT审计员会在系统中查看这个程序的源代码，看看利息是不是用借款乘以利率算出来的，另外，也会在系统中生成一个存款，然后看看系统计算的对不对。 2，ITGC（IT一般控制） 但是我们知道，我们只能在一年中某已一个点来测试ITAC，如何保证在过去的一个财年内这个软件计算过程都是对的呢？这就需要ITGC是不是有效的，如果这个程序没有被乱篡改，所有的程序变更都事先得到了许可和授权，这个程序出问题的时候可以得到及时有效的解决，也就是ITGC有效的情况下，IT审计员就可以得出这个利率计算过程是有效的。 ITGC内容（可以先不看）： （1）ELC（entity level control）控制。 就是看看客户在IT治理方面的相关组织架构是否合理，书面的管理制度是不是健全，具体的审计程序就是获取客户的组织结构图，及一些比较虚的总纲类的书面管理制度如《IT 管理制度》等等。 （2）系统开发和变更。 就是关注系统开发和系统后续小变更中的一些控制，具体的审计程序就是获取系统开发及变更相关的管理制度典型的如《系统开发制度》《系统变更管理制度》等来看一看，再看系统

开发是否经过了需求提出、可行性研究、领导层审批，系统上线之前是不是经过了充分的测试，获取一些内控痕迹和表单，如《××系统需求报告》、《××系统可行性报告》、《××系统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》，然后变更方面比较重要的就是《变更审批单》，这个一般来说还要进行抽样，而上面的开发流程一般来说做一两个穿行测试就行了。 （3）操作系统及数据库控制。 这一块呢具体就是看操作系统和数据库登录是不是要密码，然后把登录界面截个屏作为审计证据K进底稿里，蛮弱智的。然后呢就是调出操作系统及数据库中的一些安全配置，如密码复杂度的要求，密码是不是强制一个月改一次，对系统的敏感操作是否有日志记录，日志是否有人去复核，再者就是看用户权限管理是否按照基于角色来进行权限分配。现在商用方面操作系统用得比较多的是win2000,LINUX,UNIX,银行AIX用得比较多，数据库就是SAP，ORACLE,SQL server等，银行DB2用得也比较多。审计的时候呢，对于安全配置，就是输入一些命令，调出相关配置，四大像安永会有团队专门设计脚本，只要放到客户机器上那么一跑，结果自动就出来了，高度傻瓜式，流程化机械化，IT审计师的可替代性更强了，价值更低了。再就是把所有用户的权限列表拉出来，看是不是合理合规，后点关注超级管理员的权限。 （4）应用系统控制。 关注点同操作系统及数据库。不过应用系统千变万化，比如银行里面比较大的应用系统就有综合业务系统（有的叫核心业务系统）、国际结算系统、大小额系统、信贷管理系统等等等等。但万变不离其综，这些系统做ITGC思路都是一样的，就看安全配置和用户权限。如果要支持财审进行ITAC的审计，则要具体情况具体分析设计，因此个人认为ITAC的审计是IT审计师能体现自身经验与价值的地方，光做ITGC是没有前途的

国际注册内部审计师考试(CIA)内部审计技术考试题库

国际注册内部审计师考试(CIA)内部审计技术考试题库 [单项选择题]1、 内部审计师有可能就评价制造企业钢铁采购职能的哪一方面实施计算机模拟？（） A.与钢铁有关的技术说明节 B.仓储职能的效率 C.不同采购政策对存货投资的影响 D.用于确定最佳经济订货量的计算机程序的质量 参考答案：C 参考解析： a.不正确。技术说明书由机构制定，且不包含备选方案。 b.不正确。经济性和效率能衡量过去的生产，但不能衡量未来的政策。 c.正确。计算机模拟的最恰当使用是测试采购职能的变化，这是一种“如果怎样，将会怎样”的评价。 d.不正确。计算机程序的质量是主观的，不容易被量化为模型。 [单项选择题]2、 审计人员分析某部门营运情况时发现：流动比率提高；速动比率变小存货销售天数增加；销售量不变；流动负债不变。这些情况可得出什么结论（）。Ⅰ.公司今年产品产量比去年少Ⅱ.现金或应收账款减少Ⅲ.毛利降低 A.只有Ⅰ B.只有Ⅱ C.Ⅰ和Ⅲ D.Ⅱ和Ⅲ 参考答案：B [判断题]3、 为保持独立性，内部审计计划的制定不应该考虑高级管理层和董事会的意见。 参考答案：错 [单项选择题]4、

为促使职员提高精确率，管理者会对犯错误的职工给予惩罚，但引导职工行为的更好办法是（）。 A.不采取任何措施，就会使错误不再重犯 B.对对工作精确的员工给予奖励 C.使用否定强化，使职员继续努力做好，避免发生差错 D.威胁职工如果不提高精确率便辞退 参考答案：B [单项选择题]5、 某公司有两大制造系统，各系统包括两大制造工序和一个独立的包装工序，两大系统的制造工序均相同。使用的原材料包括铝，制塑原料、各种化学物品和溶剂。在一些操作过程中存在污染现象，如原料处理与贮存，经特殊处理的化学制品的使用，完工产品的处理与贮存。在废品中也包括一些有害物质，无害废品均运至垃圾填充场，公司外部有一些废物处理商处理、贮存、经营所有的有害废品。管理当局了解其必须遵循环境保护法的相关义务。公司最近还制订了一项环境政策，其中要求每个职员必须遵守环境保护法。管理当局正在评估开展环境审计项目的可能性，下列哪项不属于整个项目的目标？（） A.对两大制造系统进行现场评估 B.确定公司对所有环境法规的遵循情况 C.评价将废物减少至最低限度的可能性 D.确保管理系统足以使未来环境风险降低至最低限度 参考答案：A 参考解析： A.正确。与审计目标关系不大，因为这里主要关系工厂经营是否符合法律法规对环保的要求，仅仅实地观察评估不如其他方法有效。 B.不正确。证实合规性很重要； C.不正确。有助于提高运营效率。 D.在不正确。管理系统有助于降低风险。 [单项选择题]6、 能够获取证明所有发出商品的支付账单均签发给客户证据的最佳信息来源是（） A.预先编号的客户发票