原創(chuàng)2024-06-13小艾老師

CISA信息系統(tǒng)審計師認證知識體系考證須知證書含金量培訓大綱 3分鐘小視頻我要提問

CISA認證是由信息系統(tǒng)審計與控制協(xié)會（ISACA）頒發(fā)的，針對信息系統(tǒng)審計、控制與安全領域的專業(yè)認證。它表明持證人在評估和審計信息系統(tǒng)的安全性、可靠性和有效性方面具備專業(yè)知識和技能。CISA 認證在信息技術和審計領域具有較高的認可度。

中文名CISA信息系統(tǒng)審計師認證
英文名Certified Information Systems Auditor
英文簡稱CISA
頒證機構ISACA（國際信息系統(tǒng)審計與控制協(xié)會）
證書類別IT審計，IT運維，信息安全
同類認證CISM、CRISC

01

做IT 審計，一開始就是通過和被審計公司具體系統(tǒng)或平臺的技術負責人、業(yè)務負責人調(diào)研訪談，去了解被審計公司（項目）的建設背景、需求、目的、實施運行的情況和效果，還有技術實現(xiàn)辦法、功能架構、技術架構、業(yè)務架構、安全架構、部署架構、容災方案這些。

再去看看相關系統(tǒng)或平臺的設計文檔、運行數(shù)據(jù)、日志記錄、功能實現(xiàn)、應急預案等，來評估建設、運行、維保階段費用支出合不合理、有沒有效，還有項目運行安不安全、可不可靠、穩(wěn)不穩(wěn)定、能不能擴展等。

還有抽查一下公司業(yè)務（項目）的全生命周期里相關配套文檔全不全，建設過程有沒有完整的管理控制辦法，運行期間數(shù)據(jù)完不完整、生產(chǎn)數(shù)據(jù)和消費數(shù)據(jù)一不一樣這些。

通過對公司（項目）的調(diào)研數(shù)據(jù)的抽樣整理、問題分析歸納以及必要的穿行測試，總結出核心問題、差異問題和共性問題，_后提出能執(zhí)行的改進建議。

IT審計要做的，大致就是這么些事情。

02

那么，審計的重點，應該放在哪些地方呢？

1）評估業(yè)務流程的復雜程度

首先我們要把與財務相關的業(yè)務流程梳理出來，不同公司（項目）關注的重點不一樣。比如說電商行業(yè)或者零售行業(yè)可能更會關注它的銷售流程；而制造業(yè)的話，相對來說更會關注它的生產(chǎn)流程；在舞弊可能發(fā)生較大的行業(yè)，可能會更為關注采購流程。

對于不同項目，我們先得做基礎的判斷，明確這家公司哪些流程應重點關注，接著針對梳理出的流程清單進一步拆解，評估流程處理過程中是否涉及復雜公式或大量數(shù)據(jù)錄入，哪些是手工處理，哪些是自動化實現(xiàn)，還要和財務審計團隊緊密溝通，了解生成報告過程中對系統(tǒng)的依賴程度，是否依賴自動化控制等。

對于業(yè)務流程的檢查，主要是核查對業(yè)務流程以及費用的控制。

業(yè)務審核清單：

業(yè)務流程在信息系統(tǒng)中的實現(xiàn)情況。
業(yè)務系統(tǒng)對業(yè)務邏輯的支持和遵循程度。
業(yè)務數(shù)據(jù)在系統(tǒng)中的流轉(zhuǎn)和準確性。
業(yè)務系統(tǒng)中關鍵業(yè)務節(jié)點的控制措施。
業(yè)務系統(tǒng)與相關業(yè)務系統(tǒng)的集成和協(xié)同效果。
業(yè)務系統(tǒng)的用戶體驗和對業(yè)務效率的影響。
業(yè)務系統(tǒng)中業(yè)務權限的分配合理性。
業(yè)務操作的痕跡和可追溯性。

費用審核清單：

信息化項目費用預算的合理性。
信息化項目費用支出與預算的對比。
各項費用明細的合規(guī)性。
硬件設備采購價格的合理性。
軟件授權費用的準確性。
服務費用的計費依據(jù)和標準。
費用分攤的合理性。
項目成本控制措施的有效性。
對費用超支或節(jié)約情況的分析。
費用報銷流程的規(guī)范性。

2）評估IT系統(tǒng)的復雜程度

先要了解IT系統(tǒng)是自研還是外購，功能的復雜程度、是否為標準商業(yè)軟件、系統(tǒng)實施和運行的參數(shù)設置復雜與否、上次系統(tǒng)架構或版本重大變更時間、對財務系統(tǒng)影響大小以及變更后運行時長等綜合因素。

對于IT系統(tǒng)的審計，主要是抽樣核查IT系統(tǒng)的完備性以及安全性。

完備性審查清單：

抽樣核查項目依賴的 IT 資產(chǎn)（如數(shù)據(jù)庫、操作系統(tǒng)）及硬件資源（如服務器、網(wǎng)絡/存儲設備等）是否完備且合理有效；
核查核心與用戶數(shù)據(jù)的備份、還原機制、業(yè)務負載、監(jiān)控、容錯、冗余及業(yè)務持續(xù)服務能力支撐是否具備；
核查研發(fā)、測試、運維、發(fā)布等環(huán)境在隔離、權責、安全、可靠性與穩(wěn)定性等方面的管理是否完整有效；
核查業(yè)務生產(chǎn)與監(jiān)控等數(shù)據(jù)在產(chǎn)生、傳輸、歸檔、銷毀全流程的管理和運維是否可審計、可追溯；
核查項目建設與管理的規(guī)章制度及人員建設，以防因 IT 管理制度與人員管理問題影響業(yè)務發(fā)展或造成不必要損害。

安全性審查清單：

所依賴軟硬件的供應鏈安全

檢查信息化項目依賴的系統(tǒng)、軟件、中間件、硬件、單片機、數(shù)據(jù)庫、網(wǎng)絡設備、傳感設備、核心部件等關鍵資源的供應商、型號、版本信息。
檢查是否有產(chǎn)品授權、知識產(chǎn)權、開源協(xié)議、他國出口管制技術等限制。
確認產(chǎn)品服務商的服務協(xié)議、內(nèi)容及管理辦法是否符合供應鏈安全防護要求。

所依賴環(huán)境的信息安全