CISA考试复习：控制自我评估与风险管理

"CISA中文试题2008.doc 是一份关于CISA（Certified Information Systems Auditor）认证考试的练习题集，旨在帮助考生通过多做题来熟悉考试内容。试题涉及审计师在控制自我评估项目中的角色、用户行为的责任追溯、基于风险审计的计划步骤、审计痕迹的目的、程序陷门风险、信息系统审计的初始步骤以及审计过程中的各种风险类型。" CISA考试主要测试考生在信息系统的审计、控制和安全方面的知识和技能。以下是相关知识点的详细说明： 1. **控制自我评估**：在企业内部，审计师在控制自我评估项目中应扮演推动者的角色，协助项目推进，而非直接领导或监督，以避免利益冲突。 2. **责任追溯**：为了正确记录和追溯用户行为的责任，识别和认证机制至关重要，确保每个操作都能与特定用户关联。 3. **基于风险的审计规划**：在制定审计计划时，识别高风险区域是最关键的步骤，因为它能帮助审计师集中资源于最可能存在问题的领域。 4. **审计痕迹**：审计痕迹的主要目的是建立业务交易处理的责任链，作为职责分离不足的补偿措施，以证明交易的完整性和准确性。 5. **程序陷门风险**：程序中存在的陷门属于固有风险，即在业务流程或系统设计阶段就存在的风险，不是通过审计过程可以消除的。 6. **信息系统审计**：审计师在开始审计时，首先要理解公司的业务重点，这有助于后续的风险评估和审计计划制定。 7. **检查风险**：审计师使用不充分的测试步骤可能导致未能发现重要错误，这属于检查风险，即审计过程中未发现错误的可能性。 8. **连续审计的优点**：实施连续审计能够实时监控和分析系统，及时发现异常，提高审计效率，尤其是对于大量交易处理的情况，可以增强系统安全。 这些知识点体现了CISA考试的核心内容，包括审计策略、风险管理、内部控制和业务连续性等方面，是信息系统审计专业人士需要掌握的关键概念。通过练习这些题目，考生可以提升对这些概念的理解和应用能力。