1、区分何时执行符合性测试和实质性测试?符合性测试（执行情况）验证控制的执行是否符合管理政策和规程验证真实的控制同审计师评价中所理解的方式相一致，判断控制是否在起作用测试一个既定流程的存在及其效果实质性测试（准确性）正式实际处理的完整性，验证财务报表数据及相关交易的有效性和完整性测试组织中直接影响财务报表平衡或其他相关数据的金额错误确定磁带库存货记录是否准确抽样执行：用户访问权限、程序变更控制基于对账户和交易的抽样来正式复杂计算的结流程、文件流程、编程文档、例外跟踪、果xx检查、软件xx2、给定场景下，确定哪一种证据收集技术是最好的。

收集证据的技术1)评价组织结构及其所提供的控制水平：采用分布式协作处理或最终用户计算方式，其IS职能的组织形式与传统的、具有独立的系统和运营部门的IS组织有所不同。

2)检查IS政策和程序：检查是否已建立适当的政策和规程，确定员工是否了解施行中的政策和规程、以及对这些政策和规程的遵循性。

验证管理层是否负责规划、制定、行文、发布和控制涵盖了总体目标与仿真的政策。

应当对政策和规程的适当性进行定期审查。

3)检查标准：了解组织中正式施行的标准4)检查IS文档：了解组织中存在的文件（硬拷贝形式、电子存档格式等），如为电子存档的要评价对文件完整性的保护——查明文件的最低水平。

5)访谈适当的人员：事先安排并确定明确的目标，按照预定的提纲进行并做好访谈记录。

收集审计证据的程序包括（调查、观察、检查、确认、演示和监控）。

6)观察工作流程和员工表现。

可考虑文件化的证据是否可作为有用证据，如照片等。

3、各种类型的抽样技术及其适用情况抽样方法统计抽样：采用客观的方法来确定样本量和样本抽取标准。

利用统计抽样，审计师可以量化描述样本与总体的接近程度以及用百分数表示的样本能够代表总体的概念。

非统计抽样（判断抽样）：采用审计师判断来确定抽样方法、样本量及抽样标准。

抽样结果基于审计师对抽样事项或交易的重要性及风险的主管判断属性抽样属性抽样：利用估计总体中某种特性的发生比率的抽样方法，属性抽样回答“有多少”的问题变量抽样分层单位平均估计抽样：先对总体进行分层，然后从不同层分别抽取样本的统计抽样。

相对于不分层单位平均估计抽样，其样本量较小。

不分层单位平均估计抽样：用样本均值来估计总体的统计抽样。

停-走抽样：允许审计测试尽可能在早期停止以防止过度抽样的抽样方法。

停-走抽样用于审计师相信总体中只存在少量错误的情况发现抽样：可用在预期错误发生率非常低的情况下的抽样方法。

常用于审计目标是发现舞弊、违反法规或其他非法行为时。

差额估计：根据样本差额来估计审计价值与账面价值之间的总体差额。

4、熟悉ISACA信息系统审计准则“审计工作执行”（S6）和IS审计指南“使用其他审计师的工作成果”（G1），重点关注对其他审计师或专家的工作成果的访问权限。

考虑关于使用其他审计师和专家服务的内容：法律、法规对审计或安全服务外包的限制审计章程或合同约定对整体或特定IS审计目标的影响对IS审计风险和职业责任的影响其他审计师和专家的独立性、客观性职业胜任能力、资格和经验计划外包的工作范围监督和审计管理控制审计工作成果的沟通方法和形式符合法律、法规的要求符合适用的职业准则要求根据工作性质不同，还应特别考虑以下内容推荐信、介绍人或xx调查对系统、工作场所和记录的访问保护客户信息机密性的限制外部审计服务提供商所使用的计算机辅助审计技术和其他工具工作履行和文档方面的标准和方法保密协议审计师应当负责管理外部服务以：使用正式的审计委托书来清晰的沟通审计目标、范围和方法、制定监督流程定期检查外部服务提供商的工作，包括：计划、监督、检查和文档。

评估外部服务报告的可用性及适当性，评估重大发现对整体审计目标的影响。

5、熟悉ISACA审计准则S7“审计报告”和S8“追踪审计”审计报告通常具有以下结构和内容报告提要，说明审计目标、范围和限制、审计期间、对审计中所执行审计程序和测试的性质及范围的总体说明、对IS审计方法和指导的说明。

分章描述审计发现，章节第二章IT治理知识点：1、IT战略、政策、标准和规程对组织的意义及各自的基本内容；2、IT治理框架3、IT战略、政策、标准和规程的制定、实施及维护流程，如：信息资产保护、业务持续和灾难恢复、系统和基础设施生命周期管理、IT 服务交付与支持等；4、质量管理战略和政策5、与IT管理及使用相关的组织结构、角色和职责；6、国际公认的IT标准和指南7、在制定长期战略方针方面的企业IT架构及其实施8、风险管理技术和工具9、控制框架的使用，如Cobit，COSO，ISO17799等10、成熟度和流程改进模型的使用，如：能力成熟度模型（CMM）、COBIT等；11、合同战略、流程和合同管理实务12、IT绩效监督和报告实务，如：平衡计分卡、关键绩效指标13、相关法律、法规问题，如：隐私、知识产权、公司治理要求等；14、IT人力资源管理15、IT资源投资和分配实务，如：项目组合管理、投资回报（ROI）等公司治理力求在两个冲突目标间达到平衡：一方面利用机会增加各利益相关方的价值，另一方面是保持组织运营符合法规和社会责任的要求。

IT治理在根本上关注以下两方面的问题：IT向业务交付价值和IT风险得到管理。

IT治理由于以下因素变得更加重要：董事会和业务管理人员期望IT投资有更好的回报（如：IT交付了业务所需要的来增加利益相关方价值）。

对普遍持续增加的IT费用的关注。

IT控制应满足法律要求的需要。

服务提供商的选择，对服务外包和采购的管理。

更加复杂的IT风险。

IT治理工作采用框架控制和最佳实践来帮助监督和改善关键IT活动，以降低业务风险，增加业务价值。

尽可能采用标准化而非特别订制的方法来优化成本的需要。

提升成熟度和公认框架的认可度企业评估采用标准和基准的需求6、指导委员会职责分析表IT指导委员会的职责，指导委员会是干活的，包括分配资源、监督执行、沟通目标、承担责任等。

决定IT开销的整体水平以及如何分配调整和批准企业IT架构批准项目计划和预算、设定优先级和里程碑获取并分配适当的资源确保项目满足业务需求，包括对业务模式的再评估监督项目执行，确保在预算内及时交付预期价值和既定产出监督IT职能与企业各部门及各项目间的资源冲突和优先级冲突对调整战略计划提出建议和要求（优先级、资金、技术方法和资源等）与项目团队沟通战略目标管理层IT治理职责的主要承担者权力：协助执行层实现IT战略；监督IT服务交付及IT项目的日常管理；关注实施；成员包括：公司管理者、业务管理者、首席信息官、所需关键顾问。

IT战略委员会在下述方面向董事会提供见解和建议：从业务角度的IT发展方向；IT与业务方针的一致性符合战略目标的IT资源、技能及基础设施的可用性优化IT成本，包括外部IT资源的角色和价值交付IT投资的风险、回报和竞争力重要IT项目的进展IT对业务的贡献（如交付预期业务价值）IT风险承受能力，包括合规性风险IT风险减缓在IT战略方面向管理层提供指导推动董事会的IT事务权力：向董事会和管理层提供IT战略方面的建议；代表董事会起草战略并提交审批；关注当前和未来的IT战略问题成员：董事会成员和非董事会成员的专家7、IT平衡记分卡三层结构来描述四个方面的问题：使命，例如成为首选的信息系统供应商经济有效的交付IT应用系统和服务IT投资能获得一个合理的业务回报抓住机遇应对未来挑战战略开发良好的应用系统与运营建立用户伙伴关系和良好的客户服务提高服务水平，优化价格结构控制IT费用为IT项目赋予业务价值提供新的业务能力培训和教育IT职员，追求xx为研究和开发提供支持措施提供一套稳定的指标（如KPI）来指导面向业务的IT决策信息安全治理由领导关系、组织结构和保护信息的流程组成。

在控制环境下，把信息作为资产的前提没有任何改变，所改变的只是用来收集、处理和存储信息的平台和仓库。

管理人员已认识到信息安全治理带来的一系列收益：关注对于组织及管理者正在增加的风险提供对政策和标准的符合性保证通过降低风险至既定的可接受水平，减少业务运营的不确定性，提高可预见性为有限的安全资源的最优化分配提供结构和框架为不基于错误信息做出关键决策提供适当水平的保证为风险管理、流程改善和事件快速响应的效果与效率提供一个稳定的基础明确重大业务活动期间的信息保护责任。

信息安全治理的成果战略一致风险管理价值交付绩效衡量资源管理流程整合治理框架：在本质上与业务目标相衔接的全面的安全战略；治理关注战略、控制和法规每个方面的安全政策；确保程序和指南能与政策保持一致的一整套标准；不存在利益冲突的一套有效的安全组织架构；对符合性进行监督并能反馈其效果的制度化的监督流程。

11/ 11。