CIA基础概念汇总.docx

1、CIA基础概念汇总CIA基础概念汇总CIA考试涉及到的部分概总结1、有限总体修正因子，可使精确度间隔变小，对可靠度不产生影响。3、精确度：总体特征估计值落入的范围，可用来衡量准确性4、标准差：衡量样本变化度5、控制测试即合规性测试、符合性测试，实质性测试即讨论目标是否完成输入/出控制，校验位是输入控制的例子处理控制逻辑安全控制：限制对特定数据和资源的访问组织控制：促进政策实施的控制；提高效率，促进遵守信息保护政策属于组织控制针对控制的为符合性测试统计过程控制对经营活动及内部控制过程的控制，不适合大项目，对项目的控制主要有项目评审、关键路径、甘特图控制环境：诚实道德价值、权限分配、人力资源政策、

2、管理理念和经营风格、组织架构、员工胜任能力质量控制贯穿整个过程属于文化变革；质量控制圈即质量控制团队，质量周期，5-10人定期会面的小组，不同层次员工参与，集思广益政策和程序是事前控制手段，用以指导日常经营活动和个人行为适当监督、内外部检查反馈保证审计部门工作效果检查完工产品是反馈控制6、决策理论：比率分析分析成本与效益；回收列表评估单一决策；排队即成本最低；决策树即决策的后果、概率及量化结果。决策过程：认识现实与期望差距问题可接受的风险水平解决方案选择方案实施、评估PERT中，第一个速成的活动是关键路径上单位加速成本最低的活动速成活动：关键路径上加速完成时间的活动7、EDI审计：供应商运营的

3、独立检查，核实合同的必要条款8、时间序列：趋势、周期性、季节性、不规则性9、直方图：完成任务所需时间和先后关系，记录现象发生的频率分布。显示标准的正态分布曲线相背离的程度因果（鱼骨）图：发现问题的原因散点图：一种现象随另一种现象出现的情况运行图：系统的运行模式控制图：关键控制点，实际与计划状态比较流程图：流程图不涉及时间10、内部控制自我评估更有效的情况是对目的控制进行评估；成功实施内部控制自我评估的关键是推荐其好处11、C图：控制图，每项的缺陷P图：依属性立，反映样本中有缺陷的百分比R图：变量散布范围（列出总体事项以供分析）某图：变量样本均值CIA考试涉及到的部分概总结12、审计观察的情况（

4、条件）：对客观事实的描述审计观察的影响（效果）13、神经网络：不是开发方法原型法：需求定实验模型、启发用户修改、改进；强调用户参与，根据用户需求和评价设计修改，减少错误。用户需要定义需求、反复评价、提炼需求、就提炼的需求进行沟通（需求难以事前确定，或过程发生重大变化）。实施时，不需水量开发成本，对现有系统反应，而不是在未来想要的特征。组织结构图：垂直等级，水平分工生命周期法：需求确定不变，结构化且用户任务达成一致时采用，便于管控；它适应于用户对任务高度理解，项目范围大应急开发：需求不确定，非结构化（即变化中）业务流程再造：分析现在系统，重新设计焦点群：更传统14、可容忍差错率和样本误差越小，抽

5、样风险越小，另外，样本误差小于可容忍差错率15、数据问询模型、连续审计涉及完整性；整体（综合）测试涉及准确性16、标准（应该如何）条件（实际如何事实证据）原因（为何有差异）结果（差异的影响）17、置信区间=样本的推断值+-（可靠程度系数某估计标准离差/样本量的平方根）18、样本平均额=样本总金额/样本数估计总金额=样本平均额某总量最小值=估计总金额-精确度最大值=估计总金额+精确度19、总体：估计具有一些特征的项目20、样本：代表抽样总体的特征，能从样本属性推断出总体的属性21、发现抽样：用于发现舞弊或违规，发现一个情况即停止停-走抽样：达到目标差错率时，即停止抽样，是属性抽样的分支变量抽样：

6、针对金额、数量抽样，有三种类型：每单位平均值估计法、差额估计、比率估计变量抽样考虑精确度、标准离差、可接受风险水平单个个体货币数量离散性影响样本量每单位均值抽样属性抽样：通过确认样本属性，推断总体属性，发现是其一，回答是否来定性。属性抽样可以得出有关总体中的例外情况，预期情况发生率的结论。考虑置信水平、精确度、发生的概率，不对货币的余额进行估计差额估计抽样：确定账面与审定值存在大量不成比例的差异，用来预计总体的错误金额置信水平：是指错误判断落于特定范围的概率；置信水平下降，样本规模变小货币抽样不能发现大量的项目的错误判断抽样的主要局限在于不能计算抽样风险22、23、分析性审计即实质性测试，量化

7、比较法，包括预算比较24、电子商务安全：交易团体标识、谁有权定交易、支付数据确认CIA考试涉及到的部分概总结25、证据：佐证证据、主观证据（意见导向型）、附属证据、间接证据传闻证据是口头或非口头的直接证据是法律证据的代表，最佳证据即直接证据旁证：口头的陈述或不能直接引用的证据证人交叉询问属于传闻证据照片属于传闻证据传闻证据属于二手证据（证人以外的证据）口头证据不能质疑书面证据法律证据更多依据口头，审计证据更多依赖书面26、样本量增加的倍数是抽样结果精确度提高倍数的平方预计错误率下降，样本量变小样本量被用于评价实际发生率，进而推断出总体属性，与评价结论有关。试点样本技术能用于估计抽样计划的标准离

8、差（试点样本经常被用于估计变动程度，即标准离差）27、职能性：同一技术领域履行相似职能的组织的比较28、产品创新不成为持续业绩测评的指标29、经营过程检查BPR评估管理和财务过程的绩效水平30、少量差异时，可使用货币单位抽样；大量差异时用比例估计31、统计处理控制技术：接受抽样、质量控制图、持续监督和不断反馈32、证实：对已实施的程序结果进行检查观察：发现实物过程，对存在性更有利分析：解释为什么评估：衡量已收到信息33、经营杠杆系数=（销售收入-变动成本）/（销售收入-变动成本-固定成本）=毛利/利润期末存货=期初存货+采购-销售盈亏销售量=固定成本/（单价某边际贡献率）销售收入=（固定成本+

9、利润）/边际贡献率毛利=收入-成本单价=单位变动成本/（1-边际贡献率）边际贡献=收入-变动成本边际贡献率=1-单位变动成本/单价质量成本指数=全面质量成本/销售金额（质量总成本包括预防、检查、弥补的成本）盈亏作业率+安全边际率=1净资产回报率=资产回报率某权益乘数=资产回报率某（1+负债/权益）成本预算=本月成本-上月库存成本+预备下月成本PERT期望时间=（乐观时间+悲观时间+4可能时间）/6PERT标准差=（悲观时间-乐观时间）/6赢利能力指数=现金流动现值/现金支出贡献毛益率=贡献毛益总额（销售收入-变动成本）/销售总收入EOQ（经济定货批量）=（2某年需求量某订购成本/持有成本）的平

10、方根（EOQ能最小化订购成本和库存成本，相对错误不敏感）。EOQ使用微积分方法订购成本=年需求量/经济定货批量某订购成本CIA考试涉及到的部分概总结持有成本=经济定货批/2某每单位持有成本+安全存货成本权益报酬率高，资产报酬率低，负债越高实际利率=名义利率/（1-补偿余额比率）CPI=当期价格/基期价格（通胀）安全边际=正常销售-盈亏平衡销售盈亏平衡点作业率=盈亏平衡点销售/正常销售经营现金=应收-应付+（期末现金-期初现金）股利分配率=每股现金股利/每股收益额某100%带息票据贴现要将本息合计某贴现率某期限应收账款周转天数=营业周期-存货周转天数重新订货点=年度需求量/生产天数某到货间隔天数

11、+安全存货净资产收益率=净利润/平均资产资本收益率=净利润/平均所有者权益总资产报酬率=息税前利润/平均资产主营业务利润率=主营业务利润/主营业务收入净额（收入-折扣（折让）销售净利率=净利润/销售收入毛利率=毛利润（销售收入-销售成本，不含销售费用）/销售收入普通股每股收益=净利-优先股股利/年末普通股股数=普通股每股股利/股利支付率市盈率=普股每股市值/普股每股收益流动比=流动资产/流动负债速动比=速动资产（流动资产-存货）/流动负债营运资金=流动资产-流动负债资产负债率=总负债/总资产产权比率=总负债/所有者权益所有者权益比率=所有者权益总额/资产总额权益乘数=1/所有者权益比率=资产总

12、额/所有者权益总额利息保障倍数=（税前利润+利息费用）/利息费用应收账款周转率=销售收入/平均应收账款应收账款周转天数=计算期天数/应收账款周转率存货周转天率=销售成本/存货平均余额流动资产周转天数=销售收入净额/平均流动资产固定资产周转天数=销售收入净额/平均固定资产经营现金流量比率=经营现金净流量/流动负债盈余现金保障倍数=经营现金净流量/净利润每股现金流量=经营现金净流量-优先股股利/流通在外普通股股数资本保值增值率=年末所有者权益/年初所有者权益资本积累率=本年所有者权益增长额/年初所有者权益资产增长率=资产增长额/年初资产额营业收入=本年营业收入增长额/上年营业收入三年销售收入平均增

13、长率=销售收入-三年前销售收入/3三年资本平均增长率=年末所有者权益-三年前所有者权益/3贴现系数=现值（流出）/流入，即净现值为0的资本成本材料数量差异=（实际数量-标准数量）某标准价格，其中标准数量=实际生产量某标准CIA考试涉及到的部分概总结用数量利润=安全边际率某边际贡献率某正常销售额放弃折扣的机会成本=折扣率/（1-折扣率）某360/（无折扣日-折扣日）总杠杆=财务杠杆某经营杠杆34、预防成本：设计复核、过程策划、生产工人培训、定时设备检修鉴定成本：检查、测试（人工）、测试系统内部失败成本：返工的人工制造费、故障设备修理、废料外部失败成本：瑕疵退货、更换运费、保修材料、产品责任索赔；

14、担保成本是外部失败成本的例子可变成本：成本为分摊基数业务成本：作业流程为分摊基数机会成本=重置成本（备选方案的未来成本，与决策相关）生产和销售成本不是质量管理的要点边际成本=总成本函数求导35、定价目的：生存、利润、市场、质量撇脂定价战略：高价引入新产品价格渗透战略：更多产品意味更少成本；经理人可选择最大化收益荼得最高市场渗透率最广泛的定价政策是加价法，即价格=平均可变成本+管理费用+边际利润，公司产品质量较高时，可制定比对平时更高的价格现金流因定价困难已鲜用不同客户不同加价，属于价格歧视成本基础定价：目标回报单位成本+要求利润标准加价定价：利润目标确定的标准加价销售税率变化不是改变价格的原因

15、成本加成定价的缺陷是忽略需求在无专利权保护的情况下，公司以扩大市场份额为目的的定价利润最大化价格通过考察收益和成本如何随价格变化而得高峰期：完全分配成本与定价相关36、有效市场理论认为股价充分反映代表的信息37、高利润率降低融资需求38、剩余收入强调超过最低报酬率的收入的绝对金额ROI报酬率（当净现值为0时的贴现值对应的报酬率）净现值法可得到企业的价值，净现值为正，企业价值和股价会增加39、联产品的价值在当期确认，投入生产，作为成本的减项，不单列41、完成项目最短的时间是最长的路径项目：是有计划的任务，贯穿项目周期紧前活动：直接前项42、运行部门负责日常运行维护，帮助平台的设立43、弹性生产系

16、统适时生产系统44、软件高级开发包括专家系统、人工智能45、COBIT：IT治理工具（信息及IT风险、利益），负责IT的安全和控制；以业务流程定，遵循业务再造原则；CIA考试涉及到的部分概总结COBIT控制不包括程序COBIT包括政策、规程、实务和组织的结构COBIT：IT资源包括数据、系统、技术、设备和人员46、分配系统访问权、数据所有权、信息安全教育：安全主管47、RSA非对称加密算法DES对称加密算法密码锁：序列密码算法MODEN：模拟数字转换方法回拨特性可防假终端48、MRP-II使用一个主产品计划系统资产管理包括对营业周期的管理49、实现客户机/服务器结构，通常可以缩短开发、维护应用

17、软件的时间50、相关数据库即关系型数据库，不会降低安全性，为表格形式，可在大量数据中获取查询资源层级数据库为树型结构，存储数据，即父子数据库结构包括：分层、关系、网络数据库管理系统可被看做是数据物理存储区的大门，设计和控制了整个企业数据资源生命周期中所有全部数据数据库管理员的职能为定义重构数据库51、客户关系管理属前端功能存货、人力、采购属后端功能52、CDROM：固定信息，一次模压成型53、快照、复制、分段，分布到多个服务器54、多路复用器信道共享设备55、目标代码：二进制源代码：易窃和修改解释语言循环冗余检验：发送中有无改变、完整性56、对等：无计算机、文件服务器，而由一系列微机完成57、

18、直接存取文件索引顺序文件顺序文件文本文件58、连接：利用同元素表格合并合并：相同的格式映射：数据库的部分字段构成新子表指向：不同数据元素建立关联59、布尔逻辑：航班跑道分配神经网络：预测备用件需求模糊逻辑：条件不定下结相对优的选择专家系统：诊断故障60、风险水平不变，斜率不变，不旋转；无风险利率上升，截距上升，上移61、循环库存：供应链规模经济62、平衡计分卡：财务、客户关系、内部流程、学习与成长，其中，后三项为领先变量CIA考试涉及到的部分概总结63、特质与工作绩效无关绩效可以以行为、结果、目标为导向64、期权的行权价格看涨期权（买方期权，买权，延买期权），资产价格下降，即贬值，有权销售，购

19、看跌期权，（卖权选择，卖方期权，卖权延续）；两者均不负买入、卖出的义务65、作业法下部件数量为成本分摊依据直接分摊法服务/总量（固定、常规生产能力）顺序分摊法服务层次，从上向下摊（生产）交叉分摊法（互惠式分摊法）服务成本先分摊至服务部门，再分摊至生产部门，线性代数分摊分步法下：总成本/产品数量=单位成本，部门某成本，用于制造标准化产品的公司，产品售不同的客户分批法下：按批定单累计直接法下：辅助生产部门不互相分配费用/直接逐级向下66、成本中心（对成本控制并负责）利润中心（对收入、成本控制并负责）投资中心（对收入、成本，投资控制并负责）收入中心：对销售负责67、项目评估复核，对时间工作进行安排，

20、抓关键、分资源、防止配合瓶颈68、信息系统：成本、效益、安全、可用信息系统要为组织目标服务，应先确定系统的商业用途，并在此基础上评估信息系统的风险。69、通讯协议论是约定数据如何打包、解释、通讯的记录：字段按逻辑排列，文件：是记录的组成EUC开发终端计算应用程序，最短满足局部需求。前台终端处理器，替代主机从事网络控制，格式转化，信息处理注册许可针对公众密码认证周期的控制能保证安全快速开发：分模块开发传输失败可造成交易重复、错误码、丢失交易；不可能造成泄密保证传输的正确性：回波检查电子网络：网络控制确定传送重点电子拱顶：数据库抽点打印版本转移数据缓存用以存储大块的逻辑记录；缓冲：弥补输入/出到中

21、央处理器速率商务软件包缺乏灵活性光纤属有界媒体（界质）公开系统转移：可移植性，部件是根据行业标准设计的，部件停运可更换生产程序库，测试库必须分工专用密钥防重创和转换家庭银行最小风险控制：回拨电子询价：公钥有组织问询语言（DML数据操纵语言）实现检查、插入、修改、删除草率、无效的系统风险在于竞争压力下改善功能个人电脑密码主要是阻止非法用软件应用软件数据安全性不能通过通用审计软件职能实现EDI审计线索是网络发送方（接收方）认可CIA考试涉及到的部分概总结安全软件的目标是控制对系统资源的访问平行测试用真实数据，整合测试用虚拟数据操作系统是用来控制一台计算机或一个通信网的一套指示防盗版可通过变动控制程

22、序数据库防御：禁止同时操作而预防并发操作及可能的数据错误及死锁，禁止同时更新数据的程序用EDI电子资金转达账，不可能因为利用与可流通金融工具有关的时间差EDI转换通过增值网链接增强安全性EDI更注重使用系统用户支持、回复时间、持续操作保证EDI价格一致：数量和价格变动的授权设计变更管理程序的目的是对应用系统从测试到生产环境加以控制应用软件安全不能通过应用软件职能实现内部口令加密应用程序阅读包括服务器上所有经授权的访问用户编码的文件应用程序连续使用，恢复系统需保证计划中反映组织结构和操作变化补丁原程序需概括授权开展紧急抢救实体虚拟私人网（virtualprivatenetwork）采用点对点隧道

23、协议不只用一个数据库的风险在于数据完整性难设计实施安全控制措施分为一般措施（软件安装、维护）和应用措施获取资源做复杂质询：替代软件接收处理数据对超文本语言HTML进行转换并允许远程查看：网络浏览只有内网可实现特定机器与外界交流，即VPN访问个人电脑程序的密码用于阻止非法的使用软件有组织的问询语言可以设置进入基础电脑软件系统，而不会给数据库带来风险IFT又称小公司技术，可用实际/虚拟数据网络控制：软件可确定传送重点联合应用程序开发：用户、编程员会合作可行性研究阶段应付平台升级需要进行文件处理无线网络增加了加密传输要求信息系统部门的功能：系统开发、操作、技术支持数据字典更新由数据库管理员完成公开系

24、统转移（专家离职、擅访系统、不遵守安全属于固有风险）停运的替代信息系统应用应综合考虑成本效益、安全性、可用性物理访问（实地访问）生物仿生专家系统使客户服务工作更容易；使质量决策具有一致性、有效性B2C不包含交换和拍卖竞争、成本、信息是电子资金结转系统的特点汇编程序是将汇编（低级语言）转为机器语言翻译器/编译器：是将高级语言转达为机器语言资源系统的目标是共享信息CIA考试涉及到的部分概总结企业资源计划是将所有系统中使用的信息集成SSL可防窃听和会话截断语音黑客：PB某专用分组交换机，MODEM访问数据网，数据黑客窃信息，损害计算机系统CPU的算术逻辑单元（脱机处理、数据缺乏时效性）控制所有数据操

25、作用户验证程序审计：数据终端密码屏蔽引用完整是指一个实体只引用另一个实体CDMA是码分多址，安全，同时使用多个信道、编码每次变化。TDMA扩展频谱，宽频带发送大型集成系统使用生命周期法开发，小型集成系统使用原型法开发对数据文件加密并经常变化口令（一二级钥匙检验不是控制外来偷窃的方法）数据一部分未定义，则数据缺失，交易不完整保证主控记录更新恰当：事前、事后的维护报告用于改进和维护的资源不足不是非网络固有风险持续经营规划程序初期开发投入最为重要数据整合不属于OSI基本应用准则域名规范保持一致编码标准测试能对新系统进行补充管理系统提供决策所需的依据目标定向法即面向对象方法网络管理的关键在于结构。拓扑

26、映像：网络构成要素及联接单一集成信息系统的好处是增加数据可访问性变化控制程序通过保证生产代码得到授权，维持系统的完整性70、时间序列是统计预测的一种方法，以历史定未来排队线性是约束条件下的目标最大化敏感性分析：决策结果上，一个（多个）变化的影响71、属性评价：主观的评价或基于一些不太明确的因素的评价72、学习曲线：积累产量翻倍时，减少时间的比例系统认证是AICPA的信息技术和控制模型73、指数平滑：不同期数据给予不同的权数74、政府转移支付：财政收入通过福利转移至居民政府支出包括政府购买，不计入GDP75、B系数越高，风险越大股票收益业绩评价基准收益76、关键路径法：项目评审法、项目管理技术六

27、西格玛法：质量改进方法，定义、测量、分析、改进、控制，控制阶段不用流程规划CIA考试涉及到的部分概总结图关键路径即按时完成，必须按程序完成77、78、分布式处理系统：是计算机硬件互联、分散处理79、帕累托分析：重要程度分类，选最重要的价值分析：以最小成本取得最优的业绩线性回归分析：已知相关变量，预测一个变量MARKOV：一个机器在一段时间运转，未来依赖于现在，对决策有用。初始状态影响越小，过程越稳定蒙特卡罗模拟：随机变量产生单个数量计划评审项目用于大型、复杂、非常规的项目80、保护性关税可造成生产增加，消费减少边际税率为最后一档收入征收率81、内部非财务指标：产品质量、新产品开发时间、制造周期

28、82、行政上，向首席审计执行官报告，职能上向董事会报告董事会审查并取消CIA资格顾问无需审计背景，应表达专家意见沟通因素对评价部门的独立性时，影响最小基准比较法将公司业绩与最佳业绩组织比较审计工作表：评估风险因素、计划工作量、识别可审计领域；方案应在计划阶段完成。首席风险官作为全面风险管理团队的一员来监督风险最有效管理层和董事会共同批准章程最有效地保证风审不爱管理层政策变化影响初步调查发现重要情况，进一步审计已无必要，及时汇报，提出下一步审计意见，由管理层定如何进行该审计监督审计是质量保证项目，非首席执行官职责审计计划应可考评、可实现内部审计活动的目标、权限和职责应正式与标准一致且经董事会批准

29、的章程界定界定内部审计活动范围、工作安排、人员配备、财务预算等的总结应报管理高层首席审计执行官向组织内足够权限的人负责以促进独立性，外审师非成员，参与系统设计不影响独立性，主要为参谋、提意见的人。合理期间（一年以上）保证独立性持续定期的评估责任应向首审报告政策、程序对指导内审人员日常遵守内审活动，工作标准最根本大型审计：政策相当详细监督外部审计师是董事会或审计委员会的责任，CAE仅负责协调确定风险-优先排序-开展以风险为导向的内部审计活动风险战略不包括风险计量制订审计计划是计划的一部分ISO9000，4000不是产品标准，ISO9000要求组织监控有关作为绩效测量方法的客户满意度信息ISO90

30、01质量系统的优势在于强化软件生命周期的活动，质保和质控的不断改进职务规范包括工作摘要、工作职责、评价方法首席审计执行官对人力管理开发的责任是对制定正式职位说明书负有责任，但不承担管CIA考试涉及到的部分概总结理组织赔偿方案的明确责任协调外部审计师的工作有助于改善总体审计覆盖面，同时将审计工作的重复现象降到最低。在绩效审计计划阶段开展考核工作，审计师确定可比机构在完善管理环境下，内部审计部门向管理人员和管理高层报告审计结果卖方负责信息处理的外购协议不需复核外购协议卖方的软件应用程序应尽勤mian审计又称尽职调查审计内部审计的非审计业务：风险管理在组织范围内推行项目最有效的是面对面会议审计发现的内容包括审计结果、原因、情况说明根据数量进行业绩评估不等于质量管理需求确认阶段：用户接收测试规划标准开发法属于应用程序开发的最宽泛的控制措施供应商审计是供应商认证的第一个关键步骤修订后又维护，需要操作界面在内的整个程序进行检查控制的核心是提供反馈，不因信息技术而摆脱服务层协议（用户与信息管理确保事故