DOMAIN 1  Auditors role Facilitator

Chapter 1: Risk Assessment   Success factor Involvement of the 

 Risk = Probability x Impact  management in control 
 Vulnerability  monitoring  
 Threat   
 Steps   Traditional approach: primary responsibility on analyzing and 
o Identify critical assets/processes  reporting on internal control and risk is assigned with the auditors 
o Identify relevant risks (vulnerability/threat)   CSA approach: staff at all level are responsible for primary 
o Do impact analysis (qualitative/quantitative)  controls and risk analysis  
o Risk prioritization   
o Risk treatment  Chapter 5: Sampling 
 Inherent Risk: risk that an activity would pose if no controls/other    
mitigating factors were in place  Statistical sampling Non‐statistical sampling
 Residual Risk: Risk that remains after controls are taken into  Objective Subjective 
account (the net risk or risk after controls)  Non‐judgmental sampling Judgmental sampling
 Detection Risk: Risk that auditors fail to detect a material  Probability of error can be  Cannot be objectively quantified
misstatement in the FS  objectively quantified 
 Control risk: risk that a misstatement could occur but may not be  Each item has equal change of  Sampling depends upon judgment 
detected and corrected or prevented by entity’s internal control  selection  of auditor 
mechanism.    
 Audit Risk= Inherent Risk x Control Risk x Detection Risk  Attribute Sampling Variable Sampling
 Risk Mitigation/Risk Reduction  Simplest kind. Sample some  Contains more information than 
 Risk avoidance  number of items and classify each  attribute data. Allows us to 
 Risk acceptance  item as either having some  understand how much, how bad, 
 Risk Transfer  attribute  how good (vs yes its compiled like 
  attribute) 
Chapter 2: Audit Charter  compliance testing  Substantive testing
 Approved by top management  Expressed in percentage Expressed in monetary values, 
 Authority and responsibility of audit function  weight, or other measures 
 Defines roles and responsibilities of audit function  Answers “how many?” Answers “how much?”
 Static document, only changed if justified   
 Does not include audit planning/expenses/routine activities  Stop or Go Sampling: used when auditors believes that very few errors will 
  be found. Prevents excessive sampling by allowing an audit test to be 
Chapter 3: Compliance and Substantive Testing  stopped at the earliest possible moment. 
Compliance Testing  Substantive Testing   
Involves verification of process  Involves verification of data or  Discovery Sampling: used when objective of audit is to discover fraud or 
transactions  other irregulatories. 
Compliance testing checks for the  Substantive testing checks for   
presence of controls  completeness, accuracy, and  Confidence co‐efficient: probability that sample are true representation of 
validity of the data  the population. To have high confidence correlation, you need to select high 
Attribute sampling  Variable testing  sample size or in other way, if you select high sample size your confidence 
  co‐relation will be high.  
   
Control Self‐Assessment  Chapter 6: Data Analytics and CAAT 
 compliance testing performed first, then substantive testing  Usage of Data Analytics: 
 outcome/result of compliance testing drives substantive testing.    To determine effectiveness of existing controls 
 compliance testing = attribute sampling (control is present or    To identiy process lapses and areas of imporvements 
absent)    To identify areas of fraud 
 substantive testing = variable sampling    To evaluate data quality and identiy areas with poor dat quality 
    To assess risk and plan audit activities 
Chapter 4: Control Self Assessment (CSA)    Effective for an IS auditor in planning and fieldwork phases 
   
 CSA allows managers/work team directly involved in BUs,  Process of Data Analytic  
functions, or processes to assess organization's risk management    Determine objectives and scope of analytics 
and control processes    Requirement gathering and obtaining data 
     Determine sufficiency and reliability of data 
  Execute the test by running scripts/performing analytical tests 
Objectives of CISA  ‐Leverage IA function by 
Results/conclusions of the test to be documented 
shifting some of the control 
Review of results/conclusion by a qualified person 
monitoring responsibilities to 
Retain results such as scripts, files, macro programs, and data files 
the functional areas 
 
‐to concentrate on areas of 
Computer Assisted Audit Techniques (CAAT) 
high risk 
  Helps auditor to capture and analyze data during the aduit 
‐to enhance audit 
  Ensures auditor’s independence while capturing relevant data 
responsibilities (Not 
  Provides reliability for source of info 
replacement) 
  Examples: Generalized Audit Software (GAS), utility software,  
Benefits of CSA  ‐early detection of risk
  Debugging and scanning software, test data, application software  
‐more effective and improved 
  Tracing and mapping, and expert systems.  
internal controls 
  Helps in effective and efficient detection of exceptions or 
‐assurance provided to 
irregularities 
stakeholder customers 
Disadvantage of CSA  Mistaken as audit function 
replacement  
  Used to: test details of transactions and balances, analytical  and archives. Logs to be maintained and 
review, compliance tests of IS general and application controls, penetration  monitored for changes 
testing and application security testing   Process to be placed to determine 
  messaged are only from authrorized 
Precaution while using CAATS:  parties/transmissions are properly 
  To ensure integrity of imported data by safeguarding their  authorized.  
authencity, integrity, and confidentiality   Availability of direct tramission channels 
  Obtain approval for installing CAAT software  amon parties to reduce risk of wiretapping 
  Obtain read only access when using CAAT on production data   Use of appropriate encryption technieqe for 
  Edit/modification should be applied to copies of production files  data protection.  
in a controlled environment to ensure integrity of production data   Use of electornic signatures to identity 
  source/destination.  
Continuous auditing: audit conducted in real time or near real time   Use of message authentication codes to 
environment in a shorter time frame than traditional audit approach. Should  ensure that what is sent is received.  
be independent of continuous monitoring activities.    Use of methods such as bath total, run to 
  run total and functional acknowledgment 
Continuous Monitoring: continuous observation of any process/system/data.  for positiove assurance that transmission 
    have been completed.  
 Continuous assurance: established if both continuous monitoring and   Trading partner agreement should define 
auditing are in place.   business terms and conditions associated 
  with the transactions.  
Continous auditing is the predecessor for adoption of continuous monitoring    
process. Techniques used in continuous auditing is handed over to prcess   
owners for continuous moniotiring.    
   
Chapter 7: Electrionic Data Interchnage (EDI)   
 EDI is electronic transmission of transations (info) between 2   
organizaitons.    
 Promotes more efficient paperless environment.    
 EDI system software includes transmission, translation and   
storage of transactions intiaited by/destined for application   
processing.    
 Set up can be either tradition EDI (batch transmission within each   
trading partner computers) or web based EDI (access through   
Internet Service Provider)   
 Traditional EDI Process:   
o Communications handler: involves process for   
transmitting and recieibn electronic documents   
between trading partners via dedicated channels.    
o EDI interface: involves interface between application   
system and communication handler.   
 2 components to INTERFACE: 1) EDI   
translation: translate data between the   
standard format and trading partner’s   
format. 2). Application interface: moves   
electronic transactions to or from the 
application systems.  
 EDI interface performs: functional 
acknowledgment, validate the partner’s 
identity, and validity of transactions 
o Application system: processes the data sent to, or 
received from the trading partner.  
o Risks involved in EDI Transactions: 
 Transaction authorization 
 Due to electronic interactions, no inherent 
authentication occurs.  
 In absence of trading partner agreement, 
there could be unvertainity related to 
specific legal liability 
 Any performance related issues to EDI apps 
coul have negative impact on both parties.  
 Unauthorized access, data integrity and 
confidentiality, loss or duplication of EDI 
transactions.  
o Controls for EDI transactions: 
 Appropriate control to ensure integrity of 
message format/content to avoid 
transmission errors 
 Appropriate control at receiving 
organization to validate reasonableness of 
messages received.  
 Appropriate controls established to ensure 
data integrity in active transactions, files