信息系统审计师 发表评论(0) 编辑词条

IT审计师（Certified Information System Auditor，CISA)

　　信息系统审计师是国际注册信息系统审计师的简称，也称为IT审计师，是指获得信息系统审计和控制协会颁发的CISA资格证书的专业人士。他们既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉经济管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造的专业人士。由信息系统审计和控制协会颁发的信息系统审计师资格，现已成为国际信息系统审计、控制与安全专业领域公认的职业资格，也是国际信息系统审计领域唯一的一种职业资格。

　　随着计算机技术在管理中的广泛运用，传统的管理、控制、检查和审计技术都面临着巨大的挑战。在信息技术突飞猛进的网络时代，国际会计公司、专业咨询公司和高级管理顾问都将控制风险、特别是控制计算机环境风险和信息系统运行风险作为现代审计、管理咨询和服务的重点。由于普遍使用大型管理信息系统，几乎所有的大型跨国公司，都非常重视对信息系统安全和稳定性的控制，常常高薪聘请IT审计师进行内部审计。在网络经济迅猛发展的今天，IT审计师已被公认为全世界范围内非常抢手的高级人才。

　　一、信息系统审计师首先要关注信息安全。采用各种方法来测试系统的安全性，并对来自内部和外部的安全隐患提出相应对策。

　　二、信息系统审计师还要关注信息系统的稳定性。会提出一系列对策保证客户信息系统的万无一失。

　　三、信息系统审计师最擅长鉴别信息系统的有效性。最安全和最稳定的系统不一定是最有效的系统，而效率不高的系统就会消耗企业大量的资源，信息系统审计师的优势就是对财经管理和信息技术融会贯通，为企业信息系统的改造提供建议。

　　为了有效地实施信息系统审计，作为一个IT审计师，应具备待审计对象所要求的业务知识和丰富的信息系统开发经验。

　　一、知识方面的要求如下：

　　1、信息系统计划、开发和运营相关的知识：

• 信息系统构成相关的知识；

• 信息化战略、构想、提案、立项等相关的知识；

• 系统设计、程序设计、软件测试等相关知识；

• 系统操作、数据管理等相关知识；

　　2、信息系统审计实施相关的知识：

• 信息安全相关的知识；

• 经营管理方面的相关知识；

• 业务对象相关知识；

• 相关法律和法规；

　　二、能力方面的要求如下：

• 系统审计的相关能力；

• 审计的立项、分析、评价相关的能力；

• 信息收集、审核、审计方法掌握、技巧运用方面的能力；

• 审计报告制作能力；

　　IT审计师必须具备全面的计算机软硬件知识，对计算机网络和信息系统的安全性具有高度而特殊的敏感意识，而且对财务会计和企业内部控制具有深刻的理解能力，要懂管理、懂经济、懂审计、懂计算机、懂内部控制、懂网络技术，既是审计专家，又是信息系统专家，以对计算机信息系统及软硬件的技术性审计来保证计算机审计质量的可靠性。

　　一、软件供应商，特别是经济管理类的集成软件供应商。他们需要信息系统审计师参与产品设计、规划和检测，对客户现有信息系统进行评价，提出改造设想。目前全球所有重要的ERP和CRM产品供应商都聘请大量信息系统审计师。

　　二、管理咨询机构。20世纪90年代以后，国际管理咨询的重点已经逐步发展成为客户提供一揽子解决方案，其中信息系统的配置是解决方案获得成功的基础。因此，目前国际知名的管理咨询机构中，有50%以上的员工熟悉信息技术，其中20%拥有信息系统审计师资格。

　　三、会计师事务所。会计师事务所也是信息系统审计师最早的落脚点。目前国际会计公司超过30%的收入来自于风险管理部门，而该部门最主要的工作就是监控客户的信息系统风险和运营风险，并为客户提供ERP或CRM的安装、维护和培训。另外，目前会计师事务所中传统财务报表审计也越来越离不开信息系统审计师。因为没有他们的工作，评估内部控制风险和企业固有风险都将成为一句空话。因此，目前的国际会计公司中，最年轻的合伙人或经理往往都是信息系统审计师。

　　四、跨国公司。跨国公司作为信息系统最集中的用户，为参与信息化建设的过程，并时刻保持对分支机构的信息监控，急需大量信息系统审计师。还有一种最新迹象表明，跨国公司内部审计部门也在大量招聘信息系统审计师，以加强内部监督和牵制。

　　五、大型国有企业和上市公司。这些机构往往有雄厚的财力来实现管理的信息化、保证生产经营的稳定性，他们对信息系统审计师的要求和跨国公司类似。

　　目前国际上，信息系统审计与控制协会ISACA（Information System Audit and Control Association）是唯一有权授予国际信息系统审计师资格的跨国界、跨行业的专业机构。该协会成立于1969年，总部在美国的芝加哥。目前在世界上 100多个国家设有160多个分会，现有会员两万多人。

　　专业认证计划杰出的标志在于持证人提高了自身的价值并受到了人们的尊重。注册信息系统审计师CISA（Certified Information System Auditor）资格由ISACA授予，是信息系统审计领域的唯一的职业资格，受到全世界的广泛认可。由于信息技术的国际性，国际信息系统审计师资格在世界任何一个国家的使用都不会受到制约。获得CISA资格证书有助于确立您作为一名合格的信息系统审计、控制和安全专业人才的声望。不论你是希望促进你的工作表现还是得到职务升迁，拥有CISA资格证书会使你拥有他人无法企及的竞争优势。

　　一、顺利通过CISA的考试。

　　二、遵守国际信息系统审计与控制协会的《职业道德规范》。

　　三、提供从事信息系统审计、控制和安全工作5年以上经验的证明。具有下列同等经验，可申请免除该项经验，并应获得如下证明：

　　1、1年以下的信息系统审计、控制与安全工作的经验可用以下资历相抵：

　　（1）满1年的非信息系统审计工作经验，或

　　（2）满1年的信息系统工作经验，和/或

　　（3）具有大专学历（大学60个学分或同等学历）。

　　2、2年信息系统审计、控制与安全工作的经验可用学士学位（大学120个学分或同等学历）相抵。

　　3、1年信息系统审计、控制与安全工作的经验可用2年相关领域（计算机科学、会计、信息系统审计等）内从事大学专业讲师的经验相抵。无最高年限（如6年大学将是经验等同于3年信息系统审计、控制与安全工作的经验）。

　　专业经验必须在申请前的10年之内获得。

　　注册信息系统审计师CISA （Certified Information System Auditor）资格由ISACA授予，是信息系统审计领域的惟一职业资格，受到全世界的广泛认可。由于信息技术的国际性，国际信息系统审计师资格在世界任何一个国家的使用都不会受到制约。

• 信息系统审计程序；（10%）
• 信息系统的管理计划和组织；（11%）
• 技术基础和操作实务；（13%）
• 信息资产的保护；（25%）
• 灾难恢复和业务持续计划；（10%）
• 业务应用系统的开发、取得、实施和维护；（16%）
• 业务过程的评价和风险管理。（15%）

　　CISA考试每年6月组织一次，考试时间为4个小时。目前确定的国内考试地点为北京、上海和广州。CISA考试是200道客观选择题，全部为笔答，满分100分，75分及格。考试语言为英语。