信息系統審計作為新興的職業和學科體系，近年來逐漸升溫，信息系統審計師正以每年40%—50%的速度增加，也顯示了IS審計的發展需求。一方面，由于信息技術的發展，引起審計的范圍、審計的方法與審計的手段發生了變化，由傳統的手工審計、EDI審計和計算機輔助審計，發展成為包括財務管理信息系統在內的所有信息系統本身的安全性、保密性、完整性及其實現企業目標的有效性進行的審計。另一方面，信息技術的進一步發展與普及，使得企業越來越依賴于信息系統，要求對IT技術相關風險進行審計，并及時修正其內部控制來控管這些風險。這些都促進了信息系統審計學科的發展。
    信息系統審計是一門綜合性交叉性學科。在IT環境下，審計理論基礎得到了不斷的增強和加固。信息技術學、信息經濟學、信息博弈論以及與審計相關的其他學科領域共同組成了一個動態的、多元性的審計理論基礎，這些學科、領域的理論并非簡單的疊加，而是按照一定的秩序、規則進行有效的組合而形成的有機整體。在IT環境下，審計理論基礎為審計理論與其他學科理論提供了一個公共區域，各學科理論知識相互交叉、滲透、融合，共同組成一個有序的、交互滲透的、相互關聯的動態網絡，服務于審計理論。因而審計理論基礎是連接審計理論與其他學科體系的橋梁與紐帶，是審計理論與其他學科的交叉滲透區。

    CISA簡介

    注冊信息系統審計師(CISA)，也就是我們通常所說的IT審計師，是指一批專家級的人士，既通曉信息系統的軟件、硬件、開發、運營、維護、管理和安全，又熟悉業務運營管理的核心要義，能夠利用規范和先進的審計技術，對信息系統的安全性、穩定性和有效性進行審計、檢查、評價和改造。擁有CISA資格證書是持證人專業能力的展示，并成為專業程度的衡量基礎。隨著對信息系統審計、控制與安全專業人士需求量的增長，CISA已成為全球范圍內個人與公司機構不可或缺的認證。CISA資格證書代表持證人以卓越的能力服務于公司并致力于信息系統審計、控制與安全領域。據2001年一項針對國際信息系統審計與控制協會會員中持有CISA證書的調查顯示，71%的受查者認為，獲得CISA認證對于他們的職業生涯有幫助。而對不論是否持有CISA證書的ISACA會員調查顯示，更有75%的受查者認為通過CISA對于他們將來的職業生涯會有所幫助。因此，獲得CISA認證可以促進工作開展或為職務升遷創造競爭優勢。
    此外，這一認證的意義還在于，也許本認證對于個人當前的工作并不是絕對必需的，然而越來越多的機構希望員工得到CISA認證。為了確保在全球市場中的成功，選擇一個建立在全球認可技術實務基礎上的認證是至關重要的。CISA所提供的就是這種認證。CISA作為信息系統審計、控制與安全專業人員的資格證書，受到全世界所有行業的廣泛認可。

    CISA的培養模式

    CISA計劃對信息系統審計、控制與安全職業領域中具有卓越技能與判斷力的個人做出評估與認證。若想獲得CISA認證，申請人需要：
    ◆通過CISA考試；
    ◆遵守國際信息系統審計與控制協會的《職業道德規范》，此規范已列入《CISA考試申請人指南》中，供應考人參考；
    ◆在信息系統審計、控制、或安全領域5年以上工作經驗的證明。具有下列同等經驗，可申請免除該項經驗，并應獲得如下證明：
        ●1年以下的信息系統審計、控制與安全工作的經驗可用如下資歷相抵：
          滿1年的審計工作經驗，或
          滿1年的信息系統工作經驗，和／或
          具有大專學歷（大學60個學分或同等學歷）。
        ●2年信息系統審計、控制與安全工作的經驗可用學士學位（大學120個學分或同等學歷）相抵。
        ● 1年信息系統審計、控制與安全工作的經驗可用2年相關領域（計算機科學、會計、信息系統審計等）內從事大學專職講師的經驗相抵。無最高年限（即6年大學講師經驗等同于3年信息系統審計、控制與安全工作的經驗）。
   ◆ 提出CISA資格申請并得到批準。
    專業經驗必須在申請前的10年之內獲得，或在第一次通過考試之日的前5年之內。認證申請必須在通過CISA考試的5年之內提出。所有專業經驗都必須由原雇主獨立地確認。值得注意的是，很多人在具備所要求的經驗之前就參加CISA考試。盡管在所有要求的資歷未達到之前不會被授予CISA資格證書，但這種作法是可以接受并值得鼓勵的。
    CISA的課程體系
    一名合格的信息系統審計師需要在會計理論、審計理論、信息技術理論、行為科學、信息安全、法律等方面具背扎實的知識基礎和綜合運用知識的技能，通常，傳統的學術環境中接受教育是完善審計師知識結構的基礎。
     本科教育的課程模式如下所示：
    圖221CISA本科教育課程模式
    

    其中，選修課備選課程有：
    ●快速系統開發
    ●信息系統規劃
    ●高級系統分析和設計
    ●軟件質量保證
    ●廣域網
    ●系統設計的人力因素
    ●網絡管理
    ●業務系統分析
    ●商務經濟
    ●高級辦公系統
    ●決策支持的管理會計
    ●行政開發
    ●數據庫設計和處理
    ●管理學
    ●高級財務管理
    ●信息系統完整性，保密性，可用性
    CISA的實踐技能
    除了專業的信息系統審計知識基礎之外，信息系統審計師還要具備豐富的實踐經驗，以便勝任對復雜性系統進行審計。信息系統審計師應該參與的實踐包括：
    ●參加過不同類別的工作培訓，尤其是在組織采用和實施新技術時，此外也參加組織內部計劃的制定等。
    ●參與專業的機構或廠商組織的研討會。這對于動態掌握信息技術的新發展以及解決審計難題的新方法十分具有價值。
   ● 信息系統審計師要具有溝通能力與技術能力（理解信息處理活動的各種技術，尤其是影響組織財務活動的技術），能夠與來自各領域的管理者、用戶、技術專家進行交流。
    ●信息系統審計師必須理解并熟悉操作環境，評估內部控制的有效性。
    ●信息系統審計師必須理解現有與未來系統的技術復雜性，以及它們對各級操作與決策的影響。
    ●信息系統審計師使用技術的方法去識別系統的完整性，該過程包括檢查、測試、評估系統的內部控制。信息系統審計師是技術專家，能夠為審計員工提供指導。
    ●信息系統審計師要參與評估與使用信息技術相關的有效性、效率、風險等。
    ●審計集成服務，與財務審計師一起對公司財務狀況做出聲明
    此外，信息系統審計師還應該具備下列相關技能：
    ●內外部操作的一般控制
    ●網絡相關的安全實踐
    ●了解WinNT，UNIX等各種操作系統
    ●異步傳輸模式等通信技術
    ●電子資金轉賬
    ●ORACLE、DB2、SQLServer等數據庫管理系統
    ●災難恢復與業務持續計劃
    ●系統開發方法論，安全控制設計，實施后評估等。
    ●信息安全服務，采用ISS，SATAN以及其他安全工具等進行滲透性測試。

    CISA的組織機構

    信息系統審計師和IT專家一樣，經常從屬于一個或多個職業協會，遵守各協會的職業道德準則，相關職業標準以及審計指南。有些組織已經頒布了一些實踐準則，如：美國的認證公共會計師協會（American Institute of Certified Public Accountants： AICPA），內部審計師協會（Institute of Internal Auditors：IIA），國際會計師聯盟（International Federation of Accountants：IFAC），加拿大注冊會計師研究所（Canadian Institute of Chartered Accountants： CICA），美國信息系統審計與控制協會（Information Systems Audit and Control Association： ISACA）等。
    目前，國際信息系統審計與控制協會（Information System Auditand Control Association）是唯一有權授予信息系統審計師資格的跨國界、跨行業專業機構，該協會成立于1969年，最初稱為EDP審計師聯合會，總部在美國的芝加哥。在全球100多個國家設有160多個分會，現有會員兩萬多人。它包含：
    ●設定的標準——一般作為世界范圍內的IT審計、控制的指導方針
    ●一個令人尊敬的認證項目——在IS審計、控制、安全領域內國際上承認的項目
    ●一個關于關鍵的管理和技術主題的專業的發展項目
    ●提供贏得贊譽的技術出版物，包含最新的研究、案例學習、信息知識入門等
    ●指導會員專業的活動和操行的職業道德準則
    注冊信息系統審計師CISA（Certified Information System Auditor）資格由國際信息系統審計與控制協會授予，是信息系統審計領域的唯一職業資格，受到全世界的廣泛認可。由于信息技術的國際性，國際信息系統審計師資格在世界任何一個國家的使用都不會受到任何制約。

    CISA的職業發展

    當前，隨著信息技術的普遍應用，信息和信息技術已成為各單位最寶貴的資產和面對市場競爭的戰略支撐，信息系統審計師正是面向這種需要的高級人才。
    ●信息系統審計師關注信息安全，沒有安全就沒有一切，信息系統審計師會采用各種方法來測試系統的安全性，并對來自內部和外部的安全隱患提出相應對策；
    ●信息系統審計師還要關注信息系統的穩定性，沒有可靠的穩定性，信息系統就無法面對激烈市場競爭的壓力，信息系統審計師會提出一系列策略保證客戶信息系統的萬無一失；
    ●信息系統審計師最擅長鑒別信息系統的有效性，最安全和最穩定的系統不一定是最有效的系統，而效率不高的系統就會消耗企業大量的資源，信息系統審計師的優勢就是對財經管理和信息技術融會貫通，為業務信息系統的改造提供建議。
    目前，國內持有CISA證書的人數累計應在一百人以內，而國內注冊的咨詢公司已達到了20000多家，知名的外資咨詢公司、會計師事務所大多數也已經落戶中國。同時，我國信息化工程建設發展迅猛，并且這些工程項目越來越大、越來越復雜，從而對信息系統工程咨詢質量提出了更高的要求。更廣泛地開展和加強對信息系統工程的審計與控制，不僅成為迫切需要，而且在實踐上也呈日益增長之勢。由于信息技術的國際性，國際信息系統審計師在國內同樣勝任信息系統監理工作。
    正是因為我國信息化建設的高速發展，對安全和風險管理的日益重視，導致此類人才嚴重的供給矛盾。因此，可以肯定，信息系統審計職業潛力巨大，在我國有廣闊的發展前景。以下行業將首先對信息系統審計師表現出強勁的需求：
    ●軟件供應商，特別是管理類的集成軟件供應商，需要信息系統審計師參與產品設計、規劃和檢測，需要信息系統審計師對客戶現有信息系統進行評價，提出改造設想。全球所有重要的ERP和CRM產品供應商都聘請大量信息系統審計師。
   ● 管理咨詢機構，20世紀90年代以后，管理咨詢的重點已經逐步發展為提供一攬子解決方案，其中信息系統的配置，就是解決方案成功的基礎，國際知名的管理咨詢機構中，有50%以上的員工熟悉信息技術，其中20%擁有信息系統審計師資格。
    ●會計師審計師事務所，是信息系統審計師最早的落腳點，“四大”國際會計公司超過30%的收入來自于風險管理部門，這個部門的最主要工作就是監控客戶的信息系統風險和運營風險，同時為客戶提供ERP或CRM的實施和培訓。會計師審計師事務所中傳統財務報表審計也越來越離不開信息系統審計師的貢獻，沒有他們的工作，評估內部控制風險和企業固有風險將成為一句空話。人們常常看到，“四大”會計公司里，最年輕的合伙人或經理，往往都是信息系統審計師，因為這是屬于年輕人的工作。
    ●跨國公司，作為信息系統最集中的用戶，跨國公司急需大量信息系統審計師，一方面參與信息化建設的過程，另一方面時刻保持對分支機構的信息監控。還有一種最新跡象表明，跨國公司內部審計部門也在大量招聘信息系統審計師，以加強內部的監督和牽制。
    大型國有企業和上市公司，這些機構往往有雄厚的財力來實現管理的信息化、保證生產經營的穩定性，他們對信息系統審計師的要求和跨國公司類似。
    信息系統審計業務將隨著信息技術的發展而發展，為滿足信息使用者不斷變化的需要而增加新的服務內容，目前其基本業務如下：
    ●系統開發審計，包括開發過程的審計、開發方法的審計，為IT規劃指導委員會及變革控制委員會提供咨詢服務；
    ●主要數據中心、網絡、通訊設施的結構審計，包括財務系統和非財務系統的應用審計；
    ●支持其他審計人員的工作，為財務審計人員與經營審計人員提供技術支持和培訓；
    ●為組織提供增值服務，為管理信息系統人員提供技術、控制與安全指導；推動風險自評估程序的執行；
    ●軟件及硬件供應商及外包服務商提供的方案、產品及服務質量是否與合同相符審計；
    ●災難恢復和業務持續計劃審計；
    ●對系統運營效能、投資回報率及應用開發測試審計；
    ●系統的安全審計；
    ●網站的信譽審計；
    ●全面控制審計等。
    更多資料見：www.ccidtraining.com
    

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：ERP信息系統審計師是怎樣煉成的

本文網址：http://www.guhuozai8.cn/html/consultation/1082027426.html