信息系統(tǒng)審計作為新興的職業(yè)和學(xué)科體系,近年來逐漸升溫,信息系統(tǒng)審計師正以每年40%—50%的速度增加,也顯示了IS審計的發(fā)展需求。一方面,由于信息技術(shù)的發(fā)展,引起審計的范圍、審計的方法與審計的手段發(fā)生了變化,由傳統(tǒng)的手工審計、EDI審計和計算機輔助審計,發(fā)展成為包括財務(wù)管理信息系統(tǒng)在內(nèi)的所有信息系統(tǒng)本身的安全性、保密性、完整性及其實現(xiàn)企業(yè)目標的有效性進行的審計。另一方面,信息技術(shù)的進一步發(fā)展與普及,使得企業(yè)越來越依賴于信息系統(tǒng),要求對IT技術(shù)相關(guān)風險進行審計,并及時修正其內(nèi)部控制來控管這些風險。這些都促進了信息系統(tǒng)審計學(xué)科的發(fā)展。
信息系統(tǒng)審計是一門綜合性交叉性學(xué)科。在IT環(huán)境下,審計理論基礎(chǔ)得到了不斷的增強和加固。信息技術(shù)學(xué)、信息經(jīng)濟學(xué)、信息博弈論以及與審計相關(guān)的其他學(xué)科領(lǐng)域共同組成了一個動態(tài)的、多元性的審計理論基礎(chǔ),這些學(xué)科、領(lǐng)域的理論并非簡單的疊加,而是按照一定的秩序、規(guī)則進行有效的組合而形成的有機整體。在IT環(huán)境下,審計理論基礎(chǔ)為審計理論與其他學(xué)科理論提供了一個公共區(qū)域,各學(xué)科理論知識相互交叉、滲透、融合,共同組成一個有序的、交互滲透的、相互關(guān)聯(lián)的動態(tài)網(wǎng)絡(luò),服務(wù)于審計理論。因而審計理論基礎(chǔ)是連接審計理論與其他學(xué)科體系的橋梁與紐帶,是審計理論與其他學(xué)科的交叉滲透區(qū)。
CISA簡介
注冊信息系統(tǒng)審計師(CISA),也就是我們通常所說的IT審計師,是指一批專家級的人士,既通曉信息系統(tǒng)的軟件、硬件、開發(fā)、運營、維護、管理和安全,又熟悉業(yè)務(wù)運營管理的核心要義,能夠利用規(guī)范和先進的審計技術(shù),對信息系統(tǒng)的安全性、穩(wěn)定性和有效性進行審計、檢查、評價和改造。擁有CISA資格證書是持證人專業(yè)能力的展示,并成為專業(yè)程度的衡量基礎(chǔ)。隨著對信息系統(tǒng)審計、控制與安全專業(yè)人士需求量的增長,CISA已成為全球范圍內(nèi)個人與公司機構(gòu)不可或缺的認證。CISA資格證書代表持證人以卓越的能力服務(wù)于公司并致力于信息系統(tǒng)審計、控制與安全領(lǐng)域。據(jù)2001年一項針對國際信息系統(tǒng)審計與控制協(xié)會會員中持有CISA證書的調(diào)查顯示,71%的受查者認為,獲得CISA認證對于他們的職業(yè)生涯有幫助。而對不論是否持有CISA證書的ISACA會員調(diào)查顯示,更有75%的受查者認為通過CISA對于他們將來的職業(yè)生涯會有所幫助。因此,獲得CISA認證可以促進工作開展或為職務(wù)升遷創(chuàng)造競爭優(yōu)勢。
此外,這一認證的意義還在于,也許本認證對于個人當前的工作并不是絕對必需的,然而越來越多的機構(gòu)希望員工得到CISA認證。為了確保在全球市場中的成功,選擇一個建立在全球認可技術(shù)實務(wù)基礎(chǔ)上的認證是至關(guān)重要的。CISA所提供的就是這種認證。CISA作為信息系統(tǒng)審計、控制與安全專業(yè)人員的資格證書,受到全世界所有行業(yè)的廣泛認可。
CISA的培養(yǎng)模式
CISA計劃對信息系統(tǒng)審計、控制與安全職業(yè)領(lǐng)域中具有卓越技能與判斷力的個人做出評估與認證。若想獲得CISA認證,申請人需要:
◆通過CISA考試;
◆遵守國際信息系統(tǒng)審計與控制協(xié)會的《職業(yè)道德規(guī)范》,此規(guī)范已列入《CISA考試申請人指南》中,供應(yīng)考人參考;
◆在信息系統(tǒng)審計、控制、或安全領(lǐng)域5年以上工作經(jīng)驗的證明。具有下列同等經(jīng)驗,可申請免除該項經(jīng)驗,并應(yīng)獲得如下證明:
●1年以下的信息系統(tǒng)審計、控制與安全工作的經(jīng)驗可用如下資歷相抵:
滿1年的審計工作經(jīng)驗,或
滿1年的信息系統(tǒng)工作經(jīng)驗,和/或
具有大專學(xué)歷(大學(xué)60個學(xué)分或同等學(xué)歷)。
●2年信息系統(tǒng)審計、控制與安全工作的經(jīng)驗可用學(xué)士學(xué)位(大學(xué)120個學(xué)分或同等學(xué)歷)相抵。
● 1年信息系統(tǒng)審計、控制與安全工作的經(jīng)驗可用2年相關(guān)領(lǐng)域(計算機科學(xué)、會計、信息系統(tǒng)審計等)內(nèi)從事大學(xué)專職講師的經(jīng)驗相抵。無最高年限(即6年大學(xué)講師經(jīng)驗等同于3年信息系統(tǒng)審計、控制與安全工作的經(jīng)驗)。
◆ 提出CISA資格申請并得到批準。
專業(yè)經(jīng)驗必須在申請前的10年之內(nèi)獲得,或在第一次通過考試之日的前5年之內(nèi)。認證申請必須在通過CISA考試的5年之內(nèi)提出。所有專業(yè)經(jīng)驗都必須由原雇主獨立地確認。值得注意的是,很多人在具備所要求的經(jīng)驗之前就參加CISA考試。盡管在所有要求的資歷未達到之前不會被授予CISA資格證書,但這種作法是可以接受并值得鼓勵的。
CISA的課程體系
一名合格的信息系統(tǒng)審計師需要在會計理論、審計理論、信息技術(shù)理論、行為科學(xué)、信息安全、法律等方面具背扎實的知識基礎(chǔ)和綜合運用知識的技能,通常,傳統(tǒng)的學(xué)術(shù)環(huán)境中接受教育是完善審計師知識結(jié)構(gòu)的基礎(chǔ)。
本科教育的課程模式如下所示:
圖221CISA本科教育課程模式
研究生教育的課程模式如下圖所示:
圖222CISA研究生教育課程模式
其中,選修課備選課程有:
●快速系統(tǒng)開發(fā)
●信息系統(tǒng)規(guī)劃
●高級系統(tǒng)分析和設(shè)計
●軟件質(zhì)量保證
●廣域網(wǎng)
●系統(tǒng)設(shè)計的人力因素
●網(wǎng)絡(luò)管理
●業(yè)務(wù)系統(tǒng)分析
●商務(wù)經(jīng)濟
●高級辦公系統(tǒng)
●決策支持的管理會計
●行政開發(fā)
●數(shù)據(jù)庫設(shè)計和處理
●管理學(xué)
●高級財務(wù)管理
●信息系統(tǒng)完整性,保密性,可用性
CISA的實踐技能
除了專業(yè)的信息系統(tǒng)審計知識基礎(chǔ)之外,信息系統(tǒng)審計師還要具備豐富的實踐經(jīng)驗,以便勝任對復(fù)雜性系統(tǒng)進行審計。信息系統(tǒng)審計師應(yīng)該參與的實踐包括:
●參加過不同類別的工作培訓(xùn),尤其是在組織采用和實施新技術(shù)時,此外也參加組織內(nèi)部計劃的制定等。
●參與專業(yè)的機構(gòu)或廠商組織的研討會。這對于動態(tài)掌握信息技術(shù)的新發(fā)展以及解決審計難題的新方法十分具有價值。
● 信息系統(tǒng)審計師要具有溝通能力與技術(shù)能力(理解信息處理活動的各種技術(shù),尤其是影響組織財務(wù)活動的技術(shù)),能夠與來自各領(lǐng)域的管理者、用戶、技術(shù)專家進行交流。
●信息系統(tǒng)審計師必須理解并熟悉操作環(huán)境,評估內(nèi)部控制的有效性。
●信息系統(tǒng)審計師必須理解現(xiàn)有與未來系統(tǒng)的技術(shù)復(fù)雜性,以及它們對各級操作與決策的影響。
●信息系統(tǒng)審計師使用技術(shù)的方法去識別系統(tǒng)的完整性,該過程包括檢查、測試、評估系統(tǒng)的內(nèi)部控制。信息系統(tǒng)審計師是技術(shù)專家,能夠為審計員工提供指導(dǎo)。
●信息系統(tǒng)審計師要參與評估與使用信息技術(shù)相關(guān)的有效性、效率、風險等。
●審計集成服務(wù),與財務(wù)審計師一起對公司財務(wù)狀況做出聲明
此外,信息系統(tǒng)審計師還應(yīng)該具備下列相關(guān)技能:
●內(nèi)外部操作的一般控制
●網(wǎng)絡(luò)相關(guān)的安全實踐
●了解WinNT,UNIX等各種操作系統(tǒng)
●異步傳輸模式等通信技術(shù)
●電子資金轉(zhuǎn)賬
●ORACLE、DB2、SQLServer等數(shù)據(jù)庫管理系統(tǒng)
●災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計劃
●系統(tǒng)開發(fā)方法論,安全控制設(shè)計,實施后評估等。
●信息安全服務(wù),采用ISS,SATAN以及其他安全工具等進行滲透性測試。
CISA的組織機構(gòu)
信息系統(tǒng)審計師和IT專家一樣,經(jīng)常從屬于一個或多個職業(yè)協(xié)會,遵守各協(xié)會的職業(yè)道德準則,相關(guān)職業(yè)標準以及審計指南。有些組織已經(jīng)頒布了一些實踐準則,如:美國的認證公共會計師協(xié)會(American Institute of Certified Public Accountants: AICPA),內(nèi)部審計師協(xié)會(Institute of Internal Auditors:IIA),國際會計師聯(lián)盟(International Federation of Accountants:IFAC),加拿大注冊會計師研究所(Canadian Institute of Chartered Accountants: CICA),美國信息系統(tǒng)審計與控制協(xié)會(Information Systems Audit and Control Association: ISACA)等。
目前,國際信息系統(tǒng)審計與控制協(xié)會(Information System Auditand Control Association)是唯一有權(quán)授予信息系統(tǒng)審計師資格的跨國界、跨行業(yè)專業(yè)機構(gòu),該協(xié)會成立于1969年,最初稱為EDP審計師聯(lián)合會,總部在美國的芝加哥。在全球100多個國家設(shè)有160多個分會,現(xiàn)有會員兩萬多人。它包含:
●設(shè)定的標準——一般作為世界范圍內(nèi)的IT審計、控制的指導(dǎo)方針
●一個令人尊敬的認證項目——在IS審計、控制、安全領(lǐng)域內(nèi)國際上承認的項目
●一個關(guān)于關(guān)鍵的管理和技術(shù)主題的專業(yè)的發(fā)展項目
●提供贏得贊譽的技術(shù)出版物,包含最新的研究、案例學(xué)習、信息知識入門等
●指導(dǎo)會員專業(yè)的活動和操行的職業(yè)道德準則
注冊信息系統(tǒng)審計師CISA(Certified Information System Auditor)資格由國際信息系統(tǒng)審計與控制協(xié)會授予,是信息系統(tǒng)審計領(lǐng)域的唯一職業(yè)資格,受到全世界的廣泛認可。由于信息技術(shù)的國際性,國際信息系統(tǒng)審計師資格在世界任何一個國家的使用都不會受到任何制約。
CISA的職業(yè)發(fā)展
當前,隨著信息技術(shù)的普遍應(yīng)用,信息和信息技術(shù)已成為各單位最寶貴的資產(chǎn)和面對市場競爭的戰(zhàn)略支撐,信息系統(tǒng)審計師正是面向這種需要的高級人才。
●信息系統(tǒng)審計師關(guān)注信息安全,沒有安全就沒有一切,信息系統(tǒng)審計師會采用各種方法來測試系統(tǒng)的安全性,并對來自內(nèi)部和外部的安全隱患提出相應(yīng)對策;
●信息系統(tǒng)審計師還要關(guān)注信息系統(tǒng)的穩(wěn)定性,沒有可靠的穩(wěn)定性,信息系統(tǒng)就無法面對激烈市場競爭的壓力,信息系統(tǒng)審計師會提出一系列策略保證客戶信息系統(tǒng)的萬無一失;
●信息系統(tǒng)審計師最擅長鑒別信息系統(tǒng)的有效性,最安全和最穩(wěn)定的系統(tǒng)不一定是最有效的系統(tǒng),而效率不高的系統(tǒng)就會消耗企業(yè)大量的資源,信息系統(tǒng)審計師的優(yōu)勢就是對財經(jīng)管理和信息技術(shù)融會貫通,為業(yè)務(wù)信息系統(tǒng)的改造提供建議。
目前,國內(nèi)持有CISA證書的人數(shù)累計應(yīng)在一百人以內(nèi),而國內(nèi)注冊的咨詢公司已達到了20000多家,知名的外資咨詢公司、會計師事務(wù)所大多數(shù)也已經(jīng)落戶中國。同時,我國信息化工程建設(shè)發(fā)展迅猛,并且這些工程項目越來越大、越來越復(fù)雜,從而對信息系統(tǒng)工程咨詢質(zhì)量提出了更高的要求。更廣泛地開展和加強對信息系統(tǒng)工程的審計與控制,不僅成為迫切需要,而且在實踐上也呈日益增長之勢。由于信息技術(shù)的國際性,國際信息系統(tǒng)審計師在國內(nèi)同樣勝任信息系統(tǒng)監(jiān)理工作。
正是因為我國信息化建設(shè)的高速發(fā)展,對安全和風險管理的日益重視,導(dǎo)致此類人才嚴重的供給矛盾。因此,可以肯定,信息系統(tǒng)審計職業(yè)潛力巨大,在我國有廣闊的發(fā)展前景。以下行業(yè)將首先對信息系統(tǒng)審計師表現(xiàn)出強勁的需求:
●軟件供應(yīng)商,特別是管理類的集成軟件供應(yīng)商,需要信息系統(tǒng)審計師參與產(chǎn)品設(shè)計、規(guī)劃和檢測,需要信息系統(tǒng)審計師對客戶現(xiàn)有信息系統(tǒng)進行評價,提出改造設(shè)想。全球所有重要的ERP和CRM產(chǎn)品供應(yīng)商都聘請大量信息系統(tǒng)審計師。
● 管理咨詢機構(gòu),20世紀90年代以后,管理咨詢的重點已經(jīng)逐步發(fā)展為提供一攬子解決方案,其中信息系統(tǒng)的配置,就是解決方案成功的基礎(chǔ),國際知名的管理咨詢機構(gòu)中,有50%以上的員工熟悉信息技術(shù),其中20%擁有信息系統(tǒng)審計師資格。
●會計師審計師事務(wù)所,是信息系統(tǒng)審計師最早的落腳點,“四大”國際會計公司超過30%的收入來自于風險管理部門,這個部門的最主要工作就是監(jiān)控客戶的信息系統(tǒng)風險和運營風險,同時為客戶提供ERP或CRM的實施和培訓(xùn)。會計師審計師事務(wù)所中傳統(tǒng)財務(wù)報表審計也越來越離不開信息系統(tǒng)審計師的貢獻,沒有他們的工作,評估內(nèi)部控制風險和企業(yè)固有風險將成為一句空話。人們常常看到,“四大”會計公司里,最年輕的合伙人或經(jīng)理,往往都是信息系統(tǒng)審計師,因為這是屬于年輕人的工作。
●跨國公司,作為信息系統(tǒng)最集中的用戶,跨國公司急需大量信息系統(tǒng)審計師,一方面參與信息化建設(shè)的過程,另一方面時刻保持對分支機構(gòu)的信息監(jiān)控。還有一種最新跡象表明,跨國公司內(nèi)部審計部門也在大量招聘信息系統(tǒng)審計師,以加強內(nèi)部的監(jiān)督和牽制。
大型國有企業(yè)和上市公司,這些機構(gòu)往往有雄厚的財力來實現(xiàn)管理的信息化、保證生產(chǎn)經(jīng)營的穩(wěn)定性,他們對信息系統(tǒng)審計師的要求和跨國公司類似。
信息系統(tǒng)審計業(yè)務(wù)將隨著信息技術(shù)的發(fā)展而發(fā)展,為滿足信息使用者不斷變化的需要而增加新的服務(wù)內(nèi)容,目前其基本業(yè)務(wù)如下:
●系統(tǒng)開發(fā)審計,包括開發(fā)過程的審計、開發(fā)方法的審計,為IT規(guī)劃指導(dǎo)委員會及變革控制委員會提供咨詢服務(wù);
●主要數(shù)據(jù)中心、網(wǎng)絡(luò)、通訊設(shè)施的結(jié)構(gòu)審計,包括財務(wù)系統(tǒng)和非財務(wù)系統(tǒng)的應(yīng)用審計;
●支持其他審計人員的工作,為財務(wù)審計人員與經(jīng)營審計人員提供技術(shù)支持和培訓(xùn);
●為組織提供增值服務(wù),為管理信息系統(tǒng)人員提供技術(shù)、控制與安全指導(dǎo);推動風險自評估程序的執(zhí)行;
●軟件及硬件供應(yīng)商及外包服務(wù)商提供的方案、產(chǎn)品及服務(wù)質(zhì)量是否與合同相符審計;
●災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計劃審計;
●對系統(tǒng)運營效能、投資回報率及應(yīng)用開發(fā)測試審計;
●系統(tǒng)的安全審計;
●網(wǎng)站的信譽審計;
●全面控制審計等。
更多資料見:www.ccidtraining.com
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/
本文網(wǎng)址:http://m.hanmeixuan.com/html/consultation/1082027426.html
相關(guān)文章
