CISA國(guó)際注冊(cè)信息系統(tǒng)審核專家

1、CISA 國(guó)際注冊(cè)信息系統(tǒng)審核專家信息系統(tǒng)審計(jì)作為新興的職業(yè)和學(xué)科體系，近年來(lái)逐漸升溫，信息系統(tǒng)審計(jì)師正以每年40%50%的速度增加，也顯示了IS審計(jì)的進(jìn)展需求。一方面，由于信息技術(shù)的進(jìn)展，引起審計(jì)的范圍、審計(jì)的方法與審計(jì)的手段發(fā)生了變化，由傳統(tǒng)的手工審計(jì)、EDI審計(jì)和計(jì)算機(jī)輔助審計(jì)，進(jìn)展成為包括財(cái)務(wù)治理信息系統(tǒng)在內(nèi)的所有信息系統(tǒng)本身的安全性、保密性、完整性及事實(shí)上現(xiàn)企業(yè)目標(biāo)的有效性進(jìn)行的審計(jì)。另一方面，信息技術(shù)的進(jìn)一步進(jìn)展與普及，使得企業(yè)越來(lái)越依靠于信息系統(tǒng)，要求對(duì)IT技術(shù)相關(guān)風(fēng)險(xiǎn)進(jìn)行審計(jì)，并及時(shí)修正其內(nèi)部操縱來(lái)控管這些風(fēng)險(xiǎn)。這些都促進(jìn)了信息系統(tǒng)審計(jì)學(xué)科的進(jìn)展。信息系統(tǒng)審計(jì)是一門綜合性交叉性

2、學(xué)科。在IT環(huán)境下，審計(jì)理論基礎(chǔ)得到了不斷的增強(qiáng)和加固。信息技術(shù)學(xué)、信息經(jīng)濟(jì)學(xué)、信息博弈論以及與審計(jì)相關(guān)的其他學(xué)科領(lǐng)域共同組成了一個(gè)動(dòng)態(tài)的、多元性的審計(jì)理論基礎(chǔ)，這些學(xué)科、領(lǐng)域的理論并非簡(jiǎn)單的疊加，而是按照一定的秩序、規(guī)則進(jìn)行有效的組合而形成的有機(jī)整體。在IT環(huán)境下，審計(jì)理論基礎(chǔ)為審計(jì)理論與其他學(xué)科理論提供了一個(gè)公共區(qū)域，各學(xué)科理論知識(shí)相互交叉、滲透、融合，共同組成一個(gè)有序的、交互滲透的、相互關(guān)聯(lián)的動(dòng)態(tài)網(wǎng)絡(luò)，服務(wù)于審計(jì)理論。因而審計(jì)理論基礎(chǔ)是連接審計(jì)理論與其他學(xué)科體系的橋梁與紐帶，是審計(jì)理論與其他學(xué)科的交叉滲透區(qū)。CISA 簡(jiǎn)介注冊(cè)信息系統(tǒng)審計(jì)師(CISA)，也確實(shí)是我們通常所講的IT審計(jì)師，

3、是指一批專家級(jí)的人士，既通曉信息系統(tǒng)的軟件、硬件、開(kāi)發(fā)、運(yùn)營(yíng)、維護(hù)、治理和安全，又熟悉業(yè)務(wù)運(yùn)營(yíng)治理的核心要義，能夠利用規(guī)范和先進(jìn)的審計(jì)技術(shù)，對(duì)信息系統(tǒng)的安全性、穩(wěn)定性和有效性進(jìn)行審計(jì)、檢查、評(píng)價(jià)和改造。擁有CISA資格證書是持證人專業(yè)能力的展示，并成為專業(yè)程度的衡量基礎(chǔ)。隨著對(duì)信息系統(tǒng)審計(jì)、操縱與安全專業(yè)人士需求量的增長(zhǎng)，CISA已成為全球范圍內(nèi)個(gè)人與公司機(jī)構(gòu)不可或缺的認(rèn)證。CISA資格證書代表持證人以卓越的能力服務(wù)于公司并致力于信息系統(tǒng)審計(jì)、操縱與安全領(lǐng)域。據(jù)2001年一項(xiàng)針對(duì)國(guó)際信息系統(tǒng)審計(jì)與操縱協(xié)會(huì)會(huì)員中持有CISA證書的調(diào)查顯示，71%的受查者認(rèn)為，獲得CISA認(rèn)證關(guān)于他們的職業(yè)生涯有

4、關(guān)心。而對(duì)不論是否持有CISA證書的ISACA會(huì)員調(diào)查顯示，更有75%的受查者認(rèn)為通過(guò)CISA關(guān)于他們今后的職業(yè)生涯會(huì)有所關(guān)心。因此，獲得CISA認(rèn)證能夠促進(jìn)工作開(kāi)展或?yàn)槁殑?wù)升遷制造競(jìng)爭(zhēng)優(yōu)勢(shì)。此外，這一認(rèn)證的意義還在于，也許本認(rèn)證關(guān)于個(gè)人當(dāng)前的工作并不是絕對(duì)必需的，然而越來(lái)越多的機(jī)構(gòu)希望職員得到CISA認(rèn)證。為了確保在全球市場(chǎng)中的成功，選擇一個(gè)建立在全球認(rèn)可技術(shù)實(shí)務(wù)基礎(chǔ)上的認(rèn)證是至關(guān)重要的。CISA所提供的確實(shí)是這種認(rèn)證。CISA作為信息系統(tǒng)審計(jì)、操縱與安全專業(yè)人員的資格證書，受到全世界所有行業(yè)的廣泛認(rèn)可。CISA的培養(yǎng)模式CISA打算對(duì)信息系統(tǒng)審計(jì)、操縱與安全職業(yè)領(lǐng)域中具有卓越技能與推斷力的

5、個(gè)人做出評(píng)估與認(rèn)證。若想獲得CISA 認(rèn)證，申請(qǐng)人需要：- 通過(guò)CISA考試；- 遵守國(guó)際信息系統(tǒng)審計(jì)與操縱協(xié)會(huì)的職業(yè)道德規(guī)范，此規(guī)范已列入CISA考試申請(qǐng)人指南中，供應(yīng)考人參考；- 在信息系統(tǒng)審計(jì)、操縱、或安全領(lǐng)域5年以上工作經(jīng)驗(yàn)的證明。具有下列同等經(jīng)驗(yàn)，可申請(qǐng)免除該項(xiàng)經(jīng)驗(yàn)，并應(yīng)獲得如下證明：- 1 年以下的信息系統(tǒng)審計(jì)、操縱與安全工作的經(jīng)驗(yàn)可用如下資歷相抵： 滿1年的審計(jì)工作經(jīng)驗(yàn)，或 滿1年的信息系統(tǒng)工作經(jīng)驗(yàn)，和或 具有大專學(xué)歷（大學(xué)60個(gè)學(xué)分或同等學(xué)歷）。- 2 年信息系統(tǒng)審計(jì)、操縱與安全工作的經(jīng)驗(yàn)可用學(xué)士學(xué)位（大學(xué)120 個(gè)學(xué)分或同等學(xué)歷）相抵。- 1 年信息系統(tǒng)審計(jì)、操縱與安全工作的

6、經(jīng)驗(yàn)可用2 年相關(guān)領(lǐng)域（計(jì)算機(jī)科學(xué)、會(huì)計(jì)、信息系統(tǒng)審計(jì)等）內(nèi)從事大學(xué)專職講師的經(jīng)驗(yàn)相抵。無(wú)最高年限（即6 年大學(xué)講師經(jīng)驗(yàn)等同于3 年信息系統(tǒng)審計(jì)、操縱與安全工作的經(jīng)驗(yàn)）。- 提出CISA資格申請(qǐng)并得到批準(zhǔn)。專業(yè)經(jīng)驗(yàn)必須在申請(qǐng)前的10 年之內(nèi)獲得，或在第一次通過(guò)考試之日的前5 年之內(nèi)。認(rèn)證申請(qǐng)必須在通過(guò)CISA考試的5 年之內(nèi)提出。所有專業(yè)經(jīng)驗(yàn)都必須由原雇主獨(dú)立地確認(rèn)。值得注意的是，專門多人在具備所要求的經(jīng)驗(yàn)之前就參加CISA考試。盡管在所有要求的資歷未達(dá)到之前可不能被授予CISA資格證書，但這種作法是能夠同意并值得鼓舞的。CISA的課程體系一名合格的信息系統(tǒng)審計(jì)師需要在會(huì)計(jì)理論、審計(jì)理論、信息

7、技術(shù)理論、行為科學(xué)、信息安全、法律等方面具背扎實(shí)的知識(shí)基礎(chǔ)和綜合運(yùn)用知識(shí)的技能，通常，傳統(tǒng)的學(xué)術(shù)環(huán)境中同意教育是完善審計(jì)師知識(shí)結(jié)構(gòu)的基礎(chǔ)。本科教育的課程模式如下所示：圖1 CISA本科教育課程模式研究生教育的課程模式如下圖所示：圖2 CISA研究生教育課程模式其中，選修課備選課程有：- 快速系統(tǒng)開(kāi)發(fā)- 信息系統(tǒng)規(guī)劃- 高級(jí)系統(tǒng)分析和設(shè)計(jì)- 軟件質(zhì)量保證- 廣域網(wǎng)- 系統(tǒng)設(shè)計(jì)的人力因素- 網(wǎng)絡(luò)治理- 業(yè)務(wù)系統(tǒng)分析- 商務(wù)經(jīng)濟(jì)- 高級(jí)辦公系統(tǒng)- 決策支持的治理會(huì)計(jì)- 行政開(kāi)發(fā)- 數(shù)據(jù)庫(kù)設(shè)計(jì)和處理- 治理學(xué)- 高級(jí)財(cái)務(wù)治理- 信息系統(tǒng)完整性，保密性，可用性CISA的實(shí)踐技能除了專業(yè)的信息系統(tǒng)審計(jì)知識(shí)

8、基礎(chǔ)之外，信息系統(tǒng)審計(jì)師還要具備豐富的實(shí)踐經(jīng)驗(yàn)，以便勝任對(duì)復(fù)雜性系統(tǒng)進(jìn)行審計(jì)。信息系統(tǒng)審計(jì)師應(yīng)該參與的實(shí)踐包括：- 參加過(guò)不同類不的工作培訓(xùn)，尤其是在組織采納和實(shí)施新技術(shù)時(shí)，此外也參加組織內(nèi)部打算的制定等。- 參與專業(yè)的機(jī)構(gòu)或廠商組織的研討會(huì)。這關(guān)于動(dòng)態(tài)掌握信息技術(shù)的新進(jìn)展以及解決審計(jì)難題的新方法十分具有價(jià)值。- 信息系統(tǒng)審計(jì)師要具有溝通能力與技術(shù)能力（理解信息處理活動(dòng)的各種技術(shù)，尤其是阻礙組織財(cái)務(wù)活動(dòng)的技術(shù)），能夠與來(lái)自各領(lǐng)域的治理者、用戶、技術(shù)專家進(jìn)行交流。 - 信息系統(tǒng)審計(jì)師必須理解并熟悉操作環(huán)境，評(píng)估內(nèi)部操縱的有效性。- 信息系統(tǒng)審計(jì)師必須理解現(xiàn)有與以后系統(tǒng)的技術(shù)復(fù)雜性，以及它們對(duì)各級(jí)

9、操作與決策的阻礙。- 信息系統(tǒng)審計(jì)師使用技術(shù)的方法去識(shí)不系統(tǒng)的完整性，該過(guò)程包括檢查、測(cè)試、評(píng)估系統(tǒng)的內(nèi)部操縱。信息系統(tǒng)審計(jì)師是技術(shù)專家，能夠?yàn)閷徲?jì)職員提供指導(dǎo)。- 信息系統(tǒng)審計(jì)師要參與評(píng)估與使用信息技術(shù)相關(guān)的有效性、效率、風(fēng)險(xiǎn)等。- 審計(jì)集成服務(wù)，與財(cái)務(wù)審計(jì)師一起對(duì)公司財(cái)務(wù)狀況做出聲明此外，信息系統(tǒng)審計(jì)師還應(yīng)該具備下列相關(guān)技能：- 內(nèi)外部操作的一般操縱- 網(wǎng)絡(luò)相關(guān)的安全實(shí)踐- 了解WinNT，UNIX等各種操作系統(tǒng)- 異步傳輸模式等通信技術(shù)- 電子資金轉(zhuǎn)賬- ORACLE、DB2、SQLServer等數(shù)據(jù)庫(kù)治理系統(tǒng)- 災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)打算- 系統(tǒng)開(kāi)發(fā)方法論，安全操縱設(shè)計(jì)，實(shí)施后評(píng)估等。-

10、信息安全服務(wù)，采納ISS，SATAN以及其他安全工具等進(jìn)行滲透性測(cè)試。CISA的組織機(jī)構(gòu)信息系統(tǒng)審計(jì)師和IT專家一樣，經(jīng)常從屬于一個(gè)或多個(gè)職業(yè)協(xié)會(huì)，遵守各協(xié)會(huì)的職業(yè)道德準(zhǔn)則，相關(guān)職業(yè)標(biāo)準(zhǔn)以及審計(jì)指南。有些組織差不多頒布了一些實(shí)踐準(zhǔn)則，如：美國(guó)的認(rèn)證公共會(huì)計(jì)師協(xié)會(huì)（American Institute of Certified Public Accountants： AICPA），內(nèi)部審計(jì)師協(xié)會(huì)（Institute of Internal Auditors：IIA），國(guó)際會(huì)計(jì)師聯(lián)盟（International Federation of Accountants：IFAC），加拿大注冊(cè)會(huì)計(jì)師研究所

11、（Canadian Institute of Chartered Accountants： CICA），美國(guó)信息系統(tǒng)審計(jì)與操縱協(xié)會(huì)（Information Systems Audit and Control Association： ISACA）等。目前，國(guó)際信息系統(tǒng)審計(jì)與操縱協(xié)會(huì)（Information System Audit and Control Association）是唯一有權(quán)授予信息系統(tǒng)審計(jì)師資格的跨國(guó)界、跨行業(yè)專業(yè)機(jī)構(gòu)，該協(xié)會(huì)成立于1969年，最初稱為EDP審計(jì)師聯(lián)合會(huì)，總部在美國(guó)的芝加哥。在全球100多個(gè)國(guó)家設(shè)有160多個(gè)分會(huì)，現(xiàn)有會(huì)員兩萬(wàn)多人。它包含：- 設(shè)定的標(biāo)準(zhǔn) 一般作

12、為世界范圍內(nèi)的IT審計(jì)、操縱的指導(dǎo)方針- 一個(gè)令人尊敬的認(rèn)證項(xiàng)目在IS審計(jì)、操縱、安全領(lǐng)域內(nèi)國(guó)際上承認(rèn)的項(xiàng)目- 一個(gè)關(guān)于關(guān)鍵的治理和技術(shù)主題的專業(yè)的進(jìn)展項(xiàng)目- 提供贏得贊譽(yù)的技術(shù)出版物，包含最新的研究、案例學(xué)習(xí)、信息知識(shí)入門等- 指導(dǎo)會(huì)員專業(yè)的活動(dòng)和操行的職業(yè)道德準(zhǔn)則注冊(cè)信息系統(tǒng)審計(jì)師CISA（Certified Information System Auditor）資格由國(guó)際信息系統(tǒng)審計(jì)與操縱協(xié)會(huì)授予，是信息系統(tǒng)審計(jì)領(lǐng)域的唯一職業(yè)資格，受到全世界的廣泛認(rèn)可。由于信息技術(shù)的國(guó)際性，國(guó)際信息系統(tǒng)審計(jì)師資格在世界任何一個(gè)國(guó)家的使用都可不能受到任何制約。CISA的職業(yè)進(jìn)展當(dāng)前，隨著信息技術(shù)的普遍應(yīng)用

13、，信息和信息技術(shù)已成為各單位最寶貴的資產(chǎn)和面對(duì)市場(chǎng)競(jìng)爭(zhēng)的戰(zhàn)略支撐，信息系統(tǒng)審計(jì)師正是面向這種需要的高級(jí)人才。- 信息系統(tǒng)審計(jì)師關(guān)注信息安全，沒(méi)有安全就沒(méi)有一切，信息系統(tǒng)審計(jì)師會(huì)采納各種方法來(lái)測(cè)試系統(tǒng)的安全性，并對(duì)來(lái)自內(nèi)部和外部的安全隱患提出相應(yīng)對(duì)策；- 信息系統(tǒng)審計(jì)師還要關(guān)注信息系統(tǒng)的穩(wěn)定性，沒(méi)有可靠的穩(wěn)定性，信息系統(tǒng)就無(wú)法面對(duì)激烈市場(chǎng)競(jìng)爭(zhēng)的壓力，信息系統(tǒng)審計(jì)師會(huì)提出一系列策略保證客戶信息系統(tǒng)的萬(wàn)無(wú)一失；- 信息系統(tǒng)審計(jì)師最擅長(zhǎng)鑒不信息系統(tǒng)的有效性，最安全和最穩(wěn)定的系統(tǒng)不一定是最有效的系統(tǒng)，而效率不高的系統(tǒng)就會(huì)消耗企業(yè)大量的資源，信息系統(tǒng)審計(jì)師的優(yōu)勢(shì)確實(shí)是對(duì)財(cái)經(jīng)治理和信息技術(shù)融會(huì)貫穿，為業(yè)務(wù)信

14、息系統(tǒng)的改造提供建議。目前，國(guó)內(nèi)持有CISA證書的人數(shù)累計(jì)應(yīng)在一百人以內(nèi)，而國(guó)內(nèi)注冊(cè)的咨詢公司已達(dá)到了20000多家，知名的外資咨詢公司、會(huì)計(jì)師事務(wù)所大多數(shù)也差不多落戶中國(guó)。同時(shí)，我國(guó)信息化工程建設(shè)進(jìn)展迅猛，同時(shí)這些工程項(xiàng)目越來(lái)越大、越來(lái)越復(fù)雜，從而對(duì)信息系統(tǒng)工程咨詢質(zhì)量提出了更高的要求。更廣泛地開(kāi)展和加強(qiáng)對(duì)信息系統(tǒng)工程的審計(jì)與操縱，不僅成為迫切需要，而且在實(shí)踐上也呈日益增長(zhǎng)之勢(shì)。由于信息技術(shù)的國(guó)際性，國(guó)際信息系統(tǒng)審計(jì)師在國(guó)內(nèi)同樣勝任信息系統(tǒng)監(jiān)理工作。正是因?yàn)槲覈?guó)信息化建設(shè)的高速進(jìn)展，對(duì)安全和風(fēng)險(xiǎn)治理的日益重視，導(dǎo)致此類人才嚴(yán)峻的供給矛盾。因此，能夠確信，信息系統(tǒng)審計(jì)職業(yè)潛力巨大，在我國(guó)有寬敞

15、的進(jìn)展前景。以下行業(yè)將首先對(duì)信息系統(tǒng)審計(jì)師表現(xiàn)出強(qiáng)勁的需求：- 軟件供應(yīng)商，特不是治理類的集成軟件供應(yīng)商，需要信息系統(tǒng)審計(jì)師參與產(chǎn)品設(shè)計(jì)、規(guī)劃和檢測(cè)，需要信息系統(tǒng)審計(jì)師對(duì)客戶現(xiàn)有信息系統(tǒng)進(jìn)行評(píng)價(jià)，提出改造設(shè)想。全球所有重要的ERP和CRM產(chǎn)品供應(yīng)商都聘請(qǐng)大量信息系統(tǒng)審計(jì)師。- 治理咨詢機(jī)構(gòu)，20世紀(jì)90年代以后，治理咨詢的重點(diǎn)差不多逐步進(jìn)展為提供一攬子解決方案，其中信息系統(tǒng)的配置，確實(shí)是解決方案成功的基礎(chǔ)，國(guó)際知名的治理咨詢機(jī)構(gòu)中，有50%以上的職員熟悉信息技術(shù)，其中20%擁有信息系統(tǒng)審計(jì)師資格。- 會(huì)計(jì)師審計(jì)師事務(wù)所，是信息系統(tǒng)審計(jì)師最早的落腳點(diǎn)，“四大”國(guó)際會(huì)計(jì)公司超過(guò)30%的收入來(lái)自于風(fēng)

16、險(xiǎn)治理部門，那個(gè)部門的最要緊工作確實(shí)是監(jiān)控客戶的信息系統(tǒng)風(fēng)險(xiǎn)和運(yùn)營(yíng)風(fēng)險(xiǎn)，同時(shí)為客戶提供ERP或CRM的實(shí)施和培訓(xùn)。會(huì)計(jì)師審計(jì)師事務(wù)所中傳統(tǒng)財(cái)務(wù)報(bào)表審計(jì)也越來(lái)越離不開(kāi)信息系統(tǒng)審計(jì)師的貢獻(xiàn)，沒(méi)有他們的工作，評(píng)估內(nèi)部操縱風(fēng)險(xiǎn)和企業(yè)固有風(fēng)險(xiǎn)將成為一句空話。人們常?？吹?，“四大”會(huì)計(jì)公司里，最年輕的合伙人或經(jīng)理，往往差不多上信息系統(tǒng)審計(jì)師，因?yàn)檫@是屬于年輕人的工作。- 跨國(guó)公司，作為信息系統(tǒng)最集中的用戶，跨國(guó)公司急需大量信息系統(tǒng)審計(jì)師，一方面參與信息化建設(shè)的過(guò)程，另一方面時(shí)刻保持對(duì)分支機(jī)構(gòu)的信息監(jiān)控。還有一種最新跡象表明，跨國(guó)公司內(nèi)部審計(jì)部門也在大量招聘信息系統(tǒng)審計(jì)師，以加強(qiáng)內(nèi)部的監(jiān)督和牽制。- 大型國(guó)有企業(yè)和上市公司，這些機(jī)構(gòu)往往有雄厚的財(cái)力來(lái)實(shí)現(xiàn)治理的信息化、保證生產(chǎn)經(jīng)營(yíng)的穩(wěn)定性，他們對(duì)信息系統(tǒng)審計(jì)師的要求和跨國(guó)公司類似。信息系統(tǒng)審計(jì)業(yè)務(wù)將隨著信息技術(shù)的進(jìn)展而進(jìn)展，為滿足信息使用者不斷變化的需要而增加新的服務(wù)內(nèi)容，目前其差不多業(yè)務(wù)如下：- 系統(tǒng)開(kāi)發(fā)審計(jì)，包括開(kāi)發(fā)過(guò)程的審計(jì)、開(kāi)發(fā)方法的審計(jì)，