概述
隨著計算機技術在管理中的廣泛運用,傳統的管理、控制、檢查和審計技術都面臨著巨大的挑戰。在信息技術突飛猛進的網路時代,國際會計公司、專業諮詢公司和高級管理顧問都將控制風險、特別是控制計算機環境風險和信息系統運行風險作為現代審計、管理諮詢和服務的重點。由於普遍使用大型管理信息系統,幾乎所有的大型跨國公司,都非常重視對信息系統安全和穩定性的控制,常常高薪聘請IT審計師進行內部審計。在網路經濟迅猛發展的今天,IT審計師已被公認為全世界範圍內非常搶手的高級人才。職責
一、信息系統審計師首先要關注信息安全。採用各種方法來測試系統的安全性,並對來自內部和外部的安全隱患提出相應對策。
二、信息系統審計師還要關注信息系統的穩定性。會提出一系列對策保證客戶信息系統的萬無一失。
三、信息系統審計師最擅長鑑別信息系統的有效性。最安全和最穩定的系統不一定是最有效的系統,而效率不高的系統就會消耗企業大量的資源,信息系統審計師的優勢就是對財經管理和信息技術融會貫通,為企業信息系統的改造提供建議。
具備素質
為了有效地實施信息系統審計,作為一個IT審計師,應具備待審計對象所要求的業務知識和豐富的信息系統開發經驗。一、知識方面的要求如下:
1、信息系統計畫、開發和運營相關的知識: 信息系統構成相關的知識; 信息化戰略、構想、提案、立項等相關的知識; 系統設計、程式設計、軟體測試等相關知識; 系統操作、數據管理等相關知識;
2、信息系統審計實施相關的知識: 信息安全相關的知識; 經營管理方面的相關知識; 業務對象相關知識; 相關法律和法規;
二、能力方面的要求如下: 系統審計的相關能力; 審計的立項、分析、評價相關的能力; 信息收集、審核、審計方法掌握、技巧運用方面的能力; 審計報告製作能力;
IT審計師必須具備全面的計算機軟硬體知識,對計算機網路和信息系統的安全性具有高度而特殊的敏感意識,而且對財務會計和企業內部控制具有深刻的理解能力,要懂管理、懂經濟、懂審計、懂計算機、懂內部控制、懂網路技術,既是審計專家,又是信息系統專家,以對計算機信息系統及軟硬體的技術性審計來保證計算機審計質量的可靠性。
急需行業
一、軟體供應商,特別是經濟管理類的集成軟體供應商。他們需要信息系統審計師參與產品設計、規劃和檢測,對客戶現有信息系統進行評價,提出改造構想。目前全球所有重要的ERP和CRM產品供應商都聘請大量信息系統審計師。二、管理諮詢機構。20世紀90年代以後,國際管理諮詢的重點已經逐步發展成為客戶提供一攬子解決方案,其中信息系統的配置是解決方案獲得成功的基礎。因此,目前國際知名的管理諮詢機構中,有50%以上的員工熟悉信息技術,其中20%擁有信息系統審計師資格。
三、會計師事務所。會計師事務所也是信息系統審計師最早的落腳點。目前國際會計公司超過30%的收入來自於風險管理部門,而該部門最主要的工作就是監控客戶的信息系統風險和運營風險,並為客戶提供ERP或CRM的安裝、維護和培訓。另外,目前會計師事務所中傳統財務報表審計也越來越離不開信息系統審計師。因為沒有他們的工作,評估內部控制風險和企業固有風險都將成為一句空話。因此,目前的國際會計公司中,最年輕的合伙人或經理往往都是信息系統審計師。
四、跨國公司。跨國公司作為信息系統最集中的用戶,為參與信息化建設的過程,並時刻保持對分支機構的信息監控,急需大量信息系統審計師。還有一種最新跡象表明,跨國公司內部審計部門也在大量招聘信息系統審計師,以加強內部監督和牽制。
五、大型國有企業和上市公司。這些機構往往有雄厚的財力來實現管理的信息化、保證生產經營的穩定性,他們對信息系統審計師的要求和跨國公司類似。
授予機構
國際上,信息系統審計與控制協會ISACA(Information System Audit and Control Association)是唯一有權授予國際信息系統審計師資格的跨國界、跨行業的專業機構。該協會成立於1969年,總部在美國的芝加哥。目前在世界上 100多個國家設有160多個分會,現有會員兩萬多人。專業認證計畫傑出的標誌在於持證人提高了自身的價值並受到了人們的尊重。註冊信息系統審計師CISA(Certified Information System Auditor)資格由ISACA授予,是信息系統審計領域的唯一的職業資格,受到全世界的廣泛認可。由於信息技術的國際性,國際信息系統審計師資格在世界任何一個國家的使用都不會受到制約。獲得CISA資格證書有助於確立您作為一名合格的信息系統審計、控制和安全專業人才的聲望。不論你是希望促進你的工作表現還是得到職務升遷,擁有CISA資格證書會使你擁有他人無法企及的競爭優勢。
資格條件
一、順利通過CISA的考試。二、遵守國際信息系統審計與控制協會的《職業道德規範》。
三、提供從事信息系統審計、控制和安全工作5年以上經驗的證明。具有下列同等經驗,可申請免除該項經驗,並應獲得如下證明:
1、1年以下的信息系統審計、控制與安全工作的經驗可用以下資歷相抵:
(1)滿1年的非信息系統審計工作經驗,或
(2)滿1年的信息系統工作經驗,和/或
(3)具有大專學歷(大學60個學分或同等學歷)。
2、2年信息系統審計、控制與安全工作的經驗可用學士學位(大學120個學分或同等學歷)相抵。
3、1年信息系統審計、控制與安全工作的經驗可用2年相關領域(計算機科學、會計、信息系統審計等)內從事大學專業講師的經驗相抵。無最高年限(如6年大學將是經驗等同於3年信息系統審計、控制與安全工作的經驗)。
專業經驗必須在申請前的10年之內獲得。
註冊信息系統審計師CISA (Certified Information System Auditor)資格由ISACA授予,是信息系統審計領域的惟一職業資格,受到全世界的廣泛認可。由於信息技術的國際性,國際信息系統審計師資格在世界任何一個國家的使用都不會受到制約。
考試內容
信息系統審計程式;(10%)
信息系統的管理計畫和組織;(11%)
技術基礎和操作實務;(13%)
信息資產的保護;(25%)
災難恢復和業務持續計畫;(10%)
業務套用系統的開發、取得、實施和維護;(16%)
業務過程的評價和風險管理。(15%)
CISA考試每年6月組織一次,考試時間為4個小時。目前確定的國內考試地點為北京、上海和廣州。CISA考試是200道客觀選擇題,全部為筆答,滿分100分,75分及格。考試語言為英語。
中國現狀
國際上最具挑戰性的國際信息系統審計師開始進入中國,國家審計署的一位年青官員成為中國大陸通過考試獲取該資格的第一人。據專家介紹,國際信息系統審計師(簡稱IT審計師)目前已經成為全球範圍最搶手的高級人才,這些人才一般都具備全面的計算機軟硬體知識,對網路和系統安全有獨特的敏感性,並且對財務會計和單位內部控制有深刻的理解。隨著計算機技術在管理中的廣泛運用,傳統的控制、管理、檢查和審計技術都受到巨大的挑戰,國際會計公司、專業諮詢公司和高級管理顧問都將控制風險,特別是控制計算機環境風險和信息系統運行風險作為管理諮詢和服務的重點。幾乎所有的大型跨國公司,由於普遍使用大型管理信息系統,都非常重視對信息系統安全和穩定性的控制,常常高薪聘請IT審計師進行內部審計。
“國際信息系統審計與控制協會(ISACA)”是國際上唯一的信息系統審計師專業組織,其總部設在美國的芝加哥,在世界上160多個國家和地區設有分會,現有會員兩萬多人,會員被稱為信息系統審計師,也就是我們通常所說的IT審計師,主要從事的工作包括:向客戶提供與信息系統相關的服務;在財務審計中對被審計單位的信息系統的了解、測試和評價以及計算機輔助審計技術的運用等方面。
國際信息系統審計師的考試包括五個方面:信息系統審計準則與安全、信息系統的安全與控制實務;信息系統的組織與管理;信息系統的處理過程;信息系統的完整、保密和有效;信息系統軟體的開發、取得與維護。由於涉及的知識面較廣、信息技術的更新也很快,因此除了一本考試指南外,沒有像其他專業資格考試那樣全面系統的教材,主要考察考生平時的知識積累和工作經驗。目前國際信息系統審計師的考試還是全英文試卷,在中國已經設立考點。
國際著名會計公司德勤會計師行的高級合伙人鮑威爾先生指出,全世界即將迎來管理領域信息化的高潮,信息技術對傳統管理和控制的挑戰是空前的,主要表現在三個方面,一是內部控制環節的變化,許多傳統的控制手段已經失去意義,評價和改進內部控制必須以信息系統的運轉為基礎;二是管理的風險增加,由於企業經營越來越依賴於信息系統,除了傳統意義上的經營風險、控制風險和財務風險之外,企業信息系統安全性導致的信息風險日益增長;三是對複合性高級人才的需求驟增,要求管理者、審計師和諮詢人員必須精通管理和專業的同時還要熟悉信息系統和網路技術。
國內註冊會計師行業的專家指出,信息技術的發展對中國註冊會計師和會計師事務所提出了更高的要求,國際同行的業務收入中,傳統審計服務的收入比例正在迅速下降,風險控制服務和管理諮詢服務收入的比重大大提高,而這些收入增長部分往往又和IT環境審計和信息系統安全審計服務有關。如果我國的會計師事務所不及早作好人才準備,不僅談不上和五大競爭,而且還會喪失國內的市場。
據了解,為了在國內培養更多的IT審計師,以培養國際會計審計師知名的審計署幹部培訓中心目前正在積極籌備,準備在適當時機,面向全國推出IT審計師培訓和考試業務。