信息系统审计作为新兴的职业和学科体系,近年来逐渐升温,信息系统审计师正以每年40%—50%的速度增加,也显示了IS审计的发展需求。一方面,由于信息技术的发展,引起审计的范围、审计的方法与审计的手段发生了变化,由传统的手工审计、EDI审计和计算机辅助审计,发展成为包括财务管理信息系统在内的所有信息系统本身的安全性、保密性、完整性及其实现企业目标的有效性进行的审计。另一方面,信息技术的进一步发展与普及,使得企业越来越依赖于信息系统,要求对IT技术相关风险进行审计,并及时修正其内部控制来控管这些风险。这些都促进了信息系统审计学科的发展。
信息系统审计是一门综合性交叉性学科。在IT环境下,审计理论基础得到了不断的增强和加固。信息技术学、信息经济学、信息博弈论以及与审计相关的其他学科领域共同组成了一个动态的、多元性的审计理论基础,这些学科、领域的理论并非简单的叠加,而是按照一定的秩序、规则进行有效的组合而形成的有机整体。在IT环境下,审计理论基础为审计理论与其他学科理论提供了一个公共区域,各学科理论知识相互交叉、渗透、融合,共同组成一个有序的、交互渗透的、相互关联的动态网络,服务于审计理论。因而审计理论基础是连接审计理论与其他学科体系的桥梁与纽带,是审计理论与其他学科的交叉渗透区。
CISA简介
注册信息系统审计师(CISA),也就是我们通常所说的IT审计师,是指一批专家级的人士,既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全,又熟悉业务运营管理的核心要义,能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。拥有CISA资格证书是持证人专业能力的展示,并成为专业程度的衡量基础。随着对信息系统审计、控制与安全专业人士需求量的增长,CISA已成为全球范围内个人与公司机构不可或缺的认证。CISA资格证书代表持证人以卓越的能力服务于公司并致力于信息系统审计、控制与安全领域。据2001年一项针对国际信息系统审计与控制协会会员中持有CISA证书的调查显示,71%的受查者认为,获得CISA认证对于他们的职业生涯有帮助。而对不论是否持有CISA证书的ISACA会员调查显示,更有75%的受查者认为通过CISA对于他们将来的职业生涯会有所帮助。因此,获得CISA认证可以促进工作开展或为职务升迁创造竞争优势。
此外,这一认证的意义还在于,也许本认证对于个人当前的工作并不是绝对必需的,然而越来越多的机构希望员工得到CISA认证。为了确保在全球市场中的成功,选择一个建立在全球认可技术实务基础上的认证是至关重要的。CISA所提供的就是这种认证。CISA作为信息系统审计、控制与安全专业人员的资格证书,受到全世界所有行业的广泛认可。
CISA的培养模式
CISA计划对信息系统审计、控制与安全职业领域中具有卓越技能与判断力的个人做出评估与认证。若想获得CISA认证,申请人需要:
◆通过CISA考试;
◆遵守国际信息系统审计与控制协会的《职业道德规范》,此规范已列入《CISA考试申请人指南》中,供应考人参考;
◆在信息系统审计、控制、或安全领域5年以上工作经验的证明。具有下列同等经验,可申请免除该项经验,并应获得如下证明:
●1年以下的信息系统审计、控制与安全工作的经验可用如下资历相抵:
满1年的审计工作经验,或
满1年的信息系统工作经验,和/或
具有大专学历(大学60个学分或同等学历)。
●2年信息系统审计、控制与安全工作的经验可用学士学位(大学120个学分或同等学历)相抵。
● 1年信息系统审计、控制与安全工作的经验可用2年相关领域(计算机科学、会计、信息系统审计等)内从事大学专职讲师的经验相抵。无最高年限(即6年大学讲师经验等同于3年信息系统审计、控制与安全工作的经验)。
◆ 提出CISA资格申请并得到批准。
专业经验必须在申请前的10年之内获得,或在第一次通过考试之日的前5年之内。认证申请必须在通过CISA考试的5年之内提出。所有专业经验都必须由原雇主独立地确认。值得注意的是,很多人在具备所要求的经验之前就参加CISA考试。尽管在所有要求的资历未达到之前不会被授予CISA资格证书,但这种作法是可以接受并值得鼓励的。
CISA的课程体系
一名合格的信息系统审计师需要在会计理论、审计理论、信息技术理论、行为科学、信息安全、法律等方面具背扎实的知识基础和综合运用知识的技能,通常,传统的学术环境中接受教育是完善审计师知识结构的基础。
本科教育的课程模式如下所示:
图221CISA本科教育课程模式
研究生教育的课程模式如下图所示:
图222CISA研究生教育课程模式
其中,选修课备选课程有:
●快速系统开发
●信息系统规划
●高级系统分析和设计
●软件质量保证
●广域网
●系统设计的人力因素
●网络管理
●业务系统分析
●商务经济
●高级办公系统
●决策支持的管理会计
●行政开发
●数据库设计和处理
●管理学
●高级财务管理
●信息系统完整性,保密性,可用性
CISA的实践技能
除了专业的信息系统审计知识基础之外,信息系统审计师还要具备丰富的实践经验,以便胜任对复杂性系统进行审计。信息系统审计师应该参与的实践包括:
●参加过不同类别的工作培训,尤其是在组织采用和实施新技术时,此外也参加组织内部计划的制定等。
●参与专业的机构或厂商组织的研讨会。这对于动态掌握信息技术的新发展以及解决审计难题的新方法十分具有价值。
● 信息系统审计师要具有沟通能力与技术能力(理解信息处理活动的各种技术,尤其是影响组织财务活动的技术),能够与来自各领域的管理者、用户、技术专家进行交流。
●信息系统审计师必须理解并熟悉操作环境,评估内部控制的有效性。
●信息系统审计师必须理解现有与未来系统的技术复杂性,以及它们对各级操作与决策的影响。
●信息系统审计师使用技术的方法去识别系统的完整性,该过程包括检查、测试、评估系统的内部控制。信息系统审计师是技术专家,能够为审计员工提供指导。
●信息系统审计师要参与评估与使用信息技术相关的有效性、效率、风险等。
●审计集成服务,与财务审计师一起对公司财务状况做出声明
此外,信息系统审计师还应该具备下列相关技能:
●内外部操作的一般控制
●网络相关的安全实践
●了解WinNT,UNIX等各种操作系统
●异步传输模式等通信技术
●电子资金转账
●ORACLE、DB2、SQLServer等数据库管理系统
●灾难恢复与业务持续计划
●系统开发方法论,安全控制设计,实施后评估等。
●信息安全服务,采用ISS,SATAN以及其他安全工具等进行渗透性测试。
CISA的组织机构
信息系统审计师和IT专家一样,经常从属于一个或多个职业协会,遵守各协会的职业道德准则,相关职业标准以及审计指南。有些组织已经颁布了一些实践准则,如:美国的认证公共会计师协会(American Institute of Certified Public Accountants: AICPA),内部审计师协会(Institute of Internal Auditors:IIA),国际会计师联盟(International Federation of Accountants:IFAC),加拿大注册会计师研究所(Canadian Institute of Chartered Accountants: CICA),美国信息系统审计与控制协会(Information Systems Audit and Control Association: ISACA)等。
目前,国际信息系统审计与控制协会(Information System Auditand Control Association)是唯一有权授予信息系统审计师资格的跨国界、跨行业专业机构,该协会成立于1969年,最初称为EDP审计师联合会,总部在美国的芝加哥。在全球100多个国家设有160多个分会,现有会员两万多人。它包含:
●设定的标准——一般作为世界范围内的IT审计、控制的指导方针
●一个令人尊敬的认证项目——在IS审计、控制、安全领域内国际上承认的项目
●一个关于关键的管理和技术主题的专业的发展项目
●提供赢得赞誉的技术出版物,包含最新的研究、案例学习、信息知识入门等
●指导会员专业的活动和操行的职业道德准则
注册信息系统审计师CISA(Certified Information System Auditor)资格由国际信息系统审计与控制协会授予,是信息系统审计领域的唯一职业资格,受到全世界的广泛认可。由于信息技术的国际性,国际信息系统审计师资格在世界任何一个国家的使用都不会受到任何制约。
CISA的职业发展
当前,随着信息技术的普遍应用,信息和信息技术已成为各单位最宝贵的资产和面对市场竞争的战略支撑,信息系统审计师正是面向这种需要的高级人才。
●信息系统审计师关注信息安全,没有安全就没有一切,信息系统审计师会采用各种方法来测试系统的安全性,并对来自内部和外部的安全隐患提出相应对策;
●信息系统审计师还要关注信息系统的稳定性,没有可靠的稳定性,信息系统就无法面对激烈市场竞争的压力,信息系统审计师会提出一系列策略保证客户信息系统的万无一失;
●信息系统审计师最擅长鉴别信息系统的有效性,最安全和最稳定的系统不一定是最有效的系统,而效率不高的系统就会消耗企业大量的资源,信息系统审计师的优势就是对财经管理和信息技术融会贯通,为业务信息系统的改造提供建议。
目前,国内持有CISA证书的人数累计应在一百人以内,而国内注册的咨询公司已达到了20000多家,知名的外资咨询公司、会计师事务所大多数也已经落户中国。同时,我国信息化工程建设发展迅猛,并且这些工程项目越来越大、越来越复杂,从而对信息系统工程咨询质量提出了更高的要求。更广泛地开展和加强对信息系统工程的审计与控制,不仅成为迫切需要,而且在实践上也呈日益增长之势。由于信息技术的国际性,国际信息系统审计师在国内同样胜任信息系统监理工作。
正是因为我国信息化建设的高速发展,对安全和风险管理的日益重视,导致此类人才严重的供给矛盾。因此,可以肯定,信息系统审计职业潜力巨大,在我国有广阔的发展前景。以下行业将首先对信息系统审计师表现出强劲的需求:
●软件供应商,特别是管理类的集成软件供应商,需要信息系统审计师参与产品设计、规划和检测,需要信息系统审计师对客户现有信息系统进行评价,提出改造设想。全球所有重要的ERP和CRM产品供应商都聘请大量信息系统审计师。
● 管理咨询机构,20世纪90年代以后,管理咨询的重点已经逐步发展为提供一揽子解决方案,其中信息系统的配置,就是解决方案成功的基础,国际知名的管理咨询机构中,有50%以上的员工熟悉信息技术,其中20%拥有信息系统审计师资格。
●会计师审计师事务所,是信息系统审计师最早的落脚点,“四大”国际会计公司超过30%的收入来自于风险管理部门,这个部门的最主要工作就是监控客户的信息系统风险和运营风险,同时为客户提供ERP或CRM的实施和培训。会计师审计师事务所中传统财务报表审计也越来越离不开信息系统审计师的贡献,没有他们的工作,评估内部控制风险和企业固有风险将成为一句空话。人们常常看到,“四大”会计公司里,最年轻的合伙人或经理,往往都是信息系统审计师,因为这是属于年轻人的工作。
●跨国公司,作为信息系统最集中的用户,跨国公司急需大量信息系统审计师,一方面参与信息化建设的过程,另一方面时刻保持对分支机构的信息监控。还有一种最新迹象表明,跨国公司内部审计部门也在大量招聘信息系统审计师,以加强内部的监督和牵制。
大型国有企业和上市公司,这些机构往往有雄厚的财力来实现管理的信息化、保证生产经营的稳定性,他们对信息系统审计师的要求和跨国公司类似。
信息系统审计业务将随着信息技术的发展而发展,为满足信息使用者不断变化的需要而增加新的服务内容,目前其基本业务如下:
●系统开发审计,包括开发过程的审计、开发方法的审计,为IT规划指导委员会及变革控制委员会提供咨询服务;
●主要数据中心、网络、通讯设施的结构审计,包括财务系统和非财务系统的应用审计;
●支持其他审计人员的工作,为财务审计人员与经营审计人员提供技术支持和培训;
●为组织提供增值服务,为管理信息系统人员提供技术、控制与安全指导;推动风险自评估程序的执行;
●软件及硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符审计;
●灾难恢复和业务持续计划审计;
●对系统运营效能、投资回报率及应用开发测试审计;
●系统的安全审计;
●网站的信誉审计;
●全面控制审计等。
更多资料见:www.ccidtraining.com
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:ERP信息系统审计师是怎样炼成的
本文网址:http://www.toberp.com/html/consultation/1082027426.html