信息系統(tǒng)審計(jì)作為新興的職業(yè)和學(xué)科體系,近年來(lái)逐漸升溫,信息系統(tǒng)審計(jì)師正以每年40%—50%的速度增加,也顯示了IS審計(jì)的發(fā)展需求。一方面,由于信息技術(shù)的發(fā)展,引起審計(jì)的范圍、審計(jì)的方法與審計(jì)的手段發(fā)生了變化,由傳統(tǒng)的手工審計(jì)、EDI審計(jì)和計(jì)算機(jī)輔助審計(jì),發(fā)展成為包括財(cái)務(wù)管理信息系統(tǒng)在內(nèi)的所有信息系統(tǒng)本身的安全性、保密性、完整性及其實(shí)現(xiàn)企業(yè)目標(biāo)的有效性進(jìn)行的審計(jì)。另一方面,信息技術(shù)的進(jìn)一步發(fā)展與普及,使得企業(yè)越來(lái)越依賴于信息系統(tǒng),要求對(duì)IT技術(shù)相關(guān)風(fēng)險(xiǎn)進(jìn)行審計(jì),并及時(shí)修正其內(nèi)部控制來(lái)控管這些風(fēng)險(xiǎn)。這些都促進(jìn)了信息系統(tǒng)審計(jì)學(xué)科的發(fā)展。
信息系統(tǒng)審計(jì)是一門綜合性交叉性學(xué)科。在IT環(huán)境下,審計(jì)理論基礎(chǔ)得到了不斷的增強(qiáng)和加固。信息技術(shù)學(xué)、信息經(jīng)濟(jì)學(xué)、信息博弈論以及與審計(jì)相關(guān)的其他學(xué)科領(lǐng)域共同組成了一個(gè)動(dòng)態(tài)的、多元性的審計(jì)理論基礎(chǔ),這些學(xué)科、領(lǐng)域的理論并非簡(jiǎn)單的疊加,而是按照一定的秩序、規(guī)則進(jìn)行有效的組合而形成的有機(jī)整體。在IT環(huán)境下,審計(jì)理論基礎(chǔ)為審計(jì)理論與其他學(xué)科理論提供了一個(gè)公共區(qū)域,各學(xué)科理論知識(shí)相互交叉、滲透、融合,共同組成一個(gè)有序的、交互滲透的、相互關(guān)聯(lián)的動(dòng)態(tài)網(wǎng)絡(luò),服務(wù)于審計(jì)理論。因而審計(jì)理論基礎(chǔ)是連接審計(jì)理論與其他學(xué)科體系的橋梁與紐帶,是審計(jì)理論與其他學(xué)科的交叉滲透區(qū)。
CISA簡(jiǎn)介
注冊(cè)信息系統(tǒng)審計(jì)師(CISA),也就是我們通常所說(shuō)的IT審計(jì)師,是指一批專家級(jí)的人士,既通曉信息系統(tǒng)的軟件、硬件、開(kāi)發(fā)、運(yùn)營(yíng)、維護(hù)、管理和安全,又熟悉業(yè)務(wù)運(yùn)營(yíng)管理的核心要義,能夠利用規(guī)范和先進(jìn)的審計(jì)技術(shù),對(duì)信息系統(tǒng)的安全性、穩(wěn)定性和有效性進(jìn)行審計(jì)、檢查、評(píng)價(jià)和改造。擁有CISA資格證書(shū)是持證人專業(yè)能力的展示,并成為專業(yè)程度的衡量基礎(chǔ)。隨著對(duì)信息系統(tǒng)審計(jì)、控制與安全專業(yè)人士需求量的增長(zhǎng),CISA已成為全球范圍內(nèi)個(gè)人與公司機(jī)構(gòu)不可或缺的認(rèn)證。CISA資格證書(shū)代表持證人以卓越的能力服務(wù)于公司并致力于信息系統(tǒng)審計(jì)、控制與安全領(lǐng)域。據(jù)2001年一項(xiàng)針對(duì)國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)會(huì)員中持有CISA證書(shū)的調(diào)查顯示,71%的受查者認(rèn)為,獲得CISA認(rèn)證對(duì)于他們的職業(yè)生涯有幫助。而對(duì)不論是否持有CISA證書(shū)的ISACA會(huì)員調(diào)查顯示,更有75%的受查者認(rèn)為通過(guò)CISA對(duì)于他們將來(lái)的職業(yè)生涯會(huì)有所幫助。因此,獲得CISA認(rèn)證可以促進(jìn)工作開(kāi)展或?yàn)槁殑?wù)升遷創(chuàng)造競(jìng)爭(zhēng)優(yōu)勢(shì)。
此外,這一認(rèn)證的意義還在于,也許本認(rèn)證對(duì)于個(gè)人當(dāng)前的工作并不是絕對(duì)必需的,然而越來(lái)越多的機(jī)構(gòu)希望員工得到CISA認(rèn)證。為了確保在全球市場(chǎng)中的成功,選擇一個(gè)建立在全球認(rèn)可技術(shù)實(shí)務(wù)基礎(chǔ)上的認(rèn)證是至關(guān)重要的。CISA所提供的就是這種認(rèn)證。CISA作為信息系統(tǒng)審計(jì)、控制與安全專業(yè)人員的資格證書(shū),受到全世界所有行業(yè)的廣泛認(rèn)可。
CISA的培養(yǎng)模式
CISA計(jì)劃對(duì)信息系統(tǒng)審計(jì)、控制與安全職業(yè)領(lǐng)域中具有卓越技能與判斷力的個(gè)人做出評(píng)估與認(rèn)證。若想獲得CISA認(rèn)證,申請(qǐng)人需要:
◆通過(guò)CISA考試;
◆遵守國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)的《職業(yè)道德規(guī)范》,此規(guī)范已列入《CISA考試申請(qǐng)人指南》中,供應(yīng)考人參考;
◆在信息系統(tǒng)審計(jì)、控制、或安全領(lǐng)域5年以上工作經(jīng)驗(yàn)的證明。具有下列同等經(jīng)驗(yàn),可申請(qǐng)免除該項(xiàng)經(jīng)驗(yàn),并應(yīng)獲得如下證明:
●1年以下的信息系統(tǒng)審計(jì)、控制與安全工作的經(jīng)驗(yàn)可用如下資歷相抵:
滿1年的審計(jì)工作經(jīng)驗(yàn),或
滿1年的信息系統(tǒng)工作經(jīng)驗(yàn),和/或
具有大專學(xué)歷(大學(xué)60個(gè)學(xué)分或同等學(xué)歷)。
●2年信息系統(tǒng)審計(jì)、控制與安全工作的經(jīng)驗(yàn)可用學(xué)士學(xué)位(大學(xué)120個(gè)學(xué)分或同等學(xué)歷)相抵。
● 1年信息系統(tǒng)審計(jì)、控制與安全工作的經(jīng)驗(yàn)可用2年相關(guān)領(lǐng)域(計(jì)算機(jī)科學(xué)、會(huì)計(jì)、信息系統(tǒng)審計(jì)等)內(nèi)從事大學(xué)專職講師的經(jīng)驗(yàn)相抵。無(wú)最高年限(即6年大學(xué)講師經(jīng)驗(yàn)等同于3年信息系統(tǒng)審計(jì)、控制與安全工作的經(jīng)驗(yàn))。
◆ 提出CISA資格申請(qǐng)并得到批準(zhǔn)。
專業(yè)經(jīng)驗(yàn)必須在申請(qǐng)前的10年之內(nèi)獲得,或在第一次通過(guò)考試之日的前5年之內(nèi)。認(rèn)證申請(qǐng)必須在通過(guò)CISA考試的5年之內(nèi)提出。所有專業(yè)經(jīng)驗(yàn)都必須由原雇主獨(dú)立地確認(rèn)。值得注意的是,很多人在具備所要求的經(jīng)驗(yàn)之前就參加CISA考試。盡管在所有要求的資歷未達(dá)到之前不會(huì)被授予CISA資格證書(shū),但這種作法是可以接受并值得鼓勵(lì)的。
CISA的課程體系
一名合格的信息系統(tǒng)審計(jì)師需要在會(huì)計(jì)理論、審計(jì)理論、信息技術(shù)理論、行為科學(xué)、信息安全、法律等方面具背扎實(shí)的知識(shí)基礎(chǔ)和綜合運(yùn)用知識(shí)的技能,通常,傳統(tǒng)的學(xué)術(shù)環(huán)境中接受教育是完善審計(jì)師知識(shí)結(jié)構(gòu)的基礎(chǔ)。
本科教育的課程模式如下所示:
圖221CISA本科教育課程模式
研究生教育的課程模式如下圖所示:
圖222CISA研究生教育課程模式
其中,選修課備選課程有:
●快速系統(tǒng)開(kāi)發(fā)
●信息系統(tǒng)規(guī)劃
●高級(jí)系統(tǒng)分析和設(shè)計(jì)
●軟件質(zhì)量保證
●廣域網(wǎng)
●系統(tǒng)設(shè)計(jì)的人力因素
●網(wǎng)絡(luò)管理
●業(yè)務(wù)系統(tǒng)分析
●商務(wù)經(jīng)濟(jì)
●高級(jí)辦公系統(tǒng)
●決策支持的管理會(huì)計(jì)
●行政開(kāi)發(fā)
●數(shù)據(jù)庫(kù)設(shè)計(jì)和處理
●管理學(xué)
●高級(jí)財(cái)務(wù)管理
●信息系統(tǒng)完整性,保密性,可用性
CISA的實(shí)踐技能
除了專業(yè)的信息系統(tǒng)審計(jì)知識(shí)基礎(chǔ)之外,信息系統(tǒng)審計(jì)師還要具備豐富的實(shí)踐經(jīng)驗(yàn),以便勝任對(duì)復(fù)雜性系統(tǒng)進(jìn)行審計(jì)。信息系統(tǒng)審計(jì)師應(yīng)該參與的實(shí)踐包括:
●參加過(guò)不同類別的工作培訓(xùn),尤其是在組織采用和實(shí)施新技術(shù)時(shí),此外也參加組織內(nèi)部計(jì)劃的制定等。
●參與專業(yè)的機(jī)構(gòu)或廠商組織的研討會(huì)。這對(duì)于動(dòng)態(tài)掌握信息技術(shù)的新發(fā)展以及解決審計(jì)難題的新方法十分具有價(jià)值。
● 信息系統(tǒng)審計(jì)師要具有溝通能力與技術(shù)能力(理解信息處理活動(dòng)的各種技術(shù),尤其是影響組織財(cái)務(wù)活動(dòng)的技術(shù)),能夠與來(lái)自各領(lǐng)域的管理者、用戶、技術(shù)專家進(jìn)行交流。
●信息系統(tǒng)審計(jì)師必須理解并熟悉操作環(huán)境,評(píng)估內(nèi)部控制的有效性。
●信息系統(tǒng)審計(jì)師必須理解現(xiàn)有與未來(lái)系統(tǒng)的技術(shù)復(fù)雜性,以及它們對(duì)各級(jí)操作與決策的影響。
●信息系統(tǒng)審計(jì)師使用技術(shù)的方法去識(shí)別系統(tǒng)的完整性,該過(guò)程包括檢查、測(cè)試、評(píng)估系統(tǒng)的內(nèi)部控制。信息系統(tǒng)審計(jì)師是技術(shù)專家,能夠?yàn)閷徲?jì)員工提供指導(dǎo)。
●信息系統(tǒng)審計(jì)師要參與評(píng)估與使用信息技術(shù)相關(guān)的有效性、效率、風(fēng)險(xiǎn)等。
●審計(jì)集成服務(wù),與財(cái)務(wù)審計(jì)師一起對(duì)公司財(cái)務(wù)狀況做出聲明
此外,信息系統(tǒng)審計(jì)師還應(yīng)該具備下列相關(guān)技能:
●內(nèi)外部操作的一般控制
●網(wǎng)絡(luò)相關(guān)的安全實(shí)踐
●了解WinNT,UNIX等各種操作系統(tǒng)
●異步傳輸模式等通信技術(shù)
●電子資金轉(zhuǎn)賬
●ORACLE、DB2、SQLServer等數(shù)據(jù)庫(kù)管理系統(tǒng)
●災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃
●系統(tǒng)開(kāi)發(fā)方法論,安全控制設(shè)計(jì),實(shí)施后評(píng)估等。
●信息安全服務(wù),采用ISS,SATAN以及其他安全工具等進(jìn)行滲透性測(cè)試。
CISA的組織機(jī)構(gòu)
信息系統(tǒng)審計(jì)師和IT專家一樣,經(jīng)常從屬于一個(gè)或多個(gè)職業(yè)協(xié)會(huì),遵守各協(xié)會(huì)的職業(yè)道德準(zhǔn)則,相關(guān)職業(yè)標(biāo)準(zhǔn)以及審計(jì)指南。有些組織已經(jīng)頒布了一些實(shí)踐準(zhǔn)則,如:美國(guó)的認(rèn)證公共會(huì)計(jì)師協(xié)會(huì)(American Institute of Certified Public Accountants: AICPA),內(nèi)部審計(jì)師協(xié)會(huì)(Institute of Internal Auditors:IIA),國(guó)際會(huì)計(jì)師聯(lián)盟(International Federation of Accountants:IFAC),加拿大注冊(cè)會(huì)計(jì)師研究所(Canadian Institute of Chartered Accountants: CICA),美國(guó)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(Information Systems Audit and Control Association: ISACA)等。
目前,國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(Information System Auditand Control Association)是唯一有權(quán)授予信息系統(tǒng)審計(jì)師資格的跨國(guó)界、跨行業(yè)專業(yè)機(jī)構(gòu),該協(xié)會(huì)成立于1969年,最初稱為EDP審計(jì)師聯(lián)合會(huì),總部在美國(guó)的芝加哥。在全球100多個(gè)國(guó)家設(shè)有160多個(gè)分會(huì),現(xiàn)有會(huì)員兩萬(wàn)多人。它包含:
●設(shè)定的標(biāo)準(zhǔn)——一般作為世界范圍內(nèi)的IT審計(jì)、控制的指導(dǎo)方針
●一個(gè)令人尊敬的認(rèn)證項(xiàng)目——在IS審計(jì)、控制、安全領(lǐng)域內(nèi)國(guó)際上承認(rèn)的項(xiàng)目
●一個(gè)關(guān)于關(guān)鍵的管理和技術(shù)主題的專業(yè)的發(fā)展項(xiàng)目
●提供贏得贊譽(yù)的技術(shù)出版物,包含最新的研究、案例學(xué)習(xí)、信息知識(shí)入門等
●指導(dǎo)會(huì)員專業(yè)的活動(dòng)和操行的職業(yè)道德準(zhǔn)則
注冊(cè)信息系統(tǒng)審計(jì)師CISA(Certified Information System Auditor)資格由國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)授予,是信息系統(tǒng)審計(jì)領(lǐng)域的唯一職業(yè)資格,受到全世界的廣泛認(rèn)可。由于信息技術(shù)的國(guó)際性,國(guó)際信息系統(tǒng)審計(jì)師資格在世界任何一個(gè)國(guó)家的使用都不會(huì)受到任何制約。
CISA的職業(yè)發(fā)展
當(dāng)前,隨著信息技術(shù)的普遍應(yīng)用,信息和信息技術(shù)已成為各單位最寶貴的資產(chǎn)和面對(duì)市場(chǎng)競(jìng)爭(zhēng)的戰(zhàn)略支撐,信息系統(tǒng)審計(jì)師正是面向這種需要的高級(jí)人才。
●信息系統(tǒng)審計(jì)師關(guān)注信息安全,沒(méi)有安全就沒(méi)有一切,信息系統(tǒng)審計(jì)師會(huì)采用各種方法來(lái)測(cè)試系統(tǒng)的安全性,并對(duì)來(lái)自內(nèi)部和外部的安全隱患提出相應(yīng)對(duì)策;
●信息系統(tǒng)審計(jì)師還要關(guān)注信息系統(tǒng)的穩(wěn)定性,沒(méi)有可靠的穩(wěn)定性,信息系統(tǒng)就無(wú)法面對(duì)激烈市場(chǎng)競(jìng)爭(zhēng)的壓力,信息系統(tǒng)審計(jì)師會(huì)提出一系列策略保證客戶信息系統(tǒng)的萬(wàn)無(wú)一失;
●信息系統(tǒng)審計(jì)師最擅長(zhǎng)鑒別信息系統(tǒng)的有效性,最安全和最穩(wěn)定的系統(tǒng)不一定是最有效的系統(tǒng),而效率不高的系統(tǒng)就會(huì)消耗企業(yè)大量的資源,信息系統(tǒng)審計(jì)師的優(yōu)勢(shì)就是對(duì)財(cái)經(jīng)管理和信息技術(shù)融會(huì)貫通,為業(yè)務(wù)信息系統(tǒng)的改造提供建議。
目前,國(guó)內(nèi)持有CISA證書(shū)的人數(shù)累計(jì)應(yīng)在一百人以內(nèi),而國(guó)內(nèi)注冊(cè)的咨詢公司已達(dá)到了20000多家,知名的外資咨詢公司、會(huì)計(jì)師事務(wù)所大多數(shù)也已經(jīng)落戶中國(guó)。同時(shí),我國(guó)信息化工程建設(shè)發(fā)展迅猛,并且這些工程項(xiàng)目越來(lái)越大、越來(lái)越復(fù)雜,從而對(duì)信息系統(tǒng)工程咨詢質(zhì)量提出了更高的要求。更廣泛地開(kāi)展和加強(qiáng)對(duì)信息系統(tǒng)工程的審計(jì)與控制,不僅成為迫切需要,而且在實(shí)踐上也呈日益增長(zhǎng)之勢(shì)。由于信息技術(shù)的國(guó)際性,國(guó)際信息系統(tǒng)審計(jì)師在國(guó)內(nèi)同樣勝任信息系統(tǒng)監(jiān)理工作。
正是因?yàn)槲覈?guó)信息化建設(shè)的高速發(fā)展,對(duì)安全和風(fēng)險(xiǎn)管理的日益重視,導(dǎo)致此類人才嚴(yán)重的供給矛盾。因此,可以肯定,信息系統(tǒng)審計(jì)職業(yè)潛力巨大,在我國(guó)有廣闊的發(fā)展前景。以下行業(yè)將首先對(duì)信息系統(tǒng)審計(jì)師表現(xiàn)出強(qiáng)勁的需求:
●軟件供應(yīng)商,特別是管理類的集成軟件供應(yīng)商,需要信息系統(tǒng)審計(jì)師參與產(chǎn)品設(shè)計(jì)、規(guī)劃和檢測(cè),需要信息系統(tǒng)審計(jì)師對(duì)客戶現(xiàn)有信息系統(tǒng)進(jìn)行評(píng)價(jià),提出改造設(shè)想。全球所有重要的ERP和CRM產(chǎn)品供應(yīng)商都聘請(qǐng)大量信息系統(tǒng)審計(jì)師。
● 管理咨詢機(jī)構(gòu),20世紀(jì)90年代以后,管理咨詢的重點(diǎn)已經(jīng)逐步發(fā)展為提供一攬子解決方案,其中信息系統(tǒng)的配置,就是解決方案成功的基礎(chǔ),國(guó)際知名的管理咨詢機(jī)構(gòu)中,有50%以上的員工熟悉信息技術(shù),其中20%擁有信息系統(tǒng)審計(jì)師資格。
●會(huì)計(jì)師審計(jì)師事務(wù)所,是信息系統(tǒng)審計(jì)師最早的落腳點(diǎn),“四大”國(guó)際會(huì)計(jì)公司超過(guò)30%的收入來(lái)自于風(fēng)險(xiǎn)管理部門,這個(gè)部門的最主要工作就是監(jiān)控客戶的信息系統(tǒng)風(fēng)險(xiǎn)和運(yùn)營(yíng)風(fēng)險(xiǎn),同時(shí)為客戶提供ERP或CRM的實(shí)施和培訓(xùn)。會(huì)計(jì)師審計(jì)師事務(wù)所中傳統(tǒng)財(cái)務(wù)報(bào)表審計(jì)也越來(lái)越離不開(kāi)信息系統(tǒng)審計(jì)師的貢獻(xiàn),沒(méi)有他們的工作,評(píng)估內(nèi)部控制風(fēng)險(xiǎn)和企業(yè)固有風(fēng)險(xiǎn)將成為一句空話。人們常?吹,“四大”會(huì)計(jì)公司里,最年輕的合伙人或經(jīng)理,往往都是信息系統(tǒng)審計(jì)師,因?yàn)檫@是屬于年輕人的工作。
●跨國(guó)公司,作為信息系統(tǒng)最集中的用戶,跨國(guó)公司急需大量信息系統(tǒng)審計(jì)師,一方面參與信息化建設(shè)的過(guò)程,另一方面時(shí)刻保持對(duì)分支機(jī)構(gòu)的信息監(jiān)控。還有一種最新跡象表明,跨國(guó)公司內(nèi)部審計(jì)部門也在大量招聘信息系統(tǒng)審計(jì)師,以加強(qiáng)內(nèi)部的監(jiān)督和牽制。
大型國(guó)有企業(yè)和上市公司,這些機(jī)構(gòu)往往有雄厚的財(cái)力來(lái)實(shí)現(xiàn)管理的信息化、保證生產(chǎn)經(jīng)營(yíng)的穩(wěn)定性,他們對(duì)信息系統(tǒng)審計(jì)師的要求和跨國(guó)公司類似。
信息系統(tǒng)審計(jì)業(yè)務(wù)將隨著信息技術(shù)的發(fā)展而發(fā)展,為滿足信息使用者不斷變化的需要而增加新的服務(wù)內(nèi)容,目前其基本業(yè)務(wù)如下:
●系統(tǒng)開(kāi)發(fā)審計(jì),包括開(kāi)發(fā)過(guò)程的審計(jì)、開(kāi)發(fā)方法的審計(jì),為IT規(guī)劃指導(dǎo)委員會(huì)及變革控制委員會(huì)提供咨詢服務(wù);
●主要數(shù)據(jù)中心、網(wǎng)絡(luò)、通訊設(shè)施的結(jié)構(gòu)審計(jì),包括財(cái)務(wù)系統(tǒng)和非財(cái)務(wù)系統(tǒng)的應(yīng)用審計(jì);
●支持其他審計(jì)人員的工作,為財(cái)務(wù)審計(jì)人員與經(jīng)營(yíng)審計(jì)人員提供技術(shù)支持和培訓(xùn);
●為組織提供增值服務(wù),為管理信息系統(tǒng)人員提供技術(shù)、控制與安全指導(dǎo);推動(dòng)風(fēng)險(xiǎn)自評(píng)估程序的執(zhí)行;
●軟件及硬件供應(yīng)商及外包服務(wù)商提供的方案、產(chǎn)品及服務(wù)質(zhì)量是否與合同相符審計(jì);
●災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計(jì)劃審計(jì);
●對(duì)系統(tǒng)運(yùn)營(yíng)效能、投資回報(bào)率及應(yīng)用開(kāi)發(fā)測(cè)試審計(jì);
●系統(tǒng)的安全審計(jì);
●網(wǎng)站的信譽(yù)審計(jì);
●全面控制審計(jì)等。
更多資料見(jiàn):www.ccidtraining.com
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:ERP信息系統(tǒng)審計(jì)師是怎樣煉成的
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1082027426.html