信息系统审计师

出自 MBA智库百科(https://wiki.mbalib.com/)

IT审计师（Certified Information System Auditor，CISA)

　　信息系统审计师是国际注册信息系统审计师的简称，也称为IT审计师，是指获得信息系统审计和控制协会颁发的CISA资格证书的专业人士。他们既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉经济管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造的专业人士。由信息系统审计和控制协会颁发的信息系统审计师资格，现已成为国际信息系统审计、控制与安全专业领域公认的职业资格，也是国际信息系统审计领域唯一的一种职业资格。

　　随着计算机技术在管理中的广泛运用，传统的管理、控制、检查和审计技术都面临着巨大的挑战。在信息技术突飞猛进的网络时代，国际会计公司、专业咨询公司和高级管理顾问都将控制风险、特别是控制计算机环境风险和信息系统运行风险作为现代审计、管理咨询和服务的重点。由于普遍使用大型管理信息系统，几乎所有的大型跨国公司，都非常重视对信息系统安全和稳定性的控制，常常高薪聘请IT审计师进行内部审计。在网络经济迅猛发展的今天，IT审计师已被公认为全世界范围内非常抢手的高级人才。

　　一、信息系统审计师首先要关注信息安全。采用各种方法来测试系统的安全性，并对来自内部和外部的安全隐患提出相应对策。

　　二、信息系统审计师还要关注信息系统的稳定性。会提出一系列对策保证客户信息系统的万无一失。

　　三、信息系统审计师最擅长鉴别信息系统的有效性。最安全和最稳定的系统不一定是最有效的系统，而效率不高的系统就会消耗企业大量的资源，信息系统审计师的优势就是对财经管理和信息技术融会贯通，为企业信息系统的改造提供建议。

　　为了有效地实施信息系统审计，作为一个IT审计师，应具备待审计对象所要求的业务知识和丰富的信息系统开发经验。

　　一、知识方面的要求如下：

　　1、信息系统计划、开发和运营相关的知识：

• 信息系统构成相关的知识；

• 信息化战略、构想、提案、立项等相关的知识；

• 系统设计、程序设计、软件测试等相关知识；

• 系统操作、数据管理等相关知识；

　　2、信息系统审计实施相关的知识：

• 信息安全相关的知识；

• 经营管理方面的相关知识；

• 业务对象相关知识；

• 相关法律和法规；

　　二、能力方面的要求如下：

• 系统审计的相关能力；

• 审计的立项、分析、评价相关的能力；

• 信息收集、审核、审计方法掌握、技巧运用方面的能力；

• 审计报告制作能力；

　　IT审计师必须具备全面的计算机软硬件知识，对计算机网络和信息系统的安全性具有高度而特殊的敏感意识，而且对财务会计和企业内部控制具有深刻的理解能力，要懂管理、懂经济、懂审计、懂计算机、懂内部控制、懂网络技术，既是审计专家，又是信息系统专家，以对计算机信息系统及软硬件的技术性审计来保证计算机审计质量的可靠性。

　　一、软件供应商，特别是经济管理类的集成软件供应商。他们需要信息系统审计师参与产品设计、规划和检测，对客户现有信息系统进行评价，提出改造设想。目前全球所有重要的ERP和CRM产品供应商都聘请大量信息系统审计师。

　　二、管理咨询机构。20世纪90年代以后，国际管理咨询的重点已经逐步发展成为客户提供一揽子解决方案，其中信息系统的配置是解决方案获得成功的基础。因此，目前国际知名的管理咨询机构中，有50%以上的员工熟悉信息技术，其中20%拥有信息系统审计师资格。

　　三、会计师事务所。会计师事务所也是信息系统审计师最早的落脚点。目前国际会计公司超过30%的收入来自于风险管理部门，而该部门最主要的工作就是监控客户的信息系统风险和运营风险，并为客户提供ERP或CRM的安装、维护和培训。另外，目前会计师事务所中传统财务报表审计也越来越离不开信息系统审计师。因为没有他们的工作，评估内部控制风险和企业固有风险都将成为一句空话。因此，目前的国际会计公司中，最年轻的合伙人或经理往往都是信息系统审计师。

　　四、跨国公司。跨国公司作为信息系统最集中的用户，为参与信息化建设的过程，并时刻保持对分支机构的信息监控，急需大量信息系统审计师。还有一种最新迹象表明，跨国公司内部审计部门也在大量招聘信息系统审计师，以加强内部监督和牵制。

　　五、大型国有企业和上市公司。这些机构往往有雄厚的财力来实现管理的信息化、保证生产经营的稳定性，他们对信息系统审计师的要求和跨国公司类似。

　　目前国际上，信息系统审计与控制协会ISACA（Information System Audit and Control Association）是唯一有权授予国际信息系统审计师资格的跨国界、跨行业的专业机构。该协会成立于1969年，总部在美国的芝加哥。目前在世界上 100多个国家设有160多个分会，现有会员两万多人。

　　专业认证计划杰出的标志在于持证人提高了自身的价值并受到了人们的尊重。注册信息系统审计师CISA（Certified Information System Auditor）资格由ISACA授予，是信息系统审计领域的唯一的职业资格，受到全世界的广泛认可。由于信息技术的国际性，国际信息系统审计师资格在世界任何一个国家的使用都不会受到制约。获得CISA资格证书有助于确立您作为一名合格的信息系统审计、控制和安全专业人才的声望。不论你是希望促进你的工作表现还是得到职务升迁，拥有CISA资格证书会使你拥有他人无法企及的竞争优势。

　　CISA认证的首次申请要求

　　成功通过CISA全部考试且满足以下工作经验要求：

　　申请认证时，必须具有最少五年的专业信息系统审计、控制、鉴证与安全等方面的工作经验。具备下列条件者，可进行相应抵减：

• 最多可以用一年的信息系统经验或一年非信息系统审计经验抵减一年的工作经验。

• 在大学完成60-120个学分（相当于两年或四年大学学历），不受10年先前经验的限制，可以相应抵减一年或两年的工作经验。即使已获取多个学位，最多也只能抵减两年的工作经验。

• 在开设ISACA模型课程的大学中获得学士或硕士学位，则可抵减1年的工作经验。有关这些学校的名单，请访问www.isaca.org/modeluniversities。如果已经使用三年经验抵减和教育豁免的规定，则不能使用本项规定。

• 从经认可的大学开设的信息安全或信息技术专业获取的硕士学位可抵减一年的工作经验。

　　例外情况：两年相关领域（例如，计算机科学、会计、信息系统审计等）大学全职讲师工作经验可抵减一年的工作经验。

　　工作经验必须在CISA认证申请日之前的十年内，或首次通过考试之日起的五年内获得。如果考生未在首次通过考试之日的五年内提交CISA认证的完整申请，则需要重新参加并通过考试。

　　有一点需要注意，许多人员都是先参加CISA考试，之后才获取了相应的工作经验。这种做法是我们认可并鼓励的，不过，只有在满足所有的要求之后，才能授予CISA认证。

　　CISA 认证的维持要求

　　只有在符合下列要求的情况下，才能保留CISA认证：

• 每年最少获取20个CPE小时数并递交报告，并在三年报告期内最少获取120个CPE小时数并递交报告。必须以三年为报告期，报告每年所获取的CPE小时数。
• 向ISACA国际总部全额提交CPE维护年费。
• 如果在年度审计中被选择，则根据要求作出回应并提交所需的CPE活动相关文档，以证明所报告的小时数。
• 遵守《ISACA职业道德规范》的要求。

• 信息系统的审计流程 (14%)
• IT 治理与管理 (14%)
• 信息系统的购置、开发与实施 (19%)
• 信息系统的操作、维护与支持 (23%)
• 信息资产的保护 (30%)

　　考试试题为 200 道选择题，每半年举行一次考试，分别在 6 月份 和 12 月份，考试时间为 4 小时。考生可以选择若干种语言中的一种来参加考试。