信息系統審計師

出自 MBA智库百科(https://wiki.mbalib.com/)

IT審計師（Certified Information System Auditor，CISA)

　　信息系統審計師是國際註冊信息系統審計師的簡稱，也稱為IT審計師，是指獲得信息系統審計和控制協會頒發的CISA資格證書的專業人士。他們既通曉信息系統的軟體、硬體、開發、運營、維護、管理和安全，又熟悉經濟管理的核心要義，能夠利用規範和先進的審計技術，對信息系統的安全性、穩定性和有效性進行審計、檢查、評價和改造的專業人士。由信息系統審計和控制協會頒發的信息系統審計師資格，現已成為國際信息系統審計、控制與安全專業領域公認的職業資格，也是國際信息系統審計領域唯一的一種職業資格。

　　隨著電腦技術在管理中的廣泛運用，傳統的管理、控制、檢查和審計技術都面臨著巨大的挑戰。在信息技術突飛猛進的網路時代，國際會計公司、專業咨詢公司和高級管理顧問都將控制風險、特別是控制電腦環境風險和信息系統運行風險作為現代審計、管理咨詢和服務的重點。由於普遍使用大型管理信息系統，幾乎所有的大型跨國公司，都非常重視對信息系統安全和穩定性的控制，常常高薪聘請IT審計師進行內部審計。在網路經濟迅猛發展的今天，IT審計師已被公認為全世界範圍內非常搶手的高級人才。

　　一、信息系統審計師首先要關註信息安全。採用各種方法來測試系統的安全性，並對來自內部和外部的安全隱患提出相應對策。

　　二、信息系統審計師還要關註信息系統的穩定性。會提出一系列對策保證客戶信息系統的萬無一失。

　　三、信息系統審計師最擅長鑒別信息系統的有效性。最安全和最穩定的系統不一定是最有效的系統，而效率不高的系統就會消耗企業大量的資源，信息系統審計師的優勢就是對財經管理和信息技術融會貫通，為企業信息系統的改造提供建議。

　　為了有效地實施信息系統審計，作為一個IT審計師，應具備待審計對象所要求的業務知識和豐富的信息系統開發經驗。

　　一、知識方面的要求如下：

　　1、信息系統計劃、開發和運營相關的知識：

• 信息系統構成相關的知識；

• 信息化戰略、構想、提案、立項等相關的知識；

• 系統設計、程式設計、軟體測試等相關知識；

• 系統操作、數據管理等相關知識；

　　2、信息系統審計實施相關的知識：

• 信息安全相關的知識；

• 經營管理方面的相關知識；

• 業務對象相關知識；

• 相關法律和法規；

　　二、能力方面的要求如下：

• 系統審計的相關能力；

• 審計的立項、分析、評價相關的能力；

• 信息收集、審核、審計方法掌握、技巧運用方面的能力；

• 審計報告製作能力；

　　IT審計師必須具備全面的電腦軟硬體知識，對電腦網路和信息系統的安全性具有高度而特殊的敏感意識，而且對財務會計和企業內部控制具有深刻的理解能力，要懂管理、懂經濟、懂審計、懂電腦、懂內部控制、懂網路技術，既是審計專家，又是信息系統專家，以對電腦信息系統及軟硬體的技術性審計來保證電腦審計質量的可靠性。

　　一、軟體供應商，特別是經濟管理類的集成軟體供應商。他們需要信息系統審計師參與產品設計、規劃和檢測，對客戶現有信息系統進行評價，提出改造設想。目前全球所有重要的ERP和CRM產品供應商都聘請大量信息系統審計師。

　　二、管理咨詢機構。20世紀90年代以後，國際管理咨詢的重點已經逐步發展成為客戶提供一攬子解決方案，其中信息系統的配置是解決方案獲得成功的基礎。因此，目前國際知名的管理咨詢機構中，有50%以上的員工熟悉信息技術，其中20%擁有信息系統審計師資格。

　　三、會計師事務所。會計師事務所也是信息系統審計師最早的落腳點。目前國際會計公司超過30%的收入來自於風險管理部門，而該部門最主要的工作就是監控客戶的信息系統風險和運營風險，併為客戶提供ERP或CRM的安裝、維護和培訓。另外，目前會計師事務所中傳統財務報表審計也越來越離不開信息系統審計師。因為沒有他們的工作，評估內部控制風險和企業固有風險都將成為一句空話。因此，目前的國際會計公司中，最年輕的合伙人或經理往往都是信息系統審計師。

　　四、跨國公司。跨國公司作為信息系統最集中的用戶，為參與信息化建設的過程，並時刻保持對分支機構的信息監控，急需大量信息系統審計師。還有一種最新跡象表明，跨國公司內部審計部門也在大量招聘信息系統審計師，以加強內部監督和牽制。

　　五、大型國有企業和上市公司。這些機構往往有雄厚的財力來實現管理的信息化、保證生產經營的穩定性，他們對信息系統審計師的要求和跨國公司類似。

　　目前國際上，信息系統審計與控制協會ISACA（Information System Audit and Control Association）是唯一有權授予國際信息系統審計師資格的跨國界、跨行業的專業機構。該協會成立於1969年，總部在美國的芝加哥。目前在世界上 100多個國家設有160多個分會，現有會員兩萬多人。

　　專業認證計劃傑出的標誌在於持證人提高了自身的價值並受到了人們的尊重。註冊信息系統審計師CISA（Certified Information System Auditor）資格由ISACA授予，是信息系統審計領域的唯一的職業資格，受到全世界的廣泛認可。由於信息技術的國際性，國際信息系統審計師資格在世界任何一個國家的使用都不會受到制約。獲得CISA資格證書有助於確立您作為一名合格的信息系統審計、控制和安全專業人才的聲望。不論你是希望促進你的工作表現還是得到職務升遷，擁有CISA資格證書會使你擁有他人無法企及的競爭優勢。

　　CISA認證的首次申請要求

　　成功通過CISA全部考試且滿足以下工作經驗要求：

　　申請認證時，必須具有最少五年的專業信息系統審計、控制、鑒證與安全等方面的工作經驗。具備下列條件者，可進行相應抵減：

• 最多可以用一年的信息系統經驗或一年非信息系統審計經驗抵減一年的工作經驗。

• 在大學完成60-120個學分（相當於兩年或四年大學學歷），不受10年先前經驗的限制，可以相應抵減一年或兩年的工作經驗。即使已獲取多個學位，最多也只能抵減兩年的工作經驗。

• 在開設ISACA模型課程的大學中獲得學士或碩士學位，則可抵減1年的工作經驗。有關這些學校的名單，請訪問www.isaca.org/modeluniversities。如果已經使用三年經驗抵減和教育豁免的規定，則不能使用本項規定。

• 從經認可的大學開設的信息安全或信息技術專業獲取的碩士學位可抵減一年的工作經驗。

　　例外情況：兩年相關領域（例如，電腦科學、會計、信息系統審計等）大學全職講師工作經驗可抵減一年的工作經驗。

　　工作經驗必須在CISA認證申請日之前的十年內，或首次通過考試之日起的五年內獲得。如果考生未在首次通過考試之日的五年內提交CISA認證的完整申請，則需要重新參加並通過考試。

　　有一點需要註意，許多人員都是先參加CISA考試，之後才獲取了相應的工作經驗。這種做法是我們認可並鼓勵的，不過，只有在滿足所有的要求之後，才能授予CISA認證。

　　CISA 認證的維持要求

　　只有在符合下列要求的情況下，才能保留CISA認證：

• 每年最少獲取20個CPE小時數並遞交報告，併在三年報告期內最少獲取120個CPE小時數並遞交報告。必須以三年為報告期，報告每年所獲取的CPE小時數。
• 向ISACA國際總部全額提交CPE維護年費。
• 如果在年度審計中被選擇，則根據要求作出回應並提交所需的CPE活動相關文檔，以證明所報告的小時數。
• 遵守《ISACA職業道德規範》的要求。

• 信息系統的審計流程 (14%)
• IT 治理與管理 (14%)
• 信息系統的購置、開發與實施 (19%)
• 信息系統的操作、維護與支持 (23%)
• 信息資產的保護 (30%)

　　考試試題為 200 道選擇題，每半年舉行一次考試，分別在 6 月份 和 12 月份，考試時間為 4 小時。考生可以選擇若幹種語言中的一種來參加考試。