内部审计师参与信息系统

信息系统审计和控制协会是什么组织？ 信息系统审计和控制协会（The Information System Audit and Control Asociation,ISACA)成立于1969年，是一个总部设在美国的芝加哥、拥有20000多名会员的跨国界、跨行业的专业机构，其前身为EDP审计师联合会。ISACA目前在世界上100多个国家设有160多个分会，其职责包括：（1）组织制定相关领域专业标准，其设定的标准目前被作为世界范围内IT审计、控制的指导方针；（2）提供IS审计、控制、安全领域内国际上承认的认证项目，如信息系统审计师资格认证；（3）研究关键的管理和技术主题的专业发展项目；（4）提供包含最新的研究、案例学习、信息知识入门等在内的专业出版物；（5）指导会员专业的活动和操行的职业道德准则。ISACA是目前唯一有权授予国际信息系统审计师资格的组织。 信息系统审计师（Certified Information System Auditor,CISA)，通常简称为IT审计师，是指获得信息系统审计和控制协会颁发的CISA资格证书的专业人士。他们既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉经济管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造的专业人士。由信息系统审计和控制协会颁发的信息系统审计师资格，现已成为国际信息系统审计、控制与安全专业领域公认的职业资格，也是国际信息系统领域唯一的一种职业资格。 信息系统审计师具体要做哪些工作？1．信息系统审计师首先要关注信息安全。采用各种方法来测试系统的安全性，并对来自内部和外部的安全隐患提出相应对策。2．信息系统审计师还要关注信息系统的稳定性。会提出一系列对策保证客户信息系统的万无一失。1．软件供应商，特别是经济管理类的集成软件供应商。他们需要信息系统审计师参与产品设计、规划和检测，对客户现有信息系统进行评价，提出改造设想。目前全球所有重要的ERP和CRM产品供应商都聘请大量信息系统审计师。2．管理咨询机构。20世纪90年代以后，国际管理咨询的重点已经逐步发展成为客户提供一揽子解决方案，其中信息系统的配置是解决方案获得成功的基础。因此，目前国际知名的管理咨询机构中，有50％以上的员工熟悉信息技术，其中20％拥有信息系统审计师资格。3．会计师事务所。会计师事务所也是信息系统审计师最早的落脚点。目前国际会计公司超过30％的收入来自于风险管理部门，而该部门最主要的工作就是监控客户的信息系统风险和运营风险，并为客户提供ERP或CRM的安装、维护和培训。另外，目前会计师事务所中传统财务报表审计也越来越离不开信息系统审计师。因为没有他们的工作，评估内部控制风险和企业固有风险都将成为一句空话。因此，目前的国际会计公司中，最年轻的合伙人或经理往往都是信息系统审计师。4．跨国公司。跨国公司作为信息系统最集中的用户，为参与信息化建设的过程，并时刻保持对分支机构的信息监控，急需大量信息系统审计师。还有一种最新迹象表明，跨国公司内部审计部门也在大量招聘信息系统审计师，以加强内部监督和牵制。5．大型国有企业和上市公司。这些机构往往有雄厚的财力来实现管理的信息化、保证生产经营的稳定性，他们对信息系统审计师的要求和跨国公司类似。

审计信息化是指内部审计组织以信息技术为手段，组织计划审计项目、实施审计的全过程，以及以确认审计风险或评价企业信息战略、优化组织运营为目标，对组织营运所依赖的信息系统进行独立的、客观的确认和咨询活动。基本原则：1．客观性原则。各地有各地的情况，每个审计机关也都有各自的情况，搞审计信息化要从客观实际和现实需求出发，当前最重要的是要防止贪大求全和“一窝蜂”。要做人力、物力和财力范围内的事，做到立足现实和长远打算相结合。2．重在应用原则。走审计信息化之路、目的是适应信息化社会的发展，更好的发挥审计免疫系统的功能，只有充分将其应用到审计实践中才能达到这一目的，否则搞再多的软硬件设施、装备都是摆设。3．开放性原则。金审工程的成果目前正在全面推广，这是审计信息化工作的统一要求，但各地审计机关在审计信息化工作中形成的有特色的工作方法、经验和成果应当予以继承和发展，不应轻易放弃，要鼓励“八仙过海、各显神通”。4．全员参与原则。审计信息化涉及全部审计人员，在这场审计技术变革中，没有人可以作壁上观，否则就将失去审计的资格。必然性：1．审计信息化是审计技术创新的最重要方面。从免疫过程看，发挥免疫作用的前提条件是免疫识别。审计要发挥“免疫系统”功能，首先要进行审计“免疫识别”。而审计“免疫识别”离不开先进的审计技术方法。就如同传统“望、闻、问、切”诊疗方法发展到各种高科技诊疗方法一样。随着信息技术的快速发展，传统手工条件下的审计技术遇到了来自计算机技术的严竣挑战。审计对象的信息化要求审计手段必须信息化，否则审计人员面临进不了门、打不开账的无奈局面。2．信息化审计手段的固有优势与“免疫系统”功能的特点相吻合。审计真正发挥“免疫系统”功能，其产生的作用与常规监督性审计的作用是有区别的，集中体现在“三性”上，一是宏观性，传统审计关注的都是某个具体的受托责任关系，而审计免疫系统论关注的则是整个社会经济系统中的受托责任关系。

”在承认内部审计环境差、工作难做的同时，其实与内部审计师是否称职有很大关系，因为取得CIA证书不等于就是合格的内部审计师，合格的内部审计师不仅应具备丰富的知识，还要具备一定的专业胜任能力，可见取得CIA证书只说明有从事内部审计工作的基础。那么，如何才能成为合格的内部审计师呢？ 首先，要知道合格的内部审计师需要掌握那些知识？ 1、具备一定的内部审计的知识。作为内部审计人员，掌握一定的审计知识是关键，就像医生需要掌握一定的医术一样是最起码的要求。 2、具备一定的财务知识。财务作为企业核心，除专门的信息中心外，归集的信息最为全面，掌握一定的财务知识，能使审计人员通过财务系统了解到很多的业务轨迹，为审计工作提供线索。 3、内部控制及风险管理。在面临各种风险的条件下，内部审计师必须理解风险管理的概念，风险和控制是一个问题的两个方面，只有风险而无控制就可能出问题，只将控制而无风险是在浪费资源。 4、公司治理。因内部审计与公司治理参与者之间存在着报告关系，掌握公司治理知识成为内部审计师的必需，将公司治理作为审计对象，能够促进公司治理与企业管理及其内部控制的整合。 5、信息技术。内部审计师必须迎接信息技术的挑战，要了解本单位的信息系统和各种审计软件，通过审计软件可以提高审计效率和审计质量。 6、单位的经营业务。熟悉本企业的经营业务对内部审计来说至关重要，若不懂本单位经营业务，就不能深入企业内部，去发现单位须改善的问题。 以上知识通过多看相关方面书籍就可以掌握，但是，学习知识不是目的，具备一定的能力才是关键，内部审计师需要具备哪些能力呢？ 1、分析问题的能力 分析问题贯穿于整个审计过程的始末，从制定审计计划、分析发现问题、寻求解决问题的办法等都需要内部审计师具备很强的分析问题的能力。 2、发现问题的能力 在一个陌生的组织中如何发现问题，是内部审计着每天都要面对的问题，发现问题是审计人员的天职，也是内部审计师的立身之本，如何发现问题需要内部审计师的敏感性和判断力。 3、解决问题的能力 只发现问题显然不够，还要与被审计单位一同寻求解决问题的办法，能把问题解决掉才有可能是被审计单位和管理当局接受审计意见，合格的内部审计师必须具备很强的解决问题的能力。 4、表达能力 不管有多么重大的审计发现，也不论有多么可行的问题解决方案，如果不能把问题和方案表达清楚，会使你的审计成果大打折扣，合格的内部审计师需要具有书面表达能力和口头表达能力。 5、人际交往技巧 由于内审人员经常发现被审者工作中错误或低效率的地方，所以内审人员经常会存在潜在的人际冲突，具有良好的沟通协调能力，以积极的态度运用人际交往技巧可以有效解决人际冲突。 知识掌握相对比较容易，而对于能力的提高不是只靠看书学习就能见效的，怎么才能把知识转化为能力呢？要使知识转化成能力，要在平时做到“三练”： 1、练思考 作为内部审计师，一定要锻炼自己的思考性，敏捷的思维非常关键，我们要在工作、学习、生活中有意培养我们的思维能力，要勤于思考，遇到一些事情和案例就主动去思考，思考时注意思维的逻辑性与严谨性。通过思考，把实践与理论知识紧密结合，做到“学为我所用”，通过思考，培养发现问题、分析问题、解决问题的能力，通过思考人与人之间的微妙关系，处理好人际交往。 2、练观点 凡事不仅要多思考锻炼自己的逻辑思维，还要通过理性的思维形成自己的观点，形成观点后要与他人的观点相比较，找出自己观点与他人观点的不同，必要时就不同的观点进行讨论，找出自己观点与他人观点的不同的根本原因。参与相关专题讨论也是锻炼观点的有效途径，我们应把握好讨论问题的机会，主动发表发言，来锻炼自己的看法与观点。 3、练表达 在工作和生活中，我们要认真把一件事情表述清楚，表达后要问听者是否听明白，有些人平时能把要说的事情表达清楚，可是一遇到一些事情可能由于紧张，总表达不清，这类人应多利用机会锻炼在公众场合发言，以摆脱怯场的心理，来提高自己的口头表达能力。 平时多练笔，写出自己做过的事情和想法，是提高书面表达能力的有效途径，多参与网上专业论坛讨论、多向报刊杂志投稿都可以提高我们的书面表达能力，写作时应注意尽量将专业语言转化成通俗易懂的大众化语言，以使自己以后撰写的审计报告能让报告接受者看明白。 相信，通过学习以上的审计相关知识，平时注意“三练”，培养和提高专业胜任能力，合格的内部审计师将触手可及。

随着企业信息化工作从初期的关注系统建设到目前关注信息化效益，由“功能驱动”转向“价值驱动”，IT系统、制度和流程等日常的执行和管控已经日益重要起来，并正在成为企业信息化工作的主要内容。在这种情形下，建立一套有效的IT内部审计体系以完善组织整体信息化体系，并确保信息化体系的有效运行尤为显得更有意义。

那么到底何为IT审计？IT审计的对象范围有哪些？作为企业，建立一个完善的IT审计制度需要怎么做？针对诸多疑问，IT审计专家时代新威来为您解答！IT审计就是信息系统审计，也称IT监查，是独立于信息系统本身、信息系统相关开发、使用人员的第三方－IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。 IT审计的出处源自60年代IBM出版的《Audit encounters Electronic Data Processing》等有关在EDI环境下进行审核和组织的论述。不久后有关该方面的研究结果不断涌现， IT审计的雏形初步形成。但是由于信息系统在社会上尚未得到较为广泛的应用，因此IT审计并未在社会上形成意识。

IT审计-对象范围

IT审计设计整个信息系统的生命周期，IT审计不是单纯强调对软硬件的审计。它的审计对象涵盖整个信息系统所有活动和中间产物，并包括信息系统实施相关的外部环境。一般来说，对企业实施IT审计的对象有：本企业内的IT审计师、外部IT审计事务所委托审计师和国家审计机构。IT审计按照信息系统的生命周期分为业务计划审计，业务开发审计、业务执行审计和业务维护审计以及涵盖整个信息系统周期的共通业务审计。1、业务计划审计主要面向信息系统的企划，对信息系统的投资可行性，系统规划与公司战略的相关性，系统开发计划的可行性以及系统需求的完整性和正确性进行审核和验证。2、业务开发审计对信息系统开发的各个阶段的相关人员的活动、信息、中间产物进行审核，确认这些活动、信息和中间产物的规范性、有效性和对于信息系统目标的针对性。3、业务执行审计确认与信息系统运行相关的数据、软硬件、安装环境等是否符合信息系统的运营要求，同时对信息系统的功能、性能、易用度、可操作性等进行评估。4、业务维护审计对信息系统的维护活动和维护结果实施审核和评价。发现在维护中可能出现的各种漏洞和信息系统维护中急待改善的问题。5、共通业务审计涉及文档管理、进度管理、人员管理、采购管理、风险管理等，检查这些过程的规范性和有效性，并提出改良建议。

IT审计-审计制度

作为企业，建立一个完善的IT审计制度需要做到以下几点：(1)IT审计师是跨信息技术和审计技术的复合型人才，要实施企业的IT审计制度，必须重视和培养合格的IT审计师；(2)企业应该建立相应的IT审计部门或审计岗位，确定其部门和岗位职责，并将之置于企业经营者的直接管理之内；(3)企业应该制定相应的IT审计准则、实施报表、报告等进行IT审计所必须的凭据；只得一提的是，企业在建立IT审计制度时应当遵循国家相关IT审计的法规并结合本企业的业务实际进行。企业的IT审计制度不是一成不变的，根据具体企业的营运情况可以在每个审计年度终结后新的审计年度开始前做相应的修改和增删。

IT审计-注意事项

作为企业，建立一个完善的IT审计制度需要做到以下几点：(1)IT审计师是跨信息技术和审计技术的复合型人才，要实施企业的IT审计制度，必须重视和培养合格的IT审计师；(2)企业应该建立相应的IT审计部门或审计岗位，确定其部门和岗位职责，并将之置于企业经营者的直接管理之内；(3)企业应该制定相应的IT审计准则、实施报表、报告等进行IT审计所必须的凭据；企业在建立IT审计制度时应当遵循国家相关IT审计的法规并结合本企业的业务实际进行。企业的IT审计制度不是一成不变的，根据具体企业的营运情况可以在每个审计年度终结后新的审计年度开始前做相应的修改和增删。IT审计作为企业信息化过程中的重要环节，可以高效管理与企业信息系统开发、运行、维护及在整个生命周期中共同业务的相关风险，从而确保信息系统的安全。企业信息系统进行IT审计，客观评价系统实现其目标的完成程度和企业的收益程度，并对系统的实施和风险加以控制。IT审计对企业信息系统整体效能提升影响显着，是企业信息化的可靠保证。