所谓知识沉淀说的是前期运维工作中发生的成功案例,失败案例等没有进行有效盘点和总结并输出文档材料,没有知识复用是指在新的运维工作开展过程中没有参考或借鉴过往经验教训。明白这两个点要义那针对性的改善计划就可以顺势而出了:
1、知识沉淀:一是每个运维项目每个月(或季度)必须输出盘点报告(巡检报告);二是每个运维项目结束必须输出总结报告,总结在此过程中发现的好的建议或不足之处;三是将沉淀工作落实到人,每个运维工程师每个月(或季度)必须输出一份运维工作心得报告;
2、知识复用:一是在新的运维项目开始前必须对照过往同类型项目做必要的风险评估和预案制定;二是顾虑员工提案新的运维方案或运维技术。
之所以要不断的沉淀和复用,就是因为在内审或外审体系认证中,运维质量是可以,也是必须不断循环改善的,不能依赖于某一次重视或强抓,也不能依赖于某个领导或运维工程师。
it管理类证书
1CISA--国际资讯系统审计师
CISA已成为全球范围内个人与公司机构不可或缺的认证。CISA资格证书代表持证人以卓越的能力服务于公司并致力于资讯系统审计、控制与安全领域。拥有CISA资格证书是持证人专业能力的展示,并成为专业程度的衡量基础。随着对资讯系统审计、控制与安全专业人士需求量的增长
建立机构:
资讯系统审计与控制协会(ISACA)创始于1967年,当时它是由从事同类职业的人所组成的小团体——计算机系统的审计和控制对他们各自机构的运作都变得愈发关键——因此他们聚集起来讨论制定资讯集中化资源和本领域指导准则的必要性。在1969年,这个团体正式组建为EDP 审计师协会。在1976年,这个协会成立一项教育基金来开展大规模的研究工作,以拓展资讯产业管理与控制领域的知识与价值。
考试核心内容
资讯系统审计程式 (占10%)
IT治理 (占15%)
系统和基础建设生命周期管理 (占16%)
IT服务交付与支援 (占14%)
资讯资产的保护 (占31%)
灾难恢复和业务连续性计划 (占14%)
报考条件
1、大学专科以上,或在校本科生、研究生;
2、建议英语四级以上水平;
3、具备一定的审计知识和计算机知识(计算机基础知识、作业系统、网路、资料库、电子商务等)。
考试方式和时间
双语(英、汉考试),200道客观选择题,全部为笔答,考试时间共为4个小时。CISA每年6月和12月组织一次考试。
有效期:
证书有效期5年
教材及
参考资料:
教材: CISA Review Manual,2006 ISACA(英文教材)
资讯系统审计实务手册,2006,CISACA(中文教材)
CISA Examination Textbooks,Volumn 1: Theory, 3rd Edition, SRV
练习: CISA Review Questions, Answers & Explanations, CD-ROM 2006 ISACA
CISA Review Questions, Answers & Explanations Manual (625 Questions) 2006
CISA Review Questions, Answers & Explanations Manual (100 Questions), 2006 Supplement
CISA Examination Textbooks,Volumn 2: Practice, 3rd Edition, SRV
2CISM--注册资讯保安管理师
CISM作为ISACA/F释出的新一代金领职业认证,旨在把承担资讯保安管理职责的专业人员,打造成资深的资讯保安管理专家,。2003年首度在全世界范围开考,迄今已有千人获得注册资讯保安管理师(Certified Information Security Manager"500)证书
获得CISM的必备条件:
成功通过CISM认证考试
遵守职业道德规范
提交证据,证明已达到所必需的资讯保安工作经验的最低年限(一般通过CISA可以抵2年工作经验);
报名费:455美元(2月2日之前注册)或505美元(3月30日之前注册)。经本站报名费用分别为3960元和4400元人民币。
试卷语种:英语、日语(任选其一)
试题型别:200道(多选一)选择题
考试日期:每年6月和12月
CISM考试范围
资讯保安控制
风险管理
资讯保安计划管理
资讯保安管理
快速反应管理
参考资料 (每年都有更新版
CISM Review Manual 2006
CISM Review Questions, Answers & Explanations Manual 2006
CISM Review Questions, Answers & Explanations Manual 2005
后续教育计划?:
为成为和保持CISM,个人必须遵守CISM后续教育计划。该计划要求每年的后续教育时间不能少于20小时;而且,三年内不能少于120小时。
3CISSP--资讯系统安全认证专业人员
CISSP(Certified Information System Security Professional,资讯系统安全认证专业人员)是网路资讯保安认证中公认的最难的考试,也是公认的最权威的考试。CISSP可以证明证书持有者具备了符合国际标准要求的资讯保安知识水平和经验能力,并且是企业和组织提供寻找专业人员的凭证依据,目前很多跨国公司的职位说明书上就已经明确要求应聘者需要具备CISSP等相关资质。目前国内CISSP人数仅有200多人。
认证资格:
1必须至少有4年的安全从业经验,如果拥有大学本科学历,则只需要3年从业经验
从业经验的定义是:在10个CBK领域中的一个或多个领域从事有工资收入的安全专业工作。
登入控制系统和方法论
应用和系统开发
商业连续计划
密码技术
法律,研究和规范
*** 作安全
物理安全
安全的架构和模型
安全管理实践
通讯,网路和Inter安全
2必须同意遵守道德规范(Code of Ethics)
保护社会、全体国民和国家基础设施(Protect society, the monwealth, and the infrastructure)
具有诚实、正直、公正和合法的行为(Act honorably, honestly, justly, responsibly, and legally)
对雇主提供勤勉和胜任的服务(Provide diligent and petent service to principals)
发展和维护专家身份和荣誉(Advance and protect the profession)
3再认证或持续进修
必须持续进修,并于3年内获得120点Continuing Professional Education (CPE)信用分,否则必须重新参加考试,才能继续保有CISSP的资格。其中三分之二(80点)的信用分必须由直接参与相关安全工作获得,另外三分之一(40点)则可通过相关安全教育或培训获得。以此加强证书持有者的专业知识、技能以及竞争优势。
报名费用: 官方报价450美金(提前16天注册)和550美金(没提前注册),国内代理中心4150元人民币
参考资料:
The CISSP Prep Guide(CISSP复习指南)
The CISSP Prep Guide:Mastering the Ten Domains of Computer Security(涉及电脑保安的十个领域)
CISSP ALL-in-One
考试方式:
英文,250道题,6个小时完成
4ITIL认证体系
ITIL认证体系
ITIL认证体系由国际上四大权威机构联合运作,以保证这一证书的专业性、开放性、权威性、实用性、广泛接受和不断更新。四大执行机构分别是:
1、英国 商务部OGC,OGC是IT服务管理领域事实上的国际标准ITIL的所有者,ITIL一切所有权都属于OGC。OGC专门负责ITIL课程体系的开发,并不断提出更新。不断融合全球IT发展的最佳实践,OGC提名和选定其它组织或专家进行编写,同时组织世界各地的有关专家对这些原稿进行评审以保证其质量。但OGC本身并不涉足ITIL的培训和认证。
2、IT服务管理论坛ITSMF(IT Service Management Forum)是世界最大的IT服务管理使用者组织,致力于发展和推动IT服务管理最佳实践标准和认证。ITSMF是国际上唯一被认可的IT服务管理行业组织,在全世界设立了超过16个国家分会。
3、国际资讯科学考试协会EXIN(Examination Institute For Information Science),总部设在荷兰,向全球提供各种语言的ITIL考试。
4、资讯系统考试委员会ISEB(Information Systems Examination Board),总部设在英国,在英联邦国家俱有很大影响力,专门负责提供英文考试。
ITIL资格认证主要由EXIN和ISEB两大机构颁发,两者使用同样试卷,具有同等权威。EXIN和ISEB除自身提供考试外,二者在全世界都授权了很多专门的考试和培训机构,但ITIL资格证书统一由EXIN和ISEB颁发,证书具有全球通用性。EXIN和ISEB颁发的ITIL证书分为三个层次:
ITIL Foundation(Foundation Certificate in IT Service Management)这一认证针对从事IT服务管理的人员,要求了解IT服务管理的和IT基础设施的重要性,掌握服务管理的流程及相互间介面,ITIL的基本概念,ITIL中的十大流程以及各流程之间的关系。ITIL Foundation 是获取其他两个证书的基础,是对IIIL入门者的核心基础认证。考试采用多项选择题的形式,要求基本理解IT服务支援、交付的十大流程和一个Service Desk功能及相互关系;适用于实施IT组织的主管或相当级别人员参加。若只想通过ITIL Foundation的认证,培训并不是必需的,但EXIN和ISEB仍推荐您参加培训,因为通过培训您可以更快地掌握知识并且通过讲师的讲解更好地了解ITIL的精髓。ITIL Foundation 的考试有40道单项选择题,要求在1个小时内完成。目前ITIL认证没有中文试卷,全部是英文试题。 对于ITIL Foundation 的考试,只需达到65分以上(即40题中最少答对26题)即可通过考试并取得ITIL Foundation Certificate 证书。
ITIL Practitioner(Practitioner’s Certificate in IT Service Management)本认证针对从事IT服务管理特定流程的人员,要求他们具有一定的实践经验。获得该证书的人员可以针对所从事的流程进行记录、维护和提高等工作。深入理解ITIL的流程,学会设计和执行流程;适用于专注特定流程人员参加。你可以从Practitioner认证九门考试中任选一门考试作为你所从事的IT服务管理特定流程的认证。考试需花 2 小时完成,由单选题和问答题组成。
ITIL Manager(Manager’s Certificate in IT Service Management)该认证针对更高层的IT服务管理的人员,如IT服务管理经理人和顾问,尤其是那些负责ITIL实施或为ITIL实施提供建议的人员。EXIN和ISEB要求参加考试者必须经过ITIL认证培训机构的专业培训。通过2次各3小时的笔试与面试,要求参加考试者深入理解IT服务支援、交付的十大流程和一个Service Desk功能,并且掌握ITIL的实施;适合负责实施、或管理组织ITSM职能的高阶职员参加。参加经理人认证者除培训考试以外,还要增加3小时的论文答辩。ITIL Service Manager’s Certificate 笔试考试有两个部分:试卷一是Service Support;试卷二是Service Delivery。在考试前会给考生一个案例,考试题目中的60%都是基于这个案例。每一个部分都有5道开放式必答题,以essay的形式答题,两份试卷均要求在3小时内完成。该认证适合于IT 高阶经理或者咨询师。
获取ITIL认证的前提条件
EXIN 和ISEB建议各级认证考试的考生参加考试前先接受一定时期的培训。事实上,考虑到实施ITIL是一项实践性很强的专业性工作,参加培训有利于真正理解ITIL,学习成功经验。
参加ITIL Foundation考试没有特殊的条件(可以不经过培训),只要是从事IT服务管理的人员并拥有IT服务基本的知识均可参加ITIL认证考试。
凡已取得ITIL Foundation资格,并具有4年以上相关从业经验者,经过培训可以报名参加ITIL Practitioner专业技术认证。
参加ITIL Manager考试的人员需要具备以下条件:
参加由两大权威机构(EXIN或ISEB)授权的ITIL认证培训机构的培训。目前赛迪培训和HP管理学院都开设了相关课程的培训。
至少拥有5年以上从事IT工作的经历以及2年以上从事IT服务管理中高层工作的经验;
具有ITIL Foundation 的证书。
ITIL认证推荐教材
为了让ITIL考试认证学员顺利通过ITIL考试,EXIN和ISEB提供了以下参考书籍:
《IT Service Management, an introduction》
《Guide to IT Service Management》
《Service Support》
《Service Delivery》
管理类 证书劳动与社会保障专业就业方向为人力资源管理方面,但是和工商管理学院人力资源管理专业的学生比起来,此专业在简历初步筛选阶段容易吃亏。如果你想做人力资源管理方面的工作,建议可以考个助理人力资源师证书。同时,英语四六级和计算机二级都要过了,对找工作很有帮助。
想考一个it管理类证书,不知道该考什么?请大神指点IT管理类证书的我知道CISM的含金量非常高, 朋友在谷安学院参加的 ,已经通过考试了,年薪差不多30多万吧
物业管理类的权威证书办理物业公司需要办理相关的 企业营业执照(正副本)机构组织程式码 物业企业资质证书
个人需要办理相关证书的话,目前最有权威的就是2010年由国家建设部和人事部共同组织的(全国物业管理师),这个证目前考取比较难,需要的是各方面的知识,不单纯包含物业!
如果想单纯考取简单的个人证书满足办理物业公司条件的话,现在可以去当地物业主管部门联络全国物业管理人员从业上岗证,不过在过两年这些证件估计就会被 (全国物业管理师)所取代!
物业管理类证书有哪些物业方面的证书主要是建设部的:物业管理员、物业部门经理、物业企业经理
一般管理员证我们称为上岗证。物业经理证书根据物业公司资质管理办法,是用于物业公司资质注册和年检的,是这几个证书中含金量最高的证书。
还有人保部的注册物业管理师(报名条件上当地的人事考试院了解)
管理类学科有哪些证书必考
本科还是专科 专科:会计从业资格证(管理层看不懂财务报告笑死人),初级会计师或者经济师,大学英语四级 本科:专科基础上,大学英语六级 毕业后:国际内审师,金融分析师,投资分析师,注册会计师,注册税务师(说毕业后因为这些考试有学历要求,但你可以提前准备,毕业后一口气拿下)
经济管理类的证书有哪些?经济管理类的证书有:
1、注册会计师
2、CDA资料分析师
3、精算师
4、金融分析师
5、银行从业资格证书
6、经济师(初中高)
7、国际注册财务顾问师
8、注册估值分析师
9、证券从业资格证书
10、审计师
详细介绍:
1、注册会计师是依法取得注册会计师证书并接受委托从事审计和会计咨询、会计服务业务的执业人员。
注册会计师十分注重专业能力、综合素质和国际视野的培养,已成为各大企业和金融证券机构竞相争抢的物件,因此注册会计师队伍的需求还将进一步扩大。目前市场上财务管理类职业竞争异常激烈,普通和初级财务人员明显供大于求,但高阶人才却千金难觅。中国注册会计师职业的发展是未来必然趋势。
2、CDA资料分析师等级标准是根据过内各大企业对人才技术的需求而设立旨在为国内资料分析发展阶段提供一个权威、科学、专业的标准规范。
资料分析在国内算是刚刚起步的年头,随着所谓的13年“大资料元年”的兴起,资料分析已逐渐被企业各领域所重视。资料分析在国内说方兴未艾也太早,而顺应全球的趋势,这个行业还是具有着光明的前途。无论在网际网路,金融,零售,通讯,ZF等各领域,资料分析将发挥着巨大的价值。
3、精算师是指能够综合运用数学、统计学、经济学、金融学及财务管理等方面的专业知识及技能分析风险并量化其财务影响的专门职业人员。
随着世界各国保险业、社会福利业及咨询业的迅速发展,精算师在世界各国已经成为一种热门而诱人的职业。近年来,迅猛发展的中国保险业对精算技术和精算师的需求越来越迫切,精算教育也在全国逐步升温。
4、金融分析师有“全球金融第一考”之称,其CFA证书是证券投资与管理界的一种职业资格认证,是由美国投资管理与研究协会(AIMR)于1963年设立的,是目前全球规模最大的职业考试,也是全美重量级财务金融机构分析从业人员必备的证书。
对于雇主而言,CFA的一个吸引力在于其坚定地致力于规范道德 *** 守和解决利益冲突等复杂问题。在遭受信任危机重创的金融市场,聘用具备CFA资格的人士能够帮助恢复客户信任。全球的雇主和传媒都将CFA特许资格认证视为卓越的专业标准。凭著如此广泛的认同,CFA特许资格认证持证人在国际职场上享有明显的竞争优势。
5、银行从业资格证书由中国银行业从业人员资格认证办公室负责组织和实施银行业从业人员资格考试。
虽说银行从业资格证书与上述各大证书相比,含金量少了些,但如果有志于在银行业发展的同学们,还是可以考虑报考一下。
6、经济师作为一种职称,它能提高支撑所有者的待遇和威望。
作为高阶经济师,一般待遇6000以上,大城市在8000以上,上市公司待遇更高。经济师按照国家规定享有一定的待遇,由用人单位按月发给,由岗位津贴、书报费、交通费等构成。在很多单位,中级经济师可以享受科级干部的待遇、高阶经济师可以享受副处级干部的待遇。达到退休年龄退休时,按照退休时工资标准增加10%发给退休金。当然,经济师只是一个敲门砖,职业发展更多的是需要个人的素质和能力。
7、国际注册财务顾问师由美国国际认证财务顾问师协会(IARFC)推出并负责认证工作。国际注册财务顾问师(RFC)的主要职责是帮助家庭和个人进行合理的消费、储蓄、投资、投保以及作未来财务规划。
财务顾问师和我国目前提出的理财规划师相近,但财务顾问师是被世界各国认可的具有很高知名度的认证体系。
8、注册估值分析师认证考试是由注册估值分析师协会(CVA Institution)组织考核并提供资质认证的一门考试,旨在提高投资估值领域从业人员的实际分析与 *** 作技能。
所有希望在投资决策和专案估值有所提升和获得资格认证的人可以考虑这个证书。
9、证券从业资格证书考试是由中国证券业协会负责组织的全国统一考试,证券资格是进入证券行业的必备证书。
虽说此证书的含金量也并不十分的高,但如果想从事证券行业相关工作这个最基本的证书可不能没有。
10、审计师分为三个级别:即初级审计师,中级审计师,高阶审计师。审计专业技术资格考试由审计署和人事部共同负责。
审计师的职能,由公司法做出规定,主要是证实、稽核和纠正公司财务报表,保证公司的资产负债表、损益表以及一系列会计报表的真实性和正确性。为企业必不可少的人员。
工商管理类都需要考哪些证书1助理物业管理师:
大专以上学历,工作一年以上者;本科在读者;取得中级职业资格证书后,并经本职业高阶正规培训者均可报名。
2物业管理师
初中、中专高中文化程度必须取得初级资格证书,或经中级职业资格正规培训。大专以上文化程度可直接报名。国家劳动和社会保障部统一印制的职业资格证书
3专案管理师助理
取得员级职业资格证书后,工作两年;具有相关专业大专,本科,硕士毕业z书,工作一到三年,并经过助理级资格培训,取得结业证书。 国家劳动和社会保障部统一印制的职业资格证书
4人力资源管理员
取得初级资格工作 2年以上,经本专业资格培训。大专、本科相关专业毕业 国家劳动和社会保障部颁发职业资格证书,全国通用。
5助理人力资源管理师
具有本科学历工作 1年,专科学历工作2年,经过本专业高阶职业资格培训,取得结业证书者可报考助理级。
6人力资源管理师
大专、本科毕业工作 3年,并经人力资源管理师培训取得结业证。硕士学位工作1年,博士学位毕业后并经过高阶管理师职业资格培训,取得结业证书者。
如何考过人力资源师等管理类证书人力资源管理师报考条件:
(1)连续从事本职业工作13年以上。
(2)取得本职业三级企业人力资源管理师职业资格证书后,连续从事本职业工作5年以上。
(3)取得大学专科学历证书后,连续从事本职业工作7年以上。
(4)取得大学本科学历证书后,连续从事本职业工作5年以上。
(5)取得硕士研究生及以上学历证书后,连续从事本职业工作2年以上。
企业人力资源管理资格考试是由国家劳动部统一组织考试,考试合格后由国家劳动和社会保障部颁发。共有四个等级:人力资源管理员(国家职业资格四级)、助理人力资源管理师(国家职业资格三级)、人力资源管理师(国家职业资格二级)、高阶人力资源师(国家职业资格一级)。
软件开发公司排行榜
极其流行,同样也是竞争力极其大的一种商业模式。虽然国内软件开发公司都发展壮大起来了,但是各地软件开发公司的实力及资质仍然参差不齐。下面为大家介绍下近期国内软件开发公司的排名汇总。
1:华盛恒辉科技有限公司
上榜理由:华盛恒辉是一家专注于高端软件定制开发服务和高端建设的服务机构,致力于为企业提供全面、系统的开发制作方案。在开发、建设到运营推广领域拥有丰富经验,我们通过建立对目标客户和用户行为的分析,整合高质量设计和极其新技术,为您打造创意十足、有价值的企业品牌。
在军工领域,合作客户包括:中央军委联合参谋(原总参)、中央军委后勤保障部(原总后)、中央军委装备发展部(原总装)、装备研究所、战略支援、军事科学院、研究所、航天科工集团、中国航天科技集团、中国船舶工业集团、中国船舶重工集团、第一研究所、训练器材所、装备技术研究所等单位。
在民用领域,公司大力拓展民用市场,目前合作的客户包括中国中铁电气化局集团、中国铁道科学研究院、济南机务段、东莞轨道交通公司、京港地铁、中国国电集团、电力科学研究院、水利部、国家发改委、中信银行、华为公司等大型客户。
2:五木恒润科技有限公司
上榜理由:五木恒润拥有员工300多人,技术人员占90%以上,是一家专业的军工信息化建设服务单位,为军工单位提供完整的信息化解决方案。公司设有股东会、董事会、监事会、工会等上层机构,同时设置总经理职位,由总经理管理公司的具体事务。公司下设有研发部、质量部、市场部、财务部、人事部等机构。公司下辖成都研发中心、西安研发中心、沈阳办事处、天津办事处等分支机构。
3、浪潮
浪潮集团有限公司是国家首批认定的规划布局内的重点软件企业,中国著名的企业管理软件、分行业ERP及服务供应商,在咨询服务、IT规划、软件及解决方案等方面具有强大的优势,形成了以浪潮ERP系列产品PS、GS、GSP三大主要产品。是目前中国高端企业管理软件领跑者、中国企业管理软件技术领先者、中国最大的行业ERP与集团管理软件供应商、国内服务满意度最高的管理软件企业。
4、德格Dagle
德格智能SaaS软件管理系统自德国工业40,并且结合国内工厂行业现状而打造的一款工厂智能化信息平台管理软件,具备工厂ERP管理、SCRM客户关系管理、BPM业务流程管理、
OMS订单管理等四大企业业务信息系统,不仅满足企业对生产进行简易管理的需求,并突破局域网应用的局限性,同时使数据管理延伸到互联网与移动商务,不论是内部的管理应用还是外部的移动应用,都可以在智能SaaS软件管理系统中进行业务流程的管控。
5、Manage
高亚的产品 (8Manage) 是美国经验中国研发的企业管理软件,整个系统架构基于移动互联网和一体化管理设计而成,其源代码编写采用的是最为广泛应用的
Java / J2EE 开发语言,这样的技术优势使 8Manage
可灵活地按需进行客制化,并且非常适用于移动互联网的业务直通式处理,让用户可以随时随地通过手机apps进行实时沟通与交易。
一、公司治理与风险导向内部审计紧密相连
(一) 良好的治理环境激发对内审的需求
20世纪90年代后,亚洲金融危机爆发,随后一系列舞弊案件陆续发生,直至安然、世通的重大舞弊事件,进一步凸显了公司治理的重要性。风险成为企业在治理过程中制定战略、科学决策时务必考虑的重要因素。公司治理研究的热点逐步演变为治理机制的质量问题。良好的治理环境需要有效的内部控制和风险监控。如果一个组织内部控制失败,就会大大影响组织目标的实现,影响组织价值增值。而组织中利益相关者无法亲自监督企业运营,激发了对受托责任的需求。治理的相关利益者寻求把内部审计作为受托责任的有效主体,履行对企业内部控制和风险的监督作用。内部审计被提升到公司治理的高度,为董事会和管理层的管理活动提供服务。
(二)公司治理与风险导向内审的融合
不断增加的风险因素成为连结公司治理与内部审计的桥梁。20 世纪末,在公司治理的广义概念中,风险成为公司治理必须考虑的重要因素。在风险力量的推动下,SOA发布后,董事会、高级管理层、内部审计和外部审计四者密切相关,成为治理的四大基础。其中内部审计在协调发展其他三个主体关系中发挥着重要的作用。2004 年COSO委员会正式发布了企业风险管理框架ERM。内部审计在ERM框架下,发展到风险导向阶段,提升到参与企业战略管理的分析评价。它与公司治理通过内部控制、风险、道德遵循等一致因素形成有机整合。内部审计成为利益相关者极具价值的资源,促进改善公司治理以实现组织目标。
二、风险导向内部审计的治理功能
(一) 确保受托责任履行
内部审计随着受托责任的延伸,得到了不断的发展变化。SOA明确要求上市公司应当成立内部审计机构,同时建立内部审计制度,以寻求将内部审计与公司治理相结合。IIA则要求董事会的公开报告中必须提交公司治理和内部控制情况。
(二) 风险评估与控制确认
公司治理的核心工作在于风险管理。风险导向内部审计通过评价被审计领域的现有风险,向管理层和审计委员会报告评估结果;制定整个组织风险的计划,领导风险管理活动;利用风险自我评估技术推进风险评价;评价与IT发展状况相联系的风险,如果风险超出可接受水平就终止该项目,协助管理层推行贯穿整个组织的风险模型。控制确认要求在职能范围内测试控制的遵循性,向管理层和审计委员会报告结果;协助管理层设计综合的评价方法;协助编制内部控制有效性的报告;识别重大控制缺陷,并向审计委员会报告;推行计算机测试技术;通过控制自我评估技术帮助理解和发展职责领域的控制。
(三) 遵循性与咨询服务
内部审计部门对企业经营者各项责任的履行情况、是否按照规定从事生产经营活动、有无违法乱纪行为以及会计报表是否真实进行评价和鉴定。咨询职能将事后的反馈职能扩展到事前、事中的控制与促进,通过咨询服务,可以从改善风险管理和控制流程中,向董事会提供关于风险管理和内部控制制度运行情况的分析和确认,保证受托责任的履行,最终帮助增加组织价值。
(四) 增加组织价值
现代内部审计就是以风险为导向,通过提供“确认——咨询”服务,改善公司治理、增加组织价值。确认与咨询活动共同构成风险导向内部审计的主要工作。内部审计通过确认活动,评价公司财务会计责任、评价财务报表的真实性、公司资产的完整性以及股东权益的'保障性,从而确认受托人的财务责任。咨询活动则是评价管理层经营责任,通过审查与评价经营管理活动,衡量经济性、效率性及效果性,向公司治理层提出咨询建议和改进意见。
三、我国公司治理中的风险导向内部审计
我国企业的内部审计是在行政干预下建立起来的。随着企业治理模式的变更,经济型治理模式逐步发展,内部审计的职能作用也在不断转变。实践表明,随着治理的发展和公司规模扩大,市场竞争愈加激烈,风险随之增加,公司就越需要来自内部的监督力量,内部审计机构的重要性则愈显突出。内部审计机构设置和人员配备也将愈加规范完善,以满足治理需求。当财务舞弊案件频发的时候,就会引发我们对内部审计监督成效的质疑,那就是在风险导向下,我国内部审计如何实现对治理的有效服务。
(一) 发展现状分析
1风险导向内部审计还未能真正深入公司治理层面
21世纪的公司治理和风险导向审计都进入了高速发展的新时代。关于风险导向审计和阐述内部审计治理功能的文献大量涌现。2004年,COSO委员会在COSO报告的基础上,正式发布了企业风险管理框架COSO-ERM,标志着风险成为公司治理、内部控制及内部审计重点关注的内容,ERM已将风险评价、风险反应等八大要素深入到企业战略目标层面,风险贯穿风险导向内部审计在治理控制的全过程。在我国实务中,上市公司是被公认关注治理的,《上市公司治理准则》也对设置审计委员会及其职责有明确规定。但其他企业有的内部审计尚未达到风险导向阶段,有的即使开展了风险导向审计工作,却尚未能有效地将风险控制应用到公司治理的全过程。可见在我国实务中,风险导向审计为公司治理提供多元化增值服务的能力还有待加强,风险控制的效率效果也有待进一步提高。
2公司治理模式对风险导向内部审计的影响
内部审计隶属模式直接影响内部审计的独立客观性,影响到对公司治理发挥作用的效率效果性。实践表明,内部审计隶属在总裁、董事会( 审计委员会) 的公司治理绩效优于隶属模式在监事会和财务部的公司。在这里必须要讲到审计委员会,它因强化内部审计独立客观性,加强财务报告真实可靠性,成为公司治理的一项重要制度。但由于我国公司治理结构的缺陷,审计委员会在我国发展还很不成熟。虽然近年来已经陆续有较多上市公司加入到设置审计委员会的行列,但其在我国上市公司的设置与运行的有效性令人堪忧。审计委员会在我国尚未形成完整的理论体系与规范方法。必须进一步加强公司治理模式的改革,有效提升审计委员会的地位和作用,才能提升内部审计的治理绩效。
(二) 完善内部审计,提升治理水平
1全面提高治理水平
良好的治理机制是内部审计发挥作用的基本保证,单纯依赖治理环境进行风险导向审计发现问题是不现实的。较差治理环境下的内部审计失败的可能性较大,特别是风险导向下,若董事会、股东机制不健全,内部审计独立性、权威性不足,信息披露不透明,就会影响到对风险评价和控制的效果。全面提升公司治理水平,董事会和利益相关者权益起了决定性作用。一方面,必须加强董事会在治理和内部审计上的功效; 另一方面,公司的信息披露机制和激励机制亟待进一步加强,以解决近年来审计失败和诉讼事件增加的根本矛盾。因此在完善内部审计机制的同时,不断提升治理水平势在必行。
2推进风险导向内部审计理念
2012年开始执行的新审计准则全面体现了风险导向审计的理念。我们应在内部审计实务工作中不断引入和实践风险导向审计理念,完善风险导向内部审计准则建设,充分认识到风险评价系统的重要性和必要性。有效识别、评估和应对经营风险和审计风险,进一步增强审计师识别和应对舞弊风险的能力,从而提高审计的效率和效果,最终达到控制风险的目的。
3完善审计委员会
审计委员会是独立于管理层的一个监督机构。其和监事会、内部审计部门相互协调合作才能有效提升公司治理效率。SOA法案把审计委员会提升为公司必须设立的法定审计监管机构。同时所有上市公司必须出具有关证明,证明其内部审计职能是否得到充分发挥。从图2看出,在完善的内部审计组织结构及报告模式中,审计委员会起着越来越重要的桥梁作用,主要职能表现在监督、复核、沟通和报告。
4建立内部审计的双重报告制度
内部审计部门具有较高的独立性,使得它能以超然的态度,作为治理层面一种良好的监控手段,站在企业全局的高度对风险进行监控与管理。同时,由于内部审计所处的特殊地位,可以直接向董事会报告,也能加强企业风险管理的有效性。因此,当首席审计执行官直接向总裁和董事会( 审计委员会)进行双重报告时,就能形成较好的治理机制。内部审计的这种双重报告模式,能充分体现受托责任,能有效提升治理效果。中国证监会和深交所就要求上市公司设立内部审计机构,直接对董事会负责。
5拓展风险导向内部审计参与公司治理的内容
在经济环境日益复杂的今日,企业竞争日趋激烈,经营管理也愈发艰难,内部审计迫切需要进入高风险领域,对财务及非财务领域的相关信息、对影响管理水平的风险因素进行深入分析,从而进行评价和控制,防止重大舞弊和资产流失。从战略层面进行有效的风险防控,可以在战略层面向管理者提供内部控制和风险管理的建议,实现审计工作的事前服务职能。从内部审计的发展转变历程来看,它从财务审计、经营审计,发展到现代治理型内部审计模式,即伴之以内控评审、风险管理审计、战略审计、3E审计、舞弊审计等内容并存的模式,这种多元化的发展模式必将成为我国风险导向内部审计未来的发展模式。良好的治理要求强而有力的监督环境。此需求推动了内部审计向风险导向阶段发展,并且逐步丰富其内涵。然而,组织的最终目的是增加价值,如此强有力的监督是否影响企业的激励机制,是否导致管理者循规蹈矩而削弱其改革创新的能力,内部审计在工作中也面临如何权衡严肃监督机制和促进企业增值两者间的关系。如何在合法、合理的情况下平衡企业经营活动的“3E”性( 即经济性、效率性和效果性) ,有待进一步地探索研究。
一、引言
信息系统审计(IS Audit)的概念最早出现于20世纪60年代,会计电算化的发展使得审计人员开始关注电子数据的采集、分析与处理,被人们称为EDP审计,这是信息系统审计的早期萌芽。20世纪90年代,信息系统日益复杂,如何保障信息系统的安全、可靠和有效变得越来越重要,信息系统审计开始在美、日、澳、英等国普及起来。2001年,国家审计署将注册信息系统审计师(CISA)考试引入我国,十余年来各行各业都开展了如火如荼的信息系统审计实践。准则是审计工作的基本规范,信息系统审计准则是信息系统审计师共同遵循的标准,对于促进信息系统审计行业发展具有重要意义。日本通产省 (Ministry of Economy Trade and Industry,简称METI)早在1985年就颁布了信息系统审计准则,还成立了日本系统审计师协会 (JSSA)。
美国也成立了信息系统审计与控制协会(ISACA),制定和颁布了一系列信息系统审计准则指南,并在全球
范围内应用推广。我国审计署以实务公告形式颁布了《信息系统审计指南》,中国内部审计协会也以具体准则形式颁布了信息系统审计准则,为规范我国的信息系统审计实践提供了重要参考。然而,由于信息系统审计的技术复杂性,以及我国信息化发展的阶段特征等客观原因,目前我国的信息系统审计理论与实务研究都尚处于百花争放时期,关于信息系统审计对象、范围和目标等基础概念的理解众口不一,更是缺少系统化的信息系统审计准则体系,严重制约了我国信息系统审计行业的发展。
二、信息系统审计概念内涵
信息系统审计概念,国内外尚没有统一定义。美国著名学者Ron A·Weber认为,IS审计是一个获取证据,对信息系统是否能保证资产的安全,数据的完整,以及是否有效的使用了组织资源并有效地实现了组织目标做出评价和判断的过程。该定义得到较为广泛的流传,印度审计署颁布的IT审计手册也采用了该定义。ISACA协会则认为,信息系统审计是一个搜集和评估证据过程,以确定信息系统和相关资源是否受到充分保护、是否能保障数据和系统的完整性、是否能提供相关和可靠信息、是否有效使用组织资源以实现组织目标,并建立了有效内部控制体系可以合理保障组织运营和控制目标。日本通产省(METI)在1996年修订了信息系统审计准则,指出信息系统审计是为了信息系统的安全、可靠与有效,由独立于审计对象的IT审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合检查与评价,向IT审计对象的最高领导,提出问题与建议的一连串的活动。中国内审协会颁布的《中国内部审计具体准则28号——信息系统审计》中指出,信息系统审计是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。国家审计署颁布的《信息系统审计指南———计算机审计实务公告第34号》认为,信息系统审计是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。
上述定义有差异,也有共同之处,本文从审计目标、审计对象和审计内容这些概念进行了对比分析。
目前学术界和业界对于信息系统审计的对象有较为统一认识,但学者们对审计目标、审计内容的理解存在较大分歧。信息系统审计是源于信息系统和审计理论的新兴交叉学科,观点分歧代表了信息系统审计的不同定位。日本的信息系统审计师考试是一种全国信息处理人员水平考试,因此日本信息系统审计强调对信息技术和软件规划开发等内容的审计,并不提及审计师的专业判断;其它观点多出自审计师视角,审计师们通常更多关注控制与风险,所以审计内容通常是一般控制和应用控制审计等;另外,审计又区分为国家审计,社会审计与内部审计,有着不同业务领域性质与要求,导致各领域对信息系统审计目标理解的多样化。
基于上述讨论,本文提出信息系统审计是审计主体遵循一定标准规范搜集与评估证据,判断信息系统及相关资产的安全性、可靠性和有效性,提出审计意见与建议,促进被审计单位信息系统实现组织目标的行为。从该定义可知,信息系统审计的对象是系统及相关资产,主要包括计算机硬件、软件、网络基础设施、数据、人和相关管理制度。信息系统审计有三大目标:安全性、可靠性和有效性。其中,系统安全性是指信息系统资源是否受到妥善保护,不因自然和人为的因素而遭到破坏、更改或者泄露系统中的信息。系统可靠性包括三个方面的内涵:硬件、软件和数据的可靠性。硬件的可靠性是指在一个指定的时间周期内,在给定的'控制条件下,硬件系统执行所需功能的成功概率。软件的可靠性是指在运行环境中,在规定的运行时间内或规定的运行次数下,程序和所有数据元素运行不同测试用例的无差错概率。数据的可靠性是指数据的真实、准确和完整,它取决于系统对数据的处理过程是否准确无误,以及确保数据可靠的控制措施是否有效。系统有效性也有三方而的内涵:一是指信息系统的处理过程是否符介国家法律和有关规章制度的要求(合规性);二是指信息系统是否能够实现既定的业务目标(效益性);三是指系统的效率性即系统利用各种资源输出用户所需要信息的及时程度和运行速度。
三、信息系统审计准则国际经验
目前,国际上影响力较大的信息系统审计准则有四个,分别是国际信息系统审计与控制协会(ISACA)、日本通产省信息系统审计标准,以及国际内部审计师协会(IIA)颁布的全球技术审计指南和美国审计总署(GAO)颁布的联邦信息系统控制审计手册。
(一)ISACA的信息系统审计准则体系1994年,电子数据审计师协会(EDPAA)更名为ISACA协会,该协会是目前最有影响力的信息系统审计专业人员的国际性组织。它在全世界许多国家举办注册信息系统审计师(CISA)考试,还制定和颁布信息系统审计准则体系来规范和指导CISA工作。ISACA的信息系统审计准则体系由ISA标准、指南和程序三部分构成。信息系统审计标准是整体准则体系的总纲,是制定指南和程序的基础。审计标准规定了审计章程、独立性、职业道德和胜任能力,以及审计工作执行的基本行为规范,是CISA执行审计业务必须遵循的标准,具有强制性。目前ISACA共颁布了16条审计标准,42项审计指南,为CISA执行审计业务中如何遵守审计标准提供指引,任何偏离指南的行为必须有充分的理由,属于“强烈推荐遵循”。审计程序是依据审计标准与审计指南制定的,为CISA提供审计业务的程序与步骤,类似一种工作范例,并不强制要求。到目前为止有效的ISA程序共有9 项。
(二)日本的信息系统审计准则日本通产省(METI)于1985年发布了信息系统审计准则,1996年进行了修订。该准则由一般标准、执行标准和报告标准三部分组成。一般标准描述了信息系统审计的目标、对象、人员和流程等。执行标准描述了信息系统审计的具体实施内容,强调系统审计师应关注信息系统规划、开发到运行全生命周期各阶段的风险。报告标准描述了信息系统审计结果的收集整理,以及根据审计结论应采取的措施。
(三)IIA的全球技术审计指南(GTAG) 国际内部审计师协会(IIA)的内部审计国际实务准则框架(IPPF)是内部审计规范体系的标杆。IIA非常重视信息系统审计,IPPF在“实务指南”层次用相当篇幅详细规范了信息系统审计的内容与方法。自从2005年发布第1号全球信息技术审计指南(GTAG)指南起至今,IIA已发布了16项信息系统审计指南,内容涉及信息系统控制、应用控制审计、制订IT审计计划、IT项目审计和信息安全治理等等。
(四 )联邦 信息系统控制审计手册 (FISCAM)2009年美国审计总署(GAO)发布了联邦信息系统控制审计手册(FISCAM),在该手册的指导下,GAO每年还安排若干审计项目对政府部门信息系统控制进行审查评估。FISCAM的IT控制包括一般控制和应用控制。其中一般控制包括:实体安全控制、访问控制、应用软件开发和变更控制、职责分离控制、应急计划;应用控制包括:应用级一般控制、输入控制、处理控制、输出控制、接口控制、数据管理系统控制。FISCAM对以上各类控制的审计程序与步骤进行了详细说明。
ISACA作为专门的信息系统审计与控制协会,建立了较为完整的信息系统审计准则体系,它采用总分式分层体系,16项审计标准是总纲,自2005年发布后基本保持稳定,而42项审计指南一半以上是新增或新修订的,不断更新的审计指南赋予了审计标准新的内涵与外延,审计程序则重在描述审计程序与步骤。日本通产省的审计准则采取一体化形式,整套准则的内容相当于ISACA的审计标准层次。
从准则具体内容上看,日本的信息系统审计师属于计算机行业,其审计标准具有明显信息技术特征,主要规范了信息系统审计目标、审计对象、审计人员资质和审计方法,尤其详细明确了信息系统规划、开发和运行全过程的关键风险点;而ISACA的审计标准更多关注信息系统审计的审计特征,主要规范审计权力责任、审计人员职业道德规范、审计计划、审计证据、审计记录、审计抽样和审计报告等内容。ISACA协会的审计指南与IIA协会的GTAG指南的 *** 作性程度不同,前者类似我国的具体准则,GTAG指南则围绕不同的审计业务详细描述审计工作思路,审计方法、技术与工具等。
从是否强制性要求来看,ISACA协会的准则体系中既包含强制性遵循的审计标准、强烈推荐遵循的审计指南和非强制性要求的审计程序,还包含ISACA制订或编写的出版物以支持实务工作。IIA协会的GTAG指南处于IPPF框架的实务指南层次,属于强烈推荐遵循;美国审计总署GAO颁布的FISACM是非强制性要求的手册,用以指导实务工作。
四、我国信息系统审计准则现状
我国目前颁布的信息系统审计准则规范屈指可数,主要有审计署以实务公告形式颁布的信息系统审计指南,中国内审协会发布的信息系统审计具体准则。
(一)信息系统审计指南为指导和规范国家审计机关组织开展信息系统审计,2012年,审计署发布了《信息系统审计指南———计算机审计实务公告第34号》。该指南在借鉴国外信息系统审计指南的基础上,结合国家审计机关依法审计的法定职能,以及我国目前信息系统审计实践现状,提出了包含应用控制审计、一般控制审计、项目管理审计3大块的信息系统审计内容框架,重点描述了89项审计事项的审计要点。此外,审计署还在2013年出版了与该指南配套的《信息系统审计实务》,针对指南的各审计事项,分别描述了审计目标、审计程序、应取得的资料和常见错弊与定性依据等。
(二)内部审计具体准则第28号———信息系统审计为规范组织内部审计机构及人员开展信息系统审计活动,保证审计质量,中国内审协会颁布了《内部审计具体准则第28号———信息系统审计》,自2009年1月1日起开始实施。该准则对信息系统审计的一般原则、信息技术风险评估、信息系统审计内容、信息系统审计方法,审计报告和后续工作共五个方面的内容进行了规定,明确提出信息系统审计包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。
综合来说,我国目前尚未建立信息系统审计行业协会,审计署发布了信息系统审计指南,属于非强制性要求,更高级别的强制性要求准则尚未发布;内审协会的信息系统审计具体准则虽属于强烈推荐遵循层次,但与IIA协会相比,其信息系统审计准则和相关指南还有极大的丰富与细化空间。总体来看,我国的信息系统审计准则体系缺少系统性与结构性,尚没有建立完整的信息系统审计准则体系。目前,国家审计、社会审计和独立审计都在各自业务领域内开展了一些信息系统审计实践探索,但各界人士对信息系统审计的基本原则与规范还缺少共识,长此以往将给我国信息系统审计行业发展带来混乱。
五、结论
信息系统审计准则是信息系统审计师共同遵循的标准,对促进我国信息系统审计行业发展具有重要意义。首先,从准则制定的社会背景来看,我国的社会信息化水平与美国、日本等国家存在客观的差距,ISACA,IIA和FISCAM等准则指南均基于相对完善的内部控制(IT控制)环境,而我国政府部门、企事业单位的信息化建设正处于飞速发展时期,大部分被审单位的IT控制体系尚在建立之中,如果按照国外规范开展我国信息系统审计,过于理想化的审计意见建议很难得到认同。
第二,从准则的框架结构来说,ISACA,IIA和日本通产省的框架结构,不太符合中国人的理解习惯。ISACA采用的审计标准、指南和程序的三层框架结构,跟我国的内部审计准则体系,注册会计师鉴证业务准则和国家审计准则采用的常用结构也不一样,不太符合我国审计师的认知习惯。
第三,从准则的具体内容来看,由于我国信息系统审计方面的法律法规还非常不完善。目前只有信息系统安全方面颁布了安全保护条例和强制性标准,IT运维服务、外包、信息资源开发利用,信息公开与政务服务等方面尚缺乏充分的审计依据。审计环境决定了我国信息系统审计准则在明确信息系统审计目标、规范信息系统审计内容等方面都需要充分考虑本土国情。但是,国外ISACA,IIA,FISACM等信息系统审计准则指南历经20多年的发展,已形成相对成熟的体系,相关观点已为我国审计师熟识。而且,国家的信息系统审计准则需要在国际舞台上相互交流与合作。
因此,制定我国信息系统审计准则需要遵循的重要原则是:坚持国际化与本土化相结合,既立足本土国情又实现国际接轨。本文借鉴ISACA,IIA和FISCAM等准则指南的优秀经验,参照我国国家审计准则的体系框架,考虑信息系统审计新业务的不同特征,尝试提出如下图1所示的中国信息系统审计准则体系框架。
该框架采用了审计准则、审计指南和实务手册三层结构。审计准则是强制性要求,审计指南是强烈推荐遵循,实务手册是非强制性要求。审计准则分成基本准则和具体准则两层,基本准则可包括五块内容,分别是总则、信息系统审计道德规范、信息系统审计作业准则、信息系统审计质量控制准则和附则。审计指南包括通用指南和专业指南两类,如面向一般信息系统的通用指南,针对电子政务、电子商务和ERP系统的专业指南,或者体现行业信息系统特征(如金融、通信行业)的专业指南等等。指南的内容框架可以采用一般控制和应用控制的基本框架,但在设计具体事项,或者明确审计内容重点时,应充分考虑我国企业或政府部门的信息化发展阶段及当前法律环境。实务手册是审计指南的具体化,详细规范审计内容、审计程序、审计依据、审计技术方法和典型错弊等相关知识点。实务手册可根据审计指南来加以制定,也可以针对某类突出问题(如电子银行、IT外包等)进行特别规范。
为逐步完善我国信息系统审计准则体系,我们建议采取如下策略:首先,以审计署为主导,协调整合中国注册会计师协会、内审协会以及高校的相关专家资源,组建信息系统审计准则研究课题组和专家咨询小组,激发信息系统审计职业界的积极讨论与参与。其次,成立类似ISACA的中国信息系统审计行业协会专门机构,以信息系统审计职业化建设为主线,组织修订与持续完善信息系统审计准则体系;组织信息系统审计师职业教育,提升信息系统审计师职业素质;总结我国信息系统审计优秀经验,积极开展与国外相关协会和政府机关之间的合作与交流。最后,人才是行业持续发展的源泉,也是准则规范有效实施的载体。建议增设我国信息系统审计师职业资格考试,明确我国信息系统审计师应具备的素质、知识与技能以及任职资格,既能保障准则规范的有效实施,也为促进我国信息系统审计行业发展提供人才支撑。
参考文献:
[1]张文秀:《国外信息系统审计规范、国家文化差异与制度移植》,《审计研究》2012年第5期。
[2]石爱中、周德铭、王智玉、杨蕴毅:《信息系统审计实务———中国计算机审计实务报告》,时代经济出版社2012年版。
是的,内审员有领域区分。内审员是指在组织内部进行审计的专业人员,他们的主要职责是审查组织的内部控制,确保组织的财务报告准确无误,并且及时发现和报告任何可能对组织造成损失的问题。内审员可以根据不同领域进行分类,比如财务审计、税务审计、信息系统审计、环境审计、运营审计等。
以上就是关于内审小组进一步访谈it运维团队发现运维团队无知识沉淀分享和复用的意识针对问题编写一份可行的改进计划全部的内容,包括:内审小组进一步访谈it运维团队发现运维团队无知识沉淀分享和复用的意识针对问题编写一份可行的改进计划、it管理类证书、求中国知名IT企业的资料等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)