11 绪论
2006年5月份,中国政府发表《2006一2020年国家信息化发展战略》。该份文件明确指出:”信息化是当今世界发展的大趋势,是推动经济社会变革的重要力量。大力推进信息化,是覆盖我国现代化建设全局的战略举措,是贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型国家的迫切需要和必然选择“。国家信息化发展战略中明确提出:”加强信息资源的开发利用,要建立和完善信息资源开发利用体系,加强全社会信息资源管理,促进信息资源的优化配置,实现信息资源的深度开发,满足经济社会发展优先领域的信息需求“。文件还提出:”要大力发展以数字化、网络化为主要特征的现代信息服务业,促进信息资源的开发利用。充分发挥信息资源开发利用对节约资源、能源和提高效益的作用,发挥信息流对人员流、物质流和资金流的引导作用,促进经济增长方式的转变和资源节约型社会的建设“。
在2006年1月20日”2006政府、行业应用工作会议“上,72位部委、主管行业信息化建设的专家共同对目前的信息化建设成就和”十一五“期间的发展方向等进行了探讨。从总体来看,展望”十一五“期间,业务需求成为信息化驱动力,我国政府、行业的信息化建设将全面进入主流业务的信息化建设阶段,实现从技术驱动到业务驱动的跨越,从独立建设到协同共享建设的跨越,从缺乏统一指导和规划到有制度化保障的跨越。协同与共享成为信息化建设主基调,按照向服务型政府转型的要求,行政审批等服务行为得到强化,而这些项目都是需要多个部门之间的有效协同工作,因此在下一阶段的信息化建设中,与其他部门实现信息共享和协同工作成为许多部委的建设目标之一。
随着信息化作用的逐步展现,各部委、行业相关领导对信息化的认识和重视程度有了显着的提高,并开始着手将信息化落实成为一项日常工作,从而逐步形成制度。在大部分行业,由于其信息化建设主体是各个企业,信息化应用更是与其经营效益紧密联系,这也促使他们自发地把实施IT建设当成一项常备企业策略,并应用到日常工作中。而从行业指导部门来看,也将在”十一五“期间制定更多地可行业推广的信息化实施制度体系。
12 企业信息化建设引入IT治理的重要性
2006年6月国资委公布《中央企业全面风险管理指引》,指引提出具备条件的企业在董事会设风险管理委员会,企业总经理就全面风险管理工作的有效性向董事会负责。
《指引》包括中央企业开展全面风险管理工作的总体原则、基本流程等内容,并提出风险管理的目标,包括确保将风险控制在与总体目标相适应并可承受的范围内;确保内外部,尤其是企业与股东之间实现真实、可靠的信息沟通。
其中第八章明确提出了建立风险管理信息系统的要求,”已建立或基本建立企业管理信息系统的企业,应补充、调整、更新已有的管理流程和管理程序,建立完善的风险管理信息系统;尚未建立企业管理信息系统的,应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行“。
此外,确保企业遵守有关法律法规;确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性;确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。
《指引》借鉴了发达国家有关企业风险管理的法律法规、国外先进的大公司在风险管理方面的通行做法,以及国内有关内控机制建设方面的规定,对于中央企业建立健全风险管理长效机制,促进企业稳步发展,防止国有资产流失,保护投资者利益,都具有一定的意义。
在”2007大型企业风险管理高层论坛“上国务院国资委副主任邵宁表示,国资委将研究企业全面风险管理评价标准、范围和方法,把对企业风险管理的评价与企业领导层的绩效考核结合,将风险管理作为考核企业领导层的重要内容。加强中央企业全面风险管理是国资委履行出资人职责的一项重要工作,要逐步将风险管理作为考核企业***员的重要内容。
邵宁同时表示,还要加强责任追究制度,对于没有按照去年6月颁发的《中央企业全面风险管理指引》的要求,重视和开展风险管理的中央企业,再出现重大风险损失事件,要严格追究企业***员的责任。要把风险管理工作与董事会试点工作紧密结合。企业管理层至少每年要向董事会提交一份完整的”企业全面风险管理年度工作报告“。国资委在听取董事会工作情况时,要把这一报告作为关注的重点内容。
2007年2月国务院信息化工作办公室发布《关于加强中央企业信息化工作的指导意见》(《意见》)的文件。《意见》要求,到2010年中央企业信息化要基本实现向整个企业集成、共享、协同转变,建成集团企业统一集成的信息系统。《意见》还明确指出,有条件的中央企业须设由企业领导成员担任的总信息师(cio)岗位,并加强对基础信息网络和重要信息系统的安全考核,将信息化建设纳入企业考核体系。
现在IT治理正在成为企业议事日程中最重要和最迫切的任务。由于企业内外环境都发生极大变化;企业管理信息化,信息技术与信息系统对企业组织形态、治理结构、管理机制、运作流程和商业模式的影响日益深化,原有的治理控制机制已不适应,企业面临新的挑战。
IT与信息化应用己步入了深化、整合、转型和创新的关键时期,信息系统的安全、审计、管理、风险与控制日益成为突出问题。IT与组织的融合是未来发展的核心。信息技术与信息系统对企业组织形态、治理结构、管理体制、运作流程和业务模式的影响日益深化。
IT治理对企业目标而言起着战略意义,IT治理状况直接影响到企业实现目标的可能性,良好的IT治理有助于增强企业的灵活性和学习能力,巧妙管理风险,辨别发展机遇。
建立IT治理机制是一个动态的过程。IT治理是机制的集合,更是治理主体间互动的过程。IT治理提供了信息化制度建设的一套最佳思维范式。在企业信息化建设中引入1T治理机制,开展信息系统绩效评估,借鉴COBIT的IT治理思想和框架,科学、系统地对信息系统及信息技术进行控制管理,逐步建立IT治理机制,对提升企业信息化建设水平有着重大意义。
IT规划,从表面意思上看,是侧重于信息化的规划。虽然定义很简单,但在具体的规划项目中还是要分清,什么样的企业用哪个层次的规划。
广义上讲,IT规划包含三个层面:IT战略规划、IT架构/运维规划和IT组织/IT治理。
从内容上来说,IT战略规划是对IT手段和企业战略进行匹配分析,在企业战略的指导下,明确IT的战略目标、方向和具体信息化建设方向;IT架构/运维规划是根据IT战略,具体确定运营层面的IT架构,指明信息化建设所采用的具体技术手段和必要的技术保障;IT治理是在信息化组织已经建立并运作的基础上,对其工作的领域和流程进行一定的规划,使信息部门更有效的工作。
相比较而言,这三个方面的规划之间的层次关系是:IT战略规划决定IT架构规划,在IT战略规划和IT架构规划明确的基础上,IT治理对信息化的运作提供更高效的保障。与企业的管理范畴的对应可以理解为:IT战略规划对应于企业战略规划,IT治理对应于企业组织的规划,而IT架构规划则属于运营层面。
可以的,CGEIT(Certified in the Governance of Enterprise IT)是一项针对企业IT治理的认证考试,它面向全球的IT专业人员,旨在评估他们在IT治理方面的知识和技能。CGEIT考试并不要求考生具备特定的IT治理经验,但是要求考生满足一些其他条件,包括:
具备本科学历或同等学历
具有5年的全职职业生涯
在职业生涯中至少有3年的管理经验
如果你满足以上条件,并且对IT治理感兴趣,就可以考虑参加CGEIT考试。不过,你应该知道,CGEIT考试是一项全球性的认证考试,难度较高,需要考生在较短时间内熟练掌握大量IT治理相关的知识和技能。因此,建议你在准备考试之前,先了解考试的大纲和内容,并为考试做好充分的准备。
以下解答摘自谷安天下咨询顾问发表的相关文章:
企业内部控制基本规范包含的五要素框架:
(一)内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
(二)风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
(三)控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
(四)信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。
(五)监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并做出相应处理的过程,是实施内部控制的重要保证。
相应的,IT内部控制框架也应对于企业内部控制的五要素框架:
(一)IT内部控制环境。内部环境在企业IT领域的体现是IT的内部控制环境,同样IT内部控制环境是实施IT内部控制的基础。主要包括IT治理架构、IT组织与职责,IT决策机制,IT合规与IT审计等。
(二)IT风险评估。企业信息化带来的IT风险已经成为企业风险管理的主要方面。风险评估主要包括目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划,IT风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对。
(三)IT控制措施。针对风险评估的结果,在IT方面需要实施具体的IT控制措施,包括IT技术类控制措施,如防火墙、防病毒、入侵检测、身份管理、权限管理等,以及IT管理类控制措施,包括各类IT管控制度与流程,如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离,授权审批等。
(四)信息与沟通。在IT领域也需要明确具体的IT管理制度和沟通机制,建立服务台与事件管理程序,及时传达企业内部层级之间和与企业外部相关的信息。
(五)监督检查。需要建立IT内部控制体系的审核机制,评价IT控制的有效性。通过IT技术手段如日志、监控系统、综合分析平台等,和管理手段如内部IT审核、管理评审、专项检查等措施,不断改进企业的IT内部控制。
综合分析IT内部控制的组件,谷安天下将IT的控制分为三个层面:
(一)公司层控制。在公司层面建立IT治理架构,完善IT组织与职责,制定IT决策机制,实行IT人员绩效考核,加强IT合规与IT审计。
(二)流程与应用层控制。分析企业业务流程与活动,在企业业务流程、应用系统层面与通用IT流程层面建立控制,重点关注与财务报表相关的各种业务与应用系统的技术控制与流程控制。
(三)资源层控制。针对企业业务运作所依赖的各类信息资产和IT资源,分析具体每个资源点的风险,建立风险控制措施。
你应该问的是ERP对企业的影响吧
ERP是英文Enterprise Resourse
Planning的缩写,中文意思是企业资源规划。它是一个以管理会计为核心的信息系统,识别和规划企业资源,从而获取客户订单,完成加工和交付,最后得到客户付款。
换言之,ERP将企业内部所有资源整合在一起,对采购、生产、成本、库存、分销、运输、财务、人力资源进行规划,从而达到最佳资源组合,取得最佳效益。
企业资源规划 ERP, Enterprise Resource
Planning)的合理运用已经改变了企业运作的面貌。ERP通过运用最佳业务制度规范business
practice以及集成企业关键业务流程business processes来发问和提高企业利润,市场需求反应速度和企业。
同时,企业处在日新月异的市场机遇、价格和服务水平等的挑战环境中,必须不断改变、改善企业经营模式,提高企业竞争力。以往仅仅关注于企业内部的流程改善,产品开发和制造水平的提高已经不足以面对现时的市场环境。事实说明,处在现代竞争环境的企业要保持生存和持续发展必须与商业合作伙伴充分协调一以建立一个具有竞争优势的价值链。
ERP软件的合理运用可以帮助企业内部业务 *** 作合理化,同时运用功能丰富的协作/合作技术collaborative
technologies可以帮助企业在跨合作企业群体和贸易伙伴之间提高管理水平,扩展企业竞争空间和提高综合能力。
电子商务所带来的丰富的企业竞争手段和工具,能够帮助企业更好地运用ERP将广阔的网络商机和传统信息系统中的企业资源信息有效地结合起来。企业、客户、供应商、交易商和企业员工以前所未有的方式透过网站结合在一起。
ERP应用成功的标志是:一、系统运行集成化,软件的运作跨越多个部门;二、业务流程合理化,各级业务部门根据完全优化后的流程重新构建;三、绩效监控动态化,绩效系统能即时反馈以便纠正管理中存在的问题;四、管理改善持续化,企业建立一个可以不断自我评价和不断改善管理的机制。
网络不仅是成为对外交往的重要窗口,更是企业现代经营的重要手段。企业实现信息化管理已是发展的必由之路,因此CIO们必然会面对企业越来越多的IT投资,做好IT投资的效益评估显得尤为重要。
效益评估控制风险
随着企业信息化和电子商务的深入发展,企业在IT方面的投资不断增加,信息化的管理工具和管理手段已成为企业提高市场竞争能力和竞争优势的最重要因素之一。信息化是一次管理创新和流程优化,它往往需要对企业进行伤筋动骨的变革;信息化往往需要比较大的投资,而往往巨大的投资使企业得不偿失,甚至是进退两难,骑虎难下,最终以失败而告终,因此,IT投资评估是企业进行IT治理,控制IT应用风险的重要手段。
为成功应用提供保证。传统的IT项目管理都是以系统的成功上线运行为目标,并没有把IT投资效益评估融入到IT项目管理中去。这也是很多IT系统的实施并没有给企业带来预期的收益,甚至成为企业累赘的重要原因。理想的IT项目管理应该将IT投资效益评估结合到整个项目管理过程中,从实施前的效益预测,到实施中的指导,再到实施后的评价。
是CIO面对IT投资必须回答的问题。究竟这个信息系统的效益怎么样评价?CIO必须要把这个问题讲清楚,要是讲不清楚就没办法申请钱,或者申请钱的时候就要受到CEO的质疑。现在企业越来越重视IT对企业发展的影响和考量,投资IT会变为常态化,如果讲不清这种效益,不但对CIO本身的工作带来影响,对整个企业影响也会非常大。
与传统的其他实物投资的效益评估相比,信息化的效益评估和优化具有更高的复杂性。传统的投资项目价值评估的指标比较容易量化,进行最终的评价就比较容易,而且其效益主要还是体现在显性收益上,而信息化建设项目的价值评价中隐性成分相对较多,且IT的应用受到许多变量的影响,与其它因素也有很强的互补性。因此,对信息化进行效益评估时,需要进行综合全面衡量。舒真武说:“目前信息化效益评估的方法主要有净现值法评估、直接效益评估、间接效益评估”。
净现值法评估
常用的技术经济评价方法是净现值法,该方法是利用经过风险调整的现金流量或资本成本率来计算净现值。当净现值大于零,说明企业信息化建设项目在经济上可行,反之则不可行。投资项目净现值等于企业建设项目每年的净现金流量的折现值。但是传统的净现值法无法对由于企业信息化建设项目的投资而产生的各种发展机会的价值进行评价,容易低估项目本身的价值。近年来期权定价理论的出现及其在投资决策领域方面的应用在这方面弥补了传统的净现值评价方法的不足。
显然一项企业信息化项目的投资除了该项目本身形成的现金流外,还为企业今后的发展带来许多有利的发展机会,例如企业通过信息化建设项目投资,拥有了管理资源、技术知识、信誉、市场地位和规模方面的优势,从而相对于不具有该类资源的企业来说,企业在今后的经营过程中具有很多发展机会。企业所持有的投资机会构成了以未来的投资项目为标的的期权。企业在有利条件下进行下一步投资,尽可能获得最大效益,这相当于执行期权。当环境不利时,企业可选择进一步放弃投资,其损失仅为期权的成本。
直接和间接评估方法
从经济学的角度讲,效益是指在一定的社会总劳动量的条件下,生产出更多的社会所需要的劳动成果。企业信息化建设项目的效益同样也是反映了劳动成果和劳动占用、消耗之间的关系。一般可将企业信息化建设项目的效益分为直接经济效益和间接经济效益。
直接效益又叫有形效益,是指可以定量计算出的那一部分经济效益。例如企业物资管理的信息化,缩短了供货周期,压缩了库存,裁减了人员,于是就可以依据缩短时间的天数和库存物资的减少,以及裁减人员的工资等,定量地算出由此产生的增收节支额,计算出的结果就属于企业信息化的直接经济效益。直接效益可以用不同的量化指标和计算方法加以体现。信息化建设项目投资带来的直接效益有的是很容易看出的,例如企业信息化可能带来下列直接经济效益,使原材料、燃料和劳动力资源得到更合理的利用,并使生产计划达到最优化,从而提高了多大的生产能力,增加了多少产品和产品,信息化建设项目可以减少工时的损失和设备的停车事故,使劳动生产率提高了多少的百分比,信息化建设项目降低了多少成本,避免了多少消耗,减少多少管理费用的支出等等。
间接经济效益是指不能加以定量计算的那一部分经济效益,故又称无形效益。它主要是指提高管理水平、管理效率以及企业信息化建设所引起企业管理上的一系列变革等。例如,企业信息化可能带来下列间接经济效益:使管理人员决策及时、准确、更科学化;使企业上下级的信息流通结构更趋合理;提高企业信誉与知名度,扩大影响力,增强竞争力;提高了企业售后部门的效率和客户满意度等等。以上这些方面的效益一般不能通过定量计算得到,具有一定的隐含性质和延迟性,但对于企业的管理以及企业的发展、壮大都具有不可估量的意义与作用,所以在评价企业信息化建设的效益时,这部分效益应予以高度重视。
谭小芳老师认为COBIT以其关注业务、面向过程、基于控制和度量驱动的主要特性,能够对IT和业务进行联系和控制。COBIT主要是一种IT治理工具,同时还可作为建立和改善企业的IT内部控制和进行IT审计的指南。COBIT的四个领域关注的是组织信息化建设的整个生命周期,因此对于我国的企业的信息化建设也具有指导意义。
(一)作为IT治理的核心模型
有效的IT治理必须保证组织战略与IT战略的一致性,以组织战略作为IT建设与运行的根本指导。对IT进行角色定位,从业务的视角创造信息技术指导原则,充分利用组织的现有资源来满足关键需求,避免建设的信息系统无法有效地支持组织的决策。
COBIT定位于IT治理的目标和范围,并与企业的治理准则相协调。COBIT认为IT治理是管理层和董事会的责任,它通过领导、组织结构和相应的过程来确保IT支持并拓展组织的战略和目标。它是一个集管理、问责制和监督为一体的质量控制系统。COBIT将一些最佳惯例进行整合并制度化。来确保组织的IT支持业务目标。从IT治理的五个关键领域来看,战略协调、价值交付、风险管理、资源管理和绩效管理都与COBIT的目标、标准、惯例和成熟度模型建立了映射关系,这使得IT治理在实践中可以做到有的放矢。
(二)作为企业信息化建设的实施指南
我国企业信息化建设普遍存在以下问题:欠缺长期的、整体的规划;重建设。轻管理;萤收益考量,轻风险与成本管理;重技术、工具,轻过程、知识;企业业务战略变化较大带来的用难。这些问题的根源在于缺乏对信息系统建设、应用的控制机制。缺乏每个环节上的控制目标,信息系统没有满足业务需求,或者在使用中由于缺乏有效手段,而导致使用效率过低,进而影响到业务的正常运作。
COBIT的4个领域涵盖了IT规划、建设、运行和监控整个生命周期,每个过程都有清晰的控制目标、成熟度模型,明确了过程的角色和职责,将各种目标统一于COBIT控制模型。COBIT的这些特性可以让企业从业务战略的高度来分析和设计信息系统,而且借助于控制只标和成熟度模型,可以让成本效益原则在信息化建设过程中得到更好的贯彻。过程角色和职责的明确,既是科学管理原则的贯彻,也能够弥补信息化建设过程中制度的缺失。
(三)作为建立和优化IT内部控制的参考
许多国内企业管理者对内部控制的理解目前仍停留在人工控制的层面,尚未建立一套完善的信息技术内部控制来降低大量使用关键的信息系统而面临的风险。这主要体现在:IT部门之间以及IT部门与业务部门之间缺乏有效的沟通来保证信息技术部门的工作能够充分满足业务的需要。企业缺乏有效的IT内部审计机制来监督信息技术部门的工作,缺乏完善的对数据及系统的访问控制管理,缺乏对系统变更的有效管理,缺乏完善的系统开发管理,缺乏完善的系统运行控制,导致系统发生故障时无法及时发现解决故障而造成数据的丢失等(高智纬,李可,2006)。这些问题是那些大量应用信息系统的国内企业所亟待解决的,否则风险威胁一旦转变为现实的损失,损失程度将可能是企业难以承受的。
COSO虽然是理解和评价内部控制的全球性框架,但它是一个高度抽象的概念框架,没有对具体的控制目标和控制活动做出指引,更没有针对IT环境提出具体的控制要求,因而其对于IT环境的应用价值大打折扣。COBIT是一个信息技术风险管理和控制框架,而非内部控制框架,它依然是以COSO框架为基础,围绕IT控制环境的若干方面提供概括性的指引,COBIT不仅在其控制同标与COSO的控制目标之间定义了清晰的联系,而且还将它的34个过程与COSO的5个要素之间建立了映射关系。COBIT针对IT环境制定了一系列详细控制目标,并将这些控制目标置于一个逻辑性的控制结构下,其应用性较强。因此可以说,COBIT框架是IT环境下COSO框架的有益补充。
对于尚未建立IT内部控制的企业而言,可以根据风险评估的结果,对一些关键控制点进行控制。对于已经初步建立了IT内部控制的组织。可以参照COBIT的要求对企业IT内部控制现状进行分析,找出差距,进而确定需要增加或者完善的控制点,对每个控制点的控制活动必须进行清晰的描述和文档化,这些控制活动必须具备可 *** 作性和可检验性,最终形成IT控制矩阵。企业必须完成一整套与IT控制相关的文档,随后通过细致扎实的工作落实已被确定的IT控制点,从而使IT控制得到贯彻实施。
(四)作为IT审计的工具
IT审计的目的就是要从制度保障方面,彻底解决信息系统规划、建设、实施、维护和控制过程中,与企业业务、管理和战略的融合问题。通过量化的方法,衡餐信息系统对企业业务带来的影响.进而评估这些影响种的风险因素和价值因素,有目的地对信息系统的质量、方法、过程和绩效,出具类似财务审计意见的报告。以便企业董事会和管理层能够真正了解和把握本企业内信息系统的核心作用。
IT业务流程是COBIT关注的焦点,对每一个lT业务流程。COBIT提出了一系列的控制目标、相应的实现这些控制目标的控制程序,评价这共控制程序是否存在,并被有效执行的一系列审计程序。该标准为IT治理、安全与控制提供了一个普遍适用的公认标准,以辅助管理层进行IT治理。为了改善对IT过程模型的理解,COBIT为每个IT过程进行了定义,对每个过程及基本输入/输出及与其他过程的关系进行了描述,确定它从哪个过程来,到哪个过程去,或是否有其它路径。这些输入,输出的连接使COBIT中的关键过程被确定下来。方便审计人员对审计对象及其相关控制的理解。
在运用COBIT实施IT审计时,可从COBIT有关过程中的控制目标入手,进行风险分析,得出与该过程相关的风险控制目标,再从风险控制目标中导出与该目标相关的风险控制点。针对每个风险控制点,结合企业自身的技术特色,找出其所包含的风险检杳点,风险检查点又可以组成对相关部分的检查表。针对检查的结果,与COBIT相关部分中的要求相比照,找出相关的薄弱点,并就此提出相应的改进意见。风险控制目标和风险q查点之间的推导方式主要有两种,一种是自下而上,即从具体的管理过程或技术实施措施人手。从中得出相应的风险控制点,对相应的风险控制点进行提炼。最后得到风险控制目标;一种是自上而下。从风险控制日标出发.将其进行分解,得到相应的风险控制点并对其进行细分,直到能够直接得出检查点为止。最后将得到的风险控制日标与COBIT相关过程的控制目标相比较,以确保整个信息系统审计目标的完整性。
艾威
CISA认证
让 IT 和财会从业者成就
“金领人生”
CISA名列薪资最高的证书之列。一直以来,CISA以其市场价值持续高居这个排行榜前列
——Foote Partners信息技术技能与证书薪资指数(ITSCPI)2015年一季度的统计数据
CISA是用人单位招聘员工时最为看重的证书之一,CISA是澳大利亚政府iRAP 证书的先决条件
——英国政府2014年网络安全技能报告分析
澳大利亚信号局将CISA作为其信息安全注册评估员项目的必备证书;
印度证券交易所(SEBI)规定,提供计算机与计算机连接(CTCL)交易软件的供应商必须经过持有CISA/CISSP/ISA/DISA证书的审计员审计;
印度所得税部门要求所有电子回单中介必须获得CISA证书或通过ISA认证。
CISA
简介
CISA(Certified Information Systems Auditor,中文为国际信息系统审计师)认证是由信息系统审计与控制协会ISACA(Information Systems Audit and Control Association)发起的,是信息系统审计、控制与安全等专业领域中取得成绩的象征。
CISA认证适用于企业信息系统管理人员、IT管理人员、IT审计人员或信息化咨询顾问、信息安全厂商、服务提供商,以及其他对信息系统审计感兴趣的人员。
随着商业社会对信息系统审计、控制与安全专业人才需求的增长,CISA 已成为全球范围内个人与公司机构不可或缺的专业认证。
CISA 资格证书代表持证人有卓越的能力服务于公司的信息系统审计、控制与安全领域。此外,它还为持证人带来越来越可观的职业成就和经济利益。
就业
前景
截至2016年底,世界范围内有超过13万IT治理、信息安全的专业人士获得此证书。CISA被全球范围的企业和专业人士视为IT/IS认证的“黄金标准”。
中国获得CISA认证的审计师分布在银行、证券、政府、高端制造业、信息服务业等高端行业内,越来越受到国内各大企事业单位认可。
CISA的就业前景和市场非常可观。由于内外部监管的要求(如Sarbanes-Oxley),跨国企业、大型金融机构以及广大上市公司均设有一定量的信息系统审计、控制和安全岗位,例如IT Auditor, IS Auditor, IT Internal Control, Security Analyst, Compliance Officer 和Risk Manager。同时,大型会计师事务所,例如四大都有相当规模的专门从事信息系统审计、控制和安全服务的顾问队伍。
认证
机构
国际信息系统审计协会(ISACA)创始于1967 年,是由从事电脑系统审计监控工作人士所组成的小团体。鉴于电脑信息审计监控工作对自己在职机构的运作愈益重要,他们开始讨论相关范畴需要集中的信息资源和指引。在 1969 年,这个团体正式组成EDP信息系统审计协会。在 1976 年,这个协会成立一项教育基金来开展大规模的研究工作,以拓展信息科技治理与监控领域的知识与价值。国际信息系统审计协会之前使用其全名称谓 (the Information Systems Audit and Control Association) ,但是现已简称为 ISACA, 以反映它为从事于广泛的 IT 治理领域的专业人士提供服务。
今天,ISACA 在全球有超过 115,000 名成员,特点是成员的背景十分广泛。这些成员在 180 多个国家内生活和工作,并涵盖众多信息科技相关的专业,例如信息系统审计师、顾问、教导员、信息系统安全专家、监管机构人员、 首席信息官和内部审计师等。有些是职业领域内的新进人员,其他为中级管理人员,另外还有许多人担任高级职位。ISACA 的成员几乎遍及所有行业,包括财政金融、公共会计、政府与公共部门、公用事业和制造业。成员多样的背景使他们能够互相学习,并在许多专业问题上广泛交流彼此独特的观点。 此特点一直是 ISACA 的一项优势。国际信息系统审计协会现已简称为 ISACA, 以反映协会信息系统管理方面的广泛领域。
CISA
培训
本课程将结合CISA讲师多年信息系统审计工作经验精讲,本课程将详细信息系统审计系统的流程、工具、方法等,案例的学习以及实践经验共享,帮助学员掌握信息系统审计的基本原则、思路,掌握审计技巧,扩展知识领域,提升管控水平。
艾威中国培训学院(AVTECH)CISA培训是为期5天的密集式课程,帮助您完善IT审计所必备的知识技能,覆盖CISA全新要求的5大知识领域,帮助学员在愉悦的学习氛围中查遗补缺、答疑解惑,踏上CISA成功之路。
课程
目标
让信息系统审计咨询顾问、传统审计专业人员、企业内部负责信息系统审计的从业人员、企业内部负责信息系统安全管理和规划等工作的从业人员、IT经理、信息安全经理等,掌握信息系统审计流程及标准,获得 ISACA CISA认证。
CISA
考试
自2017年开始,ISACA将考试改为机考的形式(Computer-Based Testing),艾威培训授权成为上海地区考试考点。
2018年机考时间:2018年2月1日-5月24日,2018年6月1日-9月23日,2018年10月1日-2019年1月24日;
考题数量和考试时长:150 道题,4 小时;
培训
时间
艾威CISA认证培训时间安排
月份
日期
地点
4月
14-18日
上海
6月
27-7月1日
上海
8月
25-29日
上海
10月
31-11月4日
上海
温馨提示:
CISA、CISM、CRISC、CGEIT认证考试均已开通机考哦
课程
大纲
艾威CISA认证培训课程安排
时间
学习内容
学习目标
Day1
信息系统审计
信息系统审计的概念、流程、技术和实践
Day2
IT治理和管理
主要的IT治理和管理相关知识,IT Entity Level Controls
Day3
信息系统采购、开发和实施
项目管理、SDLC、主要的应用系统、Application Controls
Day4
信息系统运行、维护和管理
运维和灾备流程、主要的基础架构系统、IT General Controls、End User Controls
Day5
保护信息资产
信息安全和信息安全审计
选择艾威学习CISA的8大理由
1、艾威率先成为上海独家ISACA授权培训机构
2、艾威专业的CISA讲师团队,紧贴ISACA最新教程,准确把脉考试要点
3、理论+实战的教学模式,使得学员培训后,能更好的落地
4、加入艾威的ISACA学员微信群,实时沟通和交流,把握最新行业动态
5、免费参加艾威与ISACA携手举办的上海站活动,积累CPE
6、参加艾威线下的社区活动,积累行业的高端人脉资源
7、艾威地处上海黄金地段,交通便利,地铁直达(1号线)
8、提供一站式的ISACA培训(CISA、CISM、CRISC、CGEIT)、学习和服务
艾威(中国)与ISACA携手上海活动:
2018年艾威培训
ISACA相关认证培训时间安排
CISA
国际信息系统审计师
培训时长:5天
培训时间:4月14-18日、6月27-7月1日、8月25-29日、10月31-11月4日
回复:CISA 查看课程简章
CISM
国际注册信息安全经理
培训时长:4天
培训时间:2018年6月2-5日、11月5日-8日
回复:CISM 查看课程简章
CRISC
风险及信息系统控制
培训时长:4天
培训时间:2018年7月5-8日、12月1-4日
回复:CRISC 查看课程简章
CGEIT
企业IT治理认证培训
培训时长:3天
培训时间:2018年5月26-28日、8月17-19日、11月16-18日
回复:CGEIT 查看课程简章
COBIT
IT治理
COBIT5 Foundation 认证
培训时长:2天
培训时间:2018年6月23-24日、8月25-26日、10月20-21日
COBIT5 Implementation认证
培训时长:2天
培训时间:2018年5月10-11日、11月3-4日
回复:COBIT 查看课程简章
艾威CISA认证培训
4月14-18日(本周六)
即将开班,欢迎报名咨询
↓
TEL:400-888-5228
回复“PMP”查看项目管理课程章程
回复“PBA”查看商业分析师课程章程
PMP交流QQ群:367894527
↓↓↓点击阅读原文,查看艾威更多课程
以上就是关于从事IT运维的企业需要遵守的法律法规全部的内容,包括:从事IT运维的企业需要遵守的法律法规、IT规划的基本理论、如果没有IT治理经验,可以考CGEIT吗等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)