CISA 有哪些就业前景

近年来，随着企业信息系统的不断完善，企业对于信息系统的依赖日益加强，信息系统审计也随之成了审计中不可或缺的一部分。今天，时代新威和大家聊一聊信息系统审计的过程。

1）调查

该审计步骤用来将控制目标下的相关活动用文档记录下来，对组织声称已实施的控制措施与程序进行识别，并且确认其存在。

与相关的管理者和员工进行会见，以理解：

·业务需求好相关的风险。

·组织结构。

·角色和职责。

·政策和程序。

·法律和法规。

·已有的控制措施。

·管理报告（状态、性能、行动项目）。

用文档记录与过程相关的IT资源，特别是那些被审计的IT流程所影响的IT资源。确认理解了审核的过程、过程的关键性能指标（KPI）、实际的控制状况。例如，可以通过对过程的抽查来进行了解。

2）评价控制

该审计步骤用来评估当前已有控制措施的有效性或达到控制目标的程度，主要是决定测试什么、是否测试及如何测试的问题。

通过对比已确定的标准及行业最佳实践、控制方法的关键成功要素（CSF）和利用审计师的职业判断，来评价待审核过程所应用的控制措施的适宜性。

·存在已文档化的过程。

·存在适宜的输出。

·职责和责任是明确的、有效的。

·在必要时，存在补偿控制。

·对实现控制目标的程度做出结论。

3）评估符合性

该审计步骤用来确定已建立的控制措施是按组织规定的方式，持续地、一致地在起作用，并且对控制环境的适宜性做出结论。

·得到所选项目和阶段的直接或间接的证据，使用直接和间接的证据来保证待审核的项目和阶段一直遵守相关控制程序的要求。

·对过程输出结果的充分性进行有限的审核。

·为了证明IT流程是分的，确定需要进行实质性测试的程度和其他需要进行的工作。

4）证实风险

该审计步骤通过使用分析技术和可选的咨询资源，证实控制目标没有被实现时所带来的风险。目标是支持其审计判断，并督促管理者采取行动。审计师要创造性地寻找和提出通常是敏感的和机密的信息。

·用文档记录下控制弱点及其引起的威胁和漏洞。

·识别并记录实际的影响和潜在的影响，例如，利用因果分析的方法。

·提供比较信息。例如，通过基准比较的方法。

在信息高速爆炸的时代，进行信息系统审计，确保在线、实时的信息的可靠性，有助于整个市场经济的发展。以上就是时代新威为您科普的信息系统审计的过程，更多精彩内容，欢迎持续关注我们哦。

未来一段时期内，审计机关要想完成“全面审计，突出重点”的审计目标，担负起社会经济运行的“免疫系统”作用，就必须要使信息系统审计有所作为，这迫使我们必须加快信息系统审计的步伐。

信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整，以及有效率地利用组织的资源并有效果地实现组织目标的过程（国际信息系统审计与控制协会ISACA的定义）。目前审计机关信息系统审计主要有两种方式，一种是将信息系统审计作为常规审计的一部分，为实现审计项目的总体目标服务，即数据审计、信息系统审计和系统内部控制审计“三位一体”的结合方式。信息系统审计和系统内部控制审计为数据审计服务，通过审计数据得出结论。另一种是独立立项的，直接审计信息系统本身的安全性、可靠性和有效性。

二、开展信息系统审计的紧迫性

信息系统审计作为国家审计机关的一项重要工作，是信息化发展到一定程度的必然产物。

（一）开展信息系统审计是控制审计风险的要求。近几年，审计纸质账目时，内部控制也要审计，不能假账真审。同样的道理也不能假电子数据真审，如果被审计单位运载电子数据的信息系统的安全性、可靠性和有效性出现了问题，计算机数据审计就会存在风险，系统的可信与可靠程度是数据审计得以进行的前提和最终实现的基本条件。

（二）开展信息系统审计是全面履行审计职责的要求。信息化环境下的审计，电子数据、信息系统、系统内部控制审计必须“三位一体”，在审计过程中，这三项内容不能少。只有这样，我们才能完成“全面审计，突出重点”的要求，全面履行审计职责。

（一）提高全体审计人员信息系统审计的意识。

“审计人员不掌握计算机技术，将失去审计资格”这一观点基本得到了八万审计人员的认同，这些年计算机在审计领域得到了普遍的应用，数据审计得到了有力的推进，但大多数人对于信息系统审计的认识还不到位，对开展信息系统审计的必要性、紧迫性认识不足，甚至对开展信息系统审计的可行性持怀疑态度。为保证信息系统产生的数据真实完整，信息系统的安全、可靠和有效，重大的审计项目，只要被审计单位应用的是信息系统，我们就必须审计信息系统，检查系统内部控制，只有这样才能防止假账真审。

（二）重视计算机信息系统审计人才的培养，不断提高其审计技能。

计算机信息系统审计对审计人员的专业技能要求较高，除了需要审计人员具备相应的审计技能外，还要具备较高的计算机水平。计算机信息系统审计人员的获得有两个渠道，一是在配备人员时就将计算机技能作为一个必要条件，在实际工作中不断培养其审计技能；二是对现有审计人员进行计算机知识的培训，增强其信息技术审计能力。由于计算机技术涉及的范围广、技术复杂性强、计算机信息技术快速发展的特点，决定了不论以何种方式获得的信息技术审计人员，都要对其进行持续不断的后续教育。

（三）信息系统审计应重点关注三个环节

（1）内部控制环节。

在计算机系统中，应检查以下方面来证明内控制度的有效性：1控制系统资源的存取。包括物理资源，例如终端、服务器、连接盒、相关文档等；还包括逻辑资源，如软件、系统文件和表、数据等。2控制系统资源的使用。用户应该只能对授权给他们的那些资源进行 *** 作。3建立按用户职能分配资源的制度。把重要的任务功能按用户或用户组进行分离，以减少无意的误 *** 作、滥用系统资源和对数据的非授权修改。4记录系统的使用情况。按时间顺序建立一个使用记录，记录内容应包括例外事例和与安全有关的事件是由谁触发的，财务信息的创建、修改和删除是由谁完成的。5确认处理过程的准确性。用产生财务控制信息，确认处理过程的准确完成。6管理人员对财务信息系统的修改。应该保证财务信息系统的所有修改都是经过授权、有文档记录、经过彻底(独立地)测试的，确认最后以一种有控制的方式投入使用。7保护财务信息系统免遭计算机病毒的袭击。必须建立一套控制措施，检测病毒，防止病毒感染财务信息系统。

（2）数据环节。

在审计中，审计人员选择一些交易对其进行详细检查，确认交易记录是否符合一般的审计目标。一是检查会计事项信息，要检查它的完整性、时效性、合规性和信息披露等方面，检查内容包括与本会计年度有关的交易是否全部记录在册；所有记录的交易是否都是合理发生的并与本会计年度有关；记录的交易是否数据准确，计算无误：记录的交易是否符合基本的和辅助的法律规定，符合特定权威机构的要求；对记录的交易是否进行正确的分类，并符合信息对外披露的要求等。二是检查财务报表信息，要检查完整性、存在性、会计计量、所有权以及信息披露等方面，检查内容包括是否记录了所有的资产和负债：所有记录的资产和负债是否都是存在的；对资产和负债的计量是否精确，计算方法是否符合按合理性、一致的标准制定的会计政策的要求：确认资产是被审主体所有的、负债是被审主体应该承担的，并且资产和负债是否由合法的经济活动产生的；资产、负债、资本和存货是否都得到正确的披露。同时对信息系统提供的业务信息也要进行分析，例如每月的工资总数、某阶段的付款清单和订货信息等，要弄清基本的交易情况，并一直追踪到信息源。对上述信息的分析可以采用计算机辅助审计技术，按照特定的标准对数据进行汇总、分类、排序、比较和选择，并进行各种运算。

(3)数据传输转移环节

在信息系统中，有些数据需要在两个财务信息系统或财务信息系统与业务信息系统之间相互转移，在此过程中可能会出现一些问题，尤其是在需要手工重新录入时。因此在审计时要重点关注以下方面：在转移过程中数据可能会发生变化；新的科目代码表与老的可能不一样，需要在两个财务信息系统之间建立复杂的对应关系：中心数据库可能被一些地理上分散的服务器取代；当前财务信息系统中的数据质量不佳；当用一个总的信息系统取代一个预定财务信息系统时，需要补充许多新的数据。在检查这一环节时，一定要保证输出的消息是经过批准、完整和精确的，保证输出的消息在约定时间内准确地发送给指定的接收者，保证流人的消息是完整、准确和真实可靠的。

IT审计师（简称ITA），中国自已培养的信息系统审计师（CISA）。

ITA是IT审计师（Information Technology Auditor）的英文简称，是中国工业和信息化部为响应国家“加强专业人才培养”战略，全面推进我国自主可控IT审计事业发展，建立适合中国国情IT审计专业技术及管理能力培养体系，促进IT审计国家标准贯彻落实的背景下，授予的专业技术及管理人才能力水平认定资质。ITA证书现由国家工业和信息化部电子工业标准化研究院颁发，作为我国IT审计国家标准对从业人员符合专业胜任能力认定的职业资格，IT审计师已逐步成为最抢手的高级人才专业能力证书。

IT审计师就业前景

1、政府审计（各级审计机关）及各级行业审计监管机构（如银监会、证监会、保监会、国资委等）、行业协会

2、各类金融机构（银行、保险、证券、信托、期货等）、大型互联网公司、电子商务企业、大型国有企业、上市公司、会计师事务所、会计公司、各类信息技术咨询公司、软件开发公司、管理咨询公司、各类跨国公司以及其它信息化管理比较普及的企业。目前在我国多数金融企业中，“IT审计部”已经成为平行于“内审稽核部”的独立部门。

3、软件供应商（特别是经济管理类的集成软件供应商，需要信息系统审计师参与产品设计、规划和检测，并对客户现有信息系统进行评价，提出改造设想）、

4、会计师审计师事务所（是IT审计师最早的落脚点，“五大”国际会计公司超过30%的收入来自于风险管理部门。这个部门的最主要工作就是监控客户的信息系统风险和运营风险，同时为客户提供ERP或CRM的安装、维护和培训。会计师审计师事务所中传统财务报表审计也越来越离不开IT审计师的贡献。没有他们的工作，评估内部控制风险和企业固有风险将成为一句空话。人们常常看到，“五大”会计公司里，最年轻的合伙人或经理，往往都是IT审计师，因为这是一项充满挑战的工作。）、

5、管理咨询、信息技术咨询机构等：（20世纪90年代以后，管理咨询的重点已经逐步发展为提供一揽子解决方案，其中信息系统的配置，就是解决方案成功的基础。国际知名的管理咨询机构中，有50%以上的员工熟悉信息技术，其中20%拥有信息系统审计师资格。

6、 跨国公司：作为信息系统最集中的用户，跨国公司急需大量信息系统审计师，一方面参与信息化建设的过程，另一方面时刻保持对分支机构的信息监控。还有一种最新迹象表明，跨国公司内部审计部门也在大量招聘信息系统审计师，以加强内部的监督和牵制。

计算机信息系统环境下审计技术方法与手工环境下传统的审计技术方法相比，相应增加了计算机技术的内容。对信息系统审计的方法既包括一般方法即手工方法，也包括应用计算机审计的方法。例如，北京时代新威信息技术有限公司以信息系统审计服务、信息系统审计工具研发和信息系统审计师培训为核心业务是信息系统审计解决方案提供商，信息系统审计的一般方法主要用于对信息系统的了解和描述，包括：面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等。应用计算机的方法一般用于对信息系统的控制测试，包括：测试数据法、平行模拟法、在线连续审计技术(通过嵌入审计模块实现)、综合测试法、受控处理法和受控再处理法等。应用计算机技术的审计方法主要是指计算机辅助审计技术与工具的运用。但不能把计算机辅助审计技术与工具的使用过程与信息系统审计等同起来。在信息系统审计的过程中，仍然需要运用大量的手工审计技术。

IT审计属于信息安全的范畴。简单来讲，就是审查IT信息系统，甚至整个IT体系在技术以及管理方面是否有足够的措施确保其所处理的数据信息安全可靠。比如，系统在用户权限方面的控制，能不能确保只有被授权人其本人才能登录，登录后只能行使其被授予的权限。系统中的数据是否有必要的备份，对数据的修改有无必要的跟踪。发生紧急情况，如停电，灾害时，是否有相应措施确保系统及其数据安全，等等。凡是对信息安全有影响的方面，都可能成为审计的对象。

以上就是关于如何开展IT审计项目，IT审计的实施过程是什么全部的内容，包括:如何开展IT审计项目，IT审计的实施过程是什么、浅谈如何开展计算机信息系统审计、CISA 有哪些就业前景等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！