信息系统审计师是做什么的

CISA国际信息系统审计师CISA认证介绍国际信息系统审计师，是指一批专家级的人士，既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉经济管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。21世纪是信息化的时代，生产、交易和管理都离不开信息流和对信息流的管制，管理人员在面对传统经营风险和财务风险的同时，必须随时面对信息风险对企业生存和发展的挑战，人们不难想象，假如银行的存贷款数据库被黑客破坏，假如证券交易所的信息系统突然崩溃，假如企业ERP系统中的应收帐款模块产生混乱，假如仓库的自动订货和发货系统无法修复，我们面对的将不单单是损失，而是破产、混乱和崩溃。顺应时代要求，信息系统审计师将在信息化社会中，为公司筑起一道信息安全的壁垒。目前国际上，信息系统审计与控制协会ISACA（Information System Audit and ControlAssociation）是唯一有权授予国际信息系统审计师资格的跨国界、跨行业专业机构。国际信息系统审计师CISA（Certified Information System Auditor）资格由ISACA授予，是信息系统审计领域的唯一职业资格，受到全世界的广泛认可。由于信息技术的国际性，国际信息系统审计师资格在世界任何一个国家的使用都不会受到任何制约。认证机构ISACA的介绍国际信息系统审计协会（ ISACA ， ）为全球专业人士提供创新及世界级的知识、标准、网络、资格认证和职业发展，以领导、适应并确保在不断发展的数字世界得到信任。ISACA 成立于 1969 年，是一个全球性非盈利组织，其成员遍布 180 个国家，总数超过 140,000 人。ISACA 同时提供 Cybersecurity Nexus (CSX) – 综合网络安全资源，及 COBIT -- 企业技术管治框架。ISACA 还通过全球著名的注册信息系统审计师 （CertifiedInformation Systems Auditor, CISA） 、注册信息安全经理 （CertifiedInformation Security Manager, (CISM）、企业信息科技管治认证（Certifiedin the Governance of Enterprise IT , CGEIT） 及风险及信息系统监控认证（Certified in Risk and Information Systems Control, CRISC） 等专业认证来提升和证明个人的关键业务技能及知识。考试内容CISA考试考试时长：4小时CISA考试考题为150道选择题（以最佳选择为正确答案），共计800分，450分通过。CISA考试语言自2007年12月开始，ISACA开始有中文简体试卷，考生在考试的时候可以在报名的时候根据自己喜欢或是熟悉的语言选择试卷语言，如：中文简体，英语等。CISA考试涉及的五大领域信息系统审计流程(21%)——遵照IT审计标准提供审计服务，以帮助组织保护和控制其信息系统。IT治理和管理 (17%)——用以确保具备必要的领导层、组织结构及流程来实现相关目标和支持组织战略。信息系统购置、开发与实施(12%)——用以确保信息系统的购置、开发、测试和实施实务符合组织的战略与目标。信息系统运营和业务恢复能力(23%)——用以确保信息系统的操作、维护与支持流程符合组织的战略与目标。信息资产的保护(27%)——用以确保组织的安全政策、标准、规程和控制能够保证信息资产的机密性、完整性和可用性。考试时间考生可在官网自行预约考试时间。课程收益广阔的职业发展空间目前，越来越多的企业、政府机关开始开展信息系统审计活动，急需大量掌握相关知识技能的人才。CISA 资格证书是信息系统审计、安全和控制领域专业能力的良好证明。不论是希望提高工作业绩还是得到职务升迁或竞争新职位，拥有 CISA 资格证书都会使一个人拥有他人无法企及的竞争优势。国内国际的广泛认可越来越多的机构要求或建议员工得到 CISA 认证。在国内，银监会要求各大商业银行必须拥有一定数量的CISA证书持有者，以便开展IT审计工作。美国国防部(DoD)要求信息鉴证人员获得国防部批准的商业资格认证机构的认证，CISA 最早保护在此认证计划之中。增强知识和技能CISA资格证书表明职业人作为合格信息系统审计、控制、鉴证和安全领域专业人才的声望，具备扎实可靠的技术能力，按照全球公认标准和指南开展各项审查工作，确保机构的信息技术与业务系统得到充分的控制、监控和评价。

信息系统审计和控制协会是什么组织？ 信息系统审计和控制协会（The Information System Audit and Control Asociation,ISACA)成立于1969年，是一个总部设在美国的芝加哥、拥有20000多名会员的跨国界、跨行业的专业机构，其前身为EDP审计师联合会。ISACA目前在世界上100多个国家设有160多个分会，其职责包括：（1）组织制定相关领域专业标准，其设定的标准目前被作为世界范围内IT审计、控制的指导方针；（2）提供IS审计、控制、安全领域内国际上承认的认证项目，如信息系统审计师资格认证；（3）研究关键的管理和技术主题的专业发展项目；（4）提供包含最新的研究、案例学习、信息知识入门等在内的专业出版物；（5）指导会员专业的活动和操行的职业道德准则。ISACA是目前唯一有权授予国际信息系统审计师资格的组织。 信息系统审计师（Certified Information System Auditor,CISA)，通常简称为IT审计师，是指获得信息系统审计和控制协会颁发的CISA资格证书的专业人士。他们既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉经济管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造的专业人士。由信息系统审计和控制协会颁发的信息系统审计师资格，现已成为国际信息系统审计、控制与安全专业领域公认的职业资格，也是国际信息系统领域唯一的一种职业资格。 信息系统审计师具体要做哪些工作？1．信息系统审计师首先要关注信息安全。采用各种方法来测试系统的安全性，并对来自内部和外部的安全隐患提出相应对策。2．信息系统审计师还要关注信息系统的稳定性。会提出一系列对策保证客户信息系统的万无一失。1．软件供应商，特别是经济管理类的集成软件供应商。他们需要信息系统审计师参与产品设计、规划和检测，对客户现有信息系统进行评价，提出改造设想。目前全球所有重要的ERP和CRM产品供应商都聘请大量信息系统审计师。2．管理咨询机构。20世纪90年代以后，国际管理咨询的重点已经逐步发展成为客户提供一揽子解决方案，其中信息系统的配置是解决方案获得成功的基础。因此，目前国际知名的管理咨询机构中，有50％以上的员工熟悉信息技术，其中20％拥有信息系统审计师资格。3．会计师事务所。会计师事务所也是信息系统审计师最早的落脚点。目前国际会计公司超过30％的收入来自于风险管理部门，而该部门最主要的工作就是监控客户的信息系统风险和运营风险，并为客户提供ERP或CRM的安装、维护和培训。另外，目前会计师事务所中传统财务报表审计也越来越离不开信息系统审计师。因为没有他们的工作，评估内部控制风险和企业固有风险都将成为一句空话。因此，目前的国际会计公司中，最年轻的合伙人或经理往往都是信息系统审计师。4．跨国公司。跨国公司作为信息系统最集中的用户，为参与信息化建设的过程，并时刻保持对分支机构的信息监控，急需大量信息系统审计师。还有一种最新迹象表明，跨国公司内部审计部门也在大量招聘信息系统审计师，以加强内部监督和牵制。5．大型国有企业和上市公司。这些机构往往有雄厚的财力来实现管理的信息化、保证生产经营的稳定性，他们对信息系统审计师的要求和跨国公司类似。

CISA认证证书的含金量很高，值得认证。国际系统审计师CISA认证是四大审计师必备的证书。CISA是信息系统审计，主要涉及IS。CISA通过后可以申请免试CIA第四门，两个证都是国外的，含金量不好说，主要看你做什么，你如果不做这行，这个毫不值钱。

大企业肯定有IS审计（其实哪个公司不用信息系统，只是大公司比较看重这个，这个也是要求上市公司的审计报告中要有IS审计报告）。

CIA在国内有官方的办事处，CISA的组织ISACA在国内没有办事处，就这两个考试而言，这点没什么区别。

CISA认证证书维持问题：

1、CISA证书有效期为3年、每年向官方交证书维持费。

2、CPE申报（3年120小时每年至少20小时），如果达到了CPE要求，证书就可以保证长期有效！如果不按时填写学时或者缴纳维持费官方可能会冻结你的证书。继续教育政策要求持证人累积足够的继续教育学分，并提供证明，以及支付年度维持费。

此外，最低学分的累积与证明提供必须在固定的5年认证期间完成。不能履行将会撤消持证人拥有的认证资格。在过去5年中，93%以上的CISA持证人维持了资格证书。这项统计结果反映了CISA持证人对维持资格证书的强烈愿望。

IT审计的工作内容可以分为两部分，一是支持财审做对一些对具体余额的认定进行审计，另一块就是所谓的ITGC(IT一般控制)。T审计现在主要还是做内控审计，基本就是根据所谓的一些业内最佳实践弄一个check list，然后跑去中跟客户一条一条地对，符合了就把相关审计证据往底稿里一K了事，不符合就记录一条finding，最后把所有findings汇总，给客户出个管理建议书。很机械，很傻瓜，这样你的可替代性就强，没有核心竞争力，也因为这个原因一般IT审计项目一到两个人就够了，而财审比如IPO一般一票人拉出去都是十几甚至几十号人。做IT审计刚毕业这两年看上去薪水相对还行，但没有大的发展空间。