基于CISA認證的信息系統審計專業知識結構及其實現途徑研究

[摘 要] 隨著企業等各類組織對信息系統依賴程度的逐漸增強，信息系統真實性、安全性、有效性等方面的審計工作愈加深入而廣泛，信息系統審計人才的培養要求日趨迫切。本文在簡要介紹注冊信息系統審計師(CISA)起源和現狀的基礎上，深入研究基于CISA認證內容的信息系統審計專業的知識結構，并闡述知識結構各要素間的關系及其實現途徑，以期能為我國信息系統審計高級專門人才的培養提供借鑒。

[關鍵詞] CISA; 信息系統審計; 專業; 知識結構

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 16 . 042

[中圖分類號]F239.1;G642 [文獻標識碼]A [文章編號]1673 - 0194(2010)16- 0107- 04

0引言

隨著社會的快速發展和信息技術的不斷提高，企事業單位等各類組織開發和使用信息系統的比例越來越高，形成了對信息系統的高度依賴，信息系統的安全事關組織的生存和發展，信息系統的技術和管理隱患會給組織帶來傷害甚至災難。IDC的一份調查統計資料表明，全球約有80%的企業存在信息安全或信息風險問題，在所有被調查的公司中，進行常規性安全檢查的公司還不到一半，只有 30% 的公司具有跟蹤用戶訪問的能力，30%的公司使用加密技術，而且這些信息安全問題大多來自于企業內部，其中處于信息泄密高風險的很大一部分問題是因信息安全管理不善所致。2007年12月，英國Norwich Union保險公司的資料被人盜取，被騙去330萬英鎊人壽保險金。2008年，法國興業銀行的交易員沖破銀行內部層層監控進行非法交易，致使該銀行遭受71.4億美元的巨額損失。2009年8月26日，美國聯邦航空局向外界透露，該局一個航班排序中心的電腦系統當天下午因故障而癱瘓，導致全國20多個機場出現航班延誤。我國UT斯達康深圳分公司的一位工程師利用管理上的漏洞，繞開了耗費1.2億元建立起來的網絡安全體系，侵入北京移動通信公司充值中心數據庫，修改充值卡原始數據并竊取了充值卡密碼，并通過淘寶網和QQ向他人出售，致使北京移動通信公司損失380萬元[1]。信息系統安全方面出現的問題告誡人們，信息系統審計工作至關重要。國家審計署在《2008至2012年信息化發展規劃》中提出，要探索符合中國國情的信息系統審計，逐步加大對信息系統審計的力度，關注信息系統的可靠性和安全性，維護被審計單位和國家的信息安全。根據信息系統安全的現狀以及國家和社會的要求，高校急需設置信息系統審計專業，為社會培養知識結構合理、實踐能力強的高層次信息系統審計專門人才。

1CISA認證的起源和現狀

自1946年計算機發明開始，計算機的應用逐漸廣泛，到20世紀60年代，計算機在企業管理領域特別是企業財務數據處理和會計核算領域的應用已頗有成效。為了規范電子數據環境下的內部審計規則和組織方法，1968年美國執業會計師協會出版了《電子數據處理系統與審計》，并于次年成立了電子數據處理審計師協會(Electronic Data Processing Auditor Association，EDPAA)。1994年，為適應信息系統審計發展的需要，EDPAA更名為信息系統審計與控制協會(Information System Audit and Control Association，ISACA)。目前，ISACA在世界170多個國家成立了分會，協會會員總數超過86 000人，是全球公認的影響最大的信息系統審計國際化組織，也是注冊信息系統審計師(Certified Information Systems Auditor，CISA)職業資格考試的發起者和組織者。

ISACA認為，信息系統審計是一個獲取并評價證據，以判斷計算機系統是否能夠保證資產的安全、數據的完整以及有效利用組織的資源并有效果地實現組織目標的過程[2]。信息系統審計不僅要對被審計對象采用的信息系統的安全性、可靠性以及控制的有效性進行了解、測試與評價，而且要對被審計對象的業務流程中信息系統控制存在的不足做出判斷并提出改進建議，起到一定的增值作用。根據信息系統審計的含義和要求，CISA就是要審查一個企業的信息系統是否安全、穩定和有效，以確保通過信息系統得出的數據是準確、可靠的。在信息化社會中，CISA可為各單位筑起信息安全的壁壘。CISA關注信息安全，采用各種方法測試系統的安全性，并對來自內部和外部的安全隱患提出合理可行的應對措施;CISA關注信息系統的穩定性，提出一系列對策保證信息系統的運行萬無一失;CISA能鑒別信息系統的有效性，能夠幫助企業促進經營管理與信息技術的融合，并為信息系統的完善提供建議[3]。

CISA職業資格考試自1978年創立以來，已有逾60 000名專業人士獲取資格，目前中國內地通過CISA考試并擁有證書的有600多人。南京審計學院作為ISACA在中國內地的三個策略性合作伙伴之一，擁有的ISACA學生會員人數占全球ISACA學生會員總人數的10%左右，6年來共培訓在校大學生、研究生及國內各行業信息系統審計人員500余人。近年來，金融業、保險業、外資及獨資企業、國家及地方審計部門、會計師事務所等對CISA人才的需求逐漸上升，參與CISA培訓和考試的人數隨即迅猛增加。培訓對象的多樣化為CISA培訓提出了更高的要求，也為基于CISA認證的信息系統審計專業的研究和設置，為信息系統審計專業高級專門人才的培養奠定了基礎。

2CISA認證的內容

CISA認證的內容主要包括以下6個方面[4]。

(1) 信息系統審計過程(IS Audit Process):內部審計的概念與理論;信息系統審計準則、指南及程序;IT審計過程及方法。

(2) IT治理(IT Governance):IT治理框架;IT組織結構和人力資源管理;IT政策、標準和程序;信息系統管理實務。

(3) 系統和基礎設施的生命周期管理(Systemand InfrastructureLifeCycleManagement):信息系統的業務效益管理實務;信息系統的獲取、開發及維護實務;信息系統的應用控制;典型應用系統;對IT系統和基礎設施的審計。

(4) IT服務提供與服務支持(IT Service Delivery and Support):信息系統的硬件、軟件組成;網絡基礎設施簡介;信息系統的運行與服務管理;對IT基礎設施及IT服務管理的審計。

(5) 信息資產保護(Protection of Information Assets):信息安全管理體系;邏輯訪問控制;網絡基礎設施安全;物理與環境安全;對信息安全的審計。

(6) 業務連續性計劃和災難恢復(Business Continuity and Disaster Recovery):業務連續性計劃的重要性;業務連續性計劃的制訂過程;對業務連續性計劃和災難恢復的審計。

3信息系統審計專業的知識結構及其實現途徑

3.1 CISA認證的知識域

從CISA認證的主要內容可以歸納出4個知識域，即:技術基礎、理論與方法、綜合環境和職業實踐。

技術基礎:信息技術基礎、信息系統應用、數據庫技術與應用、基于信息系統的內部控制方法。

理論與方法:信息系統安全審計、信息系統應用審計、信息系統建設審計、信息系統績效評價。

綜合環境:信息系統運行與管理、IT治理、軟件質量控制、IT項目管理。

職業實踐:法規與準則實踐、職業道德教育。

3.2 信息系統審計專業的知識結構

按照CISA認證的主要內容，并根據知識學習的連續性要求，信息系統審計專業的知識結構應包括經濟管理理論、財會理論、審計理論、信息技術理論、信息系統理論、法律理論等6個方面。

經濟管理理論:企業等組織的有效運作建立在科學規范的組織機構和業務流程基礎上，信息系統審計應以經濟管理理論為指導，監督和診斷信息系統全生命周期的科學性、穩定性和有效性。

財會理論:審計必須借助會計方法和會計技巧，會計方法是審計的工具;審計的直接對象是企業編制的會計報表，要審查相關的由原始憑證到賬冊反映的經濟和會計數據;審計人員關心并進行研究、評價的主要是與會計信息形成和輸出相關的各項內部控制制度。因此，財會理論是信息系統審計的基礎理論，是信息系統審計專業學生的必備知識。

審計理論:審計理論為信息系統審計提供豐富的內部控制理論、實踐經驗以及收集并評價證據的方法，以確保正確處理所有交易數據。同時，審計理論也為審視信息系統在確保資產安全和信息完整，并能有效率、有效果地實現企業目標方面提供基本思想。

信息技術理論:信息技術理論提高審計測試效率和審計監督質量，為審計理論在深度和廣度上的不斷擴展提供技術手段。

信息系統理論:信息系統理論研究管理信息系統的開發和運行，為信息系統的審計提供規范化的信息系統全生命周期控制與管理進程，提高信息系統保護資產安全、保證信息完整，并能有效實現企業目標的能力。

法律理論:現代審計與法律理論密切相關，審計證據的獲取需要審計人員運用法律手段檢查、判斷，排除偽證，規避訴訟，信息系統審計也應以法律理論為指導。

可以說，信息系統審計綜合了經管學科、會計學科、審計學科、計算機技術以及信息系統開發與管理的思想和內部控制手段，以管理為核心、以技術為支持、以法律為保障，它是偏重于管理的綜合性學科。

3.3 信息系統審計專業的主要課程

根據以上分析，信息系統審計專業主要開設以下專業基礎課和專業課。

專業基礎課:管理學、經濟學、運作管理、運籌學、會計學、財務管理、經濟法、計算機原理、操作系統原理、數據結構、程序設計語言。

專業課:審計學、計算機網絡、數據庫原理與應用、信息系統分析與設計、數據與信息安全、數據采集與審計、信息資源管理、信息系統審計、信息系統項目管理。

信息系統審計專業的知識結構以及主要課程之間的關系如圖1所示。

3.4 信息系統審計專業知識結構的實現途徑

信息系統審計專業的知識結構通過課堂教學和實踐教學兩條途徑實現。課堂教學重在理論傳授，為提高教學效果，應注重師生互動和案例教學。實踐教學是鞏固所學理論，培養學生實踐能力和創新意識的有效形式，根據信息系統審計專業的特點，應強化實踐教學，通過課程實驗、課程設計、案例演練、創業競賽、社會實踐等環節培養學生的實踐創新能力。審計案例及其實驗環境的編制與創設是信息系統審計專業建設的重要環節，是實踐教學的主要組成部分。審計案例應來自于真實的組織，應根據案例編寫的科學性和規律性要求重點編制，并進一步創設實驗環境，變抽象為具體，為學生提供信息系統審計的一體化的真實體驗，形成實驗教學的新模式，實現信息系統審計專業顯性知識與隱性知識的共同培養。

信息系統審計專業需強化實踐教學，注重案例分析，因此，教師講授、學生聽課這種單向的教學模式不利于高級專門人才的培養，“互動”教學模式則有利于人才培養目標的實現。為了實現教與學活動的有效互動，教學活動中“教的活動”與“學的活動”應進一步細分并明確具體的內容，形成教學活動鏈，明確各活動間的關系。筆者認為，教學活動鏈的結構以及各活動產生的內容可用圖2所示。教師備課、授課、輔導、批改總結形成“教”活動鏈，學生聽課、實驗、小組報告、作業、考試、總結形成“學”活動鏈，兩者構成完整的教學活動鏈。

通過教學活動鏈，信息系統審計專業的知識結構易于形成和鞏固，從而有利于實現理論知識全、實踐能力強、分析判斷準、應用水平高的信息系統審計高級專門人才的培養目標。

4結語

信息系統審計專業的設立是高度信息化的現代社會的必然要求，本文基于CISA認證的主要內容，闡述了信息系統審計專業的知識結構、課程設置及其實現途徑。由于信息系統審計在我國還是一個新興的行業，本文的探討可能不夠全面，專業建設的有關內容還需進一步研究。

主要參考文獻

[1] 陳耿，王萬軍.信息系統審計[M].北京:清華大學出版社，2009.

[2] 孫強.信息系統審計[M].北京:機械工業出版社，2003.

[3] Valaria P Vendrzyk， Nancy A Bagranoff. The Evolving Role of IS Audit:A Field Study Comparing the Perceptions of IS and Financial Auditors[J]. Advances in Accounting， 2003，20:141-163.

[4] 李庭燎，楊崢.CISA認證考試在我國的發展現狀和備考建議[J].中國內部審計，2007(7):90-91.