基于CISA认证的信息系统审计专业知识结构及其实现途径研究

基于CISA认证的信息系统审计专业知识结构及其实现途径研究

引言

1CISA认证的起源和现状

ISACA认为,信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效利用组织的资源并有效果地实现组织目标的过程[2]。信息系统审计不仅要对被审计对象采用的信息系统的安全性、可靠性以及控制的有效性进行了解、测试与评价,而且要对被审计对象的业务流程中信息系统控制存在的不足做出判断并提出改进建议,起到一定的增值作用。根据信息系统审计的含义和要求,CISA就是要审查一个企业的信息系统是否安全、稳定和有效,以确保通过信息系统得出的数据是准确、可靠的。在信息化社会中,CISA可为各单位筑起信息安全的壁垒。CISA关注信息安全,采用各种方法测试系统的安全性,并对来自内部和外部的安全隐患提出合理可行的应对措施;CISA关注信息系统的稳定性,提出一系列对策保证信息系统的运行万无一失;CISA能鉴别信息系统的有效性,能够帮助企业促进经营管理与信息技术的融合,并为信息系统的完善提供建议[3]。

CISA职业资格考试自1978年创立以来,已有逾60 000名专业人士获取资格,目前中国内地通过CISA考试并拥有证书的有600多人。南京审计学院作为ISACA在中国内地的三个策略性合作伙伴之一,拥有的ISACA学生会员人数占全球ISACA学生会员总人数的10%左右,6年来共培训在校大学生、研究生及国内各行业信息系统审计人员500余人。近年来,金融业、保险业、外资及独资企业、国家及地方审计部门、会计师事务所等对CISA人才的需求逐渐上升,参与CISA培训和考试的人数随即迅猛增加。培训对象的多样化为CISA培训提出了更高的要求,也为基于CISA认证的信息系统审计专业的研究和设置,为信息系统审计专业高级专门人才的培养奠定了基础。

2CISA认证的内容

CISA认证的内容主要包括以下6个方面[4]。

(1) 信息系统审计过程(IS Audit Process):内部审计的概念与理论;信息系统审计准则、指南及程序;IT审计过程及方法。

(2) IT治理(IT Governance):IT治理框架;IT组织结构和人力资源管理;IT政策、标准和程序;信息系统管理实务。

(3) 系统和基础设施的生命周期管理(Systemand InfrastructureLifeCycleManagement):信息系统的业务效益管理实务;信息系统的获取、开发及维护实务;信息系统的应用控制;典型应用系统;对IT系统和基础设施的审计。

(4) IT服务提供与服务支持(IT Service Delivery and Support):信息系统的硬件、软件组成;网络基础设施简介;信息系统的运行与服务管理;对IT基础设施及IT服务管理的审计。

(5) 信息资产保护(Protection of Information Assets):信息安全管理体系;逻辑访问控制;网络基础设施安全;物理与环境安全;对信息安全的审计。

(6) 业务连续性计划和灾难恢复(Business Continuity and Disaster Recovery):业务连续性计划的重要性;业务连续性计划的制订过程;对业务连续性计划和灾难恢复的审计。

3信息系统审计专业的知识结构及其实现途径

3.1 CISA认证的知识域

从CISA认证的主要内容可以归纳出4个知识域,即:技术基础、理论与方法、综合环境和职业实践。

技术基础:信息技术基础、信息系统应用、数据库技术与应用、基于信息系统的内部控制方法。

理论与方法:信息系统安全审计、信息系统应用审计、信息系统建设审计、信息系统绩效评价。

综合环境:信息系统运行与管理、IT治理、软件质量控制、IT项目管理。

职业实践:法规与准则实践、职业道德教育。

3.2 信息系统审计专业的知识结构

按照CISA认证的主要内容,并根据知识学习的连续性要求,信息系统审计专业的知识结构应包括经济管理理论、财会理论、审计理论、信息技术理论、信息系统理论、法律理论等6个方面。

经济管理理论:企业等组织的有效运作建立在科学规范的组织机构和业务流程基础上,信息系统审计应以经济管理理论为指导,监督和诊断信息系统全生命周期的科学性、稳定性和有效性。

财会理论:审计必须借助会计方法和会计技巧,会计方法是审计的工具;审计的直接对象是企业编制的会计报表,要审查相关的由原始凭证到账册反映的经济和会计数据;审计人员关心并进行研究、评价的主要是与会计信息形成和输出相关的各项内部控制制度。因此,财会理论是信息系统审计的基础理论,是信息系统审计专业学生的必备知识。

审计理论:审计理论为信息系统审计提供丰富的内部控制理论、实践经验以及收集并评价证据的方法,以确保正确处理所有交易数据。同时,审计理论也为审视信息系统在确保资产安全和信息完整,并能有效率、有效果地实现企业目标方面提供基本思想。

信息技术理论:信息技术理论提高审计测试效率和审计监督质量,为审计理论在深度和广度上的不断扩展提供技术手段。

信息系统理论:信息系统理论研究管理信息系统的开发和运行,为信息系统的审计提供规范化的信息系统全生命周期控制与管理进程,提高信息系统保护资产安全、保证信息完整,并能有效实现企业目标的能力。

法律理论:现代审计与法律理论密切相关,审计证据的获取需要审计人员运用法律手段检查、判断,排除伪证,规避诉讼,信息系统审计也应以法律理论为指导。

可以说,信息系统审计综合了经管学科、会计学科、审计学科、计算机技术以及信息系统开发与管理的思想和内部控制手段,以管理为核心、以技术为支持、以法律为保障,它是偏重于管理的综合性学科。

3.3 信息系统审计专业的主要课程

根据以上分析,信息系统审计专业主要开设以下专业基础课和专业课。

专业基础课:管理学、经济学、运作管理、运筹学、会计学、财务管理、经济法、计算机原理、操作系统原理、数据结构、程序设计语言。

专业课:审计学、计算机网络、数据库原理与应用、信息系统分析与设计、数据与信息安全、数据采集与审计、信息资源管理、信息系统审计、信息系统项目管理。

信息系统审计专业的知识结构以及主要课程之间的关系如图1所示。

3.4 信息系统审计专业知识结构的实现途径

信息系统审计专业的知识结构通过课堂教学和实践教学两条途径实现。课堂教学重在理论传授,为提高教学效果,应注重师生互动和案例教学。实践教学是巩固所学理论,培养学生实践能力和创新意识的有效形式,根据信息系统审计专业的特点,应强化实践教学,通过课程实验、课程设计、案例演练、创业竞赛、社会实践等环节培养学生的实践创新能力。审计案例及其实验环境的编制与创设是信息系统审计专业建设的重要环节,是实践教学的主要组成部分。审计案例应来自于真实的组织,应根据案例编写的科学性和规律性要求重点编制,并进一步创设实验环境,变抽象为具体,为学生提供信息系统审计的一体化的真实体验,形成实验教学的新模式,实现信息系统审计专业显性知识与隐性知识的共同培养。

信息系统审计专业需强化实践教学,注重案例分析,因此,教师讲授、学生听课这种单向的教学模式不利于高级专门人才的培养,“互动”教学模式则有利于人才培养目标的实现。为了实现教与学活动的有效互动,教学活动中“教的活动”与“学的活动”应进一步细分并明确具体的内容,形成教学活动链,明确各活动间的关系。笔者认为,教学活动链的结构以及各活动产生的内容可用图2所示。教师备课、授课、辅导、批改总结形成“教”活动链,学生听课、实验、小组报告、作业、考试、总结形成“学”活动链,两者构成完整的教学活动链。

通过教学活动链,信息系统审计专业的知识结构易于形成和巩固,从而有利于实现理论知识全、实践能力强、分析判断准、应用水平高的信息系统审计高级专门人才的培养目标。

4结语

信息系统审计专业的设立是高度信息化的现代社会的必然要求,本文基于CISA认证的主要内容,阐述了信息系统审计专业的知识结构、课程设置及其实现途径。由于信息系统审计在我国还是一个新兴的行业,本文的探讨可能不够全面,专业建设的有关内容还需进一步研究。