对信息系统审计师的介绍和考试建议函授备考CISA

6-21 14:13:49

（作者：孙强孟秀转）

    本文提供了关于信息系统审计师（CISA）证书的相关信息，并为参加CISA考试提出了若干建议。它简要介绍了什么是信息系统审计师、CISA证书、获得并保持证书的要求、CISA考试的内容与结构、备考建议、考试注意事项、样题、以及其它相关信息。

    报名时间：2003年6月2日起
    学习时间：2003年8月15日至2004年4月30日

一、信息系统审计师简介

1、什么是信息系统审计师

信息系统审计师CISA（Certified Information System Auditor），也就是我们通常所说的IT审计师，是指一批专家级的人士，既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉业务运营管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。拥有CISA资格证书是持证人专业能力的展示，并成为专业程度的衡量基础。随着对信息系统审计、控制与安全专业人士需求量的增长，CISA已成为全球范围内个人与公司机构不可或缺的认证。CISA资格证书代表持证人以卓越的能力服务于公司并致力于信息系统审计、控制与安全领域。同时，它还会带来相当的职业与个人利益，不论你希望促进你的工作表现还是得到职务升迁，拥有CISA资格证书都会是你拥有他人无法企及的竞争优势。
　　此外，这一认证的意义还在于，也许本认证对于你当前的工作并不是绝对必需的，然而越来越多的机构希望员工得到CISA认证。为了确保你在全球市场中的成功，选择一个建立在全球认可技术实务基础上的认证是至关重要的。CISA所提供的就是这种认证。CISA作为信息系统审计、控制与安全专业人员的资格证书，受到全世界所有行业的广泛认可。

2、为什么急需信息系统审计师

当前，信息技术的普遍应用，信息系统已成为各单位最宝贵的资产和面对市场竞争的战略支撑，信息系统审计师正是面向这种需要的高级人才。
　信息系统审计师关注信息安全，没有安全就没有一切，信息系统审计师会采用各种方法来测试系统的安全性，并对来自内部和外部的安全隐患提出相应对策；
　信息系统审计师还要关注信息系统的稳定性，没有长期稳定性，信息系统就无法承担起激烈竞争的压力，信息系统审计师会提出一系列对策保证客户信息系统的万无一失；
　信息系统审计师最擅长鉴别信息系统的有效性，最安全和最稳定的系统不一定是最有效的系统，而效率不高的系统就会消耗企业大量的资源，信息系统审计师的优势就是对财经管理和信息技术融会贯通，为企业信息系统的改造提供建议。

　　3、哪些行业最需要信息系统审计师

目前，国内持有CISA证书的人数累计应在一百人以内，而国内注册的咨询公司已达到了20000多家，知名的外资咨询公司、会计师事务所大多数也已经落户中国。同时，我国信息化工程建设发展迅猛，并且这些工程项目越来越大、越来越复杂，从而对信息系统工程咨询质量提出了更高的要求。更广泛地开展和加强对信息系统工程的审计与控制，不仅成为迫切需要，而且在实践上也呈日益增长之势。由于信息技术的国际性，国际信息系统审计师在国内同样胜任信息系统监理工作。
　　正是因为我国信息化建设的高速发展，对安全和风险管理的日益重视，导致此类人才严重的供给矛盾。因此，可以肯定，信息系统审计职业潜力巨大，在我国有广阔的发展前景。以下行业将首先对信息系统审计师表现出强劲的需求：
　软件供应商，特别是管理类的集成软件供应商，需要信息系统审计师参与产品设计、规划和检测，需要信息系统审计师对客户现有信息系统进行评价，提出改造设想。全球所有重要的ERP和CRM产品供应商都聘请大量信息系统审计师。
　管理咨询机构，20世纪90年代以后，管理咨询的重点已经逐步发展为提供一揽子解决方案，其中信息系统的配置，就是解决方案成功的基础，国际知名的管理咨询机构中，有50%以上的员工熟悉信息技术，其中20%拥有信息系统审计师资格。
　会计师审计师事务所，是信息系统审计师最早的落脚点，“四大”国际会计公司超过30%的收入来自于风险管理部门，这个部门的最主要工作就是监控客户的信息系统风险和运营风险，同时为客户提供ERP或CRM的实施和培训。会计师审计师事务所中传统财务报表审计也越来越离不开信息系统审计师的贡献，没有他们的工作，评估内部控制风险和企业固有风险将成为一句空话。人们常常看到，“五大”会计公司里，最年轻的合伙人或经理，往往都是信息系统审计师，因为这是一项年轻人的工作。
　跨国公司，作为信息系统最集中的用户，跨国公司急需大量信息系统审计师，一方面参与信息化建设的过程，另一方面时刻保持对分支机构的信息监控。还有一种最新迹象表明，跨国公司内部审计部门也在大量招聘信息系统审计师，以加强内部的监督和牵制。
　大型国有企业和上市公司，这些机构往往有雄厚的财力来实现管理的信息化、保证生产经营的稳定性，他们对信息系统审计师的要求和跨国公司类似。
　随着信息技术的普遍采用，中小企业也将有需求。其中之一的原因是技术启发相关犯罪，网络犯罪增多的主要原因是员工了解IT及安全，而管理层与经理人并不是非常了解，技术从来都是双刃剑，比如IT在会计制度中的应用是否给犯罪提供了较多的缓冲时间？因此尽管我们已有很大的进步，但IT与审计、会计以及经营者间的鸿沟并未缩小，而是有所增加。

　　4、什么机构授予信息系统审计师资格

目前国际上，国际信息系统审计与控制协会（Information System Audit and ntrol Association）是唯一有权授予信息系统审计师资格的跨国界、跨行业专业机构，该协会成立于1969年，最初称为EDP审计师联合会，总部在美国的芝加哥。目前在世界上100多个国家设有160多个分会，现有会员两万多人。它包含：
　设定的标准—— 一般作为世界范围内的IT审计、控制的指导方针；
　一个令人尊敬的认证项目CISA——在IS审计、控制、安全领域内国际上承认的项目；
　一个关于关键的管理和技术主题的专业的发展项目；
　提供赢得赞誉的技术出版物，包含最新的研究、案例学习、信息知识入门等；
　指导会员专业的活动和操行的职业道德准则；
　　注册信息系统审计师CISA资格由国际信息系统审计与控制协会授予，是信息系统审计领域的唯一职业资格，受到全世界的广泛认可。由于信息技术的国际性，国际信息系统审计师资格在世界任何一个国家的使用都不会受到任何制约。

5、取得CISA资格的条件

CISA计划对信息系统审计、控制与安全职业领域中具有卓越技能与判断力的个人作出评估与认证。若想获得CISA 认证，申请人需要：
　　通过CISA考试；
　　遵守国际信息系统审计与控制协会的《职业道德规范》，此规范已列入《CISA考试申请人指南》中，供应考人参考；
　　在信息系统审计、控制、或安全领域5年以上工作经验的证明。具有下列同等经验，可申请免除该项经验，并应获得如下证明：
　Ø　1 年以下的信息系统审计、控制与安全工作的经验可用如下资历相抵：
　　■     满1 年的审计工作经验，或
　　■     满1 年的信息系统工作经验，和／或
　　■     具有大专学历（大学60 个学分或同等学历）。
　Ø      2 年信息系统审计、控制与安全工作的经验可用学士学位（大学120 个学分或         同等学历）相抵。
　Ø       1 年信息系统审计、控制与安全工作的经验可用2 年相关领域（计算机科学、会计、信息系统审计等）内从事大学专职讲师的经验相抵。无最高年限（即6 年大学讲师经验等同于3 年信息系统审计、控制与安全工作的经验）。
　    提出CISA资格申请并得到批准。

　　专业经验必须在申请前的10 年之内获得，或在第一次通过考试之日的前5 年之内。认证申请必须在通过CISA考试的5 年之内提出。所有专业经验都必须由原雇主独立地确认。值得注意的是，很多人在具备所要求的经验之前就参加CISA考试。尽管在所有要求的资历未达到之前不会被授予CISA资格证书，但这种作法是可以接受并值得鼓励的。

　二信息系统审计师认证（CISA）考试简介

自1978年国际信息系统审计与控制协会每年组织注册信息系统审计师资格考试，2002年全球考试人数突破万人，亚洲更是以36%的增长率，成为全球增长率最快的地区。CISA考试在国内已举办三次，目前在中国的香港、台湾、北京、上海、广州、深圳设有考点。2002年全国共有二百多人参加考试。目前，国内持有CISA证书者不超过百人。

　　1、考试内容

CISA考试分为信息系统审计流程和信息系统相关知识两大方面七个内容：

审计流程方面：
　信息系统审计流程—遵照普遍接受的信息系统审计标准和指南从事信息系统审计，以确保组织的信息技术和业务系统得到充分的控制、监督和评价。

内容方面：
　信息系统的管理、计划与组织—评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。
　信息技术基础设施与操作实务—评价组织在技术与操作基础设施的管理和实施方面的有效性及效率，以确保其充分支持组织的业务目标。
　信息资产的保护—对逻辑、环境与信息技术基础设施的安全性进行评价，以确保其满足组织的业务需要，防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。
　灾难恢复与业务持续计划—对这种计划的建立和维护流程需要进行评价。这些计划是在发生灾难时，能够使组织持续进行业务营运和信息系统处理的、书面形式的、众所周知的并且是经过测试的计划。
　应用系统开发、获得、实施与维护—对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价，以确保其满足组织的业务目标。
　业务处理流程评价与风险管理—评估业务系统与处理流程，确保根据组织的业务目标对相应风险实施管理。

　2、考试日期、时间和地点

CISA考试每年6月组织一次，考试时间为4个小时，一般是从上午9点到下午1点。目前确定的国内考试地点为上海、广州、北京、深圳。

3、考试题型和语言

CISA 考题经过精心开发与维护，以便准确测试考生在信息系统审计、控制与安全实务方面的精通程度。考试题型为200道客观选择题，全部为笔答，换算后得分达到75 分即可通过考试。由于CISA证书为国际所认可，因此考试以如下几种语言进行：荷兰语、英语、法语、德语、希伯来语、意大利语、日语、韩语、繁体中文、简体中文和西班牙语。

　　4、如何准备CISA 考试

完整的系统的学习计划可以帮助你通过CISA考试。为帮助考生制定成功的学习计划，ISACA为考生提供了一些学习辅导资料与复习课程。（另外可参考网站以了解详情。）
　　收到CISA考试报名表和报名费之后，CISA考试中心将为考生提供『CISA考试考生指南』。本指南提供有关考试流程与内容方面的详细大纲，推荐的一些参考资料目录，考试中使用的词汇表，以及考试中使用的答卷的范例。
　　每年更新的CISA复习手册，以便反映最新的行业内原则和实务。本手册提供了综合的学习指南以帮助考生准备CISA考试。其中包含详尽的考题结构与内容说明，制定学习计划的建议，考题范例，并根据流程与内容将考试涵盖的技术问题进行了概括。另外还包括其它的学习参考资料与考试中常用的术语表。本手册可作为个人学习的独立文件，或作为学习团体及分会机构在当地开办复习课程的指南或参考。
　　历年的CISA复习题、解析手册，包含囊括了以往考试中出现的具有代表性的题型，并包含正确与错误答案的解析。考题按照CISA流程与内容范围进行了分类，可作为考试样卷使用。
　　CISA复习题、解析光盘，使用者可以在本光盘中随机抽取样卷，并按照领域范围进行结果分析，帮助使用者认识自己的强项和弱项。
 理解你自己所学的东西，理解考试方式，使用对你最有帮助的资源和学习手段。
 许多人在备考过程中形成学习小组，提供信息的共享和互相的支持。有一些“同路人的压力”，将会非常有助于树立信心参加并通过考试。
 即使你认为你了解信息系统审计，在考前学习CISA复习手册和本书也会对你有所帮助。如果你熟悉CISA复习手册和本书中的概念，并且有过一些信息系统审计工作经验，你会做的更好。

　　5、CISA资格证书的维持

获得任何职业资格证书的持证人必须参与继续教育计划来维持其资格证书。为了维持CISA资格证书，持证人必须履行继续教育政策，并遵守ISACA协会的《职业道德规范》。这些计划有助于保证CISA持证人能够与业内先进技术的发展保持同步，并展示较高的职业原则。

继续教育政策要求持证人累积足够的继续教育学分，并提供证明，以及支付年度维持费。此外，最低学分的累积与证明提供必须在固定的3 年认证期间完成。不能履行将会撤消持证人拥有的认证资格。在过去5 年中，93% 以上的CISA持证人维持了资格证书。这项统计结果反映了CISA持证人对维持资格证书的强烈愿望。

　　6、报名参加CISA考试

考试日期

如果没有另行规定，则CISA考试将在每年6月举行。

在线报名表

从ISACA网站：网页上获取报名表。应当用黑色墨水笔工整填写或打印。字迹要清楚。请确认考试中心代码正确，并根据需要选择考试中使用语言的版本。在填完报名表并付款后，ISACA将寄给你CISA考试报名的回执信与一份《CISA考试考生指南》。投递时间为6 个星期。

退款与缓考费

退款：无法参加考试的申请人可以要求退款，退款中将扣除$75的手续费。退款请求必须在指定时间之前以书面方式寄到。

缓考：无法参加考试的申请人还可以得到一次缓考机会，将考试日期延至下一年。缓考请求必须在指定时间之前以书面方式寄到。缓考到下一年之后不得要求退款，并且在报名参加下一年考试时，考生还需要交纳US $50 的再报名费。

考试中心的指定

ISACA 将尽可能根据你的选择安排考试中心。然而，如果某个考试中心被取消，则你将被分配到最近的考试中心。如果你不愿在新分配的考试中心参加考试，那么你可以得到考试费的全额退款。

申请增设考场

如果考试中心在你所在地区的100 英里（160 公里）之外，并且同时有5 名以上（包括5 名）的应试人想编入本地一组，则你可以申请成立新的考试中心。成立新考试中心的申请需要至少5 份经付款的报名表，并于指定时间之前被送至ISACA国际总部。尽管不能保证新考试中心一定成立，但ISACA将尽力安排。

特别安排

接到申请后，ISACA 协会将根据出具的残疾或宗教证明，在考试程序方面为应试者作出必要的合理安排。应试人可以要求适当地改变考试格式、表述方式、考场内提供饮食或调整考试时间，以顾及应试人由于残疾或宗教要求而影响到考试状态的因素，但是不会改变考试中技能与知识的难度。在考场内的进食要求必须有医生的证明材料，否则不允许将食品和饮料带入考场。应试人必须在发出报名表和报名费时一并提出书面要求和证明材料。

ISACA 联络方法

如果有任何疑问，请联络CISA 认证部，电话为+1.847.253.1545转471或474分机；传真+1.847.253.1443，或　将电子邮件发至certification@国际信息系统审计与控制协会.。
　　与会员有关的疑问请将电子邮件发至membership@国际信息系统审计与控制协会.，或打电话1.847.253.1545转470分机垂询。有关CISA学习辅助材料的疑问请将电子邮件发至bookstore@国际信息系统审计与控制协会.，或打电话+1.847.253.1545转401分机垂询。

7、考试的举办

准考证

在CISA考试前2 到3 周，你会收到考试机构寄来的准考证以及来自ISACA 的电子准考证。准考证上标明了考试的日期、入场登记时间与考试地点，当天日程安排以及参加CISA考试必须携带的材料。你必须注意准考证上规定的确切的登记入场时间与考试时间。在考试开始前约30分钟主考人开始宣读说明时，任何考生均不得进入考试中心。准考证只能在其被指定的考试中心使用。

只有携带有效的准考证以及通用的身份证明才能进入考试中心。可以接受的身份证明包括带有相片（比如护照、有照片的驾驶执照等）或其它带有你的签名和身高、体重、眼睛颜色等描述资料的证明。

安全

考场中发现考生有作弊行为（比如提供或接受帮助、使用字条、答卷或其它工具）、试图替他人考试或撕下考试卷、答卷或附卷带出考场时，考生将被取消考试资格。考试机构将向认证委员会报告此违规行为。

8、考试成绩

考分的邮寄

自考试之日起约10 个星期后，考生将接到邮寄的考试成绩通知。为了对考试分数保密，考试结果将不采用电话、传真或电子邮件的方式进行通知。

考试成绩通知

你接到的成绩通知将显示全部试卷中答对的数目经换算后的相应得分。换算后的分数从1 到100，是通过一种算法（线性转换）得到的。它在设定及格线之后，把原分数转换为线性分数。原分数通过累计正确答案而得到，如果某些试题经过统计后被判定为或委员会检查认定为含义模糊或存在其它缺陷时，还应在原分数中计入该试题的相应得分。通过这种方式，考生就不会由于某些不具备统计有效性的试题而被扣分。该程序的各个环节都不是人为或随意的。如果得分为74 分，则这个低于及格线的分数是由ISACA 雇用的独立考试机构根据换算程序而得到的。它不代表实际的分数或正确答案的平均分，而是原分数相对于其他所有考生的分数。得分达到或超过75 分者将通过考试。

再次参加CISA 考试
　　分数为74 及以下的考生可以报名参加以后的CISA考试。

三、参加考试的八点建议
　　1．申请成为国际信息系统审计与控制协会的协会会员，这样将会得到很多优惠，包括CISA考试费、免费的《Information System ntrol Journal》等等。
　　2．浏览CIA和CICPA与IT相关的主题，浏览http://www.国际信息系统审计与控制协会./gir/girmenu.cfm。重点阅读《Information System ntrol Journal》和“BIT”，《Information System ntrol Journal》将帮助你掌握信息技术控制的最新发展；尽管“BIT”并不是CISA考试内容，但对于从事IT的技术人员来讲，将非常有助于锻炼像信息系统审计师那样思考。尤其是以下部分：
　　• Audit guideline
　　• Audit guide appendix
　　• Planning and anisation P01
　　• Acquisition and implementation AI1
　　• Delivery and report DS
　　• Monitoring MS
3．考试的时间是4个小时，200个选择题，全部为单项选择题，平均每72秒答完一道题。所以，你应该以至少每个小时50道题的速度完成考试。不要在任何一个问题上花太多时间。做题的过程中，标出你可能回过头来进一步考虑的问题。最后用剩下的时间检查那些你不太确定的问题，即便是猜测，也一定要对200个选择题全都做出选择。
4．不要试图读出问题字面下的隐含意思。没有更多绕弯的问题。大多数问题相当简短，只有四个备选答案，从中选择一个合适的答案。可以参照如下步骤：
• 由头至尾快速地读懂题目；
• 排除已知的不正确的答案；
• 做出最佳选择；
• 通常有两个选项很容易被排除掉；
• 另外两个选项互相冲突；
• 联系题目中的问题，借助于对概念的理解，选定正确的一个。
• 特别注意以下关键词语：
 最恰当地、最可能地（Most likely）
 最少地（Least likely）
 最好地（Best）
 不是或没有（No）
5．此证书由国际信息系统审计与控制协会所颁发，考试的知识体系当然要依从国际信息系统审计与控制协会所定义或制定的概念、标准、规范。
6．仔细阅读所有问题。考试有几部分可能要求你就某一情景回答问题。这些问题可能很难；有时选择项中两个答案好像都是正确的，不过你只能选择其中的一个。阅读几遍这类问题的说明，确信你准确地理解了题意。
7．放松心态是确保成功完成考试的最好方法。在考试前要吃好适量的食物，学习一些减压的技巧，以便在考虑时遇到紧张状态时得到缓解，在考前几天到考场去熟悉一下环境，。
8．两个小时之后，停下来理理你的思路，调整一下精神状态，检查是否已经完成半数以上的考题。

了解作者参与组织的CISA函授备考请访问：

本文获得作者 A 级推荐转载授权：我谨保证我是此作品的著作权人。我同意中国会计视野作为此作品版权的独占代理人。在撤销本委托之前，我不再将此作品投给其他媒体，有关此作品发表和转载等任何事宜，由中国会计视野全权负责。未经中国会计视野转授权，其他媒体一律不得转载。