信息系统审计人才的培养

河南省审计干部培训中心电教二科 杨龙驹

信息系统审计人才的培养

河南省审计干部培训中心电教二科 杨龙驹

在大多数人的印象中，审计是跟账目打交道的，而信息系统审计应当是计算机领域研究的内容。事实上，随着信息技术的广泛应用，被审计对象的财务系统及业务系统都实现了电子化管理，审计人员所需的信息越来越多地来源于被审计单位的信息系统，而这些信息系统是否安全、可靠和有效是审计工作能否顺利开展的重要前提。当前，对被审计单位信息系统的审计已成为审计工作发展的大势所趋。国际信息系统审计和控制协会（ISACA）对信息系统审计的定义是：信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。“未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展。”这一观点已经逐渐成为国外会计、审计界的一个共识。

一、开展信息系统审计的重要意义

1.信息系统审计为我国信息化建设保驾护航。当前，我国信息化事业已发展到一个新的阶段，随着电子政务及电子商务应用的推进，许多城市及企业也已着手整合与升级其信息化系统。但是，国内外的实践经验表明：信息化是有风险的，信息系统规模越大，功能越复杂，风险也就越大。中央领导同志在国家信息化领导小组第一次会议中特别强调：信息化建设一定要讲求效益，不能搞花架子。而开展信息系统审计可以从项目计划开始介入信息系统建设的每个环节，以审计人员的专业素养，从项目的初始阶段一直到运营的全过程，给予项目投资者风险控制的评估与建议，提高信息系统的投资效益。

2.信息系统审计是审计机关维护国家信息安全的重要手段。

首先，作为经济社会运行的“免疫系统”，维护国家安全是审计工作的第一要务。而信息安全是国家经济安全的一个重要方面。当前信息化条件下，只有通过开展信息系统审计，才能确保国家信息安全。

其次，信息系统审计是新形势下防范审计风险的重要手段。在对被审计单位的电子数据进行审计时，如果被审计单位运载电子数据的信息系统的安全性、可靠性和有效性出现了问题，计算机数据审计就会存在风险。因而，被审计单位信息系统的可信与可靠程度是数据审计得以进行的前提和最终实现的基本条件，这在很大程度上对审计风险起到了防范作用。

第三，信息系统审计是查处打击新型犯罪的重要手段。随着计算机和通信技术的不断普及，人们对信息系统的依赖越来越严重。开展信息系统审计，能帮助被审计单位完善信息系统的运行，同时，对利用信息系统进行计算机犯罪也具有强大的震慑作用。

二、人才短缺制约我国信息系统审计工作的开展

可以说，信息系统审计是计算机审计的发展趋势，是审计过程的一个重要组成部分，开展信息系统审计具有重要意义。信息系统审计强调对信息系统的安全性、有效性和经济性进行审计，审计技术要求高，对审计人才的专业素养有较高要求。然而，我国计算机审计起步较晚，计算机审计人才培养滞后，特别是具备信息系统审计能力的人才更为稀缺，严重制约了我国信息系统审计工作的发展。

1.信息系统审计师应具备的能力。信息系统审计要求审计人员不仅要通晓信息系统的软件、硬件、开发、运营、维护和管理，对网络和信息系统安全等具有高度的敏感性，对财务会计和单位内部控制有深刻的理解，而且还必须能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。具备信息系统审计能力的审计人员被称为信息系统审计师或IT审计师，能够通过相关机构组织的信息系统审计师考试并获得相关证书或资质的被称为注册信息系统审计师（CISA）。目前，CISA已成为全球范围内最抢手的高级人才。总体来说，信息系统审计师应当具备以下几个方面的能力。

（1）能够采用各种方法测试系统的安全性，并对来自系统内部和外部的安全隐患提出相应对策。

（2）关注信息系统的稳定性。没有长期稳定性，信息系统就无法承担起激烈竞争的压力，信息系统审计师应该能够提出一系列对策保证客户信息系统的万无一失。

（3）擅长鉴别信息系统的有效性。最安全和最稳定的系统不一定是最有效的系统，而效率不高的系统就会消耗企业大量的资源，信息系统审计师的优势就是对财经管理和信息技术融会贯通，为企业信息系统的改造提供建议。

2.国外的信息系统审计人才培养模式。国外信息系统审计人才的培养方式值得我们借鉴。在国外，信息系统审计已经有了一个相当长时期的发展，在信息系统审计人才培养方面也积累了丰富的经验。在这方面，美国走在了前面。早在计算机进入实用阶段时，美国就开始提出系统审计的概念。1969年，美国在洛杉矶成立了电子数据处理审计师协会；1994年，该协会更名为信息系统审计与控制协会（ISACA），其总部设在美国芝加哥。目前，该组织在世界上100多个国家设有160多个分会，有会员几万人，它是现今从事信息系统审计的专业人员唯一的国际性组织，CISA也是这一领域的唯一职业资格。ISACA通过制定和颁布信息系统审计准则、实务指南等专业标准来规范和指导信息系统审计师的工作；它设立了信息系统审计与控制基金会，从事相关领域的工作，以使该组织的成员能够享用其最新研究成果；它通过在世界各地举办各种形式的研讨会、培训班等活动，增进国际间同业人员的交流；它每年还举办CISA资格考试，通过考试的人员可以申请CISA资格，符合ISACA规定的工作经验及其他相关要求的申请人会被授予CISA资格，CISA资格在世界各国都被广泛认可。

当前，我国对开展信息系统审计的人员应具备的资格还没有统一规定。因此，国内应尽快参照ISACA颁授CISA认证的形式培养适合中国审计国情的信息系统审计专家。

三、立足国情，加快我国信息系统审计人才的培养

开展信息系统审计，需要熟悉、精通两个专业的高端复合型人才：一种是精通审计、担任过大型项目主审且熟悉计算机应用的高级审计师；另一种是精通计算机或者熟练掌握数据库原理、数据库访问技术、信息系统的一般控制和应用控制以及软件工程等知识，同时又熟悉审计原理和审计实务的计算机专业人才。因此，信息系统审计人才的培养是一项复杂工程，具体来说，应从以下几个方面着手。

1.信息系统审计领军人才的培养。信息系统审计是信息化环境下一种新的审计模式，是审计方式的重大变革。可以通过短期培训提高专业人员的信息系统审计意识，使他们知道在审计项目中如何安排信息系统审计的内容。

2.信息系统审计师资的培训。信息系统审计是一个交叉学科，要求教师既懂得信息科学的理论又通晓审计实务。为此，可选拔优秀高校教师参加具体的审计项目，教师在具备一定的审计经验后方可走上讲台；也可以在审计系统范围内选拔具有信息系统审计实践经验的计算机审计骨干，通过短期理论培训后使他们走上讲台。这两种师资队伍相比较而言，前者注重传授理论，后者注重介绍审计实践。只有这样，才能保证信息系统审计人才培养的科学严谨、前后一致、各有侧重。

3.信息系统审计专业人才的培养。可通过选送具有计算机专业背景的审计人员参加信息系统审计培训班的方式，培养信息系统审计专业人才。通过培训，使学员能够编制信息系统审计方案，担任信息系统审计主审。

4.组织信息系统审计职业资格考试和评定。可以借鉴ISACA发起的CISA认证经验，结合中国审计实际，规范我国信息系统审计人才的从业资格，职业道德，后续教育等。