山西省注册会计师管理中心

安俊、张晨程、温佳、李彤、张煜垒

摘要：随着社会和信息技术的高速发展，企事业单位都更加的依赖信息系统。审计的角色已经从内部控制以及账务处理审计变为信息技术风险审计。这样的专家在中国非常稀缺。为了解决这个问题，那些设有会计以及财务管理专业的大学可以建立一个新的培养模式来培养杰出的ISA。

关键词：信息系统审计师；培养模式

Abstract:Along with the social and the rapiddevelopment of modern information technology, enterprises and institutions aremore dependent on information systems. The role of the audit from the internalcontrol and audit accounting audit into information technology risk. Suchexperts are very scarce in China. In order to solve this problem, those withaccounting and financial management professional college can set up a newtraining mode to cultivate outstanding ISA.

Key words: Informationsystems auditor; Training mode

一、引言

如今电脑在公司管理中的普及，尤其是公司财务数据的处理和核算，在电子数据环境中的审计也已经在快速的发展。为了适应信息系统审计实践发展的需要，ISACA（国际信息系统审计协会）致力于建立信息系统审计管理体系。早在2011年12月，ISACA已经指定了16项基本原则，41项审计指引和11项审计业务流程，这些可以指导信息系统审计者们来进行审计活动。ISACA相信信息系统审计是一个可以通过收集和利用证据来评判是否电脑系统可以确保资金安全性，数据完整性以及有效利用组织资源来达到组织目标的方法。

    随着信息技术的快速发展以及它的工具性，使得信息技术越来越多的使用在各行各业当中。而这其中关于公司财务与信息技术结合的产物也越来越多，包括用友、金蝶等财务管理软件。监控客户的信息系统风险以及操作风险等事项将越来越重要，故信息系统审计师应运而生了。

信息系统审计师（ISA）是独立的审计专家，他们通过信息系统审计的方法以及它的要求来验证组织系统以及企业信息技术的正确性及有效性。他们的责任以及主要任务是：用不同的方式检验系统的安全性；从内部及外部的安全风险中提出合理和可行的应对措施；关注信息系统的稳定性，提出一系列对策来确保信息系统运行的安全性；确定信息系统的效力来推动企业将商品交易与信息技术整合为一体，并提供关于提升信息系统的介绍。

二、CISA(Certified InformationSystems Auditor)的需求

随着大规模广泛的使用管理信息系统，许多国家开始强调信息系统安全性和稳健性的控制；传统的检查和审计技术正面临巨大的挑战，信息系统审计员已经被广泛认为是很吃香的资深人士。对ISA的需求主要有以下几个方面：

    （一）经济管理类软件供应商  ISA涉及产品生产过程、ERP（企业资源计划）和CRM（顾客关系管理）的设计和计划，系统测试和控制，顾客信息系统的评估和设计。目前，金蝶和UF等这些ERP和CRM软件供应商需要ISA人才。

    （二）管理咨询机构  管理咨询机构的业务已经发展为为客户提供关于与信息安全诊断以及有ISA参与的技术认证相关的信息系统和任务的配置程序。

    （三）注册会计师  诸如天健和爱立信这些知名的会计事务所预测他们下阶段的工作将会是监控客户的信息系统风险以及操作风险。

（四）大型国有企业、上市公司、跨国企业和其他大的事业单位这些机构的生产和管理活动正越来越依靠信息系统,他们渴望ISA来参与信息技术的建设和优化。  

信息系统审计是指对计算机软件和硬件及整个信息系统的审计，在会计信息化的发展过程中，信息系统审计已成为企业会计信息化的重要组成部分，同时也是会计信息化的内在需要。企业会计信息化开展信息系统审计需要一定的条件，会计信息化信息系统审计的实施保障了会计信息的安全、可靠，保证了会计信息系统的高效运行。当前，会计信息化信息系统审计的发展面临着各种阻力，需要各方的共同努力，才能促进其从概念落到实处。

三、CISA的培训条件

1981年，ISACA建立了一个专业资格考试的认证体系，并且推行了CISA的考试，这个是目前信息系统审计领域仅有的专业资格认证考试，并在世界范围内被广泛认可。目前，超过60000专业人士已经获得了这个资格证，但在中国大陆仅仅有1000多人通过了CISA考试并通过了认证。

对于会计人员的培养，许多学校注重塑造学生杰出的管理才能，使得一些学生成为了具有国际视野的会计方面的专家，而另外一些学习了很多先进的管理方面的知识，而对CISA的培养则做得不好。只有南京审计学院在本科阶段实施了国际信息系统审计师认证考试教育的培养模式，作为完成本科阶段正常课程的一个补充。CISA在中国的成长空间是非常巨大的，所以相关的信息系统安全审计业务已经取得了良好的发展。

为了解决国内信息系统安全审计方面人才供应与需求之间的矛盾，我国应该尽早进行CISA教育。作为为社会培养人才的主力军，高等院校责无旁贷，需要在CISA的培养上加大力度。

四、高校CISA的培训模式

目前中国CISA的短缺已经引起高校的思考。通过从其他专业领域的培养模式中汲取经验，不少学者已经提出了CISA的培养模式。

（一）通过完善多学科教育体系，奠定坚实的理论基础

信息系统审计不仅仅是传统审计技巧的?单扩展，它是一门跨学科的学问。它汇集了传统的审计理论、信息系统管理理论和计算机科学理论。

1．传统的审计理论为信息系统审计提供内部控制理论和实践经验。同时，它也为信息系统审计带来了控制哲学，也就是说，要更加审慎地使用信息系统。

2．计算机科学是信息系统审计的应用技术。掌握相当程度计算机知识的审计师可以预防和处理高科技的诈骗犯罪。

3．信息系统理论的成果和方法可以直接被用来发展、实现和保持审计系统信息。

将会计和财务、经济管理与法律等相关知识之间通过信息系统审计的过程串联到一起，这样才能最大限度的发挥学习这些知识对信息系统审计的效用。

（二）通过建立以信息为基础的实践和教学平台，达到信息技术和审计知识的融合学习

用政府审计机构、企业内部审计部门以及审计师事务所的审计过程的特点，来丰富实践、编写信息系统审计的教材。学生可以从信息系统审计平台中，领会审计信息技术、与审计相关的计算机网络、计算机操作系统的基本知识、审计软件的工作原理这些相关知识的背景和发展状态；还可以用各种各样的审计工具来进行项目管理的操作；更可以提升在工作中解决问题的能力。

通过以上分析，CISA的教育体系分为六个模块、五个元素、三个等级，具体见图1。六个模块为：由经济与管理学科组成的信息系统审计，会计综合管理学，审计学，计算机技术，信息系统发展和管理理念，内部控制。将管理作为核心，技术作为支持，法律作为保证。五个元素是：在一系列理论课程中六个模块的内容与实验教学材料的分配，匹配练习数据库和案例研究数据库的准备，实践教学软件的革新。

以信息和网络技术为基础，逐步的将六个模块、五个元素嵌入到实验性系统的三个等级中去：专业基础实验，专业综合实验，整合和改革实验。

（三）通过校企合作，积累项目工作经验

时间管理：“3+1”式的联合培训模式要求学生的累积学习时间不得少于1年。特定的准备：第一学年为一般的教育，第二学年为审计和计算机技术基础教育，第三学年为联合教育理论和审计与计算机技术的实践训练，第四学年为在大企业和会计师事务所完成项目审计作为毕业设计。

培养内容：在企业环境中，通过企业的培训、工作实习、项目实践学习过程，学生利用专业知识分析和解决实际的审计问题的综合能力得到锻炼。同时，还可以提高沟通技巧、团队合作和现场的管理能力，以此来达到信息技术发展的要求和不同企业对雇员能力的需求，成为一个做好准备能适应经济转型升级特点、拥有良好的创新意识以及信息系统项目审计能力的审计人员。

地位管理和影响评估：在企业学习平台，学生在每个企业都变成一个学习小组，通过校企联合建立管理小组的方式，学生被联合管理。企业交易科目的评估权属于企业内的导师，采取实践操作的方式，笔试或者笔试和口语结合的形式。做中学包括企业调查、实习生、项目实践、毕业设计等等。企业导师以及学校老师对这些学习联合负责。通过实践操作、书面汇报、口语汇报中的一种或几种形式联合的方式。

通过校企?作的方式，在学生学习完基本的理论知识之后，将学生分配到不同的企业中去，通过在企业中跟着企业内的导师来完成对企业的信息系统审计，将学校学习的理论知识真正运用到实践当中去。让学生真实的体验信息系统审计的过程。在实践中学习和领悟的知识才是真正可以学以致用的知识。有了一定的理论知识的铺垫之后，实践学习才是培养CISA的最重要的环节。所以，在培养过程中，对实践环节的要求应该高于对理论环节的要求。

（四）通过更新教学人员，确保培养模式的实施

学校为学生提供了审计学和专业计算机的导师；企业为学生提供外部企业导师。学校导师应该发展教育项目来给学生提供基础教育、专业教育和深入的引导。同时，组织和领导学生进行各样的练习。在信息系统审计领域拥有资深的技术头衔和广泛的实践经验的外部企业导师负责指导学生课外培训。

五、结语

在这个高度信息化的时代，和信息技术合为一体的“互联网+”类的新工作产生了，CISA就是其中杰出的一种。但是，CISA人才在我国的培养仍然处于探索阶段，本文构造了CISA的培训模式，扩展了理论教学的内容以及实践教学平台的结构，学校之间的相互合作以及教员的改革，希望能取得一定的成效。

以上的培养模式，在中国是可行的。但是在实施的过程中，诸如校企联合的问题、与学校管理的冲突等等会成为影响这一培养模式的障碍。故对于这些问题，学校在开展这一培养模式时，应该有一个好的培养环境。针对这一特定的培养模式制定一些特定的标准、设立专门的机构来管理这一模式的日常事务等。才能使这一培养模式在我国真正实施。

有了社会、学校等大环境的支持，这一专业将会得到很好的发展。同时，它的发展也将使我国的会计信息化水平上一个台阶，为我国的经济发展做出更大贡献。

参考文献

[1]杨峥. 基于 CISA 认证的信息系统审计专业知识结构及其实现途径研究[J]. 中国管理信息化, 2010 (016): 107-110. 

[2]陈希晖. 信息系统审计专业建设和才能培养研究[J]. 中国教育与科研与创新,2010;35:194-195.

[3]张倩. 信?系统审计: 信息时代的公司治理[J]. 中国管理信息化, 2005, 3.

[4]郝晓玲. 信息系统审计与控制框架初探[J]. 上海管理科学, 2003 (004): 41-43. 

[5]孙强.  信息系统审计[M]. 北京：机械工业出版社，2003

[6]Bedard JC, Graham LF, and Jackson C. Information Systems risk and auditplanning[J]. International Journal of Auditing 2005;7.

[7]Petterson M. The keys to effective IT auditing[J]. The Journal of CorporateAccounting&Finance,2005;3.

[8]曹立明. 论 IT 审计与会计信息化[J]. 中国注册会计师, 2012 (12): 108-113.

[9]张文秀, Van DerPijl G. 国外信息系统审计规范, 国家文化差异与制度移植[J]. 审计研究, 2012 (005): 14-21.

[10]陈国珍, 赵婧. 信息化环境下内部审计技术方法研究[J]. 会计之友, 2013 (22): 98-100.