信息系统审计师的对象是6

在当前信息时代，信息技术在各行各业的经营与管理领域得到了广泛与深入的运用，信息系统的稳定可靠运行、应用系统中敏感业务信息的保护已逐步成为企业管理者关注的焦点，企业开始应用IT审计来保证信息系统安全性与有效性。

为什么要做IT审计？

具体而言，信息系统审计的必要性如下：

企业自身内控的需要

行业监管部门的要求

用户等相关方的期望

IT审计审的是什么？

审计署对信息系统审计内容的要求是：“信息系统的安全性、有效性和经济性”，它给出了信息系统审计的目标和方向。但针对一个具体的信息系统审计项目，其审计内容应以所确定的审计依据为准，通常包含一般控制审计和应用控制审计；也可以根据审计目的和内容的不同，分为不同的专项审计，如：

信息安全审计

业务和数据审计

信息系统投产和变更审计

业务连续性审计

信息技术外包管理审计

信息系统安全等级保护审计

如何实施IT审计？

实施信息系统审计，首先要明确审计目的并确定审计范围；然后选择和明确审计依据，组建审计小组；其次规划审计方案，实施现场审计；最后报告审计发现，形成审计报告；其后，作为后续审计活动，实施跟踪审计。其审计工作流程大致如下：

IT审计的时间如何确立？

信息系统审计时间的确定应考虑组织年度审计计划，尽量避开被审计对象业务活动高峰时期，以免影响其业务。确定信息系统审计时间，可考虑：

定期审计

随机审计

遇有重大事件时审计

信息资产发生重大变化时审计

IT审计的主要对象？

通常认为，信息系统审计的主要对象是一个组织的信息科技部门。其实，除信息科技部门外，信息系统的所有用户部门及相关方都应考虑在内，因为许多信息系统的控制措施要在这些部门完成。确定被审计对象，可考虑：

一个组织的全部，即所有业务和所有部门

一个组织的局部，即部分业务或部分部门

组织的相关方，如组织的供方，顾客等

根据审计方式的不同，信息系统审计还分为现场审计和非现场审计。非现场审计以非现场审计系统为主要审计工具。

IT审计的主体如何确立？

审计组是实施信息系统审计的主体，应根据审计目标和内容，选择合适的审计人员组成审计组。一个审计组应包括：

组长

审计师

业务或技术专家

审计组成员应经过专业培训并取得相应资格，如：CISP-Auditor、CISA等。业务或技术专家应具备丰富的行业知识和经验。

信息化建设不是一蹴而就，当我们对审计信息系统有越来越多的需求和越来越深的理解，我们将会体验验到新技术给我们带来的变革，全天候运作，同时简化、标准化以及优化流程，提高服务质量并降低成本。时代新威智能IT审计也将帮助人们释放更多的时间和精力，并创造出更有价值的工作！

一、引言

信息系统审计（IS Audit）的概念最早出现于20世纪60年代，会计电算化的发展使得审计人员开始关注电子数据的采集、分析与处理，被人们称为EDP审计，这是信息系统审计的早期萌芽。20世纪90年代，信息系统日益复杂，如何保障信息系统的安全、可靠和有效变得越来越重要，信息系统审计开始在美、日、澳、英等国普及起来。2001年，国家审计署将注册信息系统审计师（CISA）考试引入我国，十余年来各行各业都开展了如火如荼的信息系统审计实践。准则是审计工作的基本规范，信息系统审计准则是信息系统审计师共同遵循的标准，对于促进信息系统审计行业发展具有重要意义。日本通产省 （Ministry of Economy Trade and Industry，简称METI）早在1985年就颁布了信息系统审计准则，还成立了日本系统审计师协会 （JSSA）。

美国也成立了信息系统审计与控制协会（ISACA），制定和颁布了一系列信息系统审计准则指南，并在全球

范围内应用推广。我国审计署以实务公告形式颁布了《信息系统审计指南》，中国内部审计协会也以具体准则形式颁布了信息系统审计准则，为规范我国的信息系统审计实践提供了重要参考。然而，由于信息系统审计的技术复杂性，以及我国信息化发展的阶段特征等客观原因，目前我国的信息系统审计理论与实务研究都尚处于百花争放时期，关于信息系统审计对象、范围和目标等基础概念的理解众口不一，更是缺少系统化的信息系统审计准则体系，严重制约了我国信息系统审计行业的发展。

二、信息系统审计概念内涵

信息系统审计概念，国内外尚没有统一定义。美国著名学者Ron A·Weber认为，IS审计是一个获取证据，对信息系统是否能保证资产的安全，数据的完整，以及是否有效的使用了组织资源并有效地实现了组织目标做出评价和判断的过程。该定义得到较为广泛的流传，印度审计署颁布的IT审计手册也采用了该定义。ISACA协会则认为，信息系统审计是一个搜集和评估证据过程，以确定信息系统和相关资源是否受到充分保护、是否能保障数据和系统的完整性、是否能提供相关和可靠信息、是否有效使用组织资源以实现组织目标，并建立了有效内部控制体系可以合理保障组织运营和控制目标。日本通产省（METI）在1996年修订了信息系统审计准则，指出信息系统审计是为了信息系统的安全、可靠与有效，由独立于审计对象的IT审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合检查与评价，向IT审计对象的最高领导，提出问题与建议的一连串的活动。中国内审协会颁布的《中国内部审计具体准则28号——信息系统审计》中指出，信息系统审计是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。国家审计署颁布的《信息系统审计指南———计算机审计实务公告第34号》认为，信息系统审计是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。

上述定义有差异，也有共同之处，本文从审计目标、审计对象和审计内容这些概念进行了对比分析。

目前学术界和业界对于信息系统审计的对象有较为统一认识，但学者们对审计目标、审计内容的理解存在较大分歧。信息系统审计是源于信息系统和审计理论的新兴交叉学科，观点分歧代表了信息系统审计的不同定位。日本的信息系统审计师考试是一种全国信息处理人员水平考试，因此日本信息系统审计强调对信息技术和软件规划开发等内容的审计，并不提及审计师的专业判断；其它观点多出自审计师视角，审计师们通常更多关注控制与风险，所以审计内容通常是一般控制和应用控制审计等；另外，审计又区分为国家审计，社会审计与内部审计，有着不同业务领域性质与要求，导致各领域对信息系统审计目标理解的多样化。

基于上述讨论，本文提出信息系统审计是审计主体遵循一定标准规范搜集与评估证据，判断信息系统及相关资产的安全性、可靠性和有效性，提出审计意见与建议，促进被审计单位信息系统实现组织目标的行为。从该定义可知，信息系统审计的对象是系统及相关资产，主要包括计算机硬件、软件、网络基础设施、数据、人和相关管理制度。信息系统审计有三大目标：安全性、可靠性和有效性。其中，系统安全性是指信息系统资源是否受到妥善保护，不因自然和人为的因素而遭到破坏、更改或者泄露系统中的信息。系统可靠性包括三个方面的内涵：硬件、软件和数据的可靠性。硬件的可靠性是指在一个指定的时间周期内，在给定的'控制条件下，硬件系统执行所需功能的成功概率。软件的可靠性是指在运行环境中，在规定的运行时间内或规定的运行次数下，程序和所有数据元素运行不同测试用例的无差错概率。数据的可靠性是指数据的真实、准确和完整，它取决于系统对数据的处理过程是否准确无误，以及确保数据可靠的控制措施是否有效。系统有效性也有三方而的内涵：一是指信息系统的处理过程是否符介国家法律和有关规章制度的要求（合规性）；二是指信息系统是否能够实现既定的业务目标（效益性）；三是指系统的效率性即系统利用各种资源输出用户所需要信息的及时程度和运行速度。

三、信息系统审计准则国际经验

目前，国际上影响力较大的信息系统审计准则有四个，分别是国际信息系统审计与控制协会（ISACA）、日本通产省信息系统审计标准，以及国际内部审计师协会（IIA）颁布的全球技术审计指南和美国审计总署（GAO）颁布的联邦信息系统控制审计手册。

（一）ISACA的信息系统审计准则体系1994年，电子数据审计师协会（EDPAA）更名为ISACA协会，该协会是目前最有影响力的信息系统审计专业人员的国际性组织。它在全世界许多国家举办注册信息系统审计师（CISA）考试，还制定和颁布信息系统审计准则体系来规范和指导CISA工作。ISACA的信息系统审计准则体系由ISA标准、指南和程序三部分构成。信息系统审计标准是整体准则体系的总纲，是制定指南和程序的基础。审计标准规定了审计章程、独立性、职业道德和胜任能力，以及审计工作执行的基本行为规范，是CISA执行审计业务必须遵循的标准，具有强制性。目前ISACA共颁布了16条审计标准，42项审计指南，为CISA执行审计业务中如何遵守审计标准提供指引，任何偏离指南的行为必须有充分的理由，属于“强烈推荐遵循”。审计程序是依据审计标准与审计指南制定的，为CISA提供审计业务的程序与步骤，类似一种工作范例，并不强制要求。到目前为止有效的ISA程序共有9 项。

（二）日本的信息系统审计准则日本通产省（METI）于1985年发布了信息系统审计准则，1996年进行了修订。该准则由一般标准、执行标准和报告标准三部分组成。一般标准描述了信息系统审计的目标、对象、人员和流程等。执行标准描述了信息系统审计的具体实施内容，强调系统审计师应关注信息系统规划、开发到运行全生命周期各阶段的风险。报告标准描述了信息系统审计结果的收集整理，以及根据审计结论应采取的措施。

（三）IIA的全球技术审计指南（GTAG） 国际内部审计师协会（IIA）的内部审计国际实务准则框架（IPPF）是内部审计规范体系的标杆。IIA非常重视信息系统审计，IPPF在“实务指南”层次用相当篇幅详细规范了信息系统审计的内容与方法。自从2005年发布第1号全球信息技术审计指南（GTAG）指南起至今，IIA已发布了16项信息系统审计指南，内容涉及信息系统控制、应用控制审计、制订IT审计计划、IT项目审计和信息安全治理等等。

（四 ）联邦 信息系统控制审计手册 （FISCAM）2009年美国审计总署（GAO）发布了联邦信息系统控制审计手册（FISCAM），在该手册的指导下，GAO每年还安排若干审计项目对政府部门信息系统控制进行审查评估。FISCAM的IT控制包括一般控制和应用控制。其中一般控制包括：实体安全控制、访问控制、应用软件开发和变更控制、职责分离控制、应急计划；应用控制包括：应用级一般控制、输入控制、处理控制、输出控制、接口控制、数据管理系统控制。FISCAM对以上各类控制的审计程序与步骤进行了详细说明。

ISACA作为专门的信息系统审计与控制协会，建立了较为完整的信息系统审计准则体系，它采用总分式分层体系，16项审计标准是总纲，自2005年发布后基本保持稳定，而42项审计指南一半以上是新增或新修订的，不断更新的审计指南赋予了审计标准新的内涵与外延，审计程序则重在描述审计程序与步骤。日本通产省的审计准则采取一体化形式，整套准则的内容相当于ISACA的审计标准层次。

从准则具体内容上看，日本的信息系统审计师属于计算机行业，其审计标准具有明显信息技术特征，主要规范了信息系统审计目标、审计对象、审计人员资质和审计方法，尤其详细明确了信息系统规划、开发和运行全过程的关键风险点；而ISACA的审计标准更多关注信息系统审计的审计特征，主要规范审计权力责任、审计人员职业道德规范、审计计划、审计证据、审计记录、审计抽样和审计报告等内容。ISACA协会的审计指南与IIA协会的GTAG指南的操作性程度不同，前者类似我国的具体准则，GTAG指南则围绕不同的审计业务详细描述审计工作思路，审计方法、技术与工具等。

从是否强制性要求来看，ISACA协会的准则体系中既包含强制性遵循的审计标准、强烈推荐遵循的审计指南和非强制性要求的审计程序，还包含ISACA制订或编写的出版物以支持实务工作。IIA协会的GTAG指南处于IPPF框架的实务指南层次，属于强烈推荐遵循；美国审计总署GAO颁布的FISACM是非强制性要求的手册，用以指导实务工作。

四、我国信息系统审计准则现状

我国目前颁布的信息系统审计准则规范屈指可数，主要有审计署以实务公告形式颁布的信息系统审计指南，中国内审协会发布的信息系统审计具体准则。

（一）信息系统审计指南为指导和规范国家审计机关组织开展信息系统审计，2012年，审计署发布了《信息系统审计指南———计算机审计实务公告第34号》。该指南在借鉴国外信息系统审计指南的基础上，结合国家审计机关依法审计的法定职能，以及我国目前信息系统审计实践现状，提出了包含应用控制审计、一般控制审计、项目管理审计3大块的信息系统审计内容框架，重点描述了89项审计事项的审计要点。此外，审计署还在2013年出版了与该指南配套的《信息系统审计实务》，针对指南的各审计事项，分别描述了审计目标、审计程序、应取得的资料和常见错弊与定性依据等。

（二）内部审计具体准则第28号———信息系统审计为规范组织内部审计机构及人员开展信息系统审计活动，保证审计质量，中国内审协会颁布了《内部审计具体准则第28号———信息系统审计》，自2009年1月1日起开始实施。该准则对信息系统审计的一般原则、信息技术风险评估、信息系统审计内容、信息系统审计方法，审计报告和后续工作共五个方面的内容进行了规定，明确提出信息系统审计包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。

综合来说，我国目前尚未建立信息系统审计行业协会，审计署发布了信息系统审计指南，属于非强制性要求，更高级别的强制性要求准则尚未发布；内审协会的信息系统审计具体准则虽属于强烈推荐遵循层次，但与IIA协会相比，其信息系统审计准则和相关指南还有极大的丰富与细化空间。总体来看，我国的信息系统审计准则体系缺少系统性与结构性，尚没有建立完整的信息系统审计准则体系。目前，国家审计、社会审计和独立审计都在各自业务领域内开展了一些信息系统审计实践探索，但各界人士对信息系统审计的基本原则与规范还缺少共识，长此以往将给我国信息系统审计行业发展带来混乱。

五、结论

信息系统审计准则是信息系统审计师共同遵循的标准，对促进我国信息系统审计行业发展具有重要意义。首先，从准则制定的社会背景来看，我国的社会信息化水平与美国、日本等国家存在客观的差距，ISACA，IIA和FISCAM等准则指南均基于相对完善的内部控制（IT控制）环境，而我国政府部门、企事业单位的信息化建设正处于飞速发展时期，大部分被审单位的IT控制体系尚在建立之中，如果按照国外规范开展我国信息系统审计，过于理想化的审计意见建议很难得到认同。

第二，从准则的框架结构来说，ISACA，IIA和日本通产省的框架结构，不太符合中国人的理解习惯。ISACA采用的审计标准、指南和程序的三层框架结构，跟我国的内部审计准则体系，注册会计师鉴证业务准则和国家审计准则采用的常用结构也不一样，不太符合我国审计师的认知习惯。

第三，从准则的具体内容来看，由于我国信息系统审计方面的法律法规还非常不完善。目前只有信息系统安全方面颁布了安全保护条例和强制性标准，IT运维服务、外包、信息资源开发利用，信息公开与政务服务等方面尚缺乏充分的审计依据。审计环境决定了我国信息系统审计准则在明确信息系统审计目标、规范信息系统审计内容等方面都需要充分考虑本土国情。但是，国外ISACA，IIA，FISACM等信息系统审计准则指南历经20多年的发展，已形成相对成熟的体系，相关观点已为我国审计师熟识。而且，国家的信息系统审计准则需要在国际舞台上相互交流与合作。

因此，制定我国信息系统审计准则需要遵循的重要原则是：坚持国际化与本土化相结合，既立足本土国情又实现国际接轨。本文借鉴ISACA，IIA和FISCAM等准则指南的优秀经验，参照我国国家审计准则的体系框架，考虑信息系统审计新业务的不同特征，尝试提出如下图1所示的中国信息系统审计准则体系框架。

该框架采用了审计准则、审计指南和实务手册三层结构。审计准则是强制性要求，审计指南是强烈推荐遵循，实务手册是非强制性要求。审计准则分成基本准则和具体准则两层，基本准则可包括五块内容，分别是总则、信息系统审计道德规范、信息系统审计作业准则、信息系统审计质量控制准则和附则。审计指南包括通用指南和专业指南两类，如面向一般信息系统的通用指南，针对电子政务、电子商务和ERP系统的专业指南，或者体现行业信息系统特征（如金融、通信行业）的专业指南等等。指南的内容框架可以采用一般控制和应用控制的基本框架，但在设计具体事项，或者明确审计内容重点时，应充分考虑我国企业或政府部门的信息化发展阶段及当前法律环境。实务手册是审计指南的具体化，详细规范审计内容、审计程序、审计依据、审计技术方法和典型错弊等相关知识点。实务手册可根据审计指南来加以制定，也可以针对某类突出问题（如电子银行、IT外包等）进行特别规范。

为逐步完善我国信息系统审计准则体系，我们建议采取如下策略：首先，以审计署为主导，协调整合中国注册会计师协会、内审协会以及高校的相关专家资源，组建信息系统审计准则研究课题组和专家咨询小组，激发信息系统审计职业界的积极讨论与参与。其次，成立类似ISACA的中国信息系统审计行业协会专门机构，以信息系统审计职业化建设为主线，组织修订与持续完善信息系统审计准则体系；组织信息系统审计师职业教育，提升信息系统审计师职业素质；总结我国信息系统审计优秀经验，积极开展与国外相关协会和政府机关之间的合作与交流。最后，人才是行业持续发展的源泉，也是准则规范有效实施的载体。建议增设我国信息系统审计师职业资格考试，明确我国信息系统审计师应具备的素质、知识与技能以及任职资格，既能保障准则规范的有效实施，也为促进我国信息系统审计行业发展提供人才支撑。

参考文献：

[1]张文秀：《国外信息系统审计规范、国家文化差异与制度移植》，《审计研究》2012年第5期。

[2]石爱中、周德铭、王智玉、杨蕴毅：《信息系统审计实务———中国计算机审计实务报告》，时代经济出版社2012年版。

cisa是cisp的其中一个子类。CISP分为三类,分别是“注册信息安全工程师”,英文为Certified Information Security Engineer（简称CISE）; “注册信息安全管理人员”， 英文为Certified Information SecurityOfficer(简称CISO)，“注册信息安全审核员” 英文为Certified Information Security Auditor(简称CISA)。其中CISE主要从事信息安全技术开发服务工程建设等工作，CISO从事信息安全管理等相关工作，CISA从事信息系统的安全性审核或评估等工作。

给你简答说下吧1、CISA:国际注册信息系统审计师CISA(Certified Information System Auditor),自1978年起,由国际信息系统审计和控制协会(ISACA)开始实施注册。CISA认证已经成为持证人在信息系统审计、控制与安全等专业领域中取得成绩的象征，并逐步发展成全球公认的标准。中国获得CISA认证的审计师在信息安全与控制领域内发挥着重要的作用，信息系统审计也越来越被国内企业认可，截至2008年4月世界范围内获得认证的有47，145人，中国大陆获得认证的人数仅有666人。此外，它还会带来相当数量的职业与个人收益。学习对象一般为：1 信息系统审计咨询顾问2 传统的审计专业人员3 企业内部负责信息系统审计的从业人员4 企业内部负责信息系统安全管理和规划等工作的从业人员5 IT经理，信息安全经理 6 CISA应试者cissp：国际注册信息系统安全专家CISSP是（Certification forInformation System Security Pro Fessional信息系统安全认证专家）的缩写，一种反映信息系统安全从业人员水平的证书，CISSP可以证明证书持有者具备了符合国际标准要求的信息安全知识和经验能力，目前已经得到了全世界广泛的认可，CISSP（Certified Information System Security Professional信息系统安全认证专业人员）是一种反映信息系统安全从业人员资质水平的证书，它可为从事信息安全领域工作的人士提高专业资历提供新的机会和更大便利。CISSP认证考试由（ISC）2组织与管理，参加CISSP认证的人员需要遵守CISSP 道德规范（Code of Ethics），同时要有在信息系统安全通用知识框架（CBK）的十个领域之中的至少两个以上领域中具有最少5年的直接工作经验。两者都是国际认证，英文证书。cisa有中英文考试、cissp只有英文考试相对而言，cissp难一些，比较难考。你一定要说那个高级的话，cissp高级些...cisa偏审计，cissp是国际上最权威、最认可的信息安全认证，是第一个通过iso17024:2003标准的 认证，其认证对象主要为：企业中高层或高级安全工程师的信息安全专家。不晓得你还要知道哪些..想了解的再问....【下面部分手打。。。。】

『壹』 IT审计师资格如何才能获得 参加审计专业技术初、中级资格考试人员应具备下列基本条件： （一）遵守国家法律版，具有良好职业道德； （二权）认真执行《中华人民共和国审计法》以及有关财经法规和制度，无违反财经纪律的行为； （三）认真履行岗位职责，热爱本职工作； （四）从事审计、财经工作。 参加初级资格考试人员，除具备本规定第四条所列的基本条件外，还必须具备教育部门认可的中专以上学历。参加中级资格考试人员，除具备本规定第四条所列的基本条件外，还必须具备下列条件之一： （一）取得大学专科学历，从事审计、财经工作满5年； （二）取得大学本科学历，从事审计、财经工作满4年； （三）取得双学士学位或研究生班毕业，从事审计、财经工作满2年； （四）取得硕士学位，从事审计、财经工作满1年； （五）取得博士学位。是全国统一考试的，每年10月份第二个礼拜天考试 『贰』 想成为 IT审计师吗 CIA资格证的认知度日益提高了。您只需要打开国内各著名的招聘网站，搜索一下将CIA证书列入招聘版条件的企业即会有一权个清晰的了解。举例来说的话，比如广州工行，有CIA证的加10%工资，而有CPA证的才加5%；中国银行只要通过CIA考试即可提升一个薪金等级；中国平安将CIA持证比例列入KPI考核。在中国保监会最新印发的《保险机构内部审计工作规范》的通知中要求，保险机构中持有注册内部审计师（CIA）的人员应不低于专职内部审计人员的35%。CIA在美国是从管理方向定位的，涉及对公司治理、风险和内部控制等全方位的多角度服务。现在上市公司，金融行业，外资，事务所对CIA都比较欢迎了。内部审计人员更因为其熟悉企业整体业务流程，有纵观全局的视角，往往被列为高级管理层的人才来储备。 『叁』 IT审计师需要学习些什么东东 可以了解一下cisa考试，就知道怎么做IT审计了，参考书有《国际注册信息系统审计师学习指导书》、《CISA中英对照题目解析合集》上，下册（红宝书第2版） 『肆』 关于IT审计师 考CISA的话 要有一定的计算机和审计知识，一般会计学和审计学的专业很好，但是通过率不高CISA的全球通过率为30%，很难过但是如果你有一定的计算机知识就会轻松点推荐：计算机科学与技术专业、信息管理与信息系统专业不知道你是哪里的 南京审计学院的通过率比较高 『伍』 怎么才能做IT审计师呢 当然是考证后才能做了，现在好多都需要CISP-A的这个证书，没有做这一块儿，具体的问问谷安天下 『陆』 什么是IT审计师 作为国内IT业的一员新贵，信息系统审计师（CISA）对于大多数人来讲，还是一个陌生的名词。但在国外，CISA证书早已同MCSE、CCEP等证书一样，成为追求高薪的人们争相追捧的对象了。CISA是国际注册信息系统审计师的简称，又称IT审计师，是由信息系统审计与控制协会ISACA授予的一种职业资格。在国外一些大型会计公司中已经出现了没有CPA资格的合伙人，他们持有的专业资格就是CISA.国际审计师在中国一直处于严重缺乏的状态。目前通过CISA认证在全球有2万人，中国内地不超过10人，而且全部都在国际五大会计公司、专业咨询机构和著名跨国公司担任要职，国内会计师事务所里还没有目前已经成为全球范围内最抢手的高级人才之一，在中国正逐渐走热。 『柒』 有关IT审计师的几个问题,,,,请知道的同志们说一下,谢谢谢........ 我回答一下，1.专科生可以报考，考试组织机构（信息系统审计与控制协会ISACA）对这回个并没有苛刻答的要求。2.费用不会低，报名费用是500美元，可以自学。当时我在学校时，报名费用、考试费用一共是不到10000人民币。 CISA考试大纲包括七部分内容，各自所占比例如下：信息系统的管理、规划和组织（占11%），技术构架和运营实务（占13%），信息资产的保护（占25%），灾难恢复和持续运营（占10%），商业应用系统开发、获得、实施和维护（占16%），商业运营评估和风险管理（占15%），信息系统审计程序（占10%）。从这可以看出，内容侧重信息技术和信息管理。3.你是说准备时间么？那得看自己了，一年考试两次6月和12月，我认识一个准备了不到4半年就过了。要想了解再多，可以交流。 『捌』 通过了CISA考试就可以做IT审计师了吗 相对来是说是有一定的难度 ，因为根据大家的知识涉及面要么是it，要么是审计出身，目前国内考过的cisa大部分都是呆在国盟的，国际信息安全学习联盟，我建议你多上网站和大家讨论，或是加入相关的群！ (Certified Information Systems Auditor简称，中文为国际信息系统审计师）认证是由信息系统审计与控制协会ISACA(Information Systems Audit and Control Association)发起的，是信息系统审计、控制与安全等专业领域中取得成绩的象征。CISA认证适用于企业信息系统管理人员、IT管理人员、IT审计人员、或信息化咨询顾问、信息安全厂商或服务提供商、和其他对信息系统审计感兴趣的人员。——中国钢铁工业协会（China Iron & Steel Assn）的简称。 『玖』 信息系统审计师的资格条件 CISA报考和认证条件报考条件不限，均可报名参加考试，但通过考试后需申请CISA资质！若想成为注册信息系统审计师，申请人必须：1．取得 CISA 考试的及格分数。仅通过 CISA 考试，但是未能取得以下所列工作经验时，考试成绩只能维持五年有效。如果申请人未能在五年内达到 CISA 的认证要求，则考试成绩将失效。2． 提供从事信息系统审计、控制、鉴证或安全工作 5 年工作经验的确认证明表。工作经验必须在认证申请日之前的十年内，或最初通过考试之日起的五年内获得。具有下列同等经验者，可按规定申请抵减，抵减额度最高为三年：■ 最多可以用 1 年的信息系统经验或一年非信息系统审计经验抵减一年的工作经验。■ 完成 60-120 大学学分（相当于两年或四年大学学历），不受 10 年先前经验的限制，可以相应抵减一年或两年的工作经验。■ 在开设 ISACA 模型课程的大学中获得学士或硕士学位可抵 1 年的工作经验。如果已经使用三年经验抵减和教育豁免的规定，则不能使用本项规定。■ 从鉴定认可的大学的信息安全或信息技术专业毕业的硕士学位可抵减 1 年的工作经验。例外：两年相关领域（例如，计算机科学、会计、信息系统审计等）内大学全职讲师工作经验可抵减一年的工作经验。例如，做为最低要求（假设以 120 个大学学分来抵减两年的工作经验），申请人必须有三年的实际工作经验。该经验可以由以下方式来获得：■ 三年信息系统审计、控制、鉴证或安全领域工作经验或■ 两年信息系统审计、控制、鉴证或安全领域工作经验再加上一年非信息系统审计或信息系统工作经验或两年全职大学讲师的经验。需要特别注意的是，许多人都选择在达到经验要求之前参加 CISA 考试。此种做法是可以接受的，也是值得鼓励的，但 CISA 认证资格只有在达到所有要求之后才会授予。3．同意遵守 ISACA 的《职业道德规范》4．同意遵守 ISACA 所采用的《信息系统审计标准》5．同意遵守《注册信息系统审计师继续职业教育政策（CPE）》 『拾』 IT审计师的知识要点CISA考试要求应试者具有扎实的审计理论和审计实践经验，具有较丰富的企业运营内及管理知识和经容验，同时更要具有全面的、有一定深度的计算机信息系统方面的理论和实践经验。CISA考试分为信息系统审计和信息系统相关知识两个方面五大内容（2012年ISACA公布考纲）：信息系统的审计流程 (14%)主要内容：依据IT审计标准提供审计服务，帮助组织保护和控制信息系统；IT治理与管理(14%)主要内容：为确保组织具有满足公司IT治理要求和符合战略发展的结构、政策、责任机制和监督实务提供保证；信息系统的购置、开发与实施(19%)主要内容：为购置、开发、测试、实施信息系统的实践符合组织的战略和目标提供保证；信息系统的操作、维护与支持(23%)主要内容：为信息系统操作、维护和支持的过程满足组织的战略和目标提供保证；信息资产的保护(30%)主要内容：为组织的安全政策、标准、程序和控制确保信息资产的保密性、完整性和可用性提供保证；