炙手可热的信息技术审计师

为在当今国际市场环境中保持竞争力，大多数机构高度依赖信息系统运行，其中包括系统数据的准确性和安全性。企业经营管理层、董事会和外部监管者在衡量技术投资效益的同时，也提出了信息技术风险管理的要求。信息技术内部审计要保持相关性和可靠性，必须真正成为信息技术风险管理的“卓越中心”，为信息系统的运行和技术投资提供信心保证。而要成为“卓越中心”，信息技术内部审计必须同时具备信息技术领域的理解、审计技能和业务层面的敏锐。

信息技术的迅猛发展，对开展信息技术内部审计也提出了更高的要求，此外，信息技术内部审计又必须在一个多元环境中发挥作用，这里既有来自法规监管的压力，又有业务和信息技术变革所引起的内部挑战，同时还有不断产生的对风险、业务技能和信息技术技能方面的需求。而所有这些因素都比它们看起来难度更高，没有一样是静态的，它们合起来对信息技术审计人员不断带来新的挑战。

外部的政策法规如索克斯法案对许多机构及其高级管理层和审计委员会提出了更高的合规性要求。这也随即对信息系统内部审计和其他信息系统审计人员，如四大会计师事务所，造成了压力，在增加工作量的同时，也迫使其作出优先性选择。这种压力还不仅仅来自于合规性要求。信息系统控制的失效，对关键信息系统控制合规的失效，以及防止或发现信息技术控制问题的能力的失效，都会给企业带来严重的名誉风险，尤其是当这些失效广为人知的时候。

一个机构的信息技术、经营模式或组织架构的变动都会增加信息技术内部审计的工作量和复杂程度。根据安永会计师事务所去年在英国进行的一个关于信息技术内部审计的调查，在所有接受调查的内部审计管理层中，82％的被访者同意或非常赞同他们的机构正处于一个运作体系和系统发生重大变革的时期。近一半的被调查者表示，他们的机构正在进行重大的信息技术投资，主要包括技术更新和/或信息技术变革。这种不断变革的环境，不仅增加了信息技术内部审计的工作量，同时也给信息技术内部审计带来了应对新技术和不断出现的信息技术风险，以及随之更新和提高自身技能的挑战。利益相关者的期望值也在提高，39%的被访CIO都预期信息技术审计的需求将增加。

目前，只有为数不多的人拥有必要的技能和经验去应对上述日渐增长的期望和监管的要求。在普通的审计师中，很少有人在信息技术控制方面拥有资深经验和专业技能。因此，这些稀缺的经验和技能炙手可热。

此外，信息技术内部审计越来越多地要求使用多种技能，并要求组建具备多方面知识和技能的综合团队。一名审计师可能拥有通用的信息技术控制方面的技能，但仍需要其他在特殊领域拥有专门技能的专家的支持。对ERP 系统（企业资源管理系统）的审阅，如Oracle Financials或SAP， 要求审计师具有应用系统及控制设置方面的特殊知识。此外，还需要掌握操作系统方面的知识，以对控制环境作出全面评估。

目前，全球约有28,000名注册信息系统审计师（Certified Information System Auditor，CISA）。CISA是一个全世界公认的信息系统审计师的职业资格认证。要获得该资格认证，申请人必须通过其专业考试并在信息系统审计领域至少有三年以上实践审计经验。目前国内只有少数人获得了注册信息系统审计师的资格。

许多国有企业和民营公司，特别是金融企业的绝大部分业务运作已经实现了电子化。这些企业已经实施了复杂的ERP系统和信息系统架构，把业务数据从全国各地的分支机构传送至总部进行数据合并。这些公司的管理层对企业风险管理高度关注，其中也包括信息系统的运作风险。尤其是那些金融机构，由于其系统庞大，结构复杂，管理层尤其关注信息系统的风险管理。但是，这些机构的信息系统内部审计资源十分有限，甚至没有这方面的人力和资源去评估和监控信息系统风险及其控制。因此，他们迫切需要建立一支精干的信息系统内部审计队伍。

如果客户的信息系统环境复杂，会计师事务所在开展财务审计时，通常会将对客户的信息系统控制的有效性评估作为其内部控制评估的一部分。由于国有企业的信息系统日趋复杂，其管理层也日渐重视包括信息系统管理在内的企业综合治理，同时还有来自索克斯法案的合规性要求，会计师事务所需要大批的信息系统审计师去完成那些基于风险和内控评估的审计工作。到目前为止，估计国内的专业信息系统审计师不足400名，这个数量远远不能满足当今的市场需求。

在这种情况下，四大会计师事务所和一些企业都在大量招聘信息系统审计师。信息系统审计将成为国内的一个热门职业，必将给那些对此感兴趣的人士提供非常看好的职业发展机会。

作者单位：安永华明会计师事务所　冼嘉乐, 合伙人, 科技与信息安全谘詢服务部
 

责任编辑：janny

文章来源：http://news.esnai.com/2005/1025/20614.shtml