上市公司it審計

『壹』 時代新威信息系統審計主要服務哪些

時代新威信息系統審計服務比較全面，包括上市公司信息系統專項審計、網路安全專項審計、信息科技風險全面審計、重要信息系統專項審計、IT基礎設施專項審計、IT外包專項審計、業務連續性管理專項審計、系統投產變更專項審計、數量質量專項審計、信息系統績效專項審計、TISAX認證審計等十多個方面的服務，可以說時代新威在信息系統審計方面算是專家了。

『貳』 信息系統審計，簡要寫出應重點關注系統使用和績效環節中的哪些內容

企業信息化績效評價是一項涉及范圍廣、內容復雜的系統工程，無論是評價工作的組織實施，還是評價結果的具體應用都必須遵循一定的制度規范。企業信息化建設向著縱深發展，必然要在更深層面上解決體制和機制問題，從宏觀層面建立並推行企業信息化績效評價的有關工作制度。1 政府通過政策法規進行引導由於企業自身的局限性，企業對績效管理的認識需要經歷一個從被動接受到主動認識的過程，如果僅靠企業自身逐漸建立和完善績效管理制度將是一個漫長的過程。政府的政策推行和立法引導是完善企業績效管理制度的捷徑，有助於從宏觀上創建重視績效管理的氛圍，由強制執行逐漸引導企業走向自主進行績效管理的正軌。美國在推行IT績效管理制度方面，政府起到非常重要的引導作用。自90年代以來，美國相繼頒布了各種法令，通過政府行為引導組織重視IT的績效。下面列舉了一些美國政府所採取的措施:1990年頒布的《首席財務官法案》(CFO法):要求在對機構審查時關注財務聲明中的績效信息，包括系統評價信息，機構應該制定年度績效計劃，採用可度量的、可比較的績效指標衡量相關的輸出以及服務的水平。1993年與1994年，分別頒布了《政府績效與成果法案》和《聯邦獲取簡化法案》(FASA):法案要求聯邦機構在評價時要考查成本、績效、規劃等幾個方面。確定是否有耽誤進度、超支、與能力不符的現象存在，該法案實際上將規劃與責任、績效統一起來。1995年，頒布了《削減紙張法案》。該法案要求機構建立信息資源管理目標，通過IT改善生產力與效率，主張通過工作過程重新設計以及IT的應用提高政府部門的工作效率。機構需要對IT的成本收益進行分析，並進行信息系統實施後的審查、驗收以及文檔的管理等。1996年，頒布了Clinger-Cohen法案;該法案要求制定利用IT改進目標的計劃。績效評價目標必須評價IT如何支持機構的計劃、機構必須制定基準，在成本、速度、生產力、輸出、質量、成果等方面提供一個可比較的基準，確保IT投資有效支持組織使命的管理過程。此外，年度績效評價應該說明IT在機構中的具體運營情況。這些相繼出台的立法都要求IT績效管理的改善，並強調實施的責任以及強調結果導向的管理。法案中定義了成本績效以及進度目標，提出通過IT來簡化聯邦組織的計劃，這些法案的頒布促進了結果導向的績效管理的發展。這些法案的頒布對IT績效管理起到積極推動的作用。組織的高層領導不得不增強對IT績效的重視程度。然而，對組織機構的管理者而言，其最終目標不只是要建立符合這些法令和法規要求的形式，而是如何使用有效的IT管理方法和系統來管理和衡量績效。因此，績效管理逐漸由政府強制執行過渡到企業要求自主評價的軌道上。美國政府在績效管理的這套做法對我國也具有很強的借鑒意義。目前，我國政府已經通過法律規章制度對信息系統的開發、運行以及維護過程進行控制，以確保信息系統的安全與質量。尤其對於政府公開政務、銀行、保險、國防安全等對安全和實時響應的要求很高，並關系著國際民生的信息系統，都通過法律和制度進行嚴格控制。對於一些上市公司，為了保護投資者的利益，法律法規方面的外部控制也起著很大的作用，必須按照一定的規章制度來進行。這說明我國政府在保證信息化的質量上已經發揮了重要作用。隨著政府對信息化績效的日趨重視，也會採用法律和制度的手段來規范企業信息化的績效管理，出台相應的制度規范。例如，可以通過研究制定「企業信息化績效評價辦法」、「企業信息化績效評價方法選擇及工作程序」、「企業信息化績效評價指標設置及標准選擇」、「企業信息化績效評價結果應用」等一系列統一的制度規范，對全國企業信息化績效評價工作規則、工作程序、組織方式及結果應用等進行明確，這對推動信息化建設朝著理性、有序的方向發展具有非常深遠的意義。2 引入IT審計制度要想實現信息化建設健康發展，雖然法律規章制度起到非常重要的作用，但是這遠遠不夠。必須在業界范圍內通過行業監控的形式來規范，落實組織內部控制及政府與市場監督體系的動態機制。目前，國內已經逐漸開始引入國際上較為通行的IT審計制度，來加強對整個信息化建設的控制。IT審計是一項獨立的驗證活動，主要是由獨立的具有資格的第三方進行的對IT的有效性、效率和安全性進行審計。IT審計制度能夠有效地控制信息資源投入的風險，從而確保信息資源的增值，有效地規范行業秩序。鑒於中國IT服務業未來巨大的增長空間，國際知名咨詢顧問公司、專業技術服務提供商等紛紛搶灘中國市場，提供符合國際標準的信息系統審計服務，這也對我國發展IT審計起到一定的推動作用。3 發展第三方咨詢服務發展第三方咨詢服務也是促進績效評估制度建立的一種有效舉措。鑒於企業IT應用項目的復雜性，沒有經歷過實際項目的人根本無法把握整個項目的推進和有效規避風險，因此，企業需要第三方咨詢服務機構即藉助專業的IT管理咨詢公司的幫助。通過獨立的第三方提供的信息化管理診斷和業務流程優化咨詢服務，對其信息化系統建設過程描繪清晰的遠景，建立基於核心競爭戰略的、以IT戰略為主導的信息化總體規劃，並建立基於IT戰略規劃的業務流程功能模型。第三方的管理咨詢公司可以為企業用戶提供從前期的IT戰略咨詢、信息化管理診斷、業務流程優化、信息化項目可行性研究、信息化系統總體規劃、信息系統設計。在信息化實施過程中，第三方可以為信息化項目界定實施中與實施後評價標准，建立甲方、乙方溝通協調的平台，建立完整的企業信息化績效評估體系，避免由於需求不明確、評估標准不統一而導致的企業信息系統建設延期的現象發生，從源頭上降低信息化失敗的風險，最終改善企業信息化績效。

『叄』 企業有必要單獨聘請IT審計師嗎

以下類型的企業，建議聘請IT審計師：

1、軟體供應商，特別是管理類的集成軟體供應商，需要信息系統審計師參與產品設計、規劃和檢測，需要信息系統審計師對客戶現有信息系統進行評價，提出改造設想。全球所有重要的ERP和CRM產品供應商都聘請大量信息系統審計師。

2、管理咨詢機構，20世紀90年代以後，管理咨詢的重點已經逐步發展為提供一攬子解決方案，其中信息系統的配置，就是解決方案成功的基礎，國際知名的管理咨詢機構中，有50%以上的員工熟悉信息技術，其中20%擁有信息系統審計師資格。

3、會計師審計師事務所，是信息系統審計師最早的落腳點，"四大"國際會計公司超過30%的收入來自於風險管理部門，這個部門的最主要工作就是監控客戶的信息系統風險和運營風險，同時為客戶提供ERP或CRM的實施和培訓。會計師審計師事務所中傳統財務報表審計也越來越離不開信息系統審計師的貢獻，沒有他們的工作，評估內部控制風險和企業固有風險將成為一句空話。人們常常看到，"四大"會計公司里，最年輕的合夥人或經理，往往都是信息系統審計師，因為這是屬於年輕人的工作。

4、跨國公司，作為信息系統最集中的用戶，跨國公司急需大量信息系統審計師，一方面參與信息化建設的過程，另一方面時刻保持對分支機構的信息監控。還有一種最新跡象表明，跨國公司內部審計部門也在大量招聘信息系統審計師，以加強內部的監督和牽制。

5、大型國有企業和上市公司，這些機構往往有雄厚的財力來實現管理的信息化、保證生產經營的穩定性，他們對信息系統審計師的要求和跨國公司類似。

『肆』 請教 上市公司IT審計

IT審計就是信息系統審計，主要介紹審計的歷史和發展，對象、范圍和意義對象、范圍和意義計劃。
知識方面的要求如下：
信息系統計劃、開發和運營相關的知識： 信息系統構成相關的知識； 信息化戰略、構想、提案、立項等相關的知識； 系統設計、程序設計、軟體測試等相關知識； 系統操作、數據管理等相關知識；

能力方面的要求如下： 系統審計的相關能力； 審計的立項、分析、評價相關的能力；信息收集、審核、審計方法掌握、技巧運用方面的能力；審計報告製作能力；
IT審計師必須具備全面的計算機軟硬體知識，對計算機網路和信息系統的安全性具有高度而特殊的敏感意識，而且對財務會計和企業內部控制具有深刻的理解能力，要懂管理、懂經濟、懂審計、懂計算機、懂內部控制、懂網路技術，既是審計專家，又是信息系統專家，以對計算機信息系統及軟硬體的技術性審計來保證計算機審計質量的可靠性。

『伍』 信息系統審計是判斷it控制是否有效的一種保證機制

信息系統審計和控制協會是什麼組織？ 信息系統審計和控制協會（The Information System Audit and Control Asociation,isaca)成立於1969年，是一個總部設在美國的芝加哥、擁有20000多名會員的跨國界、跨行業的專業機構，其前身為edp審計師聯合會。isaca目前在世界上100多個國家設有160多個分會，其職責包括：（1）組織制定相關領域專業標准，其設定的標准目前被作為世界范圍內IT審計、控制的指導方針；（2）提供IS審計、控制、安全領域內國際上承認的認證項目，如信息系統審計師資格認證；（3）研究關鍵的管理和技術主題的專業發展項目；（4）提供包含最新的研究、案例學習、信息知識入門等在內的專業出版物；（5）指導會員專業的活動和操行的職業道德准則。isaca是目前唯一有權授予國際信息系統審計師資格的組織。 信息系統審計師（Certified Information System auditor,cisa)，通常簡稱為IT審計師，是指獲得信息系統審計和控制協會頒發的cisa資格證書的專業人士。他們既通曉信息系統的軟體、硬體、開發、運營、維護、管理和安全，又熟悉經濟管理的核心要義，能夠利用規范和先進的審計技術，對信息系統的安全性、穩定性和有效性進行審計、檢查、評價和改造的專業人士。由信息系統審計和控制協會頒發的信息系統審計師資格，現已成為國際信息系統審計、控制與安全專業領域公認的職業資格，也是國際信息系統領域唯一的一種職業資格。 信息系統審計師具體要做哪些工作？
1．信息系統審計師首先要關注信息安全。採用各種方法來測試系統的安全性，並對來自內部和外部的安全隱患提出相應對策。
2．信息系統審計師還要關注信息系統的穩定性。會提出一系列對策保證客戶信息系統的萬無一失。
1．軟體供應商，特別是經濟管理類的集成軟體供應商。他們需要信息系統審計師參與產品設計、規劃和檢測，對客戶現有信息系統進行評價，提出改造設想。目前全球所有重要的erp和CRM產品供應商都聘請大量信息系統審計師。
2．管理咨詢機構。20世紀90年代以後，國際管理咨詢的重點已經逐步發展成為客戶提供一攬子解決方案，其中信息系統的配置是解決方案獲得成功的基礎。因此，目前國際知名的管理咨詢機構中，有50％以上的員工熟悉信息技術，其中20％擁有信息系統審計師資格。
3．會計師事務所。會計師事務所也是信息系統審計師最早的落腳點。目前國際會計公司超過30％的收入來自於風險管理部門，而該部門最主要的工作就是監控客戶的信息系統風險和運營風險，並為客戶提供erp或CRM的安裝、維護和培訓。另外，目前會計師事務所中傳統財務報表審計也越來越離不開信息系統審計師。因為沒有他們的工作，評估內部控制風險和企業固有風險都將成為一句空話。因此，目前的國際會計公司中，最年輕的合夥人或經理往往都是信息系統審計師。
4．跨國公司。跨國公司作為信息系統最集中的用戶，為參與信息化建設的過程，並時刻保持對分支機構的信息監控，急需大量信息系統審計師。還有一種最新跡象表明，跨國公司內部審計部門也在大量招聘信息系統審計師，以加強內部監督和牽制。
5．大型國有企業和上市公司。這些機構往往有雄厚的財力來實現管理的信息化、保證生產經營的穩定性，他們對信息系統審計師的要求和跨國公司類似。

『陸』 國內某上市公司需要IT審計經理，有人想要了解嗎

公司上市前找審計公司做it審計需要花多少錢的問題沒有準確的規定，這個問題主要看審計工作量的大小， 以及涉及的事情的難度多少，以及涉及審計細化到什麼程度，這就要具體問題具體對待，因為此項業務大多都是社會中介組織承攬，雙方可以討價或「貨比三家」如果涉及國家審計機關出具的報告，那就分文不用。

『柒』 sox對企業IT的要求

在這個SOX中關於IT審計過程中間，我們需要相關的像C-SOX安全一些策略也好，規范條例也好，真正實現這樣一個安全控制和管理。

IT控制在每一個公司中存在，至少是下面三個因素，像決策管理、商務流程和IT服務。決策管理是建立在實體上，就是人的因素上，如果在一個企業中，不管是IT部門的負責人，還是一個企業的CEO也好，高層管理人員，如果他們沒有充分地認識到IT管理的安全，首先來講，就決定在IT層面上將不可能真正做到一種安全。其次是商務流程，商務流程就是說我們因為是要通過我們這些系統，來給我們企業創造價值，IT永遠是作為一個幫助企業的業務部門來實現自身價值的部門。所以通過商務上由於業務的需求，我們引進了很多商務軟體，包括大型ERP系統，通過這樣系統跟我們IT硬體相結合在一起，形成高效一個系統集成這樣一個概念。

IT服務這一塊，除了日常的IT維護和管理等等，它來決定服務好壞，同樣決定安全非常重要的因素。其實我們也看到這樣一張圖表，這包括了SOX法案所要遵循的部分，中間包括實體層控制，這也給大家解釋過了。現在ITAC應用方面，就是我們講大型系統。再往下最底層是我們ITGC一般應用控制，在這個控制中間我們簡單成為系統開發、系統變更、運營管理、安全管理四大塊，我常常比喻為是一個金字塔形的框架。在金字塔的底層是由ITGC來控制的，中間是應用程序控制方面，在塔尖一定是人的控制，通過這樣一個搭建結構才能保證我們整個IT的在大型企業中，IT非常安全的控制。

再用一個同樣的圖表來給大家解釋一下，在我們ITAC和ITGC相近的關系，上面有一系列安全產品，這樣搭建我們IT的基礎安全措施，上面是我們常見的財務系統，不管是什麼樣的系統，它也應該是只有秉承安全的，上面才安全，上面是我們業務系統、采購系統、銷售系統等等，我們財務相關介面實現有效的管理。再往上我們可以看到通過一系列這樣的流程，最後我們呈現這份財務報表，為什麼在說到C-SOX當中大家說我們需要做IT安全，在整個《薩班斯法》並沒有說到IT審計，但是在我們日益們上市公司做審計的時候面臨財務審計，基於這樣的原因，在ITGC大概控制點，這是AC准確、完整、授權職責分離。

這是ITGC和ITAC關系的圖表，首先從信息管理和人事結構，這是一個公司，其次是上升到人的，在有是整個公司的管理，憑險評估，再就是流程層面評估，分為早期，系統與數據所有者，包括業務有關數據控制等等。

『捌』 緊急。一篇文章，求人工翻譯！！（1）

盡管會產生不小的管理成本，內部審計部門作為一種高效的公司管理機制，還是被越來越多的公司採用，可見其重要性不言而喻。
在美國，《薩班斯-奧克斯利法案》對內部審計做了規定，而且，主要的大股市，比如紐約股票交易所，也要求所有的上市公司都要成立內部審計部門。所以，美國的公司幾乎沒有壓縮內審成本的空間。許多其他國家，比如澳大利亞，英國，也都鼓勵上市公司成立自己的內審部門。
我們針對不同國家的調查數據表明，雖然各國公司管理層對成立內審部門的需求高低不一，但總體來說56.4%的高管贊成，不論是從法律還是股市規章來看。而這一比例預計在2009年會猛增至66.1%
公司內審成本與其it管理的復雜度有關，因為過去二十年，it技術飛速發展，幾乎所有的公司管理都依賴it技術，對it部門的投入也在大幅增長。
那麼我們知道一點，就是內審部門主要就是做內審工作的。但是內審部門在多大程度上涉及到it審計方面的工作就不好說了。（舉個例子，我們不能比較過去和將來得出現在的情況）。當前的研究只是提供了數據採集的時候，也就是2006年的情況和三年前也就是2003年的情況，再有就是預測了2009年的情況。

『玖』 CIA和CISA先考哪個好這兩認證含金量高么

CIA是內審，主要是財務方面
CISA是信息系統審計，主要涉及IS

CISA通過後可以申請免試CIA第四門
兩個證都是國外的，含金量不好說，主要看你做什麼，你如果不做這行，這個毫不值錢。
大企業肯定有IS審計（其實哪個公司不用信息系統，純手工操作？只是大公司比較看重這個，這個也是郭嘉要求上市公司的審計報告中要有IS審計報告）
CIA在國內有官方的辦事處，CISA的組織ISACA在國內沒有辦事處，就這兩個考試而言，這點沒什麼區別。

綜上所述，先考哪個（或者考不考）都要看你做什麼或者想做什麼，偏財務的內審OR IS審計。順便說下CIA的考試4門允許你花兩年時間累積通過，CIA每年一次大概在11月接近中旬的時候，CISA每年兩次6月一次12月一次。

『拾』 我是網路工程師，想考CISA轉行搞IT審計，合適么

CISA目前國內企業並不是太重視,考了CISA比較好去向是四大或者大型美資上市企業,但這要求英語水平不能太差。如果是其他企業可能薪酬等提升不是太明顯，不過作為往IT審計轉型的跳板也可以考慮。

然後考了CISA後，並不等於一定能有很好的工作，還是要看機遇和個人綜合能力。但可以算是一個敲門磚。

你說的CISP應該是CISSP吧，Certified Information Systems Security Professional，CISA是Certified Information Systems Auditor，從名字上可以看到CISSP是著重安全技術方面的，CISA是著重系統內控的；CISSP范圍窄但技術的專業程度較高，特別是對於網路技術要求比較熟練，CISA范圍寬，也涵蓋了安全方面但技術的專業程度一般不高，更多關注管理和管治。

現在做CISA的一般是兩類人：從IT往IT審計發展的人，他們往往都同時具備CISSP和CISA；另一種是審計往IT審計發展的人，他們往往同時具備CIA和CISA。

至於費用CISSP我沒有認真看過，但CISA現在的費用是：
新加入ISACA一次性網上繳費 USD10
當年會費 USD130（以後每年要交）
考試費（網上交） USD375
=============================
合計USD515

考試資料只有英文的，考題可以選擇考中文題目（找人復印也行，不過很厚，有3厘米），推薦買1和3（或4）即USD265。
1、CISA Review Manual 2008 English Edition $105.00
2、Candidate's Guide to the CISA Exam and Certification 2008 $5.00
3、CISA Practice Question Database v8 English Edition (CD-ROM) $160.00
4、CISA Practice Question Database v8 English Edition (web site download) $160.00
5、CISA Review Questions, Answers & Explanations Manual 2008 English Edition $100.00
6、CISA Review Questions, Answers & Explanations Manual 2008 Supplement English Edition $40.00

5和6是書，3和4是軟體（包括了5和6的內容），

掛靠當地分會會費 USD60（香港分會，取得CISA資格前可以不交，取得資格後每年要交）

以上還沒算參加輔導班的額外費用，考不過下年再考又要交一遍錢。值不值見仁見智。