上市公司it审计

『壹』 时代新威信息系统审计主要服务哪些

时代新威信息系统审计服务比较全面，包括上市公司信息系统专项审计、网络安全专项审计、信息科技风险全面审计、重要信息系统专项审计、IT基础设施专项审计、IT外包专项审计、业务连续性管理专项审计、系统投产变更专项审计、数量质量专项审计、信息系统绩效专项审计、TISAX认证审计等十多个方面的服务，可以说时代新威在信息系统审计方面算是专家了。

『贰』 信息系统审计，简要写出应重点关注系统使用和绩效环节中的哪些内容

企业信息化绩效评价是一项涉及范围广、内容复杂的系统工程，无论是评价工作的组织实施，还是评价结果的具体应用都必须遵循一定的制度规范。企业信息化建设向着纵深发展，必然要在更深层面上解决体制和机制问题，从宏观层面建立并推行企业信息化绩效评价的有关工作制度。1 政府通过政策法规进行引导由于企业自身的局限性，企业对绩效管理的认识需要经历一个从被动接受到主动认识的过程，如果仅靠企业自身逐渐建立和完善绩效管理制度将是一个漫长的过程。政府的政策推行和立法引导是完善企业绩效管理制度的捷径，有助于从宏观上创建重视绩效管理的氛围，由强制执行逐渐引导企业走向自主进行绩效管理的正轨。美国在推行IT绩效管理制度方面，政府起到非常重要的引导作用。自90年代以来，美国相继颁布了各种法令，通过政府行为引导组织重视IT的绩效。下面列举了一些美国政府所采取的措施:1990年颁布的《首席财务官法案》(CFO法):要求在对机构审查时关注财务声明中的绩效信息，包括系统评价信息，机构应该制定年度绩效计划，采用可度量的、可比较的绩效指标衡量相关的输出以及服务的水平。1993年与1994年，分别颁布了《政府绩效与成果法案》和《联邦获取简化法案》(FASA):法案要求联邦机构在评价时要考查成本、绩效、规划等几个方面。确定是否有耽误进度、超支、与能力不符的现象存在，该法案实际上将规划与责任、绩效统一起来。1995年，颁布了《削减纸张法案》。该法案要求机构建立信息资源管理目标，通过IT改善生产力与效率，主张通过工作过程重新设计以及IT的应用提高政府部门的工作效率。机构需要对IT的成本收益进行分析，并进行信息系统实施后的审查、验收以及文档的管理等。1996年，颁布了Clinger-Cohen法案;该法案要求制定利用IT改进目标的计划。绩效评价目标必须评价IT如何支持机构的计划、机构必须制定基准，在成本、速度、生产力、输出、质量、成果等方面提供一个可比较的基准，确保IT投资有效支持组织使命的管理过程。此外，年度绩效评价应该说明IT在机构中的具体运营情况。这些相继出台的立法都要求IT绩效管理的改善，并强调实施的责任以及强调结果导向的管理。法案中定义了成本绩效以及进度目标，提出通过IT来简化联邦组织的计划，这些法案的颁布促进了结果导向的绩效管理的发展。这些法案的颁布对IT绩效管理起到积极推动的作用。组织的高层领导不得不增强对IT绩效的重视程度。然而，对组织机构的管理者而言，其最终目标不只是要建立符合这些法令和法规要求的形式，而是如何使用有效的IT管理方法和系统来管理和衡量绩效。因此，绩效管理逐渐由政府强制执行过渡到企业要求自主评价的轨道上。美国政府在绩效管理的这套做法对我国也具有很强的借鉴意义。目前，我国政府已经通过法律规章制度对信息系统的开发、运行以及维护过程进行控制，以确保信息系统的安全与质量。尤其对于政府公开政务、银行、保险、国防安全等对安全和实时响应的要求很高，并关系着国际民生的信息系统，都通过法律和制度进行严格控制。对于一些上市公司，为了保护投资者的利益，法律法规方面的外部控制也起着很大的作用，必须按照一定的规章制度来进行。这说明我国政府在保证信息化的质量上已经发挥了重要作用。随着政府对信息化绩效的日趋重视，也会采用法律和制度的手段来规范企业信息化的绩效管理，出台相应的制度规范。例如，可以通过研究制定“企业信息化绩效评价办法”、“企业信息化绩效评价方法选择及工作程序”、“企业信息化绩效评价指标设置及标准选择”、“企业信息化绩效评价结果应用”等一系列统一的制度规范，对全国企业信息化绩效评价工作规则、工作程序、组织方式及结果应用等进行明确，这对推动信息化建设朝着理性、有序的方向发展具有非常深远的意义。2 引入IT审计制度要想实现信息化建设健康发展，虽然法律规章制度起到非常重要的作用，但是这远远不够。必须在业界范围内通过行业监控的形式来规范，落实组织内部控制及政府与市场监督体系的动态机制。目前，国内已经逐渐开始引入国际上较为通行的IT审计制度，来加强对整个信息化建设的控制。IT审计是一项独立的验证活动，主要是由独立的具有资格的第三方进行的对IT的有效性、效率和安全性进行审计。IT审计制度能够有效地控制信息资源投入的风险，从而确保信息资源的增值，有效地规范行业秩序。鉴于中国IT服务业未来巨大的增长空间，国际知名咨询顾问公司、专业技术服务提供商等纷纷抢滩中国市场，提供符合国际标准的信息系统审计服务，这也对我国发展IT审计起到一定的推动作用。3 发展第三方咨询服务发展第三方咨询服务也是促进绩效评估制度建立的一种有效举措。鉴于企业IT应用项目的复杂性，没有经历过实际项目的人根本无法把握整个项目的推进和有效规避风险，因此，企业需要第三方咨询服务机构即借助专业的IT管理咨询公司的帮助。通过独立的第三方提供的信息化管理诊断和业务流程优化咨询服务，对其信息化系统建设过程描绘清晰的远景，建立基于核心竞争战略的、以IT战略为主导的信息化总体规划，并建立基于IT战略规划的业务流程功能模型。第三方的管理咨询公司可以为企业用户提供从前期的IT战略咨询、信息化管理诊断、业务流程优化、信息化项目可行性研究、信息化系统总体规划、信息系统设计。在信息化实施过程中，第三方可以为信息化项目界定实施中与实施后评价标准，建立甲方、乙方沟通协调的平台，建立完整的企业信息化绩效评估体系，避免由于需求不明确、评估标准不统一而导致的企业信息系统建设延期的现象发生，从源头上降低信息化失败的风险，最终改善企业信息化绩效。

『叁』 企业有必要单独聘请IT审计师吗

以下类型的企业，建议聘请IT审计师：

1、软件供应商，特别是管理类的集成软件供应商，需要信息系统审计师参与产品设计、规划和检测，需要信息系统审计师对客户现有信息系统进行评价，提出改造设想。全球所有重要的ERP和CRM产品供应商都聘请大量信息系统审计师。

2、管理咨询机构，20世纪90年代以后，管理咨询的重点已经逐步发展为提供一揽子解决方案，其中信息系统的配置，就是解决方案成功的基础，国际知名的管理咨询机构中，有50%以上的员工熟悉信息技术，其中20%拥有信息系统审计师资格。

3、会计师审计师事务所，是信息系统审计师最早的落脚点，"四大"国际会计公司超过30%的收入来自于风险管理部门，这个部门的最主要工作就是监控客户的信息系统风险和运营风险，同时为客户提供ERP或CRM的实施和培训。会计师审计师事务所中传统财务报表审计也越来越离不开信息系统审计师的贡献，没有他们的工作，评估内部控制风险和企业固有风险将成为一句空话。人们常常看到，"四大"会计公司里，最年轻的合伙人或经理，往往都是信息系统审计师，因为这是属于年轻人的工作。

4、跨国公司，作为信息系统最集中的用户，跨国公司急需大量信息系统审计师，一方面参与信息化建设的过程，另一方面时刻保持对分支机构的信息监控。还有一种最新迹象表明，跨国公司内部审计部门也在大量招聘信息系统审计师，以加强内部的监督和牵制。

5、大型国有企业和上市公司，这些机构往往有雄厚的财力来实现管理的信息化、保证生产经营的稳定性，他们对信息系统审计师的要求和跨国公司类似。

『肆』 请教 上市公司IT审计

IT审计就是信息系统审计，主要介绍审计的历史和发展，对象、范围和意义对象、范围和意义计划。
知识方面的要求如下：
信息系统计划、开发和运营相关的知识： 信息系统构成相关的知识； 信息化战略、构想、提案、立项等相关的知识； 系统设计、程序设计、软件测试等相关知识； 系统操作、数据管理等相关知识；

能力方面的要求如下： 系统审计的相关能力； 审计的立项、分析、评价相关的能力；信息收集、审核、审计方法掌握、技巧运用方面的能力；审计报告制作能力；
IT审计师必须具备全面的计算机软硬件知识，对计算机网络和信息系统的安全性具有高度而特殊的敏感意识，而且对财务会计和企业内部控制具有深刻的理解能力，要懂管理、懂经济、懂审计、懂计算机、懂内部控制、懂网络技术，既是审计专家，又是信息系统专家，以对计算机信息系统及软硬件的技术性审计来保证计算机审计质量的可靠性。

『伍』 信息系统审计是判断it控制是否有效的一种保证机制

信息系统审计和控制协会是什么组织？ 信息系统审计和控制协会（The Information System Audit and Control Asociation,isaca)成立于1969年，是一个总部设在美国的芝加哥、拥有20000多名会员的跨国界、跨行业的专业机构，其前身为edp审计师联合会。isaca目前在世界上100多个国家设有160多个分会，其职责包括：（1）组织制定相关领域专业标准，其设定的标准目前被作为世界范围内IT审计、控制的指导方针；（2）提供IS审计、控制、安全领域内国际上承认的认证项目，如信息系统审计师资格认证；（3）研究关键的管理和技术主题的专业发展项目；（4）提供包含最新的研究、案例学习、信息知识入门等在内的专业出版物；（5）指导会员专业的活动和操行的职业道德准则。isaca是目前唯一有权授予国际信息系统审计师资格的组织。 信息系统审计师（Certified Information System auditor,cisa)，通常简称为IT审计师，是指获得信息系统审计和控制协会颁发的cisa资格证书的专业人士。他们既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉经济管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造的专业人士。由信息系统审计和控制协会颁发的信息系统审计师资格，现已成为国际信息系统审计、控制与安全专业领域公认的职业资格，也是国际信息系统领域唯一的一种职业资格。 信息系统审计师具体要做哪些工作？
1．信息系统审计师首先要关注信息安全。采用各种方法来测试系统的安全性，并对来自内部和外部的安全隐患提出相应对策。
2．信息系统审计师还要关注信息系统的稳定性。会提出一系列对策保证客户信息系统的万无一失。
1．软件供应商，特别是经济管理类的集成软件供应商。他们需要信息系统审计师参与产品设计、规划和检测，对客户现有信息系统进行评价，提出改造设想。目前全球所有重要的erp和CRM产品供应商都聘请大量信息系统审计师。
2．管理咨询机构。20世纪90年代以后，国际管理咨询的重点已经逐步发展成为客户提供一揽子解决方案，其中信息系统的配置是解决方案获得成功的基础。因此，目前国际知名的管理咨询机构中，有50％以上的员工熟悉信息技术，其中20％拥有信息系统审计师资格。
3．会计师事务所。会计师事务所也是信息系统审计师最早的落脚点。目前国际会计公司超过30％的收入来自于风险管理部门，而该部门最主要的工作就是监控客户的信息系统风险和运营风险，并为客户提供erp或CRM的安装、维护和培训。另外，目前会计师事务所中传统财务报表审计也越来越离不开信息系统审计师。因为没有他们的工作，评估内部控制风险和企业固有风险都将成为一句空话。因此，目前的国际会计公司中，最年轻的合伙人或经理往往都是信息系统审计师。
4．跨国公司。跨国公司作为信息系统最集中的用户，为参与信息化建设的过程，并时刻保持对分支机构的信息监控，急需大量信息系统审计师。还有一种最新迹象表明，跨国公司内部审计部门也在大量招聘信息系统审计师，以加强内部监督和牵制。
5．大型国有企业和上市公司。这些机构往往有雄厚的财力来实现管理的信息化、保证生产经营的稳定性，他们对信息系统审计师的要求和跨国公司类似。

『陆』 国内某上市公司需要IT审计经理，有人想要了解吗

公司上市前找审计公司做it审计需要花多少钱的问题没有准确的规定，这个问题主要看审计工作量的大小， 以及涉及的事情的难度多少，以及涉及审计细化到什么程度，这就要具体问题具体对待，因为此项业务大多都是社会中介组织承揽，双方可以讨价或“货比三家”如果涉及国家审计机关出具的报告，那就分文不用。

『柒』 sox对企业IT的要求

在这个SOX中关于IT审计过程中间，我们需要相关的像C-SOX安全一些策略也好，规范条例也好，真正实现这样一个安全控制和管理。

IT控制在每一个公司中存在，至少是下面三个因素，像决策管理、商务流程和IT服务。决策管理是建立在实体上，就是人的因素上，如果在一个企业中，不管是IT部门的负责人，还是一个企业的CEO也好，高层管理人员，如果他们没有充分地认识到IT管理的安全，首先来讲，就决定在IT层面上将不可能真正做到一种安全。其次是商务流程，商务流程就是说我们因为是要通过我们这些系统，来给我们企业创造价值，IT永远是作为一个帮助企业的业务部门来实现自身价值的部门。所以通过商务上由于业务的需求，我们引进了很多商务软件，包括大型ERP系统，通过这样系统跟我们IT硬件相结合在一起，形成高效一个系统集成这样一个概念。

IT服务这一块，除了日常的IT维护和管理等等，它来决定服务好坏，同样决定安全非常重要的因素。其实我们也看到这样一张图表，这包括了SOX法案所要遵循的部分，中间包括实体层控制，这也给大家解释过了。现在ITAC应用方面，就是我们讲大型系统。再往下最底层是我们ITGC一般应用控制，在这个控制中间我们简单成为系统开发、系统变更、运营管理、安全管理四大块，我常常比喻为是一个金字塔形的框架。在金字塔的底层是由ITGC来控制的，中间是应用程序控制方面，在塔尖一定是人的控制，通过这样一个搭建结构才能保证我们整个IT的在大型企业中，IT非常安全的控制。

再用一个同样的图表来给大家解释一下，在我们ITAC和ITGC相近的关系，上面有一系列安全产品，这样搭建我们IT的基础安全措施，上面是我们常见的财务系统，不管是什么样的系统，它也应该是只有秉承安全的，上面才安全，上面是我们业务系统、采购系统、销售系统等等，我们财务相关接口实现有效的管理。再往上我们可以看到通过一系列这样的流程，最后我们呈现这份财务报表，为什么在说到C-SOX当中大家说我们需要做IT安全，在整个《萨班斯法》并没有说到IT审计，但是在我们日益们上市公司做审计的时候面临财务审计，基于这样的原因，在ITGC大概控制点，这是AC准确、完整、授权职责分离。

这是ITGC和ITAC关系的图表，首先从信息管理和人事结构，这是一个公司，其次是上升到人的，在有是整个公司的管理，凭险评估，再就是流程层面评估，分为早期，系统与数据所有者，包括业务有关数据控制等等。

『捌』 紧急。一篇文章，求人工翻译！！（1）

尽管会产生不小的管理成本，内部审计部门作为一种高效的公司管理机制，还是被越来越多的公司采用，可见其重要性不言而喻。
在美国，《萨班斯-奥克斯利法案》对内部审计做了规定，而且，主要的大股市，比如纽约股票交易所，也要求所有的上市公司都要成立内部审计部门。所以，美国的公司几乎没有压缩内审成本的空间。许多其他国家，比如澳大利亚，英国，也都鼓励上市公司成立自己的内审部门。
我们针对不同国家的调查数据表明，虽然各国公司管理层对成立内审部门的需求高低不一，但总体来说56.4%的高管赞成，不论是从法律还是股市规章来看。而这一比例预计在2009年会猛增至66.1%
公司内审成本与其it管理的复杂度有关，因为过去二十年，it技术飞速发展，几乎所有的公司管理都依赖it技术，对it部门的投入也在大幅增长。
那么我们知道一点，就是内审部门主要就是做内审工作的。但是内审部门在多大程度上涉及到it审计方面的工作就不好说了。（举个例子，我们不能比较过去和将来得出现在的情况）。当前的研究只是提供了数据采集的时候，也就是2006年的情况和三年前也就是2003年的情况，再有就是预测了2009年的情况。

『玖』 CIA和CISA先考哪个好这两认证含金量高么

CIA是内审，主要是财务方面
CISA是信息系统审计，主要涉及IS

CISA通过后可以申请免试CIA第四门
两个证都是国外的，含金量不好说，主要看你做什么，你如果不做这行，这个毫不值钱。
大企业肯定有IS审计（其实哪个公司不用信息系统，纯手工操作？只是大公司比较看重这个，这个也是郭嘉要求上市公司的审计报告中要有IS审计报告）
CIA在国内有官方的办事处，CISA的组织ISACA在国内没有办事处，就这两个考试而言，这点没什么区别。

综上所述，先考哪个（或者考不考）都要看你做什么或者想做什么，偏财务的内审OR IS审计。顺便说下CIA的考试4门允许你花两年时间累积通过，CIA每年一次大概在11月接近中旬的时候，CISA每年两次6月一次12月一次。

『拾』 我是网络工程师，想考CISA转行搞IT审计，合适么

CISA目前国内企业并不是太重视,考了CISA比较好去向是四大或者大型美资上市企业,但这要求英语水平不能太差。如果是其他企业可能薪酬等提升不是太明显，不过作为往IT审计转型的跳板也可以考虑。

然后考了CISA后，并不等于一定能有很好的工作，还是要看机遇和个人综合能力。但可以算是一个敲门砖。

你说的CISP应该是CISSP吧，Certified Information Systems Security Professional，CISA是Certified Information Systems Auditor，从名字上可以看到CISSP是着重安全技术方面的，CISA是着重系统内控的；CISSP范围窄但技术的专业程度较高，特别是对于网络技术要求比较熟练，CISA范围宽，也涵盖了安全方面但技术的专业程度一般不高，更多关注管理和管治。

现在做CISA的一般是两类人：从IT往IT审计发展的人，他们往往都同时具备CISSP和CISA；另一种是审计往IT审计发展的人，他们往往同时具备CIA和CISA。

至于费用CISSP我没有认真看过，但CISA现在的费用是：
新加入ISACA一次性网上缴费 USD10
当年会费 USD130（以后每年要交）
考试费（网上交） USD375
=============================
合计USD515

考试资料只有英文的，考题可以选择考中文题目（找人复印也行，不过很厚，有3厘米），推荐买1和3（或4）即USD265。
1、CISA Review Manual 2008 English Edition $105.00
2、Candidate's Guide to the CISA Exam and Certification 2008 $5.00
3、CISA Practice Question Database v8 English Edition (CD-ROM) $160.00
4、CISA Practice Question Database v8 English Edition (web site download) $160.00
5、CISA Review Questions, Answers & Explanations Manual 2008 English Edition $100.00
6、CISA Review Questions, Answers & Explanations Manual 2008 Supplement English Edition $40.00

5和6是书，3和4是软件（包括了5和6的内容），

挂靠当地分会会费 USD60（香港分会，取得CISA资格前可以不交，取得资格后每年要交）

以上还没算参加辅导班的额外费用，考不过下年再考又要交一遍钱。值不值见仁见智。