从IT审计师谈我国计算机审计人才的培养

　　三、IT审计师在网络审计的重要作用

　　计算机审计发展到网络审计后，计算机审计的主要内容将包括网络安全技术与内部控制系统的审计、系统开发审计、应用程序审计、数据文件审计等四个部分。通过研究分析可以发现，这四个部分的内容，不同程度地与IT审计师相关联，IT审计师在其中将起重要的作用。

　　（一）网络安全技术与内部控制系统的审计

　　从Internet诞生起，信息和网络的安全性就成为关注的一个焦点。在Internet发展的每一个阶段，安全问题也都是基础性的、关键性的因素。对于网络审计，其首先遇到的也是网络的安全性测试问题。与安全性相应的还有网络系统的内部控制的测试问题，网络系统的内部控制包括一般控制和应用控制两个方面。一般控制包括组织控制、软件开发、硬件和系统软件控制、系统安全控制、维护控制和文档控制等方面的审查与测试。应用控制包括输入控制、处理控制、输出控制。IT审计师的主要工作就是利用标准、规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行测试、检查、评价和改造。IT审计师首先关注信息系统的安全性，没有安全就没有一切，IT审计师会采用各种方法来测试系统的安全性，并对来自内部和外部的安全隐患提出相应对策；IT审计师还要审查信息系统的稳定性，没有长期稳定性，信息系统就无法承担起激烈竞争的压力，IT审计师会提出一系列对策保证客户信息系统的万无一失；IT审计师还要鉴别信息系统的有效性，最安全和最稳定的系统不一定是最有效的系统，而效率不高的系统就会消耗企业大量的资源，一般情况下，一说到信息系统建设，大家都觉得是工程师或程序员的事，事实上，这是非常错误的观点。一个好的系统，在安全和稳定的前提下，必须最大程度符合企业经营流程的特点，经济、有效地解决问题和提供信息。要做到这一点，信息系统开发和维护过程中，就必须有大量的经营管理人员参与， 设计出最优的信息流转路径。如果不重视信息系统的有效性，其危害同样是巨大的。一方面由于其繁琐和复杂，导致内部业务人员不会用、不想用或使用不当；另一方面使用过程中的差错又会导致稳定性和安全性方面的问题。显然，要对信息系统的安全、稳定和有效进行监控，就不单纯是某类技术人员能够完成的任务，经过专业训练，经验丰富的信息系统审计师将在这一领域发挥重要的作用。信息系统审计师的突出特点就是兼通技术和管理，能够利用规范的审计手段，比较客观和冷静地分析、评价企业现有信息系统的运行，并从专业的角度提出建议。

　　通过以上分析我们看到，IT审计师的工作中实际上已经包含了网络安全技术与内部控制审计的内容。进一步从IT审计师的服务对象分析，IT审计师主要是为以下几类对象服务：

　　软件供应商。特别是经济管理类的集成软件供应商，需要信息系统审计师参与产品设计、规划和检测，并对客户现有信息系统进行评价，提出改造设想。全球所有重要的ERP和CRM产品供应商都聘请大量信息系统审计师。

　　管理咨询机构。20世纪90年代以后，管理咨询的重点已经逐步发展为提供一揽子解决方案，其中信息系统的配置，就是解决方案成功的基础。国际知名的管理咨询机构中，有50%以上的员工熟悉信息技术，其中20%拥有信息系统审计师资格。

　　会计师审计师事务所，是信息系统审计师最早的落脚点，“五大”国际会计公司超过30%的收入来自于风险管理部门。这个部门的最主要工作就是监控客户的信息系统风险和运营风险，同时为客户提供ERP或CRM的安装、维护和培训。会计师审计师事务所中传统财务报表审计也越来越离不开信息系统审计师的贡献。没有他们的工作，评估内部控制风险和企业固有风险将成为一句空话。人们常常看到，“五大”会计公司里，最年轻的合伙人或经理，往往都是信息系统审计师，因为这是一项年轻人的工作。