今年11月，我国的多个考点又将举办国际注册内部审计师（CIA）资格考试。CIA资格考试包括内部审计程序、内部审计技术、管理控制与信息技术、审计环境等四部分。其中信息技术约占第三部分“管理控制与信息技术”的50％。因为我国的信息技术比发达国家落后，计算机在经济领域的应用起步较晚，计算机审计尚未普及，所以不少报考人员对信息技术部分感到比较困难，觉得这一部分的准备不知从何着手。笔者根据这几年来对CIA考试中“信息技术”部分辅导的一些体会，谈谈这一部分的准备。
　　一、 CIA考试的特点
　　在讨论如何准备CIA考试的信息技术部分前，先知道CIA考试的特点是必要的。CIA考试除审计环境部分外，其余三部分都由国际注册内部审计师协会命题。其考试与我国的注册会计师考试或审计师、会计师等职称考试很不一样。我国的考试有指定的考试辅导教材，一般来说，报考人员只要把辅导教材的内容学懂弄通就可以顺利通过。但CIA考试其实没有指定的考试辅导教材，推荐给大家的辅导材料只是反映作为CIA应掌握的内部审计实务准则、道德准则和原理与技术等内容，当然也是要考的内容。CIA考试的内容并不是仅限于这几本书内。CIA考试有下列特点：
　　1、 CIA考试是一种水平测试。它不是按某几本书的内容出题，而是按内审人员能胜任其工作应具有的素质和水平出题，因此，其考题是随着经济和技术的发展变化而变化的。大家都知道，信息技术发展很快，尤其是Inter、电子商务和网络经济是近几年才迅速发展起来的，作为考试重要参考书的《内部审计原理与技术》（其原文1994年出版）并不包含相应的内容，但有关内容要在考试中体现。
　　2、 CIA考试全为单选题，覆盖面广，但深度一般。为便于计算机改卷，全部采用标准化的四选一的考题。因为内审人员是管理人员的助手和参谋，根据内审人员应有的知识和技能，试题的覆盖面广，包括会计、审计、经济、管理、信息技术、甚至心理学和经济数学等方面的内容。但由于受题型仅为单选题一种的限制，考题的难度不是太大，只要考生能正确掌握有关的概念和原理，不难从待选的答案中选出正确答案。即使确实不懂，乱选也还有四分之一的选中机会，选错是不扣分的。从这点上说，它比我国的CPA考试容易。
　　二、 CIA考试中信息技术部分的准备
　　1、 应准备的内容。在各部分内容中，信息技术部分是变化最快的，几乎每年都有新的内容。应准备和复习哪些内容是困扰报考人员的一个关键点。笔者认为，为顺利通过CIA考试，对信息技术部分的准备，根据考试大纲和对内部审计人员在信息化和网络化条件下有效地履行内审职能应具有的知识和技能的要求，应准备和掌握下列内容：
　　（1） 掌握信息技术领域较常用的专业名词。例如：防火墙、计算机病毒、蠕虫、黑客、电子商务、EDI、数字签名、数字证书、Inter、电子邮件、审计软件，MRP、MRPII、ERP、EFT、人工神经网络等。这些信息技术的专业词汇可能是一般审计人员不熟悉的。过去部分考生就是因为未接触过一些信息技术专业名词，所以连题目都看不懂，无法作出正确选择。如果知道了它们的涵义（无需知道具体实现技术），很多题目就能作出正确的判断和选择。
　　（2） 掌握信息技术的发展和应用带来的风险、有效降低这些风险应有的控制和信息系统的管理。例如，计算机与网络技术在企业中的应用，会使信息处理电算化、信息存储电磁化、内部控制程序化、信息处理实时化、信息传递网络化等，因而使传统纸性的审计线索消失，原有的职责分离失效，电磁信息容易被删改而不留痕迹，网上传递的信息容易被窃取，未经授权的人可能非法访问系统、篡改系统的程序或数据，系统容易被病毒或黑客攻击与侵害，等等。为适应这些变化和降低有关的风险，要建立相应的内部控制，包括很多建立在程序中、由计算机自动执行的程序控制。有关信息化、网络化条件下的风险分析、控制与管理是内部审计师在实际工作中的重点，也是考试的重点，相关内容的试题不仅在第III部分信息技术中有，在审计程序和审计技术部分中也都有。
　　（3） 了解和掌握计算机审计的一般知识。除了上述内容外，考生要了解和掌握下列有关的内容：
　　 ①信息系统的开发方法及系统的开发审计：了解为什么要开展系统开发审计，大致了解系统的生命周期及生命周期中各阶段的任务，内审人员在各阶段的责任。②对信息系统功能或应用程序的审计：了解为什么要对系统功能或应用程序进行审计，大致了解审计常用的方法，如测试数据法、受控处理法、并行模拟法、整体检测法（ITF）等。③计算机辅助审计：大致了解利用审计软件辅助审计、利用电子表格如EXCEL辅助审计、利用数据库管理系统辅助审计、利用嵌入审计模块辅助审计、网络审计等。④计算机舞弊的手段与防范：手段――通过舞弊程序进行舞弊，通过输入虚假数据、篡改数据、窃取数据进行舞弊。防范――建立健全有效的内部控制，开展计算机审计，加强人员的教育与管理，采用技术防范措施，如数据加密、系统与数据的访问控制、漏洞扫描技术和入侵检测技术、防火墙与防病毒技术等。
　　正如上面所述，因为CIA考试只有单选题，考生一般掌握计算机审计技术“是什么”、“为什么”要用这些技术，就能应付CIA考试，不必详细了解这些技术是“怎么样”的。当然，这可以作为内部审计协会组织的CIA后续教育的内容。
　　2、 准备的方法。由于CIA考试没有确切的考试辅导教材，其考试的面广而不深，对信息技术部分的准备，虽然考前突击一下也有一定成效，但较好的方法是靠平常积累。据不少在校的或刚毕业的考生反映，由于他们学习过计算机会计与审计课程，平常也对信息技术的报导宣传接触较多，基本上没有花多少时间专门准备便可通过考试。建议报考人员，尤其是已在职多年的报考人员系统地读一本计算机审计（例如，本人主编的广东人民出版社2002年1月出版的《计算机审计》）的书。读的时候要注意上述专业名词和信息系统的风险、控制与管理等内容，对具体怎样应用各种计算机审计技术进行审计可予以忽略。平常多关心报刊、杂志中有关信息技术及信息系统的风险与安全控制等内容。《内部审计原理与技术》一书对CIA考试其他部分的准备有一定参考价值，但对信息技术部分来说，基本上没有太多作用，考生不必在其身上花过多时间。
　　根据近年来我国开展CIA考试的经验，各地出版了一些CIA应试指南和模拟试题。这些资料对考生突击性准备还是有一定作用的。但考生应该注意的是，要在先掌握了上述内容（包括专业名词、风险、控制、管理和计算机审计等）的基础上才看模拟试题。做模拟试题不仅要看答案的对错，更重要的是要弄清楚为什么。CIA考试每年都的部分试题与上年相同，若曾考而未过的考生，对上次考试中不懂的或没有把握的题目，应在下一次考试前搞懂弄通。
　　以上是本人多年辅导CIA考试的一些体会，与大家分享。一人之见，可能有偏差，仅供参考。祝大家在11月的考试中取得好成绩。

本文版权属于中山大学管理学院陈婉玲老师