作为国内IT业的一员新贵，信息系统审计师(CISA)对于大多数人来讲，还是一个陌生的名词。但在国外，CISA证书早已同MCSE、EP等证书一样，成为追求高薪的人们争相追捧的对象了。在很多大型会计公司内部，信息系统审计部门早已成为一个独立运作的体系。这些公司中甚至出现了没有CPA资格的合伙人，他们持有的专业资格就是CISA。

什么是信息系统审计师？

信息系统审计师，也称IT审计师或IS审计师，是指一批专家级人士，既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉经济管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。
　　审计署驻沈阳特派办干部李丹是中国第一名通过考试的国际信息系统审计与控制协会会员。他认为，信息系统审计师就像是信息系统的保健医生，无病防病、增强体质；有病治病，还要挽救信息系统的生命。这是一个完全崭新的领域，它随着信息系统的产生而产生，必将随着信息系统的发展而越来越受到人们的重视。

中国是否需要信息系统审计师？
　　21世纪是信息化的时代，生产、交易和管理都离不开信息流和对信息流的管制。信息系统对生产经营和管理的影响越来越重大，管理人员在面对传统经营风险和财务风险的同时，必须随时面对信息风险对企业生存和发展的挑战。IT领域的工作人员都明白，企业对信息系统的依赖程度越大，信息系统安全和运营隐患可能带来的伤害就越严重。因此，信息系统必须随时置于专家的监控之下。
　　对信息系统的监控无非三个目的：安全、稳定、有效。
　　安全性问题大家比较容易理解，但信息系统的安全相对传统的实物保安来说还有很大的发展空间，如果处理不好，会给企业带来巨大损失，严重时，还会制约IT业的整体发展。李丹说，举一个小例子，如果我们的B2C企业，无法对自己的网上销售系统实现严格的安全管理，那么黑客就很可能从这个环节来盗取客户的信用卡号码和密码，这样一来，就算银行的保安系统再健全，也不能避免客户的巨额损失，最终结果是整个网络业的萧条。对于ERP或CRM背景下的企业，安全有着更为重大的意义，这些企业往往依赖信息系统来管理客户的交易资料，一旦系统遭到破坏，后果就不堪设想，所以这类机构的数据保全和灾难恢复已经成为业界新的经济增长点。
　　稳定性的问题，非专业人士好像不太关心。但实际上不稳定的系统也能给企业带来巨大的损失或尴尬。比较典型的案例就是前不久发生的某知名网站在刚刚宣布推出收费邮箱的时候，免费邮件系统突然瘫痪，给用户带来很多不便，也引起了许多不必要的误会，其实，这只是邮件系统不稳定的偶然发作而已。至于电信系统不稳定导致通信瘫痪的例子，就更可以说明稳定的重要性。
　　有效性的问题则是一个更加困难的话题。一般情况下，一说到信息系统建设，大家都觉得是工程师或程序员的事，事实上，这是非常错误的观点。一个好的系统，在安全和稳定的前提下，必须最大程度符合企业经营流程的特点，经济、有效地解决问题和提供信息。要做到这一点，信息系统开发和维护过程中，就必须有大量的经营管理人员参与，设计出最优的信息流转路径。如果不重视信息系统的有效性，其危害同样是巨大的。一方面由于其烦琐和复杂，导致内部业务人员不会用、不想用或使用不当；另一方面使用过程中的差错又会导致稳定性和安全性方面的问题。
　　显然，要对信息系统的安全、稳定和有效进行监控，就不单纯是某类技术人员能够完成的任务，经过专业训练、经验丰富的信息系统审计师将在这一领域发挥重要的作用。信息系统审计师的突出特点就是兼通技术和管理，能够利用规范的审计手段，比较客观和冷静地分析、评价企业现有信息系统的运行，并从专业的角度提出建议。

信息系统的审计与财务审计关系
　　说到审计，人们比较熟悉的是注册会计师或审计机关的财务审计，是对财务报表或会计账册的监督，好像和信息系统没有必然联系。其实不然，审计业务发展至今，传统就账审账的工作只是现代审计中一个特别小的组成部分。现代的风险基础审计理论认为，审计师最重要工作之一，是发现被审计单位最重大的风险隐患，在认定其持续经营的基础上，再对财务报表的真实、公允性发表审计意见。如果审计师认为被审计单位的信息系统是业务运转的平台，是风险高发区，那么对信息系统的安全、稳定和有效的评价就成为审计的基础和重点。当然，对信息系统的审计和对财务事项的审计，手段有所不同，但基本的程序和原理都是一样的。