IT审计（Information Technology Audit），也称作信息系统审计。很多研究人员认为，IT审计的概念源于在20世纪60年代。1960年起，IBM公司相继出版了《The Auditor Encounters Electronic Data Processing》、《In-line Electronic Processing and Audit Trail》等一系列文献，介绍了电子数据环境下的内部审计规则和组织方法，并首次将计算机审计的概念带入人们的认识中；1968年，美国注册会计师协会出版了《会计审计与计算机》，指导会计师事务所对利用计算机较早、较为深入的金融行业开展审计。严格来讲，电子数据处理审计或计算机审计并非真正意义上的信息系统审计，计算机审计的定位是扩展传统财务审计的一种技术资源，为审计师开展涉及到电子数据的财务审计业务时提供必要的技术支持。

CISA(Certified Information Systems Auditor简称，中文为国际信息系统审计师）认证是由信息系统审计与控制协会ISACA(Information Systems Audit and Control Association)发起的，是信息系统审计、控制与安全等专业领域中取得成绩的象征。CISA认证适用于企业信息系统管理人员、IT管理人员、IT审计人员、或信息化咨询顾问、信息安全厂商或服务提供商、和其他对信息系统审计感兴趣的人员。

某些行业，如电信企业和银行，因为面对几亿用户，每天需要处理海量数据，企业本身对计算机系统的倚赖程度很高。这种企业财务数据的生成，在很多环节是基于计算机系统的。如电信企业的收入，大部分都是通过计费系统计算得出的。在这种情况下，审计师往往需要对以计算机为基础的信息系统进行审计，评估信息系统的安全性、稳定性和有效性，这一般称为IT审计。同时，审计师还可能利用计算机的一些技术对部分交易进行测试，这一般称为计算机辅助审计。

在会计师事务所里，一般由专门的团队负责IT审计或计算机辅助审计，习惯上称之为IT审计师，学名叫注册信息系统审计师。IT审计师的专业资格认证叫CISA（certified information system auditor），这和审计师需要考注册会计师资格是一个意思。以审计一家电信企业为例，IT审计师主要的工作内容包括：

（1）测试这家电信企业的信息系统是否安全，靠不靠谱。例如，存货系统的开发升级是不是有人管；员工在使用计算机登录存货系统时是不是都有自己独立的账号，密码是否定期更新；计算机后台操作生成的日志是否有人定期审阅；等等。这类测试，称为信息系统的一般控制（ITGC）测试。

（2）测试系统对具体业务流程的处理是否正确。例如，系统采集话单并自动计算收入。不单是收入，但凡生成某个数据的过程比较依赖信息系统，且这个数据对财务报表影响较大，审计师就要考虑测试这个数据的生成过程和结果。这类测试，称为信息系统的应用控制（ITAC）测试。

（3）利用计算机辅助手段，重新验证一些数据。例如，逐条计算所有固定资产本年的折旧费用并加总，与账面上的折旧费用进行比较。在固定资产众多，或增减变化比较快的情况下，传统的合理性测试方法并不容易达到好的效果。在会计师事务所里从事过1～2年财务审计工作，又对IT比较感兴趣的同事，可以考虑转去做IT审计师。可以想象，在信息时代，IT审计师的用武之地会越来越广。

关注谷安学院，考试培训无忧。