《小崔下午茶》43期：探密CISA认证 能否成为CIO新宠？

CISA，国际信息系统审计师，业内的人可能知道这个认证。对大多数人来说是比较陌生，但在CIO群体里这个词不应该陌生。信息系统审计师是指一批专家级的人士，既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉经济管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。CISA被IT人士所追捧，但能否成为CIO的新宠？《小崔下午茶》邀请九州通医药集团CIO田超波先生，一起聊聊，CISA的前景。

    主持人：探讨CIO关注话题，倾听业内专家言论，大家好，欢迎再次收看小崔说事，我是主持人小崔，实际上我们今天讨论的是一个国际信息系统分析师的一个话题，业内的人可能对这个认证知道得不多，因为这个认证从2003年就已经有了，所以大家还是比较陌生。我们今天请到的嘉宾是九州通医药集团的CIO田超波，田超波也是从武汉长途跋涉来到北京，准备明天参加这个考试，通过这个认证。欢迎田总，谢谢你在百忙之中参加我们这个节目，田总首先介绍一下自己和九州通。

    田超波：我叫田超波，目前就职于九州通医药集团股份有限公司，任信息技术总部的部长，我们九州通是一家在国内比较早的做医药物流的公司，目前大概今年可以做到220亿这样的规模，同时做医药行业来讲，在全国来讲是排前三名，同时我们是做医药行业民营企业我们是排第一名，我们自己的业务有些生产制造，有医药的流通批发，包括我们的零售连锁，以及我们的电子商务这一块是我们主要的业务，其他还有一些像酒店，这样一个业务，目前公司大概就是这样一个情况，并且我们公司可能计划在明年，在上交所正式主板上市。

    主持人：今天我们讨论这个话题就是谈CISA，看一看这个职业或者这个群体，这个认证到底它的一个内容或者它这个职业的前景，明天就要考试了，我想问一下田超波，你现在感觉怎么样？

    田超波：考试来讲感觉还是有点紧张，因为有很多人不像我们原来做IT，光是解决技术问题就可以了，实际上CISA的考试它更注重你的技术和管理方面的结合。从另外一个审计师的角度去看整个企业的信息控制，主要强调风险和内部控制这两个主题，我2008年参加培训，到现在一直没有考，明天就是正式考试，实际上还是有点紧张。

    主持人：今天就聊稍微轻松一点，通过我这个节目给你减减压，复习一下原来学的东西，参加明天的考试。首先大概介绍一下这个认证，在国际，我之前查过资料，它在100多个国家是通用的一个认证？

    田超波：这个认证是由信息系统审计与控制协会ISACA(Information Systems Audit and Control Association)发起的，是信息系统审计、控制与安全等专业领域中取得成绩的象征。这个认证目前主要的是在比较大的一些企业里面，比如说像银行、政府、电信，再就是比较大型的企业需要这样的，这个职业资格，包括一些上市公司都需要这个职业资格，目前CISA这个证书在全球140多个国家都被认可的。CISA在中国，主要是现在中国分会还没有成立，主要是香港分会来管理大中华区的这些会员，大概是这么一个情况。

    主持人：我之前也注意到需要信息系统审计师的这种公司，可能有软件公司，还有咨询机构，还有会计审计事务所，还有跨国公司，刚才你提到的大型企业和上市公司，你怎么看待这个职业的前景？

    田超波：我觉得这个职业前景是非常好的，为什么这么讲，第一，还是一个稀缺资源，在国内来讲，真正有经验的，同时又有从技术，从管理方面，对企业管理和技术方面比较了解的，有经验的人还确实不多，所以说比如说国有的大型银行，电信这样的一些企业，找到这样，很难找到，不仅仅是考了这个证能怎么样，实际它需要从我们实际的管理过程中去积累一些经验，并且要对技术这个事情要懂，这样的话，才是真正所需要的资源，实际上这种资源在国内还是不多的，并且也是CISA这个认证是近几年才到国内来，所以说这个资源是非常稀缺的。

    主持人：我之前也问过有一些人，他们觉得CISA可能考过很难，这个认证，这个过程，考试可能通过率比较小，他对整个参加认证的人的素质要求，主要需要哪些方面的要求？
 
   田超波：主要是你，实际上它有一个对考试的大纲的理解，它主要是有两方面的需求，它叫信息系统审计师这么一个认证，实际上既要有IT的知识积累，同时又要站在审计的角度去看问题，这样的话，就把IT和审计这两方面的知识都要结合起来。同时它把IT的整个生命周期管理所用到的一些东西，都是必备的知识，因为你要去做信息系统审计，首先你必须要懂企业的信息系统从最开始的获取到最后的结束，整个生命周期的这个过程你必须要懂，这样的话，你才能够有能力去帮别人做审计，才能帮别人找出问题，提出你的改进意见，更好的把内部控制这个事情做好。

    主持人：其实信息系统审计师在企业中起到一个什么作用，这两天我要做这个事情，它是整个企业信息化建设的一个领航人员，还是一个批判的或者审判的这么一个角色？

    田超波：我感觉它是通过我们的内部控制来推动，来完善这个企业的信息化的建设，实际上它分为，做事情也分为两种，一种跟审计师一样，一种是我内部的，内审，一种是外审，我请外面的四大审计机构来对我们公司进行整体的审计，这个主要关注大的方面。但是实际上企业小的这些细节需要不断跟进的，不断完善的，这个可能是我们内部，做内部系统审计主要要做的事情。同时它也是帮助我们规范整个公司的治理，特别是信息治理，它强调从治理的层面来看待整个公司的信息系统建设过程，强调对风险进行控制，主要强调，最重要就是对风险这一块的控制。

    主持人：你刚才也讲了很多，企业信息系统审计师有点拗口，这个名字，审计师他最应该关注企业哪些方面的内容？

    田超波：他关注，从CISA考试来讲，他关注第一个就是你的IT治理怎么样，IT治理涉及到第一你有没有组织结构，有没有IT的战略委员会，指导委员会，有没有IT的执行层面，他首先关心你的IT治理，有没有公司来真正重视IT这个事情，我看有些小的公司就把IT部门划到财务部去管，这个也是有，但是真正从治理层面来评述IT，它还是需要从一个很高的层面来，说治理跟管理有什么区别，治理就不同，治理它强调就是按照我们各个利益的，它并不是说要追求像老板刚开始做的追求整个利益最大化，实际上它强调了控制，和国外的三权分立一样，它强调的是权利制衡，就是说哪些东西该你做，哪些东西不该你做，强调你对整个制度，整个规程的遵循。这个是一个从IT治理层面来看我们这个CISA的事情。另外，治理毕竟是一个很大的层面，是一个战略层面的事情，再换到运营层面，它也结合了国内，国际一些最佳的实践，它有服务支持和服务交互，比如说整个软件生命周期，硬件生命周期的获取，到整个过程，另外就是说最后的安全，包括业务持续性，或者是灾难恢复，包括这些东西，所以说涵盖的面，几乎IT所有的事情都涵盖了。

    主持人：刚才你谈到第一个点是IT治理过程，接着问一个问题，可能和这个无关。在IT治理过程当中，咱们看字面来说，它是治和理，是治为主，还是理为主？

    田超波：我觉得这个是要结合，一方面我们强调我们的治理体系，我们要建立起来，我们要理清楚这些我们所需要的这些规程，因为从大的方面来讲就是一个策略，就是战略。战略再往下面来分，就是你有些标准，然后再有些程序，就是说我该细化怎么样做，做到什么样一个程度为止，实际上这个也是我们很多企业大家关注说做到哪个点是最好，实际上我们说到这个企业需要的，需要我们来控制风险的，来完善整个内部管理体系的，做到企业需要的地方就好了，做这个东西很多东西像安全一样，也是一个无底洞，你永远也做不完，永远也控制不完，但是是企业需要的，并且跟整个战略和业务是一致的，就OK了。

    主持人：谈到刚才这个话题又拉回来，可能刚才是加了一点东西，咱们拉回来，哪些人才有这种资格和CISA的认证，我肯定是不行，我感觉。

    田超波：CISA它是官方有一些要求，你要满一年的工作年限，并且当你申请这个证的时候要满一年的工作年限，有一定的学历，同时刚刚我讲到了，如果你做审计师的话，要求你的职业道德，职业审慎，这个必须是严格的要求，比如说你要有独立性，不能说我为公司做审计，公司说没问题就没问题，你要发表一些你独立性的意见，跟我们传统的审计也是一样的，站在公正的立场，客观去评判这个事务，然后就是说特别审计的知识和技能这一块，你要很好的掌握，CISA只是提供说你有这个知识方面的能力，但是具体的，实际上操作并不一定是仅仅凭一张证书就能够做所有的事情。

    主持人：我感觉你作为企业内部的人，你们做CISA的认证，可能有两层的含义，一个是对自己企业本身的评估和改善，另外是对外来咨询公司的一个验证，他们可能会给你们做这这种信息规划的时候，你会很清楚知道他们是不是合规，是不是能达到你们所需要的要求，我这两点是不是讲得很对。

    田超波：讲得很对，一个是我们在内部要起到风险控制的作用，同要保证IT的战略和企业的战略是一致的。同时针对IT的运营层面要确保有效，同时我们如果是正在跟第三方接触的时候，我们可以站在公正的立场来提供一些建议，从而为我们更好的比如说选择一些做方案的时候，做咨询的时候，选择一些解决方案提供商的时候，提供一些参考，一些意见。

    主持人：回到CISA的认证，它这个考试是分几个部分，可能从几个方面，每个方面占多大比例？
 
    田超波：它分为六个部分，占得最多的是对信息资产的保护，占了30%份额。从IT的审计过程到我们整个IT治理，再到软硬件生命周期，硬件的获取过程，到信息资产的保护，再到业务连续性，它分六个部分，根据它的重点同，分类也不同，大概是从10%到16%，最多是31%，就是信息资产保护，这样就构成了100%的比例。

    主持人：我更想问的是，从2008年开始培训，明天就要考试了，这个阶段可能马上要划一个句号了。从这个阶段来说，对你现在的工作有没有什么影响，对你做一些规划，或者内部信息化建设的时候，对你的思路是不是有一些调整？

    田超波：我觉得是非常有影响的，第一，通过CISA的学习，让我不仅仅是为了考这个证，为了考证而考证，通过学习，让我能够了解国外的一些先进经验是如何来做IT的战略规划的，哪些东西是我们，包括我也在做企业的内部信息化过程中，我也发现一个问题，为什么非常强调控制和内部风险这个事情。实际上我发现这个，我们公司也做一些比较大型的IT项目，实际上最近我也总结，国内和国外大的IT公司，实际上真正做下来，我觉得这个差别还是很大的，这里讲的不仅仅是说它的功能，大家做出来都没有问题。大家都可以实现，满足业务需求，但是真正要做到一些风险控制的时候，风险防范的时候，我觉得差别确实非常非常大，我通过做了几个项目之后，同时有一个整体的信息系统治理或者是管理，包括资产保护，这种整体的思想以后，平时在做工作规划也好，安排一些具体的事情也好，让我的思路更加清晰，做事情也更加有效率，同时我也从风险控制的角度来考虑一些问题。

    主持人：原来可能最早的时候，可能只看到树木，现在可以看到整个森林，可以有规范，有条理去看哪，留哪。

    田超波：对。

    主持人：从信息系统审计这个角度来考虑，他们一般企业信息化的信息系统，一般审计的话会有哪些方式和方法来做审计？

    田超波：一般它所有的审计都是基于风险评估，基于风险评估的方法，首先你的公司哪些需要保护的资产，比如说你有最重要肯定是支持公司运营的这些应用系统，实际上原先做审计的时候，肯定是审计你的纸张的财务报告，去翻你的帐，现在你的帐存在信息系统里面，存在你的数据库里面，这个数据库需要保护，需要你做访问控制，数据库运行在什么地方呢，运行在操作系统里面，Windows 、UNIX，运行在这个上面，操作系统也需要保护，操作在什么上建立，在硬件的平台上建立，这个硬件也需要保护，同时你要保证所有的用户能够访问，你这个网络也需要保护，你的服务器放在机柜里面，那个机柜也需要保护，机柜放在机房里面，这个建筑也需要保护，所以说它是一个整体，所有的都是从方法来讲，首先我评估哪些东西重要，然后评估它这个风险发生的可能性，评估它脆弱性，这个东西，比如说你没设口令，比如说原始初始的配置你什么都没有改，也可能别人一猜就能猜到，所以这些东西首先是有资产，然后再去分析它的脆弱性，然后分析它发生的可能性，这样去做出一些评价，这个是做IT审计这么一个过程。

    说到细呢，因为时间的关系，今天说到细不太可能，因为涉及的面太广了，从你的应用到控制点，太多了，刚刚说从数据库到服务器到机房环境，包括人员的职责分工，这个都是涉及到一些具体的内容。

    主持人：其实前一段时间我看到你写的一篇文章，你发给我说你写的一个内部文章，让我自己学习一下，不要传播。我看完就删掉了，中间写了911事件出现之后，有一个银行它就是很快的在异地马上开始办公，你能不能用这个例子阐述一下这个东西？

    田超波：实际上这也是对风险分析的一个很好的例子，大家知道911事件之后，我们在国际上讲什么大事情，都讲911以后怎么样，但是我们中国讲什么事情呢，讲非典以后怎么样，911以后，整个大楼都倒了，很多人在这里办公，大楼都倒了，你想想机房什么东西都没有了，如果没有做一个很好的风险分析说我们这个大楼永远不可能倒，大楼倒了，怎么样呢，有一家公司他做了异地的容灾，就是摩根斯坦利他做了在几公里的地方有一个备份中心，这个备份中心来同步它的主要的，主占领的一些业务，实际上他只用了一个星期的时间，它的业务就能恢复正常，这是一个很好的例子。要考虑到所有发生风险的可能性，尽可能考虑全，这也是国内和国外大公司的区别之一，我感觉从风险防范上来讲。

    主持人：可能我觉得这是一个企业，一个认识的过程，可能也是一个信息化发展的过程，咱们有一句俗语说吃一堑长一智，可能吃过亏之后，他就会长记性，不吃亏不长记性，今天由于时间的关系咱们就聊这么多。最后总结，由于信息技术它是国际性的，它没有国界，CISA是国际通用的，刚才你也说到了，全世界140多个国家和地区是可以通用这个认证，原来我们说学好数理化，走遍天下都不怕。咱们信息化可以改改，守着CISA，世界各地是我家，开个玩笑，十分感谢田总今天能够作客小崔下午茶，和我们一块聊CISA的事情，也预祝田总明天考试通过，顺利拿到认证。

    田超波：谢谢。