有没有人考今年12月的CISA?或者已经考过的分享经验？

poloand.

原帖由 qqyang 于 2007-8-7 15:01 发表
以前的manager？一定要IT manager么？audit manager行不行？如果行的话，也没问题的。
audit manager当然更好。我从来没有做过audit，所以把自己都归结到第三类。

qqyang.

其实不用5年system audit经验。
5年的经验，可以用学士学位抵消2年，可以用operational/financial audit经验抵消1年，只要2年经验就好了。

luweiyan.

只要找一个是ISACA的会员就可以了。

qqyang.

这个就难说了.......

coolioo.

做IT开发的考这个有用吗？？

月亮.

原帖由 coolioo 于 2007-8-7 15:44 发表
做IT开发的考这个有用吗？？
好像没什么用吧。

qqyang.

原帖由 coolioo 于 2007-8-7 15:44 发表
做IT开发的考这个有用吗？？
因为Segregation of Duties的issue，趋势是搞IT开发的不能安排做IT Audit，做IT audit不能安排做IT开发。

poloand.

原帖由 coolioo 于 2007-8-7 15:44 发表
做IT开发的考这个有用吗？？
原帖由 月亮 于 2007-8-7 15:52 发表
好像没什么用吧。
举一个例子。我以前工作的一个公司经常有数据录入错误的情况，然后就要找IT部门修改数据。大家就考虑做一个可以修改数据的模块，但是模块的使用要经过适当授权。授权的过程大体要经过数据修改员申请，IT、业务经理审批、程序员复核（防止修改的数据不完整或者引起程序出错）。但是由于很多小的分支机构数据修改员就是程序员，甚至IT经理就是业务经理，IT部门就提出了一个最少岗位的规定，要求所有机构配备人数不得少于多少人。虽然这个荒唐的规定得以通过并且执行，但是引起了很多怨言。分支机构认为，这样增加了他们的成本，而且，人少/高效率是没有错的。
如果现在让我涉及这个系统，我会有不同的思路。个人感觉还是有用处的。但是不同类型的系统可能有很大不同。比如，你在做一个银行的交易系统，可能随时都会考虑到一些安全的因素，尽管你只是一个最简单的coding。如果是一个PC game，估计一点用处都没有。

qqyang.

原帖由 poloand 于 2007-8-7 16:53 发表
举一个例子。我以前工作的一个公司经常有数据录入错误的情况，然后就要找IT部门修改数据。大家就考虑做一个可以修改数据的模块，但是模块的使用要经过适当授权。授权的过程大体要经过数据修改员申请，IT、 ...
我想，这更像是CISM，而CISA主要是针对auditor。

poloand.

原帖由 qqyang 于 2007-8-7 15:52 发表
因为Segregation of Duties的issue，趋势是搞IT开发的不能安排做IT Audit，做IT audit不能安排做IT开发。
如果这样去考试就比较玄乎了。