原創(chuàng)2024-07-10小艾老師

IT審計(jì)和傳統(tǒng)審計(jì)有什么不同嗎？IT審計(jì)有哪些方法呢？如何去進(jìn)行IT審計(jì)？

IT審計(jì)具體應(yīng)該怎么去做？…今天小艾老師就給大家介紹一些常見的IT審計(jì)方法（工具）。

01

先說一下IT審計(jì)的工作內(nèi)容。

不管是內(nèi)審還是外審，

IT 審計(jì)的工作可以分成“專項(xiàng)審計(jì)”和“支持工作”這兩大塊。

1）專項(xiàng)審計(jì)

專項(xiàng)審計(jì)，一般來說就是信息系統(tǒng)審計(jì)、信息安全審計(jì)以及其他專題的審計(jì)這些。

信息系統(tǒng)審計(jì)，想必大家已經(jīng)很熟悉了。它分為ITEC（公司層面控制）、ITGC（一般層面控制）和ITAC（應(yīng)用層面控制)這三個(gè)部分。之前小艾老師也寫過科普文章，點(diǎn)此回顧>>
信息安全審計(jì)的范圍比信息系統(tǒng)審計(jì)要大，一般就是按照 ISO27001 或者行業(yè)規(guī)范作為標(biāo)準(zhǔn)，來給被審計(jì)單位的信息安全情況做個(gè)整體評(píng)估。
其他的專題審計(jì)，就是因?yàn)楸粚徲?jì)單位或者監(jiān)管、管理層的要求，針對(duì)某個(gè)業(yè)務(wù)流程做的專門審計(jì)。

信息系統(tǒng)審計(jì)和信息安全審計(jì)有什么區(qū)別呢？

信息系統(tǒng)審計(jì)針對(duì)的是和信息系統(tǒng)有關(guān)的風(fēng)險(xiǎn)，

而信息安全審計(jì)針對(duì)的是和信息有關(guān)的風(fēng)險(xiǎn)。

舉例來說，

一份機(jī)密文件存在電腦，

這個(gè)與信息系統(tǒng)審計(jì)有關(guān)，也與信息安全審計(jì)有關(guān)。

但如果不存在電腦，而是打印在紙上或者記在人的腦子里，

這個(gè)會(huì)與信息安全審計(jì)有關(guān)，

信息系統(tǒng)審計(jì)則不包括這些，

因?yàn)榧埌?，人的腦子啊…這些超出了信息系統(tǒng)的范圍。

2）支持工作

IT 審計(jì)人員還有一些支持類的工作，

比如按照財(cái)務(wù)審計(jì)人員或者其他項(xiàng)目審計(jì)人員的要求，

做信息系統(tǒng)可靠性評(píng)估、數(shù)據(jù)提取還有大數(shù)據(jù)分析這些事兒。

02

接下來，我們?cè)賮碚f說IT審計(jì)的工具和流程。

1）IT審計(jì)的步驟

主要是4個(gè)步驟，包括：

審計(jì)立項(xiàng)，就是前期了解下審計(jì)的目標(biāo)和范圍，做好一些規(guī)劃和準(zhǔn)備工作。
收集信息與審查，包括數(shù)據(jù)收集與分析、文件審查、審計(jì)測(cè)試和面談等。
評(píng)估風(fēng)險(xiǎn)，評(píng)估測(cè)試的結(jié)果（或?qū)彶榻Y(jié)果），確定可能影響業(yè)務(wù)目標(biāo)和可持續(xù)性的風(fēng)險(xiǎn)，并與負(fù)責(zé)人溝通。
編寫報(bào)告，包括風(fēng)險(xiǎn)評(píng)估和改進(jìn)建議，做成報(bào)告（_后再跟蹤下整改情況）。

2）IT審計(jì)的工具

審計(jì)工具分成廣義的和狹義的。

廣義的包括審計(jì)底稿、分析辦法、溝通技巧、測(cè)試手段、應(yīng)用軟件這些。

狹義的就是是專門的軟件或系統(tǒng)。

下面小艾老師結(jié)合IT審計(jì)的4個(gè)基本步驟

來說一下有哪些主要的審計(jì)工具（方法）。

審計(jì)底稿：很多審計(jì)人員剛開始都會(huì)使用事務(wù)所里之前項(xiàng)目（或者之前前輩）留下的成型的底稿，這些底稿用起來很方便。但如果遇到一些全新的項(xiàng)目，就沒辦法了，需要自己來設(shè)計(jì)底稿。設(shè)計(jì)一個(gè)合格的審計(jì)底稿其實(shí)也不難，參考標(biāo)準(zhǔn)，如下。

審計(jì)測(cè)試：設(shè)計(jì)底稿之后，就要開始正式的審計(jì)工作了，前期工作的重點(diǎn)在于數(shù)據(jù)收集和分析、文件審查以及審計(jì)測(cè)試。這里說一下審計(jì)測(cè)試，主要有3種：穿行測(cè)試、控制測(cè)試以及實(shí)質(zhì)性測(cè)試。

審計(jì)發(fā)現(xiàn)：然后就是去發(fā)現(xiàn)問題了。想要發(fā)現(xiàn)審計(jì)線索，可以基于合規(guī)、風(fēng)險(xiǎn)以及治理這三個(gè)層面去審查，而且要看得仔細(xì)、會(huì)分析思考、能歸納整理就行了。

審計(jì)意見：在發(fā)現(xiàn)審計(jì)線索之后，就要意識(shí)到潛在的風(fēng)險(xiǎn)，并提出可行的審計(jì)意見。碰到?jīng)]見過的風(fēng)險(xiǎn)，就用動(dòng)態(tài)風(fēng)險(xiǎn)控制模型，從人員、流程、技術(shù)這三個(gè)方面琢磨怎么控制風(fēng)險(xiǎn)，再提出審計(jì)意見。

審計(jì)溝通：溝通技巧辦法挺多，像換位思考、注意語氣這些就不多講了。這里說一個(gè)特別有效的，叫降維溝通。就是別用我們的短板去跟人家的長處談，得用我們的長處去跟人家的短處談。比如跟技術(shù)人員說審計(jì)發(fā)現(xiàn)，別從技術(shù)的角度談，談不過的，得從更高的角度，比如從管理者的角度、風(fēng)險(xiǎn)的角度去說。

_后來說說IT審計(jì)方向的一些資質(zhì)認(rèn)證。

主要就3個(gè)認(rèn)證：

國內(nèi)的：CISP-A
國際的：CISA
國際的：ISO27001 Auditor

很多人不清楚它們之間的區(qū)別，來看一下對(duì)比圖：

在IT審計(jì)領(lǐng)域，

小艾老師建議_CISA國際信息系統(tǒng)審計(jì)師認(rèn)證，

至于ISO27001 Auditor以及 CISP-A，

可以根據(jù)自己的實(shí)際情況和需求，

有選擇性的安排學(xué)習(xí)就行了。

贊

時(shí)間費(fèi)用拎不清？一文帶你搞定CISA考試你是不是對(duì)CISA（Certified Information Systems Auditor，信息系統(tǒng)審計(jì)師認(rèn)證）很感興趣？你是不是想要成為一名專業(yè)的信息系統(tǒng)審計(jì)師，為企業(yè)提供高質(zhì)量的審計(jì)服務(wù)？你是不是對(duì)CISA考試的時(shí)間？獲取證書的 …...
IT審計(jì)師側(cè)記：我們是如何做到“人見人罵”的？研發(fā)部門：“本來項(xiàng)目就緊，還得整很多文件和數(shù)據(jù)，還得改流程，這不是添亂嘛！” 銷售部門：“哎呀，這 IT 審計(jì)要審核客戶系統(tǒng)，搞得我們都沒法及時(shí)跟客戶溝通了，訂單都要黃了！” 人力資源部門：“他們審他們 …...
看完這個(gè)，你就懂了！IT審計(jì)到底是干什么的？如何做好IT審計(jì)？ 01 大家應(yīng)該都知道財(cái)務(wù)審計(jì)，通俗講，就是查賬的。看一下公司賬上的數(shù)據(jù)是否準(zhǔn)確，每筆賬是否都能合理溯源。那IT審計(jì)到底是干什么的呢？它和財(cái)務(wù)審計(jì)有什么關(guān)系嗎？這么跟你說吧，現(xiàn)在很多公 …...
IT審計(jì)應(yīng)該怎么做？審計(jì)哪些東西？哪些是需要特別關(guān)注的？ 01 做IT 審計(jì)，一開始就是通過和被審計(jì)公司具體系統(tǒng)或平臺(tái)的技術(shù)負(fù)責(zé)人、業(yè)務(wù)負(fù)責(zé)人調(diào)研訪談，去了解被審計(jì)公司（項(xiàng)目）的建設(shè)背景、需求、目的、實(shí)施運(yùn)行的情況和效果，還有技術(shù)實(shí)現(xiàn)辦法、功能架構(gòu)、技術(shù) …...
IT審計(jì)師：我們是如何做到“人見人罵”的？在企業(yè)中，IT審計(jì)工作常常面臨各種挑戰(zhàn)，有些部門呢，對(duì)IT審計(jì)的不理解和不配合，使得IT審計(jì)師的工作備受困擾。那么，IT審計(jì)師究竟是如何將一份普通的工作干得這么招人討厭的呢？...今天咱們就來聊一聊IT審 …...
IT審計(jì)應(yīng)該怎么做？審計(jì)哪些東西？哪些是需要特別關(guān)注的？ IT審計(jì)應(yīng)該怎么做？審計(jì)哪些東西？哪些是需要特別關(guān)注的？ IT 審計(jì)具體應(yīng)該怎么做？要做哪些事情？需要審計(jì)哪些東西？IT審計(jì)的重點(diǎn)應(yīng)該放在哪些地方？……#IT審計(jì) #信息系統(tǒng)審計(jì)師 #CISA #認(rèn)證證書...