400-888-5228

IT審計(jì)和傳統(tǒng)審計(jì)有什么不同嗎?IT審計(jì)有哪些方法呢?如何去進(jìn)行IT審計(jì)?

IT審計(jì)具體應(yīng)該怎么去做?…今天小艾老師就給大家介紹一些常見的IT審計(jì)方法(工具)。

01

先說一下IT審計(jì)的工作內(nèi)容。

不管是內(nèi)審還是外審,

IT 審計(jì)的工作可以分成“專項(xiàng)審計(jì)”“支持工作”這兩大塊。

一看就懂的 IT 審計(jì)知識(shí):基本步驟、方法和工具詳解 -- 第1張

1)專項(xiàng)審計(jì)

專項(xiàng)審計(jì),一般來說就是信息系統(tǒng)審計(jì)、信息安全審計(jì)以及其他專題的審計(jì)這些。

  • 信息系統(tǒng)審計(jì),想必大家已經(jīng)很熟悉了。它分為ITEC(公司層面控制)、ITGC(一般層面控制)和ITAC(應(yīng)用層面控制)這三個(gè)部分。之前小艾老師也寫過科普文章,點(diǎn)此回顧>>
  • 信息安全審計(jì)的范圍比信息系統(tǒng)審計(jì)要大,一般就是按照 ISO27001 或者行業(yè)規(guī)范作為標(biāo)準(zhǔn),來給被審計(jì)單位的信息安全情況做個(gè)整體評(píng)估。
  • 其他的專題審計(jì),就是因?yàn)楸粚徲?jì)單位或者監(jiān)管、管理層的要求,針對(duì)某個(gè)業(yè)務(wù)流程做的專門審計(jì)。

信息系統(tǒng)審計(jì)和信息安全審計(jì)有什么區(qū)別呢?

信息系統(tǒng)審計(jì)針對(duì)的是和信息系統(tǒng)有關(guān)的風(fēng)險(xiǎn),

而信息安全審計(jì)針對(duì)的是和信息有關(guān)的風(fēng)險(xiǎn)。

舉例來說,

一份機(jī)密文件存在電腦,

這個(gè)與信息系統(tǒng)審計(jì)有關(guān),也與信息安全審計(jì)有關(guān)。

但如果不存在電腦,而是打印在紙上或者記在人的腦子里,

這個(gè)會(huì)與信息安全審計(jì)有關(guān),

信息系統(tǒng)審計(jì)則不包括這些,

因?yàn)榧埌?,人的腦子啊…這些超出了信息系統(tǒng)的范圍。

2)支持工作

IT 審計(jì)人員還有一些支持類的工作,

比如按照財(cái)務(wù)審計(jì)人員或者其他項(xiàng)目審計(jì)人員的要求,

信息系統(tǒng)可靠性評(píng)估、數(shù)據(jù)提取還有大數(shù)據(jù)分析這些事兒。

02

接下來,我們?cè)賮碚f說IT審計(jì)的工具和流程。

1)IT審計(jì)的步驟

一看就懂的 IT 審計(jì)知識(shí):基本步驟、方法和工具詳解 -- 第3張

主要是4個(gè)步驟,包括:

  • 審計(jì)立項(xiàng),就是前期了解下審計(jì)的目標(biāo)和范圍,做好一些規(guī)劃和準(zhǔn)備工作。
  • 收集信息與審查,包括數(shù)據(jù)收集與分析、文件審查、審計(jì)測(cè)試和面談等。
  • 評(píng)估風(fēng)險(xiǎn),評(píng)估測(cè)試的結(jié)果(或?qū)彶榻Y(jié)果),確定可能影響業(yè)務(wù)目標(biāo)和可持續(xù)性的風(fēng)險(xiǎn),并與負(fù)責(zé)人溝通。
  • 編寫報(bào)告,包括風(fēng)險(xiǎn)評(píng)估和改進(jìn)建議,做成報(bào)告(_后再跟蹤下整改情況)。

2)IT審計(jì)的工具

審計(jì)工具分成廣義的和狹義的。

廣義的包括審計(jì)底稿、分析辦法、溝通技巧、測(cè)試手段、應(yīng)用軟件這些。

狹義的就是是專門的軟件或系統(tǒng)。

下面小艾老師結(jié)合IT審計(jì)的4個(gè)基本步驟

來說一下有哪些主要的審計(jì)工具(方法)。

  • 審計(jì)底稿:很多審計(jì)人員剛開始都會(huì)使用事務(wù)所里之前項(xiàng)目(或者之前前輩)留下的成型的底稿,這些底稿用起來很方便。但如果遇到一些全新的項(xiàng)目,就沒辦法了,需要自己來設(shè)計(jì)底稿。設(shè)計(jì)一個(gè)合格的審計(jì)底稿其實(shí)也不難,參考標(biāo)準(zhǔn),如下。

一看就懂的 IT 審計(jì)知識(shí):基本步驟、方法和工具詳解 -- 第5張

  • 審計(jì)測(cè)試:設(shè)計(jì)底稿之后,就要開始正式的審計(jì)工作了,前期工作的重點(diǎn)在于數(shù)據(jù)收集和分析、文件審查以及審計(jì)測(cè)試。這里說一下審計(jì)測(cè)試,主要有3種:穿行測(cè)試、控制測(cè)試以及實(shí)質(zhì)性測(cè)試。

一看就懂的 IT 審計(jì)知識(shí):基本步驟、方法和工具詳解 -- 第7張

  • 審計(jì)發(fā)現(xiàn):然后就是去發(fā)現(xiàn)問題了。想要發(fā)現(xiàn)審計(jì)線索,可以基于合規(guī)、風(fēng)險(xiǎn)以及治理這三個(gè)層面去審查,而且要看得仔細(xì)、會(huì)分析思考、能歸納整理就行了。

一看就懂的 IT 審計(jì)知識(shí):基本步驟、方法和工具詳解 -- 第9張

  • 審計(jì)意見:在發(fā)現(xiàn)審計(jì)線索之后,就要意識(shí)到潛在的風(fēng)險(xiǎn),并提出可行的審計(jì)意見。碰到?jīng)]見過的風(fēng)險(xiǎn),就用動(dòng)態(tài)風(fēng)險(xiǎn)控制模型,從人員、流程、技術(shù)這三個(gè)方面琢磨怎么控制風(fēng)險(xiǎn),再提出審計(jì)意見。

一看就懂的 IT 審計(jì)知識(shí):基本步驟、方法和工具詳解 -- 第11張

  • 審計(jì)溝通:溝通技巧辦法挺多,像換位思考、注意語氣這些就不多講了。這里說一個(gè)特別有效的,叫降維溝通。就是別用我們的短板去跟人家的長處談,得用我們的長處去跟人家的短處談。比如跟技術(shù)人員說審計(jì)發(fā)現(xiàn),別從技術(shù)的角度談,談不過的,得從更高的角度,比如從管理者的角度、風(fēng)險(xiǎn)的角度去說。

03

_后來說說IT審計(jì)方向的一些資質(zhì)認(rèn)證。

主要就3個(gè)認(rèn)證:

  • 國內(nèi)的:CISP-A
  • 國際的:CISA
  • 國際的:ISO27001 Auditor

很多人不清楚它們之間的區(qū)別,來看一下對(duì)比圖:

一看就懂的 IT 審計(jì)知識(shí):基本步驟、方法和工具詳解 -- 第13張

在IT審計(jì)領(lǐng)域,

小艾老師建議_CISA國際信息系統(tǒng)審計(jì)師認(rèn)證,

至于ISO27001 Auditor以及 CISP-A,

可以根據(jù)自己的實(shí)際情況和需求,

有選擇性的安排學(xué)習(xí)就行了。

 

發(fā)表回復(fù)

您的電子郵箱地址不會(huì)被公開。 必填項(xiàng)已用*標(biāo)注

  • 2024-09-26 20:00
    職場故事:從戰(zhàn)略規(guī)劃到項(xiàng)目管理交付
  • 2024-10-10 20:00
    解決方案評(píng)價(jià):評(píng)估解決方案的高效績效工具
  • 2024-10-15 20:00
    研發(fā)績效管理:組織戰(zhàn)略如何解碼到績效指標(biāo)?組織績效與個(gè)人績效管理
  • 2024-10-17 20:00
    科學(xué)的降本增效
  • 2024-10-22 20:00
    職場故事:“煉金術(shù)”與數(shù)字的交響曲:一位化學(xué)研發(fā)工程師的職業(yè)升級(jí)之旅
  • 2024-10-24 20:00
    助力財(cái)務(wù)運(yùn)營自動(dòng)化:機(jī)器人流程自動(dòng)化(RPA)技術(shù)的實(shí)際應(yīng)用
  • 2024-10-29 20:00
    職場故事:從在日工作的經(jīng)驗(yàn)教訓(xùn)談職場需要的技能
  • 2024-10-30 20:00
    嚴(yán)謹(jǐn)求實(shí):安全評(píng)估和測(cè)試
  • 2024-10-31 20:00
    什么是數(shù)據(jù)標(biāo)準(zhǔn)?如何制定數(shù)據(jù)標(biāo)準(zhǔn)?這份指南送上
  • 更多直播講座
    小艾老師還在安排中…
查看全部 >

掃碼一鍵預(yù)約全部

查看更多 > 查看更多 >

數(shù)字化轉(zhuǎn)型8大核心認(rèn)證

  1. PMP項(xiàng)目管理認(rèn)證

    艾威最近一期班: 針對(duì)2025年03月考試
  2. CBAP業(yè)務(wù)分析認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-11-23
  3. CBPP流程管理認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-12-07
  4. ITIL4 IT管理認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-10-26
  5. TOGAF企業(yè)架構(gòu)認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-11-02
  6. CDMP數(shù)據(jù)管理認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-11-23
  7. CISA信息安全審計(jì)師認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-12-01
  8. CISSP信息安全專家認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-11-16
近期課程安排