01

大家应该都知道财务审计，

通俗讲，就是查账的。

看一下公司账上的数据是否准确，

每笔账是否都能合理溯源。

那IT审计到底是干什么的呢？

它和财务审计有什么关系吗？

这么跟你说吧，

现在很多公司都会用到财务系统（比如ICP、用友啥的），

系统呢，会存储财务相关数据，

想要确保财务审计工作是有意义的，

那就要先确保这个系统是可靠的，对不对？

IT审计就是做这个的。

当然也不是只审计与财务有关的系统。

你可以把IT审计当作是对IT系统的一次全面的安全检查，

看看实施的 IT 控制措施，

能不能有效保护公司的资产，

能不能保证数据完整等等。

02

IT审计都做些什么呢？

大致可以分为三类：

ITEC（公司层面控制）、ITGC（一般层面控制）和ITAC（应用层面控制)。

其中EC、GC和coding无关，

更多依赖对IT治理和管控方法的掌握和运用。

AC中的抽样穿行测试，也跟技术沾不上边，

只要会excel的常用函数，就可以了。

相对硬核的，比如AC中的CAATs，

这个需要一定的业务理解以及coding能力。

03

下面重点说一下GC，因为广义上的信息安全审计就包含在GC中。

GC关注IT内部控制的有效性，一般从三个方面去衡量：

MA权限管理、MC变更管理、MO一般控制管理

MA看系统的密码策略、用户权限、特权账号等

是否采取了有效的控制和管理。

比如说系统的密码，有没有按规定设置复杂度。

还有小王有数据库A的管理员权限，是不是合理？

小李离职了，他的账号有没有注销等。

MC看系统功能或者版本变更

是不是有走了需求评审、开发、测试、上线审批之类的流程

并且能够在系统中看到这些流程的记录。

还需要看人员的职责分离情况，

比如，正常情况下，开发、测试和运维，

他不能是一拨人，不然可能会出问题。

MO是大家都喜欢做的部分，

因为简单，容易上手。

MO看数据库的备份情况，

比如说本地备份、异地备份，

有没有定期做数据恢复性测试等

04

再来简单说一下ITAC吧。

AC是IT应用层面控制，

关注IT系统一些具体功能设置的有效性。

比如，某收银系统的交易会经过系统A和系统B，

最终在ICP系统生成某个凭证。

那我要验证这件事的话，

就需要去收集某笔交易确实依次存在于系统A、系统B的截图，

以及该笔交易最终在ICP生成的凭证截图。

AC的审计工作会因行业的不同，

在测试内容以及测试难度上，

呈现出比较明显的差异性。

小艾老师打听了一圈，

貌似制造业的ITAC普遍都比较难做。

好了，以上就是关于IT审计非常基础的介绍。

想要了解更多或者有意向往IT审计岗位发展的话，

可以去学习一些相关课程，比如CISA。

也就是国际信息系统审计师认证。

CISA是控制与安全等专业领域中取得成绩的象征，

也是金融/投资/证券行业内审员以及“四大”的审计岗的不二之选。

最后给大家附上关于CISA考试的一些信息，大家可以截图保存。

左右滑动，了解更多