看完这个,你就懂了!IT审计到底是干什么的?如何做好IT审计?
IT审计是对企业IT系统进行全面的安全检查,评估IT控制措施能否有效保护资产、_数据完整,是数字化转型中_业务连续性与合规性的关键防线。
一、IT审计到底是什么?
大家应该都知道财务审计,
通俗讲,就是查账的。
看一下公司账上的数据是否准确,
每笔账是否都能合理溯源。
那IT审计到底是干什么的呢?
它和财务审计有什么关系吗?
这么跟你说吧,
现在很多公司都会用到财务系统(比如ICP、用友啥的),
系统呢,会存储财务相关数据,
想要确保财务审计工作是有意义的,
那就要先确保这个系统是可靠的,对不对?
IT审计就是做这个的。
当然也不是只审计与财务有关的系统。
你可以把IT审计当作是对IT系统的一次全面的安全检查,
看看实施的 IT 控制措施,
能不能有效保护公司的资产,
能不能_数据完整等等。
二、IT审计都做些什么?
IT审计都做些什么呢?
大致可以分为三类:
ITEC(公司层面控制)、ITGC(一般层面控制)和ITAC(应用层面控制)。
其中EC、GC和coding无关,
更多依赖对IT治理和管控方法的掌握和运用。
AC中的抽样穿行测试,也跟技术沾不上边,
只要会excel的常用函数,就可以了。
相对硬核的,比如AC中的CAATs,
这个需要一定的业务理解以及coding能力。
三、ITGC:信息安全审计的核心
下面重点说一下GC,因为广义上的信息安全审计就包含在GC中。
GC关注IT内部控制的有效性,一般从三个方面去衡量:
MA权限管理、MC变更管理、MO一般控制管理
MA看系统的密码策略、用户权限、特权账号等
是否采取了有效的控制和管理。
比如说系统的密码,有没有按规定设置复杂度。
还有小王有数据库A的管理员权限,是不是合理?
小李离职了,他的账号有没有注销等。
MC看系统功能或者版本变更
是不是有走了需求评审、开发、测试、上线审批之类的流程
并且能够在系统中看到这些流程的记录。
还需要看人员的职责分离情况,
比如,正常情况下,开发、测试和运维,
他不能是一拨人,不然可能会出问题。
MO是大家都喜欢做的部分,
因为简单,容易上手。
MO看数据库的备份情况,
比如说本地备份、异地备份,
有没有定期做数据恢复性测试等
四、ITAC:应用层面控制
再来简单说一下ITAC吧。
AC是IT应用层面控制,
关注IT系统一些具体功能设置的有效性。
比如,某收银系统的交易会经过系统A和系统B,
蕞终在ICP系统生成某个凭证。
那我要验证这件事的话,
就需要去收集某笔交易确实依次存在于系统A、系统B的截图,
以及该笔交易蕞终在ICP生成的凭证截图。
AC的审计工作会因行业的不同,
在测试内容以及测试难度上,
呈现出比较明显的差异性。
小艾老师打听了一圈,
貌似制造业的ITAC普遍都比较难做。
想系统掌握IT审计?CISA是绕不开的权威认证
CISA(国际信息系统审计师)由ISACA颁发,是IT审计领域的"黄金证书",在IT审计、控制、安全、风控与合规领域享有国际范围的广泛认可。全球持证人平均年薪超$110K,约49%处于企业管理层。
艾威培训是ISACA_培训机构及ISACA白金合作伙伴,ISACA中国官网可查。艾威长期深耕信息系统审计、信息安全、IT治理、风险管理方向,覆盖CISA、CISM、CRISC、CGEIT等ISACA全系列课程,并连续多年获得ISACA卓越教育奖。
好了,以上就是关于IT审计非常基础的介绍。
想要了解更多或者有意向往IT审计岗位发展的话,
可以去学习一些相关课程,比如CISA。
CISA是控制与安全等专业领域中取得成绩的象征,
也是金融/投资/证券行业内审员以及"四大"的审计岗的不二之选。
蕞后给大家附上关于CISA考试的一些信息,大家可以截图保存。
