400-888-5228

CISA认证是由信息系统审计与控制协会(ISACA)颁发的,针对信息系统审计、控制与安全领域的专业认证。它表明持证人在评估和审计信息系统的安全性、可靠性和有效性方面具备专业知识和技能。CISA 认证在信息技术和审计领域具有较高的认可度。

  • 中文名CISA信息系统审计师认证
  • 英文名Certified Information Systems Auditor
  • 英文简称CISA
  • 颁证机构ISACA(国际信息系统审计与控制协会)
  • 证书类别IT审计,IT运维,信息安全
  • 同类认证CISMCRISC

IT审计和传统审计有什么不同吗?IT审计有哪些方法呢?如何去进行IT审计?

IT审计具体应该怎么去做?…今天小艾老师就给大家介绍一些常见的IT审计方法(工具)。

01

先说一下IT审计的工作内容。

不管是内审还是外审,

IT 审计的工作可以分成“专项审计”“支持工作”这两大块。

一看就懂的 IT 审计知识:基本步骤、方法和工具详解 -- 第1张

1)专项审计

专项审计,一般来说就是信息系统审计、信息安全审计以及其他专题的审计这些。

  • 信息系统审计,想必大家已经很熟悉了。它分为ITEC(公司层面控制)、ITGC(一般层面控制)和ITAC(应用层面控制)这三个部分。之前小艾老师也写过科普文章,点此回顾>>
  • 信息安全审计的范围比信息系统审计要大,一般就是按照 ISO27001 或者行业规范作为标准,来给被审计单位的信息安全情况做个整体评估。
  • 其他的专题审计,就是因为被审计单位或者监管、管理层的要求,针对某个业务流程做的专门审计。

信息系统审计和信息安全审计有什么区别呢?

信息系统审计针对的是和信息系统有关的风险,

而信息安全审计针对的是和信息有关的风险。

举例来说,

一份机密文件存在电脑,

这个与信息系统审计有关,也与信息安全审计有关。

但如果不存在电脑,而是打印在纸上或者记在人的脑子里,

这个会与信息安全审计有关,

信息系统审计则不包括这些,

因为纸啊,人的脑子啊…这些超出了信息系统的范围。

2)支持工作

IT 审计人员还有一些支持类的工作,

比如按照财务审计人员或者其他项目审计人员的要求,

信息系统可靠性评估数据提取还有大数据分析这些事儿。

02

接下来,我们再来说说IT审计的工具和流程

1)IT审计的步骤

一看就懂的 IT 审计知识:基本步骤、方法和工具详解 -- 第2张

主要是4个步骤,包括:

  • 审计立项,就是前期了解下审计的目标和范围,做好一些规划和准备工作。
  • 收集信息与审查,包括数据收集与分析、文件审查、审计测试和面谈等。
  • 评估风险,评估测试的结果(或审查结果),确定可能影响业务目标和可持续性的风险,并与负责人沟通。
  • 编写报告,包括风险评估和改进建议,做成报告(_后再跟踪下整改情况)。

2)IT审计的工具

审计工具分成广义的和狭义的。

广义的包括审计底稿、分析办法、沟通技巧、测试手段、应用软件这些。

狭义的就是是专门的软件或系统

下面小艾老师结合IT审计的4个基本步骤

来说一下有哪些主要的审计工具(方法)。

  • 审计底稿:很多审计人员刚开始都会使用事务所里之前项目(或者之前前辈)留下的成型的底稿,这些底稿用起来很方便。但如果遇到一些全新的项目,就没办法了,需要自己来设计底稿。设计一个合格的审计底稿其实也不难,参考标准,如下。

一看就懂的 IT 审计知识:基本步骤、方法和工具详解 -- 第3张

  • 审计测试:设计底稿之后,就要开始正式的审计工作了,前期工作的重点在于数据收集和分析、文件审查以及审计测试。这里说一下审计测试,主要有3种:穿行测试、控制测试以及实质性测试

一看就懂的 IT 审计知识:基本步骤、方法和工具详解 -- 第4张

  • 审计发现:然后就是去发现问题了。想要发现审计线索,可以基于合规、风险以及治理这三个层面去审查,而且要看得仔细、会分析思考、能归纳整理就行了。

一看就懂的 IT 审计知识:基本步骤、方法和工具详解 -- 第5张

  • 审计意见:在发现审计线索之后,就要意识到潜在的风险,并提出可行的审计意见。碰到没见过的风险,就用动态风险控制模型,从人员、流程、技术这三个方面琢磨怎么控制风险,再提出审计意见。

一看就懂的 IT 审计知识:基本步骤、方法和工具详解 -- 第6张

  • 审计沟通:沟通技巧办法挺多,像换位思考、注意语气这些就不多讲了。这里说一个特别有效的,叫降维沟通。就是别用我们的短板去跟人家的长处谈,得用我们的长处去跟人家的短处谈。比如跟技术人员说审计发现,别从技术的角度谈,谈不过的,得从更高的角度,比如从管理者的角度、风险的角度去说。

03

_后来说说IT审计方向的一些资质认证。

主要就3个认证:

  • 国内的:CISP-A
  • 国际的:CISA
  • 国际的:ISO27001 Auditor

很多人不清楚它们之间的区别,来看一下对比图:

一看就懂的 IT 审计知识:基本步骤、方法和工具详解 -- 第7张

在IT审计领域,

小艾老师建议_CISA国际信息系统审计师认证

至于ISO27001 Auditor以及 CISP-A,

可以根据自己的实际情况和需求,

有选择性的安排学习就行了。

 

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

  • 2024-07-02 20:00
    职场故事:关于冶金运营服务数字化平台的应用,我的一些经验和思考
  • 2024-07-04 20:00
    IT审计必看!解读CISA最新改版:第28版教材和考试变化、行业趋势及未来展望
  • 2024-07-10 20:00
    职场故事:从0到1,新人项目经理的成长之路以及我的一些心得
  • 2024-07-11 20:00
    财务运营管理领域的数字化转型:解读财务BA的核心角色与“财务转型”策略
  • 2024-07-16 20:00
    职场故事:我是如何用4A架构做好数字化规划的?分享一些实例
  • 2024-07-17 14:00
    全面解读CSMP项目管理证书:免考换证是怎么回事?与PMP、软考的区别?我该考哪个?
  • 2024-07-18 20:00
    需求的全生命周期管理:工具在手,细节无忧
  • 2024-07-23 20:00
    产品上市管理:从战略到产品上市,构建卓越的产品开发流程
  • 2024-07-24 20:00
    从业务的视角看敏捷
  • 2024-07-26 14:00
    周五课堂:如何驾驭项目复杂性?
  • 2024-07-30 20:00
    精益求精:掌握流程优化的关键策略
  • 更多直播讲座
    小艾老师还在安排中…
查看全部 >

扫码一键预约全部

查看更多 > 查看更多 >

数字化转型8大核心认证

  1. PMP项目管理认证

    艾威最近一期班: 针对2024年08月考试
  2. CBAP业务分析认证

    艾威最近一期班·开课时间: 2024-07-27
  3. CBPP流程管理认证

    艾威最近一期班·开课时间: 2024-08-31
  4. ITIL4 IT管理认证

    艾威最近一期班·开课时间: 2024-07-27
  5. TOGAF企业架构认证

    艾威最近一期班·开课时间: 详询
  6. CDMP数据管理认证

    艾威最近一期班·开课时间: 2024-08-24
  7. CISA信息安全审计师认证

    艾威最近一期班·开课时间: 2024-07-27
  8. CISSP信息安全专家认证

    艾威最近一期班·开课时间: 2024-08-24
近期课程安排