一看就懂的 IT 审计知识：基本步骤、方法和工具详解

IT审计和传统审计有什么不同吗？IT审计有哪些方法呢？如何去进行IT审计？

IT审计具体应该怎么去做？…今天小艾老师就给大家介绍一些常见的IT审计方法（工具）。

一

先说一下IT审计的工作内容。

不管是内审还是外审，

IT 审计的工作可以分成"专项审计"和"支持工作"这两大块。

1）专项审计

专项审计，一般来说就是信息系统审计、信息安全审计以及其他专题的审计这些。

• 信息系统审计，想必大家已经很熟悉了。它分为ITEC（公司层面控制）、ITGC（一般层面控制）和ITAC（应用层面控制)这三个部分。之前小艾老师也写过科普文章，点此回顾>>
• 信息安全审计的范围比信息系统审计要大，一般就是按照 ISO27001 或者行业规范作为标准，来给被审计单位的信息安全情况做个整体评估。
• 其他的专题审计，就是因为被审计单位或者监管、管理层的要求，针对某个业务流程做的专门审计。

信息系统审计和信息安全审计有什么区别呢？

信息系统审计针对的是和信息系统有关的风险，

而信息安全审计针对的是和信息有关的风险。

举例来说，

一份机密文件存在电脑，

这个与信息系统审计有关，也与信息安全审计有关。

但如果不存在电脑，而是打印在纸上或者记在人的脑子里，

这个会与信息安全审计有关，

信息系统审计则不包括这些，

因为纸啊，人的脑子啊…这些超出了信息系统的范围。

2）支持工作

IT 审计人员还有一些支持类的工作，

比如按照财务审计人员或者其他项目审计人员的要求，

做信息系统可靠性评估、数据提取还有大数据分析这些事儿。

二

接下来，我们再来说说IT审计的工具和流程。

1）IT审计的步骤

主要是4个步骤，包括：

• 审计立项，就是前期了解下审计的目标和范围，做好一些规划和准备工作。
• 收集信息与审查，包括数据收集与分析、文件审查、审计测试和面谈等。
• 评估风险，评估测试的结果（或审查结果），确定可能影响业务目标和可持续性的风险，并与负责人沟通。
• 编写报告，包括风险评估和改进建议，做成报告（最后再跟踪下整改情况）。

2）IT审计的工具

审计工具分成广义的和狭义的。

广义的包括审计底稿、分析办法、沟通技巧、测试手段、应用软件这些。

狭义的就是是专门的软件或系统。

下面小艾老师结合IT审计的4个基本步骤

来说一下有哪些主要的审计工具（方法）。

• 审计底稿：很多审计人员刚开始都会使用事务所里之前项目（或者之前前辈）留下的成型的底稿，这些底稿用起来很方便。但如果遇到一些全新的项目，就没办法了，需要自己来设计底稿。设计一个合格的审计底稿其实也不难，参考标准，如下。

• 审计测试：设计底稿之后，就要开始正式的审计工作了，前期工作的重点在于数据收集和分析、文件审查以及审计测试。这里说一下审计测试，主要有3种：穿行测试、控制测试以及实质性测试。

• 审计发现：然后就是去发现问题了。想要发现审计线索，可以基于合规、风险以及治理这三个层面去审查，而且要看得仔细、会分析思考、能归纳整理就行了。

• 审计意见：在发现审计线索之后，就要意识到潜在的风险，并提出可行的审计意见。碰到没见过的风险，就用动态风险控制模型，从人员、流程、技术这三个方面琢磨怎么控制风险，再提出审计意见。

• 审计沟通：沟通技巧办法挺多，像换位思考、注意语气这些就不多讲了。这里说一个特别有效的，叫降维沟通。就是别用我们的短板去跟人家的长处谈，得用我们的长处去跟人家的短处谈。比如跟技术人员说审计发现，别从技术的角度谈，谈不过的，得从更高的角度，比如从管理者的角度、风险的角度去说。

三

最后来说说IT审计方向的一些资质认证。

主要就3个认证：

• 国内的：CISP-A
• 国际的：CISA
• 国际的：ISO27001 Auditor

很多人不清楚它们之间的区别，来看一下对比图：

在IT审计领域，

小艾老师建议首选CISA国际信息系统审计师认证，

至于ISO27001 Auditor以及 CISP-A，

可以根据自己的实际情况和需求，

有选择性的安排学习就行了。