四大的系统审计之我见

雷慢弟弟 · 发表于 2009-2-4 10:30

compliance的项目，能有多少技术含量

tragon · 发表于 2009-2-4 10:43

从事IT审计。和四大的审计及咨询都接触过，我也有同感，四大提出的很少有我们耳目一新的发现或者建议。
在给我们做培训的时候，一套一套的，把领导们都忽悠晕呼了，结果一拿到项目，能力和实力实在不敢恭维。要说证书，他们一套一套的，正如某个人获得CISA后说了一句“不知道下一步该做什么”。
IT审计建议还是由IT人员从事比较好，这个IT人员要非常精通IT，同时要懂得审计和管理，然后学点IT咨询方面的，可以将问题和风险放大（所谓有高度吧）。

appppa · 发表于 2009-2-5 13:10

原帖由 tragon 于 2009-2-4 10:43 发表
从事IT审计。和四大的审计及咨询都接触过，我也有同感，四大提出的很少有我们耳目一新的发现或者建议。
在给我们做培训的时候，一套一套的，把领导们都忽悠晕呼了，结果一拿到项目，能力和实力实在不敢恭维。要说证书，他们一套一套的，正如某个人获得CISA后说了一句“不知道下一步该做什么”。
IT审计建议还是由IT人员从事比较好，这个IT人员要非常精通IT，同时要懂得审计和管理，然后学点IT咨询方面的，可以将问题和风险放大（所谓有高度吧）。

非常精通IT这个比较难
-----------------------
做了一段时间的外审，有些感触。
Auditee对外审人员貌似有一定的抵触心理。你们来了，我们就接待你们。你们要什么材料，能给的就给，能不给就不给。
觉得参与审计的双方都应该积极点，一方积极配合，另一方积极学习主动改变现状。

appppa · 发表于 2009-2-5 13:13

原帖由 雷慢弟弟 于 2009-2-4 10:30 发表
compliance的项目，能有多少技术含量

如果拿着条条框框做complicance难免被BS。
要做到100%满足要求很难。
没有技术知识很难评估什么情况为最佳或较佳。

davidecnu · 发表于 2009-2-6 18:52

学习

cnalexmin · 发表于 2009-2-8 23:38

没有接触过国内的BIG 4 IT AUDIT, 但是接触过新加坡和英国的 KPMG 和 PWC 和 EY, 感觉他们来的IT AUDIT 方面是还OK. 毕竟IT 这么多东西, 就OS DB 还有企业的COMPLIANCE APPLICATION 就多种多样. 哪怕是做IT 出身的也不能完全掌握. 更何况他们. IT AUDIT 特别是SOX ITGC AUDIT, 不像 SECURITY AUDIT, RUN 一个程序就自己出个REPORT. 他们很多时间都花在流程管理, 了解企业的运作, 和程序的SECURITY 和AUDIT TRAIL, LOGICAL/PHYSICAL ACCESS, ETC. 总的来说, 我感觉现在那些上市公司, 都是为了为了过AUDIT 而做能过AUDIT 和 CONTROL; 没有真的愿意花RESOURCES 去系统地管理. CISA 感觉很全面地展现了IT AUDIT 的方方面面, 蛮有参考价值.

cxqwin · 发表于 2009-3-31 17:11

自己原来也是一直从事IT，开发也做过，管理也做过，业务分析师也做过，测试管理也做过。现在转行做IT审计了，感觉很多事情跟原来真的不一样。学习的东西很多，IT审计我非常认同上面各位说的，IT审计最应该下手的地方就是控制，内部控制做好了，风险基本就排除了。曾经也参加过很多培训，看过很多IT审计方面的书籍。
IT审计这行业现在交流的人太少了，有共同语言的人也太少了，希望跟各位高手交流，本人MSN：sz_cxqwin@hotmail.com

Tivolier · 发表于 2009-3-31 22:46

原帖由 落日孤帆 于 2008-12-2 23:36 发表
最后再补一句，人家做技术的，看不起我们IT审计师，我觉得就目前的状况来讲，看不起是对的~要想让人家看起，还是补强咱们自己

完全赞同～

superkeyuser · 发表于 2009-4-2 12:00

学习呀！

wanderingcat · 发表于 2009-4-2 14:35

顶～～有些道理。。

四大的系统审计之我见

回复 #16 walkincloud 的帖子

浏览过的版块