IT专业背景的人们啊,你们郁闷么!!!

markbull

我对于IT AUDIT的理解它是对于IT系统的控制层面，风险方面的加强，确实是一个边缘学科。

知识体系：
审计的知识和概念（AUDITSENSE）
财务系统的知识
IT的知识（安全访问，开发过程）
风险的分析
项目管理的理念

其中工作方法是使用项目管理的理念来进行一个公司IT部分的审计（包括基础架构，安全访问控制，开发管理，最终用户操作，系统用户管理等），并且充分考虑系统的风险分析。

重点在于关注整个IT系统是否可以控制的，所有操作是否是授权的，有记录的，可以追溯的。

anyuan001

attaman

最初由 pgfish 发布
[B]

呵呵，看来还是不小心得罪了你呀，对不起啊。

[/B]

呵呵，这位坛友言重了，无所谓得罪和对不起，不过是一篇不同看法的讨论贴而已。如果可能的话，你可否给出一些关于“不择手段”的具体建议或者举出一两个具体案例来给大家分析分析？

平衡木乖乖

看了上述GGJJ的发言，偶很受启发和长进，太喜欢这种言论自由的地方了，关于CISA或IS/ITaudit的讨论真少，多看看，多分析，多长进。。。：）

pgfish

好呀，我们就举个例子吧

例如，在这样一个企业

韩资或台资吧，在上海或苏州的制造厂
管理层非常敏感于生产进度，市场占有率，销售等情况
管理层并不了解SDLC（system develpoment life cycle）
工厂有自己的系统开发人员


有这样一种情况:

工厂的ERP有很多自己开发的reporting system，其更改与上线完全没有安全控制的概念，而是一味地追求效率

这些reporting system直接影响到财务报表，甚至管理层的决策，

这些reporting system以往曾经出现过错误

但是管理层并无在乎，因为管理层缺乏SDLC的常识，很难理解错误的原因，而且IT的人力资源有限，管理层无心增加人手，反正销售平稳增长，报表错误目前也没有实际地影响到公司的收入



问题：
有什么有力的办法可以帮助管理层认识到错误的影响，并且促使他们加强控制？

markbull

对于这个问题，我们很容易发现财务AUDIT与IT  AUDIT的联系了。
实际上，除了IT企业的老总没有一个CEO去关心SDLC的概念。但是如果说到财务报表的准确性，管理层中的CFO或者负责财务的老总就不能袖手旁观了。
可能的做法是：
财务审计通过对于财务报表从科目和时间两个维度展开审计，SAMPLING，最后的结论是系统中的财务报表无法与最终的凭证等数据相匹配，而配合工作的IT审计从IT角度给出的解释是开发商在实施的时候没有采用SDLC，报表开发版本，质量，准确性无法保证。
在这个时候管理层就会自己或者责成IT人员开始pay attention on IT AUDIT和相关的方法。

hellowell

感谢楼上各位, 我基本已经得到答案:

以下为自觉比较受用的关键词:

1)  attaman  - 现在哪些人在做专业的IT审计？/应该由什么样的人做专业的IT审计？
   quote: 感觉很多IT人还比较希望接触 IT审计的, 这条路比较容易接近"上层建筑",
                有点曲线救国的味道. 看来现在做IT审计的人里面, 审计背景的人多于80%.
                这样下去, 恐怕审计的范围会越来越有限了.

2)  pgfish  - 掌握金钱的人何时觉得需要信息化了，人家自然会信息化。
  quote :  很直白. 同样是我多年IT行业经验的感触, IT只有同业务息息相关的时候才会发光.
                 直面客户需求绝对是咨询行业的第一准则, 不过对于那些什么是IT审计都不知道的
        人才来说,  似乎层次高了一些.  

3)  Markbull - 四大招人的策略
   quote -  很受用,  sigh.. 看来要调整计划了, 本来想进四大学习学习, 现在看来很难了.
                   也只有在知识层面上多贡献贡献了.

hellowell

关于案例分析,  代pgfish开个新贴, 这样关注的人会比较多, 请各位大侠转道发言.

vanms

好帖，拜读
这样自由自在，无拘无束的讨论很难得

kakapo715

难得看到了之前这么精彩的一个帖子，赞！