查看: 68962|回复: 74

[精华] IT审计之入门概念(原创)

[复制链接]
论坛徽章:
9
蓝色妖姬
日期:2006-04-13 09:35:57ITPUB北京九华山庄2008年会纪念徽章
日期:2008-01-21 16:50:24奥运会纪念徽章:棒球
日期:2008-04-24 16:00:08生肖徽章2007版:蛇
日期:2009-03-10 21:34:302009日食纪念
日期:2009-07-22 09:30:00祖国60周年纪念徽章
日期:2009-10-09 08:28:002010新春纪念徽章
日期:2010-03-01 11:07:242012新春纪念徽章
日期:2012-01-04 11:49:542013年新春福章
日期:2013-02-25 14:51:24
发表于 2007-4-19 18:29 | 显示全部楼层 |阅读模式
在这个圈子里面也混了有年头了(8年),混过的行业包括政府、教育、科技、金融等等,论坛里面的朋友也认识不少。愿意和各位同行交流下对IT审计现状的认识,纯粹个人见解,和大家交流共同提高,不当之处,欢迎大家指正。如果有可能,以后会按照系列结合具体的问题分别进行讨论。

        论坛上经常看到有人问什么是IT审计,说明IT审计在很多人眼里还很陌生,甚至包括IT管理者和审计部门的领导。IT审计在国内这些年似乎也逐渐热起来,很多时候还是拜媒体所赐,例如一度热炒的CISA就把IT审计师炒成金领的概念。还有很多培训机构/专家为了推广其理念,专门成立网站推广IT审计或者IT治理。很多学生看了这些广告软文就花了很多银子去考CISA,结果发现拿了证还是不知道什么是IT审计。IT审计热起来还有一个原因就是审计署从2000年以后开始全国性的推动“金审工程”,也就是审计信息化,核心内容之一也是IT审计。不过这些在政府审计体系之外的人就很少机会接触了。
        我个人一直理解为IT审计就是在审计领域中的IT应用。按照这个可以罗列出IT审计的很多内容,例如CAAT(计算机辅助审计)、ISA(信息系统审计)、自动化工作底稿、审计档案管理、审计计划管理等等…。IT审计发展到今天,在这些领域里面都已经有非常成熟的理论体系了,基本上服务和软件的产品化程度都比较高了。下面聊聊主要的几点。
        1)CAAT(Computer,计算机辅助审计),就是在日常的财务收支审计中将IT作为一种技术工具来应用,最主要的是常规审计人员如何应用审计数据获取和分析技术。其实这个在国内开始在很早以前了了,应该从1996年左右就出现国内的审计软件了。现在推广力度比较大的是《AO:审计现场实施系统》,审计署开发和推广的,由中软在销售。国外的这方面最著名的软件有ACL和IDEA,这两个软件中文版本都早就出来了,不过似乎都定位高端,因为价格很贵。也有一些审计人员用通用软件,例如ACCESS、EXCEL、SQL Server等。这些软件的比较,由于难免有主观色彩就不赘述了(其实我还是有倾向性的)。
        我个人认为CAAT在国内的市场非常大。在谈系统审计、ERP审计之前,审计的核心业务还是常规审计。常规业务审计过程是收集证据而对经济活动进行评价的过程。随着信息化的普及,交易的电子化,海量的业务数据,使得传统的审计手段受到很大局限,必须依赖于电子数据分析方法。这一点,我想审计的同仁都不需要再解释了。
        2) 信息系统审计(IS auditing),这个论坛里面讨论最多了。信息系统审计顾名思义就是对信息系统的审计。和常规审计最大的差异在于审计的对象变了。以前人们谈到审计都指对经济活动、业务活动进行审计,一般的审计发现都是通过案件、违纪金额、挽回损失等来体现,审计的对口单位一般是财务、销售、管理等业务部门。而IS 审计的对象完全变了,IS审计的对象是单位进行业务处理的信息系统,例如财务系统、销售系统、ERP、CRM系统。一般审计的对口单位最主要的是开发部门或者运营科技部门。审计发现是程序控制薄弱、处理错误、运行失败、数据质量、安全漏洞等问题。信息系统审计在四大和很多咨询公司已经作为成熟的服务提供了。四大里面的现在system service ,process assurance 已经是非常重要的收入来源了。我了解一个2 个普通顾问做1个月的项目,在最低折扣的情况下,收费有30W。
        IS audit既然是作为服务在出售,当然就需要有服务的内容的标准化,这就涉及到怎么审计的问题。COBIT、COSO、ISO9977等都可以作为的ISA的参照审计规范。四大都有自己的系统审计操作体系。IS audit从检查的内容上看,可以分为一般控制检查(general control review)和应用控制检查(application control review)。四大和咨询公司的项目以general control review为主。一般控制就是和具体的业务关系比较弱的控制,看得最多的就是用户密码控制、操作环境控制、职责分离、变更控制、开发控制、文档控制、数据质量、信息安全等等内容,作为行内人,做多了就觉得这些司空见惯的内容,似乎没有什么技术含量,我见过四大的财务auditor转去做IT auditor,作了一段时间觉得没有意思又转回去做fiancial auditor了。也见过这方面的高手,就是那些在某一个专业的IT领域浸淫了10多年,在操作系统、网络安全、数据库管理、项目管理等方面非常有经验,也可以提出非常专业的审计意见,这个就是大家所仰慕的对象了。
        系统审计另外一个内容是应用控制,和一般控制区别最大在于,应用控制是和业务逻辑密切相关的。以银行业为例,如果我们来审计一个信贷管理系统,会看什么呢?我会看信贷审批流程、客户评级体系、贷款5级分类、利率管理、收费管理等等这些控制。例如信贷审批流程里面会看在系统对贷前调查、资料完整性、额度管理、权限分配等方面有无控制。如果存在系统控制,则认为风险较小,在业务审计中可以减小样本规模,否则要增加样本规模(理解?)。应用控制审计的审计发现不仅仅是系统设计开发的缺陷,更多的时候也有舞弊损失。从审计的内容来看,应用控制检查与单位的日常业务处理关系更密切,审计发现也和经营成果(财物报表)有更直接的关系,似乎增值效应更加明显,管理者也容易理解你写的报告,更容易为管理层所接受(很多管理层对一般控制的检查结果将信将疑,认为:一直就这样,从来没有问题)。

——to be continued
论坛徽章:
3
ITPUB新首页上线纪念徽章
日期:2007-10-20 08:38:442008新春纪念徽章
日期:2008-02-13 12:43:03
发表于 2007-4-19 21:45 | 显示全部楼层
up!

使用道具 举报

回复
论坛徽章:
0
发表于 2007-4-20 14:07 | 显示全部楼层
这样的帖子不多见,楼主的实力很强。
但帖子中有个别地方有待商榷。IT风险管理以及IT审计的发展趋势是好的,但要想成为一个行业还需要我们大家共同努力!

使用道具 举报

回复
论坛徽章:
0
发表于 2007-4-20 14:59 | 显示全部楼层
我是刚刚要加入的!刚考上研第一个项目就是电信运营企业的IT审计
不懂迷茫中

使用道具 举报

回复
论坛徽章:
0
发表于 2007-4-20 15:07 | 显示全部楼层
不知道应该看些什么书,希望lz介绍下

使用道具 举报

回复
论坛徽章:
9
蓝色妖姬
日期:2006-04-13 09:35:57ITPUB北京九华山庄2008年会纪念徽章
日期:2008-01-21 16:50:24奥运会纪念徽章:棒球
日期:2008-04-24 16:00:08生肖徽章2007版:蛇
日期:2009-03-10 21:34:302009日食纪念
日期:2009-07-22 09:30:00祖国60周年纪念徽章
日期:2009-10-09 08:28:002010新春纪念徽章
日期:2010-03-01 11:07:242012新春纪念徽章
日期:2012-01-04 11:49:542013年新春福章
日期:2013-02-25 14:51:24
 楼主| 发表于 2007-4-20 15:09 | 显示全部楼层
最初由 lslin 发布
[B]这样的帖子不多见,楼主的实力很强。
但帖子中有个别地方有待商榷。IT风险管理以及IT审计的发展趋势是好的,但要想成为一个行业还需要我们大家共同努力! [/B]


呵呵,谢谢,所有言论文责自负,欢迎讨论。
是否能够成为一个行业的问题,主要看是否有存在的市场。个人认为,有需求方,有供应方,基本上就可以成为一个行业,当然规模大小是另外一回事了。以我工作的环境看,由于内部管理需要和外部监管需要,IT风险管理已经成为一个不可回避的管理职能。

使用道具 举报

回复
论坛徽章:
21
ITPUB元老
日期:2007-06-20 21:35:472014年新春福章
日期:2014-02-18 16:41:11问答徽章
日期:2014-01-23 14:45:31咸鸭蛋
日期:2013-04-17 09:29:40奥运会纪念徽章:沙滩排球
日期:2012-10-10 16:02:32ITPUB 11周年纪念徽章
日期:2012-10-09 18:05:37奥运会纪念徽章:曲棍球
日期:2012-07-04 23:23:38蜘蛛蛋
日期:2012-06-05 16:38:282012新春纪念徽章
日期:2012-01-04 11:49:54ITPUB十周年纪念徽章
日期:2011-11-01 16:20:28
发表于 2007-4-21 00:21 | 显示全部楼层
IS Audit=GC+AC ?

使用道具 举报

回复
论坛徽章:
21
ITPUB元老
日期:2007-06-20 21:35:472014年新春福章
日期:2014-02-18 16:41:11问答徽章
日期:2014-01-23 14:45:31咸鸭蛋
日期:2013-04-17 09:29:40奥运会纪念徽章:沙滩排球
日期:2012-10-10 16:02:32ITPUB 11周年纪念徽章
日期:2012-10-09 18:05:37奥运会纪念徽章:曲棍球
日期:2012-07-04 23:23:38蜘蛛蛋
日期:2012-06-05 16:38:282012新春纪念徽章
日期:2012-01-04 11:49:54ITPUB十周年纪念徽章
日期:2011-11-01 16:20:28
发表于 2007-4-21 00:31 | 显示全部楼层
楼主继续。写的很好。

使用道具 举报

回复
论坛徽章:
0
发表于 2007-4-22 14:53 | 显示全部楼层
个人不太同意楼主关于"审计领域中的IT应用"的说法.
个人感觉IT审计属于审计领域不假,因为和其他审计拥有相似的流程和方法论.
但是It AUDIT和其他最主要的区别在于对象不同, 只不过现在的发展和其他审计融在一起,但是那并不代表他是IT应用. 而应该是针对IT的审计

使用道具 举报

回复
论坛徽章:
9
蓝色妖姬
日期:2006-04-13 09:35:57ITPUB北京九华山庄2008年会纪念徽章
日期:2008-01-21 16:50:24奥运会纪念徽章:棒球
日期:2008-04-24 16:00:08生肖徽章2007版:蛇
日期:2009-03-10 21:34:302009日食纪念
日期:2009-07-22 09:30:00祖国60周年纪念徽章
日期:2009-10-09 08:28:002010新春纪念徽章
日期:2010-03-01 11:07:242012新春纪念徽章
日期:2012-01-04 11:49:542013年新春福章
日期:2013-02-25 14:51:24
 楼主| 发表于 2007-4-23 12:46 | 显示全部楼层
最初由 tdoflying 发布
[B]个人不太同意楼主关于"审计领域中的IT应用"的说法.
个人感觉IT审计属于审计领域不假,因为和其他审计拥有相似的流程和方法论.
但是It AUDIT和其他最主要的区别在于对象不同, 只不过现在的发展和其他审计融在一起,但是那并不代表他是IT应用. 而应该是针对IT的审计
[/B]


您说的有道理。

IT审计其实可以从广义和狭义两个方面来理解。

广义的IT审计我理解就是IT审计师可能做的工作。目前我所接触到的圈子里面,IT审计师的工作最主要包括两块,一块是对常规业务审计的支持。另一块是独立的系统审计和咨询。

狭义上的IT审计就是对IT这一特殊对象的审计。

使用道具 举报

回复

您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

TOP技术积分榜 社区积分榜 徽章 团队 统计 知识索引树 积分竞拍 文本模式 帮助
  ITPUB首页 | ITPUB论坛 | 数据库技术 | 企业信息化 | 开发技术 | 微软技术 | 软件工程与项目管理 | IBM技术园地 | 行业纵向讨论 | IT招聘 | IT文档
  ChinaUnix | ChinaUnix博客 | ChinaUnix论坛
CopyRight 1999-2011 itpub.net All Right Reserved. 北京盛拓优讯信息技术有限公司版权所有 联系我们 
京ICP备09055130号-4  北京市公安局海淀分局网监中心备案编号:11010802021510 广播电视节目制作经营许可证:编号(京)字第1149号
  
快速回复 返回顶部 返回列表