原创2024-06-13小艾老师

CISA认证是由信息系统审计与控制协会（ISACA）颁发的，针对信息系统审计、控制与安全领域的专业认证。它表明持证人在评估和审计信息系统的安全性、可靠性和有效性方面具备专业知识和技能。CISA 认证在信息技术和审计领域具有较高的认可度。

做IT 审计，一开始就是通过和被审计公司具体系统或平台的技术负责人、业务负责人调研访谈，去了解被审计公司（项目）的建设背景、需求、目的、实施运行的情况和效果，还有技术实现办法、功能架构、技术架构、业务架构、安全架构、部署架构、容灾方案这些。

再去看看相关系统或平台的设计文档、运行数据、日志记录、功能实现、应急预案等，来评估建设、运行、维保阶段费用支出合不合理、有没有效，还有项目运行安不安全、可不可靠、稳不稳定、能不能扩展等。

还有抽查一下公司业务（项目）的全生命周期里相关配套文档全不全，建设过程有没有完整的管理控制办法，运行期间数据完不完整、生产数据和消费数据一不一样这些。

通过对公司（项目）的调研数据的抽样整理、问题分析归纳以及必要的穿行测试，总结出核心问题、差异问题和共性问题，_后提出能执行的改进建议。

IT审计要做的，大致就是这么些事情。

那么，审计的重点，应该放在哪些地方呢？

1）评估业务流程的复杂程度

首先我们要把与财务相关的业务流程梳理出来，不同公司（项目）关注的重点不一样。比如说电商行业或者零售行业可能更会关注它的销售流程；而制造业的话，相对来说更会关注它的生产流程；在舞弊可能发生较大的行业，可能会更为关注采购流程。

对于不同项目，我们先得做基础的判断，明确这家公司哪些流程应重点关注，接着针对梳理出的流程清单进一步拆解，评估流程处理过程中是否涉及复杂公式或大量数据录入，哪些是手工处理，哪些是自动化实现，还要和财务审计团队紧密沟通，了解生成报告过程中对系统的依赖程度，是否依赖自动化控制等。

对于业务流程的检查，主要是核查对业务流程以及费用的控制。

业务审核清单：

费用审核清单：

2）评估IT系统的复杂程度

先要了解IT系统是自研还是外购，功能的复杂程度、是否为标准商业软件、系统实施和运行的参数设置复杂与否、上次系统架构或版本重大变更时间、对财务系统影响大小以及变更后运行时长等综合因素。

对于IT系统的审计，主要是抽样核查IT系统的完备性以及安全性。

完备性审查清单：

安全性审查清单：

所依赖软硬件的供应链安全

所依赖环境的信息安全

尽管 IT 审计的内容有点多，看起来也比较复杂，但这恰恰体现了其严谨所在。好了，以上就是关于IT审计重点的一些基础介绍。如果你想要进一步学习具体的IT审计方面的知识和方法，建议参加CISA信息系统审计师认证培训。

IT审计应该怎么做？审计哪些东西？哪些是需要特别关注的？