您身边的职业认证培训中心

PM·BA·IT认证证书

400-888-5228

一看就懂的 IT 审计知识:基本步骤、方法和工具详解

原创2024-07-10小艾老师
CISA信息系统审计师认证 知识体系 考证须知 证书含金量 培训大纲 3分钟小视频 我要提问

CISA认证是由信息系统审计与控制协会(ISACA)颁发的,针对信息系统审计、控制与安全领域的专业认证。它表明持证人在评估和审计信息系统的安全性、可靠性和有效性方面具备专业知识和技能。CISA 认证在信息技术和审计领域具有较高的认可度。

  • 中文名CISA信息系统审计师认证
  • 英文名Certified Information Systems Auditor
  • 英文简称CISA
  • 颁证机构ISACA(国际信息系统审计与控制协会)
  • 证书类别IT审计,IT运维,信息安全
  • 同类认证CISMCRISC

IT审计和传统审计有什么不同吗?IT审计有哪些方法呢?如何去进行IT审计?

IT审计具体应该怎么去做?…今天小艾老师就给大家介绍一些常见的IT审计方法(工具)。

01

先说一下IT审计的工作内容。

不管是内审还是外审,

IT 审计的工作可以分成“专项审计”“支持工作”这两大块。

一看就懂的 IT 审计知识:基本步骤、方法和工具详解 -- 第1张

1)专项审计

专项审计,一般来说就是信息系统审计、信息安全审计以及其他专题的审计这些。

  • 信息系统审计,想必大家已经很熟悉了。它分为ITEC(公司层面控制)、ITGC(一般层面控制)和ITAC(应用层面控制)这三个部分。之前小艾老师也写过科普文章,点此回顾>>
  • 信息安全审计的范围比信息系统审计要大,一般就是按照 ISO27001 或者行业规范作为标准,来给被审计单位的信息安全情况做个整体评估。
  • 其他的专题审计,就是因为被审计单位或者监管、管理层的要求,针对某个业务流程做的专门审计。

信息系统审计和信息安全审计有什么区别呢?

信息系统审计针对的是和信息系统有关的风险,

而信息安全审计针对的是和信息有关的风险。

举例来说,

一份机密文件存在电脑,

这个与信息系统审计有关,也与信息安全审计有关。

但如果不存在电脑,而是打印在纸上或者记在人的脑子里,

这个会与信息安全审计有关,

信息系统审计则不包括这些,

因为纸啊,人的脑子啊…这些超出了信息系统的范围。

2)支持工作

IT 审计人员还有一些支持类的工作,

比如按照财务审计人员或者其他项目审计人员的要求,

信息系统可靠性评估数据提取还有大数据分析这些事儿。

02

接下来,我们再来说说IT审计的工具和流程

1)IT审计的步骤

一看就懂的 IT 审计知识:基本步骤、方法和工具详解 -- 第2张

主要是4个步骤,包括:

  • 审计立项,就是前期了解下审计的目标和范围,做好一些规划和准备工作。
  • 收集信息与审查,包括数据收集与分析、文件审查、审计测试和面谈等。
  • 评估风险,评估测试的结果(或审查结果),确定可能影响业务目标和可持续性的风险,并与负责人沟通。
  • 编写报告,包括风险评估和改进建议,做成报告(_后再跟踪下整改情况)。

2)IT审计的工具

审计工具分成广义的和狭义的。

广义的包括审计底稿、分析办法、沟通技巧、测试手段、应用软件这些。

狭义的就是是专门的软件或系统

下面小艾老师结合IT审计的4个基本步骤

来说一下有哪些主要的审计工具(方法)。

  • 审计底稿:很多审计人员刚开始都会使用事务所里之前项目(或者之前前辈)留下的成型的底稿,这些底稿用起来很方便。但如果遇到一些全新的项目,就没办法了,需要自己来设计底稿。设计一个合格的审计底稿其实也不难,参考标准,如下。

一看就懂的 IT 审计知识:基本步骤、方法和工具详解 -- 第3张

  • 审计测试:设计底稿之后,就要开始正式的审计工作了,前期工作的重点在于数据收集和分析、文件审查以及审计测试。这里说一下审计测试,主要有3种:穿行测试、控制测试以及实质性测试

一看就懂的 IT 审计知识:基本步骤、方法和工具详解 -- 第4张

  • 审计发现:然后就是去发现问题了。想要发现审计线索,可以基于合规、风险以及治理这三个层面去审查,而且要看得仔细、会分析思考、能归纳整理就行了。

一看就懂的 IT 审计知识:基本步骤、方法和工具详解 -- 第5张

  • 审计意见:在发现审计线索之后,就要意识到潜在的风险,并提出可行的审计意见。碰到没见过的风险,就用动态风险控制模型,从人员、流程、技术这三个方面琢磨怎么控制风险,再提出审计意见。

一看就懂的 IT 审计知识:基本步骤、方法和工具详解 -- 第6张

  • 审计沟通:沟通技巧办法挺多,像换位思考、注意语气这些就不多讲了。这里说一个特别有效的,叫降维沟通。就是别用我们的短板去跟人家的长处谈,得用我们的长处去跟人家的短处谈。比如跟技术人员说审计发现,别从技术的角度谈,谈不过的,得从更高的角度,比如从管理者的角度、风险的角度去说。

03

_后来说说IT审计方向的一些资质认证。

主要就3个认证:

  • 国内的:CISP-A
  • 国际的:CISA
  • 国际的:ISO27001 Auditor

很多人不清楚它们之间的区别,来看一下对比图:

一看就懂的 IT 审计知识:基本步骤、方法和工具详解 -- 第7张

在IT审计领域,

小艾老师建议_CISA国际信息系统审计师认证

至于ISO27001 Auditor以及 CISP-A,

可以根据自己的实际情况和需求,

有选择性的安排学习就行了。

 

微海报分享
  1. 时间费用拎不清?一文带你搞定CISA考试 你是不是对CISA(Certified Information Systems Auditor,信息系统审计师认证)很感兴趣?你是不是想要成为一名专业的信息系统审计师,为企业提供高质量的审计服务?你是不是对CISA考试的时间?获取证书的 …...
  2. IT审计师侧记:我们是如何做到“人见人骂”的? 研发部门:“本来项目就紧,还得整很多文件和数据,还得改流程,这不是添乱嘛!” 销售部门:“哎呀,这 IT 审计要审核客户系统,搞得我们都没法及时跟客户沟通了,订单都要黄了!” 人力资源部门:“他们审他们 …...
  3. 看完这个,你就懂了!IT审计到底是干什么的?如何做好IT审计? 01 大家应该都知道财务审计, 通俗讲,就是查账的。 看一下公司账上的数据是否准确, 每笔账是否都能合理溯源。   那IT审计到底是干什么的呢? 它和财务审计有什么关系吗? 这么跟你说吧, 现在很多公 …...
  4. IT审计应该怎么做?审计哪些东西?哪些是需要特别关注的? 01 做IT 审计,一开始就是通过和被审计公司具体系统或平台的技术负责人、业务负责人调研访谈,去了解被审计公司(项目)的建设背景、需求、目的、实施运行的情况和效果,还有技术实现办法、功能架构、技术 …...
  5. IT审计师:我们是如何做到“人见人骂”的? 在企业中,IT审计工作常常面临各种挑战,有些部门呢,对IT审计的不理解和不配合,使得IT审计师的工作备受困扰。那么,IT审计师究竟是如何将一份普通的工作干得这么招人讨厌的呢?...今天咱们就来聊一聊IT审 …...
  6. IT审计应该怎么做? 审计哪些东西?哪些是需要特别关注的? IT审计应该怎么做? 审计哪些东西?哪些是需要特别关注的? IT 审计具体应该怎么做?要做哪些事情?需要审计哪些东西?IT审计的重点应该放在哪些地方?……#IT审计 #信息系统审计师 #CISA #认证证书...

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

小艾老师的直播间·最新预告
  • 2024-09-03 20:00
    职场故事:How PMP work in my project?
  • 2024-09-04 19:00
    CAISP认证系列(一)AI算法与模型快速进阶
  • 2024-09-05 20:00
    研发创新管理:探索创新的秘密,寻找产品的第二增长曲线
  • 2024-09-10 20:00
    财务与业务协同高效运营:实施业务流程管理(BPM)系统和共享运营系统的落地策略
  • 2024-09-11 20:00
    闻风而动:安全运营管理
  • 2024-09-12 20:00
    BANI时代传统管理者的职业规划
  • 2024-09-18 20:00
    “一切皆服务”!ITIL4构建的IT 服务管理框架(SVS)
  • 2024-09-19 20:00
    需求分析与设计定义:打造解决方案的实用工具集
  • 2024-09-20 14:00
    全面解读TOGAF 10:9跟10的区别是什么?如何把证书升级到10?我该如何备考?
  • 2024-09-24 20:00
    职场故事:我在半导体大厂的项目管理进阶之路——从PMP到MPM
  • 2024-09-26 20:00
    职场故事:从战略规划到项目管理交付
  • 更多直播讲座
    小艾老师还在安排中…
查看全部 >

扫码一键预约全部

小艾老师谈数字化·小视频
查看更多 >
小艾老师谈数字化·专栏文章
查看更多 >

数字化转型8大核心认证

  1. PMP项目管理认证

     艾威最近一期班: 针对2024年11月考试

  2. CBAP业务分析认证

     艾威最近一期班·开课时间: 2024-09-21

  3. CBPP流程管理认证

     艾威最近一期班·开课时间: 2024-12-07

  4. ITIL4 IT管理认证

     艾威最近一期班·开课时间: 2024-09-21

  5. TOGAF企业架构认证

     艾威最近一期班·开课时间: 2024-10-12

  6. CDMP数据管理认证

     艾威最近一期班·开课时间: 2024-11-23

  7. CISA信息安全审计师认证

     艾威最近一期班·开课时间: 2024-09-21

  8. CISSP信息安全专家认证

     艾威最近一期班·开课时间: 2024-11-16
近期课程安排
最新开班情况回顾
查看更多 >