您身边的职业认证培训中心

PM·BA·IT认证证书

400-888-5228

一看就懂的 IT 审计知识:基本步骤、方法和工具详解

原创2024-07-10小艾老师

IT审计和传统审计有什么不同吗?IT审计有哪些方法呢?如何去进行IT审计?

IT审计具体应该怎么去做?…今天小艾老师就给大家介绍一些常见的IT审计方法(工具)。

01

先说一下IT审计的工作内容。

不管是内审还是外审,

IT 审计的工作可以分成“专项审计”“支持工作”这两大块。

一看就懂的 IT 审计知识:基本步骤、方法和工具详解 -- 第1张

1)专项审计

专项审计,一般来说就是信息系统审计、信息安全审计以及其他专题的审计这些。

  • 信息系统审计,想必大家已经很熟悉了。它分为ITEC(公司层面控制)、ITGC(一般层面控制)和ITAC(应用层面控制)这三个部分。之前小艾老师也写过科普文章,点此回顾>>
  • 信息安全审计的范围比信息系统审计要大,一般就是按照 ISO27001 或者行业规范作为标准,来给被审计单位的信息安全情况做个整体评估。
  • 其他的专题审计,就是因为被审计单位或者监管、管理层的要求,针对某个业务流程做的专门审计。

信息系统审计和信息安全审计有什么区别呢?

信息系统审计针对的是和信息系统有关的风险,

而信息安全审计针对的是和信息有关的风险。

举例来说,

一份机密文件存在电脑,

这个与信息系统审计有关,也与信息安全审计有关。

但如果不存在电脑,而是打印在纸上或者记在人的脑子里,

这个会与信息安全审计有关,

信息系统审计则不包括这些,

因为纸啊,人的脑子啊…这些超出了信息系统的范围。

2)支持工作

IT 审计人员还有一些支持类的工作,

比如按照财务审计人员或者其他项目审计人员的要求,

信息系统可靠性评估数据提取还有大数据分析这些事儿。

02

接下来,我们再来说说IT审计的工具和流程

1)IT审计的步骤

一看就懂的 IT 审计知识:基本步骤、方法和工具详解 -- 第3张

主要是4个步骤,包括:

  • 审计立项,就是前期了解下审计的目标和范围,做好一些规划和准备工作。
  • 收集信息与审查,包括数据收集与分析、文件审查、审计测试和面谈等。
  • 评估风险,评估测试的结果(或审查结果),确定可能影响业务目标和可持续性的风险,并与负责人沟通。
  • 编写报告,包括风险评估和改进建议,做成报告(_后再跟踪下整改情况)。

2)IT审计的工具

审计工具分成广义的和狭义的。

广义的包括审计底稿、分析办法、沟通技巧、测试手段、应用软件这些。

狭义的就是是专门的软件或系统

下面小艾老师结合IT审计的4个基本步骤

来说一下有哪些主要的审计工具(方法)。

  • 审计底稿:很多审计人员刚开始都会使用事务所里之前项目(或者之前前辈)留下的成型的底稿,这些底稿用起来很方便。但如果遇到一些全新的项目,就没办法了,需要自己来设计底稿。设计一个合格的审计底稿其实也不难,参考标准,如下。

一看就懂的 IT 审计知识:基本步骤、方法和工具详解 -- 第5张

  • 审计测试:设计底稿之后,就要开始正式的审计工作了,前期工作的重点在于数据收集和分析、文件审查以及审计测试。这里说一下审计测试,主要有3种:穿行测试、控制测试以及实质性测试

一看就懂的 IT 审计知识:基本步骤、方法和工具详解 -- 第7张

  • 审计发现:然后就是去发现问题了。想要发现审计线索,可以基于合规、风险以及治理这三个层面去审查,而且要看得仔细、会分析思考、能归纳整理就行了。

一看就懂的 IT 审计知识:基本步骤、方法和工具详解 -- 第9张

  • 审计意见:在发现审计线索之后,就要意识到潜在的风险,并提出可行的审计意见。碰到没见过的风险,就用动态风险控制模型,从人员、流程、技术这三个方面琢磨怎么控制风险,再提出审计意见。

一看就懂的 IT 审计知识:基本步骤、方法和工具详解 -- 第11张

  • 审计沟通:沟通技巧办法挺多,像换位思考、注意语气这些就不多讲了。这里说一个特别有效的,叫降维沟通。就是别用我们的短板去跟人家的长处谈,得用我们的长处去跟人家的短处谈。比如跟技术人员说审计发现,别从技术的角度谈,谈不过的,得从更高的角度,比如从管理者的角度、风险的角度去说。

03

_后来说说IT审计方向的一些资质认证。

主要就3个认证:

  • 国内的:CISP-A
  • 国际的:CISA
  • 国际的:ISO27001 Auditor

很多人不清楚它们之间的区别,来看一下对比图:

一看就懂的 IT 审计知识:基本步骤、方法和工具详解 -- 第13张

在IT审计领域,

小艾老师建议_CISA国际信息系统审计师认证

至于ISO27001 Auditor以及 CISP-A,

可以根据自己的实际情况和需求,

有选择性的安排学习就行了。

 

微海报分享
  1. 时间费用拎不清?一文带你搞定CISA考试 你是不是对CISA(Certified Information Systems Auditor,信息系统审计师认证)很感兴趣?你是不是想要成为一名专业的信息系统审计师,为企业提供高质量的审计服务?你是不是对CISA考试的时间?获取证书的 …...
  2. IT审计师侧记:我们是如何做到“人见人骂”的? 研发部门:“本来项目就紧,还得整很多文件和数据,还得改流程,这不是添乱嘛!” 销售部门:“哎呀,这 IT 审计要审核客户系统,搞得我们都没法及时跟客户沟通了,订单都要黄了!” 人力资源部门:“他们审他们 …...
  3. 看完这个,你就懂了!IT审计到底是干什么的?如何做好IT审计? 01 大家应该都知道财务审计, 通俗讲,就是查账的。 看一下公司账上的数据是否准确, 每笔账是否都能合理溯源。   那IT审计到底是干什么的呢? 它和财务审计有什么关系吗? 这么跟你说吧, 现在很多公 …...
  4. IT审计应该怎么做?审计哪些东西?哪些是需要特别关注的? 01 做IT 审计,一开始就是通过和被审计公司具体系统或平台的技术负责人、业务负责人调研访谈,去了解被审计公司(项目)的建设背景、需求、目的、实施运行的情况和效果,还有技术实现办法、功能架构、技术 …...
  5. IT审计师:我们是如何做到“人见人骂”的? 在企业中,IT审计工作常常面临各种挑战,有些部门呢,对IT审计的不理解和不配合,使得IT审计师的工作备受困扰。那么,IT审计师究竟是如何将一份普通的工作干得这么招人讨厌的呢?...今天咱们就来聊一聊IT审 …...
  6. IT审计应该怎么做? 审计哪些东西?哪些是需要特别关注的? IT审计应该怎么做? 审计哪些东西?哪些是需要特别关注的? IT 审计具体应该怎么做?要做哪些事情?需要审计哪些东西?IT审计的重点应该放在哪些地方?……#IT审计 #信息系统审计师 #CISA #认证证书...

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

小艾老师的直播间·最新预告
  • 2025-2-18 20:00
    架构师升维战:从技术架构到战略蓝图,全面解读TOGAF认证
  • 2025-2-20 20:00
    业务BA的核心能力体系:CBAP(需求破局)×CBPP(流程再造)×CBA(架构升级)三重认证解析
  • 2025-2-25 20:00
    信息安全“双盾”:CISSP(技术盾)×CISA(审计盾)两大认证解析
  • 2025-2-26 20:00
    数据经理的能力框架:数据驱动未来,全面解读CDGA/CDMP认证
  • 2025-2-27 20:00
    IT经理进化论:最好的教材是ITIL,全面解析ITIL4认证
  • 更多直播讲座
    小艾老师还在安排中…
查看全部 >

扫码一键预约全部

小艾老师谈数字化·小视频
查看更多 >
小艾老师谈数字化·专栏文章
查看更多 >

数字化转型8大核心认证

  1. PMP项目管理认证

     艾威最近一期班: 针对2025年03月考试

  2. CBAP业务分析认证

     艾威最近一期班·开课时间: 2025-03-29

  3. CBPP流程管理认证

     艾威最近一期班·开课时间: 2025-03-15

  4. ITIL4 IT管理认证

     艾威最近一期班·开课时间: 详询

  5. TOGAF企业架构认证

     艾威最近一期班·开课时间: 2025-02-22

  6. CDMP数据管理认证

     艾威最近一期班·开课时间: 2025-02-22

  7. CISA信息安全审计师认证

     艾威最近一期班·开课时间: 2025-03-02

  8. CISSP信息安全专家认证

     艾威最近一期班·开课时间: 详询
近期课程安排
最新开班情况回顾
查看更多 >