对于一些初次踏入IT审计职业的同学而言,我们首先要清楚IT审计的核心是什么?
IT审计的核心:IT审计是识别和评估与IT有关的固有风险,只要这个事情与IT有关,它就一定会存在因为IT的信息系统的特点而存在的固有风险,这就和IT审计有关系。
了解了IT审计的核心,在谈IT审计工具之前,我们要了解我们审计工作的内容,我们今后将会开展一个什么样的工作,无论是内审还是外审而言,我们IT审计的主要的工作都分为两个方面,一个是专项审计,另外就是一些支持的工作。
专项审计顾名思义就是针对某一个特定的项目或者是课题开展的审计活动,一般来说IT审计人员可能会参与或者主导的专项审计,包括信息系统的审计,信息安全审计以及其他专题的审计。
信息系统审计可能我们大家都非常的熟悉了,主要是分为一般控制和应用控制这两个部分。
另外一类我们会开展的专项专题的这种审计,就是信息安全审计,这个范围就要比信息系统的审计要大一些,一般来说我们依据的都是ISO27001对被审计单位的信息安全情况进行一个整体的评价,或者是根据客户的行业特点,使用适用于客户的行业的规范或者是标准来进行审计。
那么信息系统审计和信息安全审计两者区别在哪?
信息系统审计是针对和信息系统相关的固有风险进行的审计,而信息安全审计是针对和信息相关的固有风险的审计,信息的范围就要比信息系统的范围要大很多。
比如说你要是有一份机密的文件,你把它保存在电脑里,这个就和信息系统审计和信息安全审计都相关,但是如果你把这个机密文件记在脑子里面,或者是打印在纸上,这个就和信息安全审计有关,信息系统审计就不包括这个范围,所以我们会看到信息安全审计里面会有很多的内容,这个内容是信息系统审计里面没有的,比如说对物理环境,对人员的安全意识,或者是对安全行为的相关的检查,就是他们两个的不同,可能在信息安全审计的过程中,根据客户的要求不同,可能还会涉及到信息安全评估这个方面,这个也是和IT审计不同的地方。
其他的专题审计主要指的是由于被审计单位的要求,或者是对于内审而言,由于监管或者是管理层的要求,因为某个事件对某个业务流程进行的专业审计。
IT审计人员的另一些工作主要是支持类的工作。一般来说内外审的IT审计人员针对财务审计人员或者是内审的其他项目的审计人员的要求,进行一些支持类的活动,包括对被审计单位信息系统的可靠性的评估,还包括对被审计单位业务系统或者是财务系统的数据的提取,对数据的进行大数据的分析等等这样的一些支持类的工作。
<