迷失在IS Audit……

四月牧羊

一不小心，我也转到这个行当里面来了。在这之前，我一直读书，没有一点工作经验。\r\n    你要是在google搜索“信息系统审计”的话，孙强先生的大名扑面而来，无可厚非，人家参照cisa manual写成了《信息系统审计》这本书，据说此兄还写了《IT服务管理》，OGC的Service Support和Service Delivery我没看过，不敢评论……要是哪位哥们有孙先生的System Audit报告，可不可以让我一饱眼福，我这里也有很牛强的咨询报告，嘿嘿，大家可以交换的嘛。\r\n    但是你要是搜索英文的IS Audit等等，你会发现，COBIT、ISACA、 SOX、PCAOB、HIPPA这些词汇也会伴随出现……\r\n    言归正传，我已经发现我迷失在这里了。首先，IS Audit是什么？看了几本系统审计的书，也看了孙先生在IT治理论坛上的大论，还有很多很多文章……直接把Audit翻译成审计是很迷惑人的。COBIT又是什么？还有，我们国家需要什么样的IS  Audit？\r\n\r\n以上三个问题，欢迎各位前辈指教！\r\n\r\n我先说我对IS Audit的理解，各位尽管拍砖……\r\n   COBIT仅仅是一个标准，具体实施IS Audit的时候，你会发现它很空，COBIT就像小学数学里面1＋1＝2这个标准一样，你别想从它里面得到更多的东西，尤其IS Audit具体实施的时候，你不可能找到一个标准或者规则可以One Size fits All。ISAudit需要信息系统的开发、测试、项目管理、信息安全、网络等各种知识或经验，而且ISAudit是与信息化发展的状况相关的，所以美国的ISAudit的经验或者最佳实践搬到中国来就不一定合适，我们应该针对我们的信息化发展的情况摸索中国ISAudit的最佳实践，这一点，通过比较美国和日本的ISAudit发展的情况是可以看出来的。同时，ISAudit的思想或理念可以在信息系统做plan的时候就融合进去，岂不是更好？\r\n  如果我们今天只是照搬别人的东西，即使考出上万个CISA也没有用，中国的ISAudit最佳实践或者制度没有建立起来，cisa会和mcse等证书一样烂……

hellowell

在中国，单纯的讨论ＩＴ　Ａｕｄｉｔ，无外乎纸上谈兵，尤其是应用在国企内部．\r\n不过，我可以明确的告诉你以下内容（我的背景是ＩＴ管理）：\r\nＩＴＡｕｄｉｔ是昂贵的，只有大公司玩的起．\r\nＩＴＡｕｄｉｔ是泊来品，只有外企才重视．\r\nＩＴＡｕｄｉｔ是逼出来的，应为美国那个该死的ＳＯＸ法案．\r\nＩＴＡｕｄｉｔ是实用的，他至少为ＩＴ管理提供了可行的方向．\r\nＩＴＡｕｄｉｔ是有益的，他至少为ＩＴ管理争取了公司政治地位．\r\n\r\n那么，ＩＴＡｄｕｉｔ是什么呢，一句话：\r\n\r\n它是在美国ＳＯＸ法案逼迫下，大型上市外资公司里，推行的ＩＴ管理策略，并为ＩＴ部门赢得了可观的公司政治地位．

jacky761229

在讨论IT Audit之前还是来好好了解一下Audit或者Internal Audit吧。做过审计的人知道现代审计需要首先对企业内部控制做一个评估来进行风险判断。那什么是内部控制呢，内部控制的体系（Framework）建立在风险模型之上，举例来说，一个制造业企业，其业务流程基本分为销售，采购，存货管理，财务报表以及人事等不同的业务循环（这方面的内容在我们CPA 审计的课程里就可以看到），而在每个流程或业务循环内，又有不同的子流程，而子流程之下有不同的业务活动，风险模型就是对每个不同的业务活动的风险进行量化，将总体的风险控制在企业可接受的范围之内。那如何将风险控制在企业的可接受范围内呢，企业需要针对每个业务活动设计控制行为，比如审批流程等，最总，当一系列的控制行为被设计出来后，企业的所有运作都纳入一套内部控制体系中去了。在这里，有许多不同的方法论和不同的体系可以使用来达到内控框架的设计。四大针对这个环节就有不同的Service Line，比如内控流程的设计，BPR等。\r\n总之，以上工作尚未涉及IT Audit，但大家可以看到一个IT Audit的环境已经开始建立起来。。。

jacky761229

然后，当内控体系建立起来后，企业发现，由于使用了一个ERP系统，许多控制行为可以完全使用系统来实现，而不用使用人工的流程来实现，比如对销售订单的信用额度的控制，在SAP或者其他ERP系统中都可以通过一些设置来实现，比如超过信用额度的订单将自动被锁定，只用外加的审批才可以使这些订单得以继续。于是，在我们先前提到的内部控制体系中，有许多控制行为是由计算机系统实现的。OK，IT Auditor的活来了，因为需要你去审计这些控制行为（比如上面说的信用控制）是否能达到企业期望的风险控制目标？。。。

jacky761229

以上还是大致说了一下IT Audit和内部控制体系的关系，我想内控体系也是IT Audit的需求来源，具体的业务经验还是要到工作中积累。我相信在你做业务的时候会一点点对上述的过程有个豁然开朗的感觉。同时，欢迎大家排砖

tepurple

那么，ＩＴＡｄｕｉｔ是什么呢，一句话：\r\n\r\n它是在美国ＳＯＸ法案逼迫下，大型上市外资公司里，推行的ＩＴ管理策略，并为ＩＴ部门赢得了可观的公司政治地位． [/B][/QUOTE]\r\n\r\n一句话，精辟！

凉白开水

SOX法案2002年才有的。那系统审计在这之前是干吗的？

jacky761229

最初由 hellowell 发布\r\n[B]在中国，单纯的讨论ＩＴ　Ａｕｄｉｔ，无外乎纸上谈兵，尤其是应用在国企内部．\r\n不过，我可以明确的告诉你以下内容（我的背景是ＩＴ管理）：\r\nＩＴＡｕｄｉｔ是昂贵的，只有大公司玩的起．\r\nＩＴＡｕｄｉｔ是泊来品，只有外企才重视．\r\nＩＴＡｕｄｉｔ是逼出来的，应为美国那个该死的ＳＯＸ法案．\r\nＩＴＡｕｄｉｔ是实用的，他至少为ＩＴ管理提供了可行的方向．\r\nＩＴＡｕｄｉｔ是有益的，他至少为ＩＴ管理争取了公司政治地位．\r\n\r\n那么，ＩＴＡｄｕｉｔ是什么呢，一句话：\r\n\r\n它是在美国ＳＯＸ法案逼迫下，大型上市外资公司里，推行的ＩＴ管理策略，并为ＩＴ部门赢得了可观的公司政治地位． [/B]

\r\n\r\n就从你最后那‘一句话’，就可以看出你做IT管理的，并且是在一家美国上市公司做IT管理。\r\n我基本可以想象你所处的环境，以前公司的审计并不涉及IT，或至少不会专门对IT部门有一个审计，而现在由于要做SOX了，专门对IT部门进行了一个比较系统化的审计，审计的测试范围甚至细到哪些人可以对Unix 下Crob Table有修改的权限（如果你们的ERP运行在Unix上的话）。于是，使你觉得SOX和IT Audit之间是一个因果关系。\r\n其实并非如此，是否进行IT审计主要还是取决于两个因素：\r\n1、信息系统对财务报表的影响程度；\r\n2、审计事务所或内部审计人员所采用的审计方法论；\r\n\r\nSOX本身主要是为了加强企业的内部控制（包括对IT的控制），当然这个法案使企业在美国上市的成本大大增加，个人认为的确比较变态。\r\n\r\n至于说IT Audit对中国企业是否适合，我很同意你的说法，单纯说IT Audit（不结合内部控制的理念）毫无意义。只有当国企管理人员管开始真正重视内部控制并意识到信息系统对其内部控制体系的巨大影响后，他们才可能重视IT审计。\r\n当然，还取决于我们国家对企业价值的评判标准，像中行这种事情，出了居然也就这么过去了，不可想象啊！这样的企业内控环境之差可想而知，当然就更不能期望他们的管理层去重视IT审计了。

zw98

这样的贴子多一点就好了

四月牧羊

我们做的与他们两个说的很不一样啊？