回答Information System Audit的几个问题：是什么？需要account知识吗？是安全审计吗

hotlyq

:right: 同意 michael和Jacky的观点  。由于内容较杂，故再开新贴。请michael见谅\r\n\r\n[B]首先，What  is Information System Audit?与Information Security Audit区别：[/B] \r\n\r\n当前，国内的一个非常流行的概念就是：Information System Audit＝Information Security Audit，即把信息系统审计与信息安全审计混为一谈，这是对IS Audit的一个重大误解，是十分有害的。因为前者包含后者，但其范围要大得多。对两者的定义上也看出来：\r\n“It is defined as any Audit that encompasses the review and\r\nevaluation of all aspects (or any portion ) of Automated\r\ninformation processing systems, including related and nonautomated\r\nprocesses and the interface between them...” -ISACA\r\n\r\nArkansas Shared Technical Architecture (STA) 的对Information System A定义为:\r\n\"Information System Audit is series of tests to insure that adequate controls are in place over the Information System system (1) General controls (2)Application controls\". \r\n而Software Environments Research Group, Leeds Metropolitan University, Beckett Park Campus, Leeds, LS6 3QS, UK的定义为: \"An Information System Audit is generally a post-event activity which involves the systematic collecting and evaluation of evidence which reflects the planning, development, implementation and operation of information systems.\"\r\n\r\n\r\n而SecurityFocus对Information Security Audit的定义是：\r\n“information security audits; that is, an audit of how the confidentiality, availability and integrity of an organization\'s information is assured. ”或是“a computer security audit is a systematic, measurable technical assessment of how the organization\'s security policy is employed at a specific site. Computer security auditors work with the full knowledge of the organization, at times with considerable inside information, in order to understand the resources to be audited.”\r\n\r\n从这些定义里大家应当能够看出两者的重要区别。\r\n\r\n其次，需要会计或财务知识吗？\r\n\r\n答案是：需要。进一步讲，IT AuditFinance（财务）和Account（会计）息息相关的（即不仅仅是Account)。理由如下：\r\n\r\n  1、IT Audit或IS Audit，其内容涵盖非常广泛：\r\n     a. 宏观上：对企业信息化建设远期战略、近期目标、实施过程和效果的总体评估。\r\n     b. 微观上：包括了对每个项目或服务的评估，如可行性分析、验收等各个环节。\r\n\r\n  2、IT Audit是为IT Governance和Enterprise Governance服务的，因此，无论是其过程还是目标都需要量化（或在定性基础上最大程度的定量），都需要与一系列的指标（KPI、KGI）联系\r\n  3、IS Audit的基础是Risk-based，即以风险为依据的审计。因此，无论是审计过程本身，还是审计的Subject和Object，都需要进行相关的、准确的风险分析，然后才能对症下药。\r\n\r\n  4、Risk-based的前提是必须对Asset、Risk有量化的经济指标。你说这是高风险区，何以见得？当然是对Asset Value和Risk loss的分析了。\r\n\r\n  5、那Asset Value、Risk Loss如何界定？如何以数据说话，以理服人，而不是以德服人？这就需要会计的能力了。例如：一个RAID，硬件本身的价值相比大家都比较清楚了，但其中数据的价格如何度量？受到各种威胁后的loss怎么算？对于各种风险采取何种对应的策略才能最优（技术和经济两方面）？\r\n\r\n  6、不仅在audit preparation中，而且在audit processing和post-audit也需要很多的财务知识，才能找到最佳的审计，降低审计风险，得出最合理的审计结论。再举一个例子，你在对一个项目的审计过程中发现项目刚进行一半，但预算费用即已所剩无几，你应该怎么办？当然是先对当前的现象分析，并在可能的情况下与Project Manager&Team、Project sponsor、project commitee的有关人员进行沟通，甚至还要到会计部门找相关凭证进行分析，然后你才可能提出审计结论，并提出若干建议。在这个审计过程中和对你所提建议的分析，都需要有数字支持，比如，“项目当前的成本、费用各是多少？产出如何？新建议的ROI是多少？如何控制？”等等，这些需要财务知识\r\n\r\n  7、此外，IS审计另外一块重要的内容，是substantive test，即实质性测试，这些包括对企业各主要财务报表（如平衡表、损益表）的分析，这与传统意义的审计已经很类似了。\r\n\r\n\r\n\r\n一点个人意见，供大家参考。欢迎讨论

bluevision

沒有 audit 經驗的人 (不管是 internal auditor 或 IT auditor) ，如何才可能踏入 audit 領域呢？\r\n即使踏入了這個領域 ...\r\n也應該從基層做起吧 ... \r\n\r\n您所述的 risk analysis & management 實際上也應該是要有經驗的人才能執行的吧？！\r\n\r\n我也正在尋求進入 IS audit 領域的敲門磚 ~\r\n若有觀念錯誤請指正

hotlyq

个人认为，作为一个合格的审计人员至少需要两方面的知识或技能：\r\n   

\r\n
• 审计知识：即与审计相关的基本知识和能力\r\n
• 相关业务知识：即被审计对象所属的业务领域的了解\r\n[/list=1] \r\n\r\n通常意义上讲，审计人员一般由有经验的人员担任。否则，就不会达到预定的结果。\r\n\r\n此外，做审计可以是从基层做起，也可以从上而下，没有一个固定的套路。这要依个人的实际情况而定。

running1977

不会做，不要紧，做几个项目就会了。谁一开始什么都会？？？

bluevision

想請教一下 ..\r\nCISA 有七個 domain, 每個 domain 中又可以依不同的產品區分出很多 ...\r\n執行 IS audit 的 auditor 應對該領域的所有產品均熟悉嗎？\r\n\r\n比如說我負責審計資料庫業務，那資料庫的種類有 DB2, MS SQL, Oracle, MySQL 等等的 ...\r\n需要對這些東西都了解嗎？\r\n若不是，那麼那些審計顧問公司的人力如何分派呢 ？\r\n(審計顧問公司的人力通常都不多)\r\n\r\nauditor 的專業到底是 IT 的專業要強呢？ 還是說 IT 專業只要廣，但 audit 專業要強？ 才比較好呢？

hotlyq

bluevision，你这个很难回答。具体是偏IT技术还是偏Audit能力，这个要视具体的case而定。\r\n\r\n另外，我现在不在审计公司，是一间IT公司，因此，不清楚审计公司的项目运作方式。还希望有相关经验的朋友们回答你的问题

sidebingying

只是搞IT的，没有审计背景学这个好学吗，，

hotlyq

有一些财务的知识最好