本人现在在PwC工作，本科学IT，愿意以实际经验解答关于Audit的问题

活着要努力

最初由 凉白开水 发布\r\n[B]\r\n\r\n还有IT auditor可能更多的从business perspective来理解IT，以及代表board of direct的利益 [/B]

\r\n\r\nls的很象CISA和Cobit里面的话。\r\n\r\n但是实际上，对于SOX IT compliance，偶怎么觉得有些control的cost是大于weakness可能带来的loss。一个不大的公司什么都是从严要求，做到最detailed。\r\n\r\n结果，compliance要求过多，企业投入太大，得不偿失。但是audit为了降低自身的risk，企业为了compliance，都只能这么做，没有办法。

我想做好人

最初由 活着要努力 发布\r\n[B]\r\n\r\nls的很象CISA和Cobit里面的话。\r\n\r\n但是实际上，对于SOX IT compliance，偶怎么觉得有些control的cost是大于weakness可能带来的loss。一个不大的公司什么都是从严要求，做到最detailed。\r\n\r\n结果，compliance要求过多，企业投入太大，得不偿失。但是audit为了降低自身的risk，企业为了compliance，都只能这么做，没有办法。 [/B]

\r\n\r\n我觉得有些WEAKNESS所带来的LOSS是比较难量化的, 并且不同的WEAKNESS的组合可能带来的结果也不同. 是否纠往过正很难判断\r\n\r\n不过SOX应该是把本来是大老板赚的一部分钱分给了内审, 内控部门以及外审, 咨询公司. 创造就业机会, 劫富济贫. 让社会更和谐, 还算是个好东西

活着要努力

最初由 我想做好人 发布\r\n[B]\r\n\r\n不过SOX应该是把本来是大老板赚的一部分钱分给了内审, 内控部门以及外审, 咨询公司. 创造就业机会, 劫富济贫. 让社会更和谐, 还算是个好东西 [/B]

\r\n\r\n非常赞同你的话，hoho～～～

basicer

从我的经历来看，审计，IT和公司管理层的利益分别是\r\n\r\n审计：\r\n1. 拿到足够的审计材料，减少自身的风险\r\n2. 帮助受审企业提高IT管理水平\r\n\r\nIT：\r\n1. 顺利通过审计\r\n2. 提高IT管理水平\r\n3. 成本考虑\r\n\r\n公司管理层：\r\n1. 顺利通过审计\r\n2. 成本考虑\r\n3. 提高IT管理水平\r\n\r\n其中IT和公司的目标基本一致，首要的目标就是通过审计，但IT希望通过审计提高IT在公司的地位，而公司则主要从成本考虑多一些。\r\n\r\n我也觉得IT人员与管理层沟通的时候，最大的问题是风险难以量化，虽然可以找到一些公开的报告，但对于一些特定的项目还没有一个行业标准来评估风险。

凉白开水

最初由 活着要努力 发布\r\n[B]\r\n\r\nls的很象CISA和Cobit里面的话。\r\n\r\n但是实际上，对于SOX IT compliance，偶怎么觉得有些control的cost是大于weakness可能带来的loss。一个不大的公司什么都是从严要求，做到最detailed。\r\n\r\n结果，compliance要求过多，企业投入太大，得不偿失。但是audit为了降低自身的risk，企业为了compliance，都只能这么做，没有办法。 [/B]

\r\n\r\nye     我的意思是审计得先熟悉业务……

凉白开水

最初由 jeff_wu 发布\r\n[B]恩， 继续讨论， 杜绝争吵。：）\r\n\r\n我个人的focus是erp系统的控制和安全，还有就是IT Governance。 [/B]

\r\n我也对IT Governance感兴趣， 最近在研究EA与IT Governance以及strategic alignment

tttkoo

最初由 jeff_wu 发布\r\n[B]\r\n\r\n我觉得要显摆身份的正是你， 这里大家都看得出来。\r\n\r\n你抬出charlie Fu怎么了？\r\n\r\n我进PwC前还和PwC全球CEO 面对面讨论过呢。 越牛的人其实越谦虚，不象某些人， 借别人的身份抬高自己。 [/B]

\r\n\r\n你要说是讨论问题欢迎,可是你的主题用得是\"解答问题\",这个么,地球人都看得出来! 这是谦虚吗?

jacky761229

最初由 活着要努力 发布\r\n[B]\r\n\r\nls的很象CISA和Cobit里面的话。\r\n\r\n但是实际上，对于SOX IT compliance，偶怎么觉得有些control的cost是大于weakness可能带来的loss。一个不大的公司什么都是从严要求，做到最detailed。\r\n\r\n结果，compliance要求过多，企业投入太大，得不偿失。但是audit为了降低自身的risk，企业为了compliance，都只能这么做，没有办法。 [/B]

\r\n说的好，说的好，控制成本和风险间的平衡是企业管理者要面对的一个问题。对风险很小的问题，的确没有必要实施成本很高的控制行为。这也是IT控制的一个优点，一旦实施一个ERP软件后，很多风险点都可以以较小的成本来防范，而不象加一个Manual的Control那样需要投入较高的成本，而且效果还未必好。

jeff_wu

最初由 tttkoo 发布\r\n[B]\r\n\r\n你要说是讨论问题欢迎,可是你的主题用得是\"解答问题\",这个么,地球人都看得出来! 这是谦虚吗? [/B]

\r\n\r\n这个帖子不是我发的， tttkoo请看清楚。\r\n\r\n另外，即使人说解答问题怎么了， 不谦虚又碍你什么事啦。 也比你扛出别人来指指点点强。

jeff_wu

最初由 凉白开水 发布\r\n[B]\r\n我也对IT Governance感兴趣， 最近在研究EA与IT Governance以及strategic alignment [/B]

\r\n\r\n哎，有兴趣没时间研究啊，