有真正从事信息安全审计工作的吗，以后多交流

4dmin

楼上的说的有道理。\r\n安全审计不仅包括技术层面的审计，应该更多的涉及业务流程、财务控制、管理制度、人员等等各方面，所以需要深入到企业的ERP等系统中去做审计，在各个层面上实施风险管理。\r\n不过，问题是在实际的项目中，安全审计服务是否会附属于企业的财务年审之类的服务，是否一般由会计公司实施，专业安全公司能否独立提供

wangjian55

上面诸位的观点非常有见地！获益匪浅也！\r\n\r\n粗粗看了一下CISA的课程，大体上还是信息安全的内容多一点。诸君认为应该更多涉及业务流程方面的审计，在这里我还是有许多困惑的。\r\n在ERP领域的审计和通常的内部审计、外部审计是有非常大的区别的。\r\n如果ERP系统已经运行了，那么，势必应该存在一套运行流程和体系了。这也就是符合性测试的内容了。\r\n在对ERP系统进行的审计中，存在这样的问题：对于检查业务处理流程的正确性，是检查应用程序的逻辑性和合理性？还是检查客户的初始化设置的正确性？\r\n如果是检查应用程序的逻辑性和合理性，那么，是审计员直接查看系统呢？还是使用另行开发的专用审计软件？\r\n如果是检查客户的初始化设置的正确性（譬如SAP，对一项具体的业务活动如生成会计凭证，用户先设置一项活动对应生成为某种编码的借方，另一种编码的贷方。然后设置将编码与特定的会计科目相联，以便实现业务活动发生的同时自动生成会计凭证。那么，在审计员检查的时候是正确的，而在平时处理的时候做了改动，审计员是否能够发现呢？[虽然这很麻烦，但若有心舞弊则再麻烦也有人做。]\r\n现在市面上的国内审计软件，也仅仅实现对会计科目正确性的检查，即首先把各种会计软件的数据库导入审计软件，再在审计软件中运行各种处理，然后核实最终数据的准确性。\r\n\r\n以上所述，辞不达意，期望专业人员给予解惑！