迷失在IS Audit……

freelhd

我也觉得对IT auidit没有很深刻的理解，但是sap公司在这方面做的很好

jacky761229

最初由 freelhd 发布\r\n[B]我也觉得对IT auidit没有很深刻的理解，但是sap公司在这方面做的很好 [/B]

\r\n所以当我们去网上(比如：www.auditnet.org)搜索一些Audit Program的时候，SAP总是最丰富的。

四月牧羊

我认为你也在误解IT Audit。我已经说过了，把IS Audit中的Audit翻译成审计是很迷惑人的。\r\n\r\n        //【其实并非如此，是否进行IT审计主要还是取决于两个因素：\r\n          //1、信息系统对财务报表的影响程度；\r\n          //2、审计事务所或内部审计人员所采用的审计方法论；\r\n\r\n        /  /】\r\n这样说是不是有点片面，信息系统就是用来做财务报表的？\r\n\r\n我认为，谈IS Audit必须从信息化说开去，信息化给我们带来什么？如何变革迎接挑战？如何充分利用IT资源？如何管理好所依赖的信息与信息平台？如何进行控制把风险降到最低？……

hellowell

其实，我并不认为ＩＴＡｕｄｉｔ同ＳＯＸ之间有因果关系．我的经验告诉我，在ＩＴ管理内部，推行一项策略的难度和压力是你我都可想像的．而ＳＯＸ的出现给ＩＴ部门管理者提供了一只的＂打狗棒＂．高层管理者关心的只是budget和profit，一只打狗棒绝对是敦促他们做决定的好家伙．\r\n\r\n当然，为什么要做ＩＴＡｕｄｉｔ，我认为殊途同归的解释可以分别从＂finance control＂和＂IT Governance＂来说明．（看起来，我和你分别代表他们）．而这两方的目标是一样的，最终通过对内部的控制，达到保证企业运作及预防危机的有效性．\r\n\r\n可是我们抛开Ａｕｄｉｔ的整体目标而言，单讲ＩＴ的审计，任何一个ＩＴ管理者都是非常欢迎的，甚至是举四手欢迎的，尽管对Ｕｎｉｘ服务器的权限管理机制从来都存在，尽管对灾难恢复的ＤＲＰ从来都有．可是至少在那个无形的技术壁垒后面，ＩＴ管理者多了一个可以讨价还价的筹码．\r\n\r\n这种殊途同归也变态的体现在ＩＴ审计人员的定位和ＩＴ审计这门学科上．　都是哪些人在做这个行业呢？　原来有Ａｕｄｉｔ背景的？　原来有ＩＴ背景的？　在这门定位为＂边缘学科＂的行业里，和和，个个都是＂综合性＂人才．　　\r\n但我认为现在搞ＩＴ的同学，深入了解一下Ａｕｄｉｔ绝对是件大好事．　和和，在年年被审的同时，至少知道为什么要规范操作，至少不会抱怨再做流程控管．

jacky761229

最初由 hellowell 发布\r\n[B]其实，我并不认为ＩＴＡｕｄｉｔ同ＳＯＸ之间有因果关系．我的经验告诉我，在ＩＴ管理内部，推行一项策略的难度和压力是你我都可想像的．而ＳＯＸ的出现给ＩＴ部门管理者提供了一只的＂打狗棒＂．高层管理者关心的只是budget和profit，一只打狗棒绝对是敦促他们做决定的好家伙．\r\n\r\n当然，为什么要做ＩＴＡｕｄｉｔ，我认为殊途同归的解释可以分别从＂finance control＂和＂IT Governance＂来说明．（看起来，我和你分别代表他们）．而这两方的目标是一样的，最终通过对内部的控制，达到保证企业运作及预防危机的有效性．\r\n\r\n可是我们抛开Ａｕｄｉｔ的整体目标而言，单讲ＩＴ的审计，任何一个ＩＴ管理者都是非常欢迎的，甚至是举四手欢迎的，尽管对Ｕｎｉｘ服务器的权限管理机制从来都存在，尽管对灾难恢复的ＤＲＰ从来都有．可是至少在那个无形的技术壁垒后面，ＩＴ管理者多了一个可以讨价还价的筹码．\r\n\r\n这种殊途同归也变态的体现在ＩＴ审计人员的定位和ＩＴ审计这门学科上．　都是哪些人在做这个行业呢？　原来有Ａｕｄｉｔ背景的？　原来有ＩＴ背景的？　在这门定位为＂边缘学科＂的行业里，和和，个个都是＂综合性＂人才．　　\r\n但我认为现在搞ＩＴ的同学，深入了解一下Ａｕｄｉｔ绝对是件大好事．　和和，在年年被审的同时，至少知道为什么要规范操作，至少不会抱怨再做流程控管． [/B]

\r\n\r\n看来你对内控有深刻的认识，完全同意你的观点。顺便说一下，欢迎IT Audit的IT管理者是聪明的。的确，IT Audit使IT管理者在企业里的地位得以增加，同时，也使IT部门的责任得以增加，当然，IT Manager就可以问老板要更多的Budget啦，呵呵。可叹的是，很多时候要我去和对面的IT经理说明这点，他才会想到，所以不是每个IT经理都这么聪明的啦。\r\n\r\n另外，需要说明的是，我虽然做过一段时间的IT Manager，但基本上我都是站在审计者的角度来工作的，所以我完全同意理论和实践之间是有很大的差距的，而这个差距审计者是不能体会的。所以我经常会伤逝我的独立性：（

hellowell

------------\r\n同时，ISAudit的思想或理念可以在信息系统做plan的时候就融合进去，岂不是更好？\r\n------------\r\n\r\n关于这句话，部分同意你的观点．仅分析下面情况：\r\n\r\n在做信息系统的时候，外包是大多数公司的做法．　甲方的项目团队如果缺少Ａｕｄｉｔ方面的知识，尽管他可能是这方面的专家，但在规范乙方工作的时候就缺少系统化的支撑．项目后遗症可想而知，更不要提那些非专业的甲方项目经理做出来的东西．\r\n\r\n但项目的的控管，就算是甲方团队有懂Ａｕｄｉｔ的人，也还是不够的，项目运作期间，引进具有独立性的第三方是必要的，可惜，这第三方不是Ａｕｄｉｔｏｒｓ，当然也不能是Ａｕｄｉｔｏｒｓ，　而是具有专业项目经验的＂ＩＴ项目监理＂．　\r\n\r\n这一点中国到是满有远见，甚至规定政府工程一定要有监理的存在．　和和，当然监理工程师的资质是另外一个话题．\r\n\r\n至于Ａｕｄｉｔ的中文，其实＂审计＂是很适合的，也仅仅是审计，因为其他的专业领域都有相应的解释．

freelhd

随着IT对业务部门的影响越来越大，金融、证券、制造等行业对IT的依赖程度也越来越深。传统的审计无法合理体现系统目前的资产和风险。这也应运而生乐IT审计。我们目前风风火火的风险评估可以说是IT审计的前奏，但IT审计还是审计为主干思想，在IT审计时将成熟的审计方法和思路运用到IT系统中去，对系统目前存在的风险作合理化的评估。因此IT审计员是一门综合科学，它依赖于IT的操作方法，就像电子商务一样，核心是商务，电子是手段，我想IT审计也一样。因此做好IT审计不是IT部门就可以搞定的

hytalker

我们要讨论的不是IS Audit吗？\r\nIS Audit等于IT Audit吗？

jacky761229

最初由 hytalker 发布\r\n[B]我们要讨论的不是IS Audit吗？\r\nIS Audit等于IT Audit吗？ [/B]

\r\n没看到过对两个Term的分别定义，可以谈谈你的观点啊。

cisamaqing

严格地讲，目前国际上讲的是IS Audit，信息系统审计。\r\n\r\n国内的“专家”搞出个IT Audit，信息技术审计以替代IS Audit。