信息安全审计的范围比信息系统审计要大,一般就是按照 ISO27001 或者行业规范作为标准,来给被审计单位的信息安全情况做个整体评估。
其他的专题审计,就是因为被审计单位或者监管、管理层的要求,针对某个业务流程做的专门审计。
信息系统审计和信息安全审计有什么区别呢?
信息系统审计针对的是和信息系统有关的风险,
而信息安全审计针对的是和信息有关的风险。
举例来说,
一份机密文件存在电脑,
这个与信息系统审计有关,也与信息安全审计有关。
但如果不存在电脑,而是打印在纸上或者记在人的脑子里,
这个会与信息安全审计有关,
信息系统审计则不包括这些,
因为纸啊,人的脑子啊…这些超出了信息系统的范围。
2)支持工作
IT 审计人员还有一些支持类的工作,
比如按照财务审计人员或者其他项目审计人员的要求,
做信息系统可靠性评估、数据提取还有大数据分析这些事儿。
02
接下来,我们再来说说IT审计的工具和流程。
1)IT审计的步骤
主要是4个步骤,包括:
审计立项,就是前期了解下审计的目标和范围,做好一些规划和准备工作。
收集信息与审查,包括数据收集与分析、文件审查、审计测试和面谈等。
评估风险,评估测试的结果(或审查结果),确定可能影响业务目标和可持续性的风险,并与负责人沟通。
编写报告,包括风险评估和改进建议,做成报告(最后再跟踪下整改情况)。
2)IT审计的工具
审计工具分成广义的和狭义的。
广义的包括审计底稿、分析办法、沟通技巧、测试手段、应用软件这些。
狭义的就是是专门的软件或系统。
下面小艾老师结合IT审计的4个基本步骤
来说一下有哪些主要的审计工具(方法)。
审计底稿:很多审计人员刚开始都会使用事务所里之前项目(或者之前前辈)留下的成型的底稿,这些底稿用起来很方便。但如果遇到一些全新的项目,就没办法了,需要自己来设计底稿。设计一个合格的审计底稿其实也不难,参考标准,如下。
审计测试:设计底稿之后,就要开始正式的审计工作了,前期工作的重点在于数据收集和分析、文件审查以及审计测试。这里说一下审计测试,主要有3种:穿行测试、控制测试以及实质性测试。
审计发现:然后就是去发现问题了。想要发现审计线索,可以基于合规、风险以及治理这三个层面去审查,而且要看得仔细、会分析思考、能归纳整理就行了。
审计意见:在发现审计线索之后,就要意识到潜在的风险,并提出可行的审计意见。碰到没见过的风险,就用动态风险控制模型,从人员、流程、技术这三个方面琢磨怎么控制风险,再提出审计意见。
审计沟通:沟通技巧办法挺多,像换位思考、注意语气这些就不多讲了。这里说一个特别有效的,叫降维沟通。就是别用我们的短板去跟人家的长处谈,得用我们的长处去跟人家的短处谈。比如跟技术人员说审计发现,别从技术的角度谈,谈不过的,得从更高的角度,比如从管理者的角度、风险的角度去说。
03
最后来说说IT审计方向的一些资质认证。
主要就3个认证:
国内的:CISP-A
国际的:CISA
国际的:ISO27001 Auditor
很多人不清楚它们之间的区别,来看一下对比图:
在IT审计领域,
小艾老师建议首选CISA国际信息系统审计师认证,
至于ISO27001 Auditor以及 CISP-A,
可以根据自己的实际情况和需求,
有选择性的安排学习就行了。
最后给大家附上关于CISA认证的知识脑图,想对该认证进一步了解的可以评论区留言或者私信我!!
返回搜狐,查看更多