原創(chuàng)2024-07-10小艾老師

IT審計和傳統(tǒng)審計有什么不同嗎？IT審計有哪些方法呢？如何去進行IT審計？

IT審計具體應該怎么去做？…今天小艾老師就給大家介紹一些常見的IT審計方法（工具）。

先說一下IT審計的工作內(nèi)容。

不管是內(nèi)審還是外審，

IT 審計的工作可以分成“專項審計”和“支持工作”這兩大塊。

1）專項審計

專項審計，一般來說就是信息系統(tǒng)審計、信息安全審計以及其他專題的審計這些。

信息系統(tǒng)審計，想必大家已經(jīng)很熟悉了。它分為ITEC（公司層面控制）、ITGC（一般層面控制）和ITAC（應用層面控制)這三個部分。之前小艾老師也寫過科普文章，點此回顧>>
信息安全審計的范圍比信息系統(tǒng)審計要大，一般就是按照 ISO27001 或者行業(yè)規(guī)范作為標準，來給被審計單位的信息安全情況做個整體評估。
其他的專題審計，就是因為被審計單位或者監(jiān)管、管理層的要求，針對某個業(yè)務流程做的專門審計。

信息系統(tǒng)審計和信息安全審計有什么區(qū)別呢？

信息系統(tǒng)審計針對的是和信息系統(tǒng)有關的風險，

而信息安全審計針對的是和信息有關的風險。

舉例來說，

一份機密文件存在電腦，

這個與信息系統(tǒng)審計有關，也與信息安全審計有關。

但如果不存在電腦，而是打印在紙上或者記在人的腦子里，

這個會與信息安全審計有關，

信息系統(tǒng)審計則不包括這些，

因為紙啊，人的腦子啊…這些超出了信息系統(tǒng)的范圍。

2）支持工作

IT 審計人員還有一些支持類的工作，

比如按照財務審計人員或者其他項目審計人員的要求，

做信息系統(tǒng)可靠性評估、數(shù)據(jù)提取還有大數(shù)據(jù)分析這些事兒。

接下來，我們再來說說IT審計的工具和流程。

1）IT審計的步驟

主要是4個步驟，包括：

2）IT審計的工具

審計工具分成廣義的和狹義的。

廣義的包括審計底稿、分析辦法、溝通技巧、測試手段、應用軟件這些。

狹義的就是是專門的軟件或系統(tǒng)。

下面小艾老師結(jié)合IT審計的4個基本步驟

來說一下有哪些主要的審計工具（方法）。

審計底稿：很多審計人員剛開始都會使用事務所里之前項目（或者之前前輩）留下的成型的底稿，這些底稿用起來很方便。但如果遇到一些全新的項目，就沒辦法了，需要自己來設計底稿。設計一個合格的審計底稿其實也不難，參考標準，如下。

審計測試：設計底稿之后，就要開始正式的審計工作了，前期工作的重點在于數(shù)據(jù)收集和分析、文件審查以及審計測試。這里說一下審計測試，主要有3種：穿行測試、控制測試以及實質(zhì)性測試。

審計發(fā)現(xiàn)：然后就是去發(fā)現(xiàn)問題了。想要發(fā)現(xiàn)審計線索，可以基于合規(guī)、風險以及治理這三個層面去審查，而且要看得仔細、會分析思考、能歸納整理就行了。

審計意見：在發(fā)現(xiàn)審計線索之后，就要意識到潛在的風險，并提出可行的審計意見。碰到?jīng)]見過的風險，就用動態(tài)風險控制模型，從人員、流程、技術這三個方面琢磨怎么控制風險，再提出審計意見。

審計溝通：溝通技巧辦法挺多，像換位思考、注意語氣這些就不多講了。這里說一個特別有效的，叫降維溝通。就是別用我們的短板去跟人家的長處談，得用我們的長處去跟人家的短處談。比如跟技術人員說審計發(fā)現(xiàn)，別從技術的角度談，談不過的，得從更高的角度，比如從管理者的角度、風險的角度去說。

_后來說說IT審計方向的一些資質(zhì)認證。

主要就3個認證：