一、关于IT审计,有什么证书吗?
IT审计师资格
目前通过IT审计师资格认证的全球有2万人,中国不足百人,全都伏配在国际五大会计公司、专业咨询机构和著名跨国公司担任要职,国内会计师事务所里还没有CISA。国际审计师在中国一直处缺仔指于严重缺乏的状态,在未来的几年,拥有CISA证书,将成为“鱼跃戚答龙门的重要砝码。
二、国际信息系统审计前景如何
信息指乱系统审计师工作比较稳定,有一定的性价比(相比财审不是很累,钱不会比财审少,但这是目前的情况),不会有暴富的机会。
一个岗位的价值取决于其本身的技术含量及社会上相关人才的供应量。IT审计需要点IT的知识,需要段逗高点审计的知识,虽说需要复合型人才但整体来说难度不大,而且都是模块化、流程化的工作方式。至于人才的供应量,这两年这个概念炒得还是比较火的,暂时人才相对有点短缺,不过,我10年过CISA的时候,这个证的全球通过率是50%,进这行的人也越来越多,长久来看,其前景跟做财审的差不多,如果不往IT技术上深入研究握尺的话,光做一些ITGC,可能价值还不如做财审。
三、it审计 怎么做
做丛 ITGC主要审以下内容:
一、ELC(entity level control)控制。就是看看客户在IT治理方面的相关组织架构是否合理,书面的管理制度是不是健全,具体的审计程序就是获取客户的组织结构图,及一些比较虚的总纲类的书面管理制度如《IT管理制度》等等。
二、系统开发和变更。就是关注系统开发和系统后续小变更中的一些控制,具体的审计程序就是获取系统开发及变更相关的管理制度典型的如《系统开发制度》《系统变更管理制度》等来看一看,再看系统开发是否经过了需求提出、可行性研究、领导层审批,系统上线之前是不是经过了充分的测试,获取一纯或些内控痕迹和表单,如《××系统纯裤樱需求报告》、《××系统可行性报告》、《××系统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》,然后变更方面比较重要的就是《变更审批单》,这个一般来说还要进行抽样,而上面的开发流程一般来说做一两个穿行测试就行了。
三、操作系统及数据库控制。这一块呢具体就是看操作系统和数据库登录是不是要密码,然后把登录界面截个屏作为审计证据K进底稿里,蛮弱智的。然后呢就是调出操作系统及数据库中的一些安全配置,如密码复杂度的要求,密码是不是强制一个月改一次,对系统的敏感操作是否有日志记录,日志是否有人去复核,再者就是看用户权限管理是否按照基于角色来进行权限分配。现在商用方面操作系统用得比较多的是win2000,LINUX,UNIX,银行AIX用得比较多,数据库就是SAP,ORACLE,SQL server等,银行DB2用得也比较多。审计的时候呢,对于安全配置,就是输入一些命令,调出相关配置,四大像安永会有团队专门设计脚本 ,只要放到客户机器上那么一跑,结果自动就出来了,高度傻瓜式,流程化机械化,IT审计师的可替代性更强了,价值更低了。再就是把所有用户的权限列表拉出来,看是不是合理合规,后点关注超级管理员的权限。
四、应用系统控制。关注点同操作系统及数据库。不过应用系统千变万化,比如银行里面比较大的应用系统就有综合业务系统(有的叫核心业务系统)、国际结算系统、大小额系统、信贷管理系统等等等等。但万变不离其综,这些系统做ITGC思路都是一样的,就看安全配置和用户权限。如果要支持财审进行ITAC的审计,则要具体情况具体分析设计,因此个人认为ITAC的审计是IT审计师能体现自身经验与价值的地方,光做ITGC是没有前途的
五、接口控制与信息安全。各种系统之前会有接口,那么数据从一个系统传输到另一系统中数据的准确性完整性要得到保证。审计程序一般首先看系统中是不是有自动核对的机制,比如银行的核心业务系统基本与每个重要的业务系统都有接口并且每天会进行大量的数据交互,做的好的会有一个核对机制,加入一些校验机制,确认数据的准确完整,有的银行测没有。信息安全就是看看网络管理相关的制度,看看防火墙的结构,内外网是不是分离啊等等,无聊至极。