对于一些初次踏入IT审计职业的同学而言，我们首先要清楚IT审计的核心是什么？

IT审计的核心：IT审计是识别和评估与IT有关的固有风险，只要这个事情与IT有关，它就一定会存在因为IT的信息系统的特点而存在的固有风险，这就和IT审计有关系。

了解了IT审计的核心，在谈IT审计工具之前，我们要了解我们审计工作的内容，我们今后将会开展一个什么样的工作，无论是内审还是外审而言，我们IT审计的主要的工作都分为两个方面，一个是专项审计，另外就是一些支持的工作。

专项审计顾名思义就是针对某一个特定的项目或者是课题开展的审计活动，一般来说IT审计人员可能会参与或者主导的专项审计，包括信息系统的审计，信息安全审计以及其他专题的审计。

信息系统审计可能我们大家都非常的熟悉了，主要是分为一般控制和应用控制这两个部分。

另外一类我们会开展的专项专题的这种审计，就是信息安全审计，这个范围就要比信息系统的审计要大一些，一般来说我们依据的都是ISO27001对被审计单位的信息安全情况进行一个整体的评价，或者是根据客户的行业特点，使用适用于客户的行业的规范或者是标准来进行审计。

那么信息系统审计和信息安全审计两者区别在哪？

信息系统审计是针对和信息系统相关的固有风险进行的审计，而信息安全审计是针对和信息相关的固有风险的审计，信息的范围就要比信息系统的范围要大很多。

比如说你要是有一份机密的文件，你把它保存在电脑里，这个就和信息系统审计和信息安全审计都相关，但是如果你把这个机密文件记在脑子里面，或者是打印在纸上，这个就和信息安全审计有关，信息系统审计就不包括这个范围，所以我们会看到信息安全审计里面会有很多的内容，这个内容是信息系统审计里面没有的，比如说对物理环境，对人员的安全意识，或者是对安全行为的相关的检查，就是他们两个的不同，可能在信息安全审计的过程中，根据客户的要求不同，可能还会涉及到信息安全评估这个方面，这个也是和IT审计不同的地方。

其他的专题审计主要指的是由于被审计单位的要求，或者是对于内审而言，由于监管或者是管理层的要求，因为某个事件对某个业务流程进行的专业审计。

IT审计人员的另一些工作主要是支持类的工作。一般来说内外审的IT审计人员针对财务审计人员或者是内审的其他项目的审计人员的要求，进行一些支持类的活动，包括对被审计单位信息系统的可靠性的评估，还包括对被审计单位业务系统或者是财务系统的数据的提取，对数据的进行大数据的分析等等这样的一些支持类的工作。  

一般审计工作的8个步骤：

1、审计主题

2、审计目标

3、审计范围

4、审计前规划

5、数据搜集的审计流程和步骤

6、评估测试结果或审查结果的流程

7、与管理部门沟通的过程

8、出具审计报告

审计工具

了解了我们整个的 IT审计从事的工作的内容和工作的步骤之后，我们来说下审计工具。我认为审计工具应该分为广义的审计工具和狭义的审计工具。

我们经常会看见有很多人在微信群里面会去求各种底稿，其实底稿是什么？底稿其实就是一种审计工具，所以我把这个审计工具分成这么两类，一类是广义的审计工具，这里面包括审计底稿、分析方法、沟通技巧、测试手段、应用软件，这是广义上的这些我们上述审计过程中都会使用到的这种程序方法工具，这些都可以称之为审计工具。

另外一类就是一种狭义的审计工具，狭义的审计工具主要就分为两类，一类是专业的软件，或者根据特定需求而开发的软件或者系统。另外一类是通用的工具，通用工具包括IT的工具、安全工具、信息数据分析工具等等。

介绍下广义的审计工具，从广义的角度上来讲，所有的审计方法和技巧都可以称为审计工具。

审计流程与步骤

下面我们通过整个审计工作的基本流程基本步骤来看一下有哪些我们可以用到的技巧和方法。

首先我们在立项阶段，立项就记住4个字，以终为始。

01、审计底稿

很多的审计人员刚开始从事审计工作的时候，使用的是事务所或者是之前项目留下来成型的底板，这些底稿的使用起来非常的方便，以至于我们很少去考虑底稿是从哪来的，但在我们的职业生涯里面总会遇到这种全新的项目，原有的底稿可能会无法满足我们的这种需求，这时候我们就需要重新设计审计底稿。

其实设计一个合格的审计底稿并不难，首先我们要明确审计目的是什么，明确了这个审计目的之后，我们就需要围绕着目的去选择合适的参考标准。 一般来说我们的参考标准来自几个方面，第一个是国家法律法规或者是监管的要求，第二个是行业或者是国内国际的这种标准，第三个就是公司的流程或者是制度。

02、审计测试

设计底稿之后，我们就要开展审计工作了。在我们按照审计程序开展审计工作的时候，我们不可避免的要进行的一个非常重要的工作，就是审计测试。

在IT审计工作中一般有三种测试，一种是穿行测试，一种控制测试，还有一种实质性测试。穿行测试是指在追踪数据在信息系统中处理过程这种测试。控制测试它也叫合规测试，是测试系统控制的运行是否有效的一种测试。实质性测试是对存在重大风险的对象进行检查，认定的结果这样的一个测试。

而我们现在审计方法都是以风险为导向的，因此所有的审计程序理论上都会和风险相关的，与风险相关你就一定会包含这两个环节，一个是风险识别，一个就是风险应对。  

03、审计发现

我们的审计人员要去如何发现审计线索，在发现审计线索的时候，我们应该具备或者说我们要锻炼自己什么样的一个能力，下面我们就来谈一谈这个问题。

不同目的的审计，过程和结果也不同，要想以发展的眼光看待审计，就要让自身不断成长。

我们过去的审计工作，关注由于不合规给企业带来损失。现在我们审计工作是关注风险，关注风险可能在未来给企业带来的损失。在今后我们审计将会向着一个以治理为导向的方向来发展，那个时候我们关注的是通过审计工作能给企业带来多少价值。

想要发现审计线索，需要坚持做到观察入微、分析思考，归纳整理和明辨秋毫。

04、审计意见

我们现在有了发现审计线索的能力之后，发现了潜在的风险，应该如何提出可行的审计意见。很多的审计人员通过非常细致的审计工作，发现了被审计单位很多潜在的风险，这些风险有的可能见过，有的能够给出比较合适的审批意见，但是有的情况之前的工作中没有遇到过，第一次预检有一部分审计人员可能就不知道怎么办，不知道应该怎么提出有效的合理的风险控制的措施，也不知道从哪个方面入手来提出什么意见，所以今天我就来给大家交流介绍一种方法，当你面对一个你从来没有遇见过的风险的时候，你应该如何的去思考，如何的去提出你的审议意见？

我总结的这套风险控制的方法叫做动态风险控制模型。首先跟大家来介绍一下模型，这个模型叫做信息安全业务模型，模型主要是介绍了在企业进行生产活动过程中和信息安全相关的各个因素，以及他们对信息安全的影响，他们之间的相互关系和作用。

你看这个组织这里面说到企业里面一共有4个因素，组织人员流程和技术，他们之间会对信息安全企业的信息安全造成影响，并且他们之间也会有相应的影响。但这种关系其实并不仅仅是只存在于信息安全的里面，同样也存在于风险控制领域里面，这就是我要介绍的动态风险控制模型。

这个模型有这么几个特点，第一，所有的风险都可以通过人员流程记住三个方面来实施风险控股。第二、三缺一不可，缺少任何一方都会造成风险控制的缺失。三就是三者处于一种动态的平衡之中，相互影响。当一方控制薄弱的时候，需要加强另外两方的强度，来以保持对风险的有效控制。这个模型是针对任何风险，就不仅仅是信息安全的风险，IT的风险，还包括你在工作生活中遇到的所有的风险，都可以通过这个模型来研究风险控制的方法。

总结一下，当你遇到一个风险的时候，你不要着急，你可以利用我刚才说的动态风险控制模型，从三个方面来入手，考虑如何控制这个风险，它控制是否有缺失的方面，或者是某个方面的控制是否薄弱，是加强这个方面还是加强其他两个方面，我们可以从这些个方面来去思考，控制风险的方法，从这些个方面来提出我们的审计意见。

05、审计沟通

审计人员通过了辛苦的工作，发现了很多的风险，也总结出来了很多有效的审计建议，拿着辛苦的工作成果之后去结束工作的时候，如果出现另外一个问题你去和对方沟通的时候沟通很困难，对方不接受你的审计发现和审计建议，反反复复的跟你纠缠，造成这样沟通困难的原因有很多，关于沟通的技巧的方法，网上有很多的课程，什么换位思考，什么注意语气等等，这里面我不和大家多说了，我这里面和大家介绍一个我个人认为非常有效的沟通技巧，叫做降维沟通。

也就是说我们不要用我们的弱项去和对方的强项去谈，而应该用我们的强项去和对象的对方的弱项去谈，你打个比方，我们和技术人员谈审计发现的时候，我们不要围绕着合规这个角度，技术这个角度和他谈，谈来谈去你也谈不过他，我们要从更高的一个维度去谈，从风险的角度去谈，这个角度我们应该从一个管理者的角度去和技术人员去谈。

以上是我的分享，在整个各个审计步骤当中，我们会遇到的各类的审计的问题，以及在处理这些问题的过程中，你所需要掌握的方法和技巧，我把这些审计的方法和技巧都叫做审计工具，这是广义上的岗位，掌握了这些工具可以对你的审计工作甚至是职业生涯都有所帮助，因为它不仅仅是针对审计，还包括你在职场中甚至生活中遇到的各类问题。

审计方向的资质认证，一直备受关注。对于国内外审计领域证书，很多人不知道CISP-A、CISA、ISO27001 Auditor之间的区别，来看三证精华对比图！

CISP-A（国家注册信息系统审计师）

CISP-A是2016年推出的国家注册信息系统审计师认证，是国内唯一的信息安全系统审计师认证课程。作为数字时代的新职业，网络空间的监督员，CISP-A审计师被赋予新的使命和用途。

国家注册信息系统审计师的职责是执行审计以判断信息系统控制措施的设计有效性和执行有效性，并提供审计改进意见。持有信息系统审计师证书体现了证书持有者在信息系统审计，安全与控制等方面的综合实际能力。

 

CISA（国际注册信息系统审计师）

CISA国际注册信息系统审计师证书自1978年推出以来，已经有超过150,000名专业人士通过考试认证。被誉为是IT审计行业的“上岗证”，审计/控制/安全领域专业身份证明，信息系统管理与安全首选认证，一直名列“薪资最高证书之列”，是全球认可的技术实务资格证书。

目前，CISA认证已经成为持证人在信息系统审计、控制与安全等专业领域中取得重要成就的象征。中国获得CISA认证的审计师分布在银行、证券、政府、高端制造业、信息服务业等高端行业内，越来越受到国内各大企事业单位认可。企业组织在招聘集审计、安全、风险、合规和隐私等领域专长的复合型人才时将CISA证书作为硬性资格条件。”

ISO27001 Auditor

ISO/IEC 27001 Auditor 为培养 ISO27001标准审计人员所开设的课程，注重信息安全管理体系审计的内容，偏重于对 ISO27001 标准的管理以及如何针对标准条款进行审计、审计过程方法与技巧，类似于信息安全管理体系建设过程中「裁判员」的培训。

ISO27001 Auditor学什么内容？