入职的四大某家的IT咨询部门,刚入职不久之后,因为IT审计那边缺人,我们其他业务线的小伙伴都被借过去了。经过了两个月的借调工作,对IT审计的工作做出了些许总结。如果有不准确的地方欢迎大家友善指正
为什么会有IT审计?
Audit部门的审计是查账的(是吧?)审查公司账目上的数字是否正确/准确。 但是各个公司都上了或多或少的财务系统,存储着财务相关的数据。想要确保Audit工作是有意义的,就要先确保这些存储财务相关数据的财务系统是reliable的,IT审计的工作(主要内容)就是确保这些涉及到财务数据的系统,是可靠的。
IT审计做什么?
IT审计的工作可以大致分为ITGC(Generral Control)和ITAC(Application Control)两部分,(反正在我们公司是这么分的。。其他公司不清楚),其中,ITAC做不做看情况但是ITGC是一定要做的。
ITGC就是从三个方面,衡量一个系统是否可靠,这三个方面分别是MA,MC,MO:
(全拼忘记了,为了解释起来简单,我的答案可能不够全面和精准)
MA: 系统的密码策略、权限管理及相关方面是否实施了有效控制
具体内容:去看系统的【用户列表】【管理员列表】【密码策略】等,可能发现的问题是:
“这个人明明不是财务部门的也不是管理层怎么会有管理员权限?”
“这个系统的密码没有设置复杂度要求,并且没有要求每个90天必须修改一次密码”
“这里有个员工已经离职/转岗了,但是账号没有被注销/账号权限没有被修改”等
MC:系统的(功能/版本)变更是否实施了有效果控制 / 获取【应用系统】【应用系统服务器操作系统】【数据库系统】【数据库服务器操作系统】的版本号(很多没学过CS的小伙伴刚做的时候会搞不清这些概念啊~我有一个同事把概念A和概念B搞混了,写的底稿里全是反的)
具体内容:拿到系统一整年的版本变化记录,针对每一次变化(升级)都要有对应的审批记录
可能发现的问题是:
"这个系统今年出现过两次变更,上了两个新功能,第一次发布新版本前没有拿到业务部门经理的审批邮件“等
MO:数据安全是否得到了有效控制
具体内容:检查数据备份任务时候准时运行/是否设置了数据备份任务,是否设置了异地备份机制,系统里其它的定时任务是否准时运行/针对未能准时运行或运行失败的任务是否有后续的处理机制等,可能发现的问题是:
"没设置异地备份"
"这个定时任务失败之后没有后续的处理,比如邮件通知“ 等
(MA MC MO的全部工作肯定比我说的要多,我只是写了一些典型的工作内容)
Notice you may be interested in about IT Auditing:
IT Auditing在四大通常不属于Audit部门,而是Advisory/Consulting部门因为第一点,所以在客户现场工作的时候,你和其他同公司Audit部门员工的工作关系不"同事",他们是你的客户,是客户找Audit部门来做财务审计,Audit部门找咨询部门来做IT审计。你们能拿到多少OT取决于Audit部门的老大的我上述提及的内容不是IT审计工作的全部,比如ITAC我就没说,只不过ITGC是每个IT Auditor都躲不掉的“基本功”年末的时候非常忙,一个月做4-6个项目很正常,一个客户呆一周,白天在客户那里把所有该要的材料(邮件、清单、系统截图)都要到,回去自己慢慢整理成底稿IT审计是有加班费的(反正我们公司有。。),而咨询部门下的其他子业务线,往往是拿不到加班费的第一年的小朋友,往往会被分到老客户的项目,基本上你只需要把去年做的审计工作,照着前一年的底稿,再做一遍(如果客户公司的系统环境没有发生大变化)你照着去年的底稿内容和方法论,做了一模一样的事情。但是,你的上级可能会提出新的Q(这个时候你就会想,去年就是这么做的你怎么不说呢???)你的工作好不好做,90%取决于你的客户配合不配合/脾气好不好,遇到好客户会很轻松,要什么给什么,让你能按时完成底稿; 遇到难搞的客户,你就等吧,求爷爷告奶奶地催材料吧以上内容是我做了两个月IT审计工作总结出的心得,之后就回到本部门工作了; 由于工作时间非常有限,对这份工作的理解可能不够准确,如有写的不对的地方,请大家友善地提醒我(我玻璃心)