首先,先给个结论,IT审计和财务审计,从本质上都是一样的,我不太了解您说的这个“火”是到什么程度,仅能说,IT审计是一个可以在一定程度上永续存在的行业,只要审计、内审相关行业在,IT审计这个行业就在,而且,目前IT审计还是处于上升期的,但其未来可以达到的天花板也很明显。
接下来我解释解释原因:
1、为什么说是“一定程度上永续存在”:
IT审计和财务审计,其实都是吃监管红利这碗饭的,试想如果不是监管要求,那哪家公司愿意花这么多钱请第三方去做财务审计,出报表呢(当然,股民的意愿也是存在的,但财务审计的核心动力还是监管强制要求)。IT审计也是如此,它本身就是从财务审计业务中发展出来的一部分,是财务审计的辅助。一方面,IT审计吃财务审计的监管红利,你如果去翻注会审计教材,里面有专门的IT审计的内容,《企业内部控制指引》中也明确说明了IT审计的必要性,证监会上市公司指引中也提到了IT审计、数据核查(目前在大的会计师事务所,数据核查算是IT审计的一个子类,很多数据核查的业务都是由IT审计这个团队承接的)相关的要求;另一方面,国家近几年对企业信息科技内部控制的要求也越来越严格,并且这种严格已从金融业发展至非金融业,《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》、《商业银行信息科技风险管理指引》、《银行业金融机构信息系统风险管理指引》等等,这些监管要求,都需要企业出具应对措施,并对应对措施的有效性进行报告,那怎样才能出具有公信力的报告呢?答案就是请第三方来做评估。
所以,只要上述监管的大趋势和要求不变,IT审计这个业务,就是有活可以做的。
2、为什么说是“处于上升期的”
一方面,是因为之前传统的财务审计,其实并不关注IT审计这个环节,然而现在情势发生的变化,企业,尤其是金融行业对于信息系统的依赖程度越来越高,加之之前互联网金融、互联网教育、游戏行业等迅速发展,传统财务审计的中的一些程序已经无法完全或高效应对这些企业的业务,例如库存盘点这类程序就很难适用于虚拟资产;且因为这些公司的业务均在信息系统中流转,那对于这些公司的内控测试很大程度上就等同于对于信息系统的内控测试。在这种背景下,财务审计目前均在加大引入IT审计的力度。
另一方面,是因为目前监管对于IT系统安全、IT系统稳定性、数据保护、个人隐私保护、网络安全等的要求是越来越严格的,因为监管力度的加强,IT审计也就越有市场,像IT全面风险审计、IT系统后评估、IT专项审计、IT架构、IT系统部署、网络和数据安全等审计和咨询项目就越多。尤其是对于IPO的公司,因为证监会53号问题,对于有互联网属性的公司,在IPO阶段进行数据核查和IT核查已经成为必须的程序,这也带来了很多的业务量。最后,对于企业内部来说,也是因为监管的强硬要求,企业内部现在已经开始设置专门的IT审计团队,这也带来了一部分就业量。
3、为什么说是“天花板明显”
其实原因在上面已经探讨过了,这个行业是吃监管红利的,监管不可能一直不断的加强,倒一定程度就会停止,那到时候IT审计发展的驱动力也就停止了,之后,IT审计就会和财务审计一样,可能成为企业每年都必须做的一件事,但也就到此了,你看看现在财务审计的情况,就能知道IT审计的未来是怎样的。
另外,要知道IT审计并不会为企业带来利润的直接增长,反而是消耗,所以企业也是没有驱动力去壮大IT审计的(这就和很多企业不愿意壮大内审团队,是一样的道理),只要能满足监管要求,企业也就达标了,同理你看看一般企业里内审团队的情况,也就能知道IT审计在企业中的未来是怎样的了。
最后,IT审计当然也会承接一些IT相关的咨询工作,但这些业务量目前发展量还较少,以后的发展情况,也不是很好说,但我预期难以突然的大爆发,稳步增长倒是很有可能的。
最后再call back一下你的问题:这行的前景和发展方向参见我上面的回复;it审计会是个大趋势吗?答案是“Yes”,会是大趋势,因为监管要求。大概多久这行业会火起来?这个“火起来”很难判断,见仁见智吧,还是参见上面的回复吧。
The end.