400-888-5228

CISA認證是由信息系統審計與控制協(xié)會(huì )(ISACA)頒發(fā)的,針對信息系統審計、控制與安全領(lǐng)域的專(zhuān)業(yè)認證。它表明持證人在評估和審計信息系統的安全性、可靠性和有效性方面具備專(zhuān)業(yè)知識和技能。CISA 認證在信息技術(shù)和審計領(lǐng)域具有較高的認可度。

  • 中文名CISA信息系統審計師認證
  • 英文名Certified Information Systems Auditor
  • 英文簡(jiǎn)稱(chēng)CISA
  • 頒證機構ISACA(國際信息系統審計與控制協(xié)會(huì ))
  • 證書(shū)類(lèi)別IT審計,IT運維,信息安全
  • 同類(lèi)認證CISM、CRISC

01

做IT 審計,一開(kāi)始就是通過(guò)和被審計公司具體系統或平臺的技術(shù)負責人、業(yè)務(wù)負責人調研訪(fǎng)談,去了解被審計公司(項目)的建設背景、需求、目的、實(shí)施運行的情況和效果,還有技術(shù)實(shí)現辦法、功能架構、技術(shù)架構、業(yè)務(wù)架構、安全架構、部署架構、容災方案這些。

 

再去看看相關(guān)系統或平臺的設計文檔、運行數據、日志記錄、功能實(shí)現、應急預案等,來(lái)評估建設、運行、維保階段費用支出合不合理、有沒(méi)有效,還有項目運行安不安全、可不可靠、穩不穩定、能不能擴展等。

 

還有抽查一下公司業(yè)務(wù)(項目)的全生命周期里相關(guān)配套文檔全不全,建設過(guò)程有沒(méi)有完整的管理控制辦法,運行期間數據完不完整、生產(chǎn)數據和消費數據一不一樣這些。

 

通過(guò)對公司(項目)的調研數據的抽樣整理、問(wèn)題分析歸納以及必要的穿行測試,總結出核心問(wèn)題、差異問(wèn)題和共性問(wèn)題,_后提出能執行的改進(jìn)建議。

 

IT審計要做的,大致就是這么些事情。

IT審計應該怎么做?審計哪些東西?哪些是需要特別關(guān)注的?

02

那么,審計的重點(diǎn),應該放在哪些地方呢?

 

1)評估業(yè)務(wù)流程的復雜程度

 

首先我們要把與財務(wù)相關(guān)的業(yè)務(wù)流程梳理出來(lái),不同公司(項目)關(guān)注的重點(diǎn)不一樣。比如說(shuō)電商行業(yè)或者零售行業(yè)可能更會(huì )關(guān)注它的銷(xiāo)售流程;而制造業(yè)的話(huà),相對來(lái)說(shuō)更會(huì )關(guān)注它的生產(chǎn)流程;在舞弊可能發(fā)生較大的行業(yè),可能會(huì )更為關(guān)注采購流程。

 

對于不同項目,我們先得做基礎的判斷,明確這家公司哪些流程應重點(diǎn)關(guān)注,接著(zhù)針對梳理出的流程清單進(jìn)一步拆解,評估流程處理過(guò)程中是否涉及復雜公式或大量數據錄入,哪些是手工處理,哪些是自動(dòng)化實(shí)現,還要和財務(wù)審計團隊緊密溝通,了解生成報告過(guò)程中對系統的依賴(lài)程度,是否依賴(lài)自動(dòng)化控制等。

 

對于業(yè)務(wù)流程的檢查,主要是核查對業(yè)務(wù)流程以及費用的控制。

 

業(yè)務(wù)審核清單:

  • 業(yè)務(wù)流程在信息系統中的實(shí)現情況。
  • 業(yè)務(wù)系統對業(yè)務(wù)邏輯的支持和遵循程度。
  • 業(yè)務(wù)數據在系統中的流轉和準確性。
  • 業(yè)務(wù)系統中關(guān)鍵業(yè)務(wù)節點(diǎn)的控制措施。
  • 業(yè)務(wù)系統與相關(guān)業(yè)務(wù)系統的集成和協(xié)同效果。
  • 業(yè)務(wù)系統的用戶(hù)體驗和對業(yè)務(wù)效率的影響。
  • 業(yè)務(wù)系統中業(yè)務(wù)權限的分配合理性。
  • 業(yè)務(wù)操作的痕跡和可追溯性。

 

費用審核清單:

  • 信息化項目費用預算的合理性。
  • 信息化項目費用支出與預算的對比。
  • 各項費用明細的合規性。
  • 硬件設備采購價(jià)格的合理性。
  • 軟件授權費用的準確性。
  • 服務(wù)費用的計費依據和標準。
  • 費用分攤的合理性。
  • 項目成本控制措施的有效性。
  • 對費用超支或節約情況的分析。
  • 費用報銷(xiāo)流程的規范性。

 

2)評估IT系統的復雜程度

 

先要了解IT系統是自研還是外購,功能的復雜程度、是否為標準商業(yè)軟件、系統實(shí)施和運行的參數設置復雜與否、上次系統架構或版本重大變更時(shí)間、對財務(wù)系統影響大小以及變更后運行時(shí)長(cháng)等綜合因素。

 

對于IT系統的審計,主要是抽樣核查IT系統的完備性以及安全性。

 

完備性審查清單:

  • 抽樣核查項目依賴(lài)的 IT 資產(chǎn)(如數據庫、操作系統)及硬件資源(如服務(wù)器、網(wǎng)絡(luò )/存儲設備等)是否完備且合理有效;
  • 核查核心與用戶(hù)數據的備份、還原機制、業(yè)務(wù)負載、監控、容錯、冗余及業(yè)務(wù)持續服務(wù)能力支撐是否具備;
  • 核查研發(fā)、測試、運維、發(fā)布等環(huán)境在隔離、權責、安全、可靠性與穩定性等方面的管理是否完整有效;
  • 核查業(yè)務(wù)生產(chǎn)與監控等數據在產(chǎn)生、傳輸、歸檔、銷(xiāo)毀全流程的管理和運維是否可審計、可追溯;
  • 核查項目建設與管理的規章制度及人員建設,以防因 IT 管理制度與人員管理問(wèn)題影響業(yè)務(wù)發(fā)展或造成不必要損害。

 

安全性審查清單:

所依賴(lài)軟硬件的供應鏈安全

  • 檢查信息化項目依賴(lài)的系統、軟件、中間件、硬件、單片機、數據庫、網(wǎng)絡(luò )設備、傳感設備、核心部件等關(guān)鍵資源的供應商、型號、版本信息。
  • 檢查是否有產(chǎn)品授權、知識產(chǎn)權、開(kāi)源協(xié)議、他國出口管制技術(shù)等限制。
  • 確認產(chǎn)品服務(wù)商的服務(wù)協(xié)議、內容及管理辦法是否符合供應鏈安全防護要求。

 

所依賴(lài)環(huán)境的信息安全

  • 核查業(yè)務(wù)數據備份、恢復與可用性機制,敏感數據脫敏、加密情況,數據防篡改、越權訪(fǎng)問(wèn)、泄露是否完備。
  • 檢查密鑰生成、分發(fā)、銷(xiāo)毀,密碼算法模式選擇與強度,以及數據生產(chǎn)、傳輸、存儲等環(huán)節安全防護。
  • 查看物理機房設備安全、供電安全、物理接口控制安全、設備訪(fǎng)問(wèn)控制安全等防護措施。
  • 核實(shí)是否有防 APT 攻擊、防釣魚(yú)、防入侵、防病毒等設備和能力。
  • 確認是否有信息安全應急響應機制和突發(fā)應急事件處理預案。
  • 審查是否有完善的信息安全管理制度、信息安全培訓機制和相應保密教育措施。

 

盡管 IT 審計的內容有點(diǎn)多,看起來(lái)也比較復雜,但這恰恰體現了其嚴謹所在。好了,以上就是關(guān)于IT審計重點(diǎn)的一些基礎介紹。如果你想要進(jìn)一步學(xué)習具體的IT審計方面的知識和方法,建議參加CISA信息系統審計師認證培訓。

發(fā)表回復

您的電子郵箱地址不會(huì )被公開(kāi)。 必填項已用*標注

  • 2024-07-02 20:00
    職場(chǎng)故事:關(guān)于冶金運營(yíng)服務(wù)數字化平臺的應用,我的一些經(jīng)驗和思考
  • 2024-07-04 20:00
    IT審計必看!解讀CISA最新改版:第28版教材和考試變化、行業(yè)趨勢及未來(lái)展望
  • 2024-07-10 20:00
    職場(chǎng)故事:從0到1,新人項目經(jīng)理的成長(cháng)之路以及我的一些心得
  • 2024-07-11 20:00
    財務(wù)運營(yíng)管理領(lǐng)域的數字化轉型:解讀財務(wù)BA的核心角色與“財務(wù)轉型”策略
  • 2024-07-16 20:00
    職場(chǎng)故事:我是如何用4A架構做好數字化規劃的?分享一些實(shí)例
  • 2024-07-17 14:00
    全面解讀CSMP項目管理證書(shū):免考換證是怎么回事?與PMP、軟考的區別?我該考哪個(gè)?
  • 2024-07-18 20:00
    需求的全生命周期管理:工具在手,細節無(wú)憂(yōu)
  • 2024-07-23 20:00
    產(chǎn)品上市管理:從戰略到產(chǎn)品上市,構建卓越的產(chǎn)品開(kāi)發(fā)流程
  • 2024-07-24 20:00
    從業(yè)務(wù)的視角看敏捷
  • 2024-07-26 14:00
    周五課堂:如何駕馭項目復雜性?
  • 2024-07-30 20:00
    精益求精:掌握流程優(yōu)化的關(guān)鍵策略
  • 更多直播講座
    小艾老師還在安排中…
查看全部 >

掃碼一鍵預約全部

查看更多 > 查看更多 >

數字化轉型8大核心認證

  1. PMP項目管理認證

    聽(tīng)
    艾威最近一期班: 針對2024年08月考試
  2. CBAP業(yè)務(wù)分析認證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-07-27
  3. CBPP流程管理認證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-08-31
  4. ITIL4 IT管理認證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-07-27
  5. TOGAF企業(yè)架構認證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-07-20
  6. CDMP數據管理認證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-08-24
  7. CISA信息安全審計師認證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-09-08
  8. CISSP信息安全專(zhuān)家認證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-08-24
近期課程安排