很多CISA的学员都是搞信息安全出身的,对于安全检查和安全评估了如指掌。他们学了几天CISA之后,就提出了自己的困惑:“IT审计和安全检查不是一回事嘛?”,“有必要搞的这么复杂吗?”咱们今天就聊聊IT审计与安全检查的区别与联系。
IT审计与安全检查的联系主要体现在现场工作方法有很多类似之处,都有人员访谈、问卷调查、技术评估等内容。
二者的主要区别有五点:
1)人员的角度不一样。审计是独立的第三方,检查没有特别的限制。
2)检查的内容不一样。技术检查对内容较宽泛,而审计是针对有效的控制。
3)检查的依据不一样。检查依据可以是要求规范,而且审计要有控制规范。
4)检查的态度不一样。审计人员更加审慎,是基于充分的证据才能下结论。
5)报告的执行力不一样。审计报告汇报的对象是管理当局,具有更强的执行力。
其中,审计的独立性和职业审慎是相较检查类工作来说,最本质的区别。
所谓独立性,就是审计师不审自己干过的事,不审和自己有利益瓜葛的人。这点在CISA考试中有非常重要的体现。在实践中也如是。今年年初,我们在一家大型股份制城商行的审计部交流项目,希望承接其IT外审业务。对方审计部领导的第一个反应就是,“你们谷安已经在我们科技部参与了业务工作,我们怎么能再让你们做审计呢?”直到我们解释,“我们的咨询服务业务和审计服务业务是两个独立的事业部,彼此没有利益关系”后才满意的称赞了我们的技术实力。
所谓职业审慎,就是说审计师不妄下断言,说话要掷地有声,结论要有充分的证据支持。所以,审计师平时给人的感觉总是不苟言笑、专业谨慎的样子,但非常受到尊重和敬仰。这也算是良好的职业习惯吧。
谷安天下CISA教研组:谷安天下CISA培训
IT审计与安全检查的联系主要体现在现场工作方法有很多类似之处,都有人员访谈、问卷调查、技术评估等内容。
二者的主要区别有五点:
1)人员的角度不一样。审计是独立的第三方,检查没有特别的限制。
2)检查的内容不一样。技术检查对内容较宽泛,而审计是针对有效的控制。
3)检查的依据不一样。检查依据可以是要求规范,而且审计要有控制规范。
4)检查的态度不一样。审计人员更加审慎,是基于充分的证据才能下结论。
5)报告的执行力不一样。审计报告汇报的对象是管理当局,具有更强的执行力。
其中,审计的独立性和职业审慎是相较检查类工作来说,最本质的区别。
所谓独立性,就是审计师不审自己干过的事,不审和自己有利益瓜葛的人。这点在CISA考试中有非常重要的体现。在实践中也如是。今年年初,我们在一家大型股份制城商行的审计部交流项目,希望承接其IT外审业务。对方审计部领导的第一个反应就是,“你们谷安已经在我们科技部参与了业务工作,我们怎么能再让你们做审计呢?”直到我们解释,“我们的咨询服务业务和审计服务业务是两个独立的事业部,彼此没有利益关系”后才满意的称赞了我们的技术实力。
所谓职业审慎,就是说审计师不妄下断言,说话要掷地有声,结论要有充分的证据支持。所以,审计师平时给人的感觉总是不苟言笑、专业谨慎的样子,但非常受到尊重和敬仰。这也算是良好的职业习惯吧。
谷安天下CISA教研组:谷安天下CISA培训
