艾威科普月活动正式拉开帷幕!在这段时间里,
小艾老师将逐一为各位揭示数字化时代最具分量的认证之秘。
今日主题:
CISA——信息系统审计师认证的深度解析。
IT审计与CISA
提及财务审计,大家都不陌生,它主要是查账工作,确保公司账目数据的准确性和每笔交易的合理溯源。那么,IT审计又是何方神圣呢?它与财务审计之间又存在着怎样的联系?
现今,众多企业采用财务系统(如ICP、用友等)。这些系统存储着与财务相关的数据。要使财务审计工作更具意义,首先得确保这些系统的可靠性。而IT审计正是为此而生的。
IT审计不仅仅局限于财务系统审计,它更像是一场对公司IT系统的全面“体检”。这其中包括了对IT控制措施的有效性的核查,以确保公司资产的安全、数据的完整性等。
IT审计的分类
大致可分为三类:ITEC(公司层面控制)、ITGC(通用层面控制)和ITAC(应用层面控制)。其中,EC、GC与编程无直接关联,更多的是对IT治理和管控方法的掌握与应用。而AC中的某些测试,如抽样穿行测试,只需掌握Excel的常用函数即可应对。
至于更为技术性的部分,如CAATs(计算机辅助审计技术及系统),则需要一定的业务理解及编程能力。
关于ITGC的详述
GC,即广义上的信息安全审计,是IT内部控制有效性的关键。它主要从三个方面进行衡量:MA权限管理、MC变更管理以及MO一般控制管理。
MA关注系统的密码策略、用户权限、账号等是否得到有效控制和管理。例如,系统密码是否设置了足够的复杂度,小王是否拥有合理的数据库A管理员权限,小李离职后其账号是否已注销等。
MC则着重于系统功能或版本变更的流程是否健全,是否能够通过系统记录这些流程。同时还要关注人员的职责分离情况,避免出现开发、测试和运维由同一拨人负责的情况。
MO则关注如数据库的备份情况、本地与异地的备份策略以及是否定期进行数据恢复性测试等。
ITAC的简要介绍
ITAC主要关注IT应用层面控制的具体功能设置的有效性。例如,某收银系统的交易需经过多个系统并最终在ICP系统生成凭证。为了验证这一过程,需要收集交易在各个系统中的截图以及最终在ICP生成的凭证截图。
ITAC的审计工作会因行业不同而呈现出明显的差异性。比如,制造业的ITAC通常较为复杂。
CISA认证的推荐
通过上述的讲解,各位对IT审计有了基本的了解。若想深入学习并取得成就,可考虑获得CISA认证。
CISA认证是控制与安全等专业领域中取得成绩的象征,也是金融、投资、证券行业内审员以及“四大”审计岗位的必备之选。
最后附上CISA考试相关信息,供各位参考并可自行截图保存。
