阅读说明:这是《大话系规官方教材伴读》系列的付费正文。本系列按官方教材原章节顺序,一节一节用大白话讲透第2版教材。非会员可免费试读本讲约百分之二十。
这套伴读怎么用、和《系规精品图文课程》怎么搭着看,先读开篇导读:《大话系规官方教材伴读·开篇:这本又厚又硬的书,我陪你一节一节读完》。
付费方式:独立合集《大话系规官方教材伴读》合集价 299 元,购买后全部讲次解锁(微信小程序或官方网站均可学习)。已订阅《系规精品图文课程》的同学不再单独付费,登录学习平台即可直接读全部内容。
以下为本讲正文 ↓
大话第11章③:IT审计
同学,咱们到第11章最后一讲了。
前两讲,我把 IT 治理给你讲透了——怎么给公司的 IT 这摊事定规矩、管全局、对齐战略。今天这一讲,咱们讲第11章的另一件大事:IT 审计,也就是教材的 11.2 节。
IT 治理和 IT 审计,是一对儿。治理是"定规矩、管全局",审计是"查规矩落没落实、系统有没有毛病"。教材一开篇就把它俩的关系点透了:IT 审计是与 IT 治理配套的组织管控手段,是 IT 治理不可或缺的评估和监督工具,重点承担着信息系统发展的合规性检测、以及信息技术风险的管控等职能。一句话:审计是治理的"体检医生"——治理定了健康标准,审计负责给你做体检、查出哪儿不达标、开诊断单。
这一讲我会把 IT 审计的四块内容一节一节给你讲全:11.2.1 IT 审计基础(什么是 IT 审计、查什么、有哪些风险)、11.2.2 IT 审计方法与技术(靠什么准则、用什么方法和技术、要什么证据)、11.2.3 IT 审计流程(按哪四个阶段走)、11.2.4 IT 审计内容(到底审哪些东西)。内容不少,但每块我都用你熟悉的事给你打比方,不让你发怵。
一、开场钩子:体检报告,跟会计查账有什么不一样
先别急着背"IT 审计"的定义。咱们先聊两件你都熟悉的事——体检,和查账。
你每年去医院做体检,医生干的是啥?抽血、拍片、做心电图,然后对照"正常值"给你出一份报告:哪项超标、哪项有风险、建议你怎么调。医生不直接给你治病,他干的是"检查、评价、给建议"。
你公司里财务查账,会计查的又是啥?查的是账本上的数字对不对、有没有记错、有没有少记多记。它盯的是"钱"和"数字"。
现在我问你一个问题:给公司的信息系统"做体检",到底更像体检,还是更像查账?
答案是:它有点像查账,但又比查账管得宽得多。 传统的财务审计(查账),盯的是会计报表里的数字有没有错报漏报,本质是"看钱、看数字对不对"。而 IT 审计,盯的不只是数字——它要看整个信息系统安不安全、数据完不完整、系统建得合不合规、IT 风险有没有人管。它更像一次全面的"信息系统体检",出的不是"账对不对"的结论,而是"这套 IT 系统健不健康、有没有风险、合不合规"的诊断。
教材也是这么区分的:传统审计的"重要性",讲的是会计报表里错报漏报的严重程度,会不会影响报表使用者的判断;而 IT 审计的"重要性",讲的是 IT 审计风险(一会儿讲的固有风险、控制风险、检查风险)对组织影响的严重程度——比如造成财务损失、业务中断、失去客户信任、被经济制裁。
你品出来了吗?查账盯的是"账面数字",IT 审计盯的是"整套信息系统的安全、健康、合规"。今天这一讲,咱们就从这个"信息系统体检"的角度,把 IT 审计一块块讲清楚。
二、本节在教材里的位置
这一讲覆盖教材整个 11.2 节"IT 审计",它跟前两讲的 IT 治理(11.1 节)是配套的一对儿。
| 教材小节 | 讲的是什么 | 这一讲的角色 |
|---|---|---|
| 11.2.1 IT 审计基础 | 定义、目的、范围、人员、风险 | 把"IT 审计是什么、查什么、有啥风险"立住 |
| 11.2.2 IT 审计方法与技术 | 依据准则、方法、技术、证据、底稿 | 讲"靠什么查、用什么工具、要什么证据" |
| 11.2.3 IT 审计流程 | 准备、实施、终结、后续四阶段 | 讲"按什么步骤一步步查" |
| 11.2.4 IT 审计内容 | 内部控制审计、专项审计 | 讲"到底审哪些东西" |
从考试分量上说,IT 审计这一节,选择题考点密——尤其是"三种审计风险""常用审计方法""四个审计阶段""审计内容两大类"这几个点,都是出选择题的好材料。论文里,IT 审计常作为 IT 治理论文的一个配套环节出现(比如"论 IT 治理,我们通过 IT 审计来监督治理落地")。
具体到这一讲怎么考:
- 选择题:最爱考"IT 审计的目的是什么"、"三种审计风险(固有、控制、检查)哪个能被审计人员控制、哪个不能"、"常用审计方法有哪些"、"审计流程四阶段的顺序"、"审计内容分哪两大类"。
- 案例题:会给你一家公司的信息系统乱象,让你以审计视角指出风险、提审计建议。三种风险、审计内容就是弹药。
- 论文题:IT 审计常作为 IT 治理论文里"监督与评价"那一段的素材,让你写"怎么通过审计保证治理落地"。
三、大白话逐节精讲
11.2.1 之一:IT 审计是什么——四个权威定义,记住共同点
先看 IT 审计的定义。教材没有只给一个定义,而是列了国内外几个机构的说法。我不让你都背,你抓住它们的"共同点"就行。我给你挑两个最该记的:
国际信息系统审计协会(ISACA)的定义: IT 审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整,以及有效利用组织的资源、有效实现组织目标的过程。
我国 GB/T 34960.4《信息技术服务 治理 第4部分:审计导则》的定义: IT 审计是根据 IT 审计标准的要求,对信息系统及相关的 IT 内部控制和流程进行检查、评价,并发表审计意见。
你把这几个定义里反复出现的词圈出来——获取证据、检查评价、发表意见、保证资产安全和数据完整、保证实现组织目标。这就是 IT 审计的共同内核。
老孙给你一句大白话总结:IT 审计,就是请一个相对独立、客观的人,去查公司的信息系统和相关的控制流程——看资产安不安全、数据完不完整、系统合不合规、有没有真帮公司实现目标,查完给出检查、评价和改进建议。 你把这句记住,定义就拿下了。