艾威科普月活动正式拉开帷幕!在这段时间里,
小艾老师将逐一为各位揭示数字化时代最具分量的认证之秘。
今日主题:
cisa——信息系统审计师认证的深度解析。
it审计与cisa
提及财务审计,大家都不陌生,它主要是查账工作,确保公司账目数据的准确性和每笔交易的合理溯源。那么,it审计又是何方神圣呢?它与财务审计之间又存在着怎样的联系?
现今,众多企业采用财务系统(如icp、用友等)。这些系统存储着与财务相关的数据。要使财务审计工作更具意义,首先得确保这些系统的可靠性。而it审计正是为此而生的。
it审计不仅仅局限于财务系统审计,它更像是一场对公司it系统的全面“体检”。这其中包括了对it控制措施的有效性的核查,以确保公司资产的安全、数据的完整性等。
it审计的分类
大致可分为三类:itec(公司层面控制)、itgc(通用层面控制)和itac(应用层面控制)。其中,ec、gc与编程无直接关联,更多的是对it治理和管控方法的掌握与应用。而ac中的某些测试,如抽样穿行测试,只需掌握excel的常用函数即可应对。
至于更为技术性的部分,如caats(计算机辅助审计技术及系统),则需要一定的业务理解及编程能力。
关于itgc的详述
gc,即广义上的信息安全审计,是it内部控制有效性的关键。它主要从三个方面进行衡量:ma权限管理、mc变更管理以及mo一般控制管理。
ma关注系统的密码策略、用户权限、账号等是否得到有效控制和管理。例如,系统密码是否设置了足够的复杂度,小王是否拥有合理的数据库a管理员权限,小李离职后其账号是否已注销等。
mc则着重于系统功能或版本变更的流程是否健全,是否能够通过系统记录这些流程。同时还要关注人员的职责分离情况,避免出现开发、测试和运维由同一拨人负责的情况。
mo则关注如数据库的备份情况、本地与异地的备份策略以及是否定期进行数据恢复性测试等。
itac的简要介绍
itac主要关注it应用层面控制的具体功能设置的有效性。例如,某收银系统的交易需经过多个系统并最终在icp系统生成凭证。为了验证这一过程,需要收集交易在各个系统中的截图以及最终在icp生成的凭证截图。
itac的审计工作会因行业不同而呈现出明显的差异性。比如,制造业的itac通常较为复杂。
cisa认证的推荐
通过上述的讲解,各位对it审计有了基本的了解。若想深入学习并取得成就,可考虑获得cisa认证。
cisa认证是控制与安全等专业领域中取得成绩的象征,也是金融、投资、证券行业内审员以及“四大”审计岗位的必备之选。
最后附上cisa考试相关信息,供各位参考并可自行截图保存。
