IT审计到底要干什么?
在招聘IT审计人员的过程中,和业内外不同的朋友产生了很多探讨,主要围绕下面这些问题:
- IT审计到底干嘛?
- IT审计需要什么技能?
- IT审计值得做么,未来如何?
首先是IT审计到底是干嘛的?
我把IT审计分为两个职能,第一是“传统IT审计”,是审计的一个环节,对企业的信息系统,内控(企业组织和管理,ITGC,ITAC,IPE等)进行测试,帮助财务审计团队完成风险导向型的审计工作。这是最传统的,最正统的,最好混的,最无聊的,最有需求的,也是我最不想聊的部分,想了解这部分只需要取百度谷歌冰一下就好了。
第二种IT审计是”贪婪探索型IT审计“。如果一定要给这部分下定义,”审计中的IT增值服务“。详细解释:第一:审计鉴证业务相关,第二:做有意义的事,第三:服务客户。
举例说明:一个电商企业业务高度依赖IT系统,财审团队把我们叫去,如果是传统IT审计,先了解企业组织管理,再ITGC,再ITAC&IPE,一套下来2人10天,收费估计30万这样。贪婪探索型IT审计是怎么做的呢?了解了企业的概况后,做了一系列数据分析,2天结束战斗走人,收个车马费就好了,不想靠浪费生命铺底稿做纸面文章赚钱。
(如果你是业内人士,本行业特有的某些工作特点和表面文章工作特点,我不想讨论)
简单说能说的,我们根据网站用户访问信息日志做了24小时访问统计,就是根据访问所在的小时,统计全年访问发生在几点,如下图:
本图可见,下午四点是访问最高峰,0-8点访问量低谷。访问量走势和正常人作息时间是吻合的。 但是!这个作息时间很接近正常上下班作息时间。 和我们掌握的网购时间有细微差距。为什么呢?圈里人都知道。
除我们对下单时间,下单量也做了类似统计。
如何解读上面两个图不多说。
除此之外,我们还查验了MySQL Binlog,对物流信息,第三方物流API,等等做了测试。访谈客户,提取数据,分析数据,写意见,两个工作日结束工作。(为什么结束工作自己思考)。走之前用了四个小时和被审计单位沟通审计发现,尽量帮助企业提供价值。和财审团队沟通我们判断的主要风险点,对于自己算是又了解了一家公司,一些干货。至少我问心无愧于企业,财审团队,和自己。
”贪婪探索型IT审计“思考下面几个问题
- 你的工作对你自己有什么帮助?铺底稿对你有什么意义?
- 你的工作对审计团队有什么帮助?
- 你的工作对被审计单位有什么帮助?
要声明的是,铺底稿的基本功我们一定是满分,站在”传统IT审计“业务基础上,我们要玩花活,做”贪婪探索型IT审计“,给自己增值,给财审团队增值(找麻烦),给被审计单位增值(提供正面经验),虽然这些需求经常相互之间存在矛盾,但相关的思考要有。
IT审计需要什么技能?
传统IT审计对审计逻辑的要求要高于信息系统知识,编程能力不需要。
我对员工的要求是:
- 不需要懂审计,工作中可以学习;
- 数据库要懂,SQL会写会学,MySQL权限分配,日志设置读取,主从服务器,分布式及日志要会(或努力学);
- 会Python,能用Python批量处理CSV,Excel(或努力学);
- Excel能力要有,VBA会写(或努力学)。
也许入职时并不需要拥有这些技能,但工作中要不断学习掌握这些。
IT审计值得做吗?
只做传统IT审计不值得,不断探索学习值得,混日子不值得,为未来做准备值得,跟对人值得,有好项目值得,只靠纸上文章赚钱不值得(虽然纸上文章也是门功夫,要会但不能靠这个赚钱混日子)。
这里吐槽一下某4大合伙人在一次会议上宣传自己公司的财务机器人,展示的所有功能都可以通过按键精灵完成。至少10年前我玩游戏时候流行的外挂程序比他这财务机器人可是高级多了。审计行业太古老了,要不是有各种法律法规和各种委员会的加持,早该进化了。