上市公司都需要it审计吗

在这一节中，我们将介绍在IT审计的实施流程、组织形式等过程中应该遵循的一些标准和准则。

我们在前面的131提到，IT审计是独立的IT审计师采用客观的标准对以计算机为核心的信息系统的整个生命周期内的相关的活动和产物进行完整、有效的检查和评估的过程。那么，为了保证审计结果的客观性和权威性，IT审计师必须采用一套公认的、权威的审计标准，作为实施IT审计的基本准则和实施依据。

制定或者采用权威的、公认的IT审计标准，是实现IT审计工作规范化、明确IT审计责任、保证IT审计质量的可靠保障。

目前在国际上较为流行的是美国的ISACA协会的审计标准。ISACA于1996年推出了用于“IT审计”的知识体系COBIT(Control Objectives for Information and related Technology)，即信息系统和技术控制目标。作为IT治理的核心模型，COBIT包含34个信息技术过程控制，并归集为4个控制域：IT规划和组织(Planning and Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support)，以及信息系统运行性能监控(Monitoring)。目前，COBIT已成为国际公认的IT管理与控制标准。

1321 基本框架

IT审计标准是IT审计的纲领性规范，它列举了IT审计的事实过程中必须包含的审计项目。一般来说，一个IT审计标准的框架应该包含如下三个层次。

1 基本准则

规定了IT审计行为和审计报告必须达到的基本要求，是IT审计的总纲，也是制定其他相关标准、规范、准则和指南的基本依据。

2 具体准则

依据基本准则制定，对如何遵循IT审计的基本标准提供了详细规定和具体说明，是IT审计师实施审计业务、出具审计报告的具体规范。

3 实施指南

依据基本准则和具体准则制定，是IT审计的 *** 作规程和方法，为IT审计师实施审计业务提供可 *** 作性的指导。

IT审计标准是针对以计算机为核心的信息系统而制定的。其适用范围涵盖了信息系统的整个生命周期，包括可行性分析、需求分析、系统设计、开发、测试、运行维护等全部过程的每个环节。

1322 基本准则

作为IT审计的总纲，IT审计基本准则指明了IT审计的基本标准和要求，我们这里摘录了ISACA对于IT审计的基本准则的描述。

1 审计合同

IT审计应该由审计方与委托方签署IT审计合同，信息系统审计职能的责任、权利和义务均应在审计合同或聘书中有清楚的说明。

2 独立性

(1)职业独立性

在所有与审计相关的事物中，信息系统审计师均应在态度和表现上与被审计单位保持独立。

(2)组织关系

信息系统的审计职能应与被审计领域保持充分独立，以确保审计工作的客观完成。

3职业道德和标准

(1)职业道德准则

信息系统审计师须严格遵守信息系统审计与控制协会颁发的职业道德准则。

(2)敬业精神

信息系统审计师在各方面的工作中，均应具备敬业精神，并严格遵守相应的职业审计标准。

4专业技能

(1)技能与知识

信息系统审计师必须在技术上胜任，具备从事审计工作所必需的专业技能与知识。

(2)职业继续教育

信息系统审计师应通过相应的职业继续教育来保持其技术胜任能力。

IT审计的定义：就是信息系统审计，也称IT监查，是独立于信息系统本身、信息系统相关开发、使用人员的第三方－IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。

IT审计的发展趋势：

我们从IT技术发展来看，随着IT技术在企业业务和管理中的广泛运用，IT逐渐从传统的后台支持而步入前台，成为企业竞争的重要支撑，企业凭借信息系统的强大功能优势，完成其业务的自动化，但与此同时，从信息系统安全性、效率性、合规性方面都存在风险，传统的控制、管理、检查和审计技术都受到了巨大的挑战。其次，从应用企业类型来看，目前IT审计主要集中在信息化程度要求较高、生产安全紧密相关的单位。比如电信运营商、各大银行金融机构、中央企业等，中小企业用户还比较少。企业对于IT审计人才的培养也处于初级阶段，目前的状况是懂IT的人才不少，但是这些专业人才往往缺少对企业的业务、审计的相关知识。

IT审计制度的建立需要注意三点：

IT审计师是跨信息技术和审计技术的复合型人才，要实施企业的IT审计制度，必须重视和培养合格的IT审计师；

企业应该建立相应的IT审计部门或审计岗位，确定其部门和岗位职责，并将之置于企业经营者的直接管理之内；

企业应该制定相应的IT审计准则、实施报表、报告等进行IT审计所必须的凭据；

IT审计的对象和范围：

IT审计设计整个信息系统的生命周期，IT审计不是单纯强调对软硬件的审计。它的审计对象涵盖整个信息系统所有活动和中间产物，并包括信息系统实施相关的外部环境。一般来说，对企业实施IT审计的对象有：本企业内的IT审计师、外部IT审计事务所委托审计师和国家审计机构。IT审计按照信息系统的生命周期分为业务计划审计，业务开发审计、业务执行审计和业务维护审计以及涵盖整个信息系统周期的共通业务审计。

业务计划审计主要面向信息系统的企划，对信息系统的投资可行性，系统规划与公司战略的相关性，系统开发计划的可行性以及系统需求的完整性和正确性进行审核和验证。

业务开发审计对信息系统开发的各个阶段的相关人员的活动、信息、中间产物进行审核，确认这些活动、信息和中间产物的规范性、有效性和对于信息系统目标的针对性。

业务执行审计确认与信息系统运行相关的数据、软硬件、安装环境等是否符合信息系统的运营要求，同时对信息系统的功能、性能、易用度、可 *** 作性等进行评估。

业务维护审计对信息系统的维护活动和维护结果实施审核和评价。发现在维护中可能出现的各种漏洞和信息系统维护中急待改善的问题。

共通业务审计涉及文档管理、进度管理、人员管理、采购管理、风险管理等，检查这些过程的规范性和有效性，并提出改良建议。

不一定，取决于上市公司的实际情况。IT审计是一种特殊的审计，它旨在检查公司的信息系统，以确保其安全、有效地运行。如果上市公司使用信息系统，则可能需要进行IT审计，以确保它们的安全性。

IT审计就是信息系统审计，主要介绍审计的历史和发展，对象、范围和意义对象、范围和意义计划。

知识方面的要求如下：

信息系统计划、开发和运营相关的知识： 信息系统构成相关的知识； 信息化战略、构想、提案、立项等相关的知识； 系统设计、程序设计、软件测试等相关知识； 系统 *** 作、数据管理等相关知识；

能力方面的要求如下： 系统审计的相关能力； 审计的立项、分析、评价相关的能力；信息收集、审核、审计方法掌握、技巧运用方面的能力；审计报告制作能力；

IT审计师必须具备全面的计算机软硬件知识，对计算机网络和信息系统的安全性具有高度而特殊的敏感意识，而且对财务会计和企业内部控制具有深刻的理解能力，要懂管理、懂经济、懂审计、懂计算机、懂内部控制、懂网络技术，既是审计专家，又是信息系统专家，以对计算机信息系统及软硬件的技术性审计来保证计算机审计质量的可靠性。

应该说各有各的发展前途，就看你自己怎么选择，举例说明：

1、如果你公司里做财务审计，情况一是公司老总很重视财务，那么你的待遇和权力相应也会高，情况二公司更注重销售部，毕竟销售才是此公司的资金来源，那么这里的财务肯定没有情况一那么好，情况三你是在会计事务所做财务或审计，那么就要论资历和客户源而定了；

2、如果你做工程审计，当然很好，众所周知工程项目很大，要审计的东西很多，如果能做到一定级别，薪酬不言而喻。说到底，每个工作都有很好的前途，前提是你有能力有资历，至于怎么选择，更重要的还是看自己更喜欢哪一行，毕竟一分不讨厌的工作才能做得长久。

3、至于IT发展方向，每个人的想法不一样，但是我还是希望唠叨几句，算是个建议吧，首先，大家可以去各大招聘网站浏览，热门的职位，如项目经理、技术总监甚至CTO等，还是以软件开发为主，毕竟，我们要考虑一个公司的组成架构（不考虑人力行政及财务后勤等职能部门），对于一个大型互联网企业来说，拳头部门是他的产品与研发部门，这两个部门支撑着整个网站乃至整个公司的核心，没有产品没有平台谈其他的都没有任何意义。至于收益部门，肯定是销售和市场这两个部门，不管在哪个公司，只要你有成熟的产品，这两个部门的精英们就会想尽一切办法将其变为收益；再次是售前售后支持部门，一个好的产品并不是卖出去就算成功了，更重要的是客户的良好反馈，百年老店靠的是什么——口碑！最后，才轮到系统运维部门，做好了，是公司信息化部门，做不好，就会沦落成网管部门，任何其他部门的小鱼小虾都会踩你一脚，老板还不会向着你，因为，在老板的眼里，你只是为其维护硬件，适应的节约成本罢了（而且，在他眼里，你每次节约成本会带来更多的成本投入，比如我们的数据库经常需要升级内存 ^_^），所以，能不能做好，如何规划好，很重要～

4、对于软件开发方向，熊熊强烈建议学习C++或者C这种语言，相比其他语言，这两种语言囊括了所有能做的事情，而且用这两种语言的薪水，一般都是其他语言的2倍以上；第二类，建议NET平台下的C#语言，也许会有人认为微软平台的产品很垃圾，我想说的是，存在即合理，Linux如果有那么多人去测试，去攻击，一样会撑不住，而且，用得起微软的，都是有钱的公司，这样的公司，薪水也不会低吧，呵呵；第三类，LAMP，这里，好像不是纯开发了，其实，我想说的是，如果你选择PHP，就必须深入理解LAMP，我见过很多号称PHP很好的开发，只是用Zend等成熟的框架进行编码开发，并不深入理解PHP与MySQL的架构，更不理解Linux架构，那样的话，你的薪水怎么可能上的去；第四类，本人非常熟悉但一直不想说的Java，好像是从01年开始，Java这种语言迅速占领了我们的视线，学习Java的热潮使得熊熊也一度迷茫过，Java语言的培训学校也如同雨后春笋一般层出不穷，然后，近十年以后的今天，Java语言走到什么程度了呢，那就是，一个应届毕业生甚至可以号称自己精通Java语言，我承认我身边有很多真正的Java高手，他们的薪水不低，但是对比我认识的其他语言的高手，还是差了一大截，如果非要选择Java，我希望你能够有机会去一个大型公司做ERP（比如国内的用友、金蝶、浪潮通软），否则就深入研究一下嵌入式吧（J2ME），这也是未来的发展方向，至于用JSP做网站，我劝还是算了，除非你能牛到成为架构师（不是PM，是真正的架构师），不然真的是在浪费青春，充其量只是代码民工罢了～

5、对于系统运维来说，这是熊熊最熟悉的职业了，但是也是熊熊最深恶痛绝的一个职业之一，运维的程度不一样，决定运维的水平良莠不齐，而且，做运维最重要在于是否有足够的权限，没有权限的SA是痛苦的，是郁闷的，而且学习不到任何东西，如果你做一个运维，感觉每天很清闲，那么恭喜你，只能说明两件事，不是你的水平真的高到了一定层度，就是你运维的环境实在太小，作为一个合格的SA，良好的日志记录与系统规划能力非常重要，谦虚谨慎，戒骄戒躁～

6、再来说说数据库，DBA是熊熊最向往之而且希望为其奋斗一生的职位之一，数据的魅力无处不在，在当今社会，任何一个稍具规模的公司（手工作坊就算了），无论是否与IT行业有关，数据都是其必不可少的组成部分，各种各样的数据均需要数据库来承载与维护（无论是大型的数据仓库，如DB；还是流行的Oracle、MS SQL、MySQL、Sybase等；甚至是微型的VF、Access等），一个好的DBA的作用显得极为重要，不仅需要能够进行日常维护，对于数据库本身的优化（包括数据库系统架构优化与SQL优化）及数据库整体架构设计，更是锻炼DBA的一个重要工作，重要的开发工作（核心部分存储过程）也要由DBA来完成，没有人比DBA更了解数据库中各个库与表的合理架构，再高级的数据挖掘和BI等，那就是超级DBA的职责范围了～

远程审计和it审计的区别。

1、独立性不同：根据IIA国际内部审计师协会于2011年发布的IPPF内部审计实务框架第1100、1110章节，内部审计的独立性包含两方面，一方面是指内审人员履职时免受威胁，另外一方面指审计组织机构的独立，即与董事会的汇报关系的独立。相比外部审计常用的《独立审计准则》，因两者的目标不同和服务对象不同，导致两者独立性不相同。

2、两者的审计目标不同：外部审计的目标常常受到法律和服务合同的限制，如常见业务——财务报表审计的目标是财报的合法性、公允性作出评价，而内部审计的目的是评价和改善风险管理、控制和公司治理流程的有效性，帮助企业实现其目标。

3、两者关注的重点领域不同：外部审计的关注重点领域受到法律和合同的指定，例如财务报表审计中，外部审计主要侧重点是会计信息的质量和合规性，也就是对财报的合法性、公允性作出评价。而内部审计主要侧重点是经济活动的合法合规、目标达成、经营效率等方面。

IT审计属于信息安全的范畴。简单来讲，就是审查IT信息系统，甚至整个IT体系在技术以及管理方面是否有足够的措施确保其所处理的数据信息安全可靠。比如，系统在用户权限方面的控制，能不能确保只有被授权人其本人才能登录，登录后只能行使其被授予的权限。系统中的数据是否有必要的备份，对数据的修改有无必要的跟踪。发生紧急情况，如停电，灾害时，是否有相应措施确保系统及其数据安全，等等。凡是对信息安全有影响的方面，都可能成为审计的对象。

不知这样的解释能否有些帮助？

这个性质的工作，现在是国际上的热门。如果在中国暂时还不够热的话，将来应该会更热的。毕竟人们工作和生活对IT的依赖越来越大，这些体系的安全将会越来越重要。如果有幸入行的话，一定要悉心学习哟。另外，你可以用 IT auditing 搜索一下，很有几个专业网站的。

以上就是关于IT审计标准以及原则全部的内容，包括:IT审计标准以及原则、IT审计的发展趋势是什么、上市公司都需要it审计吗等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！