1、不要照搬国外IT审计流程及思路。
国外讲制度,国内讲人情及实务。尤其对面是整个公司的脉络--IT部门,小问题,提示下即可;大问题,则不仅与具体被审计人员及时沟通,而更多的建议及时与IT的高层反馈。这个既是一种及时确认问题的态度,同时也是一种尊重,更是一种树立国内特有人情味的思路。但是及时沟通完毕不代表不上报告。紧急且重大问题上最好树立好你身为IT审计人员的威信,把事情沟通完,再尽快出一份正式高风险提 示函给对方,给出之前当然得给自己领导审阅一番了。而且及时与IT高层沟通,而不是等到后来直接把报告发给IT高层--这也是卖给对方的人情,有时事情的 提前告知也是一种极为关键的举动,需要谨慎。我们既要保持IT审计的专业独立性,又要给IT以缓冲的时间和机会。否则以后你的IT审计绝对难以推行。
2、刚开始做IT审计项目, 建议多以专项的形式。勿求全贪大。
做的项目小而精,有利于树立威信及务实,且能踏实给IT提供真正的帮助。做的大而浅,通篇都是一般控制的描述。有时IT 知道自己的做法不符合公司规定,但是苦于资源、时间等各种因素,无法去改善,所以不要把精力仅仅放在“不遵循开发流程”之类的表象问题上。多说说局域网共 享的风险,多分析下未授权审批的漏洞大小,比什么都来的务实,比什么都能真正帮的上IT的忙,真正实现“业务开源、后援节流”的作用。
