首先大家知道，IT審計(jì)的工作內(nèi)容可以分為兩部分，一是支持財(cái)審做對(duì)一些對(duì)具體余額的認(rèn)定進(jìn)行審計(jì)，這塊IT審計(jì)人員一般會(huì)做一些ITAC（IT應(yīng)用控制）審。另一塊就是所謂的ITGC（IT一般控制），什么是ITGC，ITGC具體做什么呢？說(shuō)起來(lái)其實(shí)也沒(méi)啥技術(shù)含量，從我之前在事務(wù)所做IT審計(jì)的底稿來(lái)看，ITGC主要審以下內(nèi)容：

一、ELC（entity level control）控制。就是看看客戶(hù)在IT治理方面的相關(guān)組織架構(gòu)是否合理，書(shū)面的管理制度是不是健全，具體的審計(jì)程序就是獲取客戶(hù)的組織結(jié)構(gòu)圖，及一些比較虛的總綱類(lèi)的書(shū)面管理制度如《IT管理制度》等等。

二、系統(tǒng)開(kāi)發(fā)和變更。就是關(guān)注系統(tǒng)開(kāi)發(fā)和系統(tǒng)后續(xù)小變更中的一些控制，具體的審計(jì)程序就是獲取系統(tǒng)開(kāi)發(fā)及變更相關(guān)的管理制度典型的如《系統(tǒng)開(kāi)發(fā)制度》《系統(tǒng)變更管理制度》等來(lái)看一看，再看系統(tǒng)開(kāi)發(fā)是否經(jīng)過(guò)了需求提出、可行性研究、領(lǐng)導(dǎo)層審批，系統(tǒng)上線(xiàn)之前是不是經(jīng)過(guò)了充分的測(cè)試，獲取一些內(nèi)控痕跡和表單，如《××系統(tǒng)需求報(bào)告》、《××系統(tǒng)可行性報(bào)告》、《××系統(tǒng)立項(xiàng)審批單》、《××系統(tǒng)單元測(cè)試報(bào)告》、《××系統(tǒng)集成測(cè)試報(bào)告》、《××系統(tǒng)上線(xiàn)審批單》，然后變更方面比較重要的就是《變更審批單》，這個(gè)一般來(lái)說(shuō)還要進(jìn)行抽樣，而上面的開(kāi)發(fā)流程一般來(lái)說(shuō)做一兩個(gè)穿行測(cè)試就行了。

三、操作系統(tǒng)及數(shù)據(jù)庫(kù)控制。這一塊呢具體就是看操作系統(tǒng)和數(shù)據(jù)庫(kù)登錄是不是要密碼，然后把登錄界面截個(gè)屏作為審計(jì)證據(jù)K進(jìn)底稿里，蠻弱智的。然后呢就是調(diào)出操作系統(tǒng)及數(shù)據(jù)庫(kù)中的一些安全配置，如密碼復(fù)雜度的要求，密碼是不是強(qiáng)制一個(gè)月改一次，對(duì)系統(tǒng)的敏感操作是否有日志記錄，日志是否有人去復(fù)核，再者就是看用戶(hù)權(quán)限管理是否按照基于角色來(lái)進(jìn)行權(quán)限分配?，F(xiàn)在商用方面操作系統(tǒng)用得比較多的是win2000,LINUX,UNIX,銀行AIX用得比較多，數(shù)據(jù)庫(kù)就是SAP，ORACLE,SQL server等，銀行DB2用得也比較多。審計(jì)的時(shí)候呢，對(duì)于安全配置，就是輸入一些命令，調(diào)出相關(guān)配置，四大像安永會(huì)有團(tuán)隊(duì)專(zhuān)門(mén)設(shè)計(jì)腳本 ，只要放到客戶(hù)機(jī)器上那么一跑，結(jié)果自動(dòng)就出來(lái)了，高度傻瓜式，流程化機(jī)械化，IT審計(jì)師的可替代性更強(qiáng)了，價(jià)值更低了。再就是把所有用戶(hù)的權(quán)限列表拉出來(lái)，看是不是合理合規(guī)，后點(diǎn)關(guān)注超級(jí)管理員的權(quán)限。

四、應(yīng)用系統(tǒng)控制。關(guān)注點(diǎn)同操作系統(tǒng)及數(shù)據(jù)庫(kù)。不過(guò)應(yīng)用系統(tǒng)千變?nèi)f化，比如銀行里面比較大的應(yīng)用系統(tǒng)就有綜合業(yè)務(wù)系統(tǒng)（有的叫核心業(yè)務(wù)系統(tǒng)）、國(guó)際結(jié)算系統(tǒng)、大小額系統(tǒng)、信貸管理系統(tǒng)等等等等。但萬(wàn)變不離其綜，這些系統(tǒng)做ITGC思路都是一樣的，就看安全配置和用戶(hù)權(quán)限。如果要支持財(cái)審進(jìn)行ITAC的審計(jì)，則要具體情況具體分析設(shè)計(jì)，因此個(gè)人認(rèn)為ITAC的審計(jì)是IT審計(jì)師能體現(xiàn)自身經(jīng)驗(yàn)與價(jià)值的地方，光做ITGC是沒(méi)有前途的

五、接口控制與信息安全。各種系統(tǒng)之前會(huì)有接口，那么數(shù)據(jù)從一個(gè)系統(tǒng)傳輸?shù)搅硪幌到y(tǒng)中數(shù)據(jù)的準(zhǔn)確性完整性要得到保證。審計(jì)程序一般首先看系統(tǒng)中是不是有自動(dòng)核對(duì)的機(jī)制，比如銀行的核心業(yè)務(wù)系統(tǒng)基本與每個(gè)重要的業(yè)務(wù)系統(tǒng)都有接口并且每天會(huì)進(jìn)行大量的數(shù)據(jù)交互，做的好的會(huì)有一個(gè)核對(duì)機(jī)制，加入一些校驗(yàn)機(jī)制，確認(rèn)數(shù)據(jù)的準(zhǔn)確完整，有的銀行測(cè)沒(méi)有。信息安全就是看看網(wǎng)絡(luò)管理相關(guān)的制度，看看防火墻的結(jié)構(gòu)，內(nèi)外網(wǎng)是不是分離啊等等。