看到某个论坛里面关于CISA的讨论,多数人认为,他们想想中的审计师往往是这个样子:
1、一个老外带一个中国人。
2、老外不会中文,中国人中、英文流利。
3、年轻有为,难得很帅,女的很漂亮。
4、赵所有的人谈话。
5、不懂具体技术,但是多整个技术潮流把我很准。
6、即使是公司很专用的技术,他们也能切中要害。
7、所有的细节逃不过他们的眼睛。
不过,这些都是看到的表面现象。具体什么应该是信息技术审计?什么是信息系统审计?可能多数人平时看到的是作为一般审计一个部分的针对信息技术和信息系统的审计。
就我所看到过的审计报告,和CISA的理论比较起来,差距很大。最主要的表现,CISA 的理论要求根据企业的具体情况,制定合理的安全策略。不过,实际遇到的审计多数照搬条条框框。很多时候,审计报告缺少实质性有建设意义的建议,有的时候甚至令人啼笑皆非。当然,一个行业整体的事实当然有其复杂的原因。外界的分析,第一,可能因为目前的信息系统审计多数遵循的是审计准则中关于信息技术和信息系统审计的部分。对这部分内容不是很熟悉,不多解释。第二,可能因为审计本身注重严禁。在没有完全了解整个信息系统和信息建设的运作体系以前,他不会给出什么建议。也就是说,他宁愿忽略一个建议,而不会给出一个没有把握的整改点叫企业去整改。
从系统分析师的角度看,信息系统审计的路还有很远。在这段路上,系统分析师应该有效的从内部配合信息系统审计师,从内部提供有效的建议,为实现信息建设的最优化做出努力。
