首先大家知道，IT審計的工作內(nèi)容可以分為兩部分，一是支持財審做對一些對具體余額的認定進行審計，這塊IT審計人員一般會做一些ITAC（IT應用控制）審。另一塊就是所謂的ITGC（IT一般控制），什么是ITGC，ITGC具體做什么呢？說起來其實也沒啥技術含量，從我之前在事務所做IT審計的底稿來看，ITGC主要審以下內(nèi)容：

一、ELC（entity level control）控制。就是看看客戶在IT治理方面的相關組織架構是否合理，書面的管理制度是不是健全，具體的審計程序就是獲取客戶的組織結構圖，及一些比較虛的總綱類的書面管理制度如《IT管理制度》等等。

二、系統(tǒng)開發(fā)和變更。就是關注系統(tǒng)開發(fā)和系統(tǒng)后續(xù)小變更中的一些控制，具體的審計程序就是獲取系統(tǒng)開發(fā)及變更相關的管理制度典型的如《系統(tǒng)開發(fā)制度》《系統(tǒng)變更管理制度》等來看一看，再看系統(tǒng)開發(fā)是否經(jīng)過了需求提出、可行性研究、領導層審批，系統(tǒng)上線之前是不是經(jīng)過了充分的測試，獲取一些內(nèi)控痕跡和表單，如《××系統(tǒng)需求報告》、《××系統(tǒng)可行性報告》、《××系統(tǒng)立項審批單》、《××系統(tǒng)單元測試報告》、《××系統(tǒng)集成測試報告》、《××系統(tǒng)上線審批單》，然后變更方面比較重要的就是《變更審批單》，這個一般來說還要進行抽樣，而上面的開發(fā)流程一般來說做一兩個穿行測試就行了。

三、操作系統(tǒng)及數(shù)據(jù)庫控制。這一塊呢具體就是看操作系統(tǒng)和數(shù)據(jù)庫登錄是不是要密碼，然后把登錄界面截個屏作為審計證據(jù)K進底稿里，蠻弱智的。然后呢就是調(diào)出操作系統(tǒng)及數(shù)據(jù)庫中的一些安全配置，如密碼復雜度的要求，密碼是不是強制一個月改一次，對系統(tǒng)的敏感操作是否有日志記錄，日志是否有人去復核，再者就是看用戶權限管理是否按照基于角色來進行權限分配?，F(xiàn)在商用方面操作系統(tǒng)用得比較多的是win2000,LINUX,UNIX,銀行AIX用得比較多，數(shù)據(jù)庫就是SAP，ORACLE,SQL server等，銀行DB2用得也比較多。審計的時候呢，對于安全配置，就是輸入一些命令，調(diào)出相關配置，四大像安永會有團隊專門設計腳本 ，只要放到客戶機器上那么一跑，結果自動就出來了，高度傻瓜式，流程化機械化，IT審計師的可替代性更強了，價值更低了。再就是把所有用戶的權限列表拉出來，看是不是合理合規(guī)，后點關注超級管理員的權限。

四、應用系統(tǒng)控制。關注點同操作系統(tǒng)及數(shù)據(jù)庫。不過應用系統(tǒng)千變?nèi)f化，比如銀行里面比較大的應用系統(tǒng)就有綜合業(yè)務系統(tǒng)（有的叫核心業(yè)務系統(tǒng)）、國際結算系統(tǒng)、大小額系統(tǒng)、信貸管理系統(tǒng)等等等等。但萬變不離其綜，這些系統(tǒng)做ITGC思路都是一樣的，就看安全配置和用戶權限。如果要支持財審進行ITAC的審計，則要具體情況具體分析設計，因此個人認為ITAC的審計是IT審計師能體現(xiàn)自身經(jīng)驗與價值的地方，光做ITGC是沒有前途的

五、接口控制與信息安全。各種系統(tǒng)之前會有接口，那么數(shù)據(jù)從一個系統(tǒng)傳輸?shù)搅硪幌到y(tǒng)中數(shù)據(jù)的準確性完整性要得到保證。審計程序一般首先看系統(tǒng)中是不是有自動核對的機制，比如銀行的核心業(yè)務系統(tǒng)基本與每個重要的業(yè)務系統(tǒng)都有接口并且每天會進行大量的數(shù)據(jù)交互，做的好的會有一個核對機制，加入一些校驗機制，確認數(shù)據(jù)的準確完整，有的銀行測沒有。信息安全就是看看網(wǎng)絡管理相關的制度，看看防火墻的結構，內(nèi)外網(wǎng)是不是分離啊等等。