看到了很多前辈的帖子,我也在四大做IT审计,不过我是Risk这条业务线下面的。所以从四大的角度来说,IT审计分了两大块,一块support年报审计,在审计部门,一块support内控风控,在咨询部门。
最近两年的回答很少,我分享两个小故事吧。一个是我在B站录了几个IT审计的视频,Up主是毕达哥拉斯审计,然后我把链接发给某前辈唐总。他看了第一讲在讲概念,感觉没有必要,可以直接讲怎么做的。我觉得他说的有点道理,不过我没有认同。因为我之前给一家公司培训IT审计,直接讲干货,他们听蒙了,不知道这些控制点有什么好查的。当然培训效果也一般般。后面我就明白了,因为IT审计是一个跨界的综合领域,沟通前一定要确认一下对方的IT审计基础情况,到了哪个阶段,是哪个板块。
基本上我理解的板块,如果从一般小白角度来说,依次有:CAATS,协助年报的;ITGC和ITAC;和内控内审沾边的。
我最近四年做的就是最后一种。这一块一般不需要对接财务,对接的是内审。不同公司叫法不一样,内控、风控、稽核、纪委办各种都有,一般都是三道防线里面的第三道防线。
另一个故事,就是看到了一个伙伴在CAATS协助年报板块做的体验感不好,没有成就感,后面学习了狗哥的ITGC和ITAC,感觉依然不喜欢这个方向,就换赛道了。我感觉这种失落在圈内每个人都有一些吧,或多或少。从成就感的角度来说,就是看你到底能不能学到东西,有没有成体系的积累,能不能锻炼你的结构化思维。上面这三块,知识体系是越来越多的。CAATS本身就是辅助性项目,核心工作还是年报审计或者IPO审计,不过最近监管查的严,大家都没有分清会计责任和审计责任,所以一些上市公司会计造假也处罚了事务所,又是风雨飘摇~个人觉得这不影响打工人赚钱,如果你已经是年报审计圈的伙伴了,很多方式可以换换获得新的出路。比如去一个中等规模的事务所,或者小而精的小所。比如从上市公司年报改行到高新审计或者做做尽调审计,不是说降一个档次,也有朋友专门做这方面年入百万的。
ITGC和ITAC,十多年前就有了,四大最先在用,现在内资所和一些集团公司在用,其实不止这一个领域,很多领域都是四大在玩,后面慢慢流转到内资所,再流转到集团公司.......我觉得圈内逆行的狗,狗哥讲的比较全面了,都出书了。据说这是当年普华永道的朋友教给狗哥的,很值得学习。到现在为止,四大的审计项目据说也还在用。我们咨询线倒不是很多了哎。
第三块和内控内审沾边的,说法有点虚,也没有专业叫法,嗯。Ta的知识体系比较复杂,最常见的就是CISA和CIA。这两个证书其实有很多东西可以学的,教材也很值得一读,不过很多圈内人因为淘宝有卖答案的二看不起这两个证书,我觉得太片面。基本上写公众号的几个审计伙伴都没有考CISA,嗯。实务中对接内部审计,因为内审查的范围很广,也延伸了IT审计的范围。比如反舞弊审计,大数据审计,数据治理审计等。
从信息系统角度来说,还有一个细分领域叫信息安全审计,Ta比较独立,因为如果你去审的话至少你需要懂一些标准和规范。据我了解,这一块的参考知识体系是CISA和ISO27001。好像还有一个证书体系CISSP,我刚刚开始了解,先不说了,哈哈。
有打算新的一年一起学习的伙伴可以私聊我哦,记得先自我介绍一下哈。
