看到了很多前輩的貼文,我也在四大做IT審計,不過我是Risk這條業務線下面的。所以從四大的角度來說,IT審計分了兩大塊,一塊support年報審計,在審計部門,一塊support內控風控,在咨詢部門。
最近兩年的回答很少,我分享兩個小故事吧。一個是我在B站錄了幾個IT審計的影片,Up主是畢達哥拉斯審計,然後我把連結發給某前輩唐總。他看了第一講在講概念,感覺沒有必要,可以直接講怎麽做的。我覺得他說的有點道理,不過我沒有認同。因為我之前給一家公司培訓IT審計,直接講幹貨,他們聽蒙了,不知道這些控制點有什麽好查的。當然培訓效果也一般般。後面我就明白了,因為IT審計是一個跨界的綜合領域,溝通前一定要確認一下對方的IT審計基礎情況,到了哪個階段,是哪個板塊。
基本上我理解的板塊,如果從一般小白角度來說,依次有:CAATS,協助年報的;ITGC和ITAC;和內控內審沾邊的。
我最近四年做的就是最後一種。這一塊一般不需要對接財務,對接的是內審。不同公司叫法不一樣,內控、風控、稽核、紀委辦各種都有,一般都是三道防線裏面的第三道防線。
另一個故事,就是看到了一個夥伴在CAATS協助年報板塊做的體驗感不好,沒有成就感,後面學習了狗哥的ITGC和ITAC,感覺依然不喜歡這個方向,就換賽道了。我感覺這種失落在圈內每個人都有一些吧,或多或少。從成就感的角度來說,就是看你到底能不能學到東西,有沒有成體系的積累,能不能鍛煉你的結構化思維。上面這三塊,知識體系是越來越多的。CAATS本身就是輔助性專案,核心工作還是年報審計或者IPO審計,不過最近監管查的嚴,大家都沒有分清會計責任和審計責任,所以一些上市公司會計造假也處罰了事務所,又是風雨飄搖~個人覺得這不影響打工人賺錢,如果你已經是年報審計圈的夥伴了,很多方式可以換換獲得新的出路。比如去一個中等規模的事務所,或者小而精的小所。比如從上市公司年報改行到高新審計或者做做盡調審計,不是說降一個檔次,也有朋友專門做這方面年入百萬的。
ITGC和ITAC,十多年前就有了,四大最先在用,現在內資所和一些集團公司在用,其實不止這一個領域,很多領域都是四大在玩,後面慢慢流轉到內資所,再流轉到集團公司.......我覺得圈內逆行的狗,狗哥講的比較全面了,都出書了。據說這是當年普華永道的朋友教給狗哥的,很值得學習。到現在為止,四大的審計專案據說也還在用。我們咨詢線倒不是很多了哎。
第三塊和內控內審沾邊的,說法有點虛,也沒有專業叫法,嗯。Ta的知識體系比較復雜,最常見的就是CISA和CIA。這兩個證書其實有很多東西可以學的,教材也很值得一讀,不過很多圈內人因為淘寶有賣答案的二看不起這兩個證書,我覺得太片面。基本上寫公眾號的幾個審計夥伴都沒有考CISA,嗯。實務中對接內部審計,因為內審查的範圍很廣,也延伸了IT審計的範圍。比如反舞弊審計,大數據審計,數據治理審計等。
從資訊系統角度來說,還有一個細分領域叫資訊保安審計,Ta比較獨立,因為如果你去審的話至少你需要懂一些標準和規範。據我了解,這一塊的參考知識體系是CISA和ISO27001。好像還有一個證書體系CISSP,我剛剛開始了解,先不說了,哈哈。
有打算新的一年一起學習的夥伴可以私聊我哦,記得先自我介紹一下哈。
