正文

ITGC和ITAC的區(qū)別（itc ge）

發(fā)布時(shí)間：2023-03-13 00:56:27 稿源：創(chuàng)意嶺閱讀： 107 問(wèn)大家

大家好！今天讓創(chuàng)意嶺的小編來(lái)大家介紹下關(guān)于ITGC和ITAC的區(qū)別的問(wèn)題，以下是小編對(duì)此問(wèn)題的歸納整理，讓我們一起來(lái)看看吧。

ChatGPT國(guó)內(nèi)免費(fèi)在線使用，一鍵生成原創(chuàng)文章、方案、文案、工作計(jì)劃、工作報(bào)告、論文、代碼、作文、做題和對(duì)話答疑等等

只需要輸入關(guān)鍵詞，就能返回你想要的內(nèi)容，越精準(zhǔn)，寫出的就越詳細(xì)，有微信小程序端、在線網(wǎng)頁(yè)版、PC客戶端

官網(wǎng)：https://ai.de1919.com

本文目錄:

1、sox對(duì)企業(yè)IT的要求
2、大家普華永道的RA部門ESG組是做什么的?
3、it審計(jì)工作適合女生嗎？
4、it審計(jì) 怎么做

ITGC和ITAC的區(qū)別（itc ge）

一、sox對(duì)企業(yè)IT的要求

在這個(gè)SOX中關(guān)于IT審計(jì)過(guò)程中間，我們需要相關(guān)的像C-SOX安全一些策略也好，規(guī)范條例也好，真正實(shí)現(xiàn)這樣一個(gè)安全控制和管理。

IT控制在每一個(gè)公司中存在，至少是下面三個(gè)因素，像決策管理、商務(wù)流程和IT服務(wù)。決策管理是建立在實(shí)體上，就是人的因素上，如果在一個(gè)企業(yè)中，不管是IT部門的負(fù)責(zé)人，還是一個(gè)企業(yè)的CEO也好，高層管理人員，如果他們沒(méi)有充分地認(rèn)識(shí)到IT管理的安全，首先來(lái)講，就決定在IT層面上將不可能真正做到一種安全。其次是商務(wù)流程，商務(wù)流程就是說(shuō)我們因?yàn)槭且ㄟ^(guò)我們這些系統(tǒng)，來(lái)給我們企業(yè)創(chuàng)造價(jià)值，IT永遠(yuǎn)是作為一個(gè)幫助企業(yè)的業(yè)務(wù)部門來(lái)實(shí)現(xiàn)自身價(jià)值的部門。所以通過(guò)商務(wù)上由于業(yè)務(wù)的需求，我們引進(jìn)了很多商務(wù)軟件，包括大型ERP系統(tǒng)，通過(guò)這樣系統(tǒng)跟我們IT硬件相結(jié)合在一起，形成高效一個(gè)系統(tǒng)集成這樣一個(gè)概念。

IT服務(wù)這一塊，除了日常的IT維護(hù)和管理等等，它來(lái)決定服務(wù)好壞，同樣決定安全非常重要的因素。其實(shí)我們也看到這樣一張圖表，這包括了SOX法案所要遵循的部分，中間包括實(shí)體層控制，這也給大家解釋過(guò)了?，F(xiàn)在ITAC應(yīng)用方面，就是我們講大型系統(tǒng)。再往下最底層是我們ITGC一般應(yīng)用控制，在這個(gè)控制中間我們簡(jiǎn)單成為系統(tǒng)開發(fā)、系統(tǒng)變更、運(yùn)營(yíng)管理、安全管理四大塊，我常常比喻為是一個(gè)金字塔形的框架。在金字塔的底層是由ITGC來(lái)控制的，中間是應(yīng)用程序控制方面，在塔尖一定是人的控制，通過(guò)這樣一個(gè)搭建結(jié)構(gòu)才能保證我們整個(gè)IT的在大型企業(yè)中，IT非常安全的控制。

再用一個(gè)同樣的圖表來(lái)給大家解釋一下，在我們ITAC和ITGC相近的關(guān)系，上面有一系列安全產(chǎn)品，這樣搭建我們IT的基礎(chǔ)安全措施，上面是我們常見(jiàn)的財(cái)務(wù)系統(tǒng)，不管是什么樣的系統(tǒng)，它也應(yīng)該是只有秉承安全的，上面才安全，上面是我們業(yè)務(wù)系統(tǒng)、采購(gòu)系統(tǒng)、銷售系統(tǒng)等等，我們財(cái)務(wù)相關(guān)接口實(shí)現(xiàn)有效的管理。再往上我們可以看到通過(guò)一系列這樣的流程，最后我們呈現(xiàn)這份財(cái)務(wù)報(bào)表，為什么在說(shuō)到C-SOX當(dāng)中大家說(shuō)我們需要做IT安全，在整個(gè)《薩班斯法》并沒(méi)有說(shuō)到IT審計(jì)，但是在我們?nèi)找鎮(zhèn)兩鲜泄咀鰧徲?jì)的時(shí)候面臨財(cái)務(wù)審計(jì)，基于這樣的原因，在ITGC大概控制點(diǎn)，這是AC準(zhǔn)確、完整、授權(quán)職責(zé)分離。

這是ITGC和ITAC關(guān)系的圖表，首先從信息管理和人事結(jié)構(gòu)，這是一個(gè)公司，其次是上升到人的，在有是整個(gè)公司的管理，憑險(xiǎn)評(píng)估，再就是流程層面評(píng)估，分為早期，系統(tǒng)與數(shù)據(jù)所有者，包括業(yè)務(wù)有關(guān)數(shù)據(jù)控制等等。

二、大家普華永道的RA部門ESG組是做什么的?

ESG組主要的業(yè)務(wù)就是完成風(fēng)險(xiǎn)咨詢業(yè)務(wù)中的

RA 的主要工作內(nèi)容是什么？

目前就我的了解來(lái)看，RA的工作大概有三大塊，分別是 EA（ITGC+ITAC+接口測(cè)試等），內(nèi)控，以及其他項(xiàng)目（OAS）。

首先請(qǐng)明確一點(diǎn)，不管是 RA 還是傳統(tǒng)的審計(jì)（Audit），目前在 Firm 內(nèi)部的分類中都屬于 Assurance 大類之下。從定位上就可以知道，RA 的工作和審計(jì)總是脫不了關(guān)系的。所以，如果想完全的告別審計(jì)（告別底稿），出門右轉(zhuǎn)去 Consulting 吧。

但是，RA 的審計(jì)業(yè)務(wù)實(shí)際上是對(duì)財(cái)審工作的一種補(bǔ)充和輔助，也就是最 Basic 的 ITGC （IT General Control）。大致解釋一下的話應(yīng)該是：對(duì)所審計(jì)客戶的信息系統(tǒng)及相關(guān)制度進(jìn)行測(cè)試，以確保其產(chǎn)出的數(shù)據(jù)，尤其是財(cái)務(wù)方面的數(shù)據(jù)是準(zhǔn)確、完整、可靠的。

所以會(huì)發(fā)現(xiàn)，ITGC 工作最終所交付的對(duì)象，既不是客戶，也不是財(cái)報(bào)的受眾，而是財(cái)審，也就是 Core Assurance. ITGC 的測(cè)試結(jié)果決定了財(cái)審那邊對(duì)風(fēng)險(xiǎn)的測(cè)量，進(jìn)而影響了其測(cè)試的工作量。

聽起來(lái)似乎比傳統(tǒng)的財(cái)審要有意思的多，而且相比較下來(lái)，實(shí)際的工作量也比財(cái)審要輕松（加班較少）。但是 ITGC 最為人詬病的一點(diǎn)在于，大部分來(lái)做這件事的人也并不是真正了解信息系統(tǒng)運(yùn)作的“專家”，所以是以一種比較心虛的態(tài)度在做著這份工作。

不過(guò)，能不能學(xué)到東西也還是取決于態(tài)度吧：我有見(jiàn)到過(guò)只想著按照既定流程畫完底稿的人，也見(jiàn)到過(guò)遇到任何不懂的概念都會(huì)抓著客戶老師問(wèn)個(gè)明白，或者一定要自己去探究清楚的朋友。所以，一份工作能給人的價(jià)值和成長(zhǎng)，也許最終還是取決于自己的行為。

至于內(nèi)控項(xiàng)目，因?yàn)楸救四壳斑€沒(méi)有接觸到，所以不太能寫出什么內(nèi)容。但從一些朋友那邊了解到的信息來(lái)看，內(nèi)控項(xiàng)目的工作強(qiáng)度會(huì)稍稍大于 ITGC 。

但是比起專注于輔助財(cái)審的 ITGC ，內(nèi)控的建設(shè)更自成一派，且能覆蓋到更多的內(nèi)容，同時(shí)也能對(duì)一家公司，甚至一個(gè)行業(yè)的制度化運(yùn)作有更深入的了解，相比較來(lái)說(shuō)應(yīng)該會(huì)更有挑戰(zhàn)與成長(zhǎng)性一些。

其他 OAS 項(xiàng)目，會(huì)更廣且更雜。比如 RA 內(nèi)部會(huì)有 Cyber Security Team，專注于做網(wǎng)絡(luò)安全領(lǐng)域的項(xiàng)目，大部分應(yīng)該是合規(guī)的咨詢，或者是一些云服務(wù)商的 SOC 審計(jì)。

或者還有 Data Team，會(huì)涉及到一些數(shù)據(jù)分析的工作。除此之外，還有一些可持續(xù)發(fā)展研究、食品安全等等的項(xiàng)目，都會(huì)被歸為 OAS 類別之下。

所以在 RA，會(huì)涉及到的項(xiàng)目?jī)?nèi)容是極其多樣化的，但這也像其他答主說(shuō)的，如果不能找到自己的賽道，深耕一個(gè)領(lǐng)域，對(duì)個(gè)人的發(fā)展其實(shí)是不太好的。

三、it審計(jì)工作適合女生嗎？

這個(gè)工作，女生完全可以做。

至于到底適合不適合，要看具體的那個(gè)人的具體的能力高低……必須具備相應(yīng)的能力才能勝任。

四、it審計(jì) 怎么做

ITGC主要審以下內(nèi)容：

一、ELC（entity level control）控制。就是看看客戶在IT治理方面的相關(guān)組織架構(gòu)是否合理，書面的管理制度是不是健全，具體的審計(jì)程序就是獲取客戶的組織結(jié)構(gòu)圖，及一些比較虛的總綱類的書面管理制度如《IT管理制度》等等。

二、系統(tǒng)開發(fā)和變更。就是關(guān)注系統(tǒng)開發(fā)和系統(tǒng)后續(xù)小變更中的一些控制，具體的審計(jì)程序就是獲取系統(tǒng)開發(fā)及變更相關(guān)的管理制度典型的如《系統(tǒng)開發(fā)制度》《系統(tǒng)變更管理制度》等來(lái)看一看，再看系統(tǒng)開發(fā)是否經(jīng)過(guò)了需求提出、可行性研究、領(lǐng)導(dǎo)層審批，系統(tǒng)上線之前是不是經(jīng)過(guò)了充分的測(cè)試，獲取一些內(nèi)控痕跡和表單，如《××系統(tǒng)需求報(bào)告》、《××系統(tǒng)可行性報(bào)告》、《××系統(tǒng)立項(xiàng)審批單》、《××系統(tǒng)單元測(cè)試報(bào)告》、《××系統(tǒng)集成測(cè)試報(bào)告》、《××系統(tǒng)上線審批單》，然后變更方面比較重要的就是《變更審批單》，這個(gè)一般來(lái)說(shuō)還要進(jìn)行抽樣，而上面的開發(fā)流程一般來(lái)說(shuō)做一兩個(gè)穿行測(cè)試就行了。

三、操作系統(tǒng)及數(shù)據(jù)庫(kù)控制。這一塊呢具體就是看操作系統(tǒng)和數(shù)據(jù)庫(kù)登錄是不是要密碼，然后把登錄界面截個(gè)屏作為審計(jì)證據(jù)K進(jìn)底稿里，蠻弱智的。然后呢就是調(diào)出操作系統(tǒng)及數(shù)據(jù)庫(kù)中的一些安全配置，如密碼復(fù)雜度的要求，密碼是不是強(qiáng)制一個(gè)月改一次，對(duì)系統(tǒng)的敏感操作是否有日志記錄，日志是否有人去復(fù)核，再者就是看用戶權(quán)限管理是否按照基于角色來(lái)進(jìn)行權(quán)限分配?，F(xiàn)在商用方面操作系統(tǒng)用得比較多的是win2000,LINUX,UNIX,銀行AIX用得比較多，數(shù)據(jù)庫(kù)就是SAP，ORACLE,SQL server等，銀行DB2用得也比較多。審計(jì)的時(shí)候呢，對(duì)于安全配置，就是輸入一些命令，調(diào)出相關(guān)配置，四大像安永會(huì)有團(tuán)隊(duì)專門設(shè)計(jì)腳本，只要放到客戶機(jī)器上那么一跑，結(jié)果自動(dòng)就出來(lái)了，高度傻瓜式，流程化機(jī)械化，IT審計(jì)師的可替代性更強(qiáng)了，價(jià)值更低了。再就是把所有用戶的權(quán)限列表拉出來(lái)，看是不是合理合規(guī)，后點(diǎn)關(guān)注超級(jí)管理員的權(quán)限。

四、應(yīng)用系統(tǒng)控制。關(guān)注點(diǎn)同操作系統(tǒng)及數(shù)據(jù)庫(kù)。不過(guò)應(yīng)用系統(tǒng)千變?nèi)f化，比如銀行里面比較大的應(yīng)用系統(tǒng)就有綜合業(yè)務(wù)系統(tǒng)（有的叫核心業(yè)務(wù)系統(tǒng)）、國(guó)際結(jié)算系統(tǒng)、大小額系統(tǒng)、信貸管理系統(tǒng)等等等等。但萬(wàn)變不離其綜，這些系統(tǒng)做ITGC思路都是一樣的，就看安全配置和用戶權(quán)限。如果要支持財(cái)審進(jìn)行ITAC的審計(jì)，則要具體情況具體分析設(shè)計(jì)，因此個(gè)人認(rèn)為ITAC的審計(jì)是IT審計(jì)師能體現(xiàn)自身經(jīng)驗(yàn)與價(jià)值的地方，光做ITGC是沒(méi)有前途的

五、接口控制與信息安全。各種系統(tǒng)之前會(huì)有接口，那么數(shù)據(jù)從一個(gè)系統(tǒng)傳輸?shù)搅硪幌到y(tǒng)中數(shù)據(jù)的準(zhǔn)確性完整性要得到保證。審計(jì)程序一般首先看系統(tǒng)中是不是有自動(dòng)核對(duì)的機(jī)制，比如銀行的核心業(yè)務(wù)系統(tǒng)基本與每個(gè)重要的業(yè)務(wù)系統(tǒng)都有接口并且每天會(huì)進(jìn)行大量的數(shù)據(jù)交互，做的好的會(huì)有一個(gè)核對(duì)機(jī)制，加入一些校驗(yàn)機(jī)制，確認(rèn)數(shù)據(jù)的準(zhǔn)確完整，有的銀行測(cè)沒(méi)有。信息安全就是看看網(wǎng)絡(luò)管理相關(guān)的制度，看看防火墻的結(jié)構(gòu)，內(nèi)外網(wǎng)是不是分離啊等等，無(wú)聊至極。

以上就是關(guān)于ITGC和ITAC的區(qū)別相關(guān)問(wèn)題的回答。希望能幫到你，如有更多相關(guān)問(wèn)題，您也可以聯(lián)系我們的客服進(jìn)行咨詢，客服也會(huì)為您講解更多精彩的知識(shí)和內(nèi)容。