it审计

审计这种部门在哪个公司都不是什么受欢迎的部门，况且还是外部审计，那更是不受欢迎，一不小心还可能被皮带哥这样的公司给拖下水，看看pwc hk被罚了多少就知道了。

审计的目标问了下月之暗面，它是这样告诉我的：

IT审计工作的目标主要包括以下几个方面：

确保合规性：验证IT系统和流程是否遵循了相关法律、法规、政策和标准，确保组织在信息技术管理方面符合外部和内部的要求。
评估风险管理：识别和评估IT环境中的潜在风险，包括安全风险、数据泄露风险、业务连续性风险等，并确保有适当的风险管理措施和控制机制。
提高效率和效果：通过审计发现IT操作中的效率瓶颈和改进点，提出优化建议，帮助组织提高IT资源的使用效率和业务流程的效果。
保护资产：确保IT资产（包括硬件、软件、数据等）得到妥善保护，防止未经授权的访问、使用、修改或破坏。
促进内部控制：评估和加强内部控制系统，包括访问控制、变更管理、数据备份和恢复等，以确保IT环境的稳定性和可靠性。
支持决策制定：为管理层提供关于IT战略、投资和资源分配的独立评估，帮助制定更加明智的决策。
增强透明度和信任：通过审计报告和建议，提高IT部门的透明度，增强内部和外部利益相关者对IT系统和操作的信任。
持续改进：通过定期的审计活动，推动组织持续改进IT管理和操作，适应不断变化的技术环境和业务需求。
IT审计不仅关注技术层面的合规性和安全性，还关注IT管理流程的有效性，以及IT如何支持组织的整体战略目标。通过IT审计，组织可以更好地理解和管理其IT环境，从而实现业务目标。

贵司的外部审计一直都是xxx，按说应该是挺专业，当年毕业比较迷茫的时候面试过他们，在魔都新天地一整栋楼都是他们的，本地面试完还得远程给HK那边面。

问了下帮我们审计的小朋友，两人分别是UOL和JHU的研究生，现在可真是卷的，不过今天不说这个问题。

从目标出发，一个是确保合规性。 这个就涉及到各地的法律了，由于贵司是在海外上市的，于是就要符合当地的法律，还要符合大宋的法律。当然这些外部审计一般只是为了对付sec，所以还是以符合大辽法律为主了。

目的是符合法律，但是于是从这个O就产生了一些操作。但是在实际操作中，感觉他们的这些流程更适合大外企，而对于贵司这种小民企来说真是不可行。

1. 很多东西都要三权分立，操作系统管理员，数据库管理员，业务系统管理员都必须是3个人，首先一个公司有没有三个运维单说，这些人都归属于一个运维leader，这样是否合适。你说运维leader没有前2个账号吗？
2. 完全不懂什么是云，还在查ip，查网关设置这样的行为，云上什么内网ip不能设置啊。对于saas，paas产品都不清楚。
3. 还在区分运维，测试，研发的权限，对于很多产品，研发就是运维就是测试，一个小组一条龙搞定。
4. 最麻烦的是，他们自己也不知道审计到什么程度是可行的，因为他们也不知道sec抽查的时候会问到什么程度，所以大家都是一个猜的情况。
5. 对于微服务很不友好，在微服务里鬼知道你们要查的服务跑在哪个ip上，结果就是把所有机器都查了吧。

同时由于不知道达到什么程度才是完全符合sec的，所以他们就会频繁的要各种数据和穿测，这个就非常影响正常技术研发部门的工作，你要一起要了还行，可今天找你半个小时，明天找你半个小时，这被打断后的效率是很难恢复的。

而且审计这个东西只能是防君子的，碰到像皮带哥这样公司的，你怎么查？曾经听过一个审计的故事，是说一个公司在公司内网放了一个跟ICBC一样的网站，结果后来审计发现没有插USB-KEY居然也能登录才发现的。