IT审计随想

1、 IT 审计是什么。,
 IT 审计相当于董事长和科技之间的缓冲带，将极端的技术和极端的管理，融合翻译成董事长更容易理解的、更容易操作的问题和建议。在这个过程中， IT 审计既不能抛弃 IT 专业性，也不能缺失服务行领导意识，难点也在于此，行领导更懂管理，但又听过技术，怎样在巩固服务意识的基础上，把握专业性的度，是这项工作的核心难点。要解决这个问题，就需要比行领导更懂科技，可能的话，可以调阅科技的各项汇报材料，且增加调研频率，了解行领导看到的内容和没看到的内容，看董事长的用词，看科技汇报的用词，只有充分了解，才能从管理角度提出建议。同时，加强专业性学习，长期专注于服务意识，专业性也会逐渐流失，直至失去专业性，这也是行领导不愿意看到的。」
2、 IT 审计的未来。。
我认为 IT 审计是紧跟 IT 发展的，可以以数字化的水平为依据，分为三个发展阶段，我们可能会一直留在第二阶段，理想的话可以升到第三个阶段。
第一阶段是在数字化转型之前，当时我行 IT 是传统 IT , IT 审计也随之是传统 IT 审计，传统的 IT 对于农行来说是可插拔式的插件，对于经营来说， IT 除了基础的网络运行，其他作用不大，像插件一样可随时与主营业务脱钩， IT 审计也随之就科技言科技，没有动力和资源支持去触及业务；.
第二阶段是数字化转型开始到形成数字化经营模式期间，也就是现在， IT 逐渐模糊了与主营业务之间的界限，二者从泾渭分明逐渐走向融合，业务部门中逐渐有了科技力量，但是当前其他审计条线不像 IT 审计"春江水暖鸭先知", IT 审计乘着数字化转型这一最新战略的东风，领先于其他审计，可以从全行数字化转型的这一全局角度去看待问题，不像业务目前还局限在一个条线内，那么 IT 审计在审 IT 的同时，目前也强调过多次，一是紧跟数字化脚步，主动触及业务，在 CISA 理论中也要求 IT 审计应突出对业务的影响，同时在当前局面下， IT 虽然没有以前那么像插件，但也并未完全融入业务，在审计中也可以看到即便是精准应用，也仍有很多专家规则在发挥作用，并未充分利用数据要素，这就导致 IT 审计也无法过于深入业务，当然这已经是很大的进步，二是处在转型期这个阶段，应牢牢把握数字化也是 IT 范畴这个认识， IT 审计要自然而然从协同转型这个大目标下，发现 IT 融入业务过程中存在的问题，包括管理问题、机制问题等。查什么管理问题？我对现在的审计成果比较迷惑，有些审计成果是管理问题，有些是浮于问题，且这些问题明明可以深挖管理原因。我觉得 IT 审计就应该是对各种风险点控制措施的审计，而不是像一二道防线那样直接审问题表象；
第三阶段是数字化经营阶段，这个阶段 IT 与主营业务完全融合，但并不是说像互金一样由科技主导，人行新任行长公开表明，金融科技仍是金融，科技只是实现金融目标的手段。在业技完全融合的时候，那时 IT 审计还能做什么呢？从这一两年其他审计条线的项目或多或少都涉及 IT 就能看出来，其他条线可以业务为主，科技为辅，更容易让各级领导理解， IT 审计科技为主，业务为辅的模式，在全行业技数融合更深入的时候， IT 审计如何开展。可能还得走专业化路线，查 IT ，甚至不能查部门间协同问题，因为那会这已经被解决或者是老生常谈的问题了，当然那时与现在以及以前都是不同的，就科技而言科技可能是一个更大的概念，假设到时没有 IT 条线，只有业技融合后的条线， IT 方面除了运维就是敏捷开发，做业务的人员可以在 IT 和业务间随时切换， IT 审计将在网安、连续性、新技术等专业性、基础性领域发挥作用，其他如服务发展质量、优化工作机制、基层减负等方面，其他审计条线也会查，甚至因领域不同而查的更好，但并不是说回归了第一阶段，相较于第一阶段，此时 IT 的底座作用变得举足轻重，牵一发动全身，网安、连续性等审计领域也全然不同， IT 审计还是能发现更深层次的 IT 方面的问题及原因。。
面对上述的发展路径， IT 审计以后怎么办呢？一是和其他审计条线联动，及时互通所发现的问题，业务审计发现的科技问题要在 IT 审计中有深层体现， IT 审计影响的业务问题也要在业务审计中有深层体现，这样对于 IT 审计来说，至少不丢分。二是抓分行，总行科技管理相对来说比较完善严格且更专业，审计只会吃力不讨好，查分行简单，大家都知道分行问题更多，数字化转型上冷下热的现象有很多原因在分行，转型的实施也要靠分行，但每次只能以偏概全说样本分行存在的问题，行领导应该也很想知道分行整体存在的问题，我们当前还在做三年全覆盖，这其实还是传统的抽样审计思路，觉得一年审不完，现在分局的技术水平问题不大，叠加非现场监测、风险排查评估，大数据审计重点更明确，效率更高，底稿转化率也会提升，还会把分局拽住,审计品牌，信科管理审计也可以，数字化转型进行到一定程度时，二者甚至可以融合开展。三是数字化相当成熟时， IT 审计除了专业化的审计项目，也可以像研发的风险部一样，搞 IT 风险排查和评估，与非现场监测一道，形成与信息科技管理审计同等的项目，拓宽加分面，有些工作大家都会做，但是在 IT 方面专业化的内容只能 IT 审计做，深挖 IT 方面可做的事半功倍的工作。
3、需不需要和被审单位搞开门审计。
需要搞，现在的大数据审计和传统的抽查日志不同，可以全量查找问题，也能避免重复发现同类问题，倒逼 IT 审计进步，但是也容易把 IT 审计逼上绝路，被审单位会充分了解审计的思路，并内化为自身的手段， IT 审计可能会失去查问题的功能，只剩独立性了。即便如此，还要开展的原因是，需要和数字化一样，保持开放态度，大家共同进步才是进步，当然，分局水平有高有低，全面开放不太现实，可以定期评选打造一两个标杆分局实施开门审计，当作向其他分局、被审单位和行领导宣传审计思路的"对外窗口"，提升各相干人对审计服务发展的认识。