ITGC和ITAC的区别（itc ge）

大家好！今天让创意岭的小编来大家介绍下关于ITGC和ITAC的区别的问题，以下是小编对此问题的归纳整理，让我们一起来看看吧。

ChatGPT国内免费在线使用，一键生成原创文章、方案、文案、工作计划、工作报告、论文、代码、作文、做题和对话答疑等等

只需要输入关键词，就能返回你想要的内容，越精准，写出的就越详细，有微信小程序端、在线网页版、PC客户端

官网：https://ai.de1919.com

本文目录:

• 1、sox对企业IT的要求

• 2、大家普华永道的RA部门ESG组是做什么的?

• 3、it审计工作适合女生吗？

• 4、it审计 怎么做

一、sox对企业IT的要求

在这个SOX中关于IT审计过程中间，我们需要相关的像C-SOX安全一些策略也好，规范条例也好，真正实现这样一个安全控制和管理。

IT控制在每一个公司中存在，至少是下面三个因素，像决策管理、商务流程和IT服务。决策管理是建立在实体上，就是人的因素上，如果在一个企业中，不管是IT部门的负责人，还是一个企业的CEO也好，高层管理人员，如果他们没有充分地认识到IT管理的安全，首先来讲，就决定在IT层面上将不可能真正做到一种安全。其次是商务流程，商务流程就是说我们因为是要通过我们这些系统，来给我们企业创造价值，IT永远是作为一个帮助企业的业务部门来实现自身价值的部门。所以通过商务上由于业务的需求，我们引进了很多商务软件，包括大型ERP系统，通过这样系统跟我们IT硬件相结合在一起，形成高效一个系统集成这样一个概念。

IT服务这一块，除了日常的IT维护和管理等等，它来决定服务好坏，同样决定安全非常重要的因素。其实我们也看到这样一张图表，这包括了SOX法案所要遵循的部分，中间包括实体层控制，这也给大家解释过了。现在ITAC应用方面，就是我们讲大型系统。再往下最底层是我们ITGC一般应用控制，在这个控制中间我们简单成为系统开发、系统变更、运营管理、安全管理四大块，我常常比喻为是一个金字塔形的框架。在金字塔的底层是由ITGC来控制的，中间是应用程序控制方面，在塔尖一定是人的控制，通过这样一个搭建结构才能保证我们整个IT的在大型企业中，IT非常安全的控制。

再用一个同样的图表来给大家解释一下，在我们ITAC和ITGC相近的关系，上面有一系列安全产品，这样搭建我们IT的基础安全措施，上面是我们常见的财务系统，不管是什么样的系统，它也应该是只有秉承安全的，上面才安全，上面是我们业务系统、采购系统、销售系统等等，我们财务相关接口实现有效的管理。再往上我们可以看到通过一系列这样的流程，最后我们呈现这份财务报表，为什么在说到C-SOX当中大家说我们需要做IT安全，在整个《萨班斯法》并没有说到IT审计，但是在我们日益们上市公司做审计的时候面临财务审计，基于这样的原因，在ITGC大概控制点，这是AC准确、完整、授权职责分离。

这是ITGC和ITAC关系的图表，首先从信息管理和人事结构，这是一个公司，其次是上升到人的，在有是整个公司的管理，凭险评估，再就是流程层面评估，分为早期，系统与数据所有者，包括业务有关数据控制等等。

二、大家普华永道的RA部门ESG组是做什么的?

ESG组主要的业务就是完成风险咨询业务中的

RA 的主要工作内容是什么？

目前就我的了解来看，RA的工作大概有三大块，分别是 EA（ITGC+ITAC+接口测试等），内控，以及其他项目（OAS）。

首先请明确一点，不管是 RA 还是传统的审计（Audit），目前在 Firm 内部的分类中都属于 Assurance 大类之下。从定位上就可以知道，RA 的工作和审计总是脱不了关系的。所以，如果想完全的告别审计（告别底稿），出门右转去 Consulting 吧。

但是，RA 的审计业务实际上是对财审工作的一种补充和辅助，也就是最 Basic 的 ITGC （IT General Control）。大致解释一下的话应该是：对所审计客户的信息系统及相关制度进行测试，以确保其产出的数据，尤其是财务方面的数据是准确、完整、可靠的。

所以会发现，ITGC 工作最终所交付的对象，既不是客户，也不是财报的受众，而是财审，也就是 Core Assurance. ITGC 的测试结果决定了财审那边对风险的测量，进而影响了其测试的工作量。

听起来似乎比传统的财审要有意思的多，而且相比较下来，实际的工作量也比财审要轻松（加班较少）。但是 ITGC 最为人诟病的一点在于，大部分来做这件事的人也并不是真正了解信息系统运作的“专家”，所以是以一种比较心虚的态度在做着这份工作。

不过，能不能学到东西也还是取决于态度吧：我有见到过只想着按照既定流程画完底稿的人，也见到过遇到任何不懂的概念都会抓着客户老师问个明白，或者一定要自己去探究清楚的朋友。所以，一份工作能给人的价值和成长，也许最终还是取决于自己的行为。

至于内控项目，因为本人目前还没有接触到，所以不太能写出什么内容。但从一些朋友那边了解到的信息来看，内控项目的工作强度会稍稍大于 ITGC 。

但是比起专注于辅助财审的 ITGC ，内控的建设更自成一派，且能覆盖到更多的内容，同时也能对一家公司，甚至一个行业的制度化运作有更深入的了解，相比较来说应该会更有挑战与成长性一些。

其他 OAS 项目，会更广且更杂。比如 RA 内部会有 Cyber Security Team，专注于做网络安全领域的项目，大部分应该是合规的咨询，或者是一些云服务商的 SOC 审计。

或者还有 Data Team，会涉及到一些数据分析的工作。除此之外，还有一些可持续发展研究、食品安全等等的项目，都会被归为 OAS 类别之下。

所以在 RA，会涉及到的项目内容是极其多样化的，但这也像其他答主说的，如果不能找到自己的赛道，深耕一个领域，对个人的发展其实是不太好的。

三、it审计工作适合女生吗？

这个工作，女生完全可以做。

至于到底适合不适合，要看具体的那个人的具体的能力高低……必须具备相应的能力才能胜任。

四、it审计 怎么做

ITGC主要审以下内容：

一、ELC（entity level control）控制。就是看看客户在IT治理方面的相关组织架构是否合理，书面的管理制度是不是健全，具体的审计程序就是获取客户的组织结构图，及一些比较虚的总纲类的书面管理制度如《IT管理制度》等等。

二、系统开发和变更。就是关注系统开发和系统后续小变更中的一些控制，具体的审计程序就是获取系统开发及变更相关的管理制度典型的如《系统开发制度》《系统变更管理制度》等来看一看，再看系统开发是否经过了需求提出、可行性研究、领导层审批，系统上线之前是不是经过了充分的测试，获取一些内控痕迹和表单，如《××系统需求报告》、《××系统可行性报告》、《××系统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》，然后变更方面比较重要的就是《变更审批单》，这个一般来说还要进行抽样，而上面的开发流程一般来说做一两个穿行测试就行了。

三、操作系统及数据库控制。这一块呢具体就是看操作系统和数据库登录是不是要密码，然后把登录界面截个屏作为审计证据K进底稿里，蛮弱智的。然后呢就是调出操作系统及数据库中的一些安全配置，如密码复杂度的要求，密码是不是强制一个月改一次，对系统的敏感操作是否有日志记录，日志是否有人去复核，再者就是看用户权限管理是否按照基于角色来进行权限分配。现在商用方面操作系统用得比较多的是win2000,LINUX,UNIX,银行AIX用得比较多，数据库就是SAP，ORACLE,SQL server等，银行DB2用得也比较多。审计的时候呢，对于安全配置，就是输入一些命令，调出相关配置，四大像安永会有团队专门设计脚本 ，只要放到客户机器上那么一跑，结果自动就出来了，高度傻瓜式，流程化机械化，IT审计师的可替代性更强了，价值更低了。再就是把所有用户的权限列表拉出来，看是不是合理合规，后点关注超级管理员的权限。

四、应用系统控制。关注点同操作系统及数据库。不过应用系统千变万化，比如银行里面比较大的应用系统就有综合业务系统（有的叫核心业务系统）、国际结算系统、大小额系统、信贷管理系统等等等等。但万变不离其综，这些系统做ITGC思路都是一样的，就看安全配置和用户权限。如果要支持财审进行ITAC的审计，则要具体情况具体分析设计，因此个人认为ITAC的审计是IT审计师能体现自身经验与价值的地方，光做ITGC是没有前途的

五、接口控制与信息安全。各种系统之前会有接口，那么数据从一个系统传输到另一系统中数据的准确性完整性要得到保证。审计程序一般首先看系统中是不是有自动核对的机制，比如银行的核心业务系统基本与每个重要的业务系统都有接口并且每天会进行大量的数据交互，做的好的会有一个核对机制，加入一些校验机制，确认数据的准确完整，有的银行测没有。信息安全就是看看网络管理相关的制度，看看防火墙的结构，内外网是不是分离啊等等，无聊至极。

以上就是关于ITGC和ITAC的区别相关问题的回答。希望能帮到你，如有更多相关问题，您也可以联系我们的客服进行咨询，客服也会为您讲解更多精彩的知识和内容。

推荐阅读：

chatGBT翻译（chatwith翻译）

ChatGPT有多神奇（chat thit）

itchat文件传输助手（文件传输助手app）

报考二级建造师官网（二建报名网站官网登录）

效果广告和信息流广告（效果广告和信息流广告的关系）