IT 审计的工作状态怎么样，职业发展前景如何？

楼主是今年的应届毕业生，专业是MIS，拿到了某四大的IT审计部门的offer，但是对于该职位的工作内容和职业发展知之甚少，就算BIG4中的学长学姐也不一定知道这个部门的情况，网上对这个职位也众说纷纭。所以比较困惑，求问社区上的大牛们，是否知道DTT ERS, PWC RCS, EY ITRA这些部门的发展情况。非常感谢。

本题来自社区圆桌审计风云，更多相关话题欢迎关注讨论。

热心的小回应 · 2020-12-27 16:14:54

感谢邀请。
我的回答仅仅代表个人看法，不反应四家公司对应部门的实际情况，仅供参考。
1.概念描述
其实你说的这个叫IT审计并不准确，审计只是针对财务报表发表意见而言的，由于现在企业的财务流程都依赖电子系统，财务数据也是自动化水平越来越高，因此对于财务体系和企业其它内控流程而言，其电子系统的安全稳定和准确可靠变的越来越重要，出于这个要求，就要有一群专业人士来帮助企业确保其电子系统的安全性和可靠性，否则财务体系根本无从信赖，内控流程根本无法控制。这也就是你所说的这些部门建立的主要初衷和他们的工作内容。
2.工作强度
工作强度其实是根据项目而定的，所以不能一概而论。但从我了解来看，相比审计部门，IT相关的这些部门普遍轻松一些，相对加班较少，没有那么可怕的加班熬夜，呵呵（视情况而定，个别项目极其变态。。。：））
3.工作内容
工作要涉及计算机、信息系统的一些知识（C、Oracle什么的），也要涉及财务知识（我认识一些都在考会计的相关证书，因为工作需要相关知识），这两部分是基础的，其它的都是当时学当时用。
4.职业发展
主要是相同方向的企业内部部门，外部机构有一些IT咨询公司等（埃森哲什么的，其它咨询的IT服务小组也可以）。个人认为啊，这个部门跳槽的方向稍微有些局限。原因两点：第一，这些部门有一些专业性（计算机、财务），但又不是特别专业，没法跟专门干这个的比，凭借这两点专业跳槽出去的跟人家专门干这个的，有一点劣势；第二，这些部门跳槽出去，直接对口的部门少，只有IT咨询跟这些部门的工作交集比较多，因此有一点局限性。

PS：以上的完全是个人意见啊，肯定有不对不全面的地方，就业方向是大事，最好跟有个清晰的职业规划~祝你顺利啊~

热心的小回应 · 2020-12-27 16:14:55

这个问题问的很好，之前的一些答案也很在点上，我来做一些小小补充。

个人认为：IT审计的未来发展前景是非常可观的。
就大市场本身来说，越来越多的公司开始使用大型数据库、互联网、云计算、IT系统来支持他们的日常商业活动，例如：财会系统、公司各类报表、内部HR系统、软件开发、源数据管理等。如果要是银行（我在的行业），那么用到IT的机会就太多了。例如：mutual fund、股票交易、外汇交易-- 目前来看99%的transactions都已经是automation了，真正人手去操作的情况越来越少。计算机、数据库的应用会大大的减少人所带来的失误（human error），从而进一步降低成本、降低风险。这是大趋势，也是大方向。

但是，归根结底，所有的科技元素都需要人的管理。这就给IT审计这个专业提供了非常好的平台。在我工作中发现，IT开发人员并不具备很好的信息安全理念，由此导致不少违规操作，例如：上线的application依然存在后门，程序员可以随意修改数据，会导致数据泄露风险，数据质量下降等问题。越来越多的公司意识到，他们需要一批懂得IT+审计+商业背景的人来管理IT系统，并提供独立的审计意见（audit opinion）。

IT审计与传统审计一样，也分为内审和外审。我PwC纽约所做过2年多的IT审计，部门叫做Risk Assurance，服务于银行客户。外审是很枯燥的工作，但确是不可多得的磨炼机会。对于一个完全不了解IT审计的新手来说，我认为四大带来的经验是无价之宝。我建议题主可以利用四大来磨练一下，彻底了解一下IT审计的大概流程（例如：都有那些controls, 针对不同controls的测试方法等），基本功在最初的几年可以打牢。
但是，外审的局限性也不可避免-工作重复，做多了感觉毫无意义。当遇到瓶颈的时候，可以选择去尝试一下内审。内审完全是Risk Based，正所谓“深入人民群众中间”的审计。真正的看到数据是怎么来的、怎么去的、更加深入的了解business process+IT之间的相互配合，你会有完全不一样的感觉。

IT Audit是一个介乎在商务+IT+审计，三合一的小众平台，目前还处于起步阶段，前途发展很好。

热心的小回应 · 2020-12-27 16:14:56

感谢邀请
@张隆说的算是实情了，从我本人的角度来说，其实我们更大一部分精力是花在内部控制与风险管理上，IT审计工作是在年审的时候对财审的补充，算是饭后的甜点吧，呵呵。
对于职业发展来说，本人也在纠结，正如张隆所说，这些部门有一些专业性（计算机、财务），但又不是特别专业，没法跟专门干这个的比，不过还好现在很多企业的内审部会有IT审计组，所以机会还是有的，如果想转做咨询还是在专业方面好好补充下的
PwC RCS也应该是分好多组的，DTT 的ERS应该更多，IT审计只是很小的一个部分，去了可以转做其他组的工作
说的比较乱，想到再补充

热心的小回应 · 2020-12-27 16:14:57

自己没做过，但是之前在四大的时候见别人做过，现在在企业也需要involve这样的专业人员。总体感觉，前景还可以，毕竟企业越来越重视IT系统，业务和管理对系统的依赖程度也在加深。从这个角度看，在这个专业方向上能有不少收获和学习。如果站在晋升的角度，这个就不知道了。

热心的小回应 · 2020-12-27 16:14:58

国内不清楚，我在欧洲四大的IT advisory干了五年，在我们那里关于IT的advisory和audit基本是相通的，人也经常互相借来借去。总之我感觉如果只看GITC的话没什么难度，就是一个checklist，但是其实如果你要看跟报告有关的IPE testing或者一切access management authentication还是能学到一些东西。但是总体来说确实有点boring，没有advisory项目有意思。不过薪水很不错，而且有四大经验后在跳槽到其他企业非常容易，薪水在这边基本能翻倍，现在IT audit这个领域越来越被受重视，但是做的人不多，所以还是比较吃香的。至于国内怎么样我不太了解，但肯定也是慢慢会向欧美这个方向发展吧。

热心的小回应 · 2020-12-27 16:14:59

我就是四大干IT审计的。

很无聊，重复劳动，不怎么需要思考。

对我来说最有趣的部分就是跟客户催材料的时候了。

如果你是主观性较强的人，不推荐来。

不要来。

热心的小回应 · 2020-12-27 16:15:00

这个问题我只有部分发言权，因为截止目前我还尚未在国内看到it审计，也没有接触过it审计，但是同时，我也在国内前几的会计师事务所待过几年，所以问题才来了。即然作为国内会计师事务所的代表性事务所都没有it审计，那么从2000初就开始要涉及的it审计是否可行呢？

要说道IT审计，先不说主动变革型事务所，在我看来这样的事务所在中国几乎没有，就是当一个事务所难以控制自己的审计风险时候必须使用到IT进行审计，你的客户是否需要超级的数据中心和自动化体系。

如今金融银行互联信息都是需要强大的数据库支持，然而我们在审计方法中依然比较相信的是系统的自动控制，选择抽样方法的结果来验证自动控制的合理性，这一直是各个大型会计师事务所的前沿做法（前提还是只有大型会计师事务所才有内部控制测试一说），在各大会计师事务所看来，这样的需求是基本应该有的，我们理应相信系统的自动控制。那么问题来了，到底向非洲人民卖鞋是不是一个好主意？

随着近年来互联物联的极速发展，不断有大型公司引入新的管理数据体系，也有很多高端的数据及软件公司进行上市，这对于新的监管部门来说，都成了一个无厘头的监管要求，你让一个会计师去操着一个工程师的蛋，会计师肯定否决说他本身并没有拿到两份工钱。

如果越来越多的互联金融企业上市，万一呢，有一天哪个公司就依靠数据造假出了那么一档舞弊案，谁又知道呢，是不是IT审计成为某一部分特定行业的必要需求？

现在？事务所的眼里只有审计，没有IT。

热心的小回应 · 2020-12-27 16:15:01

现在IT审计越来越火了，以后传统的审计师如果不对IT审计有基本的了解，很容易被淘汰的。
这个行业也是很好的，四大不错。不过目前上市面上事务所里面IT审计待遇最好的是立信，第一年税后收入有11万了。

热心的小回应 · 2020-12-27 16:15:02

it审计是个新兴的东西，玩的人不多，而且it管理涉及的东东太多了，一个人不可能对每一个领域都有着深刻的认识，所以很难做好。

热心的小回应 · 2020-12-27 16:15:03

先匿了。
      本人曾就职于国内前20大事务所北京总部（非国际4大，抱歉不便透露所名称）IT审计部门。       首先声明：本所IT审计的水平，在行业内除四大之外算是比较有名气的，至少在行业内平均水平之上。
   先下个结论：入行需谨慎！入行需谨慎！入行需谨慎！
      本人于今年年中辞职，转回码农后发誓永不回头（算是一种止损吧），就职期间曾参与辅助财务审计、信息系统咨询以及几家IPO项目。有人曾说：IT审计就像皇帝的新衣，不伦不类。根据本人经验：此言不假（后面会解释原因），但不否认，对于几家国际巨头（4大及大型咨询顾问公司）来说，IT审计仍是个非常有潜力的业务，因为它真的可以做的非常难、非常深入。
   首先，先说行业发展情况，由于IT审计尚未起步，行业内从业人员专业素养参差不齐、行业内尚未成立大家都认可的成熟标准（参见17年证监会发布的对于互联网审计的研究稿）是IT审计目前面临的最大问题。后面我会以亲身实例为大家详细解释并阐述从业者需要为此直接或间接承担的后果。
   IT审计目前分为两大部分：ITGC（一般控制）和ITAC（应用控制）。ITGC（一般控制）涉及企业IT制度的控制、针对系统的日常管理和维护，了解系统的开发、变更、运维、安全、备份、逻辑访问等控制情况。简单来说，就是无论你是否对IT有没有经验（哪怕你不知道什么是C语言，什么是防火墙、Linux），只要你拿着部门给你的checklist，然后信心满满地照着上面的问题念给客户听，然后把客户回答的问题填上去就ok了，一般来讲，客户会对你十分客气和尊重，虽然人家很有可能是年薪超200w的IT总监、产品、运营总监。一般来说，对于一个丝毫没有IT经验、心智正常的人来说：ITGC入门时间很长很长，多长呢？最多30分钟。然而，对于初来乍到的你来说，一般不会让你直接去找客户访谈的，因为。。。它“太难”了，你如果会了，那些比你早来2、3年的同事会情何以堪。
   哈哈，想必到这里会一脸懵逼吧（其实我也很懵）。下面来说说ITAC，也就是应用控制，此部分我们部门很少有人看得上，但门道实则很深。对于财会出身或是计算机专业出身的人来说，能充分发挥自身的专业优势。财会背景人能根据被审计单位的IT系统进行逻辑上的详细核查，比如收入核算的业务逻辑是否正确合理，举个简单例子：比如互联网公司，对于用户消耗虚拟币的收入核算逻辑是否合规，是否存在漏洞，对于计算机背景的人，比如我，一般直接负责互联网项目，主要对接企业的各种数据，例如订单数据、虚拟币进销存数据、经营数据（后来证监会研究稿要求的）。一来验证逻辑、二来最重要的是用各种维度（如银行卡、设备号、IP地址的分布等）验证数据的真实性、完整性（此项是IPO项目最为重要的），对于此部分的审计，相比之前工作，量大且难，有时要用数据库处理多达2亿多行的数据，经常一个脚本跑下来，已经过了2个多小时。还有计算机背景的人，利用SAP专业知识，专门审计SAP系统，这个我不了解，所以不介绍。
   IT审计的内容大致用最精炼的语言介绍完了，现在开始逐一说上面留下的伏笔了。一开始提到的此行业发展尚未起步，未确立成熟可行的标准、从业人员素质参差不齐所带来的后果，这个不得不提，毕竟是个大坑。大致说说我的经历吧，两年前初来时，曾立志要在IT审计领域干出一番事业的我，于18年果断离职，当时绝非一时冲动，更多的是无奈、愤慨与茫然。走，更是一种止损与晚节自保。当时申请离职时，所里算上合伙人没记错应该是34人，这其中，具有一定财务和计算机专业技能的人算上我有7人，7人中，站在中层管理位置的仅有1人。剩下的人，无论是项目经理、经理还是助理，为了和谐，我们统一将剩下的部分人归为“大神”吧。这些大神中，有号称某985知名院校毕业的高材生、有号称精通C++的、精通.NET的、精通Python的计算机专家、有号称精通人工智能、神经网络的专家，还有许许多多可爱但背后传话造谣的小咸鱼。先说说那几大计算机专家吧，不知道何时自己电脑上安装了Visual Studio，然后四处炫耀自己精通C++，注意：还是精通。到头来一起合作时，发现，这几位大神是个彻彻底底的计算机盲，别说c++，在她面前提SQL她都觉得你在装逼！还有那个精通人工智能的大神，一开始用鄙夷与教育的口吻，嫌弃的看着我，说他在给人搞股票的量化交易，搞了有好几个月了，小有成果，期间参考了无数关于人工智能的文献，叫我过来是让我见见世面，当时刚入职，真的以为是大神啊。。于是乎，过来学习了，然后。。。。。。屏幕上一大片犹如天书一样的代码映入眼帘，再一细看我差点喷了，所有的代码全码在了main函数，不仅如此，整个代码根本没有封装的概念，1000多行的代码，绝大部分都是重复的有莫有！然而，最让人喷饭的是，说是人工智能，人工智能在哪儿呢？捂住肚子看了半天只发现一个功能：从股票付费API下HTTP请求股票数据然后简单插入数据库。这简单的功能，我相信小公司技面都不会出这种问题，如果真出现这问题，我觉得5分钟你没写出来或是代码行数超100行你就可以抬屁股滚了。当时碍于面子，我一脸的不明觉厉，然后大神终于神秘兮兮的打开了他所说的人工智能的论文，word文档一篇，共3页，页脚清楚记着 “今日头条”的logo还未删去，WQNMD。当时我还是不明觉厉的看着电脑，但内心都已经笑炸了。诸如此类的还有Python大神，曾给他一段Python的小脚本（自己5分钟写的，就是把json文件拆开成标准二维表），然后这位大神，竟然很尴尬的不会运行。。
      本以为所里但凡有能力的人能得到重用，后来直到我离职，我发现我想的太天真了。有财务背景、IT背景的人，要不被处处排挤，忍气吞声、要不直接入职6个月内直接拍屁股走人。相反，剩下的这批大神，要不趾高气昂，要不借着办公室政治一步登天。领导的昏庸无能、各派系之间无休止的明争暗斗、以为客户IT高管对你客气便认为是对自己能力的高度肯定、由于无知带来的达克效应，这几点造就了真正IT审计从业人员的困境，哪怕你工作做得再好，客户、券商、财审一再的肯定，没有用，一来你自己的领导不知情，二来都是大锅饭，同级别的勤奋好学的和天天不干活玩手机的极大可能是薪水一样，但人家朝九晚五，你可能熬了好几个通宵。不仅如此，由于所里真正懂IT的人就只剩下我了，所以我一人直接担了两个IPO项目的ITAC，在外忙了半年有余没有回公司，当我抽出半月回去报销调整时，发现：四处都是我的谣言，大家都用嘲讽、避之不及的眼光看我议论我。毕竟职场也混了些日子了，这情景我太清楚是怎么一回事了。后来离职前最后一次团建，某几个领导逼迫下级（包括几个新来的小姑娘）轮番敬酒，直言谁不干了手里的酒，下月就在所里呆着没项目，甚至还有人当场讥讽我不喝酒，那是我就知道我应该走了，至少，我身边有能力的，除了两个钉子户，剩下的无一嘴里带着脏字跑路了；至于别人，尤其是中层的那些人，差不多都是“白兔”员工吧。
      有很多行业内人甚至局外人都说IT审计是皇帝的新衣，我认为吧，90%正确，剩下的10%留下的是精英，这些精英从名校毕业，带着满腔热血进入行业，真正执行IT审计本该有的关键职能。我相信在不久的将来，待IT审计准则正式颁布后，我相信很多从业人员将成为历史乃至笑柄，只有小部分人不仅存活，存活下来的其自身价值会成倍增长。
      最后还是劝想入行但还未入行的同学：IT审计前景虽好，但门槛其实很高，入行需谨慎，非4大、知名咨询公司一定不要考虑！俗言道：SB多了，正常人就成SB了！尤其是刚毕业的大学生，对社会缺乏认知，进了一个像这样的“大神”圈子里，我相信对于未来的职业发展肯定是弊远大于利的。
  PS：1、后来那位人工智能大神竟然跳槽成功，自称找到18k的工作，祝他幸福吧；2、离职后，那位c++大神破天荒的主动联系我（以往她是不会搭理我的），各种套路问我去哪儿了？果断拉黑。

IT 审计的工作状态怎么样，职业发展前景如何？

10 个回复

浏览过的版块