接地气的回答是我一向的风格。

首先大家知道，IT审计的工作内容可以分为两部分，一是支持财审做对一些对具体余额的认定进行审计，这块IT审计人员一般会做一些ITAC（IT应用控制）审计，内容可以参考我的另一个回答：

另一块就是所谓的ITGC（IT一般控制），什么是ITGC，ITGC具体做什么呢？说起来其实也没啥技术含量，从我之前在事务所做IT审计的底稿来看，ITGC主要审以下内容：

一、ELC（entity level control）控制。就是看看客户在IT治理方面的相关组织架构是否合理，书面的管理制度是不是健全，具体的审计程序就是获取客户的组织结构图，及一些比较虚的总纲类的书面管理制度如《IT管理制度》等等。

二、系统开发和变更。就是关注系统开发和系统后续小变更中的一些控制，具体的审计程序就是获取系统开发及变更相关的管理制度典型的如《系统开发制度》《系统变更管理制度》等来看一看，再看系统开发是否经过了需求提出、可行性研究、领导层审批，系统上线之前是不是经过了充分的测试，获取一些内控痕迹和表单，如《××系统需求报告》、《××系统可行性报告》、《××系统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》，然后变更方面比较重要的就是《变更审批单》，这个一般来说还要进行抽样，而上面的开发流程一般来说做一两个穿行测试就行了。

三、操作系统及数据库控制。这一块呢具体就是看操作系统和数据库登录是不是要密码，然后把登录界面截个屏作为审计证据K进底稿里，蛮弱智的。然后呢就是调出操作系统及数据库中的一些安全配置，如密码复杂度的要求，密码是不是强制一个月改一次，对系统的敏感操作是否有日志记录，日志是否有人去复核，再者就是看用户权限管理是否按照基于角色来进行权限分配。现在商用方面操作系统用得比较多的是win2000,LINUX,UNIX,银行AIX用得比较多，数据库就是SAP，ORACLE,SQL server等，银行DB2用得也比较多。审计的时候呢，对于安全配置，就是输入一些命令，调出相关配置，四大像安永会有团队专门设计脚本 ，只要放到客户机器上那么一跑，结果自动就出来了，高度傻瓜式，流程化机械化，IT审计师的可替代性更强了，价值更低了。再就是把所有用户的权限列表拉出来，看是不是合理合规，后点关注超级管理员的权限。

四、应用系统控制。关注点同操作系统及数据库。不过应用系统千变万化，比如银行里面比较大的应用系统就有综合业务系统（有的叫核心业务系统）、国际结算系统、大小额系统、信贷管理系统等等等等。但万变不离其综，这些系统做ITGC思路都是一样的，就看安全配置和用户权限。如果要支持财审进行ITAC的审计，则要具体情况具体分析设计，因此个人认为ITAC的审计是IT审计师能体现自身经验与价值的地方，光做ITGC是没有前途的

五、接口控制与信息安全。各种系统之前会有接口，那么数据从一个系统传输到另一系统中数据的准确性完整性要得到保证。审计程序一般首先看系统中是不是有自动核对的机制，比如银行的核心业务系统基本与每个重要的业务系统都有接口并且每天会进行大量的数据交互，做的好的会有一个核对机制，加入一些校验机制，确认数据的准确完整，有的银行测没有。信息安全就是看看网络管理相关的制度，看看防火墙的结构，内外网是不是分离啊等等，无聊至极。

不做IT审计好多年了，暂时就记得以上这些。至于BCP（业务持续性管理）、CRP（灾难恢复计划）什么的在中国一般公司都不会关注的，大的金融机构会稍微关注一下。IT审计的概念其实蛮宽泛的，在ISACA的COBIT准则中，IT审计其实更多指的是IT治理。IT审计所关注的点反过来就是IT治理过程中要做好的点。因此之前在事务所的时候，有时也会接到一些IT治理方面的咨询项目，比如说一些小银行为了满足银监会的合规性要求，会有完善IT治理的需求，但客户的IT部门的管理人员都是码农出身，IT治理看上去又好高端的样子，于是我们就忽悠他们说没事，不多只需给个三五十万的，我们可以帮你做咨询~~

这两年IT审计之所以看上去比较好忽悠， 是因为大部分人不懂这玩意儿到底是干嘛的。做审计的人以为这是做IT的，做IT的以为这是做审计的。我大学从上财信息管理专业毕业，由于学校的课程系统设置让我的知识结构中正好会计审计也懂一点，IT信息系统也懂一点，当初被一些媒体上的软文忽悠，说这是未来金领职业，傻乎乎地就入了这一行。开始还以为自己沾了“复合型人才”的光，后来才发现自己处于一个什么都懂一点，什么都不大懂的尴尬境地。IT审计现在主要还是做内控审计，而内控审计做什么呢？做过的人都知道，基本就是根据所谓的一些业内最佳实践弄一个check list，然后跑去中跟客户一条一条地对，符合了就把相关审计证据往底稿里一K了事，不符合就记录一条finding，最后把所有findings汇总，给客户出个管理建议书。很机械，很傻瓜，这样你的可替代性就强，没有核心竞争力，也因为这个原因一般IT审计项目一到两个人就够了，而财审比如IPO一般一票人拉出去都是十几甚至几十号人。做IT审计刚毕业这两年看上去薪水相对还行，但没有大的发展空间。

当然凡事贵在坚持，任何一行坚持个五年十年，混个不错的小日子都是可以的。我之所以现在不做IT审计了只是因为它不符合我个人的兴趣与性格。之前在一些回答里也说过，审计行业是一个劳动密集行的行业，靠人海战术，在金融行业中属于给人提鞋的，而IT审计现在看来是给财审提鞋的，对我来说我觉得没意思。当然对于一些要求不高野心不大的小姑娘来说，IT审计还是一份性价比比较高的工作，相对财审不那么地累，工资不比财审低。

之前与IT业内的一些人聊，大家的看法都是，IT在企业中以后会变成像水电一样的基础服务，作为服务人员，所以不管做IT还是做IT审计，实际上都不会有很大可能拥有很高的社会地位和一夜暴富的机会。但作为新兴的行业，IT审计师想混口饭吃还是很容易的，要不要选择这一行，还是看个人的兴趣爱好。