刚刚结束为期2周的内审，除了感觉累外，感觉还是颇多的，这里分享给大家。
背景资料：
内审对象：中国区两家子公司，
• 有一家是去年刚刚收购的公司A，集团股份占大头，并购前是一个非常典型的民营企业；
• 另外一家是全资子公司B，典型的外企企业。
内审成员：
• 集团内审部门的IT内审，3位欧洲人
• 再加上我《审别人+被别人审<我是 region 信安负责人>, 翻译， 陪同, 导游…..》

内审标准：
• 基于ISO 27001，集团自己的内审标准
内审内容：
• 分为两个大类，一个是IT Infrastructure内审<通常所说的IT内审>，另外一个是IT Application内审 <ERP, CRM, OA…>
• IT Infrastructure 内审，这个相信很多人都很熟悉， 具体内容和坛子里德勤审的差不多<具体http://bbs.cisps.org/viewtopic.php?f=80&t=24565>, 但是我们要求的更细，最后需要提供的资料差不多有90份
• IT Application 内审，内容有组织构架，人员职责，项目安全管理，代码安全管理，合同，用户验证，用户权限，敏感信息保护，不同环境<开发，测试，正式>的保护，事件管理，审批流程…..
结果：
最后的结果没有出乎我的意料，A公司基本上没有什么IT安全管理，也没有什么文档，而B公司做的不错，很多地方都考虑到并且都在执行。

感受：
有关内审
• 内审的目的是为了管理用的，公司不会无缘无故的来做一次审计，每次审计都有其管理目的。
• 度的问题：任何公司都不是完美的，只要你有足够的经验，耐心，肯定会审出很多不足来。至于度的把握，那从达到管理层的目的出发，适可而止。
• 内审应该和被审公司在同一个阵营中，而不是对立面。但是被审公司一般会看成是“这些人是来为难我的”。多说些贴己的话，来拉近距离；比如“我们和你们是同一家公司，我们的目的是为了提高大家的管理运行水平，而不是让你们难堪，让你们下岗；所以审核的时候，我们不但会指出那里不足，我们还会给你们提出各种方案来提高”。

有关被审公司
• 一定要好好提前准备文档，否则你没有办法证明你是这样做的，如果没法证明，那就不合格了。没文档—>不合格，基本上就是这样。
• 肯定会被审出什么不足来，无论你是如何准备。被审的时候，回答文档有没有的时候要小心，如果确实有，直接说有；如果没有，但是你可以马上做出来，你可以说“有的，但是我要找一找”，然后加班加点赶出来，再给Auditor。虽然他们会知道你是刚刚做出来的，但是一般还是会接受的。
• 不要情绪化, 被人审肯定不爽，但不要把这个情绪带到和Auditor私人交往上，人家也只是做他们自己的工作嘛
• 内审下结论的时候，一般会出一个初稿，这个时候觉得有不同意见马上提出来；但是一旦出现正式结论的时候，马上按照上面的建议做，并且给出反馈。

做内审的时候，大家是一个公司的时候，发现了什么问题，进行处理，对方领导和我们的领导进行交涉，很可能也就内部消化，大事化小，小事化了。你要给出一个什么不符合项，还是会有蛮大的压力。

很好。能否提供一个内审的详细清单学习一下。
谢谢。

1、既然允许持续改进，那么就按照领导的意思提出能够改进的地方，另外数量要少，别一次都改，从人的心理分析，虱子多了不咬；
2、有时候改不改也不是他们能决定的；
3、最好给他们可落实的方法，他们不是这个专业的，有些东西他们不了解也不知道如何改，审计人员也只是告诉他们这个地方错了；
4、除了发现问题最好找出根本原因，针对根本原因出以下办法；
5、最好有工具帮助他们实施，现在很多企业的做法就是招相关的人，结果相关的人就成了应付内审的角色。
6、与被审人员沟通要耐心，在沟通前就说明是帮助他们改进工作的，不是找麻烦的，在小的问题帮他们，如立即改掉某个小缺失，你就不报这个；
7、审计人员也要提前做好准备工作，最好把某个做法的理由充足，否则技术人员很难接受某些结论。
方法还需要慢慢的琢磨！
个人看法，仅供参考！

To qqbbing,
既然是内审，我觉得即使给出什么不符合项，也没有多大关系，但是要看这个不符合项是不是符合管理的目的。
所谓有关内审的管理目的，个人觉得有下面几个
• 管理层觉得这家子公司这方面可能会有问题，但是不太清楚，需要有人去看看然后给出一个客观的答案
• 由于各种原因，各种/某些关键的集团标准无法在这家子公司推行，管理层希望通过内审来看看到底哪个环节出问题了，并且保证以后各种管理/标准能够很好的贯彻下去
• 子公司领导层自己出于管理的目的，自己申请来一次内审来发现问题，提高自己

打个比方讲，其中的某些问题就是管理层以前就知道，但是想通过内审正式提出并且希望改进的，那这些问题肯定会是个不合格项。

To Linkenpark,
分析的很到位。
另外内审人员一定要有比较强的技术能力，同样的审核内容，公司A使用的中文的ERP，而公司B使用的是国际通用的某大型ERP，审核过程和结果就截然不同。
引用Auditor私底下的结论“如果需要客观的发现公司A的问题，需要找一位懂中文并且懂ERP的内审人员，我们这次只是通过面谈，再通过翻译，很多问题都了解的不是很不清楚”
而对于公司B，很多事情就直接登录到系统中，然后直接调出相关的证据来。审核的时候就非常轻松。

给出不符合项，可能没有什么关系，但是内审报告总评为“严重”的话，说不定就会有问题哦；因为IT人员的某个考核项目很可能就会与你的报告有关。

刚接触，学习。

不错，欧兄这次学习了不少经验吧，不过看来你们这次审计主要还是偏策略、管理方面的，有没有做技术层面的审计？例如IT系统、网络的安全性？

谢谢分享，不过好像大公司才审计，小公司，呵呵……

前一段公司也刚做了一个sox GCC的审计测试，公司基本就是个空白，要有一堆的制度、单子要补。最为头疼的是it人员实在很难增加。

现在的审计一般就给予GC审计，如何体现IT审计价值就需要AC审计

公司年报审计属于外审还是内审？

年报审计当然是外部审计咯

现在IT审计已经不是说没文档就等于没控制了，更注重实质，control不是只能通过文档来体现的