隨著信息技術(shù)在企業(yè)管理中的廣泛運(yùn)用，傳統(tǒng)的控制,、管理,、檢查和審計(jì)技術(shù)都受到了巨大的挑戰(zhàn)，大型企業(yè)集團(tuán)都將控制風(fēng)險(xiǎn),，特別是控制信息系統(tǒng)環(huán)境風(fēng)險(xiǎn)和運(yùn)行風(fēng)險(xiǎn)作為管理和審計(jì)的重點(diǎn),。
    IT審計(jì)是指客觀獨(dú)立的第三方對信息系統(tǒng)從計(jì)劃、研發(fā),、實(shí)施到運(yùn)行維護(hù)各個(gè)過程進(jìn)行審查與評價(jià)的活動(dòng),，以審查企業(yè)信息系統(tǒng)是否有效,、安全、可靠,，是否有效地保護(hù)了資產(chǎn)、完成了組織目標(biāo),、保證了數(shù)據(jù)完整,，以此保障信息系統(tǒng)得出準(zhǔn)確可靠的數(shù)據(jù)。
    通過實(shí)施相應(yīng)的IT審計(jì),，企業(yè)可以有效地規(guī)避和消除IT風(fēng)險(xiǎn),。
    
審什么
    IT系統(tǒng)建設(shè)審計(jì)。通過開展系統(tǒng)實(shí)施前審計(jì),、實(shí)施中審計(jì)和實(shí)施后專項(xiàng)審計(jì),，企業(yè)能夠在系統(tǒng)設(shè)計(jì)時(shí)驗(yàn)證系統(tǒng)功能與用戶需求的一致性，監(jiān)督系統(tǒng)的開發(fā)或?qū)嵤┻^程是否受到良好的控制（時(shí)間,、成本與目標(biāo)/質(zhì)量可控）,，以及系統(tǒng)實(shí)施過程中和實(shí)施后的安全性，確保實(shí)施后的培訓(xùn)工作充分到位,。
    業(yè)務(wù)流程控制審計(jì),。通過實(shí)施業(yè)務(wù)流程的IT應(yīng)用控制專項(xiàng)審計(jì)，企業(yè)可以梳理業(yè)務(wù)流程中的風(fēng)險(xiǎn)點(diǎn)與對應(yīng)控制點(diǎn),，發(fā)現(xiàn)其中缺失的關(guān)鍵IT控制,，也能對已有的IT控制的有效性做出評估，從而就目前業(yè)務(wù)流程中的IT應(yīng)用控制對風(fēng)險(xiǎn)的控制程度情況做出整體評價(jià),，并提出改進(jìn)建議,。
    系統(tǒng)控制效果審計(jì)。通過對IT一般控制審計(jì),，企業(yè)可以檢查及驗(yàn)證IT一般控制層面的管理設(shè)計(jì)是否合理,、執(zhí)行是否有效，從而保障信息系統(tǒng)具備良好的基本控制和安全環(huán)境,。然后結(jié)合對關(guān)鍵應(yīng)用層面IT控制的審計(jì),，如賬單處理流程中的系統(tǒng)自動(dòng)控制、系統(tǒng)生成財(cái)務(wù)報(bào)表過程中的自動(dòng)計(jì)算,，來保證關(guān)鍵IT應(yīng)用中的控制有效,。
    
標(biāo)準(zhǔn)是什么
    為了保證審計(jì)結(jié)果的客觀性和權(quán)威性，IT審計(jì)人員必須采用一套公認(rèn),、權(quán)威的審計(jì)標(biāo)準(zhǔn),，作為實(shí)施IT審計(jì)的基本準(zhǔn)則和實(shí)施依據(jù)。IT審計(jì)標(biāo)準(zhǔn)列舉了IT審計(jì)實(shí)施過程中必須包含的審計(jì)項(xiàng)目,，如審計(jì)對象,、審計(jì)方式,、審計(jì)流程等框架。目前在國際上較為流行的是美國信息系統(tǒng)審計(jì)和控制協(xié)會(huì)于1996年推出的審計(jì)標(biāo)準(zhǔn),。
    IT審計(jì)時(shí)判定審計(jì)對象是否符合審計(jì)要求的標(biāo)準(zhǔn),，應(yīng)該包含國家規(guī)定、行業(yè)規(guī)定,、企業(yè)內(nèi)部制度規(guī)范等內(nèi)容,。
    在眾多國際和國內(nèi)IT審計(jì)    標(biāo)準(zhǔn)中，一般以COSO（美國科索委員會(huì)）作為IT管控的主要框架,，將IT控制環(huán)境分為控制,、技術(shù)、流程,、組織架構(gòu)和角色,、人員、指標(biāo)體系六個(gè)控制層面,。而IT審計(jì)也一般根據(jù)COSO的IT管控體系,，對每個(gè)層面采用不同的標(biāo)準(zhǔn)來建立IT審計(jì)的框架。
    COSO框架涉及ITIL（IT基礎(chǔ)架構(gòu)庫）,、COBIT（IT治理控制框架）和ISO27001（信息安全管理規(guī)則）三大標(biāo)準(zhǔn),，這三個(gè)標(biāo)準(zhǔn)所強(qiáng)調(diào)的目標(biāo)不同。雖然這些標(biāo)準(zhǔn)存在著重復(fù)的內(nèi)容,，但更多的是互補(bǔ)和交叉,。在實(shí)際工作中，需要根據(jù)企業(yè)的情況,，根據(jù)IT審計(jì)工作的重點(diǎn),，分階段地采用不同的國際標(biāo)準(zhǔn)。
    
范圍有多大
    在COSO對內(nèi)部控制框架從層次和要素定義的基礎(chǔ)上,，參考結(jié)合在IT管理界被廣泛使用的其他內(nèi)部控制評估標(biāo)準(zhǔn)后,，業(yè)界制定的IT內(nèi)部控制體系分為組織層面的IT控制、IT一般控制和應(yīng)用系統(tǒng)控制（見圖1）,。其中IT一般控制是IT內(nèi)部控制框架中企業(yè)層面和應(yīng)用層面重要的銜接點(diǎn),。
    一是組織層面上的IT審計(jì)。
    組織層面上的IT審計(jì)用于檢查企業(yè)內(nèi)部關(guān)于IT方面的控制設(shè)計(jì)及實(shí)施是否有效,，為企業(yè)管理層最終發(fā)表內(nèi)控有效性聲明提供了支持證據(jù),。根據(jù)企業(yè)組織策略的不同，IT審計(jì)每年關(guān)注的重點(diǎn)會(huì)有所不同,，因此需要基于風(fēng)險(xiǎn)分析和評估的結(jié)果進(jìn)行組織層面上的審計(jì),。
    二是一般控制層面上的IT審計(jì)。IT一般控制是指為保證在一段時(shí)期內(nèi)應(yīng)用控制的持續(xù)有效性,，而在變更管理,、邏輯訪問和IT操作管理等方面的系統(tǒng)控制,，是支持應(yīng)用程序控制和依賴IT的手工控制持續(xù)運(yùn)行的控制。因?yàn)檫@些控制對一個(gè)以上的應(yīng)用程序和數(shù)據(jù)集都有效,，所以被稱為“IT一般控制”,。根據(jù)COBIT4.1（國際公認(rèn)的IT治理控制架構(gòu)），IT一般控制通常包括以下三個(gè)部分：變更管理,、邏輯訪問和其他IT一般控制,。計(jì)劃依賴應(yīng)用程序控制、依賴IT的手工控制或電子審計(jì)證據(jù)時(shí),，應(yīng)識(shí)別、了解,、穿行測試和評價(jià)IT一般控制,。
    三是應(yīng)用控制層面上的IT審計(jì)。一般而言,，控制會(huì)或多或少地依賴于企業(yè)的應(yīng)用程序,。應(yīng)用程序控制是在應(yīng)用系統(tǒng)中由程序執(zhí)行的控制，用以替代很多由人工完成的基礎(chǔ)性檢查工作,。這是指在業(yè)務(wù)流程層面上為了合理保證應(yīng)用系統(tǒng)準(zhǔn)確,、完整、及時(shí)地完成業(yè)務(wù)數(shù)據(jù)的生成,、記錄,、處理、報(bào)告等功能而設(shè)計(jì),、執(zhí)行的信息技術(shù)控制,。由于應(yīng)用程序控制普遍適用于各種交易的處理，所以應(yīng)用程序控制是否有效,，對于財(cái)務(wù)報(bào)表的完整性和正確性以及企業(yè)內(nèi)控的有效性有著重要的影響,。應(yīng)用程序控制又可以分為系統(tǒng)自動(dòng)控制與人工干預(yù)系統(tǒng)控制兩類。
    
怎么審
    IT審計(jì)方法應(yīng)當(dāng)由審計(jì)部門的管理人員來制定和批準(zhǔn),。實(shí)施IT審計(jì)首先要了解企業(yè)的IT環(huán)境,，使用基于風(fēng)險(xiǎn)的審計(jì)方法來確定審計(jì)的范圍，制定審計(jì)目標(biāo)和審計(jì)的工作計(jì)劃,。IT審計(jì)流程如圖2所示,。對于IT組織層面、一般控制層面和應(yīng)用程序控制層    面的審計(jì)方法分別如下,。
    從IT組織層面的審計(jì)方法和步驟看,，結(jié)合COSO控制體系和公司情況設(shè)計(jì)調(diào)查問卷，主要包括控制環(huán)境,、風(fēng)險(xiǎn)評估,、控制活動(dòng),、信息與溝通、監(jiān)控等五個(gè)方面,。根據(jù)問卷,，與公司領(lǐng)導(dǎo)或IT管理層訪談；根據(jù)文檔審閱結(jié)果,，評價(jià)公司層面IT控制的有效性,，然后再填寫問題發(fā)現(xiàn)匯總表、提出整改建議,。
    從一般控制層面和應(yīng)用程序控制層面的IT審計(jì)方法看,，實(shí)施IT審計(jì)的典型審計(jì)流程包括確定審計(jì)目標(biāo)和審計(jì)范圍，獲取并記錄對審計(jì)對象的了解,；進(jìn)行風(fēng)險(xiǎn)評估和總體審計(jì)計(jì)劃安排,；制定詳細(xì)的審計(jì)計(jì)劃；選擇審計(jì)方法,；檢查并評估審計(jì)對象,；進(jìn)行穿行測試和控制測試，找出控制設(shè)計(jì)和執(zhí)行方面的問題,；將測試結(jié)果和管理層進(jìn)行溝通,，協(xié)助管理層制定缺陷整改計(jì)劃；準(zhǔn)備審計(jì)報(bào)告,；針對審計(jì)報(bào)告指出的問題進(jìn)行后續(xù)跟蹤,。
    此外，企業(yè)應(yīng)當(dāng)建立健全統(tǒng)一的IT審計(jì)制度,，宏觀規(guī)劃IT審計(jì)的頻率和范圍,，設(shè)計(jì)IT審計(jì)工作的各層級執(zhí)行、分工和匯報(bào)條線,。各分（子）公司可在總部IT審計(jì)制度的框架內(nèi),，創(chuàng)建適合自身業(yè)務(wù)特點(diǎn)和工作要求的IT審計(jì)工作細(xì)則。