我們所熟知的企業(yè)治理整合框架COSO建立了一套成熟的可以應用于企業(yè)內(nèi)部的控制模式。我們都知道企業(yè)實施內(nèi)部控制的根本目的在于對企業(yè)的財務報告的可靠性、經(jīng)營的效率和效果以及法律和法規(guī)的符合性提供必要的保證。由此可見財務報告的可靠性是內(nèi)控的最為基本的要素之一，信息系統(tǒng)審計的最初目的也主要是針對企業(yè)的財務信息系統(tǒng)的安全性和有效性進行檢查。

   目前基于IT的信息系統(tǒng)的審計范圍逐步擴展到對被審計單位的重要信息系統(tǒng)進行單獨審計。在審計的過程中主要檢查和評價信息系統(tǒng)的安全性、可靠性和經(jīng)濟性，并揭示系統(tǒng)本身存在的問題，提出后期待完善的審計意見和建議。而針對信息系統(tǒng)的安全性審計，更加強調(diào)實施信息安全工作的充分性、有效性和適宜性。所謂充分性就是看針對信息安全工作是否考慮全面，有效性關注的是預期結果是否達成，適應性是看被審計單位是否能夠針對組織所面臨的信息安全內(nèi)外部環(huán)境變化做出適應性調(diào)整的能力。

   審計的基本流程步驟包括計劃、現(xiàn)場工作和文件、問題發(fā)現(xiàn)和驗證、開發(fā)解決方案、報告起草和執(zhí)行、問題跟蹤等。計劃過程的首要目的是明確本次審計的目標和執(zhí)行范圍，并切實制定一系列可操作性的步驟。審計團隊需要積極引導被審計組織的相關高層主動參與到具體計劃的制定中來。現(xiàn)場工作和文件是指審計團隊在被審計組織的現(xiàn)場通過訪談、問卷調(diào)查和文件分析等形式獲得第一手數(shù)據(jù)，并進行充分的資料分析和工作記錄。在問題發(fā)現(xiàn)和驗證環(huán)節(jié)，審計人員需要制定在本次審計過程中發(fā)現(xiàn)的問題清單，并試圖驗證問題所關聯(lián)風險是否非常重要。必要時可以通過風險評估等方式來評估風險可能帶來的實際影響。在發(fā)現(xiàn)和驗證每個現(xiàn)實存在的問題和可能的風險后，必要的針對問題和風險處置的解決方案的開發(fā)就變得非常有必要。審計團隊需要針對本次審計的最終結果撰寫最終的審計報告，并制定必要的審計后跟蹤機制，確保審計所發(fā)現(xiàn)的問題被納入被審計組織的問題管理流程，直至問題的最終解決。

   以上是關于信息系統(tǒng)審計工作的典型活動的解讀。在審計過程中，可以應用一些審計技術或工具來配合審計所需的歷史數(shù)據(jù)的采集。比如日志審查技術就是檢查系統(tǒng)日志文件以發(fā)現(xiàn)安全事件或驗證安全控制有效性的審計技術。審計工作任重而道遠，我們要堅定的相信：“必要的審計工作的定期執(zhí)行能夠為被審計組織在其實現(xiàn)業(yè)務戰(zhàn)略過程中保駕護航”。