我們所熟知的企業(yè)治理整合框架COSO建立了一套成熟的可以應(yīng)用于企業(yè)內(nèi)部的控制模式。我們都知道企業(yè)實(shí)施內(nèi)部控制的根本目的在于對(duì)企業(yè)的財(cái)務(wù)報(bào)告的可靠性、經(jīng)營(yíng)的效率和效果以及法律和法規(guī)的符合性提供必要的保證。由此可見(jiàn)財(cái)務(wù)報(bào)告的可靠性是內(nèi)控的最為基本的要素之一，信息系統(tǒng)審計(jì)的最初目的也主要是針對(duì)企業(yè)的財(cái)務(wù)信息系統(tǒng)的安全性和有效性進(jìn)行檢查。

   目前基于IT的信息系統(tǒng)的審計(jì)范圍逐步擴(kuò)展到對(duì)被審計(jì)單位的重要信息系統(tǒng)進(jìn)行單獨(dú)審計(jì)。在審計(jì)的過(guò)程中主要檢查和評(píng)價(jià)信息系統(tǒng)的安全性、可靠性和經(jīng)濟(jì)性，并揭示系統(tǒng)本身存在的問(wèn)題，提出后期待完善的審計(jì)意見(jiàn)和建議。而針對(duì)信息系統(tǒng)的安全性審計(jì)，更加強(qiáng)調(diào)實(shí)施信息安全工作的充分性、有效性和適宜性。所謂充分性就是看針對(duì)信息安全工作是否考慮全面，有效性關(guān)注的是預(yù)期結(jié)果是否達(dá)成，適應(yīng)性是看被審計(jì)單位是否能夠針對(duì)組織所面臨的信息安全內(nèi)外部環(huán)境變化做出適應(yīng)性調(diào)整的能力。

   審計(jì)的基本流程步驟包括計(jì)劃、現(xiàn)場(chǎng)工作和文件、問(wèn)題發(fā)現(xiàn)和驗(yàn)證、開(kāi)發(fā)解決方案、報(bào)告起草和執(zhí)行、問(wèn)題跟蹤等。計(jì)劃過(guò)程的首要目的是明確本次審計(jì)的目標(biāo)和執(zhí)行范圍，并切實(shí)制定一系列可操作性的步驟。審計(jì)團(tuán)隊(duì)需要積極引導(dǎo)被審計(jì)組織的相關(guān)高層主動(dòng)參與到具體計(jì)劃的制定中來(lái)?，F(xiàn)場(chǎng)工作和文件是指審計(jì)團(tuán)隊(duì)在被審計(jì)組織的現(xiàn)場(chǎng)通過(guò)訪談、問(wèn)卷調(diào)查和文件分析等形式獲得第一手?jǐn)?shù)據(jù)，并進(jìn)行充分的資料分析和工作記錄。在問(wèn)題發(fā)現(xiàn)和驗(yàn)證環(huán)節(jié)，審計(jì)人員需要制定在本次審計(jì)過(guò)程中發(fā)現(xiàn)的問(wèn)題清單，并試圖驗(yàn)證問(wèn)題所關(guān)聯(lián)風(fēng)險(xiǎn)是否非常重要。必要時(shí)可以通過(guò)風(fēng)險(xiǎn)評(píng)估等方式來(lái)評(píng)估風(fēng)險(xiǎn)可能帶來(lái)的實(shí)際影響。在發(fā)現(xiàn)和驗(yàn)證每個(gè)現(xiàn)實(shí)存在的問(wèn)題和可能的風(fēng)險(xiǎn)后，必要的針對(duì)問(wèn)題和風(fēng)險(xiǎn)處置的解決方案的開(kāi)發(fā)就變得非常有必要。審計(jì)團(tuán)隊(duì)需要針對(duì)本次審計(jì)的最終結(jié)果撰寫(xiě)最終的審計(jì)報(bào)告，并制定必要的審計(jì)后跟蹤機(jī)制，確保審計(jì)所發(fā)現(xiàn)的問(wèn)題被納入被審計(jì)組織的問(wèn)題管理流程，直至問(wèn)題的最終解決。

   以上是關(guān)于信息系統(tǒng)審計(jì)工作的典型活動(dòng)的解讀。在審計(jì)過(guò)程中，可以應(yīng)用一些審計(jì)技術(shù)或工具來(lái)配合審計(jì)所需的歷史數(shù)據(jù)的采集。比如日志審查技術(shù)就是檢查系統(tǒng)日志文件以發(fā)現(xiàn)安全事件或驗(yàn)證安全控制有效性的審計(jì)技術(shù)。審計(jì)工作任重而道遠(yuǎn)，我們要堅(jiān)定的相信：“必要的審計(jì)工作的定期執(zhí)行能夠?yàn)楸粚徲?jì)組織在其實(shí)現(xiàn)業(yè)務(wù)戰(zhàn)略過(guò)程中保駕護(hù)航”。