我們所熟知的企業(yè)治理整合框架COSO建立了一套成熟的可以應(yīng)用于企業(yè)內(nèi)部的控制模式。我們都知道企業(yè)實(shí)施內(nèi)部控制的根本目的在于對企業(yè)的財務(wù)報告的可靠性、經(jīng)營的效率和效果以及法律和法規(guī)的符合性提供必要的保證。由此可見財務(wù)報告的可靠性是內(nèi)控的最為基本的要素之一，信息系統(tǒng)審計的最初目的也主要是針對企業(yè)的財務(wù)信息系統(tǒng)的安全性和有效性進(jìn)行檢查。

   目前基于IT的信息系統(tǒng)的審計范圍逐步擴(kuò)展到對被審計單位的重要信息系統(tǒng)進(jìn)行單獨(dú)審計。在審計的過程中主要檢查和評價信息系統(tǒng)的安全性、可靠性和經(jīng)濟(jì)性，并揭示系統(tǒng)本身存在的問題，提出后期待完善的審計意見和建議。而針對信息系統(tǒng)的安全性審計，更加強(qiáng)調(diào)實(shí)施信息安全工作的充分性、有效性和適宜性。所謂充分性就是看針對信息安全工作是否考慮全面，有效性關(guān)注的是預(yù)期結(jié)果是否達(dá)成，適應(yīng)性是看被審計單位是否能夠針對組織所面臨的信息安全內(nèi)外部環(huán)境變化做出適應(yīng)性調(diào)整的能力。

   審計的基本流程步驟包括計劃、現(xiàn)場工作和文件、問題發(fā)現(xiàn)和驗(yàn)證、開發(fā)解決方案、報告起草和執(zhí)行、問題跟蹤等。計劃過程的首要目的是明確本次審計的目標(biāo)和執(zhí)行范圍，并切實(shí)制定一系列可操作性的步驟。審計團(tuán)隊(duì)需要積極引導(dǎo)被審計組織的相關(guān)高層主動參與到具體計劃的制定中來?，F(xiàn)場工作和文件是指審計團(tuán)隊(duì)在被審計組織的現(xiàn)場通過訪談、問卷調(diào)查和文件分析等形式獲得第一手?jǐn)?shù)據(jù)，并進(jìn)行充分的資料分析和工作記錄。在問題發(fā)現(xiàn)和驗(yàn)證環(huán)節(jié)，審計人員需要制定在本次審計過程中發(fā)現(xiàn)的問題清單，并試圖驗(yàn)證問題所關(guān)聯(lián)風(fēng)險是否非常重要。必要時可以通過風(fēng)險評估等方式來評估風(fēng)險可能帶來的實(shí)際影響。在發(fā)現(xiàn)和驗(yàn)證每個現(xiàn)實(shí)存在的問題和可能的風(fēng)險后，必要的針對問題和風(fēng)險處置的解決方案的開發(fā)就變得非常有必要。審計團(tuán)隊(duì)需要針對本次審計的最終結(jié)果撰寫最終的審計報告，并制定必要的審計后跟蹤機(jī)制，確保審計所發(fā)現(xiàn)的問題被納入被審計組織的問題管理流程，直至問題的最終解決。

   以上是關(guān)于信息系統(tǒng)審計工作的典型活動的解讀。在審計過程中，可以應(yīng)用一些審計技術(shù)或工具來配合審計所需的歷史數(shù)據(jù)的采集。比如日志審查技術(shù)就是檢查系統(tǒng)日志文件以發(fā)現(xiàn)安全事件或驗(yàn)證安全控制有效性的審計技術(shù)。審計工作任重而道遠(yuǎn)，我們要堅(jiān)定的相信：“必要的審計工作的定期執(zhí)行能夠?yàn)楸粚徲嫿M織在其實(shí)現(xiàn)業(yè)務(wù)戰(zhàn)略過程中保駕護(hù)航”。