当今世界是信息化时代，信息系统受到各种各样的威胁，如没有安全对策，系统是相当脆弱的。信息系统的可靠性、安全性与效率的确保是极其重要的，而这一切也是为企业的经营者考虑。IT审计应由具有信息技术与审计两方面知识与能力的IT审计师对信息系统进行检查与评价，将其结果向企业经营者报告。企业经营者即使对信息系统不精通，按照IT审计报告也能像黑盒子一样理解信息系统及与之相关联的业务，使之间接把握信息系统成为可能。因此，企业经营者通过IT审计，能把握与信息系统有关的业务，决定对策，也就是说IT审计师实施IT审计，把针对信息系统可靠性、安全性与有效性等进行的检查与评价的结果报告给企业经营者，使经营者能把握信息系统，有效地控制和管理与系统相关的风险。

　　确立IT审计制度

　　在信息系统成为企业业务处理中枢的今天，经营者决定信息化的投资方针，信息系统的可靠、安全、效率的好坏左右着企业的命运。因此，企业经营者不仅要接收信息部门的报告，在企业内部设立IT审计部门，实施内部审计。同时，还必须委托外部IT审计师站在第三方的客观立场对信息系统进行全面的检查与评价，这是必不可少的。因此，企业经营者必须理解IT审计是为企业而实施的，而要实施IT审计，确立IT审计制度是十分重要的。下面介绍IT审计制度大致包含的主要内容。

　　（1）明确基本方针

　　·确立领导把关的方针

　　·明确IT审计师的权限、职责与任务

　　·确立IT审计结果的报告与跟踪制度

　　（2）IT审计的组织机构

　　·内部审计在组织机构中的位置

　　·内部审计的规模及小组组成

　　·IT审计师所具备的资格与教育培训

　　·委托外部的IT审计

　　·外部的IT审计合同

　　（3）IT审计准则、手册、工具的配备

　　·IT审计准则、手册与操作规程

　　·IT审计工具与软件

　　·IT审计报告，各种审计实施表

　　（4）IT审计与相关部门的关系

　　·IT审计与系统部门关系

　　·IT审计与用户部门关系

　　·外部审计与内部审计的关系

　　日本通产省情报处理开发协会，曾向企业经营者提出实施IT外部审计的必要性有如下几点。

　　（1）当今世界信息系统在企业中占据重要地位，经营者为了对信息系统进行客观的评价，仅有内部审计是不够的，为确保信息系统的可靠 、安全与有效，还必须请外部IT审计师客观地不间断地实施IT审计。

　　（2）追求信息系统投资的效率，充分理解IT审计的本质。由外部IT审计师对信息系统进行评价，带头实施外部IT审计，促进系统的合理使用与不断健全。

　　（3）为了确保信息系统的安全，考虑地震等自然灾害及人为侵犯等的影响，早做防范。在事故发生、业务中断情况下，有替代方案，使系统损失最小。

　　（4）一般与人民生活密切相关的各种信息系统，要对其差错与受侵犯的可能性进行充分的研究，考虑预防对策，由此可见外部IT审计是必不可少的。外部IT审计一般通过委托方式，签订外部IT审计合同来实现的。

　　明确IT审计基本方针，确立IT审计制度，并使其顺利进行。要让相关的人员都知晓IT审计的基本方针，而且还要让相关部门也理解该方针。IT审计的方针作为企业的决策，直接影响到IT审计实施的有效性，因此是十分重要的。基本方针应对IT审计的一些规定明文化，要表明经营者的态度。[page]

　　IT审计准则、手册、工具的配备

　　为了有效地实施IT审计，国际上成立了信息系统审计与控制协会ISACA（Information System Audit and Control Association），由该组织制定和颁布IT审计准则、实务指南等，来规范与指导IT审计师的工作，并开发了各种各样的工具。各IT审计组织要充分考虑IT审计对象的规模、特性、IT审计人员的知识、经验程度及工具所具有的特性，同时考虑一定的投入，并引入或开发各种工具与环境。如没有手册、工具等的配合，要真正实施IT审计是困难的。

　　IT审计准则是实施IT审计的总纲，是IT审计和审计报告规定必须达到的基本要求，是实施IT审计业务、出具IT审计报告的具体规范。

　　IT审计手册，是实施IT审计时必要的基本工具，是覆盖IT审计从计划、实施到报告各阶段可参照的详细的工具书。如要提高IT审计效率，保证IT审计的质量，这些都是非常重要的。

　　IT审计手册中，应考虑以下内容：

　　（1）IT审计部门各岗位的职责、权限及内容。

　　（2）IT审计对象的领域及IT审计实施参照的标准。

　　（3）各主要IT审计领域的详细的审计目的及IT审计顺序。

　　（4）IT审计工具的利用顺序及注意事项。

　　（5）IT审计计划中应记载事项及时间。

　　（6）IT审计报告的制作顺序，包括要记载的事项、格式和时间。

　　（7）相关部门的调整事项及顺序。

　　（8）IT审计师的必要资格及教育培训。

　　另外，IT审计实施表的开发，通用审计软件包的准备，审计工具的购买等都需要费用。因此，企业经营者在实施IT审计时，要考虑到这些。表1.3 列出了要准备的IT审计准则、手册与工具等。

　　IT审计准则、手册与工具

　　（1）IT审计准则、IT审计手册

　　·IT审计的基本方针，业务范围

　　·IT审计人员的任务、权限、职责和组织

　　·IT审计计划、IT审计顺序和IT审计报告

　　（2）业务规则、确认规则和安全政策等

　　·业务规则和确认规则等

　　·安全政策

　　·各种标准过程和业务手册等

　　（3）IT审计顺序和IT审计实施表

　　·标准IT审计顺序

　　·内部审计评价表

　　·安全检查实施表等

　　（4）IT审计用的工具软件

　　·通用IT审计程序

　　·组入审计模块

　　·业务管理的程序等

　　相关部门的关系

　　内部审计、外部审计与行政审计的关系可知，对于同一信息系统，为了确保系统的安全、可靠与有效，内部审计与外部审计是站在不同的角度，为同一目标而进行审计。因此，内部审计师、外部审计师及系统部门、用户部门等要协调好各方的关系，明确职责，找出系统的问题。本节主要介绍与此相关的各部门的关系。

　　IT审计与系统部门的关系

　　IT审计人员在执行IT审计的过程中与系统部门接触十分频繁。特别是系统开发阶段，IT审计需要与之长期的协调。为实施IT审计，IT审计人员难免要使用计算机来辅助实施，此时也需要系统部门的协助。因此，系统部门要正确理解IT审计人员的工作性质、权限与职责，处理好两者之间的关系。特别是计算机的使用等，事先都要协调好。IT审计用的程序，原则上由IT审计人员执行，不能依靠系统部门，IT审计人员要处理好各种关系并找出问题根源。

　　IT审计与用户部门的关系

　　信息系统是由用户部门使用与维护的。系统部门提供信息处理系统，由用户实施。因此，对系统整体进行IT审计时，IT审计人员要协调好用户部门与系统部门的关系，明确各方的职责，找出问题所在。

　　内部审计与外部审计的关系

　　IT内部审计是企业内部的审计活动，是对信息系统功能实现的内部控制，也可看成是系统的组成部分，或是内部的系统质量控制。没有内部IT审计，要保证系统所有功能的实现是困难的。而外部IT审计是对内部IT审计的检查与评价，是对其有效性进行的判断。可以说外部审计是对内部质量控制的再控制。从保障信息系统的安全、可靠与有效的角度看，内部IT审计与外部IT审计是一致的，但外部审计是对内部审计的再检查与再评价。外部IT审计师在实施IT审计过程中与内部IT审计师接触十分频繁，要处理好关系，找出问题根源，并要保持各自的独立性。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。