1.  信息系统审计的准备－审计部门
　　为了实施信息系统审计，需要在事前进行充足的准备，以获得良好的审计效果。
为了导入信息系统审计，事先需要进行下列的活动：
　　·信息系统审计的环境构建、文化导入；
　　· IT审计师的培养；
　　·各种审计相关规章的整备；
　　信息系统审计的宗旨在于提高作为企业中枢神经的信息系统的可靠性、安全性和开发、运营效率，使企业能够健康地运营和发展。要使信息系统审计能够达成既定目标，上级主管的完全授权是最重要的一环。

2.  信息系统审计的准备－被审计部门
　　IT审计师在实施信息系统审计的时候，常常要求被审计部门提供诸如文档之类相应的资料作为审计依据。
　　被审计部门为此事先应该对文档、操作说明书等进行整理和准备。还要准备好计算机安全措施、个人信息保密措施等实施情况的说明。这些资料要尽可能让IT审计师一目了然。通常，被审计部门（信息化部门，用户部门）需要准备的东西如下面所示。当然，有关的系统设计书、程序设计说明书之类的必须保持最新的更新状态。

　　信息化部门：
　　·系统开发计划书
　　·系统设计书
　　·系统构成图
　　·程序一览表
　　·信息管理相关规章
　　·操作指南
　　·故障对应指南
　　·计算机安全对策现状说明

　　用户部门：

　　·终端设备操作手册
　　·系统输出列表
　　·系统输入式样
　　·系统使用指南

3.  信息系统审计的实施步骤
　　信息系统审计的实施步骤如下所示：

　　审计计划

　　·基本计划（每年一度的审计计划，属于年度计划，概要性的计划）
　　·个别计划（个别，具体的审计实施计划，有实施细则）

　　审计实施

　　·审计通知（实施前1－3周通知被审计部门）
　　·预备调查（审计实施前准备）
　　·审计实施（实际的审计活动）
　　·审计意见整备（基于审计结果的记录和文档）
　　·评议会（基于审计结果，与被审计部门交换本次审计意见）

　　审计报告

　　·审计报告制作（完成信息系统审计报告）
　　·报告书提交（向上级主管提交信息系统审计报告）
　　·报告会（召集相应的干系人进行会议）
　　·改良指示（上级主管根据审计意见责令被审计部门进行相关的改良活动）
　　·审计追踪（IT审计师对改良情况进行检查）

4.  信息系统审计的留意点
　　在实施信息系统审计的时候为了确保审计高效的得以实施，必须制作相应的审计计划。
　　IT审计师在审计计划中必须明确审计的对象、审计目的、审计主题。
　　审计对象、审计主题的选定、优先度确定之类留意点可参照下面所述。

　　·企业经营方针、上级主管的需求
　　·信息化部门的问题、要求
　　·用户部门的问题、要求
　　·审计对象的业务特征
　　·信息系统的重要度
　　·审计对象业务的问题点及其解决紧迫度
　　·IT审计师自身的知识、经验

5.  信息系统审计的着眼点
　　下面是进行信息系统审计应该重点注意的地方：
　　安全：信息系统的物理安全性，防止非法使用
　　可靠：硬件、软件的正确运行
　　机密：基于数据访问权限的保密
　　合法：法律、法规、规章之类
　　适时：是否符合开发、导入、运营等的时间限制
　　成本：成本节约方面的效率
　　资源：资源利用方面的效率
　　有效：信息系统目标的达成度

6.  信息系统审计技术
　　可以通过很多方法来实施信息审计，下面给出常见的几种方法，每种方法各有利弊，对这些方法进行组合使用，可以使信息系统审计得以更有效地得以实施。
　　商谈法：与信息化部门、用户及相关人员进行会谈
　　资料查阅法：对与信息系统相关的文档、程序进行查阅，核查
　　实地考察法：对机房、考勤以及业务终端、器材（例如POS）等进行实地考核
　　计算机审计法：利用计算机技术进行信息系统审计，常见一些利用计算机的方法有：
　　·测试数据法
　　·程序审计
　　·审计模块
　　·ITF方法
　　·并行仿真
　　·快照
　　·追踪（Tracing）
　　·代码比较

7. 信息审计报告
　　根据信息系统审计实施的结果，IT审计师将之汇编成《信息系统审计报告》，向上级部门出示的同时，也要传送给相关的干系人。
　　信息系统审计报告由IT审计师独立编写，内容主要涵盖信息系统的可靠性，安全性和效率的现状以及问题点。同时给出改良建议。
　　《信息系统审计报告》的样式如下所示：

　　信息系统审计报告书

　　[题头]
　　报告日期；
　　上级主管部门名称；
　　上级主管姓名；
　　审计说明（概要）；

　　[正文]
　　审计对象；
　　重点审计主题；
　　审计目的；
　　审计范围和审计实施步骤（概要）；
　　实施期间；
　　被审计对象部门；
　　被审计人员及其工作职能；
　　审计结果（概要）
 　　 1 可靠性
    　　可靠性概要
    　　可靠性评价
  　　2 安全性
   　　 安全性概要
    　　安全性评价
 　　 3 效率
   　　 效率概要
    　　效率评价
　　主要存在的问题
　　改良建议
  　　1 一般改良建议
  　　2 紧急改良建议

8. 改良指示和改良追踪
　　信息系统审计的实施结果以审计报告的方式提交给上级主管，上级主管根据审计报告，向被审计部门提出改良的指示，被审计部门依照审计报告中的改良建议进行改良。
　　IT审计师需要对被审计部门的反馈（改良活动）进行复查和评价，该活动称为审计追踪；
　　通过审计追踪，能够确保审计效果的达成，同时还可以确保改良措施得到妥当地执行。
　　改良追踪的步骤如下所示：
　　信息系统审计的实施（审计部门）→　信息系统审计报告书制作（审计部门）→　对被审计部门提出改良指示（上级主管）→　改良活动实施（被审计部门）→　改良状况检查（审计部门）→　改良状况再评价（审计部门）

　　以上是对信息系统审计（IT审计）一个概括性的讲述。

　　备注：有关IT审计师考试的情况
　　ISACA和日本通产省信息推进和处理机构。
　　前者于1969年成立并取名叫EDPAA（Electronic Data Processing Auditors Association，电子数据处理审计协会），后来于1994年改名为ISACA（Information System Audit and Control Association，信息系统审计和控制协会），号称全世界唯一的专业信息系统审计协会。CISA考试诞生于1978年，所有通过ISACA的CISA考试的学员皆称CISA（Certified Information Systems Auditor），学员来源大部分来自企业审计人员；ISACA全世界多个国家内设立考点，相对来说，培训费用较高，过级率比较高；
　　日本通产省信息推进和处理机构则是于1969年推出了系统监查员考试，是专门针对计算机专业人员的信息系统审计考试，由于对计算机专业知识要求极高，对参考学员的信息系统规划和开发经验有比较严格的要求，难度和声誉与系统分析员考试旗鼓相当，合格率平均在4％－6％左右。属于日本信息处理考试中的高级，同等级的系统分析员考试与中国的系统分析员考试互相承认，是难度极高的信息水平考试；
　　从双方机构的审计准则来看，CISA基于《IS Standards, Guidelines and Procedures for Auditing and Control Professionals》，CISA将信息当资产来看待，主要为提高信息资产的安全性着眼，知识范围包括信息系统的管理、计划、组织、开发，信息系统的基础环境、信息资产相关保护措施、灾难恢复计划和企业业务流程等。
　　系统监查员基于《IT审计准则》，将信息系统视为机器系统，着眼于提高信息系统的可靠性、安全性和有效性而战，与软件开发的质量控制，求得信息整体质量与投资的最佳组合，主要工作为信息系统的规划、开发和运行三段进行评价和建议。涉及的技术大部分属于计算机专业技术而非普通的管理方面的技术。

1.  企业信息化与信息系统审计
　　随着企业实施信息化进程的不断深入。从信息系统安全性方面我们看到硬件故障、程序故障、操作系统错误、计算机犯罪，设备灾害以及保密数据泄漏等现象发生的可能性愈来愈高。此外，从投资的角度上看，我们看到随着信息化投资成本的不断增加，投资效果反而不明显。还有还会出现信息系统用户不满以及信息化产品落后于竞争对手、无法在市场上立足等问题。
　　信息系统审计（又称IT审计）正是为了解决上述问题，提高信息系统的安全性、可靠性和开发、运营效率，使企业信息化得到健康、全面的发展而引入的预防机制。

2.  信息系统审计是什么
　　对信息系统进行审计的人员称为IT审计师，信息系统审计便是IT审计师对信息系统生命周期进行审计的一系列的活动。这些活动包括：
   （1）对信息系统的可靠性、安全性、开发和运营效率进行检查和评估；
   （2）将检查和评估结果向上级主管报告；
   （3）上级主管根据评估报告，指示信息化担当人员对信息系统进行相应的改善、IT审计师对改善情况进行追踪；

3. 信息系统审计的对象
　　信息系统审计的对象包括：由计算机硬件和软件结合而成的信息系统以及与信息系统的输入、输出相关的活动。广义的讲，即信息系统以及信息系统生命周期的所有活动；
　　因此，信息系统审计并不局限于业务运营时期，与信息系统相关的开发活动，包括企业信息化战略企划、信息系统计划、开发、实施和维护等相关的开发方面的活动也是信息系统审计的内容之一。

4.  IT审计部门的位置
　　为了保证信息系统审计能够客观、公正并有效的得以执行。IT审计部门在企业内是独立的，不隶属于信息化部门和用户部门。
　　有些公司可能因为规模、人才等原因没有IT审计师，在这样的情况下，信息系统审计可以雇用专门从事信息系统审计的审计公司来实施企业内部的IT审计。

5.  IT审计师的知识和能力要求
　　为了有效地实施信息系统审计，作为一个IT审计师，应具备待审计对象所要求的业务知识和丰富的信息系统开发经验。
　　知识方面的要求如下：

　　信息系统计划、开发和运营相关的知识：

　　·信息系统构成相关的知识；
　　·信息化战略、构想、提案、立项等相关的知识；
　　·系统设计、程序设计、软件测试等相关知识；
　　·系统操作、数据管理等相关知识；

　　信息系统审计实施相关的知识：

　　·信息安全相关的知识；
　　·经营管理方面的相关知识；
　　·业务对象相关知识；
　　·相关法律和法规；

　　能力方面的要求如下：

　　·系统审计的相关能力；
　　·审计的立项、分析、评价相关的能力；
　　·信息收集、审核、审计方法掌握、技巧运用方面的能力；
　　·审计报告制作能力；

6.  信息系统审计效果之一 —— 信息系统可靠性的提高
　　实施信息系统审计，可以从如下几方面着手提高信息系统的可靠性
　　对信息系统的计划、开发、实施和运营各方面进行审计、可以提高信息系统的品质；
　　通过信息系统审计，能在早期发现信息系统的设计缺陷、程序错误等、最终防止系统当机或是用户误操作现象的发生；
　　万一信息出现故障，通过信息系统审计可以使故障影响控制到最小，还能迅速地进行系统恢复；

7.  信息系统审计效果之二 —— 信息系统安全性的提高
　　实施信息系统审计，可以从如下几方面着手提高信息系统的安全性
　　对自然灾害及不可抗拒灾害的应对措施进行审核和评价、一旦发生时能使损失和影响降至最低；
　　从安全方面对信息系统进行审核和评价、防止数据的外泄、破坏或修改、非法入侵等情况发生，保证企业机密不外泄；

8.  信息系统审计效果之三 —— 信息系统效率的提高
　　实施信息系统审计，可以从如下几方面着手提高信息系统的效率
　　从信息系统的资源是否最大限度地被利用为落脚点进行核查、评价，实现信息系统在业务和负载方面的均衡；
　　对信息系统的计划、开发、实施和运营各阶段的（费用/效果）指标进行定性或定量的核查、评价，确保信息系统利益最大化；

1 信息化的社会

　　近年来，随着信息技术的不断发展，信息系统日渐成为现代社会中不可缺少的"基础设施"。就在信息系统为人们提供便利，满足社会服务需求的同时，信息系统自身的结构、功能复杂度越来越高，使得信息系统本身由于复杂度增大导致的系统脆弱性隐患变得越发严重。对信息系统进行错误操作、滥用、不正当使用导致的社会问题屡见不鲜，给社会带来了巨大的经济损失，重者伤及人命。特别是近些年来的网络化趋势使得这种影响波及范围更为扩大，造成了极为恶劣的影响。因此，信息系统的安全性愈来愈为社会所关注。

　　信息系统给社会带来的危害主要体现在以下几方面：

（1） 致命的功能停止

　　● 由于1993年纽约世界贸易大厦爆炸事件，使得当时入住的多数企业的商业数据如数丧失，导致在企业这一年内的很多商业活动无法进行。（AIXCELLENCE 1995年秋冬号IBM社）

　　在现实生活中，这样的例子比比皆是。由于停电使医院信息系统的停止导致手术的病人致死这样的现象也时有发生。为此，如何给信息系统提供一个安全环境，如何使一个信息系统环境内信息流处处畅通，成为了一个新的课题。

（2） 错误操作、不正当使用和滥用信息技术

　　● 某都市银行支店副店长利用联机终端盗取3亿日币（折合2千多万人民币）（1998.1.14 日本经济新闻）

　　● 1998年发生的CIH病毒，导致全球数百万台计算机硬件损坏，导致近百亿美元的经济损失。

　　● 1997.8.1发生在东京证券交易所的系统当机造成了巨大的社会影响和经济损失。经调查，原因是处理程序在设计时出的一个小问题。（1997.8.15日经BUSINESS）

　　任何技术都是"双刃剑"，信息系统给社会带来巨大便利的同时，也往往会被"不法分子"所利用，如何杜绝这类现象，如何防止信息系统因为自身的缺陷给社会蒙受巨大损失，这又是我们面临的另外一个新课题。

　　此外如何对待信息系统投资也引起人们的逐步关注。不少信息系统建设项目劳民伤财，耗资巨大却无法为社会提供实际的服务价值，甚至还危害及社会。对于企业来说何尝不是一笔重大的经济损失。有例证：1994年，Standish Group对IT行业8400个项目（投资250亿美元）的研究结果表明有34％的项目彻底失败，50％的项目在补救后完成，预算平均超出90％，进度平均超出120％。这些失败和补救的项目中、不少未经过投资风险评估便匆匆上马，超成了极大的社会资源浪费，对信息系统投资方面起到了极其恶劣的影响。

　　从上面的事例我们可以看出：应对信息系统的建设我们需要引入一种新的管理机制来对信息系统的安全性、投资效果、实施进程和实施效果等进行评估、指导和改进。这种机制就是我们今天所提到的IT审计（System Audit，又称IT监查）。

2 IT审计的历史和发展

　　IT审计的出处源自60年代IBM出版的《Audit encounters Electronic Data Processing》等有关在EDI环境下进行审核和组织的论述。不久后有关该方面的研究结果不断涌现， IT审计的雏形初步形成。但是由于信息系统在社会上尚未得到较为广泛的应用，因此IT审计并未在社会上形成意识。

　　七十年代中后期到八十年代初由于计算机在发达国家的企业初步普及，利用计算机犯罪和计算机系统失效的事件频频出现，使得IT审计日益得到社会重视，美国、日本先后成立了IT审计方面的协会组织。从事对IT审计规则的制定和实施指导。值得注意的是1985年日本政府出台了《IT审计标准》并根据美国劳工部的《Skill Start》和Northwest Center for Emerging Technologies（NCET）对IT信息人员的从业技能的要求制订了IT审计师（系统监查员）的技能标准并以之作为新的"IT审计师（系统监查员）"级考试的参考标准。

　　九十年代是IT审计的普及期，这主要归功于互联网的普及。互联网的普及是利用计算机犯罪的人员温床，此外日益严重的软件项目失败问题引发了是否要对信息系统的投资和开发进行审计的深思。IT审计得到了前所未有的重视。

3 IT审计的对象、范围和意义

　　IT审计是独立于信息系统本身、信息系统相关开发、使用人员的第三方－IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。

　　由上面的定义我们可以看出，IT审计设计整个信息系统的生命周期，IT审计不是单纯强调对软硬件的审计。它的审计对象涵盖整个信息系统所有活动和中间产物，并包括信息系统实施相关的外部环境。

　　IT审计按照信息系统的生命周期分为业务计划审计，业务开发审计、业务执行审计和业务维护审计以及涵盖整个信息系统周期的共通业务审计。

　　业务计划审计主要面向信息系统的企划，对信息系统的投资可行性，系统规划与公司战略的相关性，系统开发计划的可行性以及系统需求的完整性和正确性进行审核和验证。

　　业务开发审计对信息系统开发的各个阶段的相关人员的活动、信息、中间产物进行审核，确认这些活动、信息和中间产物的规范性、有效性和对于信息系统目标的针对性。

　　业务执行审计确认与信息系统运行相关的数据、软硬件、安装环境等是否符合信息系统的运营要求，同时对信息系统的功能、性能、易用度、可操作性等进行评估。

　　业务维护审计对信息系统的维护活动和维护结果实施审核和评价。发现在维护中可能出现的各种漏洞和信息系统维护中急待改善的问题。

　　共通业务审计涉及文档管理、进度管理、人员管理、采购管理、风险管理等，检查这些过程的规范性和有效性，并提出改良建议。

　　IT审计的任务在于站在客观公正的角度上，收集审计信息，生成审计报告，通过审计报告促成信息系统生命周期活动和成果物的改善。

　　实施IT审计能够强化IT投资效果，提高信息系统的安全性，能够客观评价信息系统及信息系统开发，从社会经济和企业、国家信息化投资、安全等方面都具有极大的意义。

4 IT审计制度

　　一般来说，对企业实施IT审计的对象有：本企业内的IT审计师、外部IT审计事务所委托审计师和国家审计机构。
作为企业，建立一个完善的IT审计制度需要做到以下几点：

　　（1）IT审计师是跨信息技术和审计技术的复合型人才，要实施企业的IT审计制度，必须重视和培养合格的IT审计师；

　　（2）企业应该建立相应的IT审计部门或审计岗位，确定其部门和岗位职责，并将之置于企业经营者的直接管理之内；

　　（3）企业应该制定相应的IT审计准则、实施报表、报告等进行IT审计所必须的凭据；

　　只得一提的是，企业在建立IT审计制度时应当遵循国家相关IT审计的法规并结合本企业的业务实际进行。企业的IT审计制度不是一成不变的，根据具体企业的营运情况可以在每个审计年度终结后新的审计年度开始前做相应的修改和增删。

5 IT审计计划

　　IT审计的实施需要制定相应的计划，明确IT审计的任务、采用的方法和预期应当达到的效果。该计划在提交经营层确认后得以实施。

　　IT审计的审计计划分为两种类型：基本计划和详细计划（又称分期计划）。

　　基本计划是一个审计年度内相关IT审计活动的计划，确认年度内IT审计的各项任务及其大致时间安排。基本计划需要提交经营层批准。它是对整个IT审计年度的活动指引方针。内容包括：审计对象、审计场所、审计原则、日程安排等。

　　详细计划（分期计划）针对具体项目（系统）或任务，得到IT审计部门领导的许可即可，详细计划需要告知被审计对象。详细计划的内容包括：审计对象、目的、审计流程、审计要点、审计时间、相关人员、审计报告提交事项等内容。