企业如何进行信息系统的审计

政策和程序。　　

法律和法规。　　

已有的控制措施。　　

管理报告(状态、性能、行动项目)。　　

用文档记录与过程相关的IT资源，特别是那些被审计的IT流程所影响的IT资源。确认理解了审核的过程、过程的关键性能指标(KPI)、实际的控制状况。例如，可以通过对过程的抽查来进行了解。　　

2)评价控制

该审计步骤用来评估当前已有控制措施的有效性或达到控制目标的程度，主要是决定测试什么、是否测试及如何测试的问题。　　

通过对比已确定的标准及行业最佳实践、控制方法的关键成功要素(CSF)和利用审计师的职业判断，来评价待审核过程所应用的控制措施的适宜性。

存在已文档化的过程。　　

存在适宜的输出。　　

职责和责任是明确的、有效的。　　

在必要时，存在补偿控制。　　

对实现控制目标的程度做出结论。　　

3)评估符合性

该审计步骤用来确定已建立的控制措施是按组织规定的方式，持续地、一致地在起作用，并且对控制环境的适宜性做出结论。　　

得到所选项目和阶段的直接或间接的证据，使用直接和间接的证据来保证待审核的项目和阶段一直遵守相关控制程序的要求。　　

对过程输出结果的充分性进行有限的审核。　　

为了证明IT流程是分的，确定需要进行实质性测试的程度和其他需要进行的工作。　　

4)证实风险　　

该审计步骤通过使用分析技术和可选的咨询资源，证实控制目标没有被实现时所带来的风险。目标是支持其审计判断，并督促管理者采取行动。审计师要创造性地寻找和提出通常是敏感的和机密的信息。　　

用文档记录下控制弱点及其引起的威胁和漏洞。　

识别并记录实际的影响和潜在的影响，例如，利用因果分析的方法。　　

提供比较信息。例如，通过基准比较的方法。