IT審計(jì)已經(jīng)是對(duì)于大部分內(nèi)部審計(jì)人員來(lái)說(shuō)，已經(jīng)是不陌生的名詞了。對(duì)于現(xiàn)有的內(nèi)部審計(jì)人員來(lái)說(shuō)，真正了解和參與過(guò)IT審計(jì)的有多少呢？那么，參與過(guò)IT審計(jì)的內(nèi)審人員，又有多少發(fā)現(xiàn)過(guò)重大問(wèn)題呢？

隨著企業(yè)組織越來(lái)越多地應(yīng)用信息技術(shù)開(kāi)展運(yùn)營(yíng)、銷(xiāo)售、管理，對(duì)IT控制提出了更高的要求，對(duì)IT審計(jì)也提出了更多的需求。而有IT背景的內(nèi)部審計(jì)人員少之又少，那怎么開(kāi)展IT審計(jì)呢，從什么地方切入呢。想必大家一定會(huì)從內(nèi)部控制入手。沒(méi)錯(cuò)，就是從IT控制入手。對(duì)內(nèi)部控制的檢查、測(cè)試、評(píng)價(jià)，是內(nèi)部審計(jì)的重要手段，也是內(nèi)部審計(jì)看家的本事。那么，首先內(nèi)部審計(jì)人員要了解IT一般控制都有哪些？

一、信息基礎(chǔ)設(shè)施、應(yīng)用程序和數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)控制

例如，審計(jì)人員需要了解：企業(yè)組織是否對(duì)信息基礎(chǔ)設(shè)施、應(yīng)用程序和數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)設(shè)置防火墻？是否訪(fǎng)問(wèn)記錄是否留存？訪(fǎng)問(wèn)記錄是否正常？審計(jì)人員還可以開(kāi)展穿行測(cè)試，了解訪(fǎng)問(wèn)控制是否存在漏洞。

二、信息系統(tǒng)開(kāi)發(fā)生命周期的控制

一個(gè)企業(yè)組織必須按照標(biāo)準(zhǔn)化的流程，對(duì)信息系統(tǒng)的立項(xiàng)、開(kāi)發(fā)、運(yùn)行、完善與終止等過(guò)程實(shí)施控制。內(nèi)部審計(jì)開(kāi)展IT審計(jì)，要對(duì)信息系統(tǒng)開(kāi)發(fā)周期內(nèi)的各個(gè)環(huán)節(jié)實(shí)施控制檢查和測(cè)試。盡管審計(jì)人員對(duì)IT技術(shù)不夠了解，但是對(duì)諸如信息系統(tǒng)立項(xiàng)是否合理、開(kāi)發(fā)成本是否有效控制、開(kāi)發(fā)人員是否具備資質(zhì)、開(kāi)發(fā)周期是否在預(yù)算時(shí)間內(nèi)等等開(kāi)展檢查。

三、變更應(yīng)用與管理程序模塊的控制

信息系統(tǒng)中，某些程序模塊的升級(jí)、變更、合并等都會(huì)影響信息系統(tǒng)整體的安全性和穩(wěn)定性，因此，變更應(yīng)用與管理程序模塊必須要有嚴(yán)格控制。

四、數(shù)據(jù)中心的物理安全控制

物理安全控制的檢查相對(duì)容易一些，例如審計(jì)人員要看數(shù)據(jù)中心的物理環(huán)境是否符合安全的條件，是否防火、放水、溫度是否合適等等。但除了這些，也有很專(zhuān)業(yè)的地方，例如設(shè)備的性能與環(huán)境的關(guān)系等等。

五、系統(tǒng)、數(shù)據(jù)備份和恢復(fù)的控制

信息技術(shù)部門(mén)一般都會(huì)有相應(yīng)的操作章程來(lái)規(guī)定系統(tǒng)、數(shù)據(jù)備份的周期。系統(tǒng)、數(shù)據(jù)備份也會(huì)留下相應(yīng)的痕跡和記錄。但實(shí)際操作中，是否能真正按照操作章程對(duì)系統(tǒng)、數(shù)據(jù)進(jìn)行備份呢？曾經(jīng)一位IT資深人士告訴筆者，他所在的某大型金融單位在搬遷在用的計(jì)算機(jī)設(shè)備前，還真的沒(méi)有進(jìn)行按照規(guī)程進(jìn)行數(shù)據(jù)備份，所幸最后設(shè)備搬遷和調(diào)試運(yùn)行順利。

六、計(jì)算機(jī)操作系統(tǒng)的控制

很多審計(jì)人員在開(kāi)展IT審計(jì)時(shí)，都是從計(jì)算機(jī)操作系統(tǒng)控制入手的。例如，審計(jì)人員會(huì)檢查計(jì)算機(jī)操作系統(tǒng)的權(quán)限設(shè)置是否合理，登陸密碼是否及時(shí)更新，是否存在一個(gè)權(quán)限不同人使用，是否離任人員的操作系統(tǒng)權(quán)限及時(shí)清理，等等。