隨著科技的發展，信息系統在當今社會所扮演的角色已經從幕后走到了臺前，IT技術不再是僅僅用來提高計算速率的加分項，而是作為保證單位/企業順利地開展業務、實現目標、獲得利益的基礎條件。IT審計迅速發展，仿佛突然之間成為高檢索率的熱門詞匯陣營。我國IT審計的發展相對遲緩，對于IT審計的認識目前仍然主要停留在計算機輔助工具層面，認為IT審計只是通過使用計算機技術提高傳統審計的效率，卻很少或沒有從審計對象的角度審視信息系統。因此，當身邊的人們反復提起IT審計時，我們很自然會產生困惑：IT審計究竟是什么、有何特點、為什么要開展IT審計、如何開展IT審計、由誰執行IT審計、開展IT審計需要滿足哪些條件，等等。本文將為讀者一一解開這些謎團。

　　IT審計是什么

　　IT審計（Information Technology Audit），也稱作信息系統審計。很多研究人員認為，IT審計的概念源于在20世紀60年代。1960年起，IBM公司相繼出版了《The Auditor Encounters Electronic Data Processing》、《In-line Electronic Processing and Audit Trail》等一系列文獻，介紹了電子數據環境下的內部審計規則和組織方法，并首次將計算機審計的概念帶入人們的認識中；1968年，美國注冊會計師協會出版了《會計審計與計算機》，指導會計師事務所對利用計算機較早、較為深入的金融行業開展審計。嚴格來講，電子數據處理審計或計算機審計并非真正意義上的信息系統審計，計算機審計的定位是擴展傳統財務審計的一種技術資源，為審計師開展涉及到電子數據的財務審計業務時提供必要的技術支持。

　　業界始終沒有就IT審計的定義達成統一的意見，目前使用較廣的是美國信息系統審計與控制協會ISACA 給出的描述。ISACA認為，IT審計是一個過程，在這個過程中IT審計師（CISA ）通過獲取和評價相關證據，判斷被審查的信息系統能否保證單位或企業的資產安全、數據完整，以及能否有效地利用資源并高效地實現目標。除ISACA的定義外，國際上認可度相對高的IT審計定義包括，國際權威的IT審計專家Ron Weber在《Information Systems Audit and Control》一書中對IT審計的定義，他認為IT審計是一個搜集并評價證據，以判斷計算機系統（信息系統）能否在經濟劃算地利用資源的情況下，有效保護資產安全、維護數據完整并實現組織目標的過程；日本通產省情報處理開發協會信息系統審計委員會于1996年修訂該協會11年前對計算機審計的定義，描述信息系統審計是“為保證信息系統安全、可靠、有效，由獨立于審計對象的IT審計師，以第三方的客觀立場對以計算機為核心的信息系統進行綜合檢查與評價，并向IT審計對象的最高領導層指出系統存在的問題及改進建議的一組連續的活動”。由于IT審計在我國的發展相對遲緩，目前尚未形成被普遍認可的IT審計定義。

　　雖然對IT審計的描述沒有達成統一，但是我們不難發現，專家們對IT審計的理解至少在以下幾個方面是一致的：首先，IT審計是一個過程，這個過程需要由獲得CISA認證的IT審計師，以獨立客觀的身份執行；其次，IT審計的過程中，IT審計師需要獲取證據并分析證據，目的是檢查信息系統的安全性、可靠性、有效性以及高效性；第三，審計師得到結果并不意味IT審計過程的完結，還需要向被審計單位報告審計結果，指明審查過程中發現的、信息系統存在的問題，以及針對這些問題向被審計單位的高層提供改進的建議。

　　IT審計由誰審

　　IT審計要求執行者必須具備CISA資格認證。作為一門跨領域的邊緣性學科，信息系統審計與控制協會嚴格考核從業者的知識和技能，從傳統審計理論、信息系統管理理論、行為科學理論和計算機科學等四個領域的要求，綜合評價申請者知識技能的掌握程度，判斷是否認可申請者的IT審計從業資格。IT審計是一個對從業者無論知識技能還是實際經驗，要求均非常高的專業領域。我們知道，信息系統本身具有很強的復雜性，當把多個復雜的對象糅合在一起，其結果很明顯：正如一團亂麻，要求梳理這團亂麻的人員必須具備足夠的素質才能獲得期望中的結果，否則，結局只會是使眼前復雜的問題變得更加復雜。因此，IT審計師必須具備專業的能力和良好的素質，才能針對審計對象做出合理有效的評價。

　　IT審計要求審計師必須以獨立客觀的身份執行審查。獨立客觀，強調IT審計師執行某項IT審計任務時，必須與被審計信息系統不存在任何的利益關系。此處的利益關系，既包含不參與（包括不曾參與）信息系統生命周期的有關活動，信息系統生命周期包括設計、開發、測試、部署、維護等環節；也包含不涉及被審計信息系統的業務和經濟利益。

　　傳統財務審計活動中，明確要求審計師具有獨立客觀的性質，目的是避免因審計師舞弊風險，導致結果失去公平公正的基本原則，損害到被審計對象的利益相關者的合法利益。但是，如何將這一要求與IT審計師的獨立客觀性進行合理的關聯？

　　信息技術的應用是一把雙刃劍，在提高效率的同時，引入大量安全威脅。我們都很清楚，法律上明令要求，電子數據不能作為證據。這是由于電子數據具有易于修改的特征，正如筆者此刻假若修改本文的某一處字詞，是非常容易的事情；尤其對于安全保護措施不完善的信息系統，其遭遇黑客攻擊、蒙受損失的可能性要遠高于其他部署了良好的信息安全防護手段并定期接受專家查驗的系統。IT審計師作為第三方人員，負責檢查信息系統情況，IT審計師具有比較大的權限，可以這樣設想：如果，IT審計師與信息系統業務有關，則無法排除IT審計師利用其擁有的高權限，對業務信息進行修改，或者隱藏系統中的部分漏洞以便于利用這些漏洞竊取機密信息，為自己謀取福利，等等。這一系列行為的發生，哪怕只是發生其中的一件，足以導致企業蒙受巨大的損失。

　　可以如此理解IT審計對于審計師具備獨立客觀屬性的要求：當IT審計師以不獨立于被審計對象身份執行審計任務時，其帶給被審計組織的價值就會發生變化，不但無法保證其針對信息系統使用和維護過程中相關控制有效評價，促進組織管理結構和控制框架完善，而是組織產生高系數的IT風險。

　　IT審計審什么

　　信息系統審計不同于傳統的財務審計。當提及財務審計的時候，目標很明確，就是審查組織的財務報表，識別組織經濟活動中的舞弊行為。可是，IT審計要審什么？也許會有部分讀者認為：IT審計既然也稱為信息系統審計，那么審計對象自然是信息系統。這個回答，然，亦不然。

　　然，是因為既然稱作信息系統審計，必然與信息系統有著莫大的聯系，至少IT審計必然是圍繞信息系統展開；不然，是由于這個回答并不準確。審計作為獨立于組織業務鏈之外的結構，監督并客觀評價與業務相關的控制在設計和執行方面的效果、效率，為完善組織內控框架提供建議，確保組織的利益相關者的利益不遭受損害并能夠順利獲得。我們不難發現，審計是圍繞著組織的控制而設計并開展的一項活動，其價值最直接地表現在對于控制的監督和評價上。所以，當對審計業務細化并指明針對信息系統審查時，其內容也必須得到同等程度的明確，即，IT審計需要針對IT控制的設計和執行情況進行監督及評估。

　　對于IT控制的定義，相關的權威機構或最佳實踐分別從不同的角度進行描述。例如，IT管理最佳實踐框架COBIT從IT控制的形態及功能的角度進行描述，認為IT控制是為了確保實現企業目標、預防或發現和糾正意外事件的各種政策、程序、做法和組織結構；而ISACA的信息系統審計準則從信息系統階段生命周期的角度進行描述，將IT控制概括為在IT系統和服務購買、實施、交付和支持方面的控制。

　　IT控制有多種不同的分類方式。例如，從普適性和針對性角度區分，IT控制可以分成一般控制和應用控制。其中，一般控制用以降低廣義層面上信息系統軟、硬件及方案整體的風險，強調適用于全部信息系統的通用的一類控制，這些控制與信息系統的具體業務沒有直接聯系；而應用控制強調集成在應用程序中的、具有明確針對性的控制手段，需要與信息系統的功能目標相符合。IT控制涉及信息系統的獲取、實施、交付、支持等過程，需要從整個生命周期對信息系統的運行環境、組成要素、核心數據、功能應用及運作流程等進行全面的管理和監督。IT控制的作用范圍既涉及到所有信息系統的共性需求，也必須滿足其特有的功能目標，因此必須綜合運用信息系統的一般控制與應用控制，才能確保信息系統處于安全、可靠、高效、可控的狀態，確保系統的功能和效果與預期目標統一。

　　再如，依據控制的設計及效果進行區別，IT控制又可以分成預防性控制、檢查性控制和糾正性控制。預防性控制是為了防止錯誤、遺漏或安全事故發生；檢查性控制則用以檢查繞過預防控制的錯誤或事故；而糾正性控制則是為了糾正被檢測出的錯誤、遺漏及安全事故。預防性控制屬于事前防范措施，有效部署預防性控制可以避免事故或問題發生，使危害或損失為零。檢查性控制屬于事中舉措，雖然預防性控制的效果是最理想的，但是由于錯誤、遺漏及安全事故形態特征多樣，無法確保一組控制措施足夠完整可以對所有的問題做到有效地預防，因此在錯誤或事故發生的時刻能夠及時對其識別是非常必要的。檢查性措施和糾正性措施通常組合部署，這是由于僅僅識別出問題并沒有完成控制的目標，在無法規避風險的條件下，只能退而求其次，采取措施使危害或損失的程度降至最低，這也是糾正性控制的作用；同時，糾正性控制能夠有效發揮作用需要基于準確識別問題的前提，即，糾正性控制需要以檢查性控制作為條件，二者不可分割。

　　對于IT控制的理解，還存在其他一些分類方式，例如，從組織架構的角度、基于IT控制設計和實施的相關角色的職責進行分類，IT控制又可以分成治理控制、管理控制和技術控制。治理層的IT控制涉及確保有效的信息管理與安全的方針、政策和過程是恰當的，并且通過對績效的合規性指標進行度量，表明對框架的持續支持。在一個組織中，其治理控制的實體通常表現為組織的政策，體現組織的戰略目標及宗旨。管理控制用以確保IT控制能夠實現組織的既定目標，并且所有適用的IT控制具備可靠性及連續性。管理控制在組織中的實體通常以標準、組織和管理、物理與環境控制的形式存在。技術控制與設計、實現及維護信息系統功能和效果聯系最緊密，是確保其他IT控制具備可靠性的基礎，例如信息系統軟件控制、獲取和實施控制、基于應用的控制等等。

　　對于組織而言，引入并應用IT控制的目標集中在滿足以下四個方面的要求：

　　（1）有效地交付可靠信息，確保安全的IT服務符合本組織的戰略、政策、外部需求和風險偏好；

　　（2）保障利益相關者的利益；

　　（3）實現客戶、商業伙伴和其他外部各方完成業務目標的互惠互利關系；

　　（4）適當地識別并應對威脅和潛在的情況。

　　IT審計作為監督評估IT控制的角色，需要在理解了IT控制的目標之后，有針對性的取證分析，做出客觀的判斷并向管理層匯報，同時針對不當的控制提出改進建議。

　　ISACA編訂并發布COBIT指導信息系統實施單位和IT審計人員更清晰地了解和把握IT控制。COBIT（Control Object of Information related Technologies）作為IT管理和IT審計的最佳實踐框架，目前的已發行到版本4.1。COBIT將包含IT基礎設施、IT應用、人員和信息四類要素的IT資源分配到信息系統生命周期的4個域、34個流程的控制中，并針對每個流程依據包含機密、完整、可靠、合規、效果、效率、可用等七個屬性的業務目標分別定義了各流程的IT控制目標及活動目標。COBIT的4個域包括：規劃與組織PO（Planning and Organization）、獲取與實施AI（Acquisition and Implementation）、交付與支持DS（Delivery and Support）、監控與評估ME（Monitoring and Evaluation）；每個域中包含一定數量的IT流程。

　　COBIT利用目標和指標的關系，實現信息系統與單位業務目標的完美融合。COBIT建議按照業務、信息系統整體、IT流程、流程活動的順序自上而下的對業務目標進行分解，從而確保IT目標與業務目標的關聯；同時按照從流程活動、IT流程、信息系統整體、業務的順序自下而上的進行指標的衡量，以保證及時發現并糾正IT控制中的偏差，確保IT控制與業務目標的一致性。COBIT不僅適合指導單位依據IT控制目標對IT進行管理，同時也適合IT審計人員參考進行IT控制的審核。COBIT建議使用CMM模型描述被審計單位的IT控制情況，把IT控制流程作為基本對象分別進行成熟度的評價，以展現被審計單位在IT控制的現狀及急需提升的環節。