我們所熟知的企業治理整合框架COSO建立了一套成熟的可以應用于企業內部的控制模式。我們都知道企業實施內部控制的根本目的在于對企業的財務報告的可靠性、經營的效率和效果以及法律和法規的符合性提供必要的保證。由此可見財務報告的可靠性是內控的最為基本的要素之一，信息系統審計的最初目的也主要是針對企業的財務信息系統的安全性和有效性進行檢查。

   目前基于IT的信息系統的審計范圍逐步擴展到對被審計單位的重要信息系統進行單獨審計。在審計的過程中主要檢查和評價信息系統的安全性、可靠性和經濟性，并揭示系統本身存在的問題，提出后期待完善的審計意見和建議。而針對信息系統的安全性審計，更加強調實施信息安全工作的充分性、有效性和適宜性。所謂充分性就是看針對信息安全工作是否考慮全面，有效性關注的是預期結果是否達成，適應性是看被審計單位是否能夠針對組織所面臨的信息安全內外部環境變化做出適應性調整的能力。

   審計的基本流程步驟包括計劃、現場工作和文件、問題發現和驗證、開發解決方案、報告起草和執行、問題跟蹤等。計劃過程的首要目的是明確本次審計的目標和執行范圍，并切實制定一系列可操作性的步驟。審計團隊需要積極引導被審計組織的相關高層主動參與到具體計劃的制定中來?，F場工作和文件是指審計團隊在被審計組織的現場通過訪談、問卷調查和文件分析等形式獲得第一手數據，并進行充分的資料分析和工作記錄。在問題發現和驗證環節，審計人員需要制定在本次審計過程中發現的問題清單，并試圖驗證問題所關聯風險是否非常重要。必要時可以通過風險評估等方式來評估風險可能帶來的實際影響。在發現和驗證每個現實存在的問題和可能的風險后，必要的針對問題和風險處置的解決方案的開發就變得非常有必要。審計團隊需要針對本次審計的最終結果撰寫最終的審計報告，并制定必要的審計后跟蹤機制，確保審計所發現的問題被納入被審計組織的問題管理流程，直至問題的最終解決。

   以上是關于信息系統審計工作的典型活動的解讀。在審計過程中，可以應用一些審計技術或工具來配合審計所需的歷史數據的采集。比如日志審查技術就是檢查系統日志文件以發現安全事件或驗證安全控制有效性的審計技術。審計工作任重而道遠，我們要堅定的相信：“必要的審計工作的定期執行能夠為被審計組織在其實現業務戰略過程中保駕護航”。