IT審計已經(jīng)是對于大部分內(nèi)部審計人員來說，已經(jīng)是不陌生的名詞了。對于現(xiàn)有的內(nèi)部審計人員來說，真正了解和參與過IT審計的有多少呢？那么，參與過IT審計的內(nèi)審人員，又有多少發(fā)現(xiàn)過重大問題呢？

隨著企業(yè)組織越來越多地應(yīng)用信息技術(shù)開展運營、銷售、管理，對IT控制提出了更高的要求，對IT審計也提出了更多的需求。而有IT背景的內(nèi)部審計人員少之又少，那怎么開展IT審計呢，從什么地方切入呢。想必大家一定會從內(nèi)部控制入手。沒錯，就是從IT控制入手。對內(nèi)部控制的檢查、測試、評價，是內(nèi)部審計的重要手段，也是內(nèi)部審計看家的本事。那么，首先內(nèi)部審計人員要了解IT一般控制都有哪些？

一、信息基礎(chǔ)設(shè)施、應(yīng)用程序和數(shù)據(jù)庫的訪問控制

例如，審計人員需要了解：企業(yè)組織是否對信息基礎(chǔ)設(shè)施、應(yīng)用程序和數(shù)據(jù)庫的訪問設(shè)置防火墻？是否訪問記錄是否留存？訪問記錄是否正常？審計人員還可以開展穿行測試，了解訪問控制是否存在漏洞。

二、信息系統(tǒng)開發(fā)生命周期的控制

一個企業(yè)組織必須按照標(biāo)準(zhǔn)化的流程，對信息系統(tǒng)的立項、開發(fā)、運行、完善與終止等過程實施控制。內(nèi)部審計開展IT審計，要對信息系統(tǒng)開發(fā)周期內(nèi)的各個環(huán)節(jié)實施控制檢查和測試。盡管審計人員對IT技術(shù)不夠了解，但是對諸如信息系統(tǒng)立項是否合理、開發(fā)成本是否有效控制、開發(fā)人員是否具備資質(zhì)、開發(fā)周期是否在預(yù)算時間內(nèi)等等開展檢查。

三、變更應(yīng)用與管理程序模塊的控制

信息系統(tǒng)中，某些程序模塊的升級、變更、合并等都會影響信息系統(tǒng)整體的安全性和穩(wěn)定性，因此，變更應(yīng)用與管理程序模塊必須要有嚴(yán)格控制。

四、數(shù)據(jù)中心的物理安全控制

物理安全控制的檢查相對容易一些，例如審計人員要看數(shù)據(jù)中心的物理環(huán)境是否符合安全的條件，是否防火、放水、溫度是否合適等等。但除了這些，也有很專業(yè)的地方，例如設(shè)備的性能與環(huán)境的關(guān)系等等。

五、系統(tǒng)、數(shù)據(jù)備份和恢復(fù)的控制

信息技術(shù)部門一般都會有相應(yīng)的操作章程來規(guī)定系統(tǒng)、數(shù)據(jù)備份的周期。系統(tǒng)、數(shù)據(jù)備份也會留下相應(yīng)的痕跡和記錄。但實際操作中，是否能真正按照操作章程對系統(tǒng)、數(shù)據(jù)進行備份呢？曾經(jīng)一位IT資深人士告訴筆者，他所在的某大型金融單位在搬遷在用的計算機設(shè)備前，還真的沒有進行按照規(guī)程進行數(shù)據(jù)備份，所幸最后設(shè)備搬遷和調(diào)試運行順利。

六、計算機操作系統(tǒng)的控制

很多審計人員在開展IT審計時，都是從計算機操作系統(tǒng)控制入手的。例如，審計人員會檢查計算機操作系統(tǒng)的權(quán)限設(shè)置是否合理，登陸密碼是否及時更新，是否存在一個權(quán)限不同人使用，是否離任人員的操作系統(tǒng)權(quán)限及時清理，等等。