A部分：规划

需要进行审计的原因有很多。审计能帮助组织确保有效运营，确认其遵守各种法规且业务运作良好，还能为应对潜在挑战做好准备。审计还有助于保证信息资产可获得的保护级别。最重要的是，审计可以向利益相关方保证组织具备健全的财务、运营和道德规范。信息系统审计能为所有这些结果提供支持，并且尤其侧重于大多数企业和公共机构为获取竞争优势所依赖的信息和相关系统。

信息系统审计是对信息系统的正式检查和/或测试，以确定：

• 信息系统是否遵守适用的法律、法规、合同和/或行业准则。

• 信息系统和相关流程是否符合治理标准以及相关政策和程序。

• 信息系统数据的机密性、完整性和可用性是否符合基于可衡量指标的适当水平。

• 信息系统是否实现了高效运营以及是否达到了有效性目标。

在审计流程期间，信息系统审计师会审查控制框架，收集证据并基于这些证据来评估内部控制的优缺点，然后编制一份审计报告，向利益相关方客观地报告发现以及建议的修复措施。

一般而言，典型的审计流程包括三个主要阶段（见图1.1）：

• 规划

• 现场工作/文档记录

• 报告/跟进

图1.1 典型的审计流程阶段

资料来源：ISACA，Information Systems Auditing：Tools and Techniques—Creating Audit Programs，USA，2016

这三个主要阶段可进一步细分为子阶段，例如，报告阶段可细分为报告编制和发布、问题跟进及审计收尾。只要程序和结果符合IT鉴证框架（ITAF）等适用的审计标准，就可以自行定义这些阶段的组织和命名约定。