1.5.1 审计目标

审计目标是指审计工作必须实现的具体目标。相反，控制目标是指内部控制如何发挥作用。审计通常包含多个审计目标。

审计目标通常侧重于确认存在能使业务风险降至最低的内部控制，并且这些控制按预期发挥作用。这些审计目标包括确保遵守法律和监管要求，以及确保信息和IT资源的机密性、完整性、可靠性和可用性。审计管理层可能会给信息系统审计师下达一个要在审计时审查和评估的一般控制目标。

规划信息系统审计时的一个关键要素是将广泛的基本审计目标转换成具体的信息系统审计目标。例如，在财务/运营审计中，控制目标可以是确保将各项交易正确记录到总账账户中。然而，如果是信息系统审计，这一目标可扩展为确保拥有编辑功能，以便检测交易编码过程中可能会影响记账活动的错误。

信息系统审计师必须了解如何将一般审计目标转换为具体的信息系统控制目标。确定审计目标是规划信息系统审计的一个关键步骤。

信息系统审计的主要目的之一是确定控制目标以及实现目标需采取的控制措施。例如，信息系统审计师对信息系统的初步审查应当确定关键控制措施。然后，应决定是否验证这些控制措施的合规性。在了解并记录业务流程、支持这些流程的应用程序/功能以及常规支持系统之后，信息系统审计师应确定关键的常规控制和应用程序控制。信息系统审计师应基于这种了解确定关键控制点。

或者，信息系统审计师也可以通过CAAT协助评估财务报告数据的完整性（称为实质性测试）。