IT审计的方法包括一般方法(手工方法)和应用计算机审计的方法。一般方法主要用于对信息系统的了解和描述，包括面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等。

信息系统审计(IT审计)是为了信息系统的安全、可靠与有效，由独立于审计对象的IT审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向IT审计对象的较高领导层，提出问题与建议的一连串的活动。IT审计所关注的内容不单纯是对数据的处理，更不仅仅是财务信息，而是对组织整个信息系统的可靠性、安全性进行了解和评价，是一项通过审查与评价信息系统的规划、分析、设计、实现、运行和维护等一系列活动，以确定信息系统运行是否安全、可靠、有效，信息系统得出的数据是否可靠、准确，以及数据是否能有效存储的过程。

IT审计的任务在于站在客观公正的角度上，收集审计信息，生成审计报告，通过审计报告促成信息系统生命周期活动和成果物的改善。实施IT审计能够强化IT投资效果，提高信息系统的安全性，能够客观评价信息系统及信息系统开发，从社会经济和企业、国家信息化投资、安全等方面都具有极大的意义。

1、IT审计的主要内容

国际IT审计协会规定的IT审计的主要内容如下：

(1)IT审计程序。依据IT审计标准、准则和最佳实务等提供IT审计服务，以帮助组织确保其信息技术和运营系统得到保护并受控。

(2)IT治理。确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督实务，以达到公司治理中对IT方面的要求。

(3)系统和基础建设生命周期管理。系统的开发、采购、测试、实施、维护和配置、使用，与基础框架，确保实现组织的目标。

(4)IT服务的交付与支持。IT服务管理实务可确保提供所要求的等级、类别的服务，来满足组织的目标。

(5)信息资产的保护。通过适当的安全体系(例如，安全政策、标准和控制等)，保证信息资产的机密性、完整性和有效性。

(6)灾难恢复和业务连续性计划。一旦连续的业务被中断或破坏，灾难恢复计划确保灾难对业务影响最小化的同时，及时恢复被中断的IT服务。

2、IT审计的程序

与信息系统的生命周期相对应，IT审计的生命周期包括系统规划阶段的审计、系统分析阶段的审计、系统设计阶段的审计、系统实现阶段的审计、系统运行和维护阶段的审计。此外，在信息系统的整个生命周期中，项目管理规范、方法和执行情况对于信息系统的建设和运行起着非常重要的作用。因此，对于IT审计来说，这方面的审计也是必不可少的。

从审计学的角度来看，一个完整的审计流程(审计程序)是指审计人员在具体的审计过程中所采取的所有的行动和步骤，包括从接受审计项目开始，到审计工作结束的全部过程。IT审计过程与一般审计过程一样，分为准备阶段、实施阶段和报告阶段，如图2-4所示。

图2-4 IT审计的生命周期

准备阶段主要是初步调查被审计单位信息系统的基本情况，并拟定合理的计划。一般包括调查、了解被审计单位信息系统的基本情况，初步评价被审单位信息系统的内部控制及外部控制，确定审计重要性和审计范围，分析审计风险，制订审计方案，编制审计计划。在审计准备阶段，除了对时间、人员、工作步骤和任务分配等方面做出安排外，还要合理确定符合性测试、实质性测试的时间和范围，以及测试的审计方法和测试数据。

实施阶段是IT审计工作的核心。在实施阶段，针对被审计的信息系统，IT审计师所开展的工作可以分为三个层次，即了解、描述和测试。在审计实施阶段，信息系统规划与分析、设计与实现、运行与维护阶段的IT审计，以及对项目管理规范的审计这几个关键步骤之间并没有明确的先后次序。在实施阶段所采取的具体审计方法与系统建设的质量控制方法是类似的，例如，对于系统分析的审计，需要审核是否己详细分析组织结构、是否确定用户功能和性能需求、是否确定用户的数据需求等。

报告阶段是实质性的整个IT审计工作的结束，主要工作有包括整理、评价执行审计业务过程中收集到的证据;复核审计底稿，完成二级复核;评价审计结果，形成审计意见，完成三级复核，编制审计报告。审计报告是审计工作的最终成果，审计报告首先应有审计人员对被审计系统的安全性、可靠性、稳定性、有效性的意见，同时提出改进建议。被审计单位对审计结论如有异议，可提出复审要求，审计部门可组织复审。当被审计单位的信息系统有了新的改进时，还需要组织后续审计。

3、IT审计的方法

IT审计的方法包括一般方法(手工方法)和应用计算机审计的方法。一般方法主要用于对信息系统的了解和描述，包括面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等;应用计算机的方法一般用于对信息系统的控制测试，包括测试数据法、平行模拟法、在线连续审计技术(通过嵌入审计模块实现)、综合测试法、受控处理法和受控再处理法等。应用计算机技术的审计方法主要是指计算机辅助审计技术与工具的运用，但不能将计算机辅助审计技术与工具的使用过程与IT审计等同起来。在IT审计的过程中，仍然需要运用大量的手工审计技术。

在IT审计的实施过程中，IT审计师应该根据审计目的和实际情况，灵活运用各种审计策略，并采用高效、灵活的辅助工具。