李强（备注，“本文人物均为化名”）的担心不无道理。要知道，一款产品能否真正发挥作用，除了产品本身具有优良品质之外，更主要的在于产品的使用者是否真的明白产品的价值，是否会把它与自己的网络环境、应用环境、人文环境真正地匹配好。

　　国都兴业技术专家同样认为，要想真正做好IT审计工作，除了选择好的产品，还必须找到懂IT审计的人。

　　为了使审计结论最大限度地接近被审计信息系统的真实情况，审计师应该尽可能地减小审计风险，但审计力度直接影响评估IT控制的准确度，审计力度越大，取证量越多，控制风险的误差越小，但是审计风险同时增大。因此，审计师需要有足够的经验在审计风险和控制风险中取得平衡，选择合适的审计取得强度，以确保人为因素对剩余风险的影响控制在被审计单位的风险容忍度范围内。

　　事实上，IT审计是一个对从业者无论知识技能还是实际经验，要求均非常高的专业领域。我们知道，信息系统本身具有很强的复杂性，当把多个复杂的对象糅合在一起，其结果势必像一团乱麻，因此要求梳理这团乱麻的人必须具备足够的素质才能获得期望中的结果，否则，结局只会是使眼前复杂的问题变得更加复杂。因此，IT审计师必须具备专业的能力和良好的素质，具备CISA资格认证，才能针对审计对象做出合理有效的评价。

　　IT审计要求审计师必须以独立客观的身份执行审查。独立客观，强调IT审计师执行某项IT审计任务时，必须与被审计信息系统不存在任何的利益关系，既包含不参与（包括不曾参与）信息系统生命周期的有关活动，也包含不涉及被审计信息系统的业务和经济利益。

　　原因很简单，IT审计师作为第三方人员，负责检查信息系统情况，具有比较大的权限，如果IT审计师与信息系统业务有关，则无法排除IT审计师利用其拥有的高权限，对业务信息进行修改，或者隐藏系统中的部分漏洞，以便窃取机密为自己谋利……这一系列行为的发生，哪怕只是发生其中的一件，也足以让企业蒙受巨大的损失。

　　当IT审计师以不独立于被审计对象身份执行审计任务时，带给被审计组织的价值就会发生变化，不但无法保证其针对信息系统使用和维护过程中相关控制有效评价，促进组织管理结构和控制框架完善，而是组织产生高系数的IT风险。

　　解决了心中所有的疑团，为了避免再次发生核心信息被窃的现象，为了找出更多的系统漏洞和被忽略的角度，李强已经决定使用IT审计产品了。

　　国都兴业专家最后提醒您：“如今，信息系统已经渗入到企业业务流程的各个环节，信息系统的安全、可靠、效果和效率直接决定着业务发展的速度，任何一个环节的错误或失败，都可能给企业带来巨大的经济损失，甚至给企业带来灭顶之灾。因此，信息系统生命周期内任何一个环节以及系统各个层面上的IT控制在设计和执行上的安全性、可靠性以及效果效率都至关重要，IT审计工作的开展也刻不容缓！”