听了国都兴业的技术专家的介绍，李强（备注，“本文人物均为化名”）对IT审计产品提起了浓厚的兴趣，单是“针对信息系统的安全性、符合性、可靠性和有效性进行审计”这一项，就让李强看到了IT审计产品的真正价值。

　　不过，在此之前，李强只知道有财务审计。财务审计的目标很明确，就是审查组织的财务报表，识别组织经济活动中的舞弊行为。那么，IT审计要审什么，难道是审计信息系统的？

　　答案，对，也不对。说“对”，是因为既然IT审计也称作信息系统审计，必然与信息系统有着莫大的联系，必然是围绕信息系统展开。说“不对”，是因为回答不够准确。审计作为独立于组织业务链之外的结构，监督并客观评价与业务相关的控制在设计和执行方面的效果、效率，为完善组织内控框架提供建议，确保组织的利益相关者的利益不遭受损害并能够顺利获得。

　　准确来说，IT审计需要针对IT控制的设计和执行情况进行监督及评估。

　　依据控制的设计及效果进行区别，IT控制可以分成预防性控制、检查性控制和纠正性控制。其中，预防性控制属于事前防范措施，有效部署预防性控制可以避免事故或问题发生，使危害或损失为零；检查性控制属于事中举措，在错误或事故发生的时刻能够及时对其进行识别；检查性措施和纠正性措施通常组合部署，以便在无法规避风险的条件下，采取措施使危害或损失的程度降至最低，只是，纠正性控制需要以检查性控制作为条件，二者不可分割。

　　当然，IT控制有很多不同的分类方式，例如：从普适性和针对性角度来分，IT控制可以分成一般控制和应用控制；从组织架构、基于IT控制设计和实施的相关角色的职责来分，IT控制又可以分成治理控制、管理控制和技术控制。

　　不过，不管怎样，IT控制都要满足以下四个要求：1.有效地交付可靠信息，确保安全的IT服务符合本组织的战略、政策、外部需求和风险偏好；2.保障利益相关者的利益；3.实现客户、商业伙伴和其他外部各方完成业务目标的互惠互利关系；4.适当地识别并应对威胁和潜在的情况。

　　IT审计产品作为监督评估IT控制的角色，需要在理解了IT控制的目标之后，有针对性的取证分析，做出客观的判断并向管理层汇报，同时针对不当的控制提出改进建议。

　　ISACA编订并发布COBIT（ControlObjectofInformationrelatedTechnologies）指导信息系统实施单位和IT审计人员更清晰地了解和把握IT控制。COBIT是IT管理和IT审计的最佳实践框架，将包含IT基础设施、IT应用、人员和信息四类要素的IT资源分配到信息系统生命周期的4个域、34个流程的控制中，并针对每个流程依据包含机密、完整、可靠、合规、效果、效率、可用等七个属性的业务目标分别定义了各流程的IT控制目标及活动目标。

　　COBIT建议按照业务、信息系统整体、IT流程、流程活动的顺序自上而下的对业务目标进行分解，从而确保IT目标与业务目标的关联；同时按照从流程活动、IT流程、信息系统整体、业务的顺序自下而上的进行指标的衡量，以保证及时发现并纠正IT控制中的偏差，确保IT控制与业务目标的一致性。COBIT不仅适合指导单位依据IT控制目标对IT进行管理，同时也适合IT审计人员参考进行IT控制的审核。

　　李强不禁感叹，如果自己所在的企业当初用了IT审计产品，肯定能做到有效的IT控制，让IT更好地为业务发展提供动力，也不至于落到如此窘迫的地步啊。不过，再好的产品如果使用不得当，也发挥不出真正的价值，因此，李强心中也有一个疑问：到底怎么审，才能真正有助于企业的发展？请看《走近IT审计系列之三：审之有道才是真》。