IT審計已經是對于大部分內部審計人員來說，已經是不陌生的名詞了。對于現有的內部審計人員來說，真正了解和參與過IT審計的有多少呢？那么，參與過IT審計的內審人員，又有多少發現過重大問題呢？

隨著企業組織越來越多地應用信息技術開展運營、銷售、管理，對IT控制提出了更高的要求，對IT審計也提出了更多的需求。而有IT背景的內部審計人員少之又少，那怎么開展IT審計呢，從什么地方切入呢。想必大家一定會從內部控制入手。沒錯，就是從IT控制入手。對內部控制的檢查、測試、評價，是內部審計的重要手段，也是內部審計看家的本事。那么，首先內部審計人員要了解IT一般控制都有哪些？

一、信息基礎設施、應用程序和數據庫的訪問控制

例如，審計人員需要了解：企業組織是否對信息基礎設施、應用程序和數據庫的訪問設置防火墻？是否訪問記錄是否留存？訪問記錄是否正常？審計人員還可以開展穿行測試，了解訪問控制是否存在漏洞。

二、信息系統開發生命周期的控制

一個企業組織必須按照標準化的流程，對信息系統的立項、開發、運行、完善與終止等過程實施控制。內部審計開展IT審計，要對信息系統開發周期內的各個環節實施控制檢查和測試。盡管審計人員對IT技術不夠了解，但是對諸如信息系統立項是否合理、開發成本是否有效控制、開發人員是否具備資質、開發周期是否在預算時間內等等開展檢查。

三、變更應用與管理程序模塊的控制

信息系統中，某些程序模塊的升級、變更、合并等都會影響信息系統整體的安全性和穩定性，因此，變更應用與管理程序模塊必須要有嚴格控制。

四、數據中心的物理安全控制

物理安全控制的檢查相對容易一些，例如審計人員要看數據中心的物理環境是否符合安全的條件，是否防火、放水、溫度是否合適等等。但除了這些，也有很專業的地方，例如設備的性能與環境的關系等等。

五、系統、數據備份和恢復的控制

信息技術部門一般都會有相應的操作章程來規定系統、數據備份的周期。系統、數據備份也會留下相應的痕跡和記錄。但實際操作中，是否能真正按照操作章程對系統、數據進行備份呢？曾經一位IT資深人士告訴筆者，他所在的某大型金融單位在搬遷在用的計算機設備前，還真的沒有進行按照規程進行數據備份，所幸最后設備搬遷和調試運行順利。

六、計算機操作系統的控制

很多審計人員在開展IT審計時，都是從計算機操作系統控制入手的。例如，審計人員會檢查計算機操作系統的權限設置是否合理，登陸密碼是否及時更新，是否存在一個權限不同人使用，是否離任人員的操作系統權限及時清理，等等。