IT审计已经是对于大部分内部审计人员来说
，已经是不陌生的名词了。对于现有的内部审计人员来说，真正了解和参与过IT审计的有多少呢？那么
，参与过IT审计的内审人员，又有多少发现过重大问题呢？

随着企业组织越来越多地应用信息技术开展运营、销售、管理
，对IT控制提出了更高的要求
，对IT审计也提出了更多的需求。而有IT背景的内部审计人员少之又少，那怎么开展IT审计呢，从什么地方切入呢
。想必大家一定会从内部控制入手。没错，就是从IT控制入手
。对内部控制的检查、测试、评价，是内部审计的重要手段
，也是内部审计看家的本事。那么
，首先内部审计人员要了解IT一般控制都有哪些
？

一、信息基础设施

、应用程序和数据库的访问控制

例如，审计人员需要了解：企业组织是否对信息基础设施
、应用程序和数据库的访问设置防火墙？是否访问记录是否留存？访问记录是否正常？审计人员还可以开展穿行测试，了解访问控制是否存在漏洞
。

二、信息系统开发生命周期的控制

一个企业组织必须按照标准化的流程，对信息系统的立项、开发、运行、完善与终止等过程实施控制。内部审计开展IT审计，要对信息系统开发周期内的各个环节实施控制检查和测试。尽管审计人员对IT技术不够了解
，但是对诸如信息系统立项是否合理、开发成本是否有效控制
、开发人员是否具备资质

、开发周期是否在预算时间内等等开展检查。

三、变更应用与管理程序模块的控制

信息系统中，某些程序模块的升级、变更
、合并等都会影响信息系统整体的安全性和稳定性，因此，变更应用与管理程序模块必须要有严格控制。

四、数据中心的物理安全控制

物理安全控制的检查相对容易一些，例如审计人员要看数据中心的物理环境是否符合安全的条件，是否防火、放水

、温度是否合适等等。但除了这些，也有很专业的地方，例如设备的性能与环境的关系等等。

五
、系统
、数据备份和恢复的控制

信息技术部门一般都会有相应的操作章程来规定系统、数据备份的周期。系统
、数据备份也会留下相应的痕迹和记录。但实际操作中，是否能真正按照操作章程对系统、数据进行备份呢？曾经一位IT资深人士告诉笔者，他所在的某大型金融单位在搬迁在用的计算机设备前，还真的没有进行按照规程进行数据备份
，所幸最后设备搬迁和调试运行顺利
。

六
、计算机操作系统的控制

很多审计人员在开展IT审计时
，都是从计算机操作系统控制入手的。例如，审计人员会检查计算机操作系统的权限设置是否合理，登陆密码是否及时更新
，是否存在一个权限不同人使用，是否离任人员的操作系统权限及时清理
，等等。