（一）確保IT能夠支撐和拓展公司的戰略和目標

 

　　信息系統審計是近幾年非常熱的一個話題，那么信息系統審計是審計什么呢，它是審計公司信息化對公司整體戰略的支持程度、IT戰略和公司總體戰略的匹配程度、對公司業務發展的支持程度、對企業內部組織流程和業務流程所產生的影響、能否促進企業業務系統效率的提高等等。總之，企業的信息化建設是為公司的戰略和業務發展服務的，因此可以通過信息系統審計發現企業信息化存在的問題，保持IT與業務目標一致，推動業務發展，促使收益最大化，以確保組織信息系統的發展能夠始終沿著正確的方向進行，確保企業的總體戰略目標的實現。

 

　　（二）借鑒公認的模型工具更全面和精細的管控企業的整個運營過程

 

　　當前國際上關于信息系統審計的模型雖然還沒有一個比較通用的標準，但各種不同的信息化評估模型都采用了COBIT、ITIL（BS15000/ISO20000）、ISO/IEC17799、IT項目管理以及平衡記分卡等工具模型的精髓，因此，其評估模型的周衍性、權威性和合理性也得到了保證。其中，COBIT模型目前已成為國際上公認的IT管理與控制標準，其次和IT治理的相關管理標準還有ITIL（BS15000/ISO20000）、ISO/IEC17799、IT項目管理、信息系統工程監理等。其中COBIT覆蓋整個信息系統的全部生命周期，其范圍最大；ISO/IEC17799這套管理標準更側重IT應用過程的信息安全；ITIL這套標準優勢是在運營維護階段；信息工程監理則是最具有中國特色的標準，它能夠通過專業的、全過程的監督和管理來規范企業信息化工程的建設，達到增強企業對信息化工程建設內部控制的目的，其偏重于信息化建設階段。這幾種可以一起整合實施，來達到提升公司IT內控能力的目的。

 

　　（三）通過對企業信息系統審計來規避企業內部存在的風險

 

　　作為企業提升自身的內部控制能力，就是要對風險進行更有效的控制。信息系統審計能夠對信息系統的應用狀況和綜合績效狀況進行全面的評估，因此，信息系統審計所包含的內容要大于信息系統治理所涵蓋的內容。

 

　　由于信息系統審計所包括的范圍非常的廣泛和全面，如果我們只是想借助其促進企業內控水平的提升，那么我們應該加強其有關信息化風險控制方面的指標，適當弱化和刪除其他方面的指標，以此來達到應用的目的。

 

　　由于信息系統審計本身更強調評估，是客觀、真實地反映企業信息化當前的狀況，暴露出其中存在的問題。如何更好的去解決這些問題，如何更有效的規避風險還是要靠人自身來想辦法解決，則是我國信息化咨詢行業下一步的著眼點。當然，任何一種方法或工具都不是萬能的，有它的優勢和局限性，我們只有抓住問題的實質，運用適當的方法和工具才能夠有效的解決它。

 

　　對企業來說，改善其內部控制水平，就是借助這些大家公認的模型，通過設計、實施、維護和監控內部控制和風險管理體系，尤其是對IT 的控制，發現自身存在的不足，幫助企業建立起完善和細化相關的流程和制度，以確保公司所有業務策略、規程和業務流程都在自己的掌握之中，并且在合法合規的軌道上運行。

 

　　參考國家審計署2003年第5號令《審計機關內部控制測評準則》中第五條規定，進行內部控制的評測一般分為下列四個步驟：

 

　　1、對內部控制進行調查了解；

 

　　2、對內部控制進行初步評價，評估控制風險；

 

　　3、對內部控制的執行情況進行符合性測試；

 

　　4、提出內部控制測評結果，并利用測評結果確定實質性測試的范圍、重點和方法。

 

　　在信息系統環境下，對信息系統內部控制的評測，即信息系統審計可以通過下列方法實現上述步驟：

 

　　（一）對內部控制情況進行調查了解

 

　　調閱被審單位關于計算機信息系統的各項管理制度和相關文件，對內部控制的健全性和合理性初步了解。