IT审计已经是对于大部分内部审计人员来说
，已经是不陌生的名词了。对于现有的内部审计人员来说，真正了解和参与过IT审计的有多少呢
？那么
，参与过IT审计的内审人员，又有多少发现过重大问题呢
？

随着企业组织越来越多地应用信息技术开展运营、销售、管理，对IT控制提出了更高的要求，对IT审计也提出了更多的需求。而有IT背景的内部审计人员少之又少，那怎么开展IT审计呢，从什么地方切入呢。想必大家一定会从内部控制入手。没错
，就是从IT控制入手
。对内部控制的检查、测试、评价，是内部审计的重要手段
，也是内部审计看家的本事
。那么
，首先内部审计人员要了解IT一般控制都有哪些？

一、信息基础设施、应用程序和数据库的访问控制

例如，审计人员需要了解
：企业组织是否对信息基础设施

、应用程序和数据库的访问设置防火墙？是否访问记录是否留存
？访问记录是否正常？审计人员还可以开展穿行测试，了解访问控制是否存在漏洞
。

二、信息系统开发生命周期的控制

一个企业组织必须按照标准化的流程，对信息系统的立项
、开发、运行
、完善与终止等过程实施控制
。内部审计开展IT审计，要对信息系统开发周期内的各个环节实施控制检查和测试
。尽管审计人员对IT技术不够了解，但是对诸如信息系统立项是否合理、开发成本是否有效控制、开发人员是否具备资质、开发周期是否在预算时间内等等开展检查。

三、变更应用与管理程序模块的控制

信息系统中
，某些程序模块的升级

、变更、合并等都会影响信息系统整体的安全性和稳定性
，因此，变更应用与管理程序模块必须要有严格控制
。

四、数据中心的物理安全控制

物理安全控制的检查相对容易一些，例如审计人员要看数据中心的物理环境是否符合安全的条件
，是否防火
、放水
、温度是否合适等等。但除了这些，也有很专业的地方，例如设备的性能与环境的关系等等。

五、系统、数据备份和恢复的控制

信息技术部门一般都会有相应的操作章程来规定系统、数据备份的周期
。系统、数据备份也会留下相应的痕迹和记录。但实际操作中
，是否能真正按照操作章程对系统、数据进行备份呢？曾经一位IT资深人士告诉笔者，他所在的某大型金融单位在搬迁在用的计算机设备前
，还真的没有进行按照规程进行数据备份，所幸最后设备搬迁和调试运行顺利。

六
、计算机操作系统的控制

很多审计人员在开展IT审计时
，都是从计算机操作系统控制入手的。例如，审计人员会检查计算机操作系统的权限设置是否合理
，登陆密码是否及时更新，是否存在一个权限不同人使用
，是否离任人员的操作系统权限及时清理，等等。