信息系統(tǒng)審計流程
圖2-2是信息系統(tǒng)審計流程示意圖。

開始審計工作的準備包括收集背景信息，估計完成審計需要的資源和技巧。包括合理進行人員分工。與負責的高級經(jīng)理舉行一次正式的開始審計會議，最后決定范圍，理解特別關(guān)注之處，如果有的話，制定日程，解釋審計方法。
基于風險的審計方法
很多組織意識到技術(shù)能帶來的潛在好處。然而，成功的組織坯能夠理解和管理好與采用新技術(shù)相關(guān)的很多風險。因此，審計從基于控制（Control-Based）演變?yōu)榛陲L險（Risk-Based）的方法，其內(nèi)涵包括企業(yè)風險、確定風險、風險評估、風險管理、風險溝通。
基于風險方法來進行審計的步驟如下：
(1)編制組織使用的信息系統(tǒng)清單并對其進行分類。
(2)決定哪些系統(tǒng)影響關(guān)鍵功能和資產(chǎn)。
(3)評估哪些風險影響這些系統(tǒng)及對商業(yè)運作的沖擊。
(4)在上述評估的基礎上對系統(tǒng)分級，決定審計優(yōu)先值、資源、進度和頻率。審計者可以制定年度審計計劃，開列出一年之中要進行的審計項目。