信息系统审计流程
图2-2是信息系统审计流程示意图。

开始审计工作的准备包括收集背景信息，估计完成审计需要的资源和技巧。包括合理进行人员分工。与负责的高级经理举行一次正式的开始审计会议，最后决定范围，理解特别关注之处，如果有的话，制定日程，解释审计方法。

基于风险的审计方法

很多组织意识到技术能带来的潜在好处。然而，成功的组织坯能够理解和管理好与采用新技术相关的很多风险。因此，审计从基于控制（Control-Based）演变为基于风险（Risk-Based）的方法，其内涵包括企业风险、确定风险、风险评估、风险管理、风险沟通。

基于风险方法来进行审计的步骤如下：

(1)编制组织使用的信息系统清单并对其进行分类。

(2)决定哪些系统影响关键功能和资产。

(3)评估哪些风险影响这些系统及对商业运作的冲击。

(4)在上述评估的基础上对系统分级，决定审计优先值、资源、进度和频率。审计者可以制定年度审计计划，开列出一年之中要进行的审计项目。