置身于信息时代，不管你喜欢与否，信息技术都是提高企业生产力的重要手段，每个企业都应该做好定期进行IT审计的准备。

　　推荐10个创造性的方法，最大限度利用你的IT审计开支，提高IT技术使用效率，防范系统安全风险。

　　1、用最佳实践完善制度和流程
　　审计公司的客户数量成千上万，他们了解最新的技术趋势、最佳实践以及合规性的要求。在很多情况下，这些公司制定了制度和流程模板，当你与他们合作的时候，他们愿意与你分享。这会简化你自己的制度和流程制定程序，因为一开始你就从审计师那里拿到了通用的“最佳实践”模板。

　　2、提高你的非正式审计能力
　　如果你希望提高你自己的内部审计能力，那么一个良好的开端就是，让你员工中那些负责审计的人直接在现场与审计公司工作。这是让你的员工获得最佳实践培训和知识的绝佳方法。

　　3、了解新的安全威胁和安全技术
　　你的外部审计公司深谙新的和即将出现的安全威胁，以及如何应对这些威胁。花一些时间和他们就这些问题进行交流，这将是很宝贵的。

　　4、与其他小公司分享审计费用
　　审计是很昂贵的，尤其当你是一家小公司的时候。降低开支的途径之一，就是与其他那些面临相同处境的小公司合作，看看你们是否可以达成一揽子协议，从审计公司那里获得折扣价，以换取跨多个公司的约定。

　　5、将审计建议与厂商SLA审查和谈判联系起来
　　很少有企业有时间去升级他们与厂商签订的SLA，因为技术和行业趋势是不断变化的。最佳的SLA策略是每年定期审查与关键厂商的SLA，在需要的时候对SLA进行更新。你的审计人员是在这个流程中贡献意见的极好人选，因为他们平时会看到很多不同的公司和供应商。

　　6、利用审计建议实现对数据保留和数据获取合规的定期审查
　　每年重新检查数据保留和数据访问策略对于与最终用户打交道的IT来说是最难的事情之一。主要原因是人们都很忙，审查信息存储多长时间、或者谁访问了这些信息，并不是高优先级的事情。然而，如果你让审计员来审查数据保留/数据访问并提出建议的话，那么这个事情至少要每年都做，而且是他们必须要做的，这样你会在提交给公司董事会以及高层的最终报告中了解各项需求。

　　7、分清数据、报告和系统的“休眠池”
　　因为IT审计会调查数据存储和控制点，所以审计是找出哪些数据或者IT资源(例如报告或者系统)是休眠的/未使用的理想机会。利用这个机会建议根据审计报告的结果去清理这些资产。

　　8、审计现场办公
　　让现场办公数据和安全做法符合法规，要比在总部做这些难得多，因为这些办公环境远离最新控制机制。作为审计的一部分，你将需要把多这些办公环境的审计也包括其中，确保你在现场办公条件下对IT的管理是和在总部一样的。

　　9、邀请你的审计员向董事会就审计与安全趋势进行报告
　　让审计员来向董事会汇报可能是令人崩溃的，但是这个向董事会提出安全难题的机会是非常关键的。这将会为你未来可能需要向董事会呈现的合规性和安全/隐私问题铺平道路。

　　10、向法律顾问简要介绍审计结果
　　法律的步伐总是滞后于技术的。如果你的审计员向你汇报了新的合规性、隐私、安全趋势和安全法规，一定确保不仅与你的员工、董事会以及高层分享了这些信息，而且还有你的法律顾问。

摘自：https://zhuanlan.zhihu.com/p/145301118