2026年信息系统项目管理师考点答疑：IT审计的本质是什么?

信管网考友：

老师，我理解 IT 审计本质上是对 IT治理、IT风险管理和IT控制有效性 的评估工具。

书上在介绍 IT 审计技术时，举了很多具体系统和技术层面的例子(比如云计算、两地三中心)，我个人理解这些更像是 风险应对措施在技术层面的实现方式，而不是 IT 审计的核心目标本身。

所以是不是可以理解为：IT审计并不是直接“审系统”，而是通过对系统、技术和控制措施的检查，来验证治理决策和风险管理是否有效?

信管网答疑老师：

因为你用定义去解释定义，这个从字面来说，理解是没问题的。IT审计和财务审计本质上没有什么区别，用特定的技术和方法审计特定类型及范围的事务是否合规。这里面是有层级关系的，IT审计技术包含风险评估技术，风险评估(识别分析评价应对)，云计算、两地三中心都是应对可用性风险的手段，其他的风险都有自己本身的应对方式。肯定不是单纯的审系统，要看审计范围去定义，可大可小，我可以审计IT资产，也可以审计信息系统，所有多个信息系统。