1. 制定详细的审计计划（Audit Plan），比如，目标、审核范围、工作计划、程序。审计计划包括工作系统的3个主要审核任务如下：

​

根据ISO/IEC 27001:2013 信息安全管理系统 (ISMS) 的关键控制，信息技术一般控制 (ITCGs) 的审计范围包括以下内容：

• 制定战略计划和预算

• 风险管理

•  绩效衡量的评估

• 报告政策和遵守情况

​

信息应用性控制 (IT Application Controls) 审计将仅进行在应用程序系统中设计的控制中审计，系统由自动化程序控制

   (Automated Controls)。

• 访问控制（Logical Access Controls）

• 自动化工作流程规则（Automated Work Flow Rules），例如PR/PO审批工作流程

• 预定义值的验证 （Field entries being enforced based on predefined values），例如 信用额度自动检查、自动过账配置、价格差异容忍度限制 (Tolerance Limit)

• 自动计算 (Automated calculations)，例如 销售价格计算， 原材料和货物成本的计算

 

为了肯定组织在信息技术领域有充分和适当的措施来保护个人信息，进行个人数据保护法审计 (Personal Data Protection Audit) ，审计的范围包括以下内容 ：

• 制定个人数据保护政策（Privacy Policy）和隐私声明（Privacy Notice）

• 维护个人数据处理活动的记录

• 数据保护影响评估

• 个人信息处理中的同意与同意撤回（包括 Cookie 同意）

• 数据主体权利的管理 

• 保留期届满后，或不再相关，或超出收集个人数据的必要性，或根据数据主体的要求，或数据主体撤回同意的情况，个人数据将被删除、销毁或使个人信息无法识别个人身份。 

• 个人数据泄露事件的管理

• 数据控制者和数据处理者之间的协议 (Data Processing Agreement)

​

2. 根据第1项审计范围，进行审计信息技术工作，比如 信息技术控制审计，系统专项控制审计和个人资料保护审计

3. 审计结束后，跟组织的员工和管理层开会并总结审计结果。为了确认检测到的问题的正确性或找到解决问题的方法，准备结果的审计报告草案（Draft Audit Report），包括的内容是结果，风险、影响和改进建议。

4. 为了提高组织运行的改进，准备一份完整的审计报告 (Final Audit Report)，将该报告提交给审计委员会，还有提出建议和回答审计委员会的问题和讨论。