这是一个比我认为你意识到的更大的问题——首先，主要的 IT 审计公司在这个领域拥有大量的知识产权，所以虽然你将能够找到高级文档，但你可能很难找到完整详细的文件。

从我在四大审计公司的那段时间开始，我可能看到了 300 多个特定技术审计的工作计划，并为其中的 50 个做出了贡献。时间投入相当高。

话虽如此，我绝对建议您加入ISACA（信息系统审计和控制协会），这是该行业的权威机构。ISACA 提供了大量信息，包括 CobIT 和审计指南。

（披露——我的角色之一是苏格兰 ISACA 分会主席）

您问题的传统答案是 - 在审计公司找到一份工作。这将是一个初级职位，但这就是你学习交易的方式。您将获得 Rory 提到的那种工作计划，但更重要的是，您将获得将它们应用于实际审计情况的经验。

我遇到过好的审计师，也遇到过差的审计师，好的审计不仅仅是拥有正确的软件、期刊或模板。我不知道你的硕士是做什么的，但它可能没有让你为实地审计做好准备。站在客户面前，提出问题，挖掘他们有时甚至不知道的答案。（你没有提到你的工作经验，这可能与我所知道的有关）。

只是我的 .02c。祝你好运！

您可以查看 PTES - 渗透测试执行标准站点 - http://www.pentest-standard.org/index.php/Main_Page

它正在慢慢填写，但有很多非常有用的信息。

您还可以查看开源安全测试方法手册 - http://www.isecom.org/osstmm/

作为一名执业 IT 审计师，让我从经验中为您提供答案。在我解释之前，我想说您的方法与您在问题正文中提出的问题存在根本缺陷。

需要什么软件工具

这种思维方式是错误的。进行专业审计的第一步是计划和收集有关客户的信息。您希望获得的重要信息包括但不限于：

1. 审核目标- 正在评估什么程序/过程/标准？
2. 审核的范围是什么 - 审核将涵盖哪些内容？
3. 自上次审计以来企业内的任何重大变化
4. 这些过去审计的任何结果——假设这次审计不是第一次

综上所述，审计师将进行风险评估，最终目标是确定总审计风险的水平。首先，IT 审核员了解业务/控制环境以回答以下问题 - 不完全取决于被审核方。

1. 目前有哪些流程以及它们如何运作？
2. 管理层设置了哪些控制措施来确保 IT 流程按照管理层的预期为企业工作？
3. 关于风险和遵守法律法规/公司政策的“最高调”是什么？

审核员在此阶段将使用的技术包括流程走查、管理层询问和观察。通过了解业务和当前控制，审计师可以量化总风险。总风险的组成部分包括：

• 固有风险 - 由于业务的固有性质而发生错误的可能性

• 控制风险 - 由于内部控制不力导致的错误/欺诈

• 检测风险 - 由于审计中使用的工具检测错误/异常/欺诈而无法被发现的风险。

只有在完成上述所有步骤后，审核员才会开始考虑用于完成审核的具体技术和工具。根据最初的风险评估，某些工具/技术可能不需要或不合适。

如果不执行上述分析而不违反ISACA 给出的应有注意或参与计划标准，就不可能回答要使用哪些工具。1

审核员通过检查文件、询问管理层和对已完成工作的独立验证（重新执行）收集证据来执行审核。对所有已完成的测试和发现的任何发现/观察结果进行仔细记录，以作为审计意见的基础。

完成审计后，审计师与公司管理层会面，以验证对结果的理解，并计划在下一次审计期间对任何发现进行后续测试。