审核员检查组织以确定它们是否符合特定标准或法规。他们根据证据做出调查结果，这些证据通常由组织应审核员的要求直接提供。他们通常独立于他们审计的组织。

在安全审核的情况下，审核员可能会寻找证据证明组织具有安全策略，该策略足以根据标准保护它们，并且组织遵循它。该政策将说明要遵循的做法，例如要求代码审查。审核员自己可能不会进行代码审查，但他可能会寻找证明组织确实进行代码审查的文档线索。该标准还可能要求每年进行一次渗透测试，他将检查渗透测试人员制作的文件。他还可能会与渗透测试公司核实，以确保该组织在进行渗透测试时没有撒谎。如果他没有看到此类文档跟踪，他会发现该组织不合规。

审核员无法验证组织是否安全。他只能发现一个组织似乎正试图以一种安全的方式运作。

对于外部独立审计师，由于专业独立性的要求，请忽略以下信息

我是一名 IT 审计员。上述答案表明，IT 审计员的一项主要职责是验证公司管理层实施的 IT 流程的合规性。但是，IT 审计员的另一项职责（传统但可能因公司而异）是 IT 风险评估。

从这个意义上说，IT 审计员是管理顾问。他/她不是告诉管理层 IT 的缺点是什么，而是帮助管理层回答这些风险与 IT 相关时对业务构成的风险是什么？他或她还可以协助解释为减轻这些风险而应采取的一些保障措施（控制措施）。

在从“以合规为中心”的方法转向 IT 审计时，合规缺陷通常是由更大的问题引起的，例如高层基调松懈或 IT 流程设计不当。在我的工作中，我非常希望看到对适用法律、法规和公司政策的遵守情况，我的工作通常不仅仅是简单地“检查框”是否合规。我试图认为自己不仅仅是执行管理层制定的规则。IT 审计员和其他信息安全专业人员通常不被视为公司管理的“增值”，因为他们只与指出错误有关。通过头脑风暴解决方案增加价值也可以被视为 IT 审计员的角色。

审核员的工作主要是基于面试，而渗透测试员则有更多的“动手方法”。IT 审核员主要要求被审核方向他提供某些可交付成果。这些可交付成果可以是说明如何实施 IT 流程的文档、配置文件、HVAC 维护报告……。然后，IT 审核员将此 IT 流程与标准或配置文件与基线进行比较。

然后，他将与相关人员进行几次面谈，看看是否确实尊重了相应的流程。

作为逻辑访问的示例：审核员将检查 Joiners/Movers/Leavers。这些是人：

• 谁加入公司
• 移动需要不同类型访问的位置
• 谁离开公司

这是他将向人力资源部门询问的清单。如果出现以下情况，他将检查样本：

• 加入者获得了其权限所需的权限
• 搬家人的旧权利被撤销（因此他不能叠加权利并陷入他的职责不相容的情况）
• 离开者的权利被撤销

审核员主要查看是否正在使用流程以及是否遵循这些流程。

审核员验证解决方案（例如应用程序、基础设施等）是否符合指定的标准/法律。