经过反复思考，我认为它足够“系统pipe理员相关”以保证实际的答案 – 系统pipe理员有幸接触到各种行业审计标准（SAS / SSAE，PCI，ISO和其他无数的标准）和关于如何处理审计的一般性答案是我们缺乏的东西，所以这是我的一个尝试。

TL; DR版本：

1. 给自己一个适用的标准副本
2. 阅读标准。
3. 了解标准。
4. 确保贵公司的政策和程序符合要求。
5. 确保贵公司遵守其政策和程序。
6. 享受你的无汗审计。

特定于SSAE 16的材料将如此抵消。
请注意，SSAE 16与SAS 70声明一样，并不是真正的“标准” – 这是AICPA关于如何进行审计以及如何提交结果的声明。
SSAE 16审计本身还非常“一个公司做他们的程序，合同等等说他们做”的审计。 它经常像“审计怪胎”一样被抛出，但实际上并不那么可怕，而且本身对要求的要求很less。

什么是审计呢？

维基百科有一个很好的审计定义 ： 对个人，组织，系统，过程，企业，项目或产品的评估。
在我们经常涉及到的环境中，审计旨在确保组织的stream程和程序满足某些控制目标，例如确保只有授权用户才能对防火墙的configuration进行更改。

听起来很简单…那么他们要看什么呢？

如果审计工作正常进行，审计中涉及的所有内容都将在标准中进行详细说明。 如果您阅读标准，您就会知道将要审查的内容，并且可以进行自己的内部审核和审核，以确保在进行外部（“authentication”）审核之前您已符合标准。

在SSAE 16的情况下， 美国注册会计师协会颁布了“鉴证业务准则”（SSAE）。 这是您可以从他们获得的几个免费标准文件之一。

这一切听起来不错，但为什么IT参与？

指出IT不涉及的业务的一个方面。
许多（如果不是大多数实现的控件）都有一些技术基础（比如“用户使用用户名和密码login”），技术人员最终要负责这些技术。

好的，我需要准备什么样的审计？

一般来说，你需要做两件事来为任何审计做准备：

1. 您正在接受审核的标准文件。
   这实际上是任何审计的零项：审计人员必须确认贵公司是否拥有标准文件的最新版本。
   审计人员有时会忽视这一点，但是如果你试图遵守一个你没有阅读和不能提及的标准，那么这对你是不利的。
2. 合理数量的常识。
   你将需要阅读标准文件，也可以
   • 将标准的每个要求映射到现有的过程，程序或控制; 要么
   • 创build一个新的过程，程序或控制来满足要求。

这听起来还不太可怕。 为什么人们讨厌审计？

人们不喜欢审计有两个常见的原因（除了审计本身的生产力固有的损失）：糟糕的准备，或坏的审计。

糟糕的准备 – 或者“如何确保一个悲惨的审计经验”。

很多人都有审计祸的故事 – “本来应该需要一天，他们打了两个礼拜！” 我没有任何统计数据可以支持我，但是我所听到的大部分故事都可以追溯到被审计组织的准备不足。
无论是通过无知，懒惰还是资源限制，组织都未能达到一个或多个确定的控制目标（或标准的要求），而且审计人员正在通过把组织打倒在头上，向上。

例如，如果一个标准要求您阻止未经授权的用户修改生产系统，则完成此操作的一种方法是为您的所有pipe理员提供共享的用户名/密码，只有pipe理团队知道。
这当然符合这个要求，尽pipe任何系统pipe理员会说这是非常虚假的，但如果你懒惰或匆忙，你可能会实现这个解决scheme。

如果你仔细阅读标准，你可能会发现另一个条款，比如说：“生产机器上的configuration变更必须被logging下来，包括date，时间和进行更改的人” – 突然你的共享密码scheme工作了：你需要单独的可追溯的身份validation和authentication，如果你已经阅读了标准（或者认为需求通过并且使用了前面提到的常识），你就会知道这一点。

您将看到一个审计员在SSAE 16第801部分的附录B中提出的糟糕准备的例子，摘录如下：
The accompanying description states on page [mn] that XYZ Service Organization uses operator identification numbers and passwords to prevent unauthorized access to the system. Based on inquiries of staff personnel and observation of activities, we have determined that operator identification numbers and passwords are employed in applications A and B but are not required to access the system in applications C and D.

不好的审计师 – 或者“我不知道为什么，我刚刚被告知你需要做X ！”

另一方面，审计人员通常不是他们正在审计的所有领域的专家。 他们几乎可以肯定熟悉这些标准（如果他们不要求另一个审计员的话），但标准的具体应用可能超出了他们的专业水平。
审计人员不一定是系统pipe理员，要知道是否将Usernames and passwords are employed as an access control mechanism for XYZ Application这样的控制目标Usernames and passwords are employed as an access control mechanism for XYZ Application – 他们可以监视less数人使用系统，并validation每个人input用户名密码。

不好的审计人员是那些不明白可能有很多方法来实现控制目标的人（例如，使用智能卡而不是用户名和密码login），或者更差的审计人员，他们根本不明白背后的原因他们正在审计的标准 。
通常情况下，您在这里所能做的就是不同意审计师的意见（将问题提交给上司，要么证据表明您符合审计员声称您不符合的要求，要么提供证据显示审计师的要求超出了范围，本身就违反了你履行的标准）。

“失败”审计

有一些方法可以使审计失败，有些方法比其他方法更好。
这很less发生，你不应该期望它。 每一次审计都会发现一些亟待解决的问题。 这些名称有很多不同的名称 – “审计exception”，“不合格注释”和“违规”是非常常见的名称 – 但仅仅是因为存在负面的发现并不总是意味着您已经“失败” 。

对authentication的审核通常是针对具有一定性能要求的标准（可能是最着名的例子是ISO 9000系列质量pipe理标准）进行的。 审计团队完成审计结果，向authentication机构推荐authentication（或不authentication或取消authentication）组织以符合给定的标准。
执行方面的小缺陷不妨碍authentication。
例如ISO 9001要求公司build立对质量数据的定期评审。 如果一家公司说他们的生产线每30天进行一次质量检查，但实际上他们每个月的头一个月在技术上不符合他们的程序，因此在最严格的可能的情况下，他们不能authentication。
在这种情况下，通常发生的情况是审计员发出不合格通知，并build议进行“所有不合格通知的可接受纠正措施”。 然后，公司将其操作程序手册更改为“每月质量审核”，并将副本发送给审核员并获得authentication。

更大的不合格（“你说你在30天之内阅读并回复所有顾客的投诉，但是我看到你拿着这个大的邮袋抱怨，把它们烧在停车场里，甚至没有打开包裹！”）一个保证失败 – 这些东西performance出一种忽视适用标准/要求的组织文化。
这种事情通常需要全面的重新审计，以向审计人员certificate您正在认真考虑要求。

请记住，审核员也对其他人负责 – 通常是一个authentication机构。
如果他们的审计是可疑的，他们最终将失去执行的权力。

根据SSAE 16（SAS 70）的审计是“我们做我们所说的”审计。
你不能“失败”审核，因为标准是你自己的，但你可以有“重大不符合项”（这是美国注册会计师协会/审计员所说的“你失败了，因为你不做你所说的你做！ “）。
对于像我之前引用的样本段落这样的小事情，修复受影响的系统C和D以要求密码并向审核员提交证据可能足以获得修改后的审核报告，表明已经处理了重大不符合项，但是作为如果审计师对规则/要求置之不理的“组织文化”感到不满意，那么审计师就会根据具体的标准进行审计。如果没有经过全面的再审计，他们就不会同意重新发布报告就更难了。