要做好IT审计，可以从以下几个方面入手：

审计立项和规划

在前期了解审计的目标和范围，做好规划和准备工作。这包括了解被审计单位的业务需求、系统架构、风险状况等，以便确定审计的重点和范围。

收集信息与审查

进行数据收集与分析，包括审查文件、测试系统功能和性能、进行面谈等。确保获取充分的信息以支持审计结论。

评估风险

根据测试结果或审查结果，评估可能影响业务目标和可持续性的风险，并与相关负责人沟通。确定风险优先级，并制定相应的风险应对策略。

编写报告

编写包含风险评估和改进建议的审计报告。报告应详细记录审计过程、发现的问题、评估的风险以及改进措施，并跟踪整改情况。

使用审计工具

利用审计工具可以提高审计效率和质量。这些工具包括审计底稿、分析方法、沟通技巧、测试手段以及专门的应用软件。

访谈与沟通

与被审计单位的技术负责人和业务负责人进行访谈，了解系统的建设背景、需求、目的、实施运行情况及效果。有效的沟通能够确保审计工作的顺利进行。

技术评估与支持

评估被审计单位的信息系统在建设、项目管理和绩效等方面的表现，识别潜在的问题和改进点。利用IT审计技术，如风险评估技术、审计抽样技术等，来扩大审计成果。

大数据审计

利用大数据技术方法和工具，进行跨层级、跨系统、跨部门和跨业务的深入挖掘与分析，提升审计发现问题的能力。确保审计底稿的内容和形式满足要求，以便于后续的查阅和分析。

内部控制评估

评估被审计单位的IT内部控制有效性，包括公司层面控制（ITEC）、一般层面控制（ITGC）和应用层面控制（ITAC）。关注权限管理、变更管理、一般控制管理等关键控制点。

持续跟进与改进

在审计结束后，持续跟进整改情况，确保发现的问题得到解决，并从中学习经验，不断提高审计质量和效率。

通过以上步骤和方法，可以有效地进行IT审计，帮助组织提升信息系统的可靠性和安全性，优化业务流程，最终实现组织的IT目标。