信息系統審計，是指審計機關依法對被審計單位管理財政財務收支以及相關經濟業務活動的計算機信息系統的安全性、可靠性和經濟性進行檢查監督的活動。近兩年，武漢市審計局在城市一卡通、城市路橋收費、地鐵等項目審計中，以審計署編印的《信息系統審計實務》為指南，結合項目實際，探索了對被審計單位的業務系統及電子信息系統的結合式審計，形成了一套信息系統審計的方法模式。

一、信息系統建設期的審計內容

（一）審核審計信息系統項目從立項、工可、招投標到合同簽訂流程中的相關文件，核查系統功能是否按規劃完成。

在大型建設項目立項過程中，信息系統常常作為其中的建設內容之一列入項目。審計過程中，審計人員應仔細審查立項文件、工程可行性研究報告、初步設計等資料，了解項目的建設背景及信息系統具體承擔的業務內容，同時結合信息系統招投標資料、合同文件及項目過程性文件（如軟件需求規格說明書、軟件概要設計文檔、軟件詳細設計文檔等），明確信息系統功能實現目標及具體實現方式。通過與審計進點時信息系統實際的建設進度、已完工情況比對，核實信息系統建設內容的實現情況。

有些項目在立項、審批中沒有單獨的信息系統建設內容，審計人員要對信息系統審計的界定有明確認識，防止個別被審計單位以此為由否認信息系統審計的內容。

（二）核查合同文件的執行情況，審查有無違規簽證、補充合同等問題。

調閱信息系統相關合同文件，重點關注項目時間節點、關鍵技術細節約定、項目文檔等，可將信息系統項目執行中產生的一些過程性文檔（如概要設計、詳細設計、測試文檔等）作為審計過程中的重要技術參考。首先，核查預驗收、初步驗收、終驗的時間節點是否與合同約定一致，如有延期是否按合同條款進行賠償，各類款項是否按合同及時支付。其次，審查項目各關鍵文檔是否按約定提交，所提交文檔質量是否合格。最后，需審查系統各項功能是否按照設計實現，要關注有無補充協議，以及補充協議及設計變更內容是否包含在原主合同內。

（三）審查信息系統項目承包商及監理資質，確保開發質量。

《計算機信息系統集成資質管理辦法（試行）》規定，從事計算機信息系統集成業務的單位必須經過資質認證并取得《計算機信息系統集成資質證書》（以下簡稱《資質證書》），且建設單位應選擇具有相應等級《資質證書》的計算機信息系統集成單位來承建。在審計過程中，審計人員要在工業和信息化部門的網站上查詢承包商的資質，并與投標情況進行比對分析，核查資質不符的情況。

要將項目的類型與承包商的資質級別進行分析，注意發現問題。

二、信息系統運行期的審計內容

（一）審查被審計單位信息系統進行信息安全等級備案情況，核查是否存在安全漏洞。

《信息安全等級保護管理辦法（公通字[2007]43號）》對信息安全等級備案作出了明確規定，要求新建信息系統在設計、規劃階段確定安全保護等級；已運營（運行）的第二級以上信息系統，應當在安全保護等級確定后30日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續；新建第二級以上信息系統，應當在投入運行后30日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。審計過程中，要特別關注信息系統等級備案情況。

（二）核查信息系統日常備份及災備情況，確保系統安全有效運行。

日常備份及災備對信息系統安全運行意義重大。在審計過程中，要從常規備份及災備的建設入手，審查信息系統日常備份及災備，重點關注被審計單位的日常備份，還原及災備演練情況。對于備份還原及災備演練，若在不影響被審計單位正常工作下，可以要求對方進行現場操作。

（三）核查信息系統權限管理，保障系統安全性。

信息系統中不同的用戶應該使用不同的賬號、分配不同的權限，在實際使用過程中，由于上線測試的需要、后期管控不到位及人為的因素，存在多人使用同一賬號、開發維護公司與管理單位使用同一賬戶的情況，且該賬號一般具有較高權限。此類問題的取證一般不易獲取?？刹捎脝柧碚{查的形式，要求被審計單位信息系統管理部門人員、系統維護公司人員在同一時間同一地點分別填寫《信息科技部門崗位責任情況表》、《外部維護公司崗位責任情況表》，以此核查信息系統權限管理情況，審計安全防護措施到位情況。（具體表格內容如表1、表2）

三、信息系統數據的審計內容

（一）核查數據庫數據的準確性。

建設項目信息系統核心數據庫數據來源于各終端設備，如ETC系統、地鐵信息系統。由于交易數據量大，數據終端收集及上傳的過程尤為重要。在實際審計過程中，我們發現終端交易數據逐級上傳的穩定性、可靠性缺乏有效技術保障，人工核查機制不健全，常導致交易數據漏傳、影響整體業務數據的真實性。對于此類系統，應重點審查數據從終端到服務器的傳輸過程，核對終端數據與服務器數據，查找差異，核查系統是否存在漏洞。

（二）審查業務系統與財務數據的一致性。

當財務數據的來源為信息系統的業務數據時，首先應分析財務與業務系統的關系，理清財務入賬的依據，在此基礎上，發現財務中存在的問題。某項目審計過程中，通過分析業務數據的實際數據含義，結合財務入賬使用的業務數據口徑，發現主營業務收入記取方式有誤，被審計單位存在少計主營業務收入的問題。

（三）核查核心數據庫數據與財務數據的一致性。

重算數據庫數據并與財務數據進行核實，是核查業務數據有效性最直接的方法。通過編程重現數據收集過程，與財務報表數據進行比對分析。例如某項目審計過程中，審計人員將數據庫中存儲的票卡量與財務賬中的對比，發現異常，分析取證后發現票卡管理缺失、財務監管不到位的問題；按規則重算收入，與財務賬不一致，審核出財務賬中存在未達賬款、未轉收入等問題。