信息系統審計，是指國家審計機關依法對被審計單位信息系統的真實性、合法性、效益性和安全性進行檢查監督的活動。審計的主要目標是通過檢查和評價被審計單位信息系統 的安 全 性、可靠性和經濟性，揭示信息系統存在的問題，提出完善信息系統控制的審計意見和建議，促進被審計單位信息系統實現組織目標；同時，通過檢查和評價信息系統產生數據的真實性、完整性和正確性，防范和控制審計風險。本人就近幾年參與信息化系統審計的經歷，對審計過程中需要注意的環節做一些探討。

一、信息系統項目的選擇

對信息系統項目的選擇一般要考慮到幾點 :信息系統作為一個獨立的項目來開展審計還是把信息系統作為一個子項目來審計；信息系統項目是被審計單位的核心業務，信息系統審計與常規審計的目標一致或相關，兩者關聯密切，能夠相互補充，如醫院的收費業務系統、企業的 ERP 系統等；項目已完工結算正常運行，這樣便于對項目進行整體的審計評價；項目涉及資金量較大，涉及部門和人員較多，內部控制存在問題；信息系統項目為本地區公益民生項目，例如“金?！惫こ?、天網工程等。

二、做好審前調查，確定審計重點

審前調查是審計的重要組成部分，直接關系到審計方案如何制定、如何安排審計人員以及審計風險是否可控。審前調查的內容一 般 應 包 含 :（1） 調查了解被審計單位相關經濟業務活動所依賴信息系統的業務內容、業務流程、業 務規模、資金流和信息流等；（2）調查了解信息系統的總體框架、技術架構、業務實現流程、數據運行流程、系統功能結構、系統網絡結構和應用部署模式等；（3）調查了解信息系統建設的項目管理、投資管理、績效評估情況和文檔資料；（4）調查了解被審計單位信息化項目建設規劃和標準、基本管理制度和單位績效目標。

在調查了解的基礎上，深入分析被審計單位信息部門在該單位的職責地位以及部門人員的具體分工；項目中如何劃定信息人員、管理人員和財務使用人員之間的職責分工；被審計單位業務流程與信息化的耦合度如何；信息系統業務流程涉及的主要部門，權限分配如何；檢查被審計單位信息機房設備是否符合標準要求，數據庫等軟件的國產化程度和程序數據接口標準；單位系統和數據安全評估等級；被審計單位在財務上如何與業務數據進行對接，是否數據上保持一致；數據恢復和備份情況等。通過以上分析，關注信息系統中的一些關鍵環節、容易忽略的地方，把握整體，抓住主要問題，避免審計風險。例如審計醫院的業務系統，應該關注醫院各個部門的工作職責、整個的藥品流程、醫療項目收費流程和處方流程等。

三、審計內容和方法

信息系統審計的內容一般有應用控制、一般控制和項目管理審計。審計當中要看具體情況，內容的側重點由被審計單位信息系統來決定。簡單地說，應用控制審計包括被審計單位信息系統主要業務流程控制審計、使用系統的各類人員輸入輸出控制審計（界面交互控制）和系統網絡共享和協同作業審計，應用控制審計基本定位在系統業務流程操作控制環節；一般控制審計是從系統的整體出發的，主要是審查信息系統的規劃體系、組織架構、設備安全以及安全管理等方面；項目管理審計是指從信息系統項目建設的角度審計，主要包括項目建設的經濟性、建設過程的合規性和系統項目績效如何。通過這三項內容的審計，審計人員對整個信息系統項目就有了一個比較全面準確的把握。

信息系統審計的方法好多地方概括有系統調查法、資料審查法、信息系統檢查法、數據測試法、數據驗證法、工具測試法、風險評估法和專家評審法，基層審計機關多使用前面五種方法。前面三種方法類似我們平常的財務審計方法，檢查信息系統建設、使用和維護檔案、查看項目管理資料和現場檢查檢測等。數據測試法和數據驗證法是指采用數據媒介的方式檢測系統的 有效性 和 合 規 性 ,這里選取的數據要保證可行性和有代表性，對數據在系統流程中的各 種轉換驗證要考 慮 全 面 ,并且注重數據庫和數據接口的測試。工具測試法是利用專業的 系統工具對信息系統的物 理 環 境、安全環境和運行環境等進行測試，已確定信息系統的安全性、可靠性和高效性。風險評估法是從信息系統面臨的風險角度分析，找到當前安全水平與安全期望之間的差距，評價信息系統的風險狀況。專家評審法就是指組織有關專家或委托機構對信息系統評審。各種方法的選擇要根據審計組人員知識能力結構和被審計單位的信息系統內控情況來決定。

四、審計適用法規

信 息 系 統 審 計 目 前 還 處 在 探 索 和 發 展 階 段 ,適用于信息系統審計的法律法規、標準規范同樣也處于建設和發展完善階段。依據《國家審計準則》和《信息系統審計指南》，信息系統審計實用法規包括國家信息化規劃、國家和部門信息化法規、電子政務建設項目管理、國家信息化標準、信息系統安全保護、信息安全風險安全評估、信息系統軟件規范、行業信息系統 規范、信息系統服務、招投標和政府采購、被審計單位會計核算和財務管理等。除上述法規規范外，審計中要特別注意被審計單位所在行業對信息系統的標準要求，以及被審計單位在信息系統項目建設初期，與建設方簽訂的項目建設預期標準和后期的維護標準，這些同樣是有效的審計評價依據。