审计署在《2008-2012年审计作业开展规划》中提出，要“全面进步计算机技术使用水平，活跃探究联网审计和信息体系审计”。近年来，各级审计机关依据规划要求，高度重视信息体系审计，在税务、医保、金融、企业等范畴活跃测验展开了信息体系审计，在完善信息体系办理制度，进步信息体系运转功率，加强信息体系安全性等方面提出了针对性主张，堆集了信息体系审计的思路和办法。但一起，咱们也清醒地认识到，信息体系审计进入我国的时刻尚短，还没有一套完好的审计理论去辅导审计实践，审计实践还处于“摸着石头过河”的阶段，作业中还存在许多困惑。下面，笔者结合参加相关项目审计的作业实践，对怎么展开信息体系审计谈一些个人观点。

  国家方针标准了审计目标所从事事务的行为及内容，而信息体系是反映审计目标所从事事务的详细行为及内容的重要载体，所以，从方针的视点展开信息体系审计，一方面能够查看被审计单位是否严厉依照国家方针展开事务；另一方面，也能够查看国家方针在详细履行进程中是否存在缝隙，有利于完善国家方针。依照上述审计思路，在对某商业银行个人借款信息体系审计进程中，审计人员依据《轿车借款办理办法》中第二十二条 “借款人发放自用车借款的金额不得超越借款人所购轿车价格的80%；发放商用车借款的金额不得超越借款人所购轿车价格的70%”的规则，查看个人自用车借款功用及个人商用车借款功用时，发现该行人为将借款利率在80%的个人商用车借款客户信息记录到个人自用车借款功用中，躲避《轿车借款办理办法》中的有关规则，为银行获取单位利益的一起，国家方针的履行也流于形式，方针作用难以完成。

  完善信息体系办理制度是确保体系安全有用运转的重要条件，对信息体系办理制度审计是完善信息体系办理制度的重要手法，而信息体系办理制度首要环绕信息体系的组成部分及相互联系拟定，因而，要展开信息体系办理制度审计应首要澄清信息体系的组成部分，以及它们之间的联系。信息体系由体系硬件、体系软件，体系人员三部分组成，这三个部分通过信息交互、人工交互等方法构成一个完好的信息体系。因而，咱们能够依照上述三个方面展开信息体系审计，首要审计体系硬件相关的办理制度，首要包含：体系硬件安全运转机制、体系应急机制，体系硬件更新筛选机制，首要查看体系硬件运转环境是否装备防水、防火、防电，防磁等安全设备；是否装备UPS电源等体系应急设备；是否制定体系应急预案，并进行相关演练；是否依照硬件使用寿命有方案的筛选硬件设备引入新硬件设备等方面；然后，审计体系软件运转的办理制度，包含体系软件运转的安全机制、体系灾备机制、体系软件开发文档办理，操作口令办理等方面，首要查看体系运转环境是否安装了防火墙、杀毒软件等防护软件；体系开发文档是否健全；是否制定灾备方案等;最终，审计体系人员办理制度，包含体系身份认证办理、操作口令办理、人物权限分配办理等方面，首要查看进入体系硬件运转环境是否通过身份认证；操作口令是否过于简略；不同功用的人员是否具有不同的人物权限等。如在某省新农合信息体系审计进程中，审计人员依照上述审计思路对该省新农合信息体系的硬件、软件，人员办理制度进行审计，发现该省新农合信息体系硬件运转环境恶劣，无防潮、防火、防磁设备，未装备UPS电源，地上未铺设防静电地板；体系服务器机房为共用机房，多人配有机房钥匙，无法避免无关人员进入机房触摸服务器；未施行备份机定时备份且未完成数据异地备份存储；体系登录口令过于简略等办理问题。这些问题导致体系的信息安全难以得到确保，有关内容一旦外泄，个人信息有被不法分子使用的或许。

  首要事务流程是信息体系的运转中心，它的好坏将直接影响整个信息体系运转质量。加强对首要事务流程审计，完善首要事务流程操控，关于进步信息体系运转功率，确保体系运转安全性具有十分重要的含义。对信息体系首要事务流程审计应侧重重视体系输入、体系处理、体系输出，参数设置这四个环节，其间，体系输入环节，首要审计体系是否树立必要的输入操控，能否确保进入体系的信息契合体系要求，到达正确有用。如，输入到体系的身份证号码要契合18位、15位的特征；在体系处理环节，首要审计体系是否树立必要的逻辑操控，能否确保处理进程的正确性。在体系输出环节，首要审计体系是否树立必要的输出操控，关于反映同一内容的不同体系功用模块，能否确保输出成果的一致性；最终要重视体系运转参数设置是否合理，能否满意体系的运转要求。依照上述审计思路，审计人员在对某省新农合信息体系审计中，发现该省新农合信息体系体系输入操控、体系处理操控、体系输出操控方面存在多个问题，如身份证号码大于18位或小于15位或为空的信息共有39236条，参合办理模块和计算查询模块汇总出的参合家庭数和参合人员总数不一致等状况。这些问题反映了被审计信息体系的信息质量不高，也存在安全缝隙和危险。

  总归，展开信息体系审计要从多个视点下手，从不同的旁边面反映信息体系潜在的危险，逐渐完善体系的各项办理制度，进步信息体系运转的安全性、功率性，充分发挥审计“免疫体系”功用。一起，多视点下手，也是现阶段信息体系审计立足于国家管理，从探究阶段不断堆集标准逐渐开展成老练审计形式的可行途径。（马春色）