开展信息系统审计的关键有两点：一是可靠性，二是安全性。

审计署驻南京特派办吴笑凡

目前对信息系统审计没有一个固定的定义，学术界主要有ISACA国际信息系统审计协会）和Ron Weber（美国信息系统审计的权威专家）两派观点，他们认为信息系统审计的目标被评价为两个方面是否成功：一是保障资产的安全和系统的完整，二是经济有效地使用资源。
　　信息系统审计的主体有很多，不同的实施主体有着不同的职能、定位和侧重点，ISACA主要体现专业咨询机构和内部审计机构的观点，并不完全适用于政府审计机关。以政府审计机关为主体的信息系统审计指的是审计机关对被审计的单位信息系统进行独立监察和监督，评价其对财政财务收支及有关经济活动的影响程度，并以此作出审计结论，提出针对性的审计结论，以促进信息系统产生正面影响。
　　《审计署2008至2012年审计工作发展规划》指出，要探讨符合中国国情的信息系统审计，逐步加大对信息系统审计的力度，关注信息系统的可靠性和安全性，维护被审计单位和国家的信息安全。这其中的关键有两点：一是可靠性，二是安全性。我们的目标是树立被审计单位完善信息系统的控制，防范业务风险，加强信息系统的运行管理，规范业务的行动。
　　在信息系统审计实践过程中，审计前调查时会采用一些传统的做法，但是在信息审计测试和评估部分既做了一般控制，也做了应用控制。一般控制是通用的，可以包括IT组织安全、一般操作等方面，主要关注点是安全方面。
　　在审计过程中，通常采取源代码检查法、平行模拟法、流行图检查法、测试数据法、数据回归测试法等几种方法。而多年的信息系统审计经验告诉我，这是一个需要不断完善、不断发展的过程，随着国家信息化程度的提高，这些工作非常必要。
　　在信息系统审计方面，应该立足自身，勇于实践和总结。在理论指导下学习国外的东西，总结自己的经验，同时要量力而行，这样才能实现审计的免疫系统功能。

（中国会计报）