一是應用係統授權訪問控製審計包括對係統的認證方式、授權機製、權限的分配管理以及不相容職責分離在係統中的實現情況的審計，目的在於保證經過允許的人才能訪問和操作係統。二是流程和係統完整性控製審計是對係統輸入、處理、輸出以及接口等各種係統運行規則的審計，用以保證所有經允許處理的數據均轉換到介質上並被處理，且處理的結果可通過適當的方式加以輸出，所有輸入、轉換、處理和輸出均在正常的時間內準確地進行。三是數據質量控製審計則是指對信息係統中的數據的完整性、規範性和有效性所進行的審計，旨在保證所有係統的輸出均反映為經批準的有效的經濟業務，所有經過係統的數據真實、有效，且能滿足企業各項業務的使用要求。

（3）圍繞“信息化項目”和“信息係統”，綜合評價信息化建設的效益。在開展整體計算機控製審計和應用控製審計的基礎上，廣州地鐵從企業經營和投資效益的視角出發，在信息係統審計中引入了3E審計的概念，嚐試對信息係統建設項目的成效、建成後係統的應用效能以及信息化對戰略的支撐效果進行審計。為了全麵評價項目，廣州地鐵通常將對單個信息係統建設項目的合規性審計與項目效能審計結合在一起開展。

一是信息係統建設成效審計旨在通過對係統建設全過程的審計，促進信息係統的建設規範性，提高信息係統建設的質量。二是信息係統應用效能審計包括對業務需求的實現情況、建成功能的使用情況的審計分析，以及對係統應用對業務管理規範化、標準化和精細化提升作用的綜合評價，目的在於促進係統使用價值的最大化，減少係統建設的投資浪費。三是戰略支撐效果審計是從支持戰略實現的角度，評價信息係統的建設效益，保證信息化建設在符合業務管理要求的同時，符合公司戰略的需要，支持公司戰略的實現。

四、信息係統審計實施步驟

信息係統審計步驟（或流程），是審計工作從開始到結束的整個過程。信息係統審計流程一般可劃分為四個階段：計劃階段、實施階段、報告階段和後續階段。計劃階段是信息係統審計流程的起點，此階段的主要工作包括了解被審計係統的基本情況，初步評價被審計單位信息係統的內部控製和外部控製，識別重要性和編製審計計劃。實施階段是根據計劃階段確定的審計範圍、重點、步驟和方法進行有針對性的取證、評價，並形成審計結論的過程。實施階段是信息係統審計工作的核心，主要由符合性測試和實質性測試兩個部分構成。在報告階段，信息係統審計人員需運用專業判斷，整理、評價收集到的審計證據，以經過核實的審計證據為依據，形成審計意見，出具審計報告。審計報告的出具並不意味著信息係統審計工作的終結。根據國際信息係統審計標準，信息係統審計人員對於係統中發現的重大問題和漏洞，需要對被審計單位所采取的糾正措施及其效果進行後續審計。審計人員需要將後續審計納入計劃，並安排必要的人員和時間進行後續審計。

廣州地鐵IT審計模塊成立之初，即明確了IT審計“對公司的係統流程與控製、項目進行審計”和“提供有益於增加公司價值的谘詢服務”兩項核心職責，並圍繞公司戰略，以“風險導向”、“服務戰略”理念為指導，從信息係統審計戰略規劃和具體項目執行兩個層麵分別製定信息係統審計的流程。

1、以公司戰略為導向，製定信息係統審計的戰略規劃

一直以來，廣州地鐵奉行“源於戰略、服務於戰略”的現代審計理念。這一理念主要體現在兩個方麵：一是在製定內審工作計劃時，從公司戰略出發，製定各個內審業務及各專業審計模塊的戰略，並以業務戰略為指導，開展具體的審計工作；二是在開展審計項目的過程中，始終從保障公司戰略執行的角度去發現問題、評價問題，提出整改意見和落實整改。信息係統審計的戰略規劃來源於公司的戰略，以及以公司戰略指導製定的公司信息係統戰略規劃和內部審計業務戰略規劃；同時還須結合公司信息化現狀和IT審計模塊定位，明確廣州地鐵IT審計發展戰略目標。

2、通過風險評估，確定各信息係統風險等級，製定層次分明、重點突出的信息係統循環審計計劃

為利用有限的審計資源掌握公司主要信息係統的建設、運營情況，保障信息資源的有效利用，降低公司信息係統的整體風險，廣州地鐵建立了一套“根據信息係統風險評級製定差異化的審計策略”。

（1）梳理信息係統脈絡，全麵掌握信息係統現狀。廣州地鐵結合信息係統規劃、建設和運營的情況及係統分類梳理出被審計信息係統清單，並從係統構成要素的角度收集係統相關的信息。這些信息包括係統名稱、功能模塊、采用產品等基本信息，以及項目的建設信息、係統的使用狀況和運維的基本情況。這些信息是風險評分的依據，也為後續開展具體審計工作時確定審計方案提供了指引。

（2）開展信息係統風險評級，製定風險導向型審計計劃。內審人員從通用風險、業務風險、項目風險、係統風險、數據風險和人員風險六大風險類別出發，全麵識別信息係統各類構成要素中存在的風險；對信息係統進行風險評價，根據風險得分將信息係統按優先級分別劃分為高、中、低三類。結合公司IT審計資源的情況，對優先等級高的係統采用三年一審策略，中等級係統5—6年一個審計周期，風險等級低的係統則根據需要安排審計。在此審計策略的基礎上，再綜合考慮公司業務的十大風險、領導關注事項、上一年度內控評價結果和審計項目成果、公司新一年的工作重點、公司信息係統的變動情況，並製定出本年度的信息係統審計計劃。

3、以風險為導向，開展信息係統審計

在項目實施階段，審計人員必須從公司整體信息係統控製環境和被審計係統的狀況、流程與內部控製兩個方麵進一步收集被審計係統的相關資料，了解和確認被審計單位已建立的內部控製措施，並對這些控製措施的設計是否達到控製目標進行評估。

（1）以“輪流循環+以點帶麵”的方式開展整體計算機控製審計。公司的信息化業務采用統一集中管理的模式，整體計算機控製對各個係統具有一定的通用性。因此，在實務操作中，廣州地鐵采用“以點帶麵”的策略，以單個信息係統整體計算機控製為切入點對整體計算機控製進行審計，評價整體信息係統的安全性；同時，考慮到信息係統在一定時間內相對穩定，因此在實施整體計算機控製審計時可采取輪流測試的方式，即每年從十個子流程中選取幾個進行測試，經過一定周期後，完成對整體計算機控製的全麵審計。例如，在2011年開展的信息安全審計項目中，審計人員就圍繞信息安全這個審計主題，從十個子流程中選取了與信息安全直接相關的信息係統操作、信息係統安全、業務可持續計劃、應用係統開發與實施、數據庫開發與實施和係統軟件支持等六個流程進行審計。分步、循環開展整體計算機審計，在審計風險可控的情況下，大大節省了審計資源，也使得審計人員能夠更加深入地挖掘和分析整體計算機控製方麵所存在問題以及問題的成因，提出更為切實可行、同時又符合公司信息化業務發展現狀和要求的整改措施。

（2）以風險為著眼點，確定應用控製審計重點。應用控製是各個信息係統內部所建立的控製機製，應用控製審計必須針對某個具體信息係統開展。在開展應用控製審計的過程中，審計人員應緊緊圍繞“風險”這個著眼點，通過對原有業務成熟度和係統建設過程中風險的評估，選擇不同的審計側重點開展應用控製審計。例如，在合同管理係統審計項目中，由於合同管理係統是全新開發的係統，審計人員經分析，判定係統在應用係統訪問控製方麵的風險較高。而在進行控製評估和測試後，審計人員發現業務人員在創建係統權限設置機製時完全套用了公司辦公自動化係統的權限機製，而未針對合同業務流程中不同於公司組織架構下的角色設立相應的用戶組，導致係統無法實現合同經辦人與審批人職責的分離，存在重大的內控風險。

五、信息係統審計方法

在信息係統審計中，可因地製宜，綜合運用多種學科的技術方法，包括：傳統審計中內部控製測評的基本方法和審計取證的基本方法（包括審閱、核對、監盤、觀察、查詢、函證、計算、分析性複核）；計算機科學的技術方法，如數據測試法、程序編碼審查法、受控處理法、受控再處理法、整體測試法、平行模擬法、程序比較法、漏洞掃描、入侵檢測、嵌入審計程序法等等；行為科學的技術方法，如運用組織發展的理論與方法、個體行為一般規律的理論和方法。這些方法與技術並不是孤立的，而是互相聯係的。

目前，廣州地鐵在信息係統審計中所運用的方法仍主要集中在傳統的內控審計方法和信息係統管理的技術方法兩個領域，具體包括詢問、觀察、文件複核、抽樣、重新執行、使用計算機輔助軟件等。在部分項目中，也采用了一些計算機科學的技術方法。受限於審計資源不足，廣州地鐵較少采用程序比較法、平行模擬法、程序編碼審查法等高成本的審計方法，而傾向於選用一些較為高效的測試方法。但這些高效方法的運用不能完全消除審計風險，這就需要審計人員根據自身的經驗盡量避免。