信息系统审计对象，包括操作系统、主机、网络、数据库、应用软件、数据、管理制度等。信息系统审计内容最重要的包含对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的检查和评价。

  内部审计人员应当关注组织的信息技术战略规划与业务布局的契合度、信息技术治理制度体系建设、信息技术部门的组织架构、信息技术治理的相关职权与责任分配、信息技术的人力资源管理、对用户的教育和培训等方面。

  内部审计人员应当关注组织在风险评估总体架构中关于信息技术风险管理流程，信息资产的分类及信息资产所有者的职责，以及对信息系统的风险识别方法、风险评价标准、风险应对措施。

  内部审计人员应当关注信息系统管理的方法和程序，最重要的包含职责分工控制、授权控制、审核批准控制、系统保护控制、应急处置控制、绩效考评控制等。

  内部审计人员应当关注组织决策层的信息沟通模式，信息系统对财务、业务流程的支持度，信息技术政策、信息安全制度传达与沟通等方面。

  内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及对信息技术内部控制自我评估机制等方面。

  信息系统一般性控制是确保组织信息系统正常运行的制度和工作程序，目标是保护数据与应用程序的安全，并确保异常中断情况下计算机信息系统能持续运行。信息系统一般性控制包括硬件控制、软件控制、访问控制、职责分离等关键控制。审计人员应当采取了适当的方法、合理的技术方法对信息系统建设的合规合法、信息系统的安全管理、访问控制、基础架构、数据保护以及灾难恢复等方面开展审计。信息系统一般性控制审计应当重点考虑下列控制活动：

  内部审计人员应当关注组织的应用系统及相关系统基础架构的开发和采购的授权审批，系统开发所制定的系统目标以及预期功能是不是合理，能否满足组织目标；系统开发的方法，开发环境、测试环境、生产环境的分离情况，系统的测试、审核、验收、移植到生产环境等环节的具体活动。

  对应用系统的开发与实施过程所采用的方法和流程进行评价，以确保其满足组织目标。评估拟定的系统开发或采购方案，确保其符合组织战略目标;评估项目管理过程，确保组织在满足成本效益原则的基础上实现风险管理框架下的组织业务目标，确保项目按计划开展，并有相应文档充分支持;评估有关信息系统的控制机制，确保其符合组织的相关制度规定;评估系统的开发、采购和测试、维护，对系统实施按时进行检查，确保其持续满足组织目标。

  内部审计人员应当关注组织的信息技术资产管理、系统容量管理、系统物理环境控制、网络环境资源配置、系统和数据备份及恢复管理、问题管理和系统的日常运行管理等内容。一般控制措施包括但不限于保证数据安全、保护计算机应用程序正常运行、防止系统被非法侵入、保证在错误操作或意外中断情况下的持续运行等。

  评估组织在信息系统运行日常操作以及信息系统基础设施管理的有效性及效率性，确保其支持组织的目标；评估信息系统服务相关实务，确保内部和外部服务提供商的服务等级是明确并可控的;评估运行管理，保证信息系统支持功能有效满足业务需求;评估数据管理，确保数据库的完整性和最优化;评估性能的发挥及监控工具与技术应用;评估问题和事件管理，确保所有事件、问题和错误被及时记录。

  内部审计人员应当关注组织的应用系统及相关系统基础架构的变更、参数设置变更的授权与审批，变更测试及移植到生产环境系统中的流程控制等。评估变更、配置和发布管理，确保变更被详细记录。

  内部审计人员应当关注组织的信息安全管理制度，物理访问及针对网络、操作系统、数据库、应用系统的身份认证和逻辑访问管理机制，系统设置的职责分离控制等。

  内部审计人员对逻辑、环境与信息技术基础设施的安全来进行评价，确保其能支持组织保护信息资产的需要，防止信息资产在没有经过授权的情况下被使用、披露、修改、损坏或丢失。评估逻辑访问控制的设计、实施和监控，确保信息资产的机密性、完整性、有效性与授权使用合规性;评估网络框架和信息传输的安全;评估环境控制的设计、实施和监控，确保信息资产充分安全。

  信息系统应用控制是指在业务流程层面为了合理保证应用系统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。对业务流程层面应用控制的审计应当考虑下列与数据输入、数据处理以及数据输出环节相关的控制活动：

  审计应用程序的访问控制，必须关注是否有被授权的使用人才可以访问系统数据或执行授权范围内的程序功能，输入控制是否保证每笔被处理的事务能够被正确完整地录入与编辑，是否只有合法且经授权的信息才能被正确输入。

  审计配置控制主要关注应用系统基础参数的设置与调整。包括参数的正确性、审批与授权、调整日志等。

  审计信息系统在出现不能正常运行、计算结果错误等不正常的情况时，系统能否自动提醒、处理，接收、保存差错输出报告。

  审计应对接口的数据流向、数据传输能力、数据转换准确性等来测试和检查，接口/转换能否保证数据流通的正确性以及数据传输能力是不是满足系统功能需求。

  审计系统间传输时，需重点检查传输报告分发是否建立了相应的人工控制环节，包括但不限于安全打印、接收签名、加密、只读等，以防范非法篡改造成不一致。

  审计系统数据的录入、修改与审核的职责分离，关注对数据来进行加密和敏感性分级处理的规则以及加密方式是不是满足工作需求。

  信息系统审计除上述常规的审计内容外，内部审计人员还能够准确的通过组织面临的特殊风险或者需求，设计专项审计，具体包括但不限于下列领域：