(一)授权与批准；

　　(二)系统配置控制；

　　(三)异常情况报告和差错报告；

　　(四)接口/转换控制；

　　(五)一致性核对；

　　(六)职责分离；

　　(七)系统访问权限；

　　(八)系统计算；

　　(九)其他。

　　第二十三条　信息系统审计除上述常规的审计内容外，审计人员还可以根据组织当前面临的特殊风险或需求，设计专项审计以满足审计战略，具体包括但不限于下列领域：

　　(一)信息系统开发实施项目的专项审计；

　　(二)信息系统安全专项审计；

　　(三)信息技术投资专项审计；

　　(四)业务连续性计划的专项审计；

　　(五)外包条件下的专项审计；

　　(六)法律法规、行业规范要求的内部控制的合规性的专项审计；

　　(七)其他专项审计。

　　第六章　信息系统审计的方法

　　第二十四条　审计人员在进行审计与信息技术相关内部控制及流程中可以单独或综合应用下列的审计方法来获取充分、适当的审计证据以评估信息技术内部控制的设计有效性和执行有效性：

　　(一)询问控制相关的人员；

　　(二)观察特定控制的运用；

　　(三)审阅文件和报告；

　　(四)根据信息系统的特性，进行穿行测试，追踪交易在信息系统中的处理过程； 

　　(五)验证系统控制和计算逻辑；

　　(六)登录信息系统进行系统查询；

　　(七)利用计算机辅助审计工具和技术；

　　(八)其他

　　第二十五条　信息系统审计人员可以根据需要利用计算机辅助审计工具和技术进行数据的验证、关键系统控制/计算的逻辑的验证、审计样本选取等；审计人员在充分考虑安全的前提下，可以利用可靠的信息安全侦测工具进行渗透性测试等。

　　第二十六条　审计人员在对信息技术内部控制进行评估时，应获得充分、可靠及相关的审计证据以支持审计结论完成审计目标，并应充分考虑系统自动控制的控制效果的一致性及可靠性的特点，在选取审计样本时可根据情况适当减少样本量。在系统未发生变更的情况下，可考虑适当降低审计频率。

　　第二十七条　审计人员在审计过程中进行风险评估，并在此基础上依据信息技术内部控制评估的结果重新评估审计风险，并根据剩余风险来进一步设计审计程序。

　　第二十八条　审计工作底稿应以正式的书面或电子形式进行记录，其中应包含审计程序、审计发现和审计结论以及支持审计结论的审计工作细节及审计证据。审计过程中获取的电子数据应建立严格的电子数据归档措施，并对敏感数据进行严格的保密管理。

　　第七章　审计报告与后续工作

　　第二十九条　在审计实施结束后，审计人员应以充分、可靠及相关的审计证据为依据形成审计结论与建议，出具审计报告，跟进审计结果，追踪审计建议的落实并执行相应后续审计程序。

　　第三十条　当信息系统审计作为其他综合性内部审计项目的一部分时，审计人员应及时与其它相关内部审计人员沟通信息系统内部审计的发现，并考虑依据审计结果调整其他相关审计的范围、时间及性质。

　　第八章　附则
　　
　　第三十一条　本准则由中国内部审计协会负责解释。

　　本准则自xxxx年xx月xx日起试行。