在当今数字化时代，信息系统的安全性和效益性已成为企业与政府机构关注的焦点。审计署发布的《信息系统审计指南——计算机审计实务公告第34号》（以下简称“指南”）为审计机关如何高效、规范地开展信息系统审计提供了明确的指引。这份指南不仅是审计工作的“操作手册”，更是保障信息系统健康运行的重要工具。

一、文件主要内容

《信息系统审计指南》旨在规范国家审计机关的信息系统审计活动，确保审计工作的高效性和质量。它涵盖了信息系统审计的组织、应用控制审计、一般控制审计、项目管理审计以及审计方法等多个方面。指南明确了信息系统审计的目标是检查信息系统的安全性、可靠性和经济性，揭示问题并提出改进建议，同时强调了审计人员应具备的专业知识和技能。下面将对信息系统审计的三大核心内容（应用控制、一般控制和项目管理）进行介绍，其中，将对占据重要地位的项目管理相关内容进行深度分析。

二、应用控制、一般控制和项目管理

应用控制、一般控制和项目管理是信息系统审计的三大核心内容，共同构成了审计的全面框架。

（一）应用控制

应用控制主要关注信息系统的业务流程、数据处理和信息共享等方面，确保系统功能与业务需求相匹配，数据处理准确无误。审计内容包括

信息系统业务流程控制：业务流程设计、处理、功能测评（具体指标为设计的完备性、处理的正确性、功能的合理性）；

数据输入、处理和输出控制：数据录入、处理、输出控制测评（具体指标为准确性与安全性）；

信息共享和业务协同：信息共享与业务协同测评（具体指标为信息资源目录体系、交换体系、数据标准化）。

（二）一般控制

一般控制侧重于信息系统的整体安全性、可靠性和管理有效性，包括物理环境、网络安全、数据备份等方面。审计内容包括：

信息系统总体控制：战略规划、组织架构、制度机制，指标为战略规划的合理性、组织架构的匹配性；

信息安全技术控制：物理安全、网络安全、数据安全，指标为安全策略的有效性、防护措施的完备性；

信息安全管理控制：安全管理机构、制度、人员管理（具体指标为安全管理制度的完整性、人员管理的有效性）。

（三）项目管理

项目管理审计主要关注信息系统的建设、运行和维护过程，确保项目投资合理、管理规范、绩效达标。审计内容包括：

信息系统建设经济性评价：规划、建设、应用、运维经济性（具体指标为总体规划的经济性、建设投资合理性、运维成本）；

信息系统建设管理评价：项目审批、建设、资金、监督、验收管理（具体指标为项目立项审批、招标采购、资金使用、验收情况）；

信息系统绩效评价：管理决策支持、资源共享、业务协同、贡献能力（具体指标为系统对管理决策的支持度、资源共享程度、业务协同能力）。

三、项目管理审计深度分析
项目管理审计在信息系统审计中占据重要地位，其核心是确保信息系统的建设、运行和维护过程规范、高效、经济，并最终实现预期的效益目标。项目管理审计主要包括经济性评价、建设管理评价和绩效评价三个方面。

（一）经济性评价

经济性评价的核心是确保信息系统建设的投资合理、效益化。审计人员需要全面审查信息系统的规划、建设、应用和运维过程，评估其经济性和投资效益。具体审计内容包括：

信息系统规划经济性：检查总体规划是否科学合理，是否符合组织的长期发展战略和业务需求，重点评估总体规划的经济性，包括系统生命周期、业务整合规划、行业整合规划及技术特征规划的合理性；

信息系统建设经济性：审查建设过程是否经济高效，包括建设规划、招标采购、应用开发和推广，重点关注建设投资的合理性，避免重复建设和资源浪费；

信息系统应用经济性：评估应用是否提升业务效率和管理水平，是否实现预期经济效益和社会效益，重点检查业务管理对系统的依赖度、系统对业务管理的支持度及系统应用对提升效能的贡献率；

信息系统运维经济性：审查运维成本是否合理，是否通过有效运维延长系统寿命并提高投资回报率，重点关注运维总投资与建设总投资的占比及信息资产运维的经济性。

在经济性评价实践中，审计人员借助专业工具“软件造价喵”可识别软件功能点、测算定制开发费用、评估成本真实性，并通过设备询价功能核对硬件采购价格，防止投资浪费。

（二）建设管理评价

建设管理评价重点关注信息系统的立项审批、建设过程、资金管理、监督管理和验收管理等环节，确保项目建设的规范性和合规性。具体审计内容包括：

项目审批管理：检查立项申请是否符合国家或行业规定，项目建议书、可行性研究报告、初步设计是否经评估并获批复，建设过程调整是否履行审批程序；

项目建设管理：审查建设单位是否建立管理制度，是否向审批部门报告实施情况，重点关注招标采购合规性、合同执行、监理制度执行及建设方式合理性；

项目资金管理：检查资金使用是否符合批复及国家规定，年度资金使用计划和政府采购预算是否合理，审计问题是否有效整改；

项目监督管理：审查建设单位是否如实提供监督检查资料，对问题是否积极整改；

项目验收管理：检查是否及时组织单项验收、初步验收和竣工验收，验收过程是否符合规定，后评估问题是否有效整改。

（三）绩效评价

绩效评价的目的是评估信息系统的实际运行效果，包括管理决策支持能力、资源共享能力、业务协同能力和系统建设发展能力。具体审计内容包括：

信息系统总体绩效：检查规划目标、发展战略、创新策略、分期建设方案和考核指标，评估其对实际建设和应用的指导性效能；

管理决策支持能力：评估系统对组织管理、业务管理和行政管理的支持能力，判断是否提升管理决策效率；

信息资源共享能力：检查资源共享程度和利用状况，评估对经济业务发展的促进作用；

经济业务协同能力：评估系统对单位内部业务、行业内部单位及外部相关经济业务的协同能力，判断是否提升业务协同效率；

系统建设发展能力：检查整体架构、技术路线、开发策略、应用模式和运维模式，评估对职能业务发展、信息技术发展和环境风险防范的适应能力；

信息系统贡献能力：评估系统对单位经济业务活动和国家经济社会发展的经济效益和社会效益，判断其对其他行业信息化的可借鉴性。

四、总结

《信息系统审计指南——计算机审计实务公告第34号》为审计机关开展信息系统审计提供了全面、系统的指引。它不仅明确了审计的目标、内容和方法，还强调了审计人员应具备的专业素养。通过对应用控制、一般控制和项目管理的细致划分，确保审计工作的全面性和深入性。在项目管理审计中，经济性评价、建设管理评价和绩效评价的有机结合，为信息系统的高效运行和持续改进提供了有力保障。