原则一:选择审计重点是被审计单位核心业务的项目。如果审计重点是被审计单位的核心业务,信息系统审计与常规审计的方向一致,两者之间就能够形成相互协作的局面;如果审计重点是被审计单位的辅助性业务,由于信息系统审计与常规审计的关注重点不同,方向不一,会形成各自为政的“两张皮”现象。因此,一般应该选择被审计单位核心业务的那些项目作为审计重点。 原则二:选择被审计单位核心业务高度依赖于信息系统的项目。由于核心业务的重要地位,被审计单位对核心业务的关注度、控制要求都比较高,如果核心业务高度依赖于信息系统,则进而会对这些信息系统也产生了较高的要求,被审计单位也就更愿意投入人力、财力去解决信息系统存在的问题。因此,在被审计单位核心业务高度依赖于信息系统的审计项目中开展信息系统审计才有意义、作用与效果。 原则三:选择单一的、紧凑型项目。从被审计项目数量的角度出发,审计项目可以分为紧凑型和发散型两类,紧凑型是指只涉及一个(或少数几个)被审计单位的项目,比如住房公积金审计项目;发散型是指涉及多个被审计单位的项目,比如支农资金审计项目。在紧凑型项目中,信息系统审计和常规审计的工作重点都集中在一个被审计单位,能够形成相互间的协作。而在发散型项目中,审计过程涉及不同被审计单位,每个被审计单位又有多个信息系统,而且常规审计在每个被审计单位投入的精力相对较少,因而很难找到一个合适的信息系统开展审计。因此,一般应选择紧凑型项目开展信息系统审计。 原则四:选择风险控制范围之内的项目。与常规审计不同,信息系统审计有一个很大的风险就是可能会对被审计单位的信息系统造成影响,而这种影响可能是毁灭性的,从而也会将审计人员拖入困境。因此,在选择项目时需要考虑自身的风险承受与控制能力。
