导读：昨天一个客户提出，严格按照《信息系统审计准则》的要求进行审计，我问是不是3205号审计指南，他说不是，就是《信息系统审计准则》。从业多年的我一头雾水，问了下AI，回答如下。

中国目前存在多部与信息系统审计相关的准则和指南，但尚未单独颁布名为《信息系统审计准则》的独立法规。以下是相关规范的具体内容及适用范围：

一、内部审计领域的核心准则

1.《第2203号内部审计具体准则——信息系统审计》→

发布机构：中国内部审计协会

主要内容：

明确信息系统审计的目标是评估组织的信息技术管理目标（如战略一致性、系统安全性、运行效率等）。

规定审计流程包括计划、风险评估、内容实施（组织层面控制、一般控制、应用控制）、方法选择（如穿行测试、渗透测试）等。

强调审计人员需具备信息技术能力，并可借助外部专家或计算机辅助工具。

适用范围：各类组织的内部审计活动，自2014年1月1日起施行。

2.《第3205号内部审计实务指南——信息系统审计》→

发布机构：中国内部审计协会

核心内容：

细化信息系统审计的组织层面控制（如战略规划、风险管理）、一般控制（如系统开发、变更管理、信息安全）和应用控制（如数据输入/处理/输出验证）。

新增对专项审计的指导（如云安全、物联网安全、业务连续性计划）。

适用范围：作为第2203号准则的补充，提供操作性更强的实务指引，自2021年3月1日起施行。

二、国家审计领域的规范

1.《中华人民共和国国家审计准则》→

发布机构：审计署

相关条款：

要求审计机关在涉及信息系统时，需关注其安全性、可靠性及合规性，并纳入审计计划。

强调对信息系统经济性、效率性、效果性的评价，例如通过“软件造价喵”工具核查开发成本。

适用范围：国家审计机关的信息系统审计活动，自2011年1月1日起施行。

2.《信息系统审计指南——计算机审计实务公告第34号》→

发布机构：审计署

核心内容：

提出信息系统审计的三大模块：应用控制（业务流程合规性）、一般控制（系统安全与运维）、项目管理（建设经济性、绩效评价）。

明确项目管理审计需评估规划合理性、招标合规性、资金使用效益等。

适用范围：国家审计机关在信息系统建设项目的审计中参考使用。

三、其他相关标准与框架

国际标准参考：

中国部分准则（如第3205号指南）参考了COBIT 5.0（信息系统审计与控制协会）和ISO/IEC 27001（信息安全管理国际标准）。

国家标准：

《信息技术服务治理第4部分：审计导则》（GB/T34960.4-2017）为信息系统审计提供技术框架。

四、总结与建议

现有规范体系：

中国已形成以内部审计准则（第2203号、第3205号）和国家审计指南（第34号公告）为核心的制度框架，覆盖组织治理、技术控制及项目管理全流程。

实践建议：

企业内部审计可优先依据第2203号和第3205号准则，结合COBIT等国际框架；

政府及公共部门审计需遵循国家审计准则及第34号公告，重点关注项目经济性与合规性。