随着ERP的普及性越来越高,信息系统被应用到各行各业,企业对其的依赖也越来越高。信息系统在给企业带来各种各样的便利时,也存在着很大的风险。当信息系统出现问题时就能产生“蝴蝶效应”,牵一发而动全身,给企业带来无法弥补的损失,而企业由于信息系统导致巨大损失的例子比比皆是。因此,对信息系统进行审计,对其可靠性、安全性和有效性进行检查与评价,是保护企业信息资源的必要手段。信息系统审计是必不可少的,是大势所趋。在国际上,对信息系统的审计已经开始流行,相应的信息系统审计规范也已经出台,例如COBIT、GTAG、GAIT、FISCAM、TIL、BS7799、COSO等准则。然而在我国,信息系统审计是个全新的课题,属于研究的前沿。信息系统审计研究尚处于起步阶段,很多相关方面的研究并未跟上,科学、系统完整、的信息系统审计规范和方法也未提及。大部分学者对信息系统的研究仍停留在介绍和引用阶段。由于COBIT的体系完整、内容完善、国际认可度高,本文以COBIT为基础,研究基于COBIT的信息系统审计规范。本文先简单介绍COBIT的发展、五大原则以及流程参考模型等一系列内容,并指出COBIT的优势与不足。同时,本文从我国企业信息系统所处的实际情况出发,设计了一套基于COBIT的信息系统审计规范,从信息系统的生命周期视角着手,分为信息系统的设计、开发、接收与实现、运行和维护四个阶段。COBIT贯穿了信息系统生命周期的始终,它的四个域,即计划与组织、获取与实施、交付与支持、监控与评价分别对应了信息系统的规划、开发、接收和实现、运行与维护四个阶段。因此将COBIT的4个域、34个过程嵌入到信息系统的四个阶段,形成每个阶段的关键审计流程,对每个关键的审计流程也提出了各自的审计重点。并且,通过使用COBIT的成熟度模型,可以对企业的信息系统状况进行评分,更好地对信息系统进行审计。在设计了信息系统审计规范后,本文还进行案例分析,通过对案例中的公司进行信息系统审计,有效地发现了公司的信息系统存在的问题,并且提出了一些建设性建议。最后,本文对我国信息系统审计事业进行了展望。我国对信息系统审计的研究才刚刚起步,但是在审计操作领域,审计人员每年都会面临许多对信息系统进行审计的问题,企业利用信息系统进行舞弊的手段更加隐蔽,被审计出来的可能性变小,舞弊的可能性变大。因此审计人员迫切需要一个规范的对信息系统进行审计的流程与方法。因此信息系统进行审计在我国具有良好的前景,尤其是随着可扩展性商业语言(XBRL)的普及,财务语言将变得通用,信息系统也愈发重要。对信息系统进行审计将是首要的也是必须的一个审计流程。在我国信息系统审计的发展过程中,应该着重从制度和人才两方面下手,大力发展自己的审计规范,培养自己的信息系统审计人才。