今年，审计署驻兰州特派办在某铁路建设项目审计中，积极开展信息系统审计，通过对该建设项目中使用的铁路验工计价软件系统进行审计，查出了该系统在设计、运行中存在的错误和缺陷，并提出了改进对策和建议，得到被审计单位的好评。同时，兰州办在面向商品软件系统审计的技术方法和组织管理等方面积累了一定经验。

    围绕该审计项目的特点，此次将信息系统审计的目标定位为：通过对信息系统在核心功能正确性、功能完整性、安全性等方面进行检查，发现并揭示信息系统在设计、运行、管理和维护中存在的问题与风险，促使其安全有效运行，并揭示在验工计价过程中利用信息系统进行的欺诈和舞弊的事件。

    审计人员对照验工计价须遵守的法规，对该系统的核心功能正确性进行了审计，通过阅读用户手册并进行测试分析，发现了系统在功能正确性方面存在的问题；对验工计价工作流程进行分析，对系统完整性进行审计，通过分析工作流程中的关键控制点，针对关键控制点进行系统数据分析和软件测试，发现了系统完整性方面存在的缺陷；从系统数据交换流程、管理制度、人员职责划分、系统安全管理等多个方面，分析来自内部和外部的安全隐患，对系统安全性进行审计，发现了系统安全性方面存在的问题。

    审计过程中，审计人员注重将信息系统审计与建设项目审计相结合，注重系统数据分析，为审计组提供了大量线索，同时利用已掌握的审计线索查找系统中存在的漏洞。