信息系统审计主要关注以下几个方面：

安全（Security）

评估信息系统在身份鉴别、访问控制、防火墙配置、数据加密等方面的安全管理措施是否充分有效。

质量（Quality）

审查信息系统在设计、开发、运行与维护各环节的质量保证过程，包括文档完整性、变更管理流程等。

受托项（Stewardship）

检查企业是否恰当履行信息资产的管理和使用责任，确保数据和系统所有权清晰、授权流程合规。

服务（Service）

关注信息系统能否稳定、持续、高效地为业务和用户提供支持，包括系统性能监控、服务水平协议（SLA）履行等。

能力（Capability）

审查企业IT部门或外包服务商在人力、技术和管理层面是否具备长期有效运行和改进信息系统的能力。

内部控制（Internal Control）

对信息系统的内部控制进行审计，了解和评价信息系统的安全性、完整性和效率、效果等内部控制目标能否达到。

信息系统各组成部分

关注信息系统各组成部分是否达到了各自的预期目标，从而实现信息系统的整体目标。

信息系统生命周期

审计信息系统开发设计以及运行维护过程中信息系统的总目标是否达到。

战略管理

企业如何制定长期发展方向。

产品与服务

这些是企业创造价值的直接体现。

公司治理流程

良好的治理流程是防控风险的基石。

交易流程与伙伴

包括信息系统内的交易类型及其流转模式。

风险导向的审计程序

通过掌握关键要素，审计师能更高效地设计风险导向的审计程序。

数据真实性、完整性和合法性

确保信息系统中的数据要如实地反映企业的实际生产经营活动，不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失，并且在处理过程中符合相关法律、法规、准则、行规以及企业内部的规定。

灾难恢复

检查是否制定了有效健全且切实可行的灾难恢复政策，确保在发生故障或灾难时系统能够不间断运行。

这些关注点共同构成了信息系统审计的全面框架，旨在确保信息系统的安全性、有效性和合规性，从而支持企业的整体战略目标。