随着社会信息化的程度不断提高,信息系统已深入到社会的各个领域,各行各业对信息系统的依赖也日益增加。“并不是每一次的变更都会带来进步,但每一次进步都是变更引起的。”为保证企业的可持续发展,必须对信息系统的变更进行审计。本文从讨论中外信息系统变更失败入手,先界定所研究的信息系统变更审计的范围,论证当前实施信息系统变更审计的必要性和可行性。进而对构建信息系统变更审计框架体系进行了探索性分析,即以信息系统变更审计的总体目标和具体目标为出发点,结合风险导向审计的理论和方法对信息系统变更审计的流程进行了梳理,包括风险评估、风险应对及对信息系统变更进行评价。针对风险应对这个流程,笔者根据实践工作设计了一个操作性强的调查问卷,信息系统变更的审计评价则主要借助软件能力成熟度模型的思路,分五个级别对企业的信息系统变更的优劣进行评价。最后针对提高信息系统变更的可审计性提出了几点可行性的建议。笔者希望通过研究信息系统变更审计的相关内容,能给大家一个清晰的视角去了解信息系统变更审计,并为我国企业有效地对信息系统的变更进行审计提供一些参考。