《信息系统审计指南计算机审计实务公告.doc》由会员分享,可在线阅读,更多相关《信息系统审计指南计算机审计实务公告.doc(32页珍藏版)》请在金锄头文库上搜索。
1、中华人民共和国审计署文件审计发201211号审计署关于印发信息系统审计指南计算机审计实务公告第34号的通知各省、自治区、直辖市和计划单列市、新疆生产建设兵团审计厅(局),署机关各单位、各特派员办事处、各派出审计局: 信息系统审计指南计算机审计实务公告第34号,经署领导同意,现予印发,供审计机关实施信息系统审计参考。 二一二年二月一日信息系统审计指南计算机审计实务公告第34号目 录第一章 总 则第二章 信息系统审计的组织第三章 应用控制审计第一节 信息系统业务流程控制审计第二节 数据输入、处理和输出控制审计第三节 信息共享和业务协同审计第四章 一般控制审计第一节 信息系统总体控制审计第二节 信息
2、安全技术控制审计第三节 信息安全管理控制审计第五章 项目管理审计第一节 信息系统建设经济性评价第二节 信息系统建设管理评价第三节 信息系统绩效评价第六章 信息系统审计方法第七章 附 则第一章 总 则 第一条 为进一步指导和规范国家审计机关组织开展的信息系统审计活动,提高审计效率,保证审计质量,制定本指南。 第二条 本指南所称信息系统,是指被审计单位利用现代信息技术实现财政收支、财务收支及其相关经济业务活动的信息处理的系统。 第三条 本指南所称信息系统审计,是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。 第四条 本指南所称审计指标,是指对审计事项的测
3、评指标或者评价指标。 第五条 信息系统审计可以作为财政收支、财务收支及其相关经济业务活动(以下简称经济业务活动)审计项目的审计内容组织开展,也可以作为独立组织的信息系统审计项目实施。第二章 信息系统审计的组织第六条 信息系统审计的主要目标是通过检查和评价被审计单位信息系统的安全性、可靠性和经济性,揭示信息系统存在的问题,提出完善信息系统控制的审计意见和建议,促进被审计单位信息系统实现组织目标;同时,通过检查和评价信息系统产生数据的真实性、完整性和正确性,防范和控制审计风险。第七条 信息系统审计内容,包括对应用控制、一般控制和项目管理的审计。应用控制包括:信息系统业务流程,数据输入、处理和输出的
4、控制,信息共享和业务协同。一般控制包括:信息系统总体控制,信息安全技术控制,信息安全管理控制。项目管理包括:信息系统建设的经济性,信息系统建设管理,信息系统绩效。 第八条 审计人员可以根据审计实施方案要求,选择应用控制、一般控制和项目管理中的相关内容组织实施。结合经济业务活动审计项目开展的信息系统审计,可以按照审计实施方案要求,重点选择信息系统中容易产生数据风险的内容(见附录),也可以根据需要选择其他内容组织实施。独立组织开展的信息系统审计项目,可以按照审计实施方案要求,选择本指南所述的全部或者部分内容组织实施。 第九条 信息系统审计步骤:审计机关在开展初选审计项目可行性研究和编制审计实施方案
5、时,要调查了解被审计单位相关经济业务活动及其所依赖的信息系统;调查了解信息系统的需求与设计、研发与集成、使用与控制、运维与保障等,以及相关的组织架构、责任机制和控制制度;调查了解系统承载业务的业务流、资金流和信息流,重点分析系统结构和数据结构,标识信息系统审计的关键控制环节和控制点;研究并确定信息系统应用控制、一般控制和项目管理的审计内容、审计事项和审计指标;开展应用控制、一般控制和项目管理的审计测试和评价,获取审计证据,记录相关指标的测评情况,分析系统控制水平以及数据风险,评价系统建设的经济性及信息化投资的有效性;编写信息系统审计报告。按照审计实施方案要求,依据审计记录和审计证据,评价信息系
6、统的真实性、合法性、效益性和安全性,分析信息系统的控制缺失程度、风险水平、成因和责任,形成审计结论,提出改进信息系统控制、防范系统控制缺失产生审计风险的审计意见和建议。第十条 结合经济业务活动审计项目组织开展的信息系统审计,可以先实施信息系统控制测评,以便向数据审计提供系统控制缺失产生数据风险的测评结果和审计建议。信息系统审计报告是项目审计报告的重要组成部分。 第十一条 审计人员应当按照审计实施方案确定的审计事项获取相应的审计证据。获取审计证据的法定权限、程序和方法,以及审计证据的适当性和充分性等,依照审计机关相关规定执行。第十二条 审计人员应当对能够支持编制审计实施方案和审计报告的相关内容进
7、行审计记录。审计记录中的调查了解记录、审计工作底稿和重要管理事项记录,以及与审计证据的关系等,依照审计机关相关规定执行。第十三条 信息系统审计应当加强审计质量控制。审计质量控制依照审计机关相关规定执行。第十四条 信息系统审计中,应当区分各方责任:在信息系统建设和运维中,遵守国家和行业的相关法律法规和业务规范,建立并实施内部控制以保障经济业务活动的有效运行和组织目标的实现;提供审计机关所需的各类资料和电子数据,并承诺其真实性和完整性,必要时配合审计人员实施系统测试和数据测试,是被审计单位的责任。信息系统审计中,保守国家秘密和商业秘密,避免对被审计单位信息系统造成损害,以及向审计组提出信息系统控制
8、缺失及其产生数据风险的意见,是审计人员的责任;向审计机关提出审计结果意见,是审计组的责任;向被审计单位提出审计结论、审计意见及建议,是审计机关的责任。信息系统审计中,审计机关如需利用或者委托具有相关资质的第三方专业机构开展测评的,测评结果的真实性和专业性是第三方专业机构的责任。第十五条 审计机关依法组织信息系统审计时,有权要求被审计单位对其信息系统配置符合国家或者行业标准的数据接口;在无法配置符合标准的数据接口时,有权要求被审计单位将数据转换成审计机关能够读取的格式并输出;在对电子数据的真实性产生疑问时,有权要求被审计单位按照审计机关提供的方案实施信息系统的系统测试和数据测试;对被审计单位信息
9、系统不符合法律、法规和政府有关主管部门有关规定的,有权责令限期整改;对故意开发或者使用舞弊功能的单位和个人,有权依法追究其责任。第十六条 审计机关依法对信息系统的审批、建设、验收、运维等特定事项,向有关部门或者单位进行专项审计调查。专项审计调查依照审计机关相关规定执行。第十七条 审计机关在依法实施的信息系统审计中发现影响国家信息安全的重大问题,应当向相关主管部门专题报告或者移送。专题报告或者移送依照审计机关的相关规定执行。第十八条 审计人员应当具备信息系统审计的基本知识和技能。实施信息系统审计的审计组成员中,应当配备具有信息系统审计专业知识和技能的审计人员。必要时可聘请外部专家或者委托专业机构
10、开展专项检查和评价。聘请外部专家或者委托专业机构开展工作,依照审计机关相关规定执行。第三章 应用控制审计第一节 信息系统业务流程控制审计第十九条 信息系统业务流程控制审计的目的是通过检查被审计单位信息系统承载的经济业务活动的发生、处理、记录和报告的业务流程和业务循环过程,评价系统业务流程控制的合理性和有效性,揭示系统业务流程设计缺陷、控制缺失等问题,形成审计结论,提出审计意见和建议;为防范和控制数据审计风险,以及审计项目对信息系统业务流程控制的审计评价提供支持。第二十条 信息系统业务流程控制审计事项测评指标:(一)业务流程设计测评。检查业务流程设计的完备性,是否满足经济业务活动的需求,是否实施
11、了业务流程整合、还原或者再造,是否避免了重复操作,关键环节、关键节点和关键岗位是否具备不相容职责分离等必要的控制。(二)业务流程处理测评。检查系统业务处理的正确性和控制的有效性,各流程节点的操作是否反映了经济业务活动的审批及处理过程要求,是否设置了相同业务处理的自动批量操作,是否对重要的业务流程处理实施了有效的控制和校验,接口处理是否正确,控制是否有效等。(三)业务流程功能测评。检查系统业务流程实现功能的合理性,各类功能操作是否能够满足经济业务活动的需要,问题管理、应急处理和系统控制等功能是否有效。第二节 数据输入、处理和输出控制审计第二十一条 数据输入、处理和输出控制审计的目的是通过检查被审
12、计单位信息系统数据输入、处理和输出控制的有效性,发现因系统控制缺失产生的数据风险,形成数据控制水平的审计评价和结论,提出审计意见和建议;为数据审计防范和控制审计风险,以及审计项目对信息系统数据风险控制的审计评价提供支持。第二十二条 审计人员应当在调查了解被审计单位信息系统所承载的经济业务活动的业务流、资金流和信息流基础上,按照不同经济业务活动的数据输入、处理和输出功能,分类建立测评指标,开展测评和审计分析。第二十三条 数据输入控制审计事项测评指标:(四)数据录入和导入控制测评。检查系统有无设置不符合国家、行业或者单位规范的数据录入、导入接口等数据采集功能,数据采集的身份与权限控制是否合理、有效
13、。(五)数据修改和删除控制测评。检查系统有无设置不符合国家、行业或者单位规范的数据修改或者删除功能,用户数据修改和删除等身份与权限控制是否合理、有效。(六)数据校验控制测评。检查数据录入、导入接口等数据采集功能的校验控制是否符合国家、行业或者单位的规定,校验控制是否有效。(七)数据入库控制测评。检查录入、导入接口等采集的数据、缓冲区数据与进入数据库的最终数据是否一致。(八)数据共享与交换控制测评。检查系统有无设置不符合国家、行业或者单位规范的数据共享与交换功能,用户或者系统的数据共享与交换的身份与权限控制是否合理、有效。(九)备份与恢复数据接收控制测评。检查数据备份与恢复的数据接收功能的身份与
14、权限控制是否合理、有效,接收数据与输出数据是否一致。第二十四条 数据处理控制审计事项测评指标:(十)数据转换控制测评。检查系统采集外部数据和转换过程中的各项控制,是否符合国家、行业或者单位的数据转换标准和格式规范。(十一)数据整理控制测评。检查采集数据的分类入库、数据库中相关数据的清洗、数据库间和数据表间的数据抽取与合并、数据库或者数据表的生成与废除等功能的控制,是否符合系统需求和设计要求。(十二)数据计算控制测评。检查系统中经济业务活动的计量、计费、核算、分析,以及数据勾稽、数据平衡、断号重号等计算功能的控制,是否符合国家、行业或者单位的相关规定和规范。(十三)数据汇总控制测评。检查系统中经
15、济业务活动的财政财务科目汇总、报表汇总和相关业务汇总等功能实现的控制,是否符合国家、行业或者单位的相关规定和规范。第二十五条 数据输出控制审计事项测评指标:(十四)数据外设输出控制测评。检查计算机显示、打印和介质拷贝等数据输出功能的身份与权限控制。(十五)数据检索输出控制测评。检查利用单项检索、组合检索等检索工具对系统中部分数据或者全部数据的检索输出功能的身份与权限控制。(十六)数据共享输出控制测评。检查系统内部相关子系统之间、系统与外部系统之间通过信息交换或者信息共享方式数据输出功能的身份与权限控制。(十七)备份与恢复输出控制测评。检查运行系统向备份系统、备份系统向恢复系统数据输出的身份与权限控制是否合理、有效。第三节 信息共享和业务协同审计第二十六条 信息共享与业务协同审计的目的是通过检查被审计单位信息系统内外部信息共享与业务协同,揭示共享与协同控制的缺失,分析并评价风险程度,形成被审计单位信息共享与业务协同水平的审计评价和结论,提出审计意见和建议;为数据审计获取真实、完整和正确的审计数据,以及审计项
