计算机审计实务公告第34号-关于印发信息系统审计指 下载本文

制点;

研究并确定信息系统应用控制、一般控制和项目管理的审计内容、审计事项和审计指标;

开展应用控制、一般控制和项目管理的审计测试和评价,获取审计证据,记录相关指标的测评情况,分析系统控制水平以及数据风险,评价系统建设的经济性及信息化投资的有效性;

编写信息系统审计报告。按照审计实施方案要求,依据审计记录和审计证据,评价信息系统的真实性、合法性、效益性和安全性,分析信息系统的控制缺失程度、风险水平、成因和责任,形成审计结论,提出改进信息系统控制、防范系统控制缺失产生审计风险的审计意见和建议。

第十条 结合经济业务活动审计项目组织开展的信息系统审计,可以先实施信息系统控制测评,以便向数据审计提供系统控制缺失产生数据风险的测评结果和审计建议。信息系统审计报告是项目审计报告的重要组成部分。

第十一条 审计人员应当按照审计实施方案确定的审计事项获取相应的审计证据。

获取审计证据的法定权限、程序和方法,以及审计证据的适当性和充分性等,依照审计机关相关规定执行。

第十二条 审计人员应当对能够支持编制审计实施方案和审计报告的相关内容进行审计记录。

审计记录中的调查了解记录、审计工作底稿和重要管理事项

记录,以及与审计证据的关系等,依照审计机关相关规定执行。

第十三条 信息系统审计应当加强审计质量控制。 审计质量控制依照审计机关相关规定执行。 第十四条 信息系统审计中,应当区分各方责任: 在信息系统建设和运维中,遵守国家和行业的相关法律法规和业务规范,建立并实施内部控制以保障经济业务活动的有效运行和组织目标的实现;提供审计机关所需的各类资料和电子数据,并承诺其真实性和完整性,必要时配合审计人员实施系统测试和数据测试,是被审计单位的责任。

信息系统审计中,保守国家秘密和商业秘密,避免对被审计单位信息系统造成损害,以及向审计组提出信息系统控制缺失及其产生数据风险的意见,是审计人员的责任;向审计机关提出审计结果意见,是审计组的责任;向被审计单位提出审计结论、审计意见及建议,是审计机关的责任。

信息系统审计中,审计机关如需利用或者委托具有相关资质的第三方专业机构开展测评的,测评结果的真实性和专业性是第三方专业机构的责任。

第十五条 审计机关依法组织信息系统审计时,有权要求被审计单位对其信息系统配置符合国家或者行业标准的数据接口;在无法配置符合标准的数据接口时,有权要求被审计单位将数据转换成审计机关能够读取的格式并输出;在对电子数据的真实性产生疑问时,有权要求被审计单位按照审计机关提供的方案实施

信息系统的系统测试和数据测试;对被审计单位信息系统不符合法律、法规和政府有关主管部门有关规定的,有权责令限期整改;对故意开发或者使用舞弊功能的单位和个人,有权依法追究其责任。

第十六条 审计机关依法对信息系统的审批、建设、验收、运维等特定事项,向有关部门或者单位进行专项审计调查。

专项审计调查依照审计机关相关规定执行。

第十七条 审计机关在依法实施的信息系统审计中发现影响国家信息安全的重大问题,应当向相关主管部门专题报告或者移送。

专题报告或者移送依照审计机关的相关规定执行。 第十八条 审计人员应当具备信息系统审计的基本知识和技能。实施信息系统审计的审计组成员中,应当配备具有信息系统审计专业知识和技能的审计人员。必要时可聘请外部专家或者委托专业机构开展专项检查和评价。

聘请外部专家或者委托专业机构开展工作,依照审计机关相关规定执行。

第三章 应用控制审计

第一节 信息系统业务流程控制审计

第十九条 信息系统业务流程控制审计的目的是通过检查被

审计单位信息系统承载的经济业务活动的发生、处理、记录和报告的业务流程和业务循环过程,评价系统业务流程控制的合理性和有效性,揭示系统业务流程设计缺陷、控制缺失等问题,形成审计结论,提出审计意见和建议;为防范和控制数据审计风险,以及审计项目对信息系统业务流程控制的审计评价提供支持。

第二十条 信息系统业务流程控制审计事项测评指标: (一)业务流程设计测评。检查业务流程设计的完备性,是否满足经济业务活动的需求,是否实施了业务流程整合、还原或者再造,是否避免了重复操作,关键环节、关键节点和关键岗位是否具备不相容职责分离等必要的控制。

(二)业务流程处理测评。检查系统业务处理的正确性和控制的有效性,各流程节点的操作是否反映了经济业务活动的审批及处理过程要求,是否设置了相同业务处理的自动批量操作,是否对重要的业务流程处理实施了有效的控制和校验,接口处理是否正确,控制是否有效等。

(三)业务流程功能测评。检查系统业务流程实现功能的合理性,各类功能操作是否能够满足经济业务活动的需要,问题管理、应急处理和系统控制等功能是否有效。

第二节 数据输入、处理和输出控制审计

第二十一条 数据输入、处理和输出控制审计的目的是通过检查被审计单位信息系统数据输入、处理和输出控制的有效性,发现因系统控制缺失产生的数据风险,形成数据控制水平的审计