记录,以及与审计证据的关系等,依照审计机关相关规定执行。
第十三条 信息系统审计应当加强审计质量控制。 审计质量控制依照审计机关相关规定执行。 第十四条 信息系统审计中,应当区分各方责任: 在信息系统建设和运维中,遵守国家和行业的相关法律法规和业务规范,建立并实施内部控制以保障经济业务活动的有效运行和组织目标的实现;提供审计机关所需的各类资料和电子数据,并承诺其真实性和完整性,必要时配合审计人员实施系统测试和数据测试,是被审计单位的责任。
信息系统审计中,保守国家秘密和商业秘密,避免对被审计单位信息系统造成损害,以及向审计组提出信息系统控制缺失及其产生数据风险的意见,是审计人员的责任;向审计机关提出审计结果意见,是审计组的责任;向被审计单位提出审计结论、审计意见及建议,是审计机关的责任。
信息系统审计中,审计机关如需利用或者委托具有相关资质的第三方专业机构开展测评的,测评结果的真实性和专业性是第三方专业机构的责任。
第十五条 审计机关依法组织信息系统审计时,有权要求被审计单位对其信息系统配臵符合国家或者行业标准的数据接口;在无法配臵符合标准的数据接口时,有权要求被审计单位将数据转换成审计机关能够读取的格式并输出;在对电子数据的真实性产生疑问时,有权要求被审计单位按照审计机关提供的方案实施
6 — —
信息系统的系统测试和数据测试;对被审计单位信息系统不符合法律、法规和政府有关主管部门有关规定的,有权责令限期整改;对故意开发或者使用舞弊功能的单位和个人,有权依法追究其责任。
第十六条 审计机关依法对信息系统的审批、建设、验收、运维等特定事项,向有关部门或者单位进行专项审计调查。
专项审计调查依照审计机关相关规定执行。
第十七条 审计机关在依法实施的信息系统审计中发现影响国家信息安全的重大问题,应当向相关主管部门专题报告或者移送。
专题报告或者移送依照审计机关的相关规定执行。 第十八条 审计人员应当具备信息系统审计的基本知识和技能。实施信息系统审计的审计组成员中,应当配备具有信息系统审计专业知识和技能的审计人员。必要时可聘请外部专家或者委托专业机构开展专项检查和评价。
聘请外部专家或者委托专业机构开展工作,依照审计机关相关规定执行。
第三章 应用控制审计
第一节 信息系统业务流程控制审计
第十九条 信息系统业务流程控制审计的目的是通过检查被
— 7 —
审计单位信息系统承载的经济业务活动的发生、处理、记录和报告的业务流程和业务循环过程,评价系统业务流程控制的合理性和有效性,揭示系统业务流程设计缺陷、控制缺失等问题,形成审计结论,提出审计意见和建议;为防范和控制数据审计风险,以及审计项目对信息系统业务流程控制的审计评价提供支持。
第二十条 信息系统业务流程控制审计事项测评指标: (一)业务流程设计测评。检查业务流程设计的完备性,是否满足经济业务活动的需求,是否实施了业务流程整合、还原或者再造,是否避免了重复操作,关键环节、关键节点和关键岗位是否具备不相容职责分离等必要的控制。
(二)业务流程处理测评。检查系统业务处理的正确性和控制的有效性,各流程节点的操作是否反映了经济业务活动的审批及处理过程要求,是否设臵了相同业务处理的自动批量操作,是否对重要的业务流程处理实施了有效的控制和校验,接口处理是否正确,控制是否有效等。
(三)业务流程功能测评。检查系统业务流程实现功能的合理性,各类功能操作是否能够满足经济业务活动的需要,问题管理、应急处理和系统控制等功能是否有效。
第二节 数据输入、处理和输出控制审计
第二十一条 数据输入、处理和输出控制审计的目的是通过检查被审计单位信息系统数据输入、处理和输出控制的有效性,发现因系统控制缺失产生的数据风险,形成数据控制水平的审计
8 — —
评价和结论,提出审计意见和建议;为数据审计防范和控制审计风险,以及审计项目对信息系统数据风险控制的审计评价提供支持。
第二十二条 审计人员应当在调查了解被审计单位信息系统所承载的经济业务活动的业务流、资金流和信息流基础上,按照不同经济业务活动的数据输入、处理和输出功能,分类建立测评指标,开展测评和审计分析。
第二十三条 数据输入控制审计事项测评指标:
(四)数据录入和导入控制测评。检查系统有无设臵不符合国家、行业或者单位规范的数据录入、导入接口等数据采集功能,数据采集的身份与权限控制是否合理、有效。
(五)数据修改和删除控制测评。检查系统有无设臵不符合国家、行业或者单位规范的数据修改或者删除功能,用户数据修改和删除等身份与权限控制是否合理、有效。
(六)数据校验控制测评。检查数据录入、导入接口等数据采集功能的校验控制是否符合国家、行业或者单位的规定,校验控制是否有效。
(七)数据入库控制测评。检查录入、导入接口等采集的数据、缓冲区数据与进入数据库的最终数据是否一致。
(八)数据共享与交换控制测评。检查系统有无设臵不符合国家、行业或者单位规范的数据共享与交换功能,用户或者系统的数据共享与交换的身份与权限控制是否合理、有效。
— 9 —
(九)备份与恢复数据接收控制测评。检查数据备份与恢复的数据接收功能的身份与权限控制是否合理、有效,接收数据与输出数据是否一致。
第二十四条 数据处理控制审计事项测评指标:
(十)数据转换控制测评。检查系统采集外部数据和转换过程中的各项控制,是否符合国家、行业或者单位的数据转换标准和格式规范。
(十一)数据整理控制测评。检查采集数据的分类入库、数据库中相关数据的清洗、数据库间和数据表间的数据抽取与合并、数据库或者数据表的生成与废除等功能的控制,是否符合系统需求和设计要求。
(十二)数据计算控制测评。检查系统中经济业务活动的计量、计费、核算、分析,以及数据勾稽、数据平衡、断号重号等计算功能的控制,是否符合国家、行业或者单位的相关规定和规范。
(十三)数据汇总控制测评。检查系统中经济业务活动的财政财务科目汇总、报表汇总和相关业务汇总等功能实现的控制,是否符合国家、行业或者单位的相关规定和规范。
第二十五条 数据输出控制审计事项测评指标:
(十四)数据外设输出控制测评。检查计算机显示、打印和介质拷贝等数据输出功能的身份与权限控制。
(十五)数据检索输出控制测评。检查利用单项检索、组合
10 — —