检索等检索工具对系统中部分数据或者全部数据的检索输出功能的身份与权限控制。
(十六)数据共享输出控制测评。检查系统内部相关子系统之间、系统与外部系统之间通过信息交换或者信息共享方式数据输出功能的身份与权限控制。
(十七)备份与恢复输出控制测评。检查运行系统向备份系统、备份系统向恢复系统数据输出的身份与权限控制是否合理、有效。
第三节 信息共享和业务协同审计
第二十六条 信息共享与业务协同审计的目的是通过检查被审计单位信息系统内外部信息共享与业务协同,揭示共享与协同控制的缺失,分析并评价风险程度,形成被审计单位信息共享与业务协同水平的审计评价和结论,提出审计意见和建议;为数据审计获取真实、完整和正确的审计数据,以及审计项目对被审计单位信息共享与业务协同的审计评价提供支持。
第二十七条 信息共享与业务协同审计事项测评指标: (十八)信息资源目录体系测评。检查信息资源目录体系是否符合国家或者行业的相关规范,是否较好地满足各类业务和管理的需要。
(十九)信息资源交换体系测评。检查信息资源交换体系是否符合国家或者行业的相关规范,是否较好地满足信息交换的需要。
— 11 —
(二十)元数据和主数据测评。检查系统中的元数据和主数据是否符合国家、行业或者单位的相关规范,是否较好地满足信息系统建设、应用和共享的需要。
(二十一)数据元素和数据库表测评。检查系统中的数据元素(数据库表中的数据字段)和数据库表,是否符合行业或者单位的相关规范,是否较好地满足信息系统建设、应用和共享的需要。
(二十二)内部数据和外部数据测评。检查信息系统内部产生的包括预算管理、会计核算和相关业务的数据,以及为履行职能或者实现经济业务活动需要从其他单位获取的外部数据,形成的各类数据是否具有真实性、完整性和正确性,是否较好地满足经济业务活动的需要。
(二十三)信息资源标准化测评。检查信息系统是否建立了满足信息共享和业务协同的信息资源标准和规范,是否执行了国家或者行业的标准化要求,是否为推进经济业务活动的共享协同提供了有效支撑。
第二十八条 共享信息建设审计事项测评指标:
(二十四)公共基础信息建设测评。检查被审计单位按照国家或者行业确定的人口、法人、空间地理等满足公共需要的公共基础信息的建设任务,是否按照国家或者行业关于公共基础信息的标准规范组织建设,是否建立了公共基础信息共享的管理制度和机制,是否具有较为完备的信息系统实现功能,是否支持了公
12 — —
共基础信息的信息共享与业务协同。
(二十五)其他共享信息建设测评。检查被审计单位按照国家或者行业确定、或者与其他部门协定的满足其他部门经济业务活动需要的共享信息的建设任务,是否按照国家、行业或者协定的共享信息标准规范组织建设,是否建立了共享信息的管理制度和机制,是否具有较为完备的信息系统实现功能,是否支持了其他部门的信息共享与业务协同。
(二十六)信息共享平台建设测评。检查被审计单位按照国家或者行业确定的信息共享平台建设任务,是否按照国家或者行业关于共享平台建设的标准规范组织建设和运维,是否建立了信息共享和信息安全的技术控制和管理机制,是否具有较为完备的信息系统实现功能,是否支持了相关部门的信息共享和业务协同。
第二十九条 共享外部数据审计事项测评指标:
(二十七)共享外部数据测评。检查被审计单位职能需要的公共基础信息和其他共享信息,以及与系统内部数据的业务关联度,是否具有较为明确的共享外部数据信息目录和格式规范。
(二十八)共享外部数据有效性评估。检查被审计单位是否建立了获取外部数据的相关制度和机制,系统是否具有获取外部数据的接口功能,分析外部数据缺失对被审计单位经济业务活动有效性的影响,分析研究缺失外部数据的原因和解决途径。
第三十条 供给外部数据审计事项测评指标:
(二十九)供给外部数据测评。检查系统是否具有外部所需
— 13 —
的公共基础信息和其他共享信息,是否建立了供给外部数据和信息资源共建共享的相关制度和机制,是否能够满足外部政务职能、社会管理职能等组织机构的信息需求。
(三十)供给外部数据有效性评估。检查被审计单位是否建立了供给外部数据的相关制度和机制,系统是否具有符合国家或者行业数据接口标准的数据输出接口功能,是否按照国家或者行业相关规定实现了有效的信息交换与共享机制,是否较好地支持了外部系统相关业务的协同发展。
第四章 一般控制审计
第一节 信息系统总体控制审计
第三十一条 信息系统总体控制审计的目的是通过检查被审计单位信息系统总体控制的战略规划、组织架构、制度机制、岗位职责、内部监督等,分析信息系统在内部环境、风险评估、控制活动、信息与沟通、内部监督方面的有效性及其风险,形成信息系统总体控制的审计评价和结论,提出审计意见和建议,促进信息系统总体控制的完善,并为审计项目对信息系统总体控制的审计评价提供支持。
第三十二条 信息系统总体控制审计事项评价指标: (三十一)战略规划评价。检查被审计单位是否建立了信息系统战略发展规划,是否明确了战略目标、整体规划、实现指标
14 — —
和相应的实施机制,以及规划的业务和管理的覆盖面、所辖行业的覆盖面,是否能够指导和推进信息化环境下经济业务活动的战略发展。
(三十二)组织架构评价。检查被审计单位是否建立了与信息系统战略发展规划相匹配的决策与管理层领导机构、项目实施层工作机构,以及行业内各层级的信息化工作机构,是否建立了各类机构的权力责任和制约机制,是否有效地发挥了各类机构的作用。
(三十三)制度体系评价。检查被审计单位是否建立了与信息系统战略规划和组织架构相匹配的项目管理制度、项目建设制度、质量检查制度等,是否建立了重大问题的决策机制,是否形成了领导机构对项目实施机构和行业工作机构的统一领导,项目实施机构是否形成了对项目建设进度、项目质量、投资效果和风险防范的有效控制。
(三十四)岗位职责评价。检查被审计单位信息系统规划、建设、运维等方面的岗位设臵、人员配臵、岗位职责,是否建立了各类岗位职责的检查考核机制,是否建立了信息系统建设和经济业务活动之间、信息系统建设的相关岗位之间有效的信息沟通与交互机制。
(三十五)内部监督评价。检查被审计单位是否建立健全了信息系统建设和运维全过程的内部监督机构和监督机制,是否形成了对信息系统的风险评估、控制活动和信息交互等方面的有效
— 15 —