计算机审计实务公告第34号-关于印发信息系统审计指.doc

中华人民共和国审计署文件审计发〔 20 12〕 11号审计署关于印发信息系统审计指南——计算机审计实务公告第 34 号的通知各省、自治区、直辖市和计划单列市、新疆生产建设兵团审计厅(局) ,署机关各单位、各特派员办事处、各派出审计局: 信息系统审计指南——计算机审计实务公告第 34号, 经署领导同意,现予印发,供审计机关实施信息系统审计参考。二○一二年二月一日信息系统审计指南——计算机审计实务公告第 34 号目录第一章总则第二章信息系统审计的组织第三章应用控制审计第一节信息系统业务流程控制审计第二节数据输入、处理和输出控制审计第三节信息共享和业务协同审计第四章一般控制审计第一节信息系统总体控制审计第二节信息安全技术控制审计第三节信息安全管理控制审计第五章项目管理审计第一节信息系统建设经济性评价第二节信息系统建设管理评价第三节信息系统绩效评价第六章信息系统审计方法第七章附则第一章总则第一条为进一步指导和规范国家审计机关组织开展的信息系统审计活动,提高审计效率,保证审计质量,制定本指南。第二条本指南所称信息系统,是指被审计单位利用现代信息技术实现财政收支、财务收支及其相关经济业务活动的信息处理的系统。第三条本指南所称信息系统审计,是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。第四条本指南所称审计指标,是指对审计事项的测评指标或者评价指标。第五条信息系统审计可以作为财政收支、财务收支及其相关经济业务活动(以下简称经济业务活动)审计项目的审计内容组织开展,也可以作为独立组织的信息系统审计项目实施。第二章信息系统审计的组织第六条信息系统审计的主要目标是通过检查和评价被审计单位信息系统的安全性、可靠性和经济性,揭示信息系统存在的问题,提出完善信息系统控制的审计意见和建议,促进被审计单位信息系统实现组织目标;同时,通过检查和评价信息系统产生数据的真实性、完整性和正确性,防范和控制审计风险。第七条信息系统审计内容,包括对应用控制、一般控制和项目管理的审计。应用控制包括:信息系统业务流程,数据输入、处理和输出的控制,信息共享和业务协同。一般控制包括:信息系统总体控制,信息安全技术控制,信息安全管理控制。项目管理包括: 信息系统建设的经济性, 信息系统建设管理, 信息系统绩效。第八条审计人员可以根据审计实施方案要求,选择应用控制、一般控制和项目管理中的相关内容组织实施。结合经济业务活动审计项目开展的信息系统审计,可以按照审计实施方案要求,重点选择信息系统中容易产生数据风险的内容(见附录) ,也可以根据需要选择其他内容组织实施。独立组织开展的信息系统审计项目,可以按照审计实施方案要求,选择本指南所述的全部或者部分内容组织实施。第九条信息系统审计步骤: 审计机关在开展初选审计项目可行性研究和编制审计实施方案时,要调查了解被审计单位相关经济业务活动及其所依赖的信息系统; 调查了解信息系统的需求与设计、研发与集成、使用与控制、运维与保障等,以及相关的组织架构、责任机制和控制制度; 调查了解系统承载业务的业务流、资金流和信息流,重点分析系统结构和数据结构,标识信息系统审计的关键控制环节和控制点; 研究并确定信息系统应用控制、一般控制和项目管理的审计内容、审计事项和审计指标; 开展应用控制、一般控制和项目管理的审计测试和评价,获取审计证据,记录相关指标的测评情况,分析系统控制水平以及数据风险,评价系统建设的经济性及信息化投资的有效性; 编写信息系统审计报告。按照审计实施方案要求,依据审计记录和审计证据,评价信息系统的真实性、合法性、效益性和安全性,分析信息系统的控制缺失程度、风险水平、成因和责任, 形成审计结论,提出改进信息系统控制、防范系统控制缺失产生审计风险的审计意见和建议。第十条结合经济业务活动审计项目组织开展的信息系统审计,可以先实施信息系统控制测评,以便向数据审计提供系统控制缺失产生数据风险的测评结果和审计建议。信息系统审计报告是项目审计报告的重要组成部分。第十一条审计人员应当按照审计实施方案确定的审计事项获取相应的审计证据。获取审计证据的法定权限、程序和方法,以及审计证据的适当性和充分性等,依照审计机关相关规定执行。第十二条审计人员应当对能够支持编制审计实施方案和审计报告的相关内容进行审计记录。审计记录中的调查了解记录、审计工作底稿和重要管理事项记录,以及与审计证据的关系等,依照审计机关相关规定执行。第十三条信息系统审计应当加强审计质量控制。审计质量控制依照审计机关相关规定执行。第十四条信息系统审计中,应当区分各方责任: 在信息系统建设和运维中,遵守国家和行业的相关法律法规和业务规范, 建立并实施内部控制以保障经济业务活动的有效运行和组织目标的实现; 提供审计机关所需的各类资料和电子数据, 并承诺其真