计算机审计实务公告第34号-关于印发信息系统审计指 下载本文

中华人民共和国审计署文件

审计发〔2012〕11号

审计署关于印发信息系统审计指南 ——计算机审计实务公告第34号的通知

各省、自治区、直辖市和计划单列市、新疆生产建设兵团审计厅(局),署机关各单位、各特派员办事处、各派出审计局: 信息系统审计指南——计算机审计实务公告第34号,经署领导同意,现予印发,供审计机关实施信息系统审计参考。

二○一二年二月一日

信息系统审计指南——计算机审计

实务公告第34号

目 录

第一章 总 则

第二章 信息系统审计的组织 第三章 应用控制审计

第一节 信息系统业务流程控制审计 第二节 数据输入、处理和输出控制审计 第三节 信息共享和业务协同审计 第四章 一般控制审计

第一节 信息系统总体控制审计 第二节 信息安全技术控制审计 第三节 信息安全管理控制审计 第五章 项目管理审计

第一节 信息系统建设经济性评价 第二节 信息系统建设管理评价 第三节 信息系统绩效评价 第六章 信息系统审计方法 第七章 附 则

第一章 总 则

第一条 为进一步指导和规范国家审计机关组织开展的信息系统审计活动,提高审计效率,保证审计质量,制定本指南。 第二条 本指南所称信息系统,是指被审计单位利用现代信息技术实现财政收支、财务收支及其相关经济业务活动的信息处理的系统。

第三条 本指南所称信息系统审计,是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。

第四条 本指南所称审计指标,是指对审计事项的测评指标或者评价指标。

第五条 信息系统审计可以作为财政收支、财务收支及其相关经济业务活动(以下简称经济业务活动)审计项目的审计内容组织开展,也可以作为独立组织的信息系统审计项目实施。

第二章 信息系统审计的组织

第六条 信息系统审计的主要目标是通过检查和评价被审计单位信息系统的安全性、可靠性和经济性,揭示信息系统存在的问题,提出完善信息系统控制的审计意见和建议,促进被审计单位信息系统实现组织目标;同时,通过检查和评价信息系统产生数据的真实性、完整性和正确性,防范和控制审计风险。

第七条 信息系统审计内容,包括对应用控制、一般控制和

项目管理的审计。

应用控制包括:信息系统业务流程,数据输入、处理和输出的控制,信息共享和业务协同。

一般控制包括:信息系统总体控制,信息安全技术控制,信息安全管理控制。

项目管理包括:信息系统建设的经济性,信息系统建设管理,信息系统绩效。

第八条 审计人员可以根据审计实施方案要求,选择应用控制、一般控制和项目管理中的相关内容组织实施。

结合经济业务活动审计项目开展的信息系统审计,可以按照审计实施方案要求,重点选择信息系统中容易产生数据风险的内容(见附录),也可以根据需要选择其他内容组织实施。

独立组织开展的信息系统审计项目,可以按照审计实施方案要求,选择本指南所述的全部或者部分内容组织实施。 第九条 信息系统审计步骤:

审计机关在开展初选审计项目可行性研究和编制审计实施方案时,要调查了解被审计单位相关经济业务活动及其所依赖的信息系统;

调查了解信息系统的需求与设计、研发与集成、使用与控制、运维与保障等,以及相关的组织架构、责任机制和控制制度;

调查了解系统承载业务的业务流、资金流和信息流,重点分析系统结构和数据结构,标识信息系统审计的关键控制环节和控