廣東省教育系統(tǒng)計算機審計辦法.doc

廣東省教育系統(tǒng)計算機審計辦法第一條為了規(guī)范我省教育系統(tǒng)計算機審計工作，保證計算機審計工作質(zhì)量，根據(jù)中華人民共和國審計法、審計署關(guān)于內(nèi)部審計工作的規(guī)定、國務(wù)院辦公廳關(guān)于利用計算機信息系統(tǒng)開展審計工作有關(guān)問題的通知、教育部教育系統(tǒng)內(nèi)部審計工作規(guī)定、廣東省教育系統(tǒng)內(nèi)部審計工作規(guī)定（試行）, 結(jié)合我省教育系統(tǒng)實際情況，制定本辦法。第二條本辦法所稱計算機審計，是指各教育行政部門和單位內(nèi)部審計機構(gòu)（以下簡稱審計機構(gòu)）對被審計單位計算機信息系統(tǒng)的安全性、可靠性及對財務(wù)報告的影響進(jìn)行測試與評價，以及利用計算機作為輔助工具開展的審計。本辦法所稱計算機信息系統(tǒng)，是指被審計單位會計信息系統(tǒng)和與審計工作有關(guān)的其他經(jīng)濟管理信息系統(tǒng)。第三條審計人員在編制計算機審計方案前，應(yīng)當(dāng)了解被審計單位計算機應(yīng)用系統(tǒng)軟件、硬件的設(shè)置和系統(tǒng)的基本功能以及數(shù)據(jù)接口，關(guān)注計算機信息系統(tǒng)環(huán)境對被審計單位會計信息及內(nèi)部控制的影響，了解內(nèi)部控制程序，并對控制風(fēng)險進(jìn)行分析。第四條對被審計單位計算機應(yīng)用系統(tǒng)測試獲取審計證據(jù)時，審計人員應(yīng)當(dāng)檢測計算機應(yīng)用系統(tǒng)相關(guān)的內(nèi)部控制是否存在、有效，及其對審計證據(jù)可靠性的影響，從而確定實質(zhì)性測試的內(nèi)容及范圍。第五條 審計人員對計算機信息系統(tǒng)實施審計，主要包括下列內(nèi)容：（一）審查、評價內(nèi)部控制制度(包括管理制度和軟件控制技術(shù))；（二）審查記錄在各種載體上的數(shù)據(jù)資料(包括紙性、電磁性、光電性的憑證、賬簿、報表等)的真實性、合法性；（三）應(yīng)用軟件的測試及其技術(shù)檔案檢查；（四）應(yīng)用軟件自身安全性及網(wǎng)絡(luò)環(huán)境檢查。計算機信息系統(tǒng)為網(wǎng)絡(luò)信息系統(tǒng)時，審計人員還應(yīng)對該系統(tǒng)的硬件予以檢查。第六條 組織與管理控制審計的主要內(nèi)容：（一）審查被審計單位的組織結(jié)構(gòu)、職權(quán)和責(zé)任的分配與分工情況，其職責(zé)分工是否能夠提供有力的內(nèi)部控制，控制能否有效地發(fā)揮作用，能否保證數(shù)據(jù)處理的及時性、安全性和可靠性；（二）審查電子數(shù)據(jù)處理部門與用戶是否實現(xiàn)了職責(zé)分離，電子數(shù)據(jù)處理部門內(nèi)部是否實現(xiàn)了職責(zé)分工，程序與系統(tǒng)開發(fā)、計算機操作、輸入數(shù)據(jù)的控制以及其他不相容職責(zé)是否分離；（三）系統(tǒng)管理員的安全意識和水平如何，所有電子數(shù)據(jù)處理業(yè)務(wù)是否經(jīng)過適當(dāng)授權(quán)管理；（四）審查正常數(shù)據(jù)處理中斷以后的應(yīng)急計劃是否充分；（五）審查被審計單位是否制訂了有關(guān)計算機硬件、計算機程序、數(shù)據(jù)文件、數(shù)據(jù)傳送、輸入和輸出資料以及人員的安全規(guī)定。第七條 系統(tǒng)操作控制審計的主要內(nèi)容：（一）審查信息管理系統(tǒng)的操作內(nèi)容和權(quán)限，對操作密碼是否嚴(yán)格管理，密碼是否定期更換，系統(tǒng)管理員是否指定專人；（二）已輸入計算機的原始憑證和記賬憑證等會計數(shù)據(jù)是否經(jīng)過審核；（三）操作人員離開機房前，是否執(zhí)行相應(yīng)命令退出信息管理系統(tǒng)；（四）是否有日志記錄，記錄操作人、操作時間、操作內(nèi)容、故障情況等內(nèi)容；（五）非常狀態(tài)下的數(shù)據(jù)能否恢復(fù)。第八條 硬件控制審計的主要內(nèi)容：（一）審查信息管理系統(tǒng)所用的計算機是否專用，未經(jīng)許可不得接入Internet等其他網(wǎng)絡(luò)，以保證信息管理系統(tǒng)數(shù)據(jù)的安全性、可靠性；（二）審查是否未經(jīng)許可，私自拆裝設(shè)備，修改系統(tǒng)配置；（三）審查系統(tǒng)是否配置不間斷電源，出現(xiàn)硬件故障是否能夠及時修復(fù)。第九條 會計信息系統(tǒng)軟件控制審計的主要內(nèi)容：（一）軟件程序是否執(zhí)行國家有關(guān)的財務(wù)制度和會計準(zhǔn)則規(guī)定，計算機會計信息系統(tǒng)是否通過相關(guān)部門鑒定，是否保留非法功能；（二）審查軟件程序的內(nèi)部控制是否健全有效；（三）對自行開發(fā)的軟件檢查重要部分源程序代碼，判斷是否有錯誤；編制測試數(shù)據(jù)，進(jìn)行程序正確性的驗證；檢查被審程序的流程圖，判斷是否有邏輯錯誤； （四）對較為復(fù)雜的應(yīng)用程序，可編寫一部分虛擬業(yè)務(wù)，測試被審程序的正確性。第十條 數(shù)據(jù)處理活動控制審計的主要內(nèi)容：（一）是否制訂文件備份的規(guī)定，在文件聯(lián)機存儲的情況下，是否采取了必要的存取授權(quán)控制措施以及備份文件是否定期進(jìn)行拷貝；（二）審查數(shù)據(jù)和文件檔案資料保管情況，計算機操作員能否隨意接觸、修改文檔資料。第十一條 系統(tǒng)安全控制審計的主要內(nèi)容：（一）數(shù)據(jù)控制，能否做到數(shù)據(jù)不丟失、不損毀、不泄露、不被非法侵入；（二）審查程序的接觸控制、程序備份等，能否保證程序不被修改、不損毀、不被病毒感染；（三）審查數(shù)據(jù)加密技術(shù)（數(shù)據(jù)的加解密、認(rèn)證信息的加解密、數(shù)字簽名），訪問控制技術(shù)，認(rèn)證技術(shù)等；（四）系統(tǒng)是否有身份驗證，檢查存取控制的權(quán)限控制狀況，充分關(guān)注數(shù)據(jù)完整性、機密性，關(guān)注防火墻技術(shù)性能和安全協(xié)議的設(shè)計情況。第十二條 應(yīng)用控制審計的主要內(nèi)容：（一）審查系統(tǒng)接觸控制，對程序資料、數(shù)據(jù)文件是否有專人保管，程序軟件是否限于編程人員維護(hù)；（二）審查輸入控制，會計信息系統(tǒng)有無制定嚴(yán)格的預(yù)防原始憑證和記賬憑證等會計數(shù)據(jù)未經(jīng)審核而輸入計算機的措施，能否對輸入數(shù)據(jù)進(jìn)行合法性檢查，能否防止輸入數(shù)據(jù)被非法修改；（三）審查系統(tǒng)處理數(shù)據(jù)的正確性和有效性，系統(tǒng)能否對運行過程中可能出現(xiàn)的錯誤進(jìn)行糾錯；（四）審查數(shù)據(jù)控制，測試憑證庫、賬薄庫原始數(shù)據(jù)的正確性、有效性、完整性；（五）審查輸出控制，是否有輸出數(shù)據(jù)合法性檢查，能否及時將輸出報告送交使用者，數(shù)據(jù)介質(zhì)是否能實現(xiàn)安全管理。第十三條 對應(yīng)用軟件進(jìn)行測試及對技術(shù)檔案審計時，可以使用如下方法：（一）審計人員可以運用測試數(shù)據(jù)法、平行模擬法、嵌入審計模塊法、綜合測試法、受控處理法和受控再處理法等對應(yīng)用軟件進(jìn)行測試；（二）審計人員可以運用面談法、系統(tǒng)文檔審閱法、觀察法、計算機系統(tǒng)文字描述法、表格描述法等。第十四條 計算機輔助審計的主要內(nèi)容：（一）審計業(yè)務(wù)所需法律、法規(guī)的輔助檢索；（二）對被審計單位電子數(shù)據(jù)的真實性、正確性、完整性的驗證；（三）對被審計單位財務(wù)報表的輔助分析；（四）分析審計風(fēng)險和擬定審計方案；（五）對被審計單位的財務(wù)收支進(jìn)行檢查；（六）形成審計工作底稿；（七）形成審計報告；（八）對審計資料的管理；（九）對審計項目計劃的管理；（十）對審計檔案的管理；（十一）對審計業(yè)務(wù)的綜合、統(tǒng)計和分析；（十二）其他內(nèi)容。第十五條 開展計算機審計工作應(yīng)當(dāng)由經(jīng)過計算機審計專業(yè)培訓(xùn)的人員實施，必要時可以聘請計算機審計專家參加。審計機構(gòu)應(yīng)當(dāng)定期對承擔(dān)計算機輔助審計的審計人員開展業(yè)務(wù)進(jìn)修和崗位培訓(xùn)。第十六條審計機構(gòu)有權(quán)對本部門、本單位及其所屬、所辦的事業(yè)單位、企業(yè)(含占控股地位的企業(yè))的有關(guān)經(jīng)濟活動的計算機信息系統(tǒng)進(jìn)行審計監(jiān)督。被審計單位必須按照審計機構(gòu)的要求，提供實施計算機審計的必要工作條件，要授予審計人員對計算機信息系統(tǒng)進(jìn)行訪問、核查的有關(guān)權(quán)限。第十七條審計機構(gòu)有權(quán)要求本部門、本單位及其所屬部門、單位的計算機信息系統(tǒng)給內(nèi)部審計留有查詢專用的客戶端。對于自行開發(fā)的信息系統(tǒng)，審計機構(gòu)有權(quán)要求其系統(tǒng)的數(shù)據(jù)接口能夠轉(zhuǎn)換成指定的格式輸出。第十八條審計機構(gòu)實施計算機審計時，有權(quán)檢查、索取與審計有關(guān)的內(nèi)部控制制度、各載體數(shù)據(jù)、應(yīng)用軟件及其技術(shù)檔案資料，被審計單位應(yīng)如實提供。第十九條 審計人員在工作中獲取有關(guān)被審計單位的文檔資料和電子數(shù)據(jù)時，應(yīng)視同使用相應(yīng)的紙質(zhì)資料，要按規(guī)定履行使用手續(xù)。第二十條審計機構(gòu)實施計算機審計時，未經(jīng)被審計單位同意，不得向該系統(tǒng)中寫入或改寫任何信息。第二十一條審計機構(gòu)對被審計單位電子數(shù)據(jù)真實性產(chǎn)生疑問時,可以對計算機信息系統(tǒng)進(jìn)行測試。測試計算機信息系統(tǒng)時,審計人員應(yīng)當(dāng)提出測試方案,會同被審計單位操作人員按照方案的要求進(jìn)行測試。 第二十二條審計機構(gòu)在計算機審計過程中，發(fā)現(xiàn)被審計單位或者個人利用計算機技術(shù)手段違反財經(jīng)法規(guī)，嚴(yán)重?fù)p害國家利益的行為，應(yīng)要求被審計單位停止使用該計算機系統(tǒng)，并應(yīng)及時報告主管領(lǐng)導(dǎo)或上級部門處理。審計機構(gòu)在審計中發(fā)現(xiàn)被審計單位開發(fā)、故意使用有舞弊功能的計算機信息系統(tǒng)的，要提出依法追究有關(guān)單位和人員責(zé)任的建議；對情節(jié)嚴(yán)重，構(gòu)成犯罪的，要移送司法機關(guān)處理。第二十三條 違反本辦法，有下列行為之一的單位和個人，根據(jù)情節(jié)輕重，審計機構(gòu)可以提出有關(guān)處理建議，報請本部門、本單位領(lǐng)導(dǎo)或紀(jì)檢監(jiān)察部門處理：（一）拒絕或拖延提供