廣東省教育系統(tǒng)計算機審計辦法.doc

廣東省教育系統(tǒng)計算機審計辦法第一條為了規(guī)范我省教育系統(tǒng)計算機審計工作，保證計算機審計工作質量，根據(jù)中華人民共和國審計法、審計署關于內部審計工作的規(guī)定、國務院辦公廳關于利用計算機信息系統(tǒng)開展審計工作有關問題的通知、教育部教育系統(tǒng)內部審計工作規(guī)定、廣東省教育系統(tǒng)內部審計工作規(guī)定（試行）, 結合我省教育系統(tǒng)實際情況，制定本辦法。第二條本辦法所稱計算機審計，是指各教育行政部門和單位內部審計機構（以下簡稱審計機構）對被審計單位計算機信息系統(tǒng)的安全性、可靠性及對財務報告的影響進行測試與評價，以及利用計算機作為輔助工具開展的審計。本辦法所稱計算機信息系統(tǒng)，是指被審計單位會計信息系統(tǒng)和與審計工作有關的其他經(jīng)濟管理信息系統(tǒng)。第三條審計人員在編制計算機審計方案前，應當了解被審計單位計算機應用系統(tǒng)軟件、硬件的設置和系統(tǒng)的基本功能以及數(shù)據(jù)接口，關注計算機信息系統(tǒng)環(huán)境對被審計單位會計信息及內部控制的影響，了解內部控制程序，并對控制風險進行分析。第四條對被審計單位計算機應用系統(tǒng)測試獲取審計證據(jù)時，審計人員應當檢測計算機應用系統(tǒng)相關的內部控制是否存在、有效，及其對審計證據(jù)可靠性的影響，從而確定實質性測試的內容及范圍。第五條 審計人員對計算機信息系統(tǒng)實施審計，主要包括下列內容：（一）審查、評價內部控制制度(包括管理制度和軟件控制技術)；（二）審查記錄在各種載體上的數(shù)據(jù)資料(包括紙性、電磁性、光電性的憑證、賬簿、報表等)的真實性、合法性；（三）應用軟件的測試及其技術檔案檢查；（四）應用軟件自身安全性及網(wǎng)絡環(huán)境檢查。計算機信息系統(tǒng)為網(wǎng)絡信息系統(tǒng)時，審計人員還應對該系統(tǒng)的硬件予以檢查。第六條 組織與管理控制審計的主要內容：（一）審查被審計單位的組織結構、職權和責任的分配與分工情況，其職責分工是否能夠提供有力的內部控制，控制能否有效地發(fā)揮作用，能否保證數(shù)據(jù)處理的及時性、安全性和可靠性；（二）審查電子數(shù)據(jù)處理部門與用戶是否實現(xiàn)了職責分離，電子數(shù)據(jù)處理部門內部是否實現(xiàn)了職責分工，程序與系統(tǒng)開發(fā)、計算機操作、輸入數(shù)據(jù)的控制以及其他不相容職責是否分離；（三）系統(tǒng)管理員的安全意識和水平如何，所有電子數(shù)據(jù)處理業(yè)務是否經(jīng)過適當授權管理；（四）審查正常數(shù)據(jù)處理中斷以后的應急計劃是否充分；（五）審查被審計單位是否制訂了有關計算機硬件、計算機程序、數(shù)據(jù)文件、數(shù)據(jù)傳送、輸入和輸出資料以及人員的安全規(guī)定。第七條 系統(tǒng)操作控制審計的主要內容：（一）審查信息管理系統(tǒng)的操作內容和權限，對操作密碼是否嚴格管理，密碼是否定期更換，系統(tǒng)管理員是否指定專人；（二）已輸入計算機的原始憑證和記賬憑證等會計數(shù)據(jù)是否經(jīng)過審核；（三）操作人員離開機房前，是否執(zhí)行相應命令退出信息管理系統(tǒng)；（四）是否有日志記錄，記錄操作人、操作時間、操作內容、故障情況等內容；（五）非常狀態(tài)下的數(shù)據(jù)能否恢復。第八條 硬件控制審計的主要內容：（一）審查信息管理系統(tǒng)所用的計算機是否專用，未經(jīng)許可不得接入Internet等其他網(wǎng)絡，以保證信息管理系統(tǒng)數(shù)據(jù)的安全性、可靠性；（二）審查是否未經(jīng)許可，私自拆裝設備，修改系統(tǒng)配置；（三）審查系統(tǒng)是否配置不間斷電源，出現(xiàn)硬件故障是否能夠及時修復。第九條 會計信息系統(tǒng)軟件控制審計的主要內容：（一）軟件程序是否執(zhí)行國家有關的財務制度和會計準則規(guī)定，計算機會計信息系統(tǒng)是否通過相關部門鑒定，是否保留非法功能；（二）審查軟件程序的內部控制是否健全有效；（三）對自行開發(fā)的軟件檢查重要部分源程序代碼，判斷是否有錯誤；編制測試數(shù)據(jù)，進行程序正確性的驗證；檢查被審程序的流程圖，判斷是否有邏輯錯誤； （四）對較為復雜的應用程序，可編寫一部分虛擬業(yè)務，測試被審程序的正確性。第十條 數(shù)據(jù)處理活動控制審計的主要內容：（一）是否制訂文件備份的規(guī)定，在文件聯(lián)機存儲的情況下，是否采取了必要的存取授權控制措施以及備份文件是否定期進行拷貝；（二）審查數(shù)據(jù)和文件檔案資料保管情況，計算機操作員能否隨意接觸、修改文檔資料。第十一條 系統(tǒng)安全控制審計的主要內容：（一）數(shù)據(jù)控制，能否做到數(shù)據(jù)不丟失、不損毀、不泄露、不被非法侵入；（二）審查程序的接觸控制、程序備份等，能否保證程序不被修改、不損毀、不被病毒感染；（三）審查數(shù)據(jù)加密技術（數(shù)據(jù)的加解密、認證信息的加解密、數(shù)字簽名），訪問控制技術，認證技術等；（四）系統(tǒng)是否有身份驗證，檢查存取控制的權限控制狀況，充分關注數(shù)據(jù)完整性、機密性，關注防火墻技術性能和安全協(xié)議的設計情況。第十二條 應用控制審計的主要內容：（一）審查系統(tǒng)接觸控制，對程序資料、數(shù)據(jù)文件是否有專人保管，程序軟件是否限于編程人員維護；（二）審查輸入控制，會計信息系統(tǒng)有無制定嚴格的預防原始憑證和記賬憑證等會計數(shù)據(jù)未經(jīng)審核而輸入計算機的措施，能否對輸入數(shù)據(jù)進行合法性檢查，能否防止輸入數(shù)據(jù)被非法修改；（三）審查系統(tǒng)處理數(shù)據(jù)的正確性和有效性，系統(tǒng)能否對運行過程中可能出現(xiàn)的錯誤進行糾錯；（四）審查數(shù)據(jù)控制，測試憑證庫、賬薄庫原始數(shù)據(jù)的正確性、有效性、完整性；（五）審查輸出控制，是否有輸出數(shù)據(jù)合法性檢查，能否及時將輸出報告送交使用者，數(shù)據(jù)介質是否能實現(xiàn)安全管理。第十三條 對應用軟件進行測試及對技術檔案審計時，可以使用如下方法：（一）審計人員可以運用測試數(shù)據(jù)法、平行模擬法、嵌入審計模塊法、綜合測試法、受控處理法和受控再處理法等對應用軟件進行測試；（二）審計人員可以運用面談法、系統(tǒng)文檔審閱法、觀察法、計算機系統(tǒng)文字描述法、表格描述法等。第十四條 計算機輔助審計的主要內容：（一）審計業(yè)務所需法律、法規(guī)的輔助檢索；（二）對被審計單位電子數(shù)據(jù)的真實性、正確性、完整性的驗證；（三）對被審計單位財務報表的輔助分析；（四）分析審計風險和擬定審計方案；（五）對被審計單位的財務收支進行檢查；（六）形成審計工作底稿；（七）形成審計報告；（八）對審計資料的管理；（九）對審計項目計劃的管理；（十）對審計檔案的管理；（十一）對審計業(yè)務的綜合、統(tǒng)計和分析；（十二）其他內容。第十五條 開展計算機審計工作應當由經(jīng)過計算機審計專業(yè)培訓的人員實施，必要時可以聘請計算機審計專家參加。審計機構應當定期對承擔計算機輔助審計的審計人員開展業(yè)務進修和崗位培訓。第十六條審計機構有權對本部門、本單位及其所屬、所辦的事業(yè)單位、企業(yè)(含占控股地位的企業(yè))的有關經(jīng)濟活動的計算機信息系統(tǒng)進行審計監(jiān)督。被審計單位必須按照審計機構的要求，提供實施計算機審計的必要工作條件，要授予審計人員對計算機信息系統(tǒng)進行訪問、核查的有關權限。第十七條審計機構有權要求本部門、本單位及其所屬部門、單位的計算機信息系統(tǒng)給內部審計留有查詢專用的客戶端。對于自行開發(fā)的信息系統(tǒng)，審計機構有權要求其系統(tǒng)的數(shù)據(jù)接口能夠轉換成指定的格式輸出。第十八條審計機構實施計算機審計時，有權檢查、索取與審計有關的內部控制制度、各載體數(shù)據(jù)、應用軟件及其技術檔案資料，被審計單位應如實提供。第十九條 審計人員在工作中獲取有關被審計單位的文檔資料和電子數(shù)據(jù)時，應視同使用相應的紙質資料，要按規(guī)定履行使用手續(xù)。第二十條審計機構實施計算機審計時，未經(jīng)被審計單位同意，不得向該系統(tǒng)中寫入或改寫任何信息。第二十一條審計機構對被審計單位電子數(shù)據(jù)真實性產(chǎn)生疑問時,可以對計算機信息系統(tǒng)進行測試。測試計算機信息系統(tǒng)時,審計人員應當提出測試方案,會同被審計單位操作人員按照方案的要求進行測試。 第二十二條審計機構在計算機審計過程中，發(fā)現(xiàn)被審計單位或者個人利用計算機技術手段違反財經(jīng)法規(guī)，嚴重損害國家利益的行為，應要求被審計單位停止使用該計算機系統(tǒng)，并應及時報告主管領導或上級部門處理。審計機構在審計中發(fā)現(xiàn)被審計單位開發(fā)、故意使用有舞弊功能的計算機信息系統(tǒng)的，要提出依法追究有關單位和人員責任的建議；對情節(jié)嚴重，構成犯罪的，要移送司法機關處理。第二十三條 違反本辦法，有下列行為之一的單位和個人，根據(jù)情節(jié)輕重，審計機構可以提出有關處理建議，報請本部門、本單位領導或紀檢監(jiān)察部門處理：（一）拒絕或拖延提供