广东省教育系统信息系统审计办法

发布者:系统管理员发布时间:2016-12-23浏览次数:642

第一条 为了规范教育系统信息系统审计工作,保证信息系统审计工作质量和效率,根据《中华人民共和国审计法》、《中华人民共和国审计法实施条例》、《审计署关于内部审计工作的规定》、《教育系统内部审计工作规定》、《中国内部审计准则》以及《广东省教育系统内部审计工作规定》等法律法规, 结合广东省教育系统实际情况,制定本办法。

第二条 本办法所称信息系统审计,是指各教育行政部门和单位的内部审计机构对被审计单位信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。

第三条 信息系统审计的目的是通过实施信息系统审计工作,对单位是否实现信息技术管理目标进行审查和评价,并基于评价意见提出管理建议,协助单位信息技术管理人员有效地履行职责。

第四条 从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验。必要时可以聘请外部专家完成信息系统审计工作。

第五条 信息系统审计可以作为独立的审计项目单位实施,也可以作为综合性内部审计项目的组成部分实施。

当信息系统审计作为综合性内部审计项目的一部分时,信息系统审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的发现,并考虑依据审计结果调整其他相关审计的范围、时间及性质。

第六条 内部审计人员在实施信息系统审计前,需要确定审计目标并初步评估审计风险,确定重点审计领域及审计活动的优先次序,明确审计组成员的职责,编制信息系统审计方案。

第七条 审计人员对信息系统实施审计,主要包括下列内容:

(一)审查、评价内部控制制度(包括管理制度和软件控制技术);

(二)审查记录在各种载体上的数据资料(包括纸性、电磁性、光电性的凭证、账簿、报表等)的真实性、合法性;

(三)应用软件的测试及其技术档案检查;

(四)应用软件自身安全性及网络环境检查;

(五)其他。

第八条 信息系统审计除上述常规的审计内容外,内部审计人员还可以根据组织当前面临的特殊风险或者需求,设计专项审计以满足审计战略,具体包括(但不限于)下列领域:

(一)信息系统开发实施项目的专项审计;

(二)信息系统安全专项审计;

(三)信息技术投资专项审计;

(四)业务连续性计划的专项审计;

(五)外包条件下的专项审计;

(六)法律、法规、行业规范要求的内部控制合规性专项审计;

(七)其他专项审计。

第九条 内部审计人员在进行信息系统审计时,可以单独或者综合运用下列审计方法获取相关、可靠和充分的审计证据,以评估信息系统内部控制的设计合理性和运行有效性:

(一)询问相关控制人员;

(二)观察特定控制的运用;

(三)审阅文件和报告及计算机文档或者日志;

(四)根据信息系统的特性进行穿行测试,追踪交易在信息系统中的处理过程;

(五)验证系统控制和计算逻辑;

(六)登录信息系统进行系统查询;

(七)利用计算机辅助审计工具和技术;

(八)利用其他专业机构的审计结果或者单位对信息技术内部控制的自我评估结果;

(九)其他。

第十条 信息系统审计人员可以根据实际需要利用计算机辅助审计工具和技术进行数据的验证、关键系统控制/计算的逻辑验证、审计样本选取等;内部审计人员在充分考虑安全的前提下,可以利用可靠的信息安全侦测工具进行渗透性测试等。

第十一条 审计人员在工作中获取有关被审计单位的文档资料和电子数据时,应视同使用相应的纸质资料,要按规定履行使用手续。

第十二条 内部审计机构实施信息系统审计时,未经被审计单位同意,不得向该系统中写入或改写任何信息。

第十三条 内部审计机构在信息系统审计过程中,发现被审计单位或者个人利用计算机技术手段违反财经法规,严重损害国家利益的行为,应及时报告主要负责人或上级部门处理。

内部审计机构在审计中发现被审计单位开发、故意使用有舞弊功能的信息系统的,要提出依法追究有关单位和人员责任的建议,对情节严重,构成犯罪的,要移送司法机关处理。

第十四条 审计人员在审计过程中对取得的信息资料应予保密,不得用于与审计工作无关的目的。

第十五条 本办法由广东省教育厅负责解释。

第十六条 本办法自201631日起施行,广东省教育厅于2006113日发布的《广东省教育系统计算机审计办法》同时废止。