广东省教育系统计算机审计办法

广东省教育系统计算机审计办法

第一条 为了规范我省教育系统计算机审计工作，保证计算机审计工作质量，根据《中华人民共和国审计法》、《审计署关于内部审计工作的规定》、《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》、教育部《教育系统内部审计工作规定》、《广东省教育系统内部审计工作规定（试行）》, 结合我省教育系统实际情况，制定本办法。

第二条 本办法所称计算机审计，是指各教育行政部门和单位内部审计机构（以下简称审计机构）对被审计单位计算机信息系统的安全性、可靠性及对财务报告的影响进行测试与评价，以及利用计算机作为辅助工具开展的审计。

本办法所称计算机信息系统，是指被审计单位会计信息系统和与审计工作有关的其他经济管理信息系统。

第三条 审计人员在编制计算机审计方案前，应当了解被审计单位计算机应用系统软件、硬件的设置和系统的基本功能以及数据接口，关注计算机信息系统环境对被审计单位会计信息及内部控制的影响，了解内部控制程序，并对控制风险进行分析。

第四条 对被审计单位计算机应用系统测试获取审计证据时，审计人员应当检测计算机应用系统相关的内部控制是否存在、有效，及其对审计证据可靠性的影响，从而确定实质性测试的内容及范围。

第五条 审计人员对计算机信息系统实施审计，主要包括下列内容：

（一）审查、评价内部控制制度(包括管理制度和软件控制技术)；

（二）审查记录在各种载体上的数据资料(包括纸性、电磁性、光电性的凭证、账簿、报表等)的真实性、合法性；

（三）应用软件的测试及其技术档案检查；

（四）应用软件自身安全性及网络环境检查。

计算机信息系统为网络信息系统时，审计人员还应对该系统的硬件予以检查。

第六条 组织与管理控制审计的主要内容：

（一）审查被审计单位的组织结构、职权和责任的分配与分工情况，其职责分工是否能够提供有力的内部控制，控制能否有效地发挥作用，能否保证数据处理的及时性、安全性和可靠性；

（二）审查电子数据处理部门与用户是否实现了职责分离，电子数据处理部门内部是否实现了职责分工，程序与系统开发、计算机操作、输入数据的控制以及其他不相容职责是否分离；

（三）系统管理员的安全意识和水平如何，所有电子数据处理业务是否经过适当授权管理；

（四）审查正常数据处理中断以后的应急计划是否充分；

（五）审查被审计单位是否制订了有关计算机硬件、计算机程序、数据文件、数据传送、输入和输出资料以及人员的安全规定。

第七条 系统操作控制审计的主要内容：

（一）审查信息管理系统的操作内容和权限，对操作密码是否严格管理，密码是否定期更换，系统管理员是否指定专人；

（二）已输入计算机的原始凭证和记账凭证等会计数据是否经过审核；

（三）操作人员离开机房前，是否执行相应命令退出信息管理系统；

（四）是否有日志记录，记录操作人、操作时间、操作内容、故障情况等内容；

（五）非常状态下的数据能否恢复。

第八条 硬件控制审计的主要内容：

（一）审查信息管理系统所用的计算机是否专用，未经许可不得接入Internet等其他网络，以保证信息管理系统数据的安全性、可靠性；

（二）审查是否未经许可，私自拆装设备，修改系统配置；

（三）审查系统是否配置不间断电源，出现硬件故障是否能够及时修复。

第九条 会计信息系统软件控制审计的主要内容：

（一）软件程序是否执行国家有关的财务制度和会计准则规定，计算机会计信息系统是否通过相关部门鉴定，是否保留非法功能；

（二）审查软件程序的内部控制是否健全有效；

（三）对自行开发的软件检查重要部分源程序代码，判断是否有错误；编制测试数据，进行程序正确性的验证；检查被审程序的流程图，判断是否有逻辑错误；

（四）对较为复杂的应用程序，可编写一部分虚拟业务，测试被审程序的正确性。

第十条 数据处理活动控制审计的主要内容：

（一）是否制订文件备份的规定，在文件联机存储的情况下，是否采取了必要的存取授权控制措施以及备份文件是否定期进行拷贝；

（二）审查数据和文件档案资料保管情况，计算机操作员能否随意接触、修改文档资料。

第十一条 系统安全控制审计的主要内容：

（一）数据控制，能否做到数据不丢失、不损毁、不泄露、不被非法侵入；

（二）审查程序的接触控制、程序备份等，能否保证程序不被修改、不损毁、不被病毒感染；

（三）审查数据加密技术（数据的加解密、认证信息的加解密、数字签名），访问控制技术，认证技术等；

（四）系统是否有身份验证，检查存取控制的权限控制状况，充分关注数据完整性、机密性，关注防火墙技术性能和安全协议的设计情况。

第十二条 应用控制审计的主要内容：

（一）审查系统接触控制，对程序资料、数据文件是否有专人保管，程序软件是否限于编程人员维护；

（二）审查输入控制，会计信息系统有无制定严格的预防原始凭证和记账凭证等会计数据未经审核而输入计算机的措施，能否对输入数据进行合法性检查，能否防止输入数据被非法修改；

（三）审查系统处理数据的正确性和有效性，系统能否对运行过程中可能出现的错误进行纠错；

（四）审查数据控制，测试凭证库、账薄库原始数据的正确性、有效性、完整性；

（五）审查输出控制，是否有输出数据合法性检查，能否及时将输出报告送交使用者，数据介质是否能实现安全管理。

第十三条 对应用软件进行测试及对技术档案审计时，可以使用如下方法：

（一）审计人员可以运用测试数据法、平行模拟法、嵌入审计模块法、综合测试法、受控处理法和受控再处理法等对应用软件进行测试；

（二）审计人员可以运用面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法等。

第十四条 计算机辅助审计的主要内容：

（一）审计业务所需法律、法规的辅助检索；

（二）对被审计单位电子数据的真实性、正确性、完整性的验证；

（三）对被审计单位财务报表的辅助分析；

（四）分析审计风险和拟定审计方案；

（五）对被审计单位的财务收支进行检查；

（六）形成审计工作底稿；

（七）形成审计报告；

（八）对审计资料的管理；

（九）对审计项目计划的管理；

（十）对审计档案的管理；

（十一）对审计业务的综合、统计和分析；

（十二）其他内容。

第十五条 开展计算机审计工作应当由经过计算机审计专业培训的人员实施，必要时可以聘请计算机审计专家参加。审计机构应当定期对承担计算机辅助审计的审计人员开展业务进修和岗位培训。

第十六条 审计机构有权对本部门、本单位及其所属、所办的事业单位、企业(含占控股地位的企业)的有关经济活动的计算机信息系统进行审计监督。被审计单位必须按照审计机构的要求，提供实施计算机审计的必要工作条件，要授予审计人员对计算机信息系统进行访问、核查的有关权限。

第十七条 审计机构有权要求本部门、本单位及其所属部门、单位的计算机信息系统给内部审计留有查询专用的客户端。

对于自行开发的信息系统，审计机构有权要求其系统的数据接口能够转换成指定的格式输出。

第十八条 审计机构实施计算机审计时，有权检查、索取与审计有关的内部控制制度、各载体数据、应用软件及其技术档案资料，被审计单位应如实提供。

第十九条 审计人员在工作中获取有关被审计单位的文档资料和电子数据时，应视同使用相应的纸质资料，要按规定履行使用手续。

第二十条 审计机构实施计算机审计时，未经被审计单位同意，不得向该系统中写入或改写任何信息。

第二十一条 审计机构对被审计单位电子数据真实性产生疑问时,可以对计算机信息系统进行测试。测试计算机信息系统时,审计人员应当提出测试方案,会同被审计单位操作人员按照方案的要求进行测试。

第二十二条 审计机构在计算机审计过程中，发现被审计单位或者个人利用计算机技术手段违反财经法规，严重损害国家利益的行为，应要求被审计单位停止使用该计算机系统，并应及时报告主管领导或上级部门处理。

审计机构在审计中发现被审计单位开发、故意使用有舞弊功能的计算机信息系统的，要提出依法追究有关单位和人员责任的建议；对情节严重，构成犯罪的，要移送司法机关处理。

第二十三条 违反本办法，有下列行为之一的单位和个人，根据情节轻重，审计机构可以提出有关处理建议，报请本部门、本单位领导或纪检监察部门处理：

（一）拒绝或拖延提供与审计事项有关的电子数据资料的；

（二）转移、隐匿、篡改、销毁与审计事项有关的电子数据资料的；

（三）阻挠、抗拒或破坏审计人员对计算机信息系统进行审计或利用计算机辅助审计的。

第二十四条 审计人员在审计过程中对取得的信息资料应予保密，不得用于与审计工作无关的目的。

第二十五条 本规定由广东省教育厅负责解释。

第二十六条 本办法自2007年1月1日起施行。