广东省教育系统计算机审计办法

1、PAGE 描述PAGE 17附件7：广东省教育系统统计算机审计计实施办法（征求意见二稿稿）第一章 总则第一条为了规规范我省教育育系统计算机机审计工作，提高保证计算机审计工作质量，依根根据国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知、教育部令第17号中华人民共和国审计法、审计署关于内部审计工作的规定、国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知、教育部教育系统内部审计工作规定、广东省教育系统内部审计工作规定（试行）, 结合我省教育系统实际情况，制定本办法。教育系统内部审计工作规定、粤教审20049号广东省教育系统内部审计工作规定（试行）、广东省教育系统内部审计准则

2、及其附件，制定本办法。本办法。第二条本办法法所称计算机机审计，是指指各教育系统各行政部部门和单位的的内部审计机机构的审计人人员或上级主主管部门审计计机构（以下下简称内部审计机构构）对被审计计单位计算机机信息系统的的安全性、可可靠性进行了解、测试与与评价，对及信息系统对财财务报告的影影响做出判断断进行测试与与评价，或单独对信息系统审审计报告的过过程实施的审审计，以及利用计算算机作为辅助助工具开展的的审计。本办法所称计算算机信息系统统，是指被审审计单位与财财政收支、财财务收支、经经济管理、建建设工程预算算、结算审核核等计算机信信息管理与应应用系统，包包括会计信息息系统和与审审计工作有关关的其他经济

3、管理信息息系统。第三条 本办办法所称的我我省教育系统统各行政部门门，是指县级级及县级以上上，包括教育育厅在内的各各级教育行政政部门；单位位是指全日制制普通高等学学校、成人高高等学校、普普通中等专业业学校、技工工学校、成人人中等专业学学校、中小学学、幼儿园，企企事业组织和和社会团体组组织举办的上上述学校及其其他教育机构构、校办产业业、经济实体体等（以下简简称各部门、单单位）。第二章 审计计内容和方法法第四三条审计计人员在编制制计算机审计计方案前，应应当了解被审审计单位计算算机应用系统统软件、硬件件的设置和系系统的基本功功能以及数据据接口，关注注计算机信息息系统环境对对被审计单位位会计信息及及内部

4、控制的的影响，了解解内部控制程程序，并对固有风险及及控制风险进行行分析。第五四条对被被审计单位计计算机应用系系统测试获取取审计证据时时，审计人员员应当检测计计算机应用系系统相关的内内部控制是否否存在、有效效，及其对审审计证据可靠靠性的影响，从从而决确定实质性测测试的内容及及范围。实质性测试的内内容及范围。质性测试的内容容及范围。性测试的内容及及范围。测试的内容及范范围。试的内容及范围围。的内容及范围。内容及范围。容及范围。及范围。范围。围。第六五条 审审计人员对计计算机信息系系统实施审计计，主要包括括下列内容：（一）审查、评评价内部控制制情况。审计人人员应重视计计算机信息系系统环境对被被审计单

5、位会会计信息及内内部控制的影影响，充分了了解被审计单单位计算机信信息系统环境境下的内部控控制，包括一一般控制和应应用控制制度度(包括管理制制度和软件控控制技术)；。（二）审查记录录在各种载体上的数数据资料，(包括纸性、电电磁性、光电电性的凭证、账账簿、报表等等)的真实性性、合法性；（三）应用软件件的测试及其技技术档案检查查。；（四）应用软件件自身安全性性及网络环境境的检查。计算机信息系统统为网络信息息系统时，审审计人员还应应对该系统的的硬件予以检检查。第七六条 组织织与管理控制制审计的主要要内容：容（一）审查被审审计单位的组织织结构、职权权和责任的分分配与分工情情况，其职责分工工是否能够提提供

6、有力的内内部控制，控控制能否有效效地发挥作用用，能否保证数据据处理的及时时性、可靠性性安全性和可靠性安全性性；（二）审查电子子数据处理部部门与用户是是否实现了职职责分离，电子数据处处理部门内部部是否实现了了职责分工，程序与系统统开发、计算算机操作、输输入数据的控控制以及其他他不相容职责责是否分离；（三）系统管理理员的安全意意识和水平如如何，所有电子数数据处理业务务是否经过适适当授权管理理，人事控制状状况如何；（四）审查正常常数据处理中中断以后的应应急计划是否否充分。；（五）审查被审审计单位是否制制订了有关计计算机硬件、计计算机程序、数数据文件、数数据传送、输输入和输出资资料以及人员员的安全规定

7、定。第八七条 系统统操作控制审审计的主要内容：（一）审查上机机操作对信息息管理系统的的操作内容和和权限，对操操作密码是否否严格管理，密密码是否定期期更换，系统统管理员是否否指定专人；（二）已输入计计算机的原始始凭证和记账账凭证等会计计数据是否经经过审核；（三）操作人员员离开机房前前，是否执行行相应命令退退出信息管理理系统；（四）是否有日日志记录，记记录操作人、操操作时间、操操作内容、故故障情况等内内容，；（五）非常状态态下的数据能能否恢复。第九八条 硬硬件控制审计计的主要内容：容（一）审查信息息管理系统所所用的计算机机必须是否专用，未未经许可不得得接入Intternett等其他网络络，以保证信

8、信息管理系统统数据的安全全性、可靠性性。；（二）审查是否否未经许可，私私自拆装设备备，修改系统统配置。；（三）审查系统统是否配置不不间断电源，出出现硬件故障障是否能够及时修复复。第十九条 会会计信息系统统软件控制审审计的主要内容：（一）审查软件件程序处理是否执行行国家有关的财务制制度和会计准准则规定，是是否保留非法法功能，检查计算机会会计信息系统统是否通过相相关部门的鉴定，是否保保留非法功能能；（二）审查软件件程序的内部部控制是否健健全有效；（三）对自行开开发的软件检检查重要部分分源程序代码码，判定断是否有错误误或逻辑炸弹弹，以确定运运行程序的正正确性；编制制测试数据，进进行程序正确确性的验证

9、；检查被审程程序的流程图图，判定断是否有逻辑辑错误； （四）对较为复复杂的应用程程序，可编写写一部分虚拟拟业务，测试试被审计程序的正确确性。第十一条 数数据处理活动动控制审计的的主要内容：（一）是否制订订有文件备份的的规定，在文件联机机存储的情况况下，是否采采取了充分必要的存取授授权控制措施施以及备份文文件是否有规规律否定期地进行拷贝；（二）审查数据据和文件档案案资料保管情情况，计算机机操作员能否否随意接触、修修改文档资料料。第十二一条 系统安全控控制审计的主要内容：（一）审查数据控控制包括接触触控制、数据据加密、数据据的恢复与重重建等，能否做到任何情况况下数据都不丢失、不损毁、不泄泄露、不被

10、非非法侵入；（二）审查程序序的接触控制制、程序备份份等，能否保证程程序不被修改改、不损毁、不不被病毒感染染；（三）审查数据据加密技术（数数据的加解密密、认证信息息的加解密、数数字签字名、完整性），访访问控制技术术，认证技术术等；（四）系统是否否有身份验证证，检查存取控控制的权限控控制状况，充充分关注数据据完整性、机密性，关注注防火墙技术术性能和安全协议的的设计情况。第十三二条 应用控制审审计的主要内容：容：（一）审查系统统接触控制，对程序资料料、数据文件件是否有专人人保管，程序软件是是否限于编程程人员维护。；（二）审查输入入控制，会计计信息系统有有无制定严格格的预防原始始凭证和记账账凭证等会计

11、计数据未经审审核而输入计计算机的措施施，能否对输入入数据进行合合法性检查，能否防止输输入数据被非非法修改。；（三）审查系统统处理数据的的正确性和有有效性，系统能否对对运行过程中中可能出现的的错误进行纠纠错。；（四）审查数据据控制，对进入会计信信息系统的原原始数据，主主要针对凭证证库、账簿库库的资料信息息，测试凭证库、账账薄库原始数数据的其正确性、有效性、完整性。；（五）审查输出出控制，是否将输出出数据与输入入、处理的数数据进行核对对，是否有输出出数据合法性性检查和非法法输出数据处处理，是能否及时将输输出报告送交交使用者，数据介质是是否能实现安安全管理。第十四三条 审计人员对应用软件的进行测试及

12、其对技术档案审计计时，可以使使用如下方法法：（一）审计人员员可以运用测测试数据法、平平行模拟法、嵌嵌入审计模块块法、综合测测试法、受控控处理法和受受控再处理法法等对应用软软件进行测试试；审计人员可以以运用面谈法法、系统文档档审阅法、观观察法、计算算机系统文字字描述法、表表格描述法等等对技术档案案进行检察。（二）审计人员员可以运用面面谈法、系统统文档审阅法法、观察法、计计算机系统文文字描述法、表表格描述法等等。审计人员员可以运用测测试数据法、平平行模拟法、嵌嵌入审计模块块法、综合测测试法、受控控处理法和受受控再处理法法等对应用软软件进行测试试。第十五四条 审计人员将将计算机作为辅助审计计工具实施

13、审审计，的主要包括下列列内容：（一）审计业务务所需法律、法法规的辅助检检索；（二）对被审计计单位电子数数据的真实性性、正确性、完完整性的验证证；（三）对被审计计单位财务报报表的辅助分分析；（四）分析审计计风险和确定定审计范围拟拟定审计方案案；（五）对被审计计单位的财务务收支进行检检查；（六）形成审计计工作底稿；（七）形成审计计报告、审计计意见书和审审计决定；（八）对审计资资料的管理；（九）对审计项项目计划的管管理；（十）对审计档档案的管理；（十一）对审计计业务的综合合、统计和分分析；（十二）其他内内容。第三二章 审计计权限与要求求第十六五条 一一般原则第四条内部审审计机构开展展计算机审计计工作

14、应当由由经过计算机机审计专业培培训的人员实实施，必要时时可以聘请计计算机审计专专家参加。条内部审计机机构应当定期期对承担计算算机辅助审计计的审计人员员开展业务进进修和岗位培培训。审计机构应当鼓鼓励或组织审审计人员，参参加国家组织织的专业技术术资格或水平平的统一考试试。第六条内部审审计机构实施施计算机审计计时，可以聘聘请计算机审审计专家参加加。章 审计职责责和权限第十七条第十六六条内部审计机构构有权对本部部门、本单位位及其所属、控股所办的事业单位、企业单位(含占控股地位的企业)的财务收支及有关其他经济活动的计算机信息系统进行审计监督。被审计单位必须按照审计机构的要求，提供实施计算机审计的必要工作

15、条件，要授予审计人员对计算机信息系统进行访问、核查的有关权限。第十八条第十七七条内部审计机构构有权要求本本部门、本单单位及其所属属部门、单位位的计算机信信息系统给内内部审计留有有查询专用的的客户端。对于自行开发的的信息系统，内部审计机构有权要求其系统的数据接口能够转换成内部审计机构指定的格式输出。第十九条第十八八条内部审计机构构实施计算机机审计时，有有权检查、索索取与审计有有关的内部控制制制度、各载体数据据、应用软件件及其技术档档案资料，被被审计单位应应如实提供。属于取证材料，被被审计单位和和有关人员应应签字盖章。第二十九条 审计人员在在工作中获取取有关被审计计单位的文档档资料和电子子数据时，

16、应应视同使用相相应的纸质资资料，要按规规定履行使用用手续。使用用被审计单位位的电子账表表数据，应视视同使用相应应的纸质账表表资料。第二十一条内内部审计机构构实施计算机机审计时，不不应当影响被被审计单位计计算机信息系系统的运行和和损害该系统统，未经被审审计单位同意意，不得向该该系统中写入入或改写任何何信息。第十二十一二条条审计机构对对被审计单位位电子数据真真实性产生疑疑问时,可以对计算算机信息系统统进行测试。测测试计算机信信息系统时,审计人员应应当提出测试试方案,监督会同被审计单单位操作人员员按照方案的的要求进行测测试。第四章 审计计工作内容第十三条审计计人员在编制制计算机审计计方案前，应应当了

17、解被审审计单位计算算机应用系统统软件、硬件件的设置和系系统的基本功功能以及数据据接口，关注注计算机信息息系统环境对对被审计单位位会计信息及及内部控制的的影响，了解解内部控制程程序，并对固有风风险及控制风风险进行分析析。条对被审计单单位计算机应应用系统测试试获取审计证证据时，审计计人员应当检检测计算机应应用系统相关关的内部控制制是否存在、有有效，及其对对审计证据可可靠性的影响响，从而决定定实质性测试试的内容及范范围。计单位计算机应应用系统测试试获取审计证证据时，审计计人员应当检检测计算机应应用系统相关关的内部控制制是否存在、有有效，及其对对审计证据可可靠性的影响响，从而决定定实质性测试试的内容及

18、范范围。算机应用系统测测试获取审计计证据时，审审计人员应当当检测计算机机应用系统相相关的内部控控制是否存在在、有效，及及其对审计证证据可靠性的的影响，从而而决定实质性性测试的内容容及范围。系统测试获取审审计证据时，审审计人员应当当检测计算机机应用系统相相关的内部控控制是否存在在、有效，及及其对审计证证据可靠性的的影响，从而而决定实质性性测试的内容容及范围。获取审计证据时时，审计人员员应当检测计计算机应用系系统相关的内内部控制是否否存在、有效效，及其对审审计证据可靠靠性的影响，从从而决定实质质性测试的内内容及范围。证据时，审计人人员应当检测测计算机应用用系统相关的的内部控制是是否存在、有有效，及

19、其对对审计证据可可靠性的影响响，从而决定定实质性测试试的内容及范范围。审计人员应当检检测计算机应应用系统相关关的内部控制制是否存在、有有效，及其对对审计证据可可靠性的影响响，从而决定定实质性测试试的内容及范范围。应当检测计算机机应用系统相相关的内部控控制是否存在在、有效，及及其对审计证证据可靠性的的影响，从而而决定实质性性测试的内容容及范围。计算机应用系统统相关的内部部控制是否存存在、有效，及及其对审计证证据可靠性的的影响，从而而决定实质性性测试的内容容及范围。用系统相关的内内部控制是否否存在、有效效，及其对审审计证据可靠靠性的影响，从从而决定实质质性测试的内内容及范围。关的内部控制是是否存在

20、、有有效，及其对对审计证据可可靠性的影响响，从而决定定实质性测试试的内容及范范围。控制是否存在、有有效，及其对对审计证据可可靠性的影响响，从而决定定实质性测试试的内容及范范围。存在、有效，及及其对审计证证据可靠性的的影响，从而而决定实质性性测试的内容容及范围。效，及其对审计计证据可靠性性的影响，从从而决定实质质性测试的内内容及范围。对审计证据可靠靠性的影响，从从而决定实质质性测试的内内容及范围。据可靠性的影响响，从而决定定实质性测试试的内容及范范围。的影响，从而决决定实质性测测试的内容及及范围。从而决定实质性性测试的内容容及范围。实质性测试的内内容及范围。试的内容及范围围。及范围。条 审计人员

21、员对计算机信息系系统实施审计计，主要包括括下列内容：（一）内部控制制情况。审计人人员应重视计计算机信息系系统环境对被被审计单位会会计信息及内内部控制的影影响，充分了了解被审计单单位计算机信信息系统环境境下的内部控控制，包括一一般控制和应应用控制。（二）记录在各各种载体上的数数据资料，包包括纸性、电电磁性、光电电性的凭证、账账簿、报表等等；（三）应用软件件的测试及其技技术档案检查查。（四）应用软件件自身安全性性及网络环境境的检查。计算机信息系统统为网络信息息系统时，审审计人员还应应对该系统的的硬件予以检检查。第十六条 组织织与管理控制制审计的主要要内容一）审查被审计计单位的组织织结构、职权权和责

22、任的分分配与分工情情况，其职责分工工是否能够提提供有力的内内部控制，控控制能否有效效地发挥作用用，能否保证数据据处理的可靠靠性和安全性性；（二）审查电子子数据处理部部门与用户是是否实现了职职责分离，电子数据处处理部门内部部是否实现了了职责分工，程序与系统统开发、计算算机操作、输输入数据的控控制以及其他他不相容职责责是否分离；（三）系统管理理员的安全意意识和水平如如何，所有电子数数据处理业务务是否经过授授权管理，人事控制状状况如何；（四）审查正常常数据处理中中断以后的应应急计划是否否充分。（五）审查被审审单位是否制制订了有关计计算机硬件、计计算机程序、数数据文件、数数据传送、输输入和输出资资料以

23、及人员员的安全规定定。第十七条 系统统操作控制的的审计主要内内容要内容（一）审查上机机操作对信息息管理系统的的操作内容和和权限，对操操作密码是否否严格管理，密密码是否定期期更换，系统统管理员是否否指定专人；（二）已输入计计算机的原始始凭证和记账账凭证等会计计数据是否经经过经审核；（三）操作人员员离开机房前前，是否执行行相应命令退退出信息管理理系统；（四）是否有日日志记录，记记录操作人、操操作时间、操操作内容、故故障情况等内内容，非常状状态下的数据据能否恢复。第十八条 硬硬件控制审计计的主要内容一）审查信息管管理系统所用用的计算机必必须专用，未未经许可不得得接入Intternett等其他网络络，

24、以保证信信息管理系统统数据的安全全性、可靠性性。（二）审查是否否未经许可，私私自拆装设备备，修改系统统配置。（三）审查系统统是否配置不不间断电源，出出现硬件故障障是否及时修修复。第十九条 会会计信息系统统软件控制审审计的主要内容一）审查软件程程序处理是否否执行国家的的财务制度和和会计准则规规定，是否保保留非法功能能，检查计算算机会计信息息系统是否通通过相关部门门的鉴定；（二）审查软件件程序的内部部控制是否健健全有效；（三）对自行开开发的软件检检查重要部分分源程序代码码，判定是否否有错误或逻逻辑炸弹，以以确定所运行行程序的正确确性；编制测测试数据，进进行程序正确确性的验证；检查被审程程序的流程图

25、图，判定是否否有逻辑错误误； （四）对较为复复杂的应用程程序，可编写写一部分虚拟拟业务，测试试被审计程序的正确确性。第二十条 数数据处理活动动控制审计的的主要内容一）是否制订有有文件备份的的规定，在文件联机机存储的情况况下，是否采采取了充分的的存取授权控控制措施以及及备份文件是是否有规律地地进行拷贝；（二）审查数据据和文件档案案资料保管情情况，计算机机操作员能否否随意接触、修修改文档资料料。第二十一条 系统安全控控制审计的主要内容）审查数据控制制包括接触控控制、数据加加密、数据的的恢复与重建建等，能否做到任何何情况下数据据都不丢失、为为损毁、不泄泄露、不被非非法侵入；（二）审查程序序的接触控制

26、制、程序备份份等，能否保证程程序不被修改改、不损毁、不不被病毒感染染；（三）审查数据据加密技术（数数据的加解密密、认证信息息的加解密、数数字签字、完完整性），访访问控制技术术，认证技术术等；（四）系统是否否有身份验证证，检查存取控控制的权限控控制状况，充充分关注数据据完整性、机密性，关注注防火墙技术术性能和安全协议的的设计情况。第二十二条 应用控制审审计的主要内容：一）审查系统接接触控制，对程序资料料、数据文件件是否有专人人保管，程序软件是是否限于编程程人员维护。（二）审查输入入控制，会计计信息系统有有无制定严格格的预防原始始凭证和记账账凭证等会计计数据未经审审核而输入计计算机的措施施，能否对

27、输入入数据进行合合法性检查，能否防止输输入数据被非非法修改。（三）审查系统统处理数据的的正确性和有有效性，系统能否对对运行过程中中可能出现的的错误进行纠纠错。（四）审查数据据控制，对进进入会计信息息系统的原始始数据，主要要针对凭证库库、账簿库的的资料信息，测测试其正确性性、有效性、完整性。（五）审查输出出控制，是否将输出出数据与输入入、处理的数数据进行核对对，是否有输出出数据合法性性检查和非法法输出数据处处理，是否及时将将输出报告送送交使用者，数据介质是是否能实现安安全管理。第五章 审计工工作方法第二十三条 审计人员对对应用软件的测测试及其技术术档案审计时时，可以使用用如下方法：计时，可以使用

28、用如下方法：时，可以使用如如下方法：，可以使用如下下方法：可以使用如下方方法：以使用如下方法法：使用如下方法：用如下方法：如下方法：下方法：方法：法：（一）审计人员员可以运用面面谈法、系统统文档审阅法法、观察法、计计算机系）审审计人员可以以运用测试数数据法、平行行模拟法、嵌嵌入审计模块块法、综合测测试法、受控控处理法和受受控再处理法法等对应用软软件进行测试试。第二十四条 审计人员将将计算机作为为辅助审计工工具实施审计计，主要包括括下列内容：将计算机作为辅辅助审计工具具实施审计，主主要包括下列列内容：为辅助审计工具具实施审计，主主要包括下列列内容：工具实施审计，主主要包括下列列内容：计，主要包括下下列内容：括下列内容：审计业务所需法法律、法规的的辅助检索；（二）对被审计计单位电子数数据的真实性性、正确性、完完整性的验证证；（三）对被审计计单位财务报报表的辅助分分析；（四）分析审计计风险和确定定审计范围；（五）对被审计计单位的财务务收支进行检检查；（六）形成审计计工作底稿；（七）形成审计计报告、审计计意见书和审审计决定；（八）对审计资资料的管理；（九）对审计项项目计划的管管理；（十）对审计档档案的管理；（十一）对审计计业务的综合合、统计和分分析；（十二）其他内内容