网站首页 > 政策法规 > 学校制度 > 正 文

兰州大学计算机审计实施办法
(校审计字〔2011〕17号)

【来源:兰州大学审计处 | 发布日期:2014-05-17 】     【选择字号:

第一章   

第一条  为规范计算机审计工作,根据《中华人民共和国审计法》、《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》、《教育系统内部审计工作规定》和《兰州大学内部审计工作实施办法》等有关规定,结合我校实际,制定本办法。

第二条  本办法所称计算机审计,包括计算机信息系统审计和计算机辅助审计。

第三条  本办法所称计算机信息系统审计,是指审计人员对各单位配置的会计信息系统、工程造价管理系统和其他经济管理信息系统的安全性、可靠性及其对经济活动的影响进行的测试与评价活动。

第四条  本办法所称计算机辅助审计,是指审计人员在审计过程中,以计算机及网络为工具利用通用软件计算、检索、统计、分析、检查财务数据并进行文书处理,以及利用专门的审计软件实施项目审计的技术和方法。

第五条  开展计算机审计时,要注意规避审计风险,严禁违规操作,防止对被审计单位的计算机信息系统造成损害。审计人员对国家和商业秘密负有保密义务,不得将电子数据用于与学校审计工作无关的目的。

第二章  计算机信息系统审计的内容

第六条  审计人员对计算机信息系统实施审计时,应围绕计算机信息系统的组织与管理控制、系统操作控制、硬件控制、软件控制、数据处理控制、系统安全控制、应用控制等方面开展审计工作。

第七条  组织与管理控制审计的主要内容

(一)被审计单位的组织结构、职责分工;

(二)内部控制的有效性;

(三)数据处理的及时性、安全性和可靠性;

(四)数据处理部门内部的职责分工,程序与系统开发、计算机操作、输入数据控制等不相容职务分离情况,数据处理部门与用户职责分离情况;

(五)系统管理员的安全责任意识及所有电子数据处理业务授权管理情况;

(六)正常数据处理中断后的应急计划;

(七)被审计单位有关计算机硬件、计算机程序、数据文件、数据传送、输入和输出资料以及人员的安全规定。

第八条  系统操作控制审计的主要内容

(一)计算机信息系统的操作内容和权限情况,操作密码管理、定期更换情况,系统专人专管等情况;

(二)已输入的原始凭证和记账凭证等会计数据的审核情况;

(三)操作人员离开机房前,执行相应命令安全退出信息管理系统的情况;

(四)系统操作日志的登记情况,包括操作人、操作时间、操作内容、故障情况等内容;

(五)非常状态下的数据恢复功能。

第九条  硬件控制审计的主要内容

(一)计算机信息系统所用计算机的专用和联网情况;

(二)未经许可私自拆装设备、修改系统配置的情况;

(三)为系统配置不间断电源以保障硬件故障及时修复的情况。

第十条  软件控制审计的主要内容

(一)软件程序执行国家及地方有关规定的情况;

(二)计算机信息系统的鉴定情况,有无保留非法功能;

(三)软件程序内部控制的健全有效性;

(四)被审计单位自行开发软件源程序的正确性,程序流程图的逻辑性。

第十一条  数据处理控制审计的主要内容

(一)文件备份的相关规定和文件联机存储时必要的存取授权控制措施;

(二)数据和文件档案资料的保管情况,计算机操作员随意接触、修改文档资料的可能性。

第十二条  系统安全控制审计的主要内容

(一)程序和数据丢失、泄露、损毁、修改、被非法侵入和被病毒感染的可能性;

(二)数据加密技术、访问控制技术和认证技术等的水平状况;

(三)进入系统时的身份验证,存取控制的权限控制状况,数据完整性、机密性,防火墙技术性能和安全协议的设计情况等。

第十三条  应用控制审计的主要内容

(一)程序资料、数据文件的专人专管情况和程序软件的维护情况;

(二)数据输入计算机前的审核措施,对输入数据进行合法性检查和防止输入数据被非法修改的措施;

(三)系统处理数据的正确性、有效性以及运行过程中的纠错功能;

(四)数据库中原始数据的正确性、有效性、完整性;

(五)输出数据的合法性、及时性,数据介质的安全管理情况。

第十四条  审计人员对应用软件进行测试时采用测试数据法、平行模拟法、嵌入审计模块法、综合测试法、受控处理法和受控再处理法等;对技术档案进行检查时采用面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法等。

第十五条  对被审计单位电子数据真实性产生疑问时,可以对计算机信息系统进行测试。测试时,审计人员应提出测试方案,会同被审计单位操作人员按照方案要求实施。

第十六条  在计算机审计过程中,发现被审计单位或者个人存在利用计算机技术手段违反有关规定、严重损害学校利益的行为,要立即要求被审计单位停止使用该计算机系统,并报经相关部门处理。

第三章  审计实施

第十七条  审计处根据上级主管部门的要求和学校内部管理的需要,确定计算机审计项目,列入年度审计工作计划,报主管校领导批准后实施。

第十八条  审计处应在实施计算机审计3日前,向被审计单位送达审计通知书。如有特殊情况,经审计处处长批准,可以直接持审计通知书实施审计。

第十九条  审计人员在编制计算机审计方案前,应了解被审计单位计算机信息系统的软硬件设置、基本功能及数据接口,检测与计算机信息系统相关的内部控制是否存在并有效,关注计算机信息系统环境对被审计单位会计信息的影响,从而确定实质性测试的内容及范围。

第二十条  计算机审计实施方案应包括以下内容

(一)被审计单位名称、审计种类、审计方式、审计范围;

(二)编制依据、计划工作时间;

(三)审计前应学习的相关文件制度;

(四)审计方法、拟使用的计算机审计软硬件配置及所需的技术条件以及被审计单位相关数据的获取或转换方案;

(五)审计内容和重点、具体实施步骤;

(六)审计组成员及分工;

(七)其他事项。

第二十一条  审计处可从外部聘请计算机技术专家,参与项目审计工作。

第二十二条  被审计单位配合审计工作,提供必要的工作条件,授予审计人员对计算机信息系统进行访问、核查的有关权限。

第二十三条  被审计单位应在计算机信息系统中留有审计查询专用的客户端。对于自行开发的信息系统,被审计单位系统的数据接口应能够转换成指定的格式输出。

第二十四条  被审计单位向审计组提供与审计项目相关的内部控制制度、数据、应用软件及其技术档案等资料。

被审计单位对所提供资料的真实性、完整性负责并作出书面承诺,不得拒绝、拖延或提供虚假信息。

第二十五条  实施计算机审计时,未经被审计单位同意,不得向该系统写入或改写任何信息。

第二十六条  审计组按规定程序实施审计后,应将审计报告书面征求被审计单位意见。被审计单位自接到审计报告之日起 10 日内提出书面意见;10日内没有提出书面意见的,视为无异议。

第二十七条  审计处将审计报告等结论性文书报送学校党政领导,同时发送被审计单位及其他有关单位。

第四章   

第二十八条  被审计单位按照《兰州大学审计结果运用管理办法》的要求,在规定时间内对审计报告提出的意见和建议进行整改落实,并将整改落实情况书面反馈审计处。

       第二十九条  本办法自201211日起施行。