关于印发《兰州大学信息系统审计实施办法》的通知

校审计〔2020〕5号

榆中校区管委会，医学部，各学院、研究院，各部、处、室，各直属单位:

    《兰州大学信息系统审计实施办法》已经2020年12月21日校长办公会审议通过，现予印发，请遵照执行。

 

                                                                  兰州大学

                                                                2020年12月27日

 

 

兰州大学信息系统审计实施办法

 

第一章  总  则

    第一条  为规范学校信息系统审计工作，根据《中国内部审计准则》《教育部关于推进直属高等学校内部审计信息化建设的意见》《兰州大学内部审计工作规定》等规定，结合学校实际，制定本办法。

    第二条  本办法所称信息系统审计，是指审计处依法依规对学校及所属单位的信息系统及其相关的信息技术内部控制和流程实施的独立、客观的监督、评价和建议。

    第三条  开展信息系统审计的目的是通过对信息系统的安全性、可靠性和有效性进行审查和评价，以确定信息系统与相关资源能否适当地保护信息资产安全、维护数据完整、提供可靠信息、提高资源配置和使用效益，以促进学校实现信息技术管理目标。

    第四条  审计处应严格遵守保密规定，依法履行保密义务，健全和完善审计电子数据管理，落实数据采集、运用责任，确保相关数据安全。

第二章  审计内容

    第五条  信息系统审计的主要内容包括信息系统的组织与管理控制、信息技术一般性控制及业务流程相关应用控制等。

    （一）信息系统组织与管理控制审计的主要内容包括信息系统建设规划与学校整体发展目标的一致性，信息系统管理的组织结构、工作机制，信息系统管理的制度体系、业务流程，关键岗位、人员与职责分工，对用户的信息技术教育和培训等方面。

    （二）信息技术一般控制审计的主要内容包括与网络、操作系统、数据库、应用系统及人员有关的信息技术制度、措施和程序。

    对一般控制的审计应当考虑标准化建设、信息系统规划与设计开发、测试、运行与维护管理、安全管理、变更管理等内容。

    （三）信息技术应用控制审计的主要内容包括业务层面为了合理保证信息系统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。

    对应用控制的审计应当考虑与数据输入、数据处理以及数据输出环节相关的控制活动，包括授权与审批、系统配置控制、业务逻辑、异常情况报告和差错报告、接口或转换控制、一致性核对、工作流程控制、职责分离、系统访问权限、系统计算等内容。

    第六条  审计人员可以根据实际需要利用计算机辅助审计工具和技术进行数据的验证、关键系统控制或计算的逻辑验证、审计样本选取等。在充分考虑安全的前提下，可以利用可靠的信息安全侦测工具进行渗透性测试等。

    第七条  根据上级主管部门要求和学校实际需要，审计处可以对信息系统进行全面审计，也可以选取部分审计内容进行重点审计。

第三章  审计实施

    第八条  审计处根据上级主管部门要求和学校内部管理的需要，提出信息系统审计项目建议并列入年度审计工作计划，经审计委员会审定后实施。确需调减或者追加的，应当按照原制定程序批准。

    第九条  信息系统审计项目根据实际统筹安排实施，可单独实施，也可以与其他审计项目合并实施。

    第十条  信息系统审计采用自审、委托社会中介机构审计或二者相结合的审计方式，必要时，可以聘请外部专家服务。委托审计程序按照学校委托审计管理相关规定执行。

    第十一条  审计组制定的信息系统审计项目实施方案及调整方案经审计处处长批准后实施。

    第十二条  审计处应在实施信息系统审计前，向被审计单位送达审计通知书。如有特殊情况，经审计处负责人批准，可直接持审计通知书实施审计。

    第十三条  被审计单位应当配合审计工作，为审计组分配相应权限，为分析利用有关数据提供条件。及时提供与审计项目相关的内部控制制度、数据、信息系统及其技术档案等资料，对所提供资料的真实性、完整性负责并作出书面承诺，不得拒绝、拖延或提供虚假信息。

    第十四条  信息系统审计可以根据具体情况运用访谈、调查、观察、测试、程序代码检查等审计方法，以评估信息系统内部控制的设计合理性和运行有效性。

    第十五条  审计组按规定程序实施信息系统审计后形成审计报告并提交审计处。审计报告应实事求是、逻辑清晰、定性准确、依据充分。

    第十六条  审计处可根据情况书面征求被审计单位对审计报告的意见。被审计单位自接到审计报告之日起10个工作日内提出书面意见；10个工作日内未提出书面意见的，视同无异议。

    第十七条  审计组应当针对被审计单位提出的书面意见，进一步研究和核实，对审计报告作出必要的修改，经审计处审核后报送主管校领导签发。

    第十八条  审计处将审计报告报送学校党政领导，根据实际情况发送被审计单位及有关单位。

    第十九条  学校相关部门应按照学校审计结果运用的相关规定和要求，充分利用审计结果。

    第二十条  审计处对实施完成的信息系统审计项目应当建立档案，按学校有关规定管理。

第四章  附  则

    第二十一条  国家或上级主管部门另有规定的，按国家或上级主管部门规定执行。

    第二十二条  本办法由审计处负责解释。

    第二十三条  本办法自公布之日起施行。《兰州大学计算机审计实施办法》（校审计字〔2011〕17号）同时废止。