信息系统审计指南-计算机审计实务公告

1、PAGE PAGE 31 国件审计发2011211号审计署关于印发发信息系统审计指南南计算机审计计实务公告第第34号的通通知各省、自治区、直直辖市和计划划单列市、新新疆生产建设设兵团审计厅厅（局），署署机关各单位位、各特派员员办事处、各各派出审计局局： 信息系系统审计指南南计算机审审计实务公告告第34号，经经署领导同意意，现予印发发，供审计机机关实施信息息系统审计参参考。 二一二年二月月一日信息系统审计指指南计算机审审计实务公告第344号目 录第一章 总 则第二章 信息息系统审计的的组织第三章 应用用控制审计第一节 信息息系统业务流流程控制审计计第二节 数据据输入、处理理和输出控制制审计第三节

2、 信息息共享和业务务协同审计第四章 一般般控制审计第一节 信息息系统总体控控制审计第二节 信息息安全技术控控制审计第三节 信息息安全管理控控制审计第五章 项目目管理审计第一节 信息息系统建设经经济性评价第二节 信息息系统建设管管理评价第三节 信息息系统绩效评评价第六章 信息息系统审计方方法第七章 附 则第一章 总 则 第一条条 为进一步指指导和规范国国家 HYPERLINK t _blank 审计机关组织织开展的信息息系统审计活活动，提高审审计效率，保保证审计质量量，制定本指指南。 第二条条 本指南南所称信息系系统，是指被被审计单位利利用现代信息息技术实现财财政收支、财财务收支及其其相关经济业

3、业务活动的信信息处理的系系统。 第三条条 本指南所称称信息系统审审计，是指国国家审计机关关依法对被审审计单位信息息系统的真实实性、合法性性、效益性和和安全性进行行检查监督的的活动。 第四条条 本指南所所称审计指标标，是指对审审计事项的测测评指标或者者评价指标。 第五条条 信息系统统审计可以作作为财政收支支、财务收支支及其相关经经济业务活动动（以下简称称经济业务活活动）审计项项目的审计内内容组织开展展，也可以作作为独立组织织的信息系统统审计项目实实施。第二章 信息息系统审计的的组织第六条 信息息系统审计的的主要目标是是通过检查和和评价被审计计单位信息系系统的安全性性、可靠性和和经济性，揭揭示信息

4、系统统存在的问题题，提出完善善信息系统控控制的审计意意见和建议，促促进被审计单单位信息系统统实现组织目目标；同时，通过过检查和评价价信息系统产产生数据的真真实性、完整整性和正确性性，防范和控控制审计风险险。第七条 信息息系统审计内内容，包括对对应用控制、一一般控制和项项目管理的审审计。应用控制包括：信息系统业业务流程，数数据输入、处处理和输出的的控制，信息息共享和业务务协同。一般控制包括：信息系统总总体控制，信信息安全技术术控制，信息息安全管理控控制。项目管理包括：信息系统建建设的经济性性，信息系统统建设管理，信信息系统绩效效。 第八条条 审计人员可可以根据审计计实施方案要要求，选择应应用控制

5、、一一般控制和项项目管理中的的相关内容组组织实施。结合经济业务活活动审计项目目开展的信息息系统审计，可可以按照审计计实施方案要要求，重点选选择信息系统统中容易产生生数据风险的的内容（见附附录），也可可以根据需要要选择其他内内容组织实施施。独立组织开展的的信息系统审审计项目，可可以按照审计计实施方案要要求，选择本本指南所述的的全部或者部部分内容组织织实施。 第九条条 信息系统统审计步骤：审计机关在开展展初选审计项项目可行性研研究和编制审审计实施方案案时，要调查查了解被审计计单位相关经经济业务活动动及其所依赖赖的信息系统统；调查了解信息系系统的需求与与设计、研发发与集成、使使用与控制、运运维与保障

6、等等，以及相关关的组织架构构、责任机制制和控制制度度；调查了解系统承承载业务的业业务流、资金金流和信息流流，重点分析析系统结构和和数据结构，标标识信息系统统审计的关键键控制环节和和控制点；研究并确定信息息系统应用控控制、一般控控制和项目管管理的审计内内容、审计事事项和审计指指标；开展应用控制、一一般控制和项项目管理的审审计测试和评评价，获取审审计证据，记记录相关指标标的测评情况况，分析系统统控制水平以以及数据风险险，评价系统统建设的经济济性及信息化化投资的有效效性；编写信息系统审审计报告。按按照审计实施施方案要求，依依据审计记录录和审计证据据，评价信息息系统的真实实性、合法性性、效益性和和安全

7、性，分分析信息系统统的控制缺失失程度、风险险水平、成因因和责任，形形成审计结论论，提出改进进信息系统控控制、防范系系统控制缺失失产生审计风风险的审计意意见和建议。第十条 结合合经济业务活活动审计项目目组织开展的的信息系统审审计，可以先先实施信息系系统控制测评评，以便向数数据审计提供供系统控制缺缺失产生数据据风险的测评评结果和审计计建议。信息息系统审计报报告是项目审审计报告的重重要组成部分分。 第十一一条 审计人员员应当按照审审计实施方案案确定的审计计事项获取相相应的审计证证据。获取审计证据的的法定权限、程程序和方法，以以及审计证据据的适当性和和充分性等，依依照审计机关关相关规定执执行。第十二条

8、 审审计人员应当当对能够支持持编制审计实实施方案和审审计报告的相相关内容进行行审计记录。审计记录中的调调查了解记录录、审计工作作底稿和重要要管理事项记记录，以及与与审计证据的的关系等，依依照审计机关关相关规定执执行。第十三条 信信息系统审计计应当加强审审计质量控制制。审计质量控制依依照审计机关关相关规定执执行。第十四条 信信息系统审计计中，应当区区分各方责任任：在信息系统建设设和运维中，遵遵守国家和行行业的相关法法律法规和业业务规范，建立并实施施内部控制以以保障经济业业务活动的有有效运行和组组织目标的实实现；提供审计机机关所需的各各类资料和电电子数据，并并承诺其真实实性和完整性性，必要时配配合

9、审计人员员实施系统测测试和数据测测试，是被审审计单位的责责任。信息系统审计中中，保守国家家秘密和商业业秘密，避免对被审审计单位信息息系统造成损损害，以及向向审计组提出出信息系统控控制缺失及其其产生数据风风险的意见，是是审计人员的的责任；向审计机关关提出审计结结果意见，是是审计组的责责任；向被审计单单位提出审计计结论、审计计意见及建议议，是审计机机关的责任。信息系统审计中中，审计机关关如需利用或或者委托具有有相关资质的的第三方专业业机构开展测测评的，测评评结果的真实实性和专业性性是第三方专专业机构的责责任。第十五条 审审计机关依法法组织信息系系统审计时，有有权要求被审审计单位对其其信息系统配配置

10、符合国家家或者行业标标准的数据接接口；在无法配置置符合标准的的数据接口时时，有权要求求被审计单位位将数据转换换成审计机关关能够读取的的格式并输出出；在对电子数数据的真实性性产生疑问时时，有权要求求被审计单位位按照审计机机关提供的方方案实施信息息系统的系统统测试和数据据测试；对被审计单单位信息系统统不符合法律律、法规和政政府有关主管管部门有关规规定的，有权责令限限期整改；对故意开发发或者使用舞舞弊功能的单单位和个人，有权依法追追究其责任。第十六条 审审计机关依法法对信息系统统的审批、建建设、验收、运运维等特定事事项，向有关关部门或者单单位进行专项项审计调查。专项审计调查依依照审计机关关相关规定执

11、执行。第十七条 审审计机关在依依法实施的信信息系统审计计中发现影响响国家信息安安全的重大问问题，应当向向相关主管部部门专题报告告或者移送。专题报告或者移移送依照审计计机关的相关关规定执行。第十八条 审审计人员应当当具备信息系系统审计的基基本知识和技技能。实施信信息系统审计计的审计组成成员中，应当当配备具有信信息系统审计计专业知识和和技能的审计计人员。必要要时可聘请外外部专家或者者委托专业机机构开展专项项检查和评价价。聘请外部专家或或者委托专业业机构开展工工作，依照审审计机关相关关规定执行。第三章 应用用控制审计第一节 信息息系统业务流流程控制审计计第十九条 信信息系统业务务流程控制审审计的目的

12、是是通过检查被被审计单位信信息系统承载载的经济业务务活动的发生生、处理、记记录和报告的的业务流程和和业务循环过过程，评价系系统业务流程程控制的合理理性和有效性性，揭示系统统业务流程设设计缺陷、控控制缺失等问问题，形成审审计结论，提提出审计意见见和建议；为为防范和控制制数据审计风风险，以及审审计项目对信信息系统业务务流程控制的的审计评价提提供支持。第二十条 信信息系统业务务流程控制审审计事项测评评指标：（一）业务流程程设计测评。检检查业务流程程设计的完备备性，是否满满足经济业务务活动的需求求，是否实施施了业务流程程整合、还原原或者再造，是是否避免了重重复操作，关关键环节、关关键节点和关关键岗位是

13、否否具备不相容容职责分离等等必要的控制制。（二）业务流程程处理测评。检检查系统业务务处理的正确确性和控制的的有效性，各各流程节点的的操作是否反反映了经济业业务活动的审审批及处理过过程要求，是是否设置了相相同业务处理理的自动批量量操作，是否否对重要的业业务流程处理理实施了有效效的控制和校校验，接口处处理是否正确确，控制是否否有效等。（三）业务流程程功能测评。检检查系统业务务流程实现功功能的合理性性，各类功能能操作是否能能够满足经济济业务活动的的需要，问题题管理、应急急处理和系统统控制等功能能是否有效。第二节 数据据输入、处理理和输出控制制审计第二十一条 数据输入、处处理和输出控控制审计的目目的是

14、通过检检查被审计单单位信息系统统数据输入、处处理和输出控控制的有效性性，发现因系系统控制缺失失产生的数据据风险，形成成数据控制水水平的审计评评价和结论，提提出审计意见见和建议；为数据审计计防范和控制制审计风险，以以及审计项目目对信息系统统数据风险控控制的审计评评价提供支持持。第二十二条 审计人员应应当在调查了了解被审计单单位信息系统统所承载的经经济业务活动动的业务流、资资金流和信息息流基础上，按按照不同经济济业务活动的的数据输入、处处理和输出功功能，分类建建立测评指标标，开展测评评和审计分析析。第二十三条 数据输入控控制审计事项项测评指标：（四）数据录入入和导入控制制测评。检查查系统有无设设置

15、不符合国国家、行业或或者单位规范范的数据录入入、导入接口口等数据采集集功能，数据据采集的身份份与权限控制制是否合理、有有效。（五）数据修改改和删除控制制测评。检查查系统有无设设置不符合国国家、行业或或者单位规范范的数据修改改或者删除功功能，用户数数据修改和删删除等身份与与权限控制是是否合理、有有效。（六）数据校验验控制测评。检检查数据录入入、导入接口口等数据采集集功能的校验验控制是否符符合国家、行行业或者单位位的规定，校校验控制是否否有效。（七）数据入库库控制测评。检检查录入、导导入接口等采采集的数据、缓缓冲区数据与与进入数据库库的最终数据据是否一致。（八）数据共享享与交换控制制测评。检查查系

16、统有无设设置不符合国国家、行业或或者单位规范范的数据共享享与交换功能能，用户或者者系统的数据据共享与交换换的身份与权权限控制是否否合理、有效效。（九）备份与恢恢复数据接收收控制测评。检检查数据备份份与恢复的数数据接收功能能的身份与权权限控制是否否合理、有效效，接收数据据与输出数据据是否一致。第二十四条 数据处理控控制审计事项项测评指标：（十）数据转换换控制测评。检检查系统采集集外部数据和和转换过程中中的各项控制制，是否符合合国家、行业业或者单位的的数据转换标标准和格式规规范。（十一）数据整整理控制测评评。检查采集集数据的分类类入库、数据据库中相关数数据的清洗、数数据库间和数数据表间的数数据抽取

17、与合合并、数据库库或者数据表表的生成与废废除等功能的的控制，是否否符合系统需需求和设计要要求。（十二）数据计计算控制测评评。检查系统统中经济业务务活动的计量量、计费、核核算、分析，以以及数据勾稽稽、数据平衡衡、断号重号号等计算功能能的控制，是是否符合国家家、行业或者者单位的相关关规定和规范范。（十三）数据汇汇总控制测评评。检查系统统中经济业务务活动的财政政财务科目汇汇总、报表汇汇总和相关业业务汇总等功功能实现的控控制，是否符符合国家、行行业或者单位位的相关规定定和规范。第二十五条 数据输出控控制审计事项项测评指标：（十四）数据外外设输出控制制测评。检查查计算机显示示、打印和介介质拷贝等数数据输

18、出功能能的身份与权权限控制。（十五）数据检检索输出控制制测评。检查查利用单项检检索、组合检检索等检索工工具对系统中中部分数据或或者全部数据据的检索输出出功能的身份份与权限控制制。（十六）数据共共享输出控制制测评。检查查系统内部相相关子系统之之间、系统与与外部系统之之间通过信息息交换或者信信息共享方式式数据输出功功能的身份与与权限控制。（十七）备份与与恢复输出控控制测评。检检查运行系统统向备份系统统、备份系统统向恢复系统统数据输出的的身份与权限限控制是否合合理、有效。第三节 信息息共享和业务务协同审计第二十六条 信息共享与与业务协同审审计的目的是是通过检查被被审计单位信信息系统内外外部信息共享享

19、与业务协同同，揭示共享享与协同控制制的缺失，分分析并评价风风险程度，形形成被审计单单位信息共享享与业务协同同水平的审计计评价和结论论，提出审计计意见和建议议；为数据审计计获取真实、完完整和正确的的审计数据，以以及审计项目目对被审计单单位信息共享享与业务协同同的审计评价价提供支持。第二十七条 信息共享与与业务协同审审计事项测评评指标：（十八）信息资资源目录体系系测评。检查查信息资源目目录体系是否否符合国家或或者行业的相相关规范，是是否较好地满满足各类业务务和管理的需需要。（十九）信息资资源交换体系系测评。检查查信息资源交交换体系是否否符合国家或或者行业的相相关规范，是是否较好地满满足信息交换换的

20、需要。（二十）元数据据和主数据测测评。检查系系统中的元数数据和主数据据是否符合国国家、行业或或者单位的相相关规范，是是否较好地满满足信息系统统建设、应用用和共享的需需要。（二十一）数据据元素和数据据库表测评。检检查系统中的的数据元素（数数据库表中的的数据字段）和和数据库表，是是否符合行业业或者单位的的相关规范，是是否较好地满满足信息系统统建设、应用用和共享的需需要。（二十二）内部部数据和外部部数据测评。检检查信息系统统内部产生的的包括预算管管理、会计核核算和相关业业务的数据，以以及为履行职职能或者实现现经济业务活活动需要从其其他单位获取取的外部数据据，形成的各各类数据是否否具有真实性性、完整性

21、和和正确性，是是否较好地满满足经济业务务活动的需要要。（二十三）信息息资源标准化化测评。检查查信息系统是是否建立了满满足信息共享享和业务协同同的信息资源源标准和规范范，是否执行行了国家或者者行业的标准准化要求，是是否为推进经经济业务活动动的共享协同同提供了有效效支撑。第二十八条 共享信息建建设审计事项项测评指标：（二十四）公共共基础信息建建设测评。检检查被审计单单位按照国家家或者行业确确定的人口、法法人、空间地地理等满足公公共需要的公公共基础信息息的建设任务务，是否按照照国家或者行行业关于公共共基础信息的的标准规范组组织建设，是是否建立了公公共基础信息息共享的管理理制度和机制制，是否具有有较为

22、完备的的信息系统实实现功能，是是否支持了公公共基础信息息的信息共享享与业务协同同。（二十五）其他他共享信息建建设测评。检检查被审计单单位按照国家家或者行业确确定、或者与与其他部门协协定的满足其其他部门经济济业务活动需需要的共享信信息的建设任任务，是否按按照国家、行行业或者协定定的共享信息息标准规范组组织建设，是是否建立了共共享信息的管管理制度和机机制，是否具具有较为完备备的信息系统统实现功能，是是否支持了其其他部门的信信息共享与业业务协同。（二十六）信息息共享平台建建设测评。检检查被审计单单位按照国家家或者行业确确定的信息共共享平台建设设任务，是否否按照国家或或者行业关于于共享平台建建设的标准

23、规规范组织建设设和运维，是是否建立了信信息共享和信信息安全的技技术控制和管管理机制，是是否具有较为为完备的信息息系统实现功功能，是否支支持了相关部部门的信息共共享和业务协协同。第二十九条 共享外部数数据审计事项项测评指标：（二十七）共享享外部数据测测评。检查被被审计单位职职能需要的公公共基础信息息和其他共享享信息，以及及与系统内部部数据的业务务关联度，是是否具有较为为明确的共享享外部数据信信息目录和格格式规范。（二十八）共享享外部数据有有效性评估。检检查被审计单单位是否建立立了获取外部部数据的相关关制度和机制制，系统是否否具有获取外外部数据的接接口功能，分分析外部数据据缺失对被审审计单位经济济

24、业务活动有有效性的影响响，分析研究究缺失外部数数据的原因和和解决途径。第三十条 供供给外部数据据审计事项测测评指标：（二十九）供给给外部数据测测评。检查系系统是否具有有外部所需的的公共基础信信息和其他共共享信息，是是否建立了供供给外部数据据和信息资源源共建共享的的相关制度和和机制，是否否能够满足外外部政务职能能、社会管理理职能等组织织机构的信息息需求。（三十）供给外外部数据有效效性评估。检检查被审计单单位是否建立立了供给外部部数据的相关关制度和机制制，系统是否否具有符合国国家或者行业业数据接口标标准的数据输输出接口功能能，是否按照照国家或者行行业相关规定定实现了有效效的信息交换换与共享机制制，

25、是否较好好地支持了外外部系统相关关业务的协同同发展。第四章 一般般控制审计第一节 信息息系统总体控控制审计第三十一条 信息系统总总体控制审计计的目的是通通过检查被审审计单位信息息系统总体控控制的战略规规划、组织架架构、制度机机制、岗位职职责、内部监监督等，分析析信息系统在在内部环境、风风险评估、控控制活动、信信息与沟通、内内部监督方面面的有效性及及其风险，形形成信息系统统总体控制的的审计评价和和结论，提出出审计意见和和建议，促进进信息系统总总体控制的完完善，并为审审计项目对信信息系统总体体控制的审计计评价提供支支持。第三十二条 信息系统总总体控制审计计事项评价指指标：（三十一）战略略规划评价。

26、检检查被审计单单位是否建立立了信息系统统战略发展规规划，是否明明确了战略目目标、整体规规划、实现指指标和相应的的实施机制，以以及规划的业业务和管理的的覆盖面、所所辖行业的覆覆盖面，是否否能够指导和和推进信息化化环境下经济济业务活动的的战略发展。（三十二）组织织架构评价。检检查被审计单单位是否建立立了与信息系系统战略发展展规划相匹配配的决策与管管理层领导机机构、项目实实施层工作机机构，以及行行业内各层级级的信息化工工作机构，是是否建立了各各类机构的权权力责任和制制约机制，是是否有效地发发挥了各类机机构的作用。（三十三）制度度体系评价。检检查被审计单单位是否建立立了与信息系系统战略规划划和组织架构

27、构相匹配的项项目管理制度度、项目建设设制度、质量量检查制度等等，是否建立立了重大问题题的决策机制制，是否形成成了领导机构构对项目实施施机构和行业业工作机构的的统一领导，项项目实施机构构是否形成了了对项目建设设进度、项目目质量、投资资效果和风险险防范的有效效控制。（三十四）岗位位职责评价。检检查被审计单单位信息系统统规划、建设设、运维等方方面的岗位设设置、人员配配置、岗位职职责，是否建建立了各类岗岗位职责的检检查考核机制制，是否建立立了信息系统统建设和经济济业务活动之之间、信息系系统建设的相相关岗位之间间有效的信息息沟通与交互互机制。（三十五）内部部监督评价。检检查被审计单单位是否建立立健全了信

28、息息系统建设和和运维全过程程的内部监督督机构和监督督机制，是否否形成了对信信息系统的风风险评估、控控制活动和信信息交互等方方面的有效控控制和监督，是是否较好地发发挥了促进信信息系统健康康运行的监督督保障作用。第二节 信息息安全技术控控制审计第三十三条 信息安全技技术控制审计计的目的是通通过检查被审审计单位信息息系统的信息息安全技术及及其控制的整整体方案，检检查安全计算算环境、区域域边界、通讯讯网络等方面面的安全策略略和技术设计计，检查信息息系统的安全全技术配置和和防护措施，发发现并揭示信信息系统安全全技术控制的的缺失，分析析并评价风险险程度，形成成信息安全技技术控制的审审计结论，提提出审计意见

29、见和建议，促促进信息系统统安全技术及及其相关控制制的落实；为数据审计计防范和控制制审计风险，以以及审计项目目对信息安全全技术控制的的审计评价提提供支持。第三十四条 信息安全技技术控制审计计事项测评指指标：（三十六）物理理安全控制测测评。检查系系统机房及其其重要工作房房间的物理位位置选择、物物理访问控制制、防盗窃和和防破坏、防防雷击、防火火、防水和防防潮、防静电电、温湿度控控制、电力供供应、电磁防防护等方面的的安全策略和和防护措施。（三十七）网络络安全控制测测评。检查网网络结构安全全、网络设备备访问控制、网网络设备安全全审计、网络络边界完整性性、网络入侵侵防范、网络络恶意代码防防范、网络设设备防

30、护的安安全策略和防防护措施。（三十八）主机机安全控制测测评。检查主主要服务器操操作系统、重重要终端操作作系统和主要要数据库管理理系统的身份份鉴别、访问问控制、安全全审计和剩余余信息保护方方面的安全策策略和防护措措施，检查主主要服务器的的入侵防范、恶恶意代码防范范和资源控制制措施。（三十九）应用用安全控制测测评。检查主主要应用系统统的身份鉴别别、访问控制制、安全审计计、剩余信息息保护、通信信完整性、通通信保密性、抗抗抵赖、软件件容错和资源源控制等方面面的安全策略略和防护措施施。（四十）数据安安全控制测评评。检查主要要系统管理数数据、鉴别信信息和重要业业务数据的完完整性、保密密性、备份和和恢复方面

31、的的安全策略和和防护措施。（四十一）信息息化装备自主主可控测评。检检查信息系统统在网络、主主机、安全、系系统软件和应应用软件等信信息化装备的的自主可控情情况，检查是是否能够促进进信息系统内内外结合的安安全防护，保保障信息系统统运行安全。第三节 信息息安全管理控控制审计第三十五条 信息安全管管理控制审计计的目的是通通过检查被审审计单位信息息系统的信息息安全管理，评评价信息安全全管理的完整整性和有效性性，揭示信息息安全管理缺缺失的问题，形形成信息安全全管理控制的的审计评价和和结论，提出出审计意见和和建议，促进进信息系统安安全管理的有有效性；为数据审计计防范和控制制审计风险，以以及审计项目目对系统安

32、全全管理的审计计评价提供支支持。第三十六条 信息安全管管理控制审计计事项评价指指标：（四十二）安全全管理机构评评价。检查安安全管理机构构是否健全，检检查岗位设置置、人员配备备、授权和审审批、沟通和和合作、审核核和检查等情情况。（四十三）安全全管理制度评评价。检查安安全管理制度度体系是否包包含总体方针针、安全策略略、管理制度度、操作规程程等文件，是是否覆盖物理理、网络、主主机、应用和和数据的建设设及管理等内容容，检查安全全管理制度的的制定、评审审、发布、修修订和实施等等情况。（四十四）人员员安全管理评评价。检查人人员录用、人人员离岗、人人员考核、安安全意识教育育和培训、外外部人员访问问管理等情况

33、况。（四十五）系统统建设安全管管理评价。检检查信息系统统的安全定级级、安全方案案设计、产品品采购和使用用、软件的自自行开发与外外包开发、工工程实施、测测试验收、系系统交付、系系统安全备案案和安全服务务商选择等情情况。（四十六）系统统运维安全管管理评价。检检查环境管理理、资产管理理、介质管理理、设备管理理、监控管理理、网络安全全管理、系统统安全管理、恶恶意代码防范范管理、密码码管理、变更更管理、备份份与恢复管理理、安全事件件处置、应急急预案管理等等情况。系统统运维采用第第三方外包方方式的，要重重点检查第三三方运维管理理是否有利于于系统运维安安全，是否存存在影响信息息系统安全性性方面的问题题。第五

34、章 项目目管理审计第一节 信息息系统建设经经济性评价第三十七条 信息系统建建设经济性审审计的目的是是通过检查 被审计单位位信息系统规规划、建设、应应用和运维的的经济性，发发现系统建设设不经济的问问题，形成审审计结论，提提出审计意见见和建议，促促进信息化建建设投资的有有效性，并为为审计项目对对信息系统建建设经济性的的审计评价提提供支持。第三十八条 信息系统规规划经济性审审计事项评价价指标：（四十七）总体体规划经济性性评价。检查查信息系统是是否进行了总总体规划，是是否按照职能能需求实施了了总体目标、分分期建设目标标和考核指标标的整体设计计，顶层设计总总体框架是否否具备业务发发展的可扩展展性、信息系

35、系统的可持续续性、系统应应用对经济社社会发展的效效益性。重点点检查信息系系统及其各子子系统的生命命周期，评价价总体规划的的经济性。（四十八）业务务整合规划经经济性评价。检检查信息系统统是否按照组组织目标和职职能业务特征征要求进行了了业务和管理理的流程再造造、信息共享享、系统功能能整合与复用用等方面的整整合规划，避避免信息孤岛岛和投资浪费费。（四十九）行业业整合规划经经济性评价。检检查信息系统统是否按照行行业信息化特特征要求进行行了统一规划划、统一建设设、推广应用用、信息共享享和业务协同同，是否有效效避免本行业业同类业务的的重复建设和和重复投资。（五十）技术特特征规划经济济性评价。检检查被审计单

36、单位按照经济济业务活动对对信息系统运运行的不可间间断性、并发发性和系统响响应速度，以以及数据存储储量、传输量量和处理量等等方面的技术术特征需求，进进行的主机、网络络、安全、应应用等技术架架构和技术装装备性能配置置方面的规划划设计，是否否具有合理性性、经济性和和有效性，避避免技术装备备性能过度冗冗余和投资浪浪费。第三十九条 信息系统建建设经济性审审计事项评价价指标：（五十一）建设设规划经济性性评价。检查查分期建设的的信息系统是是否按照总体体规划要求较较好地实施了了业务整合、管管理整合及其其行业应用整整合，技术架架构和技术性性能装备配置置是否具有合合理性、经济济性和有效性性，系统建设设投资是否合合

37、理。（五十二）招标标采购经济性性评价。检查查是否按照建建设规划进行行了利用原有有信息资产和和新购技术装装备的整体规规划，是否较较好地实施了了招标采购项项目的业务需需求和技术方方案论证，招招标采购的工工程、设备和和服务是否体体现了满足业业务需求、支支持自主可控控、技术先进进适用和合理理性价比的要要求。（五十三）应用用开发经济性性评价。检查查应用系统开开发是否结合合单位职能、业业务和管理特特征，采用适适合的应用系系统开发方法法，采取功能能复用、标准准化、可扩展展、可移植等等设计与开发发策略，增强强应用系统效效用性，延长长应用系统生生命周期，提提高投资效果果。（五十四）应用用推广经济性性评价。检查查

38、是否结合本本行业业务和和管理的信息息化特征，采采取相适应的的应用系统推推广和集约化化部署策略，增增强部门系统统建设拉动行行业应用的经经济性。第四十条 信信息系统应用用经济性审计计事项评价指指标：（五十五）业务务管理对信息息系统的依赖赖度评价。检检查分析现有有业务和管理理尤其是核心心业务对信息息系统的依赖赖程度，评价价信息系统建建设投资的必必要性。（五十六）信息息系统对业务务管理的支持持度评价。检检查分析信息息系统对现有有业务和管理理的运行，以以及对业务和和管理预期发发展的技术支支持等方面的的作用，评价价信息系统建建设投资的必必要性。（五十七）系统统应用对提升升效能的贡献献率评价。检检查分析信息

39、息系统应用对对提升业务和和管理的运行行效率和效能能，促进业务务和管理的组组织方式实现现，促进信息息化环境下履履职能力的提提高，从而促促进职能对象象状况的改变变，以及对其其他行业信息息化建设和应应用的影响等等。第四十一条 信息系统运运维经济性审审计事项评价价指标：（五十八）信息息系统运维经经济性评价。检检查分析信息息系统运维总总投资与信息息系统建设总总投资的占比比，评价信息息系统运维的的经济性。（五十九）信息息资产运行经经济性评价。检检查分析系统统建设形成的的信息资产总总价值与信息息系统建设总总投资的占比比、在线运行行信息资产价价值与信息资资产总价值的的占比，评价价信息资产运运行的经济性性。（六

40、十）信息资资产运维经济济性评价。检检查分析信息息资产运维投投资与信息资资产总价值的的占比，评价价信息资产运运维的经济性性。第二节 信息息系统建设管管理评价第四十二条 信息系统建建设管理审计计的目的是通通过检查被 审计单位信信息系统建设设的立项申报报、建设管理理、资金管理理、监督管理理、验收管理理、运行管理理、等保管理理和风险评估估管理，揭示示系统建设管管理控制缺失失的问题，提提出审计意见见和建议，促促进项目建设设管理的规范范性，为审计计项目对信息息系统建设管管理的审计评评价提供支持持。第四十三条 项目审批管管理审计事项项评价指标：（六十一）项目目立项规划评评价。检查立立项申请是否否符合国家或或

41、者行业有关关规定和规划划要求。（六十二）项目目建议书评价价。检查项目目建设单位编编制的需求分分析报告和项项目建议书，是是否通过了有有相应资质专专业机构的评评估，并获得得审批部门批批复。（六十三）项目目可行性研究究报告评价。检检查可行性研研究报告是否否招标选定或或者委托具有有相关资质的的工程咨询机机构或者设计计单位编制，是是否通过了有有相应资质机机构的评估，并并获得审批部部门批复。（六十四）项目目初步设计评评价。检查初初步设计方案案和投资概算算报告是否招招标选定或者者委托具有相相关资质的设设计单位编制制，是否通过过了有相应资资质机构的评评估，并获得得审批部门批批复。（六十五）项目目调整审查评评价

42、。检查项项目建设过程程中的建设内内容和投资概概算有较大变变动时，是否否按照规定程程序向项目审审批部门报送送调整报告并并经批准；项目建设过过程中出现工工程严重逾期期、投资重大大损失等问题题时，是否及及时向项目审审批部门报告告。第四十四条 项目建设管管理审计事项项评价指标：（六十六）项目目管理评价。检检查项目建设设单位是否确确定实施机构构和责任人，是否建立健全管理制度，是否按规定向项目审批部门报告有关实施情况。（六十七）项目目招标采购评评价。检查项项目是否按国国家规定组织织了招标投标标和政府采购购，项目设计计、施工、研研发、集成等等单位是否符符合规定的资资质，采购的的各类软硬件件、产品厂商商和供应

43、商是是否符合相关关规定，是否否较好地实施施了自主可控控信息化装备备优先采购的的策略，有无无发生招标纠纠纷，纠纷解解决措施是否否得当。（六十八）项目目合同内容与与执行情况评评价。检查项项目合同建设设内容、合同同价格、软件件版权归属、不不可抗力因素素和法律纠纷纷对策等方面面的合法性，项项目建设内容容的交付是否否符合合同约约定，资金支支付进度、程程序和方式是是否符合合同同约定和国家家有关规定。（六十九）项目目监理情况评评价。检查项项目是否执行行了国家规定定的项目监理理制度，是否否实行了项目目方、设计方方、施工方、集集成方和监理理方的制约机机制，是否监监督了监理方严格格履行职责，是是否保障了项项目确定

44、的质质量、进度和和投资。（七十）项目建建设方式评价价。检查项目目实行外包建建设和自行建建设等不同方方式的合理性性和有效性，重重点检查自行行建设的合法法性。第四十五条 项目资金管管理审计事项项评价指标：（七十一）项目目支出预算评评价。检查项项目建设单位位是否按项目目实施进度和和相关规定向向项目审批部部门和财政部部门提出年度度资金使用计计划、政府采采购预算等申申请。（七十二）项目目支出核算评评价。检查项项目建设单位位的资金使用用、会计核算算、项目决算算等是否符合合项目批复和和国家有关规规定。（七十三）项目目审计情况评评价。检查项项目的审计情情况，审计报报告提出的问问题是否得到到有效整改。第四十六条

45、 项目监督管管理审计事项项评价指标：（七十四）项目目监督审查配配合评价。检检查项目建设设单位在接受受项目审批部部门及其财政政、审计等有有关部门的监监督检查时是是否如实提供供建设项目有有关的资料和和情况，有无无拒绝、隐匿匿、瞒报等情情况。（七十五）项目目监督审查整整改评价。检检查项目建设设单位对有关关部门监督检检查提出的问问题和处理意意见是否进行行了积极整改改，整改后的的情况是否符符合相关规定定。第四十七条 项目验收管管理审计事项项评价指标：（七十六）项目目单项验收和和初步验收评评价。检查项项目建设单位位是否按规定定及时组织单单项验收，是是否在项目建建设完成后的的规定时间内内组织初步验验收，各项

46、验验收是否符合合相关规定。（七十七）项目目竣工验收评评价。检查项项目建设单位位是否按照有有关规定向项项目审批部门门提出竣工验验收申请，未未按期完成的的是否提出延延期竣工验收收申请，项目目是否通过竣竣工验收和批批复。（七十八）项目目后评估整改改评价。检查查项目建设单单位是否接受受了项目主管管部门组织的的后评估，对对后评估中提提出的系统运运行效率、使使用效果等问问题是否进行行了及时有效效整改，有无无拒不整改或或者整改后仍仍不符合要求求的情况。第四十八条 项目运行管管理审计事项项评价指标：（七十九）项目目运行管理评评价。检查项项目建设单位位是否落实了了项目运行管管理机构和管管理人员，是是否实行了运运

47、行管理责任任制，是否制制定和完善了了管理制度。（八十）项目运运维服务评价价。检查项目目建设单位是是否建立了有有效的运维服服务队伍和机机制，落实了了运维服务资资金，加强了了日常运行和和维护管理，保保障了信息系系统运行的可可靠性。第四十九条 涉密信息系系统分级保护护审计事项评评价指标：（八十一）涉密密信息系统定定级审批评价价。检查涉密密信息系统是是否在建设前前通过了主管管部门的分级级保护定级的的审核批准。（八十二）涉密密信息系统使使用审批评价价。检查涉密密信息系统是是否在建成后后通过了主管管部门的安全全保密测评和和投入使用的的审核批准。（八十三）涉密密信息系统整整改与备案评评价。检查已已投入使用的

48、的信息系统是是否完成系统统整改后向主主管部门备案案。第五十条 非非涉密信息系系统等级保护护审计事项评评价指标：（八十四）等级级保护备案审审批评价。检检查非涉密信信息系统是否否在建设前向向主管部门备备案定级情况况并得到审核核批准。（八十五）等级级保护测评情情况评价。检检查非涉密信信息系统是否否在建成后通通过了主管部部门组织的等等级保护测评评。（八十六）等级级保护自查整整改评价。检检查非涉密信信息系统是否否在投入使用用后按规定组组织自查，并并依据主管部部门检查意见见进行整改。第五十一条 信息安全风风险评估审计计事项评价指指标：（八十七）风险险评估委托测测评评价。检检查项目是否否按规定委托托有资质的

49、测测评机构进行行了风险评估估。（八十八）风险险评估整改落落实评价。检检查是否对信信息安全风险险评估报告提提出的整改意意见予以落实实。（八十九）残余余风险评估与与防范评价。检检查对残余风风险是否采取取了相应的防防范措施。第三节 信息息系统绩效评评价第五十二条 信息系统绩绩效评价的目目的是通过检检查被审计单单位信息系统统顶层设计及及建设实现的的管理决策支支持能力、经经济业务协同同能力、系统统建设发展能能力和信息系系统贡献能力力的提升，以以及经济业务务活动的效率率、效果和效效能的改善，揭揭示信息系统统顶层设计和和建设方面的的不足，提出出审计意见和和建议，进一一步促进信息息系统的实际际效能提升，为为审

50、计项目对对系统建设绩绩效的审计评评价提供支持持。第五十三条 信息系统绩绩效审计事项项评价指标：（九十）信息系系统总体绩效效评价。检查查信息系统的的规划目标、发发展战略、创创新策略、分分期建设方案案和考核指标标等，评价总总体规划和分分期建设方案案对信息系统统实际建设和和应用的指导导性效能的影影响程度。（九十一）管理理决策支持能能力的绩效评评价。检查信信息系统对支支持和提升组组织管理、业业务管理、行行政管理等方方面的情况，评评价信息系统统对提升管理理决策能力，改善经济业业务发展方面面的效率、效效果与效能的的影响程度。（九十二）信息息资源共享能能力的绩效评评价。检查信信息系统中的的管理资源、业业务资

51、源、人人力资源、财财力资源、技技术资源、市市场资源等各各类信息资源源的共享程度度和利用状况况，评价信息息系统的共享享协同对改善善经济业务发发展的效率、效效果与效能的的影响程度。（九十三）经济济业务协同能能力的绩效评评价。检查信信息系统对提提升单位内部部不同业务之之间、行业内内部不同单位位之间、与外外部相关经济济业务之间的的业务协同情情况，评价信信息系统对提提升经济业务务协同能力，改善经济业业务发展的效效率、效果与与效能的影响响程度。（九十四）系统统建设发展能能力的绩效评评价。检查信信息系统的整整体架构、技技术路线、开开发策略、应应用模式和运运维模式，以以及应对职能能业务发展、信信息技术发展展、

52、环境风险险防范等方面面的适应能力力，评价信息息系统对职能能业务发展可可持续支持的的影响程度。（九十五）信息息系统贡献能能力的绩效评评价。检查信信息系统运行行对单位经济济业务活动和和国家经济社社会健康发展展的经济效益益、社会效益益的影响，信信息系统的规规划模式、建建设模式等对对其他行业信信息化的可借借鉴性，评价价信息系统对对经济业务发发展和行业、地地区信息化发发展的贡献度度。第六章 信息息系统审计方方法第五十四条 系统调查方方法。依据审审计实施方案案确定的审计计目标和审计计事项，调查查被审计单位位的相关业务务活动及其所所依赖的信息息系统，调查查信息系统的的立项审批、系系统建设、运运行管理、运运维

53、服务、项项目投资等情情况，以及相相关责任机构构和管理制度度等。第五十五条 资料审查方方法。为了确确定信息系统统的重要控制制环节和重要要控制点，审审查信息系统统的立项审批批、系统设计计、招标采购购、项目实施施、项目验收收、系统运行行、运维服务务、项目投资资，以及各类类第三方测试试或者评估等等相关文档资资料。重点审审查应用控制制、一般控制制和项目管理理中的重要事事项资料。第五十六条 系统检查方方法。为了核核定信息系统统的重要控制制环节和重要要控制点，需需要对应用控控制的数据输输入、处理、输输出及其信息息共享与业务务协同的相关关控制进行检检查，对一般般控制环境、区区域边界和网网络通信，以以及信息系统

54、统的物理环境境、网络、主主机、应用、数数据和安全等等各类系统控控制进行实地地检查。第五十七条 数据测试方方法。为验证证数据输入、处处理和输出控控制的有效性性，采用模拟拟数据对运行行系统或者备备份系统进行行符合性测试试；对重要的计计量、计费、核核算、分析等等计算功能及及其控制进行行设计文档审审查、系统设设置检查和数数据实质性测测试的审查。必必要时审查应应用系统的源源程序等。第五十八条 数据验证方方法：数据采集验证。利利用直连式、旁旁路式、代理理式等合适的的数据采集方方法和工具，采采集系统监测测日志或者相相关业务数据据，进行数据据符合性验证证。数据转换验证。利利用数据库数数据转换、文文本转换、网网页信息转换换等方法和工工具，对异构构数据库之间间的数据转换