欢迎访问本网站

 工作流程更多>>

当前位置: 首页>>法律法规 >>校内-审计制度>>正文

东北师范大学计算机审计实施办法(东师校发字[2010]46号)


作者:审计处  来源:审计处   编辑:高健  上传时间:2010-07-30  点击:[]

关于印发《东北师范大学计算机审计实施办法》的通知

东师校发字[2010]46号

各学院、各单位:
  为规范学校计算机审计工作,保证审计工作质量,根据《审计署关于内部审计工作的规定》(审计署令[2003]4号)、《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》(国办发[2001]88号)、教育部《教育系统内部审计工作规定》(教育部令[2004]17号)和《东北师范大学内部审计工作规定》(东师校发字[2010]38号)等有关规定,学校制定《东北师范大学计算机审计实施办法》,现予以印发,请遵照执行。

  附件:东北师范大学计算机审计实施办法

东北师范大学
2010年7月13日

 

东北师范大学计算机审计实施办法 

 

第一条为规范学校计算机审计工作,保证审计工作质量,根据《审计署关于内部审计工作的规定》、《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》、教育部《教育系统内部审计工作规定》和《东北师范大学内部审计工作规定》等有关规定,结合学校的实际情况,制定本办法。

第二条本办法所称计算机信息系统是指学校及学校所属各部门和单位配置的会计信息系统和与审计工作有关的其他经济管理信息系统。

第三条本办法所称计算机审计是指学校审计处对学校及学校所属各部门和单位计算机信息系统的安全性、可靠性及其对财务报告的影响进行的测试与评价,以及利用计算机作为辅助工具开展的审计。

第四条审计人员在编制计算机审计方案前,应当了解被审计单位计算机信息系统的软、硬件的设置、基本功能及其数据接口,检测与计算机信息系统相关的内部控制是否存在、有效,关注计算机信息系统环境对被审计单位会计信息的影响,从而确定实质性测试的内容及范围。

第五条审计人员对计算机信息系统实施审计时,基本审计范围如下:

(一)内部控制制度及流程,包括管理制度和软件控制技术。

(二)记录在各种载体上的数据资料,包括纸性、电磁性、光电性的凭证、账簿、报表等。

(三)应用软件及其技术档案,包括各种财务、管理及其有关经济活动信息的计算机应用软件。

围绕上述审计范围,审计人员可从计算机信息系统的组织与管理控制、系统操作控制、硬件控制、会计信息系统软件控制、数据处理活动控制、系统安全控制、应用控制等方面具体开展相关审计业务。

第六条组织与管理控制审计的主要内容:

(一)审查被审计单位的组织结构、职权和责任的分配情况,其职责分工是否能够提供有力的内部控制,控制能否有效地发挥作用,能否保证数据处理的及时性、安全性和可靠性。

(二)审查电子数据处理部门与用户是否实现了职责分离,电子数据处理部门内部是否实现了职责分工,程序与系统开发、计算机操作、输入数据的控制以及其他不相容职务是否分离。

(三)系统管理员的安全意识和水平如何,所有电子数据处理业务是否经过适当授权管理。

(四)审查正常数据处理中断后的应急计划是否充分。

(五)审查被审计单位是否制订了有关计算机硬件、计算机程序、数据文件、数据传送、输入和输出资料以及人员的安全规定。

第七条系统操作控制审计的主要内容:

(一)审查计算机信息系统的操作内容和权限,操作密码是否严格管理,密码是否定期更换,系统管理员是否指定专人。

(二)已输入计算机的原始凭证和记账凭证等会计数据是否经过审核。

(三)操作人员离开机房前,是否执行相应命令退出信息管理系统。

(四)是否有系统操作日志记录并认真有效的登记记录操作人、操作时间、操作内容、故障情况等内容。

(五)非常状态下的数据能否恢复。

第八条硬件控制审计的主要内容:

(一)审查计算机信息系统所用的计算机是否专用,未经许可不得接入互联网等其他网络,以保证信息管理系统数据的安全性、可靠性。

(二)审查是否未经许可私自拆装设备,修改系统配置。

(三)审查系统是否配置不间断电源,出现硬件故障能否及时修复。

第九条软件控制审计的主要内容:

(一)软件程序是否执行国家有关的财务制度和会计准则规定,计算机会计信息系统是否通过相关部门鉴定,是否保留非法功能。

(二)审查软件程序的内部控制是否健全有效。

(三)对自行开发的软件检查重要部分源程序代码,判断是否有错误;编制测试数据,进行程序正确性的验证;检查被审程序的流程图,判断是否有逻辑错误。

(四)对较为复杂的应用程序,可编写一部分虚拟业务,测试被审程序的正确性。

第十条数据处理活动控制审计的主要内容:

(一)是否制订文件备份的相关规定,在文件联机存储的情况下,是否采取了必要的存取授权控制措施。

(二)审查数据和文件档案资料保管情况,计算机操作员能否随意接触、修改文档资料。

第十一条系统安全控制审计的主要内容:

(一)数据控制,能否做到数据不丢失、不损毁、不泄露、不被非法侵入。

(二)审查程序的接触控制、程序备份等,能否保证程序不被修改、不损毁、不被病毒感染。

(三)审查数据加密技术(数据的加解密、认证信息的加解密、数字签名),访问控制技术,认证技术等。

(四)系统是否有身份验证,检查存取控制的权限控制状况,充分关注数据完整性、机密性,关注防火墙技术性能和安全协议的设计情况。

第十二条应用控制审计的主要内容:

(一)审查系统接触控制,对程序资料、数据文件是否有专人保管,程序软件是否限于编程人员维护。

(二)审查输入控制,会计信息系统有无制定严格的预防原始凭证和记账凭证等会计数据未经审核而输入计算机的措施,能否对输入数据进行合法性检查,能否防止输入数据被非法修改。

(三)审查系统处理数据的正确性和有效性,系统能否对运行过程中可能出现的错误进行纠错。

(四)审查数据控制,测试凭证库、账簿库原始数据的正确性、有效性、完整性。

(五)审查输出控制,是否有输出数据合法性检查,能否及时将输出报告送交使用者,数据介质是否能实现安全管理。

第十三条审计人员对计算机信息系统实施审计时,可以使用如下方法:

(一)审计人员可以运用测试数据法、平行模拟法、嵌入审计模块法、综合测试法、受控处理法和受控再处理法等对应用软件进行测试。

(二)审计人员可以运用面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法等对技术档案进行检查。

第十四条计算机辅助审计的主要内容:

(一)审计业务所需法律、法规的辅助检索。

(二)对被审计单位电子数据的真实性、正确性、完整性的验证。

(三)对被审计单位财务报表的辅助分析。

(四)分析审计风险和拟定审计方案。

(五)对被审计单位的财务收支进行检查。

(六)形成审计工作底稿。

(七)形成审计报告。

(八)对审计资料的管理。

(九)对审计项目计划的管理。

(十)对审计档案的管理。

(十一)对审计业务的综合、统计和分析。

(十二)其他内容。

第十五条开展计算机系统审计工作应当由经过计算机审计专业培训的人员实施,必要时可以聘请计算机审计专家参加。学校审计处应当定期对承担计算机辅助审计的审计人员开展业务进修和岗位培训。

第十六条学校审计处有权对学校及学校所属各部门和单位的有关经济活动的计算机信息系统进行审计监督。被审计单位必须按照审计处的要求,提供实施计算机系统审计的必要工作条件,授予审计人员对计算机信息系统进行访问、核查的有关权限。

第十七条学校审计处有权要求各部门、各单位及其所属部门、单位的计算机信息系统给内部审计留有查询专用的客户端。对于自行开发的信息系统,审计处有权要求其系统的数据接口能够转换成指定的格式输出。

第十八条学校审计处实施计算机审计时,有权检查、索取与审计有关的内部控制制度、各载体数据、应用软件及其技术档案资料,被审计单位应如实提供。

第十九条审计人员在工作中获取有关被审计单位的文档资料和电子数据时,应视同使用相应的纸质资料,要按规定履行使用手续。

第二十条学校审计处实施计算机审计时,未经被审计单位同意,不得向该系统中写入或改写任何信息。

第二十一条学校审计处对被审计单位电子数据真实性产生疑问时,可以对计算机信息系统进行测试。测试计算机信息系统时,审计人员应当提出测试方案,会同被审计单位操作人员按照方案的要求进行测试。

第二十二条学校审计处在计算机审计过程中,发现被审计单位或者个人利用计算机技术手段违反财经法规,严重损害学校利益的行为,应要求被审计单位停止使用该计算机系统,并应及时报告学校主管领导处理。

学校审计处在审计中发现被审计单位开发、故意使用有舞弊功能的计算机信息系统的,要提出依法追究有关单位和人员责任的建议;对情节严重,构成犯罪的,要移送司法机关处理。

第二十三条审计人员在审计过程中对取得的信息资料应予保密,不得用于与审计工作无关的事项。

第二十四条本办法由学校审计处负责解释。

第二十五条本办法自2010年7月13日起施行。

上一条:东北师范大学内部控制审计实施办法(东... 下一条:东北师范大学专项审计调查实施办法(东...

关闭