东北师范大学计算机审计实施办法
第一条 为规范学校计算机审计工作,保证审计工作质量,根据《审计署关于内部审计工作的规定》、《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》、教育部《教育系统内部审计工作规定》和《东北师范大学内部审计工作规定》等有关规定,结合学校的实际情况,制定本办法。
第二条 本办法所称计算机信息系统是指学校及学校所属各部门和单位配置的会计信息系统和与审计工作有关的其他经济管理信息系统。
第三条 本办法所称计算机审计是指学校审计处对学校及学校所属各部门和单位计算机信息系统的安全性、可靠性及其对财务报告的影响进行的测试与评价,以及利用计算机作为辅助工具开展的审计。
第四条 审计人员在编制计算机审计方案前,应当了解被审计单位计算机信息系统的软、硬件的设置、基本功能及其数据接口,检测与计算机信息系统相关的内部控制是否存在、有效,关注计算机信息系统环境对被审计单位会计信息的影响,从而确定实质性测试的内容及范围。
第五条 审计人员对计算机信息系统实施审计时,基本审计范围如下:
(一)内部控制制度及流程,包括管理制度和软件控制技术。
(二)记录在各种载体上的数据资料,包括纸性、电磁性、光电性的凭证、账簿、报表等。
(三)应用软件及其技术档案,包括各种财务、管理及其有关经济活动信息的计算机应用软件。
围绕上述审计范围,审计人员可从计算机信息系统的组织与管理控制、系统操作控制、硬件控制、会计信息系统软件控制、数据处理活动控制、系统安全控制、应用控制等方面具体开展相关审计业务。
第六条 组织与管理控制审计的主要内容:
(一)审查被审计单位的组织结构、职权和责任的分配情况,其职责分工是否能够提供有力的内部控制,控制能否有效地发挥作用,能否保证数据处理的及时性、安全性和可靠性。
(二)审查电子数据处理部门与用户是否实现了职责分离,电子数据处理部门内部是否实现了职责分工,程序与系统开发、计算机操作、输入数据的控制以及其他不相容职务是否分离。
(三)系统管理员的安全意识和水平如何,所有电子数据处理业务是否经过适当授权管理。
(四)审查正常数据处理中断后的应急计划是否充分。
(五)审查被审计单位是否制订了有关计算机硬件、计算机程序、数据文件、数据传送、输入和输出资料以及人员的安全规定。
第七条 系统操作控制审计的主要内容:
(一)审查计算机信息系统的操作内容和权限,操作密码是否严格管理,密码是否定期更换,系统管理员是否指定专人。
(二)已输入计算机的原始凭证和记账凭证等会计数据是否经过审核。
(三)操作人员离开机房前,是否执行相应命令退出信息管理系统。
(四)是否有系统操作日志记录并认真有效的登记记录操作人、操作时间、操作内容、故障情况等内容。
(五)非常状态下的数据能否恢复。
第八条 硬件控制审计的主要内容:
(一)审查计算机信息系统所用的计算机是否专用,未经许可不得接入互联网等其他网络,以保证信息管理系统数据的安全性、可靠性。
(二)审查是否未经许可私自拆装设备,修改系统配置。
(三)审查系统是否配置不间断电源,出现硬件故障能否及时修复。
第九条 软件控制审计的主要内容:
(一)软件程序是否执行国家有关的财务制度和会计准则规定,计算机会计信息系统是否通过相关部门鉴定,是否保留非法功能。
(二)审查软件程序的内部控制是否健全有效。
(三)对自行开发的软件检查重要部分源程序代码,判断是否有错误;编制测试数据,进行程序正确性的验证;检查被审程序的流程图,判断是否有逻辑错误。
(四)对较为复杂的应用程序,可编写一部分虚拟业务,测试被审程序的正确性。
第十条 数据处理活动控制审计的主要内容:
(一)是否制订文件备份的相关规定,在文件联机存储的情况下,是否采取了必要的存取授权控制措施。
(二)审查数据和文件档案资料保管情况,计算机操作员能否随意接触、修改文档资料。
第十一条 系统安全控制审计的主要内容:
(一)数据控制,能否做到数据不丢失、不损毁、不泄露、不被非法侵入。
(二)审查程序的接触控制、程序备份等,能否保证程序不被修改、不损毁、不被病毒感染。
(三)审查数据加密技术(数据的加解密、认证信息的加解密、数字签名),访问控制技术,认证技术等。
(四)系统是否有身份验证,检查存取控制的权限控制状况,充分关注数据完整性、机密性,关注防火墙技术性能和安全协议的设计情况。
(转下页)
