第一条 为了加强信息系统审计监督,规范信息系统审计行为,提高审计质量,根据《中华人民共和国审计法》和《中华人民共和国审计法实施条例》等法律、法规,结合本省实际,制定本规定。
第二条 对本省政府投资、其他国有资产投资以及以政府投资和其他国有资产投资为主的信息系统的建设项目管理情况以及安全性、可靠性、经济性进行审计,适用本规定。
第三条 本规定所称信息系统,是指被审计单位利用现代信息技术开展业务活动的信息处理系统。
第四条 县级以上人民政府审计机关(以下简称审计机关)负责本级信息系统审计工作。
上级审计机关可以依法将其管辖范围内的信息系统审计项目授权下级审计机关进行审计,对下级审计机关管辖范围内的信息系统可以直接审计。
第五条 审计机关和审计人员依法独立开展信息系统审计,不受其他行政机关、社会团体和个人的干涉。
审计机关和审计人员进行信息系统审计,应当客观公正,保守秘密,恪守职业道德和职业准则。与被审计单位或者审计事项有利害关系的审计人员应当回避。
第六条 审计机关应当根据年度信息系统建设情况和本级人民政府、上级审计机关确定的审计重点,编制年度信息系统审计计划。
负责信息系统建设项目审批的部门应当将批准的项目建设计划和有关文件抄送同级审计机关。
第七条 审计机关应当依法成立审计组开展信息系统审计工作,审计组成员应当具备开展信息系统审计所必需的专业知识和技能。
第八条 审计机关对信息系统建设项目管理情况应当重点审计下列内容:
(一)项目立项建议书、可行性研究报告、初步设计和调整审查情况;
(二)项目管理、招标采购、合同内容与执行、监理和建设方式情况;
(三)项目预决算、资金收支和监督检查整改情况;
(四)项目单项验收、初步验收和竣工验收情况;
(五)项目运行管理和维护情况。
第九条 审计机关对信息系统的安全性应当重点审计下列内容:
(一)物理安全控制、网络安全控制、主机安全控制、应用安全控制和数据安全控制情况;
(二)安全管理机构和人员设置、安全管理制度建立和执行情况;
(三)系统建设安全管理和运行维护安全管理情况;
(四)风险评估、防范和整改落实情况;
(五)涉密信息系统分级保护和非涉密信息系统等级保护情况。
第十条 审计机关对信息系统的可靠性应当重点审计下列内容:
(一)制度体系、岗位职责和内部监督情况;
(二)业务流程设计、业务流程处理和业务流程功能情况;
(三)数据录入和导入控制、数据修改和删除控制、数据校验控制、数据入库控制、数据共享控制、数据交换控制、数据备份和数据恢复控制情况;
(四)数据整理控制、数据计算控制和数据汇总控制情况;
(五)数据外设输出控制、数据检索输出控制、数据共享输出控制以及备份和恢复输出控制情况。
第十一条 审计机关对信息系统的经济性应当重点审计下列内容:
(一)信息系统的整体规划、业务整合规划和行业整合规划情况;
(二)信息系统的应用开发和推广情况;
(三)信息系统对业务管理的支持度和对提升效能的贡献率;
(四)信息系统运行维护的经济性情况;
(五)信息系统绩效情况。
第十二条 审计机关组织开展信息系统审计时,可以按照国家有关规定采取系统调查、资料审查、系统检查、数据测试、数据验证、工具检测、风险评估和专家评审等方法。
第十三条 审计机关可以通过网络与审计监督范围内的信息系统互联,以联网方式采集被审计单位财务和业务数据,实施联网审计。
