计算机审计审前调查指南
第一条 为进一步规范计算机审计行为,确保审计质量,根据计算机审计准则框架体系的要求,参照《审计机关审计项目质量控制办法(试行)》的有关内容,制定本指南。
第二条 本指南所称的审前调查是指审计机关和审计组在编制审计实施方案前,根据审计项目的规模和性质,安排适当的人员和时间,为了解被审计单位的有关情况所进行的考察。
第三条 本指南适用于下列审计项目的审计调查:
(一)被审计单位使用会计核算软件等信息系统,会计信息以电子数据形式存在的;
(二)被审计单位使用业务管理软件等信息系统,主营业务等经济活动信息以电子数据形式存在的;
(三)独立列入审计计划,对被审计单位信息系统进行检查的;
(四)对电子政务等项目实施IT效益审计的。
第四条 计算机审计审前调查应当遵循审计署关于审计项目审前调查的相关要求,关注由于计算机等信息技术应用给审计客体、主体双方带来的实质性变化。
开展计算机审计审前调查的目标,是使审计机关和审计组所编制审计实施方案满足信息化环境下开展审计的需求。
第五条 参与审前调查的人员,应当具有适当的计算机知识和技能。必要时审计机关可以调动本机关计算机审计专业人员或者聘请外部计算机专业技术人员参加。
第六条 审前调查过程中,审计人员应当关注电子数据具有的易拷贝、易扩散特性对保密的负面影响。
第七条 审前调查可以根据需要选择下列方式:
(一)组织有关人员座谈或者向有关人员咨询;
(二)发放调查问卷或者调查表;
(三)查阅或者索取资料;
(四)实地考察;
(五)走访与审计项目有关的单位。
第八条 审前调查应当了解以下基本情况:
(一)被审计单位所使用的信息系统;
(二)被审计单位的电子数据;
(三)被审计单位业务流程对信息化的依赖程度;
(四)与信息系统有关的管理机构及管理方式;
(五)开展计算机审计的环境条件。
第九条 对被审计单位所使用的信息系统进行调查,应当收集、记录下列资料,了解相关情况:
(一)信息系统的名称及版本,取得方式和时间;
(二)信息系统所使用的操作系统、数据库管理系统、应用软件的名称及版本,信息系统运行环境硬件配置;
(三)信息系统担负的主要任务、所处理数据的归属、主要来源、传递方式、主要流程、与其他信息系统的共享、交互;
(四)信息系统对外输出数据的方式,可输出数据的类型;
(五)主要岗位设置、责任划分、权力分配等控制环节,主要访问控制、变更控制等安全策略;
(六)有可能获得的系统建设文档、系统取得之后重大调整升级的更新记录。
审前调查中可视需要和条件,对被审计单位的信息系统进行测试。测试工作应当编制适当的预案,确保信息系统的正常运行。
第十条 对被审计单位的电子数据进行调查,应当收集、记录下列资料,了解相关情况:
(一)数据内容、范围,存储媒介;
(二)以GB为单位计算的被审计单位源数据量、估算的审计所需数据量;
(三)会计核算软件等信息系统输出的数据与国家标准 (GB/T 19581—2004)的符合程度,或者是否能被AO等审计软件顺利采集;
(四)数据元素满足专业审计数据规划的程度及主要差异;
(五)有可能获得的数据结构说明、用户使用手册等文档资料;
(六)被审计单位对审计人员采集、整理数据的支持程度和支持能力;
(七)有可能涉及的外部电子数据。
审前调查中可视需要和条件,采集、转换审计所需要的部分数据以至全部数据,对数据的真实性、可用性进行初步审查,按照审计项目性质对数据进行初步分析。
第十一条 对被审计单位业务流程对信息化的依赖程度进行调查,应当收集、记录下列资料,了解相关情况:
(一)信息系统全部停止运行或者局部停止运行对被审计单位持续运行的影响程度;
(二)使用信息系统的员工比重,信息化处理过程占全部业务流程的比重;
(三)使用信息系统的员工对信息系统功能、运行情况、技术部门支持服务满意度的评价;
审前调查中可视需要和条件,绘制业务流程图,抽查流程的实际执行、控制程度。
第十二条 对被审计单位与信息系统有关的管理机构及管理方式进行调查,应当收集、记录下列资料,了解相关情况:
(一)相关法规、规章对在用信息系统的规范要求;
(二)信息技术部门在被审计单位组织架构中的位置;
(三)信息技术部门及其工作人员管理维护职责分工;
(四)财务、业务人员使用信息系统的职责分工;
(五)信息系统主要控制环节及岗位设置。
审前调查中可以视需要和条件,绘制组织系统图,抽查管理制度的实际执行、控制程度。
第十三条 审前调查中,应当实地考察开展计算机审计的环境条件,了解下列相关情况:
(一)被审计单位可以提供的设备,审计组完成审计工作必须自行携带的设备;
(二)被审计单位可利用的网络,审计组需要搭建网络环境的规模和所需设备材料;
(三)被审计单位可以提供的数据库管理软件和其他辅助软件工具,审计组需要另行准备的软件;
(四)利用被审计单位计算机环境条件对审计工作、被审计单位系统安全的影响程度。
第十四条 审计机关统一组织由不同级次审计机关或者多个审计组参加的行业审计、专项资金审计或者其他统一审计项目需要进行计算机审计审前调查时,应当根据审计机关编制审计工作方案的需要,可以有所侧重地选择调查内容,进行适当的扩充和删减。
对实行数据大集中的行业或者单位进行审前调查,应当将采集、整理、切分等数据准备工作列入审前调查的范围,并安排所需时间。
第十五条 对规模较小的、使用高市场占有率品牌会计核算软件的、实行定期审计或者连续审计的被审计单位进行审前调查时,可以适当缩小了解情况的范围和深度。
第十六条 审前调查的过程和取得的相关资料,应当支持对审计实施方案的下列内容,提出具有影响的意见和建议:
(一)审计工作目标;
(二)审计内容与重点;
(三)对审计目标有重要影响的审计事项;
(四)重要性水平和审计风险;
(五)信息化条件下必须采用的组织方式和工作方法;
(六)审计必需的计算机设备、条件及其解决方式;
(七)审计组应当充实的计算机技术人员的数量和专业结构;
(八)预定的审计工作起止时间和经费预算。
第十七条 根据审前调查的初步结果,审计组认为被审计单位所使用的软件或者信息系统可能存在瑕疵或者缺陷,进而可能对于电子数据的真实性、完整性产生重要影响时,应当建议在审计实施方案中增加检查信息系统的内容。
第十八条 审计调查取得或者形成的电子数据,视需要归类存入审计机关指定的数据库管理系统或者存储设备。
第十九条 审计机关可以根据审前调查的结果,采取对审计组成员进行审前培训等形式,扩大审前调查所获得信息的知悉范围,提高审计实施的针对性。
第二十条 本指南所提及的“应当”和“可以”,均为对计算机审计审前调查实施过程的设计要求,不代替应当由国家主管部门、各级审计机关颁布的规章制度所提出的要求。
第二十一条 本指南由审计署计算机技术中心、京津冀特派员办事处起草。
本指南的内容来自于审计署及地方审计机关的实践总结。
第二十二条 本指南的解释权归审计署计算机技术中心
相关文章
附件:
