青浦区审计局信息系统审计工作方案_政策法规_政务公开目录_政务公开_审计局

返回上一级

字号

大中小

打印

青浦区审计局信息系统审计工作方案

索引号： QC1104000-2014-012

公开类型：主动公开

发文字号：青审字（2014）50号

发文日期：

公开主体：青浦区审计局

发布日期： 2014.11.28

为做好我局信息系统审计工作，根据《上海市审计条例》以及我局审计工作计划的要求，参照上海市审计局《上海市审计局关于印发2014年信息系统审计工作方案的通知》(沪审计（2014）43号)和审计署《计算机审计实务公告第34号—信息系统审计指南》制定本工作方案。

一、审计工作目标

信息系统审计要紧密围绕被审计单位财政收支、财务收支以及有关经济活动应当履行的职责和义务，以承载其主体业务的信息系统为重点审计对象，以业务和管理要求为依据，通过检查和评价信息系统产生数据的真实性、完整性和正确性，防范和控制审计风险，发挥审计保障国家经济社会健康运行的“免疫系统”功能；同时，通过检查和评价信息系统的安全性、可靠性和经济性，揭示信息系统在建设管理、运行维护、业务支撑能力和绩效等方面存在的问题，提出完善信息系统控制的审计意见和建议，促进被审计单位信息系统实现组织目标。

二、审计对象和范围

根据我局审计工作计划安排，选择具备信息系统审计条件的审计项目，开展结合型的信息系统审计，选派有相应工作经验的审计人员和计算机专业技术的人员组成审计组。

信息系统审计对象的选择应重点关注以下三个方面：

(一)紧紧围绕业务审计的主要目标，确定信息系统审计的开展有助于推动业务审计目标的实现。

(二)被审计单位主体业务工作高度依赖于承载财政收支、财务收支及其相关经济业务活动的信息系统。

(三)被审计单位信息化建设与应用已经具备一定的审计基础和审计条件。

审计组应根据被审计单位的具体情况，结合本方案合理确定审计事项和审计范围，必要时应追溯至以前年度及相关单位。

三、审计内容与重点

在全面了解被审计信息系统总体情况的基础上，选择以下重点内容进行审计：

(一)信息系统建设与运维情况。了解被审计信息系统的建设与运行维护的总体情况。审查被审计信息系统建设是否符合国家、行业及本单位信息化规划要求；审查被审计信息系统项目立项审批、政府采购和招投标、合同签订、开发实施、验收、运行维护等阶段的建设管理和资金运用是否规范、有效，文档资料是否齐全等。重点审查建设程序是否按照相关规定严格执行，招投标管理和合同签订是否合规；重点审查被审计信息系统建设前期调研是否充分，实际建设内容、建设进度与需求设计是否一致；重点审查是否建立了有效的运维服务队伍和机制，对该信息系统的日常运行和维护管理是否到位，故障修复是否及时；重点审查建设和运维资金的使用是否合规，是否存在建设资金与运维资金混用的情况，是否存在已废弃系统继续申请运维经费的情况等。

(二)信息系统对业务的支撑情况。了解被审计信息系统所承载的业务内容、业务流程、功能组成、数据库和应用情况；了解该系统的技术架构、技术支撑环境、技术性能指标等情况。审查被审计单位是否基于业务需求对该系统功能和业务流程进行合理规划和设计;审查被审计业务的运行和管理决策对信息系统的依赖程度;审查网络、安全等软硬件基础设施建设是否与支撑该信息系统正常运行的要求相匹配等。重点审查被审计信息系统业务流程的关键控制点是否有效；结合审计目标重点审查信息系统记录的业务活动数据是否真实、完整、正确，为业务开展和决策分析提供有效的数据支撑等。

(三)信息系统数据共享与业务协同情况。结合审计目标了解被审计单位为履行职能或实现经济业务活动需要获取内外部单位相关数据、实现业务工作协同的情况；了解被审计信息系统的数据接口和数据交换情况等。审查被审计单位相关业务活动的信息系统是否具备符合国家标准或者行业标准的数据接口；重点审查被审计信息系统建设中是否存在“数据孤岛”、“业务孤岛”的情况；重点审查被审计单位已建设的标准接口是否满足业务工作的需要，数据交换是否完整、准确、及时等。

(四)信息系统的安全性。了解被审计信息系统和支撑该系统运行的物理、网络、主机、应用、数据等方面的安全策略配置和应急措施。审查被审计单位是否制定了完善的信息安全技术方案和相关管理制度，是否存在制度执行不严、监管不力等情况；重点审查被审计信息系统的安全设计与实际建设是否一致，是否存在随意更改网络结构、重要安全设施未建设或未启用等情况造成网络安全控制节点失效；重点审查系统日志和故障记录是否完备，是否存在异常用户访问、恶意攻击事件、系统资源使用异常、系统故障维护不及时等问题；重点审查重要业务信息在输入、处理、输出、存储等环节中防篡改、防泄露、防丢失的措施与执行情况。

(五)信息系统的绩效。结合审计目标了解被审计单位在信息化资金投入和信息系统推广应用等方面的总体情况。审查被审计信息系统资金投入与计划和实际建设内容、与实际建设周期、与预期实现的效益指标等是否相匹配；审查开展信息化培训和实际应用推进情况，是否对提升被审计单位工作效率和质量、提升管理决策能力、有效规避管理和业务控制风险等发挥促进作用等。通过评估被审计信息系统与以往信息系统、其他信息系统的关系、系统开发和设备采购计划进度、各功能模块的利用率、网络实际流量与设计容量、存储设备实际存储量与设计容量、服务器实际吞吐率与设计吞吐能力等指标，重点审查该信息系统建设是否充分考虑了资源整合、设备利旧和按需分步推进，是否存在重复投入、重复建设、超标准超规模建设、资金损失浪费等问题；重点审查已建成信息系统是否存在因前期需求设计不充分、开发质量把关不严、推进应用不力等原因造成信息系统建而不用、资源利用率低下等问题。

(六)信息化组织管理情况。了解支撑被审计单位信息化工作的组织架构、职责分工、人员与制度保障情况。审查被审计单位信息化组织机构设置与职能划分是否明确；审查与被审计信息系统建设、管理、运行、维护相配套的信息化制度是否健全；审查IT人力资源的配置是否能有效支持被审计信息系统全生命周期的运转等。重点审查是否建立权力责任和权限制约机制，各级用户权限设置是否符合岗位不相容原则等要求；重点审查被审计单位是否建立了重大问题的决策机制，是否形成对被审计信息系统建设进度、项目质量、项目资金、项目风险和项目运行绩效的有效控制等。

四、审计工作要求

(一)明确信息系统审计要求。审计组应根据各审计项目具体情况，确定是否开展信息系统审计。对已确定开展信息系统审计的项目应进一步细化和明确信息系统审计内容和重点，制定与被审计单位信息系统特点相结合的审计实施方案，确保信息系统审计的深度和质量。

(二)发挥青年计算机骨干的作用。在开展信息系统审计工作中，应充分发挥我局青年同志、计算机审计工作小组及经过计算机审计中级培训同志的技术带头作用。具备条件的审计项目开展结合型信息系统审计，明确工作分工和要求，不断提升信息系统审计实战能力。

(三)加强审计沟通联系。一是审计组要加强审前与被审计单位的沟通协调，及时获取信息系统审计所需要的数据和文档资料；二是要加强审计组内部技术人员与审计业务人员的协调，确保信息系统审计工作紧密围绕审计业务目标开展；三是要加强审计过程中情况的沟通协调，及时与本局分管领导、业务科室负责人、被审单位主要联络人进行沟通，使项目开展的情况能做到渠道通畅、信息畅通。