上級審計機關可以依法授權下級審計機關審計其管轄範圍內的信息系統,也可以直接審計下級審計機關管轄範圍內的信息系統。第五條審計機關和審計人員依法獨立審計信息系統,不受其他行政機關、社會團體和個人的幹涉。
審計機關和審計人員應當客觀公正地審計信息系統,保守秘密,遵守職業道德和職業規範。審計人員與被審計單位或者審計事項有利害關系的,應當回避。第六條審計機關應當根據本級人民政府和上級審計機關確定的年度信息系統建設和審計重點,編制年度信息系統審計計劃。
負責審批信息系統建設項目的部門應當將批準的項目建設方案及相關文件抄送同級審計機關。第七條審計機關應當依法成立審計組開展信息系統審計,審計組成員應當具備開展信息系統審計所必需的專業知識和技能。第八條審計機關在信息系統建設項目管理中,應當重點關註以下內容:
(壹)項目建議書、可行性研究報告、初步設計和調整審查;
(二)項目管理、招標采購、合同內容及執行、監理及施工方法;
(三)項目預決算、資金收支、監督檢查和整改情況;
(四)工程的單項驗收、初步驗收和竣工驗收;
(5)項目的運營、管理和維護。第九條審計機關對信息系統安全的審計重點如下:
(壹)物理安全控制、網絡安全控制、主機安全控制、應用安全控制和數據安全控制;
(二)安全管理機構和人員的設置,安全管理制度的建立和執行情況;
(3)系統建設安全管理和運行維護安全管理;
(四)實施風險評估、防範和整改;
(五)涉密信息系統的等級保護和非涉密信息系統的等級保護。第十條審計機關對信息系統可靠性審計的重點是:
(壹)制度、崗位職責和內部監督;
(二)業務流程設計、業務流程處理和業務流程功能;
(三)數據錄入和導入控制、數據修改和刪除控制、數據驗證控制、數據入庫控制、數據共享控制、數據交換控制、數據備份和數據恢復控制;
(四)數據整理控制、數據計算控制和數據匯總控制;
(5)數據外圍輸出控制、數據檢索輸出控制、數據享受輸出控制以及備份和恢復輸出控制。第十壹條審計機關應當重點審計信息系統經濟性的下列內容:
(壹)信息系統的總體規劃、業務整合規劃和行業整合規劃;
(二)信息系統的應用、開發和推廣;
(3)信息系統對經營管理的支持程度及其對提高效率的貢獻率;
(四)經濟信息系統運行和維護情況;
(5)信息系統性能。第十二條審計機關在組織信息系統審計時,可以按照國家有關規定,采用系統調查、數據審核、系統檢查、數據測試、數據驗證、工具測試、風險評估和專家評審等方法。第十三條審計機關可以通過網絡與審計監督範圍內的信息系統互聯,以網絡化方式采集被審計單位的財務和業務數據,實施網絡化審計。第十四條審計機關可以就信息系統規劃、建設、應用、運行和維護中的特定事項,向有關地方、部門和單位進行專項審計調查。
專項審計調查應當按照審計的有關規定進行。第十五條審計機關根據工作需要,可以委托具有相關資質的第三方專業機構對信息系統相關事項進行評估。
第三方專業機構及其工作人員應當獨立開展評估並出具評估報告,並對其真實性和專業性負責。第十六條審計機關依法組織信息系統審計時,有權采取下列措施:
(壹)要求被審計單位提供與審計工作有關的真實、完整的業務和財務資料;
(二)要求被審計單位為其信息系統配置符合國家或行業標準的數據接口,如果無法配置符合標準的數據接口,要求被審計單位將數據轉換為審計機構能夠讀取的格式並輸出;
(三)要求被審計單位按照審計機關提供的方案進行系統測試和數據測試;
(四)向涉及信息系統規劃、建設、應用、運行和維護的有關單位和個人進行調查,獲取證明材料。
被審計單位及其他有關單位和個人應當配合審計機關實施信息系統審計。