上級審計機關可以依法將其管轄範圍內的信息系統審計項目授權下級審計機關進行審計,對下級審計機關管轄範圍內的信息系統可以直接審計。第五條 審計機關和審計人員依法獨立開展信息系統審計,不受其他行政機關、社會團體和個人的幹涉。
審計機關和審計人員進行信息系統審計,應當客觀公正,保守秘密,恪守職業道德和職業準則。與被審計單位或者審計事項有利害關系的審計人員應當回避。第六條 審計機關應當根據年度信息系統建設情況和本級人民政府、上級審計機關確定的審計重點,編制年度信息系統審計計劃。
負責信息系統建設項目審批的部門應當將批準的項目建設計劃和有關文件抄送同級審計機關。第七條 審計機關應當依法成立審計組開展信息系統審計工作,審計組成員應當具備開展信息系統審計所必需的專業知識和技能。第八條 審計機關對信息系統建設項目管理情況應當重點審計下列內容:
(壹)項目立項建議書、可行性研究報告、初步設計和調整審查情況;
(二)項目管理、招標采購、合同內容與執行、監理和建設方式情況;
(三)項目預決算、資金收支和監督檢查整改情況;
(四)項目單項驗收、初步驗收和竣工驗收情況;
(五)項目運行管理和維護情況。第九條 審計機關對信息系統的安全性應當重點審計下列內容:
(壹)物理安全控制、網絡安全控制、主機安全控制、應用安全控制和數據安全控制情況;
(二)安全管理機構和人員設置、安全管理制度建立和執行情況;
(三)系統建設安全管理和運行維護安全管理情況;
(四)風險評估、防範和整改落實情況;
(五)涉密信息系統分級保護和非涉密信息系統等級保護情況。第十條 審計機關對信息系統的可靠性應當重點審計下列內容:
(壹)制度體系、崗位職責和內部監督情況;
(二)業務流程設計、業務流程處理和業務流程功能情況;
(三)數據錄入和導入控制、數據修改和刪除控制、數據校驗控制、數據入庫控制、數據***享控制、數據交換控制、數據備份和數據恢復控制情況;
(四)數據整理控制、數據計算控制和數據匯總控制情況;
(五)數據外設輸出控制、數據檢索輸出控制、數據***享輸出控制以及備份和恢復輸出控制情況。第十壹條 審計機關對信息系統的經濟性應當重點審計下列內容:
(壹)信息系統的整體規劃、業務整合規劃和行業整合規劃情況;
(二)信息系統的應用開發和推廣情況;
(三)信息系統對業務管理的支持度和對提升效能的貢獻率;
(四)信息系統運行維護的經濟性情況;
(五)信息系統績效情況。第十二條 審計機關組織開展信息系統審計時,可以按照國家有關規定采取系統調查、資料審查、系統檢查、數據測試、數據驗證、工具檢測、風險評估和專家評審等方法。第十三條 審計機關可以通過網絡與審計監督範圍內的信息系統互聯,以聯網方式采集被審計單位財務和業務數據,實施聯網審計。第十四條 審計機關對信息系統規劃、建設、應用、運行、維護等環節中的特定事項,可以向有關地方、部門、單位進行專項審計調查。
專項審計調查依照審計相關規定執行。第十五條 審計機關根據工作需要,可以委托具有相關資質的第三方專業機構對信息系統有關事項進行測評。
第三方專業機構及其工作人員應當獨立進行測評、出具測評報告,並對其真實性、專業性負責。第十六條 審計機關依法組織開展信息系統審計時,有權采取下列措施:
(壹)要求被審計單位提供與審計工作有關的真實完整的業務、財務等資料;
(二)要求被審計單位對其信息系統配置符合國家或者行業標準的數據接口,在無法配置符合標準的數據接口時,要求被審計單位將數據轉換成審計機關能夠讀取的格式並輸出;
(三)要求被審計單位按照審計機關提供的方案實施系統測試和數據測試;
(四)向信息系統規劃、建設、應用、運行、維護涉及的有關單位和個人進行調查,並取得證明材料。
被審計單位和其他有關單位、個人應當配合審計機關實施信息系統審計。