《河北省信息系统审计规定》
河北省人民政府令
〔2015〕第3号
《河北省信息系统审计规定》经2015年9月11日省政府第59次常务会议讨论通过,现予公布,自2015年11月1日起施行。
省长 张庆伟
2015年9月18日
河北省信息系统审计规定
第一条 为了加强信息系统审计监督,规范信息系统审计行为,提高审计质量,根据《中华人民共和国审计法》和《中华人民共和国审计法实施条例》等法律、法规,结合本省实际,制定本规定。
第二条 对本省政府投资、其他国有资产投资以及以政府投资和其他国有资产投资为主的信息系统的建设项目管理情况以及安全性、可靠性、经济性进行审计,适用本规定。
第三条 本规定所称信息系统,是指被审计单位利用现代信息技术开展业务活动的信息处理系统。
第四条 县级以上人民政府审计机关(以下简称审计机关)负责本级信息系统审计工作。
上级审计机关可以依法将其管辖范围内的信息系统审计项目授权下级审计机关进行审计,对下级审计机关管辖范围内的信息系统可以直接审计。
第五条 审计机关和审计人员依法独立开展信息系统审计,不受其他行政机关、社会团体和个人的干涉。
审计机关和审计人员进行信息系统审计,应当客观公正,保守秘密,恪守职业道德和职业准则。与被审计单位或者审计事项有利害关系的审计人员应当回避。
第六条 审计机关应当根据年度信息系统建设情况和本级人民政府、上级审计机关确定的审计重点,编制年度信息系统审计计划。
负责信息系统建设项目审批的部门应当将批准的项目建设计划和有关文件抄送同级审计机关。
第七条 审计机关应当依法成立审计组开展信息系统审计工作,审计组成员应当具备开展信息系统审计所必需的专业知识和技能。
第八条 审计机关对信息系统建设项目管理情况应当重点审计下列内容:
(一)项目立项建议书、可行性研究报告、初步设计和调整审查情况;
(二)项目管理、招标采购、合同内容与执行、监理和建设方式情况;
(三)项目预决算、资金收支和监督检查整改情况;
(四)项目单项验收、初步验收和竣工验收情况;
(五)项目运行管理和维护情况。
第九条 审计机关对信息系统的安全性应当重点审计下列内容:
(一)物理安全控制、网络安全控制、主机安全控制、应用安全控制和数据安全控制情况;
(二)安全管理机构和人员设置、安全管理制度建立和执行情况;
(三)系统建设安全管理和运行维护安全管理情况;
(四)风险评估、防范和整改落实情况;
(五)涉密信息系统分级保护和非涉密信息系统等级保护情况。
第十条 审计机关对信息系统的可靠性应当重点审计下列内容:
(一)制度体系、岗位职责和内部监督情况;
(二)业务流程设计、业务流程处理和业务流程功能情况;
(三)数据录入和导入控制、数据修改和删除控制、数据校验控制、数据入库控制、数据共享控制、数据交换控制、数据备份和数据恢复控制情况;
(四)数据整理控制、数据计算控制和数据汇总控制情况;
(五)数据外设输出控制、数据检索输出控制、数据共享输出控制以及备份和恢复输出控制情况。
第十一条 审计机关对信息系统的经济性应当重点审计下列内容:
(一)信息系统的整体规划、业务整合规划和行业整合规划情况;
(二)信息系统的应用开发和推广情况;
(三)信息系统对业务管理的支持度和对提升效能的贡献率;
(四)信息系统运行维护的经济性情况;
(五)信息系统绩效情况。
第十二条 审计机关组织开展信息系统审计时,可以按照国家有关规定采取系统调查、资料审查、系统检查、数据测试、数据验证、工具检测、风险评估和专家评审等方法。
第十三条 审计机关可以通过网络与审计监督范围内的信息系统互联,以联网方式采集被审计单位财务和业务数据,实施联网审计。
第十四条 审计机关对信息系统规划、建设、应用、运行、维护等环节中的特定事项,可以向有关地方、部门、单位进行专项审计调查。
专项审计调查依照审计相关规定执行。
第十五条 审计机关根据工作需要,可以委托具有相关资质的第三方专业机构对信息系统有关事项进行测评。
第三方专业机构及其工作人员应当独立进行测评、出具测评报告,并对其真实性、专业性负责。
第十六条 审计机关依法组织开展信息系统审计时,有权采取下列措施:
(一)要求被审计单位提供与审计工作有关的真实完整的业务、财务等资料;
(二)要求被审计单位对其信息系统配置符合国家或者行业标准的数据接口,在无法配置符合标准的数据接口时,要求被审计单位将数据转换成审计机关能够读取的格式并输出;
(三)要求被审计单位按照审计机关提供的方案实施系统测试和数据测试;
(四)向信息系统规划、建设、应用、运行、维护涉及的有关单位和个人进行调查,并取得证明材料。
被审计单位和其他有关单位、个人应当配合审计机关实施信息系统审计。
第十七条 审计机关组织开展信息系统审计,应当依照法定职权和程序出具审计报告。
审计报告应当包括下列内容:
(一)依据审计记录和审计证据,评价信息系统的建设项目管理情况、安全性、可靠性、经济性;
(二)分析信息系统的控制缺失程度、风险水平、成因和责任,形成审计结论;
(三)提出改进信息系统控制、防范系统控制缺失产生数据风险的审计意见和建议;
(四)其他依法应当报告的内容。
第十八条 审计机关对在信息系统审计时发现的下列情形,应当依法作出审计决定:
(一)有关财政收支、财务收支行为违反国家规定,应当依法给予处理、处罚的;
(二)信息系统不符合法律、法规、规章和国家有关规定,应当责令被审计单位限期改正的;
(三)其他需要作出审计决定的情形。
第十九条 审计机关在信息系统审计时发现问题的,被审计单位和其他有关单位应当在规定时限内整改,并将整改结果及时反馈审计机关。
审计机关应当对被审计单位和其他有关单位的整改情况进行督促检查。
第二十条 被审计单位可以按照国家和本省有关规定,开展信息系统内部审计工作,并接受审计机关的业务指导和监督。
第二十一条 审计机关及其审计人员不依法履行信息系统审计职责,或者滥用职权、玩忽职守、徇私舞弊的,由其上级行政机关或者有关机关责令改正,对直接负责的主管人员或者其他直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任。
第二十二条 违反本规定第十六条规定,被审计单位不按照要求将数据转换成审计机关能够读取的格式并输出或者不按照要求实施系统测试和数据测试的,由审计机关责令限期改正;逾期不改正的,由审计机关向被审计单位或者其上级行政机关、监察机关提出对直接负责的主管人员和其他直接责任人员给予处分的建议,有关单位或者机关应当依法作出处理。
第二十三条 违反本规定的行为,其他法律、法规已经规定法律责任的,从其规定。
第二十四条 本规定自2015年11月1日起施行。