【正文】 審計機關在依法實施的信息系統(tǒng)審計中發(fā)現(xiàn)影響國家信息安全的重大問題，應當向相關主管部門專題報告或者移送。第十六條 審計機關依法對信息系統(tǒng)的審批、建設、驗收、運維等特定事項，向有關部門或者單位進行專項審計調查。信息系統(tǒng)審計中，審計機關如需利用或者委托具有相關資質的第三方專業(yè)機構開展測評的，測評結果的真實性和專業(yè)性是第三方專業(yè)機構的責任。第十四條 信息系統(tǒng)審計中，應當區(qū)分各方責任：在信息系統(tǒng)建設和運維中，遵守國家和行業(yè)的相關法律法規(guī)和業(yè)務規(guī)范，建立并實施內部控制以保障經(jīng)濟業(yè)務活動的有效運行和組織目標的實現(xiàn)；提供審計機關所需的各類資料和電子數(shù)據(jù)，并承諾其真實性和完整性，必要時配合審計人員實施系統(tǒng)測試和數(shù)據(jù)測試，是被審計單位的責任。第十三條 信息系統(tǒng)審計應當加強審計質量控制。第十二條 審計人員應當對能夠支持編制審計實施方案和審計報告的相關內容進行審計記錄。 第十一條 審計人員應當按照審計實施方案確定的審計事項獲取相應的審計證據(jù)。第十條 結合經(jīng)濟業(yè)務活動審計項目組織開展的信息系統(tǒng)審計，可以先實施信息系統(tǒng)控制測評，以便向數(shù)據(jù)審計提供系統(tǒng)控制缺失產(chǎn)生數(shù)據(jù)風險的測評結果和審計建議。 第九條 信息系統(tǒng)審計步驟：審計機關在開展初選審計項目可行性研究和編制審計實施方案時，要調查了解被審計單位相關經(jīng)濟業(yè)務活動及其所依賴的信息系統(tǒng)；調查了解信息系統(tǒng)的需求與設計、研發(fā)與集成、使用與控制、運維與保障等，以及相關的組織架構、責任機制和控制制度；調查了解系統(tǒng)承載業(yè)務的業(yè)務流、資金流和信息流，重點分析系統(tǒng)結構和數(shù)據(jù)結構，標識信息系統(tǒng)審計的關鍵控制環(huán)節(jié)和控制點；研究并確定信息系統(tǒng)應用控制、一般控制和項目管理的審計內容、審計事項和審計指標；開展應用控制、一般控制和項目管理的審計測試和評價，獲取審計證據(jù)，記錄相關指標的測評情況，分析系統(tǒng)控制水平以及數(shù)據(jù)風險，評價系統(tǒng)建設的經(jīng)濟性及信息化投資的有效性；編寫信息系統(tǒng)審計報告。結合經(jīng)濟業(yè)務活動審計項目開展的信息系統(tǒng)審計，可以按照審計實施方案要求，重點選擇信息系統(tǒng)中容易產(chǎn)生數(shù)據(jù)風險的內容（見附錄），也可以根據(jù)需要選擇其他內容組織實施。項目管理包括：信息系統(tǒng)建設的經(jīng)濟性，信息系統(tǒng)建設管理，信息系統(tǒng)績效。應用控制包括：信息系統(tǒng)業(yè)務流程，數(shù)據(jù)輸入、處理和輸出的控制，信息共享和業(yè)務協(xié)同。第二章 信息系統(tǒng)審計的組織第六條 信息系統(tǒng)審計的主要目標是通過檢查和評價被審計單位信息系統(tǒng)的安全性、可靠性和經(jīng)濟性，揭示信息系統(tǒng)存在的問題，提出完善信息系統(tǒng)控制的審計意見和建議，促進被審計單位信息系統(tǒng)實現(xiàn)組織目標；同時，通過檢查和評價信息系統(tǒng)產(chǎn)生數(shù)據(jù)的真實性、完整性和正確性，防范和控制審計風險。 第四條 本指南所稱審計指標，是指對審計事項的測評指標或者評價指標。 第二條 本指南所稱信息系統(tǒng)，是指被審計單位利用現(xiàn)代信息技術實現(xiàn)財政收支、財務收支及其相關經(jīng)濟業(yè)務活動的信息處理的系統(tǒng)。中華人民共和國審計署文件審計發(fā)〔2012〕11號審計署關于印發(fā)信息系統(tǒng)審計指南——計算機審計實務公告第34號的通知各省、自治區(qū)、直轄市和計劃單列市、新疆生產(chǎn)建設兵團審計廳（局），署機關各單位、各特派員辦事處、各派出審計局： 信息系統(tǒng)審計指南——計算機審計實務公告第34號，經(jīng)署領導同意，現(xiàn)予印發(fā)，供審計機關實施信息系統(tǒng)審計參考。 二○一二年二月一日信息系統(tǒng)審計指南——計算機審計實務公告第34號目 錄第一章 總 則第二章 信息系統(tǒng)審計的組織第三章 應用控制審計第一節(jié) 信息系統(tǒng)業(yè)務流程控制審計第二節(jié) 數(shù)據(jù)輸入、處理和輸出控制審計第三節(jié) 信息共享和業(yè)務協(xié)同審計第四章 一般控制審計第一節(jié) 信息系統(tǒng)總體控制審計第二節(jié) 信息安全技術控制審計第三節(jié) 信息安全管理控制審計第五章 項目管理審計第一節(jié) 信息系統(tǒng)建設經(jīng)濟性評價第二節(jié) 信息系統(tǒng)建設管理評價第三節(jié) 信息系統(tǒng)績效評價第六章 信息系統(tǒng)審計方法第七章 附 則第一章 總 則 第一條 為進一步指導和規(guī)范國家審計機關組織開展的信息系統(tǒng)審計活動，提高審計效率，保證審計質量，制定本指南。 第三條 本指南所稱信息系統(tǒng)審計，是指國家審計機關依法對被審計單位信息系統(tǒng)的真實性、合法性、效益性和安全性進行檢查監(jiān)督的活動。 第五條 信息系統(tǒng)審計可以作為財政收支、財務收支及其相關經(jīng)濟業(yè)務活動（以下簡稱經(jīng)濟業(yè)務活動）審計項目的審計內容組織開展，也可以作為獨立組織的信息系統(tǒng)審計項目實施。第七條 信息系統(tǒng)審計內容，包括對應用控制、一般控制和項目管理的審計。一般控制包括：信息系統(tǒng)總體控制，信息安全技術控制，信息安全管理控制。 第八條 審計人員可以根據(jù)審計實施方案要求，選擇應用控制、一般控制和項目管理中的相關內容組織實施。獨立組織開展的信息系統(tǒng)審計項目，可以按照審計實施方案要求，選擇本指南所述的全部或者部分內容組織實施。按照審計實施方案要求，依據(jù)審計記錄和審計證據(jù)，評價信息系統(tǒng)的真實性、合法性、效益性和安全性，分析信息系統(tǒng)的控制缺失程度、風險水平、成因和責任，形成審計結論，提出改進信息系統(tǒng)控制、防范系統(tǒng)控制缺失產(chǎn)生審計風險的審計意見和建議。信息系統(tǒng)審計報告是項目審計報告的重要組成部分。獲取審計證據(jù)的法定權限、程序和方法，以及審計證據(jù)的適當性和充分性等，依照審計機關相關規(guī)定執(zhí)行。審計記錄中的調查了解記錄、審計工作底稿和重要管理事項記錄，以及與審計證據(jù)的關系等，依照審計機關相關規(guī)定執(zhí)行。審計質量控制依照審計機關相關規(guī)定執(zhí)行。信息系統(tǒng)審計中，保守國家秘密和商業(yè)秘密，避免對被審計單位信息系統(tǒng)造成損害，以及向審計組提出信息系統(tǒng)控制缺失及其產(chǎn)生數(shù)據(jù)風險的意見，是審計人員的責任；向審計機關提出審計結果意見，是審計組的責任；向被審計單位提出審計結論、審計意見及建議，是審計機關的責任。第十五條 審計機關依法組織信息系統(tǒng)審計時，有權要求被審計單位對其信息系統(tǒng)配置符合國家或者行業(yè)標準的數(shù)據(jù)接口；在無法配置符合標準的數(shù)據(jù)接口時，有權要求被審計單位將數(shù)據(jù)轉換成審計機關能夠讀取的格式并輸出；在對電子數(shù)據(jù)的真實性產(chǎn)生疑問時，有權要求被審計單位按照審計機關提供的方案實施信息系統(tǒng)的系統(tǒng)測試和數(shù)據(jù)測試；對被審計單位信息系統(tǒng)不符合法律、法規(guī)和政府有關主管部門有關規(guī)定的，有權責令限期整改；對故意開發(fā)或者使用舞弊功能的單位和個人，有權依法追究其責任。專項審計調查依照審計機關相關規(guī)定執(zhí)行。專題報告或者移送依照審計機關的相關規(guī)定執(zhí)行。實施信息系統(tǒng)審計的審計組成員中，應當配備具有信息系統(tǒng)審計專業(yè)知識和技能的審計人員。聘請外部專家或者委托專業(yè)機構開展工作，依照審計機關相關規(guī)定執(zhí)行。第二十條 信息系統(tǒng)業(yè)務流程控制審計事項測評指標：（一）業(yè)務流程設計測評。（二）業(yè)務流程處理測評。（三）業(yè)務流程功能測評。第二節(jié) 數(shù)據(jù)輸入、處理和輸出控制審計第二十一條 數(shù)據(jù)輸入、處理和輸出控制審計的目的是通過檢查被審計單位信息系統(tǒng)數(shù)據(jù)輸入、處理和輸出控制的有效性，發(fā)現(xiàn)因系統(tǒng)控制缺失產(chǎn)生的數(shù)據(jù)風險，形成數(shù)據(jù)控制水平的審計評價和結論，提出審計意見和建議；為數(shù)據(jù)審計防范和控制審計風險，以及審計項目對信息系統(tǒng)數(shù)據(jù)風險控制的審計評價提供支持。第二十三條 數(shù)據(jù)輸入控制審計事項測評指標：（四）數(shù)據(jù)錄入和導入控制測評。