各县(市、区)审计局、市局各处室(中心)：
　　为进一步规范全市审计机关计算机审计作业行为，现将《绍兴市计算机审计操作试行规程》印发给你们，请你们结合实际认真贯彻执行。
　　附件：《绍兴市计算机审计操作试行规程(试行)》
　　二○一三年一月六日
　　绍兴市计算机审计操作规程(试行)
　　第一章总则
　　第一条 为进一步规范全市审计机关计算机审计作业行为，加快推进计算机技术与审计业务的融合，保障审计质量，提高审计效率，防范计算机审计风险，确保信息系统和数据的安全，根据《中华人民共和国国家审计准则》，审计署发布的相关计算机审计实务公告，以及其他有关规定，结合绍兴计算机审计实际，制定本规程。
　　第二条 本规程所指计算机审计是以计算机审计软件为基本工具，以信息系统、数据等为主要对象，通过计算机软件与审计人员职业判断的结合，运用现代信息技术和数据分析手段，实现对计算机信息系统，财政财务收支及相关业务的真实、合法、效益情况的数据式审计监督过程。
　　第二章审计计划管理
　　第三条 凡列入年度计划的审计项目，均应通过审计管理系统(以下简称“OA”)和现场审计实施系统(以下简称“AO”)的相关功能，实行全过程信息化管理。凡具备计算机审计条件的，都应当开展计算机审计，包括数据审计，信息系统审计等。
　　第四条确定为计算机审计项目的，应当在年度审计计划中注明。实施过程中需对计算机审计项目立项进行调整的，按审计项目计划调整处理。
　　计算机审计项目分为重点计算机审计项目和一般计算机审计项目，实行分类管理。重点计算机审计项目以创优和出精品为主要目标，实行实施部门负责人目标责任制。一般计算机审计项目以锻炼计算机审计骨干人员为主要目标。
　　第五条在编制年度审计项目计划，确定计算机审计项目时，可以按照以下要素评估计算机审计的可行性：
　　(一)被审计单位的信息化实现程度，包括被审计单位财政财务收支及其相关业务信息化实现程度，及其信息系统数据量大小。
　　(二)被审计单位信息系统相关文档资料(含使用手册、数据字典等文档)的完备程度。
　　(三)被审计单位的配合程度，包括相关信息系统数据的获取可行性、技术文档提供的及时性、有关专业人员的配合程度等。
　　(四)是否具备必要的审计资源(指本部门审计人员的计算机审计胜任能力、审计实施时间等)，以应对被审计单位信息系统的复杂性。
　　第六条 经评估具备计算机审计可行性，且符合以下情况之一的，可确定为重点计算机审计项目：
　　(一)被审计单位与审计有关的全部或部分业务充分实现了信息化管理。
　　(二)被审计单位信息系统数据量较大，具备大数据量计算机审计分析条件。
　　(三)可以通过对被审计单位的财务及业务系统数据进行关联分析计算机审计的。
　　(四)可以通过将被审计单位信息系统数据与其他相关部门信息系统数据进行关联分析计算机审计的。
　　(五)与被审计单位信息系统或相关审计事项所涉数据已经实现实时或亚实时审计联网的。
　　(六)需要对被审计单位信息系统的安全性、可靠性、有效性和经济性进行审计或审计调查的。
　　(七)同步审计项目审计工作方案明确要求运用计算机审计方式开展审计的。
　　(八)其他。
　　第三章审计实施管理
　　第七条 审计通知书应当告知被审计单位采用计算机审计方式开展审计，并要求提供与本次计算机审计相关的电子数据资料。运用联网审计方式开展审计或跟踪审计的，以适当形式在审计通知书中注明或告知被审计单位。
　　第八条 重点计算机审计项目审计组应当配备计算机专业人员担任主审或成员，确保审计组在整体上具备与实现该项目审计目标相适应的计算机审计胜任能力。
　　必要时，可以聘请外部计算机技术人员作为协审人员参加相关的计算机审计，或者采取咨询方式，从外部获得所需的计算机技术支持。以协审方式参与审计的，应当在审计通知书中注明。
　　第九条 审计组应当对被审计单位相关信息系统及其电子数据、相关内部控制及其执行情况进行调查了解，具体包括以下内容：
　　(一)被审计单位财政财务收支及其相关业务的信息化组织情况和信息化实现程度。
　　(二)使用的财政财务信息系统软件和相关业务信息系统软件的主要功能和特点。
　　(三)信息系统承载业务的业务流、资金流和信息流，重点分析系统结构和数据结构。
　　(四)信息系统的使用、运维与保障，以及相关的组织架构、责任机制和管理制度。
　　(五)被审计单位信息系统控制情况，包括一般控制，即保障信息系统正常运行的稳定性、有效性、安全性等方面的控制，和应用控制，即保障信息系统产生的数据的真实性、完整性、可靠性等方面的控制。
　　(六)其它需要调查了解的内容。
　　审计组在结束调查了解后，应当填制调查了解记录单。
　　第十条 审计组在调查了解的基础上，应当根据审计目标确定本次审计所需的内部数据与外部数据，内部数据包括会计核算数据和业务数据。审计组应当向被审计单位或者其他相关单位提出书面的数据需求，内容主要包括：时间范围(数据的起讫时间)，业务范围，数据范围(如信息系统名称、数据库名称、数据表名称、字段名称)，数据格式，提供方式，时限要求(向审计组提供数据的时限)，双方责任等。
　　第十一条 一般情况下审计人员应当依法要求被审计单位以及其他相关单位按照审计需求提供数据。当被审计单位以及其他相关单位无法按照审计需求及时完整提供数据时，审计人员在不影响其正常工作，且在现场监督下，可以按照审计需求采集数据。
　　第十二条 审计组获取数据时，应当同时要求被审计单位或者其他相关单位提供元数据(如数据字典)、信息系统用户使用手册、业务流程图、数据流程图等文档资料。
　　如果被审计单位或者其他相关单位提供的数据是加密的，则应当同时提供数据解密工具和密码信息等。
　　第十三条 数据采集完成时，审计组应当办理相应的电子数据移交手续，对所接收的电子数据进行登记，并要求被审计单位对电子数据的真实性、完整性等作出书面承诺。
　　审计人员应根据实际需要安排对数据的真实性和完整性进行验证，以降低由于被审计单位的刻意修改、有意隐瞒或者审计人员在整理加工时的遗漏、失误等因素带来的审计风险。
　　第十四条 为确保所取得数据及其相关文档的安全保密，如果被审计单位要求的情况下，审计组可与被审计单位签订相关保密协议，明确双方责任，内容为《审计法》中明文规定的对被审计单位电子数据负有的保密义务，如涉及的相关数据及资料、使用范围、时限、保密责任、违约责任等。
　　第十五条 审计组应当加强对数据的保管，实行责任制管理。审计实施过程中，实行组长负责制，组长可以指定专人负责电子数据的安全和正常使用，数据整理、加工前，应当保留一套完整的源数据备份。审计项目结束后，数据由归口业务处(科)管理。
　　第十六条 按照审计署发布的专业审计数据规划，逐步构建审计业务数据库，审计数据中心和数据交换中心，加强信息数据共享机制建设。尚不具备条件的，可以通过在服务器上提供存储空间，将数据、文档等以共享或建立目录服务等方式提供给审计人员查询。
　　第十七条数据分析前，审计人员应当依据审计目标、审计项目的特点，在理解业务处理逻辑和数据之间关系(包括会计核算数据和业务数据之间的关系、内部数据和外部数据之间的关系等)的基础上，整理形成数据分析表或其他基础表。并通过询问、检查、观察内部控制执行情况等其他方法，判断可能存在的问题，综合形成计算机审计重点和内容。
　　第十八条 重点计算机审计项目应当编制计算机审计实施方案，可以单独编制，也可以作为审计实施方案的一个组成部分。计算机审计实施方案与审计实施方案应同步完成，同时提交审批。
　　一般计算机审计项目不要求编制计算机审计实施方案，但应当在审计实施方案中体现计算机审计的思路和方法。
　　第十九条审计人员认为存在下列情形之一的，应当检查相关信息系统的有效性、安全性：
　　(一)认为被审计单位提供的电子数据不符合要求，或对其提供的电子数据存在疑问。
　　(二)仅审计电子数据不足以为发现重要问题提供适当、充分的审计证据。
　　(三)电子数据中频繁出现某类差异。
　　审计人员在检查被审计单位相关信息系统时，可以利用被审计单位信息系统的现有功能或者采用其他计算机技术和工具，检查中应当避免对被审计单位相关信息系统及其电子数据造成不良影响。
　　第二十条 数据分析应当根据不同的审计阶段、审计分析目标，选择相应的分析表以及数据分析方法、技术和工具进行分析。
　　数据分析的组织方式包括：现场分散分析，现场集中分析，数据中心分析，远程联网分析。
　　数据分析的技术包括：查询分析技术，统计分析技术，多维分析技术，挖掘分析技术等。
　　数据分析工具包括：审计软件，电子表格软件，关系型数据库管理系统，统计分析软件等。
　　数据分析可以采取结构分析、趋势分析、比率分析、对比分析、逻辑分析、数理统计、特征发现等方法开展；具体的操作方法有复算、检查、核对等。
　　第二十一条信息系统审计方法包括：系统调查方法，资料审查方法，系统检查方法，数据测试方法，数据验证方法(采集验证、转换验证和处理验证)，工具检测方法(安全工具检测、审计工具检测、测评工具检测等)，风险评估方法和专家评审方法。
　　第二十二条 电子审计证据是以电子资料、计算机存储或处理形式获取的审计证据。审计人员获取的电子审计证据包括与信息系统控制相关的配置参数、反映交易记录的电子数据等。采集被审计单位电子数据作为审计证据的，审计人员应当记录电子数据的采集和处理过程。
　　《国家审计准则》第九十二条所列举的七种获取审计证据的方法，均可适用于计算机审计。
　　第二十三条 审计组对获取的电子审计证据应当填写审计签证单交被审计单位确认签证。直接填写有困难的，可以在审计签证单中说明电子证据的获取方法、审计过程和结果，注明相关原始数据的数据源，交被审计单位确认签证，必要时，可以备份经双方确认的原始数据予以封存。
　　审计事项比较复杂或者取得的电子审计证据数量较大的，可以对电子审计证据进行汇总分析，编制审计取证单，由证据提供者确认签证。
　　第二十四条 逐步推广“预算跟踪+联网核查”在线审计方式，推行现场审计与非现场审计相结合的计算机审计组织形式。
　　第二十五条 审计项目实行现场审计信息交互管理。审计组组长根据审计实施进度，适时收集、汇总和审查审计组成员在审计实施过程中形成的审计记录单,包括审计取证单、审计工作底稿、重要事项记录及所附证据(不能或不宜无纸化处理的审计证据材料除外)，填写《现场审计情况交互表》，统一打包上传到OA。
　　第四章审计终结阶段管理
　　第二十六条 计算机审计报告作为该项目审计报告的重要组成部分一并编审(单独立项的信息系统审计项目除外)。报告内容一般应包含对被审计单位信息系统和信息化管理有关情况的评价，计算机审计发现问题，以及审计处理意见和建议等。
　　信息系统审计报告应当依据审计记录和审计证据，评价信息系统的真实性、合法性、效益性和安全性，分析信息系统的控制缺失程度、风险水平、成因和责任，形成审计结论，提出改进信息系统控制、防范系统控制缺失产生审计风险的审计意见和建议。结合经济业务活动审计项目组织开展的信息系统审计，可以先实施信息系统控制测评，以便向数据审计提供系统控制缺失产生数据风险的测评结果和审计建议。
　　第二十七条 审计项目实施结束前，审计组长或其指定成员应当通过AO整理全部文件、资料，归集审计档案，生成项目档案数据包。
　　第二十八条 注重审计实施结束以后计算机审计成果的总结和提炼。重点计算机审计项目应当提炼出高质量的审计成果，参加相关计算机审计成果征集评选和项目评比。
　　第二十九条 审计项目结束后，审计组长或其指定成员按以下要求对电子数据进行清理归集、分类存放。
　　(一)属于审计档案立卷所需要的电子数据，归入审计归档数据包，交由审计档案管理软件管理。
　　(二)属于被审计单位基本情况、财务数据、财务资料、业务资料、审计资料的电子数据，在技术条件允许的情况下，导入OA被审计单位资料库。
　　(三)已按审计署数据规划要求，建成相关专业审计业务数据库的，存入审计数据中心或专业数据库指定位置。
　　(四)审计组认为无留存必要的电子数据，经业务部门负责人同意，予以删除。
　　同一电子数据需在不同物理位置存放的，应按要求重复存储。
　　第五章附则
　　第三十条本规程所称被审计单位，均包括被审计调查单位。
　　第三十一条本规程由市局计算机中心负责解释，自发布之日起试行。
　　第三十二条本规程未作出明确规定或规定不一致的，按照审计署、省审计厅有关规定执行。