信息系統(tǒng)組織層面審計(jì)

信息系統(tǒng)組織層面審計(jì)一、信息系統(tǒng)治理審計(jì)（一）業(yè)務(wù)概述信息系統(tǒng)治理是組織治理的重要組成部分，專(zhuān)注于信息技術(shù)體系及其績(jī)效和風(fēng)險(xiǎn)管理的治理規(guī)則。信息系統(tǒng)治理應(yīng)當(dāng)確保信息系統(tǒng)戰(zhàn)略與組織戰(zhàn)略的一致性、信息系統(tǒng)目標(biāo)與業(yè)務(wù)目標(biāo)一致、信息系統(tǒng)資源的統(tǒng)一管理和優(yōu)化，風(fēng)險(xiǎn)的有效控制、信息技術(shù)業(yè)務(wù)活動(dòng)符合法律法規(guī)規(guī)定和行業(yè)規(guī)范要求，以促進(jìn)組織價(jià)值最大化。信息系統(tǒng)治理是指組織中信息系統(tǒng)管理的治理架構(gòu)、流程活動(dòng)方式和運(yùn)行關(guān)系，是治理主體以組織章程、監(jiān)管職責(zé)、利益相關(guān)方期望、業(yè)務(wù)壓力和業(yè)務(wù)要求為驅(qū)動(dòng)力，建立評(píng)估、指導(dǎo)、監(jiān)督的治理過(guò)程。信息系統(tǒng)治理審計(jì)是指對(duì)信息系統(tǒng)治理中的體系、制度、方案、評(píng)估、指導(dǎo)與監(jiān)督等過(guò)程進(jìn)行審查和評(píng)價(jià)。（二）審計(jì)目標(biāo)和內(nèi)容信息系統(tǒng)治理審計(jì)目標(biāo)是評(píng)價(jià)信息系統(tǒng)治理是否滿(mǎn)足組織戰(zhàn)略需求、使其與業(yè)務(wù)目標(biāo)保持一致、信息系統(tǒng)資源得以統(tǒng)一管理和優(yōu)化，風(fēng)險(xiǎn)得到有效控制、信息技術(shù)業(yè)務(wù)活動(dòng)符合法律法規(guī)和行業(yè)規(guī)范要求，促進(jìn)組織價(jià)值最大化。信息系統(tǒng)治理審計(jì)的主要內(nèi)容：包括信息系統(tǒng)的戰(zhàn)略規(guī)劃、信息系統(tǒng)治理的組織架構(gòu)設(shè)置、治理的職責(zé)權(quán)限分工、治理資源的合理分配、信息系統(tǒng)的考核及監(jiān)督機(jī)制。（三）常見(jiàn)問(wèn)題和風(fēng)險(xiǎn)1.信息系統(tǒng)治理與組織治理脫節(jié)。2.職責(zé)分工不清，未建立制衡機(jī)制。3.內(nèi)部控制監(jiān)督機(jī)制失效。4.信息與溝通機(jī)制失效。5.信息系統(tǒng)資源配置不合理。6.信息系統(tǒng)審計(jì)機(jī)構(gòu)缺乏獨(dú)立性。7.信息系統(tǒng)用戶(hù)的信息技術(shù)教育和培訓(xùn)不足等問(wèn)題。（四）審計(jì)的主要方法和程序1.訪(fǎng)談組織管理層中關(guān)于信息系統(tǒng)的主管人員，收集組織章程、收集信息系統(tǒng)管理的組織機(jī)構(gòu)設(shè)置圖，了解組織的戰(zhàn)略布局、組織主營(yíng)業(yè)務(wù)構(gòu)成，從而評(píng)價(jià)信息系統(tǒng)架構(gòu)與組織架構(gòu)的一致性，信息系統(tǒng)戰(zhàn)略與組織戰(zhàn)略和業(yè)務(wù)需求的一致性。2.訪(fǎng)談管理人員，評(píng)估決策對(duì)組織信息系統(tǒng)風(fēng)險(xiǎn)及應(yīng)對(duì)措施，評(píng)估決策及管理層對(duì)信息系統(tǒng)治理的支持程度。應(yīng)當(dāng)關(guān)注組織的風(fēng)險(xiǎn)評(píng)估的總體架構(gòu)中信息技術(shù)風(fēng)險(xiǎn)管理的框架、流程和執(zhí)行情況，信息資產(chǎn)的分類(lèi)以及信息資產(chǎn)所有者的職責(zé)等方面。3.檢查信息系統(tǒng)架構(gòu)，包括但不限于：基礎(chǔ)設(shè)施架構(gòu)、應(yīng)用架構(gòu)、數(shù)據(jù)架構(gòu)，評(píng)估治理架構(gòu)和機(jī)制對(duì)設(shè)計(jì)與實(shí)施、服務(wù)與支持、監(jiān)控與評(píng)估的閉環(huán)管理的有效性。4.查閱組織相關(guān)內(nèi)部控制手冊(cè)、權(quán)限指引，評(píng)估信息系統(tǒng)治理職權(quán)與責(zé)任分配以及制衡機(jī)制的合理性。5.查閱組織文件、會(huì)議紀(jì)要等流轉(zhuǎn)處理記錄，評(píng)估信息系統(tǒng)相關(guān)問(wèn)題信息溝通機(jī)制的及時(shí)性、有效性。6.查閱組織內(nèi)控審計(jì)報(bào)告、信息系統(tǒng)審計(jì)報(bào)告，評(píng)估內(nèi)部監(jiān)督機(jī)構(gòu)設(shè)置、職責(zé)、權(quán)限、獨(dú)立性及監(jiān)督機(jī)制作用發(fā)揮情況。二、信息系統(tǒng)與業(yè)務(wù)目標(biāo)一致性審計(jì)（一）業(yè)務(wù)概述信息系統(tǒng)與業(yè)務(wù)目標(biāo)一致性審計(jì)是根據(jù)組織發(fā)展戰(zhàn)略和業(yè)務(wù)發(fā)展規(guī)劃，將信息系統(tǒng)目標(biāo)和內(nèi)容的整體規(guī)劃與組織業(yè)務(wù)目標(biāo)進(jìn)行比對(duì)評(píng)價(jià)，保證信息系統(tǒng)戰(zhàn)略規(guī)劃圍繞組織的戰(zhàn)略意圖展開(kāi)，將戰(zhàn)略意圖轉(zhuǎn)化為目標(biāo)和任務(wù)，并且評(píng)估達(dá)成目標(biāo)和完成任務(wù)所需要的信息系統(tǒng)能力需求，根據(jù)信息系統(tǒng)能力的需求進(jìn)行信息系統(tǒng)戰(zhàn)略規(guī)劃。（二）審計(jì)目標(biāo)和內(nèi)容審計(jì)目標(biāo)：通過(guò)比較組織信息系統(tǒng)戰(zhàn)略規(guī)劃與業(yè)務(wù)目標(biāo)一致性，保障信息系統(tǒng)戰(zhàn)略規(guī)劃制定及實(shí)施過(guò)程得到合理的控制、監(jiān)督并持續(xù)改進(jìn)，保持與業(yè)務(wù)目標(biāo)的一致性。審計(jì)內(nèi)容：內(nèi)部審計(jì)機(jī)構(gòu)通過(guò)與信息系統(tǒng)決策層、管理層訪(fǎng)談，查閱組織章程、中長(zhǎng)期戰(zhàn)略規(guī)劃、發(fā)展計(jì)劃、年度計(jì)劃、管理流程等文件對(duì)下列內(nèi)容進(jìn)行審計(jì)：1.信息系統(tǒng)決策和管理層對(duì)信息系統(tǒng)戰(zhàn)略規(guī)劃過(guò)程的重視和參與程度。2.審計(jì)信息系統(tǒng)戰(zhàn)略規(guī)劃文件規(guī)范。3.審計(jì)信息系統(tǒng)目標(biāo)相關(guān)內(nèi)容的可操作性。4.審計(jì)對(duì)目標(biāo)進(jìn)行更新和溝通的需求。5.審計(jì)監(jiān)督和評(píng)價(jià)需求。6.審計(jì)戰(zhàn)略規(guī)劃流程或框架是否完善。7.審計(jì)信息系統(tǒng)目標(biāo)與其管理控制流程符合度。（三）常見(jiàn)問(wèn)題和風(fēng)險(xiǎn)1.缺少信息系統(tǒng)戰(zhàn)略規(guī)劃目標(biāo)。2.信息系統(tǒng)目標(biāo)與組織戰(zhàn)略規(guī)劃不一致或更新不及時(shí)。3.信息系統(tǒng)目標(biāo)與組織信息系統(tǒng)能力不符、缺乏實(shí)用性。4.信息系統(tǒng)目標(biāo)與其他管理控制流程不符、缺乏操作性。5.信息系統(tǒng)目標(biāo)缺少保障措施。（四）審計(jì)的主要方法和程序1.訪(fǎng)談組織管理人員，了解信息系統(tǒng)目標(biāo)和業(yè)務(wù)目標(biāo)是否一致。2.檢查信息系統(tǒng)的建設(shè)方案、規(guī)劃內(nèi)容、實(shí)施內(nèi)容與組織各主要業(yè)務(wù)的需要是否相符。3.審閱信息系統(tǒng)的可行研究報(bào)告設(shè)定目標(biāo)，評(píng)估組織信息系統(tǒng)的能力是否能夠支持信息系統(tǒng)設(shè)定的目標(biāo)。4.對(duì)比分析信息系統(tǒng)建設(shè)與應(yīng)用的內(nèi)容與組織的主營(yíng)業(yè)務(wù)目標(biāo)是否一致，是否能夠有效支撐主要業(yè)務(wù)目標(biāo)。三、信息系統(tǒng)投資與績(jī)效審計(jì)（一）業(yè)務(wù)概述信息系統(tǒng)投資及績(jī)效審計(jì)，是指對(duì)信息系統(tǒng)投資過(guò)程、價(jià)值、回報(bào)、投入信息系統(tǒng)資源對(duì)實(shí)現(xiàn)業(yè)務(wù)目標(biāo)、戰(zhàn)略的影響能力的評(píng)價(jià)。（二）審計(jì)目標(biāo)和內(nèi)容審計(jì)目標(biāo)：通過(guò)對(duì)信息系統(tǒng)投資及績(jī)效的評(píng)價(jià)，向管理層提供信息系統(tǒng)投資立項(xiàng)、決策、實(shí)施、監(jiān)督、考核過(guò)程的合規(guī)性、合理性、合法性、經(jīng)濟(jì)性以及對(duì)業(yè)務(wù)目標(biāo)影響的評(píng)估，以促進(jìn)組織持續(xù)改善信息系統(tǒng)投資過(guò)程管理、提升信息系統(tǒng)投資價(jià)值。審計(jì)內(nèi)容：1.信息系統(tǒng)投資決策、監(jiān)控、考核機(jī)制的健全性。2.信息系統(tǒng)投資審批流程。3.信息系統(tǒng)投資的預(yù)算、執(zhí)行、節(jié)點(diǎn)報(bào)告、驗(yàn)收管理程序。4.信息系統(tǒng)投資項(xiàng)目的項(xiàng)目評(píng)估和績(jī)效評(píng)價(jià)。（三）常見(jiàn)問(wèn)題和風(fēng)險(xiǎn)1.信息系統(tǒng)投資立項(xiàng)與信息系統(tǒng)戰(zhàn)略規(guī)劃、業(yè)務(wù)目標(biāo)不符。2.信息系統(tǒng)投資項(xiàng)目未經(jīng)信息系統(tǒng)決策部門(mén)批準(zhǔn)。3.信息系統(tǒng)投資項(xiàng)目流程控制不足。4.信息系統(tǒng)投資項(xiàng)目缺少后評(píng)價(jià)和績(jī)效評(píng)價(jià)。（四）審計(jì)的主要方法和程序1.訪(fǎng)談高層管理人員，了解信息系統(tǒng)投資戰(zhàn)略規(guī)劃和年度計(jì)劃，評(píng)估信息系統(tǒng)投資項(xiàng)目與戰(zhàn)略規(guī)劃和投資計(jì)劃的一致性。2.檢查信息系統(tǒng)投資管理制度，審核投資決策、監(jiān)督、考核機(jī)制的執(zhí)行情況。3.檢查信息系統(tǒng)項(xiàng)目管理文件，年度投資計(jì)劃文件等，審核信息系統(tǒng)項(xiàng)目授權(quán)審批情況。4.獲取信息系統(tǒng)項(xiàng)目流程文件、管理文檔等相關(guān)資料，審核信息系統(tǒng)投資預(yù)算、支付、進(jìn)度報(bào)告、驗(yàn)收管理等關(guān)鍵流程的合規(guī)性、合法性、準(zhǔn)確性。5.獲取信息系統(tǒng)項(xiàng)目管理文件，績(jī)效考核記錄，審核是否對(duì)信息系統(tǒng)項(xiàng)目進(jìn)行了項(xiàng)目評(píng)估和績(jī)效考核。四、信息系統(tǒng)組織與制度審計(jì)（一）業(yè)務(wù)概述組織應(yīng)設(shè)置信息系統(tǒng)管理機(jī)構(gòu)，規(guī)定相應(yīng)的職責(zé)和權(quán)限，建立相關(guān)制度，規(guī)范業(yè)務(wù)流程運(yùn)轉(zhuǎn)機(jī)制。信息系統(tǒng)組織機(jī)構(gòu)一般包括：1.信息系統(tǒng)決策與規(guī)劃?rùn)C(jī)構(gòu)。2.信息系統(tǒng)執(zhí)行與實(shí)施機(jī)構(gòu)。3.信息系統(tǒng)風(fēng)險(xiǎn)管理機(jī)構(gòu)。4.信息系統(tǒng)監(jiān)督機(jī)構(gòu)。（二）審計(jì)目標(biāo)和內(nèi)容審計(jì)目標(biāo)：通過(guò)對(duì)信息系統(tǒng)決策與規(guī)劃、執(zhí)行與實(shí)施、風(fēng)險(xiǎn)管理、監(jiān)督機(jī)構(gòu)的評(píng)價(jià)，向管理層提供信息系統(tǒng)組織工作得到控制、監(jiān)督、持續(xù)優(yōu)化的合理保證。審計(jì)內(nèi)容：1.信息系統(tǒng)決策與規(guī)劃?rùn)C(jī)構(gòu)（1）制定的信息系統(tǒng)戰(zhàn)略目標(biāo)和信息系統(tǒng)的應(yīng)用是否符合業(yè)務(wù)目標(biāo)的要求，是否有效保證信息技術(shù)戰(zhàn)略方針目標(biāo)、績(jī)效、自我評(píng)價(jià)等體系的持續(xù)有效性等。（2）信息系統(tǒng)治理是否納入決策層、管理層的議事日程，并定期討論、定期出具信息系統(tǒng)治理工作的報(bào)告。2.信息系統(tǒng)執(zhí)行與實(shí)施機(jī)構(gòu)（1）信息系統(tǒng)組織架構(gòu)與相關(guān)職責(zé)是否符合組織信息系統(tǒng)現(xiàn)狀，是否得到及時(shí)更新等。（2）是否明確了信息系統(tǒng)部門(mén)和崗位職責(zé)。（3）是否存在職責(zé)不明確或不相容職責(zé)分離控制未能落實(shí)的情況，是否采取了有效的控制措施防止崗位職責(zé)沖突。3.信息系統(tǒng)風(fēng)險(xiǎn)管理機(jī)構(gòu)（1）是否建立信息系統(tǒng)風(fēng)險(xiǎn)管理機(jī)構(gòu)，并明確職能，是否設(shè)置信息系統(tǒng)風(fēng)險(xiǎn)管理崗位，是否建立向風(fēng)險(xiǎn)管理委員會(huì)報(bào)告工作的機(jī)制。（2）是否制定了風(fēng)險(xiǎn)管理的策略制度及流程、實(shí)施持續(xù)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估、監(jiān)控信息安全威脅和不合規(guī)事件的發(fā)生，并跟蹤整改意見(jiàn)的落實(shí)等。4.信息系統(tǒng)監(jiān)督機(jī)構(gòu)（1）是否明確信息系統(tǒng)監(jiān)督職能，在信息系統(tǒng)監(jiān)督部門(mén)設(shè)立信息系統(tǒng)監(jiān)督崗位。（2）是否建立了信息系統(tǒng)審計(jì)制度，是否按照組織的要求開(kāi)展信息系統(tǒng)審計(jì)。（三）常見(jiàn)問(wèn)題和風(fēng)險(xiǎn)1.未建立信息系統(tǒng)治理組織架構(gòu)、信息系統(tǒng)的戰(zhàn)略規(guī)劃、未統(tǒng)一管理。2.信息系統(tǒng)決策層與管理層職責(zé)權(quán)限不清。3.信息系統(tǒng)組織架構(gòu)、職責(zé)、權(quán)限分工、流程機(jī)制缺少必要的制度規(guī)范。4.重大信息系統(tǒng)決策未通過(guò)信息系統(tǒng)決策層審批。5.信息系統(tǒng)決策和管理層未發(fā)揮應(yīng)有作用。（四）審計(jì)的主要方法和程序內(nèi)部審計(jì)人員通過(guò)訪(fǎng)談決策層、管理層、相關(guān)機(jī)構(gòu)，查閱相關(guān)治理工作報(bào)告，對(duì)信息系統(tǒng)組織架構(gòu)進(jìn)行評(píng)價(jià)。1.訪(fǎng)談相關(guān)人員，了解決策層的相關(guān)工作機(jī)制，檢查相關(guān)文件、資料，確認(rèn)決策層在信息系統(tǒng)治理中的作用等，取得相關(guān)文件，檢查信息系統(tǒng)管理層成員的構(gòu)成及工作機(jī)制的建立情況。2.審核信息系統(tǒng)治理采用的報(bào)告路線(xiàn)，核對(duì)信息系統(tǒng)治理方面的問(wèn)題是否向組織最高管理層報(bào)告，獲取信息系統(tǒng)工作年度報(bào)告，了解信息系統(tǒng)工作開(kāi)展情況，檢查信息系統(tǒng)工作報(bào)告的收發(fā)記錄，檢查管理層對(duì)信息系統(tǒng)工作報(bào)告的審閱記錄，取得并檢查決策層及管理層的會(huì)議紀(jì)要等資料，確認(rèn)管理層在信息系統(tǒng)治理中的作用。3.獲取、審核信息系統(tǒng)組織架構(gòu)圖、信息系統(tǒng)部門(mén)工作職責(zé)資料，審核信息系統(tǒng)組織架構(gòu)是否建立，信息系統(tǒng)部門(mén)的職責(zé)劃分情況，是否采取了有效的控制措施防止崗位職責(zé)沖突。4.訪(fǎng)談決策層和管理層相關(guān)人員、了解風(fēng)險(xiǎn)管理機(jī)構(gòu)職能的報(bào)告路線(xiàn)，訪(fǎng)談信息系統(tǒng)風(fēng)險(xiǎn)管理相關(guān)人員，獲取信息系統(tǒng)風(fēng)險(xiǎn)管理職責(zé)等相關(guān)文件，獲取信息系統(tǒng)風(fēng)險(xiǎn)管理相關(guān)記錄，檢查風(fēng)險(xiǎn)管理工作開(kāi)展情況。5.訪(fǎng)談決策層、監(jiān)督層及管理層相關(guān)人員，了解信息系統(tǒng)監(jiān)督職能的確定及報(bào)告路線(xiàn)，訪(fǎng)談信息系統(tǒng)監(jiān)督機(jī)構(gòu)相關(guān)人員，獲取信息系統(tǒng)監(jiān)督管理相關(guān)記錄，檢查信息系統(tǒng)監(jiān)督工作的開(kāi)展情況。6.檢查人力資源管理制度、信息系統(tǒng)人才選拔、培訓(xùn)、儲(chǔ)備等關(guān)鍵崗位職責(zé)：績(jī)效考核等制度，評(píng)價(jià)人力資源管理對(duì)信息系統(tǒng)架構(gòu)的支持程度。7.檢查主要業(yè)務(wù)流程如采購(gòu)管理、資產(chǎn)管理、財(cái)務(wù)管理等制度，評(píng)價(jià)相關(guān)制度對(duì)信息系統(tǒng)架構(gòu)的支持程度。五、信息系統(tǒng)風(fēng)險(xiǎn)管理審計(jì)（一）業(yè)務(wù)概述信息系統(tǒng)風(fēng)險(xiǎn)是指潛在影響業(yè)務(wù)的信息系統(tǒng)相關(guān)事件構(gòu)成，包括不確定的頻率以及重要性、符合業(yè)務(wù)目的和目標(biāo)的挑戰(zhàn)以及追求機(jī)會(huì)的不確定性。信息系統(tǒng)風(fēng)險(xiǎn)管理是組織在實(shí)現(xiàn)目標(biāo)過(guò)程中，將不確定產(chǎn)生的與信息系統(tǒng)有關(guān)的影響，控制在可接受范圍內(nèi)的過(guò)程。（二）審計(jì)目標(biāo)和內(nèi)容審計(jì)目標(biāo)：根據(jù)組織戰(zhàn)略目標(biāo)、風(fēng)險(xiǎn)管理策略及相應(yīng)的固有風(fēng)險(xiǎn)，評(píng)價(jià)組織如何實(shí)施信息系統(tǒng)風(fēng)險(xiǎn)管理，將與信息系統(tǒng)有關(guān)的風(fēng)險(xiǎn)因素控制在實(shí)現(xiàn)組織目標(biāo)可接受的范圍內(nèi)。審計(jì)內(nèi)容：包括但不限于系統(tǒng)風(fēng)險(xiǎn)的制度和流程符合性、有效性；風(fēng)險(xiǎn)管理的全面性、合理性、適用性；風(fēng)險(xiǎn)管理職責(zé)及人員分工的合理性；風(fēng)險(xiǎn)管理的監(jiān)控、評(píng)估及應(yīng)對(duì)等。（三）常見(jiàn)問(wèn)題和風(fēng)險(xiǎn)1.信息系統(tǒng)風(fēng)險(xiǎn)管理機(jī)制未建立或不完善，導(dǎo)致組織風(fēng)險(xiǎn)缺乏管理。2.組織未開(kāi)展風(fēng)險(xiǎn)識(shí)別和評(píng)估，未收集和建立信息系統(tǒng)風(fēng)險(xiǎn)清單，導(dǎo)致風(fēng)險(xiǎn)應(yīng)對(duì)缺乏針對(duì)性和適用性。3.信息系統(tǒng)風(fēng)險(xiǎn)管理與組織的業(yè)務(wù)流程不匹配導(dǎo)致組織資源配置不合理，與管理層風(fēng)險(xiǎn)偏好發(fā)生偏離。（四）審計(jì)的主要方法和程序1.訪(fǎng)談決策層及信息系統(tǒng)風(fēng)險(xiǎn)管理部門(mén)及相關(guān)人員，了解組織信息系統(tǒng)風(fēng)險(xiǎn)管理機(jī)制建立健全的情況；了解風(fēng)險(xiǎn)管理工作的開(kāi)展及人員配備等情況。2.獲取信息系統(tǒng)風(fēng)險(xiǎn)管理相關(guān)資料，了解管理層風(fēng)險(xiǎn)偏好及風(fēng)險(xiǎn)容忍程度、風(fēng)險(xiǎn)管理目標(biāo)、風(fēng)險(xiǎn)管理策略和原則、風(fēng)險(xiǎn)管理制度及流程、監(jiān)控、評(píng)估及應(yīng)對(duì)等。3.獲取組織信息系統(tǒng)風(fēng)險(xiǎn)管理清單（風(fēng)險(xiǎn)描述，發(fā)生條件，發(fā)生可能性），選取組織的重點(diǎn)業(yè)務(wù)流程與風(fēng)險(xiǎn)清單對(duì)比，檢查風(fēng)險(xiǎn)評(píng)估計(jì)劃、風(fēng)險(xiǎn)評(píng)估實(shí)施記錄、風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處置計(jì)劃，評(píng)價(jià)組織風(fēng)險(xiǎn)識(shí)別、評(píng)估的準(zhǔn)確性、適當(dāng)性、完整性。4.獲取組織信息系統(tǒng)的測(cè)試及運(yùn)行數(shù)據(jù)，獲取組織的重點(diǎn)業(yè)務(wù)領(lǐng)域及重點(diǎn)工作環(huán)節(jié)，獲取對(duì)應(yīng)的數(shù)據(jù)，根據(jù)數(shù)據(jù)的內(nèi)在聯(lián)系，利用平行模擬法，查找異常點(diǎn)及可能存在舞弊的動(dòng)機(jī)及機(jī)會(huì)，從而發(fā)現(xiàn)問(wèn)題和風(fēng)險(xiǎn)。六、信息系統(tǒng)項(xiàng)目管理審計(jì)A.年度信息化項(xiàng)目計(jì)劃（一）業(yè)務(wù)概述信息化項(xiàng)目：是指支撐組織戰(zhàn)略實(shí)施，提高組織管理、決策的效率、效果，以計(jì)算機(jī)、網(wǎng)絡(luò)、通信等技術(shù)為手段建設(shè)和服務(wù)的項(xiàng)目，包括咨詢(xún)服務(wù)、軟件產(chǎn)品采購(gòu)、軟件研發(fā)、系統(tǒng)實(shí)施、硬件設(shè)備采購(gòu)、系統(tǒng)集成、系統(tǒng)運(yùn)行維護(hù)等。項(xiàng)目年度計(jì)劃：是指信息化項(xiàng)目年度計(jì)劃的編制、上報(bào)、匯總、審批、發(fā)布等。項(xiàng)目計(jì)劃編制一般應(yīng)包括但不限于以下事項(xiàng)：項(xiàng)目建設(shè)背景、必要性、項(xiàng)目的目標(biāo)、范圍和主要內(nèi)容、初步業(yè)務(wù)需求分析、實(shí)施周期、投資估算以及系統(tǒng)所需要軟硬件環(huán)境等內(nèi)容。信息化項(xiàng)目年度計(jì)劃應(yīng)遵循組織相關(guān)內(nèi)部控制制度以及投資、計(jì)劃和信息化規(guī)章制度進(jìn)行上報(bào)和審批。為了確保有效地滿(mǎn)足業(yè)務(wù)需求，在立項(xiàng)前應(yīng)進(jìn)行需求分析。分析過(guò)程包括：定義需求、考慮替代資源，初步確定“開(kāi)發(fā)”、“購(gòu)買(mǎi)”、“外包”等方案。（二）審計(jì)目標(biāo)和內(nèi)容審計(jì)目標(biāo)：合理地保證年度信息化項(xiàng)目計(jì)劃與組織的發(fā)展戰(zhàn)略、年度計(jì)劃一致，并得到正式的審批。審計(jì)內(nèi)容：對(duì)信息化項(xiàng)目年度計(jì)劃的編制、上報(bào)、匯總、審批、發(fā)布等環(huán)節(jié)進(jìn)行審計(jì)。審計(jì)項(xiàng)目建設(shè)背景、必要性、項(xiàng)目的目標(biāo)、范圍和主要內(nèi)容、初步業(yè)務(wù)需求分析、實(shí)施周期、投資估算以及系統(tǒng)所需要軟硬件環(huán)境等內(nèi)容。（三）常見(jiàn)的問(wèn)題和風(fēng)險(xiǎn)1.年度信息化項(xiàng)目計(jì)劃與中長(zhǎng)期規(guī)劃不一致，可能導(dǎo)致信息系統(tǒng)缺乏可擴(kuò)展性、形成信息孤島或重復(fù)建設(shè)。2.在制定年度計(jì)劃時(shí)，沒(méi)有對(duì)項(xiàng)目進(jìn)行必要的可行性分析，可能導(dǎo)致年度信息化項(xiàng)目計(jì)劃與組織戰(zhàn)略、管理等規(guī)劃偏離。3.年度信息化項(xiàng)目計(jì)劃沒(méi)有得到組織管理層的正式審批，可能導(dǎo)致項(xiàng)目計(jì)劃不能實(shí)施。（四）審計(jì)的主要方法和程序1.審閱規(guī)章制度，訪(fǎng)談管理層，合理確定年度信息化項(xiàng)目計(jì)劃的制定和審批管理的設(shè)計(jì)有效性。獲取并審閱年度信息化項(xiàng)目計(jì)劃制定和審批的規(guī)章制度；訪(fǎng)談相關(guān)管理層，了解組織制定和審批年度信息化項(xiàng)目計(jì)劃的流程和方法，評(píng)估合理性。2.審閱年度信息化項(xiàng)目計(jì)劃相關(guān)文檔和資料，合理確定年度信息化項(xiàng)目計(jì)劃的制定和審批管理的執(zhí)行有效性。獲取并審閱組織的中長(zhǎng)期規(guī)劃或信息化建設(shè)規(guī)劃、年度信息化項(xiàng)目計(jì)劃、年度信息化項(xiàng)目計(jì)劃審批文件等，確認(rèn)年度信息化項(xiàng)目計(jì)劃的制定和組織中長(zhǎng)期規(guī)劃的一致性。B.信息系統(tǒng)項(xiàng)目立項(xiàng)管理（一）業(yè)務(wù)概述項(xiàng)目立項(xiàng)管理：依據(jù)年度計(jì)劃和有關(guān)規(guī)定，對(duì)信息化項(xiàng)目的可行性研究報(bào)告上報(bào)、論證、檢查、辦理批復(fù)和項(xiàng)目備案管理的過(guò)程。（二）審計(jì)目標(biāo)和內(nèi)容審計(jì)目標(biāo)：合理地保證項(xiàng)目的立項(xiàng)流程遵循了組織的規(guī)章制度，并得到了正式的審批。審計(jì)內(nèi)容：檢查信息系統(tǒng)立項(xiàng)與年度計(jì)劃的一致性，檢查項(xiàng)目的可行性研究報(bào)告，重點(diǎn)關(guān)注需求提報(bào)、上報(bào)、技術(shù)經(jīng)濟(jì)論證、辦理批復(fù)和項(xiàng)目備案管理的過(guò)程。（三）常見(jiàn)問(wèn)題和風(fēng)險(xiǎn)1.信息化建設(shè)背景、必要性盡職調(diào)查不到位，導(dǎo)致系統(tǒng)建設(shè)與規(guī)劃、計(jì)劃的目標(biāo)偏離等風(fēng)險(xiǎn)。2.系統(tǒng)需求分析不當(dāng)，不符合業(yè)務(wù)處理和控制的需要，導(dǎo)致開(kāi)發(fā)建設(shè)失敗或應(yīng)用價(jià)值不高等風(fēng)險(xiǎn)。3.在技術(shù)上、經(jīng)濟(jì)上不可行，導(dǎo)致系統(tǒng)開(kāi)發(fā)失敗或應(yīng)用價(jià)值不符合立項(xiàng)目標(biāo)的風(fēng)險(xiǎn)。4.可行性研究報(bào)告或者需求說(shuō)明書(shū)未經(jīng)業(yè)務(wù)需求主管單位負(fù)責(zé)人簽字確認(rèn)，需求及方案的合理性缺乏保障，后期由于需求的不斷變更會(huì)導(dǎo)致項(xiàng)目成本增加或延期完成的風(fēng)險(xiǎn)。5.項(xiàng)目立項(xiàng)未批復(fù)即開(kāi)始實(shí)施，導(dǎo)致項(xiàng)目合規(guī)風(fēng)險(xiǎn)。（四）審計(jì)的主要方法和程序1.收集整理立項(xiàng)資料按照信息化分類(lèi)或分級(jí)管理的規(guī)定，收集項(xiàng)目立項(xiàng)上報(bào)、審批和批復(fù)全流程涉及的文件，包括但不限于可行性研究報(bào)告、年度信息化投資計(jì)劃、評(píng)審資料、批復(fù)等紙質(zhì)文件或電子資料等。2.審閱、對(duì)比分析立項(xiàng)主要資料（1）分析項(xiàng)目建設(shè)背景：屬于新建或新購(gòu)項(xiàng)目，檢查是否依據(jù)組織發(fā)展戰(zhàn)略規(guī)劃、計(jì)劃、文件、紀(jì)要及上級(jí)組織的批文、批件、業(yè)務(wù)部門(mén)提出的需求；屬于完善提升類(lèi)項(xiàng)目，檢查是否詳細(xì)陳述了項(xiàng)目前期實(shí)施和應(yīng)用的總體情況，包括基礎(chǔ)條件、總體目標(biāo)、實(shí)施范圍和內(nèi)容、完成的工作、取得的經(jīng)驗(yàn)、應(yīng)用成果和存在的問(wèn)題。通過(guò)上述分析，檢查項(xiàng)目的立項(xiàng)是否符合信息化發(fā)展的戰(zhàn)略、項(xiàng)目建設(shè)規(guī)劃和年度計(jì)劃，檢查重復(fù)建設(shè)或信息化建設(shè)出現(xiàn)孤島的風(fēng)險(xiǎn)和問(wèn)題。（2）抽查審批流程文件，從分析比對(duì)立項(xiàng)報(bào)告中對(duì)國(guó)內(nèi)外同類(lèi)信息化項(xiàng)目建設(shè)和應(yīng)用的現(xiàn)狀，以及本組織業(yè)務(wù)發(fā)展對(duì)信息化的需求，檢查信息化立項(xiàng)的必要性，避免技術(shù)上的落后造成開(kāi)發(fā)失敗或應(yīng)用價(jià)值不高等問(wèn)題。（3）檢查業(yè)務(wù)需求說(shuō)明、技術(shù)方案，查看業(yè)務(wù)需求描述是否清晰明確，是否包括業(yè)務(wù)功能需要、技術(shù)方向、性能指標(biāo)、成本、可靠性、兼容性、可審計(jì)性、有效性、可持續(xù)性、經(jīng)濟(jì)性、可用性、安全性和合規(guī)性等方面。3.檢查信息化項(xiàng)目立項(xiàng)審批流程（1）根據(jù)組織的信息化項(xiàng)目規(guī)章制度，收集組織現(xiàn)有信息化項(xiàng)目?jī)?nèi)控管理體系資料。（2）依據(jù)組織的信息化項(xiàng)目?jī)?nèi)部控制管理體系，檢查信息化項(xiàng)目投資立項(xiàng)上報(bào)審批流程；檢查信息化項(xiàng)目立項(xiàng)報(bào)批流程是否按信息化內(nèi)部控制和規(guī)章制度及細(xì)則執(zhí)行，立項(xiàng)報(bào)告、投資計(jì)劃、立項(xiàng)材料等資料是否齊全。（3）檢查立項(xiàng)報(bào)告，項(xiàng)目立項(xiàng)投資計(jì)劃，項(xiàng)目背景資料文件及相關(guān)審批文件的領(lǐng)導(dǎo)簽宇、日期簽署是否完整，時(shí)間邏輯是否一致。C.項(xiàng)目預(yù)算及執(zhí)行（一）業(yè)務(wù)概述信息化項(xiàng)目預(yù)算應(yīng)依照組織的信息化計(jì)劃及其預(yù)算申請(qǐng)批準(zhǔn)程序報(bào)批。信息化項(xiàng)目預(yù)算編制，一般包括但不限于下列內(nèi)容：軟件配置費(fèi)、硬件配置費(fèi)、網(wǎng)絡(luò)建設(shè)費(fèi)、技術(shù)服務(wù)費(fèi)、培訓(xùn)管理費(fèi)、配套實(shí)施管理費(fèi)、其他費(fèi)用及不可預(yù)見(jiàn)費(fèi)用。（二）審計(jì)目標(biāo)和內(nèi)容審計(jì)目標(biāo)：信息化系統(tǒng)的預(yù)算編制及執(zhí)行審計(jì)檢查預(yù)算的合理性、預(yù)算執(zhí)行的真實(shí)、合法性，以規(guī)范資金應(yīng)用，控制項(xiàng)目成本，確保較小的成本、費(fèi)用支出取得較好的投資效益。審計(jì)內(nèi)容：審計(jì)預(yù)算目標(biāo)的科學(xué)性，編制程序的合規(guī)性，預(yù)算內(nèi)容的完整性、準(zhǔn)確性，相關(guān)費(fèi)用支出、資金支付的真實(shí)性，合規(guī)性。（三）常見(jiàn)問(wèn)題和風(fēng)險(xiǎn)1.預(yù)算編制程序不規(guī)范，橫向、縱向信息溝通不暢，導(dǎo)致預(yù)算目標(biāo)缺乏科學(xué)性和可行性，可能會(huì)導(dǎo)致項(xiàng)目實(shí)際成本超預(yù)算的風(fēng)險(xiǎn)和預(yù)算虛高的風(fēng)險(xiǎn)。2.預(yù)算編制與信息系統(tǒng)項(xiàng)目?jī)?nèi)容偏離，存在不合理支出，導(dǎo)致項(xiàng)目實(shí)際成本與上報(bào)審批的預(yù)算計(jì)劃差異較大。3.預(yù)算執(zhí)行情況報(bào)告文件不全面，對(duì)預(yù)算使用情況無(wú)法真實(shí)反映，資金管理不透明。4.資金支付審批過(guò)程存在補(bǔ)簽、無(wú)授權(quán)代簽、漏簽等現(xiàn)象，未能按照預(yù)算付款的進(jìn)度和要求執(zhí)行，存在提前支付或拖欠付款的現(xiàn)象，出現(xiàn)信用、法律風(fēng)險(xiǎn)。（四）審計(jì)的主要方法和程序1.檢查預(yù)算的編制及審批流程（1）對(duì)比分析：將費(fèi)用預(yù)算編制的費(fèi)用事項(xiàng)、用途、工作數(shù)量、人工用量與業(yè)務(wù)需求進(jìn)行核實(shí)，檢查多報(bào)或漏報(bào)工作內(nèi)容問(wèn)題，同時(shí)采取抽樣方法，選擇重要事項(xiàng)或金額較大事項(xiàng)，對(duì)照相應(yīng)的定額、標(biāo)準(zhǔn)和工作量進(jìn)行重新測(cè)算，核實(shí)其費(fèi)用預(yù)算的真實(shí)，準(zhǔn)確性。（2）檢查信息化項(xiàng)目?jī)?nèi)部審批流程是否規(guī)范，包括：預(yù)算文件及審批流程文件的完整性、一致性、合規(guī)性。2.查閱信息化項(xiàng)目批復(fù)及審批過(guò)程文件，重點(diǎn)關(guān)注審批過(guò)程中項(xiàng)目預(yù)算的不同意見(jiàn)，檢查是否存在違規(guī)審批，造成項(xiàng)目預(yù)算超計(jì)劃的問(wèn)題。3.預(yù)算執(zhí)行情況審計(jì)對(duì)項(xiàng)目建設(shè)期間費(fèi)用支出及結(jié)余收入使用情況與預(yù)算計(jì)劃的差異進(jìn)行比對(duì)，主要包括對(duì)信息化項(xiàng)目的預(yù)算計(jì)劃、預(yù)算執(zhí)行分析報(bào)告、各項(xiàng)收支情況統(tǒng)計(jì)、費(fèi)用支付安排、項(xiàng)目管理手冊(cè)、項(xiàng)目進(jìn)度月報(bào)或季報(bào)和項(xiàng)目變更資料，重點(diǎn)檢查超預(yù)算或無(wú)預(yù)算增加的其他費(fèi)用。（1）查閱項(xiàng)目預(yù)算計(jì)劃、預(yù)算執(zhí)行分析報(bào)告。（2）抽查預(yù)算執(zhí)行分析報(bào)告，與支持文件和記錄對(duì)比、核實(shí)。（3）對(duì)預(yù)算出入較大的項(xiàng)目主要原因進(jìn)行分析并做出結(jié)論。4.檢查資金支付資金支付審計(jì)程序主要針對(duì)項(xiàng)目建設(shè)中合同付款進(jìn)度條款和其他費(fèi)用支出程序的監(jiān)督，包括信息化項(xiàng)目的主要費(fèi)用支出構(gòu)成，各項(xiàng)合同的付款進(jìn)度控制，費(fèi)用支出審批控制。（1）了解被審計(jì)單位內(nèi)部對(duì)合同付款的相關(guān)制度和規(guī)范。（2）檢查資金支付文件的審批程序是否齊全，其中審批人簽字是否完整，審批時(shí)間邏輯順序是否正確。（3）抽取部分樣本，檢查資金支付憑證中實(shí)際支付金額與完成項(xiàng)目進(jìn)程是否匹配，如有差異，深入分析差異原因。D.項(xiàng)目招投標(biāo)管理（一）業(yè)務(wù)概述信息系統(tǒng)項(xiàng)目的招投標(biāo)在遵守國(guó)家、地方及組織相關(guān)的法律、法規(guī)、規(guī)章、制度的基礎(chǔ)上，應(yīng)當(dāng)采用公開(kāi)招標(biāo)方式的，其招標(biāo)具體限額按所屬組織實(shí)際情況確定；規(guī)定可以不公開(kāi)招標(biāo)的，遵守其相關(guān)規(guī)定。（二）審計(jì)目標(biāo)和內(nèi)容審計(jì)目標(biāo)：信息系統(tǒng)招投標(biāo)審計(jì)是對(duì)組織的信息化項(xiàng)目招投標(biāo)程序和形式的合法合規(guī)性、組織制定的信息系統(tǒng)招投標(biāo)標(biāo)準(zhǔn)的合理性。招投標(biāo)范圍的完整性、組織招投標(biāo)管理的規(guī)范性和一貫性開(kāi)展審計(jì)，達(dá)到規(guī)范管理，杜絕漏洞，提升組織價(jià)值的目的。審計(jì)內(nèi)容：招標(biāo)管理情況、投標(biāo)管理情況、評(píng)標(biāo)管理情況、中標(biāo)及合同簽訂情況。（三）常見(jiàn)問(wèn)題和風(fēng)險(xiǎn)1.應(yīng)招標(biāo)未招標(biāo)，應(yīng)公開(kāi)招標(biāo)未公開(kāi)招標(biāo)，甚至發(fā)生信息系統(tǒng)的招投標(biāo)舞弊風(fēng)險(xiǎn)。2.信息系統(tǒng)項(xiàng)目招投標(biāo)程序和標(biāo)準(zhǔn)沒(méi)有專(zhuān)業(yè)部門(mén)參與，不符合相關(guān)法律、法規(guī)、組織內(nèi)部規(guī)章制度要求，或以不合理的條件限制、排斥潛在投標(biāo)人或投標(biāo)人相互串通投標(biāo)的舞弊風(fēng)險(xiǎn)和違法違規(guī)風(fēng)險(xiǎn)。3.招投標(biāo)工作組織不當(dāng)，招標(biāo)方案、形式和文件表述不當(dāng)、投標(biāo)文件主要條款不滿(mǎn)足招標(biāo)文件、投標(biāo)保證金不到位、未按時(shí)投標(biāo)等導(dǎo)致的招投標(biāo)失敗風(fēng)險(xiǎn)。4.評(píng)標(biāo)人員構(gòu)成不滿(mǎn)足招投標(biāo)需求，或缺乏信息系統(tǒng)專(zhuān)業(yè)的勝任能力，未執(zhí)行回避原則等；評(píng)審標(biāo)準(zhǔn)和方法不合理，不符合信息系統(tǒng)項(xiàng)目要求，評(píng)審程序執(zhí)行不當(dāng)導(dǎo)致無(wú)法實(shí)現(xiàn)項(xiàng)目目標(biāo)，甚至造成損失或引起法律糾紛風(fēng)險(xiǎn)。5.未按評(píng)標(biāo)結(jié)果選擇供應(yīng)商，不能保證信息系統(tǒng)項(xiàng)目在規(guī)定時(shí)間內(nèi)保質(zhì)保量按時(shí)間節(jié)點(diǎn)完成信息系統(tǒng)實(shí)施的風(fēng)險(xiǎn)。（四）審計(jì)的主要方法和程序1.檢查招標(biāo)項(xiàng)目的招標(biāo)范圍是否與組織的規(guī)定相符，招標(biāo)方式是否一貫執(zhí)行了國(guó)家法律法規(guī)和組織規(guī)定。2.取得信息系統(tǒng)項(xiàng)目立項(xiàng)、招標(biāo)公告、招標(biāo)文件和補(bǔ)充招標(biāo)文件、會(huì)議記錄、投標(biāo)文件、招標(biāo)投標(biāo)情況書(shū)面報(bào)告等文件資料，對(duì)比信息系統(tǒng)投資計(jì)劃、可行性研究報(bào)告，需求分析等資料，檢查組織是否存在化整為零、規(guī)避公開(kāi)招投標(biāo)的行為。3.查閱盡職調(diào)查的相關(guān)文件、資格檢查公告結(jié)果、預(yù)審結(jié)果通知書(shū)、招標(biāo)文件，檢查信息系統(tǒng)中標(biāo)人是否達(dá)到招標(biāo)人所要求的資質(zhì)等級(jí)、資質(zhì)是否真實(shí)、是否存在掛靠獲取資質(zhì)、是否存在轉(zhuǎn)包分包問(wèn)題。4.查閱開(kāi)標(biāo)資料，重點(diǎn)檢查開(kāi)標(biāo)過(guò)程的規(guī)范性及組織在出現(xiàn)流標(biāo)、廢標(biāo)時(shí)的處理程序。5.獲取評(píng)標(biāo)委員會(huì)名單，檢查評(píng)標(biāo)委員會(huì)人數(shù)組成和人員是否滿(mǎn)足法定和組織要求；查閱評(píng)標(biāo)資料，評(píng)價(jià)招標(biāo)文件確定的評(píng)標(biāo)標(biāo)準(zhǔn)和方法是否合理，檢查評(píng)標(biāo)委員會(huì)是否存在評(píng)標(biāo)打分不合理的情況；組織是否按規(guī)定根據(jù)評(píng)標(biāo)結(jié)果簽訂合同。6.檢查信息系統(tǒng)項(xiàng)目投標(biāo)資料，判斷不同投標(biāo)人的投標(biāo)文件是否雷同、是否存在股權(quán)關(guān)系、投標(biāo)報(bào)價(jià)是否呈規(guī)律性差異等，發(fā)現(xiàn)招投標(biāo)過(guò)程中圍標(biāo)、串標(biāo)等違法中標(biāo)的現(xiàn)象。7.檢查中標(biāo)通知書(shū)發(fā)放和合同的簽訂是否符合國(guó)家和組織的相關(guān)規(guī)定，檢查簽訂合同與中標(biāo)人是否一致，合同內(nèi)容是否與招標(biāo)文件相符。E.采購(gòu)與合同管理（一）業(yè)務(wù)概述信息系統(tǒng)采購(gòu)是指由組織投資建設(shè)購(gòu)買(mǎi)服務(wù)或需要運(yùn)行維護(hù)的各類(lèi)信息系統(tǒng)，包括執(zhí)行信息處理的計(jì)算機(jī)、軟件和外圍設(shè)備等貨物和服務(wù)。采購(gòu)需求應(yīng)與現(xiàn)有系統(tǒng)功能協(xié)調(diào)一致，避免重復(fù)建設(shè)。（二）審計(jì)目標(biāo)和內(nèi)容審計(jì)目標(biāo)：通過(guò)對(duì)信息系統(tǒng)項(xiàng)目采購(gòu)合同審計(jì)，評(píng)價(jià)采購(gòu)是否符合信息系統(tǒng)建設(shè)的需要。合理保證采購(gòu)行為的合法、真實(shí)、準(zhǔn)確、經(jīng)濟(jì)。審計(jì)內(nèi)容：組織信息系統(tǒng)采購(gòu)及合同審計(jì)是對(duì)信息系統(tǒng)采購(gòu)行為及合同的合法、真實(shí)、準(zhǔn)確、經(jīng)濟(jì)等方面的內(nèi)容進(jìn)行監(jiān)督。（三）常見(jiàn)問(wèn)題和風(fēng)險(xiǎn)1.信息系統(tǒng)建設(shè)未編制采購(gòu)計(jì)劃或采購(gòu)計(jì)劃未經(jīng)適當(dāng)審批導(dǎo)致的信息系統(tǒng)重復(fù)建設(shè)或效率低下。2.因采購(gòu)方式或供應(yīng)商選擇不合理，組織明顯缺乏議價(jià)能力，導(dǎo)致質(zhì)次價(jià)高、技術(shù)參數(shù)不達(dá)標(biāo)、服務(wù)交付不及時(shí)等采購(gòu)風(fēng)險(xiǎn)。3.未建立供應(yīng)商動(dòng)態(tài)考評(píng)機(jī)制，導(dǎo)致選擇的信息系統(tǒng)供應(yīng)商技術(shù)水平與項(xiàng)目要求不匹配。對(duì)合同相對(duì)方的履約能力給出不當(dāng)評(píng)價(jià)，導(dǎo)致信息系統(tǒng)合同相對(duì)人不能按約履行合同義務(wù)，影響組織信息系統(tǒng)的開(kāi)發(fā)與應(yīng)用的風(fēng)險(xiǎn)。4.采購(gòu)盡職調(diào)查不充分，導(dǎo)致外購(gòu)采購(gòu)沒(méi)有對(duì)比選擇，在功能、性能、易用性方面無(wú)法滿(mǎn)足需求，導(dǎo)致與無(wú)權(quán)代理人、無(wú)處分權(quán)人簽訂信息系統(tǒng)采購(gòu)合同，組織利益受損。5.合同簽訂未經(jīng)審核、審批，合同條款和內(nèi)容不完整、存在嚴(yán)重漏洞或缺陷，合同規(guī)定的權(quán)利義務(wù)內(nèi)容不明確，合同存在法律風(fēng)險(xiǎn)。6.法律規(guī)定對(duì)于應(yīng)當(dāng)報(bào)經(jīng)國(guó)家有關(guān)主管部門(mén)或組織上級(jí)部門(mén)檢查或備案的信息系統(tǒng)合同文本，未履行相應(yīng)報(bào)批報(bào)備程序，導(dǎo)致合同無(wú)效的風(fēng)險(xiǎn)。7.在合同執(zhí)行過(guò)程中發(fā)生重大變動(dòng)時(shí)，未及時(shí)與對(duì)方溝通變更合同，導(dǎo)致開(kāi)發(fā)的信息系統(tǒng)不適用于組織的需要。（四）審計(jì)的主要方法和程序1.明確組織信息系統(tǒng)采購(gòu)的關(guān)鍵控制點(diǎn)，詢(xún)問(wèn)信息系統(tǒng)相關(guān)采購(gòu)人員執(zhí)行的信息系統(tǒng)采購(gòu)流程，查閱項(xiàng)目采購(gòu)前期報(bào)批文件，判斷項(xiàng)目采購(gòu)是否符合信息系統(tǒng)技術(shù)要求，采購(gòu)方式是否合法。2.獲取供應(yīng)商資質(zhì)、業(yè)績(jī)、提供服務(wù)等相關(guān)文件資料，確定供應(yīng)商是否具備提供相應(yīng)服務(wù)的實(shí)力、信用，能否按信息系統(tǒng)建設(shè)要求，保質(zhì)保量地提供信息系統(tǒng)相關(guān)服務(wù)，關(guān)注實(shí)施組織與采購(gòu)合同相關(guān)人是否一致，是否存在轉(zhuǎn)包和違規(guī)分包行為。3.重點(diǎn)關(guān)注合同采購(gòu)條款文本，檢查是否存在關(guān)鍵條款不清晰，數(shù)據(jù)質(zhì)量考核無(wú)標(biāo)準(zhǔn)，信息資產(chǎn)權(quán)屬不清；檢查合同價(jià)格的組成要素，將合同價(jià)格與同行業(yè)、同類(lèi)型信息系統(tǒng)指標(biāo)進(jìn)行比對(duì)，判斷采購(gòu)價(jià)格是否合理。4.根據(jù)信息系統(tǒng)演示結(jié)果，審核供應(yīng)商提供的服務(wù)是否滿(mǎn)足信息采購(gòu)需求，是否能按合同要求提供合格的信息資產(chǎn)或服務(wù)。F.項(xiàng)目實(shí)施管理審計(jì)（一）業(yè)務(wù)概述信息系統(tǒng)項(xiàng)目實(shí)施是指信息系統(tǒng)項(xiàng)目的開(kāi)發(fā)、測(cè)試、驗(yàn)收、正式上線(xiàn)等重要環(huán)節(jié)的質(zhì)量、進(jìn)度、安全、變更、風(fēng)險(xiǎn)實(shí)施控制和監(jiān)管的過(guò)程。參與項(xiàng)目建設(shè)的所有人員應(yīng)做好風(fēng)險(xiǎn)的識(shí)別和分析。涉及重大風(fēng)險(xiǎn)問(wèn)題的應(yīng)及時(shí)分析風(fēng)險(xiǎn)因素，形成風(fēng)險(xiǎn)應(yīng)對(duì)方案。（二）審計(jì)目標(biāo)和內(nèi)容審計(jì)目標(biāo)：開(kāi)展信息系統(tǒng)項(xiàng)目實(shí)施管理審計(jì)，關(guān)注信息系統(tǒng)項(xiàng)目實(shí)施（含初步設(shè)計(jì)、詳細(xì)設(shè)計(jì)）的合理性、合規(guī)性，滿(mǎn)足技術(shù)發(fā)展的前瞻性要求；以提高項(xiàng)目進(jìn)度的可控性、提升項(xiàng)目質(zhì)量管理，完善項(xiàng)目驗(yàn)收管理。審計(jì)內(nèi)容：包括但不限于：信息系統(tǒng)建設(shè)程序履行情況、信息系統(tǒng)的資金籌措和使用情況、項(xiàng)目概算執(zhí)行及調(diào)整報(bào)批情況、質(zhì)量監(jiān)督情況、成本核算和財(cái)務(wù)管理情況、信息系統(tǒng)實(shí)施組織架構(gòu)、人員勝任能力等內(nèi)容。（三）常見(jiàn)問(wèn)題和風(fēng)險(xiǎn)1.項(xiàng)目未建立相應(yīng)的組織機(jī)構(gòu)成組織機(jī)構(gòu)不健全，項(xiàng)目人員配備不充足、關(guān)鍵崗位人員能力不勝任，未執(zhí)行不相容崗位相分離，造成職責(zé)不清或缺失，導(dǎo)致的項(xiàng)目效率低下的風(fēng)險(xiǎn)。2.信息系統(tǒng)項(xiàng)目初步設(shè)計(jì)和詳細(xì)設(shè)計(jì)未進(jìn)行技術(shù)檢查，業(yè)務(wù)需求不能滿(mǎn)足組織要求，應(yīng)用架構(gòu)、數(shù)據(jù)架構(gòu)、部署架構(gòu)、業(yè)務(wù)架構(gòu)、功能模塊及子模塊、標(biāo)準(zhǔn)化設(shè)置、系統(tǒng)設(shè)置等與實(shí)際不符，未設(shè)置相應(yīng)的風(fēng)險(xiǎn)防控方案，造成無(wú)法實(shí)現(xiàn)項(xiàng)目目標(biāo)的風(fēng)險(xiǎn)。3.項(xiàng)目建設(shè)單位未對(duì)信息系統(tǒng)的建設(shè)進(jìn)度與質(zhì)量進(jìn)行控制或?qū)M(jìn)度控制不當(dāng)；未對(duì)項(xiàng)目質(zhì)量開(kāi)展定期檢查，導(dǎo)致信息系統(tǒng)項(xiàng)目進(jìn)度得不到保證、質(zhì)量不合格、工期延誤的風(fēng)險(xiǎn)。4.未制定信息系統(tǒng)變更程序或變更程序不合理，未嚴(yán)格執(zhí)行變更程序，導(dǎo)致變更頻繁，產(chǎn)生法律糾紛或費(fèi)用超支、工期延誤的風(fēng)險(xiǎn)。5.缺乏完整可行的數(shù)據(jù)遷移方案或方案實(shí)施不當(dāng)，導(dǎo)致系統(tǒng)的業(yè)務(wù)處理錯(cuò)誤；實(shí)施單位未進(jìn)行知識(shí)轉(zhuǎn)移，導(dǎo)致組織無(wú)法充分使用系統(tǒng)功能；系統(tǒng)生產(chǎn)環(huán)境未與開(kāi)發(fā)環(huán)境、測(cè)試環(huán)境在物理上邏輯上采取適當(dāng)?shù)母綦x措施，導(dǎo)致生產(chǎn)環(huán)境運(yùn)行不穩(wěn)定或業(yè)務(wù)功能失效的風(fēng)險(xiǎn)。6.缺乏信息系統(tǒng)項(xiàng)目竣工驗(yàn)收機(jī)制或機(jī)制設(shè)計(jì)不當(dāng)，驗(yàn)收手續(xù)不齊備或驗(yàn)收審核工作不嚴(yán)謹(jǐn)，缺乏驗(yàn)收標(biāo)準(zhǔn)，導(dǎo)致未達(dá)標(biāo)項(xiàng)目通過(guò)驗(yàn)收，影響組織正?；顒?dòng)的驗(yàn)收風(fēng)險(xiǎn)。7.項(xiàng)目成本未及時(shí)、準(zhǔn)確進(jìn)行核算，或核算不正確而導(dǎo)致的核算風(fēng)險(xiǎn)；未及時(shí)出具項(xiàng)目結(jié)算報(bào)告，導(dǎo)致項(xiàng)目驗(yàn)收延期風(fēng)險(xiǎn)；未及時(shí)完整移交項(xiàng)目資料而導(dǎo)致的項(xiàng)目資料遺失風(fēng)險(xiǎn)。8.信息系統(tǒng)驗(yàn)收后未明確信息系統(tǒng)運(yùn)維保障機(jī)制的建立與移