第一节  信息系统治理审计

一、业务概述

信息系统治理是组织治理的重要组成部分，专注于信息技术体系及其绩效和风险管理的治理规则。信息系统治理应当确保信息系统战略与组织战略的一致性、信息系统目标与业务目标一致、信息系统资源的统一管理和优化，风险的有效控制、信息技术业务活动符合法律法规规定和行业规范要求，以促进组织价值最大化。

信息系统治理是指组织中信息系统管理的治理架构、流程活动方式和运行关系，是治理主体以组织章程、监管职责、利益相关方期望、业务压力和业务要求为驱动力,建立评估、指导、监督的治理过程。

信息系统治理审计是指对信息系统治理中的体系、制度、方案、评估、指导与监督等过程进行审查和评价。

二、审计目标和内容

信息系统治理审计目标是评价信息系统治理是否满足组织战略需求、使其与业务目标保持一致、信息系统资源得以统一管理和优化，风险得到有效控制、信息技术业务活动符合法律法规和行业规范要求，促进组织价值最大化。

信息系统治理审计的主要内容包括：信息系统的战略规划、信息系统治理的组织架构设置、治理的职责权限分工、治理资源的合理分配、信息系统的考核及监督机制。

三、常见问题和风险

（一）信息系统治理与组织治理脱节。 

（二）职责分工不清，未建立制衡机制。 

（三）内部控制监督机制失效。 

（四）信息与沟通机制失效。 

（五）信息系统资源配置不合理。 

（六）信息系统审计机构缺乏独立性。 

（七）信息系统用户的信息技术教育和培训不足等问题。

四、审计的主要方法和程序

1.访谈组织管理层中关于信息系统的主管人员，收集组织章程、收集信息系统管理的组织机构设置图，了解组织的战略布局、组织主营业务构成，从而评价信息系统架构与组织架构的一致性，信息系统战略与组织战略和业务需求的一致性。

2.访谈管理人员，评估决策对组织信息系统风险及应对措施，评估决策及管理层对信息系统治理的支持程度。应当关注组织的风险评估的总体架构中信息技术风险管理的框架、流程和执行情况，信息资产的分类以及信息资产所有者的职责等方面。 

3.检查信息系统架构，包括但不限于：基础设施架构、应用架构、数据架构，评估治理架构和机制对设计与实施、服务与支持、监控与评估的闭环管理的有效性。 

4.查阅组织相关内部控制手册、权限指引，评估信息系统治理职权与责任分配以及制衡机制的合理性。 

5.查阅组织文件、会议纪要等流转处理记录，评估信息系统相关问题信息沟通机制的及时性、有效性。 

6.查阅组织内控审计报告、信息系统审计报告，评估内部监督机构设置、职责、权限、独立性及监督机制作用发挥情况。

第二节  信息系统与业务目标一致性审计

一、业务概述

信息系统与业务目标一致性审计是根据组织发展战略和业务发展规划，将信息系统目标和内容的整体规划与组织业务目标进行比对评价，保证信息系统战略规划围绕组织的战略意图展开，将战略意图转化成目标和任务，并且评估达成目标和完成任务所需要的信息系统能力需求，根据信息系统能力的需求进行信息系统战略规划。

二、审计目标和内容

审计目标：通过比较组织信息系统战略规划与业务目标一致性，保障信息系统战略规划制定及实施过程得到合理的控制、监督并持续改进，保持与业务目标的一致性。 

审计内容：内部审计机构通过与信息系统决策层、管理层访谈，查阅组织章程、中长期战略规划、发展计划、年度计划、管理流程等文件对下列内容进行审计：

（一）信息系统决策和管理层对信息系统战略规划过程的重视和参与程度。

（二）审计信息系统战略规划文件规范。 

（三）审计信息系统目标相关内容的可操作性。 

（四）审计对目标进行更新和沟通的需求。 

（五）审计监督和评价需求。 

（六）审计战略规划流程或框架是否完善。 

（七）审计信息系统目标与其管理控制流程符合度。

三、常见问题和风险

（一）缺少信息系统战略规划目标。 

（二）信息系统目标与组织战略规划不一致或更新不及时。

（三）信息系统目标与组织信息系统能力不符、缺乏实用性。 

（四）信息系统目标与其他管理控制流程不符、缺乏操作性。 

（五）信息系统目标缺少保障措施。

四、审计的主要方法和程序

（一）访谈组织管理人员，了解信息系统目标和业务目标是否一致。 

（二）检查信息系统的建设方案、规划内容、实施内容与组织各主要业务的需要是否相符。 

（三）审阅信息系统的可行研究报告设定目标，评估组织信息系统的能力是否能够支持信息系统设定的目标。 

（四）对比分析信息系统建设与应用的内容与组织的主营业务目标是否一致，是否能够有效支撑主要业务目标。

第三节  信息系统投资与绩效审计

一、业务概述

信息系统投资及绩效审计，是指对信息系统投资过程、价值、回报、投入信息系统资源对实现业务目标、战略的影响能力的评价。

二、审计目标和内容

审计目标：通过对信息系统投资及绩效的评价，向管理层提供信息系统投资立项、决策、实施、监督、考核过程的合规性、合理性、合法性、经济性以及对业务目标影响的评估，以促进组织持续改善信息系统投资过程管理、提升信息系统投资价值。

审计内容： 

1.信息系统投资决策、监控、考核机制的健全性。 

2.信息系统投资审批流程。 

3.信息系统投资的预算、执行、节点报告、验收管理程序。 

4.信息系统投资项目的项目评估和绩效评价。

三、常见问题和风险

1.信息系统投资立项与信息系统战略规划、业务目标不符。 

2.信息系统投资项目未经信息系统决策部门批准。 

3.信息系统投资项目流程控制不足。 

4.信息系统投资项目缺少后评估和绩效评价。

四、审计的主要方法和程序

1.访谈高层管理人员，了解信息系统投资战略规划和年度计划，评估信息系统投资项目与战略规划和投资计划的一致性。

2.检查信息系统投资管理制度，审核投资决策、监督、考核机制的执行情况。

3.检查信息系统项目管理文件，年度投资计划文件等，审核信息系统项目授权审批情况。 

4.获取信息系统项目流程文件、管理文档等相关资料，审核信息系统投资预算、支付、进度报告、验收管理等关键流程的合规性、合法性、准确性。 

5.获取信息系统项目管理文件，绩效考核记录，审核是否对信息系统项目进行了项目评估和绩效考核。

第四节  信息系统组织与制度审计

一、业务概述

组织应设置信息系统管理机构，规定相应的职责和权限，建立相关制度，规范业务流程运转机制。 

信息系统组织机构一般包括: 

（一）信息系统决策与规划机构。 

（二）信息系统执行与实施机构。 

（三）信息系统风险管理机构。 

（四）信息系统监督机构。

二、审计目标和内容

 审计目标：通过对信息系统决策与规划、执行与实施、风险管理、监督机构的评价,向管理层提供信息系统组织工作得到控制、监督、持续优化的合理保证。

审计内容： 

（一）信息系统决策与规划机构 

1.制定的信息系统战略目标和信息系统的应用是否符合业务目标的要求，是否有效保证信息技术战略方针目标、绩效、自我评价等体系的持续有效性等。 

2.信息系统治理是否纳入决策层、管理层的议事日程,并定期讨论、定期出具信息系统治理工作的报告。 

（二）信息系统执行与实施机构 

1.信息系统组织架构与相关职责是否符合组织信息系统现状,是否得到及时更新等。 

2.是否明确了信息系统部门和岗位职责。 

3.是否存在职责不明确或不相容职责分离控制未能落实的情况，是否采取了有效的控制措施防止岗位职责冲突。

（三）信息系统风险管理机构

 1.是否建立信息系统风险管理机构，并明确职能，是否设置信息系统风险管理岗位，是否建立向风险管理委员会报告工作的机制。 

2.是否制定了风险管理的策略制度及流程、实施持续信息系统风险评估、监控信息安全威胁和不合规事件的发生，并跟踪整改意见的落实等。 

（四）信息系统监督机构

1.是否明确信息系统监督职能，在信息系统监督部门设立信息系统监督岗位。 

2.是否建立了信息系统审计制度，是否按照组织的要求开展信息系统审计。

三、常见问题和风险 

1.未建立信息系统治理组织架构、信息系统的战略规划、未统一管理。 

2.信息系统决策层与管理层职责权限不清。 

3.信息系统组织架构、职责、权限分工、流程机制缺少必要的制度规范。 

4.重大信息系统决策未通过信息系统决策层审批。 

5.信息系统决策和管理层未发挥应有作用。

四、审计的主要方法和程序

内部审计人员通过访谈决策层、管理层、相关机构，查阅相关治理工作报告，对信息系统组织架构进行评价。 

1.访谈相关人员,了解决策层的相关工作机制，检查相关文件、资料,确认决策层在信息系统治理中的作用等，取得相关文件，检查信息系统管理层成员的构成及工作机制的建立情况。 

2.审核信息系统治理采用的报告路线,核对信息系统治理方面的问题是否向组织最高管理层报告，获取信息系统工作年度报告，了解信息系统工作开展情况，检查信息系统工作报告的收发记录，检查管理层对信息系统工作报告的审阅记录，取得并检查决策层及管理层的会议纪要等资料,确认管理层在信息系统治理中的作用。 

3.获取、审核信息系统组织架构图、信息系统部门工作职责资料,审核信息系统组织架构是否建立，信息系统部门的职责划分情况，是否采取了有效的控制措施防止岗位职责冲突。 

4.访谈决策层和管理层相关人员、了解风险管理机构职能的报告路线，访谈信息系统风险管理相关人员，获取信息系统风险管理职责等相关文件，获取信息系统风险管理相关记录，检查风险管理工作开展情况。 

5.访谈决策层、监督层及管理层相关人员，了解信息系统监督职能的确定及报告路线；访谈信息系统监督机构相关人员，获取信息系统监督管理相关记录，检查信息系统监督工作的开展情况。 

6.检查人力资源管理制度、信息系统人才选拔、培训、储备等关键岗位职责、绩效考核等制度，评价人力资源管理对信息系统架构的支持程度。

7.检查主要业务流程如采购管理、资产管理、财务管理等制度，评价相关制度对信息系统架构的支持程度。

第五节  信息系统风险管理审计

一、业务概述

信息系统风险是指潜在影响业务的信息系统相关事件构成，包括不确定的频率以及重要性、符合业务目的和目标的挑战以及追求机会的不确定性。信息系统风险管理是组织在实现目标过程中，将不确定产生的与信息系统有关的影响，控制在可接受范围内的过程。

 二、审计目标和内容

审计目标：根据组织战略目标、风险管理策略及相应的固有风险，评价组织如何实施信息系统风险管理，将与信息系统有关的风险因素控制在实现组织目标可接受的范围内。

审计内容：包括但不限于：系统风险的制度和流程符合性、有效性；风险管理的全面性、合理性、适用性；风险管理职责及人员分工的合理性；风险管理的监控、评估及应对等。

 三、常见问题和风险

1.信息系统风险管理机制未建立或不完善，导致组织风险缺乏管理。

2.组织未开展风险识别和评估，未收集和建立信息系统风险清单，导致风险应对缺乏针对性和适用性。

3.信息系统风险管理与组织的业务流程不匹配导致组织资源配置不合理，与管理层风险偏好发生偏离。

四、审计的主要方法和程序

1.访谈决策层及信息系统风险管理部门及相关人员，了解组织信息系统风险管理机制建立健全的情况；了解风险管理工作的开展及人员配备等情况。

2.获取信息系统风险管理相关资料，了解管理层风险偏好及风险容忍程度、风险管理目标、风险管理策略和原则、风险管理制度及流程、监控、评估及应对等。

3.获取组织信息系统风险管理清单，选取组织的重点业务流程与风险清单对比，检查风险评估计划、风险评估实施记录、风险评估报告、风险处置计划，评价组织风险识别、评估的准确性、适当性、完整性。

风险清单评估实例：

信息系统战略规划风险

信息系统需求分析管理风险

4.获取组织信息系统的测试及运行数据，选取组织的重点业务领域及重点工作环节，获取对应的数据，根据数据的内在联系，利用平行模拟法，查找异常点及可能存在舞弊的动机及机会，从而发现问题和风险。

第六节  信息系统项目管理审计

一、年度信息化项目计划

 （一）业务概述

信息化项目：是指支撑组织战略实施，提高组织管理、决策的效率、效果，以计算机、网络、通信等技术为手段建设和服务的项目，包括咨询服务、软件产品采购、软件研发、系统实施、硬件设备采购、系统集成、系统运行维护等。 

项目年度计划：是指信息化项目年度计划的编制、上报、汇总、审批、发布等。项目计划编制一般应包括但不限于以下事项：项目建设背景、必要性、项目的目标、范围和主要内容、初步业务需求分析、实施周期、投资估算以及系统所需要软硬件环境等内容。 

信息化项目年度计划应遵循组织相关内部控制制度以及投资、计划和信息化规章制度进行上报和审批。为了确保有效地满足业务需求，在立项前应进行需求分析。分析过程包括：定义需求、考虑替代资源，初步确定“开发”、“购买”、“外包”等方案。

 （二）审计目标和内容

审计目标：合理地保证年度信息化项目计划与组织的发展战略、年度计划一致，并得到正式的审批。 

审计内容：对信息化项目年度计划的编制、上报、汇总、审批、发布等环节进行审计。审计项目建设背景、必要性、项目的目标、范围和主要内容、初步业务需求分析、实施周期、投资估算以及系统所需要软硬件环境等内容。

 （三）常见的问题和风险

1.年度信息化项目计划与中长期规划不一致，可能导致信息系统缺乏可扩展性、形成信息孤岛或重复建设。 

2.在制定年度计划时，没有对项目进行必要的可行性分析，可能导致年度信息化项目计划与组织战略、管理等规划偏离。

3.年度信息化项目计划没有得到组织管理层的正式审批，可能导致项目计划不能实施。

 （四）审计的主要方法和程序

1.审阅规章制度，访谈管理层，合理确定年度信息化项目计划的制定和审批管理的设计有效性。

获取并审阅年度信息化项目计划制定和审批的规章制度；访谈相关管理层，了解组织制定和审批年度信息化项目计划的流程和方法，评估合理性。

2.审阅年度信息化项目计划相关文档和资料，合理确定年度信息化项目计划的制定和审批管理的执行有效性。获取并审阅组织的中长期规划或信息化建设规划、年度信息化项目计划、年度信息化项目计划审批文件等，确认年度信息化项目计划的制定和组织中长期规划的一致性。

 二、信息系统项目立项管理

 （一）业务概述

项目立项管理：依据年度计划和有关规定，对信息化项目的可行性研究报告上报、论证、检查、办理批复和项目备案管理的过程。

 （二）审计目标和内容

审计目标：合理地保证项目的立项流程遵循了组织的规章制度，并得到了正式的审批。 

审计内容：检查信息系统立项与年度计划的一致性，检查项目的可行性研究报告，重点关注需求提报、上报、技术经济论证、办理批复和项目备案管理的过程。

 （三）常见问题和风险

1.信息化建设背景、必要性尽职调查不到位，导致系统建设与规划、计划的目标偏离等风险。 

2.系统需求分析不当，不符合业务处理和控制的需要，导致开发建设失败或应用价值不高等风险。 

3.在技术上、经济上不可行，导致系统开发失败或应用价值不符合立项目标的风险。 

4.可行性研究报告或者需求说明书未经业务需求主管单位负责人签字确认，需求及方案的合理性缺乏保障，后期由于需求的不断变更会导致项目成本增加或延期完成的风险。 

5.项目立项未批复即开始实施，导致项目合规风险。

 （四）审计的主要方法和程序

1.收集整理立项资料 

按照信息化分类或分级管理的规定，收集项目立项上报、审批和批复全流程涉及的文件，包括但不限于可行性研究报告、年度信息化投资计划、评审资料、批复等纸质文件或电子资料等。 

2.审阅、对比分析立项主要资料 

（1）分析项目建设背景：属于新建或新购项目，检查是否依据组织发展战略、规划、计划、文件、纪要及上级组织的批文、批件、业务部门提出的需求；属于完善提升类项目，检查是否详细陈述了项目前期实施和应用的总体情况，包括基础条件、总体目标、实施范围和内容、完成的工作、取得的经验、应用效果和存在的问题。通过上述分析，检查项目的立项是否符合信息化发展的战略、项目建设规划和年度计划，检查重复建设或信息化建设出现孤岛的风险和问题。 

（2）抽查审批流程文件，从分析比对立项报告中对国内外同类信息化项目建设和应用的现状，以及本组织业务发展对信息化的需求，检查信息化立项的必要性，避免技术上的落后造成开发失败或应用价值不高等问题。 

（3）检查业务需求说明、技术方案，查看业务需求描述是否清晰明确，是否包括业务功能需要、技术方向、性能指标、成本、可靠性、兼容性、可审计性、有效性、可持续性、经济性、可用性、安全性和合规性等方面。 

3.检查信息化项目立项审批流程 

（1）根据组织的信息化项目规章制度，收集组织现有信息化项目内控管理体系资料。 

（2）依据组织的信息化项目内部控制管理体系，检查信息化项目投资立项上报审批流程；检查信息化项目立项报批流程是否按信息化内部控制和规章制度及细则执行，立项报告、投资计划、立项材料等资料是否齐全。

（3）检查立项报告，项目立项投资计划，项目背景资料文件及相关审批文件的领导签字、日期签署是否完整，时间逻辑是否一致。 

通过上述内容的审计，检查项目的上报、审批流程的合规性，以及无计划立项、拆分项目躲避立项审批程序等问题和风险。

 三、项目预算及执行

 （一）业务概述 

信息化项目预算应依照组织的信息化计划及其预算申请批准程序报批。信息化项目预算编制，一般包括但不限于下列内容：软件配置费、硬件配置费、网络建设费、技术服务费、培训管理费、配套实施管理费、其他费用及不可预见费用。 

（二）审计目标和内容

审计目标：信息化系统的预算编制及执行审计检查预算的合理性、预算执行的真实、合法性，以规范资金应用，控制项目成本，确保较小的成本、费用支出取得较好的投资效益。 

审计内容：审计预算目标的科学性，编制程序的合规性，预算内容的完整性、准确性，相关费用支出、资金支付的真实性，合规性。

 （三）常见问题和风险

1.预算编制程序不规范，横向、纵向信息沟通不畅，导致预算目标缺乏科学性和可行性，可能会导致项目实际成本超预算的风险和预算虚高的风险。 

2.预算编制与信息系统项目内容偏离，存在不合理支出，导致项目实际成本与上报审批的预算计划差异较大。 

3.预算执行情况报告文件不全面，对预算使用情况无法真实反映，资金管理不透明。 

4.资金支付审批过程存在补签、无授权代签、漏签等现象，未能按照预算付款的进度和要求执行，存在提前支付或拖欠付款的现象，出现信用、法律风险。 

（四）审计的主要方法和程序

 项目预算及执行的测试程序一般包括： 

1.检查预算的编制及审批流程 

（1）对比分析：将费用预算编制的费用事项、用途、工作数量、人工用量与业务需求进行核实，检查多报或漏报工作内容问题，同时采取抽样方法，选择重要事项或金额较大事项，对照相应的定额、标准和工作量进行重新测算，核实其费用预算的真实、准确性。 

（2）检查信息化项目内部审批流程是否规范，包括：预算文件及审批流程文件的完整性、一致性、合规性。

2.查阅信息化项目批复及审批过程文件，重点关注审批过程中项目预算的不同意见，检查是否存在违规审批，造成项目预算超计划的问题。 

3.预算执行情况审计 

对项目建设期间费用支出及盈余收入使用情况与预算计划的差异进行比对。主要包括对信息化项目的预算计划、预算执行分析报告、各项收支情况统计、费用支付安排、项目管理手册、项目进度月报或季报和项目变更资料，重点检查超预算或无预算增加的其他费用。 

（1）查阅项目预算计划、预算执行分析报告。 

（2）抽查预算执行分析报告，并与相关支持文件和记录对比、核实。 

（3）对预算出入较大的项目主要原因进行分析并做出结论。

4.检查资金支付 

资金支付审计程序主要针对项目建设中合同付款进度条款和其他费用支出程序的监督，包括信息化项目的主要费用支出构成，各项合同的付款进度控制，费用支出审批控制。 

（1）了解被审计单位内部对合同付款的相关制度和规范。

（2）检查资金支付文件的审批程序是否齐全，其中审批人签字是否完整，审批时间逻辑顺序是否正确。

（3）抽取部分样本，检查资金支付凭证中实际支付金额与完成项目进度是否匹配，如有差异，深入分析差异原因。

 四、项目招投标管理

 （一）业务概述 

信息系统项目的招投标在遵守国家、地方及组织相关的法律、法规、规章、制度的基础上，应当采用公开招标方式的，其招标具体限额按所属组织实际情况确定；规定可以不公开招标的，遵守其相关规定。

 （二）审计目标和内容 

审计目标：信息系统招投标审计是对组织的信息化项目招投标程序和形式的合法合规性、组织制定的信息系统招投标标准的合理性、招投标范围的完整性、组织招投标管理的规范性和一贯性开展审计，达到规范管理，杜绝漏洞，提升组织价值的目的。 

审计内容：招标管理情况、投标管理情况、评标管理情况、中标及合同签订情况。

 （三）常见问题和风险 

1.应招标未招标，应公开招标未公开招标，甚至发生信息系统的招投标舞弊风险。 

2.信息系统项目招投标程序和标准没有专业部门参与，不符合相关法律、法规、组织内部规章制度要求，或以不合理的条件限制、排斥潜在投标人或者投标人相互串通投标的舞弊风险和违法违规风险。 

3.招投标工作组织不当，招标方案、形式和文件表述不当、投标文件主要条款不满足招标文件、投标保证金不到位、未按时投标等导致的招投标失败风险。 

4.评标人员构成不满足招投标需求，或缺乏信息系统专业的胜任能力，未执行回避原则等；评审标准和方法不合理，不符合信息系统项目要求，评审程序执行不当导致无法实现项目目标，甚至造成损失或引起法律纠纷风险。 

5.未按评标结果选择供应商，不能保证信息系统项目在规定时间内保质保量按时间节点完成信息系统实施的风险。

 （四）审计的主要方法和程序 

1.检查招标项目的招标范围是否与组织的规定相符，招标方式是否一贯执行了国家法律法规和组织规定。 

2.取得信息系统项目立项、招标公告、招标文件和补充招标文件、会议记录、投标文件、招标投标情况书面报告等文件资料，对比信息系统投资计划、可行性研究报告，需求分析等资料，检查组织是否存在化整为零、规避公开招投标的行为。 

3.查阅尽职调查的相关文件、资格检查公告结果、预审结果通知书、招标文件，检查信息系统中标人是否达到招标人所要求的资质等级、资质是否真实、是否存在挂靠获取资质、是否存在转包分包问题。 

4.查阅开标资料，重点检查开标过程的规范性及组织在出现流标、废标时的处理程序。 

5.获取评标委员会名单，检查评标委员会人数组成和人员是否满足法定和组织要求；查阅评标资料，评价招标文件确定的评标标准和方法是否合理，检查评标委员会是否存在评标打分不合理的情况；组织是否按规定根据评标结果签订合同。 

6.检查信息系统项目投标资料，判断不同投标人的投标文件是否雷同、是否存在股权关系、投标报价是否呈规律性差异等，发现招投标过程中围标、串标等违法中标的现象。 

7.检查中标通知书发放和合同的签订是否符合国家和组织的相关规定，检查签订合同与中标人是否一致，合同内容是否与招标文件相符。

 五、采购与合同管理

 （一）业务概述 

信息系统采购是指由组织投资建设购买服务或需要运行维护的各类信息系统，包括执行信息处理的计算机、软件和外围设备等货物和服务。采购需求应与现有系统功能协调一致，避免重复建设。 

（二）审计目标和内容

审计目标：通过对信息系统项目采购合同审计，评价采购是否符合信息系统建设的需要。合理保证采购行为的合法、真实、准确、经济。 

审计内容：组织信息系统采购及合同审计是对信息系统采购行为及合同的合法、真实、准确、经济等方面的内容进行监督。 

（三）常见问题和风险 

1.信息系统建设未编制采购计划或采购计划未经适当审批导致的信息系统重复建设或效率低下。 

2.因采购方式或供应商选择不合理，组织明显缺乏议价能力，导致质次价高、技术参数不达标、服务交付不及时等采购风险。 

3.未建立供应商动态考评机制，导致选择的信息系统供应商技术水平与项目要求不匹配。对合同相对方的履约能力给出不当评价，导致信息系统合同相对人不能按约履行合同义务，影响组织信息系统的开发与应用的风险。 

4.采购尽职调查不充分，导致外购采购没有对比选择，在功能、性能、易用性方面无法满足需求，导致与无权代理人、无处分权人签订信息系统采购合同，组织利益受损。

5.合同签订未经审核、审批，合同条款和内容不完整存在严重疏漏或缺陷，合同规定的权利义务内容不明确，合同存在法律风险。 

6.法律规定对于应当报经国家有关主管部门或组织上级部门检查或备案的信息系统合同文本，未履行相应报批报备程序，导致合同无效的风险。 

7.在合同执行过程中发生重大变动时，未及时与对方沟通变更合同，导致开发的信息系统不适用于组织的需要。 

（四）审计的主要方法和程序 

1.明确组织内信息系统采购的关键控制点，询问信息系统相关采购人员执行的信息系统采购流程，查阅项目采购前期报批文件，判断项目采购是否符合信息系统技术要求，采购方式是否合法。 

2.获取供应商资质、业绩、提供服务等相关文件资料，确定供应商是否具备提供相应服务的实力、信用，能否按信息系统建设要求，保质保量地提供信息系统相关服务，关注实施组织与采购合同相关人是否一致，是否存在转包和违规分包行为。 

3.重点关注合同采购条款文本，检查是否存在关键条款不清晰，数据质量考核无标准，信息资产权属不清；检查合同价格的组成要素，将合同价格与同行业、同类型信息系统指标进行比对，判断采购价格是否合理。

4.根据信息系统演示结果，审核供应商提供的服务是否满足信息采购需求，是否能按合同要求提供合格的信息资产或服务。

 六、项目实施管理审计

 （一）业务概述 

信息系统项目实施是指对信息系统项目的开发、测试、验收、正式上线等重要环节的质量、进度、安全、变更、风险实施控制和监管的过程。参与项目建设的所有人员应做好风险的识别和分析。涉及重大风险问题的应及时分析风险因素，形成风险应对方案。 

（二）审计目标和内容 

审计目标：开展信息系统项目实施管理审计，关注信息系统项目实施（含初步设计、详细设计）的合理性、合规性，满足技术发展的技术前瞻性要求；以提高项目进度的可控性、提升项目质量管理，完善项目验收管理。 

审计内容：包括但不限于：信息系统建设程序履行情况、信息系统的资金筹措和使用情况、项目概算执行及调整报批情况、质量监督情况、成本核算和财务管理情况、信息系统实施组织架构、人员胜任能力等内容。 

（三）常见问题和风险 

1.项目未建立相应的组织机构或组织机构不健全，项目人员配备不充足、关键岗位人员能力不胜任，未执行不相容岗位相分离，造成职责不清或缺失，导致的项目效率低下的风险。 

2.信息系统项目初步设计和详细设计未进行技术检查，业务需求不能满足组织要求，应用架构、数据架构、部署架构、业务架构、功能模块及子模块、标准化设置、系统设置等与实际不符，未设置相应的风险防控方案造成无法实现项目目标的风险。 

3.项目建设单位未对信息系统的建设进度与质量进行控制或对进度控制不当；未对项目质量开展定期检查，导致信息系统项目进度得不到保证、质量不合格、工期延误的风险。 

4.未制定信息系统变更程序或变更程序不合理，未严格执行变更程序，导致变更频繁，产生法律纠纷或费用超支、工期延误的风险。 

5.缺乏完整可行的数据迁移方案或方案实施不当，导致系统的业务处理错误；实施单位未进行知识转移，导致组织无法充分使用系统功能；系统生产环境未与开发环境、测试环境在物理上或逻辑上采取适当的隔离措施，导致生产环境运行不稳定或业务功能失效的风险。

6.缺乏信息系统项目竣工验收机制或机制设计不当，验收手续不齐备或验收审核工作不严谨，缺乏验收标准，导致未达标项目通过验收，影响组织正常活动的验收风险。 

7.项目成本未及时、准确进行核算，或核算不正确而导致的核算风险；未及时出具项目结算报告，导致项目验收延期风险；未及时完整移交项目资料而导致的项目资料遗失风险。 

8.信息系统验收后未明确信息系统运维保障机制的建立与移交，导致信息系统运行和维护风险。 

（四）审计的主要方法和程序 

1.获取信息系统项目总体情况资料，主要应当包括项目建设运作和管理模式，资产的交付，财务核算体系和方法，项目进度确认及进度款项拨付，评估项目过程管理总体情况。 

2.获取信息系统项目相应的组织机构图及职责权限，检查项目组成员组成及相应资质，岗位不相容职务分离是否符合组织管理要求。 

3.获取信息系统初步设计及详细设计、项目实施控制计划、项目进度控制计划、项目质量控制报告。检查项目建设单位是否按计划对项目进度与建设质量实施了控制。重点关注项目进度或设计受到资源约束或外部环境变化时，是否及时对进度计划进行调整。检查计划变更的原因、报价、进度是否合规、合理，是否按规定程序通过相关部门审批，变更事项是否符合合同规定和变更的实际情况。 

4.对照合同、技术附件等资料中规定的信息系统中相应的项目验收规范，获取测试项目运行效果验收记录，检查验收程序是否符合组织规定，是否符合信息系统项目的设计需求，运行数据是否能满足组织需要。 

5.检查是否制定或选择系统出现安全、进度等事故时的技术处理方案，处理方案是否严格执行相应的技术规范与质量标准，事故处理技术方案是否切实可行、经济合理。 

6.检查信息系统项目建设资金的筹措与使用情况，关注系统建设资金来源是否真实合法，筹集资金的方式是否合规。 

7.检查项目成本的归集与分配是否恰当、准确，是否与批准的初步设计预算相符，检查项目各类投资是否真实、合法。检查交付资产是否真实、完整，资产交接手续是否完备，资产归属或管理责任是否划清，资产验收交接是否真实、合规。

 七、项目绩效与后评估

 （一）业务概述 

投资绩效考核内容包括：信息系统年度投资增量绩效考核、已验收投产项目的绩效考核、投资管理与控制绩效考核。项目后评价：为实现信息系统项目全过程闭环管理，所有信息系统投资项目一般在投产竣工验收后一定时期内开展后评价工作。 

后评价内容包括：信息系统决策及建设管理后评价、实施结果后评价、经济效益后评价、影响后评价、可持续性后评价等。

 （二）审计目标和内容 

审计目标：通过开展绩效考核、后评估审计，了解信息系统持续对组织支撑作用是否达到预期及不足，便于及时开展相应的后续服务。 

审计内容：包括但不限于组织信息系统项目绩效的考评机制，组织对信息系统运行后评价的评价标准、指标、体系。 

（三）常见问题和风险

1.缺乏科学有效的绩效考核机制，项目评价和考核不及时、不准确，导致的项目评价结果不当，无法持续支持改进管理水平的风险。 

2.没有严格执行项目后评估制度，导致无法及时发现项目执行偏差、无法实现信息系统预期目标的风险。 

（四）审计的主要方法和程序 

1.获取组织内部的绩效考核制度、标准、评价结果，检查组织是否对信息系统的建设给予高度重视，信息系统绩效考评是否及时、准确，达到提升组织管理的作用。 

2.获取组织对信息系统开展的后评估资料、后评估流程，检查组织在项目出现执行偏差时的应急措施，在出现偏差时组织的处理程序是否得当。