CCS L79
团体标准
T/CCUA 006—2024
信息系统审计机构服务能力评价
Evaluation of service capacity for information system audit institution
2024-12-27发布2025-01-27实施
中国计算机用户协会 发布
目次
前言 ................................................................................. II
1 范围 ............................................................................... 3
2 规范性引用文件 ..................................................................... 3
3 术语和定义 ......................................................................... 3
4 信息系统审计机构服务能力 ........................................................... 3
4.1 信息系统审计机构服务能力分级 ................................................... 3
4.2 三级信息系统审计机构服务能力 ................................................... 3
4.2.1 基本要求 ................................................................... 3
4.2.2 审计工作实施能力 ........................................................... 3
4.2.3 审计人员素质能力 ........................................................... 3
4.2.4 审计质量控制能力 ........................................................... 4
4.2.5 审计结果报告能力 ........................................................... 4
4.3 二级信息系统审计机构服务能力 ................................................... 4
4.3.1 基本要求 ................................................................... 4
4.3.2 审计工作实施能力 ........................................................... 4
4.3.3 审计人员素质能力 ........................................................... 4
4.3.4 审计质量控制能力 ........................................................... 4
4.3.5 审计结果报告能力 ........................................................... 5
4.4 一级信息系统审计机构服务能力 ................................................... 5
4.4.1 基本要求 ................................................................... 5
4.4.2 审计工作实施能力 ........................................................... 5
4.4.3 审计人员素质能力 ........................................................... 5
4.4.4 审计质量控制能力 ........................................................... 5
4.4.5 审计结果报告能力 ........................................................... 6
5 审计机构行为要求 ................................................................... 6
6 信息系统审计机构服务能力评定 ....................................................... 6
6.1 评定流程及方式 ................................................................. 6
6.2 初次能力评定 ................................................................... 6
6.2.1 申请 ....................................................................... 6
6.2.2 资格审查 ................................................................... 6
6.2.3 现场评估审核 ............................................................... 6
6.2.4 专家评定 ................................................................... 6
6.3 能力复评 ....................................................................... 6
附录A(规范性) 信息系统审计机构服务能力等级评定申请书格式 ........................... 7
附录B(规范性) 信息系统审计机构服务能力评价细则 .................................... 16
参考文献 ............................................................................. 20
T/CCUA 006—2024
II
前言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
本文件代替T/CCUA 006--2020《信息系统审计机构服务能力评价》,与T/CCUA 006-2020相比,除结构调整和编辑性改动外,主要技术变化如下:
a)
更改了范围的内容表述(见第 1 章);
b)
更改了术语和定义中“信息系统审计机构”的内容表述(见 3.2,2020 版 3.2);
c)
增加了信息系统审计机构服务能力评定的有效期(见4.1,2020版4.1);
d)
更改了信息系统审计机构各级服务能力的要求的内容表述(见第4章,2020版第4章);
e)
增加了审计机构行为规范性要求(见第5章);
f)
更改了信息系统审计机构服务能力评定的内容表述(见第6章,2020版第5章);
g)
增加了附录A信息系统审计机构能力等级评定申请书(见附录A)
h)
更改了附录B信息系统审计机构能力评价要求的内容表述(见附录B,2020版附录A)。
本文件由中国计算机用户协会提出并归口。
本文件起草单位:中国计算机用户协会政务信息化分会、北京中帧四方资讯有限公司、北京国信新网通讯技术有限公司、北京易迅博慧网络科技有限公司、广东省科技基础条件平台中心、北京经济管理职业学院、国研数字科技(北京)有限公司、广东数字政府研究院、厦门市信息协会、中检(厦门)软件测评有限公司、上海方宏会计师事务所(普通合伙)、新长城科技有限公司、北京德中锦科技有限公司、北京瑞蚨善法信息科技有限公司、河南科评信息技术有限公司、北京微月科技有限公司、青岛赛迪国软信息系统治理有限公司、北京致远互联软件股份有限公司。
本文件主要起草人:石跃军、姚琴、周云峰、唐群、李晓波、杜维成、江一山、曹红星、蔺海波、赵进延、张巍、张晶、张博、叶海燕、林奕冰、陈海章、徐锋、郝婧宇、彭维民、于丽丽、师玉芳、李晓东、任保东。
本文件历次版本发布情况为:
——
2020年5月首次发布为T/CCUA 006-2020;
——
本次为第一次修订。
T/CCUA 006—2024
3
信息系统审计机构服务能力评价
1 范围
本文件规定了信息系统审计机构服务能力的基本要求、审计工作实施能力、审计人员素质能力、审计质量控制能力、审计结果报告能力和评定要求。
本文件适用于内部审计、社会审计,以及信息系统建设运维单位组织开展的信息系统审计。
2 规范性引用文件
本文件没有规范性引用文件。
3 术语和定义
下列术语和定义适用于本文件。
3.1
信息系统审计 information system audit
对信息系统的管理控制、应用控制、数据控制、网络控制、安全控制进行检查,提出审计意见和建议的活动。
3.2
信息系统审计机构 information system audit organization
进行内部审计、社会审计中具有专门从事信息系统审计能力的机构。
4 信息系统审计机构服务能力
4.1 信息系统审计机构服务能力分级
信息系统审计机构服务能力分为三级,级别由高到低依次是一级、二级、三级。
4.2 三级信息系统审计机构服务能力
4.2.1 基本要求
审计机构应符合下列要求:
a)
在中华人民共和国境内注册成立,由中国公民、法人投资或国家投资的企事业单位;
b)
具有固定的办公场所,产权关系明晰,独立经营核算,三年内无违法违规记录;
c)
法定代表人或主要负责人仅限中华人民共和国境内的中国公民,且无犯罪记录;
d)
单位经营状况良好,财务数据真实可信;
e)
具有良好的社会信用,未被国家列入信用信息公示系统的失信单位。
4.2.2 审计工作实施能力
审计机构需符合下列要求:
a)
具有信息系统审计的部门设置、岗位划分及职责界定,明确部门、岗位主要人员;
b)
具有完善的公司治理机制,至少包括财务管理、档案管理、审计人力资源管理、培训教育等方面的规章制度和运行流程;
c)
审计机构提供案例、过程记录等资料,证明其具有信息系统审计相关工作1年以上经验,包括不限于信息系统的财务、资产审计或安全测评、咨询服务及监理等。
4.2.3 审计人员素质能力
T/CCUA 006—2024
4
审计机构需符合下列要求:
a)
具有信息系统审计师中级证书人员不少于5名,信息系统审计人员需持证上岗;
b)
具有与信息系统审计相关的财务、信息技术、项目管理或法律等相关人员1名;
c)
审计实施人员熟悉信息系统审计的相关法律法规、规章和标准。
4.2.4 审计质量控制能力
审计机构需符合下列要求:
a)
具有审计业务全流程的质量控制机制,至少包括审计计划、审前调查、审计实施、报告编写等规章制度;
b)
建立内部质量控制流程,明确审计人员职责、权限及相互关系;
c)
在审计过程中至少指定1名专门负责质量控制人员,明确其质量控制职责。
4.2.5 审计结果报告能力
审计机构需符合下列要求:
a)
具有审计报告的内部审核流程、报告编写的规范性要求;
b)
具有审计项目档案管理制度和能力;
c)
具有审计报告和相关资料的保密制度。
4.3 二级信息系统审计机构服务能力
4.3.1 基本要求
审计机构应符合下列要求:
a)
在中华人民共和国境内注册成立,由中国公民、法人投资或国家投资的企事业单位;
b)
具有固定的办公场所,产权关系明晰,独立经营核算,三年内无违法违规记录;
c)
法定代表人或主要负责人仅限中华人民共和国境内的中国公民,且无犯罪记录;
d)
单位经营状况良好,财务数据真实可信,需有国家审计或第三方审计的审计报告;
e)
具有良好的社会信用,未被国家列入信用信息公示系统的失信单位;
f)
通过信息系统审计机构服务能力三级评定的时间不少于1年。
4.3.2 审计工作实施能力
审计机构需符合下列要求:
a)
具有信息系统审计的组织体系,至少包含组织架构、部门设置、岗位划分及职责界定,明确部门、岗位主要人员;
b)
具有完善的公司治理机制,至少包括财务管理、档案管理、审计人力资源管理、培训教育等方面的规章制度和运行流程;
c)
提供实施案例、过程记录等资料,证明其具有信息系统审计案例不少于5个。
4.3.3 审计人员素质能力
审计机构需符合下列要求:
a)
具有信息系统审计师中级证书人员不少于8名、高级证书人员不少于2名,信息系统审计人员需持证上岗;
b)
具有与信息系统审计相关的财务、项目管理或法律人员各至少1名;
c)
具有信息技术中、高级人员至少1名;
d)
审计机构每年组织审计业务和技术培训,审计师每年接受培训时长累计不少于8学时,并提供培训记录档案;
e)
审计实施人员熟悉信息系统审计的相关法律法规、规章和标准。
4.3.4 审计质量控制能力
审计机构需符合下列要求:
T/CCUA 006—2024
5
a)
具有审计业务全流程的质量控制机制,至少包括审计计划、审前调查、审计实施、报告编写等规章制度;
b)
建立内部质量控制流程,明确审计人员职责、权限及相互关系;
c)
在审计过程中至少指定1名专门负责质量控制人员,明确其质量控制职责;
d)
审计机构与参与审计人员签订《保密责任书》,保守在审计活动中知悉的国家秘密、工作秘密、商业秘密、个人隐私等;
e)
近三年未出现因信息系统审计服务不当引起的客户投诉或法律诉讼。
4.3.5 审计结果报告能力
审计机构需符合下列要求:
a)
具有审计报告的内部审核流程、报告编写的规范性要求;
b)
具有审计项目档案管理制度和能力;
c)
具有审计报告和相关资料的保密制度及执行能力;
d)
具有审计问题整改跟踪和提出建设性意见的能力。
4.4 一级信息系统审计机构服务能力
4.4.1 基本要求
审计机构应符合下列要求:
a)
在中华人民共和国境内注册成立,由中国公民、法人投资或国家投资的企事业单位;
b)
具有固定的办公场所,产权关系明晰,独立经营核算,三年内无违法违规记录;
c)
法定代表人或主要负责人仅限中华人民共和国境内的中国公民,且无犯罪记录;
d)
单位经营状况良好,财务数据真实可信,需有国家审计或第三方审计的审计报告;
e)
具有良好的社会信用,未被国家列入信用信息公示系统的失信单位;
f)
通过信息系统审计机构服务能力二级评定的时间不少于2年。
4.4.2 审计工作实施能力
审计机构需符合下列要求:
a)
具有信息系统审计的组织体系,至少包含组织架构、部门设置、岗位划分及职责界定,明确部门、岗位主要人员;
b)
具有完善的公司治理机制,至少包括财务管理、档案管理、审计人力资源管理、培训教育等方面的规章制度和运行流程;
c)
提供实施案例、过程记录等资料,证明其具有信息系统审计案例不少于15个;
d)
具有信息系统审计案例库、知识库,持续增强审计方法、审计工具和审计思路的组织推广能力。
4.4.3 审计人员素质能力
审计机构需符合下列要求:
a)
具有信息系统审计师(中级)证书人员不少于10名、(高级)证书人员不少于4名,信息系统审计人员需持证上岗;
b)
具有与信息系统审计相关的财务、项目管理或法律人员各至少1名;
c)
具有信息技术高级人员至少3名;
d)
审计机构每年组织审计业务和技术培训,审计师每年接受培训时长累计不少于8学时,并提供培训记录档案;
e)
结合岗位需求,制定有针对性的岗位培训计划,并进行岗位培训考核。
f)
审计实施人员熟悉信息系统审计的相关法律法规、规章和标准。
4.4.4 审计质量控制能力
审计机构需符合下列要求:
T/CCUA 006—2024
6
a)
具有审计业务全流程的质量控制机制,至少包括审计计划、审前调查、审计实施、报告编写等规章制度;
b)
建立内部质量控制流程,明确审计人员职责、权限及相互关系;
c)
在审计过程中至少指定1名专门负责质量控制人员,明确其质量控制职责;
d)
审计机构与参与审计人员签订《保密责任书》,保守在审计活动中知悉的国家秘密、工作秘密、商业秘密、个人隐私等;
e)
近三年未出现因信息系统审计服务不当引起的客户投诉或法律诉讼;
f)
审计机构跟踪国内外新技术、新应用的发展,确保审计能力与当前技术发展同步。
4.4.5 审计结果报告能力
审计机构应需合下列要求:
a)
具有审计报告的内部审核流程、报告编写的规范性要求;
b)
具有审计项目档案管理制度和能力;
c)
具有审计报告和相关资料的保密制度及执行能力;
d)
具有审计问题整改跟踪、提出建设性意见和化解信息系统风险的能力。
5 审计机构行为要求
审计机构不准许从事下列活动:
a)
影响被审计单位正常运行,危害被审计单位安全;
b)
泄露知悉的被审计单位的国家秘密和工作秘密;
c)
故意隐瞒审计过程中发现的问题,或者在审计过程中弄虚作假,未如实出具审计报告;
d)
非授权占有、使用审计相关资料及数据文件;
e)
其他危害国家安全、社会秩序、公共利益以及被审计单位利益的活动。
6 信息系统审计机构服务能力评定
6.1 评定流程及方式
申报机构应由低到高逐级申请评定,且每个年度内(自提交申请之日起12个月内)可申请一次。评定流程包括申请、资格审查、现场评估审核、专家评定。
评定方式分为初次能力评定和能力复评。
6.2 初次能力评定
6.2.1 申请
申报机构应按附录A的要求提交申报材料。
6.2.2 资格审查
应对照第4章信息系统审计机构服务能力及附录B要求,进行符合性审查。
6.2.3 现场评估审核
对申报一、二级审计机构的,组织现场评估、采集证据,核实和确认其综合能力。
6.2.4 专家评定
组织专家评定会议,对评审资料进行最终评定。满分为100分,70分为合格。通过评定的,颁发《信息系统审计机构服务能力》证书。
6.3 能力复评
申报机构获得信息系统审计服务能力证书后,应保证审计质量和技术能力始终符合相应级别机构能力要求。满3年应对审计机构进行能力复评,能力复评的工作流程与初次评定的评定流程一致,评定内容应符合第4章信息系统审计机构能力及附录B的全部要求。
T/CCUA 006—2024
7
A
A
附录A (规范性) 信息系统审计机构服务能力等级评定申请书格式
信息系统审计机构服务能力等级
评定申请书
申请单位:
申请等级:
申请日期: 年 月 日
中国计算机用户协会 制
T/CCUA 006—2024
8
目 录
填报说明………………………………………………………………………………( )
承诺书…………………………………………………………………………………( )
一、申请单位基本情况表……………………………………………………………( )
二、单位营业执照复印件……………………………………………………………( )
三、经营场所使用证明………………………………………………………………( )
四、信息系统审计组织架构…………………………………………………………( )
五、主管负责人身份证复印件及个人简历…………………………………………( )
六、项目经验…………………………………………………………………………( )
七、近三年财务报表资料……………………………………………………………( )
八、上一年度财务审计报告…………………………………………………………( )
九、《信息系统审计师证书》持有者材料…………………………………………( )
十、信息系统审计机构证书复印件…………………………………………………( )
十一、申请单位未被纳入失信名单证明材料………………………………………( )
十二、已建立的相关制度文件、信息系统审计工作依据的相关流程规范………( )
十三、申请单位已具备申请等级服务能力的其他证明材料………………………( )
T/CCUA 006—2024
9
填 报 说 明
1.本申请书由中国计算机用户协会编制,最终解释权归中国计算机用户协会。
2.申请单位请仔细阅读并参考团体标准《信息系统审计机构服务能力评价》中附录A信息系统审计服务能力评价细则对不同等级评定的要求,准备并提供对应的材料。
3.申请书内文每页需按照顺序标明页码(封面页、目录页不编页码),页码应在页面底部居中位置,目录中的页码要与内文页的页码一致; 目录中的每一项不可删除,如某一项不需提供或无法提供时,内文应保留序号,内容填“不适用”,或说明无法提供的原因。
4.申请书提交要求:
a)电子版提交要求:按要求打印、盖章后的全套申请材料扫描成PDF格式,发送到指定邮箱。
b)纸质版制作要求:
1)A4纸张正反面打印,胶订成册,骑缝加盖申请单位印章。
2)盖章要求:封面、承诺书、申报单位意见页盖章;骑缝处加盖公章。
3)数量及邮寄要求:申报三级:需邮寄一份材料;
4)申报一级、二级:需根据专家现场评审人数准备相应数量的材料,无需邮寄。
T/CCUA 006—2024
10
承 诺 书
郑重承诺:本单位在申请中国计算机用户协会信息系统审计机构服务能力等级评定过程中,对所提供的一切书面材料的真实性、准确性、完整性负责,如有不实之处,愿负相应的法律责任,并承担由此产生的一切后果。
申请单位(盖章):
法定代表人(签字):
年 月 日
T/CCUA 006—2024
11
一、申请单位基本情况表
单位名称
法定代表人
统一社会信用代码
注册资本
(万元)
登记地址
登记时间
单位住所
邮编
企业及企业法人是否被纳入失信被执行人名单
□是 □否
企业是否被列入行政处罚、经营异常、严重违法失信企业名单
□是 □否
联系人姓名
手 机
邮 箱
办公电话
单位性质
□事业单位 □国有企业 □民营企业 □国有控股企业
□国有参股企业 □院校 □行业协会
其他(请注明):
申请级别
□一级 □二级 □三级
中级信息系统审计师持证人数
高级信息系统审计师持证人数
二、三级填写
描述单位基本情况(包括单位规模大小、隶属关系、发展历史、业务结构、业绩等),限800字。
T/CCUA 006—2024
12
建立的相关制度、流程规范:(请在对应类别下,填写具体施行的制度名称)
1.信息系统审计工作流程类
2.人员管理类(包括教育培训等)
3.财务管理类
4.项目管理制度(包括档案管理)
5.安全保密类
6.其他制度
单位意见:
同意申报。
单位盖章:
法定代表人签字:
年 月 日
T/CCUA 006—2024
13
二、单位营业执照复印件
三、经营场所使用证明
(房屋所有权证、租赁合同、使用证明等)
四、信息系统审计组织架构
(明确主管负责人、质量控制人员)
五、单位主管负责人身份证复印件及个人简历
(一)主管负责人身份证复印件(正反面)
(二)主管负责人简历
工作单位
□同申请单位 □其他(请注明):
职 务
主要教育经历(高等教育及以上,包括专业及所获学位)
主要工作经历(三级可以与IT、咨询、监理、安全测评、审计等工作为主)
主要工作业绩及研究成果
(三)其他专业技术人员身份证复印件及资格证书(包括财务、项目管理、法律、信息技术等人员)
六、项目经验
需提供项目合同复印件(只需提供首页,含项目名称、合同期限、服务事项等关键信息页,落款盖章页)或项目委托书、项目结果报告等过程记录文件。
(申请一级、二级的案例须为信息系统审计案例,并提供项目实施方案、审计底稿、审计报告等过程记录,案例所获荣誉表彰,申请一级还须提供信息系统审计案例库目录)
T/CCUA 006—2024
14
七、近三年财务报表资料 (申请三级时需要提供3张财务报表:利润表、资产负债表、现金流量表。申请一级、二级时,3张财务报表应包括在由具备资质的独立第三方机构出具的上一年度财务审计报告中,此处可省略)
八、上一年度财务审计报告
(申请一级、二级时提供,由具备资质的独立第三方机构出具)
九、《信息系统审计师证书》持有者材料
(一)信息系统审计师名单
序号
姓名
身份证号
证书编号
证书等级
证书有效期
1
2
3
…
(二)信息系统审计师证明材料
逐人附:身份证复印件(正反面);信息系统审计师证书复印件;聘用合同(申请一级、二级时提交,只需提供首页,含单位名称、姓名、合同有效期等关键信息页,落款盖章页);社保证明(申请一级、二级时提交,时间段为最近三个月)
1、姓名:
身份证复印件:
信息系统审计师证书:
聘用合同:
社保证明:
2、姓名:
身份证复印件:
信息系统审计师证书:
聘用合同:
社保证明:
(三)与审计人员签订的《保密责任书》复印件
(申请一级、二级时提交)
T/CCUA 006—2024
15
(四)对信息系统审计人员的培训工作
(申请一级、二级时提交,包括培训资料和记录)
十、信息系统审计机构证书复印件
(申请一级、二级时提交)
十一、申请单位未被纳入失信名单证明材料
(一)企业及企业法人未被纳入失信被执行人名单(中国执行信息公开网查询截图,截图下注明网址)
(二)企业在国家企业信用信息公示系统中未被列入违法、经营异常、严重违法失信企业名单(国家企业信用信息公开系统截图,截图下注明网址)
(三)近三年是否有因信息系统审计服务不当引起的客户投诉或法律诉讼的情况说明。
(申请一级、二级时提供)
十二、已建立的相关制度文件、信息系统审计工作依据的相关流程规范
(在单位基础情况表中,所写的制度文件需要放置全部制度内容)
(一)信息系统审计工作流程类
(包括审计计划、审前调查、审计实施、报告编写规范,内部质量控制流程等)
(二)人员管理类
(包括教育培训等)
(三)财务管理类
(四)项目管理类
(包括项目档案管理)
(五)安全保密类
(六)其他类
十三、申请单位已具备申请等级服务能力的其他证明材料(若有)
(其他资质、荣誉、成果等证明材料等,简述,重点说明技术应用及成果)
T/CCUA 006—2024
16
B
附录B (规范性) 信息系统审计机构服务能力评价细则
各级信息系统审计机构服务能力评价细则见表B.1、B.2、B.3。
表
B.1 三级信息系统审计机构服务能力评价细则
序号
机构条件和能力
三级要求
评分细则
分值
1
审计机构基本要求
4.2.1 a)在中华人民共和国境内注册成立,由中国公民、法人投资或国家投资的企事业单位
提供营业执照副本及股权结构证明,核实注册地点及投资背景
—
2
4.2.1 b)具有固定的办公场所,产权关系明晰,独立经营核算,三年内无违法违规记录
提供办公场所房产证或租赁合同,查阅近三年是否有工商、税务等行政部门的违规记录
3
4.2.1 c)法定代表人或主要负责人仅限中华人民共和国境内的中国公民,且无犯罪记录
提供法定代表人或主要负责人的身份证明、无犯罪记录证明
4
4.2.1 d)单位经营状况良好,财务数据真实可信
提供近三年财务报表(包括资产负债表、利润表、现金流量表),核查财务数据真实性与健康度
5
4.2.1 e)具有良好的社会信用,未被国家列入信用信息公示系统的失信单位
提供国家企业信用信息公示系统的相关信用记录
6
审计工作实施能力
4.2.2 a)具有信息系统审计的组织体系,至少包含组织架构、部门设置、岗位划分及职责界定,明确部门、岗位主要人员
有专门的组织架构、部门设置及人员分工得3分;岗位职责明确得1分;分工合理、协作明确得1分
5
7
4.2.2 b)具有完善的公司治理机制,至少包括财务管理、档案管理、审计人力资源管理、培训教育等方面的规章制度和运行流程
有对应的管理制度,每1项制度得1分,满分6分;制度文本规范得1分;制度可执行性得1-2分;制度执行在1年以上得1分
10
8
4.2.2 c)审计机构提供案例、过程记录等资料,证明其具有信息系统审计相关工作1年以上经验,包括不限于信息系统的财务、资产审计或安全测评、咨询服务及监理等
每1个完整案例得3分,满分15分;每个案例中结果报告专业严谨得0.5-1分
20
9
审计人员素质能力
4.2.3 a)具有信息系统审计师中级证书人员不少于5名,信息系统审计人员需持证上岗
拥有具备资质的人员不少于5名,每超过1名得1分,满分10分
10
10
4.2.3 b)具有与信息系统审计相关的财务、信息技术、项目管理或法律人员1名
有财务相关资质人员得1分;有法律相关资质人员得1分;有CISA证书人员,得1分;有项目管理相关资质人员,每1名得1分,满分3分;有信息技术相关人员,中级每1名得0.5分,高级每1名得1分,满分4分
10
11
4.2.3 c)审计实施人员熟悉信息系统审计的相关法律法规、规章和标准
每拥有1名具有相关工作经验的人员得1分,满分5分
5
12
审计质量控制能力
4.2.4 a)具有审计业务全流程的质量控制机制,至少包括审计计划、审前调查、审计实施、报告编写等规章制度
有对应的质量控制制度,每1项制度得1.5分,满分7.5分;制度文本规范得1分;制度可执行性得0.5-1.5分
10
13
4.2.4 b)建立内部质量控制流程,明确审计人员职责、权限及相互关系
有质量控制流程或制度得3分;权责明确得1分;流程合理可执行得1分
5
14
4.2.4 c)在审计过程中至少指定1名专门负责质量控制人员,明确其质量控制职责
质量控制人员有项目或团队管理经验得2分;具备相关专业知识和技能得1-2分
5
15
审计结果报告能力
4.2.2 a)具有审计报告的内部审核流程、报告编写的规范性要求
有报告审核流程得5分;流程有效可操作得1-2分;有报告编写规范要求得2分;文本规范得1分
10
16
4.2.2 b)具有审计项目档案管理制度和能力
有项目资料归档及保管要求得3分;制度可执行性得1分;制度执行在1年以上得1分
5
17
4.2.2 c)具有审计报告和相关资料的保密制度
有保密制度得3分;制度执行在1年以上得1分;制度可执行性得1分
5
序号1、2、3、4、5为单项否决性要求。
T/CCUA 006—2024
17
表
B.2 二级信息系统审计机构服务能力评价细则
序号
机构条件和能力
二级要求
评分细则
分值
1
审计机构基本要求
同4.2.1 a)
同表B.1序号1
—
2
同4.2.1 b)
同表B.1序号2
3
同4.2.1 c)
同表B.1序号3
4
4.3.1 d)单位经营状况良好,财务数据真实可信,需有国家审计或第三方审计的审计报告
提供近三年财务报表(包括资产负债表、利润表、现金流量表)及外部审计报告,核查财务数据真实性与健康度
5
同4.2.1 e)
同表B.1序号5
6
4.3.1 f)通过信息系统审计机构服务能力三级评定的时间不少于1年
提供信息系统审计机构三级证书,核查真实性及有效性
7
审计工作实施能力
同4.2.2 a)
有专门的组织架构、部门设置及人员分工得3分;岗位职责明确得1分;分工合理、协作明确得1分
5
8
同4.2.2 b)
有对应的管理制度,每1项制度得0.5分,满分3分;制度文本规范得0.5分;制度可执行得1分;制度执行在1年以上得0.5分
5
9
4.3.2 c)提供实施案例、过程记录等资料,证明其具有信息系统审计案例不少于5个
每1个完整案例得1.5分,满分9分;案例结果报告专业严谨得0.5-1分;三年内被纳入评优、示范项目或获得相关奖励表彰的项目,每1项得1分,满分5分
15
10
审计人员素质能力
4.3.3 a)具有信息系统审计师中级证书人员不少于8名、高级证书人员不少于2名,信息系统审计人员需持证上岗
具备资质的人员不少于10名;每超过1名,中级得1分,高级得2分,满分10分
10
11
4.3.3 b)具有与信息系统审计相关的财务、项目管理或法律人员各至少1名
拥有具备资质的人员得1分;超过1名财务相关资质人员得0.5分;超过1名法律相关资质人员得0.5分;超过1名CISA证书人员,得0.5分;超过1名项目管理相关资质人员,得0.5分;满分3分
3
12
4.3.3 c)具有信息技术中、高级人员至少1名;
拥有1名具备资质的人员得2分;每超过1名,中级得0.5分,高级得1分,满分3分
5
13
4.3.3 d)审计机构每年组织审计业务和技术培训,审计师每年接受培训时长累计不少于8学时,并提供培训记录档案;
有相关培训记录、培训内容且满足培训时长得3分;有培训考核得0.5-1分;有培训效果跟踪反馈得0.5-1分
5
14
同4.2.3 c)
每拥有1名具有相关工作经验的人员得0.5分,满分2分
2
15
审计质量控制能力
同4.2.4 a)
有对应的质量控制制度,每1项制度得1分,满分5分;制度文本规范得1分;制度可执行性得1-2分
8
16
同4.2.4 b)
有质量控制流程或制度得5分;权责明确得1分;流程合理可执行得2分
8
17
同4.2.4 c)
每拥有1名具有项目或团队管理经验得人员得1分,满分3分;具备信息系统审计相关专业知识和技能得1-2分
5
18
4.3.4 d)审计机构与参与审计人员签订《保密责任书》,保守在审计活动中知悉的国家秘密、工作秘密、商业秘密、个人隐私等
与项目参与人员签订《保密责任书》得1分;有具体可执行保密措施得1分
2
19
4.3.4 e)近三年未出现因信息系统审计服务不当引起的客户投诉或法律诉讼
近三年无客户投诉或法律诉讼情况得2分
2
20
审计结果报告能力
同4.2.5 a)
有报告审核流程得2分,流程有效可操作得0.5-1分;有报告编写规范要求得0.5-1分;文本规范得0.5-1分
5
21
同4.2.5 b)
有项目资料归档及保管要求得3分;制度可执行性得1分;制度执行在1年以上得1分
5
22
4.3.5 c)具有审计报告和相关资料的保密制度及执行能力
审计报告专业严谨得3-6分;有保密制度得2分;制度可执行性得0.5-1分;制度执行在1年以上得1分
10
23
4.3.5 d)具有审计问题整改跟踪和提出建设性意见的能力
有整改情况说明得3分;审计整改建议被采纳得1-2分
5
序号1、2、3、4、5、6为单项否决性要求。
T/CCUA 006—2024
18
表
B.3 一级信息系统审计机构服务能力评价细则
序号
机构条件和能力
一级要求
评分细则
分值
1
审计机构基本要求
同4.2.1 a)
同表B.1序号1
—
2
同4.2.1 b)
同表B.1序号2
3
同4.2.1 c)
同表B.1序号3
4
同4.3.1 d)
同表B.2序号4
5
同4.2.1 e)
同表B.1序号5
6
4.4.1 f)通过信息系统审计机构服务能力二级评定的时间不少于2年
提供信息系统审计机构二级证书,核查真实性及有效性
7
审计工作实施能力
同4.2.2 a)
有专门的组织架构、部门设置及人员分工,得3分;岗位职责明确,得1分;分工合理、协作明确,得1分
5
8
同4.2.2 b)
有对应的管理制度,每1项制度,得0.5分,满分3分;制度文本规范,得0.5分,制度可执行性,得1分,制度执行在1年以上,得0.5分
5
9
4.4.2 c)提供实施案例、过程记录等资料,证明其具有信息系统审计案例不少于15个
每1个完整案例得0.5分,满分10分;三年内被纳入评优、示范项目或获得相关奖励表彰的项目,省级以上每1项得0.5分,满分5分
15
10
4.4.2 d)具有信息系统审计案例库、知识库,持续增强审计方法、审计工具和审计思路的组织推广能力
已建立案例库知识库得2分;项目作为案例在培训、研讨会上宣讲每1项得0.5分,满分2分;组织跨省市案例、学术交流的,每次得0.5分,满分2分;在公开出版物上发表相关成果、论文的,每次得0.5分,满分2分;参与相关政策标准制订,每1项得0.5分,满分2分
10
11
审计人员素质能力
4.4.3 a)具有信息系统审计师中级证书人员不少于10名、高级证书人员不少于4名,信息系统审计人员需持证上岗
拥有具备资质的人员不少于14名;每超过1名,中级得0.5分,高级得1分,满分5分
5
12
同4.3.3 b)
拥有具备资质的人员得1分;超过1名财务相关资质人员得0.5分;超过1名法律相关资质人员得0.5分;超过1名CISA证书人员,得0.5分;超过1名项目管理相关资质人员,得0.5分;满分3分
3
13
4.4.3 c)具有信息技术高级人员至少3名
拥有3名具备资质的人员得2分;每超过1名,中级得0.5分,高级得1分,满分3分
5
14
同4.3.3 d)
有相关培训记录、培训内容且满足培训时长得3分;有培训考核得0.5-1分;有培训效果跟踪反馈得0.5-1分
5
15
4.4.3 e)结合岗位需求,制定有针对性的岗位培训计划,并进行岗位培训考核
有岗位培训计划、考核记录得3分;培训与岗位需求匹配得1分;有培训效果跟踪反馈得0.5-1分
5
16
同4.2.3 c)
每拥有1名具有相关工作经验的人员得0.5分,满分2分
2
17
审计质量控制能力
同4.2.4 a)
有对应的质量控制制度得2分;制度文本规范得0.5分;制度可执行性得0.5分
3
18
同4.2.4 b)
有质量控制流程或制度得3分;权责明确得1分;流程合理可执行得1分
5
19
同4.2.4 c)
每拥有1名具有项目或团队管理经验得人员得1分,满分3分;具备信息系统审计相关专业知识和技能得1-2分
5
20
同4.3.4 d)
与项目参与人员签订《保密责任书》得1分;有具体可执行保密措施得1分
2
21
同4.3.4 e)
近三年无客户投诉或法律诉讼情况得2分
2
22
4.4.4 f)审计机构跟踪国内外新技术、新应用的发展,确保审计能力与当前技术发展同步
参与信息系统审计相关的新技术、新应用研讨、培训、交流等活动的得1.5分;实施项目中利用了新技术、新应用的得1.5分
3
T/CCUA 006—2024
19
表B.3 一级信息系统审计机构服务能力评价细则(续)
序号
机构条件和能力
一级要求
评分细则
分值
23
审计结果报告能力
同4.2.5 a)
有报告审核流程得2分;流程有效可操作得0.5分;有报告编写规范要求得0.5分
3
24
同4.2.5 b)
有项目资料归档及保管要求得1分;制度可执行性得0.5分;制度执行在1年以上得0.5分
2
25
同4.3.5 c)
审计报告专业严谨得3-6分;有保密制度得2分;制度可执行性得0.5-1分;制度执行在1年以上得1分
10
26
4.4.5 d)具有审计问题整改跟踪、提出建设性意见和化解信息系统风险的能力
有整改情况说明得2分;审计整改建议被采纳得2分;帮助客户化解风险并得到认可的得1分
5
序号1、2、3、4、5、6为单项否决性要求。
T/CCUA 006—2024
20
参考文献
[1] GB/T 30850.1-2014 电子政务标准化指南 第1部分:总则
[2] GB/T 30850.2-2014 电子政务标准化指南 第2部分:工程管理
[3] GB/T 30850.3-2014 电子政务标准化指南 第3部分:网络建设
[4] GB/T 36959-2018 信息安全技术网络安全等级保护测评机构能力要求和评估规范
[5] 《中华人民共和国审计法》 1994年8月31日第八届全国人民代表大会常务委员会 第九次会议通过,根据2006年2月28日第十届全国人民代表大会常务委员会第二十次会议《关于修改〈中华人民共和国审计法〉的决定》修正
[6]《信息系统审计指南》 审计发〔2012〕11号
[7]《国务院关于加强审计工作的意见》 国发〔2014〕48号
评论