ICS 35.240.70CCS L70團(tuán) 體 標(biāo) 準(zhǔn)T/CFEII0017—2024數(shù)據(jù)合規(guī)審計指南Datacomplianceaudit—Guidelines2024-02-18發(fā)布 2024-02-18實(shí)施中國電子信息行業(yè)聯(lián)合會?發(fā)布Q/LB.□XXXXX-XXXXPAGE\*ROMANPAGE\*ROMANIII前 言本文件依據(jù)T/CAS1.1—2017《團(tuán)體標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫指南》編寫。本文件由中國電子信息行業(yè)聯(lián)合會提出。（特殊普通合伙（普通合伙（特殊普通合伙人（杭州（上海（南京（北京目 次前言 I引言 IV范圍 1規(guī)范性引用文件 1術(shù)語和定義 1基本原則 2獨(dú)立性 2專業(yè)性 2合法性 2充分性 2公允性 2審計指南架構(gòu) 2審計分類 3審計要素 3審計要素架構(gòu)與三方責(zé)任 3審計主體 4審計目標(biāo)和目的 6審計依據(jù) 6審計范圍 6審計重點(diǎn) 7風(fēng)險分析 7審計方案 8審計證據(jù) 10審計結(jié)果與審計結(jié)論 10合規(guī)義務(wù) 11審計事項(xiàng) 12數(shù)據(jù)安全 12數(shù)據(jù)和數(shù)據(jù)資產(chǎn) 12數(shù)據(jù)環(huán)境 14數(shù)據(jù)相關(guān)行為 14應(yīng)用系統(tǒng)和工具平臺 17數(shù)據(jù)合規(guī)管理 17審計流程 19總體流程 19審計計劃 19審計實(shí)施 21審計報告 21附錄A（資料性） 審計報告參考模板 23報告名稱：***數(shù)據(jù)合規(guī)審計報告 23報告收件人：被審計單位名稱 23引言 23數(shù)據(jù)合規(guī)審計三方責(zé)任 23數(shù)據(jù)合規(guī)審計總體結(jié)論 23數(shù)據(jù)合規(guī)審計師簽名和蓋章 23組織履行合規(guī)義務(wù)情況匯總 23審計人員數(shù)據(jù)合規(guī)審計過程與結(jié)果 24附件 24附錄B（規(guī)范性） 外部數(shù)據(jù)合規(guī)審計的參考路徑 25審計立項(xiàng) 25審計計劃 25審計實(shí)施 25審計報告 26參考文獻(xiàn) 27引 言162024（T/CFEII0003-2022）本文件與T/CFEII0003-2022配套使用，可以為數(shù)據(jù)合規(guī)管理提供全面的保障和支持。數(shù)據(jù)合規(guī)審計及其結(jié)果，遵循以下法規(guī)和規(guī)定：《中華人民共和國注冊會計師法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》《中華人民共和國審計法》《中華人民共和國審計法實(shí)施條例》《中華人民共和國國家審計準(zhǔn)則》《企業(yè)數(shù)據(jù)資源相關(guān)會計處理暫行規(guī)定》《關(guān)于加強(qiáng)數(shù)據(jù)資產(chǎn)管理的指導(dǎo)意見》《數(shù)據(jù)出境安全評估辦法》《中國注冊會計師其他鑒證業(yè)務(wù)準(zhǔn)則第3101號－歷史財務(wù)信息審計或?qū)忛喴酝獾蔫b證業(yè)務(wù)》《中國注冊會計師鑒證業(yè)務(wù)基本準(zhǔn)則》PAGEPAGE10數(shù)據(jù)合規(guī)審計指南范圍規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T9387.2-1995信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型第2部分：安全體系結(jié)構(gòu)GB/T18794.1-2002信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架第1部分：概述GB/T18794.7-2003信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架第7部分：安全審計和報警框架GB/T20945-2013信息安全技術(shù)信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求和測試評價方法GB/T25068.1-2020信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第1部分：綜述和概念GB/T34960.4-2017信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則GB/T35273-2020信息安全技術(shù)個人信息安全規(guī)范GB/T36073-2018數(shù)據(jù)管理能力成熟度評估模型GB/T37964-2019信息安全技術(shù)個人信息去標(biāo)識化指南GB/T37973-2019信息安全技術(shù)大數(shù)據(jù)安全管理指南GB/T39412-2020信息安全技術(shù)代碼安全審計規(guī)范GB/T40685-2021信息技術(shù)服務(wù)數(shù)據(jù)資產(chǎn)管理要求GB/Z41290-2022信息安全技術(shù)移動互聯(lián)網(wǎng)安全審計指南T/CFEII0003-2022數(shù)據(jù)合規(guī)管理體系要求術(shù)語和定義下列術(shù)語和定義適用于本文件。數(shù)據(jù)合規(guī)審計datacomplianceaudit審計范圍auditscope審計事項(xiàng)itemsofaudit每個數(shù)據(jù)合規(guī)審計標(biāo)的和每個數(shù)據(jù)合規(guī)審計具體目標(biāo)的組合。審計風(fēng)險auditrisk審計取證auditevidencecollection數(shù)據(jù)對象dataobject數(shù)據(jù)合規(guī)審計中根據(jù)審計目標(biāo)和目的確認(rèn)的被審計單位擁有的數(shù)據(jù)集合。數(shù)據(jù)資產(chǎn)dataasset組織合法擁有或控制的，且能夠?yàn)榻M織帶來經(jīng)濟(jì)效益和社會價值的數(shù)據(jù)資源。[來源：GB/T34960.5—2018，3.3，有修改]數(shù)據(jù)環(huán)境dataenvironment基本原則獨(dú)立性開展審計工作的機(jī)構(gòu)、人員未參與被審計單位的數(shù)據(jù)戰(zhàn)略、治理、管理和運(yùn)營等工作。注：外部機(jī)構(gòu)可為被審計單位提供管理咨詢、合規(guī)管理審閱等咨詢服務(wù)，但提供咨詢服務(wù)的外部機(jī)構(gòu)在1年內(nèi)不應(yīng)提供審計服務(wù)；內(nèi)部機(jī)構(gòu)通過成立獨(dú)立審計部門或?qū)ｉT聘請專家團(tuán)隊等形式保持獨(dú)立性。專業(yè)性開展審計工作的機(jī)構(gòu)、人員具備相應(yīng)的專業(yè)資格和能力。合法性充分性審計過程中應(yīng)以適當(dāng)?shù)姆绞将@取充分證據(jù)以支持審計結(jié)論。公允性審計意見在所有重大方面公允反映被審計單位的數(shù)據(jù)合規(guī)情況。審計指南架構(gòu)數(shù)據(jù)合規(guī)審計指南的架構(gòu)，見圖1。圖1 數(shù)據(jù)合規(guī)審計指南架構(gòu)審計分類根據(jù)審計主體和審計方式的不同，數(shù)據(jù)合規(guī)審計項(xiàng)目分為以下幾種基本類型：外部審計：由獨(dú)立于被審計單位、監(jiān)管機(jī)構(gòu)的外部審計機(jī)構(gòu)執(zhí)行的數(shù)據(jù)合規(guī)審計活動，滿足審計內(nèi)容的全面性，評價合規(guī)管理活動在設(shè)計、運(yùn)行等方面的有效性；內(nèi)部審計：由被審計單位指定的內(nèi)部審計機(jī)構(gòu)或聘請外部審計機(jī)構(gòu)，從數(shù)據(jù)合規(guī)管理監(jiān)督視角執(zhí)行的數(shù)據(jù)合規(guī)審計活動，以數(shù)據(jù)合規(guī)管理相關(guān)控制活動執(zhí)行有效性為主要目標(biāo)，與外部審計項(xiàng)目在審計目的、審計依據(jù)、審計范圍、業(yè)務(wù)領(lǐng)域和審計報告使用機(jī)構(gòu)等方面均存在不同；專項(xiàng)審計：在數(shù)據(jù)合規(guī)審計方法論指導(dǎo)下，滿足以下任意一個條件的審計項(xiàng)目：僅針對部分審計對象；僅針對特定審計主題；僅執(zhí)行個別審計程序。示例：機(jī)構(gòu)數(shù)據(jù)安全合規(guī)評估、醫(yī)療機(jī)構(gòu)個人健康信息合規(guī)審計、政府部門數(shù)據(jù)合規(guī)政策制定項(xiàng)目等。審計要素審計要素架構(gòu)與三方責(zé)任審計要素架構(gòu)（授權(quán)人圖2 審計要素架構(gòu)三方責(zé)任審計主體審計機(jī)構(gòu)內(nèi)部審計機(jī)構(gòu)內(nèi)部審計機(jī)構(gòu)的職責(zé)和權(quán)力包括但不限于以下幾個方面：起草數(shù)據(jù)合規(guī)審計的章程、制度、準(zhǔn)則和流程；制定數(shù)據(jù)合規(guī)審計的中長期規(guī)劃；制定數(shù)據(jù)合規(guī)審計手冊、規(guī)程和指南等；按數(shù)據(jù)合規(guī)審計規(guī)章制度、計劃等的要求開展數(shù)據(jù)合規(guī)審計業(yè)務(wù)，并保證審計質(zhì)量；承擔(dān)對數(shù)據(jù)合規(guī)審計控制設(shè)計和執(zhí)行有效性評估的責(zé)任；確保能直接與治理層進(jìn)行溝通及匯報；當(dāng)存在偏離某項(xiàng)審計準(zhǔn)則或標(biāo)準(zhǔn)的情形時，宜有其他可替代的審計人員繼續(xù)完成審計工作。外部審計機(jī)構(gòu)外部審計機(jī)構(gòu)的職責(zé)和權(quán)力包括但不限于以下幾個方面：進(jìn)行獨(dú)立性、客觀性評價；進(jìn)行服務(wù)結(jié)果評價和利用。審計人員職業(yè)道德審計人員應(yīng)遵守的職業(yè)道德包括但不限于以下幾個方面：保持充分的職業(yè)懷疑，認(rèn)識到組織可能存在數(shù)據(jù)違規(guī)的情形，采用批判性思維識別和分析被審計單位的剩余風(fēng)險和檢查風(fēng)險；保持獨(dú)立：從被審計單位必須滿足的合規(guī)義務(wù)出發(fā)，獨(dú)立對其數(shù)據(jù)管理和運(yùn)營情況進(jìn)行評價，而不是從被審計單位自身合規(guī)體系建設(shè)的角度進(jìn)行管理體系的評價；鑒于數(shù)據(jù)合規(guī)審計內(nèi)容涉及大量的電子化證據(jù)，采取獨(dú)立獲取證據(jù)的方式和方法，確保相關(guān)證據(jù)的可靠性和有效性；從審計工作的整體效率和效果出發(fā)，對每個具體安全措施、安全產(chǎn)品、安全技術(shù)等對數(shù)據(jù)合規(guī)的影響和風(fēng)險進(jìn)行獨(dú)立評估；基于合規(guī)需求是否滿足的角度，全面評價被審計單位在措施、產(chǎn)品和技術(shù)的外部安全評測結(jié)果。保持客觀、公正：結(jié)合法律法規(guī)的具體要求，進(jìn)行客觀、公平、公正地檢查和評價；針對同一性質(zhì)的問題，在定性、援引法律法規(guī)等依據(jù)時，具有統(tǒng)一的理解和認(rèn)識。保持正直、誠實(shí)和守信；盡職履行審計職責(zé)；對在實(shí)施數(shù)據(jù)合規(guī)審計業(yè)務(wù)中所獲取的信息保密。資格與能力審計人員宜具備的知識、資格與技能包括但不限于以下幾個方面：遵守《國家審計準(zhǔn)則》《中國注冊會計師審計準(zhǔn)則》等適用的法律法規(guī)或監(jiān)管要求，在審計的全過程運(yùn)用職業(yè)判斷；掌握與數(shù)據(jù)合規(guī)相關(guān)的專業(yè)知識和技能，包括數(shù)據(jù)安全、信息安全、安全風(fēng)險及應(yīng)對措施等；具備數(shù)據(jù)合規(guī)風(fēng)險評估的專業(yè)知識和技能；掌握審計、標(biāo)準(zhǔn)化、財務(wù)及管理等通用知識和技能；應(yīng)具備至少三年的數(shù)據(jù)合規(guī)審計相關(guān)的工作經(jīng)驗(yàn)，能夠熟練運(yùn)用數(shù)據(jù)合規(guī)審計相關(guān)的軟件和工具；擁有與數(shù)據(jù)合規(guī)審計工作相關(guān)的基本技能、專業(yè)技能和軟技能；擁有與所處管理或業(yè)務(wù)崗位相適應(yīng)的數(shù)據(jù)合規(guī)職業(yè)資格及經(jīng)驗(yàn)；對被審計單位所處行業(yè)有充分認(rèn)知，具備識別企業(yè)經(jīng)營活動中合規(guī)風(fēng)險的能力；根據(jù)獲取的審計證據(jù)，具備評估審計風(fēng)險是否降低至可以接受水平的能力，并形成審計意見。外部專家遵循《中國注冊會計師其他鑒證業(yè)務(wù)準(zhǔn)則第3101號－歷史財務(wù)信息審計或?qū)忛喴酝獾蔫b證業(yè)務(wù)》中關(guān)于利用專家工作的要求；充分利用外部專家的專業(yè)知識和技能，準(zhǔn)確理解和評價數(shù)據(jù)合規(guī)義務(wù)是否得到履行；考慮到數(shù)據(jù)合規(guī)審計項(xiàng)目對數(shù)據(jù)安全的特別要求，確保專家遵守與審計人員相同的要求；審計人員利用專家的工作，并不能免除審計人員在該領(lǐng)域的審計責(zé)任。管理機(jī)制領(lǐng)導(dǎo)機(jī)制審計機(jī)構(gòu)應(yīng)建立數(shù)據(jù)合規(guī)審計領(lǐng)導(dǎo)機(jī)制，并通過以下活動發(fā)揮領(lǐng)導(dǎo)作用：明確審計機(jī)構(gòu)的職責(zé)和權(quán)力；制定審計項(xiàng)目管理辦法；其他。責(zé)任機(jī)制審計機(jī)構(gòu)應(yīng)建立數(shù)據(jù)合規(guī)審計責(zé)任機(jī)制，并通過以下活動/方式對審計工作負(fù)責(zé)：明確審計人員在數(shù)據(jù)合規(guī)審計過程中的角色和職責(zé)；制定審計人員管理辦法；制定審計業(yè)務(wù)管理辦法；制定審計檔案管理辦法；其他。溝通機(jī)制確保數(shù)據(jù)合規(guī)審計機(jī)構(gòu)的獨(dú)立性和追責(zé)制；明確數(shù)據(jù)合規(guī)審計機(jī)構(gòu)與其他部門之間的溝通方式；其他。監(jiān)督機(jī)制審計機(jī)構(gòu)應(yīng)建立數(shù)據(jù)合規(guī)審計監(jiān)督機(jī)制，并通過以下活動/方式監(jiān)督審計工作：明確監(jiān)督管理的依據(jù)；制定數(shù)據(jù)合規(guī)審計績效考核制度；進(jìn)行授權(quán)與審批控制；其他。風(fēng)險管理機(jī)制明確風(fēng)險管理組織，包括組織架構(gòu)、責(zé)任人、角色和權(quán)限等；明確風(fēng)險管理的目標(biāo)和策略；明確風(fēng)險管理流程；其他。審計目標(biāo)和目的違規(guī)判別：對被審計單位是否遵守相關(guān)法律法規(guī)、國家標(biāo)準(zhǔn)、行業(yè)要求、制度、規(guī)定和其它要求進(jìn)行審計，判別被審計單位是否存在違法、違規(guī)事件；數(shù)據(jù)安全鑒證：對數(shù)據(jù)生存周期各環(huán)節(jié)進(jìn)行合規(guī)審計，及時發(fā)現(xiàn)漏洞和異常，促進(jìn)數(shù)據(jù)在生產(chǎn)、加工、修改、存儲、使用以及銷毀等環(huán)節(jié)中的安全合規(guī)，提高數(shù)據(jù)的準(zhǔn)確性、安全性、可用性和完整性；原因分析：對不合規(guī)事件進(jìn)行調(diào)查、復(fù)盤，識別導(dǎo)致事件發(fā)生的根本原因，協(xié)助外部事件調(diào)查、為改進(jìn)被審計單位內(nèi)部管理提供意見；責(zé)任追究：通過審計跟蹤，建立適配的責(zé)任追究機(jī)制，對惡意行為制造者進(jìn)行警告和追責(zé)；事前預(yù)防：對被審計單位風(fēng)險管理制度、內(nèi)部控制制度、安全教育培訓(xùn)制度等是否健全、有效進(jìn)行測試和檢查，識別和規(guī)避數(shù)據(jù)合規(guī)風(fēng)險，排查數(shù)據(jù)安全隱患，提升風(fēng)險防控能力。審計依據(jù)數(shù)據(jù)合規(guī)審計的依據(jù)包括但不限于以下內(nèi)容：國家法律法規(guī)、部委規(guī)章；地方性法律法規(guī)、規(guī)章、管理規(guī)定；適用的國外或國際區(qū)域組織的法律法規(guī)、指令等；國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)、團(tuán)體標(biāo)準(zhǔn)；組織內(nèi)部的管理規(guī)定；合同，包括被審計單位與其他相關(guān)方簽訂的合同等；社會公德和商業(yè)道德等。審計范圍審計人員應(yīng)根據(jù)審計目的，明確數(shù)據(jù)合規(guī)審計的范圍，包括以下五個基本方面：數(shù)據(jù)和數(shù)據(jù)資產(chǎn)：對特定數(shù)據(jù)對象集合的定義、屬性、特征、數(shù)據(jù)形態(tài)和生存情況等方面的審計，包括數(shù)據(jù)來源、數(shù)據(jù)質(zhì)量、數(shù)據(jù)資產(chǎn)建設(shè)等方面，數(shù)據(jù)的名稱、類型、格式、來源、用途、價值、敏感性、所有權(quán)、存儲位置、生命周期等，檢查方法包括對被審計單位的數(shù)據(jù)目錄、數(shù)據(jù)字典、數(shù)據(jù)清單、數(shù)據(jù)資產(chǎn)登記表等進(jìn)行查閱和分析；數(shù)據(jù)環(huán)境：對數(shù)據(jù)在生存周期內(nèi)，所處組織的上游、下游及組織間流轉(zhuǎn)環(huán)境，包括開放、封閉（如離線數(shù)據(jù)）、線下（如打印的獨(dú)立數(shù)據(jù)表）等環(huán)境的安全屬性進(jìn)行審計；數(shù)據(jù)處理行為：包括但不限于對數(shù)據(jù)生存期中與數(shù)據(jù)相關(guān)活動，包括數(shù)據(jù)分類分級、流通交易、數(shù)據(jù)治理、授權(quán)和認(rèn)證管理、關(guān)鍵人員管理等行為操作的審計；數(shù)據(jù)合規(guī)管理：包括但不限于被審計單位數(shù)據(jù)合規(guī)管理體系的符合性診斷、數(shù)據(jù)合規(guī)審查、有效性評價、數(shù)據(jù)合規(guī)測評、數(shù)據(jù)合規(guī)認(rèn)證等；數(shù)據(jù)安全：被確定的數(shù)據(jù)和數(shù)據(jù)資產(chǎn)、數(shù)據(jù)環(huán)境和數(shù)據(jù)處理行為的應(yīng)用系統(tǒng)、工具平臺的安全性，包括完整性、準(zhǔn)確性、有效性或真實(shí)性。審計重點(diǎn)審計人員根據(jù)審計目的，可從以下幾個方面選擇審計的重點(diǎn)：內(nèi)容合規(guī)：對數(shù)據(jù)對象的內(nèi)容的審查，檢查是否違反被審計單位信息發(fā)布的規(guī)則；行為合規(guī)：對關(guān)鍵崗位人員操作合規(guī)性的審查，檢查是否存在瀆職、舞弊等行為；業(yè)務(wù)合規(guī)：對與數(shù)據(jù)合規(guī)相關(guān)的業(yè)務(wù)流程的合規(guī)性審查，匯聚全部合規(guī)要素，在審計過程中依賴關(guān)鍵系統(tǒng)操作日志，涉及數(shù)據(jù)合規(guī)事項(xiàng)中的最小原則，包括審計痕跡要求（保留操作日志），審核、放行等權(quán)限授予的合規(guī)記錄等；管理合規(guī)：數(shù)據(jù)合規(guī)治理、合規(guī)管理機(jī)制、制度合規(guī)、培訓(xùn)、文化等；技術(shù)合規(guī)：在電子環(huán)境中應(yīng)用的技術(shù)、數(shù)據(jù)可用性等要求。風(fēng)險分析審計風(fēng)險數(shù)據(jù)合規(guī)審計風(fēng)險包括固有風(fēng)險、控制風(fēng)險和檢查風(fēng)險，具體內(nèi)容見表1。表1 審計風(fēng)險分類風(fēng)險類別風(fēng)險控制關(guān)鍵評價因素固有風(fēng)險位所擁有數(shù)據(jù)的動機(jī)決定。數(shù)據(jù)環(huán)境可信度控制風(fēng)險被審計單位需確保風(fēng)險控制的設(shè)計和執(zhí)行的有效性。數(shù)據(jù)管理能力成熟度數(shù)據(jù)合規(guī)管理有效性檢查風(fēng)險程序。a）審計人員的職業(yè)道德b）審計人員資質(zhì)完善的審計制度和審計質(zhì)量控制審計方法和工具的有效性剩余風(fēng)險偏好和組織的風(fēng)險文化。結(jié)合項(xiàng)目具體情況開展評價。數(shù)據(jù)環(huán)境可信度審計人員在制定審計方案時需考慮以下幾方面的因素：被審計單位的數(shù)據(jù)環(huán)境滿足安全可信要求時，審計人員在測試并確認(rèn)相關(guān)的安全措施運(yùn)行有效后，可針對獲取的各種電子化的、手工的審計證據(jù)執(zhí)行后續(xù)審計程序；被審計單位的數(shù)據(jù)環(huán)境安全可信未能得到保障時，審計人員宜設(shè)計獨(dú)立的審計程序，驗(yàn)證與數(shù)據(jù)安全相關(guān)的管理和技術(shù)措施設(shè)計的有效性，并執(zhí)行運(yùn)行有效性測試，根據(jù)測試結(jié)果設(shè)計和安排后續(xù)審計工作；審計人員宜基于信息安全管理框架，獨(dú)立分析和評價被審計單位的數(shù)據(jù)環(huán)境安全。數(shù)據(jù)管理能力成熟度（治理DCMM3理體系的設(shè)計有效性，審計方案可選擇重點(diǎn)控制措施作為審計的內(nèi)容，并執(zhí)行運(yùn)行有效性測試；DCMM2可信賴被審計單位數(shù)據(jù)合規(guī)管理體系的設(shè)計有效性，審計方案可針對重點(diǎn)領(lǐng)域、重點(diǎn)行為和關(guān)鍵人員的管理流程中風(fēng)險應(yīng)對措施的設(shè)計和執(zhí)行有效性實(shí)施審計工作；2當(dāng)被審計單位的數(shù)據(jù)合規(guī)管理從體系設(shè)計到管理流程存在重大缺陷時，審計人員需認(rèn)真考慮是否能正常完成審計業(yè)務(wù)。數(shù)據(jù)合規(guī)管理有效性確認(rèn)審計風(fēng)險數(shù)據(jù)安全審計；控制環(huán)境測試；控制測試：根據(jù)重要性原則確定被審計單位的關(guān)鍵控制措施，并測試該措施的設(shè)計和執(zhí)行有效性；實(shí)質(zhì)性測試；對被審計單位采集和存儲的數(shù)據(jù)操作日志、審計日志、可追溯性記錄等進(jìn)行全面分析。注：業(yè)務(wù)流程等領(lǐng)域中約定范圍內(nèi)的數(shù)據(jù)合規(guī)事項(xiàng)執(zhí)行情況開展審閱業(yè)務(wù)。審計方案審計方案的內(nèi)容審計方案的內(nèi)容主要包括：審計目標(biāo)和目的；審計范圍；審計內(nèi)容、重點(diǎn)及審計措施，包括審計事項(xiàng)和審計方法、技術(shù)和工具；審計工作要求，包括項(xiàng)目審計進(jìn)度安排、審計主體內(nèi)部重要管理事項(xiàng)及職責(zé)分工等。方案制定原則審計方案的制定原則包括以下幾個方面：涵蓋數(shù)據(jù)合規(guī)的全部領(lǐng)域，涉及被審計單位的數(shù)據(jù)合規(guī)管理系統(tǒng)、人員管理、行為管理、技術(shù)管理等；審計對象包括完整的數(shù)據(jù)對象；覆蓋數(shù)據(jù)資產(chǎn)的全生存周期；覆蓋被審計單位數(shù)據(jù)合規(guī)管理的全業(yè)務(wù)鏈條；制定的審計方法能夠支持獲取充分、適當(dāng)、有效的審計證據(jù)。審計方法審計人員可采用以下審計方法：訪談法；調(diào)查法；觀察法；檢查法；分析性復(fù)核法；測試法；驗(yàn)證法。審計技術(shù)常規(guī)審計技術(shù)數(shù)據(jù)合規(guī)審計的技術(shù)包括但不限于：風(fēng)險評估技術(shù)：選擇定性評估、定量評估、評分系統(tǒng)、判斷法等風(fēng)險評估方法，按照風(fēng)險識別、風(fēng)險分析、風(fēng)險評價、風(fēng)險處置等流程開展評估工作；審計抽樣技術(shù)：針對時間及成本均不允許，對既定總體中的所有交易或事項(xiàng)進(jìn)行全面審計的場景，按照抽樣樣本設(shè)計、選取抽樣樣本、對抽樣樣本實(shí)施審計程序等流程開展審計抽樣工作；穿行測試技術(shù)：追蹤數(shù)據(jù)流通交易從發(fā)生到終結(jié)，被反映在財務(wù)報表中的整個處理過程；大數(shù)據(jù)技術(shù)：利用大數(shù)據(jù)技術(shù)和大數(shù)據(jù)思維，對電子化數(shù)據(jù)進(jìn)行綜合、交叉分析，從抽樣測試進(jìn)化到全面的數(shù)據(jù)分析，從數(shù)據(jù)間對應(yīng)關(guān)系的比對提升到數(shù)據(jù)中業(yè)務(wù)邏輯的發(fā)掘，從而提升審計效率和效果；內(nèi)部控制測試技術(shù)：對內(nèi)部控制制度進(jìn)行調(diào)查、測試和評價的過程。電子證據(jù)審計技術(shù)在線審計與實(shí)時合規(guī)報告技術(shù)；連續(xù)性審計。禁止類合規(guī)義務(wù)審計技術(shù)針對禁止類合規(guī)義務(wù)，采用以下有針對性的審計技術(shù)：獲取和分析外部數(shù)據(jù)，從產(chǎn)業(yè)鏈、公開的數(shù)據(jù)安全情報獲得異常跡象；內(nèi)部審計痕跡的取證和分析；異常行為分析模型和技術(shù)。審計工具審計工具，包括但不限于：信息安全測試系統(tǒng)：包括靜態(tài)和動態(tài)漏洞掃描、網(wǎng)絡(luò)安全事件分析、系統(tǒng)安全評測工具；日志審計系統(tǒng)：包括數(shù)據(jù)和用戶的行為審計；對于被審計單位已經(jīng)部署并應(yīng)用的信息系統(tǒng)運(yùn)維平臺、安全監(jiān)控系統(tǒng)、數(shù)據(jù)合規(guī)管理系統(tǒng)以及各類能夠提供審計證據(jù)的系統(tǒng)或工具，審計人員信賴并采用該系統(tǒng)或工具提供的信息、報告等，需同時滿足以下條件：經(jīng)過有效的安全評測；審計期間內(nèi)系統(tǒng)的運(yùn)營維護(hù)有效；對上述工具的信賴，不能取代審計人員的獨(dú)立測試。審計機(jī)構(gòu)可以自我研發(fā)必要的審計工具執(zhí)行數(shù)據(jù)合規(guī)審計，但是該審計工具的功能、應(yīng)用范圍和安全性應(yīng)得到有效保證；同時，如果需要將該工具部署到被審計單位的信息系統(tǒng)，應(yīng)事先得到被審計單位的書面認(rèn)可，且審計機(jī)構(gòu)需要對該工具運(yùn)行導(dǎo)致的不良影響負(fù)責(zé)；第三方工具、設(shè)備、軟件等。審計證據(jù)一般要求審計證據(jù)需滿足以下要求：3101具備相關(guān)性、客觀性、可靠性；具備充分性；具備真實(shí)性、有效性、可靠性；具備廣泛性、多樣性；審計證據(jù)的收集主體具有特定性，審計證據(jù)的資源具有特殊性，審計證據(jù)具有保證審計質(zhì)量的特性等；在完整的數(shù)據(jù)生存期間內(nèi)，審計證據(jù)存在和有效；針對禁止類事項(xiàng)，審計證據(jù)能夠驗(yàn)證測試內(nèi)容沒有發(fā)生；被審計單位管理層對需要履行審計義務(wù)的確認(rèn)，包括對特定事項(xiàng)的聲明，不可作為直接審計證據(jù)。取證模式數(shù)據(jù)合規(guī)審計的取證模式，包括但不限于以下幾種：根據(jù)是否確定“審計重點(diǎn)”，可選擇詳細(xì)審計、風(fēng)險導(dǎo)向取證等取證模式；根據(jù)審計結(jié)果，可選擇命題論證型、事實(shí)發(fā)現(xiàn)型等取證模式；根據(jù)審計技術(shù)方法，可選擇傳統(tǒng)審計、數(shù)據(jù)式審計等取證模式。審計結(jié)果與審計結(jié)論審計結(jié)果審計單位執(zhí)行審計方案，完成的每項(xiàng)評價或測試程序后，均應(yīng)形成明確、清晰的審計結(jié)果：審計結(jié)果應(yīng)記錄測試過程中發(fā)現(xiàn)的異?；蚶馇闆r的完整信息；審計人員應(yīng)對審計結(jié)果進(jìn)行充分判斷，確認(rèn)異?；蚶馇闆r的性質(zhì)，例如：是否為系統(tǒng)性偏離或偶發(fā)事項(xiàng)等；b)項(xiàng)分析要求時，審計人員應(yīng)考慮進(jìn)一步審計程序，包括重新執(zhí)行穿行測試、設(shè)計補(bǔ)充測試程序等；審計結(jié)果應(yīng)通過審計機(jī)構(gòu)的質(zhì)量管理等內(nèi)部復(fù)核程序，并得到審計項(xiàng)目組和復(fù)核部門的一致意見；審計程序、執(zhí)行情況、獲取的證據(jù)、審計結(jié)果、審計機(jī)構(gòu)復(fù)核意見應(yīng)作為一項(xiàng)測試的完整證據(jù)保存在審計底稿內(nèi)。審計結(jié)論符合：被審計單位在審計期間內(nèi)履行了合規(guī)義務(wù)；在審計中審計人員獲得了與之相關(guān)的、充分且必要的審計證據(jù)，綜合評價全部審計程序的審計結(jié)果后，未發(fā)現(xiàn)偏離審計目標(biāo)的事項(xiàng)；不符合：被審計單位未能滿足合規(guī)義務(wù)的規(guī)定，在審計中發(fā)現(xiàn)偏離數(shù)據(jù)合規(guī)管理目標(biāo)、存在合規(guī)控制偏差、業(yè)務(wù)流程或數(shù)據(jù)運(yùn)用中存在異常情況等情況時。示例：審計結(jié)論的具體標(biāo)準(zhǔn)應(yīng)依據(jù)審計項(xiàng)目中適用的具體法律法規(guī)的標(biāo)準(zhǔn)，以上分類中的描述為示例。審計機(jī)構(gòu)應(yīng)根據(jù)審計項(xiàng)目制定完整而明確的審計結(jié)論的評價標(biāo)準(zhǔn)，并作為審計報告的一部分隨報告發(fā)布。合規(guī)義務(wù)合規(guī)義務(wù)模型數(shù)據(jù)合規(guī)義務(wù)模型架構(gòu)見圖3。圖3 數(shù)據(jù)合規(guī)義務(wù)模型被審計單位履行的合規(guī)義務(wù)包括但不限于以下內(nèi)容：合規(guī)管理體系的建立、運(yùn)行：根據(jù)被審計單位開展業(yè)務(wù)的環(huán)境、數(shù)據(jù)流通交易特點(diǎn)和信息技術(shù)應(yīng)用等情況，建立網(wǎng)絡(luò)數(shù)據(jù)安全管理機(jī)制；被審計單位建立和運(yùn)行數(shù)據(jù)合規(guī)管理體系的有效性，系統(tǒng)化完善數(shù)據(jù)合規(guī)管理的成熟度，主要包括制度建立、合規(guī)審計對象管理和合規(guī)管理運(yùn)營；合規(guī)風(fēng)險的識別、評估：被審計單位對合規(guī)風(fēng)險管理的有效性，包括對數(shù)據(jù)合規(guī)管理剩余風(fēng)險的管理，以及風(fēng)險管理植入內(nèi)控管理，主要包括技術(shù)風(fēng)險、業(yè)務(wù)風(fēng)險、管理風(fēng)險和工具風(fēng)險；數(shù)據(jù)合規(guī)治理：以數(shù)據(jù)資產(chǎn)為中心，在生存周期內(nèi)、供應(yīng)鏈各環(huán)節(jié)的數(shù)據(jù)治理合規(guī)，包括對數(shù)據(jù)資產(chǎn)進(jìn)行識別、建設(shè)、質(zhì)量保證、分類分級、標(biāo)記、匿名和脫敏處理等；保障與應(yīng)急：合規(guī)保障：在數(shù)據(jù)資產(chǎn)管理、業(yè)務(wù)執(zhí)行過程中，被審計單位依賴的信息服務(wù)（內(nèi)部或第三方等）、信息技術(shù)、應(yīng)用系統(tǒng)、內(nèi)外部數(shù)據(jù)環(huán)境，包括可信的計算環(huán)境；技術(shù)措施：預(yù)防和改進(jìn)數(shù)據(jù)合規(guī)違規(guī)事件措施的有效性；風(fēng)險應(yīng)對措施：以被審計單位經(jīng)營活動為中心，針對相關(guān)業(yè)務(wù)活動符合風(fēng)險應(yīng)對措施要求的程度，設(shè)計、制定和執(zhí)行應(yīng)對合規(guī)風(fēng)險控制措施的充分性、適當(dāng)性和有效性；補(bǔ)救措施：合規(guī)風(fēng)險補(bǔ)救措施的充分性、適當(dāng)性和有效性。合規(guī)義務(wù)分類根據(jù)數(shù)據(jù)合規(guī)要求和審計證據(jù)要求的不同，合規(guī)義務(wù)分為以下幾類：國際規(guī)則；國家法律法規(guī)，包括監(jiān)管要求、禁止性、限制性或義務(wù)性規(guī)定等；行業(yè)慣例；企業(yè)承諾；社會公德和商業(yè)道德；其他。1：《網(wǎng)絡(luò)安全法》第二十二條的規(guī)定，“網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者應(yīng)當(dāng)為其產(chǎn)品、服務(wù)持續(xù)提供安全維護(hù)；做類的義務(wù)。2：《網(wǎng)絡(luò)安全法》第二十七條的規(guī)定，“任何個人和組織不得從事非法侵入他人網(wǎng)絡(luò)、干擾他人網(wǎng)絡(luò)正常功付結(jié)算等幫助。”屬禁止類的義務(wù)。審計事項(xiàng)數(shù)據(jù)安全數(shù)據(jù)安全標(biāo)準(zhǔn)及策略對數(shù)據(jù)安全標(biāo)準(zhǔn)及策略的審計事項(xiàng)，包括以下幾個方面：是否建立數(shù)據(jù)安全標(biāo)準(zhǔn)及策略，并正式發(fā)布；是否規(guī)范數(shù)據(jù)安全標(biāo)準(zhǔn)及策略相關(guān)的管理流程，并以此指導(dǎo)數(shù)據(jù)安全標(biāo)準(zhǔn)及策略制定；是否能識別組織內(nèi)外部的數(shù)據(jù)安全需求，包括外部監(jiān)管和法律的需求；是否規(guī)范數(shù)據(jù)安全利益相關(guān)者在數(shù)據(jù)安全管理過程中的職責(zé)；是否規(guī)范數(shù)據(jù)安全措施，包括訪問控制、加密、網(wǎng)絡(luò)安全等，以確保敏感信息的保護(hù)，以及在傳輸和存儲中采取適當(dāng)?shù)陌踩胧?；是否具有?shù)據(jù)質(zhì)量控制措施，以確保數(shù)據(jù)的準(zhǔn)確性和完整性，確保數(shù)據(jù)的錄入、修改和刪除的軌跡可追溯；是否定期開展數(shù)據(jù)安全標(biāo)準(zhǔn)及策略相關(guān)的培訓(xùn)和宣貫。數(shù)據(jù)安全管理對數(shù)據(jù)安全管理的審計事項(xiàng)，包括以下幾個方面：是否對數(shù)據(jù)進(jìn)行全面的安全等級劃分，每級數(shù)據(jù)的安全需求能清晰定義，安全需求的責(zé)任部門明確；是否能清楚定義外部監(jiān)管對數(shù)據(jù)的安全需求；是否了解組織內(nèi)利益相關(guān)者的數(shù)據(jù)安全需求，并對數(shù)據(jù)進(jìn)行安全授權(quán)和安全保護(hù)；是否對數(shù)據(jù)生存周期進(jìn)行安全監(jiān)控，及時了解可能存在的安全隱患；是否對不同數(shù)據(jù)使用對象通過技術(shù)保證數(shù)據(jù)隱私性；是否定期開展數(shù)據(jù)安全風(fēng)險分析活動，明確分析要點(diǎn)，制定風(fēng)險預(yù)防方案并監(jiān)督實(shí)施；是否定期匯總、分析組織內(nèi)部的數(shù)據(jù)安全問題，并形成數(shù)據(jù)安全知識庫；新項(xiàng)目建設(shè)中是否能按照數(shù)據(jù)安全要求進(jìn)行數(shù)據(jù)安全等級劃分、數(shù)據(jù)安全控制等；是否定期開展數(shù)據(jù)安全相關(guān)培訓(xùn)和宣貫。數(shù)據(jù)和數(shù)據(jù)資產(chǎn)數(shù)據(jù)質(zhì)量數(shù)據(jù)質(zhì)量需求對數(shù)據(jù)質(zhì)量需求的審計事項(xiàng)，包括以下幾個方面：是否考慮外部監(jiān)管、合規(guī)方面的要求，明確數(shù)據(jù)質(zhì)量目標(biāo)，統(tǒng)一數(shù)據(jù)質(zhì)量需求相關(guān)模板、管理機(jī)制；是否建立數(shù)據(jù)認(rèn)責(zé)機(jī)制，制定各類數(shù)據(jù)的優(yōu)先級和質(zhì)量管理需求；是否設(shè)計組織統(tǒng)一的數(shù)據(jù)質(zhì)量評價體系及相應(yīng)的規(guī)則庫；是否明確新建項(xiàng)目中數(shù)據(jù)質(zhì)量需求的管理制度，統(tǒng)一管理權(quán)限。數(shù)據(jù)質(zhì)量檢查對數(shù)據(jù)質(zhì)量檢查的審計事項(xiàng)，包括以下幾個方面：是否明確數(shù)據(jù)質(zhì)量檢查制度、流程和工具，定義相關(guān)人員職責(zé)；是否制定組織級的數(shù)據(jù)質(zhì)量檢查計劃；是否統(tǒng)一開展數(shù)據(jù)質(zhì)量校驗(yàn)；是否建立數(shù)據(jù)質(zhì)量問題發(fā)現(xiàn)、警告機(jī)制，明確數(shù)據(jù)質(zhì)量責(zé)任人員；是否建立數(shù)據(jù)質(zhì)量相關(guān)考核制度，明確責(zé)任人員考核的范圍和目標(biāo)；是否明確新建項(xiàng)目各個階段數(shù)據(jù)質(zhì)量的檢查點(diǎn)、檢查模板。數(shù)據(jù)質(zhì)量分析對數(shù)據(jù)質(zhì)量分析的審計事項(xiàng)，包括以下幾個方面：是否制定數(shù)據(jù)質(zhì)量問題評估分析方法，制定統(tǒng)一數(shù)據(jù)質(zhì)量報告模板；是否制定數(shù)據(jù)質(zhì)量問題分析計劃；是否對關(guān)鍵數(shù)據(jù)質(zhì)量問題的根本原因、影響范圍進(jìn)行分析；是否定期編制數(shù)據(jù)質(zhì)量報告；是否建立數(shù)據(jù)質(zhì)量分析案例庫；是否建立數(shù)據(jù)質(zhì)量知識庫。數(shù)據(jù)質(zhì)量提升對數(shù)據(jù)質(zhì)量提升的審計事項(xiàng)，包括以下幾個方面：是否建立數(shù)據(jù)質(zhì)量提升管理制度；是否結(jié)合利益相關(guān)者的訴求，制定數(shù)據(jù)質(zhì)量提升工作計劃，并監(jiān)督執(zhí)行；是否定期開展數(shù)據(jù)質(zhì)量提升工作；是否明確數(shù)據(jù)質(zhì)量問題責(zé)任人，及時處理問題，提出建議；是否持續(xù)開展培訓(xùn)和宣貫，建立組織數(shù)據(jù)質(zhì)量文化氛圍。數(shù)據(jù)標(biāo)準(zhǔn)參考數(shù)據(jù)和主數(shù)據(jù)對參考數(shù)據(jù)和主數(shù)據(jù)的審計事項(xiàng)，包括以下幾個方面：是否實(shí)現(xiàn)參考數(shù)據(jù)和主數(shù)據(jù)統(tǒng)一管理；是否定義數(shù)據(jù)標(biāo)準(zhǔn)，并在組織內(nèi)部發(fā)布；各應(yīng)用系統(tǒng)中的參考數(shù)據(jù)和主數(shù)據(jù)，是否與組織級的保持一致；是否制定各類數(shù)據(jù)的管理規(guī)則；是否規(guī)范參考數(shù)據(jù)和主數(shù)據(jù)的管理流程；新建項(xiàng)目過程中，是否統(tǒng)一分析項(xiàng)目與組織內(nèi)部已有的數(shù)據(jù)集成問題；是否分析、跟蹤各應(yīng)用系統(tǒng)中的數(shù)據(jù)質(zhì)量問題，推動數(shù)據(jù)質(zhì)量問題的解決。數(shù)據(jù)元對數(shù)據(jù)元的審計事項(xiàng)，包括以下幾個方面：是否建立數(shù)據(jù)元管理規(guī)范；是否依據(jù)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)對組織內(nèi)部的數(shù)據(jù)元標(biāo)準(zhǔn)進(jìn)行優(yōu)化；是否建立數(shù)據(jù)元目錄；是否保證數(shù)據(jù)元標(biāo)準(zhǔn)與業(yè)務(wù)術(shù)語、參考數(shù)據(jù)、主數(shù)據(jù)等標(biāo)準(zhǔn)保持一致；是否定期組織和開展數(shù)據(jù)元應(yīng)用的培訓(xùn)；是否建立數(shù)據(jù)元應(yīng)用機(jī)制；對于數(shù)據(jù)元相關(guān)問題是否進(jìn)行處理和跟蹤。指標(biāo)數(shù)據(jù)對指標(biāo)數(shù)據(jù)的審計事項(xiàng)，包括以下幾個方面：是否建立統(tǒng)一的指標(biāo)框架；是否建立指標(biāo)數(shù)據(jù)標(biāo)準(zhǔn)，包括指標(biāo)維度、公式、口徑、描述等；是否對各部門的指標(biāo)進(jìn)行統(tǒng)一匯總，形成指標(biāo)數(shù)據(jù)字典并發(fā)布；是否明確各類指標(biāo)數(shù)據(jù)的歸口管理部門；是否規(guī)范指標(biāo)數(shù)據(jù)管理流程，明確指標(biāo)數(shù)據(jù)的管理需求；是否對指標(biāo)數(shù)據(jù)相關(guān)問題進(jìn)行處理和跟蹤。數(shù)據(jù)環(huán)境物理環(huán)境對物理環(huán)境的審計事項(xiàng)，包括以下幾方面內(nèi)容：物理位置選擇：機(jī)房場地是否在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；物理訪問控制：機(jī)房出入口是否配置電子門禁系統(tǒng)；是否具備防盜竊、防破壞功能；是否防雷擊；是否防火；是否防水、防潮；是否防靜電；是否設(shè)置溫濕度自動調(diào)節(jié)設(shè)施；電力供應(yīng)是否設(shè)置冗余或并行的電力電纜線路；是否對關(guān)鍵設(shè)備實(shí)施電磁屏蔽。安全防護(hù)邊界對安全防護(hù)邊界的審計事項(xiàng)，包括以下幾個方面：是否在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計，是否覆蓋到每個用戶，對重要的用戶行為和重要安全事件進(jìn)行審計；是否對遠(yuǎn)程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨(dú)進(jìn)行行為審計和數(shù)據(jù)分析。安全計算環(huán)境對安全計算環(huán)境的審計事項(xiàng)，包括以下幾個方面：身份鑒別：是否采用口令、密碼技術(shù)；訪問控制：是否對重要主體和客體設(shè)置安全標(biāo)記；入侵防范：是否能夠檢測到對重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時提供報警。數(shù)據(jù)相關(guān)行為數(shù)據(jù)戰(zhàn)略戰(zhàn)略規(guī)劃數(shù)據(jù)戰(zhàn)略規(guī)劃審計的具體事項(xiàng)，包括以下幾個方面：是否制定能反映整個組織業(yè)務(wù)發(fā)展需求的數(shù)據(jù)戰(zhàn)略；是否制定數(shù)據(jù)戰(zhàn)略的管理制度和流程；是否根據(jù)數(shù)據(jù)戰(zhàn)略提供資源保障；是否將數(shù)據(jù)戰(zhàn)略形成文件，按照標(biāo)準(zhǔn)過程進(jìn)行維護(hù)、審查、公告和定期修訂；是否編制數(shù)據(jù)戰(zhàn)略優(yōu)化路線圖。戰(zhàn)略實(shí)施數(shù)據(jù)戰(zhàn)略實(shí)施審計的具體事項(xiàng)，包括以下幾個方面：是否針對數(shù)據(jù)職能任務(wù)，建立系統(tǒng)完整的評估準(zhǔn)則；是否在組織范圍內(nèi)全面評估實(shí)際情況；是否制定數(shù)據(jù)戰(zhàn)略推進(jìn)工作報告模板，并定期發(fā)布；是否結(jié)合組織業(yè)務(wù)戰(zhàn)略，利用業(yè)務(wù)價值驅(qū)動方法評估數(shù)據(jù)管理和數(shù)據(jù)應(yīng)用工作的優(yōu)先級，制定實(shí)施計劃，并提供資源、資金等方面的保障。戰(zhàn)略評估數(shù)據(jù)戰(zhàn)略評估審計的具體事項(xiàng)，包括以下幾個方面：在組織范圍內(nèi)，是否建立數(shù)據(jù)管理和應(yīng)用的相關(guān)業(yè)務(wù)案例，且獲得高層管理者、業(yè)務(wù)部門的支持和參與；在組織范圍內(nèi)，是否制定數(shù)據(jù)任務(wù)效益評估模型及相關(guān)管理辦法，并對數(shù)據(jù)戰(zhàn)略實(shí)施任務(wù)進(jìn)行評估和管理，納入審計范圍；在組織范圍內(nèi)，是否通過成本收益準(zhǔn)則指導(dǎo)數(shù)據(jù)職能項(xiàng)目的實(shí)施優(yōu)先級安排。數(shù)據(jù)全生存周期通用合規(guī)要求針對數(shù)據(jù)全生存周期的合規(guī)審計事項(xiàng)包括以下通用合規(guī)要求：數(shù)據(jù)隱私與保護(hù)：是否遵循相關(guān)隱私法規(guī)，如《個人信息保護(hù)法》《網(wǎng)絡(luò)安全法》等，確保個人身份信息（PII）的收集、存儲和處理符合法規(guī)；數(shù)據(jù)訪問和權(quán)限：對數(shù)據(jù)的訪問控制，是否能夠確保只有授權(quán)人員可以訪問敏感信息；員工、合作伙伴和其他相關(guān)方的權(quán)限管理；數(shù)據(jù)備份和恢復(fù)：確保組織實(shí)施了合適的數(shù)據(jù)備份和恢復(fù)策略，以應(yīng)對數(shù)據(jù)丟失或?yàn)?zāi)難性事件；合同和法律義務(wù)：檢查與合同和法律義務(wù)相關(guān)的數(shù)據(jù)處理和共享，確保組織遵守合同規(guī)定。數(shù)據(jù)需求數(shù)據(jù)需求階段審計的具體事項(xiàng)，包括以下幾個方面：是否建立數(shù)據(jù)需求收集、驗(yàn)證和匯總的標(biāo)準(zhǔn)流程；數(shù)據(jù)需求管理流程與信息化項(xiàng)目管理流程是否協(xié)調(diào)一致；是否制定數(shù)據(jù)需求優(yōu)先級；是否明確數(shù)據(jù)需求管理模板和數(shù)據(jù)需求描述的內(nèi)容；評審數(shù)據(jù)需求、數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)架構(gòu)之間是否一致，是否對數(shù)據(jù)標(biāo)準(zhǔn)和數(shù)據(jù)架構(gòu)等內(nèi)容進(jìn)行完善；是否記錄產(chǎn)生數(shù)據(jù)的業(yè)務(wù)流程，并管理和維護(hù)業(yè)務(wù)流程與數(shù)據(jù)需求的匹配關(guān)系；是否集中處理各部門的數(shù)據(jù)需求，統(tǒng)一開展數(shù)據(jù)尋源工作。數(shù)據(jù)設(shè)計和開發(fā)數(shù)據(jù)設(shè)計和開發(fā)審計的具體事項(xiàng)，包括以下幾個方面：是否建立組織級數(shù)據(jù)設(shè)計和開發(fā)標(biāo)準(zhǔn)流程，數(shù)據(jù)解決方案設(shè)計、開發(fā)規(guī)范，數(shù)據(jù)解決方案的質(zhì)量標(biāo)準(zhǔn)、安全標(biāo)準(zhǔn)；應(yīng)用級數(shù)據(jù)解決方案與組織級數(shù)據(jù)架構(gòu)、數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)質(zhì)量等是否協(xié)調(diào)一致；數(shù)據(jù)解決方案設(shè)計和開發(fā)過程中，是否參考了權(quán)威數(shù)據(jù)源的設(shè)計，優(yōu)化數(shù)據(jù)集成關(guān)系并進(jìn)行評審；是否明確數(shù)據(jù)供需雙方職責(zé)，統(tǒng)一開展數(shù)據(jù)準(zhǔn)備工作。數(shù)據(jù)運(yùn)維數(shù)據(jù)運(yùn)維審計的具體事項(xiàng)，包括以下幾個方面：是否建立組織級的數(shù)據(jù)提供方管理流程和標(biāo)準(zhǔn)；是否建立組織級的數(shù)據(jù)運(yùn)維方案和流程；數(shù)據(jù)運(yùn)維解決方案是否能與組織級數(shù)據(jù)架構(gòu)、數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)質(zhì)量等工作協(xié)調(diào)一致；是否建立數(shù)據(jù)需求變更管理流程，并以此對組織中的需求變更進(jìn)行管理；是否定期制定數(shù)據(jù)運(yùn)維管理工作報告。數(shù)據(jù)退役數(shù)據(jù)退役審計的具體事項(xiàng)，包括以下幾個方面：是否全面收集組織內(nèi)部業(yè)務(wù)部門和外部監(jiān)管部門數(shù)據(jù)退役需求；是否建立統(tǒng)一的數(shù)據(jù)退役標(biāo)準(zhǔn)；是否對不同數(shù)據(jù)建立符合需求的數(shù)據(jù)保留和銷毀策略并執(zhí)行；是否制定數(shù)據(jù)退役標(biāo)準(zhǔn)；是否對數(shù)據(jù)恢復(fù)請求進(jìn)行審批；是否根據(jù)數(shù)據(jù)優(yōu)先級確定不同存儲設(shè)備。數(shù)據(jù)治理數(shù)據(jù)治理組織對數(shù)據(jù)治理組織的審計事項(xiàng)，包括以下幾個方面：管理層具有負(fù)責(zé)數(shù)據(jù)治理工作相關(guān)決策，參與數(shù)據(jù)管理相關(guān)工作；是否具備數(shù)據(jù)治理歸口部門，負(fù)責(zé)組織協(xié)調(diào)各項(xiàng)數(shù)據(jù)職能工作；數(shù)據(jù)治理人員崗位職責(zé)是否明確；是否建立數(shù)據(jù)管理工作評價標(biāo)準(zhǔn)，建立獎懲制度；是否健全數(shù)據(jù)責(zé)任體系，推動數(shù)據(jù)歸口管理，定期培訓(xùn)和經(jīng)驗(yàn)分享。數(shù)據(jù)制度建設(shè)對數(shù)據(jù)制度建設(shè)的審計事項(xiàng)，包括以下幾個方面：是否建立制度框架，并制定數(shù)據(jù)政策；是否建立全面的數(shù)據(jù)管理和數(shù)據(jù)應(yīng)用制度；是否建立有效的數(shù)據(jù)制度管理機(jī)制，是否能根據(jù)實(shí)施情況持續(xù)修訂數(shù)據(jù)制度；是否定期開展數(shù)據(jù)制度培訓(xùn)和宣貫；業(yè)務(wù)人員是否參與數(shù)據(jù)制度制定；數(shù)據(jù)制度的制定，是否參考了外部合規(guī)、監(jiān)管方面的要求。數(shù)據(jù)治理溝通對數(shù)據(jù)治理溝通的審計事項(xiàng)，包括以下幾個方面：是否建立組織級的溝通機(jī)制，明確不同數(shù)據(jù)管理活動的溝通路徑；是否制定并審批利益相關(guān)者各自訴求的溝通計劃，明確組織內(nèi)部溝通宣貫方式；是否制定并審批了培訓(xùn)計劃，定期開展培訓(xùn)工作；數(shù)據(jù)管理的相關(guān)政策、方法、規(guī)范，是否在組織范圍內(nèi)進(jìn)行溝通，并根據(jù)反饋更新；是否明確數(shù)據(jù)工作綜合報告的內(nèi)容組成，定期發(fā)布。數(shù)據(jù)架構(gòu)數(shù)據(jù)模型對數(shù)據(jù)模型的審計事項(xiàng)，包括以下幾個方面：是否對組織中應(yīng)用系統(tǒng)的數(shù)據(jù)現(xiàn)狀進(jìn)行全面梳理，掌握組織的數(shù)據(jù)需求；是否分析業(yè)界已有的數(shù)據(jù)模型參考架構(gòu)；是否編制組織級數(shù)據(jù)模型開發(fā)規(guī)范，指導(dǎo)組織級數(shù)據(jù)模型的開發(fā)和管理；是否建立組織級數(shù)據(jù)模型，并指導(dǎo)系統(tǒng)應(yīng)用級數(shù)據(jù)模型的設(shè)計，設(shè)置相應(yīng)角色管理；是否建立組織級數(shù)據(jù)模型和系統(tǒng)級數(shù)據(jù)模型的映射關(guān)系，并定期更新組織級數(shù)據(jù)模型；是否建立統(tǒng)一的數(shù)據(jù)資源目錄。數(shù)據(jù)分布對數(shù)據(jù)分布的審計事項(xiàng)，包括以下幾個方面：是否統(tǒng)一數(shù)據(jù)分布關(guān)系管理規(guī)范；是否梳理對應(yīng)系統(tǒng)數(shù)據(jù)現(xiàn)狀，梳理數(shù)據(jù)分布關(guān)系，形成數(shù)據(jù)分布關(guān)系成果庫；組織內(nèi)所有數(shù)據(jù)是否按數(shù)據(jù)分類進(jìn)行管理；是否建立數(shù)據(jù)分布關(guān)系應(yīng)用和維護(hù)機(jī)制。數(shù)據(jù)集成與共享對數(shù)據(jù)集成與共享的審計事項(xiàng)，包括以下幾個方面：是否建立組織級的數(shù)據(jù)集成共享規(guī)范，統(tǒng)一提供了技術(shù)工具的支持；是否建立組織級數(shù)據(jù)集成和共享平臺的管理機(jī)制，并通過平臺對組織內(nèi)部數(shù)據(jù)進(jìn)行集中管理；是否建立數(shù)據(jù)集成與共享管理的管理方法和流程。元數(shù)據(jù)管理對元數(shù)據(jù)管理的審計事項(xiàng)，包括以下幾個方面：是否制定組織級的元數(shù)據(jù)分類及每一類元數(shù)據(jù)的范圍，設(shè)計相應(yīng)的元模型；是否執(zhí)行組織級元模型變更管理流程；是否建立組織級集中的元數(shù)據(jù)存儲庫，并制定和執(zhí)行統(tǒng)一的元數(shù)據(jù)集成和變更流程；元數(shù)據(jù)采集和變更流程與數(shù)據(jù)生存周期是否融合，在各階段實(shí)現(xiàn)元數(shù)據(jù)采集和變更管理；是否執(zhí)行統(tǒng)一的元數(shù)據(jù)應(yīng)用需求管理流程，實(shí)現(xiàn)元數(shù)據(jù)應(yīng)用需求統(tǒng)一管理和開發(fā)；是否實(shí)現(xiàn)豐富的元數(shù)據(jù)應(yīng)用；各類元數(shù)據(jù)內(nèi)容是否以服務(wù)的方式在應(yīng)用系統(tǒng)之間共享使用。數(shù)據(jù)應(yīng)用數(shù)據(jù)分析對數(shù)據(jù)分析的審計事項(xiàng)，包括以下幾個方面：是否建設(shè)統(tǒng)一報表平臺；是否建立統(tǒng)一的數(shù)據(jù)分析應(yīng)用的管理辦法；是否建立專門的數(shù)據(jù)分析團(tuán)隊；是否遵循統(tǒng)一的數(shù)據(jù)溯源方式進(jìn)行數(shù)據(jù)資源協(xié)調(diào)；數(shù)據(jù)分析結(jié)果是否能在各個部門間復(fù)用。數(shù)據(jù)開放共享對數(shù)據(jù)開放共享的審計事項(xiàng)，包括以下幾個方面：是否制定開放共享數(shù)據(jù)目錄，并根據(jù)需要進(jìn)行修改；是否制定統(tǒng)一的數(shù)據(jù)開放共享策略；是否對開放共享數(shù)據(jù)實(shí)現(xiàn)統(tǒng)一管理，規(guī)范數(shù)據(jù)口徑，實(shí)現(xiàn)集中開放共享。數(shù)據(jù)服務(wù)對數(shù)據(jù)服務(wù)的審計事項(xiàng)，包括以下幾個方面：是否制定數(shù)據(jù)服務(wù)目錄；是否具有數(shù)據(jù)服務(wù)對外提供的統(tǒng)一方式，并由統(tǒng)一的平臺提供；是否建立企業(yè)級的數(shù)據(jù)服務(wù)管理制度；是否有意識地響應(yīng)外部的市場需求，主動提供數(shù)據(jù)服務(wù)。應(yīng)用系統(tǒng)和工具平臺所有與數(shù)據(jù)生存周期相關(guān)的應(yīng)用系統(tǒng)、工具平臺是否具有安全性、可靠性。數(shù)據(jù)合規(guī)管理組織環(huán)境對組織環(huán)境的審計事項(xiàng)，包括以下幾方面內(nèi)容：了解組織環(huán)境：包括但不限于商業(yè)模式、內(nèi)部結(jié)構(gòu)、戰(zhàn)略、過程、程序和資源等；理解相關(guān)方的需求和期望：確定數(shù)據(jù)合規(guī)管理體系的相關(guān)方、相關(guān)方有關(guān)數(shù)據(jù)合規(guī)方面的需求、將通過數(shù)據(jù)合規(guī)管理體系予以解決的需求；確定數(shù)據(jù)合規(guī)管理體系范圍：確定數(shù)據(jù)合規(guī)管理體系的邊界及其適用性；數(shù)據(jù)合規(guī)風(fēng)險評估：組織定義并應(yīng)用數(shù)據(jù)合規(guī)風(fēng)險評估的過程。領(lǐng)導(dǎo)作用領(lǐng)導(dǎo)作用和承諾對領(lǐng)導(dǎo)作用和承諾的審計事項(xiàng)，包括以下幾個方面：是否確保建立數(shù)據(jù)合規(guī)管理戰(zhàn)略和數(shù)據(jù)合規(guī)目標(biāo)；是否確保將數(shù)據(jù)合規(guī)管理體系要求整合到組織業(yè)務(wù)過程中；是否確保數(shù)據(jù)合規(guī)管理體系所需資源可獲取；是否確保數(shù)據(jù)合規(guī)管理體系達(dá)到預(yù)期結(jié)果。數(shù)據(jù)合規(guī)管理戰(zhàn)略是否建立數(shù)據(jù)合規(guī)管理戰(zhàn)略。數(shù)據(jù)合規(guī)文化是否在其內(nèi)部各個層級建立、維護(hù)并推廣數(shù)據(jù)合規(guī)文化。數(shù)據(jù)合規(guī)治理對數(shù)據(jù)合規(guī)治理的審計事項(xiàng)，包括以下幾個方面：數(shù)據(jù)合規(guī)團(tuán)隊是否能直接接觸治理機(jī)構(gòu)；數(shù)據(jù)合規(guī)團(tuán)隊是否具有獨(dú)立性；數(shù)據(jù)合規(guī)團(tuán)隊是否具有適當(dāng)?shù)臋?quán)限和能力。崗位、職責(zé)和權(quán)限對崗位、職責(zé)和權(quán)限的審計事項(xiàng)，包括以下幾個方面：治理機(jī)構(gòu)是否確保最高管理者的管理績效可以根據(jù)數(shù)據(jù)合規(guī)目標(biāo)的實(shí)現(xiàn)程度進(jìn)行測量；最高管理者或其授權(quán)委托人是否負(fù)責(zé)數(shù)據(jù)合規(guī)管理工作；數(shù)據(jù)合規(guī)團(tuán)隊是否負(fù)責(zé)數(shù)據(jù)合規(guī)管理體系的運(yùn)行；中層管理者是否對其職責(zé)范圍內(nèi)的數(shù)據(jù)合規(guī)管理工作負(fù)責(zé)；被審計單位是否關(guān)注關(guān)鍵崗位或風(fēng)險級別較高崗位的員工。策劃對策劃的審計事項(xiàng)包括以下幾個方面：應(yīng)對風(fēng)險和機(jī)會的措施：被審計單位是否確定應(yīng)對風(fēng)險和機(jī)會的措施；數(shù)據(jù)合規(guī)目標(biāo)及其實(shí)現(xiàn)的策劃：被審計單位是否在相關(guān)職能和層級上建立數(shù)據(jù)合規(guī)目標(biāo)；針對變更的策劃：被審計單位確定需要變更數(shù)據(jù)合規(guī)管理體系時，是否對變更實(shí)施進(jìn)行策劃。支持對支持的審計事項(xiàng)包括以下幾個方面：資源：被審計單位是否確定并提供建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)數(shù)據(jù)合規(guī)管理所需要的資源；制度建設(shè)：被審計單位是否建立健全數(shù)據(jù)合規(guī)管理制度；能力：被審計單位在員工聘用和培訓(xùn)等過程中，是否制定、建立、實(shí)施和保持?jǐn)?shù)據(jù)合規(guī)管理績效制度；意識：被審計單位是否積極培育敬畏規(guī)則、辨別規(guī)則、遵守良規(guī)的數(shù)據(jù)合規(guī)文化；溝通：被審計單位是否確定與數(shù)據(jù)合規(guī)管理有關(guān)的內(nèi)部和外部溝通；文件化信息：被審計單位的數(shù)據(jù)合規(guī)管理體系文件是否包括本文件要求的文件化信息，組織確定的、數(shù)據(jù)合規(guī)管理體系有效性所必要的文件化信息；被審計單位是否保持文件化信息的創(chuàng)建和更新；被審計單位是否控制數(shù)據(jù)合規(guī)管理體系。運(yùn)行數(shù)據(jù)生存周期行為控制對數(shù)據(jù)生存周期行為控制的審計事項(xiàng)，包括以下幾方面內(nèi)容：數(shù)據(jù)收集行為控制：是否積極開展數(shù)字化轉(zhuǎn)型，利用數(shù)字技術(shù)對各類業(yè)務(wù)數(shù)據(jù)進(jìn)行數(shù)字化；數(shù)據(jù)存儲與傳輸行為控制：是否對所處理數(shù)據(jù)的安全負(fù)責(zé)，履行數(shù)據(jù)安全保護(hù)義務(wù)，接受外部監(jiān)管和社會監(jiān)督；數(shù)據(jù)加工行為控制：是否強(qiáng)化數(shù)據(jù)加工行為管理，控制可能存在的風(fēng)險；數(shù)據(jù)使用行為控制：對外提供數(shù)據(jù)或公開披露數(shù)據(jù)、數(shù)據(jù)流通交易相關(guān)活動時，是否遵守相關(guān)要求規(guī)定；數(shù)據(jù)退役行為控制：是否開展對歷史數(shù)據(jù)的退役管理。數(shù)據(jù)管理行為控制對數(shù)據(jù)管理行為控制的審計事項(xiàng)，包括以下幾方面內(nèi)容：管理措施行為控制：是否制定制度體系、認(rèn)責(zé)體系、運(yùn)營體系；技術(shù)措施行為控制：是否采取必要的檢測技術(shù)、治理技術(shù)、持續(xù)監(jiān)管技術(shù)措施，保護(hù)數(shù)據(jù)合規(guī)；預(yù)防措施行為控制：是否采取預(yù)防措施，避免在補(bǔ)救措施方面懈怠失職而形成合規(guī)管理失職行為。其他行為控制是否對數(shù)據(jù)生存周期行為控制和數(shù)據(jù)管理行為控制之外的不合規(guī)行為進(jìn)行控制。舉報機(jī)制調(diào)查過程配合外部調(diào)查績效評價對績效評價的審計事項(xiàng)，包括以下幾個方面：監(jiān)視、測量、分析和評價：被審計單位是否對數(shù)據(jù)合規(guī)管理體系進(jìn)行監(jiān)視，以確保實(shí)現(xiàn)合規(guī)目標(biāo)；GB/T19011管理評審：治理機(jī)構(gòu)和最高管理者是否在策劃的時間間隔內(nèi)組織數(shù)據(jù)合規(guī)管理體系的評審。改進(jìn)對改進(jìn)的審計事項(xiàng)，包括以下幾個方面：持續(xù)改進(jìn)：是否持續(xù)改進(jìn)數(shù)據(jù)合規(guī)管理的適宜性、充分性和有效性；不符合和糾正措施：對不符合或不合規(guī)是否作出反應(yīng)，并視情況采取控制和糾正措施，處理后果。審計流程總體流程數(shù)據(jù)合規(guī)審計的總體流程見圖4。審計計劃明確審計目的及任務(wù)內(nèi)部或外部審計機(jī)構(gòu)宜與審計對象積極溝通，明確數(shù)據(jù)合規(guī)審計的目的，確定審計工作任務(wù)。組建審計項(xiàng)目組內(nèi)部或外部審計機(jī)構(gòu)宜與被審計單位共同建立數(shù)據(jù)合規(guī)審計項(xiàng)目組，明確相關(guān)角色和責(zé)任。搜集相關(guān)信息編制審計計劃及程序認(rèn)識審計工作任務(wù)和所面臨的問題，對審計工作任務(wù)和工作目標(biāo)進(jìn)行充分理解，明確審計的目的。圖4 數(shù)據(jù)合規(guī)審計流程審計實(shí)施審計入場評價數(shù)據(jù)合規(guī)義務(wù)和風(fēng)險識別并評價數(shù)據(jù)合規(guī)體系的建設(shè)和運(yùn)行情況審計人員根據(jù)掌握的資料，識別被審計單位數(shù)據(jù)合規(guī)體系的建設(shè)和運(yùn)行情況，并評價其適當(dāng)性。初審補(bǔ)充取證審計人員對初審遇到的問題進(jìn)行補(bǔ)充取證。復(fù)審審計人員對初審程序、方法、結(jié)果等進(jìn)行復(fù)審。溝通審計人員在確定審計結(jié)論之前，應(yīng)針對審計中發(fā)現(xiàn)的事實(shí)與被審計單位進(jìn)行溝通。外部數(shù)據(jù)合規(guī)審計的結(jié)論無需征求被審計單位的認(rèn)同和意見。審計報告基本考慮因素對審計報告編制和使用需考慮以下幾個方面：審計人員根據(jù)預(yù)先選定的依據(jù)和標(biāo)準(zhǔn)，對單個問題進(jìn)行定性判斷，對審計作出評價結(jié)論和意見等，并根據(jù)具體業(yè)務(wù)環(huán)境選擇短式報告或長式報告；外部審計報告的預(yù)期使用者包括審計委托人、被審計單位的管理層、其他報告使用者等組織或人員；內(nèi)部審計報告的預(yù)期使用者包括被審計單位的管理層，報告結(jié)論用于組織內(nèi)部數(shù)據(jù)合規(guī)管理水平的提升和優(yōu)化。審計底稿對審計工作內(nèi)容進(jìn)行匯總整理，形成審計底稿，包括但不限于以下內(nèi)容：審計項(xiàng)目的計劃、方案、執(zhí)行過程和結(jié)果；審計中的重大事項(xiàng)、審計人員對該事項(xiàng)的分析過程和結(jié)論；審計結(jié)論和意見；必需的審計溝通和結(jié)果；對審計底稿按照業(yè)務(wù)進(jìn)行妥善地歸檔管理；審計底稿的管理滿足網(wǎng)絡(luò)和數(shù)據(jù)安全管理要求。注：審計過程中采集的真實(shí)的數(shù)據(jù)，宜根據(jù)業(yè)務(wù)合同執(zhí)行必要的安全保護(hù)或銷毀。短報告的內(nèi)容審計報告短報告的內(nèi)容包括但不限于以下內(nèi)容：審計報告名稱；審計報告接收人信息；審計對象名稱；審計目的；審計范圍；審計期間；審計依據(jù)；審計內(nèi)容；審計發(fā)現(xiàn)；審計結(jié)論；審計意見；備注。長報告的內(nèi)容審計報告長報告（見附錄A）除包含本文件第10.4.3中列明的全部內(nèi)容外，還包括以下內(nèi)容：組織履行合規(guī)義務(wù)的具體內(nèi)容；針對每項(xiàng)合規(guī)義務(wù)確定的合規(guī)風(fēng)險，以及組織制定和執(zhí)行的合規(guī)風(fēng)險應(yīng)對措施；審計機(jī)構(gòu)針對審計風(fēng)險的分析過程和制定的審計方案；審計實(shí)施中具體審計過程和結(jié)果。報告的結(jié)論數(shù)據(jù)合規(guī)審計報告是對被審計單位合規(guī)義務(wù)履行情況的鑒證結(jié)果，報告結(jié)論為：履行或未履行。審計報告宜針對被審計單位履行合規(guī)義務(wù)的情況進(jìn)行逐項(xiàng)確認(rèn)并提出審計結(jié)論。審計報告的結(jié)論僅適用于業(yè)務(wù)合同中約定的審計事項(xiàng)、期間和內(nèi)容，且僅適用于經(jīng)審計的數(shù)據(jù)資產(chǎn)。報告的用途全部采用以下場合可采用審計報告的全部內(nèi)容：數(shù)據(jù)合規(guī)報告的結(jié)果和使用涉及公眾利益；數(shù)據(jù)合規(guī)報告作為公開市場中數(shù)據(jù)交易的證明性文件。部分采用以下場合可以根據(jù)情況采用或參考審計報告部分內(nèi)容：組織內(nèi)部利用數(shù)據(jù)合規(guī)審計活動評價、改善內(nèi)部數(shù)據(jù)合規(guī)管理；組織對供應(yīng)鏈相關(guān)上、下游機(jī)構(gòu)進(jìn)行獨(dú)立評價；其它審計活動中的組成部分。報告名稱：***數(shù)據(jù)合規(guī)審計報告

附 錄 A（資料性）審計報告參考模板報告編號：報告出具單位的報告編號編制單位編制日期：報告正式發(fā)布日期報告收件人：被審計單位名稱引言審計期內(nèi)數(shù)據(jù)合規(guī)相關(guān)事項(xiàng)的基本情況、審計執(zhí)行情況概要。數(shù)據(jù)合規(guī)審計三方責(zé)任被審計單位的責(zé)任段數(shù)據(jù)合規(guī)審計師責(zé)任段數(shù)據(jù)合規(guī)審計總體結(jié)論根據(jù)被審計單位履行合規(guī)義務(wù)的總體情況，客觀評價并總結(jié)整體審計結(jié)論。數(shù)據(jù)合規(guī)審計師簽名和蓋章報告主審的簽字和審計機(jī)構(gòu)蓋章。組織履行合規(guī)義務(wù)情況匯總總體情況總體情況包括但不限于以下內(nèi)容：被審計單位數(shù)據(jù)合規(guī)管理崗位設(shè)置及對應(yīng)職責(zé)，數(shù)據(jù)合規(guī)風(fēng)險管理機(jī)制與流程；被審計單位數(shù)據(jù)合規(guī)管理制度建設(shè)情況：政策、制度與流程；被審計單位數(shù)據(jù)合規(guī)管理體系建設(shè)基本情況；其它相關(guān)的認(rèn)證和評測信息；以前年度數(shù)據(jù)合規(guī)審計發(fā)現(xiàn)及整改情況。數(shù)據(jù)合規(guī)風(fēng)險與控制措施數(shù)據(jù)合規(guī)風(fēng)險與控制措施包括以下內(nèi)容：被審計單位是否有效識別履行合規(guī)義務(wù)風(fēng)險，風(fēng)險清單；被審計單位是否依據(jù)數(shù)據(jù)合規(guī)風(fēng)險制定并執(zhí)行了控制措施，關(guān)鍵控制活動清單。數(shù)據(jù)合規(guī)運(yùn)營情況被審計單位數(shù)據(jù)合規(guī)運(yùn)營情況包括以下內(nèi)