信息系统审计在审计机关中的运用,本文主要内容关键词为:信息系统论文,机关论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、信息系统审计的概念和目标
信息系统审计是指通过对被审计单位信息系统的组成部分及其规划、研发、实施、运行、维护等过程进行审查,就被审计单位的信息系统的安全、可靠、有效和效率性以及信息系统能否有效地使用组织资源并帮助实现组织目标发表意见。信息系统审计的对象是被审计单位的信息系统,从横向看,不仅包括财务系统,而且包括业务系统等。随着信息系统的发展,财务系统与业务系统之间的整合程度越来越高,之间的界限日趋模糊,因此要求信息系统审计将业务系统的审计纳入到审计对象之中。从纵向看,信息系统审计的对象还包括信息系统生命周期全过程。
信息系统审计的目标是对被审计单位信息系统的安全、可靠、有效和效率以及能否有效地使用组织资源、实现组织目标等发表审计意见并提出改进建议,主要包括:
(一)信息系统的安全性。信息系统的安全性是指信息系统的硬件、软件、网络和数据资源是否得到妥善保护,不因自然和人为的因素而遭到破坏、更改或者泄露系统中的信息。系统的安全性是通过建立相关的控制措施来加以保证的,所以审查信息系统的安全性就是审查相关的控制措施是否健全有效,并提出相关的意见建议。
(二)信息系统的可靠性。信息系统的可靠性是由硬件的可靠性、软件的可靠性、网络的可靠性、数据资源的可靠性等所决定的。审查系统的可靠性应审查系统有关控制措施,并对历史运行记录进行检查,对系统是否稳定运行进行综合评价。
(三)信息系统的有效性。信息系统的有效性是指系统能否实现既定目标、系统的各项业务的处理过程是否符合国家有关法律法规的要求。信息系统的有效性与信息系统的业务有关,对系统进行有效性评价的时候,应以业务相关的法律法规为依据,对系统的各项业务处理过程进行详细审查,对其是否符合相关规定做出评价,提出改进建议。
(四)信息系统的效率性。信息系统的效率性是指用最少的系统资源的投入产生最多的用户所需要的信息。信息系统的效率体现在多个方面,如系统硬件处理能力、软件资源和数据资源的优化利用程度;数据处理的速度;查询的响应时间等。而且不单独由单个子系统的效率所决定,而是与整理个信息系统的效率有关。审计人员应权衡信息系统的成本效益情况,给出一个独立、客观、公正的评价。
二、信息系统审计的组织方式
要做好信息系统审计,必须合理有效地组织信息系统审计活动。目前我国国家审计中,主要还是以财务审计为主,专门进行的信息系统审计的单位和项目还不多。因此,可以把信息系统审计的组织方式分为与财务审计相结合的信息系统审计和专门进行的信息系统审计。
(一)与财务审计相结合的组织方式
所谓与财务审计相结合的组织方式,是指在财务审计的过程中运用信息系统审计的有关手段所进行审计的方式,不是完全意义上的信息系统审计,而是在财务审计过程中加了信息系统审计的手段和方法,是目前一种常见的信息系统审计的组织方式。其主要特点为事先没有专门计划,只是针对部分业务或系统进行信息系统审计,没有专门的信息系统审计报告。主要适合以下情况:一是在财务审计之前,审前调查发现被审计单位可能存在信息系统方面的问题。为了减少审计风险,先对信息系统进行审计,然后再针对信息系统薄弱环节,有针对性地进行财务审计。二是在财务审计的过程中,发现一些规律性和倾向性的问题。经初步分析认为,属于信息系统所产生的问题,这个时候应该对相关的信息系统或者模块进行信息系统审计。
(二)专门进行信息系统审计的组织方式
所谓专门进行是指项目经过单独立项,单独实施并单独出具审计报告,其目标不在于减少财务审计风险,而是放在信息系统本身,围绕信息系统审计自身的目标进行。主要特点为技术性比较强,取证工作具有动态性,具有一定复杂性。目前专门进行信息系统审计的组织方式还很少,随着被审单位信息系统重要性日益增强和计算机犯罪数量的增长,专门进行的信息系统审计将越来越常见。
上述已对信息系统审计的概念、目标以及开展工作的组织方式作了初步介绍,以下笔者通过实践谈谈信息系统审计的内容和技术方法,以及如何实现审计目标。
三、信息系统审计在审计机关的运用
执行信息系统审计业务,审计人员首先要对信息系统进行初步审查,以便对信息系统有一个基本的了解和总体把握,并做出初步评价,在此基础上开展下一步的审计测试。
(一)初步审查需要了解的内容和方法
一是被审单位的基本情况,包括被审单位的信息化水平,信息系统在本单位经营管理中应用与涵盖的程度,对生产、经营、管理和会计核算的影响。二是被审单位的IT环境,包括IT部门的治理和管理情况及其有关政策、标准和规程;IT部门的组织结构与职责分工,是否贯彻不相容职责分离的原则等。三是被审单位信息系统应用的体系结构,主要有主机中心结构、客户服务器结构和浏览器服务器结构。四是被审单位计算机硬件和软件的配置情况,硬件方面主要包括主机型号、内存容量、输入输出设备及辅助存储设备等情况,软件方面包括操作系统、数据库管理系统、通信软件等。五是被审单位的信息系统管理与控制情况,包括信息系统具体由哪个部门负责,从事人员及管理职责分工,制度建设情况等。六是被审单位各类应用系统的具体情况,包括信息系统由哪些应用系统构成,分布在哪些部门,各个应用系统之间的关系如何。了解上述情况一般主要通过面谈询问法、调查问卷法、系统文档审核法、检查流程图法、查阅文件法和实地观察法等技术方法。
以下是对某市社保信息系统初步审查后的描述:某市社保经办机构的业务系统由浙江网新恩普软件有限公司开发,当前累计的业务数据存储量超过70G。系统服务器端采用ORACLE9I数据库系统和UNIX操作系统,客户端操作系统采用WINDOWS2000/XP。由该局信息中心具体负责社保基金信息系统的日常维护和数据管理。
上图是某市劳动和社会保障局的社保基金信息管理系统分布拓扑图:
该系统总体由核心业务区、数据存储区、交换区、公共服务器区以及跨部门应用互联区组成,其中跨部门应用互联区还包括了乡镇业务服务区和横向互联区。系统中各块区域的功能及作用如下:
(1)核心业务区。核心业务区的功能是实现对业务资源数据库的管理和对业务的处理,其中,核心业务区支持的劳动保障业务包括劳动就业和劳动力市场业务、各项社会保险业务(养老、医疗、失业、工伤、生育、各项补充保险和农村养老)和其他劳动机关业务。
(2)数据存储区。数据存储区采用SAN架构的存储设备,实现对劳动保障各类数据资源的集中存储和统一管理。
(3)交换区。交换区的功能是从本级生产库提取、汇总下级交换数据,并形成本级交换库,支持公共服务和上级网络扫描应用,为上级劳动保障部门提供所需的数据资料。
(4)公共服务器区。公众服务区的功能是实现面向社会公众的电子邮件、信息发布、信息查询、政策咨询和网上办事服务。
(5)乡镇业务服务区。乡镇业务服务区的功能是实现乡镇、街道、社区的劳动保障业务代办及提供公共查询服务。
(6)横向互联区。横向互联区的功能是实现与劳动保障相关单位(定点医疗机构、财政、税务、金融、卫生、民政、培训机构和其他职业介绍)的数据交换、资源共享和信息服务。
(二)信息系统的控制审计及技术方法
信息系统的控制审计是对信息系统各内部控制措施的健全性和有效性进行审查与评价。只有健全有效的内部控制,才能确保信息系统的安全、可靠、有效运作。因此,信息系统内部控制审计是信息系统审计的主要内容。信息系统控制的对象是计算机信息系统,由计算机硬件和软件资源、应用系统、数据和相关人员等要素组成,根据作用和范围不同,通常把信息系统的控制分为一般控制和应用控制。
1.一般控制是对信息系统的开发、实施、维护和运行所进行的控制,其目的是确保应用系统恰当开发与实施、确保程序和数据文件的完整性、确保信息系统良好运作。因此对信息系统的一般控制审计包括:(1)总体IT控制环境审计,包括IT规划和计划审计,IT组织结构审计,IT管理政策审计。(2)基础设施控制审计,包括机房物理环境控制审计,硬件设备采购管理控制审计,系统软件采购管理控制审计。(3)信息系统生命周期控制审计,包括系统开发控制审计,系统采购控制审计,系统变更控制审计。(4)信息安全控制审计,包括逻辑访问控制审计,网络安全控制审计,操作系统安全控制审计,数据库系统安全控制审计,最终用户控制审计。(5)信息系统运营维护控制审计,包括系统操作管理控制审计,系统变更管理控制审计,系统灾难恢复控制审计。
以信息安全控制审计为例,简述信息系统一般控制审计的运用情况。主要通过实地察看被审单位实体安全控制,如灭火、报警设备的配置,电力系统的配置和使用,查看出入机房登记日志;检查用户的数据存取权限表及数据读、写、修改和删除等存取控制表,权限设置情况;检查备份数据的登记记录和保管情况;查阅访问权限设置情况,检查系统防火墙、防病毒软件的安装设置情况等措施和方法,去评价被审单位在信息系统安全控制方面,是否确保了信息系统的硬件、软件、数据资源受到妥善保护,不因自然和人为因素而遭到破坏,防止更改或泄露系统中的信息资源,使信息系统持续正常地运行。
以下是对某市社保信息系统一般控制的审计测试结果表述:该信息系统在实体安全、软件安全、通信网络安全、系统入侵和病毒防范等控制方面都做得较好,但在数据安全的某些方面控制还不够,如对系统中数据未能设定各种人员的使用权限,如确定哪些人员可以查阅哪些数据,哪些人员可以修改哪些数据,往往为了工作方便,未能合理设置。如根据相关规定,个人缴费基数在同一单位同一个缴费年度内原则上不得随意变动,除了社保局稽查大队根据对单位工资稽查结果通过基数调整模块正常调整外。通过核查系统维护人员权限和修改日志,发现针对突发性的个别参保人员基数错误的调整,维护人员可以通过一个后台程序直接修改数据库中的缴费基数信息,而且修改权限授予信息中心全部工作人员。因此,该系统中未合理确定用户权限,授权过多,责任不清,信息系统的数据安全存在隐患。
2.应用控制与具体的应用系统有关,是为确保数据处理完整正确而实施的控制。信息系统的应用控制审计包括:(1)业务流程控制审计,包括业务授权与审批控制审计,交易数据输入控制审计,数据处理逻辑审计,数据输出控制审计,数据控制审计。(2)对主数据的审计,包括对业务参数的审计,对重要信息的审计。(3)接口控制审计,包括界面接口审计,数据接口审计,应用接口审计。(4)系统外控制审计,包括补偿性控制审计。
对应用控制测试的方法可分为黑箱法和白箱法,白箱法由于所需审计资源较多,技术较复杂,目前我国审计机关开展较困难,因此,本文主要介绍黑箱法的具体运用。黑箱法是一个形象比喻,它是指审计人员把计算机信息系统视为一个“黑箱”,不过多探究被审系统的应用程序和逻辑,只对该系统的输入和输出进行审查核对,从而间接评价被审系统的应用程序和逻辑的正确性。以下是黑箱法示意图
下面以数据输入控制审计,数据处理逻辑审计为例,分别简述黑箱法在信息系统应用控制审计中运用情况。
输入控制是为了保证输入系统的数据正确、完整、可靠而控制。在信息技术环境下,输入数据一旦有错,系统的处理结果也会出错,因此,输入控制是应用控制中最为关键的环节。在社保信息系统中,参保人员的身份证是一项重要的信息,社保号均与身份证一一对应,一旦有错可能影响到参保人员的退休年月、社保号的唯一性等。因此,审计人员通过编写“SELECTCOUNT(*)FROM参保人员基本信息表WHERELEN(身份证号)<>15ANDLEN(身份证号)<>18(注:查找长度非法记录);SELECT身份证号,COUNT(*)FROM参保人员基本信息表WHERELEN(身份证号)=15ANDLEN(身份证号)=18GROUPBY身份证号HAVINGCOUNT(*)>1(注:查找号码重复记录);SELECTCOUNT(*)FROM参保人员基本信息表WHERELEN(身份证号)=18ANDSUBSTRING(身份证号,17,1)NOTIN('0','2','4','6','8')AND性别=‘女’(注:查找身份证为男而性别字段为女)”等SQL查询语句进行数据真实性、冗余测试,检验身份证信息的真实性,社保号的唯一性。
初步审查结果表明,其中有号码长度非法、性别校验非法、社保号一人多号、测试数据不清理等问题,2007年2月底参保人员基本信息表中存在:(1)身份证长度非法1809人,(2)身份证号码15位,校验性别为男非法有3人,(3)身份证号码15位,校验性别为女非法有3人,(4)身份证号码18位,校验性别为男非法有2人,(5)身份证号码18位,校验性别为女非法有5人,(6)身份证2条以上重复记录9039条。针对上述情况,审计人员设计一组不正常的、无效的测试数据,对信息系统采用测试数据法进一步判断被审程序的功能与控制是否达到要求。以下是测试数据法的测试过程示意图
测试数据结果表明该系统在参保人员基本信息数据输入过程中,对于输入到系统中的错误数据,未进行数据项值合理校验,一组不正常的、无效的、已存在的重复测试数据仍就能写入信息系统的数据库中,数据输入控制未能有效防止错误数据和重复数据的录入。
数据处理逻辑控制是为了保证数据处理的正确性、完整性而实施的控制,通常是将预先设计好的计算机程序嵌入到系统中,在处理过程中由计算机自动实施控制。根据相关规定,以个人名义参加社会保险的,可以采用一年申报一次缴费数额和以定期缴费的方式缴纳社会保险费。在社保信息系统中,审计人员通过编写SQL语句,如“SELECT*FROM缴费台账表WHERE应缴开始年月>200603 AND核定年月 BETWEEN 200601 AND 200603 AND缴费基数<下一年最低缴费基数AND险种类型=养老金”进行数据准确性测试,审查自谋职业者一次缴费的准确性。
审查结果初步表明,在当地缴费基数调整之前几个月一次缴费的人数较多,一次缴费横跨两个缴费年度,在新缴费基数尚未执行时,社保经办机构一次性办理两个缴费年度的缴费工作,2007年1-3月份共有16877人按原缴费基数预缴了下一年度养老金的情况,占自谋职业者缴费人数的55.04%,按下一年最低缴费基数与其原预缴基数差额计算,至少造成少征收养老金451万元。
同理,我们采用测试数据法,进一步对此控制环节进行测试。比如输入某人1月份一次性缴纳当年12个月的养老金(本地区每年4月份起调整缴费基数),横跨两个缴费年度,系统未有任何提示,与日常业务一样在系统数据库个人缴费台账表中分月生成12条缴费记录。
测试数据结果进一步表明该系统未设数据合理性检验控制,合理设定预缴截至年日,由计算机程序自动检验,如果数据处理结果溢出范围,系统自动报警提示,通知有关人员注意。
最终审计人员从一般控制和应用控制的测试结果去评价被审计单位信息系统在安全、可靠、有效和效率等方面能否实现组织目标,当然,本文采用黑箱法由于自身功能存在一定的缺陷,尚不能全面评价被审单位信息系统的四大目标,但就发现存在的问题我们可提出审计意见和改进建议。
总之,信息系统审计在目前审计机关中开展运用的还不是很多,所运用者亦是较简单、较片面的,尚未真正提升到全面的信息系统审计。但随着我们对信息系审计的概念、目标、方法等不断地认识掌握,以及被审单位信息化建设程度的不断提高,信息系统审计的应用将在审计机关中开创一片新天地。
标签:财务审计论文; 社保缴费论文; 安全审计论文; 审计软件论文; 审计计划论文; 审计目标论文; 数据单位论文; 控制测试论文; 信息安全论文; 审计职业论文; 信息系统规划论文; 社保中心论文;