社保基金信息系统审计的内容、程序及技术方法,本文主要内容关键词为:信息系统论文,社保基金论文,程序论文,方法论文,内容论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、社保基金信息系统审计的内容
社保基金信息系统审计的内容主要包括信息系统内部控制审计、信息系统本身的审计、信息系统产生的数据文件审计三个部分。从目前审计机关的条件分析,社保基金信息系统环境下开展审计工作应该把信息系统内部控制审计作为基础和切入点,关注信息系统本身的审计,最终通过信息系统数据文件审计得出审计结论。
(一)社保基金信息系统内部控制审计。
社保基金信息系统内部控制的审计分为一般控制审计和应用控制审计。
一般控制主要包括组织管理、数据资源管理、系统环境安全管理和系统运行安全管理等。一般控制的审计任务是检查组织内部是否有相应的管理措施来实现上述控制内容。例如,信息技术人员只能负责系统开发和维护,不能承担具体业务操作,输入人员和审核人员不能兼任。关键技术应尽可能由多人掌握,人员离岗,应及时从系统中删除其账号和口令。每天记录系统运行日志,对重要文档进行备份,硬件、软件的升级要做日志记录等。
应用控制是从技术角度对输入、处理、数据传输、存储管理和输出等进行控制。审计人员应对应用控制是否合理实施审计,确保:输入的数据是准确、完整、授权和正确的;数据在可接受的时间内得到预期的处理;数据存储是准确和完整的;输出是准确和完整的;记录在从输入到存贮,再到最终的输出的整个过程中是可追溯的。
(二)社保基金信息系统本身的审计
社保基金信息系统本身的审计包括两部分内容,即信息系统组成部分的审计和信息系统生命周期的审计。信息系统组成部分的审计是对组成信息系统的各个部分的审计,如计算机硬件、系统软件、应用软件等,一般情况下,硬件和系统软件存在的风险较小,因此,对信息系统组成部分的审计应当以应用软件为主。应用软件审计的主要内容包括:应用程序的合法性、应用程序的正确性、应用程序的效率性。信息系统生命周期审计是对信息系统的规划、开发、设计、编码、测试等过程进行的审计。信息系统生命周期审计应当关注信息系统的可行性、信息系统生命周期各阶段工作是否有恰当控制,产生的系统资料和凭证的规范性;信息系统测试的全面性、适当性;信息系统功能、时间进度、预算是否达到预定的要求等。
(三)社保基金信息系统数据文件的审计。
对数据文件的审计是信息系统审计必需的环节,主要包括数据采集及验证;数据清理及转换;数据分析建模等。基础数据准确和待遇计算正确是社保审计中的两个关键问题。社保工作中涉及了大量数据,基础数据是否准确,数据是否能适时更新,是影响社保工作质量的大问题。利用计算机可以对需要审计的数据进行提取,并利用数据间的逻辑关系来验证数据的真实性。待遇计算正确与否取决于对不同的人套用政策待遇时是否正确,也涉及被审计单位使用的软件是否能满足不同人的待遇计算要求。因此,要继续加强计算机审计,继续加强社保审计资料库、信息库的建立。
二、社保基金信息系统审计的程序
社保基金信息系统审计与其他类型审计在审计程序方面没有本质区别。对审计机关而言,社保基金信息系统审计的程序包括审计计划,审计实施和审计完成三个阶段。在每个阶段,信息系统审计有其自身的特点和要求。
(一)审计计划阶段。
1.信息系统审计项目的选择要充分考虑各方面因素,包括:信息系统与被审计单位核心业务的相关性,信息系统的规模、复杂程度,所处的生命周期阶段,审计力量、审计时间等审计资源情况等。在以审查数据的真实性和合法性为主要审计目标的项目中,还要考虑开展信息系统审计所耗费的审计成本是否低于由此而减少的对数据进行实质性测试所耗费的审计成本。
2.要在充分调查论证的基础上编制审计项目计划。了解信息系统的基本情况,初步评价内部控制及外部控制,分析项目开展的可行性、确定重要性和分析审计风险等。主要是要从总体上把握社保业务管理组织流程、操作程序、资金流向和社保有关计算机信息系统(包括社保基金信息系统和地税征缴系统)的运行情况并分析数据结构。
(二)审计实施阶段。
审计实施阶段应包括三部分:对系统计划和开发阶段的审计,对系统运行和维护阶段,对生命周期共同业务的审计。应重点把握以下几点:
1.要深入了解业务流程和信息系统构成等详细信息。包括当地社保业务是如何进行组织管理的,社保资金的征缴、待遇支付、资金管理各是由哪些部门负责,各部门如何分工,社保资金如何管理和流转等;其次是获取信息系统的软硬件概况,各重要应用模块的业务内容、数据处理流程和处理逻辑,重要应用模块相互之间的关系等;三是获取被审单位社保组织结构、信息系统软件使用说明书、数据字典、数据库设计说明书等资料,了解数据库设计是否参照劳动部标准,调查数据库类型、版本及数据量大小,各险种数据库集成状况;数据库设计、运行及如何体现社保业务。
2.应根据审计目标和审计资源情况,对信息系统相关内部控制进行符合性测试,收集相关的审计证据。在审计实施阶段,审计人员根据审计资源情况,合理选择与审计目标相关的系统控制进行符合性测试,以判定现有的控制是否能够得到有效执行并发挥作用。测试内容主要包括:信息系统一般控制和信息系统应用控制。检查的重点包括:相关的系统文档;日志文件;信息系统有关管理规章制度的执行情况;网络、硬件、操作系统、数据库系统是否存在重大的安全隐患;业务处理流程与系统数据流程中是否存在漏洞等。
3.应根据信息系统内部控制测评的结果,有重点地检查信息系统应用程序和信息系统生命周期。审计人员应根据信息系统内部控制测试的结果,确定信息系统应用程序及信息系统生命周期检查的重点,确保系统开发活动及产生的文档合规、合法、合理和有效。
4.数据审计的实质性测试必不可少。审计人员应根据信息系统内部控制测试的结果,确定内部控制的薄弱环节,为数据审计进行实质性测试提供依据。在任何情况下,对数据审计的环节必不可少,不能因为对信息系统本身的审计取代数据审计。
(三)审计完成阶段。
审计完成阶段应完成的主要工作包括:审计组根据信息系统审计情况,起草审计报告,征求被审计单位意见,多方沟通,协商整改措施和方法,达成共识;审计机关按照程序规定对审计组的审计报告进行审议,并对被审计单位对审计组的审计报告提出的意见一并研究后,提出审计机关的审计报告;针对信息系统需要改进和完善之处,提出相关审计建议。
三、社保基金信息系统审计的技术方法
社保基金信息系统审计的方法包括了解和描述信息系统的方法、信息系统测试的方法、数据的审计方法。在实际工作中,审计人员可以根据被审计信息系统的具体情况,结合审计目标、审计内容、审计成本效益、审计组人员与设备配置情况、审计人员知识结构等因素,选择合适的信息系统审计技术和方法,并且通常需要多种方法的综合、穿插使用。
(一)了解和描述信息系统的方法。
了解和描述信息系统的方法与一般审计的方法一样,主要包括问卷调查法、访谈法、文档查阅法、观察法、系统描述法等,这些方法在可以运用在信息系统内部控制审计、信息系统组成部分和生命周期审计中。了解社保基金信息系统部分功能设计及管理是否存在不足和缺陷,自动对账、自动校验、自动报错的内部控制机制是否完善,信息技术人员是否越权直接从后台修改业务数据和命令。
(二)信息系统测试的方法。
信息系统测试的方法是信息系统审计所独有的,信息系统测试法主要是一些计算机辅助方法,如测试数据法、受控处理法、平行模拟法、编码检查法等。这些方法,不仅适用于信息系统内部控制测试审计,在信息系统组成部分和生命周期审计中同样需要使用这些方法。
1.编码检查法。
编码检查法是指审计人员通过直接对编码进行详细审查的审计方法。该方法主要用于信息系统生命周期审计中的系统编码阶段审计和信息系统应用程序的审计。
2.测试数据法。
测试数据法是指审计人员把一批预先设计好的检测数据输入到应用系统中,将处理的结果与预期的结果进行比较,从而检测应用系统的控制与处理功能是否恰当、有效的一种方法。该方法广泛应用于信息系统生命周期审计中的系统测试阶段审计,以及应用控制审计的各个环节。
3.平行模拟法。
平行模拟法,是指依靠被审计信息系统的主要流程,简化设计另外的程序或模块,对输入数据同时进行并行处理,检测是否能够得到一致的数据输出,用来测试系统功能的审计方法。该方法主要用于应用控制审计中的处理控制审计。
4.受控处理法。
受控处理法,是指审计人员对被审计信息系统处理流程进行监控,查明被审程序的处理和控制功能是否恰当、有效的审计方法。该方法主要用于应用控制审计中的处理控制审计。
5.集成测试技术(ITF)。
集成测试技术的原理是,首先在应用系统中建立一个虚拟实体,然后处理审计测试数据,核实处理过程的真实性、正确性和完整性。一般用来审计复杂的应用系统。该方法主要用于应用控制审计中的处理控制审计。
6.嵌入审计模块技术。
嵌入审计模块技术,是指在一个应用系统中长久驻存一个审计模块,该模块检查输入到系统中的每一笔事务,并识别出其中不符合预定义标准的事务,审计人员可以对这些识别出的事务进行实时的或定期的审查。嵌入审计模块技术一般应用于处理大数据量的系统中。该方法主要用于应用控制审计中的处理控制审计。
(三)数据审计的技术与方法。
数据是信息系统的重要组成部分,审计人员可以通过采用适当的数据审计技术实现信息系统审计的目标。审计人员可以采用数据关联分析和多维分析等数据分析技术对信息系统的数据进行分析和验证。例如:对五险综合和财务数据与业务数据进行关联分析,对同一参保人参保五险的范围、缴费基数一致性进行关联比对,以发现参保不完整或缴费基数错误的情况;是否存在违规同时领取供养亲属抚恤金和养老保险金的情况;是否存在法人代表违规领取失业金的情况;是否存在同时领取失业金和养老金的情况等等;关联社保缴费基数与公积金、个税等数据,评价参保单位、个人申报的缴费基数的正确性。
标签:社保基金论文; 审计计划论文; 审计软件论文; 审计质量论文; 审计方法论文; 审计目标论文; 控制测试论文; 审计流程论文; 信息系统规划论文; 内部控制论文;