某省“金保工程”信息系統(tǒng)審計案例 信息系統(tǒng)案例介紹

某省“金保工程〞信息系統(tǒng)審計審計署哈爾濱特派辦2021年12月信息系統(tǒng)案例介紹內容簡介一、工程摘要二、信息系統(tǒng)根本情況七、初步審計成果

八、工程的局限性四、信息系統(tǒng)審計總體目標

三、信息系統(tǒng)控制情況

五、信息系統(tǒng)審計內容和事項

六、信息系統(tǒng)審計過程和測試方法

聚焦“金保工程〞金保工程1一個工程

2兩大系統(tǒng)

3三級結構4四項功能

1.工程摘要項目信息

名稱：某省“金保工程”信息系統(tǒng)審計；時間:2011年7-9月審計重點“金保工程”信息系統(tǒng)一般控制及社會保險子系統(tǒng)應用控制發(fā)現(xiàn)問題1.尚未建立健全信息系統(tǒng)制度建設，設備采購管理亟待規(guī)范，信息系統(tǒng)安全投入不足，系統(tǒng)運維外包存在潛在風險。2.數據備份、恢復及操作等方面管理機制不完善；機房缺少必要的安全設施，存在安全隱患。3.系統(tǒng)功能設置不完善，系統(tǒng)應用缺乏有效控制，數據的完整性、準確性和一致性等發(fā)面缺乏有效地校驗機制控制。2.信息系統(tǒng)根本情況某省“金保工程〞系統(tǒng)平臺以省級大集中數據庫和統(tǒng)一應用平臺為根底。負責管理和維護的信息系統(tǒng)共有99個。2.信息系統(tǒng)根本情況2.信息系統(tǒng)根本情況針對數據物理集中、業(yè)務處理實現(xiàn)高度信息化的特點，審計人員對某省“金保工程〞信息系統(tǒng)的部署及應用進行了調查，發(fā)現(xiàn)其在網絡部署及平安保護措施、業(yè)務流程控制、數據控制等方面存在一定風險。3.信息系統(tǒng)控制情況審計子類審計情況初步調查結論風險水平網絡部署及安全保護措施某省“金保工程”系統(tǒng)建立了專用網絡，通過專線與數據中心以及各分支機構連接。繪制了網絡拓撲結構圖，安裝了入侵檢測、漏洞掃描工具、防火墻以及熊貓網絡版殺毒軟件。制定了權限管理、用戶管理、安全管理等制度。中業(yè)務流程控制業(yè)務授權與審批較規(guī)范，數據處理邏輯基本合理，部分業(yè)務流程與有關規(guī)定不符。中數據控制主數據、業(yè)務參數和重要信息基本能夠滿足有效性、完整性和真實性的要求，部分數據校驗機制存在不足。中4.信息系統(tǒng)審計總計目標5.審計重點內容及審計事項序號審計內容審計事項審計事項類別1信息系統(tǒng)組織控制情況制度建設一般控制2設備采購管理一般控制3信息系統(tǒng)開發(fā)維護控制情況項目立項一般控制4系統(tǒng)運行維護管理一般控制5信息系統(tǒng)安全控制情況情況系統(tǒng)安全投入一般控制6系統(tǒng)安全定級一般控制7系統(tǒng)操作管理控制情況數據資源管理一般控制8機房物理環(huán)境控制情況機房物理環(huán)境管理一般控制9信息系統(tǒng)效益情況系統(tǒng)應用效益一般控制10信息系統(tǒng)流程和功能控制情況系統(tǒng)流程控制應用控制11系統(tǒng)功能控制應用控制12數據輸入控制情況主數據庫數據輸入控制應用控制13數據處理控制情況主數據庫數據處理控制應用控制6.審計過程和測試方法

6.審計過程和測試方法

3.審計結果截至2021年6月末，省人社廳及所屬信息中心僅建立了關于“金保工程〞資產管理和系統(tǒng)運行維護方面的相關制度7項，尚未對工程管理和資金使用制定相應的管理制度，“金保工程〞建設監(jiān)管存在“盲區(qū)〞。6.審計過程和測試方法上述做法不符合原勞動保障部?關于進一步加快實施金保工程的意見?〔勞社部函〔2004〕262號〕關于各地要建立工程管理、資金使用、資產管理、系統(tǒng)運行維護等方面的規(guī)章制度，明確分工，落實責任，采用科學的管理方法和管理模式，切實加強對金保工程建設的管理、控制與監(jiān)督的規(guī)定。6.審計過程和測試方法

〔二〕一般控制審計—設備采購審計1.具體審計目標：調查建設、改造“金保工程〞系統(tǒng)時，采購過程是否符合相關法律法規(guī)要求。2.審計測試過程查看工程建設和設備采購資料，對“金保工程〞系統(tǒng)設備的采購過程進行檢查。3.審計結果某省“金保工程〞系統(tǒng)局部工程的采購未形成書面方案，采購過程權責劃分不明晰，招標采購經常出現(xiàn)單一廠商投標的現(xiàn)象。6.審計過程和測試方法

〔三〕一般控制審計—信息系統(tǒng)開發(fā)維護控制審計1.具體審計目標：檢查被審計單位在系統(tǒng)建設中，各項要素是否齊備；系統(tǒng)開發(fā)過程中，對系統(tǒng)分析、系統(tǒng)設計和系統(tǒng)實施過程所進行的控制措施情況，能否保證信息系統(tǒng)的質量以及平安可靠性。2.審計測試過程〔1〕與被審單位的管理人員、業(yè)務人員、軟件開發(fā)人員座談進行詢問，了解系統(tǒng)建設、開發(fā)和變更的流程控制情況和質量控制情況?！?〕要求被審計單位提供可行性研究報告、工程建設意見書、工程立項申請書、工程開發(fā)方案、軟件需求規(guī)格說明書、數據需求規(guī)格說明書或數據表E-R關系圖、概要設計說明書或程序設計說明書、詳細設計說明書或模塊設計說明書、測試方案、測試分析報告、開發(fā)進度月報、工程開發(fā)總結報告、維護修改日志或軟件開發(fā)變更說明、操作手冊或用戶使用手冊、系統(tǒng)運行維護協(xié)議等。審計人員審閱所提交的系統(tǒng)文檔。6.審計過程和測試方法

6.審計過程和測試方法

6.審計過程和測試方法

6.審計過程和測試方法6.審計過程和測試方法

〔五〕一般控制審計—系統(tǒng)操作管理情況控制審計1.審計具體目標:檢查被審計單位是否建立了一套完善可行的信息系統(tǒng)操作管理制度，確認信息系統(tǒng)的各類操作人員是否嚴格按照系統(tǒng)操作管理制度進行系統(tǒng)的使用和操作。2.審計測試過程〔1〕要求被審計單位提供信息系統(tǒng)操作管理制度和操作手冊。審閱信息系統(tǒng)操作管理制度，分析其是否完善可行；審閱各種操作手冊；要求被審單位相關人員填寫數據資源管理控制調查表。〔2〕檢查操作日志，并就出現(xiàn)的事件和采取的行動詢問有關操作人員?！?〕實地觀察信息中心的活動，包括日常備份等；觀察業(yè)務人員實際使用系統(tǒng)進行業(yè)務辦理的情況，是否符合操作制度。6.審計過程和測試方法

6.審計過程和測試方法

6.審計過程和測試方法

6.審計過程和測試方法

系統(tǒng)測試審計風險應用控制審計6.審計過程和測試方法測試環(huán)境怎么辦？大集中系統(tǒng)不適宜搭建大型信息系統(tǒng)搭建測試環(huán)境本錢高調試時間長6.審計過程和測試方法信息系統(tǒng)審計方式結合式獨立式特殊式倒推式用哪個？010203“倒推式〞主要是根據業(yè)務審計發(fā)現(xiàn)問題，倒推出系統(tǒng)缺陷。但這種“倒推式〞并沒有明確的信息系統(tǒng)審計目標，因而具有一定偶然性?！暗雇剖建暎侵父鶕I(yè)務流程對信息系統(tǒng)控制點進行分解，在確定關鍵控制環(huán)節(jié)的根底上，建立數據分析模型對控制點數據進行分析，并根據數據分析發(fā)現(xiàn)的異常倒推出系統(tǒng)控制缺陷的信息系統(tǒng)審計方式。昨天明天

倒推式信息系統(tǒng)審計演變今天6.審計過程和測試方法“倒推式〞是指通過數據審計發(fā)現(xiàn)異常，倒推系統(tǒng)內控或信息系統(tǒng)的毛病。數據審計、信息系統(tǒng)審計和系統(tǒng)內控審計三位一體全結合6.審計過程和測試方法132根據業(yè)務流程，確定系統(tǒng)關鍵控制環(huán)節(jié)，并設計數據分析目標圍繞數據分析目標，建立數據分析模型進行數據分析，發(fā)現(xiàn)數據存在的異?；騿栴}線索針對數據分析發(fā)現(xiàn)的問題，編寫審計需求單提交被審計單位確認并自查原因；審計人員采取前后臺數據比照分析等方法進行驗證，從系統(tǒng)應用控制層面查找原因，從流程、功能、輸入、處理控制等4個方面確認系統(tǒng)存在的問題審計需求信息系統(tǒng)社保業(yè)務社保政策審計方法審計需求審計實踐分析提煉各地社保業(yè)務中的變與不變分析提煉各種信息系統(tǒng)中的變與不變分析提煉審計需求中的共性與個性6.審計過程和測試方法6.審計過程和測試方法〔八〕應用控制審計—信息系統(tǒng)流程控制審計1.具體審計目標：檢查“金保工程〞系統(tǒng)流程設置及控制情況，判斷系統(tǒng)流程控制是否與實際經辦流程相符。2.審計測試過程：要求被審單位提供系統(tǒng)流程設置及控制情況相關資料，與業(yè)務經辦機構人員座談并進行分析性復核測試。3.審計結果通過對“金保工程〞系統(tǒng)的數據結構進行剖析發(fā)現(xiàn)，系統(tǒng)中只設定了參保登記和應繳申報的二級經辦審核機制，無法實現(xiàn)國家規(guī)定的“經辦—審核—復核〞的三級審核機制。6.審計過程和測試方法〔九〕應用控制審計—信息系統(tǒng)功能控制審計1.具體審計目標：檢查“金保工程〞系統(tǒng)功能設置及控制情況，判斷系統(tǒng)功能控制是否滿足實際經辦的需要。2.審計測試過程：要求被審單位提供系統(tǒng)功能設置及控制情況相關資料，與業(yè)務經辦機構人員座談并進行分析性復核測試。3.審計結果企業(yè)根本信息查詢模塊無法實現(xiàn)對統(tǒng)籌區(qū)參保企業(yè)欠費情況的統(tǒng)計匯總，只能按屬期把欠費企業(yè)的數據列出，不能實現(xiàn)對欠費數據按單位匯總，各基層社保經辦機構無法應用查詢功能來加強欠費的催繳等管理工作。6.審計過程和測試方法〔十〕應用控制審計—數據輸入控制審計1.具體審計目標：通過對輸入數據控制功能的審計，檢查系統(tǒng)自身應用控制是否存在漏洞和功能缺陷，評價信息系統(tǒng)的可靠性及效果。2.審計測試過程：審計組制定了較為詳盡的測試方案與細那么，對運行環(huán)境中的程序模塊處理功能進行數據檢測。發(fā)現(xiàn)輸入校驗功能較弱，存在違規(guī)設置事項。測試數據項包括正常、有效的交易數據，不正常、無效的交易數據，破壞性數據，進行多種額度及權限下的有關交易測試。最后，將程序運行結果與預期結果進行比對，判斷有關程序的控制與處理功能是否恰當、有效。6.審計過程和測試方法步驟1通過現(xiàn)場面談觀察法，初步了解系統(tǒng)輸入控制情況步驟2審計人員設計一套特定的測試數據樣本，采用測試數據法，檢查錯誤、重復的關鍵數據是否能夠被拒絕采用數據驗證法，檢查數據之間邏輯關系。步驟36.審計過程和測試方法3.審計結果〔1〕對某些關鍵信息項未作完整性校驗，導致信息不全。在“金保工程〞系統(tǒng)數據的單位根本信息中，全省49090個單位存在行業(yè)代碼為空、組織機構代碼為空、單位工商登記發(fā)照日期為空、單位繳費開戶根本賬號為空、參保單位名稱為空等現(xiàn)象；單位參保信息中，也存在單位參保狀態(tài)正常但參保日期為空的現(xiàn)象。〔2〕對主要信息項未做正確性、合理性檢驗或校驗機制不完善，導致局部數據錯誤。在“金保工程〞系統(tǒng)數據的個人根本信息表中，性別為異常標識〔正常為“1〞或“2〞〕的記錄有3876條；身份證號碼異?！采矸葑C字段長度大于18或小于15或信息為空〕的記錄有968條。〔3〕對主要信息項未做重復性檢驗，導致局部信息存在重復。在“金保工程〞系統(tǒng)數據的單位根本信息中，全省參保單位名稱重復但參保單位編號不一致的記錄為2530條；某市個人根本信息表中，身份證號重復的記錄為59774條，其中最多一個身份證號重復了14次。6.審計過程和測試方法上述做法不符合原勞動保障部?關于進一步加快實施金保工程的意見?關于要加強根底數據庫建設，切實做好根底數據的采集、整理和入庫工作，要按照部里的標準和要求，對根本工程不全、記錄不實的數據，抓緊補齊記實，同時要剔除冗余數據，更正錯誤數據，清理垃圾數據，確保各項數據真實準確的規(guī)定。6.審計過程和測試方法〔十一〕應用控制審計—數據處理控制審計1.具體審計目標：以構建審計分析模型為出發(fā)點，通過采集審計分析模型需要的數據和對數據進行處理分析，判斷和評價系統(tǒng)數據的真實性、合法性、完整性，通過數據審計發(fā)現(xiàn)的問題，提供給審計組成員進行核實，提高工作效率，進而反推信息系統(tǒng)缺陷。2.審計測試過程：分析該系統(tǒng)的數據字典，掌握保存程序運行結果的庫表結構與分布情況，采集了審計所需的數據庫文件，通過SQL等數據庫分析處理工具，對采集的數據文件進行轉換，對照法律法規(guī)要求設定各種運算條件，使用查詢、排序、計算、分析等SQL語句，分別構建邏輯關系模型、審計經驗模型，用于檢查，發(fā)現(xiàn)疑點。6.審計過程和測試方法〔1〕重復繳費審計

2021年至2021年度，某省“金保工程〞系統(tǒng)中存在2058名身份證號相同但個人編號不同的人員繳費記錄，繳費記錄共計53980條。3.審計結果6.審計過程和測試方法6.審計過程和測試方法6.審計過程和測試方法6.審計過程和測試方法6.審計過程和測試方法6.審計過程和測試方法針對以上問題，建議如下：1完善“金保工程”系統(tǒng)管理制度建設，統(tǒng)籌考慮信息系統(tǒng)資金運用。2加強“金保工程”系統(tǒng)規(guī)