开展信息系统审计的探索与思考——以某市园林部门电子门票信息系统审计为例
陈升 魏立新 杭曼曼(江苏省苏州市审计局)
随着被审计单位信息系统的普及,信息系统审计已日趋重要,各地审计机关也在积极探索信息系统审计的新思路与方法。近日笔者在对某市园林部门审计中,发现该部门投入532万元购置了门票信息系统用于整个园林系统票务管理,但运行实效不明显、多项功能未启用,通过对该门票信息系统的绩效审计,帮助被审单位分析查找系统运行不畅的原因,通过审计整改,取得了良好的预期效果。
一、 主要做法
(一)扎实开展审前调查。
首先,审计人员收集了园林门票信息系统的合同、技术方案、招投标文件等资料,并通过查询了解到,该系统通过网络将各园林景区售票、检票以及票务统计等数据实时上传至园林局中心数据库以实现计算机售票、检票、查询、汇总、统计、报表等功能,审计人员认为开展信息系统审计有基础。其次,审计人员对某园林景点进行了一次初步调查,重点检查财务数据与系统汇总的门票收入是否一致,结果两者数据相差甚大,认为进行门票系统审计势在必行。
(二)合理确定审计重点。
信息系统审计重点一般关注系统的“安全性”、“可靠性”和“效益性”。根据门票系统将各园林分数据库传送数据到总数据库、分别采用C/S和B/S结构模式实现门票管理和查询统计的特点,确定“安全性”侧重对门票系统的数据安全是否得到保障进行审计;“可靠性”侧重对数据传输及双方验证机制和软件流程设计漏洞的排查;“效益性”侧重于结合财务数据、审查门票系统是否得到高效利用。
(三)灵活选择审计内容。
1.为数据安全夯实基础。
首先,审计人员详细检查了机房及其硬件设备,包括:(1)查看合同中的设备是否齐全,是否与中标型号一致;(2)查看机房几条供电线路,了解断电后UPS持续可供电时间;(3)检查物理防火墙及其设置;(4)在数据服务器上查看数据备份频率以及数据库是否异机备份。其次,审计人员调查了数据传输方式,并询问了故障(如:断电、服务器崩溃等特殊情况)应急处理的方案。
2.系统的“可靠性”测试。
一是审查数据传输机制与数据双方自动验证机制是否完善。主要方法是核对信息系统的总数据库与各园林分数据库的数据是否一致,追查是否在分数据库传送到总数据库过程中发生数据丢失、数据传送后主服务器与分服务器如何验证。二是软件流程设计漏洞的排查。查看数据库中是否有数据异常,如:查看各园林每天的门票销售收入是否正常,有无当天销售记录为空的情况。
3.系统的“效益性”审计。
首先,通过演示系统操作流程确定门票系统的功能是否达到了被审计单位的要求。其次,核实功能是否充分利用。一是通过核实数据库的票务收入与财务收入的差异,查找是否有门票收入未纳入系统反映。二是通过登录账号的设置、登录日志文件了解工作人员登录情况。同时,审计人员还对门票信息系统的功能整合及后续升级提出了几点建议,期以借助门票系统的规范化流程在旅游市场管理中发挥作用。
二、 取得成效
(一)发现问题。
一是数据安全方面存在未建立故障预警机制、数据未异机备份等问题。二是软件设计可靠性方面存在数据传输日志缺失、登录日志不完整、门票有效期过长等问题。三是系统未得到高效利用,包括:份额较大的应收票务收入未纳入门票系统;个别单位仍沿用手工售票模式;园林部门尚未启用查询分析等功能。
(二)审计建议。
一是确保系统安全运行,包括:建立短信预警机制、数据刻光盘备份等。二是提高数据可靠性,包括:改进园林局与各园林景区间数据库自动验证机制;将各景区门票印刷领取等数据同步到园林局数据库等。三是提高系统的利用率并拓展系统功能。即充分利用门票系统的各项功能,将自助售票、网络售票等功能纳入系统。
(三)整改成果。
一是市园林管理部门已开通领导查询功能,并针对审计建议正在酝酿下一步电子门票系统后续升级。二是园林系统将着手提高利用系统效率,目前已明确三项工作:各景点配备熟悉系统的管理操作人员;摒弃手工售票模式、全部采用电子售票方式;应收票务业务全部纳入电子门票系统管理,下一步将利用本系统延伸签单、网上售票、自助售票、旅行社、导游管理等功能,进一步管制“黑导、黄牛”的生存空间。三是软件公司对于审计建议,也积极响应,在审计过程中已开始一一整改,包括:建立短信通知预警机制,数据刻录光盘备份,健全数据传输日志、用户登录日志,控制门票有效期等。
三、收获体会
(一)勇于探索实践是前提。此次结合财务数据对信息系统审计是一次新的尝试。为此,审计人员克服了畏难情绪,积极探索审计思路,勇于实践审计方法,顺利完成项目,单独出了一份绩效审计报告。
(二)取得理解支持是保证。被审计单位作为园林管理部门,非常希望知晓门票系统是否存在会造成园林门票损失的漏洞。审计人员顺利拿到数据库和数据字典,软件开发商多次演示操作流程、介绍系统功能和相关参数设置,与被审计单位的配合密不可分。
(三)有效整合资源是关键。此次审计,审计机关领导高度重视,多次召集审计组开会讨论,把握审计方向;计算机审计专业人才加入了审计组,结合了财务审计骨干和计算机技术骨干的思路与建议,多次开展小组讨论会审,从不同的角度来提炼审计重点,明确了审计的目标。
(四)提高自身素质是重点。一是需开拓视野,勤于思考。审计人员需要借鉴优秀信息系统审计案例的经验,结合信息系统的特点确定审计方法。二是需掌握专业技能,包括:财务审计、数据库、信息系统安全知识和技能等。三是需与被审计单位人员及软件开发商加强沟通,了解更多的软件需求、设计、架构、使用等方面的信息。(陈升 魏立新 杭曼曼)
一、 主要做法
(一)扎实开展审前调查。
首先,审计人员收集了园林门票信息系统的合同、技术方案、招投标文件等资料,并通过查询了解到,该系统通过网络将各园林景区售票、检票以及票务统计等数据实时上传至园林局中心数据库以实现计算机售票、检票、查询、汇总、统计、报表等功能,审计人员认为开展信息系统审计有基础。其次,审计人员对某园林景点进行了一次初步调查,重点检查财务数据与系统汇总的门票收入是否一致,结果两者数据相差甚大,认为进行门票系统审计势在必行。
(二)合理确定审计重点。
信息系统审计重点一般关注系统的“安全性”、“可靠性”和“效益性”。根据门票系统将各园林分数据库传送数据到总数据库、分别采用C/S和B/S结构模式实现门票管理和查询统计的特点,确定“安全性”侧重对门票系统的数据安全是否得到保障进行审计;“可靠性”侧重对数据传输及双方验证机制和软件流程设计漏洞的排查;“效益性”侧重于结合财务数据、审查门票系统是否得到高效利用。
(三)灵活选择审计内容。
1.为数据安全夯实基础。
首先,审计人员详细检查了机房及其硬件设备,包括:(1)查看合同中的设备是否齐全,是否与中标型号一致;(2)查看机房几条供电线路,了解断电后UPS持续可供电时间;(3)检查物理防火墙及其设置;(4)在数据服务器上查看数据备份频率以及数据库是否异机备份。其次,审计人员调查了数据传输方式,并询问了故障(如:断电、服务器崩溃等特殊情况)应急处理的方案。
2.系统的“可靠性”测试。
一是审查数据传输机制与数据双方自动验证机制是否完善。主要方法是核对信息系统的总数据库与各园林分数据库的数据是否一致,追查是否在分数据库传送到总数据库过程中发生数据丢失、数据传送后主服务器与分服务器如何验证。二是软件流程设计漏洞的排查。查看数据库中是否有数据异常,如:查看各园林每天的门票销售收入是否正常,有无当天销售记录为空的情况。
3.系统的“效益性”审计。
首先,通过演示系统操作流程确定门票系统的功能是否达到了被审计单位的要求。其次,核实功能是否充分利用。一是通过核实数据库的票务收入与财务收入的差异,查找是否有门票收入未纳入系统反映。二是通过登录账号的设置、登录日志文件了解工作人员登录情况。同时,审计人员还对门票信息系统的功能整合及后续升级提出了几点建议,期以借助门票系统的规范化流程在旅游市场管理中发挥作用。
二、 取得成效
(一)发现问题。
一是数据安全方面存在未建立故障预警机制、数据未异机备份等问题。二是软件设计可靠性方面存在数据传输日志缺失、登录日志不完整、门票有效期过长等问题。三是系统未得到高效利用,包括:份额较大的应收票务收入未纳入门票系统;个别单位仍沿用手工售票模式;园林部门尚未启用查询分析等功能。
(二)审计建议。
一是确保系统安全运行,包括:建立短信预警机制、数据刻光盘备份等。二是提高数据可靠性,包括:改进园林局与各园林景区间数据库自动验证机制;将各景区门票印刷领取等数据同步到园林局数据库等。三是提高系统的利用率并拓展系统功能。即充分利用门票系统的各项功能,将自助售票、网络售票等功能纳入系统。
(三)整改成果。
一是市园林管理部门已开通领导查询功能,并针对审计建议正在酝酿下一步电子门票系统后续升级。二是园林系统将着手提高利用系统效率,目前已明确三项工作:各景点配备熟悉系统的管理操作人员;摒弃手工售票模式、全部采用电子售票方式;应收票务业务全部纳入电子门票系统管理,下一步将利用本系统延伸签单、网上售票、自助售票、旅行社、导游管理等功能,进一步管制“黑导、黄牛”的生存空间。三是软件公司对于审计建议,也积极响应,在审计过程中已开始一一整改,包括:建立短信通知预警机制,数据刻录光盘备份,健全数据传输日志、用户登录日志,控制门票有效期等。
三、收获体会
(一)勇于探索实践是前提。此次结合财务数据对信息系统审计是一次新的尝试。为此,审计人员克服了畏难情绪,积极探索审计思路,勇于实践审计方法,顺利完成项目,单独出了一份绩效审计报告。
(二)取得理解支持是保证。被审计单位作为园林管理部门,非常希望知晓门票系统是否存在会造成园林门票损失的漏洞。审计人员顺利拿到数据库和数据字典,软件开发商多次演示操作流程、介绍系统功能和相关参数设置,与被审计单位的配合密不可分。
(三)有效整合资源是关键。此次审计,审计机关领导高度重视,多次召集审计组开会讨论,把握审计方向;计算机审计专业人才加入了审计组,结合了财务审计骨干和计算机技术骨干的思路与建议,多次开展小组讨论会审,从不同的角度来提炼审计重点,明确了审计的目标。
(四)提高自身素质是重点。一是需开拓视野,勤于思考。审计人员需要借鉴优秀信息系统审计案例的经验,结合信息系统的特点确定审计方法。二是需掌握专业技能,包括:财务审计、数据库、信息系统安全知识和技能等。三是需与被审计单位人员及软件开发商加强沟通,了解更多的软件需求、设计、架构、使用等方面的信息。(陈升 魏立新 杭曼曼)
| 【关闭】 【打印】 |
