政府非税收入征缴信息系统审计探索
蒋开颜 刘七(江苏省南京市审计局)
随着信息化的高速发展,为充分发挥审计保障国家经济社会健康运行的“免疫系统”功能,对支撑被审计单位业务的信息系统开展审计,在各地审计机关具有重要意义。《审计署关于检查信息系统相关审计事项的指导意见》(以下简称《指导意见》)的出台,为开展信息系统审计提供了指引路径。
我们遵循《指导意见》,对某市非税收入收缴管理系统(以下简称非税系统)开展了信息系统审计。本文就审计目标、审计重点、审计方法、审计成效及后续思考进行阐述,希望对审计人员开展信息系统审计有所借鉴。
一、以信息系统的管理和控制为审计核心,准确把握信息系统审计目标
非税收入是政府财政收入的重要组成部分。在深化政府非税收入收缴管理改革进程中,按照财政部“金财工程”要求,多数省市政府部署建设了非税收入收缴管理系统。如何从源头上规范和加强政府非税收入收缴管理,促进健全公共财政体制,确保非税收入征收的公正、透明、规范和高效,对该信息系统的管理和控制进行审计成为审计的核心内容。以揭示系统风险促进管理控制为目标,重点审查信息系统运行的安全性、业务管理的有效性、投资利用的经济性,揭示信息系统存在的缺陷及由此导致的信息安全风险、经济安全风险,结合财政部门信息化建设和应用实际,提出合理化整改建议,促进财政部门加强对非税收入收缴管理系统的管理和控制,提高系统运用效益。
二、以总体控制审计为前提,把握信息系统审计的三个层次
首先是系统总体控制审计。我们在审计通知书下达后,审计还未全面开展前,对信息系统及其管理情况开展了初步调查,了解非税系统建设及财政部门信息化建设投资的基本情况,相关合规性要求,信息化管理部门的基本情况,非税系统的关键业务流程,非税收入执收单位及代理银行情况,以及电子数据等情况。
对总体控制状况的审计测评,主要包括4个方面,一是审查分析非税系统的制度建设、机构设置是否体现了政府非税收入“以票管收”的管理目标、发展战略、信息化规划和业务需求;二是测试分析非税系统技术架构和性能状态;三是审查财政部门信息系统的不同生命周期状态;四是熟悉非税系统的关键业务流程,分析可能存在的关键控制点。
总体控制审计是一种全面性和系统性的审计,在内外部环境中分析、评价,关注非税系统的总体状况及主要风险点,是一般控制审计和应用控制审计把握重点的前提。对总体控制状况的审计测评是开展信息系统审计工作的基础。
其次是一般控制审计。主要是对系统层面的控制审计,包括网络、操作系统、数据库、管理系统及其相关人员的信息技术政策和控制措施。我们在审计中,重点关注机房设施、网络设施、服务器系统、操作系统、数据库系统、系统安全性措施、数据可靠性解决方案等。
第三是系统应用控制审计。主要是对非税系统业务流程、具体应用模块、数据处理的控制审计,核实非税系统与业务需求的符合程度。是否按照“单位开票、银行代收、财政统管”的管理模式,构建了执收单位、代理银行、财政部门实时联网和监控的信息化管理业务平台,提升了非税收入管理效率和水平。重点关注数据输入控制、主数据处理控制、数据输出控制、接口控制等环节。
三、以《指导意见》为指引,明确主要审计事项和重点方法
(一)在总体控制审计方面,通过审阅非税系统业务流程等技术设计文档、操作手册,详细了解系统情况;观察非税系统执收单位开票、银行代收、财政入账、退付、作废、对账、票据流转等业务操作过程,通过符合性测试或对重要控制流程采用少量实质性审查,初步判断关键控制环节和要素,并按总体控制层面、系统控制层面和应用控制层面进行分类及分工落实到审计人员。我们对安全管理、物理环境安全、软件安全、信息系统功能、信息系统运行、数据与接口、灾备、项目建设管理、项目建设效果等9个方面进行了重点关注。
(二)在一般控制审计方面,在总体控制审计的基础上,对安全管理、访问控制、配置管理、职责分离、以及应急计划等关键领域进行审计。
(三)在应用控制方面:一是采用数据测试法,审计人员虚拟部分开票数据,如项目、标准、金额等,提交非税系统进行处理,并把处理结果和预期结果进行比对,以确定被审程序的控制和处理功能是否健全、有效。二是采用平行模拟法,搭建非税模拟系统,处理非税系统的真实数据,并把处理结果与被审程序的处理结果进行比较,以评价被审程序的处理和控制功能是否可靠。三是受控处理法。在系统正常运行中,审计人员监控对各类开票信息的处理,取得相应的处理结果,再将处理结果与审计人员按正确处理原则对相应业务处理后的结果进行比较,判断非税系统控制功能是否恰当有效。四是采用抽样比对法,审计人员抽取部分开票数据重新计算,按“计费数量*计费标准=计费金额”将计算结果与非税系统处理结果进行比对,检查非税系统处理结果是否正确,由此判断非税系统控制功能是否恰当有效。五是采用钩稽验证法,通过开票数量之间、业务数据与财务数据之间、业务数据主表与明细表之间的逻辑关系,检查不同模块之间有相关关系的数据处理结果是否正确,判断信息系统控制是否健全、有效。
四、关注整改,提高审计效益
针对审计查出非税系统“以票管收”关键控制环节存在的漏洞,提出完善计算机网络全过程控制和智能化管理的整改建议。财政部门高度重视审计意见,积极整改,充分发挥了审计“免疫系统”作用,审计成效十分显著。
五、后续思考
一是信息系统审计项目对审计人员要求较高,需要审计业务人员与计算机人员的密切配合,同时专家的指导对审计项目的成功开展具有重要作用。
二是对银行的零柜系统与非税系统之间的数据接口,受地方审计部门对银行审计权限的限制,虽就发现的问题与银行交换了审计意见,但未能追踪软件程序可能存在的问题,在今后的信息系统审计中,有待解决。(蒋开颜 刘七)
我们遵循《指导意见》,对某市非税收入收缴管理系统(以下简称非税系统)开展了信息系统审计。本文就审计目标、审计重点、审计方法、审计成效及后续思考进行阐述,希望对审计人员开展信息系统审计有所借鉴。
一、以信息系统的管理和控制为审计核心,准确把握信息系统审计目标
非税收入是政府财政收入的重要组成部分。在深化政府非税收入收缴管理改革进程中,按照财政部“金财工程”要求,多数省市政府部署建设了非税收入收缴管理系统。如何从源头上规范和加强政府非税收入收缴管理,促进健全公共财政体制,确保非税收入征收的公正、透明、规范和高效,对该信息系统的管理和控制进行审计成为审计的核心内容。以揭示系统风险促进管理控制为目标,重点审查信息系统运行的安全性、业务管理的有效性、投资利用的经济性,揭示信息系统存在的缺陷及由此导致的信息安全风险、经济安全风险,结合财政部门信息化建设和应用实际,提出合理化整改建议,促进财政部门加强对非税收入收缴管理系统的管理和控制,提高系统运用效益。
二、以总体控制审计为前提,把握信息系统审计的三个层次
首先是系统总体控制审计。我们在审计通知书下达后,审计还未全面开展前,对信息系统及其管理情况开展了初步调查,了解非税系统建设及财政部门信息化建设投资的基本情况,相关合规性要求,信息化管理部门的基本情况,非税系统的关键业务流程,非税收入执收单位及代理银行情况,以及电子数据等情况。
对总体控制状况的审计测评,主要包括4个方面,一是审查分析非税系统的制度建设、机构设置是否体现了政府非税收入“以票管收”的管理目标、发展战略、信息化规划和业务需求;二是测试分析非税系统技术架构和性能状态;三是审查财政部门信息系统的不同生命周期状态;四是熟悉非税系统的关键业务流程,分析可能存在的关键控制点。
总体控制审计是一种全面性和系统性的审计,在内外部环境中分析、评价,关注非税系统的总体状况及主要风险点,是一般控制审计和应用控制审计把握重点的前提。对总体控制状况的审计测评是开展信息系统审计工作的基础。
其次是一般控制审计。主要是对系统层面的控制审计,包括网络、操作系统、数据库、管理系统及其相关人员的信息技术政策和控制措施。我们在审计中,重点关注机房设施、网络设施、服务器系统、操作系统、数据库系统、系统安全性措施、数据可靠性解决方案等。
第三是系统应用控制审计。主要是对非税系统业务流程、具体应用模块、数据处理的控制审计,核实非税系统与业务需求的符合程度。是否按照“单位开票、银行代收、财政统管”的管理模式,构建了执收单位、代理银行、财政部门实时联网和监控的信息化管理业务平台,提升了非税收入管理效率和水平。重点关注数据输入控制、主数据处理控制、数据输出控制、接口控制等环节。
三、以《指导意见》为指引,明确主要审计事项和重点方法
(一)在总体控制审计方面,通过审阅非税系统业务流程等技术设计文档、操作手册,详细了解系统情况;观察非税系统执收单位开票、银行代收、财政入账、退付、作废、对账、票据流转等业务操作过程,通过符合性测试或对重要控制流程采用少量实质性审查,初步判断关键控制环节和要素,并按总体控制层面、系统控制层面和应用控制层面进行分类及分工落实到审计人员。我们对安全管理、物理环境安全、软件安全、信息系统功能、信息系统运行、数据与接口、灾备、项目建设管理、项目建设效果等9个方面进行了重点关注。
(二)在一般控制审计方面,在总体控制审计的基础上,对安全管理、访问控制、配置管理、职责分离、以及应急计划等关键领域进行审计。
(三)在应用控制方面:一是采用数据测试法,审计人员虚拟部分开票数据,如项目、标准、金额等,提交非税系统进行处理,并把处理结果和预期结果进行比对,以确定被审程序的控制和处理功能是否健全、有效。二是采用平行模拟法,搭建非税模拟系统,处理非税系统的真实数据,并把处理结果与被审程序的处理结果进行比较,以评价被审程序的处理和控制功能是否可靠。三是受控处理法。在系统正常运行中,审计人员监控对各类开票信息的处理,取得相应的处理结果,再将处理结果与审计人员按正确处理原则对相应业务处理后的结果进行比较,判断非税系统控制功能是否恰当有效。四是采用抽样比对法,审计人员抽取部分开票数据重新计算,按“计费数量*计费标准=计费金额”将计算结果与非税系统处理结果进行比对,检查非税系统处理结果是否正确,由此判断非税系统控制功能是否恰当有效。五是采用钩稽验证法,通过开票数量之间、业务数据与财务数据之间、业务数据主表与明细表之间的逻辑关系,检查不同模块之间有相关关系的数据处理结果是否正确,判断信息系统控制是否健全、有效。
四、关注整改,提高审计效益
针对审计查出非税系统“以票管收”关键控制环节存在的漏洞,提出完善计算机网络全过程控制和智能化管理的整改建议。财政部门高度重视审计意见,积极整改,充分发挥了审计“免疫系统”作用,审计成效十分显著。
五、后续思考
一是信息系统审计项目对审计人员要求较高,需要审计业务人员与计算机人员的密切配合,同时专家的指导对审计项目的成功开展具有重要作用。
二是对银行的零柜系统与非税系统之间的数据接口,受地方审计部门对银行审计权限的限制,虽就发现的问题与银行交换了审计意见,但未能追踪软件程序可能存在的问题,在今后的信息系统审计中,有待解决。(蒋开颜 刘七)
| 【关闭】 【打印】 |
