浅谈社保基金信息系统审计(湖北省十堰市审计局)
赵邦芳 黄鑫(湖北省十堰市审计局)
近年来,社保机构的信息化程度不断提高,社保基金五大险种的业务经办、公共服务、基金监管和宏观决策等核心领域越来越依赖于信息系统强大的存储、分析、处理能力。因此,信息系统审计已成为社保审计未来的重要发展方向。
一、开展社保信息系统审计的必要性
社会保障是一项社会性系统工程,涉及到政府职能部门、众多参保单位、相关各级机构、参保个人等方方面面,且对信息传递、处理和保存的要求极高。社会保障的管理工作是一项高复杂度、高要求的社会工程,需要大量利用现代信息处理技术手段,社会保障管理信息系统的安全性、可靠性、经济性是社会保障管理的基础。
传统数据式审计是以被审计单位底层数据库原始数据为切入点,通过对底层数据的采集、转换、整理、分析和验证,形成审计中间表,并且运用查询分析、多维分析、数据挖掘等多种技术方法构建模型进行数据分析,发现趋势、异常和错误,把握总体、突出重点、精确延伸,从而收集审计证据,实现审计目标的审计方式。
信息系统审计与数据式审计都涉及到对系统数据的审计,但两者对数据的利用角度是不一样的。数据式审计侧重于数据之间的关联,主要审计数据的结果,而信息系统审计主要关注数据的真实完整性,通过测试数据的真实性、完整性来审计系统的安全性、可靠性。而大多数据审计发现的问题都是由于信息系统的漏洞和缺陷而产生的,只有通过开展信息系统审计才能从根源上找出问题产生的原因。
二、实施社保信息系统审计的主要内容
(一)掌握信息系统的总体情况。信息系统的总体情况包括:信息系统的组织管理工作是否按照相关控制制度进行职责分离,人员配备与管理上是否存在不合理的地方,系统是否存在相关的控制措施,是否建立对数据与计算机程序的访问控制制度。
主要通过查看社保信息系统建设方案、座谈了解、实地调查等方法,掌握社保信息系统的总体建设情况,应用软件运行状况,界面设计情况等。我市社保信息系统经办业务的实现基于生产库进行构建,以集中式资源数据库为基础,实行“五保合一”,实现对社会保险的登记、申报、征缴、发放(含异地发放)、财务、稽核、统计等业务经办全过程进行管理。下图为社会保险系统的业务流程:
|
(二)业务流程控制审计。
业务流程控制审计包括:数据输入控制、数据处理控制和数据输出控制,业务授权与审批控制,从而验证软件的各项功能是否正常有效,确保数据的真实性完整性,也是现阶段信息系统审计的主要内容。
对社保信息系统而言,参保人员基本信息的准确性至关重要。但因目前尚未实现社保公安数据联网对接,人员身份证号信息无法准确判断真实有效性,但可以从数据约束上入手减少错误信息率,对身份证号信息录入时进行约束。根据身份证号码编码规则,前6位为地区代码,第7到14位为出生日期,第17位为性别位。可根据《中华人民共和国行政区划代码》(GB T2260-2002)编码规则、日期时间判断、奇偶判断等来判断身份证号输入的有效性,系统应禁止录入不符合要求的身份证号码,来提高身份证号码录入的准确性。
(三)安全控制审计。安全控制审计主要包括:1.数据安全控制审计,主要验证用户权限管理,加密系统,存取系统,数据备份系统等功能是否有效。2.软件安全控制审计,如杀毒软件安装,对网络构架和防火墙的配置等。3.实体安全控制审计,如机房配套、电源稳定性、防火等处理及对突发性事件的处理是否有相应的处理规程和行动计划。
社保基金关系民生,数据安全尤为重要。社保部门也对社保信息系统安全非常关注,如设立独立的机构和机房专门维护监控社保信息系统。对网络中的主机及服务进行基于地址的粗粒度访问控制和基于用户及文件的细粒度访问控制,对重要信息的传输加密保护,利用数字证书系统实现重要数据的加密传输,身份认证等,实现关键主机系统的冗余及备份和灾难恢复。通过在系统中配备实时监控及入侵检测系统,加强对重要网段和关键服务器的保护,采用网络防病毒系统与单机防病毒软件相结合。
(四)系统界面审计。系统界面审计主要包括:系统的容错性、易用性以及合规性。系统界面容错性审计如系统对用户误操作及非法数据是否能提示等。系统界面易用性审计如界面是否直观清楚,有无中英文混杂、提示信息是否易理解等。系统界面合规性审计如政策法规中明确规定的内容是否固化,有无可人为调节的情况。
在社会保险基金业务中,缴费核定和待遇支付核定都有明确的文件规定标准。如养老保险缴费核定界面中缴费基数、缴费比例等信息是不可人工输入的,缴费基数即缴费工资基数根据个人实际工资由系统导入,灵活就业人员可自己确定但都必须在当地三年社会平均工资的60%和300%之间,缴费比例全国统一。养老保险离退休待遇核定界面中,人员基本信息、历年当地社会平均工资由系统从数据库中取得,平均缴费指数、指数化缴费工资、基础养老金、过渡性养老金、个人账户养老金等都应由系统计算而直接生成。
(五)数据库管理审计。数据库管理审计主要包括:数据库配置是否合理,能否有效支持数据库运行要求,数据库管理制度是否完善,并执行到位。
社保信息系统业务量大,要求数据储存周期长,应选择大型数据库作为该信息系统的数据库。如Oracle数据库是目前流行的大型数据之一,具有完整的数据管理功能、数据的大量性、数据的保存的持久性、数据的共享性、数据的可靠性、完备关系的产品、保证访问的准则、数据物理性和逻辑性独立准则、分布式处理功能、能轻松的实现数据仓库的操作等特点。能够满足社保信息系统的需求。
(六)系统运营效益审计。系统运营效益审计主要包括:信息系统初始成本及运行成本与提供社会服务量的比较分析,目标社会服务量与实际社会服务量对比分析,看有无浪费人财物。
三、社保信息系统审计的主要技术与方法
(一)数据测试法
数据测试法是指为验证数据输入、处理和输出控制的有效性,采用模拟数据对运行系统或者备份系统进行符合性测试;对重要的计量、计费、核算、分析等计算功能及其控制进行设计文档审查、系统设置检查和数据实质性测试的审查。
社保信息系统审计中通过输入模拟数据模拟社保业务办理的整个过程,并可通过输入的模拟数据了解对应的数据在系统数据表中存放的位置,通过输入典型数据来检查系统的甄别功能。如我们通过社保信息系统的测试库账号,模拟姓名相同初次参保增加录入、身份证号相同初次参保增加录入、个人养老保险的缴费核定、离退休待遇核定、在职职工管理、缴费基数管理、退休职工管理、退休工资管理、养老支付处理等模块对涉及到的业务进行现场模拟操作。输入错误信息、特殊信息或不完整信息来检查系统对数据录入的约束情况。
(二)数据验证法
数据验证是指对信息系统采集数据、转换数据以及处理数据的过程及结果进行符合性与实质性的测试,从而验证信息系统处理数据的符合性、一致性及准确性。
数据采集转换验证法的目的是验证数据采集的完整性和数据转换的正确性。在数据采集转换过程中可能存在因异构数据库转换、文本转换、结构化和非结构化转换、不同类型和格式转换等原因造成数据的不一致性。如对采集转换后的数据通过核对记录数、核对总金额、判断钩稽关系、数据结构确认等办法,逐一检查确保数据的正确性和完整性。
数据处理验证时通过对数据库SQL语句进行转换解析,实现对各类经济业务活动的计量、计费、核算、汇总等计算的符合性与准确性进行验证。例如:
1. 对离退休待遇核定进行复算
社保信息系统中离退休人员待遇核定涉及较为复杂的计算方法,可根据相关文件规定对离退休人员待遇核定情况进行复算,检查系统计算的准确性和是否有人为调整的情况。
2. 对基本养老保险调节金支出进行验算
调节金为固定支出,根据离退休人员待遇支付年度确定调节金多少,自2006年起调节金为100元,之后每年递减10元,2015年后不再支付调节金,我们通过SQL语句对离退休人员待遇支付表中支付调节金金额和支付费款所属期进行检查,看是否存在不按规定时段金额支付调节金的情况。操作流程如下:
|
社保信息系统业务数据涉及五大险种,不同险种之间存在一定关系,不同数据表中也存在相关的内容,可通过对比分析的方法来查找问题。例如:
1.对比养老保险单位缴费信息和个人缴费信息
通过养老保险单位缴费明细表中申报的缴费人数和个人应缴实缴明细表中按单位分组汇总出的缴费人数进行比较,检查缴费单位各月申报的职工人数是否相同。发现不同的情况可能是由于企业试图在少缴统筹的同时,为更多职工缴纳个人部分金额,实现“少缴纳、多覆盖”的目的。同时关注企业缴费人数各月出现异常的大量增减的单位。操作流程如下:
|
通过SQL语句将单位缴费明细表缴费基数和个人缴费明细表中分单位汇总的缴费基数进行比较计算,比较两者之间是否存在差异。流程如下:
|
通过SQL语句将离退休待遇支付信息和失业金支付信息对比出离退休人员在享受了离退休待遇后仍然领取失业金的情况。流程如下:
|
1.在社保计算机审计中,信息系统审计是基础,只有确保信息系统的安全可靠,才能确保信息系统中数据的真实性和完整性,因此应大力开展信息系统审计,勇于探索,开拓创新。同时,要认识到信息系统审计市计算机审计的一个重要组成部分,必须要在用好计算机审计已有数据审计方法的基础上才能搞好信息系统审计。
2.从这次开展的社保信息系统审计来看,由于现在信息化的快速发展,特别是社保信息化投入很大。但信息化建设由于专业性较强,在审计监督中长期处于未被监管状态。我们信息系统审计也处于探索实施的阶段,虽然也总结了一些案例和经验做法,但要形成常规有效的做法,还需要在实践中不断总结和提炼。
3.信息系统审计和数据审计对系统数据的利用角度是不一样的。数据审计侧重数据之间的关联,是审计数据的结果;而信息系统审计侧重于数据的真实完整性,是通过测试数据的真实完整性来审计信息系统的安全可靠性。(赵邦芳 黄鑫)
参考文献:
1.《信息系统审计实务》 中国时代经济出版社
2.《社保基金信息系统审计的重点和方法》
| 【关闭】 【打印】 |
