住房公积金信息系统审计初探
王强(江苏省南京市审计局)
【发布时间:2011年06月29日】
字号:【大】 【中】 【小】

摘要:进行信息系统审计,可以避免信息化条件下的“假账真查”,本文较详细地介绍了某次住房公积金信息系统审计的思路、过程和方法。
关键词:信息系统 审计 公积金

信息化条件下,审计人员如果仅仅对计算机、财务软件中保存运行的数据进行计算、核对,而没有能力对处理财政财务业务的信息系统进行检查,很可能形成信息化条件下的“假账真查”。为了避免出现这样的尴尬情况,我们就需要进行信息系统审计,信息系统审计的全称是信息系统审计与控制(Information  System  Audit  and  Control  ),它所从事的工作,与目前国人所理解、所熟知的审计,在内容上有相当大的差异,审计的对象进一步扩大为整个信息系统,比传统的审计要宽泛得多。其基本描述为:“对计算机上的通信和操作的内容进行采集、分析、追踪、审查,提出警告信息,并给予日志性记载。”近日笔者参与了对外地某住房公积金管理中心的信息系统审计,下面简单介绍一下我们的基本做法。
信息系统审计的前期准备
信息系统审计在前期准备阶段,我们需要从总体上了解被审计单位信息系统的概貌,比如几大模块、使用何种操作系统和数据库软件等,同时获得相关文档资料、信息系统规章制度和电子数据。为此,我们分别设计并打印了多份关于信息系统开发、部署、使用等情况的“信息系统基本情况调查表”、“信息系统调查提纲”,同时准备一份所需资料(含数据)清单。在与被审单位初步接触时,把调查表和问题提纲提交给他们,让对方填写后当场反馈给我们,并把资料清单提交给他们进行准备。同时通过询问、观察和小范围座谈等方式了解信息系统概况,把所见、所听和所感进行记录。之后通过电话等方式,进一步把有关情况进行核实,同时取得电子数据等相关资料。
信息系统审计的内容与技术方法
正式进点后我们把在前期有疑问的方面与信息中心的领导及相应技术人员进行交流,并现场详细察看他们的工作流程和机房状况。总的来说,在这个阶段我们主要运用了调查表法、座谈、现场观察、查阅相关资料、实际操作和数据验证等系统审计方法。具体技术方法如下:
(一)内部控制制度审计
目的:审计被审计单位的内部控制制度的健全性和有效性
方法:
1.通过座谈、现场观察等方法,掌握被审计单位信息系统的内部控制制度基本情况。通过询问技术人员,了解该单位的信息系统维护方面是否专门进行人员分工,是否存在谁遇到问题谁进行处理这样的职责不分的混乱情况存在。
2.资料查阅法。查阅被审计单位《中心计算机管理办法》等资料,了解被审计单位信息系统管理方面的具体规定。检查是否存在文件上规定各个岗位要落实到具体人员,但并没有把文件内容完全落到实处,浮于形式的情况。
3、询问、实际操作法、查阅资料法。在信息系统的使用上,要了解是否每个岗位的使用人员都进行了权限设置,为此我们询问技术人员,并实际以管理员身份登录察看权限设置,同时查阅开发时的技术文档,了解该系统权限设置是按角色进行还是按照岗位进行。设置权限时,不具有相应权限的人员能否看到不应该看到的功能菜单等。
4.日志查看法。检查该单位是否有完整的系统运行日志,包括业务日志和数据库日志。保存的日志是否有专人定期查看。
(二)信息系统安全性,硬件、程序与系统结构审计
目的:审计该单位信息系统的安全性和合理性
方法:
硬件方面:
1、通过调查表,我们清楚了该单位硬件的购买年代、品牌和型号等信息,了解了信息系统的基本硬件配置情况。了解是否有需要尽快更新的老化设备。
 2、查阅技术资料法。了解数据库系统存放的服务器年代是否久远,数据库服务器硬件设备是否多品牌型号共存。因为如果数据库服务器硬件设备是由前后相差多年的不同品牌的服务器组成,年代较远的服务器易成为整个系统的速度瓶颈,影响速率。另外检查服务器的容量是否已经接近饱和,能否进行较大的扩充。
系统架构方面:
3.结构图法。从回馈的问题提纲中我们了解到整个系统建立灾备中心的情况。同时让对方绘制信息系统总体分布图,把握被审计单位信息系统的总体情况;绘制核心信息系统的数据流程图,掌握关键系统的数据处理流程。并与有关银行的信息中心进行联系,弄清整个系统的备份策略,并对该策略的安全性、可靠性及实用性等作出评估。
4、通过查看调查表,并进行实际的电子数据查看、导出操作,弄清该信息系统是否共存有两种以上数据库软件,因为多数据库方式不仅增加了技术人员的维护成本,同时也影响了系统的反应速度。
软件程序方面:
5、实地考察法和实际操作法。在清楚了该系统的基本操作步骤后,我们来到公积金中心的柜面前台,并选择实际的准备进行公积金贷款的一户进行输入和审核操作测试。根据我们的操作和柜面工作人员的介绍,并翻阅了相应的文档,我们清楚了整个系统实际工作流状况,然后对该系统操作的繁易程度,是否容易出错作出评价,并与后面的数据审计进行相互验证。
7、座谈法。从与对方的多次座谈中我们了解到该单位信息系统的发展历史,包括硬件的更新换代,软件的规划、设计和开发,系统的主要变动情况,以及该系统在存储方面的基本状况和系统可扩展性大小等。
(三)数据正确性与完整性审计
目的:基于数据分析的信息系统审计目标主要是通过检查系统数据的准确性、完整性和一致性来确定计算机系统处理业务的真实性、合法性,以及被审对象的业务活动的真实性、合法性和有效性。基于数据的计算机审计方法,将大大提高审计工作效率和审计质量,规范审计行为,降低审计风险。
方法:〔电子数据分析法〕
利用数据进行审计是系统审计框架的重要组成部分,它可以将传统的审计经验和计算机技术结合起来,使审计人员在现有的条件下进行信息系统审计。一般通过数据获取、样本抽取、异常项目调查、数据分析与处理等方法进行测试、检查、分析与核对。基于数据的审计方法的审计要素主要有以下几个方面:
1、数据完整性检查。对系统中的数据进行处理,并将处理的结果与被审计单位提供的报表、其他来源的数据进行核对,确定数据的完整性。
2、异常数据的挑选。对各个系统的数据进行排序、分层、抽样、复算、比较、核对,挑选逻辑上、核对上异常数据,为传统审计提供线索,为系统审计提供方向。
3、不同系统间数据核对。检查系统间的数据传递核对机制是否存在;挑选核对异常数据,检查系统间数据传递核对机制是否完善。
4、数据文件、表文件的检查。
鉴于验证的方面比较多,各部分又比较相似,由于篇幅原因,本文仅选择归集子系统中表内数据一致性审计、表间数据一致性审计加以说明。
1、公积金归集子系统中表内数据一致性验证审计
验证每一个表自身各字段数据之间是否有不一致的情况,例如对“公积金明细表”中字段“借贷标志”(1表示借,2表示贷)与“摘要”中互相矛盾的记录,可设条件借贷标志为2(表示贷,公积金缴存)而摘要为“还”贷(应该对应借贷标志为1)的情况进行查询。
2、公积金归集子系统中表间数据一致性验证审计
验证基础资料数据表之间的数据是否有不一致的情况存在,记录每笔业务发生情况的几个数据表之间的数据(总数与明细数等)是否一致。如表“公积金单位开销户登记表”与“公积金单位帐表”中的开户单位不一致情况查询。如果存在某条数据在A表中有而在B表中无的情况,则要查找原因,并判断系统是否在控制上存在问题。以基础资料数据表的相互验证为例的模型图如下:

 
信息系统审计建议
根据住房公积金中心信息系统当前的软硬件现状,及审计中发现的问题,我们提出如下建议:
1、建议进一步完善内部控制制度,明确系统维护人员职责分工,加强规章制度的执行力度;
2、建议进一步加强硬件管理,在建立新系统时应对系统硬件架构进行科学规划,既要考虑各硬件之间的相互配合,又要考虑前瞻性;
3、基于住房公积金管理工作流程,进一步完善系统架构,增强系统安全性。构建科学合理的软件平台,完善程序功能。(王强


参考文献:
1、董化礼 刘汝焯 等编著 《计算机审计》系列丛书
2、孙强《信息系统审计:安全、风险管理与控制》机械工业出版社

【关闭】    【打印】