江苏:科学规划 勇于创新 大力推进信息系统审计
近年来,在审计署的领导下,江苏各级审计机关解放思想,开拓创新,大力开展信息系统审计的实践和探索。截至2011年底,我省已开展信息系统审计项目近300个,以掌握信息系统内部控制流程为前提;以检查信息系统合法性、合规性为基础;以审核信息系统有效性、经济性、安全性为重点的信息系统审计模式逐渐形成。2009年,全省共向审计署报送信息系统审计案例78篇,占全国报送篇数的34%,其中4篇被审计署评为优秀典型案例,在全国信息系统审计高级研讨班上进行专题演示汇报。我们的主要做法是:
把握“三个阶段”,科学规划部署
我们将开展信息系统审计作为加强审计信息化建设的一项重要内容,把握“项目试点、典型推广、全面推进”三个阶段,统筹安排,层层推进,全省信息系统审计工作有力有序展开。
一是抓好项目试点。2005年,我们在《江苏省2005-2010年审计信息化发展规划》中明确提出,要“大力推广普及计算机审计……同时要积极探索信息系统审计”。2006年,各级审计机关选取地方税务、住房公积金信息系统等进行审计试点,对信息系统审计进行了有效的尝试。二是做好典型推广。2008年,在两年审计试点的基础上,我们在全省审计信息化工作会议上,及时总结推广徐州贾汪区等试点单位开展信息系统审计的经验做法,并在当年的工作任务中明确提出“省辖市审计机关各选择1个审计项目,结合财政财务收支审计,开展信息系统审计”,进一步推动了信息系统审计工作开展。三是注重全面推进。2011年,在《江苏省“十二五”审计工作发展规划纲要》中,我们又明确提出,要积极“开展信息系统审计。省、市审计机关每年至少要完成1个信息系统审计项目,县级审计机关根据项目情况探索信息系统审计”。通过连续几年的稳步推进,全省审计机关对信息系统审计的认识逐步深化,信息系统审计的思路日益清晰,信息系统审计的广度和深度不断拓展。
二、抓住“三个重点”,强化智力支持
信息系统审计,关键在人。我们抓住信息系统审计“骨干力量、领军人才、理论研究”三个重点,加大培训力度,加强理论引导,有力推动了信息系统审计开展。
一是大力培养信息系统审计骨干力量。我们把教育培训作为推进信息系统审计的首要任务,积极组织人员参加署计算机中级培训,努力提高审计人员在信息化条件下开展审计工作的能力,为信息系统审计开展打下了坚实基础。目前全省审计机关共有1077人通过署计算机审计中级考试,占全省审计系统的1/3。二是努力打造信息系统审计专业领军人才。我们积极选拔审计人员参加署信息系统审计培训和研讨,鼓励倡导审计人员自学钻研,全省涌现出一批获得国际注册信息系统审计师(CISA)资格证书的审计人员,充分发挥了在信息系统审计中的专业引领作用。三是广泛开展信息系统审计研讨交流。2010年,我省组织开展了信息系统审计论文征集活动,共征集论文110余篇,并以信息系统审计为主题,举办了全省审计机关第三届青年审计论坛,有力促进了信息系统审计基础理论研究,在全省审计机关营造了开展信息系统审计的浓厚氛围。2011年,我们组织开展了全省信息系统审计案例竞赛,评选出6个优秀案例进行解剖式演示交流,以点带面,典型示范,有力推动了全省信息系统审计工作开展。
三、坚持“三个原则”,优选项目计划
优选项目,是信息系统审计成败的关键。我们在选择审计项目时,坚持遵循以下三个原则:一是重要性原则。选择财政、税务等重点部门、重点行业、重点资金的信息系统,投入中坚力量,集中攻关,重点突破。二是社会关注度原则。优先选择与群众切身利益联系紧密、社会关注度高的环境保护、医疗保险、企业职工养老保险、福利彩票、医院收费、高校收费等信息系统项目进行审计,均取得较好的效果。三是业务关联性原则。在确定审计对象的基础上,重点选择其核心业务高度依赖的信息系统进行审计,如对住房公积金信息系统、证券公司信息系统、行政中心审批服务系统、交巡警交通管理信息系统等进行审计,促进被审计单位进一步提高信息系统对关键业务的可控性。
四、做好“三个结合”,创新组织实施
在信息系统审计实施过程中,我们不断创新思路,将信息系统审计与财政财务收支审计、联网审计和审计技术创新相结合,有效提升了审计工作效能和审计工作的科学性。
一是把信息系统审计与财政财务收支审计相结合。我们规定,凡是实施信息系统审计的项目,都要实行“双主审”,在审查信息系统的同时,对其财政财务收支进行同步检查,两种审计手段相互提供线索、两种审计结果相互比对验证,审计工作的科学性不断提升。二是把信息系统审计与联网审计相结合。我们将联网审计作为推进信息系统审计的重要平台,凡是实施联网审计的单位,都要进行信息系统审计,确保联网平台信息的真实性、可靠性、完整性,防止错账真审。同时,通过对联网平台的在线操作与分析,评价信息系统的安全性。目前,我省大多数市级审计机关已分别实现了对财政、地税、社会保障、住房公积金等重点领域的联网审计。三是把信息系统审计与技术创新相结合。目前,不少行业的信息系统都包含许多子系统,如环境信息系统,就包括计算机系统、环境监测系统、通讯定位系统等。我们要求,凡是此类项目,要把对其计算机系统的审计与其他子系统审计相结合,确认其协调性、有效性。同时,我们注重把信息系统审计中的技术方法,充分运用到其他审计项目;把其他审计项目中的先进方法,学习借鉴到信息系统审计项目,收到了较好成效。2011年,在审计署创新型审计技术征集活动中,我省共报送创新审计技术64项,其中有62项涉及信息技术,5项涉及信息系统审计。其中,《事前事中事后相结合的环境信息系统绩效审计—以某流域污染源在线监控系统绩效审计为例》及《Google Earth 和GPS等技术在重大投资项目审计中的应用》两项技术成果,在全国审计科研所长专题研讨暨技术创新总结交流会上作专题发言。
五、注重“三个成效”,实现审计目标
在审计过程中,我们重点围绕信息系统的“有效性、经济性、安全性”,深入审究考量,广泛延伸挖掘,有效提升了信息系统审计工作成效。
一是重点关注系统的有效性,促进实现系统目标。
系统的有效性,是信息系统审计的一项重要内容。对有效性的审查,重点关注系统软件能否满足业务开展需要;信息系统日常操作管理、配置管理、问题管理等是否有效;数据生成、存储、传输、处理等是否进行有效控制等。在对某市医院信息系统审计时,审计发现该单位临床检验系统(LIS系统)独立于医院信息系统(HIS系统)之外,且没有建立有效控制的数据接口,导致两个系统的数据无法共享。审计指出后,相关管理部门和医院管理部门对原HIS系统进行了更换。
二是重点关注系统的经济性,促进提升系统效能。
系统的经济性,是信息系统审计的另一项重要内容。对经济性的审查,重点关注建设目标与被审计单位业务的符合程度,以及系统建设目标能否有效推动业务发展等,从而揭露系统建设的不经济性问题。在对太湖流域污染源在线监控信息系统审计时,我们发现部分地区的信息系统存在3点问题:一是信息系统产生的数据没有作为业务管理的主要依据,进一步追溯发现,被审计单位存在电子和手工两套数据,且数据不一致。审计对该信息系统建设的经济性提出质疑。二是发现数据未有效利用的原因,是信息系统中的现场监测子系统设备存在问题,导致原始数据失真,而被审计单位忽略由企业投资的现场监测子系统建设,拟投入巨额财政资金建设高标准、超一流的计算机子系统。审计对这种缺乏“系统”性的资金投向的经济性提出质疑。三是发现多头重复开发软件,不利于系统数据的交换与利用,而且造成资金浪费。审计对这种软件开发的经济性提出质疑。根据审计建议,有关部门调整了设计方案和概算投资,并出台了《江苏省污染源自动监控管理办法》。
三是重点关注系统的安全性,促进防范系统风险。
系统的安全性,也是信息系统审计的一项重要内容。对安全性的审查,主要关注被审计单位是否制定了安全管理制度并得到有效执行;系统硬件安全设施是否有效;关键数据信息资源是否采取了适当的保护措施等。在对某市证券公司信息系统审计时,审计发现,该公司信息中心机房网络布线混乱,并将装有网络跳线的易燃物放置在机房中,没有严格执行《证券营业部信息技术指引》和《证券有限责任公司计算机系统安全管理办法》有关规定,同时发现该信息中心面积不符合《计算机场地建设技术条件》(GB2887-89)有关要求,存在严重的安全隐患。审计指出后,被审计单位采取有效措施,进一步完善了系统安全管理相关制度。
我省的信息系统审计工作虽然取得了一定成绩,但也存在一些不足,主要是信息系统审计项目质量有待进一步提升、信息系统审计人才培养仍需进一步加强、信息系统审计方式方法有待进一步创新等。我们将以此次会议为契机,认真学习兄弟省、市的先进经验,不断提高审计信息化工作水平,为审计工作科学发展奠定更加坚实的基础。
把握“三个阶段”,科学规划部署
我们将开展信息系统审计作为加强审计信息化建设的一项重要内容,把握“项目试点、典型推广、全面推进”三个阶段,统筹安排,层层推进,全省信息系统审计工作有力有序展开。
一是抓好项目试点。2005年,我们在《江苏省2005-2010年审计信息化发展规划》中明确提出,要“大力推广普及计算机审计……同时要积极探索信息系统审计”。2006年,各级审计机关选取地方税务、住房公积金信息系统等进行审计试点,对信息系统审计进行了有效的尝试。二是做好典型推广。2008年,在两年审计试点的基础上,我们在全省审计信息化工作会议上,及时总结推广徐州贾汪区等试点单位开展信息系统审计的经验做法,并在当年的工作任务中明确提出“省辖市审计机关各选择1个审计项目,结合财政财务收支审计,开展信息系统审计”,进一步推动了信息系统审计工作开展。三是注重全面推进。2011年,在《江苏省“十二五”审计工作发展规划纲要》中,我们又明确提出,要积极“开展信息系统审计。省、市审计机关每年至少要完成1个信息系统审计项目,县级审计机关根据项目情况探索信息系统审计”。通过连续几年的稳步推进,全省审计机关对信息系统审计的认识逐步深化,信息系统审计的思路日益清晰,信息系统审计的广度和深度不断拓展。
二、抓住“三个重点”,强化智力支持
信息系统审计,关键在人。我们抓住信息系统审计“骨干力量、领军人才、理论研究”三个重点,加大培训力度,加强理论引导,有力推动了信息系统审计开展。
一是大力培养信息系统审计骨干力量。我们把教育培训作为推进信息系统审计的首要任务,积极组织人员参加署计算机中级培训,努力提高审计人员在信息化条件下开展审计工作的能力,为信息系统审计开展打下了坚实基础。目前全省审计机关共有1077人通过署计算机审计中级考试,占全省审计系统的1/3。二是努力打造信息系统审计专业领军人才。我们积极选拔审计人员参加署信息系统审计培训和研讨,鼓励倡导审计人员自学钻研,全省涌现出一批获得国际注册信息系统审计师(CISA)资格证书的审计人员,充分发挥了在信息系统审计中的专业引领作用。三是广泛开展信息系统审计研讨交流。2010年,我省组织开展了信息系统审计论文征集活动,共征集论文110余篇,并以信息系统审计为主题,举办了全省审计机关第三届青年审计论坛,有力促进了信息系统审计基础理论研究,在全省审计机关营造了开展信息系统审计的浓厚氛围。2011年,我们组织开展了全省信息系统审计案例竞赛,评选出6个优秀案例进行解剖式演示交流,以点带面,典型示范,有力推动了全省信息系统审计工作开展。
三、坚持“三个原则”,优选项目计划
优选项目,是信息系统审计成败的关键。我们在选择审计项目时,坚持遵循以下三个原则:一是重要性原则。选择财政、税务等重点部门、重点行业、重点资金的信息系统,投入中坚力量,集中攻关,重点突破。二是社会关注度原则。优先选择与群众切身利益联系紧密、社会关注度高的环境保护、医疗保险、企业职工养老保险、福利彩票、医院收费、高校收费等信息系统项目进行审计,均取得较好的效果。三是业务关联性原则。在确定审计对象的基础上,重点选择其核心业务高度依赖的信息系统进行审计,如对住房公积金信息系统、证券公司信息系统、行政中心审批服务系统、交巡警交通管理信息系统等进行审计,促进被审计单位进一步提高信息系统对关键业务的可控性。
四、做好“三个结合”,创新组织实施
在信息系统审计实施过程中,我们不断创新思路,将信息系统审计与财政财务收支审计、联网审计和审计技术创新相结合,有效提升了审计工作效能和审计工作的科学性。
一是把信息系统审计与财政财务收支审计相结合。我们规定,凡是实施信息系统审计的项目,都要实行“双主审”,在审查信息系统的同时,对其财政财务收支进行同步检查,两种审计手段相互提供线索、两种审计结果相互比对验证,审计工作的科学性不断提升。二是把信息系统审计与联网审计相结合。我们将联网审计作为推进信息系统审计的重要平台,凡是实施联网审计的单位,都要进行信息系统审计,确保联网平台信息的真实性、可靠性、完整性,防止错账真审。同时,通过对联网平台的在线操作与分析,评价信息系统的安全性。目前,我省大多数市级审计机关已分别实现了对财政、地税、社会保障、住房公积金等重点领域的联网审计。三是把信息系统审计与技术创新相结合。目前,不少行业的信息系统都包含许多子系统,如环境信息系统,就包括计算机系统、环境监测系统、通讯定位系统等。我们要求,凡是此类项目,要把对其计算机系统的审计与其他子系统审计相结合,确认其协调性、有效性。同时,我们注重把信息系统审计中的技术方法,充分运用到其他审计项目;把其他审计项目中的先进方法,学习借鉴到信息系统审计项目,收到了较好成效。2011年,在审计署创新型审计技术征集活动中,我省共报送创新审计技术64项,其中有62项涉及信息技术,5项涉及信息系统审计。其中,《事前事中事后相结合的环境信息系统绩效审计—以某流域污染源在线监控系统绩效审计为例》及《Google Earth 和GPS等技术在重大投资项目审计中的应用》两项技术成果,在全国审计科研所长专题研讨暨技术创新总结交流会上作专题发言。
五、注重“三个成效”,实现审计目标
在审计过程中,我们重点围绕信息系统的“有效性、经济性、安全性”,深入审究考量,广泛延伸挖掘,有效提升了信息系统审计工作成效。
一是重点关注系统的有效性,促进实现系统目标。
系统的有效性,是信息系统审计的一项重要内容。对有效性的审查,重点关注系统软件能否满足业务开展需要;信息系统日常操作管理、配置管理、问题管理等是否有效;数据生成、存储、传输、处理等是否进行有效控制等。在对某市医院信息系统审计时,审计发现该单位临床检验系统(LIS系统)独立于医院信息系统(HIS系统)之外,且没有建立有效控制的数据接口,导致两个系统的数据无法共享。审计指出后,相关管理部门和医院管理部门对原HIS系统进行了更换。
二是重点关注系统的经济性,促进提升系统效能。
系统的经济性,是信息系统审计的另一项重要内容。对经济性的审查,重点关注建设目标与被审计单位业务的符合程度,以及系统建设目标能否有效推动业务发展等,从而揭露系统建设的不经济性问题。在对太湖流域污染源在线监控信息系统审计时,我们发现部分地区的信息系统存在3点问题:一是信息系统产生的数据没有作为业务管理的主要依据,进一步追溯发现,被审计单位存在电子和手工两套数据,且数据不一致。审计对该信息系统建设的经济性提出质疑。二是发现数据未有效利用的原因,是信息系统中的现场监测子系统设备存在问题,导致原始数据失真,而被审计单位忽略由企业投资的现场监测子系统建设,拟投入巨额财政资金建设高标准、超一流的计算机子系统。审计对这种缺乏“系统”性的资金投向的经济性提出质疑。三是发现多头重复开发软件,不利于系统数据的交换与利用,而且造成资金浪费。审计对这种软件开发的经济性提出质疑。根据审计建议,有关部门调整了设计方案和概算投资,并出台了《江苏省污染源自动监控管理办法》。
三是重点关注系统的安全性,促进防范系统风险。
系统的安全性,也是信息系统审计的一项重要内容。对安全性的审查,主要关注被审计单位是否制定了安全管理制度并得到有效执行;系统硬件安全设施是否有效;关键数据信息资源是否采取了适当的保护措施等。在对某市证券公司信息系统审计时,审计发现,该公司信息中心机房网络布线混乱,并将装有网络跳线的易燃物放置在机房中,没有严格执行《证券营业部信息技术指引》和《证券有限责任公司计算机系统安全管理办法》有关规定,同时发现该信息中心面积不符合《计算机场地建设技术条件》(GB2887-89)有关要求,存在严重的安全隐患。审计指出后,被审计单位采取有效措施,进一步完善了系统安全管理相关制度。
我省的信息系统审计工作虽然取得了一定成绩,但也存在一些不足,主要是信息系统审计项目质量有待进一步提升、信息系统审计人才培养仍需进一步加强、信息系统审计方式方法有待进一步创新等。我们将以此次会议为契机,认真学习兄弟省、市的先进经验,不断提高审计信息化工作水平,为审计工作科学发展奠定更加坚实的基础。
| 【关闭】 【打印】 |
