【摘 要】社会保险信息系统为不同险种业务经办提供了操作和管理应用程序，但各种信息技术的应用在增加业务自动化处理过程、提高社会保险经办工作效率和质量的同时，也增加了信息系统本身的操作风险，使人工操作错误转化为信息系统失灵问题。本文按照信息系统审计对应用控制、一般控制和项目管理三个方面审计的原则，围绕组织管理、职责分离、开发建设、运行维护、输入输出、安全防范等关键环节，对如何开展信息系统审计进行剖析。
    【关键词】社会保险 信息系统 审计 关键
    
    社会保险信息系统运用计算机、通信、网络等信息技术手段，实现了社会保险经办数据的高度集中，为不同险种业务经办提供了操作和管理应用程序。各种信息技术的应用，在增加业务自动化处理过程、提高社会保险经办工作效率和质量的同时，也增加了信息系统本身的操作风险，使人工操作错误转化为信息系统失灵问题。因此，有必要对社会保险信息系统进行审计，具体是按照信息系统审计对应用控制、一般控制和项目管理三个方面审计的原则，围绕组织管理、职责分离、开发建设、运行维护、输入输出、安全防范等关键环节，进行实施。
    
    一、信息系统组织管理方面的审计
    审计中应当关注信息系统是否建立在各项业务流程设计基础上，按照业务流程的操作环节、经办岗位设置、岗位职责和权限划分等开发设计；经办机构是否建立信息系统管理和维护岗位，对系统开发过程缺乏参与，对开发商过度依赖；是否建立并完善包括系统操作制度、安全防范制度、网络管理制度、物理和环境安全管理制度、项目开发规范，以及重要业务及敏感数据保护、共享、备份制度在内的各类信息系统安全管理制度；是否建立信息系统开发、变更、维护和操作流程，把明确的业务记录、岗位之间的牵制、上下级之间的审核签字作为流程的一部分，对开发维护过程中程序修改行为是否有效约束。
    
    二、信息系统职责分离方面的审计
    如果信息技术部门和业务部门职责相混淆，信息技术人员和业务人员同时具有系统维护、业务记录修改和业务经办的权限，信息技术部门内部的编程人员、操作人员与数据管理人员未实行岗位分离，则很有可能造成一名工作人员在不需要他人协助的情况下，完成与违规相关的业务经办和数据修改。因此，审计中应关注信息系统访问及操作权限是否缺乏控制。例如，经办人员可随意访问征缴和支付系统，并同时具有减少参保人员、个人账户支付操作权限时，便可通过伪造假退保单的舞弊方法，达到骗取社保资金的目的。
    
    三、信息系统开发建设方面的审计
     不论是自主开发还是委托开发，信息系统建设都要经历需求调研阶段、规划分析阶段、开发测试阶段、实施运行阶段等几个过程。审计中应关注在这些过程中，系统开发建设是否充分考虑社会保险业务需求，是否符合国家总体规划，是否过度分散和重复开发导致资源浪费，是否出现投资大、维护成本高、功能不理想、淘汰快等现象。
    
    系统开发的各个阶段都应形成相应的文档，包括：可行性研究报告、项目开发计划、系统分析说明书、系统设计说明书、程序设计报告、测试计划、系统测试报告、用户手册、操作手册等。审计中还应对这些阶段性文档进行审查。规范的文档意味着系统是按照规范化开发的，而不规范的文档往往意味着信息系统质量仅在形式上就难以保障。
    
    四、信息系统运行维护方面的审计
    在进行系统运行维护时，如果维护人员没有足够的专业水平和经验，可能对系统引入新的错误；如果维护人员在系统中植入“后门”程序，可能会导致经办业务的中断或带来新的隐患。
    
    审计中应关注系统维护是否有严密的操作规程，包括何人能提出维护或修改请求，何人能审批，何人能授权；对系统功能有任何修改要求和业务需求时，是否都有正式的维护或修改申请、审批形式和程序；维护人员是否登记所做的修改，更新相关文档资料，并保留所有与测试程序相关的文档。审计人员可通过检查上述规程、需求和文档，来验证系统运行维护时社保部门内部控制制度的执行力。
    
    五、信息系统输入输出方面的审计
    社保信息需要记录一生、服务一生，社保信息系统数据的正误与真伪，对社会保险业务影响极大。由于全国多数地区社保、医保、工伤、失业、生育五险分办，各险种业务经办以本险种采集的信息为准进行核算和支付，无形中带来一些操作风险隐患，加之信息系统分散建设和分散管理，部分数据出现重复、冗余、矛盾、错误在所难免。
    
    审计人员可关注下列情形：对死亡人员停止支付医疗保险金和基本养老金时间不同步、再就业人员仍在继续领取失业保险金；对参保人员状态和养老待遇领取未建立业务时序控制，出现在职人员未减少即支取养老待遇的违规经办；对输入输出数据进行准确性检测时缺乏相关控制程序，出现逻辑错误信息，如未对参保人员年龄信息输入加以控制，低于法定用工年龄人员有参保行为。
    
    审计人员还可关注计算机自动校验功能是否健全，即除人工核对录入的正确性外，信息系统中嵌入的控制程序对需要处理的数据确定一个合理范围，以校验输入数据是否合乎逻辑。如输入身份证信息时，信息系统对身份证号码长度检查，同时与输入的出生日期、性别联合校验。
    
    审计人员还要关注系统操作日志。询问并检查信息系统是否建立操作日志，识别不同人员对数据库增、删、改操作；是否保留完整的操作痕迹，使业务处理具有可复核性和可追溯性，防范内部人员利用职务之便擅自修改数据。
    
    六、信息系统安全防范方面的审计
    网络作为一种构建在开放性技术协议基础上的信息流通渠道，防卫能力和抗攻击性较弱。审计中应关注社会保险信息系统在网络环境下，信息安全等级保护制度建立和执行情况，包括实体安全控制、软件安全控制、数据安全控制、入侵防范控制、病毒防范控制以及灾难恢复控制等。譬如实体安全控制包括：计算机机房建设是否符合国家相关标准，出入机房是否有记录，是否设立适当的温度、湿度控制，是否设立监控设施以保证各种硬件和存储介质的安全，是否制定了详细的应急预案等。又如入侵防范控制包括：是否实现信息系统与外部访问区域之间的数据隔离，建立防火墙，限制外界对主机操作系统的访问，及穿过访问区域对内联网、尤其是对信息系统的访问。信息系统安全防范已成为社会保险技术人员和信息系统审计人员研究的重要课题。（徐会烨 范颖 郭强）
    
    主要参考文献：
    1．龚海川．2007．台湾审计制度的思考与借鉴［J］．审计文摘（1）：80．
    2．李金华．2001．审计理论研究［M］．中国审计出版社．
    3．刘家义．2010．积极探索创新努力健全完善中国特色社会主义审计理论体系［J］．审计研究（1）：3-8．
    4．刘力云．2005．政府审计与政府责任机制［J］．审计与经济研究（7）：7-9．
    5．石爱中．2003．国家审计的政治思维［J］．审计与经济研究（6）：11-14．
    6．杨肃昌，肖泽忠．2008．中国国家审计体制问题：实证调查与理论辨析［M］．中国财政经济出版社．
    
     
     
     
    

【关闭】    【打印】