审计论文

您当前的位置:学术堂 > 会计论文 > 审计论文 >

信息系统建设前、中、后的审计内容

来源:学术堂 作者:朱老师
发布于:2016-08-22 共2283字
  题目

        信息系统审计,是指审计机关依法对被审计单位管理财政财务收支以及相关经济业务活动的计算机信息系统的安全性、可靠性和经济性进行检查监督的活动。近两年,武汉市审计局在城市一卡通、城市路桥收费、地铁等项目审计中,以审计署编印的《信息系统审计实务》为指南,结合项目实际,探索了对被审计单位的业务系统及电子信息系统的结合式审计,形成了一套信息系统审计的方法模式。
  
  一、信息系统建设期的审计内容
  
  (一)审核审计信息系统项目从立项、工可、招投标到合同签订流程中的相关文件,核查系统功能是否按规划完成。
  
  在大型建设项目立项过程中,信息系统常常作为其中的建设内容之一列入项目。审计过程中,审计人员应仔细审查立项文件、工程可行性研究报告、初步设计等资料,了解项目的建设背景及信息系统具体承担的业务内容,同时结合信息系统招投标资料、合同文件及项目过程性文件(如软件需求规格说明书、软件概要设计文档、软件详细设计文档等),明确信息系统功能实现目标及具体实现方式。通过与审计进点时信息系统实际的建设进度、已完工情况比对,核实信息系统建设内容的实现情况。
  
  有些项目在立项、审批中没有单独的信息系统建设内容,审计人员要对信息系统审计的界定有明确认识,防止个别被审计单位以此为由否认信息系统审计的内容。
  
  (二)核查合同文件的执行情况,审查有无违规签证、补充合同等问题。
  
  调阅信息系统相关合同文件,重点关注项目时间节点、关键技术细节约定、项目文档等,可将信息系统项目执行中产生的一些过程性文档(如概要设计、详细设计、测试文档等)作为审计过程中的重要技术参考。首先,核查预验收、初步验收、终验的时间节点是否与合同约定一致,如有延期是否按合同条款进行赔偿,各类款项是否按合同及时支付。其次,审查项目各关键文档是否按约定提交,所提交文档质量是否合格。最后,需审查系统各项功能是否按照设计实现,要关注有无补充协议,以及补充协议及设计变更内容是否包含在原主合同内。
  
  (三)审查信息系统项目承包商及监理资质,确保开发质量。
  
  《计算机信息系统集成资质管理办法(试行)》规定,从事计算机信息系统集成业务的单位必须经过资质认证并取得《计算机信息系统集成资质证书》(以下简称《资质证书》),且建设单位应选择具有相应等级《资质证书》的计算机信息系统集成单位来承建。在审计过程中,审计人员要在工业和信息化部门的网站上查询承包商的资质,并与投标情况进行比对分析,核查资质不符的情况。
  
  要将项目的类型与承包商的资质级别进行分析,注意发现问题。
  
  二、信息系统运行期的审计内容
  
  (一)审查被审计单位信息系统进行信息安全等级备案情况,核查是否存在安全漏洞。
  
  《信息安全等级保护管理办法(公通字[2007]43号)》对信息安全等级备案作出了明确规定,要求新建信息系统在设计、规划阶段确定安全保护等级;已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续;新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。审计过程中,要特别关注信息系统等级备案情况。
  
  (二)核查信息系统日常备份及灾备情况,确保系统安全有效运行。
  
  日常备份及灾备对信息系统安全运行意义重大。在审计过程中,要从常规备份及灾备的建设入手,审查信息系统日常备份及灾备,重点关注被审计单位的日常备份,还原及灾备演练情况。对于备份还原及灾备演练,若在不影响被审计单位正常工作下,可以要求对方进行现场操作。
  
  (三)核查信息系统权限管理,保障系统安全性。
  
  信息系统中不同的用户应该使用不同的账号、分配不同的权限,在实际使用过程中,由于上线测试的需要、后期管控不到位及人为的因素,存在多人使用同一账号、开发维护公司与管理单位使用同一账户的情况,且该账号一般具有较高权限。此类问题的取证一般不易获取。可采用问卷调查的形式,要求被审计单位信息系统管理部门人员、系统维护公司人员在同一时间同一地点分别填写《信息科技部门岗位责任情况表》、《外部维护公司岗位责任情况表》,以此核查信息系统权限管理情况,审计安全防护措施到位情况。(具体表格内容如表1、表2)
  
  信息科技部门岗位责任情况表
  
  外部维护公司岗位责任情况表
  
  三、信息系统数据的审计内容
  
  (一)核查数据库数据的准确性。
  
  建设项目信息系统核心数据库数据来源于各终端设备,如ETC系统、地铁信息系统。由于交易数据量大,数据终端收集及上传的过程尤为重要。在实际审计过程中,我们发现终端交易数据逐级上传的稳定性、可靠性缺乏有效技术保障,人工核查机制不健全,常导致交易数据漏传、影响整体业务数据的真实性。对于此类系统,应重点审查数据从终端到服务器的传输过程,核对终端数据与服务器数据,查找差异,核查系统是否存在漏洞。
  
  (二)审查业务系统与财务数据的一致性。
  
  当财务数据的来源为信息系统的业务数据时,首先应分析财务与业务系统的关系,理清财务入账的依据,在此基础上,发现财务中存在的问题。某项目审计过程中,通过分析业务数据的实际数据含义,结合财务入账使用的业务数据口径,发现主营业务收入记取方式有误,被审计单位存在少计主营业务收入的问题。
  
  (三)核查核心数据库数据与财务数据的一致性。
  
  重算数据库数据并与财务数据进行核实,是核查业务数据有效性最直接的方法。通过编程重现数据收集过程,与财务报表数据进行比对分析。例如某项目审计过程中,审计人员将数据库中存储的票卡量与财务账中的对比,发现异常,分析取证后发现票卡管理缺失、财务监管不到位的问题;按规则重算收入,与财务账不一致,审核出财务账中存在未达账款、未转收入等问题。
相关内容推荐
相关标签:
返回:审计论文