- 1、本文档共5页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
信息系统审计初探.doc
信息系统审计初探
信息系统审计是一项较新的审计领域,也是计算机审计的一项重要审计内容,它通过关注信息系统的可靠性和安全性,促进被审计单位的信息安全和数据真实。日前,笔者从一般控制、应用控制、绩效等事项,对某单位开展信息系统审计,并从真实性、安全性、有效性、经济性等方面进行了审计评价,揭示被审计单位信息系统存在的漏洞和安全隐患,积极摸索了信息系统绩效审计的方式方法,积累了一定经验,笔者从以下几个方面浅谈一些看法。
一般控制审计,全面评估系统及环境安全性,揭示系统安全隐患
在一般控制审计中,审计人员通过日志分析法,分析财务软件的操作记录,发现被审计单位的财务软件存在反记账、反结账功能,其中部分反记反结账操作为修改之前的凭证信息,且时间跨度超过180天,导致之前被修改月份已形成的会计报表数字不真实。
通过实地观察法和面谈询问法,对信息系统的部署环境(包括机房和设备)进行检查和测评,发现机房未建设电子门禁系统;未安装水浸、监控探头等监控设备;部分服务器主机设备已过质保服务期,且未进行硬件维护服务外包;未制定机房出入登记管理制度;未制定针对信息系统及其机房硬件设备出现重大问题时的应急管理制度等,信息系统的环境存在安全隐患。
利用漏洞扫描工具和网络检测诊断工具,对信息系统的网络环境进行了检查和评估。发现被审计单位的三个网络(业务内网、业务外网、外网申报网络)部分服务器主机存在操作系统、后台数据库弱口令以及重要漏洞未修补等问题;三个网络均缺少监控篡改、误改数据库的安全审计系统,缺少防止非法用户入侵网络的入侵检测系统,缺少提升网络管理性能和安全性的网络管理系统,缺少对日常上网行为进行规范和记录的上网行为管理系统,网络安全存在隐患。
通过问卷调查法,对被审计单位的信息系统安全进行了评估。发现被审计单位的四套信息系统均未进行安全等级测评,未制定风险评估计划和方案,系统安全存在隐患。
应用控制审计,深入分析信息系统的有效性,查找系统功能漏洞
利用测试数据法和流程图检查法,通过构建数据验证分析模型,对信息系统的业务流程控制、数据接口、数据输入、处理、输出控制、数据库应用控制、数据逻辑控制的有效性和可靠性进行了测试,同时结合数据审计和财务收支审计发现的问题,从信息系统的层面分析问题产生的深层次原因。
经过审计,发现业务信息系统与财务信息系统不衔接,且未设计对账功能,导致业务信息系统无法全面、真实反映收入情况,如某单位在审计年度两大系统收入差额数百万元;业务信息系统功能不完善,导致不能重现历史滞后补缴计划,无法准确核算历史征缴计划和单位欠费情况;业务信息系统未设计检测关键标志信息功能,导致未足额缴纳费用;未设计检测数据合理性功能,导致系统基础信息不真实、不合理,个别人重复享受待遇或多享受待遇;未设计检测数据合规性功能,导致不符合条件人员享受待遇;未设计多支应收回计划功能,导致无法自动生成多支应收回计划,多支付的待遇金额未及时追回;新老系统数据转换错误,导致部分字段数据不合理、数据逻辑错误。
绩效审计,综合评价信息系统的经济性,拷问管理决策失误
由于信息系统绩效审计尚没有成熟的评价指标体系,审计人员在实践中摸索了利用资金使用情况检查法、对比分析法、问卷调查法进行审计评价的方法。
利用资金使用情况检查法,通过调取财务资料、项目招投标手续、会议纪要等,对信息系统建设资金来源的合法性、资金支出的合规性、招投标手续的完备性、合法性等事项进行检查,发现项目运行及维护经费支出中,公务经费支出比例占一半以上,不利于发挥专项资金的使用效益;机房上百万元的基础设施闲置,未能发挥工程建设资金的使用效益。通过审计还发现,项目建设周期过长,信息化的效益未能得到充分发挥。发改委批复项目建设周期为2年,截至审计之日,已历经7年时间,项目建设仍未完成,且资金到位率为88%,实际完成投资额仅为49%。
利用对比分析法和问卷调查法,选择使用该系统的10家单位13个部门,对信息系统设计了6大项指标18个问题,使用加权平均法对问卷结果进行量化评分,问卷结果显示,信息系统的技术指标、技术经济效益(即性价比)、社会效益的得分均在及格线以下,信息系统建设效益较差,应用情况不理想,用户满意度低。用户反映的问题主要集中在系统运行速度慢、稳定性差、功能不完善、数据不准确、需求不能及时满足等方面。由于系统问题,有2个省辖市曾被投诉至市政府或效能办,2个省辖市部分业务现在暂停办理。
由于该系统的不完善、数据不准确等原因,导致该系统的网上申报查询系统的利用率同样很低,企业投入资金未能发挥应有的效益。
深入细致探究原因,客观谨慎提出建议
我们所审计的重点单位,多是投入的资金量较大,与人民群众利益息息相关的单位,而这些单
文档评论(0)