• RSS订阅 加入收藏  设为首页
行业资讯

信息系统审计初探

时间:2015-11-16 15:35:42  作者:武汉市审计局 柳燕 刘芳  来源:湖北省审计厅  查看:178  评论:0
内容摘要: 随着计算机技术广泛运用,信息系统已深入到我们日常生活方方面面,如何对信息系统进行审计监督已成为当前一项新课题。审计署《信息系统审计指南——计算机审计实务公告第34号》指出,信息系统审计是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动,其...
    随着计算机技术广泛运用,信息系统已深入到我们日常生活方方面面,如何对信息系统进行审计监督已成为当前一项新课题。审计署《信息系统审计指南——计算机审计实务公告第34号》指出,信息系统审计是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动,其主要目标是通过检查和评价被审计单位信息系统的安全性、可靠性和经济性,揭示信息系统存在的问题,提出完善信息系统控制的审计建议,促进被审计单位信息系统实现组织目标;同时,通过检查和评价信息系统产生数据的真实性、完整性和正确性,防范和控制审计风险。

    2014年,武汉市审计局对该市某路桥收费管理中心信息系统开展了探索性审计,紧扣路桥收费信息系统特点,制定了严密的审计方案,确立了以审查和评价系统安全性、可靠性、经济性为主,揭示系统存在问题的审计目标,立足于提出切实可行的审计建议,促进系统进一步健全完善,发挥更大效益。审计组分别对系统的应用控制、一般控制和项目管理进行了审计测试和评价,分析了系统控制水平以及风险,评价系统建设的经济性及信息化投资的有效性。

一、安全生产是信息系统的核心要务,是信息系统审计不可或缺的审计事项

(一)信息安全等级备案审查

    根据《信息安全等级保护管理办法》第四十二条 “已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级;新建信息系统在设计、规划阶段确定安全保护等级”的规定,审计人员对该系统信息安全等级备案情况进行审计,检查信息系统是否在建设前向主管部门备案定级情况并得到审核批准、是否在建成后通过了主管部门组织的等级保护测评。

    经过审计调查发现,该系统在设计、规划阶段未按要求确定安全保护等级,且于2011年7月1日正式投入运行至审计之日未按要求到所在地公安机关办理信息安全等级备案手续。审计组将该问题及时移送给公安机关处理,引起公安机关的高度重视,启动全市范围内的信息系统备案核查工作。

(二)信息系统数据安全性审查

    通过核查系统管理数据、鉴别信息和重要业务数据的完整性、保密性、备份和恢复方面的安全策略和防护措施是否到位、运行系统向备份系统、备份系统向恢复系统数据输出控制是否合理、有效,查找出系统建设过程中形成的安全漏洞。

    利用信息系统造价审计的数据,审计组实地检查了项目设计中设定的几个灾备中心,发现该系统并未按设计建设灾备中心,且无法完成预期灾备及数据备份恢复功能。在进一步对灾备系统备份数据的演练检查中,审计人员发现现有灾备中心机房无法满足远程挂载要求,生产系统无法切换到灾备系统,且无法将灾备中心的数据挂载到生产中心。经了解,该系统从2011年7月1日正式投入运行至审计之日,未实现本地备份数据的自动恢复,也未对异地灾备数据进行过灾备演练等操作。

    经过一系列审计核查,可以判定该系统实际完成的灾备中心及数据备份恢复功能远无法达到工可、初设的要求,存在严重的安全隐患。

(三)内部控制、访问权限审查

    检查主要服务器操作系统、重要终端操作系统和主要数据库管理系统的身份鉴别、访问控制等安全策略和防护措施。进行应用安全控制测评,检查主要应用系统的身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等方面的安全策略和防护措施。审计人员过程中采用填写《信息科技部门岗位责任情况表》、《外部维护公司岗位责任情况表》的方式,对系统数据库的访问控制权限进行了调查取证。

    审计发现,在被调查对象14人中,有 9人(系统管理人员4人,软件设计公司5人)同时共用核心数据库账号"whetc"; 1人(系统管理人员)使用前置数据库账号"whetc";4人( 系统管理人员1人,软件设计公司3人)同时共用查询数据库账号"whetc"。上述账号进入数据库均具有增、删、改、查的权限。这就意味着无论是哪一个掌握该账号及密码的人员,进入系统数据库都可以直接修改数据,容易产生技术人员因私对数据库数据进行随意更改的风险,而且混杂软件设计人员与实际管理使用人员共同使用同一账号的现象,数据库安全责任完全没法划分,对数据库的安全管理极其不利。

    对上述灾备问题和数据库管理问题,审计组建议建设单位积极筹措资金完善灾备中心建设同时对灾备数据演练、数据库访问权限等事项进行建章建制,予以规范,将安全意识根植于日常生产管理中。

二、业务数据是财务数据的核心,将业务数据与财务数据进行符合性测试是信息系统审计的重要手段

(一)信息系统业务流程控制审计

通过检查信息系统承载的经济业务活动的发生、处理、记录和报告的业务流程和业务循环过程,评价整体系统业务流程控制的合理性和有效性,发现系统在业务流程设计、控制等方面的缺陷。

    审计发现,该信息系统存在信息系统设计存在漏洞,影响收费数据的真实性、完整性、准确性;系统规划及软件设计不严谨造成数据缺乏有效性,部分车辆信息无效;大量测试信息未及时清理,严重影响车辆通行记录的真实性和计费准确性等问题。

(二)比对业务数据和财务数据,进一步核实业务数据的效率和财务数据的真实性

    该系统承担的是路桥通行费的收费业务,该项收费属于财政非税收入,审计人员一方面要核实系统运行以来收费收入是否全部缴交财政,另一方面需核定该项收费是否应收尽收。通过将车辆通行记录和结算记录数据与上交财政数据的比对,可确定该单位财务是否做到应上缴财政资金全额上缴;通过系统中通行次数及记账、结算记录和实际收费财务核算中实现的收费收入对比,可确定存在多少应交未交费情况。

    系统数据的可靠性和财务数据的真实性在上述比对中得到印证,基本证实该系统数据是可靠的,其财务也做到了应缴尽缴。同时,审计组也查出了大量逃欠缴费情况并分析了逃欠费原因,从政策层面和操作层面提出了具体审计建议。

三、项目管理审计是信息系统审计的重要环节,建设程序和项目成本控制是信息系统审计的重要组成部分

(一)建设程序的审计

    通过调查了解被审计单位相关经济业务活动及信息系统的需求与设计、研发与集成、使用与控制、运维与保障,以及相关的组织架构、责任机制和控制制度,检查信息系统是否按照建设规划进行了整体信息系统规划,是否较好地实施了招标采购项目的业务需求和技术方案论证。招标采购的工程、设备和服务是否体现了满足业务需求、支持自主可控、技术先进适用和合理性价比的要求。同时审计信息系统建设的立项申报、建设管理、资金管理、监督管理、验收管理、运行管理等环节的审计,查证项目管理的规范性。

    审计组在审计过程中发现该项目建设过程中存在超概算、部分服务项目未按规定招标、合同签定不严谨、建设管理各部门之间沟通不充分存在管理真空等一系列问题,在审计报告中批露后引起被审计单位高度重视,补充修订内控制度规定,提高了管理效率。

(二)造价控制审计

    审计组通过抽查中介机构审定的结算报告,对设备采购、技术服务采购等内容进行了重点核查,从初步设计入手,将招投标与合同签定、工程结算相结合,资料审计与实物盘点相对应,既审查施工方的结算,又监督中介机构的审价质量。    

    审计结果表明,建设方在信息系统建设过程中对工程成本的控制还是值得肯定的,但仍存工程结算价款多计营业税金186.2万元,灾备机房设备安装调试工作未完成,多计投资17.15万元的问题。

四、积极探索信息系统数据采集新模式

    本次审计中被审计单位花费了2周的时间,提供了37提供了37个业务表的数据,分为259个文本文件,文件容量共计347G,其中单表最多分为了53个文件。

    为了提高自动化程度,减少人工的重复操作,审计人员尝试数据库平台中提供的大容量数据导入技术,将目标表、数据文件放入一个导入文件对应表中,通过编写脚本自动完成各表、众多数据文件的导入工作。选择“分区表”这一近年来出现并流行的技术,为查询语句提供数十倍甚至上百倍的效率提升。使用大容量数据导入技术,使用文本文件的方式,也带来了文本文件的新用途。

五、当前信息系统审计所面临的困难和挑战

    通过该信息系统审计项目的实践操作,在审计组积累了一些经验的同时也深感要全面铺开信息系统审计还在诸多方面存在障碍。

    一是信息审计缺乏独立的立项依据。目前《审计法》、《审计法实施条例》中仅对审计组审计信息系统所需数据方面给予了法律保障,对于整个信息系统进行单独立项的审计并无明确的规定。因此现在实施的信息系统审计往往需要依托于其他项目来开展,比如本项目就是采用的信息系统与该项目竣工决算审计相结合来展开的。

    二是审计过程中缺少指导性技术规范。在审计过程中,我们发现没有对应的规范性文件进行指导,信息系统审计无常规审计模式可以遵循。《信息系统审计指南》中提供了一些系统设计及运行中可以参考的技术规范,但是对于信息系统审计而言,无明确的技术规范、规定可以遵循。信息系统审计作为近年来出现的新型审计形式,还未形成一套合理有效的审计模式。

    三是相应的处理处罚依据不足。对于此次审计发现的系统规划、设计、运行、维护等各类问题,除信息安全等级备案有相关法规可以遵循进行处理外,其他发现的问题没有对应的处理处罚依据,只能放入绩效评价中或以审计建议的方式给出,无法进行具体的处理处罚。

    四是审计组织实施存在人员结构配置问题。由于信息技术的飞速发展,我们面临的信息系统专业更细化,种类更繁杂,技术难度更大。这对审计人员的要求也就更高,特别是对计算机技术的掌握程度要求较高。本次审计审计组由投资审计人员和计算机专业技术人员组成,对于基层审计机关来说在计算机专业方面投入的人力相当大。如果在全局范围内全面开展信息系统审计,不仅技术人员配置不够的问题将会突显,在专业领域缺乏技术支撑也会成为审计瓶颈。

    综上所述,我们在信息系统审计中积累了一些经验,也存在一些困惑,希望通过这些探索为将来更好的完成信息系统审计做出一点贡献。

csan.org.cn 版权所有 csan@csan.org.cn

京ICP备06052862号-2