《某省“金保工程”信息系统审计案例 信息系统案例介绍.ppt》由会员分享,可在线阅读,更多相关《某省“金保工程”信息系统审计案例 信息系统案例介绍.ppt(48页珍藏版)》请在三一办公上搜索。
1、某省“金保工程”信息系统审计,审计署哈尔滨特派办,2011年12月,信息系统案例介绍,内容简介,一、项目摘要,二、信息系统基本情况,七、初步审计成果,八、项目的局限性,四、信息系统审计总体目标,三、信息系统控制情况,五、信息系统审计内容和事项,六、信息系统审计过程和测试方法,聚焦“金保工程”,“金保工程”是利用先进的信息技术,以中央、省、市三级网络为依托,涵盖县、乡等基层机构,支持劳动和社会保障业务经办、公共服务、基金监管和宏观决策等核心应用,覆盖全国的统一的劳动和社会保障电子政务工程。,1.项目摘要,2.信息系统基本情况,某省“金保工程”系统平台以省级大集中数据库和统一应用平台为基础。负责管
2、理和维护的信息系统共有99个。,2.信息系统基本情况,省级数据中心包括主中心和灾备中心,采用同城实时系统级备份和异地(某市)数据集异步备份方式备份数据,此外,省人社厅还以每日一次增量备份、每周一次全库备份的方式存储数据。“金保工程”系统现已建成2M以上光纤和ADSL实时连接的全省县级以上(含县级)人力资源和社会保障行政部门和经办机构的骨干网络,以及新农保试点县的全部乡镇和其他农村部分乡镇,全省大部分街道社区、医疗保险定点医院和药店,部分国有企业通过SSLVPN连接的分支网络。,2.信息系统基本情况,养老保险数据逻辑结构,针对数据物理集中、业务处理实现高度信息化的特点,审计人员对某省“金保工程”
3、信息系统的部署及应用进行了调查,发现其在网络部署及安全保护措施、业务流程控制、数据控制等方面存在一定风险。,3.信息系统控制情况,4.信息系统审计总计目标,围绕“找出隐患、规范管理、促进完善”的总体思路,对某省“金保工程”系统的可靠性、有效性、效率性和安全性等进行检查,了解社会养老保险子系统的运行状况,发现该系统在使用和管理过程中存在的问题,确定该信息系统是否存在漏洞和缺陷,揭示使用系统办理基金业务时存在的控制风险,揭露基金筹集、管理、使用中存在的突出问题,从而对系统进行客观公正的评价,为促进被审计单位加强管理,完善风险监督机制,防范利用计算机系统进行欺诈与舞弊,保证基金的安全与完整,维护人民
4、群众的切身利益,提出切实可行的审计建议。,5.审计重点内容及审计事项,某省人力资源社会保障信息化工作开展较早,并率先在全国实现了全省养老保险数据大集中。根据某省“金保工程”系统的建设和使用情况,此次信息系统审计重点关注了“金保工程”系统的一般控制及其社会保险子系统的应用控制两部分内容,共完成了13个审计事项。,6.审计过程和测试方法,(一)一般控制审计IT管理政策审计1.具体审计目标:检查被审计单位IT管理政策情况,是否制订了完善可行的IT管理政策,政策执行是否顺利。2.审计测试过程(1)要求被审计单位提供机房管理制度、人员管理制度等IT相关管理政策。查阅被审计单位提供的“机房管理制度”、“人
5、员管理制度”、“软硬件管理使用制度”、“网络安全制度及保密制度”等,检查其管理政策是否完善合理、有效可行。(2)走访了信息中心和业务部门的部分员工,询问他们对于上述政策制度的了解程度,现场观察员工的操作是否符合管理制度。,6.审计过程和测试方法,3.审计结果截至2011年6月末,省人社厅及所属信息中心仅建立了关于“金保工程”资产管理和系统运行维护方面的相关制度7项,尚未对项目管理和资金使用制定相应的管理制度,“金保工程”建设监管存在“盲区”。,6.审计过程和测试方法,上述做法不符合原劳动保障部关于进一步加快实施金保工程的意见(劳社部函2004262号)关于各地要建立项目管理、资金使用、资产管理
6、、系统运行维护等方面的规章制度,明确分工,落实责任,采用科学的管理方法和管理模式,切实加强对金保工程建设的管理、控制与监督的规定。,6.审计过程和测试方法,(二)一般控制审计设备采购审计1.具体审计目标:调查建设、改造“金保工程”系统时,采购过程是否符合相关法律法规要求。2.审计测试过程查看项目建设和设备采购资料,对“金保工程”系统设备的采购过程进行检查。3.审计结果某省“金保工程”系统部分项目的采购未形成书面方案,采购过程权责划分不明晰,招标采购经常出现单一厂商投标的现象。,6.审计过程和测试方法,(三)一般控制审计信息系统开发维护控制审计1.具体审计目标:检查被审计单位在系统建设中,各项要
7、素是否齐备;系统开发过程中,对系统分析、系统设计和系统实施过程所进行的控制措施情况,能否保证信息系统的质量以及安全可靠性。2.审计测试过程(1)与被审单位的管理人员、业务人员、软件开发人员座谈进行询问,了解系统建设、开发和变更的流程控制情况和质量控制情况。(2)要求被审计单位提供可行性研究报告、项目建设意见书、项目立项申请书、项目开发计划、软件需求规格说明书、数据需求规格说明书或数据表E-R关系图、概要设计说明书或程序设计说明书、详细设计说明书或模块设计说明书、测试计划、测试分析报告、开发进度月报、项目开发总结报告、维护修改日志或软件开发变更说明、操作手册或用户使用手册、系统运行维护协议等。审
8、计人员审阅所提交的系统文档。,6.审计过程和测试方法,3.审计结果(1)“金保工程”系统至今尚未立项。2002年至2003年,某省按照原劳动和社会保障部关于做好“金保工程”一期建设项目可行性研究报告编制工作的通知统一部署,依据统一范本,编撰了某省金保工程一期项目建议书,但至今未上报省发展改革委审批立项。(2)系统运行维护服务外包,存在潜在泄密风险。某省“金保工程”系统的运行维护服务由系统开发商某软件工程有限公司(以下简称工大软件)负责,内容包括业务软件升级、系统维护、质量保障、技术培训、工程实施以及业务数据的处理。省人社厅信息中心虽有专人负责,但由于管理人员有限,自身技术力量尚难满足全部运行维
9、护工作的需要,目前运行维护全部依靠工大软件人员进行,存在潜在的泄密风险。,6.审计过程和测试方法,(四)一般控制审计信息系统安全控制审计1.具体审计目标:检查被审计单位的信息系统安全投入是否能够满足安全控制需要,安全控制措施是否健全有效,确定能否保证信息资产的安全。2.审计测试过程(1)对网络运行专管员进行访谈,了解网络系统运转情况的日常监督情况、网络设备实施、配置情况等。(2)获取该单位“生产中心拓扑图”,通过对拓扑图进行分析,检查网络拓扑结构是否满足业务需求和工作流程的需要;审阅办公楼综合布线测试报告和综合布线验收意见;取得VLAN划分列表,对照该单位各部门的分布,分析VLAN划分的合理性
10、有效性;现场观察是否配备了网络防火墙、入侵检测、安全审计、漏洞扫描、网络管理等。,6.审计过程和测试方法,3.审计结果(1)信息系统安全投入不足,存在隐患。截至2011年6月末,黑龙江省“金保工程”系统项目设备采购金额累计为2666.24万元,其中购买安全相关设备金额为164.09万元,占6.15%。审计发现,由于黑龙江省“金保工程”系统安全设备投入不足,入侵检测、漏洞扫描工具及防火墙等信息安全设备均未达到相关标准的要求,信息系统安全存在隐患。上述做法不符合原劳动保障部关于进一步加快实施金保工程的意见关于各地在业务专网建设的同时,要进行业务专网基础安全防护系统的建设,包括网络的访问控制、病毒防
11、范、入侵检测等,定期进行风险分析、安全审计并及时调整安全策略的规定。,6.审计过程和测试方法,(2)未开展信息系统安全定级工作。黑龙江省“金保工程”系统于2003年全线开通。截至审计日,省人社厅仍未对黑龙江省“金保工程”系统开展信息系统安全定级工作。上述做法不符合公安部、国家保密局、国家密码管理局、国务院信息化工作办公室关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861号)关于公安、人事劳动和社会保障、财政等重要信息系统要开展重要信息系统安全等级保护定级工作的规定。,6.审计过程和测试方法,(五)一般控制审计系统操作管理情况控制审计1.审计具体目标:检查被审计单位是否建立
12、了一套完善可行的信息系统操作管理制度,确认信息系统的各类操作人员是否严格按照系统操作管理制度进行系统的使用和操作。2.审计测试过程(1)要求被审计单位提供信息系统操作管理制度和操作手册。审阅信息系统操作管理制度,分析其是否完善可行;审阅各种操作手册;要求被审单位相关人员填写数据资源管理控制调查表。(2)检查操作日志,并就出现的事件和采取的行动询问有关操作人员。(3)实地观察信息中心的活动,包括日常备份等;观察业务人员实际使用系统进行业务办理的情况,是否符合操作制度。,6.审计过程和测试方法,3.审计结果省人社厅未对“金保工程”系统的数据备份和恢复工作建立完整的管理机制,没有设置授权审批制度,备
13、份或恢复数据没有相应的日志记录;未建立系统操作人员工作日志,对操作人员的操作没有记录。上述做法不符合原劳动保障部关于加强社会保险基础数据备份工作的通知(社保中心函200819号)关于明确数据备份和恢复的工作程序,对备份和恢复过程进行记录,并妥善保管记录的规定。,6.审计过程和测试方法,(六)一般控制审计机房物理环境控制审计1.具体审计目标:对养老保险信息系统进行物理环境审计,确定信息系统的运行环境是否安全。2.审计测试过程:审前调查阶段,设计了信息系统机房物理环境控制调查表,由被审单位填写相关内容;审计实施阶段通过实地考察对机房的物理环境和相关设备进行了实地考核。3.审计结果信息中心机房缺少必
14、要的设施,存在安全隐患。一是机房未安装温度、湿度环境传感器,未定期对机房空气进行净化处理;二是未配备备用电源或独立备份供电;三是未安装门禁系统、闭路电视或成像系统等监视装置以及自动报警系统。,6.审计过程和测试方法,(七)一般控制审计信息系统应用效益控制审计1.具体审计目标:检查“金保工程”系统规划和实际应用情况是否达到了规划要求,有无重复建设情况存在。2.审计测试过程:要求被审单位提供“金保工程”系统建设规划,现有信息系统运行情况统计表及各系统运行情况说明材料。3.审计结果某省“金保工程”系统是按照省级大集中模式建设的,业务软件开发也涵盖了省人社厅的全部业务,但由于全省信息系统建设应用缺乏有
15、效控制,导致系统部分功能模块未能充分利用,部分业务应用信息系统被重复建设,部分地市甚至自行建设独立的信息系统。如“金保工程”系统中目前在线运行的系统软件99个,共分为办公应用、部门交换、决策支持、网站应用、信息管理及业务应用六大类,其中业务应用类有65个,但真正实现全省统一应用的软件仅有11个,占比16.92%,部分地市医疗保险、工伤保险等重要业务数据仍未实现全省集中。又如,哈尔滨市、大庆市单独开发了医疗保险、工伤生育等系统,大庆石油管理局、某省农垦总局单独建设了包括养老保险的五项社会保险信息系统;在黑龙江省已经承诺为各地免费开发和维护医疗保险信息系统的情况下,有些地市甚至县仍建设独立的信息系
16、统。重复投资、重复维护,影响了省级统筹的实际效果;各地开发的系统标准不统一,数据和系统安全性差,也造成了一定的管理风险。,6.审计过程和测试方法,审计风险,6.审计过程和测试方法,测试环境,怎么办?,大集中系统不适宜搭建,大型信息系统搭建测试环境成本高调试时间长,6.审计过程和测试方法,信息系统审计方式,倒推式,用哪个?,01,02,03,“倒推式”主要是根据业务审计发现问题,倒推出系统缺陷。但这种“倒推式”并没有明确的信息系统审计目标,因而具有一定偶然性。,“倒推式”,是指根据业务流程对信息系统控制点进行分解,在确定关键控制环节的基础上,建立数据分析模型对控制点数据进行分析,并根据数据分析发
17、现的异常倒推出系统控制缺陷的信息系统审计方式。,昨天,明天,倒推式信息系统审计演变,今天,6.审计过程和测试方法,“倒推式”是指通过数据审计发现异常,倒推系统内控或信息系统的毛病。,数据审计、信息系统审计和系统内控审计三位一体全结合,6.审计过程和测试方法,1,根据业务流程,确定系统关键控制环节,并设计数据分析目标,围绕数据分析目标,建立数据分析模型进行数据分析,发现数据存在的异常或问题线索,针对数据分析发现的问题,编写审计需求单提交被审计单位确认并自查原因;审计人员采取前后台数据对比分析等方法进行验证,从系统应用控制层面查找原因,从流程、功能、输入、处理控制等4个方面确认系统存在的问题,调研
18、重要的国家级的社保政策。分析各省市的“土政策”,分析提炼各地社保业务中的变与不变,分析提炼各种信息系统中的变与不变,分析提炼审计需求中的共性与个性,6.审计过程和测试方法,6.审计过程和测试方法,(八)应用控制审计信息系统流程控制审计 1.具体审计目标:检查“金保工程”系统流程设置及控制情况,判断系统流程控制是否与实际经办流程相符。2.审计测试过程:要求被审单位提供系统流程设置及控制情况相关资料,与业务经办机构人员座谈并进行分析性复核测试。3.审计结果通过对“金保工程”系统的数据结构进行剖析发现,系统中只设定了参保登记和应缴申报的二级经办审核机制,无法实现国家规定的“经办审核复核”的三级审核机
19、制。,6.审计过程和测试方法,(九)应用控制审计信息系统功能控制审计1.具体审计目标:检查“金保工程”系统功能设置及控制情况,判断系统功能控制是否满足实际经办的需要。2.审计测试过程:要求被审单位提供系统功能设置及控制情况相关资料,与业务经办机构人员座谈并进行分析性复核测试。3.审计结果企业基本信息查询模块无法实现对统筹区参保企业欠费情况的统计汇总,只能按属期把欠费企业的数据列出,不能实现对欠费数据按单位汇总,各基层社保经办机构无法应用查询功能来加强欠费的催缴等管理工作。,6.审计过程和测试方法,(十)应用控制审计数据输入控制审计1.具体审计目标:通过对输入数据控制功能的审计,检查系统自身应用
20、控制是否存在漏洞和功能缺陷,评价信息系统的可靠性及效果。2.审计测试过程:审计组制定了较为详尽的测试计划与细则,对运行环境中的程序模块处理功能进行数据检测。发现输入校验功能较弱,存在违规设置事项。测试数据项包括正常、有效的交易数据,不正常、无效的交易数据,破坏性数据,进行多种额度及权限下的有关交易测试。最后,将程序运行结果与预期结果进行比对,判断有关程序的控制与处理功能是否恰当、有效。,6.审计过程和测试方法,6.审计过程和测试方法,3.审计结果(1)对某些关键信息项未作完整性校验,导致信息不全。在“金保工程”系统数据的单位基本信息中,全省49090个单位存在行业代码为空、组织机构代码为空、单
21、位工商登记发照日期为空、单位缴费开户基本账号为空、参保单位名称为空等现象;单位参保信息中,也存在单位参保状态正常但参保日期为空的现象。(2)对主要信息项未做正确性、合理性检验或校验机制不完善,导致部分数据错误。在“金保工程”系统数据的个人基本信息表中,性别为异常标识(正常为“1”或“2”)的记录有3876条;身份证号码异常(身份证字段长度大于18或小于15或信息为空)的记录有968条。(3)对主要信息项未做重复性检验,导致部分信息存在重复。在“金保工程”系统数据的单位基本信息中,全省参保单位名称重复但参保单位编号不一致的记录为2530条;某市个人基本信息表中,身份证号重复的记录为59774条,
22、其中最多一个身份证号重复了14次。,6.审计过程和测试方法,上述做法不符合原劳动保障部关于进一步加快实施金保工程的意见关于要加强基础数据库建设,切实做好基础数据的采集、整理和入库工作,要按照部里的标准和要求,对基本项目不全、记录不实的数据,抓紧补齐记实,同时要剔除冗余数据,更正错误数据,清理垃圾数据,确保各项数据真实准确的规定。,6.审计过程和测试方法,(十一)应用控制审计数据处理控制审计1.具体审计目标:以构建审计分析模型为出发点,通过采集审计分析模型需要的数据和对数据进行处理分析,判断和评价系统数据的真实性、合法性、完整性,通过数据审计发现的问题,提供给审计组成员进行核实,提高工作效率,进
23、而反推信息系统缺陷。2.审计测试过程:分析该系统的数据字典,掌握保存程序运行结果的库表结构与分布情况,采集了审计所需的数据库文件,通过SQL等数据库分析处理工具,对采集的数据文件进行转换,对照法律法规要求设定各种运算条件,使用查询、排序、计算、分析等SQL语句,分别构建逻辑关系模型、审计经验模型,用于检查,发现疑点。,6.审计过程和测试方法,(1)重复缴费审计 2010年至2011年度,某省“金保工程”系统中存在2058名身份证号相同但个人编号不同的人员缴费记录,缴费记录共计53980条。,3.审计结果,6.审计过程和测试方法,(2)重复享受待遇审计 2010年至2011年度,某省“金保工程”
24、系统中存在288名身份证号相同但个人编号不同的人员领取养老保险金记录,领取待遇记录共计7973条。,6.审计过程和测试方法,(3)“中人”视同缴费月数计算审计 截至2011年6月末,某市“金保工程”系统中存在4人视同缴费月份错误,累计多计239个月,多发放养老保险金合计0.56万元。,6.审计过程和测试方法,(4)个人实缴比例审计 某市“金保工程”系统中存在2人实际缴费比例低于政策规定的数据,导致2010年少缴纳养老保险费0.17万元。,6.审计过程和测试方法,(5)死亡迟报冒领审计 截至2011年6月末,某省“金保工程”系统中存在17410条死亡时间早于清账业务办理时间2个月以上的冒领死亡人
25、员养老保险的疑点数据。如某市14名已死亡人员的养老保险金14.2万元被其亲属或他人冒领。,6.审计过程和测试方法,(6)31人在领取养老保险金的同时领取失业保险金或低保金。按照国家相关规定,领取养老金的人员不具备享有失业保险待遇和最低社会保障待遇的资格,由于目前某省失业保险金和低保金领取台账尚未完全纳入“金保工程”系统中,审计调查中取得了某市2010年失业保险金发放数据和2009年享受低保待遇人员的数据,通过与养老保险数据对比分析发现,2010年同时领取养老金和失业保险金共计4人,2009年同时领取养老金和低保金共计27人。,6.审计过程和测试方法,针对以上问题,建议如下:,7.初步审计成果,出具了信息系统审计报告上报审计署。,8.项目的局限性,受审计人员专业能力限制,审计范围存在一定的局限性。,审计人员专业技能不足以满足信息系统审计的需求。,审计人员缺乏行业标准和操作规范的指导。,项目选择具有针对性和可操作性,有一定的实用价值。“倒推”式信息系统审计有助于做到有的放矢。,两点体会,一点思考,正推式,有机结合,The End,Thanks For Your Attention,
