社保审计的出路在于数字化,审计长在谈到审计创新时曾指出要从信息论、系统论的高度来利用计算机技术,研究计算机审计,这是最终目的。基于此,运用计算机技术开展社保审计的途径,体现在三个层次:对社保系统管理的数据的审计、对管理社保数据的系统的审计以及对社会保障部门的联网审计。 (一)对社保系统管理的数据的审计 对社保系统管理的数据的审计,主要检查测试输入和输出数据的真实性、合法性和正确性,通过数据来确定社会保障部门的经济业务活动的真实性、合法性和有效性。下面,笔者就实施社保数据审计程序作一探讨。 在审计组进点前,审计组应当熟悉社会保障部门信息化情况,了解社会保障部门所使用的计算机系统软件、硬件配置;所使用的财务及业务软件及其开发商,以及应用系统的基本功能;系统所使用的后台数据库类型;必要的应用系统数据接口;与应用系统相关的技术文档资料等,根据具体情况制订计算机审计实施方案,这就要求审计人员在掌握审计业务知识的同时,还应具备相应的计算机专业知识,如数据库知识、数据转换技术、数据分析处理技术等。方案的编,制应遵循《审计机关审计方案准则》,包含计算机审计方法、使用的计算机软硬件配置、必须进行的测试项目,测试方法及所需技术条件、可能产生的风险评估等。编制好实施方案后,经审计组所在部门负责人审核批准后,由审计组负责实施。 审计组在了解和获取必要的信息、资料后,应当根据实际情况对社保信息系统环境下的内部控制制度及数据进行测试和检查。测试工作完成后,审计组应当根据审计实施方案建立计算机审计工作区环境,如安装合适的操作系统、数据库系统、必要的大容量硬盘及活动存储设备、需要进行组网审计的网络设备、必要的文件压缩工具、文件处理工具、审计工具软件的配备等,这些工作应在审计准备阶段完成。 审计组进点后,应调查了解社会保障部门电子数据处理环境的信息,包括社会保障部门具有电子数据处理职能的组织机构,计算机处理的集中与分布程度;由计算机处理的应用系统的各功能模块,处理的性质(如成批处理、联机处理)、数据保存策略、系统的维护:完整全面的应用系统开发、管理、维护等相关文档资料。在实施过程中,如有根据认为社会保障部门可能转移、隐匿、篡改、毁弃与财政、财务收支有关的电子数据、数据结构文档和其他资料的,应采取必要的取证措施。 实施计算机审计过程中,可以根据方案采用不同的审计方法,如采用导出数据离线、现场数据接入等审计方法等。导出数据离线审计方法应按如下步骤实施:1、审计组向社会保障部门提出详细的数据需求,如所需数据的数据库名、表名、字段名以及以何种数据格式进行导出等,数据导出格式应当能够被审计人员容易地进行转换和利用(如DBF格式)。所有数据需求应当以正式的文本方式交社会保障部门,作为获取社会保障部门应用系统数据信息的凭据。2、数据的获取须在审计人员的监督下,由社会保障部门人员或其聘请的人员按照审计需求提供。审计人员必须对采集取得数据的完整性、准确性及其数据格式进行检验、测试。3、数据获取后,审计人员根据所使用审计方法的不同,采用不同的数据转换技术对数据进行必要的数据转换,以便将数据导入计算机审计工作区。如将DBF格式、文本或其他格式的数据导入审计人员事先建立好的模拟应用系统进行操作,或导入审计人员已熟练掌握的数据库工具(如ACCESS数据库)中进行处理或将数据导入专门的审计软件进行处理等。4、数据转换后,审计人员按照实施方案,利用数据处理分析技术(如SQL技术)有针对性、有重点地进行数据处理和分析,揭示社会保障部门经济业务活动中存在的情况和问题。采用现场数据接入审计方式时,可以要求社会保障部门向审计人员提供具有系统查询权限的账号以进入社保信息系统,直接利用社保系统平台的各项功能开展计算机审计工作。 实施阶段结束后,根据计算机审计的结果,对社会保障部门数据处理系统的设计、运行和处理结果的可靠性做出客观评价,对于审计查证的问题形成审计工作底稿,如发现恶意利用计算机信息系统舞弊造成重大的违法违纪问题,提交计算机审计专题报告。 (二)对管理社保数据的系统的审计 对社会保障部门开展信息系统审计,可以发现系统存在的漏洞和问题,在规避审计风险、提高审计质量、拓宽审计领域方面具有重要的意义。社保信息系统审计流程是指系统审计工作从开始到结束的整个过程,要经过计划阶段、实施阶段和报告阶段三个阶段。 计划阶段。主要是调查社保单位内部环境,初步评价内部控制制度,确定重要性,进行风险的分析与评估,收集整理系统技术文档资料,具体包括概要设计、详细设计、流程图、功能模块源代码、系统测试报告、使用维护手册、维护报告、日志、升级改版文档、立项审批资料等,制订审计方案,安装软件程序,与有关业务和技术人员沟通,熟悉业务功能。 实施阶段。首先实施符合性测试,流程如下:确定各个独立的社保系统和控制系统各自的目标;记录社会保障部门执行中的信息系统的控制系统,以及整体控制环境;证实所记录的信息系统和控制系统设计科学、运行有效;对控制系统进行评价,确定控制风险的估计水平;审核抽查结果确定是否符合规定的程序。然后进行实质性测试,关注控制、规则和算法的测试,采取询问调查与实地考察相结合的方法,具体检查软件文档、程序流程图、编码、运行记录与结果等。同时,采用手工和计算机相结合的方式,具体运用数据模拟检测等应用技术工具,分析处理逻辑,测试应用系统软件的合规性、正确性、安全性及有效性。 报告阶段。也称为社保系统审计完成阶段,综合收集的证据对信息系统进行总体评价,出具系统审计报告。报告中要说明社保信息系统审计范围、目标、期间和所执行的审计工作的性质和范围,以及系统审计结论、系统审计建议。此外,社保信息系统审计报告中还应指明系统审计所采用的依据和系统审计技术,以及与之有关的审计结果。 (三)对社会保障部门的联网审计 社会保障部门联网审计是审计机关运用现代网络和计算机技术,通过与社会保障部门的网络连接,对其经济业务活动进行监督的一种审计方式。它的建设目标是实现跨部门的联网审计,实现审计署提出的“预算跟踪+联网核查”的崭新审计工作模式,完成审计工作由事后审计向事中和事后审计相结合、由静态审计向动态和静态审计相结合、由现场审计向远程审计和现场审计相结合的三个根本性转变,是审计工作方式的一次革命。