一、社保基金信息系统审计的内容 社保基金信息系统审计的内容主要包括信息系统内部控制审计、信息系统本身的审计、信息系统产生的数据文件审计三个部分。从目前审计机关的条件分析,社保基金信息系统环境下开展审计工作应该把信息系统内部控制审计作为基础和切入点,关注信息系统本身的审计,最终通过信息系统数据文件审计得出审计结论。 (一)社保基金信息系统内部控制审计。 社保基金信息系统内部控制的审计分为一般控制审计和应用控制审计。 一般控制主要包括组织管理、数据资源管理、系统环境安全管理和系统运行安全管理等。一般控制的审计任务是检查组织内部是否有相应的管理措施来实现上述控制内容。例如,信息技术人员只能负责系统开发和维护,不能承担具体业务操作,输入人员和审核人员不能兼任。关键技术应尽可能由多人掌握,人员离岗,应及时从系统中删除其账号和口令。每天记录系统运行日志,对重要文档进行备份,硬件、软件的升级要做日志记录等。 应用控制是从技术角度对输入、处理、数据传输、存储管理和输出等进行控制。审计人员应对应用控制是否合理实施审计,确保:输入的数据是准确、完整、授权和正确的;数据在可接受的时间内得到预期的处理;数据存储是准确和完整的;输出是准确和完整的;记录在从输入到存贮,再到最终的输出的整个过程中是可追溯的。 (二)社保基金信息系统本身的审计 社保基金信息系统本身的审计包括两部分内容,即信息系统组成部分的审计和信息系统生命周期的审计。信息系统组成部分的审计是对组成信息系统的各个部分的审计,如计算机硬件、系统软件、应用软件等,一般情况下,硬件和系统软件存在的风险较小,因此,对信息系统组成部分的审计应当以应用软件为主。应用软件审计的主要内容包括:应用程序的合法性、应用程序的正确性、应用程序的效率性。信息系统生命周期审计是对信息系统的规划、开发、设计、编码、测试等过程进行的审计。信息系统生命周期审计应当关注信息系统的可行性、信息系统生命周期各阶段工作是否有恰当控制,产生的系统资料和凭证的规范性;信息系统测试的全面性、适当性;信息系统功能、时间进度、预算是否达到预定的要求等。 (三)社保基金信息系统数据文件的审计。 对数据文件的审计是信息系统审计必需的环节,主要包括数据采集及验证;数据清理及转换;数据分析建模等。基础数据准确和待遇计算正确是社保审计中的两个关键问题。社保工作中涉及了大量数据,基础数据是否准确,数据是否能适时更新,是影响社保工作质量的大问题。利用计算机可以对需要审计的数据进行提取,并利用数据间的逻辑关系来验证数据的真实性。待遇计算正确与否取决于对不同的人套用政策待遇时是否正确,也涉及被审计单位使用的软件是否能满足不同人的待遇计算要求。因此,要继续加强计算机审计,继续加强社保审计资料库、信息库的建立。 二、社保基金信息系统审计的程序 社保基金信息系统审计与其他类型审计在审计程序方面没有本质区别。对审计机关而言,社保基金信息系统审计的程序包括审计计划,审计实施和审计完成三个阶段。在每个阶段,信息系统审计有其自身的特点和要求。 (一)审计计划阶段。 1.信息系统审计项目的选择要充分考虑各方面因素,包括:信息系统与被审计单位核心业务的相关性,信息系统的规模、复杂程度,所处的生命周期阶段,审计力量、审计时间等审计资源情况等。在以审查数据的真实性和合法性为主要审计目标的项目中,还要考虑开展信息系统审计所耗费的审计成本是否低于由此而减少的对数据进行实质性测试所耗费的审计成本。 2.要在充分调查论证的基础上编制审计项目计划。了解信息系统的基本情况,初步评价内部控制及外部控制,分析项目开展的可行性、确定重要性和分析审计风险等。主要是要从总体上把握社保业务管理组织流程、操作程序、资金流向和社保有关计算机信息系统(包括社保基金信息系统和地税征缴系统)的运行情况并分析数据结构。 (二)审计实施阶段。 审计实施阶段应包括三部分:对系统计划和开发阶段的审计,对系统运行和维护阶段,对生命周期共同业务的审计。应重点把握以下几点: 1.要深入了解业务流程和信息系统构成等详细信息。包括当地社保业务是如何进行组织管理的,社保资金的征缴、待遇支付、资金管理各是由哪些部门负责,各部门如何分工,社保资金如何管理和流转等;其次是获取信息系统的软硬件概况,各重要应用模块的业务内容、数据处理流程和处理逻辑,重要应用模块相互之间的关系等;三是获取被审单位社保组织结构、信息系统软件使用说明书、数据字典、数据库设计说明书等资料,了解数据库设计是否参照劳动部标准,调查数据库类型、版本及数据量大小,各险种数据库集成状况;数据库设计、运行及如何体现社保业务。 2.应根据审计目标和审计资源情况,对信息系统相关内部控制进行符合性测试,收集相关的审计证据。在审计实施阶段,审计人员根据审计资源情况,合理选择与审计目标相关的系统控制进行符合性测试,以判定现有的控制是否能够得到有效执行并发挥作用。测试内容主要包括:信息系统一般控制和信息系统应用控制。检查的重点包括:相关的系统文档;日志文件;信息系统有关管理规章制度的执行情况;网络、硬件、操作系统、数据库系统是否存在重大的安全隐患;业务处理流程与系统数据流程中是否存在漏洞等。
