某省“金保工程”信息系统审计案例 信息系统案例介绍.ppt

某省某省某省某省“金保工程金保工程金保工程金保工程”信息系统审信息系统审信息系统审信息系统审计计计计审计署哈尔滨特派办审计署哈尔滨特派办 2011年年12月月信息系统案例介绍信息系统案例介绍信息系统案例介绍信息系统案例介绍信息系统案例介绍信息系统案例介绍内容简介内容简介 一、项目摘要一、项目摘要 二、信息系统基本情况二、信息系统基本情况 七、初步审计成果七、初步审计成果 八、项目的局限性八、项目的局限性 四、信息系统审计总体目标四、信息系统审计总体目标 三、信息系统控制情况三、信息系统控制情况 五、信息系统审计内容和事项五、信息系统审计内容和事项 六、信息系统审计过程和测试方法六、信息系统审计过程和测试方法 聚焦聚焦“金保工程金保工程”金保工程金保工程金保工程金保工程1 1一个工程一个工程 2 2两大系统两大系统 3三级结构三级结构 4 4四项功能四项功能 “金保工程金保工程”是利用先进的信息技术，以中央、省、市三级网络为依托，涵是利用先进的信息技术，以中央、省、市三级网络为依托，涵盖县、乡等基层机构，支持劳动和社会保障业务经办、公共服务、基金监管盖县、乡等基层机构，支持劳动和社会保障业务经办、公共服务、基金监管和宏观决策等核心应用，覆盖全国的统一的劳动和社会保障电子政务工程。和宏观决策等核心应用，覆盖全国的统一的劳动和社会保障电子政务工程。1.1.项目摘要项目摘要项目信息项目信息 名称：某省名称：某省“金保金保工程工程”信息系统审信息系统审计；计；时间时间:2011年年7-9月月审计重点审计重点“金保工程金保工程”信息系统信息系统一般控制及社会保险子一般控制及社会保险子系统应用控制系统应用控制发现问题发现问题1.1.尚未建立健全信息系统制尚未建立健全信息系统制度建设，设备采购管理亟待度建设，设备采购管理亟待规范，信息系统安全投入不规范，信息系统安全投入不足，系统运维外包存在潜在足，系统运维外包存在潜在风险。风险。2.2.数据备份、恢复及操作等数据备份、恢复及操作等方面管理机制不完善；机房方面管理机制不完善；机房缺少必要的安全设施，存在缺少必要的安全设施，存在安全隐患。安全隐患。3.3.系统功能设置不完善，系系统功能设置不完善，系统应用缺乏有效控制，数据统应用缺乏有效控制，数据的完整性、准确性和一致性的完整性、准确性和一致性等发面缺乏有效地校验机制等发面缺乏有效地校验机制控制。控制。2.2.信息系统基本情况信息系统基本情况 某省某省“金保工金保工程程”系统平台以系统平台以省级大集中数据省级大集中数据库和统一应用平库和统一应用平台为基础。负责台为基础。负责管理和维护的信管理和维护的信息系统共有息系统共有9999个。个。2.2.信息系统基本情况信息系统基本情况省级数据中心包括主中心和灾省级数据中心包括主中心和灾备中心，采用同城实时系统级备中心，采用同城实时系统级备份和异地（某市）数据集异备份和异地（某市）数据集异步备份方式备份数据，此外，步备份方式备份数据，此外，省人社厅还以每日一次增量备省人社厅还以每日一次增量备份、每周一次全库备份的方式份、每周一次全库备份的方式存储数据。存储数据。“金保工程金保工程”系统现已建成系统现已建成2M2M以上光纤和以上光纤和ADSLADSL实时连接的全实时连接的全省县级以上（含县级）人力资省县级以上（含县级）人力资源和社会保障行政部门和经办源和社会保障行政部门和经办机构的骨干网络，以及新农保机构的骨干网络，以及新农保试点县的全部乡镇和其他农村试点县的全部乡镇和其他农村部分乡镇，全省大部分街道社部分乡镇，全省大部分街道社区、医疗保险定点医院和药店，区、医疗保险定点医院和药店，部分国有企业通过部分国有企业通过SSLVPNSSLVPN连接连接的分支网络。的分支网络。2.2.信息系统基本情况信息系统基本情况养老保险数据逻辑结构养老保险数据逻辑结构v针对数据物理集中、业务处理实现高度信息化的特点，针对数据物理集中、业务处理实现高度信息化的特点，审计人员对某省审计人员对某省“金保工程金保工程”信息系统的部署及应用进行信息系统的部署及应用进行了调查，发现其在网络部署及安全保护措施、业务流程控了调查，发现其在网络部署及安全保护措施、业务流程控制制 、数据控制等方面存在一定风险。、数据控制等方面存在一定风险。3.3.信息系统控制情况信息系统控制情况审计子类审计子类审计情况初步调查结论审计情况初步调查结论风险水平风险水平网络部署及网络部署及安全保护措安全保护措施施某省某省“金保工程金保工程”系统建立了专用网络，通过专线系统建立了专用网络，通过专线与数据中心以及各分支机构连接。绘制了网络拓扑与数据中心以及各分支机构连接。绘制了网络拓扑结构图，安装了入侵检测、漏洞扫描工具、防火墙结构图，安装了入侵检测、漏洞扫描工具、防火墙以及熊猫网络版杀毒软件。制定了权限管理、用户以及熊猫网络版杀毒软件。制定了权限管理、用户管理、安全管理等制度。管理、安全管理等制度。中中业务流程控业务流程控制制业务授权与审批较规范，数据处理逻辑基本合理，业务授权与审批较规范，数据处理逻辑基本合理，部分业务流程与有关规定不符。部分业务流程与有关规定不符。中中数据控制数据控制主数据、业务参数和重要信息基本能够满足有效性、主数据、业务参数和重要信息基本能够满足有效性、完整性和真实性的要求，部分数据校验机制存在不完整性和真实性的要求，部分数据校验机制存在不足。足。中中4.4.信息系统审计总计目标信息系统审计总计目标围绕围绕“找出隐患、规范管理、促进完善找出隐患、规范管理、促进完善”的总体思的总体思路，对某省路，对某省“金保工程金保工程”系统的可靠性、有效性、系统的可靠性、有效性、效率性和安全性等进行检查，了解社会养老保险子效率性和安全性等进行检查，了解社会养老保险子系统的运行状况，发现该系统在使用和管理过程中系统的运行状况，发现该系统在使用和管理过程中存在的问题，确定该信息系统是否存在漏洞和缺陷，存在的问题，确定该信息系统是否存在漏洞和缺陷，揭示使用系统办理基金业务时存在的控制风险，揭揭示使用系统办理基金业务时存在的控制风险，揭露基金筹集、管理、使用中存在的突出问题，从而露基金筹集、管理、使用中存在的突出问题，从而对系统进行客观公正的评价，为促进被审计单位加对系统进行客观公正的评价，为促进被审计单位加强管理，完善风险监督机制，防范利用计算机系统强管理，完善风险监督机制，防范利用计算机系统进行欺诈与舞弊，保证基金的安全与完整，维护人进行欺诈与舞弊，保证基金的安全与完整，维护人民群众的切身利益，提出切实可行的审计建议。民群众的切身利益，提出切实可行的审计建议。5.5.审计重点内容及审计事项审计重点内容及审计事项 某省人力资源社会某省人力资源社会保障信息化工作开展较保障信息化工作开展较早，并率先在全国实现早，并率先在全国实现了全省养老保险数据大了全省养老保险数据大集中。根据某省集中。根据某省“金保金保工程工程”系统的建设和使系统的建设和使用情况，此次信息系统用情况，此次信息系统审计重点关注了审计重点关注了“金保金保工程工程”系统的一般控制系统的一般控制及其社会保险子系统的及其社会保险子系统的应用控制两部分内容，应用控制两部分内容，共完成了共完成了1313个审计事项。个审计事项。序号序号审计内容审计内容审计事项审计事项审计事项类别审计事项类别1信息系统组织控制情信息系统组织控制情况况制度建设制度建设一般控制一般控制2设备采购管理设备采购管理一般控制一般控制3信息系统开发维护控信息系统开发维护控制情况制情况项目立项项目立项一般控制一般控制4系统运行维护管理系统运行维护管理一般控制一般控制5信息系统安全控制情信息系统安全控制情况情况况情况系统安全投入系统安全投入一般控制一般控制6系统安全定级系统安全定级一般控制一般控制7系统操作管理控制情系统操作管理控制情况况数据资源管理数据资源管理一般控制一般控制8机房物理环境控制情机房物理环境控制情况况机房物理环境管理机房物理环境管理一般控制一般控制9信息系统效益情况信息系统效益情况系统应用效益系统应用效益一般控制一般控制10信息系统流程和功能信息系统流程和功能控制情况控制情况系统流程控制系统流程控制应用控制应用控制 11系统功能控制系统功能控制应用控制应用控制 12数据输入控制情况数据输入控制情况主数据库数据输入控制主数据库数据输入控制应用控制应用控制 13数据处理控制情况数据处理控制情况主数据库数据处理控制主数据库数据处理控制应用控制应用控制 6.6.审计过程和测试方法审计过程和测试方法（一）一般控制审计（一）一般控制审计ITIT管理政策审计管理政策审计1.1.具体审计目标：检查被审计单位具体审计目标：检查被审计单位ITIT管理政策情况，是否管理政策情况，是否制订了完善可行的制订了完善可行的ITIT管理政策，政策执行是否顺利。管理政策，政策执行是否顺利。2.2.审计测试过程审计测试过程（1 1）要求被审计单位提供机房管理制度、人员管理制度）要求被审计单位提供机房管理制度、人员管理制度等等ITIT相关管理政策。查阅被审计单位提供的相关管理政策。查阅被审计单位提供的“机房管理制机房管理制度度”、“人员管理制度人员管理制度”、“软硬件管理使用制度软硬件管理使用制度”、“网络安全制度及保密制度网络安全制度及保密制度”等，检查其管理政策是否完善等，检查其管理政策是否完善合理、有效可行。合理、有效可行。（2 2）走访了信息中心和业务部门的部分员工，询问他们）走访了信息中心和业务部门的部分员工，询问他们对于上述政策制度的了解程度，现场观察员工的操作是否对于上述政策制度的了解程度，现场观察员工的操作是否符合管理制度。符合管理制度。6.6.审计过程和测试方法审计过程和测试方法 3.3.审计结果审计结果截至截至20112011年年6 6月末，省人社厅及所属信息中月末，省人社厅及所属信息中心仅建立了关于心仅建立了关于“金保工程金保工程”资产管理和资产管理和系统运行维护方面的相关制度系统运行维护方面的相关制度7 7项，尚未对项，尚未对项目管理和资金使用制定相应的管理制度，项目管理和资金使用制定相应的管理制度，“金保工程金保工程”建设监管存在建设监管存在“盲区盲区”。6.6.审计过程和测试方法审计过程和测试方法上述做法不符合原劳动保障部上述做法不符合原劳动保障部关于进一关于进一步加快实施金保工程的意见步加快实施金保工程的意见（劳社部函（劳社部函20042004262262号）关于各地要建立项目管理、号）关于各地要建立项目管理、资金使用、资产管理、系统运行维护等方资金使用、资产管理、系统运行维护等方面的规章制度，明确分工，落实责任，采面的规章制度，明确分工，落实责任，采用科学的管理方法和管理模式，切实加强用科学的管理方法和管理模式，切实加强对金保工程建设的管理、控制与监督的规对金保工程建设的管理、控制与监督的规定。定。6.6.审计过程和测试方法审计过程和测试方法（二）一般控制审计（二）一般控制审计设备采购审计设备采购审计1.1.具体审计目标：调查建设、改造具体审计目标：调查建设、改造“金保工程金保工程”系统时，采购过程是否符合相关法律法规要求。系统时，采购过程是否符合相关法律法规要求。2.2.审计测试过程审计测试过程查看项目建设和设备采购资料，对查看项目建设和设备采购资料，对“金保工程金保工程”系统设备的采购过程进行检查。系统设备的采购过程进行检查。3.3.审计结果审计结果某省某省“金保工程金保工程”系统部分项目的采购未形成书系统部分项目的采购未形成书面方案，采购过程权责划分不明晰，招标采购经面方案，采购过程权责划分不明晰，招标采购经常出现单一厂商投标的现象。常出现单一厂商投标的现象。6.6.审计过程和测试方法审计过程和测试方法（三）一般控制审计（三）一般控制审计信息系统开发维护控制审计信息系统开发维护控制审计1.1.具体审计目标：检查被审计单位在系统建设中，各项要具体审计目标：检查被审计单位在系统建设中，各项要素是否齐备；系统开发过程中，对系统分析、系统设计和素是否齐备；系统开发过程中，对系统分析、系统设计和系统实施过程所进行的控制措施情况，能否保证信息系统系统实施过程所进行的控制措施情况，能否保证信息系统的质量以及安全可靠性。的质量以及安全可靠性。2.2.审计测试过程审计测试过程（1 1）与被审单位的管理人员、业务人员、软件开发人员）与被审单位的管理人员、业务人员、软件开发人员座谈进行询问，了解系统建设、开发和变更的流程控制情座谈进行询问，了解系统建设、开发和变更的流程控制情况和质量控制情况。况和质量控制情况。（2 2）要求被审计单位提供可行性研究报告、项目建设意）要求被审计单位提供可行性研究报告、项目建设意见书、项目立项申请书、项目开发计划、软件需求规格说见书、项目立项申请书、项目开发计划、软件需求规格说明书、数据需求规格说明书或数据表明书、数据需求规格说明书或数据表E-RE-R关系图、概要设关系图、概要设计说明书或程序设计说明书、详细设计说明书或模块设计计说明书或程序设计说明书、详细设计说明书或模块设计说明书、测试计划、测试分析报告、开发进度月报、项目说明书、测试计划、测试分析报告、开发进度月报、项目开发总结报告、维护修改日志或软件开发变更说明、操作开发总结报告、维护修改日志或软件开发变更说明、操作手册或用户使用手册、系统运行维护协议等。手册或用户使用手册、系统运行维护协议等。审计人员审阅所提交的系统文档。审计人员审阅所提交的系统文档。6.6.审计过程和测试方法审计过程和测试方法 3.3.审计结果审计结果（1 1）“金保工程金保工程”系统至今尚未立项。系统至今尚未立项。20022002年至年至20032003年，某省按照原劳动和社会保障部年，某省按照原劳动和社会保障部关于做关于做好好“金保工程金保工程”一期建设项目可行性研究报告编制工作的一期建设项目可行性研究报告编制工作的通知通知统一部署，依据统一范本，编撰了某省金保工程一统一部署，依据统一范本，编撰了某省金保工程一期项目建议书，但至今未上报省发展改革委审批立项。期项目建议书，但至今未上报省发展改革委审批立项。（2 2）系统运行维护服务外包，存在潜在泄密风险。）系统运行维护服务外包，存在潜在泄密风险。某省某省“金保工程金保工程”系统的运行维护服务由系统开发商某软系统的运行维护服务由系统开发商某软件工程有限公司（以下简称工大软件）负责，内容包括业件工程有限公司（以下简称工大软件）负责，内容包括业务软件升级、系统维护、质量保障、技术培训、工程实施务软件升级、系统维护、质量保障、技术培训、工程实施以及业务数据的处理。省人社厅信息中心虽有专人负责，以及业务数据的处理。省人社厅信息中心虽有专人负责，但由于管理人员有限，自身技术力量尚难满足全部运行维但由于管理人员有限，自身技术力量尚难满足全部运行维护工作的需要，目前运行维护全部依靠工大软件人员进行，护工作的需要，目前运行维护全部依靠工大软件人员进行，存在潜在的泄密风险。存在潜在的泄密风险。6.6.审计过程和测试方法审计过程和测试方法（四）一般控制审计（四）一般控制审计信息系统安全控制审计信息系统安全控制审计1.1.具体审计目标：检查被审计单位的信息系统安全投入是具体审计目标：检查被审计单位的信息系统安全投入是否能够满足安全控制需要，安全控制措施是否健全有效，否能够满足安全控制需要，安全控制措施是否健全有效，确定能否保证信息资产的安全。确定能否保证信息资产的安全。2.2.审计测试过程审计测试过程（1 1）对网络运行专管员进行访谈，了解网络系统运转情）对网络运行专管员进行访谈，了解网络系统运转情况的日常监督情况、网络设备实施、配置情况等。况的日常监督情况、网络设备实施、配置情况等。（2 2）获取该单位）获取该单位“生产中心拓扑图生产中心拓扑图”，通过对拓扑图进，通过对拓扑图进行分析，检查网络拓扑结构是否满足业务需求和工作流程行分析，检查网络拓扑结构是否满足业务需求和工作流程的需要；审阅办公楼综合布线测试报告和综合布线验收意的需要；审阅办公楼综合布线测试报告和综合布线验收意见；取得见；取得VLANVLAN划分列表，对照该单位各部门的分布，分析划分列表，对照该单位各部门的分布，分析VLANVLAN划分的合理性有效性；现场观察是否配备了网络防火划分的合理性有效性；现场观察是否配备了网络防火墙、入侵检测、安全审计、漏洞扫描、网络管理等。墙、入侵检测、安全审计、漏洞扫描、网络管理等。6.6.审计过程和测试方法审计过程和测试方法 3.3.审计结果审计结果（1 1）信息系统安全投入不足，存在隐患。）信息系统安全投入不足，存在隐患。截至截至20112011年年6 6月末，黑龙江省月末，黑龙江省“金保工程金保工程”系统项目设备系统项目设备采购金额累计为采购金额累计为2666.242666.24万元，其中购买安全相关设备金万元，其中购买安全相关设备金额为额为164.09164.09万元，占万元，占6.15%6.15%。审计发现，由于黑龙江省。审计发现，由于黑龙江省“金保工程金保工程”系统安全设备投入不足，入侵检测、漏洞扫描系统安全设备投入不足，入侵检测、漏洞扫描工具及防火墙等信息安全设备均未达到相关标准的要求，工具及防火墙等信息安全设备均未达到相关标准的要求，信息系统安全存在隐患。信息系统安全存在隐患。上述做法不符合原劳动保障部上述做法不符合原劳动保障部关于进一步加快实施金保关于进一步加快实施金保工程的意见工程的意见关于各地在业务专网建设的同时，要进行业关于各地在业务专网建设的同时，要进行业务专网基础安全防护系统的建设，包括网络的访问控制、务专网基础安全防护系统的建设，包括网络的访问控制、病毒防范、入侵检测等，定期进行风险分析、安全审计并病毒防范、入侵检测等，定期进行风险分析、安全审计并及时调整安全策略的规定。及时调整安全策略的规定。6.6.审计过程和测试方法审计过程和测试方法（2 2）未开展信息系统安全定级工作。）未开展信息系统安全定级工作。黑龙江省黑龙江省“金保工程金保工程”系统于系统于20032003年全线开通。年全线开通。截至审计日，省人社厅仍未对黑龙江省截至审计日，省人社厅仍未对黑龙江省“金保工金保工程程”系统开展信息系统安全定级工作。系统开展信息系统安全定级工作。上述做法不符合公安部、国家保密局、国家密码上述做法不符合公安部、国家保密局、国家密码管理局、国务院信息化工作办公室管理局、国务院信息化工作办公室关于开展全关于开展全国重要信息系统安全等级保护定级工作的通知国重要信息系统安全等级保护定级工作的通知（公信安（公信安20072007861861号）关于公安、人事劳动和号）关于公安、人事劳动和社会保障、财政等重要信息系统要开展重要信息社会保障、财政等重要信息系统要开展重要信息系统安全等级保护定级工作的规定。系统安全等级保护定级工作的规定。6.6.审计过程和测试方法审计过程和测试方法（五）一般控制审计（五）一般控制审计系统操作管理情况控制审计系统操作管理情况控制审计1.1.审计具体目标审计具体目标:检查被审计单位是否建立了一套完善可检查被审计单位是否建立了一套完善可行的信息系统操作管理制度，确认信息系统的各类操作人行的信息系统操作管理制度，确认信息系统的各类操作人员是否严格按照系统操作管理制度进行系统的使用和操作。员是否严格按照系统操作管理制度进行系统的使用和操作。2.2.审计测试过程审计测试过程（1 1）要求被审计单位提供信息系统操作管理制度和操作）要求被审计单位提供信息系统操作管理制度和操作手册。审阅信息系统操作管理制度，分析其是否完善可行；手册。审阅信息系统操作管理制度，分析其是否完善可行；审阅各种操作手册；要求被审单位相关人员填写数据资源审阅各种操作手册；要求被审单位相关人员填写数据资源管理控制调查表。管理控制调查表。（2 2）检查操作日志，并就出现的事件和采取的行动询问）检查操作日志，并就出现的事件和采取的行动询问有关操作人员。有关操作人员。（3 3）实地观察信息中心的活动，包括日常备份等；观察）实地观察信息中心的活动，包括日常备份等；观察业务人员实际使用系统进行业务办理的情况，是否符合操业务人员实际使用系统进行业务办理的情况，是否符合操作制度。作制度。6.6.审计过程和测试方法审计过程和测试方法 3.3.审计结果审计结果省人社厅未对省人社厅未对“金保工金保工程程”系统的数据备份和恢系统的数据备份和恢复工作建立完整的管理机复工作建立完整的管理机制，没有设置授权审批制制，没有设置授权审批制度，备份或恢复数据没有度，备份或恢复数据没有相应的日志记录；未建立相应的日志记录；未建立系统操作人员工作日志，系统操作人员工作日志，对操作人员的操作没有记对操作人员的操作没有记录。录。上述做法不符合原劳动保上述做法不符合原劳动保障部障部关于加强社会保险关于加强社会保险基础数据备份工作的通知基础数据备份工作的通知（社保中心函（社保中心函200820081919号）关于明确数据备份号）关于明确数据备份和恢复的工作程序，对备和恢复的工作程序，对备份和恢复过程进行记录，份和恢复过程进行记录，并妥善保管记录的规定。并妥善保管记录的规定。6.6.审计过程和测试方法审计过程和测试方法（六）一般控制审计（六）一般控制审计机房物理环机房物理环境控制审计境控制审计1.1.具体审计目标：对养老保险信息具体审计目标：对养老保险信息系统进行物理环境审计，确定信息系统进行物理环境审计，确定信息系统的运行环境是否安全。系统的运行环境是否安全。2.2.审计测试过程：审前调查阶段，审计测试过程：审前调查阶段，设计了信息系统机房物理环境控制设计了信息系统机房物理环境控制调查表，由被审单位填写相关内容；调查表，由被审单位填写相关内容；审计实施阶段通过实地考察对机房审计实施阶段通过实地考察对机房的物理环境和相关设备进行了实地的物理环境和相关设备进行了实地考核。考核。3.3.审计结果审计结果信息中心机房缺少必要的设施，存信息中心机房缺少必要的设施，存在安全隐患。一是机房未安装温度、在安全隐患。一是机房未安装温度、湿度环境传感器，未定期对机房空湿度环境传感器，未定期对机房空气进行净化处理；二是未配备备用气进行净化处理；二是未配备备用电源或独立备份供电；三是未安装电源或独立备份供电；三是未安装门禁系统、闭路电视或成像系统等门禁系统、闭路电视或成像系统等监视装置以及自动报警系统。监视装置以及自动报警系统。6.6.审计过程和测试方法审计过程和测试方法（七）一般控制审计（七）一般控制审计信息系统应用效益控制审计信息系统应用效益控制审计1.1.具体审计目标：检查具体审计目标：检查“金保工程金保工程”系统规划和实际应用情况是否达系统规划和实际应用情况是否达到了规划要求，有无重复建设情况存在。到了规划要求，有无重复建设情况存在。2.2.审计测试过程：要求被审单位提供审计测试过程：要求被审单位提供“金保工程金保工程”系统建设规划，现系统建设规划，现有信息系统运行情况统计表及各系统运行情况说明材料。有信息系统运行情况统计表及各系统运行情况说明材料。3.3.审计结果审计结果某省某省“金保工程金保工程”系统是按照省级大集中模式建设的，业务软件开发系统是按照省级大集中模式建设的，业务软件开发也涵盖了省人社厅的全部业务，但由于全省信息系统建设应用缺乏有也涵盖了省人社厅的全部业务，但由于全省信息系统建设应用缺乏有效控制，导致系统部分功能模块未能充分利用，部分业务应用信息系效控制，导致系统部分功能模块未能充分利用，部分业务应用信息系统被重复建设，部分地市甚至自行建设独立的信息系统。如统被重复建设，部分地市甚至自行建设独立的信息系统。如“金保工金保工程程”系统中目前在线运行的系统软件系统中目前在线运行的系统软件9999个，共分为办公应用、部门交个，共分为办公应用、部门交换、决策支持、网站应用、信息管理及业务应用六大类，其中业务应换、决策支持、网站应用、信息管理及业务应用六大类，其中业务应用类有用类有6565个，但真正实现全省统一应用的软件仅有个，但真正实现全省统一应用的软件仅有1111个，占比个，占比16.92%16.92%，部分地市医疗保险、工伤保险等重要业务数据仍未实现全省集中。，部分地市医疗保险、工伤保险等重要业务数据仍未实现全省集中。又如，哈尔滨市、大庆市单独开发了医疗保险、工伤生育等系统，大又如，哈尔滨市、大庆市单独开发了医疗保险、工伤生育等系统，大庆石油管理局、某省农垦总局单独建设了包括养老保险的五项社会保庆石油管理局、某省农垦总局单独建设了包括养老保险的五项社会保险信息系统；在黑龙江省已经承诺为各地免费开发和维护医疗保险信险信息系统；在黑龙江省已经承诺为各地免费开发和维护医疗保险信息系统的情况下，有些地市甚至县仍建设独立的信息系统。重复投资、息系统的情况下，有些地市甚至县仍建设独立的信息系统。重复投资、重复维护，影响了省级统筹的实际效果；各地开发的系统标准不统一，重复维护，影响了省级统筹的实际效果；各地开发的系统标准不统一，数据和系统安全性差，也造成了一定的管理风险。数据和系统安全性差，也造成了一定的管理风险。6.6.审计过程和测试方法审计过程和测试方法 系统测试系统测试审计审计风险风险应用控制应用控制审计审计6.6.审计过程和测试方法审计过程和测试方法测试环境测试环境怎么怎么办？办？大集中系统大集中系统不适宜搭建不适宜搭建大型信息系统大型信息系统搭建测试环境成本高搭建测试环境成本高调试时间长调试时间长6.6.审计过程和测试方法审计过程和测试方法信息系统信息系统审计方式审计方式结合式结合式结合式结合式独立式独立式独立式独立式特殊式特殊式特殊式特殊式倒推式倒推式用哪用哪个？个？“倒推式倒推式”主要是根主要是根据业务审计发现问题，据业务审计发现问题，倒推出系统缺陷。但倒推出系统缺陷。但这种这种“倒推式倒推式”并没并没有明确的信息系统审有明确的信息系统审计目标，因而具有一计目标，因而具有一定偶然性。定偶然性。“倒推式倒推式”，是指根据业，是指根据业务流程对信息系统控务流程对信息系统控制点进行分解，在确制点进行分解，在确定关键控制环节的基定关键控制环节的基础上，建立数据分析础上，建立数据分析模型对控制点数据进模型对控制点数据进行分析，并根据数据行分析，并根据数据分析发现的异常倒推分析发现的异常倒推出系统控制缺陷的信出系统控制缺陷的信息系统审计方式。息系统审计方式。昨天昨天 明天明天l l 倒推式信息系统审计演变今天今天6.6.审计过程和测试方法审计过程和测试方法“倒推式倒推式”是指通过数据审计发现异常，倒推系统内控或信是指通过数据审计发现异常，倒推系统内控或信息系统的毛病。息系统的毛病。数据审计、数据审计、信息系统信息系统审计和系审计和系统内控审统内控审计三位一计三位一体全结合体全结合6.6.审计过程和测试方法审计过程和测试方法132根据业务流程，确定系统关键控制环节，并设计数据分析根据业务流程，确定系统关键控制环节，并设计数据分析目标目标 围绕数据分析目标，建立数据分析模型进行数据分析，发现围绕数据分析目标，建立数据分析模型进行数据分析，发现数据存在的异常或问题线索数据存在的异常或问题线索 针对数据分析发现的问题，编写审计需求单提交被审计单针对数据分析发现的问题，编写审计需求单提交被审计单位确认并自查原因；审计人员采取前后台数据对比分析等位确认并自查原因；审计人员采取前后台数据对比分析等方法进行验证，从系统应用控制层面查找原因，从流程、方法进行验证，从系统应用控制层面查找原因，从流程、功能、输入、处理控制等功能、输入、处理控制等4 4个方面确认系统存在的问题个方面确认系统存在的问题审计审计需求需求信息信息系统系统社保社保业务业务社保社保政策政策审审计计方方法法审审计计需需求求审审计计实实践践调研重要的国家级调研重要的国家级的社保政策。分析的社保政策。分析各省市的各省市的“土政策土政策”分析提炼各地社保分析提炼各地社保业务中的变与不变业务中的变与不变分析提炼各种信息分析提炼各种信息系统中的变与不变系统中的变与不变分析提炼审计需求分析提炼审计需求中的共性与个性中的共性与个性6.审计过程和测试方法审计过程和测试方法6.6.审计过程和测试方法审计过程和测试方法（八）应用控制审计（八）应用控制审计信息系统流程控制审计信息系统流程控制审计 1.1.具体审计目标：检查具体审计目标：检查“金保工程金保工程”系统流程设系统流程设置及控制情况，判断系统流程控制是否与实际经置及控制情况，判断系统流程控制是否与实际经办流程相符。办流程相符。2.2.审计测试过程：要求被审单位提供系统流程设审计测试过程：要求被审单位提供系统流程设置及控制情况相关资料，与业务经办机构人员座置及控制情况相关资料，与业务经办机构人员座谈并进行分析性复核测试。谈并进行分析性复核测试。3.3.审计结果审计结果通过对通过对“金保工程金保工程”系统的数据结构进行剖析发系统的数据结构进行剖析发现，系统中只设定了参保登记和应缴申报的二级现，系统中只设定了参保登记和应缴申报的二级经办审核机制，无法实现国家规定的经办审核机制，无法实现国家规定的“经办经办审审核核复核复核”的三级审核机制。的三级审核机制。6.6.审计过程和测试方法审计过程和测试方法（九）应用控制审计（九）应用控制审计信息系统功能控制审计信息系统功能控制审计1.1.具体审计目标：检查具体审计目标：检查“金保工程金保工程”系统功能设置及系统功能设置及控制情况，判断系统功能控制是否满足实际经办的需控制情况，判断系统功能控制是否满足实际经办的需要。要。2.2.审计测试过程：要求被审单位提供系统功能设置审计测试过程：要求被审单位提供系统功能设置及控制情况相关资料，与业务经办机构人员座谈并进及控制情况相关资料，与业务经办机构人员座谈并进行分析性复核测试。行分析性复核测试。3.3.审计结果审计结果企业基本信息查询模块无法实现对统筹区参保企业欠企业基本信息查询模块无法实现对统筹区参保企业欠费情况的统计汇总，只能按属期把欠费企业的数据列费情况的统计汇总，只能按属期把欠费企业的数据列出，不能实现对欠费数据按单位汇总，各基层社保经出，不能实现对欠费数据按单位汇总，各基层社保经办机构无法应用查询功能来加强欠费的催缴等管理工办机构无法应用查询功能来加强欠费的催缴等管理工作。作。6.6.审计过程和测试方法审计过程和测试方法（十）应用控制审计（十）应用控制审计数据输入控制审计数据输入控制审计1.1.具体审计目标：通过对输入数据控制功能的审具体审计目标：通过对输入数据控制功能的审计，检查系统自身应用控制是否存在漏洞和功能计，检查系统自身应用控制是否存在漏洞和功能缺陷，评价信息系统的可靠性及效果。缺陷，评价信息系统的可靠性及效果。2.2.审计测试过程：审计组制定了较为详尽的测试审计测试过程：审计组制定了较为详尽的测试计划与细则，对运行环境中的程序模块处理功能计划与细则，对运行环境中的程序模块处理功能进行数据检测。发现输入校验功能较弱，存在违进行数据检测。发现输入校验功能较弱，存在违规设置事项。测试数据项包括正常、有效的交易规设置事项。测试数据项包括正常、有效的交易数据，不正常、无效的交易数据，破坏性数据，数据，不正常、无效的交易数据，破坏性数据，进行多种额度及权限下的有关交易测试。最后，进行多种额度及权限下的有关交易测试。最后，将程序运行结果与预期结果进行比对，判断有关将程序运行结果与预期结果进行比对，判断有关程序的控制与处理功能是否恰当、有效。程序的控制与处理功能是否恰当、有效。6.6.审计过程和测试方法审计过程和测试方法步骤1通过现场面谈观察通过现场面谈观察法，初步了解系统法，初步了解系统输入控制情况输入控制情况 步骤2审计人员设计一套审计人员设计一套特定的测试数据样特定的测试数据样本，采用测试数据本，采用测试数据法，检查错误、重法，检查错误、重复的关键数据是否复的关键数据是否能够被拒绝能够被拒绝 采用数据验证法，采用数据验证法，检查数据之间逻辑检查数据之间逻辑关系。关系。步骤36.6.审计过程和测试方法审计过程和测试方法 3.3.审计结果审计结果（1 1）对某些关键信息项未作完整性校验，导致信息不全。）对某些关键信息项未作完整性校验，导致信息不全。在在“金保工程金保工程”系统数据的单位基本信息中，全省系统数据的单位基本信息中，全省4909049090个单位存在个单位存在行业代码为空、组织机构代码为空、单位工商登记发照日期为空、单行业代码为空、组织机构代码为空、单位工商登记发照日期为空、单位缴费开户基本账号为空、参保单位名称为空等现象；单位参保信息位缴费开户基本账号为空、参保单位名称为空等现象；单位参保信息中，也存在单位参保状态正常但参保日期为空的现象。中，也存在单位参保状态正常但参保日期为空的现象。（2 2）对主要信息项未做正确性、合理性检验或校验机制不完善，导）对主要信息项未做正确性、合理性检验或校验机制不完善，导致部分数据错误。致部分数据错误。在在“金保工程金保工程”系统数据的个人基本信息表中，性别为异常标识（正系统数据的个人基本信息表中，性别为异常标识（正常为常为“1”1”或或“2”2”）的记录有）的记录有38763876条；身份证号码异常（身份证字段条；身份证号码异常（身份证字段长度大于长度大于1818或小于或小于1515或信息为空）的记录有或信息为空）的记录有968968条。条。（3 3）对主要信息项未做重复性检验，导致部分信息存在重复。）对主要信息项未做重复性检验，导致部分信息存在重复。在在“金保工程金保工程”系统数据的单位基本信息中，全省参保单位名称重复系统数据的单位基本信息中，全省参保单位名称重复但参保单位编号不一致的记录为但参保单位编号不一致的记录为25302530条；某市个人基本信息表中，身条；某市个人基本信息表中，身份证号重复的记录为份证号重复的记录为5977459774条，其中最多一个身份证号重复了条，其中最多一个身份证号重复了1414次。次。6.6.审计过程和测试方法审计过程和测试方法上述做法不符合原劳动保障部上述做法不符合原劳动保障部关于进一关于进一步加快实施金保工程的意见步加快实施金保工程的意见关于要加强关于要加强基础数据库建设，切实做好基础数据的采基础数据库建设，切实做好基础数据的采集、整理和入库工作，要按照部里的标准集、整理和入库工作，要按照部里的标准和要求，对基本项目不全、记录不实的数和要求，对基本项目不全、记录不实的数据，抓紧补齐记实，同时要剔除冗余数据，据，抓紧补齐记实，同时要剔除冗余数据，更正错误数据，清理垃圾数据，确保各项更正错误数据，清理垃圾数据，确保各项数据真实准确的规定。数据真实准确的规定。6.6.审计过程和测试方法审计过程和测试方法（十一）应用控制审计（十一）应用控制审计数据处理控制审计数据处理控制审计1.1.具体审计目标：以构建审计分析模型为出发点，通过采具体审计目标：以构建审计分析模型为出发点，通过采集审计分析模型需要的数据和对数据进行处理分析，判断集审计分析模型需要的数据和对数据进行处理分析，判断和评价系统数据的真实性、合法性、完整性，通过数据审和评价系统数据的真实性、合法性、完整性，通过数据审计发现的问题，提供给审计组成员进行核实，提高工作效计发现的问题，提供给审计组成员进行核实，提高工作效率，进而反推信息系统缺陷。率，进而反推信息系统缺陷。2.2.审计测试过程：审计测试过程：分析该系统的数据字典，掌握保存程序运行结果的库表结分析该系统的数据字典，掌握保存程序运行结果的库表结构与分布情况，采集了审计所需的数据库文件，通过构与分布情况，采集了审计所需的数据库文件，通过SQLSQL等数据库分析处理工具，对采集的数据文件进行转换，对等数据库分析处理工具，对采集的数据文件进行转换，对照法律法规要求设定各种运算条件，使用查询、排序、计照法律法规要求设定各种运算条件，使用查询、排序、计算、分析等算、分析等SQLSQL语句，分别构建逻辑关系模型、审计经验语句，分别构建逻辑关系模型、审计经验模型，用于检查，发现疑点。模型，用