信息系统应用控制 审计探索
发布日期:2015-11-26浏览次数:字号:[ ]

 

信息系统应用控制 审计探索

徐辰皓

  为突破信息系统审计瓶颈,将信息系统审计内容从资金审计、硬件网络安全审计向应用控制审计方面拓展,杭州市富阳区审计局在今年实施的自来水营业收费信息系统审计过程中,充分利用信息系统审计准则及操作规程,着力下好三步棋,探索了一套符合基层审计机关需求的信息系统审计实施模式,实现了基层审计机关信息系统审计质量的三级跳。

  一、稳中求进夯实基础

  综合考虑自身审计经验和审计能力后,审计组决定将以前项目中成功实施并取得成效的信息系统的战略规划、硬件安全及项目资金使用等表层信息系统审计事项纳入到实施方案的第一层级。

  明确第一层级的审计事项后,审计组将剩余的审计事项划分为两大部分,一部分为信息共享与业务协同审计和信息系统建设经济性评价,这一部分内容对审计信息化分析技术和面向审计开放资料的要求相对较高。而另一部分则是更为注重实际业务流程审计的应用控制审计相关内容。

  这次审计的信息系统主要用于日常自来水营业收费,具有较强的业务针对性,系统本身的设计也更为偏向底层的应用模块。同时,由于被审计单位本身无力自行开发这套系统,直接向第三方软件开发公司定制产品的方式部署这一系统,基本无法提供技术开发文档等资料,源代码也并未开放。审计人员认为在相对比较容易操作的应用控制审计方面寻找突破点的可行性更高,因此将这一部分内容确定为第二层级的审计重点以期能够取得新的审计成效。

  二、断点验证突破瓶颈

  当审计人员开始着手进行第二层级的系统应用控制审计时,新的问题出现了。由于缺少源代码,审计人员无法对水费自动生成的核心算法进行直接验证。水费计价算法作为整套系统的的关键点,贯穿整个营业收费流程,如果无法突破这个瓶颈,那么系统应用控制审计将无法开展。背水一战,审计人员自创了断点式验证的方法,通过“一定二核三验”成功突破了源代码缺失的瓶颈。

  一定标靶环节,理清业务逻辑。断点式验证的第一步是要根据核心业务流程,寻找数据交换的关键节点,保证后续的比对符合工作能够正确高效的开展。分析自来水营业收费业务流程后不难发现,用户水费的产生必将经历由用户档案建立到自动计算当期水费再到实际水费收取的过程。因此,审计组将这三个有着密切逻辑关联的流程确定为标靶环节,下一步就将对各个标靶环节内部进行详细的分析,进而从用户编号、用水性质、水价标准这三项具体参数比对出逻辑矛盾点。

  二核串联因素,查找数据矛盾。经过调查了解,审计人员将用户编号、用水性质、水价标准这三个参数进行逻辑串联后使得系统内数据流程变得清晰起来。首先在用户档案建立时录入用户编号、用水性质等基础信息。而在水费计价过程中,由抄表员录入用户编号和当期水量信息,系统根据用户编号调用用水性质参数,以用水性质对应的水费单价计算产生用户当期应收水费。最终在实际水费收取阶段,业务员直接查看系统中应收水费,依照应收金额收取水费或通过审批减免水费、滞纳金后将相关信息录入系统,完成整套业务流程。

  那么系统的实际业务流程是否与理论流程相吻合呢?是否会存在逻辑矛盾呢?在计算了三个标靶环节中的用户用水性质及执行的水价标准后,审计人员果然发现存在水费单价不一致的情况,这也意味着系统内计算控制环节存在问题,系统内并没有直接调用原始档案信息内的用水性质及单价生成当期水费。

  三验控制算法,确定问题成因。确定不可见的系统运算过程中存在计算控制问题后,审计人员决定以询证方式向软件开发商进行了二次核实,将相关矛盾数据提交给开发商,要求他们对自身的核心算法进行验证测试,最终确定在系统数据计算和控制过程中是否存在设计缺陷。在得到了软件开发商的确定回复后,审计人员最终向被审计单位提出了相应的审计建议和整改要求,通过深挖细核提升了第二阶段探索式审计工作的审计质量。

  三、落实整改提升成效

  在本次信息系统审计的实施过程中,审计人员查出一年及以上长期未抄表正常用户427户,用水性质错误特殊用水企业82家,10年以上长期欠费金额13.7万元,手续不齐减免水费本金6.57万元,滞纳金175.13万元。同时总结提炼信息系统审计案例一篇,计算机审计方法三个,促使被审计单位出台或修订了相应管理制度,优化水费计价及费用减免审批的核心算法和业务流程。

  考虑到信息系统的特殊性,审计人员也关注被审计单位在审计整改过程中可能遇到的困难与阻力,通过做到“三个充分”来帮助被审计单位更好地落实审计整改工作,提升整改成效,实现信息系统审计质量的第三级跳跃。

  一是审计解释充分,帮助形成正确认知。由于信息系统审计发现的问题具有一定的专业性,审计人员面向被审计单位管理人员,针对审计发现问题、审计建议及相关整改要求做了通俗易懂的详细解释,帮助他们形成正确的认识,为后续审计整改工作打下基础。

  二是沟通协助充分,促进落实整改深度。由于信息系统是第三方软件开发商开发部署,被审计单位并无专业人员参与系统开发的核心环节。在对系统内算法或功能模块进行审计整改时,审计人员利用自己的信息化专业知识帮助被审计单位与系统开发商进行沟通协调,使得开发商能够清晰准确地掌握需要整改的实质内容,减少在沟通协调过程中的资源浪费与进度拖缓的情况。

  三是进度跟踪充分,掌握整改时间进程。审计人员还及时跟踪审计整改进度,从审计整改意见提出,到被审计单位制定初步整改计划,再到根据实际情况修改整改方案,最后实施具体整改措施进行全过程跟踪,有效避免出现前期整改进度慢,到后期突击整改导致整改效果不佳的情况。

(作者单位:杭州市富阳区审计局)

 




打印本页 关闭窗口
Produced By 大汉网络 大汉版通发布系统