养老系统专项审计经验交流材料

养老系统专项审计经验交流材料今年 6 月，根据省审计厅的统一部署，县审计局首次针对职工养老保险业务系统开展了信息系统应用控制专项审计，取得良好效果。一、方法创新多。一是运用顺查法提高效率。审计人员改变以往从数据发现问题倒推到程序问题的做法，通过顺查法，利用测试账号模拟业务操作流程，将存在缺陷和漏洞的关键控制点，作为计算机辅助审计的重点，实现有的放矢，大大提高了审计效率。二是多种方法结合提升审计手段。除了访谈法、观察法、平行模拟法、程序运行结果检查法等方法以外，还结合了测试数据法、综合测试法、代码检查法等，实现了审计手段的提升。三是实现了对代码检查法的熟练运用。本次审计通过顺查法和综合测试法进行穿行测试发现系统存在的缺陷，再从代码找原因，不仅发现了系统出错的根本原因，而且节省了审计时间。二是发现问题多。通过对养老申报征缴模块、业务审核模块等进行穿行测试，发现了如业务审核控制存在漏洞，未要求经办和审核职权分离，控制风险大；对退休待遇支付控制弱化，支付过程未要求加密，人为操作恶意篡改可能性大；事业和企业模块未实现共享，系统间多次转移易造成个人账户金额虚增；系统对一人多账户控制不严，存在重复参保、重复缴费等问题；个体职业者缴费基数上下限控制存在缺陷，手工输入导致少收养老金；系统在每月发放退休金（供养金）时对未成年供养人员已成年未设置预警和提示，造成多付供养金等八项系统控制缺陷和存在的问题，为被审计单位加强业务系统管理提出了改进的意见和建议。三是涉及方面多。以往审计由于过多关注一般控制审计中的系统安全性，发现的多是一些数据库系统存在的漏洞和缺陷，而非业务系统的问题，对被审计单位来说无关痛痒。本次审计不仅关注信息系统一般控制安全性，而且重点关注了业务系统应用控制的有效性和可靠性，除了通过逆查法利用计算机审计从产生问题的结果反映到系统问题以外，审计人员以顺查法为主，直接通过设立测试账号、模拟业务流程等对业务系统的征缴、审核、计发、管理等模块和流程进行了全方位的审计，对业务系统存在缺陷和漏洞的关键控制点，通过编写计算机语句，审查因系统漏洞产生的违规结果，真正实现了数据和系统的穿行计算机审计，为今后进行全方位的信息系统审计提供了宝贵的经验。今年 6 月，根据省审计厅的统一部署，县审计局首次针对职工养老保险业务系统开展了信息系统应用控制专项审计，取得良好效果。一、方法创新多。一是运用顺查法提高效率。审计人员改变以往从数据发现问题倒推到程序问题的做法，通过顺查法，利用测试账号模拟业务操作流程，将存在缺陷和漏洞的关键控制点，作为计算机辅助审计的重点，实现有的放矢，大大提高了审计效率。二是多种方法结合提升审计手段。除了访谈法、观察法、平行模拟法、程序运行结果检查法等方法以外，还结合了测试数据法、综合测试法、代码检查法等，实现了审计手段的提升。三是实现了对代码检查法的熟练运用。本次审计通过顺查法和综合测试法进行穿行测试发现系统存在的缺陷，再从代码找原因，不仅发现了系统出错的根本原因，而且节省了审计时间。二是发现问题多。通过对养老申报征缴模块、业务审核模块等进行穿行测试，发现了如业务审核控制存在漏洞，未要求经办和审核职权分离，控制风险大；对退休待遇支付控制弱化，支付过程未要求加密，人为操作恶意篡改可能性大；事业和企业模块未实现共享，系统间多次转移易造成个人账户金额虚增；系统对一人多账户控制不严，存在重复参保、重复缴费等问题；个体职业者缴费基数上下限控制存在缺陷，手工输入导致少收养老金；系统在每月发放退休金（供养金）时对未成年供养人员已成年未设置预警和提示，造成多付供养金等八项系统控制缺陷和存在的问题，为被审计单位加强业务系统管理提出了改进的意见和建议。三是涉及方面多。以往审计由于过多关注一般控制审计中的系统安全性，发现的多是一些数据库系统存在的漏洞和缺陷，而非业务系统的问题，对被审计单位来说无关痛痒。本次审计不仅关注信息系统一般控制安全性，而且重点关注了业务系统应用控制的有效性和可靠性，除了通过逆查法利用计算机审计从产生问题的结果反映到系统问题以外，审计人员以顺查法为主，直接通过设立测试账号、模拟业务流程等对业务系统的征缴、审核、计发、管理等模块和流程进行了全方位的审计，对业务系统存在缺陷和漏洞的关键控制点，通过编写计算机语句，审查因系统漏洞产生的违规结果，真正实现了数据和系统的穿行计算机审计，为今后进行全方位的信息系统审计提供了宝贵的经验。今年 6 月，根据省审计厅的统一部署，县审计局首次针对职工养老保险业务系统开展了信息系统应用控制专项审计，取得良好效果。一、方法创新多。一是运用顺查法提高效率。审计人员改变以往从数据发现问题倒推到程序问题的做法，通过顺查法，利用测试账号模拟业务操作流程，将存在缺陷和漏洞的关键控制点，作为计算机辅助审计的重点，实现有的放矢，大大提高了审计效率。二是多种方法结合提升审计手段。除了访谈法、观察法、平行模拟法、程序运行结果检查法等方法以外，还结合了测试数据法、综合测试法、代码检查法等，实现了审计手段的提升。三是实现了对代码检查法的熟练运用。本次审计通过顺查法和综合测试法进行穿行测试发现系统存在的缺陷，再从代码找原因，不仅发现了系统出错的根本原因，而且节省了审计时间。二是发现问题多。通过对养老申报征缴模块、业务审核模块等进行穿行测试，发现了如业务审核控制存在漏洞，未要求经办和审核职权分离，控制风险大；对退休待遇支付控制弱化，支付过程未要求加密，人为操作恶意篡改可能性大；事业和企业模块未实现共享，系统间多次转移易造成个人账户金额虚增；系统对一人多账户控制不严，存在重复参保、重复缴费等问题；个体职业者缴费基数上下限控制存在缺陷，手工输入导致少收养老金；系统在每月发放退休金（供养金）时对未成年供养人员已成年未设置预警和提示，造成多付供养金等八项系统控制缺陷和存在的问题，为被审计单位加强业务系统管理提出了改进的意见和建议。三是涉及方面多。以往审计由于过多关注一般控制审计中的系统安全性，发现的多是一些数据库系统存在的漏洞和缺陷，而非业务系统的问题，对被审计单位来说无关痛痒。本次审计不仅关注信息系统一般控制安全性，而且重点关注了业务系统应用控制的有效性和可靠性，除了通过逆查法利用计算机审计从产生问题的结果反映到系统问题以外，审计人员以顺查法为主，直