信息系统审计初探实例.docx

信息系统审计初探实例 信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。随着计算机犯罪和作弊率的上升，信息系统审计越来越受到各国的重视，美国1981年举办了注册信息系统审计师（CISA）资格认证考试，1987年发布了信息系统审计的基本准则；审计署于2012年2月印发了信息系统审计指南，明确了信息系统主要对应用控制、一般控制、项目管理等事项的审计。如何在审计实践中实施信息系统审计，本文结合对某市中级人民法院（以下称甲法院）的审计作一探索，旨在在理论通向实践的路上铺块砖，形似摸石头过河，定存在许多局限，供同仁参考（涉及金额均隐）。 下载 甲法院的信息系统是2011年9月与某科技公司（以下称乙公司）签订协议实施的，审计日已运行一年半。审计中先实地观察了审判管理系统的操作过程，向立案员、立案庭长、行政庭长、执行局长等了解了系统使用的基本情况及存在的问题和不足，查阅了甲法院与乙公司签订的协议书、选择项目建设单位的原由、系统建设、运行管理、运维服务、测试评估等相关文档资料。对法院信息管理系统的总体状况有了基本了解，选择了以应用控制为重点的审计思路。 一、信息系统业务流程控制审计 对业务流程控制审计的目的是通过检查被审计单位信息系统业务活动的整个流程，发现系统业务流程中存在的问题，评价系统业务流程控制的合理性和有效性，提出审计意见和建议。 审计中采用了资料审查法，查阅甲法院和乙公司签订的协议书对建设该信息系统的硬件配置、技术要求等；采取了系统检查法，对信息系统的重要控制环节和控制点进行了实地测试。 发现协议书就硬件配置、合同价款、双方权利和义务、售后服务、违约责任等进行了明确，但对法院审判管理系统、法院办公管理系统、数据移植等项目的技术要求和要达到的标准完全没有明确，技术要求依赖于乙公司对其业务的宣传，协议内容的不完善为信息系统建设的不成熟留下了隐患。发现审判系统结案控制点设置不严，在虚假信息输入后也能结案。行政庭执行非诉执行案件要求执行款执行到位、执行局执行案件收取执行费后才能结案，但是当案件结案时限已到，而这些事项未执行到位时，若迫于其它原因需要在系统终端体现该案已结，可以在不输入收费（或执行款）发票号码、日期、金额等情况下直接结案，终端显示该案已结案，导致是否交纳相应费用、标的款是否已执行、该案是否真实结案不清楚，致使某期间的结案实际情况需要到相应庭（局）了解才能弄清楚。 二、数据输入、处理和输出控制审计 数据输入、处理和输出控制审计的目的是通过检查被审计单位信息系统数据输入、处理和输出控制的有效性，发现系统数据控制的缺失，形成数据控制评价和结论，提出审计意见和建议。 审计中采取了系统检查法，对信息系统进行了数据输入、处理、输出等信息的检查。采取了数据验证法，利用直连式数据采集方法进行数据符合性验证；利用数据库数据转换、文本转换对数据库之间的数据转换的一致性和准确性进行检查验证；通过对数据库SQL语句进行转换解析，实现对各类业务活动的计量、计费、核算、汇总等数据处理的符合性与准确性进行验证。 发现前台输入数据操作见错不纠。立案系统对诉讼费的收取有三个窗口：应收受理费、预收受理费、实收受理费，若实收数小于应收数，实收窗口显示红色，表明还有诉讼费未收取。但对操作员不小心输错的数据，不能报错。如（20）年终字第号案卷反映，应收、实收受理费实际为11 884元，操作中将应收受理费输成111 884元，实收受理费11 884元，显示红色未能引起操作员注意。（20年）终字第号案卷反映，应收、实收受理费为2 300元，操作中将实收受理费录入为100元。（20年）终字第号案卷反映，应收、实收受理费7 204元，操作中将实收受理费输成100元，通过查找档案，上述二个案卷收费无误，若增设一个欠费窗口就可以很明确地知道输错、欠收事项。发现数据处理中，前后台数据未遵循一致性。在立案系统中，原告和被告是分栏信息输入的，但在后台备份数据中，这二项合并为当事人信息，没有分开。发现输出信息与输入信息不一致。汇总全年或一个阶段的立案情况，对立案的总数能准确统计，但在相应要素项中，后台数据不能显示减、免、缓交诉讼费的标识及分辨其案件，而该类案件在立案时会输入减、免、缓交诉讼费标识，要汇总核查该案件对诉讼费的减、免、缓情况需查对人工台账。 三、信息共享和业务协同审计 信息共享与业务协同审计的目的是通过检查被审计单位信息系统内、外部信息共享与业务协同，揭示共享与协同控制的缺失，形成评价和结论，提出审计意见和建议。 审计中采取了询问了解法，与信息系统管理人员沟通了解被审计单位信息系统在信息共享、业务协同等方面的情况，并延伸调查了上、下级人民法院使用信息管理系统的现状；采取了数据输入、导出、验证等方法检查了信息结果的符合性。 发现审判管理系统的信息共享和业务协同存在很大局限。立案时，系统对有一些重要要素不输入也能立案，如二审案件，在一审信息不输入的情况下也能立案，打开二审立案案件，看不到一审的立案、判决、审判法院等信息；信息系统建设单位对此的解释是：如果在本单位的一审案件，就可以获取相应信息，按我国审判上诉原则：本单位的一审案件，不在本单位进行二审；延伸了解省、县二级人民法院的审判管理系统，县人民法院只有少数单位采用了乙公司的审判管理系统，而且市、县审判系统未联网，省高级人民法院采用的是与乙公司完全不一样的审判管理系统，无法联网，该信息系统的审判信息共享和业务协同按乙公司的设计形同虚设。发现信息共享约束条件设置不合理。法院立案业务，案件号是唯一的，但导出后台数据通过SQL查询发现，同一案件的“文书标题”有几个事项时，会出现多次同一案件号；如（20）终字第号案卷，有文书标题四个内容：调解书、调解协议、（20）终字第号、号调解书，后台数据显示该号案卷有四条记录。 出于审计风险及信息系统审计安全性考虑，没有采取工具检测等方法对该信息系统的一般控制及项目管理情况进行审计。 根据审计发现的问题，对甲