【财务管理内部审计 】浅议社保基金信息系统审计的重点和办法

1、 金信息管理系统分布拓扑图：该系统总体由核心业务区、数据存储区、交换区、大众服务器区以及跨部门应用互联区组成,其中跨部门应用互联区还包括了乡镇业务服务区和横向互联区。系统中各块区域的效用及作用如下：（1）核心业务区核心业务区的效用是实现对业务资源数据库的管理和对业务的处理,其中,核心业务区支持的劳动保障业务包括劳动就业和劳动力市场业务、各项社会保险业务（养老、医疗、失业、工伤、生育、各项补充保险和农村养老）和其他劳动机关业务。（2）数据存储区数据存储区采用 SAN 架构的存储设备,实现对劳动保障各类数据资源的集中存储和统一管理。（3）交换区交换区的效用是从本级生产库提取、汇总下级交换数据,并形

2、成本级交换库,支持大众服务和上级网络扫描应用,为上级劳动保障部门提供所需的数据资料。（4）大众服务器区民众服务区的效用是实现面向社会民众的电子邮件、信息发布、信息查询、政策咨询和网上办事服务。（5）乡镇业务服务区乡镇业务服务区的效用是实现乡镇、街道、社区的劳动保障业务代办及提供大众查询服务。 （6）横向互联区横向互联区的效用是实现与劳动保障相关单位（定点医疗机构、财政、税务、金融、卫生、民政、培训机构和其他职业介绍）的数据交换、资源共享和信息服务。二、审计重点社保基金关系到每个参保人员的生老病死,所以基金运行是否安全,一直备受各级政府和人民群众的关注。通过社保基金审计,掌握该基金的收支规模、基

3、金结余分布及基金管理运行情况,揭露资金筹集、管理、使用中存在的突出问题,促进加强基金管理和落实各项社保政策,保障基金的安全完整,维护人民群众的切身利益,是审计部门义不容辞的职责。基于上述考虑,我们通过反复分析研究,确定该信息系统的审计重点应为安全性、相关性、准确性、规范性等方面。我们结合 2006 年度社保基金在筹集、使用、管理方面的联网审计,开展对该信息系统相关方面进行有所侧重的审计,发现了下述问题。1、安全性方面,个人缴费基数调整的模块授权过多,责任不清,不便控制,存在安全隐患。根据规定,个人缴费基数按上年本人实发薪水确定,在一个结算年度(太仓市为每年 4 月到次年 3 月期间)内不得随意

4、变动。联网审计系统的预警点提示我们 2006 年度全市有 4422 个城镇企业养老保险参保人员的缴费基数发生变动,基数变动率为3.1%。预警图如下： 在基数下调变动人员中有 430 人的缴费基数小于 862 元(862 元是太仓市 2006 年缴费基数下限)。在和社保经办机构信息中心人员交流核实缴费基数调整的原因时发现,除了劳保局稽查大队根据对单位薪水稽查结果通过基数调整模块正常调整外,信息中心人员还可以通过一个后台程序直接修改数据库中的缴费基数信息,主要是针对突发性的个别参保人基数错误调整。该效用授予信息中心全部工作人员,授权过多,责任不清,不便于控制,存在安全隐患。2、相关性方面,征缴和发

5、放环节的业务关联点校验不严密,重新就业人员和已退休人员存在继续领取失业救济金问题。（1）根据失业保险政策有关规定,失业保险的参保人员下岗失业期间可以领取失业救济金,重新就业后则应停止领取失业救济金。联网审计预警点告诉我们,太仓市 2006 年度先后有231 人重新就业后继续领取了失业救济金,累计领取金额 18.33万元。产生上述问题的原因是社保信息系统的征缴和发放环节的业务关联校验不严密,暴露出了社保信息系统的合规性问题。（2）、退休人员继续享受失业救济。太劳社就（2005）4 号文件第 6 条 规 定 ,失业人员在领取失业保险金期间有下列情形之一的,应停止领取失业保险金,并同时停止享受其他失

6、业保险待遇：享受基本养老保险待遇的；移居境外并已注销本市户籍的；无正当理由 3 次拒绝职业介绍、 职业指导、职业培训的；联网审计预警点提示我们,2006 年度有 61 名退休人员继续享受失业救济金,累计发放了 48221 元整。3、准确性方面,财务系统和业务系统反映的收支和结存金额存在较大差异。由于两大系统对经济业务的入账时间和依据等方面不统一,导致反映的相关数据金额不一致,无法准确核对社保基金的收支和结存情况。下表是 2006 年度职工养老保险业务和财务征缴数的差异情况。4、规范性方面,相关信息字段未设置钩稽关系控制点,参保人员身份证校验方面存在不规范现象。我们通过联网审计系统对所有参保人员

7、的身份证号码进行了全面的校验,发现了 13 类不规范现象,如下表所示：其中有号码长度非法、生日校验非法、性别校验非法等问题, 我们对每类问题进行深入分析,查找出错原因。如上表中的第 7类问题,身份证号码长度正确,生日校验非法的 23 人的详细清单如下,我们发现错误原因大致有身份证号码输错、生日输错或生日未输入（系统自动生成 1900 年 1 月 1 号 ）。三、审计的技术与方法（一）基本方法。1首先,我们通过座谈、现场观察等方法,结合 AO 系统、社保基金联网审计系统,初步掌握了该信息系统的总体情况、核心系统的具体情况。太仓市劳动保障信息系统的组成如下图所示：其中,劳动保障业务管理实现社会保险

8、业务管理、人力资源业务管理和机关办公业务管理,构成金保工程中“两大系统”的主体。社保基金信息系统的收入基础数据由该单位业务部门工作人员根据缴纳对象申报和调查情况录入,据此生成的应收数据送交地税部门代征。应收数据由地税征收点录入生成社保基金缴费单,交参保单位开户银行托收,所收基金直接解入市级财政专户。财政部门每月生成社保基金收入信息数据,交太仓市劳动保障信息中心导入。社保基金信息系统发放基础数据由该单位业务部门工作人员根据参保人员申报、核定录入,由财务部门生成委托银行发放数据（相关财务人员保留了报送银行的软盘副本）,通过软盘送交银行打卡发放,银行实际发放后再用软盘将发放情况回复给该单位业务人员,

9、导入系统。2资料查阅法：我们通过查阅该单位社保基金管理信息系统的规划、设计方 案等文件档案,了解了系统的业务需求和技术设计思路、总体框架和核心业务技术路线等。通过查阅该单位财务部门和业务部门的相关资料,我们发现该单位财务和业务相关数据不一致的原因：一是结算周期不一致。财务部门的结算周期是上月 26 号到本月 25 号,业务部门的结算周期是按自然月计算,这样就导致了财务和业务部门取数的范围和依据不一致,反映的数据自然不相同。二是财务和业务部门反映经济业务时间不同步。财务部门是按旬记账,业务部门是在经济业务发生时即时反映变化,这样就导致两个系统平时反映的数据也不相同。三是有些经济业务两个系统处理方

10、法不统一。如医保基金个人账户结息,业务部门按期反映统筹部分减少和个人账户增加,财务部门并不反映此项业务。日积月累,两个系统反映的社保基金收支和结存情况存在较大差异。3流程图法：该系统总体由核心业务区、数据存储区、交换区、大众服务器区以及跨部门应用互联区组成,其中跨部门应用互联区还包括了乡镇业务服务区和横向互联区。我们发现该系统备份服务器和防病毒服务器共用一台服务器,对数据备份的效率有一定影响,在数据备份时大量的消耗机器的处理能力,对防病毒的效能也有影响。建议通过添置硬件,分别设立两台服务器。社保业务数据有磁带备份,但没有建立异地保存磁带的制度,没有起到灾备的效果,建议完善数据备份保存制度。（二

11、）技术方法。 1联网审计基本方法：审计人员充分利用联网审计系统的预警提示、审计事项等效用,及时发现存在的问题和隐患。制定联网审计方案,通过审计事项管理平台将联网审计方案配置成审计事项数据抽取方案、审计事项报表方案。将审计事项数据抽取方案部署到联网审计系统数据抽取采集平台,将劳动保障局业务数据抽取到审计局的审计数据资源库。联网审计系统报表使用审计事项报表方案产生统计结果,展现给审计人员,辅助审计人员做出判断。2、数据切片对比法我们抽取了社保业务系统数据库中 2006 年 6 月和 2006年 12 月的城镇企业养老参保台帐数据切片,统计得出 2006 年6 月参加城镇企业养老保险的有 15241

12、3 人,2006 年 12 月参加城镇企业养老保险的有 157859 人,持续参保人员有 140824 人,其中缴费基数(注:以下简称基数)变化的有 4422 人。其中基数下调的有 848 人,缴费上调的有 3574 人。在基数下调人员中有 430 人的基数小于 862 元(注:862 元是太仓市 2006 年基数下限),并且其中 429 人是从 862 元下调至 620 元。在基数上调人员中有 174 人的 2006 年 6 月的缴费基数小于 862 元。从以上的数据可以发现,缴费基数的年中调整是存在的,基数变动率为 3.1%(4422 人/140824 人*100)。3缴费、发放数据核对法

13、我们抽取了 2006 年全年的失业保险金缴费人员明细,2006年全年的失业救济金发放的人员明细,核对同一人员在同一个月份是否同时有失业保险金缴纳和失业救济金发放。核对结果如下：太仓市 2006 年度先后有 231 人重新就业后继续领取了失业救 济金,累计领取金额 18.33 万元。社保经办机构的业务系统效用中对该问题已经设置了防范措施,如单位为重新就业人员办理失业保险时,该系统会自动检查该人员当前是否在领取失业金,如果是,则会自动停止发放。为什么还会发生以上问题呢？主要是对特殊情况没有相应防范措施。如失业人员重新就业后,单位没有及时为他办理失业保险参保手续,该重新就业人员也没有到社保经办机构办

14、理失业金报停手续,此人就一边工作一边享受失业救济。以后单位为他办理失业保险,补缴失业保险金时,尽管停发了失业金,但该人员重新就业后的一定时期同时领取失业金的情况已经造成。4、数据筛选法我们一方面选取了 2006 年 1 月至 2006 年 12 月的城镇失业保险的发放数据,统计得出该期间享受失业金人员有 5834 人,发放失业金 1001.08 万元。另一方面获取了截止 2006 年 12 月底的离退休人员档案信息,经过身份检查发现,5834 人中有 61 人有离退休后继续享受失业金的情况,累计发放了 48221 元。经过进一步针对 61 人发放记录的检查,其中 6 人部分退回了多发的失业金,

15、2 人全部退回了多发的失业金。主要原因是参保人员在享受失业金期间离退休后,没有及时办理离退休手续,导致失业金的违规发放。在人员办理离退休手续后,社保经办机构对部分人员做了追回失业金,但还有部分没有追回。5、信息字段钩稽关系校验我们根据对新老身份证字段的结构分析,把参保人员的身份证信息分别做了长度校验、生日字段的钩稽关系校验、性别字段的钩稽关系校验。通过相关关系的校验,发现该系统在设计上存在着不够严谨的问题。未来随着信息化建设的进步,政府部门的信息资源共享,对参保人员身份证信息真实性问题,可利用公安系统的身份证信息库验证其准确性。四、审计建议 针对发现的问题,我们及时发出审计建议书,要求社保经办

16、机构采取相应措施,保证社保基金安全、规范运行。1、建议加强缴费基数调整模块的权限管理,确保基金安全运行。要求该系统在缴费基数变动业务记录中增加缴费基数变动原因的信息录入。目前该系统使用传统的用户名加口令认证方式,存在身份冒用风险。在有条件的情况下应建立 CA 身份认证机制,让系统身份认证安全上一个新台阶。同时,加强对缴费基数年度内调整的管理控制,特别是基数下调到年度缴费基数下限以下的情况要建立审批备案制度。信息中心人员通过后台程序修改基数的权限仅可以分配给信息中心负责人员,杜绝目前授权过滥的情况。2、建议该系统完善相关点的校验设置,在失业金发放模块跟缴费模块建立数据校验,参保人员失业金补缴时系统自动检查是否有补缴月份中领取失业金的情况,如果有要自动生成失业金追回通知单,保障失业保险基金合规运用。3、建议该系统将财务和业务信息系统有机结合,使它们的结算周期一致,核算依据相同,反映的内容在时间上同步,以利于如实反映社保基金的实际