7如何在社会保险机构实施IT审计
社保审计方案
社保审计方案背景随着社会经济的发展,中国的社会保险制度已经逐渐完善,并为广大民众提供了可靠的社保保障。
社保开支也成为了企业管理的一大重要支出,因此进行社保审计可以帮助企业发现并解决问题,优化社保管理,并提高社保经费的使用效率。
审计目的社保审计主要是针对企业在社保缴费过程中存在的问题,通过审计找出问题的根本原因并提出改进方案,以保障企业和员工的利益。
社保的审计目的主要有以下几点:1.确保企业社保缴费的真实合法性;2.发现企业在社保缴费过程中存在的问题和缺陷;3.提出企业的整改建议,协助企业合法合规地进行社保管理;4.降低企业经营成本,提高企业竞争力。
审计内容社保审计的内容主要涉及企业在社保缴费过程中的相关数据和操作流程。
审计的具体内容包括:1.确认所缴纳的社保费用是否合法合规;2.确认企业的社会保险档案是否完整;3.按照国家法规和政策审核企业社保缴费的计算方式是否正确;4.检查企业的社保管理制度是否健全,并协助企业建立完整的社保管理流程;5.对企业在社保缴纳过程中发现的问题进行分析和整改;6.提供关于社保管理风险的评估报告,帮助企业降低管理风险。
审计方法社保审计根据企业的实际情况和需要,采取不同的审计方法进行审计。
常用的社保审计方法有:1.面对面审计:由审计员亲临企业现场,对企业的实际情况进行调查,从而深入了解企业的社保管理情况;2.离线审计:由审计员在办公室进行数据的审核,需要企业提供相关的数据材料;3.系统审计:利用计算机技术,对企业社保管理的系统进行评估;4.抽查审计:对社保缴费后的情况进行抽查,验证是否合法合规;5.联合审计:由多个审计机构共同开展社保审计,以确保审核结果的可靠性。
审计报告社保审计结束后,审计机构将会出具社保审计报告。
社保审计报告是企业进行社保管理决策的重要依据,具体内容包括:1.社保管理审计报告的结论和建议;2.对企业社保管理制度的评价和建议;3.社保管理问题的详细分析和解决方案;4.社保管理风险的评估和建议。
IT审计的组织与实施(培训课件)
it审计的组织与实施
目录
• it审计概述 • it审计的组织机构与职责 • it审计的实施准备 • it审计的实施过程 • it审计的后续管理
01
it审计概述
it审计的定义与目的
IT审计是一种独立的、客观的确认和咨询活动,旨在增加组 织价值和改善组织的运营。
IT审计的目的是通过系统、规范的方法和程序,审查和评价 信息系统的完整性、安全性、性能和有效性,以及与IT相关 的内部控制。
监测IT系统性能
IT审计部门应监测IT系统的性能,包括系统的可用性、可扩展性、安全性等方面的监测,确保IT系统能够满足业务需求。
分析IT风险
IT审计部门应分析IT风险,评估现有IT控制措施是否足够应对现有风险。
it审计人员的培训与资质
具备相关专业知识
从事IT审计的人员需要具备相关的专业知识,包括计算机科学、信息系统安全、数据库管 理等方面的知识。
发、运行与维护等方面的情况。
03
测试与验证
对系统的安全性、稳定性、可靠性、完整性等方面进行测试与验证,
评估系统风险水平。
it审计的报告与记录
撰写审计报告
汇总审计结果,分析问题产生的原因,提出改进建议,形成审计报告。
记录审计过程
记录审计过程中发现的问题、采取的措施和结果,以及审计报告的内容和结论。
it审计的监控与调整
获得相关资质
从事IT审计的人员需要获得相关的资质,如CISA(国际信息系统审计协会)认证或COBIT (信息及相关技术控制目标)认证等。
接受培训
从事IT审计的人员需要不断接受培训,提高自己的专业知识和技能水平,以适应不断变化 的IT环境。
03
it审计的实施准备
国家审计署针对社会保险专项审计的基本方法与要点
国家审计署针对社会保险专项审计的基本方法与要点一、审计对象与范围社会保险专项审计的对象为涉及社会保险基金收支的单位和个人,包括社会保险基金征缴机构、社会保险经办机构、社会保险待遇支付单位、社会保险基金投资运营机构等。
审计范围一般包括社会保险基金的收入征缴、支出支付、基金运营、待遇支付等方面。
二、审计目标和重点审计目标是为了保障社会保险基金的安全运营,加强社会保险制度的监管和管理。
审计重点主要包括社会保险基金的征收、支付、投资运营和待遇支付等方面,着重检查社会保险基金的合法性、准确性、规范性和经济效益等。
三、审计内容和方法1.审计内容(1)征缴方面:审计征收机构的征收制度、征收管理和资金使用情况等,确保社会保险基金的收入准确、规范和及时。
(2)支付方面:审计支付单位的支付制度、支付管理和资金使用情况等,确保社会保险待遇的支付准确、规范和及时。
(3)投资运营方面:审计社会保险基金的投资运营单位的投资决策、投资管理和资金使用情况等,确保社会保险基金投资运营的安全、稳健和收益。
(4)待遇支付方面:审计社会保险基金的待遇支付单位的待遇支付制度、支付管理和资金使用情况等,确保社会保险待遇的支付准确、规范和及时。
2.审计方法(1)文件审计:通过查阅相关文件,了解社会保险基金的征缴、支付、投资运营和待遇支付等情况。
(2)核查抽样:对社会保险基金的征缴、支付、投资运营和待遇支付等环节进行取样核查,确认数据的准确性和合法性。
(3)现场检查:对社会保险基金涉及的单位进行现场检查,了解其征缴、支付、投资运营和待遇支付等具体情况,并核实相关数据和资金流向。
(4)数据比对:对社会保险基金涉及的各项数据进行比对,检查其一致性和准确性。
(5)立案审计:对发现的问题和违规行为进行立案审计,采取相应的措施进行整改和追责。
四、审计结果和报告审计结果主要包括社会保险基金征缴、支付、投资运营和待遇支付等方面的问题,以及违规行为和造成损失的责任追究情况等。
信息系统审计(IT审计)的实施
信息系统审计(IT审计)的实施1. 信息系统审计的准备-审计部门为了实施信息系统审计,需要在事前进行充足的准备,以获得良好的审计效果。
为了导入信息系统审计,事先需要进行下列的活动:·信息系统审计的环境构建、文化导入;· IT审计师的培养;·各种审计相关规章的整备;信息系统审计的宗旨在于提高作为企业中枢神经的信息系统的可靠性、安全性和开发、运营效率,使企业能够健康地运营和发展。
要使信息系统审计能够达成既定目标,上级主管的完全授权是最重要的一环。
2. 信息系统审计的准备-被审计部门IT审计师在实施信息系统审计的时候,常常要求被审计部门提供诸如文档之类相应的资料作为审计依据。
被审计部门为此事先应该对文档、操作说明书等进行整理和准备。
还要准备好计算机安全措施、个人信息保密措施等实施情况的说明。
这些资料要尽可能让IT审计师一目了然。
通常,被审计部门(信息化部门,用户部门)需要准备的东西如下面所示。
当然,有关的系统设计书、程序设计说明书之类的必须保持最新的更新状态。
信息化部门:·系统开发计划书·系统设计书·系统构成图·程序一览表·信息管理相关规章·操作指南·故障对应指南·计算机安全对策现状说明用户部门:·终端设备操作手册·系统输出列表·系统输入式样·系统使用指南3. 信息系统审计的实施步骤信息系统审计的实施步骤如下所示:审计计划·基本计划(每年一度的审计计划,属于年度计划,概要性的计划)·个别计划(个别,具体的审计实施计划,有实施细则)审计实施·审计通知(实施前1-3周通知被审计部门)·预备调查(审计实施前准备)·审计实施(实际的审计活动)·审计意见整备(基于审计结果的记录和文档)·评议会(基于审计结果,与被审计部门交换本次审计意见)审计报告·审计报告制作(完成信息系统审计报告)·报告书提交(向上级主管提交信息系统审计报告)·报告会(召集相应的干系人进行会议)·改良指示(上级主管根据审计意见责令被审计部门进行相关的改良活动)·审计追踪(IT审计师对改良情况进行检查)4. 信息系统审计的留意点在实施信息系统审计的时候为了确保审计高效的得以实施,必须制作相应的审计计划。
it审计流程
it审计流程IT审计流程是指对企业或组织的信息技术系统和相关运营过程进行全面检查和评估的一系列步骤。
通过IT审计流程,可以发现潜在的风险和问题,并提出改进和优化的建议,以确保企业的信息技术系统安全、合规和高效运行。
本文将详细介绍IT审计流程的各个环节和关键步骤,以帮助读者了解和理解这一重要的管理工具。
一、审计准备IT审计的第一步是准备工作。
在这个阶段,审计团队需要与企业的管理层和相关部门进行沟通,了解企业的信息技术系统的架构、业务流程以及安全策略等方面的情况。
同时,审计团队还应该制定详细的审计计划,明确审计的目标、范围和时间安排等。
二、风险评估在进行实际的审计工作之前,审计团队需要对企业的信息技术系统进行风险评估。
这包括识别潜在的安全风险、漏洞和威胁,并对其进行评估和分类。
通过风险评估,审计团队可以确定哪些方面需要特别关注,并制定相应的审计方案和检查点。
三、数据收集在开始正式的审计工作之前,审计团队需要收集相关的数据和信息。
这包括企业的网络拓扑图、系统配置文件、安全策略文档、日志记录等。
通过收集和分析这些数据,审计团队可以更好地了解企业的信息技术系统的运行状态和存在的问题。
四、内部控制评估内部控制评估是IT审计的重要环节之一。
审计团队将对企业的内部控制机制进行评估,包括访问控制、身份认证、审计日志、备份和恢复等方面。
通过评估内部控制的有效性和可行性,审计团队可以确定哪些方面需要改进和加强,并提出相应的建议。
五、安全漏洞扫描安全漏洞扫描是IT审计的重要手段之一。
通过使用专业的漏洞扫描工具,审计团队可以对企业的信息技术系统进行全面的安全漏洞扫描,包括操作系统、数据库、应用程序等方面。
通过发现和修复安全漏洞,可以提高企业的信息技术系统的安全性和可靠性。
六、网络安全评估网络安全评估是IT审计的另一个重要环节。
审计团队将对企业的网络架构和安全策略进行评估,包括网络拓扑、网络设备配置、防火墙设置等方面。
通过评估网络安全的措施和控制,可以发现潜在的安全风险并提出相应的改进措施。
社保稽核审计实施方案
社保稽核审计实施方案一、背景介绍。
社会保险是国家和社会为保障职工基本生活而建立的一种社会保障制度,对于维护职工合法权益、促进社会和谐稳定具有重要意义。
然而,由于社会保险制度的复杂性和管理的不完善,社保资金的管理使用存在一定的风险和漏洞,因此需要进行稽核审计,以确保社保资金的安全性和合理性。
二、目标和意义。
社保稽核审计的目标是全面排查社保资金的使用情况,发现并解决存在的问题和风险,确保社保资金的合理使用和安全运作。
通过社保稽核审计,可以有效提高社保管理的透明度和规范性,促进社保制度的健康发展,保障职工的合法权益。
三、实施步骤。
1. 制定稽核审计计划,确定稽核审计的范围、对象和时间节点,明确稽核审计的具体目标和任务。
2. 收集资料和准备工作,搜集相关的社保资金使用记录、账目凭证等资料,对稽核审计所需的工作人员进行培训和准备工作。
3. 实地调查和检查,对社保资金使用情况进行实地调查和检查,全面了解社保资金的流向和使用情况。
4. 数据分析和比对,对收集到的资料进行数据分析和比对,发现异常情况和潜在风险。
5. 发现问题并提出建议,根据实地调查和数据分析的结果,发现社保资金使用中存在的问题,并提出改进和完善的建议。
6. 编制稽核审计报告,根据稽核审计的结果,编制稽核审计报告,对社保资金使用情况进行全面评估和总结,并提出改进意见和措施。
四、保障措施。
1. 加强内部管理,建立健全社保资金管理制度,加强内部管理和监督,提高社保资金使用的透明度和规范性。
2. 完善稽核审计制度,建立健全社保稽核审计制度,明确稽核审计的程序和要求,提高稽核审计的专业化和科学化水平。
3. 加强信息化建设,推动社保管理的信息化建设,提高社保资金使用的监控和管理水平,加强对社保资金的实时监测和追踪。
4. 加强监督和检查,加强对社保资金使用情况的监督和检查,建立健全的监督机制,及时发现和解决存在的问题和风险。
五、总结。
社保稽核审计是保障社会保险制度健康发展和职工合法权益的重要手段,通过稽核审计可以全面了解社保资金的使用情况,发现并解决存在的问题和风险,提高社保管理的透明度和规范性。
2020年社会保险基金审计实施方案
2020年社会保险基金审计实施方案随着我国经济的快速发展和社会制度的完善,社会保险基金的管理和使用愈发重要。
为了确保社会保险基金的合理运用和安全性,每年都会进行审计工作。
本文将详细介绍2020年社会保险基金审计的实施方案。
一、审计目标和内容2020年社会保险基金审计的目标是全面了解社会保险基金的收入、支出和运作情况,评估基金的合理性和安全性。
审计内容包括社会保险基金的收入来源、缴费情况、投资运营情况、支出使用情况等方面。
二、审计范围和对象审计范围涵盖全国范围内的社会保险基金,包括养老保险基金、医疗保险基金、失业保险基金、工伤保险基金和生育保险基金等。
审计对象为各级社会保险基金管理机构和相关单位。
三、审计方法和程序1. 制定审计计划:审计机构根据审计目标和内容,制定年度审计计划,明确审计范围、时间和任务分工等。
2. 收集资料:审计机构向各级社会保险基金管理机构和相关单位索取相关资料,包括财务报表、统计数据、投资运营情况等。
3. 实地调查:审计人员对社会保险基金的缴费情况、投资项目、支出使用情况等进行实地调查,核实数据的真实性和准确性。
4. 数据分析:审计人员对收集到的资料进行综合分析,评估社会保险基金的合理性和安全性,发现问题和风险。
5. 编制审计报告:审计机构根据审计结果,编制审计报告,对发现的问题提出建议和改进措施,并向相关单位进行反馈。
6. 提供法律咨询:审计机构还可以根据需要,向相关单位提供法律咨询和指导,帮助其改进社会保险基金管理工作。
四、审计结果的运用审计结果将作为社会保险基金管理的重要参考依据,用于评估社会保险基金的运行情况和管理效果。
同时,审计机构还将根据审计结果,提出改进建议,帮助各级社会保险基金管理机构完善制度和管理措施,提高基金的安全性和合理性。
五、加强风险防控措施为了进一步加强社会保险基金的风险防控,2020年的审计工作将重点关注以下几个方面:1. 缴费情况核实:审计机构将核实各单位的社会保险缴费情况,发现违规行为并依法追究责任。
保险机构内部审计工作规范
保险机构内部审计工作标准为标准保险机构内部审计工作,提高保险机构风险防范能力,中国保监会制定了保险机构内部审计工作标准,下面是详细内容。
保险机构内部审计工作标准为标准保险机构内部审计工作,提高保险机构风险防范能力,提升公司治理水平,我会制定了《保险机构内部审计工作标准》。
第—章总则第—条为标准保险机构内部审计工作,提高保险机构风险防范能力,依据《X保险法》、《X公司法》、《X审计法》等有关法律法规及行业标准,制定本标准。
第二条本标准所称保险机构是指在X境内依法设立的保险集团(控股)公司、保险公司、保险资产治理公司、再保险公司及其分支机构等。
经保险监督治理部门批准设立的其他保险机构可参照执行本标准。
保险监督治理部门有IT审计特意标准和要求的,保险机构IT审计工作应从其标准。
第三条本标准所称的保险机构内部审计是一种独立、客观确实认和咨询活动,它通过运用系统化和标准化的方法,审查、评价并改善保险机构的业务活动、内部操纵和风险治理的适当性和有效性,以促进保险机构完善治理、增加价值和完成目标。
第四条保险机构应健全内部审计体系,按照相关要求开展内部审计工作,及时发觉问题,有效防范经营风险,促进公司的稳健开展。
第五条中国保险监督治理委员会(以下简称“中国保监会〞)及其派出机构依据法律、行政法规、监管以及本标准的规定,依法对保险机构内部审计工作实施指导、监督和评价。
第二章一般原则第六条保险机构应建立与公司目标、治理结构、管控模式、业务性质和规模相适应,预算治理、人力资源治理、作业治理等相对独立的内部审计体系。
内部审计部门的工作不受其他部门的干预或者影响。
内部审计人员不得参与被审计对象业务活动、内部操纵和风险治理等有关的决策和执行。
第七条保险机构内部审计的范围应包含所属保险机构及其直接或间接操纵的境内、外保险分支机构和非保险子公司。
第八条保险机构应逐渐建立完善非现场内部审计监测、操作及治理功能在内的内部审计信息系统。
审计工作中的IT审计与数据分析技术
审计工作中的IT审计与数据分析技术IT审计和数据分析技术是现代审计工作中不可或缺的重要组成部分。
随着信息技术的不断发展和应用,企业的业务数据越来越庞大且复杂,传统的审计方法已经不能满足对数据的深入分析和审计的需求。
因此,审计师需要借助IT审计以及相关的数据分析技术来提高审计工作的效率和准确性。
一、IT审计的意义和内容IT审计是指在审计实践中,运用信息技术手段对企业的信息系统、数据安全和技术环境进行全面检查和评估的一种审计方式。
IT审计可以帮助审计师了解企业的信息系统是否安全可靠,数据是否真实合规,内部控制是否有效,从而进一步评估企业的风险和控制水平。
IT审计的内容主要包括:1. 信息系统审计:对企业内部系统进行全面检查和评估,包括硬件设备、软件系统、网络架构、数据传输等方面的安全性、完整性和可用性。
2. 数据审计:对企业的业务数据进行全面分析和验证,包括数据的准确性、时效性、完整性以及数据处理和存储的合规性。
3. 计算机操作审计:对企业内部的计算机操作过程进行审计,包括用户权限管理、系统日志监控、数据备份与恢复等方面的合规性和安全性。
4. 系统开发和运维审计:对企业内部的系统开发过程和系统运维管理进行审计,包括系统开发流程、变更管理、问题管理等方面的规范性和合规性。
二、数据分析技术在审计中的应用数据分析技术是IT审计中的一个重要手段,通过对海量数据的处理和分析,可以帮助审计师发现异常情况、识别潜在风险,并进一步提供数据支持来评估企业的财务状况和经营绩效。
常用的数据分析技术包括:1. 数据汇总与分类:通过对企业数据进行汇总和分类,可以得到更清晰的数据结构和状态,便于后续的数据分析和横向纵向对比。
2. 数据挖掘与关联分析:通过对企业数据进行挖掘和关联分析,可以发现隐藏在数据背后的关系和规律,为审计师提供更深入的业务理解和发现。
3. 风险评估与模型建立:通过建立风险评估模型,可以对企业的财务风险进行量化和评估,并提供预警和建议。
实施审计的步骤和方法包括
实施审计的步骤和方法包括1. 概述在进行实施审计之前,需要明确审计的目的和范围。
审计的目的可以包括评估组织的内部控制和合规性,发现风险和问题,并提供改进建议等。
确定审计的范围包括确定审计的时间段、审计对象、审计程序等。
2. 确定审计计划在实施审计之前,需要制定一个详细的审计计划。
审计计划包括确定审计的目标、范围和时间安排,分配资源和制定工作流程,以确保审计工作的顺利进行。
3. 收集信息收集相关的信息是实施审计的重要步骤之一。
信息收集可以通过多种方式进行,包括文件和记录的审阅,访谈相关人员,观察业务流程等。
通过收集信息,可以了解组织的运作情况,审查相关文档和记录,以及检查内部控制的有效性。
在收集信息的过程中,应确保信息的可靠性和准确性,同时保护相关信息的机密性。
4. 进行数据分析在收集到足够的信息后,需要对数据进行分析和解释。
数据分析可以帮助审计师发现潜在的问题和风险,并提供对组织运作的洞察。
数据分析可以使用各种工具和技术,如统计分析、趋势分析、比较分析等。
通过数据分析,审计师可以发现异常情况和模式,并评估其对组织目标的影响。
5. 进行实地调查在数据分析之后,可以进行实地调查以进一步了解组织的运作情况。
实地调查可以包括观察业务流程、检查设备和设施的状态、访谈相关人员等。
实地调查可以帮助审计师验证数据的准确性和真实性,同时也可以发现隐藏的问题和风险。
6. 评估内控和风险在收集信息和进行实地调查之后,需要评估组织的内部控制和风险。
评估内控可以帮助审计师确定组织是否存在控制缺陷,以及控制的有效性。
评估风险可以帮助审计师确定组织面临的潜在风险,并提出相应的建议和改进措施。
7. 编写审计报告在完成审计工作之后,需要编写审计报告。
审计报告是对审计结果的总结和结论,包括对组织的内部控制和合规性的评估,发现的问题和风险,以及改进建议和措施等。
审计报告应该清晰明确地表达审计师的观点和建议,同时保持客观和中立的立场。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7如何在社会保险机构实施IT审计7.1 IT审计概论IT审计是指对以计算机为核心的信息系统的审计。
美国等国家开展IT审计始于20世纪60年代,由独立的具有资格的IT审计师对以计算机为核心的信息系统从规划开始、到分析、设计、实施、运行和维护直至淘汰的整个生命周期的全过程实施IT审计【1】,促进信息系统的安全、可靠和有效。
事实表明,IT审计能有效地控制信息与信息系统的风险,是信息化的基础,是健全地进入信息化社会的可靠保证。
信息系统控制与审计协会ISACA【50】(Information System Audit and Control Association) 总部设在美国,目前已经在世界上100多个国家与地区设立了160多个分会,现有会员两万多人。
该协会通过制定和颁布信息系统审计准则和实务指南等来规范和指导IT审计师的工作。
该协会还举办一年一度的注册IT审计师CISA (Certified Information System Auditor) 的考试,由通过该资格考试的人员(即IT审计师)按照IT审计准则、实务指南等来进行IT独立审计,IT审计作为信息社会的安全对策,能有效地管理与IT相关的风险,从而确保信息系统的安全、可靠及有效,使我们健全地进入信息社会。
7.1.1 IT审计的定义1985年日本通产省情报处理开发协会IT审计委员会的定义【1】:“所谓IT审计是指由独立于审计对象的IT审计师站在客观的立场,对以计算机为核心的信息系统进行综合的检查、评价,向有关人员提出问题与劝告,追求系统的有效利用和故障排除,使系统更加健全。
”1996年日本通产省对IT审计准则的内容进行了全面修订,对IT审计重新定义【1】如下:“为了信息系统的安全、可靠与有效,由独立于审计对象的IT审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IT审计对象的最高领导,提出问题与建议的一连串活动。
”IT审计有以下几个要点【1】:(1) 独立性为了确保IT审计的公正性,IT审计师必须独立与被审计的单位或部门,以第三方的客观立场对信息系统进行综合的检查与评价。
(2) 综合性IT审计以信息系统的整体为对象,必须采用综合的方法对信息系统进行检查与评价。
(3) IT审计师资格IT审计师必须具备信息技术及审计两方面的知识与能力。
必须是通过IT审计师资格考试且考试合格,具有实施IT审计基本知识与能力的人员。
同时IT审计师必须遵守IT审计准则,具有职业道德与专业精神。
(4) IT审计报告实施IT审计的最后结果是以报告的形式提交的,其中包括各改进事项、劝告以及重大、紧急改进等。
IT审计师必须进行跟踪,促使这些改进实现。
IT审计师的工作范围包括,从IT审计计划的制定开始,然后预审计、审计实施、提交审计报告到IT审计跟踪为止的所有工作。
(5) 促进信息系统安全、可靠与有效7.1.2 IT审计的范围7.1.2.1 IT审计的对象IT审计是对信息系统的审计。
IT审计的对象是指以计算机为核心的信息系统,并覆盖信息系统从规划、分析、设计、实施、运行和维护到该系统报废为止的整个生命周期的各种业务。
IT审计不仅仅是对硬件与软件的审计,IT审计必须是对整体的信息系统进行的。
整体信息系统是包括信息系统环境以及与此有关的业务等在内的有机结合的整体。
进行IT审计,必须熟悉IT审计对象的业务。
在信息系统规划、分析、设计、实施、运行和维护的各个阶段,明确IT审计的各个项目及各个项目的衡量标准。
因此,明确对象业务、明确IT审计的要点、选定对象业务及找出问题的所在,使IT审计真正起到效果是十分重要的。
7.1.2.2 IT审计的业务内容IT审计的业务内容【1】如下:(1) 计算机资源管理审计(2) 硬件、软件等获取审计(3) 系统软件审计(4) 程序审计(5) 数据完整性审计(6) 系统生命周期审计(7) 应用系统开发审计(8) 系统维护审计(9) 操作审计(10) 安全审计IT审计的项目如按生命周期来划分,如表7-1所示【1】。
表7-1按生命周期划分的IT审计项目【1】续表7-17.2 IT审计与社会保险信息系统建设社会保险事业与最广大人民群众的切身利益息息相关,关乎国计民生。
社会保险信息化是整个社会保险体系的技术支撑,它涉及社会保险体系的各个层面,贯穿于社会保险工作的各个环节。
随着信息化程度的提高,社会保险机构对信息系统产生极大的依赖性。
当信息系统发生故障、停止运行或发生错误而丧失其有效功能时,社会保险的业务活动就失去了支撑和保障,还要影响到社会生活的各个方面。
同时,社会保险信息系统规模庞大、结构复杂、具备多种功能、实现多个目标。
社会保险信息系统建设是一项复杂的系统工程,系统建设需要巨额的投资,系统的建设存在较大的风险。
所以,如何充分发挥社会保险信息系统的正面效应,避免负面效应?如何控制社会保险信息系统的规划、分析、设计、实施、运行和维护各个阶段的风险?如何管理好信息与信息资源?如何保护好信息与信息系统平台,确保信息系统的安全、可靠和有效?这些问题越来越受到政府、社会保险业务经办机构的重视,受到参保单位、参保职工的关注。
为了推进社会保险信息化建设,保护信息化建设成果,IT审计是必不可少的。
社会保险信息系统的安全与经济安全、社会安全、国家安全紧密相连,因此把国外先进的IT审计思想引入社会保险信息化建设势在必行,IT审计应尽早纳入社会保险信息化建设的规划之中。
7.3在社会保险机构实施IT审计的步骤(1) 把IT审计思想引入社会保险信息化建设中。
(2) 在社会保险机构,确立IT审计制度的,把IT审计工作纳入社会保险信息化建设的规划中。
(3) 在社会保险机构成立内部IT审计部门。
不具备成立内部IT审计部门的地市,应指定专人负责此项工作的开展。
(4) 通过培训和考核,培养社会保险机构自己的IT审计人员。
(5) 制定具体的IT审计计划。
(6) 对已投入运行的、在建中的社会保险信息系统实施IT审计。
(7) 在实施IT审计时,内部审计与外部审计相结合,把内部审计作为一件日常工作进行,同时为了公正、客观和有效的实施IT审计,外部审计是必要的。
(8) 确立IT审计报告制度和IT审计跟踪制度,对IT审计结果进行记录与归纳形成IT审计报告,并对IT审计报告中提出的问题的整改情况进行跟踪。
7.4社会保险机构IT审计人员的培养7.4.1 IT审计师任务、职责权限与职业道德IT审计由IT审计师来实施。
IT审计师必须具备IT技术及审计两方面的知识与能力。
美国、日本等国家为了培养IT审计人员,实施了IT审计师资格考试制度,考试合格者,具有实施IT审计基本知识与能力的人员被任命为“IT审计师”。
IT审计师的任务【1】是以第三方的立场,对信息系统的可靠性、安全性、紧急对策、灾难恢复计划、隐私机密数据的保护、系统开发与维护的有效性及系统的运行效率等有关各项目进行检查、评价并报告结果。
IT审计师要完成以上任务,必须具有一定的职责权限,遵守职业道德。
IT 审计师的权限与制约必须明文规定,使之成为法律条文。
IT审计师的职责权限如下:(1) IT审计师对于自身的判断要有明确的依据。
(2) IT审计师有权力要求被审计组织与部门提交审计所需要的相关资料。
(3) IT审计师要向组织最高领导报告审计实施状况及有关改进事项。
IT审计师应遵守的职业道德如下:(1) IT审计师应坚持公正、独立、客观的评价立场。
(2) IT审计师要自觉遵守职业道德,公正、诚实地实施IT审计,取得组织内外的信任。
(3) IT审计师要遵守保密义务,没有正当的理由,不能泄露业务秘密,不能因不正当目的利用业务秘密谋取私利。
7.4.2 社会保险机构IT审计人员的培养7.4.2.1 内部审计与外部审计IT审计可分为内部审计与外部审计。
内部审计【1】是指由组织内部的IT审计师对信息系统实施审计,找出系统在安全、可靠和有效性方面的问题。
外部审计【1】是指由独立于组织的第三方(IT审计师)对信息系统实施审计,找出系统安全、可靠与有效性的问题,对信息系统进行综合检查与评价。
从实施的目的、方法、手段和技术等来看,内部审计与外部审计是相同的,但它们所处的地位与立场是不同的。
为了公正、客观和有效地实施IT审计,外部审计是必要的。
社会保险信息系统的外部IT审计可通过委托合同,直接让具有丰富的知识与经验的IT审计师来进行。
7.4.2.2 社会保险机构IT审计人员的培养国内通过信息系统控制与审计协会(ISACA)举办的注册IT审计师(CISA)考试的注册IT审计师数量极少,社会保险机构尚没有自己的注册IT审计师,而社会保险机构在建和已投入运行的需要实施IT审计的信息系统数量巨大,需要大量的内部IT审计人员。
因此,在社会保险机构实施IT审计势必要培养自己的IT 审计人员。
由于IT审计师要具有信息系统结构及系统开发方面的有关知识,另外,还要具有控制与组建系统的能力,以及在特定系统中,识别那些控制为最重要控制的能力,所以可从社会保险机构的信息技术人员中培养IT审计人员。
社会保险机构IT审计人员的培养可由劳动和社会保障部牵头组织进行。
具体可分以下几步进行:(1) 聘请国内、外IT审计专家,编写IT审计培训教材。
(2) 举办IT审计人员培训班,培养社会保险机构的IT审计人员。
(3) 对参加培训人员进行严格的考核,对考核合格者颁发社会保险IT审计资格证书。
(4) 对社会保险机构的IT审计人员,不断地进行培训和教育。
(5) 组织社会保险机构的IT审计人员,参加信息系统控制与审计协会(ISACA)举办的注册IT审计师(CISA)考试。
7.5 在社会保险机构确立IT审计制度在社会保险机构确立IT审计制度【1】对于实施IT审计是十分重要的。
只有明确IT审计的基本方针确立IT审计制度,才能使IT审计顺利实施。
社会保险机构的IT审计制度应包括以下主要内容:(1) 明确IT审计的基本方针确立领导把关的方针;明确IT审计师的权限、职责与任务;确立IT审计结果的报告与跟踪制度。
(2) IT审计的组织机构内部审计在组织机构中的位置;内部审计的规模及小组组成;IT审计人员所具备的资格与教育培训;委托外部的IT审计;外部的IT审计合同。
(3) IT审计准则、手册、工具的配备IT审计的准则、手册与操作规程;IT审计工具与软件;IT审计报告,各种审计实施表。
(4) IT审计与相关部门的关系IT审计与系统部门的关系;IT审计与用户部门的关系;外部审计与内部审计的关系。
7.6 在社会保险机构实施IT审计IT审计的对象是以计算机为核心的各种信息系统并覆盖信息系统的整个生命周期。
为了实施IT审计首先要制定IT审计计划,然后根据信息系统生命周期在系统规划、分析、设计、实施、运行和维护的各个阶段实施IT审计。