近年來���,為更好的履行審計監督的職能�,完成信息化時代所賦予審計新的使命�����,審計署駐重慶特派辦根據《審計署2008至2012年信息化發展規劃》的要求��,堅持“打造專業化團隊����、建設創新型組織����、實現可持續發展”的發展思路�����,以“創新審計方法��,探索信息系統審計常態化”為發展目標����,在近年來開展的幾家金融保險企業總部和分支機構審計項目中�,始終堅持將創新擺在重要位置�,積極開展信息系統審計創新�,克服了年輕人多�����、經驗缺乏等困難���,在審計組織形式�、思路方法和成果提煉等方面大膽嘗試�����,勇于實踐��,走出富有自身特色的信息系統審計之路,取得了較好成效����。
一是創新組織形式��,密切溝通協作�����,全面了解信息系統基本情況�,明確審計目標和切入點����。在辦領導的親自協調指揮下���,該辦建立了跨處室協調機制���,組織金融審計處和計算機審計處針對信息系統審計相關事項進行多次會商���,設立計算機審計主審���,并從兩處抽調骨干組成信息系統審計小組�����,與其他審計人員密切配合��。通過對被審計單位信息化建設總體情況的全面摸底��,較好的把握了被審計單位業務和財務工作的總體情況�����。在此基礎上將揭示由于信息系統缺陷而導致的信息安全風險����、經濟安全風險���,促進被審計單位加強信息化條件下的內部管理和控制�,提高信息化建設項目的效益作為審計目標�����,將被審計單位核心業務系統流程控制和數據處理的正確性�����、安全性���、可靠性作為審計的主要切入點���。
二是創新審計思路和方法��,通過檢查信息系統關鍵控制環節的有效性���,發現系統控制漏洞����,提供審計線索�。審計過程中���,重慶辦審計人員結合保險行業相關法律法規和業務特點���,確定信息系統業務流程和數據控制的關鍵控制點���,并綜合運用觀察法����、文檔查閱法���、測試數據法�、系統日志檢查法等信息系統審計技術方法��,對被審計單位核心業務系統的權限控制���、輸入控制�����、處理控制和輸出控制等進行審查�,從而驗證信息系統是否能完整反映原始業務流程���,需求是否及時準確得到處理�����,風險是否得到切實控制�。例如��,在某金融保險企業審計項目中���,重慶辦通過信息系統數據處理邏輯審計發現該企業綜合業務信息系統缺少部分功能模塊�����,導致某業務品種出險幾率遠高于普通保單��。審計人員順藤摸瓜�,通過進一步數據分析和延伸調查�,發現民營企業串通騙保騙貸的案件線索����,上報審計信息被審計署《審計要情》采用�,該辦金融審計處因上述案件的查處被審計署授予集體二等功�。又如�����,在兩家金融保險企業審計項目中�,重慶辦通過對信息系統業務流程和控制的審計�����,發現企業的業務處理系統不僅缺乏對投保人信息真實性的全面核實功能���,而且后臺數據允許修改導致虛假投保獲取保費收入的問題�����,并提出了完善信息系統功能和模塊���,切實防范業務風險的審計建議���。
三是創新審計成果提煉利用����,提升信息系統審計效果����。重慶辦根據對幾家金融保險企業開展信息系統審計取得的成果����、經驗以及存在的不足進行系統性總結梳理�����,所撰寫的兩個信息系統業務流程控制審計項目案例報告均被評為審計署優秀信息系統審計案例�����,并連續兩年在審計署計算機技術中心舉辦的信息系統審計案例研討班上作了案例交流��。同時���,重慶辦沒有停留在就事論事反映問題的層面��,而是針對被審計單位信息系統設計�����、運行中存在的問題提出審計建議�,得到了被審計單位的認同和積極整改����,提高了信息系統在服務業務發展和加強風險防范中的作用��。(易凱)
|
