论文部分内容阅读
【摘要】当前,在社会保障资金的管理中,信息化技术逐渐普及,社会保障方面的业务办理越来越依靠信息技术,因此,信息系统审计已成为社保审计未来的重要发展方向。本文浅谈了社会保障审计的必要性和操作实务。这对于保障人民权益、促进我国社会保障体系不断完善等方面具有重大意义。
【关键词】社保;信息系统;审计;操作实务
1 社保信息系统审计开展的必要性
社会保障的管理工作是一项高复杂度、高要求的社会工程,需要大量利用现代信息处理技术手段,社会保障管理信息系统的安全性、可靠性、经济性是社会保障管理的基础。
1.1 信息系统审计是社会保障事业发展的客观需求。
我国社会保障体系日趋完善,社会保障覆盖面持续扩大,社会保障待遇水平连年提高。我国已基本形成了以社会保险为主体,包括社会救助、社会福利、优抚安置、住房保障和社会慈善事业在内的社会保障制度框架,城镇养老、医疗、失业、工伤、生育5项保险制度普遍实施,实现了从单位福利向统筹互济的社会保险的转变。截至2011年底,基本医疗保险实现全覆盖,基本养老保险覆盖面迅速扩大,只有通过信息化技术手段才能合理、高效的管理如此庞大业务。社会保险信息系统具有政策性强、涉及面广、信息流量大、数据交换频繁、数据保存时间长等特点,必须通过信息系统审计对于社保业务涉及信息系统的安全性、可靠性、经济性进行分析评价。
1.2 信息系统审计是实现社保审计目标的迫切需要。
社会保障资金审计主要是可以保证社会保障资金的安全和完整,使得我国的社会保障体系逐步完善,通过发挥社会保障资金的使用,使我国的经济效益和社会效益有所提高,从而维护社会的安定。在当前的信息化技术的普及的环境下,因此对审计工作提出了更高的要求。基于审计模型的海量数据分析查找社保资金管理的违规行为成为主流的审计手段,因此必须首先通过信息系统审计对于社保系统的安全性、可靠性、有效性进行评价,避免因基于不可靠、不安全的系统数据进行分析而产生的审计风险。
1.3 信息系统审计是社会保障信息化建设现状的客观要求。
目前,在信息技术发展的同时,我国社保信息系统建设中也存在一些问题,如系统建设追求“短平快”,未进行全局化、整体性的规划设计;还有就是信息系统未对业务流程进行处理,在处理的过程中规范化还不够完善,系统方面也不能充分满足业务方面的需求,多个相关系统之间未进行有效的整合,从而产生了“信息孤岛”的问题出现,这将导致系统方面存在安全隐患、数据传输的质量低下,导致效益低下一些相关问题。这些方面都需要根据信息系统审计建议进行合理的处理,不断促进并完善社保信息系统的一些事宜。
2 社保审计中开展信息系统审计的操作实务
当前,我国社保审计面临着两个方面的转折点,一方面是被审计对象信息化运用不断扩展与深入,另一方面是审计要求责任的不断提高与加强,如何提高审计效率、优化审计成果、降低审计风险是摆在每一个社保审计人面前的重要课题。社保信息系统审计应以数据的安全性为第一审计目标,以系统的可靠性为主要审计目标,以资金的合理有效管理为审计突破点,开拓社保审计一片更广阔的天地。
2.1 建立社保信息系统审计评价指标体系。
信息系统审计尚未形成规模效应,操作起来无法达到标准化、规范化、制度化的要求,尚无充分的评价依据,评价内容也不够全面,如何科学性的衡量信息系统安全性、可靠性、经济性是当前信息系统审计工作的瓶颈。必须建立社保信息系统审计评价指标体系,以科学的标准评判是否达到信息系统设定的目标,以科学的考评体系来评判信息系统运行的效果,查找运行过程中与预期目标的差距,及时发现信息系统运行中存在的实际问题,进一步对信息系统进行优化提供科学依据。
2.2 注重社保信息系统数据质量分析。
与数据式审计相比,信息系统审计是“究其然,更究其所以然”。
社保审计数据量巨大,数据式审计往往发现大量冗余与差错数据,如果审计人员将这些不良数据直接抛弃,而给予余下数据充分信任,势必产生较高的审计风险。必须通过信息系统审计,从系统运行、操作处理、运维管理等多角度深入分析数据质量,发掘信息系统从建设到运行,再到管理存在的漏洞,才能充分发挥审计在信息化环境下“免疫系统”功能。
2.3 构建社保信息系统整体化审计思维。
社保信息系统绝非社保部门的信息系统,社保信息系统审计必须构建整体化的审计思维,形成涉及社保、民政、税收等政府职能部门,银行、保险等社会金融机构,以及广大参保单位的广义社保信息系统审计,贯彻整个社保业务信息流,实现社保资金到哪里,数据到哪里,信息系统审计就到哪里。审计人员只有拓展视野,才会提出源源不断的审计思路。计算机审计,应该先有审计思路,再有计算机分析模型和技术。如果思路受阻,计算机审计就无从开展,而但凡计算机技术上的问题,应该都不是问题,随着专业的计算机技术人才注入审计系统、复合型审计人员的增多,相信计算机审计面临的技术困难会越来越少,审计人员迫切需要开拓和提升的仍然是‘审计思路’的提出。
在探索信息系统过程中要争取被审单位的积极配合,良好审计关系能在信息系统的攻坚克难过程中起到事半功倍的效果。此外,象社保这类同步审计项目,审计系统内的沟通也很关键,及时通报:审计发现的问题、发现的疑点、面临的困难等等,不仅可以开拓审计人员的思路,又能更大程度地拓展审计成果。
2.4 加强社保信息系统审计复合型人才培养。
我们要立足“关口前移、提前介入”,树立服务意识,树立共同目标,创新全过程跟踪审计的方法方式,用制度管人,才能把这些好事办得更好。要创造条件,鼓励有志向、想干事的人干好工作,如让年轻同志当审计组长、跨科室组织“审计别动队”等等,培养锻炼审计干部队伍。高效,就是提高审计项目效能,提高审计工作效益。我们的审计任务非常繁重,我们的审计资源却又很有限,如何让有限的资源投入到热点、重点的工作中,高效高质完成工作任务,这就要求加强对审计项目的科学管理。我们要注重每个审计项目的审前调查,摸清情况,找准目标,抓住主要矛盾,集中力量重点突破,提高工作效率。我们要注重对审计成果的开发提升,善于从孤立中寻找共性,归纳总结,综合分析,从体制、机制层面提出加强管理的可行性审计意见,为市委、市政府决策参考。“以人为本”是社保信息系统审计进一步发展的需要条件,“人”乃精通审计实务与信息化技术的复合型人才,“本”乃基础、基石。一方面计算机专业背景的人员通过大量的审计实践与理论学习成为审计精英,另一方面社保审计人员接触丰富的信息化技术与知识成为计算机的发烧友,为信息系统审计储备充足的人才队伍。
3 信息系统开发建设方面的审计
不论是自主开发还是委托开发,信息系统建设都要经历需求调研阶段、规划分析阶段、开发测试阶段、实施运行阶段等几个过程。审计中应关注在这些过程中,系统开发建设是否、信息系统安全防范方面的审计网络作为一种构建在开放性技术协议基础上的信息流通渠道,防卫能力和抗攻击性较弱。审计中应关注社会保险信息系统在网络环境下,信息安全等级保护制度建立和执行情况,包括实体安全控制、软件安全控制、数据安全控制、入侵防范控制、病毒防范控制以及灾难恢复控制等。譬如实体安全控制包括:计算机机房建设是否符合国家相关标准,出入机房是否有记录,是否设立适当的温度、湿度控制,是否设立监控设施以保证各种硬件和存储介质的安全,是否制定了详细的应急预案等。又如入侵防范控制包括:是否实现信息系统与外部访问区域之间的数据隔离,建立防火墙,限制外界对主机操作系统的访问,及穿过访问区域对内联网、尤其是对信息系统的访问。信息系统安全防范已成为社会保险技术人员和信息系统审计人员研究的重要课题。参考文献
[1] 龚海川.2007.台湾审计制度的思考与借鉴[J].审计文摘(1):80.
[2] 李金华.2001.审计理论研究[M].中国审计出版社.
[3] 刘家义.2010.积极探索创新努力健全完善中国特色社会主义审计理论体系[J].审计研究(1):3-8.
【关键词】社保;信息系统;审计;操作实务
1 社保信息系统审计开展的必要性
社会保障的管理工作是一项高复杂度、高要求的社会工程,需要大量利用现代信息处理技术手段,社会保障管理信息系统的安全性、可靠性、经济性是社会保障管理的基础。
1.1 信息系统审计是社会保障事业发展的客观需求。
我国社会保障体系日趋完善,社会保障覆盖面持续扩大,社会保障待遇水平连年提高。我国已基本形成了以社会保险为主体,包括社会救助、社会福利、优抚安置、住房保障和社会慈善事业在内的社会保障制度框架,城镇养老、医疗、失业、工伤、生育5项保险制度普遍实施,实现了从单位福利向统筹互济的社会保险的转变。截至2011年底,基本医疗保险实现全覆盖,基本养老保险覆盖面迅速扩大,只有通过信息化技术手段才能合理、高效的管理如此庞大业务。社会保险信息系统具有政策性强、涉及面广、信息流量大、数据交换频繁、数据保存时间长等特点,必须通过信息系统审计对于社保业务涉及信息系统的安全性、可靠性、经济性进行分析评价。
1.2 信息系统审计是实现社保审计目标的迫切需要。
社会保障资金审计主要是可以保证社会保障资金的安全和完整,使得我国的社会保障体系逐步完善,通过发挥社会保障资金的使用,使我国的经济效益和社会效益有所提高,从而维护社会的安定。在当前的信息化技术的普及的环境下,因此对审计工作提出了更高的要求。基于审计模型的海量数据分析查找社保资金管理的违规行为成为主流的审计手段,因此必须首先通过信息系统审计对于社保系统的安全性、可靠性、有效性进行评价,避免因基于不可靠、不安全的系统数据进行分析而产生的审计风险。
1.3 信息系统审计是社会保障信息化建设现状的客观要求。
目前,在信息技术发展的同时,我国社保信息系统建设中也存在一些问题,如系统建设追求“短平快”,未进行全局化、整体性的规划设计;还有就是信息系统未对业务流程进行处理,在处理的过程中规范化还不够完善,系统方面也不能充分满足业务方面的需求,多个相关系统之间未进行有效的整合,从而产生了“信息孤岛”的问题出现,这将导致系统方面存在安全隐患、数据传输的质量低下,导致效益低下一些相关问题。这些方面都需要根据信息系统审计建议进行合理的处理,不断促进并完善社保信息系统的一些事宜。
2 社保审计中开展信息系统审计的操作实务
当前,我国社保审计面临着两个方面的转折点,一方面是被审计对象信息化运用不断扩展与深入,另一方面是审计要求责任的不断提高与加强,如何提高审计效率、优化审计成果、降低审计风险是摆在每一个社保审计人面前的重要课题。社保信息系统审计应以数据的安全性为第一审计目标,以系统的可靠性为主要审计目标,以资金的合理有效管理为审计突破点,开拓社保审计一片更广阔的天地。
2.1 建立社保信息系统审计评价指标体系。
信息系统审计尚未形成规模效应,操作起来无法达到标准化、规范化、制度化的要求,尚无充分的评价依据,评价内容也不够全面,如何科学性的衡量信息系统安全性、可靠性、经济性是当前信息系统审计工作的瓶颈。必须建立社保信息系统审计评价指标体系,以科学的标准评判是否达到信息系统设定的目标,以科学的考评体系来评判信息系统运行的效果,查找运行过程中与预期目标的差距,及时发现信息系统运行中存在的实际问题,进一步对信息系统进行优化提供科学依据。
2.2 注重社保信息系统数据质量分析。
与数据式审计相比,信息系统审计是“究其然,更究其所以然”。
社保审计数据量巨大,数据式审计往往发现大量冗余与差错数据,如果审计人员将这些不良数据直接抛弃,而给予余下数据充分信任,势必产生较高的审计风险。必须通过信息系统审计,从系统运行、操作处理、运维管理等多角度深入分析数据质量,发掘信息系统从建设到运行,再到管理存在的漏洞,才能充分发挥审计在信息化环境下“免疫系统”功能。
2.3 构建社保信息系统整体化审计思维。
社保信息系统绝非社保部门的信息系统,社保信息系统审计必须构建整体化的审计思维,形成涉及社保、民政、税收等政府职能部门,银行、保险等社会金融机构,以及广大参保单位的广义社保信息系统审计,贯彻整个社保业务信息流,实现社保资金到哪里,数据到哪里,信息系统审计就到哪里。审计人员只有拓展视野,才会提出源源不断的审计思路。计算机审计,应该先有审计思路,再有计算机分析模型和技术。如果思路受阻,计算机审计就无从开展,而但凡计算机技术上的问题,应该都不是问题,随着专业的计算机技术人才注入审计系统、复合型审计人员的增多,相信计算机审计面临的技术困难会越来越少,审计人员迫切需要开拓和提升的仍然是‘审计思路’的提出。
在探索信息系统过程中要争取被审单位的积极配合,良好审计关系能在信息系统的攻坚克难过程中起到事半功倍的效果。此外,象社保这类同步审计项目,审计系统内的沟通也很关键,及时通报:审计发现的问题、发现的疑点、面临的困难等等,不仅可以开拓审计人员的思路,又能更大程度地拓展审计成果。
2.4 加强社保信息系统审计复合型人才培养。
我们要立足“关口前移、提前介入”,树立服务意识,树立共同目标,创新全过程跟踪审计的方法方式,用制度管人,才能把这些好事办得更好。要创造条件,鼓励有志向、想干事的人干好工作,如让年轻同志当审计组长、跨科室组织“审计别动队”等等,培养锻炼审计干部队伍。高效,就是提高审计项目效能,提高审计工作效益。我们的审计任务非常繁重,我们的审计资源却又很有限,如何让有限的资源投入到热点、重点的工作中,高效高质完成工作任务,这就要求加强对审计项目的科学管理。我们要注重每个审计项目的审前调查,摸清情况,找准目标,抓住主要矛盾,集中力量重点突破,提高工作效率。我们要注重对审计成果的开发提升,善于从孤立中寻找共性,归纳总结,综合分析,从体制、机制层面提出加强管理的可行性审计意见,为市委、市政府决策参考。“以人为本”是社保信息系统审计进一步发展的需要条件,“人”乃精通审计实务与信息化技术的复合型人才,“本”乃基础、基石。一方面计算机专业背景的人员通过大量的审计实践与理论学习成为审计精英,另一方面社保审计人员接触丰富的信息化技术与知识成为计算机的发烧友,为信息系统审计储备充足的人才队伍。
3 信息系统开发建设方面的审计
不论是自主开发还是委托开发,信息系统建设都要经历需求调研阶段、规划分析阶段、开发测试阶段、实施运行阶段等几个过程。审计中应关注在这些过程中,系统开发建设是否、信息系统安全防范方面的审计网络作为一种构建在开放性技术协议基础上的信息流通渠道,防卫能力和抗攻击性较弱。审计中应关注社会保险信息系统在网络环境下,信息安全等级保护制度建立和执行情况,包括实体安全控制、软件安全控制、数据安全控制、入侵防范控制、病毒防范控制以及灾难恢复控制等。譬如实体安全控制包括:计算机机房建设是否符合国家相关标准,出入机房是否有记录,是否设立适当的温度、湿度控制,是否设立监控设施以保证各种硬件和存储介质的安全,是否制定了详细的应急预案等。又如入侵防范控制包括:是否实现信息系统与外部访问区域之间的数据隔离,建立防火墙,限制外界对主机操作系统的访问,及穿过访问区域对内联网、尤其是对信息系统的访问。信息系统安全防范已成为社会保险技术人员和信息系统审计人员研究的重要课题。参考文献
[1] 龚海川.2007.台湾审计制度的思考与借鉴[J].审计文摘(1):80.
[2] 李金华.2001.审计理论研究[M].中国审计出版社.
[3] 刘家义.2010.积极探索创新努力健全完善中国特色社会主义审计理论体系[J].审计研究(1):3-8.