近年來��,審計署駐重慶特派辦積極開展以信息系統(tǒng)安全性���、有效性為主要目標的信息系統(tǒng)計算機審計,取得較好成效���。
一是著力揭示信息系統(tǒng)的缺陷與風險���。信息系統(tǒng)審計是信息化條件下項目審計的基礎性工作,該辦組織信息系統(tǒng)審計方面的專業(yè)人員與審計業(yè)務人員組成信息系統(tǒng)審計組���,積極開展信息系統(tǒng)審計��,不斷推進信息系統(tǒng)審計常態(tài)化��。在審計過程中���,審計人員以信息系統(tǒng)安全性��、有效性為目標,重點關注信息系統(tǒng)的物理安全和應用安全���,對信息系統(tǒng)的網(wǎng)絡部署���、安全管理、權(quán)限控制���、輸入控制��、處理控制和輸出控制進行審查��,驗證系統(tǒng)業(yè)務授權(quán)與審批是否正確���,系統(tǒng)業(yè)務處理流程是否完備合理��,業(yè)務數(shù)據(jù)存儲和輸出是否準確和完整���,數(shù)據(jù)的生成、存儲���、傳輸��、處理是否存在有效的控制記錄���,從而審查評價系統(tǒng)的安全性、有效性��,揭示由于信息系統(tǒng)缺陷而導致的信息和經(jīng)濟安全風險���。
二是有效促進被審計單位提高信息系統(tǒng)的安全性���、有效性。該辦根據(jù)審計發(fā)現(xiàn)的問題��,如信息系統(tǒng)數(shù)據(jù)輸入控制���、數(shù)據(jù)處理邏輯和數(shù)據(jù)輸出控制存在缺陷���,部分業(yè)務流程信息處理存在安全隱患不利于風險控制等���,提出審計建議和整改意見,得到被審計單位積極采納���,促進被審計單位從管理制度���、系統(tǒng)功能設計和操作規(guī)范方面進一步整改和完善,提高了系統(tǒng)的安全性和有效性���。
三是不斷積累信息系統(tǒng)審計的經(jīng)驗。隨著信息系統(tǒng)審計工作的逐步深入���,該辦注重積累信息系統(tǒng)審計經(jīng)驗和方式方法���,并不斷完善。如某國企信用保險綜合業(yè)務信息系統(tǒng)業(yè)務流程應用控制審計��、某國企壽險信息系統(tǒng)業(yè)務流程及數(shù)據(jù)處理控制審計分別被審計署評為2009和2010年優(yōu)秀信息系統(tǒng)審計案例��,相關審計人員應邀在署信息系統(tǒng)審計案例研討班上作了經(jīng)驗交流���。(肖敏)
|
