审计署2011年信息系统审计培训班-信息系统审计报告

1、审计署2011年信息系统审计培训班信息系统审计报告上海市审计局 李强议程项目概览医保三期工程案例酒店ERP系统案例网上办事工程案例思考与展望找准 “切入点”系统审计信息化项目竣工决算审计财务账套转换数据审计计算机审计与信息技术处审计业务主要工作范围信息系统审计“常态化”2. 信息系统审计“立体化” 涉及金融、投资、行政事业、企业、社保、资源环保等多个审计领域 涉及经责审计、竣工决算审计、审计调查等多种审计类型 涉足CISA中各大方面，探索项目外包审计、业务连续性审计等多个事项 1. 信息系统审计“常态化” 立足本处投资审计项目，增加数量且找准关注点 探索局年度审计计划中初步明确计算机审计需求

2、上报信息系统审计案例07/08200920102011302712信息系统审计“强动力”业务需求数据审计系统审计计审处业务处1 + 1 2协作、互利、共赢项目总揽已开展12个信息系统审计项目全为结合式项目（经责、投资为主）发现问题47个探索ERP系统审计、业务连续性审计等创新工作方式项目结合方式：信息系统审计 + 信息化项目竣工决算审计项目组织形式：独立开展4个，业务处合作8个项目质量保证： 预评估 + 后评估创新审计方法金融行业信息系统审计重点课题创新审计技术（源代码分析、可视化数据分析）审计成果安全性有效性经济性发现问题16个发现问题17个发现问题14个安全性有效性经济性12个项目共发现问

3、题47个！加深对信息系统审计的理解总体控制一般控制应用控制安全性有效性经济性安全性是基础有效性是基本要求经济性是项目绩效三个案例介绍医保三期工程审计酒店ERP系统审计网上办事工程审计案例介绍安全性有效性经济性议程项目概览医保三期工程案例酒店ERP系统案例网上办事工程案例思考与展望审计思路Step 1Step 2Step 3Title in here实时费用结算系统Title in here应用级灾备系统Title in here应急系统项目组认真研究项目特点，提出审计思路：1.系统安全性 2.数据准确性 3.投资效益性审计思路审计过程及测试方法基本情况摸底 查阅访谈分析 确定审计重点 采集标准

4、接口数据 实地察看 针对性访谈 根据实施阶段采集的证据和数据分析结果，对审计发现的问题进行分类汇总，并纳入审计报告调查阶段报告阶段实施阶段审计过程及测试方法检查灾备系统运行灾备系统存在安全隐患检查安全防护情况分析数据备份原理业务连续性审查结论磁盘镜像(磁盘块)5台防火墙停用审计过程及测试方法检查数据传输安全数据传输存在安全隐患检查加密情况检查接口调用数据安全检查结论无需建立会话明文传输审计过程及测试方法检查机房环境机房存在安全隐患检查供电体系检查进出控制机房安全检查结论同一供电所商住两用楼电梯违规使用审计过程及测试方法访谈运维部门管理不到位，导致系统服务中断检查运维制度调阅运维报告运维情况检查

5、结论表空间满交易系统中断30分初步审计成果安全性灾备系统存在安全隐患（业务连续性）数据传输存在安全隐患 机房存在安全隐患 管理不到位，导致系统中断服务有效性经济性数据接口缺陷 2台核心交换机闲置未用 2台小型机闲置未用投资效益多计项目投资*万元多计系统集成费*万元多计招投标代理费*万元多计投资监理费*万元概算外及超概算投资*万元议程项目概览医保三期工程案例酒店ERP系统案例网上办事工程案例思考与展望审计思路门店管理系统 ERP系统办公系统 中央数据系统订房系统 项目组认真研究项目特点，提出审计思路： 1.接口的有效性 2.数据的有效性 3.应用效益性审计思路审计过程及测试方法基本情况摸底 查阅

6、访谈分析 确定审计重点 采集业务数据 实地察看 针对性访谈 根据实施阶段采集的证据和数据分析结果，对审计发现的问题进行分类汇总，并纳入审计报告调查阶段报告阶段实施阶段审计过程及测试方法调阅手工对账单 PMS与办公系统接口设计存在缺陷，ERP系统不能真实反应业务系统的信息 PMS与ERP系统接口设计不合理，ERP业务系统数据失真检查接口标准比对系统间数据接口有效性审查结论系统间数据有差异报表需多次调整审计过程及测试方法了解项目组织方式 IT部与ERP小组缺乏协调，影响工作效率 检查项目管理办法调查项目协调机制项目管理有效性审查结论已有模块未整合ERP组与IT部平行初步审计成果门店系统与办公系统接

7、口设计存在缺陷，导致ERP系统不能真实反应业务系统的信息门店系统与ERP系统接口设计不合理，导致ERP业务系统数据失真IT部与ERP小组缺乏协调，影响工作效率门店系统服务器存在安全隐患 有效性安全性ERP采购过程与实际业务处理未同步会员卡数据有效时间被更改，导致会员卡收入损失经济性议程项目概览医保三期工程案例酒店ERP系统案例网上办事工程案例思考与展望审计思路政务信息收集整理综合政务信息查询领导决策辅助系统信息发布数据仓库应用应用监管子平台应用安全系统电子表格系统工作流引擎行政审批系统协同办事系统网上调查投诉处理网上办事互动服务子平台业务监控授权管理资源访问管理审计过程及测试方法报告阶段实施阶段审前调查支持信息化项目竣工决算审计审计过程及测试方法投资效益查阅测试报告比对可研执行检查重复开发关注经济性XX网上办事工程梳理交付模块演示具体应用分析syslog查可研咨询报告盘点交付功能可视化分析使用情况分析试点项目调阅营运报告可视化分析使用效果1. 资源闲置2. 应用广度3. 应用深度4. 推广力度初步审计成果软件开发应用推广资源整合分析系统应用有待进一步深化 数据交换软件面临长期闲置 8个平台模块未应用 应用推广有待加强 投资效益议程项目概览医保三期工程案例酒店ERP系统案例网上办事工程案例思考与展望思