今年5月，福建省莆田市涵江区审计局创造性地开展了涵江区自来水公司水费管理系统审计。该项审计是涵江区开展的第一个信息系统审计项目，考虑涵江区自来水公司信息化程度高、数据量大、数据采集复杂等问题，审计人员在审前调查阶段作了大量的工作，在充分了解被审计单位的信息化建设和管理的相关情况、信息系统的业务依赖程度、信息系统管理情况、水费收费管理系统的基本情况，在此基础上制定较为详细的审计实施方案，分别从信息系统的一般控制和应用控制两大方面的十个内容开展了审计，明确了审计目标，包括：评价IT规划的合理性、IT组织机构设置的合理性、机房的安全性、数据库系统安全性、灾难恢复计划的可行性、数据的正确性和规范性、系统功能合理性、系统管理的规范性。

　　在没有数据字典的情况下，审计人员按照水费收费管理业务流程，采用功能与需求对比法，参考北京清华大学出版社2009年出版的张金城著作《信息系统审计》一书，通过询问、查询和检查，通过对业务流程分析，对水费数据库审计中采用了在后台数据库直接运行SQL语言的count和sum等函数和编写专用审计程序的方法，直接对用户数据库进行操作，再加上原来的系统共三种途径对水费数据进行交叉校验，保证了数据的真实性和准确性。

　　此次审计发现了涵江区自来水公司信息系统模块设置不合理、业务工作与系统管理相脱节、数据库系统存在安全隐患、没有制定IT规划和计划、IT组织结构不合理、机房的物理安全控制不够重视，没有采取必要安全防范措施、没有制定灾难恢复计划和实施方案等问。同时审计建议涵江区自来水公司制定切实可行的IT整体规划，设立专门IT管理机构和配备专业的管理人员，对数据库系统进行升级，采用三层结构，从而保证了数据库的安全，制定灾难恢复计划和实施应急预案，并做好灾难恢复的相应资源包括数据和设备的备份工作，加强对系统的管理，确保业务工作和系统管理同步，对水费录入员的模块权限进行合理设置，单独设置“现金收入”模块，用来管理水费滞纳金收入和用户非正常补缴水费收入，单独设置“注销用户基本情况”模块，用来管理公司历史上注销用户。