近年来,审计署驻重庆特派办积极开展以信息系统安全性、有效性为主要目标的信息系统计算机审计,取得较好成效。
一是着力揭示信息系统的缺陷与风险。信息系统审计是信息化条件下项目审计的基础性工作,该办组织信息系统审计方面的专业人员与审计业务人员组成信息系统审计组,积极开展信息系统审计,不断推进信息系统审计常态化。在审计过程中,审计人员以信息系统安全性、有效性为目标,重点关注信息系统的物理安全和应用安全,对信息系统的网络部署、安全管理、权限控制、输入控制、处理控制和输出控制进行审查,验证系统业务授权与审批是否正确,系统业务处理流程是否完备合理,业务数据存储和输出是否准确和完整,数据的生成、存储、传输、处理是否存在有效的控制记录,从而审查评价系统的安全性、有效性,揭示由于信息系统缺陷而导致的信息和经济安全风险。
二是有效促进被审计单位提高信息系统的安全性、有效性。该办根据审计发现的问题,如信息系统数据输入控制、数据处理逻辑和数据输出控制存在缺陷,部分业务流程信息处理存在安全隐患不利于风险控制等,提出审计建议和整改意见,得到被审计单位积极采纳,促进被审计单位从管理制度、系统功能设计和操作规范方面进一步整改和完善,提高了系统的安全性和有效性。
三是不断积累信息系统审计的经验。随着信息系统审计工作的逐步深入,该办注重积累信息系统审计经验和方式方法,并不断完善。如某国企信用保险综合业务信息系统业务流程应用控制审计、某国企寿险信息系统业务流程及数据处理控制审计分别被审计署评为2009和2010年优秀信息系统审计案例,相关审计人员应邀在署信息系统审计案例研讨班上作了经验交流。
【我要纠错】 责任编辑:雨非