今年,審計署駐蘭州特派辦在某鐵路建設項目審計中,積極開展信息系統(tǒng)審計,通過對該建設項目中使用的鐵路驗工計價軟件系統(tǒng)進行審計,查出了該系統(tǒng)在設計、運行中存在的錯誤和缺陷,并提出了改進對策和建議,得到被審計單位的好評。同時,蘭州辦在面向商品軟件系統(tǒng)審計的技術方法和組織管理等方面積累了一定經驗。
圍繞該審計項目的特點,此次將信息系統(tǒng)審計的目標定位為:通過對信息系統(tǒng)在核心功能正確性、功能完整性、安全性等方面進行檢查,發(fā)現并揭示信息系統(tǒng)在設計、運行、管理和維護中存在的問題與風險,促使其安全有效運行,并揭示在驗工計價過程中利用信息系統(tǒng)進行的欺詐和舞弊的事件。
審計人員對照驗工計價須遵守的法規(guī),對該系統(tǒng)的核心功能正確性進行了審計,通過閱讀用戶手冊并進行測試分析,發(fā)現了系統(tǒng)在功能正確性方面存在的問題;對驗工計價工作流程進行分析,對系統(tǒng)完整性進行審計,通過分析工作流程中的關鍵控制點,針對關鍵控制點進行系統(tǒng)數據分析和軟件測試,發(fā)現了系統(tǒng)完整性方面存在的缺陷;從系統(tǒng)數據交換流程、管理制度、人員職責劃分、系統(tǒng)安全管理等多個方面,分析來自內部和外部的安全隱患,對系統(tǒng)安全性進行審計,發(fā)現了系統(tǒng)安全性方面存在的問題。
審計過程中,審計人員注重將信息系統(tǒng)審計與建設項目審計相結合,注重系統(tǒng)數據分析,為審計組提供了大量線索,同時利用已掌握的審計線索查找系統(tǒng)中存在的漏洞。