2.信息系统基本情况
黑龙江省
省 直 属
齐 齐 哈 尔牡 丹 江 市佳木 斯 市七 台 河 市
绥 化 市
伊 春 市
大 庆 市
鸡 西 市
鹤 岗 市
双 鸭 山 市
黑 河 市
大 兴 安 岭
哈 尔 滨 市
HGB_DB1 参保人员1142655人 数据量15G
HGB_DB3 参保人员2357971人 数据量21G
中
中
主数据、业务参数和重要信息基本能够满足有效性 数据控制 、完整性和真实性的要求，部分数据校验机制存在 不足。
中
4.信息系统审计总计目标
• 围绕“找出隐患、规范管理、促进完善”的总体思 路，对某省“金保工程”系统的可靠性、有效性、 效率性和安全性等进行检查，了解社会养老保险子 系统的运行状况，发现该系统在使用和管理过程中 存在的问题，确定该信息系统是否存在漏洞和缺陷， 揭示使用系统办理基金业务时存在的控制风险，揭 露基金筹集、管理、使用中存在的突出问题，从而 对系统进行客观公正的评价，为促进被审计单位加 强管理，完善风险监督机制，防范利用计算机系统 进行欺诈与舞弊，保证基金的安全与完整，维护人 民群众的切身利益，提出切实可行的审计建议。
12 13 序号 审计内容 信息系统组织控制情 况 信息系统开发维护控 制情况 信息系统安全控制情 况情况 系统操作管理控制情 况 机房物理环境控制情 况 信息系统效益情况 信息系统流程和功能 控制情况 数据输入控制情况 数据处理控制情况 审计事项 制度建设 设备采购管理 项目立项 系统运行维护管理 系统安全投入 系统安全定级 审计事项类别 一般控制 一般控制 一般控制 一般控制 一般控制 一般控制
数据资源管理
一般控制
机房物理环境管理 系统应用效益 系统流程控制 系统功能控制 主数据库数据输入控制 主数据库数据处理控制
一般控制 一般控制 应用控制 应用控制 应用控制 应用控制
6.审计过程和测试方法
• （一）一般控制审计—IT管理政策审计 • 1.具体审计目标：检查被审计单位IT管理政策情况，是否 制订了完善可行的IT管理政策，政策执行是否顺利。 • 2.审计测试过程 • （1）要求被审计单位提供机房管理制度、人员管理制度 等IT相关管理政策。查阅被审计单位提供的“机房管理制 度”、“人员管理制度”、“软硬件管理使用制度”、“ 网络安全制度及保密制度”等，检查其管理政策是否完善 合理、有效可行。 • （2）走访了信息中心和业务部门的部分员工，询问他们 对于上述政策制度的了解程度，现场观察员工的操作是否 符合管理制度。
5.审计重点内容及审计事项
某省人力资源社会 1 保障信息化工作开展较 2 早，并率先在全国实现 3 了全省养老保险数据大 4 集中。根据某省“金保 5 工程”系统的建设和使 6 用情况，此次信息系统 7 审计重点关注了“金保 工程”系统的一般控制 8 及其社会保险子系统的 9 应用控制两部分内容， 10 共完成了13个审计事项。 11
6.审计过程和测试方法
• 3.审计结果 • 截至2011年6月末，省人社厅及所属信息中 心仅建立了关于“金保工程”资产管理和 系统运行维护方面的相关制度7项，尚未对 项目管理和资金使用制定相应的管理制度 ，“金保工程”建设监管存在“盲区”。
名称：某省“金保 工程”信息系统审 计； 时间:2011年7-9月
“金保工程”信息系统 一般控制及社会保险子 系统应用控制
2.信息系统基本情况
某省 “金保工 程”系统平台以 省级大集中数据 库和统一应用平 台为基础。负责 管理和维护的信 息系统共有99个。
2.信息系统基本情况
• 省级数据中心包括主中心和灾 备中心，采用同城实时系统级 备份和异地（某市）数据集异 步备份方式备份数据，此外， 省人社厅还以每日一次增量备 份、每周一次全库备份的方式 存储数据。 • “金保工程”系统现已建成2M 以上光纤和ADSL实时连接的全 省县级以上（含县级）人力资 源和社会保障行政部门和经办 机构的骨干网络，以及新农保 试点县的全部乡镇和其他农村 部分乡镇，全省大部分街道社 区、医疗保险定点医院和药店 ，部分国有企业通过SSLVPN连 接的分支网络。
审计子类 审计情况初步调查结论 风险水平
某省“金保工程”系统建立了专用网络，通过专线 网络部署及 与数据中心以及各分支机构连接。绘制了网络拓扑 安全保护措 结构图，安装了入侵检测、漏洞扫描工具、防火墙 施 以及熊猫网络版杀毒软件。制定了权限管理、用户 管理、安全管理等制度。 业务流程控 业务授权与审批较规范，数据处理逻辑基本合理， 制 部分业务流程与有关规定不符。
信息系统案例介绍
某省“金保工程”信息系统审 计
审计署哈尔滨特派办 2011年12月
内容简介
一、项目摘要
二、信息系统基本情况
三、信息系统控制情况
四、信息系统审计总体目标
五、信息系统审计内容和事项
六、信息系统审计过程和测试方法
七、初步审计成果 八、项目的局限性
聚焦“金保工程”
“金保工程”是利用先进的信息技术，以中央、省、市三级网络为依托， 涵盖县、乡等基层机构，支持劳动和社会保障业务经办、公共服务、基金监 管和宏观决策等核心应用，覆盖全国的统一的劳动和社会保障电子政务工程 。
一个工程
1
4
四项功能
金保工程
两大系统
2
3
三级结构
1.项目摘要
项目信息 发现问题 审计重点
1.尚未建立健全信息系统制 度建设，设备采购管理亟待 规范，信息系统安全投入不 足，系统运维外包存在潜在 风险。 2.数据备份、恢复及操作等 方面管理机制不完善；机房 缺少必要的安全设施，存在 安全隐患。 3.系统功能设置不完善，系 统应用缺乏有效控制，数据 的完整性、准确性和一致性 等发面缺乏有效地校验机制 控制。
HGB_DB4 参保人员1971590人 数据量21G
HGB_DB5 参保人员1774591人 数据量19G
养老保险数据逻辑结构
3.信息系统控制情况
针对数据物理集中、业务处理实现高度信息化的特点，审计人员对某 省“金保工程”信息系统的部署及应用进行了调查，发现其在网络部署 及安全保护措施、业务流程控制 、数据控制等方面存在一定风险。