《养老系统专项审计经验交流》

养老系统专项审计经验交流

今年6月，根据省审计厅的统一部署，县审计局首次针对职工养老保险业务系统开展了信息系统应用控制专项审计，取得良好效果。

二是发现问题多。通过对养老申报征缴模块、业务审核模块等进行穿行测试，发现了如业务审核控制存在漏洞，未要求经办和审核职权分离，控制风险大；对退休待遇支付控制弱化，支付过程未要求加密，人为操作恶意篡改可能性大；事业和企业模块未实现共享，系统间多次转移易造成个人账户金额虚增；系统对一人多账户控制不严，存在重复参保、重复缴费等问题；个体职业者缴费基数上下限控制存在缺陷，手工输入导致少收养老金；系统在每月发放退休金（供养金）时对未成年供养人员已成年未设置预警和提示，造成多付供养金等八项系统控制缺陷和存在的问题，为被审计单位加强业务系统管理提出了改进的意见和建议。

三是涉及方面多。以往审计由于过多关注一般控制审计中的系统安全性，发现的多是一些数据库系统存在的漏洞和缺陷，而非业务系统的问题，对被审计单位来说无关痛痒。本次审计不仅关注信息系统一般控制安全性，而且重点关注了业务系统应用控制的有效性和可靠性，除了通过逆查法利用计算机审计从产生问题的结果反映到系统问题以外，审计人员以顺查法为主，直接通过设立测试账号、模拟业务流程等对业务系统的征缴、审核、计发、管理等模块和流程进行了全方位的审计，对业务系统存在缺陷和漏洞的关键控制点，通过编写计算机语句，审查因系统漏洞产生的违规结果，真正实现了数据和系统的穿行计算机审计，为今后进行全方位的信息系统审计提供了宝贵的经验。