公路联网收费信息系统审计的探讨,本文主要内容关键词为:信息系统论文,公路论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、联网收费信息系统业务数据逻辑审查 联网收费信息系统的主要功能是承担高速公路通行费拆分结算,高速公路联网收费专用缴费卡、高速公路联网收费电子不停车收费专用设备的客户服务和管理等内容,业务控制繁多而重要。同时,由于高速公路收费结算业务政策性非常强,联网收费信息系统合法、合理的执行国家收费政策也是审计的重要关注点。审计组在计算机审计技术上,通过采取尾数取舍分布特征分析、数字特征分析、分段对比分析等方法,对高速公路收费结算业务的真实性、合法性进行审计数据分析,同时,审计组高度关注各个控制措施之间的相关性,开展财务与业务的结合分析、相关及周边信息分析、补偿性与重叠性控制分析,以实现对信息系统业务数据逻辑的审查。发现财务收入信息与业务销售结算信息不一致、高速公路收费业务信息逻辑有误等一系列问题。 二、联网收费信息系统输入输出控制审查 联网收费信息系统最主要的功能之一是准确完整的收取、拆分、汇总全省高速公路的通行费,信息系统数据的正误与真伪,对高速公路收费、结算业务影响极大。信息系统输入输出审查重点为: 1.关注计算机自动校验功能是否健全和数据完整性、真实性等方面,即除人工核对录入的正确性外,信息系统中嵌入的控制程序对需要处理的数据确定一个合理范围,以校验输入数据是否合乎逻辑。如进行车辆现金通行费业务收费时,信息系统不检查输入的车牌是否为有效车牌号码,也不验证车卡一致性。 2.关注系统操作日志,即检查信息系统是否建立操作日志,识别不同人员对数据库增、删、改操作;是否保留完整的操作痕迹,使业务处理具有可复核性和可追溯性,防范内部人员利用职务之便擅自修改数据。 3.关注联网收费信息系统报表输出的真实性。围绕联网收费信息系统是否完整、准确、及时、安全地输出信息,通过数据分析和系统分析,检查系统信息登记和存储、输出报表内容和范围等,同时,结合联网收费信息系统是否建立了必要的输出控制措施、人员权限进行分析。 三、联网收费信息系统安全性控制审查 1.联网收费信息系统风险管理审查。重点关注联网收费信息系统管理部门的机构人员构成是否合理,有关岗位与人员职责和权限是否有效、明晰,是否建立授权分离制度;联网收费信息系统的内控制度、信息技术工作程序是否健全、有效发挥作用,是否建立网络安全机制,机房管理及运维人员胜任情况等。 2.联网收费信息系统安全风险审查。对联网收费信息系统访问控制、权限控制、操作控制以及控制的有效性进行审计。如出入机房是否有记录,是否设立适当的温度、湿度控制,是否设立监控设施以保证各种硬件和存储介质的安全,是否建立物理访问的制度并形成文件;是否为信息系统选择合适的物理场所;测试物理访问控制设备是否存在弱点和漏洞;是否对所有必要的区域采用访客登记和电子门禁系统的出入控制,是否在所有必要区域内安装监控和防盗设施;测试物理访问控制设备是否可以被人为或其他方式使其失去检测能力等。对物理访问控制的评估主要针对:周边环境控制、进出口控制、重要区域控制、公共访问交接区安全。 3.联网收费信息系统网络和信息传输审查。对联网收费信息系统网络访问控制审计,防止对网络服务的非法访问;检测未经授权的信息处理活动。记录用户活动、异常和信息安全事件的审计日志,监控系统的使用、日志信息的保护;是否采取了数据加密技术,加密技术选择是否合理,是否解决伪造、抵赖和篡改等安全问题;是否进行了防窃听的保护措施。 四、联网收费信息系统职责分离方面的审计 重点关注采购部门、销售部门、财务部门和客户服务部门等业务部门与信息技术部门的职责分工,检查信息技术部门的程序开发人员、系统管理人员、数据管理人员的构成,是否实行岗位分离,是否可以在不需要他人协助的情况下,独自对联网收费信息系统的程序、数据进行修改;业务部门人员是否可以独自修改业务信息,完成与违规相关的业务舞弊。 五、联网收费信息系统项目管理方面的审计 重点审查联网收费信息系统需求调研阶段、规划分析阶段、开发测试阶段、实施运行阶段等建设程序的真实性、合法性,及系统建成后的运行维护方面。 1.联网收费信息系统运行维护的审查。重点关注联网收费信息系统的运行维护实施程序、系统程序修改流程和运行维护模式,如是否运行维护服务过度外包,是否有严密的操作规程,是否责任分离,关于系统功能业务需求的维护或修改申请是否都有正式的申请、审批,维护人员是否登记所做的修改。 2.联网收费信息系统开发建设的审查。重点关注系统开发建设是否充分考虑企业业务需求,是否过度分散和重复开发导致资源浪费,是否出现投资大、维护成本高、功能不理想、淘汰快等现象。