目前,我国社会保障事业发展很快,社会保障资金具有资金量大、环节多、重复性和时效性强的特点,随着信息技术和网络技术的不断发展,计算机对社会保障各环节的影响越来越大。在信息化发展大潮中,如何运用现代科学技术方法提升社保审计水平,是审计界非常关注的一个课题。
一、信息化发展对社保审计工作的影响
社会保障部门信息化水平的提升给审计工作带来很大的影响,改变了原有手工审计的审计环境、审计线索、审计范围、审计技术,并对审计人员计算机水平提出更高要求。
(一)审计环境改变
随着信息技术的普及与发展,社会保障部门的管理手段和管理方式也发生了很大的变化,社会保障活动的信息处理技术正在向电子化、集成化、广域化、数学化和无纸化方向发展,社会保障部门均建立了完善的计算机信息系统,在这种背景下,社保审计环境发生了很大的变化,计算机已经成为审计对象的一种重要资源,掌控着信息化条件下的运行管理、内部控制等关键环节,使得传统的检查、控制、管理尤其是审计技术受到严峻挑战。
(二)审计线索改变
审计线索对审计来说非常重要,由于社会保障部门信息处理的自动化,审计线索发生了很大的变化,在信息化条件下,数据可能会被修改而不留任何痕迹,审计人员要学会利用计算机审查电子数据和系统,要学会跟踪磁性的审计线索进行审计。
(三)审计范围改变
社保信息系统特点及其固有风险,决定了在信息化条件下审计内容除手工情况下包括的内容,还应包括对社保信息系统的内部控制功能进行审查,内部控制除了包括系统的管理制度和由人工执行的一些审核、检查外,还包括建立在系统应用程序之中,由计算机运行时自动执行的程序控制。审计人员必须要了解系统的特点及其风险,了解系统的控制目标、数据流程、程序控制及其审查方法,评估处理信息的安全性和可靠性。
(四)审计技术改变
手工环境下,审计可根据具体情况开展逆查、顺查或抽查。审查一般采用审阅、核对、分析、比较、调查和证实的方法。信息化条件下,除了手工环境下的技术方法外,审计人员可以通过计算机辅助审计技术,编写SQL语句更迅速地对电子数据进行查询、核对、分析、比较和抽样,并且能够有效降低审计风险、提升审计质量。
(五)审计人员计算机水平要求更高
社会保障部门信息化程度的提高,给审计人员提出更高要求,审计人员不仅要有一定的系统分析知识和数据库技术,而且还应具备数据采集、数据转换、数据整理和数据分析技术,仅达到一般应用水平远不能达到在信息化环境下开展社保审计的要求。
二、运用计算机技术开展社保审计的途径
社保审计的出路在于数字化,审计长在谈到审计创新时曾指出要从信息论、系统论的高度来利用计算机技术,研究计算机审计,这是最终目的。基于此,运用计算机技术开展社保审计的途径,体现在三个层次:对社保系统管理的数据的审计、对管理社保数据的系统的审计以及对社会保障部门的联网审计。
(一)对社保系统管理的数据的审计
对社保系统管理的数据的审计,主要检查测试输入和输出数据的真实性、合法性和正确性,通过数据来确定社会保障部门的经济业务活动的真实性、合法性和有效性。下面,笔者就实施社保数据审计程序作一下探讨。
在审计组进点前,审计组应当熟悉社会保障部门信息化情况,了解社会保障部门所使用的计算机系统软件、硬件配置;所使用的财务及业务软件及其开发商,以及应用系统的基本功能;系统所使用的后台数据库类型;必要的应用系统数据接口;与应用系统相关的技术文档资料等,根据具体情况制订计算机审计实施方案,这就要求审计人员在掌握审计业务知识的同时,还应具备相应的计算机专业知识,如数据库知识、数据转换技术、数据分析处理技术等。方案的编制应遵循《审计机关审计方案准则》,包含计算机审计方法、使用的计算机软硬件配置、必须进行的测试项目、测试方法及所需技术条件、可能产生的风险评估等。编制好实施方案后,经审计组所在部门负责人审核批准后,由审计组负责实施。
审计组在了解和获取必要的信息、资料后,应当根据实际情况对社保信息系统环境下的内部控制制度及数据进行测试和检查。测试工作完成后,审计组应当根据审计实施方案建立计算机审计工作区环境,如安装合适的操作系统、数据库系统、必要的大容量硬盘及活动存储设备、需要进行组网审计的网络设备、必要的文件压缩工具、文件处理工具、审计工具软件的配备等,这些工作应在审计准备阶段完成。
审计组进点后,应调查了解社会保障部门电子数据处理环境的信息,包括社会保障部门具有电子数据处理职能的组织机构,计算机处理的集中与分布程度;由计算机处理的应用系统的各功能模块,处理的性质(如成批处理、联机处理)、数据保存策略、系统的维护;完整全面的应用系统开发、管理、维护等相关文档资料。在实施过程中,如有根据认为社会保障部门可能转移、隐匿、篡改、毁弃与财政、财务收支有关的电子数据、数据结构文档和其他资料的,应采取必要的取证措施。
实施计算机审计过程中,可以根据方案采用不同的审计方法,如采用导出数据离线、现场数据接入等审计方法等。导出数据离线审计方法应按如下步骤实施:1、审计组向社会保障部门提出详细的数据需求,如所需数据的数据库名、表名、字段名以及以何种数据格式进行导出等,数据导出格式应当能够被审计人员容易地进行转换和利用(如DBF格式)。所有数据需求应当以正式的文本方式交社会保障部门,作为获取社会保障部门应用系统数据信息的凭据。2、数据的获取须在审计人员的监督下,由社会保障部门人员或其聘请的人员按照审计需求提供。审计人员必须对采集取得数据的完整性、准确性及其数据格式进行检验、测试。3、数据获取后,审计人员根据所使用审计方法的不同,采用不同的数据转换技术对数据进行必要的数据转换,以便将数据导入计算机审计工作区。如将DBF格式、文本或其他格式的数据导入审计人员事先建立好的模拟应用系统进行操作,或导入审计人员已熟练掌握的数据库工具(如ACCESS数据库)中进行处理或将数据导入专门的审计软件进行处理等。4、数据转换后,审计人员按照实施方案,利用数据处理分析技术(如SQL技术)有针对性、有重点地进行数据处理和分析,揭示社会保障部门经济业务活动中存在的情况和问题。采用现场数据接入审计方式时,可以要求社会保障部门向审计人员提供具有系统查询权限的账号以进入社保信息系统,直接利用社保系统平台的各项功能开展计算机审计工作。
实施阶段结束后,根据计算机审计的结果,对社会保障部门数据处理系统的设计、运行和处理结果的可靠性做出客观评价,对于审计查证的问题形成审计工作底稿,如发现恶意利用计算机信息系统舞弊造成重大的违法违纪问题,提交计算机审计专题报告。
(二)对管理社保数据的系统的审计
对社会保障部门开展信息系统审计,可以发现系统存在的漏洞和问题,在规避审计风险、提高审计质量、拓宽审计领域方面具有重要的意义。
社保信息系统审计流程是指系统审计工作从开始到结束的整个过程,要经过计划阶段、实施阶段和报告阶段三个阶段。
计划阶段。主要是调查社保单位内部环境,初步评价内部控制制度,确定重要性,进行风险的分析与评估,收集整理系统技术文档资料,具体包括概要设计、详细设计、流程图、功能模块源代码、系统测试报告、使用维护手册、维护报告、日志、升级改版文档、立项审批资料等,制订审计方案,安装软件程序,与有关业务和技术人员沟通,熟悉业务功能。
实施阶段。首先实施符合性测试,流程如下:确定各个独立的社保系统和控制系统各自的目标;记录社会保障部门执行中的信息系统的控制系统,以及整体控制环境;证实所记录的信息系统和控制系统设计科学、运行有效;对控制系统进行评价,确定控制风险的估计水平;审核抽查结果确定是否符合规定的程序。然后进行实质性测试,关注控制、规则和算法的测试,采取询问调查与实地考察相结合的方法,具体检查软件文档、程序流程图、编码、运行记录与结果等。同时,采用手工和计算机相结合的方式,具体运用数据模拟检测等应用技术工具,分析处理逻辑,测试应用系统软件的合规性、正确性、安全性及有效性。
报告阶段。也称为社保系统审计完成阶段,综合收集的证据对信息系统进行总体评价,出具系统审计报告。报告中要说明社保信息系统审计范围、目标、期间和所执行的审计工作的性质和范围,以及系统审计结论、系统审计建议。此外,社保信息系统审计报告中还应指明系统审计所采用的依据和系统审计技术,以及与之有关的审计结果。
(三)对社会保障部门的联网审计
社会保障部门联网审计是审计机关运用现代网络和计算机技术,通过与社会保障部门的网络连接,对其经济业务活动进行监督的一种审计方式。它的建设目标是实现跨部门的联网审计,实现审计署提出的“预算跟踪+联网核查”的崭新审计工作模式,完成审计工作由事后审计向事中和事后审计相结合、由静态审计向动态和静态审计相结合、由现场审计向远程审计和现场审计相结合的三个根本性转变,是审计工作方式的一次革命。
社会保障部门联网审计具体建设以下方面:一是实现审计机关与社会保障部门的联网取数。数据采集时可以利用公用信息平台,定时或实时的从社会保障部门的服务器上采集数据。二是建立网上实时监控系统。通过网上实时查询,审计机关获取所需要的社保数据进行分析、检查和核对。三是搭建联网数据集中管理和作业平台(联网审计业务基础平台)。通过建立一个标准化、功能强、可扩展性、高度集成的软件工作平台,满足审计工作各类信息管理系统的互通协同,与 AO等各类审计软件数据交互的要求,为实现审计业务一体化管理模式打下基础,审计管理平台通过操作系统安全,数据库安全,网络安全,病毒防护,访问控制,加密与鉴别七个方面做好数据的管理。
综上,做好社会保障部门的联网审计要做到以下四点:一是电子数据联网采集和自动转换,解决审计人员使用A0等审计软件时采集和转换两大难题;二是能够对审计对象财务数据进行实时查询,实现审计署提出的审计工作的“三个根本性转变”;三是实行数据库管理,实现电子数据的规范化管理和资源共享;四是通过CA认证,更好地保证数据传输网络与传输过程的安全。
三、社保审计中运用计算机技术存在的问题
在信息化环境下,运用计算机技术开展社保审计带来了新的审计问题,主要有以下几个方面。
(一)社保计算机审计操作准则不完善
目前有关社会保障部门计算机审计操作准则还不完善,审计人员对审计工具了解不够,计算机专业人员又不熟悉社保业务,造成运行不稳定或审计分析计算偏差。因此,必须详细了解社保工作和社保审计的需求和特性、相关部门之间的数据关系和网络连接现状,根据实际情况设计出满足社保计算机审计操作准则。
(二)系统安全意识有待加强
由于信息化环境下社保系统的特殊性,内部控制转变为对人和系统两方面的控制,而且多数情况是以计算机自动控制为主。一旦系统的应用程序出错或被人非法篡改,就不能真实、完整地反映社会保障部门的状况,这增加了审计风险。另外,由于计算机系统故障风险的存在,社保信息系统的安全性方面也是亟需考虑的系统审计问题。如果采用了社会保障联网审计模式,在进行数据采集时,病毒、黑客的入侵随时可以威胁到社保数据安全和保密,因此,社保数据传输的安全性也是审计问题之一。
(三)审计风险不易控制
社会保障部门管理信息系统的更新增加了审计风险,由于信息系统模块是在不断升级更新的,所以审计时模块未必能代表整个审计期间的运行,如果仅以审计时的程序为依据下审计结论,则该审计存在以偏概全的风险。
(四)审计人员的素质有待提高
社保计算机审计是一项综合性审计,涉及的知识面较广,只依靠审计人员过去的知识和技能是难以胜任的。此时,审计人员不仅要掌握审计、财务、社保业务方面的知识,还需要掌握计算机系统分析技术、信息处理技术、数据库技术及网络等方面的知识。如果审计人员不同时具备这些知识,则在审计取证的过程中在进行人机对话时,很可能出现审计人员所得与所想的信息存在偏差,而这当中也可能隐藏了重要的审计线索,从而加大了审计风险。
四、解决社保审计中运用计算机技术存在的问题的若干对策
针对以上提出的社保审计中运用计算机技术出现的问题,结合实际情况,主要有以下对策。
(一)加强社保计算机审计法制化建设
规范计算机审计操作准则是控制和规避计算机审计风险的有效途径。尽管已有部分审计机关针对计算机技术在社保审计中的运用出台了一些准则,但社保大环境是不断变化的,必须根据社保环境的变化对规范社保计算机审计准则适时地进行修订。只有规范操作准则,加强计算机审计法制化建设,使审计人员开展工作时有法可依、有章可循,才能更好地指导审计人员开展社保审计工作。
(二)注重对社保信息系统内部控制的审计
健全的内部控制制度能够有效地维护资产和资源的安全,保证社保活动信息的完整、正确与可靠。强化对投入使用的社保信息系统进行事前与事中审计,注重对内部控制的了解,通过事前、事中审计,可以加强审计人员对社保信息系统的业务流程、信息的产生与传递及内部控制制度建立的完善与否有一个充分、深刻的认识,审计人员在调查社保系统内部控制情况时必须识别特定的信息处理与控制的关系,以及控制中可能发生的缺陷和薄弱环节。
(三)强化社保信息系统的安全控制评价
审计机关应检查是否严格执行社保计算机系统及环境安全法规与管理制度、网络硬件设备、网络应用软件是否可靠,用户管理设置是否合理,各种授权控制是否具有审计功能,网络传输数据是否加密,网络系统是否设置外部访问区域,是否建立防火墙,是否实时监控等。
(四)提高社保审计人员计算机审计水平
对社保审计人员进行计算机审计和信息系统审计培训,更新知识结构,提高审计人员现代科学技术和职业判断能力。在信息化高度发展的审计环境下,尤其要加强系统分析意识和数据库技术、数据处理技术和网络知识的学习,培养复合型的社保审计人才,以更好地适应审计环境变化,出色地完成审计任务。(山东省审计厅 济南市审计局:张庆功 李 鑫)