青岛市城市一卡通信息系统审计案例

项目摘要1审计过程和结论4审计目标、思路和重点3信息系统基本情况2内容一、项目摘要此次信息系统审计，是结合交通运输委员会（以下简称交通委）经济责任审计开展的，该项目的一个重要目标是，评价领导任职期间，所建设信息系统的安全性和有效性，进而发现其中存在的违规问题。审计时间为2011年2月21日至6月30月。交通委在用信息系统众多，为突出重点、确保审计效果，审计组有重点的择取了普通路桥收费系统和一卡通清算系统进行了审计。本案例主要介绍对一卡通清算系统的审计情况。一、项目摘要通过审计，我们发现了信息系统业务逻辑处理、系统接口控制等方面存在的14个问题，提出了加强业务管理、健全系统功能、强化安全控制等建议，促进被审计单位纠正了系统功能缺陷，提高了业务管理水平。信息系统审计结果纳入了对市人大的审计工作报告，并向社会公开。一、项目摘要其中，通过审计原公交卡向新一卡通过渡时的控制情况，发现部分人员通过在旧卡中虚假充值，然后利用一卡通系统未对旧卡卡内金额与账上记录的该卡内实际金额进行一致性校验的漏洞，采取直接退还现金或者将虚假资金转入新卡的方式，套取资金几十万元。目前已抓获部分涉案人员。一、项目摘要一、项目摘要为避免此类问题的继续发生，向被审计单位加强系统控制，严格比对卡内金额与系统中实际记录金额一致性的建议。项目摘要1审计过程和结论4审计目标、思路和重点3信息系统基本情况2内容二、信息系统基本情况青岛市政府为了整合各种公共信息资源、优化政府公共服务，实现“一卡多用，一卡通用”，启动了城市一卡通工程建设（以下简称琴岛通卡）。业务范围包括公共交通、公用事业、停车场管理、风景园林、校园卡、超市便利店小额消费等。二、信息系统基本情况琴岛通卡的制卡、发卡、充值、消费和清算等业务均依托琴岛通卡清算系统进行，系统的建设、运营、管理和维护主要由琴岛通卡公司负责，该公司是交通委控股的股份有限公司。二、信息系统基本情况琴岛通卡清算系统分为传输、安全认证、发卡、交易处理、结算处理、综合管理、物流、客户服务、数据维护等9个子系统。清算中心主机应用系统传输子系统行业分中心数据库充值网点代理单位营运单位交易处理子系统结算处理子系统综合管理子系统发卡子系统物流子系统客户服务子系统系统监控子系统数据维护子系统综合管理控制台客服终端监控控制台发卡控制台安全认证子系统物流服务器二、信息系统基本情况系统采用CS体系结构，后台数据库为Oracle，截至审计日，系统一期工程已完成并上线运行1年多，累计投资近2000万元，系统数据总量约为1.5T。5.效能提升建立并完善了组织管理、物理环境、网络安全、服务器及数据库、软件开发变更等方面的制度和管理措施，机房设施较为完善，能够基本满足当前业务需要。一般控制措施一是系统授权由计算机中心专人负责，用户建立及权限变更需要审批；二是对参数维护实施了相对严格的控制；三是制定了业务审核制度，重要业务需要审批后方可办理；四是对部分关键数据的输入做了规范性要求。应用控制措施数据未异地存储、缺少部分关键网络安全设备，影响了信息系统的安全，审计中应进一步关注。存在的问题采取了必要的控制措施，但仍存在一定不足被审计单位信息系统控制情况二、信息系统基本情况项目摘要1审计过程和结论4审计目标、思路和重点3信息系统基本情况2内容此次结合经济责任审计开展信息系统审计，目标是围绕“找出隐患、规范管理、促进完善”的总体思路，从有效性、安全性和经济性三个方面，探索“结合型”信息系统审计的路子。为促进被审计单位加强管理，保证资金的安全与完整，防范利用计算机系统进行欺诈和舞弊，提出切实可行的审计建议。三、审计目标、思路和重点“结合型”信息系统审计1、财务收支审计：摸清代收代付琴岛通卡资金的总体规模，核查财务管理中存在的问题。2、数据审计：从数据分析入手，发现数据异常特征，查找违规定问题，进而反推系统控制漏洞。3、系统审计：围绕业务流程，界定关键控制点后进行检查，发现系统控制缺陷，并进一步深入分析数据发现违规问题。三、审计目标、思路和重点以系统内控测评为基础，围绕业务流程，将财务收支审计、业务数据审计和信息系统审计几者相结合，由此及彼、互为支撑，共同完成对重要事项的核查。该单位信息系统复杂，数据量庞大，鉴于审计时间及审计力量所限，不可能对所有系统全面开展审计，需要有重点的择取。选择信息系统开展审计的3个原则：业务办理高度依赖的信息系统；审计风险可控，系统相对独立完整；系统复杂度与审计力量、审计时间匹配三、审计目标、思路和重点依据上述原则，确定对普通路桥收费系统实施应用控制审计，对琴岛通卡清算系统实施一般控制和应用控制审计。对后者的审计，也是今天要介绍的主要内容。对于一般控制和应用控制，审计人员在总体控制审计的基础上，合理界定了审计的关键领域和重要事项。三、审计目标、思路和重点项目摘要1审计过程和结论4审计目标、思路和重点3信息系统基本情况2内容详细了解信息系统的业务流程、核心功能和操作方法，并进一步对系统基本架构、后台数据做了深入分析，然后在此基础上，对方案中确定的审计事项和关注点进行核查。下面做详细介绍：四、审计过程和结论（一）一般控制审计一般控制审计主要围绕信息系统的安全性开展，对物理环境安全、主机安全（含操作系统）、数据库安全、开发采购、变更管理和灾难恢复等方面进行检查，发现系统安全控制中存在的风险。•1、审计思路通过调查表和测试表了解系统基本情况我们在借鉴已有成果的基础上，结合本项目实际设计系列定调查表，主要包括系统概况、组织管理情况、数据资源管理、系统环境安全管理、系统运行管理等方面。我们设计了4张测试表，通过深入分析各类表的信息，了解了系统的基本情况、初步明确了可能的风险点。•2、审计步骤（一）一般控制审计通过人员访谈、现场测试等方法，发现系统存在的安全隐患我们针对系统实际控制情况，询问相关部门人员，调阅系统技术资料，进一步了解系统安全状况。在此基础上，我们设计了详细的安全测试事项、明确了具体操作方法（windows,firework,oracle）。•2、审计步骤（一）一般控制审计通过人员访谈、现场测试等方法，发现系统存在的安全隐患在系统安全测试中，主机系统和数据库的安全性非常关键，需要全面掌握其安全状况，检查存在的安全漏洞。我们尝试采用了X-SCAN、榕基网络隐患扫描系统等扫描工具，对琴岛通卡清算系统服务器和关键终端设备进行扫描检测，分析扫描结果，发现安全控制缺陷，效果较好。•2、审计步骤（一）一般控制审计通过上述做法，发现了信息技术人员与业务人员职责没有明确分离；中心机房缺少必要的监控、报警设施；数据备份和恢复计划不明确，数据没有异地容灾措施；网络系统缺少入侵检测、漏洞扫描等安全设备，缺少必要的网络管理软件；部分服务器采用弱口令、数据库默认用户密码未修改等问题。上报告的问题。•3、审计发现的典型问题（一）一般控制审计了解系统功能（二）应用控制审计•控制矩阵法（6个步骤）梳理业务流程分析数据流程界定控制点设计测试矩阵实施检查界定出各个业务流程各个环节的控制点，即输入、输出、处理、接口等控制分别有哪些。从系统输入、输出、处理的角度，详细介绍各检查点的核查过程。（二）应用控制审计通过审查用户授权、关键业务处理，以及其他相关制度的健全性，评价信息系统访问控制是否发挥了应有的作用，能否有效的避免舞弊行为的发生，即非法访问是否能够被有效防止，不同岗位人员权限是否与其职责相匹配，业务流程审批控制是否严格按照有关规定进行设置等。•1、用户访问控制（1）审计思路收集整理访问控制相关制度规定，分析制度的健全性、合理性。结合制度规定，分析软件功能，掌握用户授权流程和方式，熟悉主要的业务审批环节和步骤。检查系统日志，以及日志审计记录，判断是否存在非法访问。结合人员花名册和岗位职责，检查权限设置是否合理。（一）应用级一般控制审计（2）审计方法和步骤•1、用户访问控制发现存在以下问题：发现部分用户口令为弱口令，生产环境中存在大量测试账号，系统审批日志记录不完整，个别关键业务环节缺少审批等问题。（一）应用级一般控制审计（3）审计结论•1、用户访问控制•2、数据输入控制审查系统输入权限、输入格式、输入范围以及自动处理等内容，分析系统是否对输入数据的完整性、正确性和唯一性进行了适当控制，判断系统能否确保输入系统的数据都经过授权，并且是完整和准确的。（1）审计思路（二）业务流程控制审计（二）业务流程控制审计（2）审计方法和步骤•2、数据输入控制研究政策，了解业务流程，访谈经办人员，界定出输入控制核查点。（二）业务流程控制审计（2）审计方法和步骤•2、数据输入控制针对控制矩阵中的以上输入控制点，采用软件测试和数据分析相结合的方式进行核查：一是采用测试用例法，设计测试数据，审查输入控制是否健全；二是检查后台数据，反推系统控制漏洞。（3）审计结论根据测试结果，提出该事项的审计结论。发现的问题在后面统一描述。（二）业务流程控制审计•2、数据输入控制•3、数据处理控制通过检查业务时序控制、合规性检验控制、合理性检验控制、参照检查控制等方面，分析系统是否采取了正确的控制措施，以保证输入计算机的业务被完整、准确地处理，不正确的业务是否被及时检测并拒绝。（1）审计思路（二）业务流程控制审计（二）业务流程控制审计（2）审计方法和步骤识别主要的数据处理控制点。研究政策，熟悉业务流程，确定出各功能模块处理逻辑控制检查点。•3、数据处理控制（二）业务流程控制审计（2）审计方法和步骤针对以上控制点，采取必要的程序和方法进行核查：•3、数据处理控制跟踪部分业务样本，分析是否存在错误或异常现象；采用综合测试法，在测试系统中建立虚拟单位和人员，模拟办理业务，通过检查处理结果，分析处理逻辑；采用数据验证法，将后台数据分析与系统测试结合起来，适当反推系统漏洞；必要时采用代码检查法，对部分核心代码进行检查（主要是存储过程），发现其中的问题。（3）审计结论根据测试结果，提出该事项的审计结论。发现的问题在后面统一描述。（二）业务流程控制审计•3、数据处理控制•4、应用接口控制通过核查接口数据提取、转换和加载的控制活动和措施，评价系统接口处理程序是否有效，发现存在的控制风险。同时还重点关注应实现接口但尚缺少接口的问题。（1）审计思路（二）业务流程控制审计（二）业务流程控制审计（2）审计方法和步骤•4、应用接口控制识别系统的应用接口，界定需要审查的重点。（二）业务流程控制审计（2）审计方法和步骤•4、应用接口控制检查接口数据传输机制，重点关注传输中是否存在数据遗漏或重复问题，能否确保源系统与目标系统数据的一致性。审查接口错误处理机制，重点关注2个方面：一是错误数据能否被及时隔离、拒绝；二是被拒绝的错误数据能否被迅速识别和纠正。（3）审计结论（二）业务流程控制审计•4、应用接口控制根据测试结果，提出该事项的审计结论。发现的问题在后面统一描述。（二）业务流程控制审计•5、其他内容审查审计中，还对系统输出控制等内容进行了核查，未发现问题，不再详细叙述。最后取证、编制底稿、撰写报告。由于受审计时间和人员力量所限，该项目中未涉及对信息系统经济性的审计，是这个项目的遗憾，也是需要提高之处。青岛市审计局各位领导、专家多提指导意见！