青岛市城市一卡通信息系统审计案例
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
审计风险可控,系统相对独立完整;
系统复杂度与审计力量、审计时间匹配
三、审计目标、思路和重点
依据上述原则,确定对普通路桥收费系统实施应用控制审计 ,对琴岛通卡清算系统实施一般控制和应用控制审计。对后者 的审计,也是今天要介绍的主要内容。对于一般控制和应用控 制,审计人员在总体控制审计的基础上,合理界定了审计的关 键领域和重要事项。
系统采用CS体系结构,后台数据库为Oracle,截至审 计日,系统一期工程已完成并上线运行1年多,累计投资近 2000万元,系统数据总量约为1.5T。
5. 效能提升 二、信息系统基本情况
一般控制措施
建立并完善了组织管理、 物理环境、网络安全、服 务器及数据库、软件开发 变更等方面的制度和管理 措施,机房设施较为完善, 能够基本满足当前业务需 要。
为避免此类问题的继续发 生,向被审计单位加强系统控 制,严格比对卡内金额与系统 中实际记录金额一致性的建议 。
内 容
1 2 项目摘要 信息系统基本情况 审计目标、思路和重点 审计过程和结论
3
4
二、信息系统基本情况
青岛市政府为了整合各种公共信息资源、优化政府公共服 务,实现“一卡多用,一卡通用”,启动了城市一卡通工程建 设(以下简称琴岛通卡)。业务范围包括公共交通、公用事业
内 容
1 2 项目摘要 信息系统基本情况 审计目标、思路和重点 审计过程和结论
3
4
一、项目摘要
此次信息系统审计,是结合交通运输委员会(以下简称交通 委)经济责任审计开展的,该项目的一个重要目标是,评价领导 任职期间,所建设信息系统的安全性和有效性,进而发现其中存 在的违规问题。 审计时间为2011年2月21日至6月30月。 交通委在用信息系统众多,为突出重点、确保审计效果,
内 容
1 2 项目摘要 信息系统基本情况 审计目标、思路和重点 审计过程和结论
3
4
四、审计过程和结论
详细了解信息系统的业
务流程、核心功能和操作方
法,并进一步对系统基本架 构、后台数据做了深入分析
,然后在此基础上,对方案
中确定的审计事项和关注点 进行核查。下面做详细介绍
:
(一)一般控制审计
•1、审计思路 一般控制审计主要围绕信息系统的安全性开展,对物理
3、系统审计:围绕业务流程, 界定关键控制点后进行检查,发 现系统控制缺陷,并进一步深入 分析数据发现违规问题。
三、审计目标、思路和重点
该单位信息系统 复杂,数据量庞大, 鉴于审计时间及审计 力量所限,不可能对 所有系统全面开展审 计,需要有重点的择 取。
选择信息系统开展审计的3个原则:
业务办理高度依赖的信息系统;
三、审计目标、思路和重点
以系统内控测评为基础,围绕业务 流程,将财务收支审计、业务数据 审计和信息系统审计几者相结合, 由此及彼、互为支撑,共同完成对 1、财务收支审计:摸清代收代付 重要事项的核查。 琴岛通卡资金的总体规模,核查
财务管理中存在的问题。
“结合型”信息 系统审计
2、数据审计:从数据分析入手, 发现数据异常特征,查找违规定 问题,进而反推系统控制漏洞。
环境安全、主机安全(含操作系统)、数据库安全、开发采
购、变更管理和灾难恢复等方面进行检查,发现系统安全控
制中存在的风险。
(一)一般控制审计
•2、审计步骤 通过调查表和测试表了解系统基本情况
我们在借鉴已有成果的基础上,结合本项目实际设计系 列定调查表,主要包括系统概况、组织管理情况、数据资源 管理、系统环境安全管理、系统运行管理等方面。我们设计 了4张测试表,通过深入分析各类表的信息,了解了系统的
基本情况、初步明确了可能的风险点。
被审计单位信 息系统控制情 况
采取了必要的控制措施,但仍存在一定不足
内 容
1 2 项目摘要 信息系统基本情况 审计目标、思路和重点 审计过程和结论
3
4
三、审计目标、思路和重点
此次结合经济责任审计开展信息系统审计,目标是围绕“ 找出隐患、规范管理、促进完善”的总体思路,从有效性、安 全性和经济性三个方面,探索“结合型”信息系统审计的路子 。为促进被审计单位加强管理,保证资金的安全与完整,防范 利用计算机系统进行欺诈和舞弊,提出切实可行的审计建议。
审计组有重点的择取了普通路桥收费系统和一卡通清算系统进
行了审计。本案例主要介绍对一卡通清算系统的审计情况。
一、项目摘要
通过审计,我们发现了信息系统业务逻辑处理、系统接口
控制等方面存在的14个问题,提出了加强业务管理、健全系统
功能、强化安全控制等建议,促进被审计单位纠正了系统功能 缺陷,提高了业务管理水平。信息系统审计结果纳入了对市人 大的审计工作报告,并向社会公开。
传输子系统
发卡子系统
发卡控制台
交易处理子系统
结算处理子系统
安全认证子系统
数据库
物流子系统
物流服务器
数据维护子系统
客户服务子系统
综合管理子系统
系统监控子系统
综合管理控制台
监控控制台
客服终端
琴岛通卡清算系统分为传输、安全认证、发卡、交易处理
、结算处理、综合管理、物流、客户服务、数据维护等9个子 系统。
二、信息系统基本情况
应用控制措施
一是系统授权由计算机中 心专人负责,用户建立及 权限变更需要审批;二是 对参数维护实施了相对严 格的控制;三是制定了业 务审核制度,重要业务需 要审批后方可办理;四是 对部分关键数据的输入做 了规范性要求。
存在的问题
数据未异地存储、缺少部分 关键网络安全设备,影响了 信息系统的安全,审计中应 进一步关注。
一、项目摘要
其中,通过审计原公交卡向新一卡通过渡时的控制情况, 发现部分人员通过在旧卡中虚假充值,然后利用一卡通系统未 对旧卡卡内金额与账上记录的该卡内实际金额进行一致性校验 的漏洞,采取直接退还现金或者将虚假资金转入新卡的方式, 套取资金几十万元。目前已抓获部分涉案人员。
一、项目摘要
一、项目摘要
、停车场管理、风景园林、校园卡、超市便利店小额消费等。
二、信息系统基本情况
琴岛通卡的制卡、发卡、充值、消费和清算等业务均依托
琴岛通卡清算系统进行,系统的建设、运营、管理和维护主要
由琴岛通卡公司负责,该公司是交通委控股的股份有限公司。
二、信息系统基本情况
营运单位 行业分中心 充值网点 代理单位
清算中Fra Baidu bibliotek主机应用系统