(郑州航空工业管理学院会计学院 河南郑州450015)
为了确保社保基金安全运营,加快社会保障法制建设的进程,完善和加强社会保障基金审计工作就变得十分重要。联网审计是一种新型的审计模式,与传统的审计方式相比,联网审计通过远程审计的应用,能够扩大审计范围,提高审计效率;通过监控和预警,可以减少违规操作现象。所以开发研究计算机审计技术,探索研究社保基金联网审计,对提高社保基金审计的质量和效率具有重要的意义。本文从信息化环境下的社保基金审计面临的困境入手,针对社保基金联网审计面临的问题,提出应对之策。
社会保障基金审计,是指审计机关对政府管理部门管理的和社会团体受政府部门委托管理的社会保障基金财务收支的真实、合法、效益进行的审计监督。社保基金联网审计就是利用计算机和网络先进技术,采用特定的传输和接收方式将社会保障、财政、税务部门等被审计单位的数据利用计算机和审计机关的计算机网络相连接。社保基金联网审计同传统的社保基金审计方式相比,其特点十分显著,那就是利用先进的计算机网络技术,实现不同地域间的远程的实时监控,借此来实现异地审计。具体表现在:第一,审计过程和传统审计的不同:联网审计需要被审计单位把财务信息数据上传到数据库。联网审计的过程其实就是数据收集、数据变换和数据查对三个环节的相连的过程。第二,社保基金联网审计实现了 “预算跟踪与联网核查”的相结合。与传统的审计方法相比,其最明显的优势主要体现在快速采集与准确转换相结合,采集数据和分析数据的效率有了极大的提高,通过监控和预警措施的实施,可以大大减少违规操作现象。第三,与传统审计相比,联网审计通过应用远程审计,能够扩大审计的范围,减少审计工作人员的工作量。第四,联网环境下的审计工作对审计人员信息化技能的要求提高,审计人员必须在掌握审计知识的同时,熟练掌握计算机技术。
社会保障中心的数据是保密资料,一旦泄露,会造成严重的后果和不可预计的损失。但是目前由于网络安全保障不够,网络资源的随意共享使社保基金联网审计面临的数据安全问题亟待解决。
在计算机环境下,以磁介质作为主要的存储载体是社保基金业务信息电子化的主要方式,这给了攻击者删除、修改原始财务数据的机会,而且不会留下删改的痕迹,这严重损害了业务数据,无法保护社保数据的真实性和完整性,审计风险也相应增大。现实中,数据遭到泄露和删改的原因不尽相同。有的因为联网审计系统的数据安全控制不到位,联网审计系统缺少监管,缺少授权机制,导致数据被修改、删除,以及非法操作等。也有一部分原因是审计单位没有严格遵守审计信息的保密规定,在数据采集阶段,没有做好数据的保护工作;在上传财务数据信息时,没有做好网络保障,致使财务数据信息外漏,进而导致有部分重要信息被不法分子窃取。还有一种情况就是审计人员的不当操作。由于信息化下的联网审计是新型审计方式,很多审计人员没有掌握联网审计的方法,不能熟练地使用联网审计系统,进而导致操作失误。也有审计人员在不熟悉业务的情况下擅自更改联网审计的计算机设置,导致联网审计操作系统遭到破坏,进而导致数据的丢失。此外,各种计算机病毒的侵害也威胁着联网审计的安全。
目前我国联网审计在社保基金方面的应用还处于探索阶段,至今尚未出台完整的专门的联网审计的技术规范,这给审计工作带来了诸多不便,既降低了审计效率,也影响了审计结果,难以达到预先设定的审计目标。
此外,虽然《审计法实施条例》规定了审计机关有检查被审计单位电子财务信息的权利,《审计法》规定了审计机关可以通过互联网来获取其所需的审计资料。但是如何从网上获取被审计单位的资料?获取资料的过程中有哪些需要注意的问题?联网审计软件如何应用?这些针对具体问题的技术规范目前还欠缺。而以往传统的社保基金审计的法律法规已经不能全面指导联网环境下的社保基金审计,虽然一些地方也试点推出了一些相关的规章制度,但也只是头痛医头,脚痛医脚,不能从根本上解决问题。缺乏相关的技术规范和法律法规,审计人员无法获取充分适当的审计证据,容易造成审计阻碍。
在传统的审计模式中,审计人员可以通过测试被审计单位的内部控制来验证内部控制运行是否是有效的。而在联网审计的环境下,审计人员无法对被审计单位内部控制运行的有效性进行有效的测试,对被审计单位内部控制的有效性有很大的依赖性。审计资料完全由被审计单位上传,其真实性只有在被审计单位内部控制的设计、运行有效的时候才有保障,也就是说如果被审计单位内部控制运行是无效的,那么其上传的资料也很可能是经过造假的会计信息,审计风险就会大大增加。另一方面,在联网审计的环境下,一些传统的有效的审计方式无法展开,比如:询问法、观察法、盘点法等。但是这些方法在审计中占有重要的地位,这些审计程序无法开展会严重影响审计的效果。
在信息化环境下,对审计人员的计算机技术有一定的要求。目前由于审计人员不熟悉计算机知识和网络技术,不能对联网审计软件熟练操作,同时对被审计单位的计算机硬件没有充分的了解,经常发生因个人原因导致的审计失败。如私自修改前置机的设置,越权操作财务数据,删除、修改被审计单位的财政财务数据信息。还有的审计人员对计算机病毒不够重视,对网络黑客的入侵没有及时采取防范措施,致使数据泄露或被删改。因此,当务之急是抓紧培养一支既具有良好财会审计知识又具备计算机技能的复合型审计队伍。
首先要建立数据安全控制规程。为了保证联网审计系统中数据的安全性和完整性,必须加强数据的安全控制,建立数据安全规程,对审计系统中的数据设置权限,只有经过授权才能进入审计系统访问业务数据。同时建立完善的计算机管理制度,例如设置会计资料的管理权限。
其次,建立数据采集的安全保障机制。审计人员不得被允许直接操作被审计单位的财务数据,审计单位上传财务信息时,必须采取保护性的防范措施,防止一切不法分子入侵。非数据上传的时间,也要加强安全和保密防范,被审计单位的信息系统和审计前置机之间不能交换信息。完善授权控制体系,防止非法的数据采集行为。在计算机上安装防病毒杀毒软件,保障网络安全,防止黑客入侵。
再次,在局域网的环境下,被审计单位要负责数据传输的安全。也可采用租用国家公共通讯网络,在一定程度上可解决数据的泄漏、删除、修改、截获等问题。
最后,加强数据存储的安全工作。如采取合理的备份,适度的数据恢复,防止非法的获取,防止误删等物理手段。
首先,完善并出台一系列关于社保基金联网审计的法律法规。审计机关应结合联网审计实践情况,争取立法机关出台关于社保基金联网审计的法律规范和规章制度,如《社保基金联网审计实施细则》、《社保基金联网审计管理实施办法》等制度。增强联网审计单位的法律意识,形成良好的法律环境。同时,审计机关也应该从建立完善的内部控制制度和优化外部坏境来加强社保基金联网审计的制度保障。
其次,建立社保基金联网审计系统的统一规范。首先要从社保基金联网审计系统的大局出发,对全国各地的社保基金联网审计的联网系统统一行为技术规范,对操作规范、审计流程、软件操作等方面制定细则,促进社保基金联网审计操作的统一化、规范化。
再次,加快社保基金联网审计体系标准化的建设。社保基金联网审计标准化进程分为三个阶段:首先,明确社保基金联网审计标准化管理的必要性。其次,为社保基金联网审计系统的运行制定具体的准则。最后,倡导审计单位和被审计单位落实规章制度。在软件方面,使用全国统一技术的社保基金联网审计的标准化软件,完善社保基金联网审计软件的研究开发和技术支持等;在硬件方面,社保基金联网审计的审计单位和被审计单位统一配备标准化的数据中心和计算机使用中心,以及全国统一的硬件设备。
发展审计业务网组网技术主要的解决方案有两个:第一,利用被审计单位现有的内部局域网资源组成审计的联网环境,通过局域网,传输数据并且共享资源,这种技术是联网审计组网方式中比较合理的一种,其不足之处是费用相对较高。第二,被审计单位端数据采集技术。这项技术包括四个方面,一是设置前置机,被审计单位的信息数据量不同,前置机的配置也不同。二是PC服务器的群集,服务器群集具有很多的优点,如费用小,扩充能力强,技术人员充足等,在联网审计中,审计端的数据处理大多都采用了服务器的群集技术。三是大中型计算机向PC服务器的数据信息的迁移。但是如果审计人员使用的PC计算机与数据库类型不同,则需要购买或者内部研究开发能够完成批量导入和导出的中间件。四是前置机审计模型。
在信息化环境下,不仅要求审计人员有过硬的专业技术知识和专业胜任能力,更要有过硬的计算机应用水平。所以,要提倡创新教育,强化联网审计技术的培训,提高社保基金联网审计的自主创新能力。审计人员要积极学习计算机知识,掌握联网审计的基本技术。有关部门要加强对审计人员的计算机技能培训和社保基金联网审计能力的培训。通过培训,提高审计人员的专业技术水平。另一方面,奖励先进的联网审计工作团队和个人,实行职务晋升、学习培训、评优评先等激励制度。