近期,安阳市审计局召开全市网络安全和信息化建设审计调查工作推进会,交流讨论形成了“四对照”审计调查步骤,有助于进一步提升审计调查质效。
一是对照账目。审计组不是简单以被审计单位填报信息系统报表作为审计重点,而是调取相关年度被审计单位及二级机构的财务账目,利用数据分析功能,抽取与信息化和网络安全相关的凭证内容,锁定可能存在的信息,做到信息系统不漏项,信息化项目全覆盖。
二是对照资料。在完整收集信息系统基本信息并进行填报的基础上,围绕项目审查招投标、合同签订、等级测评等项目资料,对项目进行全面立体的了解,结合资金使用情况,对项目完成度进行评估。
三是对照项目。审计调查没有仅停留在账目和资料上,而是必须到现场对项目进行审查,对信息化项目进行细致了解。现场查看项目时,要求被审计单位专业人员操作,审计人员在旁边进行观察,分别以使用者、管理者视角对信息化项目进行访问、管理、查询等功能的操作,实地查看项目使用效果和效益。
四是对照制度。根据前三个步骤掌握的情况,关注各信息系统安全管理情况,特别是开展等级保护定级、备案和测评的完整度,以及各专业机构出具的等级保护测评报告中反映的网络安全风险的整改情况。同时对照各被审计单位网络安全责任制的完成情况,是否只有制度制定,没有依规执行,是否因制度执行不到位存在其他重大风险隐患。
据不完全统计,按照“四对照”审计调查步骤,已发现被审计单位未上报信息系统、信息系统使用率低、未落实网格安全责任制等问题。(起草人:霍健 审核人:秦志军)
