信息共享与业务协同审计—第3205号内部审计实务指南第四章第5节

2021-01-25

内部审计 IT审计 3205号文

一、信息资源目录体系测评审计

(一)业务概述

信息资源目录体系,是指组织以其统一的电子网络为基础,通过构建覆盖多级信息资源目录体系技术总体架构,采用元数据对共享信息资源特征进行描述形成统一规范的目录内容,最终提供信息资源的发现定位服务,支持大范围内跨部门、跨地区的普遍信息共享。

(二)审计目标和内容

检查组织的信息资源目录体系是否符合国家或行业的相关规范,是否较好地满足各类业务和管理需要。

(三)常见问题和风险

1、信息规划、部署过程中未设置信息资源目录体系。

2、目录体系设计缺乏整体性,未覆盖组织的主要信息系统。

3、目录体系的要素设计不全。

4、由于信息化建设缺乏长远和统筹规划,造成不同系统间形成彼此隔离的信息孤岛问题。

(四)审计的主要方法和程序

1、就组织目录体系的建立,检查在其信息系统构建过程中,是否进行了相应的规划以及实施,要求利用目录技术和元数据技术,以及其他网络技术,构造统一的信息资源目录管理系统。

2、就信息资源目录体系的规范性,检查其是否符合国家及行业规范标准的要求,是否符合本单位信息系统规划的要求。

3、信息资源目录体系技术构架是否包括信息库系统和目录服务系统;信息库系统是否包括了应用目录信息库、专业目录信息库、共享目录信息库、共享信息库、交换目录信息库、交换信息库;目录服务系统是否包括了目录编制系统、目录注册系统、应用目录系统、共享目录系统、交换目录系统、交换桥接系统。

二、信息资源交换体系测评审计

(一)业务概述

信息资源交换体系,是指按照统一的标准和规范,为支持跨部门、地域间、层级间信息共享以及协同而建设的信息服务体系。

(二)审计目标和内容

检查信息资源交换体系是否符合国家或行业的相关规范,是否较好地满足信息交换的需要。

(三)常见问题和风险

1、信息化规划、部署过程中未设置信息资源交换体系。

2、交换体系设计与目录体系缺乏一致性,未能充分运用和体现目录体系的构建结果。

3、交换体系设计缺乏整体性,未能覆盖组织的主要业务信息系统。

4、交换体系的要素设计不全。

(四)审计的主要方法和程序

1、检查在其信息系统构建过程中,是否进行了相应的规划,是否建立信息资源交换体系。

2、就信息资源交换体系的规范性,检查交换体系的技术架构是否与目录体系一致;对于组织的信息资源交换体系,检查其是否符合国家及行业规范标准的要求,是否符合本单位信息系统规划的要求。

3、评价信息资源交换体系的实施效果,交换体系技术构架是否包括信息资源的业务应用、信息共享、信息交换三部分内容及相应实现方式;信息共享技术架构、信息交换技术构架是否包括了信息库系统和共享服务系统。

三、元数据和主数据测评审计

(一)业务概述

元数据是关于数据的数据,其用于描述信息数据集的内容、质量、表示方式、管理方式以及数据集的其他特征,是实现数据集共享的核心内容之一。

(二)审计目标和内容

检查组织系统中的元数据和主数据是否符合国家、行业或者组织的相关规范,是否较好地满足信息系统建设、应用和共享的需要。

(三)常见问题和风险

接受审计的组织未开展元数据标准化工作,系统间的数据无法共享和交换。

(四)审计的主要方法和程序

1、检查组织在其信息系统构建过程中,是否按照国家及行业相关规范对元数据进行了规划,是否包含必选的元数据实体和元数据元素。

2、检查组织各部门提供的元数据是否符合标准要求;是否按照标准建立核心元数据库,进行管理和发布。

3、检查组织是否按标准要求扩展核心元数据,并形成元数据扩展文档。

四、数据元素和数据库表测评审计

(一)业务概述

数据元素是数据的基本单位;数据库表则是数据元素的集合,其包含结构化数据和非结构化数据。因此,在组织的信息系统中,只有数据元素和数据库表遵循统一的规划进行规划、设计、运行,才能实现信息的交换和共享。

(二)审计目标和内容

检查数据元素和数据库表是否符合行业或组织的相关规范,是否较好地满足信息系统建设、应用和共享的需要。

(三)常见问题和风险

1、数据元素和数据库表的规划与交换体系、目录体系缺乏一致性,未能充分运用和体现目录体系、交换体系的构建结果。

2、各信息系统的数据元素和数据库表规划不统一,不具备共享和交换基础。

3、数据元素和数据库表的要素设计缺乏全面性。

(四)审计的主要方法和程序

1、确认组织在其信息系统构建过程中,是否按统一标准对数据元素和数据库表进行了规划,并遵循规划实施。

2、就数据元素和数据库表的一致性,检查组织对数据元素和数据库表的规划,是否符合目录体系和交换体系的要求;及其各系统中数据元素的编码规划、表示方法是否一致。

3、就数据元素和数据库表的规范性,检查数据元素的标识符、数据元素的名称、数据元素的说明、数据元素的表示、数据元素的英文名称、数据元素的短名、数据元素的注释等要素是否齐全,是否符合国家统一规范;数据库表中是否包含了资源名称、资源摘要、资源负责方、资源分类、资源标识符和数据项说明6个必选的实体和元素。

五、内部数据和外部数据测评审计

(一)业务概述

内部数据是组织信息系统运行时产生的包括预算管理、会计核算和相关业务的数据,主要反映组织运行和管理情况。外部数据则是组织为履行其职能或实现经济业务活动而从其他单位获取的数据。该测评指标是基于信息共享和交换的需要而设计,更多地从内外部数据获取方式、相互间是否可印证等方面来确认数据的质量。

(二)审计目标和内容从完整性、真实性和正确性三方面:

1、检查获取的内部数据是否涵盖了被审计单位预算管理、

会计核算和相关业务的主要方面;获取的外部数据,是否包括了被审计单位履行职能或者实现经济业务活动需要的主要数据。

2、在信息系统业务流程控制审计,数据输入、处理和输出控制审计中,通过相应的审计程序和方法,已可基本确认被审计单位内部数据的真实性。在内部数据和外部数据测评中,是通过内部、外部数据的相互印证,以进一步确定数据的真实性。

3、通过内、外部数据的比对,确认数据之间不存在重大不相符或歧义现象。

(三)常见问题和风险

1、外部数据的获取渠道和方式存在问题,与内部数据出现重大分歧和不一致。

2、通过外部数据验证,发现内部数据的完整性、正确性和真实性存在问题。

3、通过内部数据的验证,发现外部数据的可信度和准确度较低。

(四)审计的主要方法和程序

1、就内、外部数据的完整性,检查组织的内部数据是否涵盖了被审计单位预算管理、会计核算和相关业务的主要方面;组织履行职能或者实现经济业务活动是否需要外部数据,是否以恰当的技术手段获取。

2、就内、外部数据的真实性,检查内部数据是否经过了业务流程控制审计,数据输入、处理和输出控制审计等程序,是否能确认数据的真实性;外部数据的提供部门是否值得信赖;外部数据获取的技术方法是否恰当。

3、就内、外部数据的正确性,检查内、外部数据是否相互可验证;抽查内、外部数据,相互验证结果如何;内、外部数据之间是否有重大不一致。

六、信息资源标准化测评审计

(一)业务概述

信息资源标准化是组织实现信息共享和交换的前提。组织各下属单位、各部门的信息系统只有按统一的标准建设和运行,才能实现共享与交换。因此,该指标用于测评被审单位信息资源的标准化程度。

(二)审计目标和内容

检查信息系统是否建立了满足信息共享和业务协同的信息资源标准和规范,是否执行了国家或者行业的标准化要求,是否为推进经济业务活动的共享协同提供了有效支撑。

(三)常见问题和风险

1、组织未开展信息资源标准化工作,各信息系统之间的数据无法实现共享和交换。

2、被审计单位信息资源标准化工作缺乏规范性或科学性,导致信息系统之间数据共享和交换效率低下,甚至出现错误。

(四)审计的主要方法和程序

1、就信息资源标准化建设,检查组织是否建立了信息资源标准化规范;被审计单位在信息化工作中,是否按照相关标准化规范建设信息系统。

2、就信息资源标准化的规范性,检查是否执行了国家或者行业的标准化要求。

3、检查信息资源标准化的效果,计算相关应用比重。

七、公共基础信息建设测评审计

(一)业务概述

公共基础信息建设,是指组织履行职能或者实现经济业务活动,需要利用人口、法人、空间地理等公共基础信息。

(二)审计目标和内容从真实性、完整性、合规性和连续性四方面,检查:

1、公共基础信息建设项目确实存在,项目的立项申请或者备案确实发生,不存在虚假项目或者以备案名义变相审批的情况。

2、所获取的公共基础信息是否涵盖了组织利用该信息履行职能或者实现经济业务活动需要的主要数据,是否满足组织履行职能或实现经济业务活动的特定时间段需要。

3、公共基础信息的获取,是否来源于该信息产生或发布的合法、权威部门,是否履行了获取该信息的相关手续;获取的公共基础信息中是否含有信息产生、发布部门的敏感数据;公共基础信息的存储是否遵循了国家信息安全相关制度、标准及规范。

4、是否建立了与信息产生或发布部门的定期获取共享信息的制度。

(三)常见问题和风险

1、立项申请项目不符合国家和行业的相关规定与规划。

2、公共基础信息建设获取的信息不够完整,对组织履行职能或者实现经济业务活动的支撑不够完整。

3、项目主管部门对立项申请项目的审批或审核不符合国家相关规定和规划。

(四)审计的主要方法和程序

1、就公共基础信息建设的真实性,检查组织的公共基础信息建设是否存在;若建设项目确实存在,项目的立项申请或者备案确实发生;若公共基础信息建设项目属于续建项目,该项目确实具有续建的必要性。

2、就公共基础信息建设的完整性,检查获取的公共基础信息是否涵盖了组织利用该信息履行职能或者实现经济业务活动需要的主要数据;获取的公共基础信息是否满足组织履行职能或实现经济业务活动的特定需要。

3、就公共基础信息建设的合规性,检查公共基础信息的获取是否来源于该信息产生或发布的合法、权威部门,是否履行了获取该信息的相关手续;获取的公共基础信息中是否含有信息产生、发布部门的敏感数据;公共基础信息的存储是否遵循了国家信息安全相关制度、标准及规范。

4、就公共基础信息建设的连续性,检查组织是否建立了与信息产生或发布部门的定期获取共享信息的制度;所获取公共基础信息的实际行动是否与信息产生或发布部门定期进行。

八、其他共享信息建设测评审计

(一)业务概述

组织履行职能或者实现经济业务活动,按照国家或者行业确定、或者与其他部门协定需要向其他部门提供其所需的共享信息。需要按照国家、行业或者协定的共享信息标准规范组织建设,建立共享信息的管理制度和机制,具有较为完备的信息系统实现功能,支持其他部门的信息共享与业务协同。

(二)审计目标和内容从真实性、完整性、合规性和连续性四方面,检查:

1、其他共享信息建设项目确实存在,项目的立项申请或者备案确实发生,不存在虚假项目或者以备案名义变相审批的情况。

2、提供的其他共享信息是否涵盖了其他共享信息履行职能或者实现经济业务活动需要的主要数据,是否满足其他部门履行职能或实现经济业务活动的特定需要。

3、产生和发布是否履行了提供该信息的相关手续;提供的其他共享信息中是否含有敏感数据;存储是否遵循了国家信息安全相关制度、标准及规范。

4、组织是否建立了与信息需求部门的定期提供共享信息的制度;提供其他共享信息的实际活动是否与信息需求部门定期进行。

(三)常见问题和风险

1、立项申请项目不符合国家和行业的相关规定与规划。

2、其他共享信息建设提供的信息不够完整,对信息需求单位履行职能或者实现经济业务活动的支撑不够完整。

3、项目主管部门对立项申请项目的审批或审核不符合国家相关规定和规划。

(四)审计的主要方法和程序

1、检查组织的其他共享信息建设是否存在;若建设项目确实存在,项目的立项申请或者备案确实发生;若其他共享信息建设项目属于续建项目,该项目确实具有续建的必要性。

2、检查提供的其他共享信息是否涵盖了其他部门利用该信息履行职能或者实现经济业务活动需要的主要数据;提供的其他共享信息是否满足其他部门的履行职能或实现经济业务活动的特定需要。

3、检查是否履行了提供该信息的相关手续;获取的其他共享信息中是否含有敏感数据,存储是否遵循了国家信息安全相关制度、标准及规范。

4、检查组织是否建立了与信息需求部门的定期提供共享信息的制度;提供其他共享信息的实际行动是否与信息需求部门定期进行。