气象局发布:
计算中心管理内控制度审计
目前各级行业单位基本都成立了计算中心,计算中心已成为计算机审计的对象。对计算中心的审计,是计算机审计工作的重要任务。
1.计算中心主任职责的审计。计算中心是在单位主管领导领导下的一个独立的与其它处室平行的职能部门,计算中心主任是计算中心的主要负责人,直接领导着计算中心的工作,担负着重要使命。在开展审计时,主要看是否履行了以下职责:
(1) 以党的路线方针政策为行动指南,根据上级科技部门和单位主管领导的指示精神,认真贯彻科技工作方针政策,联系实际,协调科技部门与其它部门的关系,认真负责地向本单位提出科技事业发展的奋斗目标,为提高本单位科技发展水平,强化竞争手段,提高现代化管理水平,提高工作效率,实现业务处理现代化而努力。
(2)根据上级科技部门和单位主管领导指示精神,对计算中心工作实现计划、管理、组织、协调、控制、监督等职能。对下级行业单位计算站的工作进行领导、指示,负责下达工作任务,检查执行情况和结果,使本单位科技工作顺利发展。
(3)结合本单位科技工作发展的实际情况,不断总结经验,确定未来长、短期本单位计算机发展的战略规划,同时对近期工作的重点给予明确指示。在坚持正常基础工作的同时,不断开拓业务新领域。
(4)根据本单位科技工作发展的实际情况,制定本单位科技管理工作中应该遵守的规章制度,制定科技工作发展重点和科技工作总结。不断总结经验教训,推广先进经验,宣传突出成绩,针对科技工作发展中存在的问题制定出纠正错误和防止错误的行为规范。
(5)协调计算中心各科室之间的关系。下达计算中心内部各业务科室应该完成的科技任务指标。加强内部管理,建立档案资料系统。加强财务管理,对大型机器设备的购置认真论证。加强保卫工作。建立人才培养和调入计划,注重对科技人员成绩的总结和技术水平的提高培养。
(6) 加强对软件工作的管理。对于在各个行业工作的所有方面应用计算机,如单位主管领导决策系统管理,会计对公处理管理,资金、融资、管理临柜系统通存通兑管理,联行系统应用计算机管理等等,提出总体设想。听取软件科(或软件人员)工作汇报,健全技术资料档案系统,保证各项业务工作顺利发展。
(7)加强对硬件工作的管理。对于机器设备的正常运转、日常维护、安装及维修提出总体要求,听取硬件工作汇报,提高计算机设备的利用率和正常运转率,确保系统的正确可靠。
(8) 加强审计管理。检查机房设备是否处于安全状态,各种规章制度是否齐全,各级科技人员是否有违章操作的行为。各类软件程序是否符合会计、资金、融资、管理等业务处理规程。各种规章是否有利于业务正常发展。对审计工作的基本问题听取科技审计人员的工作汇报和意见,作出统一安排部署。
(9)加强通讯管理。对于通讯设备的正常运转,通讯器材的正常维护,通讯任务的完成听取通讯科工作汇报,作出指示。
(10)计算中心主任与副主任明确分工,协调合作,共同管理好行政业务。在共同管理中,努力钻研现代化管理知识和业务知识,不断提高管理水平。
(11)经常向上级科技部门和单位主管领导汇报工作情况,请示工作目标,在单位主管领导授权范围内,全面管理计算中心的有关事宜。
2.计算中心管理的审计
(1) 计算中心管理审计的主要任务。在稽查时,计算机审计人员应努力证实数据的精确性,交易完整性,处理结果的可靠性,控制制度的足够性,责任事故的可追查性等。计算中心审计是以主机操作手册、故障对策规定和计算中心的各项制度为依据,通过对机房、业务数据等方面的监督、检查,确定其是否合法、真实、完整,借 以纠正错误,防止弊端。
①观察、监督计算中心各项控制和管理制度极其执行情况,重点是监督内部控制制度的执行情况。
②稽查应用程序的发展、验收和安装工作以及投产后的运行、操作的安全性。
③稽查总结计算中心中心事故的经验教训。
(2) 运行管理的审计监督。对于已投入业务运行的系统,严格各项运行管理是保证系统运行安全的重要保证。因此,审计部门应监督主机房各项规章制度的执行情况。主控台全面真实地记录了运行的详细情况,主控台的画面信息应是计算机审计人员赖以监督的主要资料。每日的运行画面信息都得由打印机输出,审计人员据此信息进 行稽查监督。审计人员可根据画面信息和其它运行记录从以下几个方面开展审计:
①对日常操作程序的审计。对已投入正常业务运行的系统,要监督其是否制定建立了操作手册等定型操作程序和准则。若已建立就要据此审计操作人员在日常工作中是否严格执行了准则。根据画面和运行日志,核对、审查所有操作的合法性、真实性、完整性。
②对特殊操作的审计。特殊操作是指在日常业务中不可能出现或极少出现,而它的影响又很大的一类操作。它们包括:提前或推迟计息日期,数据移植,整理文件等与业务有关的非常规操作。在审计这类操作时,应稽查是否有主管人员盖章签名,审查对应操作权限等。
③故障操作的审计。为了确保系统的安全,首先应审计计算中心是否有故障对策措施,或相应的措施手册。审计人员根据措施手册进行审计监督。
④对日志的审计。日志是详细、真实地记录运行情况的书面报告,在审计时主要检查记录是否完整、真实,对于故障的记录是否详细等。
⑤数据文件备份的审计。为了确保运行系统的安全,应经常检查数据文件是否有备份。备份工作必须保证使系统在任何情况下都能根据备份文件迅速地将系统恢复到当前状态。备份文件应分开异地保管。
⑥输出报表的审计。电脑打印输出的报表记录着各种业务信息,审计时应注意审查输出报表的种类、项目是否合法,数据是否准确,有无擅自修改报表的现象。
(3)软件的审计。系统投入运行后,软件已经正常运转,这时对系统的微小变动,都完全有可能造成重大的故障。因此,审计时应检查软件的所有工作是否有控制,当必须作变动时,是否有履行变更的手续。
①程序库审计。为了防止不合理的修改、变动,计算机审计人员应定期检查程序库,发现有变动时,必须核对其是否与“系统修改记录”一致,每个项目填写是否完整,是否有主管人员签名盖章等。
② 应用软件维护的审计。应用软件的维护可分为一般维护和紧急维护。紧急维护是指系统运行中程序失败或产生了错误的结果,必须立即纠正。一般维护时,为了确保维护的正确与可靠及所有修改都合法,以防止非法变更的事件发生,在修改应用软件程序时应严格履行手续。对应用软件的审计有以下要点:
——修改前是否填制了系统维修记录,并有计算机中心主管人签名同意。
——是否对原程序做了备份。
——经修改的程序是否经过测试,是否有测试人签名认可。是否有计算机中心主管人员签名认可。
——是否有修改原程序存档资料,包括修改日期、内容、修改人和验收人姓名等。
——紧急维护时,事后是否有补办修改程序的一切手续。
③对业务文件的审计。审计对与非正常业务的作业,是否禁止对业务文件的更新,如若要执行需参照业务文件的作业是否有指定主管人员在运行日志上签名认可,并输出执行结果。
④非正常业务作业的审计。对于无条件进行单独测试,而必须在日常业务时间内进行的作业,是否有填写了上机申请表,并有批准人及值班人员签名同意。
(4)设备维护的审计。确保硬件设施的正常运行,是保证系统安全运转的重要条件,任何设备的损坏都可能造成数据丢失,甚至破坏系统运行。因此,审计人员必须根据硬件工作有关制度检查硬件设备的维护情况。
①点检保养制度的审计。点检保养是维护机器正常运转的主要手段,坚持每天点检可以及早发现机器的异常情况,争取将异常情况排除在工作开始之前。因此,必须审计点检制度的执行情况。
②对检修制度执行情况的审计。当机器发生故障时,是否按制度规定及时上报主管人员采取应急措施进行业单位管理、检修。在检修过程中,是否认真填写维修记录等。
③对其它维护制度的审计。如:是否坚持每天对机房进行除尘,填写日报表。对空调、电源、通讯设备、防火系统、重要仪器保管等是否定期检查和记录。
(5)对磁每体管理的审计。磁媒体包括磁带、磁盘和软磁盘。这些磁媒体保管的妥善与否,直接关系到系统的保密安全。因此,必须审计磁媒体的管理情况。
①保密性的审计。主要审计计算中心是否有专职管理员,所有在库磁媒体是否有详细记录,如名称、用途、规格、有效期等。是否有非法使用和越权使用的现象,磁媒体出入库是否手续健全等。
②可靠性的审计。主要审计磁媒体的环境条件,是否远离主机房。计算中心是否经常对磁媒体的质量进行检查,对需长期保存的磁媒体是否在质量保证期内进行了转储。
总之,计算中心是业务使用电脑的各部处所的信息中心,其安全性问题就成了计算中心的首要问题。确保系统安全就成了计算中心的重要任务,审计就是要监督计算中心是否按制度保证了运营安全。