国外审计动态.doc

国外审计动态 第期 （总第期） 审计署审计科研所 2016年月日 （2016年3月发布） 险：2015年“自助 美国宇航局：重大项目评估 车辆安全：加强新信息技术项目管理，有助于国家公路交通安全局检测汽车安全隐患 美国审计署审计报告要览 （2016年月发布） 务局（IRS）在征收税款、审核纳税申报和执行国家税收法律上担负着义不容辞的责任。它广泛依赖计算机系统，以支持财务和相关职责的履行；依靠信息安全管理，以保护这些系统中的财务数据和纳税人敏感信息。 在IRS 2015财年和2014财年财务报表审计中，审计署评估了IRS对重要财务和税务处理系统的控制能否确保财务和纳税人敏感信息的保密性、完整性和可用性。为此，审计署审查了IRS的信息安全政策、计划和程序，访谈了主要机构的官员，并对关键财务应用进行了控制测试。 二、审计发现 IRS在推进信息安全管理方面取得了进展，然而，管理方面存在的缺陷使他们在保护财务和纳税人敏感信息的保密性、完整性和可用性方面效果有限。在2015财年期间，IRS继续致力于确保纳税人敏感信息和财务信息的信息系统的安全。其关键点措施就是进一步限制访问重要财务应用系统的权限和继续在机构间实行多因素认证。然而，重大的控制缺陷依然存在，例如机构并不总是：（1）对识别和验证用户进行控制，如应用适当的密码设置；（2）适当限制访问服务器；（3）确保对用户敏感认证数据进行加密；（4）审查各项制度以确保符合IRS政策要求；（5）保证对限制领域的访问适当有效。此外，未打补丁和过期软件暴露了IRS的明显漏洞。 产生这些缺陷的一个根本原因是，IRS没有有效执行其信息安全计划的规定。该机构有一个全面的计划框架，如评估其系统风险，制定安全计划，并为员工提供安全意识和专业培训。然而，计划的某些方面未得到有效执行，例如，IRS没有更新关键主机的政策和程序，以解决全面审查和监控访问。IRS在确保对系统合理访问的授权程序中也没有包括足够的细节，甚至IRS不能保证所采取的许多纠正措施，对于解决先前发现的缺陷是有效的。例如，对于审计署先前提出的28个建议，IRS表示已经采取了措施，但有9个相关缺陷没有得到有效的纠正。 IRS只有采取补救措施：（1）应对未解决的和新发现的控制缺陷；（2）有效实施其信息安全项目的规定，包括更新政策、测试和评估程序，采取补救行动等，其财务和纳税人信息才能免于遭受因不恰当或未察觉的使用、修改或披露造成的危害。基于这些不足之处，审计署认为IRS在2015年的财务报告系统内部控制方面有明显的缺陷。 三、审计建议 除了之前提出的没有被采纳的建议，审计署建议IRS采取2个措施来更高效的实施与安全相关的政策和计划，即：（1）税务局局长应根据现行政策和指引，当系统或应用程序有重大更改时，及时更新系统和应用审计计划；（2）税务局局长应更新为IRS个人和信息系统提供网络基础设施服务的安全计划，以反映操作环境的变化。在一个单独报告中，审计署提出了43条行动建议，IRS可根据这些建议解决新的控制缺陷。 私人健康保险：2015年“自助型保险项目” 的联邦监管、保费收入和参保人数 一、审计背景 《患者保护与平价医疗法案》实施了自助型保险项目（COOP），该项目为23个COOPs提供贷款，以便为个人和小企业提供合格的健康计划。虽然该项目旨在提高竞争力，提高对成员的尽责能力，但是关于项目长期持续性和对健康保险市场造成的影响受到了质疑，尤其是还存在12个COOPs要在2016年1月1日或之前停止经营的情况。 2015年4月，审计署发布了第一份对COOP2014年的保险费、参保人数和项目贷款情况的审查报告。因为有一个COOP在2015年初停止了运营，审计署对COOP进行再次审计。审计署审查了：（1）医疗保险和医疗补助服务中心（CMS）如何监管COOPs项目的绩效和可持续性；（2）2014到2015年COOP保险费的变化情况，2015年与其他健康计划保险费的对比情况；（3）2014到2015年COOP参保人数的变化情况，2015年与预期的比较情况。审计署分析了来自CMS、国务院和国家保险委员会的保险费和参保人数，审查了CMS监管措施的相关规定、政策、程序和文件，同时访谈了CMS的官员。 二、审计发现 对于CMS监管的自助型参保项目（COOPs），23个CO—OPs中的12个在2016年1月1日或之前要停止经营。最初CMS的监管活动是从2012年对COOP提供贷款开始，重点关注COOPs作为项目发起人的进展以及对要求的符合程度。此后，CMS细化扩展了对COOP绩效和可持续性的监管。CMS官员采用参保人数和财务数据确定COOP的实际绩效与预期的显著差别。CMS的官员也对C