程俊春 罗学礼

(1.中国南方电网有限责任公司，广东 广州 510000;2.云南电网电力研究院，云南 昆明 650217)

1 前言

从电网技术发展和应用的角度看，智能电网将是新型现代化电网的建设方向，信息技术作为智能电网密不可分的组成部分，地位很重要。信息系统中存在操作轨迹不可见、操作流程缺失、数据非法篡改等问题。信息技术不仅要为主营业务风险控制提供保障，其自身的风险控制也应进一步强化。通过有效的信息系统审计，电网企业可以及时识别IT风险，完善控制措施。

2 IT审计的概念

IT审计，也称作信息系统审计，是独立于信息系统本身、信息系统相关开发、使用人员，由审计机构及审计人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。与信息安全相关的防火墙审计、安全诊断、信息技术认证以及系统上线评估等均属于信息系统审计的范畴。

2.1 电网企业IT审计的特点

1)信息系统涉及的业务面较广，不同的业务带来不同行业的法律规范要求。

2)信息技术管理的范围较广，复杂度较高，需遵守各相关行业法规的要求;各下属公司使用的信息系统存在差异，版本不一致。

3)信息技术整体规划不足，信息技术管理水平参差不齐。

4)当内部信息技术管理资源不足时选择信息技术运维外包，如果缺乏对供应商的有效监控会减弱自身对信息技术运维的控制力。

2.2 电网企业IT审计的目标

电网企业IT审计的目标是通过对被审计单位IT规划、建设、应用、服务以及安全等全方位的审计，评价信息化投资效益，充分识别与评估IT风险，达到强化IT内部控制的目的。

3 电网企业IT审计标准

1)信息系统审计与控制协会发布的COBIT(Control Object of Information related Technologies)将包含IT基础设施、IT应用、人员和信息四类要素的IT资源分配到信息系统生命周期的4个域、34个流程的控制中，并针对每个流程依据包含保密、完整、可靠、合规、效果、效率、可用等七个属性的业务目标分别定义了各流程的IT控制目标及活动目标。COBIT建议按照业务、信息系统整体、IT流程、流程活动的顺序自上而下的对业务目标进行分解，同时按照从流程活动、IT流程、信息系统整体、业务的顺序自下而上的进行指标的衡量，以保证及时发现并纠正IT控制中的偏差，确保IT控制与业务目标的一致性。

2)中国内部审计协会制定了《内部审计具体准则第28号——信息系统审计》，针对信息系统审计的一般原则、审计计划、风险评估、审计内容等做出了具体规范。电网企业在开展IT内部审计时可参考借鉴其中的审计内容及方法。

4 电网企业IT审计步骤

4.1 审计计划阶段

审计计划阶段需要初步评估被审计单位信息系统的风险，对信息系统的控制给出初步的评价，制定审计实施方案。IT审计方案应该包括被审计单位信息系统及内部控制现状分析、审计依据、IT审计的范围、审计工作的组织安排、审计风险评估、实施时间计划、IT审计方法以及审计协调与沟通机制等。

4.2 审计实施阶段

IT审计实施的过程要求识别被审计单位的控制活动，确定审计程序和测试方案，编制审计工作底稿。审计人员应根据既定的审计方案，结合专业知识，判断被审计单位是否按照相关法律法规、行业标准以及最佳实践的要求设计IT控制，并综合判断当前IT控制能否有效控制信息系统风险。

4.3 审计报告阶段

审计报告需要按照信息系统审计准则中有关审计报告的标准要求进行撰写，报告除了审计过程的基本信息外，需要包含对被审计信息系统的IT控制现状的评价，以及对被审计单位改进当前IT控制提供的建议。

5 电网企业IT审计内容

5.1 IT治理审计

主要包括信息部门管理架构、信息技术风险管理与监控以及制度建设等。

5.2 信息系统项目合同及资金审计招投标工作管理

1)查看招投标资质审查情况;审查招投标程序是否合法。

2)审查合同签订、执行情况。

3)审计项目资金是否按计划支付、是否按计划合理使用，结算款支付是否具备依据充分的结算资料和规范的审批程序。

5.3 IT运维审计

5.3.1 信息系统运维审计

系统正式上线前是否存在正式的交接和审批流程，审查提交材料的完备性，抽查可用性;是否实施了适当的备份和恢复机制，确保数据和系统能够在需要时进行恢复;是否对重要业务系统/数据进行定期的恢复测试，以确保备份数据的质量和系统的有效;是否对主要业务系统的备份介质访问存在包括授权在内的控制等;审查IT服务流程及IT服务管理系统的应用情况。

5.3.2 IT资产审计

统计IT资产情况;对IT涉及的投入、运维、资产、耗材等方面的会计核算按照企业会计核算管理办法进行合规性审计。

5.4 信息安全审计

1)是否成立了信息安全机构，是否明确了相关岗位的职责要求。

2)对机房场地、机房访问控制、防盗窃和防破坏、防静电和防雷击、防火和防水、温湿度控制、机房电磁防护、机房供电等方面进行检查。核心设备是否具备热备冗余能力，是否制定了网络设备的物理访问控制措施，是否对登陆源进行了限制，是否采用SSH、HTTPS安全加密的方式登陆管理，设备登陆帐号和密码是否符合帐号、口令管理规定和密码定期更换，是否停止空闲的端口(接口)，是否启用日志审计功能。

3)是否制定了数据访问控制措施，是否对信息数据进行分类、分级管理，是否采用加密或其他保护措施实现重要数据存储和传输安全，是否对磁盘、光盘、U盘和移动硬盘等移动存储进行安全管理措施，是否对各种信息技术数据资料等使用、审批、登记、报废记录。终端设备是否定期进行了安全漏洞检测和加固，是否设立密码等安全策略。

4)应用系统及数据库安全。

5)从安全、可靠、优质、业务连续性及经济方面检查和评价信息系统项目存在的风险，实施是否达到了预期效果，是否取得相应的效益。统计IT资本性投入、维护与维修费用、运行费用;审查分析IT设备的利用情况，各种设备是否得以充分利用，尽可能提高信息系统的经济效益;分析各岗位职能和人员的结构组成，是否采取有效措施，以充分调动各岗位人员的积极性，促使他们提高工作效率;通过分析和研究业务部门信息系统，是否存在重复建设，资源浪费;检查系统日志，统计系统的应用情况;统计主要业务系统建设周期、试运行时间、更新周期;分析业务流程的重组与信息技术的结合程度。

6 结束语

随着信息化建设与应用的不断深化，控制IT风险、保证信息系统稳定运行已成为电网企业紧迫的任务，这些都要求电网企业加大对信息系统的审计力度。目前，各级电网企业已尝试开展了IT审计工作，但仍处于摸索阶段，还有很多内容和问题需要研究解决。

［1］詹姆斯.A.霍尔.信息系统审计与鉴证［M］.北京:中信出版社，2003.

［2］孙强.信息系统审计:安全、风险管理与控制［M］.北京:机械工业出版社，2003.

［3］内部审计具体准则第28号—信息系统审计［S］.