关于科研生产企业信息系统审计的探索与实践
2014-03-27颜晓玲
颜晓玲
摘要:信息技术与经营管理的高度融合使科研生产企业的审计环境和审计对象发生了巨大变化,在科研生产企业内部开展信息系统审计有着重要的理论与实践意义。本文简述了科研生产企业开展信息系统审计的背景,并基于PDCA循环理论提出了审计整改全寿命工作法,探讨了在科研生产企业信息系统审计中运用该方法的思路和实践。
关键词:信息系统 审计 全寿命工作法
一、前言
科研生产企业内部管理中综合集成了各种信息系统,涵盖R&D管理、过程管理、质量管理、产品管理、财务管理和综合管理等多个方面。为了适应科研生产管理高度信息化的环境,推动信息系统审计势在必行。
2008年财政部等五部委联合发布的《企业内部控制基本规范》指出:“企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行”。2011年出台的《审计署“十二五”审计工作发展规划》指出,要“积极开展信息系统审计”,以实现控制目标。科研生产企业自身高度的信息化应用需要,要求内部审计部门运用信息技术开展信息系统审计,评价组织关于信息技术的管理目标是否实现。内审部门应对庞大的“待审计业务数据”进行挖掘、分析、判断、评价和鉴定,发挥其在防范风险、强化管理和提供增值服务中的作用。
目前,国内外先后发布了不同成熟度的信息系统审计相关文件,为开展信息系统审计提供了帮助和指引。国内主要包括两项准则,一是2008年中国内部审计协会颁布的《内部审计具体准则第28号——信息系统审计》,为内部审计机构及人员开展信息系统审计活动提供指引;二是审计署2010年颁布的《中华人民共和国国家审计准则》(第8号令)中与信息系统检查和审计相关的若干条款。国外以信息系统审计和控制联合会(ISACA)制订发布的信息系统审计和评价标准(COBIT)最为典型,该文件包括审计标准、审计指南和作业程序三个部分,指导组织有效地利用信息资源和管理与信息相关的风险。
目前,国内关于科研生产企业开展信息系统审计的研究较少,希望本文的方法和思路能起到抛砖引玉的作用。
二、基于PDCA循环的审计整改全寿命工作法
(一)方法的提出。PDCA循环理论由休哈特提出,是全面质量管理的基本方法,也称为“戴明环”,包括计划、实施、检查和处置四个阶段,适用于任何有目的有过程的活动。本文借鉴PDCA循环的思想,提出审计整改全寿命工作法,设定审计计划、审计实施、审计评价、后续审计四个闭合循环的阶段,审计质量控制贯穿全过程,具体内容如图1所示。
(二)方法的应用思路。
1.审计计划阶段。主要包括审前调查、信息系统基本情况的收集和信息系统相关制度文件的审阅等。此外,还应依据计划编制详细的信息系统审计工作方案,确定审计内容、步骤、方法,制定并送达审计通知书等。在本阶段,相关责任人要全程监督审计工作安排,审核审计工作方案是否满足审计目标要求,了解并考虑企业战略目标、信息技术的依赖程度、信息技术管理的组织架构、信息系统框架、信息系统及其支持的业务流程的变更情况、信息系统的复杂程度等特定内容。
2.审计实施阶段。完整的信息系统审计通常涵盖三个层面:一是组织层面信息技术控制,指企业管理层对信息技术治理职能及内部控制的重要性的态度、认识和措施,审计人员要关注与信息系统相关的控制环境、风险评估、信息与沟通、监控四个方面的控制要素;二是信息技术一般性控制,指与网络、操作系统、数据库、应用系统及其相关人员有关的信息技术政策和措施,审计中应考虑信息安全管理、系统变更管理、系统开发和采购管理、系统运行管理有关的控制活动;三是业务流程层面相关应用控制,指在业务流程层面为了合理保证应用系统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制,审计中应考虑与数据输入、数据处理以及数据输出环节相关的控制活动。审计过程中,可以综合采用询问、观察、审阅文件和报告、通过穿行测试追踪交易在信息系统中的处理过程、验证系统控制和计算逻辑、登录信息系统进行系统查询等审计方法。信息系统审计的项目负责人应当既具有IT背景又具有内审专业技能,在实施审计过程中建立审计复核机制,检查审计底稿和相关证据,掌控项目进度,确保审计工作质量和效率。
3.审计评价阶段。进行评估时,获取的审计证据必须充分可靠相关,以支持审计结论。审计人员运用专业判断,对审计证据进行分析、撰写征求意见稿、征求有关部门意见、形成审计报告、下达审计意见或审计建议书。审计报告作为审计的最终结果非常重要,审计项目负责人要从重要性和增值性两个方面认真讨论确定审计报告,保证审计报告的高质量。重要性指审计发现对企业内部控制的影响程度;增值性指审计建议是否恰当、有意义,是否有助于提高审计对象效率效果。
4.后续审计阶段。即对信息系统审计已报告的缺陷和建议所采取行动的完整性、效果性和时效性跟踪检查的过程。一般和下一次信息系统审计融合在一起进行,从而形成审计流程的闭合式循环。审计结果整改情况应纳入企业绩效考评体系,保证审计整改工作质量。
三、应用审计整改全寿命工作法开展信息系统审计的实践
某科研生产企业信息化程度较高,目前使用的信息系统为涉密信息系统,有上千个终端用户,数百个业务工作流程,数十个业务系统,采取单点登陆、统一身份认证,部署相关审计系统的方式运行。由于该信息系统涉密等级较高,用户数较多,系统组成复杂,对开展信息系统审计提出了较高要求。本文按照审计整改全寿命工作法的工作思路,进行了信息系统审计的实践和探索。
(一)计划阶段。由具有信息系统研发背景和高级工程师资格的专家担任组长,并从企业内部信息技术部门抽调专家,组建一支包括信息技术及内部审计人员在内的专业队伍。该科研生产企业建立了比较完备的信息系统管理体系,对信息系统安全运行和管理有明确具体的要求。审前组织学习研究该企业的信息系统管理制度、行为规范制度、安全控制策略、内部控制制度体系等文件,将这些制度的相关要求作为审计依据,制定信息系统专项审计工作方案。明确重点审计内容为对信息系统的逻辑访问与物理安全控制,包括系统输入控制、用户行为控制和访问权限控制三个方面。同时,获取企业管理层和信息系统管理部门的支持。
(二)实施阶段。在该科研生产企业已经建立的信息监控系统的基础上,采取专项审计的方式,对于企业的行为监控系统、权限审查系统开展信息系统审计,这也是本次审计工作的重点。该单位在设计信息系统监控系统时,采取了B/S结构,在终端计算机上安装客户端,后台运行自动记录用户行为,利用SQL Server数据库对用户数据进行存储。在SQL Server数据库中,管理各种安全策略、系统运行参数、网络客户端设备信息、报警和日志。系统前台使用WEB浏览器方式,进行系统策略设置、系统维护等操作,各种日志记录和报警信息在这里显示。审计系统可提供完整的用户行为日志,该企业基于日志数据开展系统安全策略配置、违规介质使用、病毒情况、信息输入输出、文件打印、用户终端网络访问等审计工作。审计人员根据用户操作行为日志,综合应用询问、数据采集、穿行测试、控制测试和分析等审计方法,获取有效的审计证据,并对重要发现及时与有关各方沟通。
(三)评价阶段。审计人员根据审计发现和审计工作底稿撰写审计报告,就完善制度、制度执行、系统建设、安全策略适当性等提出审计建议,提交管理层审批后交信息系统管理部门整改完善。
(四)后续审计阶段。根据信息系统管理部门整改完成情况,对审计发现的缺陷和提出的管理建议进行后续审计。从近期已实施的4次审计情况看,日志数据的抽样异常率从第一次的12%下降到1%。
四、结束语
通过应用审计整改全寿命工作法,组织实施信息系统专项审计,报送审计结果,督促落实整改,为完善规章制度、发现并减少用户异常行为,防止非法操作,确保信息系统安全有效运行提供了有力的保障,但也对内部审计人员的学习能力和信息技术专业胜任能力提出了较高要求。利用审计整改全寿命工作法开展企业信息系统审计是一个不断探索、改进和提高的过程,在诸如如何进一步划分各阶段工作界面、如何开展对信息系统其他各业务子系统的审计等方面还需要结合企业实际进行进一步探索与研究。X
参考文献:
1.胡克瑾.IT审计[M].北京:电子工业出版社,2004.
2.刘辉.PDCA过程方法在企业管理中的应用[J].信息技术与标准化,2007,(6).