关于铁路信息系统全生命周期审计的探讨
2015-05-30谭琪
谭琪
[摘要]铁路信息系统中存有很多重要的信息数据,而对该系统进行全生命周期审计的重要目的就是为了确保信息数据的准确性。所谓全生命周期审计就是指在信息系统建立之前、之中、之后都要进行审计,而不是针对某一阶段的审计,这样才能确保我国铁路信息系统的安全运行。文章首先对信息系统审计进行了阐释,其次对现阶段铁路信息系统全生命周期审计现状进行了分析,最后探讨了全生命周期审计策略,仅供交流使用。
[关键词]铁路信息系统;全生命周期审计;铁路企业
[DOI]1013939/jcnkizgsc201533080
1信息系统审计概述
现代各个行业都需要进行信息审计,以便国家进行宏观调控,同时也便于企业领导制定下一步的规划。信息系统审计并没有统一的概念,不同的学者站在不同的角度对其进行了阐释,但是大家都比较认可ISACA对信息系统审计所下的定义,即信息系统审计是一个过程,在这一过程中,相关人员需要获取证据,同时对证据进行评价,以此为依据来评判计算机系统中的数据是否真实可靠,其中所记录的资产是否安全等。信息系统审计主要包含三方面内容:首先,真实性审计,这种审计主要是为了补充传统审计,确保财务管理真实准确,杜绝假账的出现;其次,安全性审计,其针对的是信启以及资产,避免因为信息系统的问题,而为企业带来经营风险;最后,绩效审计,其针对的是投入与产出。这3个方向的审计实际上都是按照审计目标要求,来对证据进行详细的评价,最终得出相应的评价结果。信息系统审计所要达到的目标就是确保数据真实、合法、可靠,以此保证信息系统安全、保密、可用。审计目标贯穿于审计工作始终,是每个审计人员都要遵循的准则。
2现阶段铁路信息系统全生命周期审计的现状
21很多信息系统全生命周期审计只是事后审计
很多铁路信息系统审计人员,并不关注事前、事中审计,而是注重事后审计,这样难以发现问题,解决问题。现阶段我国在铁路信息系统审计方面,通常都是在信息系统建设完成之后才开展审计工作,尤其是绩效以及专项审计更加明显,这是事后审计。尽管事后审计也十分重要,但是只是单纯地依靠事后审计,必定会造成审计不全面,而且即使在审计过程中,发现了问题,也难以追根溯源,可能整个项目都会受到影响。但是如果能够在事前、事中就进行审计,发现问题之后,可以立即解决,对整个项目不会造成过于严重的影响。
22不注重信息系统运营维护期间的审计工作
因为受到信息系统固有特点的影响,其在整个生命周期之内,存有很大的安全隐患,经过调查显示,这些隐患通常出现在运营维护期间。信息系统的产生、发展、灭亡,这是一个全生命周期,其与其他行业最大的区别在于,信息系统投入使用之后,依然需要工作人员从事大量的工作,以便能够随时纠正软件错误,保证信息系统可以随时随地满足社会需求。相关数据显示,铁路信息系统在维护期间,所花费的成本几乎达到了整个项目的一半以上,但是纠正与修改,会影响信息系统的安全性,这对铁路经营有着更大的风险。因此做好信息系统运营维护期间的审计工作十分必要,既可以节约成本,也可以提高信息系统软件的使用年限。
23专业化程度不高
信息系统审计所使用的技术专业性并不强,因此很多审计人员在规定的审计时间内,并没有检查出特别有价值的东西。现阶段,我国铁路企业所使用信息系统通常都是大型网络数据库系统,此种类型的系统不仅规模比较大,而且设计程序十分复杂,审计工作者难以找到有效的信息数据。同时铁路信息系统在正式应用之前,会对其测试,因此正常的运营环境很难发现系统漏洞,而在铁路信息系统项目展开审计时,有一些项目未投产,不允许测试,所以审计人员难以发现系统漏洞问题。
3铁路信息系统全生命周期审计的策略
铁路信息系统全生命周期审计,需要与信息系统建设全生命周期有效地结合起来,但是因为信息系统之间的差异,也就影响了生命周期模型的选择,比较常见的生命周期模型有瀑布模型、螺旋模型、迭代模型。但是就铁路企业来说,所使用模型主要是瀑布模式,有些铁路所选择模型尽管不是瀑布模式,但是也是在其基础上演化而来的模型。本文正是以瀑布模型为阐释重点。
31系统研发设计阶段
这一阶段主要包括了总体规划、需求分析、系统设计、系统实现四个环节。这一阶段,有关人员需要进行总体规划,其重点工作就是项目立项,同时对项目是否具有可行性进行系统分析,总体规划可以说是整个铁路信息系统建设得以完成的初始环节,同时也是对风险投资进行控制的最为重要的环节。因其重要性以及特殊性,所以审计人员的工作就是对可行性研究进行审计,查看其是否科学合理,其所规定的投资决策是否具有科学性。需求分析针对的是用户需求,有关人员需要对用户的需求进行调节,以此依据其需求开发设计信息系统,这一环节审计工作的重点就是考察需求调研是否充分可靠,而依据用户需求所进行的开发是否具有准确性以及追溯性等。铁路信息系统的设计与实现环节,因为需要大量的技术工作,所以常常不会引起审计部门的重视,但是事实上,这一环节需要审计的内容有很多,比如信息系统研发应该遵循的标准。
32系统验收审计
系统测试除了进行功能测试外,还应包括审计关注的安全性测试、防灾应急预案的测试等。系统切换至关重要,关乎既有系统的安全,切换方案的周密和合理性应是关注的重点。审计人员还应对资产的移交进行审计,审核资产库中正式运行版本与源程序代码、技术文档、运营维护手册的一致性、完整性,以及知识产权的确认等,这些既是企业资产的重要组成部分,也是系统运营维护阶段必要的技术基础。
33系统运营维护审计
系统运营维护审计对应于系统正式运行后的运营维护阶段。这一阶段主要有两方面的工作,即纠错和改进。软件系统是一项复杂的人机系统,错误在所难免,需要通过修改予以纠正。另外,信息系统是由多种软、硬件系统集成的,任何一个系统发生改变,必将引起其他系统的相应修改,另外,随着信息系统的使用,也会不断产生新的业务需求,这就要求信息系统进行相应的修改。对已经过严密测试的既有系统进行改动,将会给其安全性、可靠性带来隐患,为避免和减少这种风险,系统维护审计责任重大。近年来,许多投产项目的维护费用已经超过了系统的研发费用,而且大有上升的趋势,因此对维护成本进行审计也很必要。
4结论
对铁路信息系统全生命周期审计进行探讨十分必要,因为我国早期使用的铁路信息系统无论是在设计、发展、维护等方面都存在非常大的问题。进行全生命周期审计之后,有很多问题都可以避免,这对促进我国铁路事业的发展有着积极的作用,同时也利于我国信息技术在铁路企业中的应用。
参考文献:
[1]程继冉,刘春萌企业管理中的信息系统审计研究[J].硅谷,2009(6).
[2]李汉文,刘杰某航空公司信息系统审计案例分析[J].会计之友(中旬刊),2010(9).
[3]张莉商业银行信息系统审计中的控制测试底稿设计[J].北京信息科技大学学报(自然科学版),2012(4).