《信息系统审计的透视与思考_基于广州地铁IT审计案例的分析.docx》由会员分享,可在线阅读,更多相关《信息系统审计的透视与思考_基于广州地铁IT审计案例的分析.docx(8页珍藏版)》请在第一文库网上搜索。
1、信息系统审计的透视与思考基于广州地铁IT审计案例的分析覃宪姬陈瑜佟柱目前,关于信息系统审计,学术界和实务界均无通用的定义。美国信息系统审计权威专家r提出:信息系统审计可定义为通过一定的技术手段收集、分析证据,以对计算机系统是否能够保证资产平安、维护数据完整、实现组织目标以及高效利用资源进行评价的过程。日本通产情报协会作了如下定义为了信息系统的平安、可靠与有效,由独立于审计对象的信息系统审计师以第三方的立场对以计算机为核心的信息系统进行综合检查和评价,并向信息系统审计对象的最高领导者提出问题与建议的一连串活动国际信息系统审计和控制协会(ISACA)的定义为:信息系统审计是一个获取并评价证据,以判
2、断计算机系统是否能够保证资产的平安、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。针对以上观点,我们将其要点归纳如下:信息系统审计是审计师.对以计算机为核心的信息系统,18过专业判断和评价,合理保证信息系统平安、稳定、有效,并向信息系统的高层管理者及使用者提供问题解决方案,以到达改善经营和为组织增加价值目的的一个过程。本文主要以分析广州地下铁道总公司(以下简称“广州地铁)IT审计案例来对信息系统审计进行透视与思考。一、广州地铁信息系统审计的开展及现状1997年,广州地铁开始公司“信息化建设。2002年,管理公司核心业务的ERP(企业资源方案)制MAXIMO(维修管理)系统正
3、式上线运行,公司的财务业务开始在信息系统中进行操作和管理。在此阶段,公司经营审计采用“绕过计算枷审计”的方法,即通过ERP系统荻取财务账务信息进行审计。审计过程中,逐渐意识到了运用这种“黑箱原理审计方法的风险。因此,自2006年来,公司组建了专门的IT审计模块,探索如何“利用计算机审计和“通过计算机审计,经历了借力、助力和自立三个阶段。(一)借力期IT审计模块成立初期,广州地铁公司与外部审计参谋共同完成了“广州地铁IT审计咨询效劳工程”,首次对公司企业资源管理系统(ORAC1EERP)维修管理系统(MAXIMO)和自动售检票系统(AFC)三大系统进行审计,在向审计人员传输IT审计技能的同时,制
4、定了?广州地铁IT审计实施细那么?在人员技能储藏和制度上为IT审计模块的开展奠定了根底。(二)助力期随后,公司审计人员参照审计手册,利用从外部参谋处学习到的审计技能,逐步开展信息系统审计工作,将IT审计工作模式调整为以自身力量为主、外部咨询效劳为辅的模式,先后开展了广州地铁广告经营管理信息系统审计,运营票务收入保障审计等审计工程。在审计工程中,累积信息系统的审计经验,培育IT审计人才。(三)自立期2023年,广州地铁IT审计己基本实现自主化,并开始尝试对多管理模块集成的信息系统进行审计,先后独立开展了资金集中管理有效性审计、合同管理系统审计、固定资产管理相关信息系统审计等一系列IT专项审计工程
5、。广州地铁的IT审计模块逐步走向成熟。在参考业界信息系统审计理论和指导原那么的根底上,结合广州地铁公司实际,广州地铁建立了具有自身特色的信息系统审计框架。目前,IT审计已经开展成为广州地铁内部审计的一根“支柱,连内部审计信息化同“内控审计,作为根本的审计手段贯穿于各类专业审计工作中,支持审计体系的稳固与开展。广州地铁公司以IT审计与内控审计为支撑,工程审计、经营绩效审计为主线的审计新结构如图1所示:二、广州地铁信息系统审计内容程计 I审经绩审着效计房跟审产踪计IT审计工程审计经Ir绩效审计内控审计内部控制审计房产跟踪审计原内审结构现内审结构审计新旧结构结合广州地铁信息化工程多、系统更新快、数据
6、集成度高、系统控制与手工控制并重等特点,围绕信息系统构成要素、信息系统生命周期和信息系统管理三个维度,广州地铁公司将信息系统审计的内容划分为整体计算机控制审计、应用控制审计和系统建设效能评价三个方面。其逻辑推导过程及具体框架如图2所示。硬件修毛应用槛审计的值息系统开发阶段其中,整体计算机控制审计是对信息系统运行中的控制活动进行审计,目的是合理保证由信息系统支持的业务流程控制是可靠的、生成的数据和报告是可信的。应用系统控制审计是对业务流程中的自动化控制活动进行审计,以合理保证交易的有效性、经适当授权和记录、完成的完整性、准确性和及时性。项目及系统绩效审计是对信息化工程的过程及成果对企业和业务产生
7、的效益进行审计,用来合理保证信息化工程的投资产出比例符合建设的目标,以及信息系统对企业战略起到了预期的支撑作用。更新阶段值息系统审计的内自有效达到企业目标IT提高资源*使用效率S维护资产易安全保持数据完SF信息系统审计内容三、广州地铁信息系统审计内容详述(-)围绕“信息系统全生命周期”,标准整体计算机控制审计框架广州地铁通过学习和借鉴国际信息系统技术管理和控制标准COBIT,建立起了一套自己的整体计算机控制审计框架。框架可按流程和控制类型两种方式进行划分,两种划分方式在本质上是一致的。在按流程划分出的每个子流程中,信息系统审计人员需要从变更、安全、操作的角度去确认和评估具体的控制点;在按控制职
8、能所作的划分中,审计人员需要围绕信息系统的应用系统开发、数据库、网络、硬件等子流程进行审计。两种划分方式及其之间的关系如图3所示。围绕这三个方面,十个子流程,广州地铁共梳理出有关整体计算机控制的41项审计内容,并针对每一信息系统安全信息系雌作僖息系统变更图310个子流程3邮由!类型项内容明确了控制目标和风险,建立起了一套完整的整体计算机控制AA20238CFWtfmt63.IiciQQ广州地铁信息系统整体计算机控制矩阵系统”,综合评价信息化建设的效能表1制、责笳离在系统中的实现情况的审计,矩阵。如表1所示。例如,信息系统策略和方案子流程中,广州地铁明确了整体计算机控制的三大目标为信息系统战略、
9、规划和预算应与实际业务和战略目标保持一致,计算机处理环境应得到具有适当技能和经验的人员的充分支持和保证,以及计算机处理环境中的人员应接受适当的培训,审计人员在此根底上针对各控制目标,识别并归纳出广州地铁现行的9个控制活动。在具体开展信息系统整体计算机控制审计时,信息系统审计人员根据审计工程的特点和要求,选择需要评价的子流程,对照子流程的控制活动进行评估及测试即可。(二)从内部控制角度出发,细化信息系统应用控制审计的内容目前,业界缺乏关于应用控制的统一标准。广州地铁从控制目标出发,结合业务内部控制要求和信息系统内部控制要求,梳理出了广州地铁应用控制审计的主要内容。广州地铁将信息系统的应用控制划分
10、为应用系统访问控制、流程和系统完整性控制以及数据质量控制三大类,并针对各类控制分别设计了不同的审计内容。如图4所示。一是应用系统授权访问控制审计包括对系统的认证方式、授权机目的在于保证经过允许的人才能访问和操作系统。二是流程和系统完整性控制审计是对系统输入、处理、输出以及接口等各种系统运行规那么的审计,用以保证所有经允许处理的数据均转换到介质上并被处理,且处理的结果可通过适当的方式加以输出,所有输入、转换、处理和输出均在正常的时间内准确地进行。三是数据质量控制审计那么是对信息系统中的数据的完整性、标准性和有效性所进行的审计,旨在保证所有系统的输出均反映为经批准的有效的经济业务,所有经过系统的数
11、据真实、有效,且能满足企业各项业务的使用要求。例如,广州地铁在对合同系统进行审计时,对应用系统的访问控制进行评估,其中,有关授权机制的审计就发现系统原有的授权机制未表达合同业务中合同编制与审核职责须相互别离的要求,导致合同审批人同样可以在系统中编制合同。除此之外,审计人员还发现,系统应用管理员仍拥有对业务进行操作的权限,可以进行合同生效等关键操作。在开展整体计算机控制审计和应用控制审计的根底上,广州地铁内部审计人员从企业经营和投资效益的视角出发,在信息系统审计中引入了经营审计中绩效审计(即3E审计)的概念,尝试对信息系统建设工程的成效、建成后系统的应用效能以及信息化最终对战略实现的支撑效果进行
12、审计(如图5所示)。由于审计对象同为信息系统建设工程,为了全面评价工程,也为更加便利地获取审计证据,广州地铁通常将对单个信息系统建设工程的合知性审计与项目效能审计结合在一起开展。信息系统建设成效审计旨在通过对系统建设全过程的审计,促进信息系统的建设标准性,提高信息内部审计信息化公司战四、信息系统审it步骤及实施策略广州地铁IT审计模块成立之初,即明确了IT审计“对公司的系统流程与控制、工程进行审计和“提供有益于增加公司价值的咨询服务两项核心职责,以围绕公司战值息系统战略规划审计发审计战略规划图1年内4至5年2至3年rx*!.mMrc儒UO久给濡”Q修WIMazIewww*.*硝I方澎工柞:t*
13、父后M:wbhimBmii授想冲:?MetaK关系统建设的质量。信息系统应用效能审计包括对业务需求的实现情况、建成功能的使用情况的审计分析,以及对系统应用对业务管理规范化、标准化和精细化提升作用的综合评价,目的在于促进系统使用价值的最大化,减少系统建设的投资浪费。战略实现支撑效果审计是从支持战略实现的角度,评价信息系统的建设效益,保证信息化建设在符合业务管理要求的同时,符合公司战略的需要,支持公司战略的实现。例如,在对办公自动化系统进行审计时,审计人员对公司所有办文流程进行统计分析后发现,超过20%的办文流程仍采用手工办文的方式运作。此外,已实现的系统功能中,40%的功能使用率较低或者没有被使
14、用。在对固定资产管理相关系统进行审计时,审计人员发现,由于系统建设过程缺乏对业务类型的广泛、深入调研,导致系统实现方案不能完全满足业务需求一系统中基建资产移交的功能仅适用于少数单合同移交,不能支撑大量跨合同资产移交。在物资管理绩效审计工程中,审计人员通过比照物资管理信息系统上线前后公司物资管理的资源投入(人力资源和设置)和管理精细度,对物资管理信息系统的投资效益进行了综合评价,并提出了对系统后续完善和调整的要求和建议。略,以“风险导向、“效劳战略理念为指导,制定了IT审计人员的职责、岗位权限,以及任职资格(专业、工作经验、专业知识、能力素质和专业认证等),在夯实信息系统审计的根底上,从信息系统
15、审计战略规划和具体工程执行两个层面分别制定了信息系统审计的流程。(一)以公司战略为导向,制定信息系统审计的战略一直以来,广州地铁奉行“源于战略、效劳于战略”的现代审计理念。这一理念主要表达在两个方面:一是在制定内审工作方案时,从公司战略出发,制定各个内审业务及各专业审计模块的战略,并以业务战略为指导,开展具体的审计工作;二是在开展审计工程的过程中,蚱终从保障公司战略执行的角度去发现问题、评价问题,提出整改意见不落实整改。信息系统审计的战略期划来源于公司的战略,以及以公司战略指导制定的公司信息系统战略规划和内部审计业务战略规划;雉合对公司信息化现状和IT审计模块定位的考虑,广州地铁公司制定了广州地铁信息系统审计战略规划。如图6所示。(二)通过风险评估,确定各信息系统风险等级,制定层次清楚、重点突出的信息系统循环审计方案为利用有限的审计资源掌握公司主要信息系统的建设、运营情况,保障信息资源的有效利用,降低公司信息系统的整体风险,广州地铁建立了一套“根据信息系统风险评级制定差异化的审计谋略”的方法。具体流程如1 .梳理信息系统脉络,全面掌握信息系统现状。广州地铁结合信息系统规划、建设和运营的情况及系