电网企业审计的实践简述
时间:2022-05-25 10:47:58
信息及相关技术控制
COBIT已经在100多个国家得到应用。ISACA协会也在全球设立了160多个分会,负责推广COBIT框架和信息系统审计准则、实务指南等专业知识体系和方法论,指导信息系统审计师的工作。在我国,许多企业在全球化发展的背景下已经开始关注和应用COBIT。而电网企业中COBIT等相关标准的应用,尚处于研究和探讨阶段[17]。COBIT是一个框架和支持性的工具集,为管理层架起与相关方的沟通控制需求、技术性问题、业务风险和控制等级的桥梁。COBIT能够促进在企业内建立清晰的IT控制策略并良好的实践。COBIT正处于不断的更新中,并与其他标准和指南相互兼容。因此,COBIT已成为IT最佳实践的集大成者,其伞形的IT治理框架有助于理解并管理与IT有关的风险和收益。COBIT的流程结构和高级别业务导向的方法提供了一个端到端的IT视角,有助于IT决策的制定[18]。COBIT组件间的相互关系如图1所示。COBIT框架以业务为中心,以流程为导向,以控制为基础,以绩效测评为驱动,将为满足业务目标而应符合的控制标准定义为效果、效率、保密性、完整性、可用性、符合性和可靠性,统称业务需求,将为满足业务需求而需要投入的IT资源定义为应用系统、信息、基础设施和人员,然后将业务目标与IT资源紧密结合起来,定义为一个流程模型,分为4个域:计划与组织(PlanandOrganise,PO)、获取与实施(AcquireandImplement,AI)、交付与支持(DeliverandSupport,DS)、监控与评价(MonitorandEvaluate,ME)。这些域覆盖了传统的IT职责:计划、建设、运行和监控。通过这4个域,COBIT归纳了34个IT流程,每个流程均指明了业务目标与其所支持的IT目标之间的联系,同时也提供了如何衡量目标、关键活动、主要交付物以及由谁负责等相关信息。
电网企业IT审计实例
2012年,山西省电力公司对某信息系统进行了IT审计。审计人员结合COBIT框架的三维体系结构和电网企业信息化建设现状及特点,构建了信息系统审计过程模型,实施了规范的审计工作流程、标准的审计程序,运用全新的审计方法、技术和工具,对电力信息系统建设和运行中存在的问题进行了客观评价,降低了信息系统管理的风险,取得了良好的成效。首先,在信息系统生命周期的基础上,对照COBIT的流程定义,结合电网企业自身特色与风险评估的结果,构建信息系统审计过程模型,将信息系统过程集确定为规划与治理、基础设施获取、服务提供、服务支持、信息安全、业务连续性等6个过程,再进一步确定审计控制点,共68个。信息系统过程及控制点见表1所列。然后,针对已确定的控制点,对照COBIT的控制目标,依据电网企业相关的内控制度,进行现场取证,对比分析山西省电力公司信息化建设过程管理和内控措施的实际执行与标准控制目标之间的差异。在取证过程中,审计人员应用了规范的IT审计作业标准,制定了调研提纲模板、访谈模板、问卷调查模板、证据模板、合同统计模板、IT审计工作记录模板、IT审计底稿模板、IT审计分报告模板、IT审计总结模板等多个IT审计标准模板。同时,根据IT审计的特点采用了创新的审计方法和工具[23],如大量采用座谈、访谈、现场操作演示等IT审计方法,以及证据模板、截图、屏幕录像等技术工具来保存审计证据链。本次审计过程中共开展了20余人次的座谈、访谈、系统操作演示,获取了有效的屏幕截图28张,证据说明材料27份。通过现场IT审计作业,审计人员发现了系统变更、信息泄密、系统集成、系统业务连续性、信息化建设管理等5方面的风险,以及系统存在操作报错、集成接口失效、接口性能过低、功能未实现、实用化不足、设计缺陷、验收资料不合规等7方面的问题。进而,审计人员引入风险坐标图,从风险发生的可能性和影响程度2方面进行分析,对发现的风险进行评估,确定了风险等级。其中,重大风险3项,中等风险1项,一般风险1项。最后,针对风险评估的结果和审计发现的问题,提出了具体可行的改进建议和整改意见,形成了IT审计报告和审计意见及建议。通过本次IT审计,及时发现了山西省电力公司信息化建设过程中的控制弱点,降低了信息系统管理的风险,取得了良好的成效,证明了运用IT审计过程模型在电网企业开展IT审计的可行性和适用性。
结语
在实际IT审计项目中要以企业的相关规章制度为依据,如《国家电网公司信息化建设管理办法》、《国家电网公司信息系统上下线管理办法》等;③IT审计的审计风险不容忽视,审计风险是指审计过程中未发现信息可能存在的重大错误的风险,包括固有风险、控制风险、检测风险等。因此,电网企业应该加大信息系统审计师的培养力度,加强对COBIT内容的理解和消化,逐步完善自己的信息系统审计过程模型体系,同时注意识别、控制审计风险,使IT审计为电网企业的信息化建设保驾护航,为智能电网建设提供有力保障,建立牢固的风险管理“第三道防线”[24]。
作者:燕超源 郝立涛 李淼 单位:北京中电普华信息技术有限公司
