it审计和普通审计范文
时间:2023-09-15 06:12:36
it审计和普通审计篇1
【关键词】信息 信息系统审计 问题
一、对信息系统审计的一般认识
(一)信息系统审计的发展历程
审计是经济社会发展到一定阶段的产物,随着经济和社会不断变化,计算机信息技术不断发展进步,信息系统审计也应运而生并不断发展。信息系统审历经形成、建立到逐渐完善,低级到高级历史进程,具体可划分为萌发阶段、拓展阶段、成熟阶段、普遍提升阶段。
1.萌发阶段。上世纪中叶,信息系统审计(以下简称ISA)处于萌芽阶段。IBM出版了《电子数据处理环境下的审计》;美国注册会计师协会(以下简称协会)出版了《会计审计和计算机》,阐述了如何进行电子数据下信息系统审计与传统外部审计,指出新的电子数据下内部审计的规范、组织方式等。此时ISA又被称为电子数据处理审计(EDPA),也就是以计算机为核心的审计。1969年,信息系统审计与控制协会(以下简称ISACA)在美国成立,标志着国际社会正式开始对ISA的研究。
2.拓展阶段。二十世纪七十年代,不断出现的计算机犯罪促使ISA的拓展。1974年,协会制定了电子数据处理审计的标准并记录于《内部管理的调查与评价对EDP的影响》一书中。1977年,内部审计师协会发表《系统可审计性及规则的研究》(SAC报告),该书汇总了针对欧洲、美国、加拿大与日本等国家的企业所展开的调研情况,同时指出审计执行工具取得的成就。1975年,日本ISA委员会成立并且在1976年发表多部与信息系统审计相关的书籍:《使用电子计算机的会计组织的内部规则质问书(修订案)》、《EDP审计标准及审计过程试案》和《EDP审计方法》等。1978年,信息系统审计师(CISA)考试与资格认证开始实施,这标志着ISA的深入拓展。
3.成熟阶段。信息系统审计发展的成熟期是八十年代。1982年,日本通产省设立计算机安全研究会,对健全信息化的必要法规进行研究。1983年,发表紧要课题——《有关计算机的安全对策》。1984年,日本ISA协会研究美国的ISA标准并于1985年《IT审计标准》,同时将IT审计师考试加入计算机水平考试中。
4.普遍提升阶段。ISA在二十世纪九十年代不断普及。这一时期,ISACA不断拓展扩大,一百六十多个分会遍布全球,拟定并颁发ISA法则与实务指南,同时积极推广CISA资格考试。1992年,EDP审计委员会在国际最高审计组织(INTOSAI)的推动下成立了,因此又被称为INTOSAI-EDP委员会。2002年11月将其变更为INTOSAI-IT委员会。
信息系统审计的拓展提升,一方面使得传统审计技术不断扩展改变并应用广泛;另一方面整个社会依赖计算机信息系统越来越紧密促使信息系统审计越来越重要,信息系统审计代表了未来审计发展的一个重要方向。
(二)信息系统审计的涵义
全球信息系统审计领域内的著名专家Ron A. Weber指出,信息系统审计是审计人员经被审计单位的授权或者委托,收集、整合证据,从而评估一个计算机信息系统能否有效地维护资产、保护数据完整性,同时最有效地实现组织目的的活动进程。它包含信息系统外部审计的鉴证目标和内部审计的管理目标,具体来讲是鉴证被审单位数据的完整性与资产的安全性以及信息系统的有效性。日本通产省情报协会将其概述如下:为了信息系统的有效、安全与可靠,由独立审计对象之外的IS审计师,以客观的立场对以计算机为主的信息系统展开全面的检查与评估,同时对所审计单位的最高领导提出意见和建议的一系列的活动。邓少灵学者指出,IT审计是从规划、研究、实行到执行维护各个阶段展开对信息系统的审查与评估,从而审查信息系统的有效、安全与可靠,以此来保障信息系统得出的数据精确可靠。
以上学者对信息系统的定义虽然不尽一致,但通过分析可以发现信息系统审计的一些要点:
1.信息系统审计的目标是判断信息系统能否有效保护公司资产,提高企业经营效率和企业核心竞争力。
2.信息系统审计是一个过程,这个过程需要涵盖企业信息系统从规划、开发、实施到运行维护的每一个阶段。
3.信息系统审计报告面对的对象是企业经营管理负责人,因为信息系统关系到企业的日常运营以至生存发展。
综合上述几个要点,笔者总结出,信息系统审计是对企业信息系统规划、研发、实行、执行维护与实现组织目标的效率进行审计的过程,在这个过程中,信息系统审计人员应该对信息系统能否有效保护公司资产,提高企业经营效率以及企业核心竞争力作出判断,并向企业经营管理负责人如实报告。
二、信息系统审计的研究现状
(一)国外研究现状
it审计和普通审计篇2
随着计算机技术在管理中的广泛运用,传统的管理、控制、检查和审计技术都面临着巨大的挑战。在信息技术突飞猛进的网络时代,国际会计公司、专业咨询公司和高级管理顾问都将控制风险、特别是控制计算机环境风险和信息系统运行风险作为现代审计、管理咨询和服务的重点。由于普遍使用大型管理信息系统,几乎所有的大型跨国公司,都非常重视对信息系统安全和稳定性的控制,常常高薪聘请IT审计师进行内部审计。在网络经济迅猛发展的今天,IT审计师已被公认为全世界范围内非常抢手的高级人才。
IT审计师是“国际信息系统审计师”的简称。IT审计师必须具备全面的计算机软硬件知识,对计算机网络和信息系统的安全性具有高度而特殊的敏感意识,而且对财务会计和企业内部控制具有深刻的理解能力,要懂管理、懂经济、懂审计、懂计算机、懂内部控制、懂网络技术,既是审计专家,又是信息系统专家,以对计算机信息系统及软硬件的技术性审计来保证计算机审计质量的可靠性。
二、从IT审计看审计学科的发展与技术时代的到来
1、IT审计是技术审计的一个典型,IT审计师标志着一个新的审计时代——“技术审计时代”的到来。
随着经济管理与科学技术的不断结合与日益渗透,现代审计已经远远超出了仅对财务会计进行审查的狭窄范围,不断向管理领域和技术领域渗透。IT审计是技术审计的一个典型。IT审计实质上是对计算机软件和硬件及整个信息系统的审计,否则,就不能称为IT审计。由于计算机的广泛普及,审计环境发生了巨大变化。假如审计人员只懂传统审计,不懂对计算机软硬件的审计,必然面临可怕的潜在审计风险。在无纸办公条件下,会计及其他信息资料被存入计算机信息系统,审计人员如不考虑被审单位计算机软件和硬件的安全程度,对被审单位的系统与设备盲目信任,即使懂得计算机的简单应用,也极有可能误入计算机陷讲,后果相当危险。只有对计算机审计风险进行正确估计,根据实际情况决定是否采取相应的信息系统审计对策,并能够在风险较大的情况下针对计算机信息系统(包括硬件与软件)实施必要的技术性审计,才能最终保证审计结果的正确性,防止和降低信息技术条件下的审计风险。IT审计的重要程度由此可以想见。显然,网络时代的到来已对审计人员提出了掌握过硬信息技术的要求。IT审计师不仅从事对财务会计、经济管理活动的审计,更重要更关键的是对被审单位信息系统进行技术审计。IT审计师的产生是审计领域进一步扩大化的重要标志,代表着新的审计时代——技术审计时代的到来。
实际上IT审计并不是最早的技术审计。早在IT审计之前,就已经出现了各种各样的技术性审计,只不过这些技术审计的技术性不如IT审计那样与科学技术紧密相关。例如,质量管理中的技术性审计——质量审计(包括产品质量审计、工序质量审计与体系质量审计等),要求对产品质量进行抽查试验;清洁生产中的技术性审计——清洁生产审计,要求揭示生产技术的缺陷并提出预防和消减污染的机会与对策;能源管理中的技术性审计——能源审计,要求进行能源监测,提出能源技术改造方案;环境管理中的技术性审计——环境审计,要求实施环境质量监测,提出环境改进建议与降低污染方案;如此等等,都是具有不同技术程度的审计类型,从它们的技术性特点归类,可以与IT审计并称“技术审计”。
技术审计的产生是科学技术日益渗透、审计范围进一步向技术领域拓展的必然结果。随着科学技术如日新月异和现代审计的不断发展,审计的技术领域将不断延伸,未来的技术审计形式将更加丰富多彩。
2、从IT审计看现代审计学科的发展。
王光远教授在其名著《管理审计理论》中将审计学科划分为“财务审计”与“管理审计”两大分支,倡导发展管理审计,并认为管理审计以财务审计为基础,前者是后者的发展与延伸。
笔者认为,技术审计是当代科技发展与审计发展相互融合的产物。当代社会是科学技术飞跃发展的社会,科技的迅猛发展已经给整个社会的经济管理活动造成了巨大影响。正是在科技迅速发展的大背景下才产生了形形的技术性审计。技术性审计是在原来的财务审计和管理审计基础上,由于科学技术向经济管理领域的渗透而产生的。然而,到目前为止,技术审计在本质上并不是独立于财务审计和管理审计的第三大审计分支,而是融于财务审计、管理审计之中的一类审计形态。即在财务审计与管理审计两大分支当中都包含某些技术审计。比如,进行计算机财务审计,主要的或本质上是实施财务审计,但由于计算机软件和硬件对财务信息的巨大影响,也往往不得不对使用的硬件和软件进行审计,这又是技术审计;清洁生产审计实质上属于环境(管理)审计中针对生产过程所实施的技术审计,但这种技术审计又是为进行管理审计服务的,依附于管理审计。
从受托责任理论分析,可以提出“受托技术责任”的概念。在财务审计分支中的技术审计,其受托技术责任属于受托财务责任的二级责任,比如IT审计中,保证会计报表真实可靠,就必须要求信息系统的软件系统和硬件系统同时可靠,后者从属于前者,被审单位承担的受托信息技术责任就是其所负受托财务责任的二级责任。在管理审计分支中的技术审计,其受托技术责任属于受托管理责任的二级责任。例如,环境审计实质是对环境管理的审计,因此属于管理审计。但进行企业环境审计,需要审查企业的生产工艺与生产技术,甚至审查产品的环保技术性能,此类技术方面的审计都是为了证实企业环境保护方面的受托管理责任。
总之,对财务会计的审计称为财务审计;对管理进行的审计称为管理审计;对技术方面的审计就应当称为技术审计。从这个意义上说,技术审计应是现代审计的第三大领域。20世纪30年代以前财务审计一统天下,30年代以后80年代以前管理审计异军突起,与财务审计并驾齐驱,80年代以来技术审计不断涌现,90年代IT审计初视端倪,21世纪将是IT审计师独领的时代。
三、IT审计等技术审计的产生对我国审计发展影响重大
勿庸讳言,技术审计至今未能脱离财务审计和管理审计而单独存在。然而,尽管技术审计尚未独立为现代审计的第三分支,但“技术审计”概念的提出仍然极具积极意义。技术审计反映了科技与审计、科技与经济管理相互融合与渗透的时代特点,要求审计人员既要掌握经济管理知识,又要掌握科学技术。现代审计向管理领域和技术领域渗透,是不以人的意志为转移的必然趋势。也许将来技术审计会成为与财务审计和管理审计相并列的第三大分支。
在不久的将来,无论是国家审计、内部审计还是注册会计师审计,不懂IT技术必然遭遇灾难性风险,离开IT审计将寸步难行。国际著名会计公司德勤会计师行的高级合伙人鲍威尔先生指出,全世界即将迎来管理领域信息化的高潮。信息技术对传统管理和控制的挑战是空前的,主要表现在三个方面:一是内部控制环节的变化,许多传统的控制手段已经失去意义,评价和改进内部控制必须以信息系统的运转为基础;二是管理的风险增加,由于企业经营越来越依赖于信息系统,除了传统意义上的经营风险、控制风险和财务风险之外,企业信息系统安全性导致的信息技术风险日益增长;三是对复合性高级人才的需求骤增,要求管理者、审计师和咨询人员必须在精通管理和专业的同时熟悉信息系统和网络技术。
it审计和普通审计篇3
今昔对比的差别固然明显,横向对比也很能说明问题。各级政府的行政审批大厅,服务功能虽大同小异,用户体验却可能有天壤之别。因缺乏排队设备造成的乱排队,公告提示不清楚造成的误排队、误提交,以及因办公设备不稳定造成的无谓等待……都直接影响着公众满意度。
就运营来说,问题就更明显了,如果前期设计和调研不够完善,往往会造成因IT设备采购分散而增加成本、增加售后服务难度,以及设备本身的功能不全、稳定性不够、耗电量高等一系列问题。这种信息化建设本身带来的问题对于专注行政管理的政府部门来说,无疑是个大包袱。
“政府需要从采购、管理到服务全面覆盖的一整套方案。”针对当前行政审批大厅存在的实际问题,中国惠普信息产品集团台式机方案总监王成伟在接受记者采访时表示。事实的确如此,在采购环节,如果能一站式采购,服务与采购成本问题就都能妥善解决,当然这对供应商的能力提出了较高要求;在使用阶段,单有定制化设备还不够,还要方便政府人员在后台统一管理和维护;而在价值交付阶段,公众更关注界面的亲和程度、信息的丰富程度以及流程的顺畅程度,这就要求供应商真正理解电子政务的需求。
结合超长产品线带来的资源和成本优势,惠普顺势推出了“无忧政务”解决方案。王成伟介绍说,惠普依照大厅的功能分区,把行政审批大厅划分为大厅取号区、信息查询区、公告显示区、审批服务区、后台管理区、IT管理区共六个业务环境,针对每个区域的需要,惠普都有产品与之对应,形成涵盖惠普软硬件产品在内的政府公共服务IT应用环境。
在大厅取号区、信息查询区、公告显示区,公众尚处于等待审批状态。此时,借助惠普Kiosk排队终端和Kiosk多功能自助查询终端,他们就可以取号等待并且便捷地查询办事流程。通过惠普数字标牌的多内容显示,视频、图片、文字都可以在大屏幕中显示,让人一目了然,并且可以随时更新内容,其效果远胜过纸质印刷或传统LED显示。审批阶段是行政审批大厅运营的核心环节,惠普为此设计了十分注重安全稳定、极低故障率且低能耗的HP Compaq 6000 Pro政府用高端台式机以及HP t5470瘦客户机;考虑到后台管理办公区是工作人员具体审批处理之处,除了满足之前的常规性高要求之外,惠普还增加了HP ProBook 6550b和HP EliteBook 2540p商用笔记本电脑的选择,以满足管理人员的移动性办公需要。这一整套硬件设备看似繁杂,但管理起来却相对简单。
it审计和普通审计篇4
关键词:账号;身份认证;访问授权;审计
中图分类号:F259 文献标识码:A文章编号:1007-9599 (2011) 17-0000-01
Unified Identity Control and Audit Management Application in Large Enterprises IT System
Hu Xueyong
(Beijing Capital International Airport Company Limited,Beijing100621,China)
Abstract:In large enterprises IT system run management,through establishing unified identity control and audit management platform,implementation Account Management,Authentication,Authorization and Audit,will strengthen and upgrade information system audit of-in rules sexual and system run of security.
Keywords:Account;Authentication;Authorization;Audit
大型企业的内部运营管理以及与外部的交互合作已经高度依赖IT系统,因此IT系统的运维风险已经成为大型企业风险管理体系中重要的一部分。业内统计结果表明企业信息安全风险主要来自于内部,70%是由于内部员工的疏忽或故意行为造成的,因此如何将IT系统运行控制和审计的主体落实到实名用户,便于准确和高效的监管?如何对危险操作行为进行警示,对高危操作行为进行拦截?如何对运维过程中的所有操作进行记录,在事后进行回放?已经成为IT系统主管部门不得不面对的重要课题。
一、系统概述
建立统一身份控制和审计管理平台,通过对用户进行统一的实名管理以及统一的认证来控制用户访问主机的权限并记录用户对主机的操作行为,通过回放操作日志来实现事后的审计,监控用户会话来实现事中的监督与控制。平台架构如下图所示:
二、系统实现
如上图所示,建立统一身份控制和审计管理系统,对用户在系统上的访问行为进行严格的控制,无论本地用户还是远程用户,都需要通过该系统实现对系统的登录,以进行相应的控制和审计,该系统可以对动态令牌卡,智能卡,数字证书,生物识别技术等登录方式进行认证和访问控制,同时对访问系统的行为进行审计。
(一)账户管理。集中维护的账号包括自然人(主账号)和资源(从账号)在内的全部账号以及和账号相关的可在4A账号管理模块中集中管理的账号属性。其中主账号应包括在该平台中创建用于标识唯一自然人ID;从账号为该平台所管理的系统资源的信息,资源的范围包括系统资源(服务器、网络设备、数据库、安全设备、其他)。
(二)用户身份认证:账号认证方式支持本地静态密码认证和第三方的AD域、LDAP、radius认证;支持结合多因素认证方式;可以根据工作的需要,将用户多角色划分,可以划分成超级管理员、审计管理员、密码保管员、普通用户四种角色;可以针对不同用户设置不同的登录认证方式。
(三)用户访问控制。可以基于登陆账户、源IP地址、目的IP地址、访问次数、时间段进行访问控制;可以基于用户/用户组、目标设备/设备组、系统账号、访问协议类型设定访问控制策略;支持对任一活动的图形会话(rdp、http、https、xwin、vnc、客户端)或字符会话操作(telnet、ssh)的实时监控;支持用户组对资源服务器组的组对组的权限分配。
(四)审计管理。审计分权,可以设定不同的审计管理员是只能审计指定的设备还是审计所有设备;审计内容,系统的审计除了可以记录用户的会话操作外,还可以记录管理员在堡垒机上进行的所有操作,如:配置操作、改密操作、审计操作等;针对核心设备,可设置登录告警,告警方式可以支持短信、邮件、syslog;数据库审计,记录精确到用户账号(自然人);完整记录通过浏览器方式登录到数据库和通过后台服务器登录到数据库上进行的各种操作;完整记录sqlplus、PL/SQL Developer、Quest Toad等客户端工具的数据库访问过程;完整记录图形化操作过程,并可以对操作过程中的键盘、鼠标操作和剪贴板操作进行文本记录。
三、结论
it审计和普通审计篇5
[关键词]信息安全审计;审计应用;审计实现 ;APP
doi:10.3969/j.issn.1673 - 0194.2015.08.012
[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2015)08-0019-01
近年来,随着办公业务对手机软件相关信息系统的依赖越来越高,APP应用软件信息系统存在的风险对业务的潜在影响也越来越大。解决针对业务信息内容的篡改操作行为的监控管理的问题,必须要有一种有效的安全技术手段对内部员工、运行维护人员以及第三方人员的上网行为、内网行为、操作行为等进行有效的监控和管理,并对其行为趋势进行分析和总结。
1 APP应用信息安全审计定义
为了APP应用信息系统的安全、可靠与有效,由独立于审计对象的IT审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IT审计对象的最高领导,提出问题与建议的一连串的活动称为IT审计。IT审计就是信息系统审计,也称IT监查。
2 APP应用信息安全审计的实现
要实现APP应用信息安全审计,保障计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖),需要对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、网络设备、安全设备等)进行安全审计,记录所有发生的事件,提供给系统管理员作为系统维护以及安全防范的依据。
2.1 合规性审计
做到有效控制IT风险,尤其是操作风险,对业务的安全运营至关重要。因此,合规性审计成为被行业推崇的有效方法。安全合规性审计指在建设与运行IT系统中的过程是否符合相关的法律、标准、规范、文件精神的要求一种检测方法。这作为风险控制的主要内容之一,是检查安全策略落实情况的一种手段。
2.2 日志审计
基于日志的安全审计技术是通过SNMP、SYSLOG或者其他的日志接口从网络设备、主机服务器、用户终端、数据库、应用系统和网络安全设备中收集日志,对收集的日志进行格式标准化、统一分析和报警,并形成多种格式和类型的审计报表。
2.3 网络行为审计
基于网络技术的安全审计是通过旁路和串接的方式实现对网络数据包的捕获,进行协议分析和还原,可达到审计服务器、用户终端、数据库、应用系统的安全漏洞,审计合法、非法或入侵操作,监控上网行为和内容,监控用户非工作行为等目的。网络行为审计更偏重于网络行为,具备部署简单等优点。
2.4 主机审计
主机安全审计是通过在主机服务器、用户终端、数据库或其他审计对象中安装客户端的方式来进行审计,可达到审计安全漏洞、审计合法和非法或入侵操作、监控上网行为和内容以及向外拷贝文件行为、监控用户非法行为等目的。主机审计包括主机的漏洞扫描产品、主机防火墙和主机IDS/IPS的安全审计功能、主机上网和上机行为监控、终端管理等类型的产品。
2.5 应用系统审计
应用系统安全审计是对用户在业务应用过程中的登录、操作、退出的一切行为通过内部截取和跟踪等相关方式进行监控和详细记录,并对这些记录按时间段、地址段、用户、操作命令、操作内容等分别进行审计。
2.6 集中操作运维审计
集中操作运维审计侧重于对网络设备、服务器、安全设备、数据库的运行维护过程中的风险审计。
运维审计的方式不同于其他审计,尤其是维护人员为了安全的要求,开始大量采用加密方式,如远程桌面协议(Remote Desktop Protocol,RDP)、SSL等,加密口令在连接建立的时候动态生成,一般的针对网络行为进行审计的技术是无法实现的。
3 审计系统的实现
通过对6类审计产品的综合应用,可以形成较完备的APP应用信息系统安全审计应用系统,对整个网络与信息系统中的网络、主机、应用系统、数据库及安全设备等进行安全审计,且可以支持分布式跨网审计,并进行集中统一管理,达到对审计数据综合的统计与分析,更有效地防御外部的入侵和内部的非法违规操作,最终起到保护信息和资源的作用。
参考网络与信息系统安全审计应用模型,企业既可以采取单项逐一建设方式,也可以采用多项综合建设方式建立内部审计应用系统。对于拥有分(子)公司且不在同一地区的企业,也可以通过城域网络把多个分(子)公司统一起来,进行集中建设,统一管理。
4 结 论
通过整合市面上多种不同类型的审计产品,按照网络与信息系统安全审计应用模型,采用“统一规划、分步实施”的方式,可以在企业内部建立起严格监控的网络与信息系统安全审计应用平台,提升企业信息化日常运维及操作的安全性。
主要参考文献
[1]胡克瑾.IT审计[M].北京:电子工业出版社,2002.
[2]徐正旦.审计研究前沿[M].上海:上海财经大学出版社,2011.
it审计和普通审计篇6
内容摘要:本文详细介绍了电信行业的信息技术一般性控制的内容。首先介绍了国际上通用的信息技术内部控制的理论框架以及中国内部审计协会的内部审计第28号具体准则――信息系统审计的内容,并结合实践对电信行业信息技术一般性控制的系统范围、实施框架及信息技术一般性控制问题及改进措施进行了研究,以期为电信行业不断完善信息技术一般性控制体系提供理论参考。
关键词:内部控制 信息系统审计 信息技术一般性控制
美国的《萨班斯法案》404条款对企业的内部控制提出了严格规范,要求在美上市的公司按照404条款推荐的COSO框架建立起完善的公司内部控制体系,并对企业的公司治理、IT治理及IT控制提出了更严格的要求。同时其第二审计准则也提出了对信息技术的要求,如审计准则#40“……需要测试的控制包括其他控制所依赖的信息技术一般性控制……”,审计准则#5“……程序开发、程序变更、计算机运行、运行和数据访问等各方面的控制保证了业务处理的有效运行……”等等。
中国电信在2006年初启动了“与财务报告相关的信息技术内部控制(简称IT内控)”项目,项目涉及电信总部及20个上市子公司,建立起全公司的IT内部控制体系,并对发现的差异及不足开展深入细致的整改;自此历年完善,均顺利通过各年度外部审计。信息技术一般性控制作为电信IT内控的重要组成部分,一方面企业的组织、流程、系统是不断调整转变的,信息技术一般性控制的内容也应随之调整完善,满足SOX的合规性;另一方面为提升企业自身的IT治理水平,信息技术一般性控制也是一种加强IT管控和有效实现IT治理的重要手段。
信息技术一般性控制理论概述
(一)COBIT框架
美国IT治理协会(IT Governance Institute)于1996年颁布的COBIT,是国际上最具权威和最通用的有关IT控制和治理框架规范;2004年该协会颁布了COBIT中与《萨班斯――奥克斯利法案》第404条款的IT内控框架。COBIT框架将内部控制视为一个包括政策、程序、实务和组织结构的支持企业完成目标的程序。因此,通过有效地应用COBIT框架可帮助企业来达到COSO的监控要求。
COBIT框架主要有三个维度IT流程、IT资源、IT信息准则。其中:IT信息准则包括质量、信用、安全;IT资源包括人员、应用系统、设施、技术、数据;IT流程包括领域、流程、活动。
COBIT给出了在不同的IT生命周期流程中(包括信息系统计划、开发、运行维护全生命周期),对不同的IT资源的关键控制点和需要达到的信息准则目标作出规定。
(二)内部审计第28号具体准则――信息系统审计
“内部审计第28号具体准则――信息系统审计2”是2009年1月由中国内部审计协会实施的,该准则明确规定了对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。其中,第21条针对信息技术一般性控制做了明确的规定:信息技术一般性控制是指与网络、操作系统、数据库、应用系统及其相关人员有关的信息技术政策和措施,以确保信息系统持续稳定地运行,支持应用控制的有效性。信息技术一般性控制包含了信息安全管理、系统变更管理、系统开发和采购管理和系统运行管理五方面控制内容。
(三)国内企业内部控制体系建设现状
继美国SOX法案颁布之后,财政部、证监会、审计署、银监会、保监会在此前的《企业内部控制基本规范》基础上,于今年联合了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,这标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。同时,财政部等五部门制定了实施时间表:自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;之后将进一步扩大到在中小板和创业板的上市公司施行。
国内电信运营商作为在境外上市的国有超大型央企,将成为遵循中国企业内部控制规范体系的首批企业。一方面,当前国内企业还未大规模开展企业内部控制制度的建设,国内电信企业作为先行者,已按美国SOX法案要求于2006年开始初步建立了信息技术内部控制制度,积累了信息技术内部控制建设的宝贵经验,可为国内其他企业内部控制制度的建设提供参考借鉴。一方面,经过2008 年的运营商重组,电信行业进入全业务运营时代,业务、流程、系统的衔接变得更加复杂,对业务流程与系统支撑的要求越来越高;随着电信行业的快速发展和竞争的加剧,国内电信运营商的运营风险在逐步加大,加之行业监管力度的加强及中国企业内部控制规范的要求,电信运营商需要在更高层次上进一步完善内部控制体系。
信息技术一般性控制框架构建
在COBIT框架和内部审计第28号具体准则――信息系统审计的理论基础上,电信行业的信息技术一般性控制实施框架主要包括对程序和数据的访问、程序变更管理、程序开发、系统运行、最终用户计算控制五部分,其所具体包含的内容如下:
程序和数据的访问控制。涉及逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制等。
程序变更管理控制。涉及系统变更授权、系统变更的测试校验和批准、系统变更的移植、系统配置参数变更、紧急程序变更流程等。
程序开发控制。涉及系统开发审批授权、系统开发项目管理及开发方法、系统开发测试、数据移植等。
系统运行控制。涉及系统运行及作业计划、系统备份、系统备份恢复性测试、问题管理流程等。
最终用户计算控制。涉及对影响财务报表的重要电子表格和其它用户自编程序。
根据信息技术一般性控制要求,从电信业务运营流程中梳理出对应的与财务报表相关的信息系统,由此梳理出纳入信息技术一般性控制涉及的信息系统如表1所示。
程序和数据的访问的控制要求如表2所示。
程序变更管理的控制要求如表3所示:
程序开发的控制要求如表4所示。
系统运行的控制要求如表5所示。
最终用户计算的控制要求如表6所示。
信息技术一般性控制问题及改进措施
电信实施信息技术一般性控制以来,发现的主要问题主要有政策和流程缺失、缺乏职责分工、缺少工作留痕、异地备份和恢复性测试这四个方面,本文将对这四方面存在的问题以及对于问题的改进方法进行详细阐述。
政策与流程缺失。问题主要在于信息系统维护管理的组织架构中缺少信息安全管理的岗位及职能,没有制定统一的信息安全政策、变更管理流程、信息系统开发方法与项目管理方法的政策与流程。对此,信息系统维护部门至少设立一个信息安全管理岗位,该岗位可专职或兼职,岗位工作职责应包括维护组织信息安全管理办法、负责对员工安全教育和宣贯、审阅超级用户的操作日志和系统安全日志等;建立或完善信息系统管理政策及流程,如制定统一的信息安全政策,包括网络安全、物理安全、操作系统安全、应用程序安全等方面;通过培训宣贯、监督检查等方式督促员工掌握并执行相关的信息系统管理政策和流程。
缺乏职责分工。主要出现在信息系统的维护管理缺乏有效的职责分离,个别信息系统的权限过于集中。具体存在两种情况:一是信息系统的系统管理人员同时身兼操作系统/数据库和应用系统管理员;二是各类信息系统均缺乏独立于系统管理员的日志审核人员。对此,操作系统管理员(或数据库管理员)和应用系统管理员、系统开发人员与系统维护人员、系统安全日志审核人员与系统管理员之间不能交叉兼任;在实际工作中,受到维护人员较少等客观因素的制约,可以通过交叉管理的方式解决实际的人员短缺等困难。例如有A、B两个系统 ,可以由A系统的管理员担任B系统的日志管理员,而A系统的日志管理员则由B系统的管理员担任,通过交叉审核达到要求。
缺少工作留痕。问题普遍存在日常工作中,对于所执行的操作、系统/日志的检查、定期审阅、授权、审核签字等过程中未能保留完整的书面记录。对此,应充分重视培养工作留痕、记录书面化的习惯,将此项工作纳入日常工作检查范围;公司统一使用信息技术一般性控制的文档模版,按控制要求所规定的执行频率进行填写,并保证主管/领导签字确认和统一归档备查。
异地备份和恢复性测试。由于存放环境等条件制约因素限制,大部分信息系统均未达到异地备份的要求;各类信息系统均未定期执行恢复性测试的工作。对此,介质存放的手段可以是通过DCN网、光纤传输到不同楼宇的存储服务器上,也可以利用DVD、磁带、移动硬盘等介质备份后送到异地;定期执行后保留书面记录;对于不存在测试环境的系统,可利用厂商的资源搭建测试环境,根据已确定的测试方法进行测试,并保留测试记录。
总之,本文详细介绍了电信行业的信息技术一般性控制的内容,结合实践对电信行业信息技术一般性控制的系统范围、实施框架进行了介绍,以期为电信行业不断完善信息技术一般性控制体系提供参考。
参考文献:
1.COBIT 4th Edition,the COBIT Steering Committee and the IT Governance Institute July[M],2005
it审计和普通审计篇7
一、it环境下传统企业内部会计控制的缺陷
随着it技术,特别是以internet为代表的网络技术的发展和应用,以提供财务信息为主的会计,正由传统的手工会计系统向电算化会计系统、网络会计系统方向发展,这无疑是企业管理手段的巨大进步,极大地促进了会计工作效率的提高,但同时也给企业内部会计控制带来了新的问题和挑战,具体表现在:
(一)授权方式的改变,潜伏着巨大的控制风险授权、批准,乃是一种常见的内部控制手段。在手工会计系统中,一项经济业务由发生到形成相应的会计信息,其经历的每一个环节都应由具有相应管理权限的有关人员签章;方可办理。这种传统管理方式的效率虽不高,但可有效地防止作弊。然而,在电算化会计信息系统中,权限分工的主要形式是口令授权。口令存放于计算机系统内而不像印章那样由专人保管,一旦口令被人偷看或窃取,便会带来巨大隐患,此种案例已发生多起。如c会计人员被客户收买,窃取口令,非法核销客户的应收款及相关资料;销货人员窃得顾客订单密码,开出假订单,骗走公司产品等等。
(二)内部控制的程序化,有可能使同一种差错反复发生电算化会计、网络会计的内部控制,在很大程度上取决于这些会计信息系统中运行的应用程序的质量。一旦这些应用程序中存在严重的bug或恶意的“后门”,便会严重危害系统安全。毕竟,会计人员对计算机专业知识所知有限,很难及时发现这些漏洞。这样在专业人员找到或墙上这些程序漏洞之前,系统便会多次重复同一错误。扩大损失,这也是手工会计系统不会遇到的问题。
(三)原始凭证数字化,使得会计信息易于被篡改或伪造
在手工会计系统中,原始凭证是以纸张为载体,很难不露痕迹地加以修改或伪造。但随着电子商务的发展,一些单位的原始凭证也如同记账凭证、会计账簿或报表一样,已实现数字化、电子化,即以数字形式存储在磁(光)性介质上,这种无纸凭证极易被篡改或伪造而不留任何痕迹,它弱化了纸质原始凭证所具有的较强的控制功能,给内部会计控制带来了新的难题。另外,磁(光)性介质容易损坏,一旦受损,又很难修复,这更使数字化的会计信息丢失或毁坏的风险加大。
(四)网络环境的开放性加剧了会计信息失真的风险
网络技术无疑是目前it发展的方向,特别是internet在财务软件中的应用对电算化会计信息系统的影响将是革命性的。但网络环境具有开放性的特点,这就给会计信息系统的内部控制带来了许多新问题。如在网络环境下,信息来源的多样性,有可能导致审计线索紊乱;大量会计信息通过网络通讯线路传输,有可能被非法拦截、窃取甚至篡改;网络会计信息系统遭受“病毒”入侵或“黑客”攻击的可能性更大,等等。总之,网络环境的开放性和动态性,加剧了网络会计信息失真的风险,加大了网络会计内部控制的难度。
二、it环境下企业会计信息系统内部控制的完善
it技术在会计信息系统中的运用加大了企业内部会计控制潜在的风险,但同时,it技术与业务流程的结合,也给企业带来了控制风险的机会与工具。
(-)网上公证的形成可有效地预防数字化的原始凭证被修改或伪造
所谓网上公证,就是利用网络的实时传输功能和日益丰富的互联网服务项目,实现原始交易凭证的第三方监控。比如,每一家企业都在互联网认证机构申领数字签名和私有密钥,当交易发生时,交易双方将单据或有关证明均传到认证机构,由认证机构核对确认,进行数字签名并予以加密,然后将已加密凭证和未加密凭证同时转发给双方,这样就完成了一笔交易双方认可并经互联网认证机构公证的交易。在这种交易中,交易一方因无法获得另一方的数字签名和私有密钥,很难伪造或篡改交易凭证。主管人员或审计人员一旦对某笔业务产生怀疑,只需将加密凭证提交客户和认证机构解密,将其结果与未加密凭证相对照,问题便迎刃而解。
(二)在线测试的实现可及时地解决应用软件自身存在的问题
it环境下,会计信息系统使用的应用软件存在这样或那样的问题有时是难免的,解决问题的办法无非这样两个:一是在软件开发过程中加强交流,充分测试;二是在软件运用过程中注意监控,及时发现问题并予以解决。但在单机系统下,用户与软件供应商之间因空间的阻隔往往很难充分交流,发现并解决问题费时费力。到了网络时代,情况就大不一样了,互联网提供的实时高质的通讯传输手段,可使用户和软件商之间在几秒钟内建立连接,这就给解决上述问题带来了方便。比如,在软件开发过程中,用户可通过网络随时向开发商提出要求或建议,开发商也可以把已开发完成的软件及时传送给用户进行测试;在软件使用过程中,开发商可通过网络对用户的系统进行定期的在线测试,一旦发现问题可及时通知用户并进行在线升级,把bug的存在时间控制在最短,提高系统的安全性。
(三)监控与操作的职责分离可进一步强化系统内部的相互牵制
职责分离是内部控制的一个重要组成部分。在手工会计系统中,企业通过把不相容的工作分派给不同的人员担当以达到相互牵制。但在电算化会计系统中,由于计算机的自动高效的特点,许多不相容的工作(如制单与审核)都已合并到一起由计算机统一执行,这就形成内控隐患。为了强化系统的内部控制,一个比较有效的办法是在电算化系统内分设操作与监控两个岗位,对每一笔业务同时进行多方备份。当会计人员利用电算化系统进行账务处理时,其操作和数据也被同步记录在监控人员的机器上,并由监控人员进行及时备份、定期审查。一旦主管部门或审计人员对某些数据产生怀疑时,可利用监控人员备份的原始记录进行分析调查、辨明真伪,这样就强化了电算化系统内部的相互牵制,有效地预防作弊。
(四)采用加密码的电子签名,可增强电子化原始数据的防伪功能
在无纸化的会计信息系统环境中,如果应用软件正确无误,系统传输安全可靠,则会计信息系统中派生数据(包括电子化的记账凭证、账簿数据和会计报表)的正确性、真实性和完整性完全取决于电子原始数据。反之,如果不精确、不完整、不合法的原始数据被记录和维护,将会影响以后所有的会计处理,导致一系列派生数据的失真。因此,电子化的原始数据的审核和确认显得尤为重要、在手工会计系统中,原始凭证的审核是通过对纸质原始凭证上有关责任人签名的辨别和相关凭证内容的相互核对来完成的。电子化原始数据的审核可采取类似的方法:一要注意相关业务不同数据记录之间的相互核对;二要关注经办人、批准人等相关人员的电子签名。电子签名不同于手工签章,会计如何确认这种电子签名的有效性是一个不容忽视的问题。目前的多数会计核算软件中,电子签名广泛采用普通汉字或字母代码填写,很容易被摹仿或伪造,为了克服这一缺点,增强电子原始数据的防伪功能,宜采用加密码进行电子签名,使其不容易被篡改或伪造。
(五)充分利用现代it技术,增强网络会计系统的安全控制
网络技术在会计信息系统中的应用,极大地丰富了会计信息系统的功能,促进了会计工作效率的提高。但网络安全问题若不能有效地得到解决,必将限制网络会计系统的发展与应用。网络会计系统安全控制的途径主要包括:
1.系统软件安全控制
要按操作权限严格控制系统软件的安装与修改,接操作规程定期对系统软件进行安全性检查。当系统被破坏时,要求系统软件具备紧急响应、强制备份、快速重构和快速恢复等功能。
2.数据资源安全控制
数据库系统是整个网络会计系统安全控制的核心,数据库的安全威胁主要来自两个方面:一是系统内外人员对数据库的非法访问;二是系统故障。误操作或人为破坏造成数据库的物理损毁。为此,可采取以下措施:(1)合理定义、应用数据子模式。即根据不同类别的用户或应用项目分别定义不同的数据于集,针对特定类型的用户开放,以限制合法用户或非法访问者轻易获取全部会计数据资源;(2)建立数据备份和恢复制度。数据备份是数据恢复与重建的基础,是一种常见的数据控制手段,网络中利用两个服务器进行双机镜像映射备份是数据备份的先进形式。
3.系统入侵防范控制
为了防止非法用户对网络会计系统的入侵,可采取以下措施:(1)设置外部访问区域。访问区域是系统接待外界(关联方、社会公众)网上访问。与外界进行会计数据交换的逻辑区域。企业在建立内联网时,要对网络的服务功能和结构布局进行详细分析,通过专用软件、硬件和管理措施,实现会计应用系统与外部访问区域之间的严密的数据隔离。(2)建立防火墙。防火墙是建立在被保护网络周边的、分隔被保护网络与外部网络的一种技术系统。为了有效地防范非法用户对网络会计系统的入侵,可设置内外两层防火墙,外层防火墙主要用来限制外界对主机操作系统的访问,内层防火墙主要用来逻辑隔离会计应用系统与外部访问区域之间的联系,限制外界穿过访问区域对内联网,尤其是对会计数据库系统的非法访问。
三、it环境下会计信息系统内部控制面临的新问题
高速发展的it技术,在给企业会计信息系统增强内部控制提供手段的同时,也给其安全带来了许多新问题,应当引起重视。
(-)网络会计系统的开放性,使之很难避免非法侵扰
网络是一个开放的环境,置于该环境中的各种服务器上的信息在理论上都是可以被访问到的,除非它们在物理上断开连接、脱离网络环境。因此,网络会计信息系统很难完全避免非法访问者的侵扰。尤其是当系统程序存在严重的bug、系统安全控制能力较差而系统管理人员尚不自知时,很难保证系统的信息资源不会被窃取或篡改。这种情况一旦发生,将会给单位造成巨大的损失。为此,企业需根据it技术的最新发展,定期评估系统的安全性和内部控制能力,努力把新技术给老系统带来的风险降到最低。
(二)网络会计系统的复杂性,使得稽核与审计的难度加大
网络是一个由计算机硬件、软件、操作人员和各种规程构成的复杂的系统,该系统将许多不相容职责相对集中,加大了舞弊的风险;系统信息以电子数据的形式存储,易被修改、删除、隐匿或伪造且不留痕迹;系统对错误的处理具有重复性和连续性;系统设计主要强调会计核算的要求,很少考虑审计工作的需要,这些往往导致系统留下的审计线索很少,稽核与审计必须运用更复杂的查核技术,且要花费更多的时间和更高的代价。会计师必须经过专业培训、具备复杂电脑资料的处理能力,方能胜任此项工作,这无疑将加大稽核与审计的难度和成本。
(三)电子商务的普及,将给内部会计控制带来前所未有的挑战
随着it技术的迅猛发展,网上交易愈加普遍,电子商务将逐步普及。电子商务一方面极大地提高了商务活动的效率,给企业带来了无限的生机,另一方面给网络会计系统的内部控制也带来了新的挑战。基于电子商务的单据电子化、货币电子化、网上银行和网上结算等,虽然可加快资金周转速度,但给会计信息系统带来的风险将是空前的。可以想象,在不久的将来,一旦企业全部原始凭证都采用数字格式,实现了电子化,势必要加强企业对网上公证机构的依赖,电子单据的信息保真将显得特别重要。但直到目前为止,相关的技术并不成熟、相应的法规也不完善,这将给网络会计系统的内部控制带来极大的困难和前所未有的挑战。
it审计和普通审计篇8
【关键词】 信息系统审计 审计内容 审计方法
一、引言
相比于传统审计,信息系统审计(Information System Auditing)是审计领域中的一个新概念。目前,关于信息系统审计,学术界和业界均无通用的定义。美国信息系统审计权威专家Ron.A.Weber提出:信息系统审计可定义为通过一定的技术手段收集、分析证据,以对计算机系统是否能够保证资产安全、维护数据完整、实现组织目标以及高效利用资源进行评价的过程。日本通产情报协会作了如下定义:信息系统审计是指,为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师以第三方的立场对以计算机为核心的信息系统进行综合检查和评价,并向信息系统审计对象的最高领导者提出问题与建议的一连串活动。国际信息系统审计和控制协会(ISACA)将其定义为:信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。
针对以上观点,我们将其要点归纳如下:信息系统审计是审计师对以计算机为核心的信息系统,通过专业判断和评价,合理保证信息系统安全、稳定、有效,并向信息系统的高层管理者及使用者提供问题解决方案,以达到改善经营和为组织增加价值目的的一个过程。
二、信息系统审计的发展与现状
20世纪60年代,随着计算机技术开始运用于企业的信息收集和整理中,会计信息处理逐渐无纸化,促使审计人员在执行传统审计业务时,必须关注以电子数据为载体的电子数据处理审计(EDP Electronic Data Processing)。20世纪70年代中期至80年代,电子数据处理和管理系统等在企业中逐渐普及,同时,计算机犯罪和计算机系统失效的事件频频发生,使得信息系统审计日益得到重视并迅速发展。美国、日本先后成立了IT审计方面的协会组织,从事对IT审计规则的制定和实施指导。20世纪90年代,信息和信息系统已成为企业的重要资产,企业和社会对信息系统控制和审计的需求愈发强烈。发达国家的信息系统审计进入普及期,许多国家的审计机关、学者和组织对计算机环境下的信息系统审计进行了有益的探索。同时,东南亚各国也逐渐认识到信息系统审计的重要性,开始着手研究信息系统审计理论和实务。
目前,我国信息系统审计仅有十几年的历史,尚处于探索阶段,既缺乏开展信息系统审计业务的人才队伍,也没有形成专业规范体系,所进行的一些计算机审计方面的探索和尝试以及计算机审计软件的开发和应用还大都停留在对被审计单位电子数据进行处理的阶段。存在的主要问题有:信息系统审计观念落后;信息系统审计相关的准则、标准和规范尚不完善;信息系统审计专业人才匮乏;信息系统审计软件开发工作滞后。
1997年,广州地铁开始公司“信息化”建设。最初,广州地铁经营审计采用“绕过计算机审计”的方法,即对导出数据进行审计。审计过程中,其逐渐意识到了运用这种“黑箱原理”审计方法的风险。因此,2006年公司组建了专门的IT审计模块,探索“如何利用计算机审计”和“通过计算机审计”。其后,广州地铁信息系统审计发展经历了借力、助力和自立三个阶段。
一是借力期:IT审计模块成立初期,公司与外部顾问共同开展IT审计项目,通过外部专业人员向审计人员传输IT审计技能,同时制定《IT审计实施细则》,在人员技能储备和制度上为IT审计模块的发展奠定了基础。二是助力期:审计人员参照审计手册,利用从外部顾问处学习到的审计技能,逐步开展信息系统审计工作,将IT审计工作模式调整为以自身力量为主,外部咨询服务为辅的模式。三是自立期:2009年,广州地铁IT审计已基本实现自主化,且IT审计模块逐步走向成熟,同时其还建立了具有自身特色的信息系统审计框架。
目前,IT审计已经发展成为广州地铁内部审计的一根“支柱”,连同“内控审计”,作为基本的审计手段贯穿于各类专业审计工作中,支持审计体系的巩固与发展。
三、信息系统审计内容
1、国内外关于信息系统审计内容的研究
开展信息系统审计首先要明确审计内容。国际信息系统审计协会规定,信息系统审计的主要内容包括信息系统程序审计、信息技术(IT)治理、系统生命周期管理、IT服务的交付与支持、信息资产的保护、灾难恢复和业务连续性计划。
近十几年来,国内的学者和组织也对信息系统审计的内容进行了探索和研究。审计署在2012年颁布的《信息系统审计指南――计算机审计实务公告第34号》中明确提出了:信息系统审计包括对应用控制、一般控制和项目管理的审计。其中,应用控制包括信息系统业务流程,数据输入、处理和输出的控制,信息共享和业务协同;一般控制包括信息系统总体控制、信息安全技术控制、信息安全管理控制;项目管理包括信息系统建设的经济性、信息系统建设管理、信息系统绩效。
上述具有代表性的规定和研究成果对信息系统审计内容的划分,均是以对信息系统逻辑结构的分析为基础。全面分析信息系统的逻辑结构,可从信息系统的构成要素、信息系统生命周期和信息系统管理三个维度进行描述:从构成要素来看,信息系统由人员、应用(包括软件平台和应用系统)、所采用的技术、硬件设备、数据文件运行规则组成;信息系统生命周期可划分为信息系统的规划阶段、开发阶段、运行维护阶段和更新阶段;从信息系统管理的维度来看,对系统的管理与控制活动贯穿于信息系统生命周期的始终,主要是通过有效执行一系列健全有效的规章制度和管理规程来实现。
2、广州地铁信息系统审计实施框架
结合广州地铁信息化项目多、系统更新快、数据集成度高、系统控制与手工控制并重等特点,围绕信息系统构成要素、信息系统生命周期和信息系统管理三个维度,广州地铁将信息系统审计的内容划分为整体计算机控制审计、应用控制审计和系统建设效能评价三个方面。其中,整体计算机控制审计是对信息系统运行中的控制活动进行审计,目的是合理保证由信息系统支持的业务流程控制是可靠的、生成的数据和报告是可信的。应用系统控制审计是对业务流程中的自动化控制活动进行审计,以合理保证交易的有效性、经适当授权和记录、完成的完整性、准确性和及时性。项目及系统绩效审计是对信息化项目的过程及成果对企业和业务产生的效益进行审计,用来合理保证信息化项目的投资/产出比例符合建设的目标,以及信息系统对企业战略起到的预期的支撑作用。围绕上述三个方面,广州地铁内部审计确立了以下的实施框架。
(1)确立整体计算机控制安全、操作、变更的三个评价维度,围绕“信息系统全生命周期”,明确整体计算机控制十个流程。广州地铁通过学习和借鉴国际信息系统技术管理和控制标准COBIT,建立起了一套自己的整体计算机控制审计框架。框架可按流程和控制类型两种方式进行划分,两种划分方式在本质上是一致的。在按流程划分出的每个子流程中,信息系统审计人员需要从变更、安全、操作的角度去确认和评估具体的控制点;在按控制职能所作的划分中,审计人员需要围绕信息系统的策略与计划、信息系统操作、与外部供应商关系、业务可持续计划、应用系统开发、数据库、软件支持、网络、硬件等十个子流程进行审计。
围绕安全、变更、操作三个角度及十个子流程,广州地铁共梳理出有关整体计算机控制的41项审计内容,并针对每一项内容明确了控制目标和风险,建立起了一套完整的整体计算机控制矩阵。例如,信息系统策略和计划子流程中,广州地铁明确了整体计算机控制的三大目标――信息系统战略、规划和预算应与实际业务和战略目标保持一致,计算机处理环境应得到具有适当技能和经验的人员的充分支持和保证,以及计算机处理环境中的人员应接受适当的培训,审计人员在此基础上针对各控制目标,识别并归纳出广州地铁现行的9个控制活动。在具体开展信息系统整体计算机控制审计时,信息系统审计人员根据审计项目的特点和要求,选择需要评价的子流程,再对照子流程的控制活动进行评估及测试即可。
(2)从内部控制目标出发,将信息系统应用控制划分为访问控制、完整性控制及数据质量控制三大方面。广州地铁将信息系统的应用控制划分为应用系统访问控制、流程和系统完整性控制以及数据质量控制三大类,并针对各类控制分别设计了不同的审计内容。
一是应用系统授权访问控制审计包括对系统的认证方式、授权机制、权限的分配管理以及不相容职责分离在系统中的实现情况的审计,目的在于保证经过允许的人才能访问和操作系统。二是流程和系统完整性控制审计是对系统输入、处理、输出以及接口等各种系统运行规则的审计,用以保证所有经允许处理的数据均转换到介质上并被处理,且处理的结果可通过适当的方式加以输出,所有输入、转换、处理和输出均在正常的时间内准确地进行。三是数据质量控制审计则是指对信息系统中的数据的完整性、规范性和有效性所进行的审计,旨在保证所有系统的输出均反映为经批准的有效的经济业务,所有经过系统的数据真实、有效,且能满足企业各项业务的使用要求。
(3)围绕“信息化项目”和“信息系统”,综合评价信息化建设的效益。在开展整体计算机控制审计和应用控制审计的基础上,广州地铁从企业经营和投资效益的视角出发,在信息系统审计中引入了3E审计的概念,尝试对信息系统建设项目的成效、建成后系统的应用效能以及信息化对战略的支撑效果进行审计。为了全面评价项目,广州地铁通常将对单个信息系统建设项目的合规性审计与项目效能审计结合在一起开展。
一是信息系统建设成效审计旨在通过对系统建设全过程的审计,促进信息系统的建设规范性,提高信息系统建设的质量。二是信息系统应用效能审计包括对业务需求的实现情况、建成功能的使用情况的审计分析,以及对系统应用对业务管理规范化、标准化和精细化提升作用的综合评价,目的在于促进系统使用价值的最大化,减少系统建设的投资浪费。三是战略支撑效果审计是从支持战略实现的角度,评价信息系统的建设效益,保证信息化建设在符合业务管理要求的同时,符合公司战略的需要,支持公司战略的实现。
四、信息系统审计实施步骤
信息系统审计步骤(或流程),是审计工作从开始到结束的整个过程。信息系统审计流程一般可划分为四个阶段:计划阶段、实施阶段、报告阶段和后续阶段。计划阶段是信息系统审计流程的起点,此阶段的主要工作包括了解被审计系统的基本情况,初步评价被审计单位信息系统的内部控制和外部控制,识别重要性和编制审计计划。实施阶段是根据计划阶段确定的审计范围、重点、步骤和方法进行有针对性的取证、评价,并形成审计结论的过程。实施阶段是信息系统审计工作的核心,主要由符合性测试和实质性测试两个部分构成。在报告阶段,信息系统审计人员需运用专业判断,整理、评价收集到的审计证据,以经过核实的审计证据为依据,形成审计意见,出具审计报告。审计报告的出具并不意味着信息系统审计工作的终结。根据国际信息系统审计标准,信息系统审计人员对于系统中发现的重大问题和漏洞,需要对被审计单位所采取的纠正措施及其效果进行后续审计。审计人员需要将后续审计纳入计划,并安排必要的人员和时间进行后续审计。
广州地铁IT审计模块成立之初,即明确了IT审计“对公司的系统流程与控制、项目进行审计”和“提供有益于增加公司价值的咨询服务”两项核心职责,并围绕公司战略,以“风险导向”、“服务战略”理念为指导,从信息系统审计战略规划和具体项目执行两个层面分别制定信息系统审计的流程。
1、以公司战略为导向,制定信息系统审计的战略规划
一直以来,广州地铁奉行“源于战略、服务于战略”的现代审计理念。这一理念主要体现在两个方面:一是在制定内审工作计划时,从公司战略出发,制定各个内审业务及各专业审计模块的战略,并以业务战略为指导,开展具体的审计工作;二是在开展审计项目的过程中,始终从保障公司战略执行的角度去发现问题、评价问题,提出整改意见和落实整改。信息系统审计的战略规划来源于公司的战略,以及以公司战略指导制定的公司信息系统战略规划和内部审计业务战略规划;同时还须结合公司信息化现状和IT审计模块定位,明确广州地铁IT审计发展战略目标。
2、通过风险评估,确定各信息系统风险等级,制定层次分明、重点突出的信息系统循环审计计划
为利用有限的审计资源掌握公司主要信息系统的建设、运营情况,保障信息资源的有效利用,降低公司信息系统的整体风险,广州地铁建立了一套“根据信息系统风险评级制定差异化的审计策略”。
(1)梳理信息系统脉络,全面掌握信息系统现状。广州地铁结合信息系统规划、建设和运营的情况及系统分类梳理出被审计信息系统清单,并从系统构成要素的角度收集系统相关的信息。这些信息包括系统名称、功能模块、采用产品等基本信息,以及项目的建设信息、系统的使用状况和运维的基本情况。这些信息是风险评分的依据,也为后续开展具体审计工作时确定审计方案提供了指引。
(2)开展信息系统风险评级,制定风险导向型审计计划。内审人员从通用风险、业务风险、项目风险、系统风险、数据风险和人员风险六大风险类别出发,全面识别信息系统各类构成要素中存在的风险;对信息系统进行风险评价,根据风险得分将信息系统按优先级分别划分为高、中、低三类。结合公司IT审计资源的情况,对优先等级高的系统采用三年一审策略,中等级系统5―6年一个审计周期,风险等级低的系统则根据需要安排审计。在此审计策略的基础上,再综合考虑公司业务的十大风险、领导关注事项、上一年度内控评价结果和审计项目成果、公司新一年的工作重点、公司信息系统的变动情况,并制定出本年度的信息系统审计计划。
3、以风险为导向,开展信息系统审计
在项目实施阶段,审计人员必须从公司整体信息系统控制环境和被审计系统的状况、流程与内部控制两个方面进一步收集被审计系统的相关资料,了解和确认被审计单位已建立的内部控制措施,并对这些控制措施的设计是否达到控制目标进行评估。
(1)以“轮流循环+以点带面”的方式开展整体计算机控制审计。公司的信息化业务采用统一集中管理的模式,整体计算机控制对各个系统具有一定的通用性。因此,在实务操作中,广州地铁采用“以点带面”的策略,以单个信息系统整体计算机控制为切入点对整体计算机控制进行审计,评价整体信息系统的安全性;同时,考虑到信息系统在一定时间内相对稳定,因此在实施整体计算机控制审计时可采取轮流测试的方式,即每年从十个子流程中选取几个进行测试,经过一定周期后,完成对整体计算机控制的全面审计。例如,在2011年开展的信息安全审计项目中,审计人员就围绕信息安全这个审计主题,从十个子流程中选取了与信息安全直接相关的信息系统操作、信息系统安全、业务可持续计划、应用系统开发与实施、数据库开发与实施和系统软件支持等六个流程进行审计。分步、循环开展整体计算机审计,在审计风险可控的情况下,大大节省了审计资源,也使得审计人员能够更加深入地挖掘和分析整体计算机控制方面所存在问题以及问题的成因,提出更为切实可行、同时又符合公司信息化业务发展现状和要求的整改措施。
(2)以风险为着眼点,确定应用控制审计重点。应用控制是各个信息系统内部所建立的控制机制,应用控制审计必须针对某个具体信息系统开展。在开展应用控制审计的过程中,审计人员应紧紧围绕“风险”这个着眼点,通过对原有业务成熟度和系统建设过程中风险的评估,选择不同的审计侧重点开展应用控制审计。例如,在合同管理系统审计项目中,由于合同管理系统是全新开发的系统,审计人员经分析,判定系统在应用系统访问控制方面的风险较高。而在进行控制评估和测试后,审计人员发现业务人员在创建系统权限设置机制时完全套用了公司办公自动化系统的权限机制,而未针对合同业务流程中不同于公司组织架构下的角色设立相应的用户组,导致系统无法实现合同经办人与审批人职责的分离,存在重大的内控风险。
五、信息系统审计方法
在信息系统审计中,可因地制宜,综合运用多种学科的技术方法,包括:传统审计中内部控制测评的基本方法和审计取证的基本方法(包括审阅、核对、监盘、观察、查询、函证、计算、分析性复核);计算机科学的技术方法,如数据测试法、程序编码审查法、受控处理法、受控再处理法、整体测试法、平行模拟法、程序比较法、漏洞扫描、入侵检测、嵌入审计程序法等等;行为科学的技术方法,如运用组织发展的理论与方法、个体行为一般规律的理论和方法。这些方法与技术并不是孤立的,而是互相联系的。
目前,广州地铁在信息系统审计中所运用的方法仍主要集中在传统的内控审计方法和信息系统管理的技术方法两个领域,具体包括询问、观察、文件复核、抽样、重新执行、使用计算机辅助软件等。在部分项目中,也采用了一些计算机科学的技术方法。受限于审计资源不足,广州地铁较少采用程序比较法、平行模拟法、程序编码审查法等高成本的审计方法,而倾向于选用一些较为高效的测试方法。但这些高效方法的运用不能完全消除审计风险,这就需要审计人员根据自身的经验尽量避免。
1、传统审计方法的运用
广州地铁在开展信息系统审计过程中较多运用传统审计的方法。例如,在对信息系统整体计算机控制进行审计时,通过对系统使用人员的访谈、调研和对系统各项操作的观察,梳理出整体计算机控制相关的各种控制活动。在没有测试环境的情况下对生产在用信息系统的人机交互界面和功能进行调查和确认时,审计人员大量运用了观察的方法。在对固定资产信息系统模块进行审计中,审计人员通过观察物资采购人员、资产管理人员、会计核算人员在系统中的操作界面、系统实现效果以及业务操作流程来了解系统功能的构造。发现采购中的供应商信息在跨系统流程过程中丢失,导致财务系统和实物管理的MAXIMO系统的资产台账中均缺少供应商信息,致使日后采购同类物资时,采购人员无法获取历史采购信息作为参考,增加了市场调研成本。除内控矩阵和访谈、观察等方法之外,编制流程图、数据流图和报表流图也是信息系统审计经常使用的方法。
2、计算机科学技术方法的运用
计算机科学技术方法是信息系统审计特有的方法,来源于IT行业的信息技术的转换应用,主要包括基于数据分析的方法和基于程序分析的方法,这些方法的综合使用使得对信息系统的审计更加有效。具体方法的选用需视被审计系统的实际情况而定。在一个审计项目中,广州地铁审计人员经常将多种方法结合使用。例如,在票务收入系统审计项目中,审计人员首先采用数据测试法,使用正常及非正常的测试地铁票搭乘地铁,在系统中跟踪测试票的处理情况,以验证系统处理与控制功能是否均有效;在对系统中后期内部开发的车站单程票售卖功能进行审计时,审计人员采用了程序编码审查法,对系统的源程序编码进行审查,审查后发现单程票售卖金额统计报表在进行数据处理时省略了小数点后的尾数,导致报表金额存在偏差;在对票务系统的清分报表进行验证时,审计人员又采用了平行模拟法,抽取系统中一段时间内的正式交易记录,在系统外模拟系统的处理规则对交易记录进行处理,并将处理结果与系统的报表数据进行核对,结果发现系统在数据传递和处理过程中,由于系统对于异常数据的审核过于严格,导致部分正常数据被当作垃圾数据丢进异常库,给公司造成票务损失。
3、计算机辅助审计软件的应用
计算机辅助审计软件的应用是信息系统审计的一个显著特点,也是审计人员准备阶段需要重点关注的问题之一。目前,广州地铁对计算机辅助审计软件的应用主要体现在以下两个方面。
(1)对系统中数据的准确性、完整性和一致性的检查。例如,在合同管理系统审计项目中,为核对系统接口程序的可靠性,审计人员利用审计辅助软件快速完成了对合同系统和财务系统数据一致性的核对,迅速查找出两个系统中不一致的数据。经过深入分析,审计人员发现由于财务核算人员在财务系统中复核合同支付数据时发现错误,将支付申请退回给合同系统再由合同经办人重新填报时,合同系统未对已生成的支付信息进行更新,导致上述问题的出现。针对海量数据处理系统,数据验证是审计的重点,计算机辅助软件是“不可或缺”的审计工具。在地铁票务收入保障审计项目中,审计人需要通过数据验证的方式对业务处理的核心系统――自动售检票(AFC)系统中的系统传输和处理机制进行验证。为此,审计人员共设计了8大类29子类47个数据验证主题。审计时,审计人员运用计算机辅助审计技术,在两个月内完成了对AFC系统中10天总计超过3亿条运营数据的验证工作。
(2)利用计算机辅助软件进行对比测试。即审计人员从信息系统中抽取某部门样本数据,将样本数据输入到与计算机辅助软件中进行处理,把审计软件输出的结果与业务系统产生的结果进行对比分析,以判定业务系统的可靠性与准确性。广州地铁在已开展的运营票务收入保障审计项目中大量地使用了此种方式。审计人员将各车站站务人员在票务系统中录入的售票数据导入到计算机辅助软件中,按照业务规则对数据进行处理,将处理结果和系统输出的结果进行对比。经对比,审计人员发现票务系统在处理异常数据时过于严格,导致部分非异常数据被系统当作异常数据丢入异常库中,给公司造成票务损失。
4、信息系统审计与业务内控审计相结合
企业管理流程信息化的过程中,会对原有的业务流程进行优化甚至重构。对原有手工流程的内控评价在信息化环境中可能不再适用。因此,广州地铁在信息系统审计中添加了对业务流程的内控评价――先对业务的内部控制情况进行评估,梳理并确定业务流程风险和关键控制点,再对照业务流程对系统的处理流程进行评价,确保信息系统审计评价的准确性。信息系统审计与业务内控审计相结合的方法还体现在对一个流程中未在信息系统实现的控制环节可以通过内控审计进行补充。实践表明,信息系统审计与业务内控审计相结合的方法在很大程度上提高了审计的全面性。
由于信息技术自身的特点,例如电子数据的不可视性,加之被审计单位信息系统内部控制方面可能存在缺陷以及信息系统审计人员在专业技术和职业道德方面亦不完美,信息系统审计风险客观存在。面对信息系统审计风险,需要审计人员通过深入调研,全面了解被审计系统的情况;需要培养专业人才,“以点带面”提升团队能力;结合企业发展情况,制定内部信息系统审计标准;利用审计软件,降低抽样风险,提高审计效率等多种措施,不断降低审计过程中的检查风险,提高审计质量。
【参考文献】
[1] Ron A.Weber,Information Systems Control and Audit,1st ed,NJ:Prentice Hall,1998.
[2] S. Anantha Sayana:The IS Audit Process[J].The ISACA Journal,2002(1).
[3] Craig S. Wright:The IT Regulatory and Standards Compliance Handbook:How to Survive Information Systems Audit and Assessments,1st ed,MA:Syngress, 2008.
[4] Robert E. Davis:Information Systems Auditing:The IS Audit Planning Process,3rd ed,2010.
[5] Jack J. Champlain:Auditing Information Systems[J].2nd ed,NJ:John Wiley&Sons,2003.
[6] 卢红柱:计算机信息系统审计的探索之路[J].审计研究,2006(增刊).
[7] 王进波、常卫:信息系统审计的发展与现状[J].财政监督,2008(4).
[8] 陈继初:信息系统审计在我国的现状及存在的问题[J].消费导刊,2008(12).
[9] 吴沁红:信息系统审计内容分析[J].财会研究,2008(10).
[10] 胡晓明:信息系统审计理论体系的构建[J].中国注册会计师,2006(6).
[11] 王艳、周剑:信息系统审计辨析[J].图书情报工作,2004(48).
[12] 田佳林:信息系统审计简述[J].财政监督,2008(4).
[13] 陈婉玲、杨文杰:COBIT及其在信息系统控制与审计中的应用[J].审计研究,2006(增刊).
[14] 赵静:COBIT框架在IT审计中的应用[J].中国内部审计,2009(12).
[15] 张妍:信息系统审计方法研究[J].审计月刊,2010(11).
[16] 刘杰、罗继荣:信息系统审计质量控制准则研究[J].财会通讯,2011(5).
[17] 王振武、张子瑾:信息系统审计理论结构框架研究[J].会计之友,2011(7).
[18] 薛富平:信息系统审计风险[J].财会研究,2007(3).