1 信息技术风险的控制要素 信息系统做为一个人工系统,由于受人类思维的限制必然存在漏洞及风险。信息技术风险是指信息系统在运行管理过程中产生的、在一定条件下可能影响企业目标实现的各种不确定因素。
常规的信息技术风险控制分为三个方面,此外还可根据实际情况来设计专项审计。
(1)组织层面的信息技术控制。企业管理层对信息系统重要性的态度、认识和措施。相关的控制要素包括①控制环境。信息中心组织结构和人员职权分配的变更、用户的信息技术培训等。②风险评估。风险管理流程和其执行情况,信息资产管理等。③信息与沟通。信息系统中财务相关的业务流程的支持度、信息沟通模式、信息管理制度传达等;
④监控。监控管理报告系统、内部控制的自测评等。
(2)一般性控制层面的信息技术。为确保信息系统持续稳定运行和控制的有效性所使用的信息技术及其相关人员。相关的控制活动包括①系统安全管理。信息安全管理制度,物理访问及身份认证机制,系统设置的职责分离控制等。②系统变更管理。系统设置变更的授权与审批,程序变更、测试和移植的流程控制等。③系统采购和开发管理。系统开发和采购的授权审批,开发、测试和运行环境分离情况,系统上线的测试、审核、移植控制情况。④系统运行管理。信息资产管理、系统物理环境控制,数据备份及恢复管理,问题管理和日常运行管理等。
(3)业务流程层面的应用控制。信息系统根据业务流程要求,按数据生成、记录、处理、报告等功能而设计、执行的信息技术控制。相关的数据输入、输出及处理的控制活动如下授权与批准;
系统配置控制;
异常和差错报告;
数据接口控制;
一致性核对;
职责分离;
系统访问权限;
系统计算等。
(4)专项审计。除了上述常规的信息技术风险控制内容外,内部审计人员还可以根据当前面临的特殊风险或需求来设计专项审计,例如信息系统开发实施项目的专项审计;
信息系统安全专项审计;
信息技术投资专项审计;
外包条件下的专项审计等。
2 信息系统内部审计的过程 开展信息系统内部审计一般分为三个阶段审计计划阶段、审计实施阶段、审计报告与后续工作阶段。内部审计以风险评估为导向,风险评估贯穿各个阶段。
(1)审计计划阶段。首先根据内部审计计划制定书面的信息系统内部审计方案,方案应明确审计目标、审计内容的重点及审计程序、估算审计所需的资源以及审计小组成员的职责。例如,某发电企业2010年度信息系统内部审计实施方案摘录如下 一、审计目的为确保电厂信息系统的相关管理能够满足内控的要求,以满足电厂不断增长的业务需求,对电厂信息系统的安全性、可靠性、提供服务的有效性以及对当前法律法规的遵循性进行评估。
二、审计范围内控手册涉及信息系统部分的相关内容。
三、审计主要内容以内控手册中的相关要求和规定作为依据,同时参照公司颁布的与信息系统相关的管理制度。审计的主题总体分为如下几个部分信息系统的控制环境、信息系统的物理安全、网络安全和管理、数据库的备份及恢复、应用系统的使用和管理、单机版及Excel表格、服务器及软件管理、信息系统运行管理。
四、审计时间和审计人员安排(略)。
五、需要关注的要点(略)。
六、主要审计实施过程(略)。
在制定审计方案时应重点关注以下内容组织架构和信息系统的长短期发展计划;
信息系统的关键业务流程和信息系统的复杂程度;
信息系统及业务流程的变更情况;
以前内部审计中发现的情况。
(2)审计实施阶段。在审计实施阶段,内部审计人员用信息系统内部审计底稿记录审计成果,包括审计程序、审计发现(事实)和审计结论,以及支持审计结论的审计工作细节及审计证据。在审计过程中获取的数据应有严格的归档措施和保密措施。例如,某发电厂在2010年度信息系统内部审计方案中,将审计的主题分为了八个部分,并据此设计了八份信息系统内部审计底稿。以下是信息系统内部审计底稿格式样张(见表1)。
(3)审计报告与后续工作阶段。审计实施阶段结束后,内部审计人员应依据审计底稿形成审计结论与建议。例如数据库管理审计工作底稿样张(表2)中审计结论部分内容。根据最终的审计底稿,出具信息系统内部审计报告,并追踪审计建议的落实并执行相应后续审计程序。信息系统内部审计报告一般由以下几部分组成信息系统基本情况;
审计情况;
审计评价;
审计中发现的不足;
审计建议。
3 信息系统内部审计的方法 (1)设计审计程序。根据不同的控制要素,内部审计人员在信息系统内部审计底稿上设计恰当的审计程序来获取审计证据,以此来评估信息技术风险的控制要素,确认信息系统的设计有效性和执行有效性,并使用内部审计工作底稿记录审计过程和事实。被审计单位对审计事实进行确认后,再重新评估审计风险,最终根据剩余风险进一步设计审计程序并执行。
(2)选取审计样本。内部审计人员在选取审计样本时,可按业务流程的重要程度适当减少样本量。对于在上次审计期间未发生变更的应用系统,可考虑适当降低审计频率。
(3)审计方法及样例。根据在发电企业开展内部审计工作积累的经验,总结出以下适用于发电企业信息系统的审计方法一是,询问相关的控制人员。样例内部审计人员对照信息安全事故应急预案,询问信息中心人员对于机房电源中断突发事件的应对措施,考察技术人员是否已掌握相关的技能。二是,观察特定控制的运用。样例实地查看位于办公楼四楼的中心机房消防系统、空调系统、门禁系统运转情况。
抽查客户端是否存在未经授权擅自安装盗版软件情况。三是,审阅相关的文件和报告。样例查阅今年信息化管理领导小组名单是否与现状是否相符;
查阅今年信息中心人员职责分工表是否及时更新;
查阅信息中心今年新员工的上岗培训、忠诚及诚信调查记录等。四是,根据业务流程进行穿行测试,跟踪信息系统的处理过程。样例在物资管理系统中跟踪一张领料单的流转过程,测试物资领料的业务流程是否正确,应用系统中的物资库存等数据更新是否准确。五是,验证系统控制和计算逻辑。样例使用SQL Server企业管理器,测试某数据库连接口令是否为空密码。六是,登录信息系统进行查询。样例登录人力资源系统,查询今年退休的员工是否已经注销或禁用账号。七是,利用计算机辅助审计工具。样例使用财务审计软件对财务系统进行审计。八是,利用其他专业机构的审计结果。样例引用第三方专业机构应用系统压力测试报告数据做为本次系统上线的审计结果。
4 发电企业信息系统内部审计过程中需要关注的要点 (1)管理制度是否有效执行。发电企业的信息系统一般执行集团公司的相关制度,内部审计人员需要充分熟悉公司层面的管理制度,掌握内部控制手册中信息系统相关部分内容。对于发电企业层面制定的信息系统相关管理制度,关注是否存在与公司管理制度冲突情况。
(2)网络安全风险是重点。关注网络管理中内外网物理隔离技术和管理措施,局域网是否满足电力二次系统安全防护体系的要求。关注计算机同时连接内网和外网的情况,检查信息中心是否制订相关制度来消除这种风险。
(3)密码策略是否存在漏洞。关注信息系统服务器的密码管理是否符合密码策略要求。检查纳入内控测评范围内的Excel表格的密码管理。
(4)外部人员未经授权使用信息系统。关注外部人员未经许可接入内网或使用系统的情况,检查信息中心是否采取监控措施来消除这种风险。
(5)信息中心的操作记录文档。抽取信息中心操作记录文档样本进行测试,以确保文档记录落到实处。重点关注数据备份和恢复测试部分的文档和介质是否相符。
(6)应急预案。关注信息系统是否有应急预案以处理突发事件,应急预案是否切实可行。
(7)服务外包。关注服务外包项目的相关人员是否有超越其外包范围的行为。在发电企业开展信息系统内部审计的目的,就是要通过实施信息系统内部审计工作,对企业组织是否达成信息系统的管理目标进行综合评价,并基于评价意见提出管理建议,协助企业的信息管理人员有效地履行其受托责任,确保发电企业信息系统的相关管理能够满足内控的要求,并达成企业的信息管理目标。由于发电企业信息系统内部审计的对象主要是数字化记录和管理,为了适应内部审计工作模式由事后审计转向事中、事前审计,未来的内部审计发展方向,应该逐步建立起联网监控跟踪核查的审计模式,实现从单一的静态审计向静态与动态审计相结合的转变、从单一的现场审计向现场与远程审计相结合的转变。
[1]庄明来,吴沁红,李俊。信息系统审计内容与方法[M].北京中国时代经济出版社,2008. [2]张金城。信息系统审计[M].北京清华大学出版社,2009. 9