it審計和普通審計篇1
【關鍵詞】信息 信息系統審計 問題
一、對信息系統審計的一般認識
(一)信息系統審計的發展歷程
審計是經濟社會發展到一定階段的產物,隨著經濟和社會不斷變化,計算機信息技術不斷發展進步,信息系統審計也應運而生并不斷發展。信息系統審歷經形成、建立到逐漸完善,低級到高級歷史進程,具體可劃分為萌發階段、拓展階段、成熟階段、普遍提升階段。
1.萌發階段。上世紀中葉,信息系統審計(以下簡稱ISA)處于萌芽階段。IBM出版了《電子數據處理環境下的審計》;美國注冊會計師協會(以下簡稱協會)出版了《會計審計和計算機》,闡述了如何進行電子數據下信息系統審計與傳統外部審計,指出新的電子數據下內部審計的規范、組織方式等。此時ISA又被稱為電子數據處理審計(EDPA),也就是以計算機為核心的審計。1969年,信息系統審計與控制協會(以下簡稱ISACA)在美國成立,標志著國際社會正式開始對ISA的研究。
2.拓展階段。二十世紀七十年代,不斷出現的計算機犯罪促使ISA的拓展。1974年,協會制定了電子數據處理審計的標準并記錄于《內部管理的調查與評價對EDP的影響》一書中。1977年,內部審計師協會發表《系統可審計性及規則的研究》(SAC報告),該書匯總了針對歐洲、美國、加拿大與日本等國家的企業所展開的調研情況,同時指出審計執行工具取得的成就。1975年,日本ISA委員會成立并且在1976年發表多部與信息系統審計相關的書籍:《使用電子計算機的會計組織的內部規則質問書(修訂案)》、《EDP審計標準及審計過程試案》和《EDP審計方法》等。1978年,信息系統審計師(CISA)考試與資格認證開始實施,這標志著ISA的深入拓展。
3.成熟階段。信息系統審計發展的成熟期是八十年代。1982年,日本通產省設立計算機安全研究會,對健全信息化的必要法規進行研究。1983年,發表緊要課題——《有關計算機的安全對策》。1984年,日本ISA協會研究美國的ISA標準并于1985年《IT審計標準》,同時將IT審計師考試加入計算機水平考試中。
4.普遍提升階段。ISA在二十世紀九十年代不斷普及。這一時期,ISACA不斷拓展擴大,一百六十多個分會遍布全球,擬定并頒發ISA法則與實務指南,同時積極推廣CISA資格考試。1992年,EDP審計委員會在國際最高審計組織(INTOSAI)的推動下成立了,因此又被稱為INTOSAI-EDP委員會。2002年11月將其變更為INTOSAI-IT委員會。
信息系統審計的拓展提升,一方面使得傳統審計技術不斷擴展改變并應用廣泛;另一方面整個社會依賴計算機信息系統越來越緊密促使信息系統審計越來越重要,信息系統審計代表了未來審計發展的一個重要方向。
(二)信息系統審計的涵義
全球信息系統審計領域內的著名專家Ron A. Weber指出,信息系統審計是審計人員經被審計單位的授權或者委托,收集、整合證據,從而評估一個計算機信息系統能否有效地維護資產、保護數據完整性,同時最有效地實現組織目的的活動進程。它包含信息系統外部審計的鑒證目標和內部審計的管理目標,具體來講是鑒證被審單位數據的完整性與資產的安全性以及信息系統的有效性。日本通產省情報協會將其概述如下:為了信息系統的有效、安全與可靠,由獨立審計對象之外的IS審計師,以客觀的立場對以計算機為主的信息系統展開全面的檢查與評估,同時對所審計單位的最高領導提出意見和建議的一系列的活動。鄧少靈學者指出,IT審計是從規劃、研究、實行到執行維護各個階段展開對信息系統的審查與評估,從而審查信息系統的有效、安全與可靠,以此來保障信息系統得出的數據精確可靠。
以上學者對信息系統的定義雖然不盡一致,但通過分析可以發現信息系統審計的一些要點:
1.信息系統審計的目標是判斷信息系統能否有效保護公司資產,提高企業經營效率和企業核心競爭力。
2.信息系統審計是一個過程,這個過程需要涵蓋企業信息系統從規劃、開發、實施到運行維護的每一個階段。
3.信息系統審計報告面對的對象是企業經營管理負責人,因為信息系統關系到企業的日常運營以至生存發展。
綜合上述幾個要點,筆者總結出,信息系統審計是對企業信息系統規劃、研發、實行、執行維護與實現組織目標的效率進行審計的過程,在這個過程中,信息系統審計人員應該對信息系統能否有效保護公司資產,提高企業經營效率以及企業核心競爭力作出判斷,并向企業經營管理負責人如實報告。
二、信息系統審計的研究現狀
(一)國外研究現狀
it審計和普通審計篇2
隨著計算機技術在管理中的廣泛運用,傳統的管理、控制、檢查和審計技術都面臨著巨大的挑戰。在信息技術突飛猛進的網絡時代,國際會計公司、專業咨詢公司和高級管理顧問都將控制風險、特別是控制計算機環境風險和信息系統運行風險作為現代審計、管理咨詢和服務的重點。由于普遍使用大型管理信息系統,幾乎所有的大型跨國公司,都非常重視對信息系統安全和穩定性的控制,常常高薪聘請IT審計師進行內部審計。在網絡經濟迅猛發展的今天,IT審計師已被公認為全世界范圍內非常搶手的高級人才。
IT審計師是“國際信息系統審計師”的簡稱。IT審計師必須具備全面的計算機軟硬件知識,對計算機網絡和信息系統的安全性具有高度而特殊的敏感意識,而且對財務會計和企業內部控制具有深刻的理解能力,要懂管理、懂經濟、懂審計、懂計算機、懂內部控制、懂網絡技術,既是審計專家,又是信息系統專家,以對計算機信息系統及軟硬件的技術性審計來保證計算機審計質量的可靠性。
二、從IT審計看審計學科的發展與技術時代的到來
1、IT審計是技術審計的一個典型,IT審計師標志著一個新的審計時代——“技術審計時代”的到來。
隨著經濟管理與科學技術的不斷結合與日益滲透,現代審計已經遠遠超出了僅對財務會計進行審查的狹窄范圍,不斷向管理領域和技術領域滲透。IT審計是技術審計的一個典型。IT審計實質上是對計算機軟件和硬件及整個信息系統的審計,否則,就不能稱為IT審計。由于計算機的廣泛普及,審計環境發生了巨大變化。假如審計人員只懂傳統審計,不懂對計算機軟硬件的審計,必然面臨可怕的潛在審計風險。在無紙辦公條件下,會計及其他信息資料被存入計算機信息系統,審計人員如不考慮被審單位計算機軟件和硬件的安全程度,對被審單位的系統與設備盲目信任,即使懂得計算機的簡單應用,也極有可能誤入計算機陷講,后果相當危險。只有對計算機審計風險進行正確估計,根據實際情況決定是否采取相應的信息系統審計對策,并能夠在風險較大的情況下針對計算機信息系統(包括硬件與軟件)實施必要的技術性審計,才能最終保證審計結果的正確性,防止和降低信息技術條件下的審計風險。IT審計的重要程度由此可以想見。顯然,網絡時代的到來已對審計人員提出了掌握過硬信息技術的要求。IT審計師不僅從事對財務會計、經濟管理活動的審計,更重要更關鍵的是對被審單位信息系統進行技術審計。IT審計師的產生是審計領域進一步擴大化的重要標志,代表著新的審計時代——技術審計時代的到來。
實際上IT審計并不是最早的技術審計。早在IT審計之前,就已經出現了各種各樣的技術性審計,只不過這些技術審計的技術性不如IT審計那樣與科學技術緊密相關。例如,質量管理中的技術性審計——質量審計(包括產品質量審計、工序質量審計與體系質量審計等),要求對產品質量進行抽查試驗;清潔生產中的技術性審計——清潔生產審計,要求揭示生產技術的缺陷并提出預防和消減污染的機會與對策;能源管理中的技術性審計——能源審計,要求進行能源監測,提出能源技術改造方案;環境管理中的技術性審計——環境審計,要求實施環境質量監測,提出環境改進建議與降低污染方案;如此等等,都是具有不同技術程度的審計類型,從它們的技術性特點歸類,可以與IT審計并稱“技術審計”。
技術審計的產生是科學技術日益滲透、審計范圍進一步向技術領域拓展的必然結果。隨著科學技術如日新月異和現代審計的不斷發展,審計的技術領域將不斷延伸,未來的技術審計形式將更加豐富多彩。
2、從IT審計看現代審計學科的發展。
王光遠教授在其名著《管理審計理論》中將審計學科劃分為“財務審計”與“管理審計”兩大分支,倡導發展管理審計,并認為管理審計以財務審計為基礎,前者是后者的發展與延伸。
筆者認為,技術審計是當代科技發展與審計發展相互融合的產物。當代社會是科學技術飛躍發展的社會,科技的迅猛發展已經給整個社會的經濟管理活動造成了巨大影響。正是在科技迅速發展的大背景下才產生了形形的技術性審計。技術性審計是在原來的財務審計和管理審計基礎上,由于科學技術向經濟管理領域的滲透而產生的。然而,到目前為止,技術審計在本質上并不是獨立于財務審計和管理審計的第三大審計分支,而是融于財務審計、管理審計之中的一類審計形態。即在財務審計與管理審計兩大分支當中都包含某些技術審計。比如,進行計算機財務審計,主要的或本質上是實施財務審計,但由于計算機軟件和硬件對財務信息的巨大影響,也往往不得不對使用的硬件和軟件進行審計,這又是技術審計;清潔生產審計實質上屬于環境(管理)審計中針對生產過程所實施的技術審計,但這種技術審計又是為進行管理審計服務的,依附于管理審計。
從受托責任理論分析,可以提出“受托技術責任”的概念。在財務審計分支中的技術審計,其受托技術責任屬于受托財務責任的二級責任,比如IT審計中,保證會計報表真實可靠,就必須要求信息系統的軟件系統和硬件系統同時可靠,后者從屬于前者,被審單位承擔的受托信息技術責任就是其所負受托財務責任的二級責任。在管理審計分支中的技術審計,其受托技術責任屬于受托管理責任的二級責任。例如,環境審計實質是對環境管理的審計,因此屬于管理審計。但進行企業環境審計,需要審查企業的生產工藝與生產技術,甚至審查產品的環保技術性能,此類技術方面的審計都是為了證實企業環境保護方面的受托管理責任。
總之,對財務會計的審計稱為財務審計;對管理進行的審計稱為管理審計;對技術方面的審計就應當稱為技術審計。從這個意義上說,技術審計應是現代審計的第三大領域。20世紀30年代以前財務審計一統天下,30年代以后80年代以前管理審計異軍突起,與財務審計并駕齊驅,80年代以來技術審計不斷涌現,90年代IT審計初視端倪,21世紀將是IT審計師獨領的時代。
三、IT審計等技術審計的產生對我國審計發展影響重大
勿庸諱言,技術審計至今未能脫離財務審計和管理審計而單獨存在。然而,盡管技術審計尚未獨立為現代審計的第三分支,但“技術審計”概念的提出仍然極具積極意義。技術審計反映了科技與審計、科技與經濟管理相互融合與滲透的時代特點,要求審計人員既要掌握經濟管理知識,又要掌握科學技術。現代審計向管理領域和技術領域滲透,是不以人的意志為轉移的必然趨勢。也許將來技術審計會成為與財務審計和管理審計相并列的第三大分支。
在不久的將來,無論是國家審計、內部審計還是注冊會計師審計,不懂IT技術必然遭遇災難性風險,離開IT審計將寸步難行。國際著名會計公司德勤會計師行的高級合伙人鮑威爾先生指出,全世界即將迎來管理領域信息化的高潮。信息技術對傳統管理和控制的挑戰是空前的,主要表現在三個方面:一是內部控制環節的變化,許多傳統的控制手段已經失去意義,評價和改進內部控制必須以信息系統的運轉為基礎;二是管理的風險增加,由于企業經營越來越依賴于信息系統,除了傳統意義上的經營風險、控制風險和財務風險之外,企業信息系統安全性導致的信息技術風險日益增長;三是對復合性高級人才的需求驟增,要求管理者、審計師和咨詢人員必須在精通管理和專業的同時熟悉信息系統和網絡技術。
it審計和普通審計篇3
今昔對比的差別固然明顯,橫向對比也很能說明問題。各級政府的行政審批大廳,服務功能雖大同小異,用戶體驗卻可能有天壤之別。因缺乏排隊設備造成的亂排隊,公告提示不清楚造成的誤排隊、誤提交,以及因辦公設備不穩定造成的無謂等待……都直接影響著公眾滿意度。
就運營來說,問題就更明顯了,如果前期設計和調研不夠完善,往往會造成因IT設備采購分散而增加成本、增加售后服務難度,以及設備本身的功能不全、穩定性不夠、耗電量高等一系列問題。這種信息化建設本身帶來的問題對于專注行政管理的政府部門來說,無疑是個大包袱。
“政府需要從采購、管理到服務全面覆蓋的一整套方案。”針對當前行政審批大廳存在的實際問題,中國惠普信息產品集團臺式機方案總監王成偉在接受記者采訪時表示。事實的確如此,在采購環節,如果能一站式采購,服務與采購成本問題就都能妥善解決,當然這對供應商的能力提出了較高要求;在使用階段,單有定制化設備還不夠,還要方便政府人員在后臺統一管理和維護;而在價值交付階段,公眾更關注界面的親和程度、信息的豐富程度以及流程的順暢程度,這就要求供應商真正理解電子政務的需求。
結合超長產品線帶來的資源和成本優勢,惠普順勢推出了“無憂政務”解決方案。王成偉介紹說,惠普依照大廳的功能分區,把行政審批大廳劃分為大廳取號區、信息查詢區、公告顯示區、審批服務區、后臺管理區、IT管理區共六個業務環境,針對每個區域的需要,惠普都有產品與之對應,形成涵蓋惠普軟硬件產品在內的政府公共服務IT應用環境。
在大廳取號區、信息查詢區、公告顯示區,公眾尚處于等待審批狀態。此時,借助惠普Kiosk排隊終端和Kiosk多功能自助查詢終端,他們就可以取號等待并且便捷地查詢辦事流程。通過惠普數字標牌的多內容顯示,視頻、圖片、文字都可以在大屏幕中顯示,讓人一目了然,并且可以隨時更新內容,其效果遠勝過紙質印刷或傳統LED顯示。審批階段是行政審批大廳運營的核心環節,惠普為此設計了十分注重安全穩定、極低故障率且低能耗的HP Compaq 6000 Pro政府用高端臺式機以及HP t5470瘦客戶機;考慮到后臺管理辦公區是工作人員具體審批處理之處,除了滿足之前的常規性高要求之外,惠普還增加了HP ProBook 6550b和HP EliteBook 2540p商用筆記本電腦的選擇,以滿足管理人員的移動性辦公需要。這一整套硬件設備看似繁雜,但管理起來卻相對簡單。
it審計和普通審計篇4
關鍵詞:賬號;身份認證;訪問授權;審計
中圖分類號:F259 文獻標識碼:A文章編號:1007-9599 (2011) 17-0000-01
Unified Identity Control and Audit Management Application in Large Enterprises IT System
Hu Xueyong
(Beijing Capital International Airport Company Limited,Beijing100621,China)
Abstract:In large enterprises IT system run management,through establishing unified identity control and audit management platform,implementation Account Management,Authentication,Authorization and Audit,will strengthen and upgrade information system audit of-in rules sexual and system run of security.
Keywords:Account;Authentication;Authorization;Audit
大型企業的內部運營管理以及與外部的交互合作已經高度依賴IT系統,因此IT系統的運維風險已經成為大型企業風險管理體系中重要的一部分。業內統計結果表明企業信息安全風險主要來自于內部,70%是由于內部員工的疏忽或故意行為造成的,因此如何將IT系統運行控制和審計的主體落實到實名用戶,便于準確和高效的監管?如何對危險操作行為進行警示,對高危操作行為進行攔截?如何對運維過程中的所有操作進行記錄,在事后進行回放?已經成為IT系統主管部門不得不面對的重要課題。
一、系統概述
建立統一身份控制和審計管理平臺,通過對用戶進行統一的實名管理以及統一的認證來控制用戶訪問主機的權限并記錄用戶對主機的操作行為,通過回放操作日志來實現事后的審計,監控用戶會話來實現事中的監督與控制。平臺架構如下圖所示:
二、系統實現
如上圖所示,建立統一身份控制和審計管理系統,對用戶在系統上的訪問行為進行嚴格的控制,無論本地用戶還是遠程用戶,都需要通過該系統實現對系統的登錄,以進行相應的控制和審計,該系統可以對動態令牌卡,智能卡,數字證書,生物識別技術等登錄方式進行認證和訪問控制,同時對訪問系統的行為進行審計。
(一)賬戶管理。集中維護的賬號包括自然人(主賬號)和資源(從賬號)在內的全部賬號以及和賬號相關的可在4A賬號管理模塊中集中管理的賬號屬性。其中主賬號應包括在該平臺中創建用于標識唯一自然人ID;從賬號為該平臺所管理的系統資源的信息,資源的范圍包括系統資源(服務器、網絡設備、數據庫、安全設備、其他)。
(二)用戶身份認證:賬號認證方式支持本地靜態密碼認證和第三方的AD域、LDAP、radius認證;支持結合多因素認證方式;可以根據工作的需要,將用戶多角色劃分,可以劃分成超級管理員、審計管理員、密碼保管員、普通用戶四種角色;可以針對不同用戶設置不同的登錄認證方式。
(三)用戶訪問控制。可以基于登陸賬戶、源IP地址、目的IP地址、訪問次數、時間段進行訪問控制;可以基于用戶/用戶組、目標設備/設備組、系統賬號、訪問協議類型設定訪問控制策略;支持對任一活動的圖形會話(rdp、http、https、xwin、vnc、客戶端)或字符會話操作(telnet、ssh)的實時監控;支持用戶組對資源服務器組的組對組的權限分配。
(四)審計管理。審計分權,可以設定不同的審計管理員是只能審計指定的設備還是審計所有設備;審計內容,系統的審計除了可以記錄用戶的會話操作外,還可以記錄管理員在堡壘機上進行的所有操作,如:配置操作、改密操作、審計操作等;針對核心設備,可設置登錄告警,告警方式可以支持短信、郵件、syslog;數據庫審計,記錄精確到用戶賬號(自然人);完整記錄通過瀏覽器方式登錄到數據庫和通過后臺服務器登錄到數據庫上進行的各種操作;完整記錄sqlplus、PL/SQL Developer、Quest Toad等客戶端工具的數據庫訪問過程;完整記錄圖形化操作過程,并可以對操作過程中的鍵盤、鼠標操作和剪貼板操作進行文本記錄。
三、結論
it審計和普通審計篇5
[關鍵詞]信息安全審計;審計應用;審計實現 ;APP
doi:10.3969/j.issn.1673 - 0194.2015.08.012
[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194(2015)08-0019-01
近年來,隨著辦公業務對手機軟件相關信息系統的依賴越來越高,APP應用軟件信息系統存在的風險對業務的潛在影響也越來越大。解決針對業務信息內容的篡改操作行為的監控管理的問題,必須要有一種有效的安全技術手段對內部員工、運行維護人員以及第三方人員的上網行為、內網行為、操作行為等進行有效的監控和管理,并對其行為趨勢進行分析和總結。
1 APP應用信息安全審計定義
為了APP應用信息系統的安全、可靠與有效,由獨立于審計對象的IT審計師,以第三方的客觀立場對以計算機為核心的信息系統進行綜合的檢查與評價,向IT審計對象的最高領導,提出問題與建議的一連串的活動稱為IT審計。IT審計就是信息系統審計,也稱IT監查。
2 APP應用信息安全審計的實現
要實現APP應用信息安全審計,保障計算機信息系統中信息的機密性、完整性、可控性、可用性和不可否認性(抗抵賴),需要對計算機信息系統中的所有網絡資源(包括數據庫、主機、操作系統、網絡設備、安全設備等)進行安全審計,記錄所有發生的事件,提供給系統管理員作為系統維護以及安全防范的依據。
2.1 合規性審計
做到有效控制IT風險,尤其是操作風險,對業務的安全運營至關重要。因此,合規性審計成為被行業推崇的有效方法。安全合規性審計指在建設與運行IT系統中的過程是否符合相關的法律、標準、規范、文件精神的要求一種檢測方法。這作為風險控制的主要內容之一,是檢查安全策略落實情況的一種手段。
2.2 日志審計
基于日志的安全審計技術是通過SNMP、SYSLOG或者其他的日志接口從網絡設備、主機服務器、用戶終端、數據庫、應用系統和網絡安全設備中收集日志,對收集的日志進行格式標準化、統一分析和報警,并形成多種格式和類型的審計報表。
2.3 網絡行為審計
基于網絡技術的安全審計是通過旁路和串接的方式實現對網絡數據包的捕獲,進行協議分析和還原,可達到審計服務器、用戶終端、數據庫、應用系統的安全漏洞,審計合法、非法或入侵操作,監控上網行為和內容,監控用戶非工作行為等目的。網絡行為審計更偏重于網絡行為,具備部署簡單等優點。
2.4 主機審計
主機安全審計是通過在主機服務器、用戶終端、數據庫或其他審計對象中安裝客戶端的方式來進行審計,可達到審計安全漏洞、審計合法和非法或入侵操作、監控上網行為和內容以及向外拷貝文件行為、監控用戶非法行為等目的。主機審計包括主機的漏洞掃描產品、主機防火墻和主機IDS/IPS的安全審計功能、主機上網和上機行為監控、終端管理等類型的產品。
2.5 應用系統審計
應用系統安全審計是對用戶在業務應用過程中的登錄、操作、退出的一切行為通過內部截取和跟蹤等相關方式進行監控和詳細記錄,并對這些記錄按時間段、地址段、用戶、操作命令、操作內容等分別進行審計。
2.6 集中操作運維審計
集中操作運維審計側重于對網絡設備、服務器、安全設備、數據庫的運行維護過程中的風險審計。
運維審計的方式不同于其他審計,尤其是維護人員為了安全的要求,開始大量采用加密方式,如遠程桌面協議(Remote Desktop Protocol,RDP)、SSL等,加密口令在連接建立的時候動態生成,一般的針對網絡行為進行審計的技術是無法實現的。
3 審計系統的實現
通過對6類審計產品的綜合應用,可以形成較完備的APP應用信息系統安全審計應用系統,對整個網絡與信息系統中的網絡、主機、應用系統、數據庫及安全設備等進行安全審計,且可以支持分布式跨網審計,并進行集中統一管理,達到對審計數據綜合的統計與分析,更有效地防御外部的入侵和內部的非法違規操作,最終起到保護信息和資源的作用。
參考網絡與信息系統安全審計應用模型,企業既可以采取單項逐一建設方式,也可以采用多項綜合建設方式建立內部審計應用系統。對于擁有分(子)公司且不在同一地區的企業,也可以通過城域網絡把多個分(子)公司統一起來,進行集中建設,統一管理。
4 結 論
通過整合市面上多種不同類型的審計產品,按照網絡與信息系統安全審計應用模型,采用“統一規劃、分步實施”的方式,可以在企業內部建立起嚴格監控的網絡與信息系統安全審計應用平臺,提升企業信息化日常運維及操作的安全性。
主要參考文獻
[1]胡克瑾.IT審計[M].北京:電子工業出版社,2002.
[2]徐正旦.審計研究前沿[M].上海:上海財經大學出版社,2011.
it審計和普通審計篇6
內容摘要:本文詳細介紹了電信行業的信息技術一般性控制的內容。首先介紹了國際上通用的信息技術內部控制的理論框架以及中國內部審計協會的內部審計第28號具體準則――信息系統審計的內容,并結合實踐對電信行業信息技術一般性控制的系統范圍、實施框架及信息技術一般性控制問題及改進措施進行了研究,以期為電信行業不斷完善信息技術一般性控制體系提供理論參考。
關鍵詞:內部控制 信息系統審計 信息技術一般性控制
美國的《薩班斯法案》404條款對企業的內部控制提出了嚴格規范,要求在美上市的公司按照404條款推薦的COSO框架建立起完善的公司內部控制體系,并對企業的公司治理、IT治理及IT控制提出了更嚴格的要求。同時其第二審計準則也提出了對信息技術的要求,如審計準則#40“……需要測試的控制包括其他控制所依賴的信息技術一般性控制……”,審計準則#5“……程序開發、程序變更、計算機運行、運行和數據訪問等各方面的控制保證了業務處理的有效運行……”等等。
中國電信在2006年初啟動了“與財務報告相關的信息技術內部控制(簡稱IT內控)”項目,項目涉及電信總部及20個上市子公司,建立起全公司的IT內部控制體系,并對發現的差異及不足開展深入細致的整改;自此歷年完善,均順利通過各年度外部審計。信息技術一般性控制作為電信IT內控的重要組成部分,一方面企業的組織、流程、系統是不斷調整轉變的,信息技術一般性控制的內容也應隨之調整完善,滿足SOX的合規性;另一方面為提升企業自身的IT治理水平,信息技術一般性控制也是一種加強IT管控和有效實現IT治理的重要手段。
信息技術一般性控制理論概述
(一)COBIT框架
美國IT治理協會(IT Governance Institute)于1996年頒布的COBIT,是國際上最具權威和最通用的有關IT控制和治理框架規范;2004年該協會頒布了COBIT中與《薩班斯――奧克斯利法案》第404條款的IT內控框架。COBIT框架將內部控制視為一個包括政策、程序、實務和組織結構的支持企業完成目標的程序。因此,通過有效地應用COBIT框架可幫助企業來達到COSO的監控要求。
COBIT框架主要有三個維度IT流程、IT資源、IT信息準則。其中:IT信息準則包括質量、信用、安全;IT資源包括人員、應用系統、設施、技術、數據;IT流程包括領域、流程、活動。
COBIT給出了在不同的IT生命周期流程中(包括信息系統計劃、開發、運行維護全生命周期),對不同的IT資源的關鍵控制點和需要達到的信息準則目標作出規定。
(二)內部審計第28號具體準則――信息系統審計
“內部審計第28號具體準則――信息系統審計2”是2009年1月由中國內部審計協會實施的,該準則明確規定了對組織層面信息技術控制、信息技術一般性控制及業務流程層面相關應用控制的審計。其中,第21條針對信息技術一般性控制做了明確的規定:信息技術一般性控制是指與網絡、操作系統、數據庫、應用系統及其相關人員有關的信息技術政策和措施,以確保信息系統持續穩定地運行,支持應用控制的有效性。信息技術一般性控制包含了信息安全管理、系統變更管理、系統開發和采購管理和系統運行管理五方面控制內容。
(三)國內企業內部控制體系建設現狀
繼美國SOX法案頒布之后,財政部、證監會、審計署、銀監會、保監會在此前的《企業內部控制基本規范》基礎上,于今年聯合了《企業內部控制配套指引》。該配套指引包括18項《企業內部控制應用指引》、《企業內部控制評價指引》和《企業內部控制審計指引》,這標志著適應我國企業實際情況、融合國際先進經驗的中國企業內部控制規范體系基本建成。同時,財政部等五部門制定了實施時間表:自2011年1月1日起首先在境內外同時上市的公司施行,自2012年1月1日起擴大到在上海證券交易所、深圳證券交易所主板上市的公司施行;之后將進一步擴大到在中小板和創業板的上市公司施行。
國內電信運營商作為在境外上市的國有超大型央企,將成為遵循中國企業內部控制規范體系的首批企業。一方面,當前國內企業還未大規模開展企業內部控制制度的建設,國內電信企業作為先行者,已按美國SOX法案要求于2006年開始初步建立了信息技術內部控制制度,積累了信息技術內部控制建設的寶貴經驗,可為國內其他企業內部控制制度的建設提供參考借鑒。一方面,經過2008 年的運營商重組,電信行業進入全業務運營時代,業務、流程、系統的銜接變得更加復雜,對業務流程與系統支撐的要求越來越高;隨著電信行業的快速發展和競爭的加劇,國內電信運營商的運營風險在逐步加大,加之行業監管力度的加強及中國企業內部控制規范的要求,電信運營商需要在更高層次上進一步完善內部控制體系。
信息技術一般性控制框架構建
在COBIT框架和內部審計第28號具體準則――信息系統審計的理論基礎上,電信行業的信息技術一般性控制實施框架主要包括對程序和數據的訪問、程序變更管理、程序開發、系統運行、最終用戶計算控制五部分,其所具體包含的內容如下:
程序和數據的訪問控制。涉及邏輯安全和物理安全、用戶賬號的添加、修改及刪除控制、用戶賬號的定期審閱、職責分工控制等。
程序變更管理控制。涉及系統變更授權、系統變更的測試校驗和批準、系統變更的移植、系統配置參數變更、緊急程序變更流程等。
程序開發控制。涉及系統開發審批授權、系統開發項目管理及開發方法、系統開發測試、數據移植等。
系統運行控制。涉及系統運行及作業計劃、系統備份、系統備份恢復性測試、問題管理流程等。
最終用戶計算控制。涉及對影響財務報表的重要電子表格和其它用戶自編程序。
根據信息技術一般性控制要求,從電信業務運營流程中梳理出對應的與財務報表相關的信息系統,由此梳理出納入信息技術一般性控制涉及的信息系統如表1所示。
程序和數據的訪問的控制要求如表2所示。
程序變更管理的控制要求如表3所示:
程序開發的控制要求如表4所示。
系統運行的控制要求如表5所示。
最終用戶計算的控制要求如表6所示。
信息技術一般性控制問題及改進措施
電信實施信息技術一般性控制以來,發現的主要問題主要有政策和流程缺失、缺乏職責分工、缺少工作留痕、異地備份和恢復性測試這四個方面,本文將對這四方面存在的問題以及對于問題的改進方法進行詳細闡述。
政策與流程缺失。問題主要在于信息系統維護管理的組織架構中缺少信息安全管理的崗位及職能,沒有制定統一的信息安全政策、變更管理流程、信息系統開發方法與項目管理方法的政策與流程。對此,信息系統維護部門至少設立一個信息安全管理崗位,該崗位可專職或兼職,崗位工作職責應包括維護組織信息安全管理辦法、負責對員工安全教育和宣貫、審閱超級用戶的操作日志和系統安全日志等;建立或完善信息系統管理政策及流程,如制定統一的信息安全政策,包括網絡安全、物理安全、操作系統安全、應用程序安全等方面;通過培訓宣貫、監督檢查等方式督促員工掌握并執行相關的信息系統管理政策和流程。
缺乏職責分工。主要出現在信息系統的維護管理缺乏有效的職責分離,個別信息系統的權限過于集中。具體存在兩種情況:一是信息系統的系統管理人員同時身兼操作系統/數據庫和應用系統管理員;二是各類信息系統均缺乏獨立于系統管理員的日志審核人員。對此,操作系統管理員(或數據庫管理員)和應用系統管理員、系統開發人員與系統維護人員、系統安全日志審核人員與系統管理員之間不能交叉兼任;在實際工作中,受到維護人員較少等客觀因素的制約,可以通過交叉管理的方式解決實際的人員短缺等困難。例如有A、B兩個系統 ,可以由A系統的管理員擔任B系統的日志管理員,而A系統的日志管理員則由B系統的管理員擔任,通過交叉審核達到要求。
缺少工作留痕。問題普遍存在日常工作中,對于所執行的操作、系統/日志的檢查、定期審閱、授權、審核簽字等過程中未能保留完整的書面記錄。對此,應充分重視培養工作留痕、記錄書面化的習慣,將此項工作納入日常工作檢查范圍;公司統一使用信息技術一般性控制的文檔模版,按控制要求所規定的執行頻率進行填寫,并保證主管/領導簽字確認和統一歸檔備查。
異地備份和恢復性測試。由于存放環境等條件制約因素限制,大部分信息系統均未達到異地備份的要求;各類信息系統均未定期執行恢復性測試的工作。對此,介質存放的手段可以是通過DCN網、光纖傳輸到不同樓宇的存儲服務器上,也可以利用DVD、磁帶、移動硬盤等介質備份后送到異地;定期執行后保留書面記錄;對于不存在測試環境的系統,可利用廠商的資源搭建測試環境,根據已確定的測試方法進行測試,并保留測試記錄。
總之,本文詳細介紹了電信行業的信息技術一般性控制的內容,結合實踐對電信行業信息技術一般性控制的系統范圍、實施框架進行了介紹,以期為電信行業不斷完善信息技術一般性控制體系提供參考。
參考文獻:
1.COBIT 4th Edition,the COBIT Steering Committee and the IT Governance Institute July[M],2005
it審計和普通審計篇7
一、it環境下傳統企業內部會計控制的缺陷
隨著it技術,特別是以internet為代表的網絡技術的發展和應用,以提供財務信息為主的會計,正由傳統的手工會計系統向電算化會計系統、網絡會計系統方向發展,這無疑是企業管理手段的巨大進步,極大地促進了會計工作效率的提高,但同時也給企業內部會計控制帶來了新的問題和挑戰,具體表現在:
(一)授權方式的改變,潛伏著巨大的控制風險授權、批準,乃是一種常見的內部控制手段。在手工會計系統中,一項經濟業務由發生到形成相應的會計信息,其經歷的每一個環節都應由具有相應管理權限的有關人員簽章;方可辦理。這種傳統管理方式的效率雖不高,但可有效地防止作弊。然而,在電算化會計信息系統中,權限分工的主要形式是口令授權。口令存放于計算機系統內而不像印章那樣由專人保管,一旦口令被人偷看或竊取,便會帶來巨大隱患,此種案例已發生多起。如c會計人員被客戶收買,竊取口令,非法核銷客戶的應收款及相關資料;銷貨人員竊得顧客訂單密碼,開出假訂單,騙走公司產品等等。
(二)內部控制的程序化,有可能使同一種差錯反復發生電算化會計、網絡會計的內部控制,在很大程度上取決于這些會計信息系統中運行的應用程序的質量。一旦這些應用程序中存在嚴重的bug或惡意的“后門”,便會嚴重危害系統安全。畢竟,會計人員對計算機專業知識所知有限,很難及時發現這些漏洞。這樣在專業人員找到或墻上這些程序漏洞之前,系統便會多次重復同一錯誤。擴大損失,這也是手工會計系統不會遇到的問題。
(三)原始憑證數字化,使得會計信息易于被篡改或偽造
在手工會計系統中,原始憑證是以紙張為載體,很難不露痕跡地加以修改或偽造。但隨著電子商務的發展,一些單位的原始憑證也如同記賬憑證、會計賬簿或報表一樣,已實現數字化、電子化,即以數字形式存儲在磁(光)性介質上,這種無紙憑證極易被篡改或偽造而不留任何痕跡,它弱化了紙質原始憑證所具有的較強的控制功能,給內部會計控制帶來了新的難題。另外,磁(光)性介質容易損壞,一旦受損,又很難修復,這更使數字化的會計信息丟失或毀壞的風險加大。
(四)網絡環境的開放性加劇了會計信息失真的風險
網絡技術無疑是目前it發展的方向,特別是internet在財務軟件中的應用對電算化會計信息系統的影響將是革命性的。但網絡環境具有開放性的特點,這就給會計信息系統的內部控制帶來了許多新問題。如在網絡環境下,信息來源的多樣性,有可能導致審計線索紊亂;大量會計信息通過網絡通訊線路傳輸,有可能被非法攔截、竊取甚至篡改;網絡會計信息系統遭受“病毒”入侵或“黑客”攻擊的可能性更大,等等。總之,網絡環境的開放性和動態性,加劇了網絡會計信息失真的風險,加大了網絡會計內部控制的難度。
二、it環境下企業會計信息系統內部控制的完善
it技術在會計信息系統中的運用加大了企業內部會計控制潛在的風險,但同時,it技術與業務流程的結合,也給企業帶來了控制風險的機會與工具。
(-)網上公證的形成可有效地預防數字化的原始憑證被修改或偽造
所謂網上公證,就是利用網絡的實時傳輸功能和日益豐富的互聯網服務項目,實現原始交易憑證的第三方監控。比如,每一家企業都在互聯網認證機構申領數字簽名和私有密鑰,當交易發生時,交易雙方將單據或有關證明均傳到認證機構,由認證機構核對確認,進行數字簽名并予以加密,然后將已加密憑證和未加密憑證同時轉發給雙方,這樣就完成了一筆交易雙方認可并經互聯網認證機構公證的交易。在這種交易中,交易一方因無法獲得另一方的數字簽名和私有密鑰,很難偽造或篡改交易憑證。主管人員或審計人員一旦對某筆業務產生懷疑,只需將加密憑證提交客戶和認證機構解密,將其結果與未加密憑證相對照,問題便迎刃而解。
(二)在線測試的實現可及時地解決應用軟件自身存在的問題
it環境下,會計信息系統使用的應用軟件存在這樣或那樣的問題有時是難免的,解決問題的辦法無非這樣兩個:一是在軟件開發過程中加強交流,充分測試;二是在軟件運用過程中注意監控,及時發現問題并予以解決。但在單機系統下,用戶與軟件供應商之間因空間的阻隔往往很難充分交流,發現并解決問題費時費力。到了網絡時代,情況就大不一樣了,互聯網提供的實時高質的通訊傳輸手段,可使用戶和軟件商之間在幾秒鐘內建立連接,這就給解決上述問題帶來了方便。比如,在軟件開發過程中,用戶可通過網絡隨時向開發商提出要求或建議,開發商也可以把已開發完成的軟件及時傳送給用戶進行測試;在軟件使用過程中,開發商可通過網絡對用戶的系統進行定期的在線測試,一旦發現問題可及時通知用戶并進行在線升級,把bug的存在時間控制在最短,提高系統的安全性。
(三)監控與操作的職責分離可進一步強化系統內部的相互牽制
職責分離是內部控制的一個重要組成部分。在手工會計系統中,企業通過把不相容的工作分派給不同的人員擔當以達到相互牽制。但在電算化會計系統中,由于計算機的自動高效的特點,許多不相容的工作(如制單與審核)都已合并到一起由計算機統一執行,這就形成內控隱患。為了強化系統的內部控制,一個比較有效的辦法是在電算化系統內分設操作與監控兩個崗位,對每一筆業務同時進行多方備份。當會計人員利用電算化系統進行賬務處理時,其操作和數據也被同步記錄在監控人員的機器上,并由監控人員進行及時備份、定期審查。一旦主管部門或審計人員對某些數據產生懷疑時,可利用監控人員備份的原始記錄進行分析調查、辨明真偽,這樣就強化了電算化系統內部的相互牽制,有效地預防作弊。
(四)采用加密碼的電子簽名,可增強電子化原始數據的防偽功能
在無紙化的會計信息系統環境中,如果應用軟件正確無誤,系統傳輸安全可靠,則會計信息系統中派生數據(包括電子化的記賬憑證、賬簿數據和會計報表)的正確性、真實性和完整性完全取決于電子原始數據。反之,如果不精確、不完整、不合法的原始數據被記錄和維護,將會影響以后所有的會計處理,導致一系列派生數據的失真。因此,電子化的原始數據的審核和確認顯得尤為重要、在手工會計系統中,原始憑證的審核是通過對紙質原始憑證上有關責任人簽名的辨別和相關憑證內容的相互核對來完成的。電子化原始數據的審核可采取類似的方法:一要注意相關業務不同數據記錄之間的相互核對;二要關注經辦人、批準人等相關人員的電子簽名。電子簽名不同于手工簽章,會計如何確認這種電子簽名的有效性是一個不容忽視的問題。目前的多數會計核算軟件中,電子簽名廣泛采用普通漢字或字母代碼填寫,很容易被摹仿或偽造,為了克服這一缺點,增強電子原始數據的防偽功能,宜采用加密碼進行電子簽名,使其不容易被篡改或偽造。
(五)充分利用現代it技術,增強網絡會計系統的安全控制
網絡技術在會計信息系統中的應用,極大地豐富了會計信息系統的功能,促進了會計工作效率的提高。但網絡安全問題若不能有效地得到解決,必將限制網絡會計系統的發展與應用。網絡會計系統安全控制的途徑主要包括:
1.系統軟件安全控制
要按操作權限嚴格控制系統軟件的安裝與修改,接操作規程定期對系統軟件進行安全性檢查。當系統被破壞時,要求系統軟件具備緊急響應、強制備份、快速重構和快速恢復等功能。
2.數據資源安全控制
數據庫系統是整個網絡會計系統安全控制的核心,數據庫的安全威脅主要來自兩個方面:一是系統內外人員對數據庫的非法訪問;二是系統故障。誤操作或人為破壞造成數據庫的物理損毀。為此,可采取以下措施:(1)合理定義、應用數據子模式。即根據不同類別的用戶或應用項目分別定義不同的數據于集,針對特定類型的用戶開放,以限制合法用戶或非法訪問者輕易獲取全部會計數據資源;(2)建立數據備份和恢復制度。數據備份是數據恢復與重建的基礎,是一種常見的數據控制手段,網絡中利用兩個服務器進行雙機鏡像映射備份是數據備份的先進形式。
3.系統入侵防范控制
為了防止非法用戶對網絡會計系統的入侵,可采取以下措施:(1)設置外部訪問區域。訪問區域是系統接待外界(關聯方、社會公眾)網上訪問。與外界進行會計數據交換的邏輯區域。企業在建立內聯網時,要對網絡的服務功能和結構布局進行詳細分析,通過專用軟件、硬件和管理措施,實現會計應用系統與外部訪問區域之間的嚴密的數據隔離。(2)建立防火墻。防火墻是建立在被保護網絡周邊的、分隔被保護網絡與外部網絡的一種技術系統。為了有效地防范非法用戶對網絡會計系統的入侵,可設置內外兩層防火墻,外層防火墻主要用來限制外界對主機操作系統的訪問,內層防火墻主要用來邏輯隔離會計應用系統與外部訪問區域之間的聯系,限制外界穿過訪問區域對內聯網,尤其是對會計數據庫系統的非法訪問。
三、it環境下會計信息系統內部控制面臨的新問題
高速發展的it技術,在給企業會計信息系統增強內部控制提供手段的同時,也給其安全帶來了許多新問題,應當引起重視。
(-)網絡會計系統的開放性,使之很難避免非法侵擾
網絡是一個開放的環境,置于該環境中的各種服務器上的信息在理論上都是可以被訪問到的,除非它們在物理上斷開連接、脫離網絡環境。因此,網絡會計信息系統很難完全避免非法訪問者的侵擾。尤其是當系統程序存在嚴重的bug、系統安全控制能力較差而系統管理人員尚不自知時,很難保證系統的信息資源不會被竊取或篡改。這種情況一旦發生,將會給單位造成巨大的損失。為此,企業需根據it技術的最新發展,定期評估系統的安全性和內部控制能力,努力把新技術給老系統帶來的風險降到最低。
(二)網絡會計系統的復雜性,使得稽核與審計的難度加大
網絡是一個由計算機硬件、軟件、操作人員和各種規程構成的復雜的系統,該系統將許多不相容職責相對集中,加大了舞弊的風險;系統信息以電子數據的形式存儲,易被修改、刪除、隱匿或偽造且不留痕跡;系統對錯誤的處理具有重復性和連續性;系統設計主要強調會計核算的要求,很少考慮審計工作的需要,這些往往導致系統留下的審計線索很少,稽核與審計必須運用更復雜的查核技術,且要花費更多的時間和更高的代價。會計師必須經過專業培訓、具備復雜電腦資料的處理能力,方能勝任此項工作,這無疑將加大稽核與審計的難度和成本。
(三)電子商務的普及,將給內部會計控制帶來前所未有的挑戰
隨著it技術的迅猛發展,網上交易愈加普遍,電子商務將逐步普及。電子商務一方面極大地提高了商務活動的效率,給企業帶來了無限的生機,另一方面給網絡會計系統的內部控制也帶來了新的挑戰。基于電子商務的單據電子化、貨幣電子化、網上銀行和網上結算等,雖然可加快資金周轉速度,但給會計信息系統帶來的風險將是空前的。可以想象,在不久的將來,一旦企業全部原始憑證都采用數字格式,實現了電子化,勢必要加強企業對網上公證機構的依賴,電子單據的信息保真將顯得特別重要。但直到目前為止,相關的技術并不成熟、相應的法規也不完善,這將給網絡會計系統的內部控制帶來極大的困難和前所未有的挑戰。
it審計和普通審計篇8
【關鍵詞】 信息系統審計 審計內容 審計方法
一、引言
相比于傳統審計,信息系統審計(Information System Auditing)是審計領域中的一個新概念。目前,關于信息系統審計,學術界和業界均無通用的定義。美國信息系統審計權威專家Ron.A.Weber提出:信息系統審計可定義為通過一定的技術手段收集、分析證據,以對計算機系統是否能夠保證資產安全、維護數據完整、實現組織目標以及高效利用資源進行評價的過程。日本通產情報協會作了如下定義:信息系統審計是指,為了信息系統的安全、可靠與有效,由獨立于審計對象的信息系統審計師以第三方的立場對以計算機為核心的信息系統進行綜合檢查和評價,并向信息系統審計對象的最高領導者提出問題與建議的一連串活動。國際信息系統審計和控制協會(ISACA)將其定義為:信息系統審計是一個獲取并評價證據,以判斷計算機系統是否能夠保證資產的安全、數據的完整以及有效率地利用組織的資源并有效果地實現組織目標的過程。
針對以上觀點,我們將其要點歸納如下:信息系統審計是審計師對以計算機為核心的信息系統,通過專業判斷和評價,合理保證信息系統安全、穩定、有效,并向信息系統的高層管理者及使用者提供問題解決方案,以達到改善經營和為組織增加價值目的的一個過程。
二、信息系統審計的發展與現狀
20世紀60年代,隨著計算機技術開始運用于企業的信息收集和整理中,會計信息處理逐漸無紙化,促使審計人員在執行傳統審計業務時,必須關注以電子數據為載體的電子數據處理審計(EDP Electronic Data Processing)。20世紀70年代中期至80年代,電子數據處理和管理系統等在企業中逐漸普及,同時,計算機犯罪和計算機系統失效的事件頻頻發生,使得信息系統審計日益得到重視并迅速發展。美國、日本先后成立了IT審計方面的協會組織,從事對IT審計規則的制定和實施指導。20世紀90年代,信息和信息系統已成為企業的重要資產,企業和社會對信息系統控制和審計的需求愈發強烈。發達國家的信息系統審計進入普及期,許多國家的審計機關、學者和組織對計算機環境下的信息系統審計進行了有益的探索。同時,東南亞各國也逐漸認識到信息系統審計的重要性,開始著手研究信息系統審計理論和實務。
目前,我國信息系統審計僅有十幾年的歷史,尚處于探索階段,既缺乏開展信息系統審計業務的人才隊伍,也沒有形成專業規范體系,所進行的一些計算機審計方面的探索和嘗試以及計算機審計軟件的開發和應用還大都停留在對被審計單位電子數據進行處理的階段。存在的主要問題有:信息系統審計觀念落后;信息系統審計相關的準則、標準和規范尚不完善;信息系統審計專業人才匱乏;信息系統審計軟件開發工作滯后。
1997年,廣州地鐵開始公司“信息化”建設。最初,廣州地鐵經營審計采用“繞過計算機審計”的方法,即對導出數據進行審計。審計過程中,其逐漸意識到了運用這種“黑箱原理”審計方法的風險。因此,2006年公司組建了專門的IT審計模塊,探索“如何利用計算機審計”和“通過計算機審計”。其后,廣州地鐵信息系統審計發展經歷了借力、助力和自立三個階段。
一是借力期:IT審計模塊成立初期,公司與外部顧問共同開展IT審計項目,通過外部專業人員向審計人員傳輸IT審計技能,同時制定《IT審計實施細則》,在人員技能儲備和制度上為IT審計模塊的發展奠定了基礎。二是助力期:審計人員參照審計手冊,利用從外部顧問處學習到的審計技能,逐步開展信息系統審計工作,將IT審計工作模式調整為以自身力量為主,外部咨詢服務為輔的模式。三是自立期:2009年,廣州地鐵IT審計已基本實現自主化,且IT審計模塊逐步走向成熟,同時其還建立了具有自身特色的信息系統審計框架。
目前,IT審計已經發展成為廣州地鐵內部審計的一根“支柱”,連同“內控審計”,作為基本的審計手段貫穿于各類專業審計工作中,支持審計體系的鞏固與發展。
三、信息系統審計內容
1、國內外關于信息系統審計內容的研究
開展信息系統審計首先要明確審計內容。國際信息系統審計協會規定,信息系統審計的主要內容包括信息系統程序審計、信息技術(IT)治理、系統生命周期管理、IT服務的交付與支持、信息資產的保護、災難恢復和業務連續性計劃。
近十幾年來,國內的學者和組織也對信息系統審計的內容進行了探索和研究。審計署在2012年頒布的《信息系統審計指南――計算機審計實務公告第34號》中明確提出了:信息系統審計包括對應用控制、一般控制和項目管理的審計。其中,應用控制包括信息系統業務流程,數據輸入、處理和輸出的控制,信息共享和業務協同;一般控制包括信息系統總體控制、信息安全技術控制、信息安全管理控制;項目管理包括信息系統建設的經濟性、信息系統建設管理、信息系統績效。
上述具有代表性的規定和研究成果對信息系統審計內容的劃分,均是以對信息系統邏輯結構的分析為基礎。全面分析信息系統的邏輯結構,可從信息系統的構成要素、信息系統生命周期和信息系統管理三個維度進行描述:從構成要素來看,信息系統由人員、應用(包括軟件平臺和應用系統)、所采用的技術、硬件設備、數據文件運行規則組成;信息系統生命周期可劃分為信息系統的規劃階段、開發階段、運行維護階段和更新階段;從信息系統管理的維度來看,對系統的管理與控制活動貫穿于信息系統生命周期的始終,主要是通過有效執行一系列健全有效的規章制度和管理規程來實現。
2、廣州地鐵信息系統審計實施框架
結合廣州地鐵信息化項目多、系統更新快、數據集成度高、系統控制與手工控制并重等特點,圍繞信息系統構成要素、信息系統生命周期和信息系統管理三個維度,廣州地鐵將信息系統審計的內容劃分為整體計算機控制審計、應用控制審計和系統建設效能評價三個方面。其中,整體計算機控制審計是對信息系統運行中的控制活動進行審計,目的是合理保證由信息系統支持的業務流程控制是可靠的、生成的數據和報告是可信的。應用系統控制審計是對業務流程中的自動化控制活動進行審計,以合理保證交易的有效性、經適當授權和記錄、完成的完整性、準確性和及時性。項目及系統績效審計是對信息化項目的過程及成果對企業和業務產生的效益進行審計,用來合理保證信息化項目的投資/產出比例符合建設的目標,以及信息系統對企業戰略起到的預期的支撐作用。圍繞上述三個方面,廣州地鐵內部審計確立了以下的實施框架。
(1)確立整體計算機控制安全、操作、變更的三個評價維度,圍繞“信息系統全生命周期”,明確整體計算機控制十個流程。廣州地鐵通過學習和借鑒國際信息系統技術管理和控制標準COBIT,建立起了一套自己的整體計算機控制審計框架。框架可按流程和控制類型兩種方式進行劃分,兩種劃分方式在本質上是一致的。在按流程劃分出的每個子流程中,信息系統審計人員需要從變更、安全、操作的角度去確認和評估具體的控制點;在按控制職能所作的劃分中,審計人員需要圍繞信息系統的策略與計劃、信息系統操作、與外部供應商關系、業務可持續計劃、應用系統開發、數據庫、軟件支持、網絡、硬件等十個子流程進行審計。
圍繞安全、變更、操作三個角度及十個子流程,廣州地鐵共梳理出有關整體計算機控制的41項審計內容,并針對每一項內容明確了控制目標和風險,建立起了一套完整的整體計算機控制矩陣。例如,信息系統策略和計劃子流程中,廣州地鐵明確了整體計算機控制的三大目標――信息系統戰略、規劃和預算應與實際業務和戰略目標保持一致,計算機處理環境應得到具有適當技能和經驗的人員的充分支持和保證,以及計算機處理環境中的人員應接受適當的培訓,審計人員在此基礎上針對各控制目標,識別并歸納出廣州地鐵現行的9個控制活動。在具體開展信息系統整體計算機控制審計時,信息系統審計人員根據審計項目的特點和要求,選擇需要評價的子流程,再對照子流程的控制活動進行評估及測試即可。
(2)從內部控制目標出發,將信息系統應用控制劃分為訪問控制、完整性控制及數據質量控制三大方面。廣州地鐵將信息系統的應用控制劃分為應用系統訪問控制、流程和系統完整性控制以及數據質量控制三大類,并針對各類控制分別設計了不同的審計內容。
一是應用系統授權訪問控制審計包括對系統的認證方式、授權機制、權限的分配管理以及不相容職責分離在系統中的實現情況的審計,目的在于保證經過允許的人才能訪問和操作系統。二是流程和系統完整性控制審計是對系統輸入、處理、輸出以及接口等各種系統運行規則的審計,用以保證所有經允許處理的數據均轉換到介質上并被處理,且處理的結果可通過適當的方式加以輸出,所有輸入、轉換、處理和輸出均在正常的時間內準確地進行。三是數據質量控制審計則是指對信息系統中的數據的完整性、規范性和有效性所進行的審計,旨在保證所有系統的輸出均反映為經批準的有效的經濟業務,所有經過系統的數據真實、有效,且能滿足企業各項業務的使用要求。
(3)圍繞“信息化項目”和“信息系統”,綜合評價信息化建設的效益。在開展整體計算機控制審計和應用控制審計的基礎上,廣州地鐵從企業經營和投資效益的視角出發,在信息系統審計中引入了3E審計的概念,嘗試對信息系統建設項目的成效、建成后系統的應用效能以及信息化對戰略的支撐效果進行審計。為了全面評價項目,廣州地鐵通常將對單個信息系統建設項目的合規性審計與項目效能審計結合在一起開展。
一是信息系統建設成效審計旨在通過對系統建設全過程的審計,促進信息系統的建設規范性,提高信息系統建設的質量。二是信息系統應用效能審計包括對業務需求的實現情況、建成功能的使用情況的審計分析,以及對系統應用對業務管理規范化、標準化和精細化提升作用的綜合評價,目的在于促進系統使用價值的最大化,減少系統建設的投資浪費。三是戰略支撐效果審計是從支持戰略實現的角度,評價信息系統的建設效益,保證信息化建設在符合業務管理要求的同時,符合公司戰略的需要,支持公司戰略的實現。
四、信息系統審計實施步驟
信息系統審計步驟(或流程),是審計工作從開始到結束的整個過程。信息系統審計流程一般可劃分為四個階段:計劃階段、實施階段、報告階段和后續階段。計劃階段是信息系統審計流程的起點,此階段的主要工作包括了解被審計系統的基本情況,初步評價被審計單位信息系統的內部控制和外部控制,識別重要性和編制審計計劃。實施階段是根據計劃階段確定的審計范圍、重點、步驟和方法進行有針對性的取證、評價,并形成審計結論的過程。實施階段是信息系統審計工作的核心,主要由符合性測試和實質性測試兩個部分構成。在報告階段,信息系統審計人員需運用專業判斷,整理、評價收集到的審計證據,以經過核實的審計證據為依據,形成審計意見,出具審計報告。審計報告的出具并不意味著信息系統審計工作的終結。根據國際信息系統審計標準,信息系統審計人員對于系統中發現的重大問題和漏洞,需要對被審計單位所采取的糾正措施及其效果進行后續審計。審計人員需要將后續審計納入計劃,并安排必要的人員和時間進行后續審計。
廣州地鐵IT審計模塊成立之初,即明確了IT審計“對公司的系統流程與控制、項目進行審計”和“提供有益于增加公司價值的咨詢服務”兩項核心職責,并圍繞公司戰略,以“風險導向”、“服務戰略”理念為指導,從信息系統審計戰略規劃和具體項目執行兩個層面分別制定信息系統審計的流程。
1、以公司戰略為導向,制定信息系統審計的戰略規劃
一直以來,廣州地鐵奉行“源于戰略、服務于戰略”的現代審計理念。這一理念主要體現在兩個方面:一是在制定內審工作計劃時,從公司戰略出發,制定各個內審業務及各專業審計模塊的戰略,并以業務戰略為指導,開展具體的審計工作;二是在開展審計項目的過程中,始終從保障公司戰略執行的角度去發現問題、評價問題,提出整改意見和落實整改。信息系統審計的戰略規劃來源于公司的戰略,以及以公司戰略指導制定的公司信息系統戰略規劃和內部審計業務戰略規劃;同時還須結合公司信息化現狀和IT審計模塊定位,明確廣州地鐵IT審計發展戰略目標。
2、通過風險評估,確定各信息系統風險等級,制定層次分明、重點突出的信息系統循環審計計劃
為利用有限的審計資源掌握公司主要信息系統的建設、運營情況,保障信息資源的有效利用,降低公司信息系統的整體風險,廣州地鐵建立了一套“根據信息系統風險評級制定差異化的審計策略”。
(1)梳理信息系統脈絡,全面掌握信息系統現狀。廣州地鐵結合信息系統規劃、建設和運營的情況及系統分類梳理出被審計信息系統清單,并從系統構成要素的角度收集系統相關的信息。這些信息包括系統名稱、功能模塊、采用產品等基本信息,以及項目的建設信息、系統的使用狀況和運維的基本情況。這些信息是風險評分的依據,也為后續開展具體審計工作時確定審計方案提供了指引。
(2)開展信息系統風險評級,制定風險導向型審計計劃。內審人員從通用風險、業務風險、項目風險、系統風險、數據風險和人員風險六大風險類別出發,全面識別信息系統各類構成要素中存在的風險;對信息系統進行風險評價,根據風險得分將信息系統按優先級分別劃分為高、中、低三類。結合公司IT審計資源的情況,對優先等級高的系統采用三年一審策略,中等級系統5―6年一個審計周期,風險等級低的系統則根據需要安排審計。在此審計策略的基礎上,再綜合考慮公司業務的十大風險、領導關注事項、上一年度內控評價結果和審計項目成果、公司新一年的工作重點、公司信息系統的變動情況,并制定出本年度的信息系統審計計劃。
3、以風險為導向,開展信息系統審計
在項目實施階段,審計人員必須從公司整體信息系統控制環境和被審計系統的狀況、流程與內部控制兩個方面進一步收集被審計系統的相關資料,了解和確認被審計單位已建立的內部控制措施,并對這些控制措施的設計是否達到控制目標進行評估。
(1)以“輪流循環+以點帶面”的方式開展整體計算機控制審計。公司的信息化業務采用統一集中管理的模式,整體計算機控制對各個系統具有一定的通用性。因此,在實務操作中,廣州地鐵采用“以點帶面”的策略,以單個信息系統整體計算機控制為切入點對整體計算機控制進行審計,評價整體信息系統的安全性;同時,考慮到信息系統在一定時間內相對穩定,因此在實施整體計算機控制審計時可采取輪流測試的方式,即每年從十個子流程中選取幾個進行測試,經過一定周期后,完成對整體計算機控制的全面審計。例如,在2011年開展的信息安全審計項目中,審計人員就圍繞信息安全這個審計主題,從十個子流程中選取了與信息安全直接相關的信息系統操作、信息系統安全、業務可持續計劃、應用系統開發與實施、數據庫開發與實施和系統軟件支持等六個流程進行審計。分步、循環開展整體計算機審計,在審計風險可控的情況下,大大節省了審計資源,也使得審計人員能夠更加深入地挖掘和分析整體計算機控制方面所存在問題以及問題的成因,提出更為切實可行、同時又符合公司信息化業務發展現狀和要求的整改措施。
(2)以風險為著眼點,確定應用控制審計重點。應用控制是各個信息系統內部所建立的控制機制,應用控制審計必須針對某個具體信息系統開展。在開展應用控制審計的過程中,審計人員應緊緊圍繞“風險”這個著眼點,通過對原有業務成熟度和系統建設過程中風險的評估,選擇不同的審計側重點開展應用控制審計。例如,在合同管理系統審計項目中,由于合同管理系統是全新開發的系統,審計人員經分析,判定系統在應用系統訪問控制方面的風險較高。而在進行控制評估和測試后,審計人員發現業務人員在創建系統權限設置機制時完全套用了公司辦公自動化系統的權限機制,而未針對合同業務流程中不同于公司組織架構下的角色設立相應的用戶組,導致系統無法實現合同經辦人與審批人職責的分離,存在重大的內控風險。
五、信息系統審計方法
在信息系統審計中,可因地制宜,綜合運用多種學科的技術方法,包括:傳統審計中內部控制測評的基本方法和審計取證的基本方法(包括審閱、核對、監盤、觀察、查詢、函證、計算、分析性復核);計算機科學的技術方法,如數據測試法、程序編碼審查法、受控處理法、受控再處理法、整體測試法、平行模擬法、程序比較法、漏洞掃描、入侵檢測、嵌入審計程序法等等;行為科學的技術方法,如運用組織發展的理論與方法、個體行為一般規律的理論和方法。這些方法與技術并不是孤立的,而是互相聯系的。
目前,廣州地鐵在信息系統審計中所運用的方法仍主要集中在傳統的內控審計方法和信息系統管理的技術方法兩個領域,具體包括詢問、觀察、文件復核、抽樣、重新執行、使用計算機輔助軟件等。在部分項目中,也采用了一些計算機科學的技術方法。受限于審計資源不足,廣州地鐵較少采用程序比較法、平行模擬法、程序編碼審查法等高成本的審計方法,而傾向于選用一些較為高效的測試方法。但這些高效方法的運用不能完全消除審計風險,這就需要審計人員根據自身的經驗盡量避免。
1、傳統審計方法的運用
廣州地鐵在開展信息系統審計過程中較多運用傳統審計的方法。例如,在對信息系統整體計算機控制進行審計時,通過對系統使用人員的訪談、調研和對系統各項操作的觀察,梳理出整體計算機控制相關的各種控制活動。在沒有測試環境的情況下對生產在用信息系統的人機交互界面和功能進行調查和確認時,審計人員大量運用了觀察的方法。在對固定資產信息系統模塊進行審計中,審計人員通過觀察物資采購人員、資產管理人員、會計核算人員在系統中的操作界面、系統實現效果以及業務操作流程來了解系統功能的構造。發現采購中的供應商信息在跨系統流程過程中丟失,導致財務系統和實物管理的MAXIMO系統的資產臺賬中均缺少供應商信息,致使日后采購同類物資時,采購人員無法獲取歷史采購信息作為參考,增加了市場調研成本。除內控矩陣和訪談、觀察等方法之外,編制流程圖、數據流圖和報表流圖也是信息系統審計經常使用的方法。
2、計算機科學技術方法的運用
計算機科學技術方法是信息系統審計特有的方法,來源于IT行業的信息技術的轉換應用,主要包括基于數據分析的方法和基于程序分析的方法,這些方法的綜合使用使得對信息系統的審計更加有效。具體方法的選用需視被審計系統的實際情況而定。在一個審計項目中,廣州地鐵審計人員經常將多種方法結合使用。例如,在票務收入系統審計項目中,審計人員首先采用數據測試法,使用正常及非正常的測試地鐵票搭乘地鐵,在系統中跟蹤測試票的處理情況,以驗證系統處理與控制功能是否均有效;在對系統中后期內部開發的車站單程票售賣功能進行審計時,審計人員采用了程序編碼審查法,對系統的源程序編碼進行審查,審查后發現單程票售賣金額統計報表在進行數據處理時省略了小數點后的尾數,導致報表金額存在偏差;在對票務系統的清分報表進行驗證時,審計人員又采用了平行模擬法,抽取系統中一段時間內的正式交易記錄,在系統外模擬系統的處理規則對交易記錄進行處理,并將處理結果與系統的報表數據進行核對,結果發現系統在數據傳遞和處理過程中,由于系統對于異常數據的審核過于嚴格,導致部分正常數據被當作垃圾數據丟進異常庫,給公司造成票務損失。
3、計算機輔助審計軟件的應用
計算機輔助審計軟件的應用是信息系統審計的一個顯著特點,也是審計人員準備階段需要重點關注的問題之一。目前,廣州地鐵對計算機輔助審計軟件的應用主要體現在以下兩個方面。
(1)對系統中數據的準確性、完整性和一致性的檢查。例如,在合同管理系統審計項目中,為核對系統接口程序的可靠性,審計人員利用審計輔助軟件快速完成了對合同系統和財務系統數據一致性的核對,迅速查找出兩個系統中不一致的數據。經過深入分析,審計人員發現由于財務核算人員在財務系統中復核合同支付數據時發現錯誤,將支付申請退回給合同系統再由合同經辦人重新填報時,合同系統未對已生成的支付信息進行更新,導致上述問題的出現。針對海量數據處理系統,數據驗證是審計的重點,計算機輔助軟件是“不可或缺”的審計工具。在地鐵票務收入保障審計項目中,審計人需要通過數據驗證的方式對業務處理的核心系統――自動售檢票(AFC)系統中的系統傳輸和處理機制進行驗證。為此,審計人員共設計了8大類29子類47個數據驗證主題。審計時,審計人員運用計算機輔助審計技術,在兩個月內完成了對AFC系統中10天總計超過3億條運營數據的驗證工作。
(2)利用計算機輔助軟件進行對比測試。即審計人員從信息系統中抽取某部門樣本數據,將樣本數據輸入到與計算機輔助軟件中進行處理,把審計軟件輸出的結果與業務系統產生的結果進行對比分析,以判定業務系統的可靠性與準確性。廣州地鐵在已開展的運營票務收入保障審計項目中大量地使用了此種方式。審計人員將各車站站務人員在票務系統中錄入的售票數據導入到計算機輔助軟件中,按照業務規則對數據進行處理,將處理結果和系統輸出的結果進行對比。經對比,審計人員發現票務系統在處理異常數據時過于嚴格,導致部分非異常數據被系統當作異常數據丟入異常庫中,給公司造成票務損失。
4、信息系統審計與業務內控審計相結合
企業管理流程信息化的過程中,會對原有的業務流程進行優化甚至重構。對原有手工流程的內控評價在信息化環境中可能不再適用。因此,廣州地鐵在信息系統審計中添加了對業務流程的內控評價――先對業務的內部控制情況進行評估,梳理并確定業務流程風險和關鍵控制點,再對照業務流程對系統的處理流程進行評價,確保信息系統審計評價的準確性。信息系統審計與業務內控審計相結合的方法還體現在對一個流程中未在信息系統實現的控制環節可以通過內控審計進行補充。實踐表明,信息系統審計與業務內控審計相結合的方法在很大程度上提高了審計的全面性。
由于信息技術自身的特點,例如電子數據的不可視性,加之被審計單位信息系統內部控制方面可能存在缺陷以及信息系統審計人員在專業技術和職業道德方面亦不完美,信息系統審計風險客觀存在。面對信息系統審計風險,需要審計人員通過深入調研,全面了解被審計系統的情況;需要培養專業人才,“以點帶面”提升團隊能力;結合企業發展情況,制定內部信息系統審計標準;利用審計軟件,降低抽樣風險,提高審計效率等多種措施,不斷降低審計過程中的檢查風險,提高審計質量。
【參考文獻】
[1] Ron A.Weber,Information Systems Control and Audit,1st ed,NJ:Prentice Hall,1998.
[2] S. Anantha Sayana:The IS Audit Process[J].The ISACA Journal,2002(1).
[3] Craig S. Wright:The IT Regulatory and Standards Compliance Handbook:How to Survive Information Systems Audit and Assessments,1st ed,MA:Syngress, 2008.
[4] Robert E. Davis:Information Systems Auditing:The IS Audit Planning Process,3rd ed,2010.
[5] Jack J. Champlain:Auditing Information Systems[J].2nd ed,NJ:John Wiley&Sons,2003.
[6] 盧紅柱:計算機信息系統審計的探索之路[J].審計研究,2006(增刊).
[7] 王進波、常衛:信息系統審計的發展與現狀[J].財政監督,2008(4).
[8] 陳繼初:信息系統審計在我國的現狀及存在的問題[J].消費導刊,2008(12).
[9] 吳沁紅:信息系統審計內容分析[J].財會研究,2008(10).
[10] 胡曉明:信息系統審計理論體系的構建[J].中國注冊會計師,2006(6).
[11] 王艷、周劍:信息系統審計辨析[J].圖書情報工作,2004(48).
[12] 田佳林:信息系統審計簡述[J].財政監督,2008(4).
[13] 陳婉玲、楊文杰:COBIT及其在信息系統控制與審計中的應用[J].審計研究,2006(增刊).
[14] 趙靜:COBIT框架在IT審計中的應用[J].中國內部審計,2009(12).
[15] 張妍:信息系統審計方法研究[J].審計月刊,2010(11).
[16] 劉杰、羅繼榮:信息系統審計質量控制準則研究[J].財會通訊,2011(5).
[17] 王振武、張子瑾:信息系統審計理論結構框架研究[J].會計之友,2011(7).
[18] 薛富平:信息系統審計風險[J].財會研究,2007(3).
本文鏈接:http://www.svtrjb.com/v-141-3048.htmlit審計和普通審計范文8篇
相關文章:
節約糧食光盤行動黑板報內容07-21
大一軍訓感言英文12-05
最新人生唯美名言句子08-16
農經站工作總結范文10-23
個人還款承諾書簡短10-08
高三誓師大會家長代表發言稿02-19
冬季換季車輛保養廣播稿11-23
幼兒園大班畢業典禮家長的演講稿10-24
2023年外出培訓心得09-18
柳樹二年級作文02-26
周年慶賀詞10-19
燒烤活動作文08-13
假如我會飛作文500字08-02
美國賓州地區最好的文理學院推薦 優勢專業最為吸睛 12個工程細分專業排名更新!GIT、Umich怒刷全榜!普渡大學實力竟能抗衡MIT?01-09
上學期教學總結報告07-24