信息系统一般控制审计过程实例解析,本文主要内容关键词为:信息系统论文,实例论文,过程论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
随着信息技术在企业应用越来越广泛,信息系统控制和审计已经成为很多企业面临的迫切问题。信息系统控制包括一般控制和应用控制两部分,一般控制包括规划与组织控制、系统建设控制、日常运行控制等。应用控制与实际系统的业务有关,主要包括输入控制、处理控制、输出控制。对一般控制的审计就是要获取证据鉴证在被审期间企业有关的制度和规程是否健全,计算机信息系统是否按规定的制度和规程工作,控制的作用是否达到了预期的结果。
一、信息系统审计的计划阶段
计划阶段是信息系统审计过程的起点。计划阶段的主要任务是了解被审计单位以及业务和系统运营情况;识别风险和内部控制;以及确定审计的性质、范围和重点等。
(一)了解被审计单位业务和系统运营情况
审计人员首先需要了解被审单位的基本情况,主要包括业务和系统运营情况。通过对这些基本情况的调查了解,可以对被审单位审计的固有风险进行初步评价。
本文对信息系统一般控制的审计实例是一家提供医疗保险服务的公司(以下以R公司代称)为背景。R公司总部位于上海,在全国多地拥有分公司和业务部门。公司信息部负责整个公司信息系统的管理和维护工作。公司现在用的主要业务系统——医疗保险管理系统(HIMS)是由公司2003年自主研发的,系统于2005年进行测试,2006年3月正式运行使用。到今天系统经过了多次改版和升级。系统采用VS.NET进行开发,后台数据库为SQL Server 2005。医疗保险管理系统采用了B/S结构模式,现在服务器端操作系统为windows 7.0,客户端操作系统主要为Windows XP。公司每年都投入资金对其硬件环境进行升级改造,目前共有服务器10台、计算机1200多台、交换机87台、硬件防火墙6台,打印机103台。公司机房在北京总部办公大楼一楼,放置了温度、湿度探测器,同时配备了UPS不间断电源和自动灭火系统,为系统正常运行提供了保障。
(二)识别风险和内部控制
识别风险和内部控制是信息系统审计阶段的关键环节。了解被审单位的内部控制尤其是信息系统内部控制,对内部控制的健全和有效性进行评估,初步确定控制风险的大小,才能有效地制定信息系统审计的目标、范围和需要采取的有效审计方法。
R公司信息部对公司信息系统硬件、软件和网络的管理主要是采取管理小组的组织架构,信息部主要分为软件组、设备组和网络组三个管理组。R公司很重视对信息系统维护的投入,也制定了相应的管理制度,实现了对信息化管理过程的控制。HIMS系统总体运行正常,基本满足了R公司主要的业务需求。在一般控制方面,R公司制定了《信息系统软件基本功能规范》,对系统操作和维护进行制度管理;也制定了《机房管理制度》,对机房安全和维护进行管理。在系统开发控制方面,相关文档有《信息系统软件评审管理办法》、《系统需求分析报告》、《系统设计说明书》、《数据字典》、《维护手册》等资料。对于网络管理和系统管理,R公司建立有《网络管理员主要工作关键及设备管理制度》以及《操作手册》等资料。
根据对R公司信息系统基本情况和一般控制的了解,分析得出R公司在一般控制方面主要存在的风险点有:
(1)信息系统的管理和职责分离;
(2)计算机机房管理制度是否得到有效执行和监督;
(3)自主开发的HIMS业务系统,使用是否达到规划、开发预期目标;
(4)HIMS是否严格按照信息系统开发管理规范进行;
(5)信息系统进行了多次更新和完善,至今没有验收,系统变更的控制;
(6)计算机等设备采购数量多、金额较大,对设备采购管理的控制。
(三)系统审计目标、范围和方法
为合理地使用审计资源,审计计划阶段需要制定科学、合理的审计目标,确定审计的范围以及明确审计过程中需要采取的审计方法。
在R公司信息系统审计过程中,确定的审计目标是通过对R公司信息系统的一般控制审计,对系统架构与流程的合法性和合规性、系统的安全性和可靠性、运行的效率性和效益性进行检查,了解HIMS系统的运行状况,发现该系统在使用和管理过程中存在的问题,促进被审计单位信息系统的完善,使之在业务活动中发挥更加有效的作用。
在R公司信息系统审计中确定的一般控制审计范围主要包括IT控制环境审计(IT组织架构审计、IT管理政策审计等),IT基础设施控制审计(机房物理环境控制审计、硬件设备采购控制审计、系统软件采购管理控制审计),信息系统生命周期控制审计(系统开发控制审计、更新与维护控制审计),系统安全控制审计(网络安全控制审计、操作系统安全控制审计、数据库系统安全控制审计、最终用户控制审计)等。
审计计划中确定了主要审前调查技术方法有:询问法、问卷调查表法、实地查看法,以掌握信息系统基本概况。对HIMS系统分析拟采取的审计技术方法主要有:资料审阅法、流程图检查法、故障树法、重新执行法,以对信息系统的安全性、可靠性和健壮性进行评估。
通过对企业信息系统的审前调查和审计计划的制定,能够更好地为审计实施和后续报告阶段打下坚实的基础。
二、信息系统审计的实施阶段
实施阶段是根据审计计划阶段确定的范围、重点、步骤和方法,进行有针对的地取证、评价,并形成审计结论的过程。实施阶段主要由控制测试和实质性程序两个阶段构成。
控制测试的目的是检查内部控制措施是否健全有效。审计人员需要对被审单位的控制系统进行识别、测试和评价,从而确定后续的实质性程序的性质、范围和程度。
实质性程序是对信息系统控制进行详细测试,以获得这些控制在审计期间是否真实存在并合法有效的证据。信息系统审计实质性程序与财务审计实质性程序相比,程序的手段、内容、方法、对象都有所不同。
本文主要是针对R公司的一般控制进行审计案例解析,所以在此主要解析一下R公司一般控制审计的过程。
(一)审计重点和目标
在R公司一般控制审计中,重点审查了R公司信息部的组织架构和权限管理,基础设施管理控制,HIMS系统规划和开发过程控制,以及信息安全控制。通过一般性控制,对R公司HIMS的基本情况、合法合规性、真实完整性、安全可靠性、效率效益性等情况有全面的了解和掌握。
(二)审计测试过程
在审前准备阶段,通过与相关人员面谈、调查问卷和查阅系统相关说明文件等方式,首先识别了R公司控制系统以及控制环境,采集了数据库相关的业务数据,获取了数据字典,并将调查情况记录在审计工作底稿中。
在审计测试过程中,通过调查问卷了解了一些基本情况:一是发放信息系统资源管理控制矩阵的调查表,针对的是R公司的信息资源管理,要求信息部和各部门的信息技术支持人员填写。二是发放HIMS系统的控制矩阵调查表,要求信息部门人员填写。三是给公司所有使用HIMS的人员发放满意度调查表。表里有信息系统使用情况,系统支持情况等内容。还通过会议座谈的方式,了解信息系统使用情况。同时对机房、设备进行了实地查看,了解和掌握信息管理系统运行的基本情况。
在审计实施阶段,审计人员参照《信息系统开发规范》和《信息系统软件基本功能规范》对HIMS系统内部控制机制进行了初步评估,确定了审计重点。具体审计了以下事项:
1.总体IT控制环境审计
在总体IT控制环境审计中,具体审计目标是查看信息系统的组织结构和管理政策是否健全。
在审计测试过程中,审计人员了解到R公司信息部三个管理组的各自职责是:软件组主要负责公司所有软件系统、数据库等的管理、维护以及数据备份和资料保管等工作,软件组每位成员依据所负责的软件系统进行分工,每个系统以及相关数据的管理工作由专门的人员负责,有些重要和大型的系统会由2、3个人甚至更多的人共同进行管理。设备组主要负责公司所有除网络设备以外的硬件设备的采购、管理、维护和更新工作。网络组主要负责公司网络设备和网络的管理和维护工作。每个部门还有一名专职或者兼职的部门信息技术支持人员,该支持人员负责本部门计算机系统的日常管理和维护工作。
在审计测试的过程中,审计人员发现信息系统的管理权责分离存在比较大的问题,软件系统的维护管理和数据库的管理没有实现严格的分离,系统的开发者有些担负着系统的管理和数据管理工作,这为技术人员的系统舞弊提供了便利。而且技术人员与企业并没有签署保密协议。公司没有专门的数据库管理岗位,各个部门的技术支持人员负责各部门的电子数据保管和信息维护工作,这样使得企业数据安全风险加剧。在对业务软件系统进行审计的过程中,发现用户账户的更新不及时,有离职半年的员工在系统中还存在有效的账号,公司没有及时对这些账号进行清理。系统拥有超级用户的人员过多,HIMS系统的超级用户达6个之多。对IT控制环境审计得出的结论是公司需要完善信息系统的组织控制,加强系统安全控制意识的学习。
2.基础设施控制审计
对R公司基础设施控制的审计主要目标是查看机房物理环境是否得到了有效控制;公司网络环境的安全性和容错性;对硬件设备、系统软件采购管理是否控制;硬件、软件管理制度有无建立健全和执行到位。
在审计测试的过程中,通过实地查看的方法了解到:公司有严格的《机房管理制度》和《上机操作手册》,机房的设置也经过精心布置。机房设有专门的人员进行看管,每天有3个管理人员日夜轮流值班看管机房,具体的交接班和工作安排由3人协商,公司的明确要求是时刻不能离人。同时机房的温度、湿度、防水、防磁等都有严格的要求。机房只有信息部的人员才能进入。公司业务系统的服务器实行的是双机备份和容错机制,两台服务器相互配合工作,任何一台出现故障,另一台就能够接过工作继续运行,提供不间断的服务。在断电等意外管理上,公司配备有多台UPS(不间断电源)。
但是,在审计的测试过程中,审计人员也发现机房的制度和日志管理存在缺陷。虽然机房只有信息部的人员才能进入,但是信息部的人员凭借员工卡就可以直接进入机房,机房也没有对工作人员的操作日志登记。机房的交接班管理比较松散,没有严格的交接班记录和清单。公司虽然配备有UPS系统,但是都比较陈旧,很多UPS多年都没有使用过。
R公司在全国分部实现与总部专线联网,所有分部的业务数据每天都通过专线及时传送到总部的数据中心,以便总部及时进行业务审批和处理。在审计过程中,发现网络互联的专线没有容错机制,只有一根专线连接总部和各分部,一旦该线路出现问题,将极大地影响业务的开展。建议R公司应该加强网络的容错机制。
在设备采购管理控制方面,R公司计算机等设备采购数量多、金额较大,审计人员将此作为了审计的重点。在审计的过程中,发现有部分采购票据存在疑点,经过分析核实,最后确定为虚假采购单据,最后做了移交处理,同时建议R公司加强设备采购管理,建立健全《设备采购管理制度》。
3.信息系统规划和开发控制审计
R公司的核心业务系统HIMS是由R公司信息部自主开发的。本次审计将其开发过程列为重点审计范围。具体的审计内容是了解信息系统开发是否规范,系统变更是否在可控范围内。
在审计测试的过程中,通过走访、座谈、问卷调查、资料查阅法,重点查看了《系统需求分析报告》、《系统设计说明书》、《数据字典》和《维护手册》等资料,审计人员掌握了该系统开发的大致过程:系统开发源于原有系统无法支撑日益增长的业务处理量。在系统的开发过程中,并没有组织公司层面的业务需求论证会。项目组全部由信息部人员构成,信息部经理担任项目总监,其余10人主要来自于信息部的软件组,需求的确定是由开发小组的人员深入到各个部门进行实地需求调研而成。各个功能模块的开发人员负责各个模块的详细需求调研,最终由项目经理进行需求分析和认证,系统的总体设计是由项目经理完成,同时项目经理担任核心模块的编码实现工作,其他模块分别交付相应的技术人员进行设计和编码实现。在系统开发后期进入到运行测试过程中,业务部门才真正参与进来。由于最初的需求与业务部门的实际需求存在一定的差异,所以系统一直处于不断完善的过程中,也一直没有组织正式的验收。系统的更新和完善均由各个模块的开发人员与业务部门人员进行沟通后独立完成。虽然系统到现在还处于不断完善的过程中,但是审计发现,系统的开发资料基本齐全,数据要求也比较规范,数据测试也比较充分,现在基本运行平稳,完全能够满足两年内业务数据量增长的需求。
在系统开发审计测试的过程中,发现的主要问题是系统开发过程并没有严格按照信息系统开发规范执行,开发人员和管理人员职责分离不清,系统的业务逻辑测试和检验不充分,存在一定的处理逻辑风险。系统变更过程比较随意,缺乏相应变更方案的审核控制。虽然系统运行正常,但是无相关的客户验收报告或第三方验收报告,信息系统至今未经过验收,稳定性无法保证。
4.信息安全控制审计
在R公司审计测试的过程中,信息安全控制方面的审计主要是对网络、操作系统、数据库的安全性进行审计。通过实地查看、资料查阅,发现R公司在个人计算机安全控制上存在一定的风险,部分用户的操作系统漏洞并没有安装补丁,一些用户的系统登录密码为空。公司内、外网未完全物理隔离,一些重要的局域网内电脑可以访问因特网,可以下载资料到电脑上。这些都存在一定的数据安全隐患。
同时,在审计的过程中,发现信息更新和维护日志不完整;数据存在易丢失的风险。
三、信息系统审计的报告和后续阶段
信息系统审计报告阶段是审计人员运用专业判断,综合所收集到的相关证据,以经过核实的审计证据为依据,形成审计意见,出具审计报告的过程。审计报告中除了对被审单位信息系统的安全性、可靠性、有效性和效率发表审计意见外,还针对信息系统内部控制和管理等方面的问题提出相关建议。
审计报告的签署并不意味着审计的终结。在审计报告发布前,审计人员还需要考虑期后事项的影响,对信息系统审计中发现的重大问题和漏洞提请被审单位进行纠正,同时对被审单位所采取的纠正措施及其效果进行后续审计。
在R公司的审计中,最终完成了信息系统审计报告1份,出具审计决定书1份。R公司根据审计报告的要求,重新设计了信息管理部门组织架构,建立健全了《信息系统管理制度》、《设备采购管理制度》、《机房交接班管理制度》、《机房操作管理手册》等10余项内部控制制度。
信息系统审计是通过现代的审计理论和IT治理理论,从企业信息资产的安全性、数据的完整性以及系统的可用性和有效性等方面出发,对信息系统是否能够有效达到组织的业务战略目标进行全面的检测和评估,并为改善和健全组织对信息系统的控制提出详细的建议。总之,由于计算机处理系统的使用,改变了信息的处理、存储和传送,也改变了注册会计师审计的方法和程序,因此,我国《独立审计准则第20号——计算机信息系统环境下的审计》中规定“注册会计师应当充分了解计算机信息系统,以计划、指导、监督和复核审计工作。
标签:审计计划论文; 审计软件论文; 管理控制论文; 审计方法论文; 业务管理论文; 审计目标论文; 审计准则论文; 控制测试论文; 信息安全论文; 审计流程论文; 管理审计论文; 信息系统规划论文; 工作管理论文;