信息系统审计的业务模型构建,本文主要内容关键词为:信息系统论文,模型论文,业务论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、信息系统审计的概念
关于信息系统审计的定义,日本通产省情报处理开发协会认为信息系统审计是指:为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合检查与评价,向信息系统审计对象的最高领导提出问题与建议的一连串的活动。
美国学者Ron A·Weber在《信息系统控制与审计》一书中对信息系统审计的定义是:信息系统审计是一个获取证据,对信息系统是否能保证资产的安全、数据的完整,以及是否有效地使用了组织资源并有效地实现了组织目标做出评价和判断的过程。国际信息系统审计与控制协会(ISACA)的定义为:信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效利用组织的资源并实现组织目标的过程。
综合上述定义,我们归纳信息系统审计的特征如下:①信息系统审计的对象是以计算机为核心的信息系统。②信息系统审计的目标是促进信息系统安全、可靠和有效。③信息系统审计是获取与评估证据的过程,需要信息系统审计师的专业判断。
二、信息系统审计的业务模型
本文从目标、内容与过程三个维度建立信息系统审计的业务模型,如图1所示:
图1 信息系统审计业务模型
1.审计目标。信息系统审计有三个目标:安全性、可靠性和有效性。
安全性是指信息系统的资源受到妥善保护,不因自然和人为的因素而遭到破坏、更改或者泄露系统中的信息。其中,信息系统资源包括计算机硬件、软件、网络、数据和人。
可靠性包括三个方面:硬件的可靠性、软件的可靠性和数据的可靠性。硬件的可靠性是指在一个指定的时间周期内,在给定的控制条件下,硬件系统执行所需功能的成功概率。软件的可靠性是指在运行环境中,在规定的运行时间内或规定的运行次数下,程序和所有数据元素运行不同测试用例的无差错概率。数据的可靠性是指数据的真实、准确和及时,它取决于系统对数据的处理过程是否准确无误,以及确保数据可靠的控制措施是否有效。
2.过程域及关键活动。信息系统审计要遵循一定的流程,有规范的审计步骤。从流程上来看,一般认为信息系统审计主要包括五个过程域:审前调查阶段、计划阶段、实施阶段、报告阶段和后续审计阶段。五个过程域相应的工作任务(关键活动)具体如下:①审前调查阶段的关键活动包括确定审计关系与责任、了解被审计企业与信息系统基本情况、明确被审系统涉及的关键业务流程、初步评价被审系统的风险状况、编制审前调查报告。②计划阶段的关键活动包括评估审计风险、确定具体审计目标与重要性水平、制订审计计划。③实施阶段的关键活动包括:编制审计实施方案;针对审计事项编制具体测试方案;实施符合性与实质性测试,完成测试记录;分析与核查测试结果。④报告阶段的关键活动包括:整理评价审计证据;复核审计底稿;汇总审计差异,与对方管理层交流;评价审计结果,编制审计报告。⑤后续审计阶段的关键活动包括:获取与评价相关的信息,对管理层是否采取恰当措施形成结论。
只有明晰了各过程域,并对相应的关键活动进行有效的管理,才能保证信息系统审计的质量,实现审计目标。
(1)审前调查阶段。在审前调查阶段主要应获取以下相关信息:被审计单位所使用的信息系统;被审计单位业务流程对信息化的依赖程度;与信息系统有关的管理机构及管理方式;开展信息系统审计的环境条件。
与财务审计项目类似,信息系统审计的审前调查常常可以采用如下方法:组织有关人员座谈或者向有关人员咨询;发放调查问卷或者调查表;查阅或者索取资料;实地考察;走访与审计项目有关的单位。该阶段的工作成果体现为审前调查报告。
(2)计划阶段。确定重要性水平直接影响后续审计计划和实施方案的编制,是计划阶段的工作要点,难度较大,需要综合审计目标和被审计对象的特点来理解。通常需考虑以下因素:历史经验、风险评估结果、信息系统规模与应用程度、信息系统的依赖度以及被审计单位的信息化建设重点等。
该阶段的工作成果为审计计划,主要内容包括:被审计单位情况简介、审计的对象与范围、审计的步骤与时间安排、审计人员的分工、注意事项和其他内容。
(3)实施阶段。实施阶段是影响审计质量的关键阶段。在该阶段审计人员应结合审前调查内容,按照被审计单位信息化环境、业务流程、内控制度等方面的风险状况,明确具体项目审计目标,细化审计内容,突出审计重点。编制审计实施方案时,要认真分析审前调查取得的资料,结合以往的审计成果,分析可能存在的问题和线索。确定审计步骤和方法的原则是要能够指导审计人员实施审计,具有操作性。
审计实施方案是该阶段的主要工作成果,主要内容包括:被审计单位及其信息系统基本情况、审计目标、审计内容与重点、审计方法与步骤、审计组成员与具体分工。
此外,还需要编制针对不同审计事项的具体测试方案,测试方案应包括详细的审计方法与步骤,具有可操作性。而且,测试完成后还需及时形成测试记录。
(4)报告阶段。报告阶段的关键活动为整理汇总审计证据,项目成员讨论复核工作底稿,并就相关问题与被审计单位的管理层交流,直到形成最终的审计报告。
审计报告是该阶段的工作成果,也是整个审计项目的最终成果,其一般包括:审计背景、审计目标与范围、审计标准与依据、基本审计结论、审计中发现的具体问题与建议以及附件。
(5)后续审计阶段。在后续审计阶段,审计人员获取与评价相关信息,对管理层是否采取恰当措施形成结论。如果管理层针对审计报告建议已采取措施,则应该将这些情况补充到审计报告中的“管理层反馈意见”中。
3.内容域、关键环节与控制点。根据目前的国际惯例,信息系统审计有两大内容域:一般控制与应用控制。一般控制与应用控制的作用、具体内容和审计方法都不一样,下面进行详细阐述。
(1)应用控制。应用控制是作用于具体应用系统的控制,一般结合具体业务进行设计,可以确保数据处理完整和正确。一个应用系统一般由多个相关计算机程序组成,有些应用系统还可能是复杂的集成系统,牵涉到多个计算机程序和组织部门,与此相应,它的应用控制应包括内嵌在计算机程序中的自动化控制,以及与整体业务流程相关的非自动化控制。
应用控制的关键环节包括:①输入控制,其关键控制点为数据输入设计的正确性、数据输入准备政策和数据输入校验的有效性。②处理控制,其关键控制点为规范的数据处理流程、数据处理错误的识别、记录与解决。③输出控制,其关键控制点为数据输出政策、数据输出报告的生成与分发控制。④接口控制,其关键控制点为自动接口控制和人工接口控制。⑤访问控制与职责分离,其关键控制点为应用系统访问权限、业务流程上的不兼容职责。⑥参数控制,其关键控制点为参数设置的正确性(合法性)、参数调整的审批流程与权限、参数调整日志。
应用控制审计一般采用如下步骤:①确定重要的应用系统,获取相关资料或询问相关操作人员,充分了解系统中业务流程。②识别业务流程中关键风险点,开发合适的测试方案与数据。③实施相应的审计程序,测试控制的有效性。④进行控制缺陷分析,评价相关控制目标是否达到,形成相关审计结论。
应用控制审计常用的方法有:测试数据法、平衡模拟法、访谈法、观察法、流程图检查法、程序编码比较法、程序追踪法、快照和嵌入审计模块等。
(2)一般控制。一般控制是作用于被审计信息系统全部或较大范围的控制,其基本目标为确认应用系统恰当开发或实施,确保程序与数据文件的完整性,确保信息系统良好运作。
一般控制提供应用系统运行和应用控制实施的环境。一般控制的控制措施适用于所有应用系统,是一种环境上的保证。
一般控制的关键环节包括:①IT管理/治理,其关键控制点为IT治理结构;IT组织结构和人力资源管理;IT战略及其起草、批准、实施和维护程序;IT政策、标准和程序的制定、批准、实施和维护流程;IT外包战略和政策;合同管理实务。②信息系统开发与实施,其关键控制点为项目管理框架和项目治理实务;项目按计划进行并有相应文档的充分支持;系统的开发、采购和测试流程,确保其交付符合目标。③信息系统运行与服务,其关键控制点为运营管理,保证IT支持职能有效满足业务要求;数据管理实务,确保数据库的完整性和最优化;能力的使用和性能监控工具与技术;变更、配置和发布管理实务;问题和事件管理实务;IT基础设施(网络,软硬件)的功能。④信息安全,其关键控制点为逻辑访问控制(操作系统、数据库、主机和网络设备)的设计、实施和监控,网络框架和信息传输的安全,环境控制的设计、实施和监控,保密信息资产的采集、存储、使用、传输和处置程序的流程。⑤灾难恢复与业务持续性,其关键控制点为灾难恢复计划和业务连续性计划。
一般控制审计通常采用如下步骤:①全面了解被审计信息系统的整体架构,确定重要组件;②识别可能的关键风险点,确定关键审计域;③实施相应的审计程序,记录测试结果;④测试结果分析与评价,形成审计结论。
一般控制审计不涉及系统中流转的业务数据,常采用访谈法、观察法、调查表法、文档查阅法、测试数据法等。一般情况下,审计中发现的问题与被审计系统的管理缺陷有关,有时也预示出应用系统数据处理可能存在的不正确与不完整之处。
三、实务案例
工伤保险基金是社保基金的重要组成部分,资金的安全性、可靠性和效益性是政府与社会公众共同关心的焦点,因此需要对基金本身以及基金管理所依托的信息系统加强监督。下面以某市工伤保险系统审计为例,介绍模型的实际应用情况与效果。
1.被审计信息系统基本情况。审计人员通过审前调查,了解到该市社保系统中心机房配备10台IBM小型机、3台EMC存储设备,铺设有60多条光纤连接市、区(县)、街道、社区四级网络。系统前台应用软件采用PowerBuilder开发,后台为Oracle 9I数据库,数据总量系统主要由六个核心业务子系统组成,系统数据总量超过2TB。系统功能结构如图2所示:
图2 系统功能结构
2.审计工作的具体情况。
工伤保险系统是其中的一个重要子系统,也是本次审计的对象,审计的具体情况如下:
(1)审计目标。本次审计的目标是围绕“找出隐患、规范管理、促进完善”的总体思路,从安全性、可靠性、有效性三个方面对工伤保险系统进行全面审计,发现该系统在使用和管理过程中存在的缺陷和薄弱环节,查处使用系统办理基金业务时存在的控制风险,从而对系统进行客观公正的评价,为促进被审计单位加强管理、完善风险监督机制、保证基金的安全与完整、防范利用计算机系统进行欺诈与舞弊等提出切实可行的审计建议。
(2)审计实施情况。审计人员在审前调查的基础上,制订了工伤保险系统审计方案,并从一般控制和应用控制两个方面进行了人员分工。审计人员按方案要求和审计分工实施审计,对分工检查的项目各负其责,在核查应用系统的同时,还对系统的使用单位进行了延伸审计。针对信息系统审计特点,采用了必要的程序与方法,对系统一般控制和应用控制进行了核查。
(3)审计的内容和做法。信息系统审计包括一般控制和应用控制两个方面,需要结合项目实际情况来确定具体的审计重点。在一般控制审计中重点实施“信息安全控制审计”和“信息系统运行与服务审计”,也就是审计中要关注的安全性和可靠性问题。如果这两种内部控制不足或失效,造成的灾难和危害将是无法预测的。在应用控制审计中重点实施“处理控制审计”和“接口控制审计”。这两种内部控制是信息系统的核心和灵魂,如果控制不足或失效,将无法有效保证数据的真实性和完整性,甚至会直接导致违纪违规行为发生。
信息系统审计能否取得成效,关键在于能否恰当运用各种方法进行审计。笔者在一般控制审计中主要采用了问卷调查、人员访谈、现场观察、资料查阅等方法;在应用控制审计中主要采用了测试用例、平行模拟、代码检查等方法。下面介绍部分做法:
在一般控制中,系统安全控制方面主要核查了物理安全、逻辑安全、安全策略等,通过检查机房物理环境、网络设备、操作系统和数据库等,发现系统安全控制中存在的风险。审计中,首先通过5张调查问卷表详细了解系统基础环境,确定其中存在的疑点问题;然后进一步采取人员访谈、现场测试等方法,找出系统存在的安全隐患。
在应用控制中主要核查了系统参保登记、参保变更、缴费核定、基金征缴、工伤认定、工伤鉴定、待遇审核和发放等功能模块,对各功能模块的输入、输出、处理进行了分析测试。审计中,首先通过研究工伤保险业务政策、了解业务流程、与有关人员交流等方式,确定了几十个系统风险控制点;然后,针对各控制点,设计相应的测试用例来测试控制的有效性,同时采用检查后台存储过程代码、平行模拟工伤业务等方式,验证系统逻辑处理的正确性,发现其中存在的控制风险甚至违法违规问题。
(4)审计中发现的问题。通过对工伤保险系统进行审计,一是发现系统在一般控制方面存在薄弱环节,如信息技术人员与业务人员职责没有明确分离;中心机房缺少必要的监控、报警设施;数据备份和恢复计划不明确,数据没有异地容灾措施;网络系统缺少入侵检测、漏洞扫描等安全设置,缺少必要的网络管理软件;部分服务器采用弱口令等问题。二是发现系统应用控制存在漏洞,如系统存在多项输入控制缺陷,对部分必须输入的关键信息没有进行提示和检测,对身份证号码、银行账号等重要数据的正确性校验存在不足,无法有效保证数据的完整性和准确性等。
标签:审计计划论文; 审计软件论文; 安全审计论文; 审计目标论文; 审计质量论文; 审计流程论文; 系统评价论文; 测试模型论文; 信息安全论文; 控制测试论文; 控制活动论文; 可靠性分析论文; 关键论文;