现代企业基本上逐渐形成了依托信息技术以及系统的支撑,向业务管理信息化、日常管理规范化的局面。并且信息技术在企业的生产经营和业务管理活动中发挥了越来越重要的作用,信息化已经成为公司发展和管理必不可少的技术支撑手段。但正如一把双刃剑,在信息化给企业带来便利以及快速发展的支撑同时,如何控制信息系统风险是越来越多的企业所关注的问题。本文将重点探讨如何实现全面IT审计。
目前,现代企业经营越来越依赖信息系统,信息系统管理信息、处理业务以及存储大量的数据。也迫切需要对信息化管理现状进行全面的审计,以分析评估存在的问题,提出解决方案,完善IT风险控制,保障各信息系统的规范运作,降低信息化风险,提高业务运营的经济性和有效性。IT审计虽然区别于财务审计,运营审计等常规审计,但其审计方法论仍不可能脱离常规审计所用的方法论。也就是必须对审计目标,审计范围,审计计划等等均需进行清晰阐述,并在实施IT审计后,出具具有充分、适当的审计证据支持的IT审计报告。
一般来说,实现全面的IT审计,应当从审计对象的整个生命周期领域、审计对象及组织层次来开展。
一.IT审计范围
进行IT审计的对象包括但不限于以下领域:1.管理组织与制度;2.项目管理流程规范性 ,包括应用系统的开发、测试与上线管理;3.基础设施及运维管理;4.信息安全管理;
IT审计涉及的应用系统包括但不限于以下领域:1.生产系统;2.营销系统;3.办公自动化系统;
IT审计涉及的组织层次包括但不限于以下领域:1.高层决策者;2.中层管理者;3.技术部门员工;4.业务部门员工。
二.IT审计具体实施
ELC(entity level control)控制。关注客户在IT治理方面的相关组织架构是否合理,管理制度是不是健全,具体的审计程序就是获取客户的组织结构图,及一些比较虚的总纲类的书面管理制度如《IT管理制度》等等。
系统开发和变更。关注系统开发和系统后续变更实施中的控制,具体的审计程序首先就是获取系统开发及变更相关的管理制度,如调阅《系统开发制度》《系统变更管理制度》,二是关注系统开发过程的合理性,如是否经过了需求提出、可行性研究、领导层审批,系统上线之前是否经过了充分的测试,获取一些内控痕迹和表单,如《××系统需求报告》、《××系统可行性报告》、《××系统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》,《变更审批单》,采取抽样后穿行测试。
操作系统及数据库控制。关注操作系统和数据库的控制,如登录时密码控制强度、敏感操作的权限分配、日志的保存。
应用系统控制。关注应用系统控制的合理性。如银行使用的综合业务系统(有的叫核心业务系统)、国际结算系统、大小额系统、信贷管理系统等等,关注其安全配置和用户权限。
接口控制与信息安全。关注其数据准确性、完整性、以及组织级的网络管理的相关制度,如防火墙的架构,内外网分离程度等。
三.IT审计依据
IT审计依据的来源基本上业界都有很充分的理论依据以及最佳实践,以下IT控制标准、法律法规、行业最佳实践都可作为IT审计的依据。
IT标准、规范及最佳实践; 企业内控框架-COSO;IT治理-COBIT、ISO 38500;IT规划与架构设计-Zachman、TOGAF、FEA;IT应用系统开发与运维-软件开发规范、CMMI、ISO9126;IT基础设施生命周期管理-网络、主机、安全等设备管理规范;IT服务管理-ITIL、ISO20000;IT项目控制-PMP、Prince2、项目监理规范;信息安全管理-ISO27001、ISO27002;业务连续性计划-BS25999、ANSI/NFPA 1600;IT应用控制-输入控制、处理控制及输出控制;IT资源协同-EAI、SOA、共享中心等……
目前,信息系统的正常运行已经成为银行业务正常运营的最基本条件之一,信息科技在有力提升银行核心竞争力的同时,信息科技风险也愈发突出和集中,信息科技风险控制已成为银行业风险管理的重要内容,而IT审计作为银行业风险管理体系的重要组成部分,其重要性和必要性已经日益得到银行业管理层的关注。
IT与其他如财务审计等不同之处,主要在于审计框架是否全面。审计过程仍遵循常规审计步骤,包括审计策划、审计准备、审计对象调查、实施审计、审计发现复核及沟通、审计报告六大步骤。
如何在企业内建立IT审计体系,首先,内部审计机构的建立是必要的,并需要给予该机构充分的权利来制定IT控制内部审计相关的管理制度、审计方法流程及操作手册,用以指导企业开展IT控制内部审计。另外,企业必须培养IT审计人才。因国内的信息系统管理相对国外起步较晚,只有近十几年的发展,所以,对于IT审计人才的培养仍处于比较初级的阶段,也是今后企业在实施全面IT审计后,所面临的一个需要重点解决的IT风险问题。
朱华娜 王华忠(作者单位:中国建设银行重庆总审计室)
……