中冶賽迪集團信息系統審計流程與方法回顧論文

　　案例背景

　　中冶賽迪集團有限公司（以下簡(jiǎn)稱(chēng)賽迪集團）是世界500強企業(yè)--中國冶金科工集團旗下的國有大型科技型工程技術(shù)企業(yè)，是集應用技術(shù)研發(fā)、經(jīng)濟技術(shù)咨詢(xún)、規劃設計、工程總承包、成套裝備、工程監理、技術(shù)服務(wù)于一體的工程技術(shù)服務(wù)集團，也是國內第一家完全數字化的工程技術(shù)服務(wù)集團，下設 18個(gè)職能部門(mén)，擁有中冶賽迪工程技術(shù)股份有限公司（以下簡(jiǎn)稱(chēng)賽迪股份公司）等21家全資或控股子公司。中冶賽迪核心信息系統（以下簡(jiǎn)稱(chēng)CCIS 系統）是賽迪集團信息化建設的主要平臺，是以 Oracle ERP系統為核心組件搭建的信息化系統。該系統以項目為導向和核心，覆蓋了企業(yè)價(jià)值鏈，為項目管理提供全生命周期的信息化支撐。該系統于2008年12月上線(xiàn)投用至今，除涉及海外、物業(yè)管理以及房地產(chǎn)等業(yè)務(wù)的4家子公司尚未上線(xiàn)外，其余17家子公司均已成功上線(xiàn)投用。此外，為了持續優(yōu)化完善該系統，賽迪集團于2010年投資設立了中冶賽迪重慶信息技術(shù)有限公司（以下簡(jiǎn)稱(chēng)賽迪信息公司），對系統進(jìn)行功能運維和優(yōu)化提升。

　　CCIS 系統對賽迪集團規范日常運營(yíng)管理、提升管理效率，維護信息的正常流轉，增強市場(chǎng)競爭力起到了積極作用。由于經(jīng)營(yíng)管理活動(dòng)對該系統依賴(lài)性極高，系統可靠性、穩定性、安全性、完整性及準確性顯得尤為重要。賽迪集團審計部作為內部監督部門(mén)，著(zhù)眼于信息化環(huán)境下公司面臨的新的風(fēng)險點(diǎn)，于 2012 年開(kāi)始組織具有IT背景的審計人員研究探索信息系統審計，對 CCIS 系統內部控制及流程進(jìn)行審查和評價(jià)，提出相關(guān)管理建議，促進(jìn)公司提升信息化水平。鑒于 CCIS 系統十分龐大復雜、實(shí)施信息系統審計的經(jīng)驗不足等情況，審計部充分調研，確立了分模塊、分系統，逐項探索和突破的審計思路。通過(guò)近3年的探索和總結，截至 2014 年底，共開(kāi)展信息系統審計項目5項；發(fā)布實(shí)施了《信息系統審計工作規定》；提升了人員素質(zhì)，審計部共7人，全員擁有CIA資格，1人擁有CISA（國際注冊信息系統審計師）資格，注冊會(huì )計師 1 人，此外還擁有一級建造師、造價(jià)師等資格。

　　BI系統是與CCIS Portal界面及Oracle數據庫相互集成，通過(guò)信息挖掘、分析、查詢(xún)和報表的形式為管理層決策提供立體式數據服務(wù)的商務(wù)智能系統，其基礎組件主要包括BIEE 基礎服務(wù)、服務(wù)器以及數據抽取工具等。該系統是賽迪集團在凱捷咨詢(xún)（中國）公司的指導下自行開(kāi)發(fā)的，包含經(jīng)營(yíng)總覽、項目管理、采購管理、費用控制等12個(gè)功能模塊。2009 年 5 月開(kāi)始搭建，同年 12 月上線(xiàn)投用。審計時(shí)，該系統已運用到賽迪股份等4家子公司。BI系統作為向管理層提供決策數據服務(wù)的工具，其數據準確性、有用性直接關(guān)系到管理層決策的正確性和效率，如項目預算執行情況預警及控制等。

　　賽迪股份公司作為賽迪集團的核心子公司，致力于為鋼鐵行業(yè)提供全流程服務(wù)，為工程項目提供全功能、全生命周期服務(wù)，率先投用了BI 系統。在對賽迪股份工程項目的審計過(guò)程中發(fā)現，BI 系統項目管理模塊數據與 CCIS 中 ERP 系統財務(wù)模塊存在不一致的情況。審計部高度重視這一情況，以風(fēng)險導向為原則，對賽迪股份BI系統在項目管理的應用情況進(jìn)行審計，將其納入 2013年度審計計劃，向集團董事會(huì )報批后實(shí)施。

　　本項目審計目標是對BI系統的內部控制和流程進(jìn)行審查與評價(jià)，為持續優(yōu)化完善 BI 系統內部控制流程提出具有可操作性的建議，有效提升 BI 系統的可靠性、穩定性、安全性及數據處理的完整性和準確性，增強系統的普及率和使用率；強化 CCIS 系統災難恢復計劃的持續有效性。

　　審計過(guò)程及方法

　�。ㄒ唬�審計思路

　　本項目兼具信息系統一般控制審計和應用控制審計的特點(diǎn)。為了實(shí)現前述審計目標，審計小組擬定了以下審計思路：

　　1.收集相關(guān)資料，熟悉BI系統基本架構、主要功能、業(yè)務(wù)流程以及其與CCIS系統中其他模塊或子系統間的邏輯關(guān)系等。

　　2.風(fēng)險評估，確定審計范圍和重點(diǎn)。

　　3.梳理審計重點(diǎn)，從一般控制與應用控制兩個(gè)層面深入開(kāi)展審計工作，確定重點(diǎn)審計內容。

　�。ǘ�）審計過(guò)程

　　1.精心組織，周密安排。針對信息系統審計內容涉及面廣、開(kāi)展難度較大等特點(diǎn)，審計部高度重視，積極協(xié)調溝通，得到了賽迪集團信息化建設主管領(lǐng)導的大力支持，要求相關(guān)部門(mén)及人員積極配合審計工作，為審計工作的順利開(kāi)展提供有力支持。本項目審計組織情況見(jiàn)表 1.

　　2.前期準備工作。

　�。�1）主審申請并開(kāi)通 BI 系統訪(fǎng)問(wèn)賬戶(hù)及權限。

　�。�2）詳細閱讀 BI系統項目管理模塊設計功能說(shuō)明書(shū)、解決方案及應用速讀手冊（操作手冊）等文件；賽迪信息公司開(kāi)發(fā)人員提供該系統項目管理模塊的功能說(shuō)明書(shū)及應用速讀手冊（操作手冊）共 41 份。

　�。�3）梳理BI系統與CCIS其他子系統或模塊間的關(guān)鍵接口或控制點(diǎn)及其基本架構。BI系統基本架構見(jiàn)圖1,CCIS系統各模塊間的關(guān)系見(jiàn)圖2.據此，審計小組確定BI系統數據輸入來(lái)源于EBS ERP 系統，與其他子系統的關(guān)聯(lián)較少，其關(guān)鍵控制點(diǎn)在于數據抽取工作流抽取邏輯是否正確完備；BI 系統屬于 CCIS 系統中的子系統，屬于 CCIS 災難恢復計劃的一部分，且不可分離。

　　3.風(fēng)險評估，確立審計范圍。本項目以風(fēng)險為導向，確立審計范圍和審計重點(diǎn)，風(fēng)險評估工作可概括為以下幾個(gè)方面：

　�。�1）利用工程項目審計等其他工作成果，梳理以前審計過(guò)程中發(fā)現的與BI系統相關(guān)的問(wèn)題。

　�。�2）對 BI 系統使用人員進(jìn)行訪(fǎng)談?wù){研，發(fā)現該系統在使用過(guò)程中存在的問(wèn)題或不足之處。

　�。�3）進(jìn)一步對賽迪信息BI系統開(kāi)發(fā)人員進(jìn)行訪(fǎng)談，全面了解 BI系統項目管理模塊的各項功能、數據處理邏輯、與CCIS其他子系統間的數據傳輸邏輯、日常運維中經(jīng)常出現的問(wèn)題等，收集功能說(shuō)明書(shū)等文本資料。

　�。�4）結合公司領(lǐng)導對信息系統審計的要求，將公司災難恢復計劃的有效性等納入審計范圍。根據上述幾個(gè)方面的工作，結合賽迪股份公司主營(yíng)業(yè)務(wù)特點(diǎn)，審計小組從信息系統一般控制和應用控制兩個(gè)層面確立了審計重點(diǎn)內容。

　　一般控制層面重點(diǎn)關(guān)注：（1）BI 系統軟、硬件等基礎設施管理情況。

　�。�2）物理訪(fǎng)問(wèn)控制制度建立健全及執行情況。

　�。�3）與 BI 系統相關(guān)規章制度建立健全及執行情況。

　�。�4）CCIS 系統災難恢復計劃建立及有效性測試管理情況。應用控制層面重點(diǎn)關(guān)注：

　�。�1）BI 系統對公司業(yè)務(wù)需求支持情況。

　�。�2）數據抽取工作流抽取邏輯設計及運行情況。

　�。�3）BI系統邏輯訪(fǎng)問(wèn)控制情況。

　�。ㄈ�）審計方法及發(fā)現的問(wèn)題

　　1 .訪(fǎng)談與問(wèn)卷調查結果相結合，確定審計重點(diǎn)。在審前調查中，通過(guò)對系統關(guān)鍵使用者（如項目管理部部長(cháng)、費用控制與合同管理部部長(cháng)等）進(jìn)行訪(fǎng)談了解到，BI系統項目管理模塊使用率較低，其原因可能在于：一是部分數據不準確，與ERP 系統中項目管理、財務(wù)等模塊數據不一致，這可能是影響其使用率的主要原因。二是應得收入、承諾全成本等部分指標可理解性差。三是針對用戶(hù)的有效培訓不足，致使部分客戶(hù)不了解該系統的基本功能或對此知之甚少，進(jìn)而影響了系統的使用率。審計小組據此設計調查問(wèn)卷，有針對性地對賽迪股份公司部分使用者（主要是項目經(jīng)理及中層管理人員以上人員）進(jìn)行問(wèn)卷調查，佐證了上述問(wèn)題，明確了數據的準確性是影響B(tài)I系統使用率的主要原因，并將該問(wèn)題納入審計重點(diǎn)。

　　2.從具體項目著(zhù)手，全面梳理BI 系統數據抽取工作流數據處理邏輯，核查 BI 系統數據準確性。通過(guò)閱讀功能說(shuō)明書(shū)以及向開(kāi)發(fā)人員進(jìn)行訪(fǎng)談等方法全面了解BI系統中數據抽取及處理邏輯后，審計小組抽取了實(shí)際運行的兩個(gè)典型的工程項目逐項核查項目管理及業(yè)務(wù)數據，查找差異，并在開(kāi)發(fā)人員支持下，分析差異產(chǎn)生根源，為解決相關(guān)問(wèn)題提供具有可操作性的解決方案。通過(guò)核查發(fā)現，影響數據準確性的主要原因在于以下幾個(gè)方面：

　�。�1）BI系統內部控制流程存在缺陷，數據抽取工作流設計存在瑕疵。如某項目甲供鋼材BI系統較采購管理部提供的實(shí)際使用數據多出 3105.40 噸、1395.88萬(wàn)元。據查，該項目第二批鋼筋實(shí)際出庫 4000 噸，但采購人員錄入系統時(shí)誤錄入7105.40噸，按照《甲供鋼材采購 CCIS 用戶(hù)系統操作手冊》，后錄入-3105.40噸到“雜項事務(wù)處理中的賬戶(hù)接收”進(jìn)行調整，但BI系統數據抽取工作流則未抽取到該調整項。

　�。�2）CCIS 系統中采購管理模塊功能不完善。如某項目直接開(kāi)支中，因采購人員誤錄入金額為6.38萬(wàn)元的采購訂單后，撤銷(xiāo)該訂單時(shí)，做了“取消”處理，但后臺數據并未相應將訂單狀態(tài)更改為“取消”,致使 BI 系統直接支出較ERP 系統多了 6.38 萬(wàn)元。經(jīng)了解，CCIS 系統上線(xiàn)時(shí)已明確，經(jīng)批準的采購訂單不能做“取消”處理，但CCIS 系統采購管理模塊未屏蔽該操作。

　�。�3）用戶(hù)操作不熟練或失誤導致數據歸集錯誤。如某項目直接支出中預算內設計分包支出，支出類(lèi)型應為“直接支出”,而業(yè)務(wù)人員誤將其支出類(lèi)型選擇為“制圖費”.

　　3.采集數據，跨系統數據比對分析，查詢(xún)系統非法用戶(hù)。為了核查BI 系統登錄權限配置是否符合公司相關(guān)管理要求，審計小組采集了 BI系統登錄用戶(hù)數據及CCIS系統人力資源系統中所有在職員工數據，通過(guò)跨系統數據比對分析，剔除系統管理賬戶(hù)，查找非法賬戶(hù)反饋給人力資源部進(jìn)行核實(shí)確認。經(jīng)對比發(fā)現，信息溝通不暢，員工離職信息傳遞存在缺陷。BI 系統擁有登錄權限賬戶(hù)623個(gè)（已剔除了管理員賬戶(hù)），其中4個(gè)賬戶(hù)為已離職員工，未及時(shí)清理。主要原因在于員工離職信息傳輸存在缺陷，未能適時(shí)將相關(guān)信息有效傳遞到信息部門(mén)。

　　4.檢查災難恢復計劃的有效性。對于災難恢復計劃的有效性檢查，審計小組從兩個(gè)方面著(zhù)手：一是檢查服務(wù)器等硬件設備的物理環(huán)境及物理訪(fǎng)問(wèn)控制情況，主要查看機房的消防安全、門(mén)禁管理以及巡檢記錄等。二是檢查備份磁帶歸檔管理及災備系統有效性測試審批及開(kāi)展是否符合公司相關(guān)制度規定。經(jīng)查，災難恢復計劃執行有效。

　　審計結果及成效

　　針對審計發(fā)現的問(wèn)題，在上報集團董事會(huì )審批后，相關(guān)部門(mén)均進(jìn)行了相應整改。審計成果得到了有效應用，具體體現在：

　　一是發(fā)現了BI系統數據抽取工作流存在設計缺陷，影響了項目管理數據的準確性；審計結論促進(jìn)了賽迪信息技術(shù)人員優(yōu)化完善數據抽取工作流取數邏輯，提升了 BI 系統數據準確性。

　　二是發(fā)現了CCIS系統中采購管理模塊功能不完善，未屏蔽被禁止的功能。已整改完畢。

　　三是發(fā)現了信息與溝通方面存在的不足，員工離職信息傳遞存在缺陷。審計后公司優(yōu)化完善了員工離職流程，提高了信息傳遞有效性，確保了離職員工賬戶(hù)得到及時(shí)清理。

　　四是發(fā)現了BI系統中部分指標可理解性差，培訓力度不足等因素影響了 BI 系統的普及率和使用率。

　　啟示與思考

　　首先，較之經(jīng)濟責任審計等其他內部審計工作，信息系統審計的審計對象責任人并非唯一，有系統設計、實(shí)施部門(mén)，也有使用部門(mén)，同時(shí)還有負責內部控制制度設計和運行的相關(guān)部門(mén)，審計對象群體龐大導致配合難度較大。因此，公司領(lǐng)導的大力支持與推動(dòng)是順利開(kāi)展信息系統審計的有力保障。

　　第二，信息系統審計主要關(guān)注信息技術(shù)內部控制與流程的合規性與可靠性，所發(fā)現的問(wèn)題通過(guò)審計意見(jiàn)或建議予以改善，能夠糾正所有的類(lèi)似錯漏，有效促進(jìn)系統的可靠性和數據準確性的提升，審計成效和價(jià)值實(shí)現往往更加快捷、更易接受。

　　第三，抓住信息系統內部控制與流程的“牛鼻子”,內部審計大有可為。事實(shí)證明，通過(guò)梳理及測試信息系統內部控制與流程，再輔以有針對性的審計程序和方法，如穿行測試、問(wèn)卷調查、分析性復核等，內部信息系統審計在促進(jìn)信息系統的完善和改進(jìn)方面完全可以大有作為。

　　第四，信息系統審計工作作為內部審計新開(kāi)展的一項審計業(yè)務(wù)，對于企業(yè)尤其是非金融類(lèi)企業(yè)的內部審計而言，尚處于不斷摸索和學(xué)習的過(guò)程中，提升審計人員的專(zhuān)業(yè)勝任能力，逐步規范完善審計流程及審計工作底稿，對于充分發(fā)揮內部審計價(jià)值創(chuàng )造作用尤為重要�？陀^(guān)上，目前非金融類(lèi)企業(yè)信息系統審計發(fā)揮的作用較為有限，提升空間仍然較大。

【中冶賽迪集團信息系統審計流程與方法回顧論文】相關(guān)文章：

集團公司內控中內部審計的關(guān)鍵節點(diǎn)論文09-02

論文寫(xiě)作方法和流程07-18

論文寫(xiě)作中的選題方法08-01

審計在公司治理中的作用論文10-07

畢業(yè)論文答辯流程及方法10-23

論文：論新審計準則中的審計理念革新10-11

信息系統審計中計算機審計的具體應用論文07-04

信息系統審計的固有控制及檢查風(fēng)險探析論文07-12

對孤立點(diǎn)分析方法在現代審計中的運用技巧分析經(jīng)濟論文07-10

集團公司的內部控制審計的研究經(jīng)濟論文07-15