如何在發(fā)電企業(yè)開(kāi)展信息系統內部審計論文

　　“信息系統內部審計”是指由組織內部審計機構及人員對信息系統及其相關(guān)的信息技術(shù)內部控制和流程開(kāi)展的一系列綜合檢查、評價(jià)與報告活動(dòng)。發(fā)電企業(yè)是技術(shù)密集型行業(yè)，信息系統已在電力建設、生產(chǎn)、經(jīng)營(yíng)、管理等各個(gè)領(lǐng)域廣泛應用。為了保障發(fā)電企業(yè)所依賴(lài)的信息系統的可靠性和安全性，提高數據的完整性和準確性，保證信息技術(shù)戰略能充分適應企業(yè)的戰略目標，應定期開(kāi)展信息系統內部審計活動(dòng)，評估信息系統存在的技術(shù)風(fēng)險并持續改進(jìn)。本文在簡(jiǎn)要介紹信息技術(shù)風(fēng)險的控制要素之后，結合某發(fā)電企業(yè)的年度信息系統內部審計案例，分析如何在發(fā)電企業(yè)開(kāi)展信息系統內部審計，并對內部審計過(guò)程中需要關(guān)注的事項進(jìn)行探討。

　　1 信息技術(shù)風(fēng)險的控制要素

　　信息系統做為一個(gè)人工系統，由于受人類(lèi)思維的限制必然存在漏洞及風(fēng)險。信息技術(shù)風(fēng)險是指信息系統在運行管理過(guò)程中產(chǎn)生的、在一定條件下可能影響企業(yè)目標實(shí)現的各種不確定因素。

　　常規的信息技術(shù)風(fēng)險控制分為三個(gè)方面，此外還可根據實(shí)際情況來(lái)設計專(zhuān)項審計。

　�。�1）組織層面的信息技術(shù)控制。企業(yè)管理層對信息系統重要性的態(tài)度、認識和措施。相關(guān)的控制要素包括：①控制環(huán)境。信息中心組織結構和人員職權分配的變更、用戶(hù)的信息技術(shù)培訓等。②風(fēng)險評估。風(fēng)險管理流程和其執行情況，信息資產(chǎn)管理等。③信息與溝通。信息系統中財務(wù)相關(guān)的業(yè)務(wù)流程的支持度、信息溝通模式、信息管理制度傳達等；④監控。監控管理報告系統、內部控制的自測評等。

　�。�2）一般性控制層面的信息技術(shù)。為確保信息系統持續穩定運行和控制的有效性所使用的信息技術(shù)及其相關(guān)人員。相關(guān)的控制活動(dòng)包括：①系統安全管理。信息安全管理制度，物理訪(fǎng)問(wèn)及身份認證機制，系統設置的職責分離控制等。②系統變更管理。系統設置變更的授權與審批，程序變更、測試和移植的流程控制等。③系統采購和開(kāi)發(fā)管理。系統開(kāi)發(fā)和采購的授權審批，開(kāi)發(fā)、測試和運行環(huán)境分離情況，系統上線(xiàn)的測試、審核、移植控制情況。④系統運行管理。信息資產(chǎn)管理、系統物理環(huán)境控制，數據備份及恢復管理，問(wèn)題管理和日常運行管理等。

　�。�3）業(yè)務(wù)流程層面的應用控制。信息系統根據業(yè)務(wù)流程要求，按數據生成、記錄、處理、報告等功能而設計、執行的信息技術(shù)控制。相關(guān)的數據輸入、輸出及處理的控制活動(dòng)如下：授權與批準；系統配置控制；異常和差錯報告；數據接口控制；一致性核對；職責分離；系統訪(fǎng)問(wèn)權限；系統計算等。

　�。�4）專(zhuān)項審計。除了上述常規的信息技術(shù)風(fēng)險控制內容外，內部審計人員還可以根據當前面臨的特殊風(fēng)險或需求來(lái)設計專(zhuān)項審計，例如：信息系統開(kāi)發(fā)實(shí)施項目的專(zhuān)項審計；信息系統安全專(zhuān)項審計；信息技術(shù)投資專(zhuān)項審計；外包條件下的專(zhuān)項審計等。

　　2 信息系統內部審計的過(guò)程

　　開(kāi)展信息系統內部審計一般分為三個(gè)階段：審計計劃階段、審計實(shí)施階段、審計報告與后續工作階段。內部審計以風(fēng)險評估為導向，風(fēng)險評估貫穿各個(gè)階段。

　�。�1）審計計劃階段。首先根據內部審計計劃制定書(shū)面的《信息系統內部審計方案》，方案應明確審計目標、審計內容的重點(diǎn)及審計程序、估算審計所需的資源以及審計小組成員的職責。例如，某發(fā)電企業(yè)2010年度《信息系統內部審計實(shí)施方案》摘錄如下：

　　一、審計目的：“為確保電廠(chǎng)信息系統的相關(guān)管理能夠滿(mǎn)足內控的要求，以滿(mǎn)足電廠(chǎng)不斷增長(cháng)的業(yè)務(wù)需求，對電廠(chǎng)信息系統的安全性、可靠性、提供服務(wù)的有效性以及對當前法律法規的遵循性進(jìn)行評估�！�

　　二、審計范圍：“內控手冊涉及信息系統部分的相關(guān)內容�！�

　　三、審計主要內容：“以?xún)瓤厥謨灾械南嚓P(guān)要求和規定作為依據，同時(shí)參照公司頒布的與信息系統相關(guān)的管理制度。審計的主題總體分為如下幾個(gè)部分：信息系統的控制環(huán)境、信息系統的物理安全、網(wǎng)絡(luò )安全和管理、數據庫的備份及恢復、應用系統的使用和管理、單機版及Excel表格、服務(wù)器及軟件管理、信息系統運行管理�！�

　　四、審計時(shí)間和審計人員安排（略）。

　　五、需要關(guān)注的要點(diǎn)（略）。

　　六、主要審計實(shí)施過(guò)程（略）。

　　在制定審計方案時(shí)應重點(diǎn)關(guān)注以下內容：組織架構和信息系統的長(cháng)短期發(fā)展計劃；信息系統的關(guān)鍵業(yè)務(wù)流程和信息系統的復雜程度；信息系統及業(yè)務(wù)流程的變更情況；以前內部審計中發(fā)現的情況。

　�。�2）審計實(shí)施階段。在審計實(shí)施階段，內部審計人員用《信息系統內部審計底稿》記錄審計成果，包括審計程序、審計發(fā)現（事實(shí)）和審計結論，以及支持審計結論的審計工作細節及審計證據。在審計過(guò)程中獲取的數據應有嚴格的歸檔措施和保密措施。例如，某發(fā)電廠(chǎng)在2010年度信息系統內部審計方案中，將審計的主題分為了八個(gè)部分，并據此設計了八份《信息系統內部審計底稿》。以下是《信息系統內部審計底稿》格式樣張（見(jiàn)表1）。

　�。�3）審計報告與后續工作階段。審計實(shí)施階段結束后，內部審計人員應依據審計底稿形成審計結論與建議。例如《數據庫管理審計工作底稿》樣張（表2）中審計結論部分內容。根據最終的審計底稿，出具《信息系統內部審計報告》，并追蹤審計建議的落實(shí)并執行相應后續審計程序�！缎畔⑾到y內部審計報告》一般由以下幾部分組成：信息系統基本情況；審計情況；審計評價(jià)；審計中發(fā)現的不足；審計建議。

　　3 信息系統內部審計的方法

　�。�1）設計審計程序。根據不同的控制要素，內部審計人員在《《信息系統內部審計底稿》上設計恰當的審計程序來(lái)獲取審計證據，以此來(lái)評估信息技術(shù)風(fēng)險的控制要素，確認信息系統的設計有效性和執行有效性，并使用《內部審計工作底稿》記錄審計過(guò)程和事實(shí)。被審計單位對審計事實(shí)進(jìn)行確認后，再重新評估審計風(fēng)險，最終根據剩余風(fēng)險進(jìn)一步設計審計程序并執行。

　�。�2）選取審計樣本。內部審計人員在選取審計樣本時(shí)，可按業(yè)務(wù)流程的重要程度適當減少樣本量。對于在上次審計期間未發(fā)生變更的應用系統，可考慮適當降低審計頻率。

　�。�3）審計方法及樣例。根據在發(fā)電企業(yè)開(kāi)展內部審計工作積累的經(jīng)驗，總結出以下適用于發(fā)電企業(yè)信息系統的審計方法：一是，詢(xún)問(wèn)相關(guān)的控制人員。樣例：內部審計人員對照《信息安全事故應急預案》，詢(xún)問(wèn)信息中心人員對于機房電源中斷突發(fā)事件的應對措施，考察技術(shù)人員是否已掌握相關(guān)的技能。二是，觀(guān)察特定控制的運用。樣例：實(shí)地查看位于辦公樓四樓的中心機房消防系統、空調系統、門(mén)禁系統運轉情況。

　　抽查客戶(hù)端是否存在未經(jīng)授權擅自安裝盜版軟件情況。三是，審閱相關(guān)的文件和報告。樣例：查閱今年信息化管理領(lǐng)導小組名單是否與現狀是否相符；查閱今年信息中心人員職責分工表是否及時(shí)更新；查閱信息中心今年新員工的上崗培訓、忠誠及誠信調查記錄等。四是，根據業(yè)務(wù)流程進(jìn)行穿行測試，跟蹤信息系統的處理過(guò)程。樣例：在物資管理系統中跟蹤一張領(lǐng)料單的流轉過(guò)程，測試物資領(lǐng)料的業(yè)務(wù)流程是否正確，應用系統中的物資庫存等數據更新是否準確。五是，驗證系統控制和計算邏輯。樣例：使用SQL Server企業(yè)管理器，測試某數據庫連接口令是否為空密碼。六是，登錄信息系統進(jìn)行查詢(xún)。樣例：登錄人力資源系統，查詢(xún)今年退休的員工是否已經(jīng)注銷(xiāo)或禁用賬號。七是，利用計算機輔助審計工具。樣例：使用財務(wù)審計軟件對財務(wù)系統進(jìn)行審計。八是，利用其他專(zhuān)業(yè)機構的審計結果。樣例：引用第三方專(zhuān)業(yè)機構《應用系統壓力測試報告》數據做為本次系統上線(xiàn)的審計結果。

　　4 發(fā)電企業(yè)信息系統內部審計過(guò)程中需要關(guān)注的要點(diǎn)

　�。�1）管理制度是否有效執行。發(fā)電企業(yè)的信息系統一般執行集團公司的相關(guān)制度，內部審計人員需要充分熟悉公司層面的管理制度，掌握內部控制手冊中信息系統相關(guān)部分內容。對于發(fā)電企業(yè)層面制定的信息系統相關(guān)管理制度，關(guān)注是否存在與公司管理制度沖突情況。

　�。�2）網(wǎng)絡(luò )安全風(fēng)險是重點(diǎn)。關(guān)注網(wǎng)絡(luò )管理中內外網(wǎng)物理隔離技術(shù)和管理措施，局域網(wǎng)是否滿(mǎn)足電力二次系統安全防護體系的要求。關(guān)注計算機同時(shí)連接內網(wǎng)和外網(wǎng)的情況，檢查信息中心是否制訂相關(guān)制度來(lái)消除這種風(fēng)險。

　�。�3）密碼策略是否存在漏洞。關(guān)注信息系統服務(wù)器的密碼管理是否符合密碼策略要求。檢查納入內控測評范圍內的Excel表格的密碼管理。

　�。�4）外部人員未經(jīng)授權使用信息系統。關(guān)注外部人員未經(jīng)許可接入內網(wǎng)或使用系統的情況，檢查信息中心是否采取監控措施來(lái)消除這種風(fēng)險。

　�。�5）信息中心的操作記錄文檔。抽取信息中心操作記錄文檔樣本進(jìn)行測試，以確保文檔記錄落到實(shí)處。重點(diǎn)關(guān)注數據備份和恢復測試部分的文檔和介質(zhì)是否相符。

　�。�6）應急預案。關(guān)注信息系統是否有應急預案以處理突發(fā)事件，應急預案是否切實(shí)可行。

　�。�7）服務(wù)外包。關(guān)注服務(wù)外包項目的相關(guān)人員是否有超越其外包范圍的行為。在發(fā)電企業(yè)開(kāi)展信息系統內部審計的目的，就是要通過(guò)實(shí)施信息系統內部審計工作，對企業(yè)組織是否達成信息系統的管理目標進(jìn)行綜合評價(jià)，并基于評價(jià)意見(jiàn)提出管理建議，協(xié)助企業(yè)的信息管理人員有效地履行其受托責任，確保發(fā)電企業(yè)信息系統的相關(guān)管理能夠滿(mǎn)足內控的要求，并達成企業(yè)的信息管理目標。由于發(fā)電企業(yè)信息系統內部審計的對象主要是數字化記錄和管理，為了適應內部審計工作模式由事后審計轉向事中、事前審計，未來(lái)的內部審計發(fā)展方向，應該逐步建立起“聯(lián)網(wǎng)監控+跟蹤核查”的審計模式，實(shí)現從單一的靜態(tài)審計向靜態(tài)與動(dòng)態(tài)審計相結合的轉變、從單一的現場(chǎng)審計向現場(chǎng)與遠程審計相結合的轉變。

　　參考文獻：

　　[1]莊明來(lái)，吳沁紅，李俊。信息系統審計內容與方法[M].北京：中國時(shí)代經(jīng)濟出版社，2008.

　　[2]張金城。信息系統審計[M].北京：清華大學(xué)出版社，2009.

【如何在發(fā)電企業(yè)開(kāi)展信息系統內部審計論文】相關(guān)文章：

探究如何開(kāi)展企業(yè)內部控制審計論文02-21

企業(yè)內部審計探析論文01-01

職能定位企業(yè)內部審計論文02-21

企業(yè)集團內部審計制度的構建論文03-04

電力企業(yè)內部審計的論文02-23

發(fā)電企業(yè)燃煤審計程序及方法論文02-20

如何在供電企業(yè)開(kāi)展崗位價(jià)值評估論文02-20

企業(yè)內部審計風(fēng)險管理研究的論文02-21

企業(yè)內部審計增值問(wèn)題研究論文02-20