如何在發(fā)電企業(yè)開展信息系統(tǒng)內(nèi)部審計(jì)論文

如何在發(fā)電企業(yè)開展信息系統(tǒng)內(nèi)部審計(jì)論文

　　“信息系統(tǒng)內(nèi)部審計(jì)”是指由組織內(nèi)部審計(jì)機(jī)構(gòu)及人員對信息系統(tǒng)及其相關(guān)的信息技術(shù)內(nèi)部控制和流程開展的一系列綜合檢查、評價(jià)與報(bào)告活動(dòng)。發(fā)電企業(yè)是技術(shù)密集型行業(yè)，信息系統(tǒng)已在電力建設(shè)、生產(chǎn)、經(jīng)營、管理等各個(gè)領(lǐng)域廣泛應(yīng)用。為了保障發(fā)電企業(yè)所依賴的信息系統(tǒng)的可靠性和安全性，提高數(shù)據(jù)的完整性和準(zhǔn)確性，保證信息技術(shù)戰(zhàn)略能充分適應(yīng)企業(yè)的戰(zhàn)略目標(biāo)，應(yīng)定期開展信息系統(tǒng)內(nèi)部審計(jì)活動(dòng)，評估信息系統(tǒng)存在的技術(shù)風(fēng)險(xiǎn)并持續(xù)改進(jìn)。本文在簡要介紹信息技術(shù)風(fēng)險(xiǎn)的控制要素之后，結(jié)合某發(fā)電企業(yè)的年度信息系統(tǒng)內(nèi)部審計(jì)案例，分析如何在發(fā)電企業(yè)開展信息系統(tǒng)內(nèi)部審計(jì)，并對內(nèi)部審計(jì)過程中需要關(guān)注的事項(xiàng)進(jìn)行探討。

　　1 信息技術(shù)風(fēng)險(xiǎn)的控制要素

　　信息系統(tǒng)做為一個(gè)人工系統(tǒng)，由于受人類思維的限制必然存在漏洞及風(fēng)險(xiǎn)。信息技術(shù)風(fēng)險(xiǎn)是指信息系統(tǒng)在運(yùn)行管理過程中產(chǎn)生的、在一定條件下可能影響企業(yè)目標(biāo)實(shí)現(xiàn)的各種不確定因素。

　　常規(guī)的信息技術(shù)風(fēng)險(xiǎn)控制分為三個(gè)方面，此外還可根據(jù)實(shí)際情況來設(shè)計(jì)專項(xiàng)審計(jì)。

　�。�1）組織層面的信息技術(shù)控制。企業(yè)管理層對信息系統(tǒng)重要性的態(tài)度、認(rèn)識(shí)和措施。相關(guān)的控制要素包括：①控制環(huán)境。信息中心組織結(jié)構(gòu)和人員職權(quán)分配的變更、用戶的信息技術(shù)培訓(xùn)等。②風(fēng)險(xiǎn)評估。風(fēng)險(xiǎn)管理流程和其執(zhí)行情況，信息資產(chǎn)管理等。③信息與溝通。信息系統(tǒng)中財(cái)務(wù)相關(guān)的業(yè)務(wù)流程的支持度、信息溝通模式、信息管理制度傳達(dá)等；④監(jiān)控。監(jiān)控管理報(bào)告系統(tǒng)、內(nèi)部控制的自測評等。

　�。�2）一般性控制層面的信息技術(shù)。為確保信息系統(tǒng)持續(xù)穩(wěn)定運(yùn)行和控制的有效性所使用的信息技術(shù)及其相關(guān)人員。相關(guān)的控制活動(dòng)包括：①系統(tǒng)安全管理。信息安全管理制度，物理訪問及身份認(rèn)證機(jī)制，系統(tǒng)設(shè)置的職責(zé)分離控制等。②系統(tǒng)變更管理。系統(tǒng)設(shè)置變更的授權(quán)與審批，程序變更、測試和移植的流程控制等。③系統(tǒng)采購和開發(fā)管理。系統(tǒng)開發(fā)和采購的授權(quán)審批，開發(fā)、測試和運(yùn)行環(huán)境分離情況，系統(tǒng)上線的測試、審核、移植控制情況。④系統(tǒng)運(yùn)行管理。信息資產(chǎn)管理、系統(tǒng)物理環(huán)境控制，數(shù)據(jù)備份及恢復(fù)管理，問題管理和日常運(yùn)行管理等。

　�。�3）業(yè)務(wù)流程層面的應(yīng)用控制。信息系統(tǒng)根據(jù)業(yè)務(wù)流程要求，按數(shù)據(jù)生成、記錄、處理、報(bào)告等功能而設(shè)計(jì)、執(zhí)行的信息技術(shù)控制。相關(guān)的數(shù)據(jù)輸入、輸出及處理的控制活動(dòng)如下：授權(quán)與批準(zhǔn)；系統(tǒng)配置控制；異常和差錯(cuò)報(bào)告；數(shù)據(jù)接口控制；一致性核對；職責(zé)分離；系統(tǒng)訪問權(quán)限；系統(tǒng)計(jì)算等。

　�。�4）專項(xiàng)審計(jì)。除了上述常規(guī)的信息技術(shù)風(fēng)險(xiǎn)控制內(nèi)容外，內(nèi)部審計(jì)人員還可以根據(jù)當(dāng)前面臨的特殊風(fēng)險(xiǎn)或需求來設(shè)計(jì)專項(xiàng)審計(jì)，例如：信息系統(tǒng)開發(fā)實(shí)施項(xiàng)目的專項(xiàng)審計(jì)；信息系統(tǒng)安全專項(xiàng)審計(jì)；信息技術(shù)投資專項(xiàng)審計(jì)；外包條件下的專項(xiàng)審計(jì)等。

　　2 信息系統(tǒng)內(nèi)部審計(jì)的過程

　　開展信息系統(tǒng)內(nèi)部審計(jì)一般分為三個(gè)階段：審計(jì)計(jì)劃階段、審計(jì)實(shí)施階段、審計(jì)報(bào)告與后續(xù)工作階段。內(nèi)部審計(jì)以風(fēng)險(xiǎn)評估為導(dǎo)向，風(fēng)險(xiǎn)評估貫穿各個(gè)階段。

　�。�1）審計(jì)計(jì)劃階段。首先根據(jù)內(nèi)部審計(jì)計(jì)劃制定書面的《信息系統(tǒng)內(nèi)部審計(jì)方案》，方案應(yīng)明確審計(jì)目標(biāo)、審計(jì)內(nèi)容的重點(diǎn)及審計(jì)程序、估算審計(jì)所需的資源以及審計(jì)小組成員的職責(zé)。例如，某發(fā)電企業(yè)2010年度《信息系統(tǒng)內(nèi)部審計(jì)實(shí)施方案》摘錄如下：

　　一、審計(jì)目的：“為確保電廠信息系統(tǒng)的相關(guān)管理能夠滿足內(nèi)控的要求，以滿足電廠不斷增長的業(yè)務(wù)需求，對電廠信息系統(tǒng)的安全性、可靠性、提供服務(wù)的有效性以及對當(dāng)前法律法規(guī)的遵循性進(jìn)行評估�！�

　　二、審計(jì)范圍：“內(nèi)控手冊涉及信息系統(tǒng)部分的相關(guān)內(nèi)容。”

　　三、審計(jì)主要內(nèi)容：“以內(nèi)控手冊中的相關(guān)要求和規(guī)定作為依據(jù)，同時(shí)參照公司頒布的與信息系統(tǒng)相關(guān)的管理制度。審計(jì)的主題總體分為如下幾個(gè)部分：信息系統(tǒng)的控制環(huán)境、信息系統(tǒng)的物理安全、網(wǎng)絡(luò)安全和管理、數(shù)據(jù)庫的備份及恢復(fù)、應(yīng)用系統(tǒng)的使用和管理、單機(jī)版及Excel表格、服務(wù)器及軟件管理、信息系統(tǒng)運(yùn)行管理。”

　　四、審計(jì)時(shí)間和審計(jì)人員安排（略）。

　　五、需要關(guān)注的要點(diǎn)（略）。

　　六、主要審計(jì)實(shí)施過程（略）。

　　在制定審計(jì)方案時(shí)應(yīng)重點(diǎn)關(guān)注以下內(nèi)容：組織架構(gòu)和信息系統(tǒng)的長短期發(fā)展計(jì)劃；信息系統(tǒng)的關(guān)鍵業(yè)務(wù)流程和信息系統(tǒng)的復(fù)雜程度；信息系統(tǒng)及業(yè)務(wù)流程的變更情況；以前內(nèi)部審計(jì)中發(fā)現(xiàn)的情況。

　　（2）審計(jì)實(shí)施階段。在審計(jì)實(shí)施階段，內(nèi)部審計(jì)人員用《信息系統(tǒng)內(nèi)部審計(jì)底稿》記錄審計(jì)成果，包括審計(jì)程序、審計(jì)發(fā)現(xiàn)（事實(shí)）和審計(jì)結(jié)論，以及支持審計(jì)結(jié)論的審計(jì)工作細(xì)節(jié)及審計(jì)證據(jù)。在審計(jì)過程中獲取的數(shù)據(jù)應(yīng)有嚴(yán)格的歸檔措施和保密措施。例如，某發(fā)電廠在2010年度信息系統(tǒng)內(nèi)部審計(jì)方案中，將審計(jì)的主題分為了八個(gè)部分，并據(jù)此設(shè)計(jì)了八份《信息系統(tǒng)內(nèi)部審計(jì)底稿》。以下是《信息系統(tǒng)內(nèi)部審計(jì)底稿》格式樣張（見表1）。

　�。�3）審計(jì)報(bào)告與后續(xù)工作階段。審計(jì)實(shí)施階段結(jié)束后，內(nèi)部審計(jì)人員應(yīng)依據(jù)審計(jì)底稿形成審計(jì)結(jié)論與建議。例如《數(shù)據(jù)庫管理審計(jì)工作底稿》樣張（表2）中審計(jì)結(jié)論部分內(nèi)容。根據(jù)最終的審計(jì)底稿，出具《信息系統(tǒng)內(nèi)部審計(jì)報(bào)告》，并追蹤審計(jì)建議的落實(shí)并執(zhí)行相應(yīng)后續(xù)審計(jì)程序。《信息系統(tǒng)內(nèi)部審計(jì)報(bào)告》一般由以下幾部分組成：信息系統(tǒng)基本情況；審計(jì)情況；審計(jì)評價(jià)；審計(jì)中發(fā)現(xiàn)的不足；審計(jì)建議。

　　3 信息系統(tǒng)內(nèi)部審計(jì)的方法

　�。�1）設(shè)計(jì)審計(jì)程序。根據(jù)不同的控制要素，內(nèi)部審計(jì)人員在《《信息系統(tǒng)內(nèi)部審計(jì)底稿》上設(shè)計(jì)恰當(dāng)?shù)膶徲?jì)程序來獲取審計(jì)證據(jù)，以此來評估信息技術(shù)風(fēng)險(xiǎn)的控制要素，確認(rèn)信息系統(tǒng)的設(shè)計(jì)有效性和執(zhí)行有效性，并使用《內(nèi)部審計(jì)工作底稿》記錄審計(jì)過程和事實(shí)。被審計(jì)單位對審計(jì)事實(shí)進(jìn)行確認(rèn)后，再重新評估審計(jì)風(fēng)險(xiǎn)，最終根據(jù)剩余風(fēng)險(xiǎn)進(jìn)一步設(shè)計(jì)審計(jì)程序并執(zhí)行。

　�。�2）選取審計(jì)樣本。內(nèi)部審計(jì)人員在選取審計(jì)樣本時(shí)，可按業(yè)務(wù)流程的重要程度適當(dāng)減少樣本量。對于在上次審計(jì)期間未發(fā)生變更的應(yīng)用系統(tǒng)，可考慮適當(dāng)降低審計(jì)頻率。

　�。�3）審計(jì)方法及樣例。根據(jù)在發(fā)電企業(yè)開展內(nèi)部審計(jì)工作積累的經(jīng)驗(yàn)，總結(jié)出以下適用于發(fā)電企業(yè)信息系統(tǒng)的審計(jì)方法：一是，詢問相關(guān)的控制人員。樣例：內(nèi)部審計(jì)人員對照《信息安全事故應(yīng)急預(yù)案》，詢問信息中心人員對于機(jī)房電源中斷突發(fā)事件的應(yīng)對措施，考察技術(shù)人員是否已掌握相關(guān)的技能。二是，觀察特定控制的運(yùn)用。樣例：實(shí)地查看位于辦公樓四樓的中心機(jī)房消防系統(tǒng)、空調(diào)系統(tǒng)、門禁系統(tǒng)運(yùn)轉(zhuǎn)情況。

　　抽查客戶端是否存在未經(jīng)授權(quán)擅自安裝盜版軟件情況。三是，審閱相關(guān)的文件和報(bào)告。樣例：查閱今年信息化管理領(lǐng)導(dǎo)小組名單是否與現(xiàn)狀是否相符；查閱今年信息中心人員職責(zé)分工表是否及時(shí)更新；查閱信息中心今年新員工的上崗培訓(xùn)、忠誠及誠信調(diào)查記錄等。四是，根據(jù)業(yè)務(wù)流程進(jìn)行穿行測試，跟蹤信息系統(tǒng)的處理過程。樣例：在物資管理系統(tǒng)中跟蹤一張領(lǐng)料單的流轉(zhuǎn)過程，測試物資領(lǐng)料的業(yè)務(wù)流程是否正確，應(yīng)用系統(tǒng)中的物資庫存等數(shù)據(jù)更新是否準(zhǔn)確。五是，驗(yàn)證系統(tǒng)控制和計(jì)算邏輯。樣例：使用SQL Server企業(yè)管理器，測試某數(shù)據(jù)庫連接口令是否為空密碼。六是，登錄信息系統(tǒng)進(jìn)行查詢。樣例：登錄人力資源系統(tǒng)，查詢今年退休的員工是否已經(jīng)注銷或禁用賬號。七是，利用計(jì)算機(jī)輔助審計(jì)工具。樣例：使用財(cái)務(wù)審計(jì)軟件對財(cái)務(wù)系統(tǒng)進(jìn)行審計(jì)。八是，利用其他專業(yè)機(jī)構(gòu)的審計(jì)結(jié)果。樣例：引用第三方專業(yè)機(jī)構(gòu)《應(yīng)用系統(tǒng)壓力測試報(bào)告》數(shù)據(jù)做為本次系統(tǒng)上線的審計(jì)結(jié)果。

　　4 發(fā)電企業(yè)信息系統(tǒng)內(nèi)部審計(jì)過程中需要關(guān)注的要點(diǎn)

　�。�1）管理制度是否有效執(zhí)行。發(fā)電企業(yè)的信息系統(tǒng)一般執(zhí)行集團(tuán)公司的相關(guān)制度，內(nèi)部審計(jì)人員需要充分熟悉公司層面的管理制度，掌握內(nèi)部控制手冊中信息系統(tǒng)相關(guān)部分內(nèi)容。對于發(fā)電企業(yè)層面制定的信息系統(tǒng)相關(guān)管理制度，關(guān)注是否存在與公司管理制度沖突情況。

　�。�2）網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是重點(diǎn)。關(guān)注網(wǎng)絡(luò)管理中內(nèi)外網(wǎng)物理隔離技術(shù)和管理措施，局域網(wǎng)是否滿足電力二次系統(tǒng)安全防護(hù)體系的要求。關(guān)注計(jì)算機(jī)同時(shí)連接內(nèi)網(wǎng)和外網(wǎng)的情況，檢查信息中心是否制訂相關(guān)制度來消除這種風(fēng)險(xiǎn)。

　�。�3）密碼策略是否存在漏洞。關(guān)注信息系統(tǒng)服務(wù)器的密碼管理是否符合密碼策略要求。檢查納入內(nèi)控測評范圍內(nèi)的Excel表格的密碼管理。

　　（4）外部人員未經(jīng)授權(quán)使用信息系統(tǒng)。關(guān)注外部人員未經(jīng)許可接入內(nèi)網(wǎng)或使用系統(tǒng)的情況，檢查信息中心是否采取監(jiān)控措施來消除這種風(fēng)險(xiǎn)。

　　（5）信息中心的操作記錄文檔。抽取信息中心操作記錄文檔樣本進(jìn)行測試，以確保文檔記錄落到實(shí)處。重點(diǎn)關(guān)注數(shù)據(jù)備份和恢復(fù)測試部分的文檔和介質(zhì)是否相符。

　�。�6）應(yīng)急預(yù)案。關(guān)注信息系統(tǒng)是否有應(yīng)急預(yù)案以處理突發(fā)事件，應(yīng)急預(yù)案是否切實(shí)可行。

　�。�7）服務(wù)外包。關(guān)注服務(wù)外包項(xiàng)目的相關(guān)人員是否有超越其外包范圍的行為。在發(fā)電企業(yè)開展信息系統(tǒng)內(nèi)部審計(jì)的目的，就是要通過實(shí)施信息系統(tǒng)內(nèi)部審計(jì)工作，對企業(yè)組織是否達(dá)成信息系統(tǒng)的管理目標(biāo)進(jìn)行綜合評價(jià)，并基于評價(jià)意見提出管理建議，協(xié)助企業(yè)的信息管理人員有效地履行其受托責(zé)任，確保發(fā)電企業(yè)信息系統(tǒng)的相關(guān)管理能夠滿足內(nèi)控的要求，并達(dá)成企業(yè)的信息管理目標(biāo)。由于發(fā)電企業(yè)信息系統(tǒng)內(nèi)部審計(jì)的對象主要是數(shù)字化記錄和管理，為了適應(yīng)內(nèi)部審計(jì)工作模式由事后審計(jì)轉(zhuǎn)向事中、事前審計(jì)，未來的內(nèi)部審計(jì)發(fā)展方向，應(yīng)該逐步建立起“聯(lián)網(wǎng)監(jiān)控+跟蹤核查”的審計(jì)模式，實(shí)現(xiàn)從單一的靜態(tài)審計(jì)向靜態(tài)與動(dòng)態(tài)審計(jì)相結(jié)合的轉(zhuǎn)變、從單一的現(xiàn)場審計(jì)向現(xiàn)場與遠(yuǎn)程審計(jì)相結(jié)合的轉(zhuǎn)變。

　　參考文獻(xiàn)：

　　[1]莊明來，吳沁紅，李俊。信息系統(tǒng)審計(jì)內(nèi)容與方法[M].北京：中國時(shí)代經(jīng)濟(jì)出版社，2008.

　　[2]張金城。信息系統(tǒng)審計(jì)[M].北京：清華大學(xué)出版社，2009.

【如何在發(fā)電企業(yè)開展信息系統(tǒng)內(nèi)部審計(jì)論文】相關(guān)文章：

企業(yè)內(nèi)部審計(jì)的工作質(zhì)量考核工作的論文04-20

高�？蒲薪�(jīng)費(fèi)內(nèi)部審計(jì)論文09-27

企業(yè)內(nèi)部控制的內(nèi)容論文04-22

談?wù)剝?nèi)部審計(jì)新準(zhǔn)則對保險(xiǎn)企業(yè)的影響06-01

企業(yè)內(nèi)控審計(jì)的完善措施論文04-19

淺論企業(yè)存貨內(nèi)部控制論文（精選10篇）05-14

淺析企業(yè)內(nèi)部控制制度建設(shè)論文04-19

電力企業(yè)內(nèi)部審計(jì)的方法（通用5篇）05-30

企業(yè)內(nèi)部控制相關(guān)信息披露的思考論文04-18

生產(chǎn)型企業(yè)采購與銷售的內(nèi)部管控的論文07-28