一、基於PDCA循環的審計整改全壽命工作法
(一)方法的提出。PDCA循環理論由休哈特提出,是全面質量管理的基本方法,也稱爲“戴明環”,包括計劃、實施、檢查和處置四個階段,適用於任何有目的有過程的活動。本文借鑑PDCA循環的思想,提出審計整改全壽命工作法,設定審計計劃、審計實施、審計評價、後續審計四個閉合循環的階段,審計質量控制貫穿全過程。
(二)方法的應用思路。
1.審計計劃階段。主要包括審前調查、信息系統基本情況的收集和信息系統相關制度文件的審閱等。此外,還應依據計劃編制詳細的信息系統審計工作方案,確定審計內容、步驟、方法,制定並送達審計通知書等。在本階段,相關責任人要全程監督審計工作安排,審覈審計工作方案是否滿足審計目標要求,瞭解並考慮企業戰略目標、信息技術的依賴程度、信息技術管理的組織架構、信息系統框架、信息系統及其支持的業務流程的變更情況、信息系統的複雜程度等特定內容。
2.審計實施階段。完整的信息系統審計通常涵蓋三個層面:一是組織層面信息技術控制,指企業管理層對信息技術治理職能及內部控制的重要性的態度、認識和措施,審計人員要關注與信息系統相關的控制環境、風險評估、信息與溝通、監控四個方面的控制要素;二是信息技術一般性控制,指與網絡、操作系統、數據庫、應用系統及其相關人員有關的信息技術政策和措施,審計中應考慮信息安全管理、系統變更管理、系統開發和採購管理、系統運行管理有關的控制活動;三是業務流程層面相關應用控制,指在業務流程層面爲了合理保證應用系統準確、完整、及時完成業務數據的生成、記錄、處理、報告等功能而設計、執行的信息技術控制,審計中應考慮與數據輸入、數據處理以及數據輸出環節相關的控制活動。審計過程中,可以綜合採用詢問、觀察、審閱文件和報告、通過穿行測試追蹤交易在信息系統中的處理過程、驗證系統控制和計算邏輯、登錄信息系統進行系統查詢等審計方法。信息系統審計的項目負責人應當既具有IT背景又具有內審專業技能,在實施審計過程中建立審計複覈機制,檢查審計底稿和相關證據,掌控項目進度,確保審計工作質量和效率。
3.審計評價階段。進行評估時,獲取的審計證據必須充分可靠相關,以支持審計結論。審計人員運用專業判斷,對審計證據進行分析、撰寫徵求意見稿、徵求有關部門意見、形成審計報告、下達審計意見或審計建議書。審計報告作爲審計的最終結果非常重要,審計項目負責人要從重要性和增值性兩個方面認真討論確定審計報告,保證審計報告的高質量。重要性指審計發現對企業內部控制的影響程度;增值性指審計建議是否恰當、有意義,是否有助於提高審計對象效率效果。
4.後續審計階段。即對信息系統審計已報告的缺陷和建議所採取行動的完整性、效果性和時效性跟蹤檢查的過程。一般和下一次信息系統審計融合在一起進行,從而形成審計流程的閉合式循環。審計結果整改情況應納入企業績效考評體系,保證審計整改工作質量。
二、應用審計整改全壽命工作法開展信息系統審計的實踐
某科研生產企業信息化程度較高,目前使用的信息系統爲涉密信息系統,有上千個終端用戶,數百個業務工作流程,數十個業務系統,採取單點登陸、統一身份認證,部署相關審計系統的方式運行。由於該信息系統涉密等級較高,用戶數較多,系統組成複雜,對開展信息系統審計提出了較高要求。本文按照審計整改全壽命工作法的工作思路,進行了信息系統審計的實踐和探索。
(一)計劃階段。由具有信息系統研發背景和高級工程師資格的專家擔任組長,並從企業內部信息技術部門抽調專家,組建一支包括信息技術及內部審計人員在內的專業隊伍。該科研生產企業建立了比較完備的信息系統管理體系,對信息系統安全運行和管理有明確具體的要求。審前組織學習研究該企業的信息系統管理制度、行爲規範制度、安全控制策略、內部控制制度體系等文件,將這些制度的相關要求作爲審計依據,制定信息系統專項審計工作方案。明確重點審計內容爲對信息系統的邏輯訪問與物理安全控制,包括系統輸入控制、用戶行爲控制和訪問權限控制三個方面。同時,獲取企業管理層和信息系統管理部門的支持。
(二)實施階段。在該科研生產企業已經建立的信息監控系統的.基礎上,採取專項審計的方式,對於企業的行爲監控系統、權限審查系統開展信息系統審計,這也是本次審計工作的重點。該單位在設計信息系統監控系統時,採取了B/S結構,在終端計算機上安裝客戶端,後臺運行自動記錄用戶行爲,利用SQLServer數據庫對用戶數據進行存儲。在SQLServer數據庫中,管理各種安全策略、系統運行參數、網絡客戶端設備信息、報警和日誌。系統前臺使用WEB瀏覽器方式,進行系統策略設置、系統維護等操作,各種日誌記錄和報警信息在這裏顯示。審計系統可提供完整的用戶行爲日誌,該企業基於日誌數據開展系統安全策略配置、違規介質使用、病毒情況、信息輸入輸出、文件打印、用戶終端網絡訪問等審計工作。審計人員根據用戶操作行爲日誌,綜合應用詢問、數據採集、穿行測試、控制測試和分析等審計方法,獲取有效的審計證據,並對重要發現及時與有關各方溝通。
(三)評價階段。審計人員根據審計發現和審計工作底稿撰寫審計報告,就完善制度、制度執行、系統建設、安全策略適當性等提出審計建議,提交管理層審批後交信息系統管理部門整改完善。(四)後續審計階段。根據信息系統管理部門整改完成情況,對審計發現的缺陷和提出的管理建議進行後續審計。從近期已實施的4次審計情況看,日誌數據的抽樣異常率從第一次的12%下降到1%。
三、結束語
通過應用審計整改全壽命工作法,組織實施信息系統專項審計,報送審計結果,督促落實整改,爲完善規章制度、發現並減少用戶異常行爲,防止非法操作,確保信息系統安全有效運行提供了有力的保障,但也對內部審計人員的學習能力和信息技術專業勝任能力提出了較高要求。利用審計整改全壽命工作法開展企業信息系統審計是一個不斷探索、改進和提高的過程,在諸如如何進一步劃分各階段工作界面、如何開展對信息系統其他各業務子系統的審計等方面還需要結合企業實際進行進一步探索與研究。