一、基於PDCA迴圈的審計整改全壽命工作法
(一)方法的提出。PDCA迴圈理論由休哈特提出,是全面質量管理的基本方法,也稱為“戴明環”,包括計劃、實施、檢查和處置四個階段,適用於任何有目的有過程的活動。本文借鑑PDCA迴圈的思想,提出審計整改全壽命工作法,設定審計計劃、審計實施、審計評價、後續審計四個閉合迴圈的階段,審計質量控制貫穿全過程。
(二)方法的應用思路。
1.審計計劃階段。主要包括審前調查、資訊系統基本情況的收集和資訊系統相關制度檔案的審閱等。此外,還應依據計劃編制詳細的資訊系統審計工作方案,確定審計內容、步驟、方法,制定並送達審計通知書等。在本階段,相關責任人要全程監督審計工作安排,稽核審計工作方案是否滿足審計目標要求,瞭解並考慮企業戰略目標、資訊技術的依賴程度、資訊科技管理的組織架構、資訊系統框架、資訊系統及其支援的業務流程的變更情況、資訊系統的複雜程度等特定內容。
2.審計實施階段。完整的資訊系統審計通常涵蓋三個層面:一是組織層面資訊科技控制,指企業管理層對資訊科技治理職能及內部控制的重要性的態度、認識和措施,審計人員要關注與資訊系統相關的控制環境、風險評估、資訊與溝通、監控四個方面的控制要素;二是資訊科技一般性控制,指與網路、作業系統、資料庫、應用系統及其相關人員有關的資訊科技政策和措施,審計中應考慮資訊保安管理、系統變更管理、系統開發和採購管理、系統執行管理有關的控制活動;三是業務流程層面相關應用控制,指在業務流程層面為了合理保證應用系統準確、完整、及時完成業務資料的生成、記錄、處理、報告等功能而設計、執行的資訊科技控制,審計中應考慮與資料輸入、資料處理以及資料輸出環節相關的控制活動。審計過程中,可以綜合採用詢問、觀察、審閱檔案和報告、通過穿行測試追蹤交易在資訊系統中的處理過程、驗證系統控制和計算邏輯、登入資訊系統進行系統查詢等審計方法。資訊系統審計的專案負責人應當既具有IT背景又具有內審專業技能,在實施審計過程中建立審計複核機制,檢查審計底稿和相關證據,掌控專案進度,確保審計工作質量和效率。
3.審計評價階段。進行評估時,獲取的審計證據必須充分可靠相關,以支援審計結論。審計人員運用專業判斷,對審計證據進行分析、撰寫徵求意見稿、徵求有關部門意見、形成審計報告、下達審計意見或審計建議書。審計報告作為審計的最終結果非常重要,審計專案負責人要從重要性和增值性兩個方面認真討論確定審計報告,保證審計報告的高質量。重要性指審計發現對企業內部控制的影響程度;增值性指審計建議是否恰當、有意義,是否有助於提高審計物件效率效果。
4.後續審計階段。即對資訊系統審計已報告的缺陷和建議所採取行動的完整性、效果性和時效性跟蹤檢查的過程。一般和下一次資訊系統審計融合在一起進行,從而形成審計流程的閉合式迴圈。審計結果整改情況應納入企業績效考評體系,保證審計整改工作質量。
二、應用審計整改全壽命工作法開展資訊系統審計的實踐
某科研生產企業資訊化程度較高,目前使用的資訊系統為涉密資訊系統,有上千個終端使用者,數百個業務工作流程,數十個業務系統,採取單點登陸、統一身份認證,部署相關審計系統的方式執行。由於該資訊系統涉密等級較高,使用者數較多,系統組成複雜,對開展資訊系統審計提出了較高要求。本文按照審計整改全壽命工作法的工作思路,進行了資訊系統審計的實踐和探索。
(一)計劃階段。由具有資訊系統研發背景和高階工程師資格的專家擔任組長,並從企業內部資訊科技部門抽調專家,組建一支包括資訊科技及內部審計人員在內的專業隊伍。該科研生產企業建立了比較完備的資訊系統管理體系,對資訊系統安全執行和管理有明確具體的要求。審前組織學習研究該企業的資訊系統管理制度、行為規範制度、安全控制策略、內部控制制度體系等檔案,將這些制度的相關要求作為審計依據,制定資訊系統專項審計工作方案。明確重點審計內容為對資訊系統的邏輯訪問與物理安全控制,包括系統輸入控制、使用者行為控制和訪問許可權控制三個方面。同時,獲取企業管理層和資訊系統管理部門的支援。
(二)實施階段。在該科研生產企業已經建立的資訊監控系統的.基礎上,採取專項審計的方式,對於企業的行為監控系統、許可權審查系統開展資訊系統審計,這也是本次審計工作的重點。該單位在設計資訊系統監控系統時,採取了B/S結構,在終端計算機上安裝客戶端,後臺執行自動記錄使用者行為,利用SQLServer資料庫對使用者資料進行儲存。在SQLServer資料庫中,管理各種安全策略、系統執行引數、網路客戶端裝置資訊、報警和日誌。系統前臺使用WEB瀏覽器方式,進行系統策略設定、系統維護等操作,各種日誌記錄和報警資訊在這裡顯示。審計系統可提供完整的使用者行為日誌,該企業基於日誌資料開展系統安全策略配置、違規介質使用、病毒情況、資訊輸入輸出、檔案列印、使用者終端網路訪問等審計工作。審計人員根據使用者操作行為日誌,綜合應用詢問、資料採集、穿行測試、控制測試和分析等審計方法,獲取有效的審計證據,並對重要發現及時與有關各方溝通。
(三)評價階段。審計人員根據審計發現和審計工作底稿撰寫審計報告,就完善制度、制度執行、系統建設、安全策略適當性等提出審計建議,提交管理層審批後交資訊系統管理部門整改完善。(四)後續審計階段。根據資訊系統管理部門整改完成情況,對審計發現的缺陷和提出的管理建議進行後續審計。從近期已實施的4次審計情況看,日誌資料的抽樣異常率從第一次的12%下降到1%。
三、結束語
通過應用審計整改全壽命工作法,組織實施資訊系統專項審計,報送審計結果,督促落實整改,為完善規章制度、發現並減少使用者異常行為,防止非法操作,確保資訊系統安全有效執行提供了有力的保障,但也對內部審計人員的學習能力和資訊科技專業勝任能力提出了較高要求。利用審計整改全壽命工作法開展企業資訊系統審計是一個不斷探索、改進和提高的過程,在諸如如何進一步劃分各階段工作介面、如何開展對資訊系統其他各業務子系統的審計等方面還需要結合企業實際進行進一步探索與研究。