（中國(guó)電子科技集團(tuán)公司第28研究所 江蘇南京210007）

一、前言

科研生產(chǎn)企業(yè)內(nèi)部管理中綜合集成了各種信息系統(tǒng)，涵蓋R&D管理、過(guò)程管理、質(zhì)量管理、產(chǎn)品管理、財(cái)務(wù)管理和綜合管理等多個(gè)方面。為了適應(yīng)科研生產(chǎn)管理高度信息化的環(huán)境，推動(dòng)信息系統(tǒng)審計(jì)勢(shì)在必行。

2008年財(cái)政部等五部委聯(lián)合發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》指出：“企業(yè)應(yīng)當(dāng)加強(qiáng)對(duì)信息系統(tǒng)開(kāi)發(fā)與維護(hù)、訪問(wèn)與變更、數(shù)據(jù)輸入與輸出、文件儲(chǔ)存與保管、網(wǎng)絡(luò)安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運(yùn)行”。2011年出臺(tái)的《審計(jì)署“十二五”審計(jì)工作發(fā)展規(guī)劃》指出，要“積極開(kāi)展信息系統(tǒng)審計(jì)”，以實(shí)現(xiàn)控制目標(biāo)?？蒲猩a(chǎn)企業(yè)自身高度的信息化應(yīng)用需要，要求內(nèi)部審計(jì)部門(mén)運(yùn)用信息技術(shù)開(kāi)展信息系統(tǒng)審計(jì)，評(píng)價(jià)組織關(guān)于信息技術(shù)的管理目標(biāo)是否實(shí)現(xiàn)。內(nèi)審部門(mén)應(yīng)對(duì)龐大的“待審計(jì)業(yè)務(wù)數(shù)據(jù)”進(jìn)行挖掘、分析、判斷、評(píng)價(jià)和鑒定，發(fā)揮其在防范風(fēng)險(xiǎn)、強(qiáng)化管理和提供增值服務(wù)中的作用。

目前，國(guó)內(nèi)外先后發(fā)布了不同成熟度的信息系統(tǒng)審計(jì)相關(guān)文件，為開(kāi)展信息系統(tǒng)審計(jì)提供了幫助和指引。國(guó)內(nèi)主要包括兩項(xiàng)準(zhǔn)則，一是2008年中國(guó)內(nèi)部審計(jì)協(xié)會(huì)頒布的《內(nèi)部審計(jì)具體準(zhǔn)則第28號(hào)——信息系統(tǒng)審計(jì)》，為內(nèi)部審計(jì)機(jī)構(gòu)及人員開(kāi)展信息系統(tǒng)審計(jì)活動(dòng)提供指引；二是審計(jì)署2010年頒布的《中華人民共和國(guó)國(guó)家審計(jì)準(zhǔn)則》（第8號(hào)令）中與信息系統(tǒng)檢查和審計(jì)相關(guān)的若干條款。國(guó)外以信息系統(tǒng)審計(jì)和控制聯(lián)合會(huì)（ISACA）制訂發(fā)布的信息系統(tǒng)審計(jì)和評(píng)價(jià)標(biāo)準(zhǔn)（COBIT）最為典型，該文件包括審計(jì)標(biāo)準(zhǔn)、審計(jì)指南和作業(yè)程序三個(gè)部分，指導(dǎo)組織有效地利用信息資源和管理與信息相關(guān)的風(fēng)險(xiǎn)。

目前，國(guó)內(nèi)關(guān)于科研生產(chǎn)企業(yè)開(kāi)展信息系統(tǒng)審計(jì)的研究較少，希望本文的方法和思路能起到拋磚引玉的作用。

二、基于PDCA循環(huán)的審計(jì)整改全壽命工作法

（一）方法的提出。PDCA循環(huán)理論由休哈特提出，是全面質(zhì)量管理的基本方法，也稱(chēng)為“戴明環(huán)”，包括計(jì)劃、實(shí)施、檢查和處置四個(gè)階段，適用于任何有目的有過(guò)程的活動(dòng)。本文借鑒PDCA循環(huán)的思想，提出審計(jì)整改全壽命工作法，設(shè)定審計(jì)計(jì)劃、審計(jì)實(shí)施、審計(jì)評(píng)價(jià)、后續(xù)審計(jì)四個(gè)閉合循環(huán)的階段，審計(jì)質(zhì)量控制貫穿全過(guò)程，具體內(nèi)容如圖1所示。

圖1 審計(jì)整改全壽命工作法

（二）方法的應(yīng)用思路。

1.審計(jì)計(jì)劃階段。主要包括審前調(diào)查、信息系統(tǒng)基本情況的收集和信息系統(tǒng)相關(guān)制度文件的審閱等。此外，還應(yīng)依據(jù)計(jì)劃編制詳細(xì)的信息系統(tǒng)審計(jì)工作方案，確定審計(jì)內(nèi)容、步驟、方法，制定并送達(dá)審計(jì)通知書(shū)等。在本階段，相關(guān)責(zé)任人要全程監(jiān)督審計(jì)工作安排，審核審計(jì)工作方案是否滿(mǎn)足審計(jì)目標(biāo)要求，了解并考慮企業(yè)戰(zhàn)略目標(biāo)、信息技術(shù)的依賴(lài)程度、信息技術(shù)管理的組織架構(gòu)、信息系統(tǒng)框架、信息系統(tǒng)及其支持的業(yè)務(wù)流程的變更情況、信息系統(tǒng)的復(fù)雜程度等特定內(nèi)容。

2.審計(jì)實(shí)施階段。完整的信息系統(tǒng)審計(jì)通常涵蓋三個(gè)層面：一是組織層面信息技術(shù)控制，指企業(yè)管理層對(duì)信息技術(shù)治理職能及內(nèi)部控制的重要性的態(tài)度、認(rèn)識(shí)和措施，審計(jì)人員要關(guān)注與信息系統(tǒng)相關(guān)的控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、信息與溝通、監(jiān)控四個(gè)方面的控制要素；二是信息技術(shù)一般性控制，指與網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)及其相關(guān)人員有關(guān)的信息技術(shù)政策和措施，審計(jì)中應(yīng)考慮信息安全管理、系統(tǒng)變更管理、系統(tǒng)開(kāi)發(fā)和采購(gòu)管理、系統(tǒng)運(yùn)行管理有關(guān)的控制活動(dòng)；三是業(yè)務(wù)流程層面相關(guān)應(yīng)用控制，指在業(yè)務(wù)流程層面為了合理保證應(yīng)用系統(tǒng)準(zhǔn)確、完整、及時(shí)完成業(yè)務(wù)數(shù)據(jù)的生成、記錄、處理、報(bào)告等功能而設(shè)計(jì)、執(zhí)行的信息技術(shù)控制，審計(jì)中應(yīng)考慮與數(shù)據(jù)輸入、數(shù)據(jù)處理以及數(shù)據(jù)輸出環(huán)節(jié)相關(guān)的控制活動(dòng)。審計(jì)過(guò)程中，可以綜合采用詢(xún)問(wèn)、觀察、審閱文件和報(bào)告、通過(guò)穿行測(cè)試追蹤交易在信息系統(tǒng)中的處理過(guò)程、驗(yàn)證系統(tǒng)控制和計(jì)算邏輯、登錄信息系統(tǒng)進(jìn)行系統(tǒng)查詢(xún)等審計(jì)方法。信息系統(tǒng)審計(jì)的項(xiàng)目負(fù)責(zé)人應(yīng)當(dāng)既具有IT背景又具有內(nèi)審專(zhuān)業(yè)技能，在實(shí)施審計(jì)過(guò)程中建立審計(jì)復(fù)核機(jī)制，檢查審計(jì)底稿和相關(guān)證據(jù)，掌控項(xiàng)目進(jìn)度，確保審計(jì)工作質(zhì)量和效率。

3.審計(jì)評(píng)價(jià)階段。進(jìn)行評(píng)估時(shí)，獲取的審計(jì)證據(jù)必須充分可靠相關(guān)，以支持審計(jì)結(jié)論。審計(jì)人員運(yùn)用專(zhuān)業(yè)判斷，對(duì)審計(jì)證據(jù)進(jìn)行分析、撰寫(xiě)征求意見(jiàn)稿、征求有關(guān)部門(mén)意見(jiàn)、形成審計(jì)報(bào)告、下達(dá)審計(jì)意見(jiàn)或?qū)徲?jì)建議書(shū)。審計(jì)報(bào)告作為審計(jì)的最終結(jié)果非常重要，審計(jì)項(xiàng)目負(fù)責(zé)人要從重要性和增值性?xún)蓚€(gè)方面認(rèn)真討論確定審計(jì)報(bào)告，保證審計(jì)報(bào)告的高質(zhì)量。重要性指審計(jì)發(fā)現(xiàn)對(duì)企業(yè)內(nèi)部控制的影響程度；增值性指審計(jì)建議是否恰當(dāng)、有意義，是否有助于提高審計(jì)對(duì)象效率效果。

4.后續(xù)審計(jì)階段。即對(duì)信息系統(tǒng)審計(jì)已報(bào)告的缺陷和建議所采取行動(dòng)的完整性、效果性和時(shí)效性跟蹤檢查的過(guò)程。一般和下一次信息系統(tǒng)審計(jì)融合在一起進(jìn)行，從而形成審計(jì)流程的閉合式循環(huán)。審計(jì)結(jié)果整改情況應(yīng)納入企業(yè)績(jī)效考評(píng)體系，保證審計(jì)整改工作質(zhì)量。

三、應(yīng)用審計(jì)整改全壽命工作法開(kāi)展信息系統(tǒng)審計(jì)的實(shí)踐

某科研生產(chǎn)企業(yè)信息化程度較高，目前使用的信息系統(tǒng)為涉密信息系統(tǒng)，有上千個(gè)終端用戶(hù)，數(shù)百個(gè)業(yè)務(wù)工作流程，數(shù)十個(gè)業(yè)務(wù)系統(tǒng)，采取單點(diǎn)登陸、統(tǒng)一身份認(rèn)證，部署相關(guān)審計(jì)系統(tǒng)的方式運(yùn)行。由于該信息系統(tǒng)涉密等級(jí)較高，用戶(hù)數(shù)較多，系統(tǒng)組成復(fù)雜，對(duì)開(kāi)展信息系統(tǒng)審計(jì)提出了較高要求。本文按照審計(jì)整改全壽命工作法的工作思路，進(jìn)行了信息系統(tǒng)審計(jì)的實(shí)踐和探索。

（一）計(jì)劃階段。由具有信息系統(tǒng)研發(fā)背景和高級(jí)工程師資格的專(zhuān)家擔(dān)任組長(zhǎng)，并從企業(yè)內(nèi)部信息技術(shù)部門(mén)抽調(diào)專(zhuān)家，組建一支包括信息技術(shù)及內(nèi)部審計(jì)人員在內(nèi)的專(zhuān)業(yè)隊(duì)伍。該科研生產(chǎn)企業(yè)建立了比較完備的信息系統(tǒng)管理體系，對(duì)信息系統(tǒng)安全運(yùn)行和管理有明確具體的要求。審前組織學(xué)習(xí)研究該企業(yè)的信息系統(tǒng)管理制度、行為規(guī)范制度、安全控制策略、內(nèi)部控制制度體系等文件，將這些制度的相關(guān)要求作為審計(jì)依據(jù)，制定信息系統(tǒng)專(zhuān)項(xiàng)審計(jì)工作方案。明確重點(diǎn)審計(jì)內(nèi)容為對(duì)信息系統(tǒng)的邏輯訪問(wèn)與物理安全控制，包括系統(tǒng)輸入控制、用戶(hù)行為控制和訪問(wèn)權(quán)限控制三個(gè)方面。同時(shí)，獲取企業(yè)管理層和信息系統(tǒng)管理部門(mén)的支持。

（二）實(shí)施階段。在該科研生產(chǎn)企業(yè)已經(jīng)建立的信息監(jiān)控系統(tǒng)的基礎(chǔ)上，采取專(zhuān)項(xiàng)審計(jì)的方式，對(duì)于企業(yè)的行為監(jiān)控系統(tǒng)、權(quán)限審查系統(tǒng)開(kāi)展信息系統(tǒng)審計(jì)，這也是本次審計(jì)工作的重點(diǎn)。該單位在設(shè)計(jì)信息系統(tǒng)監(jiān)控系統(tǒng)時(shí)，采取了B/S結(jié)構(gòu)，在終端計(jì)算機(jī)上安裝客戶(hù)端，后臺(tái)運(yùn)行自動(dòng)記錄用戶(hù)行為，利用SQL Server數(shù)據(jù)庫(kù)對(duì)用戶(hù)數(shù)據(jù)進(jìn)行存儲(chǔ)。在SQL Server數(shù)據(jù)庫(kù)中，管理各種安全策略、系統(tǒng)運(yùn)行參數(shù)、網(wǎng)絡(luò)客戶(hù)端設(shè)備信息、報(bào)警和日志。系統(tǒng)前臺(tái)使用WEB瀏覽器方式，進(jìn)行系統(tǒng)策略設(shè)置、系統(tǒng)維護(hù)等操作，各種日志記錄和報(bào)警信息在這里顯示。審計(jì)系統(tǒng)可提供完整的用戶(hù)行為日志，該企業(yè)基于日志數(shù)據(jù)開(kāi)展系統(tǒng)安全策略配置、違規(guī)介質(zhì)使用、病毒情況、信息輸入輸出、文件打印、用戶(hù)終端網(wǎng)絡(luò)訪問(wèn)等審計(jì)工作。審計(jì)人員根據(jù)用戶(hù)操作行為日志，綜合應(yīng)用詢(xún)問(wèn)、數(shù)據(jù)采集、穿行測(cè)試、控制測(cè)試和分析等審計(jì)方法，獲取有效的審計(jì)證據(jù)，并對(duì)重要發(fā)現(xiàn)及時(shí)與有關(guān)各方溝通。

（三）評(píng)價(jià)階段。審計(jì)人員根據(jù)審計(jì)發(fā)現(xiàn)和審計(jì)工作底稿撰寫(xiě)審計(jì)報(bào)告，就完善制度、制度執(zhí)行、系統(tǒng)建設(shè)、安全策略適當(dāng)性等提出審計(jì)建議，提交管理層審批后交信息系統(tǒng)管理部門(mén)整改完善。

（四）后續(xù)審計(jì)階段。根據(jù)信息系統(tǒng)管理部門(mén)整改完成情況，對(duì)審計(jì)發(fā)現(xiàn)的缺陷和提出的管理建議進(jìn)行后續(xù)審計(jì)。從近期已實(shí)施的4次審計(jì)情況看，日志數(shù)據(jù)的抽樣異常率從第一次的12%下降到1%。

四、結(jié)束語(yǔ)

通過(guò)應(yīng)用審計(jì)整改全壽命工作法，組織實(shí)施信息系統(tǒng)專(zhuān)項(xiàng)審計(jì)，報(bào)送審計(jì)結(jié)果，督促落實(shí)整改，為完善規(guī)章制度、發(fā)現(xiàn)并減少用戶(hù)異常行為，防止非法操作，確保信息系統(tǒng)安全有效運(yùn)行提供了有力的保障，但也對(duì)內(nèi)部審計(jì)人員的學(xué)習(xí)能力和信息技術(shù)專(zhuān)業(yè)勝任能力提出了較高要求。利用審計(jì)整改全壽命工作法開(kāi)展企業(yè)信息系統(tǒng)審計(jì)是一個(gè)不斷探索、改進(jìn)和提高的過(guò)程，在諸如如何進(jìn)一步劃分各階段工作界面、如何開(kāi)展對(duì)信息系統(tǒng)其他各業(yè)務(wù)子系統(tǒng)的審計(jì)等方面還需要結(jié)合企業(yè)實(shí)際進(jìn)行進(jìn)一步探索與研究。