中國(guó)石油化工股份有限公司河北石油分公司信息管理部 王昊

一、引言

信息系統(tǒng)已經(jīng)滲透到銷(xiāo)售企業(yè)各項(xiàng)工作中的各個(gè)方面。它的效率和系統(tǒng)設(shè)計(jì)給銷(xiāo)售企業(yè)帶來(lái)了便利，銷(xiāo)售企業(yè)對(duì)計(jì)算機(jī)信息技術(shù)的應(yīng)用程度越來(lái)越高，實(shí)現(xiàn)了辦公管理信息化，業(yè)務(wù)經(jīng)營(yíng)信息化，大大提高了企業(yè)的經(jīng)營(yíng)管理水平。與此同時(shí)，信息技術(shù)就像一把雙刃劍，在帶來(lái)經(jīng)濟(jì)效益的同時(shí)，也使企業(yè)面臨巨大的風(fēng)險(xiǎn)。為了保證信息技術(shù)的安全、可靠，實(shí)施有效的IT審計(jì)成為銷(xiāo)售企業(yè)一項(xiàng)迫在眉睫的任務(wù)。IT審計(jì)作為保證信息系統(tǒng)安全、可靠、高效運(yùn)行的一種審計(jì)模式，越來(lái)越受到銷(xiāo)售企業(yè)的重視。隨著信息化帶動(dòng)銷(xiāo)售工作的全面實(shí)施，加快銷(xiāo)售企業(yè)信息系統(tǒng)審計(jì)的發(fā)展具有重要意義。

二、IT審計(jì)概述

IT審計(jì)是指對(duì)信息系統(tǒng)從計(jì)劃、研發(fā)、實(shí)施到運(yùn)維各個(gè)環(huán)節(jié)進(jìn)行審查和評(píng)價(jià)的活動(dòng)。信息系統(tǒng)審計(jì)的研究對(duì)象是企業(yè)的信息系統(tǒng)或信息資產(chǎn)，采用的方法是傳統(tǒng)的審計(jì)方法及計(jì)算機(jī)技術(shù)等，其目標(biāo)是保證IT系統(tǒng)的可用性、安全性、完整性和有效性，最終達(dá)到強(qiáng)化企業(yè)信息控制的目的。

三、銷(xiāo)售企業(yè)IT審計(jì)

隨著信息技術(shù)的廣泛應(yīng)用，為加強(qiáng)管理，銷(xiāo)售企業(yè)在省級(jí)公司設(shè)立了信息化管理的專(zhuān)職機(jī)構(gòu)——信息管理處,負(fù)責(zé)全省應(yīng)用信息系統(tǒng)和網(wǎng)絡(luò)信息系統(tǒng)的安全運(yùn)行管理工作。近年來(lái)，為了滿足不斷增長(zhǎng)的業(yè)務(wù)需求，省市級(jí)公司大量購(gòu)置了各種功能服務(wù)器，在應(yīng)用上主要實(shí)現(xiàn)了OA辦公自動(dòng)化、零售電子賬表管理、非油品銷(xiāo)售管理、IC卡管理、環(huán)境監(jiān)控等功能。

四、銷(xiāo)售企業(yè)IT審計(jì)的突破與提升

（一）根據(jù)風(fēng)險(xiǎn)評(píng)級(jí)，制定差異化的IT審計(jì)方案

風(fēng)險(xiǎn)控制是指控制風(fēng)險(xiǎn)事件發(fā)生的動(dòng)因、環(huán)境、條件來(lái)減輕風(fēng)險(xiǎn)事件發(fā)生時(shí)的損失或降低風(fēng)險(xiǎn)事件發(fā)生的概率。風(fēng)險(xiǎn)無(wú)法徹底消除，僅能降低、控制與移轉(zhuǎn)，對(duì)于殘余風(fēng)險(xiǎn)，企業(yè)需自行審視可接受的程度。然而，在進(jìn)行風(fēng)險(xiǎn)控制活動(dòng)前，需先進(jìn)行風(fēng)險(xiǎn)評(píng)估，將潛在的弱點(diǎn)與威脅羅列出來(lái)，并分析評(píng)估矯正的優(yōu)先程序，然后再針對(duì)風(fēng)險(xiǎn)，設(shè)計(jì)有關(guān)的預(yù)防性、檢查性與糾正性的控制。控制的設(shè)計(jì)，應(yīng)該參考風(fēng)險(xiǎn)評(píng)估后的結(jié)果，因此，要形成完整、有效的風(fēng)險(xiǎn)評(píng)估報(bào)告。不準(zhǔn)確的風(fēng)險(xiǎn)評(píng)估會(huì)影響后續(xù)控制設(shè)計(jì)，甚至于控制執(zhí)行的落實(shí)程度。當(dāng)風(fēng)險(xiǎn)控制設(shè)計(jì)完成后，需再次檢視相對(duì)應(yīng)的管理制度與辦法是否足夠滿足控制的目標(biāo)，倘若現(xiàn)有管理政策文件無(wú)法滿足控制目標(biāo)的要求，應(yīng)立即進(jìn)行調(diào)整，務(wù)必達(dá)到與現(xiàn)有作業(yè)機(jī)制一致的目標(biāo)。

目前，隨著企業(yè)經(jīng)營(yíng)業(yè)務(wù)的發(fā)展對(duì)IT的依賴日趨明顯，內(nèi)部原有業(yè)務(wù)和管理風(fēng)險(xiǎn)特征由于信息系統(tǒng)越來(lái)越廣泛的運(yùn)用而出現(xiàn)了變化，業(yè)務(wù)對(duì)信息系統(tǒng)的依賴性逐步增加，因此必須建立起有效的風(fēng)險(xiǎn)控制體系。從一般信息技術(shù)控制環(huán)境到業(yè)務(wù)流程中的內(nèi)部控制環(huán)境，都應(yīng)將系統(tǒng)控制與人工控制緊密結(jié)合。同樣，在銷(xiāo)售企業(yè)信息化建設(shè)中，需要管理與控制各種風(fēng)險(xiǎn)，以便達(dá)到保護(hù)IT投資、維持系統(tǒng)持續(xù)運(yùn)行的目的。以風(fēng)險(xiǎn)為導(dǎo)向的IT審計(jì)是合理規(guī)避IT風(fēng)險(xiǎn)的一種有效途徑，在銷(xiāo)售企業(yè)中舉足輕重。企業(yè)IT風(fēng)險(xiǎn)控制與審計(jì)需要在充分考慮企業(yè)IT系統(tǒng)狀況、IT管理結(jié)構(gòu)的基礎(chǔ)上，有效規(guī)避IT風(fēng)險(xiǎn)，為企業(yè)的未來(lái)發(fā)展保駕護(hù)航。

為保證信息資源的有效利用，降低公司信息系統(tǒng)的整體風(fēng)險(xiǎn)，結(jié)合信息系統(tǒng)運(yùn)維的情況梳理出信息系統(tǒng)清單。透過(guò)企業(yè)的經(jīng)營(yíng)戰(zhàn)略，自上而下分析企業(yè)的經(jīng)營(yíng)風(fēng)險(xiǎn)，確定風(fēng)險(xiǎn)類(lèi)別和等級(jí)，制定信息系統(tǒng)風(fēng)險(xiǎn)統(tǒng)計(jì)表。組織審計(jì)人員和業(yè)務(wù)人員從業(yè)務(wù)流程、人員崗位職責(zé)和系統(tǒng)三個(gè)維度進(jìn)行風(fēng)險(xiǎn)評(píng)估，按照風(fēng)險(xiǎn)評(píng)估的結(jié)果將信息系統(tǒng)劃分為高、中、低三個(gè)風(fēng)險(xiǎn)等級(jí)，以此作為未來(lái)信息系統(tǒng)審計(jì)的次序，并針對(duì)三類(lèi)風(fēng)險(xiǎn)等級(jí)的信息系統(tǒng)，制定不同的審計(jì)策略，將審計(jì)資源的分配向重大風(fēng)險(xiǎn)領(lǐng)域傾斜，以確保審計(jì)資源的高效運(yùn)用，進(jìn)而形成有步驟、有計(jì)劃、有重點(diǎn)的差異化風(fēng)險(xiǎn)導(dǎo)向型IT審計(jì)。

（二）注重系統(tǒng)內(nèi)部數(shù)據(jù)的真實(shí)性和完整性

信息系統(tǒng)中的數(shù)據(jù)要真實(shí)的反映企業(yè)的生產(chǎn)經(jīng)營(yíng)活動(dòng)。通過(guò)直接審計(jì)系統(tǒng)中的數(shù)據(jù)、檢查系統(tǒng)日志、保留不可更改記錄、定期審計(jì)等管理手段，確保數(shù)據(jù)的真實(shí)性和完整性。同時(shí)也避免了信息不被偶然或蓄意的刪除、修改、偽造、亂序、重放、插入。IT審計(jì)要確保審計(jì)工作面向信息的安全性，它要求保持信息的原樣，即信息的正確生成、存儲(chǔ)和傳輸。特別在ERP系統(tǒng)中，審計(jì)ERP基礎(chǔ)數(shù)據(jù)規(guī)范情況，對(duì)提升ERP系統(tǒng)中信息的質(zhì)量有著重要作用。

在面對(duì)銷(xiāo)售企業(yè)各系統(tǒng)海量數(shù)據(jù)源審計(jì)時(shí)，針對(duì)海量數(shù)據(jù)的來(lái)源，可以通過(guò)兩種方式實(shí)現(xiàn)：一是在銷(xiāo)售企業(yè)自有的服務(wù)器存儲(chǔ)，經(jīng)營(yíng)以及管理業(yè)務(wù)會(huì)自動(dòng)生成業(yè)務(wù)數(shù)據(jù)存儲(chǔ)在服務(wù)器。二是企業(yè)的數(shù)據(jù)統(tǒng)一存儲(chǔ)在一個(gè)統(tǒng)一的平臺(tái)上，企業(yè)需要向這些平臺(tái)機(jī)構(gòu)取得跟自己企業(yè)相關(guān)的數(shù)據(jù)。

在實(shí)踐中，對(duì)于兩種數(shù)據(jù)源的審計(jì)方式我們簡(jiǎn)單分析一下：對(duì)于第一種數(shù)據(jù)來(lái)源方式，針對(duì)銷(xiāo)售企業(yè)自動(dòng)生成并保管數(shù)據(jù)，要對(duì)企業(yè)數(shù)據(jù)生成、數(shù)據(jù)保管、數(shù)據(jù)轉(zhuǎn)移、數(shù)據(jù)修改等企業(yè)的IT環(huán)境和內(nèi)部控制措施進(jìn)行核查，目的就是要保證數(shù)據(jù)從生成到最終審計(jì)的整個(gè)過(guò)程中數(shù)據(jù)的完整性。對(duì)于第二種數(shù)據(jù)來(lái)源方式，需確定平臺(tái)的數(shù)據(jù)生成和管理措施是否完善，企業(yè)從平臺(tái)取得數(shù)據(jù)的過(guò)程和方式是否符合內(nèi)控要求，最后對(duì)數(shù)據(jù)的合理性，準(zhǔn)確性進(jìn)行進(jìn)一步的分析。

（三）利用可靠性檢查評(píng)估系統(tǒng)安全

通過(guò)現(xiàn)有內(nèi)控管理制度，各信息流程操作已趨于完善，而信息系統(tǒng)的可靠性——信息系統(tǒng)在遭受非人為因素破壞或人為影響的情況下，是否能夠正常運(yùn)行，成為審計(jì)要點(diǎn)。威脅信息系統(tǒng)可靠性的因素包括自然災(zāi)害對(duì)硬件和環(huán)境的破壞，以及誤操作對(duì)軟件和硬件的破壞，在這兩方面的審計(jì)過(guò)程中，應(yīng)重點(diǎn)關(guān)注以下幾點(diǎn)：

1.審計(jì)網(wǎng)絡(luò)實(shí)施模式

網(wǎng)絡(luò)與信息安全息息相關(guān)，審計(jì)網(wǎng)絡(luò)結(jié)構(gòu)、內(nèi)網(wǎng)接入審批流程、核心網(wǎng)絡(luò)設(shè)備管理情況可以有效評(píng)價(jià)企業(yè)的信息安全。在審計(jì)網(wǎng)絡(luò)實(shí)施模式中，重點(diǎn)審計(jì)網(wǎng)絡(luò)體系架構(gòu)安全區(qū)域是否相互獨(dú)立；區(qū)域邊界部署是否有安全網(wǎng)關(guān)設(shè)備；全網(wǎng)關(guān)設(shè)備是否由省公司統(tǒng)一管理；對(duì)出入安全區(qū)域的數(shù)據(jù)是否進(jìn)行權(quán)限控制等。另外，有條件的企業(yè)可以實(shí)施內(nèi)外網(wǎng)分離改造，上網(wǎng)用機(jī)與辦公用機(jī)隔離，以有效抑制病毒的擴(kuò)散和傳播。

2.審計(jì)權(quán)限控制

強(qiáng)化操作權(quán)限意識(shí)，明細(xì)崗位責(zé)任，審計(jì)要關(guān)注運(yùn)行系統(tǒng)的事件類(lèi)型、用戶身份、操作時(shí)間、系統(tǒng)參數(shù)和狀態(tài)；系統(tǒng)敏感資源是否進(jìn)行監(jiān)控和記錄；日志文件是否定期進(jìn)行安全檢查和評(píng)估；是否對(duì)系統(tǒng)資源進(jìn)行分類(lèi)，并根據(jù)用戶級(jí)別，限制系統(tǒng)資源的共享和流動(dòng)。重點(diǎn)關(guān)注特權(quán)管理，查看系統(tǒng)是否由若干個(gè)系統(tǒng)管理員和操作員共同管理，每人是否只具有完成其任務(wù)的最少特權(quán)，并相互制約，以提高系統(tǒng)安全可靠性。

3.審計(jì)異地災(zāi)備的建設(shè)

由于自然災(zāi)害對(duì)硬件和環(huán)境的破壞存在不可控性，其預(yù)防措施將直接影響企業(yè)信息安全，而異地災(zāi)備可以實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)自動(dòng)備份，最大限度地保障信息數(shù)據(jù)的安全性。因此，對(duì)異地災(zāi)備建設(shè)情況的審計(jì)也是IT審計(jì)的一個(gè)重要方面。

在ERP權(quán)限審計(jì)過(guò)程中，重點(diǎn)審計(jì)以下內(nèi)容：權(quán)限是否符合業(yè)務(wù)部門(mén)需求；權(quán)限是否被放大；權(quán)限是否遵循不相容崗位原則。審計(jì)的重點(diǎn)部門(mén)，應(yīng)關(guān)注會(huì)計(jì)人員的權(quán)限設(shè)置。因?yàn)闀?huì)計(jì)人員被分配ERP權(quán)限的崗位較多，同時(shí)會(huì)計(jì)人員兼有原始信息錄入和部門(mén)間信息核對(duì)的職責(zé)。

五、結(jié)束語(yǔ)

信息化時(shí)代，企業(yè)運(yùn)營(yíng)需要依賴各種信息系統(tǒng)，IT審計(jì)可以避免信息系統(tǒng)的盲目開(kāi)發(fā)和頻發(fā)故障給企業(yè)帶來(lái)的巨大損失。IT審計(jì)作為企業(yè)信息化過(guò)程中的重要環(huán)節(jié)，可以高效管理企業(yè)信息系統(tǒng)的開(kāi)發(fā)、運(yùn)行、維護(hù)及在整個(gè)生命周期中相關(guān)的業(yè)務(wù)風(fēng)險(xiǎn)，確保信息系統(tǒng)的安全。對(duì)企業(yè)信息系統(tǒng)進(jìn)行IT審計(jì)，能夠客觀評(píng)價(jià)系統(tǒng)對(duì)目標(biāo)的完成程度和企業(yè)的收益程度，并對(duì)系統(tǒng)的運(yùn)行和風(fēng)險(xiǎn)加以控制。IT審計(jì)對(duì)企業(yè)信息系統(tǒng)整體效能提升影響顯著，是企業(yè)信息化的可靠保證。