中國(guó)石油化工股份有限公司河北石油分公司信息管理部 王昊
信息系統(tǒng)已經(jīng)滲透到銷售企業(yè)各項(xiàng)工作中的各個(gè)方面。它的效率和系統(tǒng)設(shè)計(jì)給銷售企業(yè)帶來(lái)了便利,銷售企業(yè)對(duì)計(jì)算機(jī)信息技術(shù)的應(yīng)用程度越來(lái)越高,實(shí)現(xiàn)了辦公管理信息化,業(yè)務(wù)經(jīng)營(yíng)信息化,大大提高了企業(yè)的經(jīng)營(yíng)管理水平。與此同時(shí),信息技術(shù)就像一把雙刃劍,在帶來(lái)經(jīng)濟(jì)效益的同時(shí),也使企業(yè)面臨巨大的風(fēng)險(xiǎn)。為了保證信息技術(shù)的安全、可靠,實(shí)施有效的IT審計(jì)成為銷售企業(yè)一項(xiàng)迫在眉睫的任務(wù)。IT審計(jì)作為保證信息系統(tǒng)安全、可靠、高效運(yùn)行的一種審計(jì)模式,越來(lái)越受到銷售企業(yè)的重視。隨著信息化帶動(dòng)銷售工作的全面實(shí)施,加快銷售企業(yè)信息系統(tǒng)審計(jì)的發(fā)展具有重要意義。
IT審計(jì)是指對(duì)信息系統(tǒng)從計(jì)劃、研發(fā)、實(shí)施到運(yùn)維各個(gè)環(huán)節(jié)進(jìn)行審查和評(píng)價(jià)的活動(dòng)。信息系統(tǒng)審計(jì)的研究對(duì)象是企業(yè)的信息系統(tǒng)或信息資產(chǎn),采用的方法是傳統(tǒng)的審計(jì)方法及計(jì)算機(jī)技術(shù)等,其目標(biāo)是保證IT系統(tǒng)的可用性、安全性、完整性和有效性,最終達(dá)到強(qiáng)化企業(yè)信息控制的目的。
隨著信息技術(shù)的廣泛應(yīng)用,為加強(qiáng)管理,銷售企業(yè)在省級(jí)公司設(shè)立了信息化管理的專職機(jī)構(gòu)——信息管理處,負(fù)責(zé)全省應(yīng)用信息系統(tǒng)和網(wǎng)絡(luò)信息系統(tǒng)的安全運(yùn)行管理工作。近年來(lái),為了滿足不斷增長(zhǎng)的業(yè)務(wù)需求,省市級(jí)公司大量購(gòu)置了各種功能服務(wù)器,在應(yīng)用上主要實(shí)現(xiàn)了OA辦公自動(dòng)化、零售電子賬表管理、非油品銷售管理、IC卡管理、環(huán)境監(jiān)控等功能。
風(fēng)險(xiǎn)控制是指控制風(fēng)險(xiǎn)事件發(fā)生的動(dòng)因、環(huán)境、條件來(lái)減輕風(fēng)險(xiǎn)事件發(fā)生時(shí)的損失或降低風(fēng)險(xiǎn)事件發(fā)生的概率。風(fēng)險(xiǎn)無(wú)法徹底消除,僅能降低、控制與移轉(zhuǎn),對(duì)于殘余風(fēng)險(xiǎn),企業(yè)需自行審視可接受的程度。然而,在進(jìn)行風(fēng)險(xiǎn)控制活動(dòng)前,需先進(jìn)行風(fēng)險(xiǎn)評(píng)估,將潛在的弱點(diǎn)與威脅羅列出來(lái),并分析評(píng)估矯正的優(yōu)先程序,然后再針對(duì)風(fēng)險(xiǎn),設(shè)計(jì)有關(guān)的預(yù)防性、檢查性與糾正性的控制??刂频脑O(shè)計(jì),應(yīng)該參考風(fēng)險(xiǎn)評(píng)估后的結(jié)果,因此,要形成完整、有效的風(fēng)險(xiǎn)評(píng)估報(bào)告。不準(zhǔn)確的風(fēng)險(xiǎn)評(píng)估會(huì)影響后續(xù)控制設(shè)計(jì),甚至于控制執(zhí)行的落實(shí)程度。當(dāng)風(fēng)險(xiǎn)控制設(shè)計(jì)完成后,需再次檢視相對(duì)應(yīng)的管理制度與辦法是否足夠滿足控制的目標(biāo),倘若現(xiàn)有管理政策文件無(wú)法滿足控制目標(biāo)的要求,應(yīng)立即進(jìn)行調(diào)整,務(wù)必達(dá)到與現(xiàn)有作業(yè)機(jī)制一致的目標(biāo)。
目前,隨著企業(yè)經(jīng)營(yíng)業(yè)務(wù)的發(fā)展對(duì)IT的依賴日趨明顯,內(nèi)部原有業(yè)務(wù)和管理風(fēng)險(xiǎn)特征由于信息系統(tǒng)越來(lái)越廣泛的運(yùn)用而出現(xiàn)了變化,業(yè)務(wù)對(duì)信息系統(tǒng)的依賴性逐步增加,因此必須建立起有效的風(fēng)險(xiǎn)控制體系。從一般信息技術(shù)控制環(huán)境到業(yè)務(wù)流程中的內(nèi)部控制環(huán)境,都應(yīng)將系統(tǒng)控制與人工控制緊密結(jié)合。同樣,在銷售企業(yè)信息化建設(shè)中,需要管理與控制各種風(fēng)險(xiǎn),以便達(dá)到保護(hù)IT投資、維持系統(tǒng)持續(xù)運(yùn)行的目的。以風(fēng)險(xiǎn)為導(dǎo)向的IT審計(jì)是合理規(guī)避IT風(fēng)險(xiǎn)的一種有效途徑,在銷售企業(yè)中舉足輕重。企業(yè)IT風(fēng)險(xiǎn)控制與審計(jì)需要在充分考慮企業(yè)IT系統(tǒng)狀況、IT管理結(jié)構(gòu)的基礎(chǔ)上,有效規(guī)避IT風(fēng)險(xiǎn),為企業(yè)的未來(lái)發(fā)展保駕護(hù)航。
為保證信息資源的有效利用,降低公司信息系統(tǒng)的整體風(fēng)險(xiǎn),結(jié)合信息系統(tǒng)運(yùn)維的情況梳理出信息系統(tǒng)清單。透過(guò)企業(yè)的經(jīng)營(yíng)戰(zhàn)略,自上而下分析企業(yè)的經(jīng)營(yíng)風(fēng)險(xiǎn),確定風(fēng)險(xiǎn)類別和等級(jí),制定信息系統(tǒng)風(fēng)險(xiǎn)統(tǒng)計(jì)表。組織審計(jì)人員和業(yè)務(wù)人員從業(yè)務(wù)流程、人員崗位職責(zé)和系統(tǒng)三個(gè)維度進(jìn)行風(fēng)險(xiǎn)評(píng)估,按照風(fēng)險(xiǎn)評(píng)估的結(jié)果將信息系統(tǒng)劃分為高、中、低三個(gè)風(fēng)險(xiǎn)等級(jí),以此作為未來(lái)信息系統(tǒng)審計(jì)的次序,并針對(duì)三類風(fēng)險(xiǎn)等級(jí)的信息系統(tǒng),制定不同的審計(jì)策略,將審計(jì)資源的分配向重大風(fēng)險(xiǎn)領(lǐng)域傾斜,以確保審計(jì)資源的高效運(yùn)用,進(jìn)而形成有步驟、有計(jì)劃、有重點(diǎn)的差異化風(fēng)險(xiǎn)導(dǎo)向型IT審計(jì)。
信息系統(tǒng)中的數(shù)據(jù)要真實(shí)的反映企業(yè)的生產(chǎn)經(jīng)營(yíng)活動(dòng)。通過(guò)直接審計(jì)系統(tǒng)中的數(shù)據(jù)、檢查系統(tǒng)日志、保留不可更改記錄、定期審計(jì)等管理手段,確保數(shù)據(jù)的真實(shí)性和完整性。同時(shí)也避免了信息不被偶然或蓄意的刪除、修改、偽造、亂序、重放、插入。IT審計(jì)要確保審計(jì)工作面向信息的安全性,它要求保持信息的原樣,即信息的正確生成、存儲(chǔ)和傳輸。特別在ERP系統(tǒng)中,審計(jì)ERP基礎(chǔ)數(shù)據(jù)規(guī)范情況,對(duì)提升ERP系統(tǒng)中信息的質(zhì)量有著重要作用。
在面對(duì)銷售企業(yè)各系統(tǒng)海量數(shù)據(jù)源審計(jì)時(shí),針對(duì)海量數(shù)據(jù)的來(lái)源,可以通過(guò)兩種方式實(shí)現(xiàn):一是在銷售企業(yè)自有的服務(wù)器存儲(chǔ),經(jīng)營(yíng)以及管理業(yè)務(wù)會(huì)自動(dòng)生成業(yè)務(wù)數(shù)據(jù)存儲(chǔ)在服務(wù)器。二是企業(yè)的數(shù)據(jù)統(tǒng)一存儲(chǔ)在一個(gè)統(tǒng)一的平臺(tái)上,企業(yè)需要向這些平臺(tái)機(jī)構(gòu)取得跟自己企業(yè)相關(guān)的數(shù)據(jù)。
在實(shí)踐中,對(duì)于兩種數(shù)據(jù)源的審計(jì)方式我們簡(jiǎn)單分析一下:對(duì)于第一種數(shù)據(jù)來(lái)源方式,針對(duì)銷售企業(yè)自動(dòng)生成并保管數(shù)據(jù),要對(duì)企業(yè)數(shù)據(jù)生成、數(shù)據(jù)保管、數(shù)據(jù)轉(zhuǎn)移、數(shù)據(jù)修改等企業(yè)的IT環(huán)境和內(nèi)部控制措施進(jìn)行核查,目的就是要保證數(shù)據(jù)從生成到最終審計(jì)的整個(gè)過(guò)程中數(shù)據(jù)的完整性。對(duì)于第二種數(shù)據(jù)來(lái)源方式,需確定平臺(tái)的數(shù)據(jù)生成和管理措施是否完善,企業(yè)從平臺(tái)取得數(shù)據(jù)的過(guò)程和方式是否符合內(nèi)控要求,最后對(duì)數(shù)據(jù)的合理性,準(zhǔn)確性進(jìn)行進(jìn)一步的分析。
通過(guò)現(xiàn)有內(nèi)控管理制度,各信息流程操作已趨于完善,而信息系統(tǒng)的可靠性——信息系統(tǒng)在遭受非人為因素破壞或人為影響的情況下,是否能夠正常運(yùn)行,成為審計(jì)要點(diǎn)。威脅信息系統(tǒng)可靠性的因素包括自然災(zāi)害對(duì)硬件和環(huán)境的破壞,以及誤操作對(duì)軟件和硬件的破壞,在這兩方面的審計(jì)過(guò)程中,應(yīng)重點(diǎn)關(guān)注以下幾點(diǎn):
1.審計(jì)網(wǎng)絡(luò)實(shí)施模式
網(wǎng)絡(luò)與信息安全息息相關(guān),審計(jì)網(wǎng)絡(luò)結(jié)構(gòu)、內(nèi)網(wǎng)接入審批流程、核心網(wǎng)絡(luò)設(shè)備管理情況可以有效評(píng)價(jià)企業(yè)的信息安全。在審計(jì)網(wǎng)絡(luò)實(shí)施模式中,重點(diǎn)審計(jì)網(wǎng)絡(luò)體系架構(gòu)安全區(qū)域是否相互獨(dú)立;區(qū)域邊界部署是否有安全網(wǎng)關(guān)設(shè)備;全網(wǎng)關(guān)設(shè)備是否由省公司統(tǒng)一管理;對(duì)出入安全區(qū)域的數(shù)據(jù)是否進(jìn)行權(quán)限控制等。另外,有條件的企業(yè)可以實(shí)施內(nèi)外網(wǎng)分離改造,上網(wǎng)用機(jī)與辦公用機(jī)隔離,以有效抑制病毒的擴(kuò)散和傳播。
2.審計(jì)權(quán)限控制
強(qiáng)化操作權(quán)限意識(shí),明細(xì)崗位責(zé)任,審計(jì)要關(guān)注運(yùn)行系統(tǒng)的事件類型、用戶身份、操作時(shí)間、系統(tǒng)參數(shù)和狀態(tài);系統(tǒng)敏感資源是否進(jìn)行監(jiān)控和記錄;日志文件是否定期進(jìn)行安全檢查和評(píng)估;是否對(duì)系統(tǒng)資源進(jìn)行分類,并根據(jù)用戶級(jí)別,限制系統(tǒng)資源的共享和流動(dòng)。重點(diǎn)關(guān)注特權(quán)管理,查看系統(tǒng)是否由若干個(gè)系統(tǒng)管理員和操作員共同管理,每人是否只具有完成其任務(wù)的最少特權(quán),并相互制約,以提高系統(tǒng)安全可靠性。
3.審計(jì)異地災(zāi)備的建設(shè)
由于自然災(zāi)害對(duì)硬件和環(huán)境的破壞存在不可控性,其預(yù)防措施將直接影響企業(yè)信息安全,而異地災(zāi)備可以實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)自動(dòng)備份,最大限度地保障信息數(shù)據(jù)的安全性。因此,對(duì)異地災(zāi)備建設(shè)情況的審計(jì)也是IT審計(jì)的一個(gè)重要方面。
在ERP權(quán)限審計(jì)過(guò)程中,重點(diǎn)審計(jì)以下內(nèi)容:權(quán)限是否符合業(yè)務(wù)部門需求;權(quán)限是否被放大;權(quán)限是否遵循不相容崗位原則。審計(jì)的重點(diǎn)部門,應(yīng)關(guān)注會(huì)計(jì)人員的權(quán)限設(shè)置。因?yàn)闀?huì)計(jì)人員被分配ERP權(quán)限的崗位較多,同時(shí)會(huì)計(jì)人員兼有原始信息錄入和部門間信息核對(duì)的職責(zé)。
信息化時(shí)代,企業(yè)運(yùn)營(yíng)需要依賴各種信息系統(tǒng),IT審計(jì)可以避免信息系統(tǒng)的盲目開(kāi)發(fā)和頻發(fā)故障給企業(yè)帶來(lái)的巨大損失。IT審計(jì)作為企業(yè)信息化過(guò)程中的重要環(huán)節(jié),可以高效管理企業(yè)信息系統(tǒng)的開(kāi)發(fā)、運(yùn)行、維護(hù)及在整個(gè)生命周期中相關(guān)的業(yè)務(wù)風(fēng)險(xiǎn),確保信息系統(tǒng)的安全。對(duì)企業(yè)信息系統(tǒng)進(jìn)行IT審計(jì),能夠客觀評(píng)價(jià)系統(tǒng)對(duì)目標(biāo)的完成程度和企業(yè)的收益程度,并對(duì)系統(tǒng)的運(yùn)行和風(fēng)險(xiǎn)加以控制。IT審計(jì)對(duì)企業(yè)信息系統(tǒng)整體效能提升影響顯著,是企業(yè)信息化的可靠保證。