企業(yè)信息審計的探索與實踐論文

　　一、基于PDCA循環(huán)的審計整改全壽命工作法

　　(一)方法的提出。PDCA循環(huán)理論由休哈特提出,是全面質量管理的基本方法,也稱為“戴明環(huán)”,包括計劃、實施、檢查和處置四個階段,適用于任何有目的有過程的活動。本文借鑒PDCA循環(huán)的思想,提出審計整改全壽命工作法,設定審計計劃、審計實施、審計評價、后續(xù)審計四個閉合循環(huán)的階段,審計質量控制貫穿全過程。

　　(二)方法的應用思路。

　　1.審計計劃階段。主要包括審前調查、信息系統(tǒng)基本情況的收集和信息系統(tǒng)相關制度文件的審閱等。此外,還應依據(jù)計劃編制詳細的信息系統(tǒng)審計工作方案,確定審計內(nèi)容、步驟、方法,制定并送達審計通知書等。在本階段,相關責任人要全程監(jiān)督審計工作安排,審核審計工作方案是否滿足審計目標要求,了解并考慮企業(yè)戰(zhàn)略目標、信息技術的依賴程度、信息技術管理的組織架構、信息系統(tǒng)框架、信息系統(tǒng)及其支持的業(yè)務流程的變更情況、信息系統(tǒng)的復雜程度等特定內(nèi)容。

　　2.審計實施階段。完整的信息系統(tǒng)審計通常涵蓋三個層面:一是組織層面信息技術控制,指企業(yè)管理層對信息技術治理職能及內(nèi)部控制的重要性的態(tài)度、認識和措施,審計人員要關注與信息系統(tǒng)相關的控制環(huán)境、風險評估、信息與溝通、監(jiān)控四個方面的控制要素;二是信息技術一般性控制,指與網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)及其相關人員有關的信息技術政策和措施,審計中應考慮信息安全管理、系統(tǒng)變更管理、系統(tǒng)開發(fā)和采購管理、系統(tǒng)運行管理有關的控制活動;三是業(yè)務流程層面相關應用控制,指在業(yè)務流程層面為了合理保證應用系統(tǒng)準確、完整、及時完成業(yè)務數(shù)據(jù)的生成、記錄、處理、報告等功能而設計、執(zhí)行的信息技術控制,審計中應考慮與數(shù)據(jù)輸入、數(shù)據(jù)處理以及數(shù)據(jù)輸出環(huán)節(jié)相關的控制活動。審計過程中,可以綜合采用詢問、觀察、審閱文件和報告、通過穿行測試追蹤交易在信息系統(tǒng)中的處理過程、驗證系統(tǒng)控制和計算邏輯、登錄信息系統(tǒng)進行系統(tǒng)查詢等審計方法。信息系統(tǒng)審計的項目負責人應當既具有IT背景又具有內(nèi)審專業(yè)技能,在實施審計過程中建立審計復核機制,檢查審計底稿和相關證據(jù),掌控項目進度,確保審計工作質量和效率。

　　3.審計評價階段。進行評估時,獲取的審計證據(jù)必須充分可靠相關,以支持審計結論。審計人員運用專業(yè)判斷,對審計證據(jù)進行分析、撰寫征求意見稿、征求有關部門意見、形成審計報告、下達審計意見或審計建議書。審計報告作為審計的最終結果非常重要,審計項目負責人要從重要性和增值性兩個方面認真討論確定審計報告,保證審計報告的高質量。重要性指審計發(fā)現(xiàn)對企業(yè)內(nèi)部控制的影響程度;增值性指審計建議是否恰當、有意義,是否有助于提高審計對象效率效果。

　　4.后續(xù)審計階段。即對信息系統(tǒng)審計已報告的缺陷和建議所采取行動的完整性、效果性和時效性跟蹤檢查的過程。一般和下一次信息系統(tǒng)審計融合在一起進行,從而形成審計流程的閉合式循環(huán)。審計結果整改情況應納入企業(yè)績效考評體系,保證審計整改工作質量。

　　二、應用審計整改全壽命工作法開展信息系統(tǒng)審計的實踐

　　某科研生產(chǎn)企業(yè)信息化程度較高,目前使用的信息系統(tǒng)為涉密信息系統(tǒng),有上千個終端用戶,數(shù)百個業(yè)務工作流程,數(shù)十個業(yè)務系統(tǒng),采取單點登陸、統(tǒng)一身份認證,部署相關審計系統(tǒng)的方式運行。由于該信息系統(tǒng)涉密等級較高,用戶數(shù)較多,系統(tǒng)組成復雜,對開展信息系統(tǒng)審計提出了較高要求。本文按照審計整改全壽命工作法的工作思路,進行了信息系統(tǒng)審計的實踐和探索。

　　(一)計劃階段。由具有信息系統(tǒng)研發(fā)背景和高級工程師資格的專家擔任組長,并從企業(yè)內(nèi)部信息技術部門抽調專家,組建一支包括信息技術及內(nèi)部審計人員在內(nèi)的專業(yè)隊伍。該科研生產(chǎn)企業(yè)建立了比較完備的信息系統(tǒng)管理體系,對信息系統(tǒng)安全運行和管理有明確具體的要求。審前組織學習研究該企業(yè)的信息系統(tǒng)管理制度、行為規(guī)范制度、安全控制策略、內(nèi)部控制制度體系等文件,將這些制度的相關要求作為審計依據(jù),制定信息系統(tǒng)專項審計工作方案。明確重點審計內(nèi)容為對信息系統(tǒng)的邏輯訪問與物理安全控制,包括系統(tǒng)輸入控制、用戶行為控制和訪問權限控制三個方面。同時,獲取企業(yè)管理層和信息系統(tǒng)管理部門的支持。

　　(二)實施階段。在該科研生產(chǎn)企業(yè)已經(jīng)建立的信息監(jiān)控系統(tǒng)的基礎上,采取專項審計的方式,對于企業(yè)的行為監(jiān)控系統(tǒng)、權限審查系統(tǒng)開展信息系統(tǒng)審計,這也是本次審計工作的重點。該單位在設計信息系統(tǒng)監(jiān)控系統(tǒng)時,采取了B/S結構,在終端計算機上安裝客戶端,后臺運行自動記錄用戶行為,利用SQLServer數(shù)據(jù)庫對用戶數(shù)據(jù)進行存儲。在SQLServer數(shù)據(jù)庫中,管理各種安全策略、系統(tǒng)運行參數(shù)、網(wǎng)絡客戶端設備信息、報警和日志。系統(tǒng)前臺使用WEB瀏覽器方式,進行系統(tǒng)策略設置、系統(tǒng)維護等操作,各種日志記錄和報警信息在這里顯示。審計系統(tǒng)可提供完整的用戶行為日志,該企業(yè)基于日志數(shù)據(jù)開展系統(tǒng)安全策略配置、違規(guī)介質使用、病毒情況、信息輸入輸出、文件打印、用戶終端網(wǎng)絡訪問等審計工作。審計人員根據(jù)用戶操作行為日志,綜合應用詢問、數(shù)據(jù)采集、穿行測試、控制測試和分析等審計方法,獲取有效的審計證據(jù),并對重要發(fā)現(xiàn)及時與有關各方溝通。

　　(三)評價階段。審計人員根據(jù)審計發(fā)現(xiàn)和審計工作底稿撰寫審計報告,就完善制度、制度執(zhí)行、系統(tǒng)建設、安全策略適當性等提出審計建議,提交管理層審批后交信息系統(tǒng)管理部門整改完善。(四)后續(xù)審計階段。根據(jù)信息系統(tǒng)管理部門整改完成情況,對審計發(fā)現(xiàn)的缺陷和提出的管理建議進行后續(xù)審計。從近期已實施的4次審計情況看,日志數(shù)據(jù)的抽樣異常率從第一次的12%下降到1%。

　　 三、結束語

　　通過應用審計整改全壽命工作法,組織實施信息系統(tǒng)專項審計,報送審計結果,督促落實整改,為完善規(guī)章制度、發(fā)現(xiàn)并減少用戶異常行為,防止非法操作,確保信息系統(tǒng)安全有效運行提供了有力的保障,但也對內(nèi)部審計人員的學習能力和信息技術專業(yè)勝任能力提出了較高要求。利用審計整改全壽命工作法開展企業(yè)信息系統(tǒng)審計是一個不斷探索、改進和提高的過程,在諸如如何進一步劃分各階段工作界面、如何開展對信息系統(tǒng)其他各業(yè)務子系統(tǒng)的審計等方面還需要結合企業(yè)實際進行進一步探索與研究。

【企業(yè)信息審計的探索與實踐論文】相關文章：

教育技術裝備的實踐探索論文05-02

兒童校外教育理論與實踐探索論文12-02

企業(yè)信息系統(tǒng)審計的研究12-10

內(nèi)部審計外包實踐性的論文12-02

審計論文06-10

審計論文[經(jīng)典]06-12

針對高校藝術生入學教育實踐與探索論文01-18

遠程開放教育校企合作的實踐探索論文12-02

地理教學中滲透生命教育的實踐與探索論文11-16