中冶賽迪集團(tuán)信息系統(tǒng)審計(jì)流程與方法回顧論文

　　案例背景

　　中冶賽迪集團(tuán)有限公司（以下簡(jiǎn)稱賽迪集團(tuán)）是世界500強(qiáng)企業(yè)--中國(guó)冶金科工集團(tuán)旗下的國(guó)有大型科技型工程技術(shù)企業(yè)，是集應(yīng)用技術(shù)研發(fā)、經(jīng)濟(jì)技術(shù)咨詢、規(guī)劃設(shè)計(jì)、工程總承包、成套裝備、工程監(jiān)理、技術(shù)服務(wù)于一體的工程技術(shù)服務(wù)集團(tuán)，也是國(guó)內(nèi)第一家完全數(shù)字化的工程技術(shù)服務(wù)集團(tuán)，下設(shè) 18個(gè)職能部門，擁有中冶賽迪工程技術(shù)股份有限公司（以下簡(jiǎn)稱賽迪股份公司）等21家全資或控股子公司。中冶賽迪核心信息系統(tǒng)（以下簡(jiǎn)稱CCIS 系統(tǒng)）是賽迪集團(tuán)信息化建設(shè)的主要平臺(tái)，是以 Oracle ERP系統(tǒng)為核心組件搭建的信息化系統(tǒng)。該系統(tǒng)以項(xiàng)目為導(dǎo)向和核心，覆蓋了企業(yè)價(jià)值鏈，為項(xiàng)目管理提供全生命周期的信息化支撐。該系統(tǒng)于2008年12月上線投用至今，除涉及海外、物業(yè)管理以及房地產(chǎn)等業(yè)務(wù)的4家子公司尚未上線外，其余17家子公司均已成功上線投用。此外，為了持續(xù)優(yōu)化完善該系統(tǒng)，賽迪集團(tuán)于2010年投資設(shè)立了中冶賽迪重慶信息技術(shù)有限公司（以下簡(jiǎn)稱賽迪信息公司），對(duì)系統(tǒng)進(jìn)行功能運(yùn)維和優(yōu)化提升。

　　CCIS 系統(tǒng)對(duì)賽迪集團(tuán)規(guī)范日常運(yùn)營(yíng)管理、提升管理效率，維護(hù)信息的正常流轉(zhuǎn)，增強(qiáng)市場(chǎng)競(jìng)爭(zhēng)力起到了積極作用。由于經(jīng)營(yíng)管理活動(dòng)對(duì)該系統(tǒng)依賴性極高，系統(tǒng)可靠性、穩(wěn)定性、安全性、完整性及準(zhǔn)確性顯得尤為重要。賽迪集團(tuán)審計(jì)部作為內(nèi)部監(jiān)督部門，著眼于信息化環(huán)境下公司面臨的新的風(fēng)險(xiǎn)點(diǎn)，于 2012 年開始組織具有IT背景的審計(jì)人員研究探索信息系統(tǒng)審計(jì)，對(duì) CCIS 系統(tǒng)內(nèi)部控制及流程進(jìn)行審查和評(píng)價(jià)，提出相關(guān)管理建議，促進(jìn)公司提升信息化水平。鑒于 CCIS 系統(tǒng)十分龐大復(fù)雜、實(shí)施信息系統(tǒng)審計(jì)的經(jīng)驗(yàn)不足等情況，審計(jì)部充分調(diào)研，確立了分模塊、分系統(tǒng)，逐項(xiàng)探索和突破的審計(jì)思路。通過近3年的探索和總結(jié)，截至 2014 年底，共開展信息系統(tǒng)審計(jì)項(xiàng)目5項(xiàng)；發(fā)布實(shí)施了《信息系統(tǒng)審計(jì)工作規(guī)定》；提升了人員素質(zhì)，審計(jì)部共7人，全員擁有CIA資格，1人擁有CISA（國(guó)際注冊(cè)信息系統(tǒng)審計(jì)師）資格，注冊(cè)會(huì)計(jì)師 1 人，此外還擁有一級(jí)建造師、造價(jià)師等資格。

　　BI系統(tǒng)是與CCIS Portal界面及Oracle數(shù)據(jù)庫(kù)相互集成，通過信息挖掘、分析、查詢和報(bào)表的形式為管理層決策提供立體式數(shù)據(jù)服務(wù)的商務(wù)智能系統(tǒng)，其基礎(chǔ)組件主要包括BIEE 基礎(chǔ)服務(wù)、服務(wù)器以及數(shù)據(jù)抽取工具等。該系統(tǒng)是賽迪集團(tuán)在凱捷咨詢（中國(guó)）公司的指導(dǎo)下自行開發(fā)的，包含經(jīng)營(yíng)總覽、項(xiàng)目管理、采購(gòu)管理、費(fèi)用控制等12個(gè)功能模塊。2009 年 5 月開始搭建，同年 12 月上線投用。審計(jì)時(shí)，該系統(tǒng)已運(yùn)用到賽迪股份等4家子公司。BI系統(tǒng)作為向管理層提供決策數(shù)據(jù)服務(wù)的工具，其數(shù)據(jù)準(zhǔn)確性、有用性直接關(guān)系到管理層決策的正確性和效率，如項(xiàng)目預(yù)算執(zhí)行情況預(yù)警及控制等。

　　賽迪股份公司作為賽迪集團(tuán)的核心子公司，致力于為鋼鐵行業(yè)提供全流程服務(wù)，為工程項(xiàng)目提供全功能、全生命周期服務(wù)，率先投用了BI 系統(tǒng)。在對(duì)賽迪股份工程項(xiàng)目的審計(jì)過程中發(fā)現(xiàn)，BI 系統(tǒng)項(xiàng)目管理模塊數(shù)據(jù)與 CCIS 中 ERP 系統(tǒng)財(cái)務(wù)模塊存在不一致的情況。審計(jì)部高度重視這一情況，以風(fēng)險(xiǎn)導(dǎo)向?yàn)樵瓌t，對(duì)賽迪股份BI系統(tǒng)在項(xiàng)目管理的應(yīng)用情況進(jìn)行審計(jì)，將其納入 2013年度審計(jì)計(jì)劃，向集團(tuán)董事會(huì)報(bào)批后實(shí)施。

　　本項(xiàng)目審計(jì)目標(biāo)是對(duì)BI系統(tǒng)的內(nèi)部控制和流程進(jìn)行審查與評(píng)價(jià)，為持續(xù)優(yōu)化完善 BI 系統(tǒng)內(nèi)部控制流程提出具有可操作性的建議，有效提升 BI 系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)處理的完整性和準(zhǔn)確性，增強(qiáng)系統(tǒng)的普及率和使用率；強(qiáng)化 CCIS 系統(tǒng)災(zāi)難恢復(fù)計(jì)劃的持續(xù)有效性。

　　審計(jì)過程及方法

　　（一）審計(jì)思路

　　本項(xiàng)目兼具信息系統(tǒng)一般控制審計(jì)和應(yīng)用控制審計(jì)的特點(diǎn)。為了實(shí)現(xiàn)前述審計(jì)目標(biāo)，審計(jì)小組擬定了以下審計(jì)思路：

　　1.收集相關(guān)資料，熟悉BI系統(tǒng)基本架構(gòu)、主要功能、業(yè)務(wù)流程以及其與CCIS系統(tǒng)中其他模塊或子系統(tǒng)間的邏輯關(guān)系等。

　　2.風(fēng)險(xiǎn)評(píng)估，確定審計(jì)范圍和重點(diǎn)。

　　3.梳理審計(jì)重點(diǎn)，從一般控制與應(yīng)用控制兩個(gè)層面深入開展審計(jì)工作，確定重點(diǎn)審計(jì)內(nèi)容。

　�。ǘ�）審計(jì)過程

　　1.精心組織，周密安排。針對(duì)信息系統(tǒng)審計(jì)內(nèi)容涉及面廣、開展難度較大等特點(diǎn)，審計(jì)部高度重視，積極協(xié)調(diào)溝通，得到了賽迪集團(tuán)信息化建設(shè)主管領(lǐng)導(dǎo)的大力支持，要求相關(guān)部門及人員積極配合審計(jì)工作，為審計(jì)工作的順利開展提供有力支持。本項(xiàng)目審計(jì)組織情況見表 1.

　　2.前期準(zhǔn)備工作。

　　（1）主審申請(qǐng)并開通 BI 系統(tǒng)訪問賬戶及權(quán)限。

　　（2）詳細(xì)閱讀 BI系統(tǒng)項(xiàng)目管理模塊設(shè)計(jì)功能說明書、解決方案及應(yīng)用速讀手冊(cè)（操作手冊(cè)）等文件；賽迪信息公司開發(fā)人員提供該系統(tǒng)項(xiàng)目管理模塊的功能說明書及應(yīng)用速讀手冊(cè)（操作手冊(cè)）共 41 份。

　　（3）梳理BI系統(tǒng)與CCIS其他子系統(tǒng)或模塊間的關(guān)鍵接口或控制點(diǎn)及其基本架構(gòu)。BI系統(tǒng)基本架構(gòu)見圖1,CCIS系統(tǒng)各模塊間的關(guān)系見圖2.據(jù)此，審計(jì)小組確定BI系統(tǒng)數(shù)據(jù)輸入來(lái)源于EBS ERP 系統(tǒng)，與其他子系統(tǒng)的關(guān)聯(lián)較少，其關(guān)鍵控制點(diǎn)在于數(shù)據(jù)抽取工作流抽取邏輯是否正確完備；BI 系統(tǒng)屬于 CCIS 系統(tǒng)中的子系統(tǒng)，屬于 CCIS 災(zāi)難恢復(fù)計(jì)劃的一部分，且不可分離。

　　3.風(fēng)險(xiǎn)評(píng)估，確立審計(jì)范圍。本項(xiàng)目以風(fēng)險(xiǎn)為導(dǎo)向，確立審計(jì)范圍和審計(jì)重點(diǎn)，風(fēng)險(xiǎn)評(píng)估工作可概括為以下幾個(gè)方面：

　　（1）利用工程項(xiàng)目審計(jì)等其他工作成果，梳理以前審計(jì)過程中發(fā)現(xiàn)的與BI系統(tǒng)相關(guān)的問題。

　�。�2）對(duì) BI 系統(tǒng)使用人員進(jìn)行訪談?wù){(diào)研，發(fā)現(xiàn)該系統(tǒng)在使用過程中存在的問題或不足之處。

　�。�3）進(jìn)一步對(duì)賽迪信息BI系統(tǒng)開發(fā)人員進(jìn)行訪談，全面了解 BI系統(tǒng)項(xiàng)目管理模塊的各項(xiàng)功能、數(shù)據(jù)處理邏輯、與CCIS其他子系統(tǒng)間的數(shù)據(jù)傳輸邏輯、日常運(yùn)維中經(jīng)常出現(xiàn)的問題等，收集功能說明書等文本資料。

　�。�4）結(jié)合公司領(lǐng)導(dǎo)對(duì)信息系統(tǒng)審計(jì)的要求，將公司災(zāi)難恢復(fù)計(jì)劃的有效性等納入審計(jì)范圍。根據(jù)上述幾個(gè)方面的工作，結(jié)合賽迪股份公司主營(yíng)業(yè)務(wù)特點(diǎn)，審計(jì)小組從信息系統(tǒng)一般控制和應(yīng)用控制兩個(gè)層面確立了審計(jì)重點(diǎn)內(nèi)容。

　　一般控制層面重點(diǎn)關(guān)注：（1）BI 系統(tǒng)軟、硬件等基礎(chǔ)設(shè)施管理情況。

　�。�2）物理訪問控制制度建立健全及執(zhí)行情況。

　�。�3）與 BI 系統(tǒng)相關(guān)規(guī)章制度建立健全及執(zhí)行情況。

　�。�4）CCIS 系統(tǒng)災(zāi)難恢復(fù)計(jì)劃建立及有效性測(cè)試管理情況。應(yīng)用控制層面重點(diǎn)關(guān)注：

　�。�1）BI 系統(tǒng)對(duì)公司業(yè)務(wù)需求支持情況。

　�。�2）數(shù)據(jù)抽取工作流抽取邏輯設(shè)計(jì)及運(yùn)行情況。

　　（3）BI系統(tǒng)邏輯訪問控制情況。

　�。ㄈ�）審計(jì)方法及發(fā)現(xiàn)的問題

　　1 .訪談與問卷調(diào)查結(jié)果相結(jié)合，確定審計(jì)重點(diǎn)。在審前調(diào)查中，通過對(duì)系統(tǒng)關(guān)鍵使用者（如項(xiàng)目管理部部長(zhǎng)、費(fèi)用控制與合同管理部部長(zhǎng)等）進(jìn)行訪談了解到，BI系統(tǒng)項(xiàng)目管理模塊使用率較低，其原因可能在于：一是部分?jǐn)?shù)據(jù)不準(zhǔn)確，與ERP 系統(tǒng)中項(xiàng)目管理、財(cái)務(wù)等模塊數(shù)據(jù)不一致，這可能是影響其使用率的主要原因。二是應(yīng)得收入、承諾全成本等部分指標(biāo)可理解性差。三是針對(duì)用戶的有效培訓(xùn)不足，致使部分客戶不了解該系統(tǒng)的基本功能或?qū)Υ酥�之甚少，進(jìn)而影響了系統(tǒng)的使用率。審計(jì)小組據(jù)此設(shè)計(jì)調(diào)查問卷，有針對(duì)性地對(duì)賽迪股份公司部分使用者（主要是項(xiàng)目經(jīng)理及中層管理人員以上人員）進(jìn)行問卷調(diào)查，佐證了上述問題，明確了數(shù)據(jù)的準(zhǔn)確性是影響B(tài)I系統(tǒng)使用率的主要原因，并將該問題納入審計(jì)重點(diǎn)。

　　2.從具體項(xiàng)目著手，全面梳理BI 系統(tǒng)數(shù)據(jù)抽取工作流數(shù)據(jù)處理邏輯，核查 BI 系統(tǒng)數(shù)據(jù)準(zhǔn)確性。通過閱讀功能說明書以及向開發(fā)人員進(jìn)行訪談等方法全面了解BI系統(tǒng)中數(shù)據(jù)抽取及處理邏輯后，審計(jì)小組抽取了實(shí)際運(yùn)行的兩個(gè)典型的工程項(xiàng)目逐項(xiàng)核查項(xiàng)目管理及業(yè)務(wù)數(shù)據(jù)，查找差異，并在開發(fā)人員支持下，分析差異產(chǎn)生根源，為解決相關(guān)問題提供具有可操作性的解決方案。通過核查發(fā)現(xiàn)，影響數(shù)據(jù)準(zhǔn)確性的主要原因在于以下幾個(gè)方面：

　�。�1）BI系統(tǒng)內(nèi)部控制流程存在缺陷，數(shù)據(jù)抽取工作流設(shè)計(jì)存在瑕疵。如某項(xiàng)目甲供鋼材BI系統(tǒng)較采購(gòu)管理部提供的實(shí)際使用數(shù)據(jù)多出 3105.40 噸、1395.88萬(wàn)元。據(jù)查，該項(xiàng)目第二批鋼筋實(shí)際出庫(kù) 4000 噸，但采購(gòu)人員錄入系統(tǒng)時(shí)誤錄入7105.40噸，按照《甲供鋼材采購(gòu) CCIS 用戶系統(tǒng)操作手冊(cè)》，后錄入-3105.40噸到“雜項(xiàng)事務(wù)處理中的賬戶接收”進(jìn)行調(diào)整，但BI系統(tǒng)數(shù)據(jù)抽取工作流則未抽取到該調(diào)整項(xiàng)。

　�。�2）CCIS 系統(tǒng)中采購(gòu)管理模塊功能不完善。如某項(xiàng)目直接開支中，因采購(gòu)人員誤錄入金額為6.38萬(wàn)元的采購(gòu)訂單后，撤銷該訂單時(shí)，做了“取消”處理，但后臺(tái)數(shù)據(jù)并未相應(yīng)將訂單狀態(tài)更改為“取消”,致使 BI 系統(tǒng)直接支出較ERP 系統(tǒng)多了 6.38 萬(wàn)元。經(jīng)了解，CCIS 系統(tǒng)上線時(shí)已明確，經(jīng)批準(zhǔn)的采購(gòu)訂單不能做“取消”處理，但CCIS 系統(tǒng)采購(gòu)管理模塊未屏蔽該操作。

　�。�3）用戶操作不熟練或失誤導(dǎo)致數(shù)據(jù)歸集錯(cuò)誤。如某項(xiàng)目直接支出中預(yù)算內(nèi)設(shè)計(jì)分包支出，支出類型應(yīng)為“直接支出”,而業(yè)務(wù)人員誤將其支出類型選擇為“制圖費(fèi)”.

　　3.采集數(shù)據(jù)，跨系統(tǒng)數(shù)據(jù)比對(duì)分析，查詢系統(tǒng)非法用戶。為了核查BI 系統(tǒng)登錄權(quán)限配置是否符合公司相關(guān)管理要求，審計(jì)小組采集了 BI系統(tǒng)登錄用戶數(shù)據(jù)及CCIS系統(tǒng)人力資源系統(tǒng)中所有在職員工數(shù)據(jù)，通過跨系統(tǒng)數(shù)據(jù)比對(duì)分析，剔除系統(tǒng)管理賬戶，查找非法賬戶反饋給人力資源部進(jìn)行核實(shí)確認(rèn)。經(jīng)對(duì)比發(fā)現(xiàn)，信息溝通不暢，員工離職信息傳遞存在缺陷。BI 系統(tǒng)擁有登錄權(quán)限賬戶623個(gè)（已剔除了管理員賬戶），其中4個(gè)賬戶為已離職員工，未及時(shí)清理。主要原因在于員工離職信息傳輸存在缺陷，未能適時(shí)將相關(guān)信息有效傳遞到信息部門。

　　4.檢查災(zāi)難恢復(fù)計(jì)劃的有效性。對(duì)于災(zāi)難恢復(fù)計(jì)劃的有效性檢查，審計(jì)小組從兩個(gè)方面著手：一是檢查服務(wù)器等硬件設(shè)備的物理環(huán)境及物理訪問控制情況，主要查看機(jī)房的消防安全、門禁管理以及巡檢記錄等。二是檢查備份磁帶歸檔管理及災(zāi)備系統(tǒng)有效性測(cè)試審批及開展是否符合公司相關(guān)制度規(guī)定。經(jīng)查，災(zāi)難恢復(fù)計(jì)劃執(zhí)行有效。

　　審計(jì)結(jié)果及成效

　　針對(duì)審計(jì)發(fā)現(xiàn)的問題，在上報(bào)集團(tuán)董事會(huì)審批后，相關(guān)部門均進(jìn)行了相應(yīng)整改。審計(jì)成果得到了有效應(yīng)用，具體體現(xiàn)在：

　　一是發(fā)現(xiàn)了BI系統(tǒng)數(shù)據(jù)抽取工作流存在設(shè)計(jì)缺陷，影響了項(xiàng)目管理數(shù)據(jù)的準(zhǔn)確性；審計(jì)結(jié)論促進(jìn)了賽迪信息技術(shù)人員優(yōu)化完善數(shù)據(jù)抽取工作流取數(shù)邏輯，提升了 BI 系統(tǒng)數(shù)據(jù)準(zhǔn)確性。

　　二是發(fā)現(xiàn)了CCIS系統(tǒng)中采購(gòu)管理模塊功能不完善，未屏蔽被禁止的功能。已整改完畢。

　　三是發(fā)現(xiàn)了信息與溝通方面存在的不足，員工離職信息傳遞存在缺陷。審計(jì)后公司優(yōu)化完善了員工離職流程，提高了信息傳遞有效性，確保了離職員工賬戶得到及時(shí)清理。

　　四是發(fā)現(xiàn)了BI系統(tǒng)中部分指標(biāo)可理解性差，培訓(xùn)力度不足等因素影響了 BI 系統(tǒng)的普及率和使用率。

　　啟示與思考

　　首先，較之經(jīng)濟(jì)責(zé)任審計(jì)等其他內(nèi)部審計(jì)工作，信息系統(tǒng)審計(jì)的審計(jì)對(duì)象責(zé)任人并非唯一，有系統(tǒng)設(shè)計(jì)、實(shí)施部門，也有使用部門，同時(shí)還有負(fù)責(zé)內(nèi)部控制制度設(shè)計(jì)和運(yùn)行的相關(guān)部門，審計(jì)對(duì)象群體龐大導(dǎo)致配合難度較大。因此，公司領(lǐng)導(dǎo)的大力支持與推動(dòng)是順利開展信息系統(tǒng)審計(jì)的有力保障。

　　第二，信息系統(tǒng)審計(jì)主要關(guān)注信息技術(shù)內(nèi)部控制與流程的合規(guī)性與可靠性，所發(fā)現(xiàn)的問題通過審計(jì)意見或建議予以改善，能夠糾正所有的類似錯(cuò)漏，有效促進(jìn)系統(tǒng)的可靠性和數(shù)據(jù)準(zhǔn)確性的提升，審計(jì)成效和價(jià)值實(shí)現(xiàn)往往更加快捷、更易接受。

　　第三，抓住信息系統(tǒng)內(nèi)部控制與流程的“牛鼻子”,內(nèi)部審計(jì)大有可為。事實(shí)證明，通過梳理及測(cè)試信息系統(tǒng)內(nèi)部控制與流程，再輔以有針對(duì)性的審計(jì)程序和方法，如穿行測(cè)試、問卷調(diào)查、分析性復(fù)核等，內(nèi)部信息系統(tǒng)審計(jì)在促進(jìn)信息系統(tǒng)的完善和改進(jìn)方面完全可以大有作為。

　　第四，信息系統(tǒng)審計(jì)工作作為內(nèi)部審計(jì)新開展的一項(xiàng)審計(jì)業(yè)務(wù)，對(duì)于企業(yè)尤其是非金融類企業(yè)的內(nèi)部審計(jì)而言，尚處于不斷摸索和學(xué)習(xí)的過程中，提升審計(jì)人員的專業(yè)勝任能力，逐步規(guī)范完善審計(jì)流程及審計(jì)工作底稿，對(duì)于充分發(fā)揮內(nèi)部審計(jì)價(jià)值創(chuàng)造作用尤為重要。客觀上，目前非金融類企業(yè)信息系統(tǒng)審計(jì)發(fā)揮的作用較為有限，提升空間仍然較大。

【中冶賽迪集團(tuán)信息系統(tǒng)審計(jì)流程與方法回顧論文】相關(guān)文章：

集團(tuán)公司內(nèi)控中內(nèi)部審計(jì)的關(guān)鍵節(jié)點(diǎn)論文09-02

論文寫作方法和流程07-18

論文寫作中的選題方法08-01

審計(jì)在公司治理中的作用論文10-07

畢業(yè)論文答辯流程及方法10-23

論文：論新審計(jì)準(zhǔn)則中的審計(jì)理念革新10-11

信息系統(tǒng)審計(jì)中計(jì)算機(jī)審計(jì)的具體應(yīng)用論文07-04

信息系統(tǒng)審計(jì)的固有控制及檢查風(fēng)險(xiǎn)探析論文07-12

對(duì)孤立點(diǎn)分析方法在現(xiàn)代審計(jì)中的運(yùn)用技巧分析經(jīng)濟(jì)論文07-10

集團(tuán)公司的內(nèi)部控制審計(jì)的研究經(jīng)濟(jì)論文07-15