企業(yè)信息審計(jì)的探索與實(shí)踐論文

　　一、基于PDCA循環(huán)的審計(jì)整改全壽命工作法

　　(一)方法的提出。PDCA循環(huán)理論由休哈特提出,是全面質(zhì)量管理的基本方法,也稱為“戴明環(huán)”,包括計(jì)劃、實(shí)施、檢查和處置四個(gè)階段,適用于任何有目的有過程的活動(dòng)。本文借鑒PDCA循環(huán)的思想,提出審計(jì)整改全壽命工作法,設(shè)定審計(jì)計(jì)劃、審計(jì)實(shí)施、審計(jì)評價(jià)、后續(xù)審計(jì)四個(gè)閉合循環(huán)的階段,審計(jì)質(zhì)量控制貫穿全過程。

　　(二)方法的應(yīng)用思路。

　　1.審計(jì)計(jì)劃階段。主要包括審前調(diào)查、信息系統(tǒng)基本情況的收集和信息系統(tǒng)相關(guān)制度文件的審閱等。此外,還應(yīng)依據(jù)計(jì)劃編制詳細(xì)的信息系統(tǒng)審計(jì)工作方案,確定審計(jì)內(nèi)容、步驟、方法,制定并送達(dá)審計(jì)通知書等。在本階段,相關(guān)責(zé)任人要全程監(jiān)督審計(jì)工作安排,審核審計(jì)工作方案是否滿足審計(jì)目標(biāo)要求,了解并考慮企業(yè)戰(zhàn)略目標(biāo)、信息技術(shù)的依賴程度、信息技術(shù)管理的組織架構(gòu)、信息系統(tǒng)框架、信息系統(tǒng)及其支持的業(yè)務(wù)流程的變更情況、信息系統(tǒng)的復(fù)雜程度等特定內(nèi)容。

　　2.審計(jì)實(shí)施階段。完整的信息系統(tǒng)審計(jì)通常涵蓋三個(gè)層面:一是組織層面信息技術(shù)控制,指企業(yè)管理層對信息技術(shù)治理職能及內(nèi)部控制的重要性的態(tài)度、認(rèn)識和措施,審計(jì)人員要關(guān)注與信息系統(tǒng)相關(guān)的控制環(huán)境、風(fēng)險(xiǎn)評估、信息與溝通、監(jiān)控四個(gè)方面的控制要素;二是信息技術(shù)一般性控制,指與網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)及其相關(guān)人員有關(guān)的信息技術(shù)政策和措施,審計(jì)中應(yīng)考慮信息安全管理、系統(tǒng)變更管理、系統(tǒng)開發(fā)和采購管理、系統(tǒng)運(yùn)行管理有關(guān)的控制活動(dòng);三是業(yè)務(wù)流程層面相關(guān)應(yīng)用控制,指在業(yè)務(wù)流程層面為了合理保證應(yīng)用系統(tǒng)準(zhǔn)確、完整、及時(shí)完成業(yè)務(wù)數(shù)據(jù)的生成、記錄、處理、報(bào)告等功能而設(shè)計(jì)、執(zhí)行的信息技術(shù)控制,審計(jì)中應(yīng)考慮與數(shù)據(jù)輸入、數(shù)據(jù)處理以及數(shù)據(jù)輸出環(huán)節(jié)相關(guān)的控制活動(dòng)。審計(jì)過程中,可以綜合采用詢問、觀察、審閱文件和報(bào)告、通過穿行測試追蹤交易在信息系統(tǒng)中的處理過程、驗(yàn)證系統(tǒng)控制和計(jì)算邏輯、登錄信息系統(tǒng)進(jìn)行系統(tǒng)查詢等審計(jì)方法。信息系統(tǒng)審計(jì)的項(xiàng)目負(fù)責(zé)人應(yīng)當(dāng)既具有IT背景又具有內(nèi)審專業(yè)技能,在實(shí)施審計(jì)過程中建立審計(jì)復(fù)核機(jī)制,檢查審計(jì)底稿和相關(guān)證據(jù),掌控項(xiàng)目進(jìn)度,確保審計(jì)工作質(zhì)量和效率。

　　3.審計(jì)評價(jià)階段。進(jìn)行評估時(shí),獲取的審計(jì)證據(jù)必須充分可靠相關(guān),以支持審計(jì)結(jié)論。審計(jì)人員運(yùn)用專業(yè)判斷,對審計(jì)證據(jù)進(jìn)行分析、撰寫征求意見稿、征求有關(guān)部門意見、形成審計(jì)報(bào)告、下達(dá)審計(jì)意見或?qū)徲?jì)建議書。審計(jì)報(bào)告作為審計(jì)的最終結(jié)果非常重要,審計(jì)項(xiàng)目負(fù)責(zé)人要從重要性和增值性兩個(gè)方面認(rèn)真討論確定審計(jì)報(bào)告,保證審計(jì)報(bào)告的高質(zhì)量。重要性指審計(jì)發(fā)現(xiàn)對企業(yè)內(nèi)部控制的影響程度;增值性指審計(jì)建議是否恰當(dāng)、有意義,是否有助于提高審計(jì)對象效率效果。

　　4.后續(xù)審計(jì)階段。即對信息系統(tǒng)審計(jì)已報(bào)告的缺陷和建議所采取行動(dòng)的完整性、效果性和時(shí)效性跟蹤檢查的過程。一般和下一次信息系統(tǒng)審計(jì)融合在一起進(jìn)行,從而形成審計(jì)流程的閉合式循環(huán)。審計(jì)結(jié)果整改情況應(yīng)納入企業(yè)績效考評體系,保證審計(jì)整改工作質(zhì)量。

　　二、應(yīng)用審計(jì)整改全壽命工作法開展信息系統(tǒng)審計(jì)的實(shí)踐

　　某科研生產(chǎn)企業(yè)信息化程度較高,目前使用的信息系統(tǒng)為涉密信息系統(tǒng),有上千個(gè)終端用戶,數(shù)百個(gè)業(yè)務(wù)工作流程,數(shù)十個(gè)業(yè)務(wù)系統(tǒng),采取單點(diǎn)登陸、統(tǒng)一身份認(rèn)證,部署相關(guān)審計(jì)系統(tǒng)的方式運(yùn)行。由于該信息系統(tǒng)涉密等級較高,用戶數(shù)較多,系統(tǒng)組成復(fù)雜,對開展信息系統(tǒng)審計(jì)提出了較高要求。本文按照審計(jì)整改全壽命工作法的工作思路,進(jìn)行了信息系統(tǒng)審計(jì)的實(shí)踐和探索。

　　(一)計(jì)劃階段。由具有信息系統(tǒng)研發(fā)背景和高級工程師資格的專家擔(dān)任組長,并從企業(yè)內(nèi)部信息技術(shù)部門抽調(diào)專家,組建一支包括信息技術(shù)及內(nèi)部審計(jì)人員在內(nèi)的專業(yè)隊(duì)伍。該科研生產(chǎn)企業(yè)建立了比較完備的信息系統(tǒng)管理體系,對信息系統(tǒng)安全運(yùn)行和管理有明確具體的要求。審前組織學(xué)習(xí)研究該企業(yè)的信息系統(tǒng)管理制度、行為規(guī)范制度、安全控制策略、內(nèi)部控制制度體系等文件,將這些制度的相關(guān)要求作為審計(jì)依據(jù),制定信息系統(tǒng)專項(xiàng)審計(jì)工作方案。明確重點(diǎn)審計(jì)內(nèi)容為對信息系統(tǒng)的邏輯訪問與物理安全控制,包括系統(tǒng)輸入控制、用戶行為控制和訪問權(quán)限控制三個(gè)方面。同時(shí),獲取企業(yè)管理層和信息系統(tǒng)管理部門的支持。

　　(二)實(shí)施階段。在該科研生產(chǎn)企業(yè)已經(jīng)建立的信息監(jiān)控系統(tǒng)的基礎(chǔ)上,采取專項(xiàng)審計(jì)的方式,對于企業(yè)的行為監(jiān)控系統(tǒng)、權(quán)限審查系統(tǒng)開展信息系統(tǒng)審計(jì),這也是本次審計(jì)工作的重點(diǎn)。該單位在設(shè)計(jì)信息系統(tǒng)監(jiān)控系統(tǒng)時(shí),采取了B/S結(jié)構(gòu),在終端計(jì)算機(jī)上安裝客戶端,后臺運(yùn)行自動(dòng)記錄用戶行為,利用SQLServer數(shù)據(jù)庫對用戶數(shù)據(jù)進(jìn)行存儲。在SQLServer數(shù)據(jù)庫中,管理各種安全策略、系統(tǒng)運(yùn)行參數(shù)、網(wǎng)絡(luò)客戶端設(shè)備信息、報(bào)警和日志。系統(tǒng)前臺使用WEB瀏覽器方式,進(jìn)行系統(tǒng)策略設(shè)置、系統(tǒng)維護(hù)等操作,各種日志記錄和報(bào)警信息在這里顯示。審計(jì)系統(tǒng)可提供完整的用戶行為日志,該企業(yè)基于日志數(shù)據(jù)開展系統(tǒng)安全策略配置、違規(guī)介質(zhì)使用、病毒情況、信息輸入輸出、文件打印、用戶終端網(wǎng)絡(luò)訪問等審計(jì)工作。審計(jì)人員根據(jù)用戶操作行為日志,綜合應(yīng)用詢問、數(shù)據(jù)采集、穿行測試、控制測試和分析等審計(jì)方法,獲取有效的審計(jì)證據(jù),并對重要發(fā)現(xiàn)及時(shí)與有關(guān)各方溝通。

　　(三)評價(jià)階段。審計(jì)人員根據(jù)審計(jì)發(fā)現(xiàn)和審計(jì)工作底稿撰寫審計(jì)報(bào)告,就完善制度、制度執(zhí)行、系統(tǒng)建設(shè)、安全策略適當(dāng)性等提出審計(jì)建議,提交管理層審批后交信息系統(tǒng)管理部門整改完善。(四)后續(xù)審計(jì)階段。根據(jù)信息系統(tǒng)管理部門整改完成情況,對審計(jì)發(fā)現(xiàn)的缺陷和提出的管理建議進(jìn)行后續(xù)審計(jì)。從近期已實(shí)施的4次審計(jì)情況看,日志數(shù)據(jù)的抽樣異常率從第一次的12%下降到1%。

　　 三、結(jié)束語

　　通過應(yīng)用審計(jì)整改全壽命工作法,組織實(shí)施信息系統(tǒng)專項(xiàng)審計(jì),報(bào)送審計(jì)結(jié)果,督促落實(shí)整改,為完善規(guī)章制度、發(fā)現(xiàn)并減少用戶異常行為,防止非法操作,確保信息系統(tǒng)安全有效運(yùn)行提供了有力的保障,但也對內(nèi)部審計(jì)人員的學(xué)習(xí)能力和信息技術(shù)專業(yè)勝任能力提出了較高要求。利用審計(jì)整改全壽命工作法開展企業(yè)信息系統(tǒng)審計(jì)是一個(gè)不斷探索、改進(jìn)和提高的過程,在諸如如何進(jìn)一步劃分各階段工作界面、如何開展對信息系統(tǒng)其他各業(yè)務(wù)子系統(tǒng)的審計(jì)等方面還需要結(jié)合企業(yè)實(shí)際進(jìn)行進(jìn)一步探索與研究。

【企業(yè)信息審計(jì)的探索與實(shí)踐論文】相關(guān)文章：

教育技術(shù)裝備的實(shí)踐探索論文05-02

兒童校外教育理論與實(shí)踐探索論文12-02

企業(yè)信息系統(tǒng)審計(jì)的研究12-10

內(nèi)部審計(jì)外包實(shí)踐性的論文12-02

審計(jì)論文06-10

審計(jì)論文[經(jīng)典]06-12

針對高校藝術(shù)生入學(xué)教育實(shí)踐與探索論文01-18

遠(yuǎn)程開放教育校企合作的實(shí)踐探索論文12-02

地理教學(xué)中滲透生命教育的實(shí)踐與探索論文11-16