電網(wǎng)企業(yè)IT審計探討

程俊春 羅學(xué)禮

(1.中國南方電網(wǎng)有限責(zé)任公司，廣東 廣州 510000;2.云南電網(wǎng)電力研究院，云南 昆明 650217)

1 前言

從電網(wǎng)技術(shù)發(fā)展和應(yīng)用的角度看，智能電網(wǎng)將是新型現(xiàn)代化電網(wǎng)的建設(shè)方向，信息技術(shù)作為智能電網(wǎng)密不可分的組成部分，地位很重要。信息系統(tǒng)中存在操作軌跡不可見、操作流程缺失、數(shù)據(jù)非法篡改等問題。信息技術(shù)不僅要為主營業(yè)務(wù)風(fēng)險控制提供保障，其自身的風(fēng)險控制也應(yīng)進一步強化。通過有效的信息系統(tǒng)審計，電網(wǎng)企業(yè)可以及時識別IT風(fēng)險，完善控制措施。

2 IT審計的概念

IT審計，也稱作信息系統(tǒng)審計，是獨立于信息系統(tǒng)本身、信息系統(tǒng)相關(guān)開發(fā)、使用人員，由審計機構(gòu)及審計人員對信息系統(tǒng)及其相關(guān)的信息技術(shù)內(nèi)部控制和流程開展的一系列綜合檢查、評價與報告活動。與信息安全相關(guān)的防火墻審計、安全診斷、信息技術(shù)認(rèn)證以及系統(tǒng)上線評估等均屬于信息系統(tǒng)審計的范疇。

2.1 電網(wǎng)企業(yè)IT審計的特點

1)信息系統(tǒng)涉及的業(yè)務(wù)面較廣，不同的業(yè)務(wù)帶來不同行業(yè)的法律規(guī)范要求。

2)信息技術(shù)管理的范圍較廣，復(fù)雜度較高，需遵守各相關(guān)行業(yè)法規(guī)的要求;各下屬公司使用的信息系統(tǒng)存在差異，版本不一致。

3)信息技術(shù)整體規(guī)劃不足，信息技術(shù)管理水平參差不齊。

4)當(dāng)內(nèi)部信息技術(shù)管理資源不足時選擇信息技術(shù)運維外包，如果缺乏對供應(yīng)商的有效監(jiān)控會減弱自身對信息技術(shù)運維的控制力。

2.2 電網(wǎng)企業(yè)IT審計的目標(biāo)

電網(wǎng)企業(yè)IT審計的目標(biāo)是通過對被審計單位IT規(guī)劃、建設(shè)、應(yīng)用、服務(wù)以及安全等全方位的審計，評價信息化投資效益，充分識別與評估IT風(fēng)險，達(dá)到強化IT內(nèi)部控制的目的。

3 電網(wǎng)企業(yè)IT審計標(biāo)準(zhǔn)

1)信息系統(tǒng)審計與控制協(xié)會發(fā)布的COBIT(Control Object of Information related Technologies)將包含IT基礎(chǔ)設(shè)施、IT應(yīng)用、人員和信息四類要素的IT資源分配到信息系統(tǒng)生命周期的4個域、34個流程的控制中，并針對每個流程依據(jù)包含保密、完整、可靠、合規(guī)、效果、效率、可用等七個屬性的業(yè)務(wù)目標(biāo)分別定義了各流程的IT控制目標(biāo)及活動目標(biāo)。COBIT建議按照業(yè)務(wù)、信息系統(tǒng)整體、IT流程、流程活動的順序自上而下的對業(yè)務(wù)目標(biāo)進行分解，同時按照從流程活動、IT流程、信息系統(tǒng)整體、業(yè)務(wù)的順序自下而上的進行指標(biāo)的衡量，以保證及時發(fā)現(xiàn)并糾正IT控制中的偏差，確保IT控制與業(yè)務(wù)目標(biāo)的一致性。

2)中國內(nèi)部審計協(xié)會制定了《內(nèi)部審計具體準(zhǔn)則第28號——信息系統(tǒng)審計》，針對信息系統(tǒng)審計的一般原則、審計計劃、風(fēng)險評估、審計內(nèi)容等做出了具體規(guī)范。電網(wǎng)企業(yè)在開展IT內(nèi)部審計時可參考借鑒其中的審計內(nèi)容及方法。

4 電網(wǎng)企業(yè)IT審計步驟

4.1 審計計劃階段

審計計劃階段需要初步評估被審計單位信息系統(tǒng)的風(fēng)險，對信息系統(tǒng)的控制給出初步的評價，制定審計實施方案。IT審計方案應(yīng)該包括被審計單位信息系統(tǒng)及內(nèi)部控制現(xiàn)狀分析、審計依據(jù)、IT審計的范圍、審計工作的組織安排、審計風(fēng)險評估、實施時間計劃、IT審計方法以及審計協(xié)調(diào)與溝通機制等。

4.2 審計實施階段

IT審計實施的過程要求識別被審計單位的控制活動，確定審計程序和測試方案，編制審計工作底稿。審計人員應(yīng)根據(jù)既定的審計方案，結(jié)合專業(yè)知識，判斷被審計單位是否按照相關(guān)法律法規(guī)、行業(yè)標(biāo)準(zhǔn)以及最佳實踐的要求設(shè)計IT控制，并綜合判斷當(dāng)前IT控制能否有效控制信息系統(tǒng)風(fēng)險。

4.3 審計報告階段

審計報告需要按照信息系統(tǒng)審計準(zhǔn)則中有關(guān)審計報告的標(biāo)準(zhǔn)要求進行撰寫，報告除了審計過程的基本信息外，需要包含對被審計信息系統(tǒng)的IT控制現(xiàn)狀的評價，以及對被審計單位改進當(dāng)前IT控制提供的建議。

5 電網(wǎng)企業(yè)IT審計內(nèi)容

5.1 IT治理審計

主要包括信息部門管理架構(gòu)、信息技術(shù)風(fēng)險管理與監(jiān)控以及制度建設(shè)等。

5.2 信息系統(tǒng)項目合同及資金審計招投標(biāo)工作管理

1)查看招投標(biāo)資質(zhì)審查情況;審查招投標(biāo)程序是否合法。

2)審查合同簽訂、執(zhí)行情況。

3)審計項目資金是否按計劃支付、是否按計劃合理使用，結(jié)算款支付是否具備依據(jù)充分的結(jié)算資料和規(guī)范的審批程序。

5.3 IT運維審計

5.3.1 信息系統(tǒng)運維審計

系統(tǒng)正式上線前是否存在正式的交接和審批流程，審查提交材料的完備性，抽查可用性;是否實施了適當(dāng)?shù)膫浞莺突謴?fù)機制，確保數(shù)據(jù)和系統(tǒng)能夠在需要時進行恢復(fù);是否對重要業(yè)務(wù)系統(tǒng)/數(shù)據(jù)進行定期的恢復(fù)測試，以確保備份數(shù)據(jù)的質(zhì)量和系統(tǒng)的有效;是否對主要業(yè)務(wù)系統(tǒng)的備份介質(zhì)訪問存在包括授權(quán)在內(nèi)的控制等;審查IT服務(wù)流程及IT服務(wù)管理系統(tǒng)的應(yīng)用情況。

5.3.2 IT資產(chǎn)審計

統(tǒng)計IT資產(chǎn)情況;對IT涉及的投入、運維、資產(chǎn)、耗材等方面的會計核算按照企業(yè)會計核算管理辦法進行合規(guī)性審計。

5.4 信息安全審計

1)是否成立了信息安全機構(gòu)，是否明確了相關(guān)崗位的職責(zé)要求。

2)對機房場地、機房訪問控制、防盜竊和防破壞、防靜電和防雷擊、防火和防水、溫濕度控制、機房電磁防護、機房供電等方面進行檢查。核心設(shè)備是否具備熱備冗余能力，是否制定了網(wǎng)絡(luò)設(shè)備的物理訪問控制措施，是否對登陸源進行了限制，是否采用SSH、HTTPS安全加密的方式登陸管理，設(shè)備登陸帳號和密碼是否符合帳號、口令管理規(guī)定和密碼定期更換，是否停止空閑的端口(接口)，是否啟用日志審計功能。

3)是否制定了數(shù)據(jù)訪問控制措施，是否對信息數(shù)據(jù)進行分類、分級管理，是否采用加密或其他保護措施實現(xiàn)重要數(shù)據(jù)存儲和傳輸安全，是否對磁盤、光盤、U盤和移動硬盤等移動存儲進行安全管理措施，是否對各種信息技術(shù)數(shù)據(jù)資料等使用、審批、登記、報廢記錄。終端設(shè)備是否定期進行了安全漏洞檢測和加固，是否設(shè)立密碼等安全策略。

4)應(yīng)用系統(tǒng)及數(shù)據(jù)庫安全。

5)從安全、可靠、優(yōu)質(zhì)、業(yè)務(wù)連續(xù)性及經(jīng)濟方面檢查和評價信息系統(tǒng)項目存在的風(fēng)險，實施是否達(dá)到了預(yù)期效果，是否取得相應(yīng)的效益。統(tǒng)計IT資本性投入、維護與維修費用、運行費用;審查分析IT設(shè)備的利用情況，各種設(shè)備是否得以充分利用，盡可能提高信息系統(tǒng)的經(jīng)濟效益;分析各崗位職能和人員的結(jié)構(gòu)組成，是否采取有效措施，以充分調(diào)動各崗位人員的積極性，促使他們提高工作效率;通過分析和研究業(yè)務(wù)部門信息系統(tǒng)，是否存在重復(fù)建設(shè)，資源浪費;檢查系統(tǒng)日志，統(tǒng)計系統(tǒng)的應(yīng)用情況;統(tǒng)計主要業(yè)務(wù)系統(tǒng)建設(shè)周期、試運行時間、更新周期;分析業(yè)務(wù)流程的重組與信息技術(shù)的結(jié)合程度。

6 結(jié)束語

隨著信息化建設(shè)與應(yīng)用的不斷深化，控制IT風(fēng)險、保證信息系統(tǒng)穩(wěn)定運行已成為電網(wǎng)企業(yè)緊迫的任務(wù)，這些都要求電網(wǎng)企業(yè)加大對信息系統(tǒng)的審計力度。目前，各級電網(wǎng)企業(yè)已嘗試開展了IT審計工作，但仍處于摸索階段，還有很多內(nèi)容和問題需要研究解決。

［1］詹姆斯.A.霍爾.信息系統(tǒng)審計與鑒證［M］.北京:中信出版社，2003.

［2］孫強.信息系統(tǒng)審計:安全、風(fēng)險管理與控制［M］.北京:機械工業(yè)出版社，2003.

［3］內(nèi)部審計具體準(zhǔn)則第28號—信息系統(tǒng)審計［S］.