關于科研生產企業信息系統審計的探索與實踐

（中國電子科技集團公司第28研究所 江蘇南京210007）

一、前言

科研生產企業內部管理中綜合集成了各種信息系統，涵蓋R&D管理、過程管理、質量管理、產品管理、財務管理和綜合管理等多個方面。為了適應科研生產管理高度信息化的環境，推動信息系統審計勢在必行。

2008年財政部等五部委聯合發布的《企業內部控制基本規范》指出：“企業應當加強對信息系統開發與維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網絡安全等方面的控制，保證信息系統安全穩定運行”。2011年出臺的《審計署“十二五”審計工作發展規劃》指出，要“積極開展信息系統審計”，以實現控制目標。科研生產企業自身高度的信息化應用需要，要求內部審計部門運用信息技術開展信息系統審計，評價組織關于信息技術的管理目標是否實現。內審部門應對龐大的“待審計業務數據”進行挖掘、分析、判斷、評價和鑒定，發揮其在防范風險、強化管理和提供增值服務中的作用。

目前，國內外先后發布了不同成熟度的信息系統審計相關文件，為開展信息系統審計提供了幫助和指引。國內主要包括兩項準則，一是2008年中國內部審計協會頒布的《內部審計具體準則第28號——信息系統審計》，為內部審計機構及人員開展信息系統審計活動提供指引；二是審計署2010年頒布的《中華人民共和國國家審計準則》（第8號令）中與信息系統檢查和審計相關的若干條款。國外以信息系統審計和控制聯合會（ISACA）制訂發布的信息系統審計和評價標準（COBIT）最為典型，該文件包括審計標準、審計指南和作業程序三個部分，指導組織有效地利用信息資源和管理與信息相關的風險。

目前，國內關于科研生產企業開展信息系統審計的研究較少，希望本文的方法和思路能起到拋磚引玉的作用。

二、基于PDCA循環的審計整改全壽命工作法

（一）方法的提出。PDCA循環理論由休哈特提出，是全面質量管理的基本方法，也稱為“戴明環”，包括計劃、實施、檢查和處置四個階段，適用于任何有目的有過程的活動。本文借鑒PDCA循環的思想，提出審計整改全壽命工作法，設定審計計劃、審計實施、審計評價、后續審計四個閉合循環的階段，審計質量控制貫穿全過程，具體內容如圖1所示。

圖1 審計整改全壽命工作法

（二）方法的應用思路。

1.審計計劃階段。主要包括審前調查、信息系統基本情況的收集和信息系統相關制度文件的審閱等。此外，還應依據計劃編制詳細的信息系統審計工作方案，確定審計內容、步驟、方法，制定并送達審計通知書等。在本階段，相關責任人要全程監督審計工作安排，審核審計工作方案是否滿足審計目標要求，了解并考慮企業戰略目標、信息技術的依賴程度、信息技術管理的組織架構、信息系統框架、信息系統及其支持的業務流程的變更情況、信息系統的復雜程度等特定內容。

2.審計實施階段。完整的信息系統審計通常涵蓋三個層面：一是組織層面信息技術控制，指企業管理層對信息技術治理職能及內部控制的重要性的態度、認識和措施，審計人員要關注與信息系統相關的控制環境、風險評估、信息與溝通、監控四個方面的控制要素；二是信息技術一般性控制，指與網絡、操作系統、數據庫、應用系統及其相關人員有關的信息技術政策和措施，審計中應考慮信息安全管理、系統變更管理、系統開發和采購管理、系統運行管理有關的控制活動；三是業務流程層面相關應用控制，指在業務流程層面為了合理保證應用系統準確、完整、及時完成業務數據的生成、記錄、處理、報告等功能而設計、執行的信息技術控制，審計中應考慮與數據輸入、數據處理以及數據輸出環節相關的控制活動。審計過程中，可以綜合采用詢問、觀察、審閱文件和報告、通過穿行測試追蹤交易在信息系統中的處理過程、驗證系統控制和計算邏輯、登錄信息系統進行系統查詢等審計方法。信息系統審計的項目負責人應當既具有IT背景又具有內審專業技能，在實施審計過程中建立審計復核機制，檢查審計底稿和相關證據，掌控項目進度，確保審計工作質量和效率。

3.審計評價階段。進行評估時，獲取的審計證據必須充分可靠相關，以支持審計結論。審計人員運用專業判斷，對審計證據進行分析、撰寫征求意見稿、征求有關部門意見、形成審計報告、下達審計意見或審計建議書。審計報告作為審計的最終結果非常重要，審計項目負責人要從重要性和增值性兩個方面認真討論確定審計報告，保證審計報告的高質量。重要性指審計發現對企業內部控制的影響程度；增值性指審計建議是否恰當、有意義，是否有助于提高審計對象效率效果。

4.后續審計階段。即對信息系統審計已報告的缺陷和建議所采取行動的完整性、效果性和時效性跟蹤檢查的過程。一般和下一次信息系統審計融合在一起進行，從而形成審計流程的閉合式循環。審計結果整改情況應納入企業績效考評體系，保證審計整改工作質量。

三、應用審計整改全壽命工作法開展信息系統審計的實踐

某科研生產企業信息化程度較高，目前使用的信息系統為涉密信息系統，有上千個終端用戶，數百個業務工作流程，數十個業務系統，采取單點登陸、統一身份認證，部署相關審計系統的方式運行。由于該信息系統涉密等級較高，用戶數較多，系統組成復雜，對開展信息系統審計提出了較高要求。本文按照審計整改全壽命工作法的工作思路，進行了信息系統審計的實踐和探索。

（一）計劃階段。由具有信息系統研發背景和高級工程師資格的專家擔任組長，并從企業內部信息技術部門抽調專家，組建一支包括信息技術及內部審計人員在內的專業隊伍。該科研生產企業建立了比較完備的信息系統管理體系，對信息系統安全運行和管理有明確具體的要求。審前組織學習研究該企業的信息系統管理制度、行為規范制度、安全控制策略、內部控制制度體系等文件，將這些制度的相關要求作為審計依據，制定信息系統專項審計工作方案。明確重點審計內容為對信息系統的邏輯訪問與物理安全控制，包括系統輸入控制、用戶行為控制和訪問權限控制三個方面。同時，獲取企業管理層和信息系統管理部門的支持。

（二）實施階段。在該科研生產企業已經建立的信息監控系統的基礎上，采取專項審計的方式，對于企業的行為監控系統、權限審查系統開展信息系統審計，這也是本次審計工作的重點。該單位在設計信息系統監控系統時，采取了B/S結構，在終端計算機上安裝客戶端，后臺運行自動記錄用戶行為，利用SQL Server數據庫對用戶數據進行存儲。在SQL Server數據庫中，管理各種安全策略、系統運行參數、網絡客戶端設備信息、報警和日志。系統前臺使用WEB瀏覽器方式，進行系統策略設置、系統維護等操作，各種日志記錄和報警信息在這里顯示。審計系統可提供完整的用戶行為日志，該企業基于日志數據開展系統安全策略配置、違規介質使用、病毒情況、信息輸入輸出、文件打印、用戶終端網絡訪問等審計工作。審計人員根據用戶操作行為日志，綜合應用詢問、數據采集、穿行測試、控制測試和分析等審計方法，獲取有效的審計證據，并對重要發現及時與有關各方溝通。

（三）評價階段。審計人員根據審計發現和審計工作底稿撰寫審計報告，就完善制度、制度執行、系統建設、安全策略適當性等提出審計建議，提交管理層審批后交信息系統管理部門整改完善。

（四）后續審計階段。根據信息系統管理部門整改完成情況，對審計發現的缺陷和提出的管理建議進行后續審計。從近期已實施的4次審計情況看，日志數據的抽樣異常率從第一次的12%下降到1%。

四、結束語

通過應用審計整改全壽命工作法，組織實施信息系統專項審計，報送審計結果，督促落實整改，為完善規章制度、發現并減少用戶異常行為，防止非法操作，確保信息系統安全有效運行提供了有力的保障，但也對內部審計人員的學習能力和信息技術專業勝任能力提出了較高要求。利用審計整改全壽命工作法開展企業信息系統審計是一個不斷探索、改進和提高的過程，在諸如如何進一步劃分各階段工作界面、如何開展對信息系統其他各業務子系統的審計等方面還需要結合企業實際進行進一步探索與研究。