電網(wǎng)企業(yè)IT審計(jì)探討

程俊春 羅學(xué)禮

(1.中國南方電網(wǎng)有限責(zé)任公司，廣東 廣州 510000;2.云南電網(wǎng)電力研究院，云南 昆明 650217)

1 前言

從電網(wǎng)技術(shù)發(fā)展和應(yīng)用的角度看，智能電網(wǎng)將是新型現(xiàn)代化電網(wǎng)的建設(shè)方向，信息技術(shù)作為智能電網(wǎng)密不可分的組成部分，地位很重要。信息系統(tǒng)中存在操作軌跡不可見、操作流程缺失、數(shù)據(jù)非法篡改等問題。信息技術(shù)不僅要為主營業(yè)務(wù)風(fēng)險(xiǎn)控制提供保障，其自身的風(fēng)險(xiǎn)控制也應(yīng)進(jìn)一步強(qiáng)化。通過有效的信息系統(tǒng)審計(jì)，電網(wǎng)企業(yè)可以及時(shí)識別IT風(fēng)險(xiǎn)，完善控制措施。

2 IT審計(jì)的概念

IT審計(jì)，也稱作信息系統(tǒng)審計(jì)，是獨(dú)立于信息系統(tǒng)本身、信息系統(tǒng)相關(guān)開發(fā)、使用人員，由審計(jì)機(jī)構(gòu)及審計(jì)人員對信息系統(tǒng)及其相關(guān)的信息技術(shù)內(nèi)部控制和流程開展的一系列綜合檢查、評價(jià)與報(bào)告活動(dòng)。與信息安全相關(guān)的防火墻審計(jì)、安全診斷、信息技術(shù)認(rèn)證以及系統(tǒng)上線評估等均屬于信息系統(tǒng)審計(jì)的范疇。

2.1 電網(wǎng)企業(yè)IT審計(jì)的特點(diǎn)

1)信息系統(tǒng)涉及的業(yè)務(wù)面較廣，不同的業(yè)務(wù)帶來不同行業(yè)的法律規(guī)范要求。

2)信息技術(shù)管理的范圍較廣，復(fù)雜度較高，需遵守各相關(guān)行業(yè)法規(guī)的要求;各下屬公司使用的信息系統(tǒng)存在差異，版本不一致。

3)信息技術(shù)整體規(guī)劃不足，信息技術(shù)管理水平參差不齊。

4)當(dāng)內(nèi)部信息技術(shù)管理資源不足時(shí)選擇信息技術(shù)運(yùn)維外包，如果缺乏對供應(yīng)商的有效監(jiān)控會減弱自身對信息技術(shù)運(yùn)維的控制力。

2.2 電網(wǎng)企業(yè)IT審計(jì)的目標(biāo)

電網(wǎng)企業(yè)IT審計(jì)的目標(biāo)是通過對被審計(jì)單位IT規(guī)劃、建設(shè)、應(yīng)用、服務(wù)以及安全等全方位的審計(jì)，評價(jià)信息化投資效益，充分識別與評估IT風(fēng)險(xiǎn)，達(dá)到強(qiáng)化IT內(nèi)部控制的目的。

3 電網(wǎng)企業(yè)IT審計(jì)標(biāo)準(zhǔn)

1)信息系統(tǒng)審計(jì)與控制協(xié)會發(fā)布的COBIT(Control Object of Information related Technologies)將包含IT基礎(chǔ)設(shè)施、IT應(yīng)用、人員和信息四類要素的IT資源分配到信息系統(tǒng)生命周期的4個(gè)域、34個(gè)流程的控制中，并針對每個(gè)流程依據(jù)包含保密、完整、可靠、合規(guī)、效果、效率、可用等七個(gè)屬性的業(yè)務(wù)目標(biāo)分別定義了各流程的IT控制目標(biāo)及活動(dòng)目標(biāo)。COBIT建議按照業(yè)務(wù)、信息系統(tǒng)整體、IT流程、流程活動(dòng)的順序自上而下的對業(yè)務(wù)目標(biāo)進(jìn)行分解，同時(shí)按照從流程活動(dòng)、IT流程、信息系統(tǒng)整體、業(yè)務(wù)的順序自下而上的進(jìn)行指標(biāo)的衡量，以保證及時(shí)發(fā)現(xiàn)并糾正IT控制中的偏差，確保IT控制與業(yè)務(wù)目標(biāo)的一致性。

2)中國內(nèi)部審計(jì)協(xié)會制定了《內(nèi)部審計(jì)具體準(zhǔn)則第28號——信息系統(tǒng)審計(jì)》，針對信息系統(tǒng)審計(jì)的一般原則、審計(jì)計(jì)劃、風(fēng)險(xiǎn)評估、審計(jì)內(nèi)容等做出了具體規(guī)范。電網(wǎng)企業(yè)在開展IT內(nèi)部審計(jì)時(shí)可參考借鑒其中的審計(jì)內(nèi)容及方法。

4 電網(wǎng)企業(yè)IT審計(jì)步驟

4.1 審計(jì)計(jì)劃階段

審計(jì)計(jì)劃階段需要初步評估被審計(jì)單位信息系統(tǒng)的風(fēng)險(xiǎn)，對信息系統(tǒng)的控制給出初步的評價(jià)，制定審計(jì)實(shí)施方案。IT審計(jì)方案應(yīng)該包括被審計(jì)單位信息系統(tǒng)及內(nèi)部控制現(xiàn)狀分析、審計(jì)依據(jù)、IT審計(jì)的范圍、審計(jì)工作的組織安排、審計(jì)風(fēng)險(xiǎn)評估、實(shí)施時(shí)間計(jì)劃、IT審計(jì)方法以及審計(jì)協(xié)調(diào)與溝通機(jī)制等。

4.2 審計(jì)實(shí)施階段

IT審計(jì)實(shí)施的過程要求識別被審計(jì)單位的控制活動(dòng)，確定審計(jì)程序和測試方案，編制審計(jì)工作底稿。審計(jì)人員應(yīng)根據(jù)既定的審計(jì)方案，結(jié)合專業(yè)知識，判斷被審計(jì)單位是否按照相關(guān)法律法規(guī)、行業(yè)標(biāo)準(zhǔn)以及最佳實(shí)踐的要求設(shè)計(jì)IT控制，并綜合判斷當(dāng)前IT控制能否有效控制信息系統(tǒng)風(fēng)險(xiǎn)。

4.3 審計(jì)報(bào)告階段

審計(jì)報(bào)告需要按照信息系統(tǒng)審計(jì)準(zhǔn)則中有關(guān)審計(jì)報(bào)告的標(biāo)準(zhǔn)要求進(jìn)行撰寫，報(bào)告除了審計(jì)過程的基本信息外，需要包含對被審計(jì)信息系統(tǒng)的IT控制現(xiàn)狀的評價(jià)，以及對被審計(jì)單位改進(jìn)當(dāng)前IT控制提供的建議。

5 電網(wǎng)企業(yè)IT審計(jì)內(nèi)容

5.1 IT治理審計(jì)

主要包括信息部門管理架構(gòu)、信息技術(shù)風(fēng)險(xiǎn)管理與監(jiān)控以及制度建設(shè)等。

5.2 信息系統(tǒng)項(xiàng)目合同及資金審計(jì)招投標(biāo)工作管理

1)查看招投標(biāo)資質(zhì)審查情況;審查招投標(biāo)程序是否合法。

2)審查合同簽訂、執(zhí)行情況。

3)審計(jì)項(xiàng)目資金是否按計(jì)劃支付、是否按計(jì)劃合理使用，結(jié)算款支付是否具備依據(jù)充分的結(jié)算資料和規(guī)范的審批程序。

5.3 IT運(yùn)維審計(jì)

5.3.1 信息系統(tǒng)運(yùn)維審計(jì)

系統(tǒng)正式上線前是否存在正式的交接和審批流程，審查提交材料的完備性，抽查可用性;是否實(shí)施了適當(dāng)?shù)膫浞莺突謴?fù)機(jī)制，確保數(shù)據(jù)和系統(tǒng)能夠在需要時(shí)進(jìn)行恢復(fù);是否對重要業(yè)務(wù)系統(tǒng)/數(shù)據(jù)進(jìn)行定期的恢復(fù)測試，以確保備份數(shù)據(jù)的質(zhì)量和系統(tǒng)的有效;是否對主要業(yè)務(wù)系統(tǒng)的備份介質(zhì)訪問存在包括授權(quán)在內(nèi)的控制等;審查IT服務(wù)流程及IT服務(wù)管理系統(tǒng)的應(yīng)用情況。

5.3.2 IT資產(chǎn)審計(jì)

統(tǒng)計(jì)IT資產(chǎn)情況;對IT涉及的投入、運(yùn)維、資產(chǎn)、耗材等方面的會計(jì)核算按照企業(yè)會計(jì)核算管理辦法進(jìn)行合規(guī)性審計(jì)。

5.4 信息安全審計(jì)

1)是否成立了信息安全機(jī)構(gòu)，是否明確了相關(guān)崗位的職責(zé)要求。

2)對機(jī)房場地、機(jī)房訪問控制、防盜竊和防破壞、防靜電和防雷擊、防火和防水、溫濕度控制、機(jī)房電磁防護(hù)、機(jī)房供電等方面進(jìn)行檢查。核心設(shè)備是否具備熱備冗余能力，是否制定了網(wǎng)絡(luò)設(shè)備的物理訪問控制措施，是否對登陸源進(jìn)行了限制，是否采用SSH、HTTPS安全加密的方式登陸管理，設(shè)備登陸帳號和密碼是否符合帳號、口令管理規(guī)定和密碼定期更換，是否停止空閑的端口(接口)，是否啟用日志審計(jì)功能。

3)是否制定了數(shù)據(jù)訪問控制措施，是否對信息數(shù)據(jù)進(jìn)行分類、分級管理，是否采用加密或其他保護(hù)措施實(shí)現(xiàn)重要數(shù)據(jù)存儲和傳輸安全，是否對磁盤、光盤、U盤和移動(dòng)硬盤等移動(dòng)存儲進(jìn)行安全管理措施，是否對各種信息技術(shù)數(shù)據(jù)資料等使用、審批、登記、報(bào)廢記錄。終端設(shè)備是否定期進(jìn)行了安全漏洞檢測和加固，是否設(shè)立密碼等安全策略。

4)應(yīng)用系統(tǒng)及數(shù)據(jù)庫安全。

5)從安全、可靠、優(yōu)質(zhì)、業(yè)務(wù)連續(xù)性及經(jīng)濟(jì)方面檢查和評價(jià)信息系統(tǒng)項(xiàng)目存在的風(fēng)險(xiǎn)，實(shí)施是否達(dá)到了預(yù)期效果，是否取得相應(yīng)的效益。統(tǒng)計(jì)IT資本性投入、維護(hù)與維修費(fèi)用、運(yùn)行費(fèi)用;審查分析IT設(shè)備的利用情況，各種設(shè)備是否得以充分利用，盡可能提高信息系統(tǒng)的經(jīng)濟(jì)效益;分析各崗位職能和人員的結(jié)構(gòu)組成，是否采取有效措施，以充分調(diào)動(dòng)各崗位人員的積極性，促使他們提高工作效率;通過分析和研究業(yè)務(wù)部門信息系統(tǒng)，是否存在重復(fù)建設(shè)，資源浪費(fèi);檢查系統(tǒng)日志，統(tǒng)計(jì)系統(tǒng)的應(yīng)用情況;統(tǒng)計(jì)主要業(yè)務(wù)系統(tǒng)建設(shè)周期、試運(yùn)行時(shí)間、更新周期;分析業(yè)務(wù)流程的重組與信息技術(shù)的結(jié)合程度。

6 結(jié)束語

隨著信息化建設(shè)與應(yīng)用的不斷深化，控制IT風(fēng)險(xiǎn)、保證信息系統(tǒng)穩(wěn)定運(yùn)行已成為電網(wǎng)企業(yè)緊迫的任務(wù)，這些都要求電網(wǎng)企業(yè)加大對信息系統(tǒng)的審計(jì)力度。目前，各級電網(wǎng)企業(yè)已嘗試開展了IT審計(jì)工作，但仍處于摸索階段，還有很多內(nèi)容和問題需要研究解決。

［1］詹姆斯.A.霍爾.信息系統(tǒng)審計(jì)與鑒證［M］.北京:中信出版社，2003.

［2］孫強(qiáng).信息系統(tǒng)審計(jì):安全、風(fēng)險(xiǎn)管理與控制［M］.北京:機(jī)械工業(yè)出版社，2003.

［3］內(nèi)部審計(jì)具體準(zhǔn)則第28號—信息系統(tǒng)審計(jì)［S］.