中國石油化工股份有限公司河北石油分公司信息管理部 王昊
信息系統已經滲透到銷售企業(yè)各項工作中的各個方面。它的效率和系統設計給銷售企業(yè)帶來了便利,銷售企業(yè)對計算機信息技術的應用程度越來越高,實現了辦公管理信息化,業(yè)務經營信息化,大大提高了企業(yè)的經營管理水平。與此同時,信息技術就像一把雙刃劍,在帶來經濟效益的同時,也使企業(yè)面臨巨大的風險。為了保證信息技術的安全、可靠,實施有效的IT審計成為銷售企業(yè)一項迫在眉睫的任務。IT審計作為保證信息系統安全、可靠、高效運行的一種審計模式,越來越受到銷售企業(yè)的重視。隨著信息化帶動銷售工作的全面實施,加快銷售企業(yè)信息系統審計的發(fā)展具有重要意義。
IT審計是指對信息系統從計劃、研發(fā)、實施到運維各個環(huán)節(jié)進行審查和評價的活動。信息系統審計的研究對象是企業(yè)的信息系統或信息資產,采用的方法是傳統的審計方法及計算機技術等,其目標是保證IT系統的可用性、安全性、完整性和有效性,最終達到強化企業(yè)信息控制的目的。
隨著信息技術的廣泛應用,為加強管理,銷售企業(yè)在省級公司設立了信息化管理的專職機構——信息管理處,負責全省應用信息系統和網絡信息系統的安全運行管理工作。近年來,為了滿足不斷增長的業(yè)務需求,省市級公司大量購置了各種功能服務器,在應用上主要實現了OA辦公自動化、零售電子賬表管理、非油品銷售管理、IC卡管理、環(huán)境監(jiān)控等功能。
風險控制是指控制風險事件發(fā)生的動因、環(huán)境、條件來減輕風險事件發(fā)生時的損失或降低風險事件發(fā)生的概率。風險無法徹底消除,僅能降低、控制與移轉,對于殘余風險,企業(yè)需自行審視可接受的程度。然而,在進行風險控制活動前,需先進行風險評估,將潛在的弱點與威脅羅列出來,并分析評估矯正的優(yōu)先程序,然后再針對風險,設計有關的預防性、檢查性與糾正性的控制??刂频脑O計,應該參考風險評估后的結果,因此,要形成完整、有效的風險評估報告。不準確的風險評估會影響后續(xù)控制設計,甚至于控制執(zhí)行的落實程度。當風險控制設計完成后,需再次檢視相對應的管理制度與辦法是否足夠滿足控制的目標,倘若現有管理政策文件無法滿足控制目標的要求,應立即進行調整,務必達到與現有作業(yè)機制一致的目標。
目前,隨著企業(yè)經營業(yè)務的發(fā)展對IT的依賴日趨明顯,內部原有業(yè)務和管理風險特征由于信息系統越來越廣泛的運用而出現了變化,業(yè)務對信息系統的依賴性逐步增加,因此必須建立起有效的風險控制體系。從一般信息技術控制環(huán)境到業(yè)務流程中的內部控制環(huán)境,都應將系統控制與人工控制緊密結合。同樣,在銷售企業(yè)信息化建設中,需要管理與控制各種風險,以便達到保護IT投資、維持系統持續(xù)運行的目的。以風險為導向的IT審計是合理規(guī)避IT風險的一種有效途徑,在銷售企業(yè)中舉足輕重。企業(yè)IT風險控制與審計需要在充分考慮企業(yè)IT系統狀況、IT管理結構的基礎上,有效規(guī)避IT風險,為企業(yè)的未來發(fā)展保駕護航。
為保證信息資源的有效利用,降低公司信息系統的整體風險,結合信息系統運維的情況梳理出信息系統清單。透過企業(yè)的經營戰(zhàn)略,自上而下分析企業(yè)的經營風險,確定風險類別和等級,制定信息系統風險統計表。組織審計人員和業(yè)務人員從業(yè)務流程、人員崗位職責和系統三個維度進行風險評估,按照風險評估的結果將信息系統劃分為高、中、低三個風險等級,以此作為未來信息系統審計的次序,并針對三類風險等級的信息系統,制定不同的審計策略,將審計資源的分配向重大風險領域傾斜,以確保審計資源的高效運用,進而形成有步驟、有計劃、有重點的差異化風險導向型IT審計。
信息系統中的數據要真實的反映企業(yè)的生產經營活動。通過直接審計系統中的數據、檢查系統日志、保留不可更改記錄、定期審計等管理手段,確保數據的真實性和完整性。同時也避免了信息不被偶然或蓄意的刪除、修改、偽造、亂序、重放、插入。IT審計要確保審計工作面向信息的安全性,它要求保持信息的原樣,即信息的正確生成、存儲和傳輸。特別在ERP系統中,審計ERP基礎數據規(guī)范情況,對提升ERP系統中信息的質量有著重要作用。
在面對銷售企業(yè)各系統海量數據源審計時,針對海量數據的來源,可以通過兩種方式實現:一是在銷售企業(yè)自有的服務器存儲,經營以及管理業(yè)務會自動生成業(yè)務數據存儲在服務器。二是企業(yè)的數據統一存儲在一個統一的平臺上,企業(yè)需要向這些平臺機構取得跟自己企業(yè)相關的數據。
在實踐中,對于兩種數據源的審計方式我們簡單分析一下:對于第一種數據來源方式,針對銷售企業(yè)自動生成并保管數據,要對企業(yè)數據生成、數據保管、數據轉移、數據修改等企業(yè)的IT環(huán)境和內部控制措施進行核查,目的就是要保證數據從生成到最終審計的整個過程中數據的完整性。對于第二種數據來源方式,需確定平臺的數據生成和管理措施是否完善,企業(yè)從平臺取得數據的過程和方式是否符合內控要求,最后對數據的合理性,準確性進行進一步的分析。
通過現有內控管理制度,各信息流程操作已趨于完善,而信息系統的可靠性——信息系統在遭受非人為因素破壞或人為影響的情況下,是否能夠正常運行,成為審計要點。威脅信息系統可靠性的因素包括自然災害對硬件和環(huán)境的破壞,以及誤操作對軟件和硬件的破壞,在這兩方面的審計過程中,應重點關注以下幾點:
1.審計網絡實施模式
網絡與信息安全息息相關,審計網絡結構、內網接入審批流程、核心網絡設備管理情況可以有效評價企業(yè)的信息安全。在審計網絡實施模式中,重點審計網絡體系架構安全區(qū)域是否相互獨立;區(qū)域邊界部署是否有安全網關設備;全網關設備是否由省公司統一管理;對出入安全區(qū)域的數據是否進行權限控制等。另外,有條件的企業(yè)可以實施內外網分離改造,上網用機與辦公用機隔離,以有效抑制病毒的擴散和傳播。
2.審計權限控制
強化操作權限意識,明細崗位責任,審計要關注運行系統的事件類型、用戶身份、操作時間、系統參數和狀態(tài);系統敏感資源是否進行監(jiān)控和記錄;日志文件是否定期進行安全檢查和評估;是否對系統資源進行分類,并根據用戶級別,限制系統資源的共享和流動。重點關注特權管理,查看系統是否由若干個系統管理員和操作員共同管理,每人是否只具有完成其任務的最少特權,并相互制約,以提高系統安全可靠性。
3.審計異地災備的建設
由于自然災害對硬件和環(huán)境的破壞存在不可控性,其預防措施將直接影響企業(yè)信息安全,而異地災備可以實現關鍵數據自動備份,最大限度地保障信息數據的安全性。因此,對異地災備建設情況的審計也是IT審計的一個重要方面。
在ERP權限審計過程中,重點審計以下內容:權限是否符合業(yè)務部門需求;權限是否被放大;權限是否遵循不相容崗位原則。審計的重點部門,應關注會計人員的權限設置。因為會計人員被分配ERP權限的崗位較多,同時會計人員兼有原始信息錄入和部門間信息核對的職責。
信息化時代,企業(yè)運營需要依賴各種信息系統,IT審計可以避免信息系統的盲目開發(fā)和頻發(fā)故障給企業(yè)帶來的巨大損失。IT審計作為企業(yè)信息化過程中的重要環(huán)節(jié),可以高效管理企業(yè)信息系統的開發(fā)、運行、維護及在整個生命周期中相關的業(yè)務風險,確保信息系統的安全。對企業(yè)信息系統進行IT審計,能夠客觀評價系統對目標的完成程度和企業(yè)的收益程度,并對系統的運行和風險加以控制。IT審計對企業(yè)信息系統整體效能提升影響顯著,是企業(yè)信息化的可靠保證。