銷售企業(yè)IT審計的現狀與突破

中國石油化工股份有限公司河北石油分公司信息管理部 王昊

一、引言

信息系統已經滲透到銷售企業(yè)各項工作中的各個方面。它的效率和系統設計給銷售企業(yè)帶來了便利，銷售企業(yè)對計算機信息技術的應用程度越來越高，實現了辦公管理信息化，業(yè)務經營信息化，大大提高了企業(yè)的經營管理水平。與此同時，信息技術就像一把雙刃劍，在帶來經濟效益的同時，也使企業(yè)面臨巨大的風險。為了保證信息技術的安全、可靠，實施有效的IT審計成為銷售企業(yè)一項迫在眉睫的任務。IT審計作為保證信息系統安全、可靠、高效運行的一種審計模式，越來越受到銷售企業(yè)的重視。隨著信息化帶動銷售工作的全面實施，加快銷售企業(yè)信息系統審計的發(fā)展具有重要意義。

二、IT審計概述

IT審計是指對信息系統從計劃、研發(fā)、實施到運維各個環(huán)節(jié)進行審查和評價的活動。信息系統審計的研究對象是企業(yè)的信息系統或信息資產，采用的方法是傳統的審計方法及計算機技術等，其目標是保證IT系統的可用性、安全性、完整性和有效性，最終達到強化企業(yè)信息控制的目的。

三、銷售企業(yè)IT審計

隨著信息技術的廣泛應用，為加強管理，銷售企業(yè)在省級公司設立了信息化管理的專職機構——信息管理處,負責全省應用信息系統和網絡信息系統的安全運行管理工作。近年來，為了滿足不斷增長的業(yè)務需求，省市級公司大量購置了各種功能服務器，在應用上主要實現了OA辦公自動化、零售電子賬表管理、非油品銷售管理、IC卡管理、環(huán)境監(jiān)控等功能。

四、銷售企業(yè)IT審計的突破與提升

（一）根據風險評級，制定差異化的IT審計方案

風險控制是指控制風險事件發(fā)生的動因、環(huán)境、條件來減輕風險事件發(fā)生時的損失或降低風險事件發(fā)生的概率。風險無法徹底消除，僅能降低、控制與移轉，對于殘余風險，企業(yè)需自行審視可接受的程度。然而，在進行風險控制活動前，需先進行風險評估，將潛在的弱點與威脅羅列出來，并分析評估矯正的優(yōu)先程序，然后再針對風險，設計有關的預防性、檢查性與糾正性的控制?？刂频脑O計，應該參考風險評估后的結果，因此，要形成完整、有效的風險評估報告。不準確的風險評估會影響后續(xù)控制設計，甚至于控制執(zhí)行的落實程度。當風險控制設計完成后，需再次檢視相對應的管理制度與辦法是否足夠滿足控制的目標，倘若現有管理政策文件無法滿足控制目標的要求，應立即進行調整，務必達到與現有作業(yè)機制一致的目標。

目前，隨著企業(yè)經營業(yè)務的發(fā)展對IT的依賴日趨明顯，內部原有業(yè)務和管理風險特征由于信息系統越來越廣泛的運用而出現了變化，業(yè)務對信息系統的依賴性逐步增加，因此必須建立起有效的風險控制體系。從一般信息技術控制環(huán)境到業(yè)務流程中的內部控制環(huán)境，都應將系統控制與人工控制緊密結合。同樣，在銷售企業(yè)信息化建設中，需要管理與控制各種風險，以便達到保護IT投資、維持系統持續(xù)運行的目的。以風險為導向的IT審計是合理規(guī)避IT風險的一種有效途徑，在銷售企業(yè)中舉足輕重。企業(yè)IT風險控制與審計需要在充分考慮企業(yè)IT系統狀況、IT管理結構的基礎上，有效規(guī)避IT風險，為企業(yè)的未來發(fā)展保駕護航。

為保證信息資源的有效利用，降低公司信息系統的整體風險，結合信息系統運維的情況梳理出信息系統清單。透過企業(yè)的經營戰(zhàn)略，自上而下分析企業(yè)的經營風險，確定風險類別和等級，制定信息系統風險統計表。組織審計人員和業(yè)務人員從業(yè)務流程、人員崗位職責和系統三個維度進行風險評估，按照風險評估的結果將信息系統劃分為高、中、低三個風險等級，以此作為未來信息系統審計的次序，并針對三類風險等級的信息系統，制定不同的審計策略，將審計資源的分配向重大風險領域傾斜，以確保審計資源的高效運用，進而形成有步驟、有計劃、有重點的差異化風險導向型IT審計。

（二）注重系統內部數據的真實性和完整性

信息系統中的數據要真實的反映企業(yè)的生產經營活動。通過直接審計系統中的數據、檢查系統日志、保留不可更改記錄、定期審計等管理手段，確保數據的真實性和完整性。同時也避免了信息不被偶然或蓄意的刪除、修改、偽造、亂序、重放、插入。IT審計要確保審計工作面向信息的安全性，它要求保持信息的原樣，即信息的正確生成、存儲和傳輸。特別在ERP系統中，審計ERP基礎數據規(guī)范情況，對提升ERP系統中信息的質量有著重要作用。

在面對銷售企業(yè)各系統海量數據源審計時，針對海量數據的來源，可以通過兩種方式實現：一是在銷售企業(yè)自有的服務器存儲，經營以及管理業(yè)務會自動生成業(yè)務數據存儲在服務器。二是企業(yè)的數據統一存儲在一個統一的平臺上，企業(yè)需要向這些平臺機構取得跟自己企業(yè)相關的數據。

在實踐中，對于兩種數據源的審計方式我們簡單分析一下：對于第一種數據來源方式，針對銷售企業(yè)自動生成并保管數據，要對企業(yè)數據生成、數據保管、數據轉移、數據修改等企業(yè)的IT環(huán)境和內部控制措施進行核查，目的就是要保證數據從生成到最終審計的整個過程中數據的完整性。對于第二種數據來源方式，需確定平臺的數據生成和管理措施是否完善，企業(yè)從平臺取得數據的過程和方式是否符合內控要求，最后對數據的合理性，準確性進行進一步的分析。

（三）利用可靠性檢查評估系統安全

通過現有內控管理制度，各信息流程操作已趨于完善，而信息系統的可靠性——信息系統在遭受非人為因素破壞或人為影響的情況下，是否能夠正常運行，成為審計要點。威脅信息系統可靠性的因素包括自然災害對硬件和環(huán)境的破壞，以及誤操作對軟件和硬件的破壞，在這兩方面的審計過程中，應重點關注以下幾點：

1.審計網絡實施模式

網絡與信息安全息息相關，審計網絡結構、內網接入審批流程、核心網絡設備管理情況可以有效評價企業(yè)的信息安全。在審計網絡實施模式中，重點審計網絡體系架構安全區(qū)域是否相互獨立；區(qū)域邊界部署是否有安全網關設備；全網關設備是否由省公司統一管理；對出入安全區(qū)域的數據是否進行權限控制等。另外，有條件的企業(yè)可以實施內外網分離改造，上網用機與辦公用機隔離，以有效抑制病毒的擴散和傳播。

2.審計權限控制

強化操作權限意識，明細崗位責任，審計要關注運行系統的事件類型、用戶身份、操作時間、系統參數和狀態(tài)；系統敏感資源是否進行監(jiān)控和記錄；日志文件是否定期進行安全檢查和評估；是否對系統資源進行分類，并根據用戶級別，限制系統資源的共享和流動。重點關注特權管理，查看系統是否由若干個系統管理員和操作員共同管理，每人是否只具有完成其任務的最少特權，并相互制約，以提高系統安全可靠性。

3.審計異地災備的建設

由于自然災害對硬件和環(huán)境的破壞存在不可控性，其預防措施將直接影響企業(yè)信息安全，而異地災備可以實現關鍵數據自動備份，最大限度地保障信息數據的安全性。因此，對異地災備建設情況的審計也是IT審計的一個重要方面。

在ERP權限審計過程中，重點審計以下內容：權限是否符合業(yè)務部門需求；權限是否被放大；權限是否遵循不相容崗位原則。審計的重點部門，應關注會計人員的權限設置。因為會計人員被分配ERP權限的崗位較多，同時會計人員兼有原始信息錄入和部門間信息核對的職責。

五、結束語

信息化時代，企業(yè)運營需要依賴各種信息系統，IT審計可以避免信息系統的盲目開發(fā)和頻發(fā)故障給企業(yè)帶來的巨大損失。IT審計作為企業(yè)信息化過程中的重要環(huán)節(jié)，可以高效管理企業(yè)信息系統的開發(fā)、運行、維護及在整個生命周期中相關的業(yè)務風險，確保信息系統的安全。對企業(yè)信息系統進行IT審計，能夠客觀評價系統對目標的完成程度和企業(yè)的收益程度，并對系統的運行和風險加以控制。IT審計對企業(yè)信息系統整體效能提升影響顯著，是企業(yè)信息化的可靠保證。