中国石油信息系统审计的探索.docVIP

中石油信息系统审计初探 目 录 一、信息系统审计对象的确定 3 二、信息系统审计模式的设想 4 三、信息系统审计与常规审计的结合方式 6 四、信息系统审计标准的选择 7 五、获取信息系统审计证据的主要手段 8 六、对开展好信息系统审计的几点建议 9 摘 要 随着中石油信息化建设的快速推进，现代信息技术在石油行业各个领域的普遍应用，信息系统的可靠性、安全性、完整性已成为内审部门评价内部控制、防范风险的重要目标。本文根据中石油近年来内控测试情况和信息系统审计实务，结合《中国内部审计准则》和企业风险管理，就信息系统审计目标的确定、信息系统审计的模式和方式方法进行了阐述，对中石油今后开展信息系统审计提出了意见和建议。 关键词 信息系统 审计 初探 中石油信息系统审计初探 近几年，随着计算机技术、网络技术和通讯技术的广泛应用与普及，中石油信息化进程也在高速发展，中石油及其所属公司已初步形成了一个人、财、物、供、产、销的信息系统环形链，各项业务高度依赖信息系统，审计工作所面临的工作环境正逐渐由手工环境转变为计算机环境，相关风险评估结果也表明信息系统风险较大，因此开展信息系统审计已迫在眉捷。下面结合近年来内控测试经验和信息系统审计实务，就如何把握中石油信息系统审计的几个关键控制点谈一些粗浅的看法。 　 一、信息系统审计对象的确定 目前中石油及所属公司开发并应用的信息系统涉及到公司的方方面面，以油气田开发企业为例，有勘探生产技术数据管理系统、油气水井生产数据管理系统、油藏数据管理系统、合同管理信息系统、物资供应信息系统、生产运行信息系统、销售信息系统、人力资源ERP系统、财务FMIS7.0系统、资产FA7.0系统、通信业务管理系统、医院信息管理系统、养老和医疗保险信息系统等，对哪些系统先审、哪些系统后审，适应中石油目前的管理体制和信息化建设要求，如何在最佳的时机选择最恰当的审计对象，直接影响着信息系统的审计效果。笔者认为中石油信息系统审计应按《内部审计具体准则第28号—信息系统审计》的要求，在确定信息系统审计项目时，应先选择与公司经营管理密切相关、风险较大的信息系统开展审计，以后逐步推开。具体的说要优先立项财务系统、资产系统、物资系统、人力资源系统等经营风险较大的审计项目，然后再考虑与人、财、物密切相关的、经营风险相对较小的系统进行审计，如销售系统、通信业务管理系统、医院信息管理系统、养老和医疗保险信息系统等，最后全面推开，扩展到勘探、生产信息系统的审计和测试。当然，如果是探索性的开展信息系统审计，也可以本着先易后难的原则，从养老保险信息系统等小系统入手，积累经验后再全面铺开。 二、信息系统审计模式的设想 结合近几年中石油开展的内控体系—信息系统测试、ERP系统运行要求和专项信息系统审计实务，我们认为，中石油信息系统审计模式，可以划分为四个相互联系又独立的板块进行审计和测试。 第一个板块是对等级一信息系统的审计和测试。所谓等级一系统是按COSO控制柜架划分的系统，是在公司范围内普遍使用、对财务报告产生重大影响的应用系统，包括财务FMIS7.0信息系统、资产FA7.0信息系统和资金管理信息系统等，这个板块也是信息系统审计和测试的重点。具体审计时从两个方面入手，一是对信息系统本身的测试，按照中石油《内部控制管理手册》的要求，每年定期开展等级一信息系统总体控制、信息系统应用控制和电子表格控制三方面的测试和审计，评价系统的安全性和有效性，二是在常规财务和资产联网审计中对系统中数据的真实性和可靠性进行确认和评价，检查业务交易的完整性、时效性、合规性。 第二个板块是对人力资源ERP系统的审计。人力资源ERP系统是中石油ERP建设优先推广的一个系统，其人事管理系统和薪酬管理系统是经营管理系统的一个重要组成内容，它通过系统集成，实现了信息的实时共享；通过流程控制，实现了绩效的动态监控；通过系统优化，实现了管理的持续改善。?对该系统的审计，要逐步探索ERP环境下的审计方式方法。一是对信息系统本身的审计。包括对系统的开发与设计、系统的日常维护、系统备份、故障处理方案及风险应对措施等进行审计和测试。二是对系统监控的审计。审查和评价公司及其下属单位是否利用ERP系统进行了业务和绩效的动态监控、发现问题的处理方式、有无监控盲区等。三是对业务流程的审计。包括相关业务是否全面、及时、准确的录入系统，流程是否符合实际，能否进一步优化等。四是对关键控制点的审计。审查关键控制点是否执