如何在发电企业开展信息系统内部审计.docVIP

如何在发电企业开展信息系统内部审计 “信息系统内部审计”是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。发电企业是技术密集型行业，信息系统已在电力建设、生产、经营、管理等各个领域广泛应用。为了保障发电企业所依赖的信息系统的可靠性和安全性，提高数据的完整性和准确性，保证信息技术战略能充分适应企业的战略目标，应定期开展信息系统内部审计活动，评估信息系统存在的技术风险并持续改进。本文在简要介绍信息技术风险的控制要素之后，结合某发电企业的年度信息系统内部审计案例，分析如何在发电企业开展信息系统内部审计，并对内部审计过程中需要关注的事项进行探讨。 　　 　　1 信息技术风险的控制要素 　　 　　信息系统做为一个人工系统，由于受人类思维的限制必然存在漏洞及风险。信息技术风险是指信息系统在运行管理过程中产生的、在一定条件下可能影响企业目标实现的各种不确定因素。 　　 　　常规的信息技术风险控制分为三个方面，此外还可根据实际情况来设计专项审计。 　　 　　（1）组织层面的信息技术控制。企业管理层对信息系统重要性的态度、认识和措施。相关的控制要素包括：控制环境。信息中心组织结构和人员职权分配的变更、用户的信息技术培训等。风险评估。风险管理流程和其执行情况，信息资产管理等。信息与沟通。信息系统中财务相关的业务流程的支持度、信息沟通模式、信息管理制度传达等；监控。监控管理报告系统、内部控制的自测评等。 　　 　　（2）一般性控制层面的信息技术。为确保信息系统持续稳定运行和控制的有效性所使用的信息技术及其相关人员。相关的控制活动包括：系统安全管理。信息安全管理制度，物理访问及身份认证机制，系统设置的职责分离控制等。系统变更管理。系统设置变更的授权与审批，程序变更、测试和移植的流程控制等。系统采购和开发管理。系统开发和采购的授权审批，开发、测试和运行环境分离情况，系统上线的测试、审核、移植控制情况。系统运行管理。信息资产管理、系统物理环境控制，数据备份及恢复管理，问题管理和日常运行管理等。 　　 　　（3）业务流程层面的应用控制。信息系统根据业务流程要求，按数据生成、记录、处理、报告等功能而设计、执行的信息技术控制。相关的数据输入、输出及处理的控制活动如下：授权与批准；系统配置控制；异常和差错报告；数据接口控制；一致性核对；职责分离；系统访问权限；系统计算等。 　　 　　（4）专项审计。除了上述常规的信息技术风险控制内容外，内部审计人员还可以根据当前面临的特殊风险或需求来设计专项审计，例如：信息系统开发实施项目的专项审计；信息系统安全专项审计；信息技术投资专项审计；外包条件下的专项审计等。 　　 　　2 信息系统内部审计的过程 　　 　　开展信息系统内部审计一般分为三个阶段：审计计划阶段、审计实施阶段、审计报告与后续工作阶段。内部审计以风险评估为导向，风险评估贯穿各个阶段。 　　 　　（1）审计计划阶段。首先根据内部审计计划制定书面的《信息系统内部审计方案》，方案应明确审计目标、审计内容的重点及审计程序、估算审计所需的资源以及审计小组成员的职责。例如，某发电企业2010年度《信息系统内部审计实施方案》摘录如下： 　　 　　一、审计目的：“为确保电厂信息系统的相关管理能够满足内控的要求，以满足电厂不断增长的业务需求，对电厂信息系统的安全性、可靠性、提供服务的有效性以及对当前法律法规的遵循性进行评估。” 　　 　　二、审计范围：“内控手册涉及信息系统部分的相关内容。” 　　 　　三、审计主要内容：“以内控手册中的相关要求和规定作为依据，同时参照公司颁布的与信息系统相关的管理制度。审计的主题总体分为如下几个部分：信息系统的控制环境、信息系统的物理安全、网络安全和管理、数据库的备份及恢复、应用系统的使用和管理、单机版及Excel表格、服务器及软件管理、信息系统运行管理。” 　　 　　四、审计时间和审计人员安排（略）。 　　 　　五、需要关注的要点（略）。 　　 　　六、主要审计实施过程（略）。 　　 　　在制定审计方案时应重点关注以下内容：组织架构和信息系统的长短期发展计划；信息系统的关键业务流程和信息系统的复杂程度；信息系统及业务流程的变更情况；以前内部审计中发现的情况。 　　 　　（2）审计实施阶段。在审计实施阶段，内部审计人员用《信息系统内部审计底稿》记录审计成果，包括审计程序、审计发现（事实）和审计结论，以及支持审计结论的审计工作细节及审计证据。在审计过程中获取的数据应有严格的归档措施和必威体育官网网址措施。例如，某发电厂在2010年度信息系统内部审计方案中，将审计的主题分为了八个部分，并据此设计了八份《信息系统内部审计底稿》。以下是《信息系统内部审计底稿》格式样张（见表1）。 　　　　　　 　　（3）