党建
随着信息技术的快速发展和国家战略政策的不断推进,企业的业务和财务工作越来越依赖各种信息系统。信息系统完善与否,直接影响到企业业务数据与财务数据质量,进而影响企业整体的运营与管理。自党的十九大提出“以信息化驱动现代化,加快建设数字中国”的目标后,越来越多企业开始寻求“量身定制”的系统开发项目以实现各种流程及相关控制的线上化、自动化和数据完全电子化。信息系统审计通过审查在系统开发、获取与实施过程,并对此进行评估与提出改进意见,增加系统的可依赖性,确保系统能满足企业的经营目标,提高运营效率,同时更好地管控信息系统风险。
系统开发与上线 •系统全面管理(如开发制度、角色分工等) •项目启动、分析和设计(如需求分析、立项审批等) •测试和质量保证(如测试计划、测试范围等) •数据转换(如数据转换计划、转换前后数据核对及差异 跟踪等) •程序实施(如上线审批、版本控制等) •记录和培训(如用户手册/技术文档的更新;对用户的培训等) •职责分离(如开发、测试、生产环境的分离;开发、测试与上线人员职责的分离) • …… 程序变更 •程序维护活动的管理(如变更流程/制度;变更的角色分工等) •变更需求的说明,授权和跟踪(如需求收集、评审等) •测试和质量保证(如功能测试、验收测试等) •程序实施(如发布前评审等) •记录和培训(如用户手册/技术文档的更新;对用户的培训等) •职责分离(如开发、测试、生产环境的分离;开发、测试与上线人员职责的分离等) •…… 计算机运行 •计算机运行总体控制(如计算机运行政策和程序、职责分工等) •批处理(如批处理的设置、定期检查等) •备份与问题管理(如备份策略、备份介质管理、备份恢复测试等) •灾难恢复(如灾备中心的建设;灾备的执行、监督;应急计划的更新及演练等) •…… 程序和数据访问 •安全管理(如应用系统、数据库、操作系统管理员的分离;权限管理及定期复核等) •数据安全(如数据库用户权限管理及定期复核;审计功能及定期审核等) •操作系统安全(如操作系统安全设置;操作系统用户权限管理及定期复核;操作系统审计日志及定期审核等) •网络安全(如网络设计、网络变更、网络安全监控等) •物理安全(如机房安全管理、机房进出管理等) •…… 作者:胡安悦,CISA,CIA,现任普华永道风险与控制服务部经理
目前主流使用的ERP系统,如SAP,Oracle,IFS等系统都可以整合基本的业务功能,且具有高度的扩展性,使得公司部署产品或服务变得轻而易举。然而,这些成熟的ERP系统需要通过供应商或专业且有丰富经验的第三方服务商进行实施,并协助对终端业务用户进行培训。因此,一些大型跨国企业和上市公司,如友邦保险、海康威视、阿迪达斯等均偏向外购这些成熟供应商提供的ERP系统,从而实现数字化转型。而自开发的信息系统也许可以更好地切合业务需求且价格更经济,但系统稳定性、控制风险和后续运维方面都需要更多的关注及人力投入,比较适合中小型企业。
结合多年丰富的系统开发项目实施与管理经验,对通用的信息系统开发一般流程和标准进行了归纳与总结,按照系统各个阶段任务侧重点和一定的规则和步骤,划分为五个阶段:系统规划、系统分析、系统设计与开发、系统测试与实施、系统运行与维护。信息系统审计应当贯穿于系统上线的全流程。在整个项目管理的生命周期中,IT审计师通过审查现有的标准与流程,分析控制环境,评估开发过程中的关键控制点并审查其有效性,确保系统安全、准确、有效与可靠的运行。 
图片来源于摄图网,版权归摄图网所有
信息系统审计将为系统开发项目管理提供有效的控制及保障,包括:在项目开发过程中的关键节点,为管理层提供对项目的进度、质量和实现预计目标的独立评估;在开发周期中,为管理层提供业务流程的内部控制的评估与建议,以降低后续适应流程的成本,从源头上规范相关控制,降低相关风险。在系统上线前设计并满足流程审计的目标,并将集成计算机辅助审核技术(CAATs)作为应用程序设计的一部分,有效减小相关风险。
1
系统规划阶段主要是解决要开发的信息系统“是什么”的问题,即为什么要创建新的信息系统,与老系统相比,新系统的意义是什么;目前主流使用的信息系统哪些优点,新系统与这些系统相比优劣何在。一般来说,新系统可能可以简化业务流程,开发新的功能模块,增强以前缺少的任何控制,并降低间接费用,从而从总体上提高效率和运营效益。系统规划阶段的核心即可行性分析,包括技术可行性,法律可行性,经济可行性等多方面内容。
具体来说,IT审计师协助管理层独立审查信息系统成本效益分析的有效性,检查目前的成本效益分析中是否考虑了除直接归属于新系统开发的各种耗材,人员薪资,原材料等的成本外,还包含了间接归属系统开发过程中的时间,财力,人力,物力等因素。此外,在审查效益测度分析时,IT审计师应结合企业运营的实际情况,使用定性和定量的双重方法,判断投资回报,包括成本降低,库存积压减少,流动资金周转加快,销售利润增加和人力减少等方面。
在审查可行性分析的过程中,IT审计师除考虑成本效益外,同时应将一些影响企业整体发展的维度纳入考量,比如:新系统的建立是否有效降低了企业成本尤其是时间成本,提高了企业的效益;是否成为组织核心竞争力的主要组成,是组织获得竞争优势的工具;是否改善了组织与市场和客户紧密联系的手段和可能;是否对企业的规章制度,代码规范等基础管理产生正面的促进作用,为企业管理提供有力条件。
2
系统分析阶段IT审计师的主要角色为评估系统需求的全面性,完整性及相关控制的有效落实,确保所定义的系统符合用户的实际业务需求。具体任务包括:判断项目的发起和成本是否经过适当的授权审批,审查系统的概念设计是否符合用户需求,评估相关系统分析文档是否定义了适当的控制机制;若涉及第三方供应商,IT审计师还需注意是否存在涵盖项目所有范围及用户需求的招标书等。
3
系统设计与开发阶段主要解决开发信息系统“怎么做”的问题。核心即通过对信息系统的架构,高层结构,程序的运行模式,调用关系,系统划分,接口,代码,输入/输出,模块,数据库、网络等进行整体详尽的设计与审查。系统设计阶段IT审计师的主要角色为确保系统软件的品质,符合用户需求及系统控制的全面性和有效性。具体任务包括:评估系统流程图是否符合总体设计,确认所有的变更均经过适当的授权批准,判断系统中的输入、处理、输出控制是否适当,审查编程规范的一致性,确认关键计算及处理程序的正确性等。 
图片来源于摄图网,版权归摄图网所有
4
系统测试与实施阶段主要解决开发信息系统“如何落地”的问题。核心即通过编码实现程序结构的调试并通过测试发现系统上线前的问题。测试完成进行正式的系统验收及切换后即完成整个系统实施阶段。系统实施阶段IT审计师的主要角色为确保开发中的遗留问题和错误得到及时纠正,保证信息系统的成功及可靠运行。具体任务包括:检查用户测试的相关文档,检查错误报告,进行访问测试,判断系统安全措施是否按设计要求有效执行,审查周期性作业处理如年末报告,审查系统和终端用户文档,判断其完整性与正确性,询问终端客户等。
5
系统运行与维护阶段主要进行对系统错误的维护,开发新功能的维护,适应新的运行环境的维护及预防将来可能出现问题的维护。系统运行与维护阶段IT审计师的主要角色为确保系统能始终保持对业务目标的支持,及时反省存在的问题并得到解决,确保系统的成本效益目标。具体任务包括:判断系统是否达到预期的需求和目标,审查系统中各种资源的利用率,检查系统内部控制机制是否按设计执行,指出系统改进和扩展的方向等。
一、信息系统一般控制控制点举例:
97046009
