審計的管理及制度一直都是估測企業是否是正常的經濟發展模式,并且審計師由國家授權管理建設的管理部門。同時審計在監督方面也是有對企業經濟管理發展中起到很好的發展措施。信息系統安全防范工作已經成為信息時代的主要問題,對信息系統開展安全審計已經成為審計機關保護國家財政財務安全。
摘要:信息系統審計需要做那些事情才能有效控制資產安全呢?我們要從以下幾個方面著手:1.對系統基礎設施及環境的審計。審計范疇為:硬件環境與防災、主機硬件安全、底層支撐系統安全、通信線路安全、數據存儲/IO安全、物理訪問控制。2.網絡安全審計。
審計論文推薦:《中國內部審計》自1999年創辦以來,積極宣傳黨和國家有關內部審計的方針、政策和法規,詮釋中國內部審計協會發布的內部審計準則,闡釋中國內部審計協會提出的指導內部審計工作的意見;介紹一線內部審計機構及人員開展內部審計工作的成功經驗、做法及技術技巧;宣傳內部審計先進單位和先進個人的優秀事跡;揭示內部審計實際工作存在的問題并探討解決問題的方法和途徑;展示國內外內部審計理論最新研究成果及內部審計人員充滿活力的實踐探索;交流領導重視內部審計、發揮內部審計作用的認識、經驗、做法;及時準確傳輸國內外內部審計最新動態及IIA和CIA資格考試的信息。同時,注重知識性和可讀性,以開拓讀者視野、提高讀者素養。
關鍵詞:信息系統,系統審計,審計模式
伴隨著科技進步和企業管理理念的發展,以計算機技術、通信技術以及網絡技術為主要內容的信息技術在社會各行業的管理中正發揮著越來越重要的作用。無論是企事業單位,還是政府公共服務機構,都越來越依賴于信息系統。信息系統的可靠性、有效性和效率性影響著組織的正常運轉。
與此同時,對信息系統審計的研究和實踐也正不斷發生著變化。從計算機輔助審計到面向系統數據的審計,再到對應用系統的審計,信息系統的審計范圍和領域不斷擴大。目前,對信息系統審計的認識受到較多傳統審計的影響,不少研究人員認為信息系統條審計是傳統審計的補充和延伸,是為傳統審計提供支撐和服務的。但筆者認為,信息系統審計有其自身的特點,是審計的新領域,對信息系統審計的認識和研究要從企業整體風險控制、價值實現以及整個審計體系的角度來重新認識。
一、信息系統審計的內容
從信息系統在組織中所處地位以及信息系統的開發、運行和維護過程分析,信息系統審計應包括對IT治理結構審計等9個方面的主要內容。
1.對IT治理結構與實施的審計。信息技術過去被認為僅僅是企業組織戰略的強化器,而現在被認為是組織戰略的重要組成部分,越來越受到管理層的關注。通過有效使用安全、可靠的信息和適用的技術,IT治理有助于企業獲得成功。因此,在對信息系統審計中,審計人員應首先關注組織的IT治理機構,判斷組織是否做到了IT與業務的融合,并保持目標一致。
應用控制審計是直接針對業務系統根據用戶反饋、用例測試結果、實際業務數據、代碼分析結果發現系統風險及其對業務的直接影響。2.輸入輸出控制審計:輸入控制審計要點:CONTROL TOTALS、多點錄入、終端訪問控制、Session窗口控制。輸出控制審計要點:訪問控制、緩沖區安全、派發路徑安全。3.數據審計。通過直接獲取數據庫數據,對實體完整性、用戶定義完整性、參照完整性、域完整性的驗證,來確認信息應用系統設計和獲取的完整性。 2.對系統開發過程的審計。傳統的系統開發生命周期法(SDLC)仍是目前大多數系統開發的首選方式。審計人員的職責是參與全過程的監督和評價。
3.對系統和運行的審計。信息系統的運行承擔了計算機系統軟件、硬件的日常支持工作。
系統合規性的主要審計內容就是進行代碼審計輔以數據審計,簡單的說就是審計代碼規范性,代碼安全性(例如,在對某商業銀行進行審計過程中發現,由于代碼員的經驗問題,在撰寫計算還款利息時的公式時發生錯誤,導致每筆還款利息多計算1分錢),關鍵處理流程正確性(此處旨在檢查業務邏輯是否符合相關的法律法規以及規章制度),后門、調試與邏輯炸彈,以此來保證系統的正確性和合規性。
4.對應用控制的審計。審計人員應通過對重要應用程序組件和貫穿系統的事務流的識別,審核系統中的事務進入點、處理點和輸出點,以發現控制弱點。一般可以通過審核用戶活動報告和違例報告,以及通過平行作業、整體測試等方法來實現對應用控制的審計。
5.對系統安全策略的審計。隨著組織對信息系統的依賴性越來越強,信息安全問題正變得日益突出,信息資產比傳統資產更容易受到損害。一般而言,為了有效保護信息資產,組織需要建立信息安全管理的一些要素,關鍵的有:高級管理層的承諾與支持、信息安全政策與程序、組織、安全意識與教育、監督與符合性審核、應急處理與響應。
6.對邏輯訪問控制的審計。邏輯訪問控制是通過一定的技術方法去控制用戶可以利用什么樣的信息,可以運行什么樣的程序,可以修改什么樣的數據。這些控制可以內置在操作系統中,通過單獨的訪問控制軟件進行調用;也可以內置在應用系統、數據庫系統和網絡控制設施(實時性能監測)中。
7.對物理訪問控制的審計。物理訪問的暴露可能使企業的業務資源面臨非授權訪問,導致組織受損。組織一般通過使用胸牌、內存卡、門鎖、生物測定設備等限制人員進出機房和數據中心等敏感區域。
8.對環境控制的審計。環境風險可能來自自然災害,還可能來自電力故障、設備故障、溫度、濕度、靜電、恐怖襲擊等方面。
9.業務連續性計劃的審計。業務連續性計劃(BCP)是組織為避免關鍵業務功能中斷,減少業務風險而建立的一個控制過程。一般包括對支持組織關鍵功能的人力、物力需求和關鍵功能所需的最小級別服務水平的連續性保證。BCP的目標就是要把組織的剩余風險和因意外事件產生的風險降到組織可接受的程度。BCP主要包括災難恢復計劃、作業計劃和重建計劃。
二、信息系統審計的策略
1.評估現有審計人員的專業勝任能力,補充完善審計人力資源。“知己知彼”才能有效開展審計項目。前面著重闡述的是審計對象,是“彼”,面對新的審計領域,審計人員自身也需要客觀審視“己”的專業勝任能力。目前,我國內審人員絕大多數來自財務和審計專業,從事IT開發和管理的人員鳳毛麟角,接受過信息系統審計培訓的人員也極少。從9個方面的審計內容看,僅在對IT治理結構和實施以及環境控制審計兩個方面,目前的審計人員能夠基本勝任,其余7個方面都不能完全勝任。這是開展信息系統審計的最大障礙,因此,盡快補充新的審計人力資源是當務之急。
補充完善審計人力資源的途徑有兩個:一是直接招聘有信息系統背景的審計人員;二是簽訂信息系統審計業務外包協議。兩種途徑各有利弊,審計部門負責人可以視具體情況靈活掌握。
2.對現有信息系統的再認識。信息系統是個大系統、大概念,其中包含了眾多小的應用系統。以某市通信公司為例,該公司除了使用了上級統一開發的MSS、CRM、綜合營帳系統和物資管理系統等之外,又結合自身管理需要陸續開發了增值業務系統、中間渠道管理系統等20多個小型管理應用系統。
要對如此龐雜的系統進行審計,審計人員須要對整個信息系統進行有效的歸類整理,劃清生產系統、管理系統和支撐系統等的界限,分析系統與系統之間的相互聯系,識別核心系統與非核心系統,為下一步具體實施審計奠定良好的基礎。
3.制定信息系統審計的長期規劃。信息系統審計的內容繁雜,專業技術性強,有效實施審計不可能“全面開花”,一蹴而就。制定長期規劃十分必要。與其他長期規劃制定工作類似,信息系統審計的長期規劃要與組織的價值目標相一致,需要明確審計的最終目的和任務。規劃時間一般為5年,規劃期內各年的主要任務和重點工作清楚,并對完成規劃所需的人力資源、物質資源等有科學的測算。
4.確定中短期審計目標和重點審計領域。中短期審計目標就是將長期規劃具體化,主要明確今后2到3年內的具體審計項目。這些項目的確定需要注意以下幾個原則:
(1)與組織中短期的經營管理目標一致。
(2)符合長期規劃的步驟。
(3)內容具體,可操作性強。
(4)有相應的考核評價體系。
同時,在具體實施中短期審計計劃過程中,要注意量力而行,對暫時不能完成的長期規劃任務,要及時反饋,適時修訂。
5.協調好自審與業務外包的關系。考慮到人力資源成本、管理專業化以及人類認知的固有局限性,目前國際上通行的信息系統審計方式是采用審計人員與外聘專家共同工作的方式。彼此發揮自身優勢,取長補短。筆者認為,在信息系統審計中,一般不宜采取完全外包的方式,這不利于審計人員專業素質的提升,也不利于組織信息安全管理。通常,在信息系統審計開展的初期,外包審計的范圍可稍大一些,之后,應逐步降低,并保持在適當的比例水平。
日志審計:目的是收集日志,通過SNMP、SYSLOG、OPSEC或者其他的日志接口從各種網絡設備、服務器、用戶電腦、數據庫、應用系統和網絡安全設備中收集日志,進行統一管理、分析和報警。
主機審計:通過在服務器、用戶電腦或其他審計對象中安裝客戶端的方式來進行審計,可達到審計安全漏洞、審計合法和非法或入侵操作、監控上網行為和內容以及向外拷貝文件行為、監控用戶非工作行為等目的。
網絡審計:通過旁路和串接的方式實現對網絡數據包的捕獲,而且進行協議分析和還原,可達到審計服務器、用戶電腦、數據庫、應用系統的審計安全漏洞、合法和非法或入侵操作、監控上網行為和內容、監控用戶非工作行為等目的。
6.建立良好的溝通渠道。同傳統審計一樣,“溝通”在信息系統審計中也顯得十分重要。良好的外部溝通有利于審計人員更為全面地認識信息系統的內在控制過程,有利于審計目標與管理目標的結合,有利于審計結果的落實和執行。
