中冶賽迪集團信息系統審計流程與方法回顧論文

中冶賽迪集團信息系統審計流程與方法回顧論文

　　案例背景

　　中冶賽迪集團有限公司（以下簡稱賽迪集團）是世界500強企業--中國冶金科工集團旗下的國有大型科技型工程技術企業，是集應用技術研發、經濟技術咨詢、規劃設計、工程總承包、成套裝備、工程監理、技術服務于一體的工程技術服務集團，也是國內第一家完全數字化的工程技術服務集團，下設 18個職能部門，擁有中冶賽迪工程技術股份有限公司（以下簡稱賽迪股份公司）等21家全資或控股子公司。中冶賽迪核心信息系統（以下簡稱CCIS 系統）是賽迪集團信息化建設的主要平臺，是以 Oracle ERP系統為核心組件搭建的信息化系統。該系統以項目為導向和核心，覆蓋了企業價值鏈，為項目管理提供全生命周期的信息化支撐。該系統于2008年12月上線投用至今，除涉及海外、物業管理以及房地產等業務的4家子公司尚未上線外，其余17家子公司均已成功上線投用。此外，為了持續優化完善該系統，賽迪集團于2010年投資設立了中冶賽迪重慶信息技術有限公司（以下簡稱賽迪信息公司），對系統進行功能運維和優化提升。

　　CCIS 系統對賽迪集團規范日常運營管理、提升管理效率，維護信息的正常流轉，增強市場競爭力起到了積極作用。由于經營管理活動對該系統依賴性極高，系統可靠性、穩定性、安全性、完整性及準確性顯得尤為重要。賽迪集團審計部作為內部監督部門，著眼于信息化環境下公司面臨的新的風險點，于 2012 年開始組織具有IT背景的審計人員研究探索信息系統審計，對 CCIS 系統內部控制及流程進行審查和評價，提出相關管理建議，促進公司提升信息化水平。鑒于 CCIS 系統十分龐大復雜、實施信息系統審計的經驗不足等情況，審計部充分調研，確立了分模塊、分系統，逐項探索和突破的審計思路。通過近3年的探索和總結，截至 2014 年底，共開展信息系統審計項目5項；發布實施了《信息系統審計工作規定》；提升了人員素質，審計部共7人，全員擁有CIA資格，1人擁有CISA（國際注冊信息系統審計師）資格，注冊會計師 1 人，此外還擁有一級建造師、造價師等資格。

　　BI系統是與CCIS Portal界面及Oracle數據庫相互集成，通過信息挖掘、分析、查詢和報表的形式為管理層決策提供立體式數據服務的商務智能系統，其基礎組件主要包括BIEE 基礎服務、服務器以及數據抽取工具等。該系統是賽迪集團在凱捷咨詢（中國）公司的指導下自行開發的，包含經營總覽、項目管理、采購管理、費用控制等12個功能模塊。2009 年 5 月開始搭建，同年 12 月上線投用。審計時，該系統已運用到賽迪股份等4家子公司。BI系統作為向管理層提供決策數據服務的工具，其數據準確性、有用性直接關系到管理層決策的正確性和效率，如項目預算執行情況預警及控制等。

　　賽迪股份公司作為賽迪集團的核心子公司，致力于為鋼鐵行業提供全流程服務，為工程項目提供全功能、全生命周期服務，率先投用了BI 系統。在對賽迪股份工程項目的審計過程中發現，BI 系統項目管理模塊數據與 CCIS 中 ERP 系統財務模塊存在不一致的情況。審計部高度重視這一情況，以風險導向為原則，對賽迪股份BI系統在項目管理的應用情況進行審計，將其納入 2013年度審計計劃，向集團董事會報批后實施。

　　本項目審計目標是對BI系統的內部控制和流程進行審查與評價，為持續優化完善 BI 系統內部控制流程提出具有可操作性的建議，有效提升 BI 系統的可靠性、穩定性、安全性及數據處理的完整性和準確性，增強系統的普及率和使用率；強化 CCIS 系統災難恢復計劃的持續有效性。

　　審計過程及方法

　　（一）審計思路

　　本項目兼具信息系統一般控制審計和應用控制審計的特點。為了實現前述審計目標，審計小組擬定了以下審計思路：

　　1.收集相關資料，熟悉BI系統基本架構、主要功能、業務流程以及其與CCIS系統中其他模塊或子系統間的邏輯關系等。

　　2.風險評估，確定審計范圍和重點。

　　3.梳理審計重點，從一般控制與應用控制兩個層面深入開展審計工作，確定重點審計內容。

　　（二）審計過程

　　1.精心組織，周密安排。針對信息系統審計內容涉及面廣、開展難度較大等特點，審計部高度重視，積極協調溝通，得到了賽迪集團信息化建設主管領導的大力支持，要求相關部門及人員積極配合審計工作，為審計工作的順利開展提供有力支持。本項目審計組織情況見表 1.

　　2.前期準備工作。

　　（1）主審申請并開通 BI 系統訪問賬戶及權限。

　　（2）詳細閱讀 BI系統項目管理模塊設計功能說明書、解決方案及應用速讀手冊（操作手冊）等文件；賽迪信息公司開發人員提供該系統項目管理模塊的功能說明書及應用速讀手冊（操作手冊）共 41 份。

　　（3）梳理BI系統與CCIS其他子系統或模塊間的關鍵接口或控制點及其基本架構。BI系統基本架構見圖1,CCIS系統各模塊間的關系見圖2.據此，審計小組確定BI系統數據輸入來源于EBS ERP 系統，與其他子系統的關聯較少，其關鍵控制點在于數據抽取工作流抽取邏輯是否正確完備；BI 系統屬于 CCIS 系統中的子系統，屬于 CCIS 災難恢復計劃的一部分，且不可分離。

　　3.風險評估，確立審計范圍。本項目以風險為導向，確立審計范圍和審計重點，風險評估工作可概括為以下幾個方面：

　　（1）利用工程項目審計等其他工作成果，梳理以前審計過程中發現的與BI系統相關的問題。

　　（2）對 BI 系統使用人員進行訪談調研，發現該系統在使用過程中存在的問題或不足之處。

　　（3）進一步對賽迪信息BI系統開發人員進行訪談，全面了解 BI系統項目管理模塊的各項功能、數據處理邏輯、與CCIS其他子系統間的數據傳輸邏輯、日常運維中經常出現的問題等，收集功能說明書等文本資料。

　　（4）結合公司領導對信息系統審計的要求，將公司災難恢復計劃的有效性等納入審計范圍。根據上述幾個方面的工作，結合賽迪股份公司主營業務特點，審計小組從信息系統一般控制和應用控制兩個層面確立了審計重點內容。

　　一般控制層面重點關注：（1）BI 系統軟、硬件等基礎設施管理情況。

　　（2）物理訪問控制制度建立健全及執行情況。

　　（3）與 BI 系統相關規章制度建立健全及執行情況。

　　（4）CCIS 系統災難恢復計劃建立及有效性測試管理情況。應用控制層面重點關注：

　　（1）BI 系統對公司業務需求支持情況。

　　（2）數據抽取工作流抽取邏輯設計及運行情況。

　　（3）BI系統邏輯訪問控制情況。

　　（三）審計方法及發現的問題

　　1 .訪談與問卷調查結果相結合，確定審計重點。在審前調查中，通過對系統關鍵使用者（如項目管理部部長、費用控制與合同管理部部長等）進行訪談了解到，BI系統項目管理模塊使用率較低，其原因可能在于：一是部分數據不準確，與ERP 系統中項目管理、財務等模塊數據不一致，這可能是影響其使用率的主要原因。二是應得收入、承諾全成本等部分指標可理解性差。三是針對用戶的有效培訓不足，致使部分客戶不了解該系統的基本功能或對此知之甚少，進而影響了系統的使用率。審計小組據此設計調查問卷，有針對性地對賽迪股份公司部分使用者（主要是項目經理及中層管理人員以上人員）進行問卷調查，佐證了上述問題，明確了數據的準確性是影響BI系統使用率的主要原因，并將該問題納入審計重點。

　　2.從具體項目著手，全面梳理BI 系統數據抽取工作流數據處理邏輯，核查 BI 系統數據準確性。通過閱讀功能說明書以及向開發人員進行訪談等方法全面了解BI系統中數據抽取及處理邏輯后，審計小組抽取了實際運行的兩個典型的工程項目逐項核查項目管理及業務數據，查找差異，并在開發人員支持下，分析差異產生根源，為解決相關問題提供具有可操作性的解決方案。通過核查發現，影響數據準確性的主要原因在于以下幾個方面：

　　（1）BI系統內部控制流程存在缺陷，數據抽取工作流設計存在瑕疵。如某項目甲供鋼材BI系統較采購管理部提供的實際使用數據多出 3105.40 噸、1395.88萬元。據查，該項目第二批鋼筋實際出庫 4000 噸，但采購人員錄入系統時誤錄入7105.40噸，按照《甲供鋼材采購 CCIS 用戶系統操作手冊》，后錄入-3105.40噸到“雜項事務處理中的賬戶接收”進行調整，但BI系統數據抽取工作流則未抽取到該調整項。

　　（2）CCIS 系統中采購管理模塊功能不完善。如某項目直接開支中，因采購人員誤錄入金額為6.38萬元的采購訂單后，撤銷該訂單時，做了“取消”處理，但后臺數據并未相應將訂單狀態更改為“取消”,致使 BI 系統直接支出較ERP 系統多了 6.38 萬元。經了解，CCIS 系統上線時已明確，經批準的采購訂單不能做“取消”處理，但CCIS 系統采購管理模塊未屏蔽該操作。

　　（3）用戶操作不熟練或失誤導致數據歸集錯誤。如某項目直接支出中預算內設計分包支出，支出類型應為“直接支出”,而業務人員誤將其支出類型選擇為“制圖費”.

　　3.采集數據，跨系統數據比對分析，查詢系統非法用戶。為了核查BI 系統登錄權限配置是否符合公司相關管理要求，審計小組采集了 BI系統登錄用戶數據及CCIS系統人力資源系統中所有在職員工數據，通過跨系統數據比對分析，剔除系統管理賬戶，查找非法賬戶反饋給人力資源部進行核實確認。經對比發現，信息溝通不暢，員工離職信息傳遞存在缺陷。BI 系統擁有登錄權限賬戶623個（已剔除了管理員賬戶），其中4個賬戶為已離職員工，未及時清理。主要原因在于員工離職信息傳輸存在缺陷，未能適時將相關信息有效傳遞到信息部門。

　　4.檢查災難恢復計劃的有效性。對于災難恢復計劃的有效性檢查，審計小組從兩個方面著手：一是檢查服務器等硬件設備的物理環境及物理訪問控制情況，主要查看機房的消防安全、門禁管理以及巡檢記錄等。二是檢查備份磁帶歸檔管理及災備系統有效性測試審批及開展是否符合公司相關制度規定。經查，災難恢復計劃執行有效。

　　審計結果及成效

　　針對審計發現的問題，在上報集團董事會審批后，相關部門均進行了相應整改。審計成果得到了有效應用，具體體現在：

　　一是發現了BI系統數據抽取工作流存在設計缺陷，影響了項目管理數據的準確性；審計結論促進了賽迪信息技術人員優化完善數據抽取工作流取數邏輯，提升了 BI 系統數據準確性。

　　二是發現了CCIS系統中采購管理模塊功能不完善，未屏蔽被禁止的功能。已整改完畢。

　　三是發現了信息與溝通方面存在的不足，員工離職信息傳遞存在缺陷。審計后公司優化完善了員工離職流程，提高了信息傳遞有效性，確保了離職員工賬戶得到及時清理。

　　四是發現了BI系統中部分指標可理解性差，培訓力度不足等因素影響了 BI 系統的普及率和使用率。

　　啟示與思考

　　首先，較之經濟責任審計等其他內部審計工作，信息系統審計的審計對象責任人并非唯一，有系統設計、實施部門，也有使用部門，同時還有負責內部控制制度設計和運行的相關部門，審計對象群體龐大導致配合難度較大。因此，公司領導的大力支持與推動是順利開展信息系統審計的有力保障。

　　第二，信息系統審計主要關注信息技術內部控制與流程的合規性與可靠性，所發現的問題通過審計意見或建議予以改善，能夠糾正所有的類似錯漏，有效促進系統的可靠性和數據準確性的提升，審計成效和價值實現往往更加快捷、更易接受。

　　第三，抓住信息系統內部控制與流程的“牛鼻子”,內部審計大有可為。事實證明，通過梳理及測試信息系統內部控制與流程，再輔以有針對性的審計程序和方法，如穿行測試、問卷調查、分析性復核等，內部信息系統審計在促進信息系統的完善和改進方面完全可以大有作為。

　　第四，信息系統審計工作作為內部審計新開展的一項審計業務，對于企業尤其是非金融類企業的內部審計而言，尚處于不斷摸索和學習的過程中，提升審計人員的專業勝任能力，逐步規范完善審計流程及審計工作底稿，對于充分發揮內部審計價值創造作用尤為重要。客觀上，目前非金融類企業信息系統審計發揮的作用較為有限，提升空間仍然較大。

【中冶賽迪集團信息系統審計流程與方法回顧論文】相關文章：

集團公司內控中內部審計的關鍵節點論文09-02

論文寫作方法和流程07-18

論文寫作中的選題方法08-01

審計在公司治理中的作用論文10-07

畢業論文答辯流程及方法10-23

論文：論新審計準則中的審計理念革新10-11

信息系統審計中計算機審計的具體應用論文07-04

信息系統審計的固有控制及檢查風險探析論文07-12

對孤立點分析方法在現代審計中的運用技巧分析經濟論文07-10

集團公司的內部控制審計的研究經濟論文07-15