中冶賽迪集團信息系統(tǒng)審計流程與方法回顧論文

　　案例背景

　　中冶賽迪集團有限公司（以下簡稱賽迪集團）是世界500強企業(yè)--中國冶金科工集團旗下的國有大型科技型工程技術(shù)企業(yè)，是集應(yīng)用技術(shù)研發(fā)、經(jīng)濟技術(shù)咨詢、規(guī)劃設(shè)計、工程總承包、成套裝備、工程監(jiān)理、技術(shù)服務(wù)于一體的工程技術(shù)服務(wù)集團，也是國內(nèi)第一家完全數(shù)字化的工程技術(shù)服務(wù)集團，下設(shè) 18個職能部門，擁有中冶賽迪工程技術(shù)股份有限公司（以下簡稱賽迪股份公司）等21家全資或控股子公司。中冶賽迪核心信息系統(tǒng)（以下簡稱CCIS 系統(tǒng)）是賽迪集團信息化建設(shè)的主要平臺，是以 Oracle ERP系統(tǒng)為核心組件搭建的信息化系統(tǒng)。該系統(tǒng)以項目為導向和核心，覆蓋了企業(yè)價值鏈，為項目管理提供全生命周期的信息化支撐。該系統(tǒng)于2008年12月上線投用至今，除涉及海外、物業(yè)管理以及房地產(chǎn)等業(yè)務(wù)的4家子公司尚未上線外，其余17家子公司均已成功上線投用。此外，為了持續(xù)優(yōu)化完善該系統(tǒng)，賽迪集團于2010年投資設(shè)立了中冶賽迪重慶信息技術(shù)有限公司（以下簡稱賽迪信息公司），對系統(tǒng)進行功能運維和優(yōu)化提升。

　　CCIS 系統(tǒng)對賽迪集團規(guī)范日常運營管理、提升管理效率，維護信息的正常流轉(zhuǎn)，增強市場競爭力起到了積極作用。由于經(jīng)營管理活動對該系統(tǒng)依賴性極高，系統(tǒng)可靠性、穩(wěn)定性、安全性、完整性及準確性顯得尤為重要。賽迪集團審計部作為內(nèi)部監(jiān)督部門，著眼于信息化環(huán)境下公司面臨的新的風險點，于 2012 年開始組織具有IT背景的審計人員研究探索信息系統(tǒng)審計，對 CCIS 系統(tǒng)內(nèi)部控制及流程進行審查和評價，提出相關(guān)管理建議，促進公司提升信息化水平。鑒于 CCIS 系統(tǒng)十分龐大復(fù)雜、實施信息系統(tǒng)審計的經(jīng)驗不足等情況，審計部充分調(diào)研，確立了分模塊、分系統(tǒng)，逐項探索和突破的審計思路。通過近3年的探索和總結(jié)，截至 2014 年底，共開展信息系統(tǒng)審計項目5項；發(fā)布實施了《信息系統(tǒng)審計工作規(guī)定》；提升了人員素質(zhì)，審計部共7人，全員擁有CIA資格，1人擁有CISA（國際注冊信息系統(tǒng)審計師）資格，注冊會計師 1 人，此外還擁有一級建造師、造價師等資格。

　　BI系統(tǒng)是與CCIS Portal界面及Oracle數(shù)據(jù)庫相互集成，通過信息挖掘、分析、查詢和報表的形式為管理層決策提供立體式數(shù)據(jù)服務(wù)的商務(wù)智能系統(tǒng)，其基礎(chǔ)組件主要包括BIEE 基礎(chǔ)服務(wù)、服務(wù)器以及數(shù)據(jù)抽取工具等。該系統(tǒng)是賽迪集團在凱捷咨詢（中國）公司的指導下自行開發(fā)的，包含經(jīng)營總覽、項目管理、采購管理、費用控制等12個功能模塊。2009 年 5 月開始搭建，同年 12 月上線投用。審計時，該系統(tǒng)已運用到賽迪股份等4家子公司。BI系統(tǒng)作為向管理層提供決策數(shù)據(jù)服務(wù)的工具，其數(shù)據(jù)準確性、有用性直接關(guān)系到管理層決策的正確性和效率，如項目預(yù)算執(zhí)行情況預(yù)警及控制等。

　　賽迪股份公司作為賽迪集團的核心子公司，致力于為鋼鐵行業(yè)提供全流程服務(wù)，為工程項目提供全功能、全生命周期服務(wù)，率先投用了BI 系統(tǒng)。在對賽迪股份工程項目的審計過程中發(fā)現(xiàn)，BI 系統(tǒng)項目管理模塊數(shù)據(jù)與 CCIS 中 ERP 系統(tǒng)財務(wù)模塊存在不一致的情況。審計部高度重視這一情況，以風險導向為原則，對賽迪股份BI系統(tǒng)在項目管理的應(yīng)用情況進行審計，將其納入 2013年度審計計劃，向集團董事會報批后實施。

　　本項目審計目標是對BI系統(tǒng)的內(nèi)部控制和流程進行審查與評價，為持續(xù)優(yōu)化完善 BI 系統(tǒng)內(nèi)部控制流程提出具有可操作性的建議，有效提升 BI 系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)處理的完整性和準確性，增強系統(tǒng)的普及率和使用率；強化 CCIS 系統(tǒng)災(zāi)難恢復(fù)計劃的持續(xù)有效性。

　　審計過程及方法

　　（一）審計思路

　　本項目兼具信息系統(tǒng)一般控制審計和應(yīng)用控制審計的特點。為了實現(xiàn)前述審計目標，審計小組擬定了以下審計思路：

　　1.收集相關(guān)資料，熟悉BI系統(tǒng)基本架構(gòu)、主要功能、業(yè)務(wù)流程以及其與CCIS系統(tǒng)中其他模塊或子系統(tǒng)間的邏輯關(guān)系等。

　　2.風險評估，確定審計范圍和重點。

　　3.梳理審計重點，從一般控制與應(yīng)用控制兩個層面深入開展審計工作，確定重點審計內(nèi)容。

　　（二）審計過程

　　1.精心組織，周密安排。針對信息系統(tǒng)審計內(nèi)容涉及面廣、開展難度較大等特點，審計部高度重視，積極協(xié)調(diào)溝通，得到了賽迪集團信息化建設(shè)主管領(lǐng)導的大力支持，要求相關(guān)部門及人員積極配合審計工作，為審計工作的順利開展提供有力支持。本項目審計組織情況見表 1.

　　2.前期準備工作。

　�。�1）主審申請并開通 BI 系統(tǒng)訪問賬戶及權(quán)限。

　�。�2）詳細閱讀 BI系統(tǒng)項目管理模塊設(shè)計功能說明書、解決方案及應(yīng)用速讀手冊（操作手冊）等文件；賽迪信息公司開發(fā)人員提供該系統(tǒng)項目管理模塊的功能說明書及應(yīng)用速讀手冊（操作手冊）共 41 份。

　�。�3）梳理BI系統(tǒng)與CCIS其他子系統(tǒng)或模塊間的關(guān)鍵接口或控制點及其基本架構(gòu)。BI系統(tǒng)基本架構(gòu)見圖1,CCIS系統(tǒng)各模塊間的關(guān)系見圖2.據(jù)此，審計小組確定BI系統(tǒng)數(shù)據(jù)輸入來源于EBS ERP 系統(tǒng)，與其他子系統(tǒng)的關(guān)聯(lián)較少，其關(guān)鍵控制點在于數(shù)據(jù)抽取工作流抽取邏輯是否正確完備；BI 系統(tǒng)屬于 CCIS 系統(tǒng)中的子系統(tǒng)，屬于 CCIS 災(zāi)難恢復(fù)計劃的一部分，且不可分離。

　　3.風險評估，確立審計范圍。本項目以風險為導向，確立審計范圍和審計重點，風險評估工作可概括為以下幾個方面：

　　（1）利用工程項目審計等其他工作成果，梳理以前審計過程中發(fā)現(xiàn)的與BI系統(tǒng)相關(guān)的問題。

　　（2）對 BI 系統(tǒng)使用人員進行訪談?wù){(diào)研，發(fā)現(xiàn)該系統(tǒng)在使用過程中存在的問題或不足之處。

　�。�3）進一步對賽迪信息BI系統(tǒng)開發(fā)人員進行訪談，全面了解 BI系統(tǒng)項目管理模塊的各項功能、數(shù)據(jù)處理邏輯、與CCIS其他子系統(tǒng)間的數(shù)據(jù)傳輸邏輯、日常運維中經(jīng)常出現(xiàn)的問題等，收集功能說明書等文本資料。

　�。�4）結(jié)合公司領(lǐng)導對信息系統(tǒng)審計的要求，將公司災(zāi)難恢復(fù)計劃的有效性等納入審計范圍。根據(jù)上述幾個方面的工作，結(jié)合賽迪股份公司主營業(yè)務(wù)特點，審計小組從信息系統(tǒng)一般控制和應(yīng)用控制兩個層面確立了審計重點內(nèi)容。

　　一般控制層面重點關(guān)注：（1）BI 系統(tǒng)軟、硬件等基礎(chǔ)設(shè)施管理情況。

　　（2）物理訪問控制制度建立健全及執(zhí)行情況。

　�。�3）與 BI 系統(tǒng)相關(guān)規(guī)章制度建立健全及執(zhí)行情況。

　　（4）CCIS 系統(tǒng)災(zāi)難恢復(fù)計劃建立及有效性測試管理情況。應(yīng)用控制層面重點關(guān)注：

　　（1）BI 系統(tǒng)對公司業(yè)務(wù)需求支持情況。

　�。�2）數(shù)據(jù)抽取工作流抽取邏輯設(shè)計及運行情況。

　�。�3）BI系統(tǒng)邏輯訪問控制情況。

　　（三）審計方法及發(fā)現(xiàn)的問題

　　1 .訪談與問卷調(diào)查結(jié)果相結(jié)合，確定審計重點。在審前調(diào)查中，通過對系統(tǒng)關(guān)鍵使用者（如項目管理部部長、費用控制與合同管理部部長等）進行訪談了解到，BI系統(tǒng)項目管理模塊使用率較低，其原因可能在于：一是部分數(shù)據(jù)不準確，與ERP 系統(tǒng)中項目管理、財務(wù)等模塊數(shù)據(jù)不一致，這可能是影響其使用率的主要原因。二是應(yīng)得收入、承諾全成本等部分指標可理解性差。三是針對用戶的有效培訓不足，致使部分客戶不了解該系統(tǒng)的基本功能或?qū)Υ酥�之甚少，進而影響了系統(tǒng)的使用率。審計小組據(jù)此設(shè)計調(diào)查問卷，有針對性地對賽迪股份公司部分使用者（主要是項目經(jīng)理及中層管理人員以上人員）進行問卷調(diào)查，佐證了上述問題，明確了數(shù)據(jù)的準確性是影響B(tài)I系統(tǒng)使用率的主要原因，并將該問題納入審計重點。

　　2.從具體項目著手，全面梳理BI 系統(tǒng)數(shù)據(jù)抽取工作流數(shù)據(jù)處理邏輯，核查 BI 系統(tǒng)數(shù)據(jù)準確性。通過閱讀功能說明書以及向開發(fā)人員進行訪談等方法全面了解BI系統(tǒng)中數(shù)據(jù)抽取及處理邏輯后，審計小組抽取了實際運行的兩個典型的工程項目逐項核查項目管理及業(yè)務(wù)數(shù)據(jù)，查找差異，并在開發(fā)人員支持下，分析差異產(chǎn)生根源，為解決相關(guān)問題提供具有可操作性的解決方案。通過核查發(fā)現(xiàn)，影響數(shù)據(jù)準確性的主要原因在于以下幾個方面：

　　（1）BI系統(tǒng)內(nèi)部控制流程存在缺陷，數(shù)據(jù)抽取工作流設(shè)計存在瑕疵。如某項目甲供鋼材BI系統(tǒng)較采購管理部提供的實際使用數(shù)據(jù)多出 3105.40 噸、1395.88萬元。據(jù)查，該項目第二批鋼筋實際出庫 4000 噸，但采購人員錄入系統(tǒng)時誤錄入7105.40噸，按照《甲供鋼材采購 CCIS 用戶系統(tǒng)操作手冊》，后錄入-3105.40噸到“雜項事務(wù)處理中的賬戶接收”進行調(diào)整，但BI系統(tǒng)數(shù)據(jù)抽取工作流則未抽取到該調(diào)整項。

　�。�2）CCIS 系統(tǒng)中采購管理模塊功能不完善。如某項目直接開支中，因采購人員誤錄入金額為6.38萬元的采購訂單后，撤銷該訂單時，做了“取消”處理，但后臺數(shù)據(jù)并未相應(yīng)將訂單狀態(tài)更改為“取消”,致使 BI 系統(tǒng)直接支出較ERP 系統(tǒng)多了 6.38 萬元。經(jīng)了解，CCIS 系統(tǒng)上線時已明確，經(jīng)批準的采購訂單不能做“取消”處理，但CCIS 系統(tǒng)采購管理模塊未屏蔽該操作。

　�。�3）用戶操作不熟練或失誤導致數(shù)據(jù)歸集錯誤。如某項目直接支出中預(yù)算內(nèi)設(shè)計分包支出，支出類型應(yīng)為“直接支出”,而業(yè)務(wù)人員誤將其支出類型選擇為“制圖費”.

　　3.采集數(shù)據(jù)，跨系統(tǒng)數(shù)據(jù)比對分析，查詢系統(tǒng)非法用戶。為了核查BI 系統(tǒng)登錄權(quán)限配置是否符合公司相關(guān)管理要求，審計小組采集了 BI系統(tǒng)登錄用戶數(shù)據(jù)及CCIS系統(tǒng)人力資源系統(tǒng)中所有在職員工數(shù)據(jù)，通過跨系統(tǒng)數(shù)據(jù)比對分析，剔除系統(tǒng)管理賬戶，查找非法賬戶反饋給人力資源部進行核實確認。經(jīng)對比發(fā)現(xiàn)，信息溝通不暢，員工離職信息傳遞存在缺陷。BI 系統(tǒng)擁有登錄權(quán)限賬戶623個（已剔除了管理員賬戶），其中4個賬戶為已離職員工，未及時清理。主要原因在于員工離職信息傳輸存在缺陷，未能適時將相關(guān)信息有效傳遞到信息部門。

　　4.檢查災(zāi)難恢復(fù)計劃的有效性。對于災(zāi)難恢復(fù)計劃的有效性檢查，審計小組從兩個方面著手：一是檢查服務(wù)器等硬件設(shè)備的物理環(huán)境及物理訪問控制情況，主要查看機房的消防安全、門禁管理以及巡檢記錄等。二是檢查備份磁帶歸檔管理及災(zāi)備系統(tǒng)有效性測試審批及開展是否符合公司相關(guān)制度規(guī)定。經(jīng)查，災(zāi)難恢復(fù)計劃執(zhí)行有效。

　　審計結(jié)果及成效

　　針對審計發(fā)現(xiàn)的問題，在上報集團董事會審批后，相關(guān)部門均進行了相應(yīng)整改。審計成果得到了有效應(yīng)用，具體體現(xiàn)在：

　　一是發(fā)現(xiàn)了BI系統(tǒng)數(shù)據(jù)抽取工作流存在設(shè)計缺陷，影響了項目管理數(shù)據(jù)的準確性；審計結(jié)論促進了賽迪信息技術(shù)人員優(yōu)化完善數(shù)據(jù)抽取工作流取數(shù)邏輯，提升了 BI 系統(tǒng)數(shù)據(jù)準確性。

　　二是發(fā)現(xiàn)了CCIS系統(tǒng)中采購管理模塊功能不完善，未屏蔽被禁止的功能。已整改完畢。

　　三是發(fā)現(xiàn)了信息與溝通方面存在的不足，員工離職信息傳遞存在缺陷。審計后公司優(yōu)化完善了員工離職流程，提高了信息傳遞有效性，確保了離職員工賬戶得到及時清理。

　　四是發(fā)現(xiàn)了BI系統(tǒng)中部分指標可理解性差，培訓力度不足等因素影響了 BI 系統(tǒng)的普及率和使用率。

　　啟示與思考

　　首先，較之經(jīng)濟責任審計等其他內(nèi)部審計工作，信息系統(tǒng)審計的審計對象責任人并非唯一，有系統(tǒng)設(shè)計、實施部門，也有使用部門，同時還有負責內(nèi)部控制制度設(shè)計和運行的相關(guān)部門，審計對象群體龐大導致配合難度較大。因此，公司領(lǐng)導的大力支持與推動是順利開展信息系統(tǒng)審計的有力保障。

　　第二，信息系統(tǒng)審計主要關(guān)注信息技術(shù)內(nèi)部控制與流程的合規(guī)性與可靠性，所發(fā)現(xiàn)的問題通過審計意見或建議予以改善，能夠糾正所有的類似錯漏，有效促進系統(tǒng)的可靠性和數(shù)據(jù)準確性的提升，審計成效和價值實現(xiàn)往往更加快捷、更易接受。

　　第三，抓住信息系統(tǒng)內(nèi)部控制與流程的“牛鼻子”,內(nèi)部審計大有可為。事實證明，通過梳理及測試信息系統(tǒng)內(nèi)部控制與流程，再輔以有針對性的審計程序和方法，如穿行測試、問卷調(diào)查、分析性復(fù)核等，內(nèi)部信息系統(tǒng)審計在促進信息系統(tǒng)的完善和改進方面完全可以大有作為。

　　第四，信息系統(tǒng)審計工作作為內(nèi)部審計新開展的一項審計業(yè)務(wù)，對于企業(yè)尤其是非金融類企業(yè)的內(nèi)部審計而言，尚處于不斷摸索和學習的過程中，提升審計人員的專業(yè)勝任能力，逐步規(guī)范完善審計流程及審計工作底稿，對于充分發(fā)揮內(nèi)部審計價值創(chuàng)造作用尤為重要。客觀上，目前非金融類企業(yè)信息系統(tǒng)審計發(fā)揮的作用較為有限，提升空間仍然較大。

【中冶賽迪集團信息系統(tǒng)審計流程與方法回顧論文】相關(guān)文章：

集團公司內(nèi)控中內(nèi)部審計的關(guān)鍵節(jié)點論文09-02

論文寫作方法和流程07-18

論文寫作中的選題方法08-01

審計在公司治理中的作用論文10-07

畢業(yè)論文答辯流程及方法10-23

論文：論新審計準則中的審計理念革新10-11

信息系統(tǒng)審計中計算機審計的具體應(yīng)用論文07-04

信息系統(tǒng)審計的固有控制及檢查風險探析論文07-12

對孤立點分析方法在現(xiàn)代審計中的運用技巧分析經(jīng)濟論文07-10

集團公司的內(nèi)部控制審計的研究經(jīng)濟論文07-15