2023年12月16日发(作者:裘经义)
越秀集团IT系统审计方案
信息化系统框架
二、望闻问切(风险点及查核法)
(一)硬件系统
1. 信息硬件资产的管理
详情请参阅各公司《信息类采购制度》《计算机硬件及附属设备管理标准》《机房及数据中心建设管理标准》等文件细则。
(1)硬件设施采购
查核点:硬件系统采购符合公司采购流程,技术符合要求。
风险:硬件采购不符合流程,存在人为舞弊行为;技术达不到要求,或者与现有设备不兼容;随机附赠的一些耗材、赠品被经办人员个人占用。
查核方法:检查标准、合同是否有漏洞,对照需求部门申请表和信息化采购入库单与实
物是否一致,采购价格是否合理,是否有质量条款,重点关注低值易耗品以及赠品去向。
(2)硬件设施的使用与保管
查核点:硬件设施的使用符合公司制度,符合固定资产管理标准,符合费用化的耗材管理标准,有明确的领用与回收政策。
风险:管理不当,资产丢失,造成财产损失。
查核方法:①根据历史采购记录及信息部统计清单,盘点现有信息资产的完整性。②通过领用数据分析,检查信息资产的分布合理性,确定人员与信息资产比率同比的一致性。③检查信息资产的异动、使用、保管手续是否完整,审批权限是否完整。④公司电脑内所有应用程序需确认无盗版、均获授权。
(3)硬件设施的维护与保养
查核点:维护与保养有专门的部门负责,委外维修有定点的机构,且过程在有效的监督程序控制下,相关设备维修不会造成保密信息的泄露,不会造成资产的损失。
风险:维护与保养管理混乱,尤其委外维修可能造成重要保密信息的泄露,设备零件被以次充好地替换,或者虚报维修项目。
查核方法:①检查信息资产的维修/维护是否合理,是否经过维修/维护申请。②对委外维护设备进行抽样,检查是否与记录一致。
(4)硬件设施的报废与处置
查核点:信息资产报废经过相关审批,且经确认无公司机密方可报废。
风险:报废未经审批,相关信息泄露,造成损失。
查核方法:①检查信息资产的报废、处置手续是否完整,审批权限是否完整。②抽查报废设备是否符合记录,抽查设备记录中是否仍有重要资料保留。
2. 中心机房管理
详情请参阅各公司《机房及数据中心建设管理标准》《信息系统备份与恢复管理标准》等文件细则。
(1)灾难恢复计划
查核点:有完备的灾难恢复计划,有符合规定的异地备份和定期备份措施。确保系统备份的完整性和有效性。
风险:①缺乏明确的定期备份制度,可能导致关键数据未备份,在出现灾难或其他意外事件时无法完成数据恢复。②系统备份缺乏完整性和有效性的测试,可能导致残缺数据被长期反复备份或备份的数据无法被恢复的风险,造成定期备份制度流于形式,缺乏实际作用。
查核方法:①获取备份策略的配置,检查备份策略是否符合备份规定,包括备份频率、备份范围、备份介质、备份数量、异地备份和检查责任人等内容。②取得备份恢复测试报告,检查备份数据恢复结果、备份数据是否有效、完整。③取得灾备计划,检查是否对公司数据损坏恢复措施和业务持续运行计划进行了规范。④取得灾备演练记录,检查是否按照灾备计划对关键信息系统执行了演练,以及演练结果是否符合业务持续性的预设目标。
(2)中心机房管理
查核点:维护机房的物理安全。
风险:公司机房缺乏物理安全控制,增加了机房遭到破坏或敏感数据遭泄露的风险。
查核方法:①确认公司是否制定了计算机机房管理制度,是否规定了外来人员进入机房必须有专人陪同并进行登记。②确认机房维护人员是否定期进行现场设备巡检,并记录情况,检查每天进行机房巡检的相应书面记录。③检查公司机房是否配备不间断电源(UPS)进行断电保护,是否定期进行检查,并做充放电。④检查机房是否有恒温、恒湿的测量仪器,检查测量仪器的读数是否与规定的温度、湿度一致。
(二)软件系统
1. 制度与权责管理
详情请参阅《信息系统备份与恢复管理标准》《框架协议开发管理流程指引》《信息系统运维管理制度》《信息系统安全及介质保密管理标准》《信息化工作管理标准》《软件系统管理标准》《网络系统管理标准》《信息安全管理标准》等文件细则。
(1)信息系统管理制度
查核点:信息系统的安全控制活动应被规范和标准化。
风险:信息工作缺乏规范指引,导致无法对业务控制活动进行纠偏。
查核方法:①检查是否编制了程序和变更的标准文件,明确了程序立项、测试验收、上线审批、数据迁移、代码规范等标准。②检查是否编制了数据安全和访问权限的标准文件,明确了应用系统、数据库、操作系统、网络的权限、密码策略、审计日志、权限审阅、网络安全、防病毒、机房安全等标准。③检查是否编制了计算机运维的标准文件,明确了软硬件的维护、故障处理、备份规范、备份恢复和灾备标准等事项。④检查公司是否编制了信息系统的分级标准,明确了不同信息系统的等级标准和管控措施。
(2)信息系统管理权责分离
查核点:信息系统管理部门的工作职能设定清晰,岗位职责分工科学合理,满足企业信
息系统管理的需要。
风险:信息系统管理部门的工作职能设定不清晰,岗位职责不合理,可能造成管理混乱,并增加不相容职务由同一员工兼任的可能性,进而增加舞弊的风险。
查核方法:①访谈了解账号及权限管理机制:是否制定了正式的账号及权限管理制度,对账号及权限的日常变动、账号及权限的定期审阅管理进行规范;访谈了解内审部门是否对账号及权限进行适当监控。②获取账号及权限管理制度,检查制度设计的有效性。
2. 系统开发
详情请参阅各公司《框架协议开发管理流程指引》《软件系统管理标准》等文件细则
(1)业务规划
查核点:①信息系统的战略和规划与公司业务和战略目标相适应,并根据发展规划制定切实可行的实施计划。②明确信息系统的开发需求。
风险:①信息系统缺乏规划或规划不合理,可能造成信息孤岛或重复设置,导致无法满足公司经营发展需要或造成资源浪费。②开发需求不明确或者与业务需求不一致,导致开发偏离实际需求的风险上升。
查核方法:①获取项目开发需求,检查其是否包含在公司的年度信息化规划中。②获取项目开发需求,检查是否明确各项开发设计的关键要素,包括但不限于,开发目标、人员配备、职责分工、预算、进度等。③涉及业务外包或外购的开发项目,应获取开发合同及其附件,检查该项目是否经过了询比价和招投标。
(2)成品软件采购
查核点:有明确的采购计划,使用正规渠道的正版软件,明确软件安装和使用,确保软件安装的可靠性。
风险:采购盗版软件给后续升级带来困难,同时存在法律风险。缺乏软件安装管理机制,可能导致员工私自安装与工作无关的软件,并增加系统遭受病毒感染或入侵的风险。
查核方法:取得业务人员软件安装申请记录,查看是否就安装软件的名称、原因进行了说明;该软件安装申请是否经过适当审批;是否由智能制造管理部系统管理员完成安装操作。
(3)系统开发
查核点:①实时监督系统开发流程,确保进度按时完成。②开发和用户接受性测试应有单独的环境,并且程序师/开发人员不应有权限进入用户接受性测试环境。
风险:系统开发蓝图不周全,项目管理不当导致项目质量不高,无法保证工作进度且无法控制成本,未经测试或者测试不完全就匆忙上线实施,带来无法顺利运行的风险。
查核方法:①获取与外包商签订的服务合同,检查是否包含明确的项目进度安排或项目计划书。②获取项目进度文件,检查外包商是否每周制作包含本周工作内容、具体完成时间和工作计划的进度安排表并提交至项目组审核;检查项目组与外包商的例会是否保留了会议纪要。③通过询问确认新系统移植到实用环境前是否获得了业务所有者/用户适当的授权。④检查测试计划和结果和用户接受性测试签署表(现场核实有3个分离的环境——生产、测试、开发,如果可能取得截屏)。
(4)数据迁移
查核点:制订详细的数据收集/迁移计划,确保数据收集/迁移的完整性和安全性。
风险:缺乏详细的数据收集/迁移计划,无法保证数据的完整性和安全性,可能造成敏感数据丢失或泄露。
查核方法:取得数据收集/迁移计划,检查其中是否包括数据回退机制和数据核对方式,并按照计划执行实际操作;检查数据收集/迁移结果是否经过业务部门验收。
(5)软件系统的维护
查核点:①定期更新安全补丁并明确安全补丁的更新设置。②系统故障得到有效处理、报告和记录。③软件和硬件的问题被及时发现、处理和记录。
风险:①安全补丁缺乏定期更新机制,可能导致系统潜在的安全漏洞不能及时被处理,从而增加系统被入侵的风险。②系统故障和软硬件问题未能有效处理并及时报告和记录,可能导致故障长期得不到解决,进而降低生产效率;对于一些普遍的问题,未及时记录上报可能造成其他下属公司无法在故障产生前及时消除隐患。
查核方法:①获取信息系统的更新历史记录,检查安全补丁更新是否及时,并且经授分权体系审批后方才进行安装。②获取故障记录台账,检查故障台账是否记录了必要的信息,包括故障出现的时间、受到影响的系统、故障原因、故障解决时间、解决方案等;检查故障请求是否被及时解决和关闭。③观察运维监控系统,检查监控系统是否正常运作,即有效监控和记录各类、批处理作业的运行情况。④检查故障处理台账,检查是否记录了对后台作业、设备巡检中的问题处理情况。
(6)系统更换与处置
查核点:明确信息系统的变更需求和流程。
风险:信息系统缺乏变更管理规章制度,可能导致用户在管理层不知情的情况下进行不当的更改,导致系统所依据的程序、算法、配置及数据的异常变化。
查核方法:①查看公司信息系统一般变更的申请,检查是否就变更原因、事项进行了说
明,且经过适当审批。②访谈了解公司近期是否存在信息系统的重大变更;若有,检查是否制定了系统变更方案和测试方案,并经过适当审批。
3. 账号与权限管理
查核点:应用系统的账号及权限的申请需要经过有效的审批或授权,审批时应对照实际业务进行检查,确保用户权限符合业务需要和职责分离要求。
风险:用户不当地创建、删除或修改账号权限,可能导致用户账号管理混乱,在管理层不知情的情况下对系统配置、算法及程序作出不当修改,影响计算机生成信息和自动化控制的可靠性,并增大舞弊的风险。
查核方法:①访谈了解是否存在正式的应用系统层面的用户账号及权限管理流程。②检查账号及权限新增/变更/删除的适当性:获取账号及权限变更日志,了解被更新的账号,并以账号更新次数为样本总体,适当抽取样本,并获取相应的权限申请单,检查是否经过有效审批。检查系统中用户的实际权限是否与申请单中一致。检查系统中账号及权限维护的时间是否与申请表单一致。询问与样本账号有关的部门及人力资源负责人,了解系统中账号及权限维护的时间是否与实际情况一致。
4. 信息安全管理
查核点:①建立健全规范的日志审核操作。②建立健全规范的密码策略。③明确网络病毒的防御机制并定期检查网络安全。
风险:①未能对信息系统进行有效的日常维护并对系统日志进行检查,可能导致信息系统运行效率降低,无法发现违规操作,或公司无法尽快查明故障原因并迅速应对。②密码策略不规范不健全,可能导致用户制定的密码过于简单,无法有效防范系统入侵风险。③缺乏网络病毒防御机制和定期检查机制,可能导致系统遭受病毒入侵,进而影响系统运行,并泄露敏感信息。
查核方法:①检查信息共享中心服务器日志是否按照规定定期进行存储,并由服务器管理人员进行定期审核。②获取系统日志,检查日志的创建时间是否连续;检查集团信息共享中心系统管理员是否对系统日志定期审核。③获取公司员工和后台的密码策略的配置,检查是否按照集团信息共享中心制定的密码策略基线,在系统中约束密码设置条件。④获取网络监控记录,检查公司是否定期监控网络运行状况,并编制信息安全报告。⑤向信息部门的有关人员询问公司是否对服务器进行病毒管理,并定期升级病毒库,确保服务器与客户端安全。
5. 数据保密
查核点:①建立安全保密和泄密责任追究制度。②对于存储重要信息的涉密设备进行严
格的规定和管理,对涉密或关键数据的传输采取加密措施。
风险:①缺乏安全保密制度和泄密责任追究制度,可能导致员工对泄密的严重性缺乏认识,因而缺乏保密意识。②缺乏涉密设备的管理规定,可能增加技术机密和关键数据遭泄露的风险。
查核方法:①获取关键岗位的员工劳动合同,检查公司在与员工签订的劳动合同中是否包含保密条款;保密条款是否就保密范围、保密内容、泄密责任追究措施等进行明确。②访谈涉密岗位的员工和现场观察,对于涉密计算机,是否遵循“专机专用”的原则配置,确保涉密电脑仅能连接公司内网,并严禁涉密计算机与任何外部网络互联;检查是否设置专人对涉密电脑、系统导出的数据进行解密。
审计发现:
1. 硬件系统
该案例中,硬件部分主要从需求与采购、使用与保管、维护与保养、报废与处置等方面对配件及相关低值易耗品、固定资产、弱电工程维保等模块实施审计,发现与之相关的诸多制度未有效落实,部分环节管理存在缺陷和异常。图中斜体字部分为存在异常的环节。审计发现具体如下:
硬件采购流程图:
(1)硬件设施的需求与采购
1)电脑等电子产品价格常年未变动,不符合市场趋势(电子产品价格基本是下行趋势)。查看公司主要使用的3款笔记本电脑,价格持续8个月以上未变动,且比ZOL(中关村在线)电脑报价高,不符合成本效益,见表。
2)加墨未经过需求部门签字确认,同时存在大量送货单号在前,实际送货日期在后之状况,不符合常理及内控管理原则,加墨之真实性不能确定,见表。
(2)硬件设施的使用与保管信息化固定资产管理与制度要求存在严重脱节,且部门间的协作未有效衔接。
具体表现为:①财务会计科与信息化科未对资产编码、领用进行联动作业,导致领用资产无编码或信息化编码与财务编码不一致;②使用部门与信息化科未有效协作,资产异动未提报信息化科,导致资产较难定位及监控;③未定期对固定资产进行盘点统计,在资产较为混乱之状况下,资产闲置及流失风险较大,详细如图。
1)硬件设施出入库及库存管理未完整登记并形成可查台账,不能有效追踪硬件流向,存在资产不能保全及利用不足等风险,与《信息设备维护管理标准》的规定不符。查看2015年资产入库及领用记录资料,电脑入库及出库登记144台,实际财务入固定资产账459台,差异315台,差异比例达219%,见表。
2)固定资产账实不符状况严重,信息化科与财务会计科未进行统一的固定资产编码管理,
编码规则不同且未有效执行,账、卡、物不能对应,不能有效防止固定资产闲置及流失,与《固定资产管理标准》文件中的规定严重不符。2016年3月16日对公司电脑(不含员工使用的平板电脑)进行盘点,差异极大,差异部分较难进行追溯。盘点状况见表。
3)电脑等资产异动,未及时提报信息化科做相关登记,电脑资产不能有效管理及追溯,在制度层面及内控管理原则层面存在缺陷。盘点过程中发现大量账面记录与实际电脑放置不能对应的状况,且此部分未纳入制度管理。
2. 软件系统
软件类审计以生命周期为主线,从信息系统的规划和组织、采购和上线、交付和售后、监控和评价四个方面展开,发现流程、制度、执行等方面均存在缺陷和异常。
信息系统业务规划与评估信息化系统分为系统软件和应用软件,参照《信息设备维护管理标准》和信息化科的岗位职责(①负责公司信息化项目的策划、分析;②负责组织对信息化项目进行评审;③负责收集业务部门各类信息化需求;④负责技术获取的整个过程,即技术方案付诸实际的过程;⑤负责各系统的日常运维工作),发现公司信息化科在信息化业务规划与评估过程中尚存在诸多缺陷:
1)系统软件建设
信息化科缺少对于公司信息的战略规划,缺少一个大型系统跟软件,目前工作只是在满足业务部门提出的需求的基础上建立软件系统,造成公司各系统软件功能单一,相互间功能有重叠,运行系统软件多,数据库不兼容。
信息化科尚未建立完善的风险评估机制。在风险发生时,管理层无法知晓风险评估结果,可能会导致信息技术的风险管理与公司的整体风险管理目标脱节,对公司财产和发展造成不利影响。
信息化科人员能力尚待提高。经过咨询、沟通、评估,目前信息化科人员力量能满足日常的硬件系统维护、应用软件的处置,但系统开发、系统安全维护方面的能力尚需大幅度提高。
信息化科尚未针对公司的业务需求及IT人员的发展规划制定培训计划并组织相应的培训。缺少必要的培训,IT人员可能无法具备必要的专业技能,具体的IT职能可能无法得到持续、有效的履行,业务部门的需求可能无法得到满足,进而使企业遭受损失。
2)应用软件管理
信息化科缺少对应用软件的管理手册和办法,缺少台账管理制度。信息化科对目前公司具体有多少应用软件,以及软件版权是否存在法律纠纷等问题尚未引起足够的重视。
信息化科对电脑程序的管控尚存在缺失。参照《信息设备维护管理标准》,软件的日常维护,办公软件、研发软件等正版软件由信息化科统一分配并安装,公司员工需要使用或安装新软件时,需填写信息化报修单。信息化科管理员须不定期对各电脑软件进行检查,发现USB接口、电脑安全、访问外部网址的管控、应用软件的装载等问题后未采取具体管控措施,或者未按照制度执行。
3)软件外包
开发参考《信息化项目实施与维护管理标准》《运维服务商管理办法》《运维服务管理制度》和外包开发合同,并走访了相关软件使用部门发现:
开发合同上缺少对软件源代码的相关要求条款,这样易造成软件归属权不清晰,可能导致公司定点开发的软件成果流入其他单位,后续软件升级受制于开发单位。
大部分软件开发缺少相关书面文件。分析控制不足,缺少相关文件支持,无法确定是否已细致分析企业组织结构,是否确定用户功能和性能需求,是否确定用户的数据需求等。另外,后续拓展性考虑不充分,对功能增加和软件升级的端口预判性不足。
设计控制不足,部分软件设计界面未考虑是否方便用户使用;缺少审计控蓝图,无法判断设计是否与业务内容相符;性能能否满足需要,是否考虑到故障对策和安全保护等。
参考《信息化项目实施与维护管理标准》《运维服务商管理办法》《运维服务管理制度》,信息化科未严格按照相关规定对变更需求申请、审批、开发、测试、实施上线以及后台数据修改等步骤进行操作,同时部分变更测试结果记录也未进行妥善保存。
例如ERP系统程序变更需求/上线未经过IT部门领导正式审批。ERP系统开发、测试和执行人员尚未进行有效的职责分离,且部分变更由第三方系统服务商使用系统管理员账号部署至生产环境,但并未对其操作进行有效管理和监控。后台数据修改申请未经IT部门领导审批,且申请部门未对修改后的数据进行确认。
4)账号安全与权限管理
《信息安全管理制度》《QHLB信息系统用户权限及口令管理办法》制度对公司系统账号及信息安全做了较为详细的规定,但在审计过程中发现,账号管理方面对制度的遵从度极低,存在大量密码为原始密码和密码单一的情况,和部分调岗及离职人员账号权限未变动的情况,信息安全和授权管理的权责风险较高。
如表所示,OA系统账号存在密码单一或为初始密码的情况,与信息化制度《QHLB信息系统用户权限及口令管理办法》不符,存在较大的泄密及授权异常风险。
如表所示,ERP系统账号存在大量密码为公司统一初始密码的情况,其中涉及财务、采购、仓库、物流等敏感或物资管控部门,与信息化制度《QHLB信息系统用户权限及口令管理办法》严重不符,存在较大的泄密及授权异常风险。
如表所示,4.3共享件夹中部分较为机密信息未设置访问权限及密码,涵盖公司战略、员工明细、体系文件、专利、工作规划等大量较为机密资料,违反《信息安全管理制度》,信息安全存在缺陷,存在较大机密信息泄露风险。
3. SAP系统
系统运维制度不完善,缺乏明确的责任主体,体系未落地。
根据《信息系统运维管理制度》中对SAP系统运维的流程与管理的简要说明,实际运行中存在问题:仅由信息部对运维问题进行判定,没有多方参与的运维领导组织。
(1)运维问题的责任方
包括:SAP外部实施方(系统bug,合同内或应有的系统功能缺失等)、SAP内部实施团队(因考虑不周、沟通与协调不畅等,导致业务需求未满足)、业务部门(新提出的业务需求)。
(2)仅由信息部对运维问题进行判定
1)目前,关键用户负责对运维问题进行初审,并向事业部、板块、集团信息部SAP运维人员反馈、报批。
2)未建立运维团队的组织架构,原内部实施人员回归本职工作后,兼任运维工作,岗
位职责、考核等不清晰。
3)板块、事业部与项目公司中,信息、财务、供应链、生产等各业务部门的关键用户与内部顾问均参与系统运维,但没有具体的组织架构、岗位职责与考核体系。
4)运维问题的责任界定不清晰,缺乏落实责任的机制。
5)目前,对于未解决的问题未界定问题的责任对象(外部、内部),且无相应的追偿、考核或奖惩措施。如问题暂时无法解决,主要的方案是推迟至项目二期执行。
2023年12月16日发(作者:裘经义)
越秀集团IT系统审计方案
信息化系统框架
二、望闻问切(风险点及查核法)
(一)硬件系统
1. 信息硬件资产的管理
详情请参阅各公司《信息类采购制度》《计算机硬件及附属设备管理标准》《机房及数据中心建设管理标准》等文件细则。
(1)硬件设施采购
查核点:硬件系统采购符合公司采购流程,技术符合要求。
风险:硬件采购不符合流程,存在人为舞弊行为;技术达不到要求,或者与现有设备不兼容;随机附赠的一些耗材、赠品被经办人员个人占用。
查核方法:检查标准、合同是否有漏洞,对照需求部门申请表和信息化采购入库单与实
物是否一致,采购价格是否合理,是否有质量条款,重点关注低值易耗品以及赠品去向。
(2)硬件设施的使用与保管
查核点:硬件设施的使用符合公司制度,符合固定资产管理标准,符合费用化的耗材管理标准,有明确的领用与回收政策。
风险:管理不当,资产丢失,造成财产损失。
查核方法:①根据历史采购记录及信息部统计清单,盘点现有信息资产的完整性。②通过领用数据分析,检查信息资产的分布合理性,确定人员与信息资产比率同比的一致性。③检查信息资产的异动、使用、保管手续是否完整,审批权限是否完整。④公司电脑内所有应用程序需确认无盗版、均获授权。
(3)硬件设施的维护与保养
查核点:维护与保养有专门的部门负责,委外维修有定点的机构,且过程在有效的监督程序控制下,相关设备维修不会造成保密信息的泄露,不会造成资产的损失。
风险:维护与保养管理混乱,尤其委外维修可能造成重要保密信息的泄露,设备零件被以次充好地替换,或者虚报维修项目。
查核方法:①检查信息资产的维修/维护是否合理,是否经过维修/维护申请。②对委外维护设备进行抽样,检查是否与记录一致。
(4)硬件设施的报废与处置
查核点:信息资产报废经过相关审批,且经确认无公司机密方可报废。
风险:报废未经审批,相关信息泄露,造成损失。
查核方法:①检查信息资产的报废、处置手续是否完整,审批权限是否完整。②抽查报废设备是否符合记录,抽查设备记录中是否仍有重要资料保留。
2. 中心机房管理
详情请参阅各公司《机房及数据中心建设管理标准》《信息系统备份与恢复管理标准》等文件细则。
(1)灾难恢复计划
查核点:有完备的灾难恢复计划,有符合规定的异地备份和定期备份措施。确保系统备份的完整性和有效性。
风险:①缺乏明确的定期备份制度,可能导致关键数据未备份,在出现灾难或其他意外事件时无法完成数据恢复。②系统备份缺乏完整性和有效性的测试,可能导致残缺数据被长期反复备份或备份的数据无法被恢复的风险,造成定期备份制度流于形式,缺乏实际作用。
查核方法:①获取备份策略的配置,检查备份策略是否符合备份规定,包括备份频率、备份范围、备份介质、备份数量、异地备份和检查责任人等内容。②取得备份恢复测试报告,检查备份数据恢复结果、备份数据是否有效、完整。③取得灾备计划,检查是否对公司数据损坏恢复措施和业务持续运行计划进行了规范。④取得灾备演练记录,检查是否按照灾备计划对关键信息系统执行了演练,以及演练结果是否符合业务持续性的预设目标。
(2)中心机房管理
查核点:维护机房的物理安全。
风险:公司机房缺乏物理安全控制,增加了机房遭到破坏或敏感数据遭泄露的风险。
查核方法:①确认公司是否制定了计算机机房管理制度,是否规定了外来人员进入机房必须有专人陪同并进行登记。②确认机房维护人员是否定期进行现场设备巡检,并记录情况,检查每天进行机房巡检的相应书面记录。③检查公司机房是否配备不间断电源(UPS)进行断电保护,是否定期进行检查,并做充放电。④检查机房是否有恒温、恒湿的测量仪器,检查测量仪器的读数是否与规定的温度、湿度一致。
(二)软件系统
1. 制度与权责管理
详情请参阅《信息系统备份与恢复管理标准》《框架协议开发管理流程指引》《信息系统运维管理制度》《信息系统安全及介质保密管理标准》《信息化工作管理标准》《软件系统管理标准》《网络系统管理标准》《信息安全管理标准》等文件细则。
(1)信息系统管理制度
查核点:信息系统的安全控制活动应被规范和标准化。
风险:信息工作缺乏规范指引,导致无法对业务控制活动进行纠偏。
查核方法:①检查是否编制了程序和变更的标准文件,明确了程序立项、测试验收、上线审批、数据迁移、代码规范等标准。②检查是否编制了数据安全和访问权限的标准文件,明确了应用系统、数据库、操作系统、网络的权限、密码策略、审计日志、权限审阅、网络安全、防病毒、机房安全等标准。③检查是否编制了计算机运维的标准文件,明确了软硬件的维护、故障处理、备份规范、备份恢复和灾备标准等事项。④检查公司是否编制了信息系统的分级标准,明确了不同信息系统的等级标准和管控措施。
(2)信息系统管理权责分离
查核点:信息系统管理部门的工作职能设定清晰,岗位职责分工科学合理,满足企业信
息系统管理的需要。
风险:信息系统管理部门的工作职能设定不清晰,岗位职责不合理,可能造成管理混乱,并增加不相容职务由同一员工兼任的可能性,进而增加舞弊的风险。
查核方法:①访谈了解账号及权限管理机制:是否制定了正式的账号及权限管理制度,对账号及权限的日常变动、账号及权限的定期审阅管理进行规范;访谈了解内审部门是否对账号及权限进行适当监控。②获取账号及权限管理制度,检查制度设计的有效性。
2. 系统开发
详情请参阅各公司《框架协议开发管理流程指引》《软件系统管理标准》等文件细则
(1)业务规划
查核点:①信息系统的战略和规划与公司业务和战略目标相适应,并根据发展规划制定切实可行的实施计划。②明确信息系统的开发需求。
风险:①信息系统缺乏规划或规划不合理,可能造成信息孤岛或重复设置,导致无法满足公司经营发展需要或造成资源浪费。②开发需求不明确或者与业务需求不一致,导致开发偏离实际需求的风险上升。
查核方法:①获取项目开发需求,检查其是否包含在公司的年度信息化规划中。②获取项目开发需求,检查是否明确各项开发设计的关键要素,包括但不限于,开发目标、人员配备、职责分工、预算、进度等。③涉及业务外包或外购的开发项目,应获取开发合同及其附件,检查该项目是否经过了询比价和招投标。
(2)成品软件采购
查核点:有明确的采购计划,使用正规渠道的正版软件,明确软件安装和使用,确保软件安装的可靠性。
风险:采购盗版软件给后续升级带来困难,同时存在法律风险。缺乏软件安装管理机制,可能导致员工私自安装与工作无关的软件,并增加系统遭受病毒感染或入侵的风险。
查核方法:取得业务人员软件安装申请记录,查看是否就安装软件的名称、原因进行了说明;该软件安装申请是否经过适当审批;是否由智能制造管理部系统管理员完成安装操作。
(3)系统开发
查核点:①实时监督系统开发流程,确保进度按时完成。②开发和用户接受性测试应有单独的环境,并且程序师/开发人员不应有权限进入用户接受性测试环境。
风险:系统开发蓝图不周全,项目管理不当导致项目质量不高,无法保证工作进度且无法控制成本,未经测试或者测试不完全就匆忙上线实施,带来无法顺利运行的风险。
查核方法:①获取与外包商签订的服务合同,检查是否包含明确的项目进度安排或项目计划书。②获取项目进度文件,检查外包商是否每周制作包含本周工作内容、具体完成时间和工作计划的进度安排表并提交至项目组审核;检查项目组与外包商的例会是否保留了会议纪要。③通过询问确认新系统移植到实用环境前是否获得了业务所有者/用户适当的授权。④检查测试计划和结果和用户接受性测试签署表(现场核实有3个分离的环境——生产、测试、开发,如果可能取得截屏)。
(4)数据迁移
查核点:制订详细的数据收集/迁移计划,确保数据收集/迁移的完整性和安全性。
风险:缺乏详细的数据收集/迁移计划,无法保证数据的完整性和安全性,可能造成敏感数据丢失或泄露。
查核方法:取得数据收集/迁移计划,检查其中是否包括数据回退机制和数据核对方式,并按照计划执行实际操作;检查数据收集/迁移结果是否经过业务部门验收。
(5)软件系统的维护
查核点:①定期更新安全补丁并明确安全补丁的更新设置。②系统故障得到有效处理、报告和记录。③软件和硬件的问题被及时发现、处理和记录。
风险:①安全补丁缺乏定期更新机制,可能导致系统潜在的安全漏洞不能及时被处理,从而增加系统被入侵的风险。②系统故障和软硬件问题未能有效处理并及时报告和记录,可能导致故障长期得不到解决,进而降低生产效率;对于一些普遍的问题,未及时记录上报可能造成其他下属公司无法在故障产生前及时消除隐患。
查核方法:①获取信息系统的更新历史记录,检查安全补丁更新是否及时,并且经授分权体系审批后方才进行安装。②获取故障记录台账,检查故障台账是否记录了必要的信息,包括故障出现的时间、受到影响的系统、故障原因、故障解决时间、解决方案等;检查故障请求是否被及时解决和关闭。③观察运维监控系统,检查监控系统是否正常运作,即有效监控和记录各类、批处理作业的运行情况。④检查故障处理台账,检查是否记录了对后台作业、设备巡检中的问题处理情况。
(6)系统更换与处置
查核点:明确信息系统的变更需求和流程。
风险:信息系统缺乏变更管理规章制度,可能导致用户在管理层不知情的情况下进行不当的更改,导致系统所依据的程序、算法、配置及数据的异常变化。
查核方法:①查看公司信息系统一般变更的申请,检查是否就变更原因、事项进行了说
明,且经过适当审批。②访谈了解公司近期是否存在信息系统的重大变更;若有,检查是否制定了系统变更方案和测试方案,并经过适当审批。
3. 账号与权限管理
查核点:应用系统的账号及权限的申请需要经过有效的审批或授权,审批时应对照实际业务进行检查,确保用户权限符合业务需要和职责分离要求。
风险:用户不当地创建、删除或修改账号权限,可能导致用户账号管理混乱,在管理层不知情的情况下对系统配置、算法及程序作出不当修改,影响计算机生成信息和自动化控制的可靠性,并增大舞弊的风险。
查核方法:①访谈了解是否存在正式的应用系统层面的用户账号及权限管理流程。②检查账号及权限新增/变更/删除的适当性:获取账号及权限变更日志,了解被更新的账号,并以账号更新次数为样本总体,适当抽取样本,并获取相应的权限申请单,检查是否经过有效审批。检查系统中用户的实际权限是否与申请单中一致。检查系统中账号及权限维护的时间是否与申请表单一致。询问与样本账号有关的部门及人力资源负责人,了解系统中账号及权限维护的时间是否与实际情况一致。
4. 信息安全管理
查核点:①建立健全规范的日志审核操作。②建立健全规范的密码策略。③明确网络病毒的防御机制并定期检查网络安全。
风险:①未能对信息系统进行有效的日常维护并对系统日志进行检查,可能导致信息系统运行效率降低,无法发现违规操作,或公司无法尽快查明故障原因并迅速应对。②密码策略不规范不健全,可能导致用户制定的密码过于简单,无法有效防范系统入侵风险。③缺乏网络病毒防御机制和定期检查机制,可能导致系统遭受病毒入侵,进而影响系统运行,并泄露敏感信息。
查核方法:①检查信息共享中心服务器日志是否按照规定定期进行存储,并由服务器管理人员进行定期审核。②获取系统日志,检查日志的创建时间是否连续;检查集团信息共享中心系统管理员是否对系统日志定期审核。③获取公司员工和后台的密码策略的配置,检查是否按照集团信息共享中心制定的密码策略基线,在系统中约束密码设置条件。④获取网络监控记录,检查公司是否定期监控网络运行状况,并编制信息安全报告。⑤向信息部门的有关人员询问公司是否对服务器进行病毒管理,并定期升级病毒库,确保服务器与客户端安全。
5. 数据保密
查核点:①建立安全保密和泄密责任追究制度。②对于存储重要信息的涉密设备进行严
格的规定和管理,对涉密或关键数据的传输采取加密措施。
风险:①缺乏安全保密制度和泄密责任追究制度,可能导致员工对泄密的严重性缺乏认识,因而缺乏保密意识。②缺乏涉密设备的管理规定,可能增加技术机密和关键数据遭泄露的风险。
查核方法:①获取关键岗位的员工劳动合同,检查公司在与员工签订的劳动合同中是否包含保密条款;保密条款是否就保密范围、保密内容、泄密责任追究措施等进行明确。②访谈涉密岗位的员工和现场观察,对于涉密计算机,是否遵循“专机专用”的原则配置,确保涉密电脑仅能连接公司内网,并严禁涉密计算机与任何外部网络互联;检查是否设置专人对涉密电脑、系统导出的数据进行解密。
审计发现:
1. 硬件系统
该案例中,硬件部分主要从需求与采购、使用与保管、维护与保养、报废与处置等方面对配件及相关低值易耗品、固定资产、弱电工程维保等模块实施审计,发现与之相关的诸多制度未有效落实,部分环节管理存在缺陷和异常。图中斜体字部分为存在异常的环节。审计发现具体如下:
硬件采购流程图:
(1)硬件设施的需求与采购
1)电脑等电子产品价格常年未变动,不符合市场趋势(电子产品价格基本是下行趋势)。查看公司主要使用的3款笔记本电脑,价格持续8个月以上未变动,且比ZOL(中关村在线)电脑报价高,不符合成本效益,见表。
2)加墨未经过需求部门签字确认,同时存在大量送货单号在前,实际送货日期在后之状况,不符合常理及内控管理原则,加墨之真实性不能确定,见表。
(2)硬件设施的使用与保管信息化固定资产管理与制度要求存在严重脱节,且部门间的协作未有效衔接。
具体表现为:①财务会计科与信息化科未对资产编码、领用进行联动作业,导致领用资产无编码或信息化编码与财务编码不一致;②使用部门与信息化科未有效协作,资产异动未提报信息化科,导致资产较难定位及监控;③未定期对固定资产进行盘点统计,在资产较为混乱之状况下,资产闲置及流失风险较大,详细如图。
1)硬件设施出入库及库存管理未完整登记并形成可查台账,不能有效追踪硬件流向,存在资产不能保全及利用不足等风险,与《信息设备维护管理标准》的规定不符。查看2015年资产入库及领用记录资料,电脑入库及出库登记144台,实际财务入固定资产账459台,差异315台,差异比例达219%,见表。
2)固定资产账实不符状况严重,信息化科与财务会计科未进行统一的固定资产编码管理,
编码规则不同且未有效执行,账、卡、物不能对应,不能有效防止固定资产闲置及流失,与《固定资产管理标准》文件中的规定严重不符。2016年3月16日对公司电脑(不含员工使用的平板电脑)进行盘点,差异极大,差异部分较难进行追溯。盘点状况见表。
3)电脑等资产异动,未及时提报信息化科做相关登记,电脑资产不能有效管理及追溯,在制度层面及内控管理原则层面存在缺陷。盘点过程中发现大量账面记录与实际电脑放置不能对应的状况,且此部分未纳入制度管理。
2. 软件系统
软件类审计以生命周期为主线,从信息系统的规划和组织、采购和上线、交付和售后、监控和评价四个方面展开,发现流程、制度、执行等方面均存在缺陷和异常。
信息系统业务规划与评估信息化系统分为系统软件和应用软件,参照《信息设备维护管理标准》和信息化科的岗位职责(①负责公司信息化项目的策划、分析;②负责组织对信息化项目进行评审;③负责收集业务部门各类信息化需求;④负责技术获取的整个过程,即技术方案付诸实际的过程;⑤负责各系统的日常运维工作),发现公司信息化科在信息化业务规划与评估过程中尚存在诸多缺陷:
1)系统软件建设
信息化科缺少对于公司信息的战略规划,缺少一个大型系统跟软件,目前工作只是在满足业务部门提出的需求的基础上建立软件系统,造成公司各系统软件功能单一,相互间功能有重叠,运行系统软件多,数据库不兼容。
信息化科尚未建立完善的风险评估机制。在风险发生时,管理层无法知晓风险评估结果,可能会导致信息技术的风险管理与公司的整体风险管理目标脱节,对公司财产和发展造成不利影响。
信息化科人员能力尚待提高。经过咨询、沟通、评估,目前信息化科人员力量能满足日常的硬件系统维护、应用软件的处置,但系统开发、系统安全维护方面的能力尚需大幅度提高。
信息化科尚未针对公司的业务需求及IT人员的发展规划制定培训计划并组织相应的培训。缺少必要的培训,IT人员可能无法具备必要的专业技能,具体的IT职能可能无法得到持续、有效的履行,业务部门的需求可能无法得到满足,进而使企业遭受损失。
2)应用软件管理
信息化科缺少对应用软件的管理手册和办法,缺少台账管理制度。信息化科对目前公司具体有多少应用软件,以及软件版权是否存在法律纠纷等问题尚未引起足够的重视。
信息化科对电脑程序的管控尚存在缺失。参照《信息设备维护管理标准》,软件的日常维护,办公软件、研发软件等正版软件由信息化科统一分配并安装,公司员工需要使用或安装新软件时,需填写信息化报修单。信息化科管理员须不定期对各电脑软件进行检查,发现USB接口、电脑安全、访问外部网址的管控、应用软件的装载等问题后未采取具体管控措施,或者未按照制度执行。
3)软件外包
开发参考《信息化项目实施与维护管理标准》《运维服务商管理办法》《运维服务管理制度》和外包开发合同,并走访了相关软件使用部门发现:
开发合同上缺少对软件源代码的相关要求条款,这样易造成软件归属权不清晰,可能导致公司定点开发的软件成果流入其他单位,后续软件升级受制于开发单位。
大部分软件开发缺少相关书面文件。分析控制不足,缺少相关文件支持,无法确定是否已细致分析企业组织结构,是否确定用户功能和性能需求,是否确定用户的数据需求等。另外,后续拓展性考虑不充分,对功能增加和软件升级的端口预判性不足。
设计控制不足,部分软件设计界面未考虑是否方便用户使用;缺少审计控蓝图,无法判断设计是否与业务内容相符;性能能否满足需要,是否考虑到故障对策和安全保护等。
参考《信息化项目实施与维护管理标准》《运维服务商管理办法》《运维服务管理制度》,信息化科未严格按照相关规定对变更需求申请、审批、开发、测试、实施上线以及后台数据修改等步骤进行操作,同时部分变更测试结果记录也未进行妥善保存。
例如ERP系统程序变更需求/上线未经过IT部门领导正式审批。ERP系统开发、测试和执行人员尚未进行有效的职责分离,且部分变更由第三方系统服务商使用系统管理员账号部署至生产环境,但并未对其操作进行有效管理和监控。后台数据修改申请未经IT部门领导审批,且申请部门未对修改后的数据进行确认。
4)账号安全与权限管理
《信息安全管理制度》《QHLB信息系统用户权限及口令管理办法》制度对公司系统账号及信息安全做了较为详细的规定,但在审计过程中发现,账号管理方面对制度的遵从度极低,存在大量密码为原始密码和密码单一的情况,和部分调岗及离职人员账号权限未变动的情况,信息安全和授权管理的权责风险较高。
如表所示,OA系统账号存在密码单一或为初始密码的情况,与信息化制度《QHLB信息系统用户权限及口令管理办法》不符,存在较大的泄密及授权异常风险。
如表所示,ERP系统账号存在大量密码为公司统一初始密码的情况,其中涉及财务、采购、仓库、物流等敏感或物资管控部门,与信息化制度《QHLB信息系统用户权限及口令管理办法》严重不符,存在较大的泄密及授权异常风险。
如表所示,4.3共享件夹中部分较为机密信息未设置访问权限及密码,涵盖公司战略、员工明细、体系文件、专利、工作规划等大量较为机密资料,违反《信息安全管理制度》,信息安全存在缺陷,存在较大机密信息泄露风险。
3. SAP系统
系统运维制度不完善,缺乏明确的责任主体,体系未落地。
根据《信息系统运维管理制度》中对SAP系统运维的流程与管理的简要说明,实际运行中存在问题:仅由信息部对运维问题进行判定,没有多方参与的运维领导组织。
(1)运维问题的责任方
包括:SAP外部实施方(系统bug,合同内或应有的系统功能缺失等)、SAP内部实施团队(因考虑不周、沟通与协调不畅等,导致业务需求未满足)、业务部门(新提出的业务需求)。
(2)仅由信息部对运维问题进行判定
1)目前,关键用户负责对运维问题进行初审,并向事业部、板块、集团信息部SAP运维人员反馈、报批。
2)未建立运维团队的组织架构,原内部实施人员回归本职工作后,兼任运维工作,岗
位职责、考核等不清晰。
3)板块、事业部与项目公司中,信息、财务、供应链、生产等各业务部门的关键用户与内部顾问均参与系统运维,但没有具体的组织架构、岗位职责与考核体系。
4)运维问题的责任界定不清晰,缺乏落实责任的机制。
5)目前,对于未解决的问题未界定问题的责任对象(外部、内部),且无相应的追偿、考核或奖惩措施。如问题暂时无法解决,主要的方案是推迟至项目二期执行。