信息系统安全审计管理制度

关键词： 界限 革新 信息系统 信息技术

信息系统安全审计管理制度（共8篇）

篇1：信息系统安全审计管理制度

信息系统安全审计管理制度

第一章 工作职责安排

第一条 安全审计员的职责是： 1.制定信息安全审计的范围和日程； 2.管理具体的审计过程；

3.分析审计结果并提出对信息安全管理体系的改进意见；

4.召开审计启动会议和审计总结会议； 5.向主管领导汇报审计的结果及建议； 6.为相关人员提供审计培训。

第二条 评审员由审计负责人指派，协助主评审员进行评审，其职责是：

1.准备审计清单； 2.实施审计过程； 3.完成审计报告；

4.提交纠正和预防措施建议； 5.审查纠正和预防措施的执行情况。第三条 受审员来自相关部门，其职责是： 1.配合评审员的审计工作； 2.落实纠正和预防措施； 3.提交纠正和预防措施的实施报告。

第二章 审计计划的制订

第四条 审计计划应包括以下内容： 1.审计的目的； 2.审计的范围； 3.审计的准则； 4.审计的时间；

5.主要参与人员及分工情况。第五条 制定审计计划应考虑以下因素： 1.每年应进行至少一次涵盖所有部门的审计； 2.当进行重大变更后（如架构、业务方向等），需要进行一次涵盖所有部门的审计。

第三章 安全审计实施

第六条 审计的准备：

1.评审员需事先了解审计范围相关的安全策略、标准和程序；

2.准备审计清单，其内容主要包括： 1)需要访问的人员和调查的问题； 2)需要查看的文档和记录（包括日志）； 3)需要现场查看的安全控制措施。

第七条 在进行实际审计前，召开启动会议，其内容主要包括：

1.评审员与受审员一起确认审计计划和所采用的审计方式，如在审计的内容上有异议，受审员应提出声明（例如：限制可访问的人员、可调查的系统等）； 2.向受审员说明审计通过抽查的方式来进行。第八条 审计方式包括面谈、现场检查、文档的审查、记录（包括日志）的审查。

第九条 评审员应详细记录审计过程的所有相关信息。在审计记录中应包含下列信息：

1.审计的时间；

2.被审计的部门和人员； 3.审计的主题 ； 4.观察到的违规现象；

5.相关的文档和记录，比如操作手册、备份记录、操作员日志、软件许可证、培训记录等； 6.审计参考的文档，比如策略、标准和程序等； 7.参考所涉及的标准条款； 8.审计结果的初步总结。

第十条 如怀疑与相关安全标准有不符合项的情况，审计员应记录所观察到的详细信息(如在何处、何时，所涉及的人员、事项，和具体的情况等)并描述其为什么不符合。关于不符合的情况应与受审员达成共识。

第十一条 在每项审计结束时应准备审计报告，审计报告应包括：

1.审计的范围；

2.审计所覆盖的安全领域； 3.审计结果的总结；

4.不符合项，不符合项的具体描述和相关证据； 5.纠正和预防措施的建议。

第十二条 不符合项是指与等级保护基本要求不一致的情况。产生不符合项可能是由于与相关的规定不一致，包括：

1.等级保护基本要求； 2.信息安全策略； 3.相关标准和程序； 4.相关法律条款； 5.本单位的相关规定；

6.任何其它在客户合同中规定的要求。

第十三条 不符合项可以细分为“主要”或“次要”。如果所发现的不符合项属于下列任何一种情况，此不符合项应被分类为 “主要”的：

1.会导致系统、程序或控制措施整体失效； 2.操作过程没有形成标准的文档；

3.累计多个同一类型的“次要”不符合项； 4.对信息安全管理体系的未授权变更。

如果所发现的不符合项属于个别事件，此不符合项将被分类为 “次要”的，例如：

1.未标识信息安全分类的文档； 2.没有被管理层审阅的事故报告； 3.不完整的变更记录； 4.不完整的机房进出记录。

第十四条 造成不符合项的原因可以分为以下几种： 1.其文档化的标准和程序与信息安全策略不一致； 2.实际的操作与文档化的标准和程序要求不一致； 3.实际的操作没有达到预期效果。

第四章 安全审计汇报

第十五条 召开审计总结会议。应总结汇报以下内容： 1.审计的目标和范围； 2.审计的时间； 3.参与审计的人员；

4.审计报告（包括纠正和预防措施的建议）； 5.提交审计报告的副本供受审员参考。第十六条 在总结会议上，受审员应阐述任何疑问。

第五章 纠正和预防措施

第十七条 纠正和预防措施应该包括问题描述、根本原因、应急措施（可选）、纠正措施以及预防措施。

第十八条 受审员必须制定纠正和预防措施的实施计划。

第十九条 受审员应在规定时间内向评审员提交纠正和预防措施的实施报告。

第六章 审计纠正和预防措施的实施状况

第二十条 评审员应在受审员提交报告的3个月内，审计纠正和预防措施的实施状况。

第二十一条 审计纠正和预防措施应包括：面谈、现场检查、文档的审查以及记录（包括日志）的审查。

第二十二条 评审员根据受审员提交的纠正和预防措施实施报告，收集、记录和审查相关证据。

第七章 审计结果的审阅

第二十三条 安全审计员应审阅和分析所有审计结果。第二十四条 受审员的领导在审阅审计结果时，应分析的事件包括审计计划、此次审计结果和上次审计结果的比较、纠正和预防措施。

第八章 附 则

第二十五条 本制度由某某单位负责解释。第二十六条 本制度自发布之日起生效执行。

篇2：信息系统安全审计管理制度

信息系统安全审计定义与发展

信息系统安全审计是评判一个信息系统是否真正安全的重要标准之一。通过安全审计收集、分析、评估安全信息、掌握安全状态，制定安全策略，确保整个安全体系的完备性、合理性和适用性，才能将系统调整到“最安全”和“最低风险”的状态。安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段，也是威慑、打击内部计算机犯罪的重要手段。在国际通用的CC准则（即ISO/IEC15408-2:1999《信息技术安全性评估准则》）中对信息系统安全审计（ISSA，Information System Security Audit）给出了明确定义：信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析；审计记录的结果用于检查网络上发生了哪些与安全有关的活动，谁（哪个用户）对这个活动负责；主要功能包括：安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等。这是国际CC准则给出的一个比较抽象的概念，通俗来讲，信息安全审计就是信息网络中的“监控摄像头”，通过运用各种技术手段，洞察网络信息系统中的活动，全面监测信息系统中的各种会话和事件，记录分析各种网络可疑行为、违规操作、敏感信息，帮助定位安全事件源头和追查取证，防范和发现计算机网络犯罪活动，为信息系统安全策略制定、风险内控提供有力的数据支撑。

（一）国内信息系统安全审计发展历史与国外相比，中国的信息系统安全审计起步较晚，相关审计技术、规范和制度等都有待进一步完善。随着我国信息化水平快速提高，信息系统安全审计正逐渐成为国内信息系统安全建设热点之一。我国的信息系统安全审计发展可分为两个阶段：1999年-2004年 信息系统安全审计导入期1999年财政部颁布了《独立审计准则第20号-计算机信息系统环境下的审计》，部分内容借鉴了国外研究成果。这是国内第一次明确提出对计算信息系统审计的要求。同年,国家质量技术监督局颁布《GB17859-1999 计算机信息系统安全保护等级划分准则》,该准则是建立计算机信息系统安全保护等级制度，实施安全保护等级管理的重要基础性标准，其中明确要求计算机信息系统创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。”2005年-2009年 信息系统安全审计的快速成长期随着互联网在国内的迅速普及应用，推动国内信息系统安全审计进入快速发展阶段。国家相关部门、金融行业、能源行业、运营商均陆续推出多项针对信息系统风险管理政策法规，推动国内信息系统安全审计快速发展。目前，随着信息安全建设的深入，安全审计已成为国内信息安全建设的重要技术手段。总体来看，由于信息系统发展水平和业务需求的不同，各行业对安全审计的具体关注点存在一定差异，但均是基于政策合规、自身安全建设要求，如：政府主要关注如何满足“信息系统安全等级保护”等政策要求的合规安全审计；电信运营商则基于自身信息系统风险内控需求进行安全审计建设。

篇3：信息系统安全审计管理制度

随着医院信息化应用的日益普及和深入, 大部分医院都针对操作系统、应用系统和网络连接等安全性, 采用防火墙、入侵检测、内网监控、防病毒等权限控制和安全审计措施, 但作为信息系统核心的数据库的访问监测和安全审计却没引起足够的重视。

数据库安全不仅包括其自身的用户验证和访问控制, 还包括内部操作风险威胁和合法权限的合理使用。在数据库系统实际运行中, 有70%以上的安全威胁都源于内部人员攻击, 比如具有合法权限的角色对数据访问的逻辑合理性;非法获知他人的用户及密码造成合法权限的转移。入侵检测和访问控制等机制对这类攻击的防范能力非常有限, 不可能做出正确的响应。[1]医院信息系统数据库存储着患者的疾病诊断、治疗方案、检查检验结果、处方、医疗费用等敏感信息, 这些信息的非法访问和修改将会造成重大的医疗纠纷及经济损失。作为安全事件追踪分析和责任追究的数据库安全审计的运用是必要的, 通过对数据库操作的痕迹进行详细记录和审计, 使数据的所有者对数据库访问活动有据可查, 及时掌握数据库的使用情况, 并针对存在的安全隐患进行调整和优化。

2、四种数据库安全审计方案的比较

数据库审计包括对数据库的启动、关闭, 用户的连接信息及SQL语句的操作进行安全审计。本节将针对各种方案进行比较, 比较内容有:是否能解析出数据库的数据操作命令、SQL语句、存储过程等, 重点关注其操作的时间、地址、用户、事件、过程、返回结果等;是否可对审计数据从多角度进行统计分析, 识别风险所在和优化应用系统;是否可实现有针对性的设置审计规则进行事中监督, 及时发现各种异常、可疑事件并进行督察核验, 提高内控管理水平和应变能力。

2.1 基于数据库系统自身审计功能的方案

大型数据库系统都有提供对数据库操作的权限、对象、语句、网络进行监视和审计功能。审计内容包括用户、时间、终端标识号、sql语句等。Oracle甚至推出了针对select、insert、update、delete四种语句的细粒度审计 (FGA) , 当满足设置检查条件时, 可以细粒度到对指定时间段期间的操作、表中某列的值进行审计。

基于数据库系统自身审计功能开启时, 需要开销大量数据库系统资源 (包括CPU、内存、磁盘I/O等) 用于审计活动。随着审计细粒度的细化, 系统资源的开销成几何速度增长, 在业务繁忙的时间段矛盾更加突出, 但过粗的审计细粒度又无法满足要求。因为无法在数据库服务器的系统资源开销和审计细粒度之间取得平衡, 绝大部分应用系统为了不影响业务系统的运行, 选择了关闭数据库的审计功能。

2.2 基于数据库日志文件的方案

大型数据库的每个操作首先记录在日志文件中, 日志文件记录了数据库的更改的时间、类型、SCN号和用户信息等。通过分析各个时间段的日志文件内容, 可以查看数据库的各种操作信息。可以利用日志文件的格式化工具生成数据库的DML和DDL操作信息进行审计, 缺点是不能对select操作审计[2], 不能实时获得异常审计数据。

2.3 基于触发器的方案

数据库一般都会为DML、DDL、LOGON、LOGOFF、SHUT-DOWN、SERVERERROR等事件提供触发器, 当事件发生时会触发一条或一系列SQL语句。通过该SQL语句可以把审计需要的帐户信息、操作时间、操作语句、新旧值等审计信息存入指定的数据表, 审计系统根据需要设计程序对该数据表进行分析和审计。如果管理员对数据库的结构很熟悉, 触发器审计实现就很容易, 审计设计不必修改应用程序, 审计和应用没有必然的关联。

基于触发器的数据库安全审计, 需要开销一定的数据库服务器资源。不能对select操作审计, 对操作者地址的记录比较困难。

2.4 基于旁路监听的方案

基于旁路监听的数据库安全审计分为数据采集、数据解析、数据分析三部分。数据采集引擎通过旁路监听的方式接入核心交换机, 通过设置端口镜像模式或TAP分流监听模式, 使采集引擎能够监听到与数据库进行通讯的所有操作, 并根据数据库操作协议进行还原和整理, 发送到数据解析中心。数据解析中心根据事先设置的数据解析和事件关联规则, 通过接收数据采集引擎的数据库操作数据, 进行数据库操作的关联解析, 将结果发送给数据分析中心。数据分析中心根据数据库管理者对数据库需要监控的内容, 设置数据库审计规则, 当接收到的解析结果符合管理员设置的审计规则时, 数据分析将实时的给予报警。

基于旁路监听的数据库安全审计方法, 审计过程不需开销数据库服务器性能, 同时也不需改变原有的网络拓扑, 对网络资源的开销只局限于主交换的端口镜像。可以审计DML和DDL操作的用户、时间、终端标识号、SQL语句等信息, 并可以把不同类型的数据库 (ORACLE、MSSQL等) 的审计集中在一个管理平台, 简化管理和操作。对于三层结构 (C/C/S或C/C/B结构) 的系统, 数据库服务器只能获取中间层应用服务器的IP而无法获得用户名及用户IP, 因此前几种审计方法都无法实现对其用户名及用户IP的审计。基于旁路监听的数据库安全审计可以利用数据库的会话标识符的唯一性, 使得审计记录可以关联到用户名及用户IP。[3]

基于旁路监听的数据库安全审计方法存在的两个重要的缺点:当审计设备故障或人为断开网络时, 就无法采集审计记录;在数据库服务器上对数据库进行操作时, 其操作语句没有经过网路传输, 审计设备无法获取审计信息。

3、方案选择

通过对以上四种方案优缺点的分析, 结合我院信息系统是三层结构的特点, 采用了以基于旁路监听的数据库安全审计为主要审计方案。同时开启ORACLE的细粒度审计功能, 设置只有操作语句的终端标识号是本地的SQL语句给予记录, 并追加到基于旁路监听的数据库安全审计系统的审计结果数据库中, 由其数据分析系统综合分析产生用户设定规则的审计结果。

针对审计设备故障或人为断开网络问题, 设计了审计数据服务器实时侦测审计设备的状态, 发现用户预设的报警条件被触发, 就会通过网络或短信实时给管理人员发送信息。

4、医院信息系统中应用的探讨

根据医疗行业及其应用系统的特点, 以操作行为的正常规律和规则为依据, 对相关计算机系统进行的操作行为产生的动态或静态痕迹痕迹进行监测分析, 发现和防范内部人员借助信息技术实施的违规和犯罪。对信息系统运行有影响的各种角色的行为过程进行实时监测, 及时发现异常和可疑事件, 避免内部人员的威胁而发生严重的后果。

4.1 合法权限滥用的监控

系统对非夜班科室工作站在班外时间段由于业务操作引发的数据库访问, 应用模块在非设定的工作站上发生了相关操作引发的数据库访问, 出现业务系统之外的仿冒应用程序对业务数据库进行访问以及数据库管理人员在业务窗口进行远程数据库访问等进行实时监控。

4.2 存储过程的管理

存储过程调用在网络上传输的是参数, 没有具体的SQL语句, 审计系统很难根据SQL语句的特征进行监控, 对其监控主要是设置白名单, 并对名单设置审计规则。出现业务系统约定以外的存储过程调用、合法存储过程调用时出现参数异常或者调用场所异常等进行实时监控。

4.3 历史操作的重现

重点监控工作站 (收费处工作站、医生工作站、药房工作站等) 发生异常时, 可以根据审计系统中记录的数据重现错误发生过程的场景, 有利于异常原因的跟踪。

4.4 人为高危操作访问数据库的监控

删除数据库表、无条件批量删除或修改数据等数据库操作的监控审计。

4.5 敏感数据库表的操作访问的监控

对进行客户信息数据中的患者姓名、电话、余额等, 财务信息数据中的科目余额等, 药品使用情况等敏感数据的修改、删除、查询、统计等操作的监控。

4.6 应用系统级监控的定制

根据应用需求配合医院信息系统实现重复登记预交金表、重复记费、药品一次性耗材异常调价、某住院账户被大额退款或累计大额退款、住院未结帐病人被大量退款并结帐等系统经常发生又缺乏有效监控的异常操作进行应用级监控。

4.7 应用系统调优的应用

对数据库应用的来源、类型、流量、压力、性能、效率等方面的分析, 可对应用系统的数据操作层进行详细的诊断, 反作用于应用系统设计合理性的验证。

5、总结

基于旁路监听的数据库安全审计方案, 只要主交换满足端口镜像功能即可, 不需要开销其他网络和系统资源。在保证应用系统的正常运行的前提下, 监控操作员是否对合法权限的滥用、非授权访问和敏感数据的查询统计。根据审计记录所反映的SQL语句效率, 有针对性的对应用系统进行优化。

摘要：本文通过比较四种数据库安全审计的方案, 选择基于旁路监听的数据库安全审计方案作为基本的方案, 并应用了数据库细粒度审计的部分功能。探讨数据库安全审计系统监控操作员是否有合法权限的滥用、非授权访问和敏感数据的查询统计等功能, 及根据审计记录所反映的SQL语句运行效率, 有针对性的对医院信息系统进行优化。

关键词：数据库安全审计,医院信息系统,旁路监听

参考文献

[1].曹晖, 王青青, 马义忠, 罗平.一种新型的数据库安全审计系统[J].计算机工程与应用, 2007, 43 (5) :163-165

[2].梁昌明.Oracle数据库审计方法的探讨[J].中国医疗设备, 2008, 23 (4) :55-57

篇4：审计系统在电力信息安全中的运用

一个完整信息安全保障体系,应该由预警、防护、监控、应急响应、灾难恢复等系统组成。审计系统是整个监控和预警体系的关键组成部分,做好安全审计工作,能够增强电力企业对故障、风险的预警能力和监控能力,也能够为防护体系和企业的内部管理体系提供客观、有效的改进依据。

审计系统组成要素

信息系统的运行由一系列的人员行为和系统行为组成,信息系统安全审计就是采集、监控、分析信息系统各组成部分的系统行为(日志)和操作行为的过程。

全面采集。审计信息的采集过程是整个审计体系的基础。采集过程应侧重于采集方式的灵活性及采集对象的全面性。审计系统应提供多种信息采集方式对审计信息源进行数据采集,对电力系统而言,审计系统应尽量避免在主机中安装软件,串接设备方式进行采集,而应尽量通过系统自身的日志协议(如syslog协议)、旁路(如端口镜像)等更安全的方式进行。电力公司信息系统中包含有各种各样的设备,服务器系统、路由器、交换机、工作站、终端等硬件设备;各类数据库、电力应用系统、中间件、OA、WEB等软件应用系统以及管理员的维护系统、普通用户的业务操作行为、上网行为等等人员的访问行为,审计系统应该通过不同方式灵活实现对上述相关系统日志和行为的采集。

采集过程还应保障信息源的客观性,不应篡改信息的原有属性。

实时监控。利用审计系统对采集到的日志信息、行为信息进行实时分析。通过审计系统的实时监控、告警功能,定制符合电力信息系统安全需求的规则库,规则库内容应涵盖各类操作系统、网络设备、人员操作规范等范围。实时监控还应该对每台设备的日志量进行监控,对日志量剧增、剧减等情况进行提醒。

审计分析。安全审计分析是整个信息安全体系的核心组成部分之一,电力系统应该利用审计系统对网络、应用的运行情况、企业内部信息安全制度的执行情况进行周期性审计。周期性的审计是整个审计系统发挥作用的关键,没有周期性的审计,就无法及时发现信息系统中存在的安全隐患。

实施审计系统的意义

保障数据的客观性。使用第三方审计产品对各类信息系统组成要素、人员行为进行安全审计,可以避免完全由技术人员进行手工审计带来因数据恶意篡改、人为疏忽而造成数据变化,从而保证审计数据源的客观性。

保障数据的安全性。信息系统的日志、行为记录默认状态下分散存储在各主机、应用系统当中。 一旦主机操作黑客破坏,或者磁盘损坏等意外事件都有可能导致数据丢失或破坏。第三方专业审计系统在设计、开发时对安全性、可靠性均做了充分设计,可以有效地保障数据的安全性,避免上述情况的发生。

提高审计工作效率。信息安全审计工作在没有专业审计系统的情况下是一项繁重的工作,技术人员要面对数个甚至数十个主机、数据库、设备的海量日志,依靠人力根本无法完成周期性的日志审计工作,工作量的巨大直接导致目前日志分析工作都是在出现安全事件之后,有针对性的进行事后分析。

依赖于专业化的审计系统,电力信息系统可以将所有系统的运行日志均集中到审计系统中,利用审计系统高效的检索功能及自动化的审计功能帮助审计人员进行日常审计工作,从而大大减轻审计人员的工作负担,而且能够增加审计的准确性,避免了人为失误。

落实安全管理规范。在未部署审计系统之前,由于缺乏对维护人员操作的监控能力,大量的操作规范无法真正落到实处,如无法实现对telnet、ssh、RDP等维护协议的指令还原就无法知道维护人员每次维护时在操作系统内部输入了何种指令。在部署审计系统之后,通过对维护人员操作指令的定期审计,指出维护人员操作的不当或违规之处,经过一段时间的运行,就能逐步树立维护人员良好的操作习惯,避免由于人员疏忽造成的安全事故。

另外,通过审计系统也能检测维护人员是否按照信息安全管理规范对信息系统进行维护,如定期修改密码、定期备份关键数据等等。

作为信息安全体系建设的一个重要环节,日志综合审计系统在电力系统中比不可少;通过日志安全审计系统的运用,不仅能提高员工工作效率,规范维护人员良好的工作习惯,也能及时发现信息系统中潜在的安全隐患,在满足合规要求的同时,真正提高了信息系统的安全性。

篇5：信息系统安全审计管理制度

濮城油田巧用“信息技术”根治数据归整顽疾“我们对单井信息库中2400口井的常用井号与其对应的设计井号进行核实对应。我厂的生产数据与静态数据关联之后，动态技术人员就可以任意调用库中的坐标、分层等数据喽。”8月8日，中原油田采油二厂信息技术人员秦义江如是说。7月下旬，该厂借助油田信息中心在全油田范围内统一、核实井号的时机，对单井基层信息库中的设计井号字段进行了完善，此项“小举措”根除了这个厂多年来因井号不统一对应，静态数据和动态数据不能关联，数据无法共享的难题。由于新井在输入井号时使用的是汉字井号，一些诸如坐标库、井斜数据库等静态信息采用的都是汉字井号。而油藏管理区信息录入人员输入日常的油水井产量、含水等生产数据时用的是简化井号，两套数据由于井号的不一致，造成数据无法共享。因为数据归整的工作量大，组织起来困难较多等原因，该项工作一直久拖未决，并成为了多年来工作中的一个“顽疾”。7月下旬，采油二厂抓住油田信息中心统一井号之机，升级了单井基础信息库程序，从而彻底根除了此项“顽疾”。（王远程 郭焕玲）

中国石化召开《内部控制手册》宣传贯彻视频会议贯彻落实内控规范 深入实施内部控制

为全面贯彻国家内控规范，健全完善中国石化集团公司、企业两级内控制度体系，深入实施内部控制，1月25日，中国石化《内部控制手册》（2011年版）宣传贯彻工作视频会议在总部召开。会议强调，必须坚定不移地贯彻执行内控制度，实行生产经营管理全方位控制和监督。

中国石化十分重视内控制度建设，积极开展内控工作。自2003年起，股份公司、集团公司先后在国内率先建立并实施内控制度，连续5年顺利通过外部监管的审计验证，内控工作得到财政部、国务院国资委、证监会等部委的大力支持和肯定。8年来，中国石化不断健全内控体系，建立日常管理机制，持续完善内控制度，加强内控检查与考核，企业的风险防控意识显著增强，为堵塞管理漏洞、促进企业健康发展发挥了不可替代的作用。中国石化在内控工作上创新不止，内控手册的修订是又一次重大调整。新版手册在集团公司《内部控制管理手册》和股份公司《内部控制手册》基础上修订整合，首次实现了上市、非上市内控标准的统一，为提升中国石化内控管理整体水平奠定了基础。

会议指出，中国石化的内控工作尽管起步早、发展快，但整体水平还处于“合规”的初级阶段，促进企业提升价值的作用还未完全显现，内控的有效性和高效性还需进一步增强，必须从战略和全局高度，进一步提高对内控工作的认识。

会议强调，深入实施内部控制既是进一步加强公司治理、提高公司规范化运作水平的基础性保障，又是提高自我管理水平、增强抗风险能力、做优做强企业的迫切需要。各企业要积极落实新版内控手册，健全企业内控制度，完善风险管控体系。一是明确内控组织机构，配备内控专职人员；二是认真组织实施细则修订工作；三是建立内控管理长效机制；四是认真自查测试，强化考核，提高内控执行力；五是深化内部控制，建立全面风险管理体系；六是持续开展宣传培训，培育风险控制文化。

篇6：信息系统安全审计管理制度

本卷共分为1大题50小题，作答时间为180分钟，总分100分，60分及格。

一、单项选择题（共50题，每题2分。每题的备选项中，只有一个最符合题意）1.在将某自动化系统与人工系统进行比较时，审计师应该指望自动化系统具备以下哪项功能？ A：消除职责分工的需要；

B：将职责分工概念集中在电脑系统及其应用程序上； C：展示更高级别的错误； D：以上都不对。

2.制造资源计划(MRP-II)系统

A：完成企业ERP系统的后端功能。B：使用一个主产品计划。C：缺乏预测和预算。

D：完成ERP系统的前端功能。

3.以下哪项是制造业的一种产品成本? A：销售工人的车辆折旧。B：销售经理的薪水。

C：公司总部建筑物的保险费。D：工厂的财产税。

4.公司规定，必须从经过审批的卖方清单上的供应商处进行采购，这是以下哪种控制的范例？ A：预防型控制 B：检查型控制 C：纠正型控制 D：监测型控制

5.针对制造商废料处理职能的经营审计报告应当着重分析 A：废料处理过程的效果和效率，以及改进建议 B：废料存货是否列为当前的资产 C：废料存货是否账实相符

D：废料存货计价是否采取成本与市价孰低法

6.以下哪项对审计目标和审计程序之间的差别作出了最佳的解释 A：程序确立了宽泛的一般目标，目标专门针对所开展的详细工作； B：目标是为每项业务特制的，程序的应用较为通用；

C：目标界定了具体需要实现的内容，程序提供了取得目标的方式； D：程序和目标在本质上是相同的。

7.一个组织使用数据库管理系统作为数据来源。数据库管理系统支持用户使用第四代编程语言开发的软件。一些软件可以更新数据库。在评估控制进入和使用数据库的措施时，审计师最关注

A：在进入数据库之前，用户开发的应用软件在计算机上进行检测和开发； B：存在实时更新控制措施；

C：使用关系数据库模型，使得多个用户可以同时获得服务。

D：在进入数据库之前，最终用户使用数据处理通过了他们的只读程序； 8.个人电脑程序的密码用来阻止 A：不精确的数据处理； B：对计算机的非法进入； C：对数据文件的不完整更新； D：非法的使用软件。

9.以下哪种计算机控制措施对于从个人电脑向主机上载数据完整，而且没有其他数据被添加最为效果？

A：有效限制进入的密码，保证只有合法用户可以把数据上载到主机结构。B：字段层次编辑控制，检查每个字段的完整性。

C：自校验数位，保证只有有效的部分数字被添加到数据库中。D：批处理总数控制，包括控制总数和杂项总和。10.除了哪项，以下各项均是某工厂为防止排出不符合排放标准的废水的控制系统的组成部分

A：在排放前，对许可证中所指明的废水万分进行化学分析。

B：(通过政策、培训和建议标牌)详细说明哪些物质可以经工厂内的污水槽和地面排水管处理。

C：为工厂的预处理系统制定一个预防性的维修方案。

D：定期由大量净水冲洗污水槽和地面排水管，以确保污染物质被充分地稀释。11.以下哪项控制能用于检查已记录但并不存在的银行存款 A：固定现金收入点； B：尽早建立收入责任；

C：将收入与其它内部责任(如应收账款或销售额的收集)相联系； D：由第三方实施银行对账。12.3、“在个人经济方面遇到了困难”是一种 A：行为征兆。B：事态压力。C：合理理由。D：犯罪机会。

13.根据专业实务框架，内部审计活动的独立性通过以下哪项来获得？ A：人员配备和监督

B：持续的专业发展和应有的职业审慎 C：人际关系和沟通 D：机构状况和客观性

14.建立审计历史数据库的优点不包括以下哪项

A：可以更容易地确认商业环境、经济形势和竞争因素的变化 B：重视重复出现的问题

C：工作底稿的一部分可以从以前的文件中复制，并且使更新文件更为容易。D：减少了对计算机控制措施测试的数量 15.通用审计软件可以使审计人员 A：a．监视应用程序的执行。

B：b．在对主文件上用真实和虚拟的实体进行数据测试的过程中，处理这些测试数据。C：c．从文件中选取样本数据并且对计算进行检查。D：d．在正常的应用程序中插入特殊的审计例程。

16.一个设备制造商设有订货登记系统的拨号进入端口，以方便世界范围内的客户在需要的时候方便地进行订货。该制造商承诺在全世界范围内95%的零件订货可以在48小时之内送货。由于某些电子零件的成本和敏感性，供货商需要设立订货登记系统访问的安全措施。对 访问的安全性进行监视的最好技术是 A：订货登记系统的集成检测设备。B：通过订货登记系统对业务进行追踪。C：订货登记业务的业务选择。

D：对不成功的访问企图进行日志登记。

17.为鉴别通信系统的那些组成部分风险最大，内部审计师首先应该 A：确定网络的商业用途。

B：把网络软件和硬件按各自的层次绘图表示。C：检查开放系统互联网络模型。D：考查网络操作费用。

18.在考虑是否将现有的内部审计资源从正在进行的遵循性审计转向管理当局要求的某分部审计时，以下哪一种情况最不重要？

A：该分部一年前由外部审计师进行过一次财务审计。B：与遵循性审计相关的舞弊的可能性。C：过去一年中该分部费用的增长。

D：与遵循性审计相关的潜在重大违规罚款的可能性。

19.以下哪句话最好地描述了以控制为基础的控制的自我评价过程？ A：评价、改进、合理化选定的控制过程。

B：检查控制措施在控制重要风险时发挥作用的程度。C：分析控制设计与控制结构间的差异。D：决定控制的成本效益性。

20.以下哪些内容按开展初步调查的工作顺序列举了审计活动？Ⅰ。编写详细的审计程序；Ⅱ。确定被审计单位的目标、目的和标准；Ⅲ。确定有关风险和旨在防止相关损失的控制措施；Ⅳ。确定相关的审计目标。A：顺序是Ⅱ、Ⅰ、Ⅳ、Ⅲ； B：顺序是Ⅱ、Ⅲ、Ⅳ、Ⅰ； C：顺序是Ⅱ、Ⅳ、Ⅰ、Ⅲ； D：顺序是Ⅲ、Ⅳ、Ⅱ、Ⅰ

21.当前对付款活动的审计表明在应付凭单帐项处理过程中存在许多重要错误，导致了许多折扣的丧失和许多额外的调整和贷项通知单。由于有许多例外情况不得不分析，花在该部分的审计时间已超过了预计。审计师观察了每个应付凭单办事人员的操作，对应付账款、购买、收货三部门抽取了样本并分析了交易记录，得到了交易量、错误改正交易和丧失折扣摘要方面的系统资料。目前，在这三个部门中任何一个部门，在详细测试、实地观察和例外事项分析中所发现的各种错误的原因还未查明。审计师为查明原因，应采取的最适宜的行动过程是 A：询问处理应付帐款和涉及交易的人员，获取相应建议。B：扩大样本量，但抽取样本的属性与测试样本的属性相同。

C：集中精力审计现金支付方面，以期通过这些测试发现所有相关信息

D：在给管理当局的特别报告内描述和交易相关的问题，对其发生原因不作表述，也不下结论。22.根据《标准》，内部审计报告应该分发给有能力确保审计结果得到应有考虑的公司成员。对于公司的资深成员而言，一般可应用以下哪种报告来满足此要求？ A：总结报告。B：中期报告。C：口头报告。D：只有最终书面报告可以满足此要求。

23.在审计的哪个阶段，内部审计师确认出被审计活动的目标和相应的控制 A：员工挑选阶段； B：初步调查阶段； C：编制工作方案阶段； D：审计结果报告阶段。

24.内部审计部门已经对一项欺诈调查得出结论，该调查揭示出对以前从未发现的已签发财务报表的两年来的财务状况和经营结果的重大不利影响。内部审计主任应该立即通知 A：受到该发现影响的对财务报表负责的外部审计公司。B：适当的政府或管理机关。

C：适当的管理层和董事会的审计委员会。

D：最终负责编制正确日记账分录的内部会计职能部门。25.通用审计软件可以使审计人员 A：a．监视应用程序的执行。

B：b．在对主文件上用真实和虚拟的实体进行数据测试的过程中，处理这些测试数据。C：c．从文件中选取样本数据并且对计算进行检查。D：d．在正常的应用程序中插入特殊的审计例程。

26.为了增强应用软件的安全性,内部审计主管建议程序员应该配置无盘工作站.无盘工作站可以增强安全性是因为

A：促进程序员更紧密地协同工作.B：可以实施更为严格的访问控制.C：减少工作站的维护费用.D：使盗窃应用程序更加困难.27.如果内部控制非常薄弱，以下各项对组织资产的舞弊或滥用中应被确定为是风险最高的领域的是

A：高级经理使用组织的旅游招待资金进行很可能是未经批准的活动。B：向虚构的供应商购入物资。

C：资助提供给了可能与主席有关联的组织或者没有用于该组织章程规定的目的。D：工资部门职员增加虚构的员工。

28.通过内部审计部门的工作时间表，审计委员会应该总能获取充分的信息，从而决定所提议开展的审计业务是否能够 A：可能导致重要风险得到发现 B：包括充分的舞弊意识 C：支持公司目标的实现 D：可能发现控制薄弱环节

29.组织的利益冲突政策规定了违背组织最终利益和福利的任何行为。下列那项属于该政策对禁止行为的规定

A：非盈利型组织的董事会成员必须致力于环境保护； B：同时作为地方政府的兼职官员；

C：向亲戚提供组织员工的联系方式，该亲戚提供的培训有可能使组织收益； D：兼职地方大学教授。

30.如果一个国家的法律要求至少应把所发行的10%的股票留给公司员工和非股东，这种规定对现有股东会产生哪种影响？

A：该法律将使现有股东受益，因为发行价格通常高于市场价格 B：该法律有损现有股东的利益，因为发行价格通常高于市场价格 C：该法律将使现有股东受益，因为发行价格通常低于市场价格 D：该法律有损现有股东的利益，因为发行价格通常低于市场价格

31.为确保数据能完整地从终端微机传送到主机，且不存在任何外加的数据，下面哪一项计算机控制程序最有效？

A：采用校验位技术，以确保只有经批准的零部件代码能添加到数据库中。B：采用批控制总数校验，包括控制每批的数量与金额总数和杂项总数。C：设置密码，确保只有经批准的人才能将数据发送到主机。

D：设置字段编辑控制，由计算机自动检查每个字段的字母/数字的完整性。32.与内部财务报告相关的内部审计的职能是 A：保证报告程序的遵循性；

B：审查费用开支项目，并将各项与实际开支相核对； C：确定是否有雇员未经授权而进行开支；

D：确认会增大未授权费用支出发生可能性的不充分的控制。

33.应用程序可用于阅读包括服务器上所有经过授权的访问用户编码的文件，以下哪种控制措施可防止这种情况的发生？ A：内部加密的口令 B：口令等级 C：登录口令

D：同行对同行网络

34.某大型零售公司新上任的首席审计执行官对审计活动中对商店广泛使用符合性测试表示质疑，他声称这个方法不符合重要性原则。下列陈述中哪一条是对这位首席审计执行官的说法最合理的反应？I、重要性不仅与每一商店的规模大小有关，也与影响整个组织的控制结构有关。II、根据定义，任何偏离规定控制程序的情形都是重要的。III、确保公司控制结构中重要的金额都受到检查的唯一方法是全面审计所有商店。A：只有I B：只有III C：只有I和II D：I、II和III都对

35.从理论上讲，公司为财务报表列报之目的而选择的最佳折旧方法应该是 A：最方便簿籍并能满足成本——效益要求的方法

B：使公司得以报告相关结果的方法，这些结果能力最低成本吸引最高投资 C：将应税收入讲到最低的方法

D：将资产的使用期限与其所产生的收入都匹配的方法

36.在六西格玛方法中，在以下哪一个阶段中使用了因果关系图? A：定义 B：分析 C：改进 D：控制

37.内部审计主管设置了一套电算化的电子数据表，以便对组织内不同部门进行风险估计。该电子数据表包括下列因素①部门经理完成利润指标的压力。②经营活动的复杂程度；③部门员工的胜任程度；④部门内会计账户受主观影响的美元余额，例如退休后津贴(Post-retirement benefit)等费用账户即受管理当局决策影响。内部审计主管召集了审计管理层的会议，以达成对部门员工胜任情形的共识。其他因素则由负责具体部门审计的审计经理 来估定。审计主管对各因素设定了0.5至1.0的权数，然后计算出综合的风险系数。下列关于风险评估程序的陈述中，正确的是

A：风险分析是不恰当的。因为它混同数量因素与质量因素，因而不可能进行预值的计算。B：将各因素按高、中、低等离散水平来测定风险的风险估计程序是不适合的，因为风险级别不可量化；

C：仅数的确定具有主观性，必须通过多元回归分析等程序来确定； D：通过集体的主观一致意见来评估员工的胜任情况是恰当的。

38.以下哪项内容会提醒管理层警惕研究部门发生的问题(如应用过时的设备和工艺等)？ A：执行预算，要求管理层对每年分配给研发部门的金额进行签字批准 B：每月对实际开支与预算开支进行比较

C：定期将研究活动与同一领域的其他企业的研究活动进行比较

D：研发设备所发生的所有资本开支均需得到审查和部门经理的签字批准 39.在修改项目进度时，以下哪项活动通常代表了缩短更多时间的机会。A：更短的持续时间 B：更长的持续时间 C：接近期限 D：未来

40.为了测试对公司政策的遵守情况，审计师需要应用以下哪种方法来确定抽样计划的恰当抽样规模？Ⅰ、预期的离差率；Ⅱ、希望达到的准确度；Ⅲ、希望达到的置信度；Ⅳ、标准离差。

A：应用Ⅰ，加上Ⅱ或Ⅲ的其中之一 B：只能应用Ⅱ和Ⅳ

C：应用Ⅲ，加上Ⅰ或Ⅳ其中之一； D：只能应用Ⅰ，Ⅱ或Ⅲ

41.开展跟踪审查的首要目的是 A：保证内部审计建议得到及时考虑

B：确认是否针对审计师报告的情况采取恰当行动； C：允许内部审计师评估其建议的效果性

D：为针对该领域的未来审计活动编制计划。

42.某公司正对各责任中心进行评价，方法是应用投资回报衡量业绩。中心经理可以采取行动，提高投资回报，但这些行动不包括 A：a．增加投资基数 B：b．增加销售额 C：c．减少开支 D：d．减少总资产

43.内部审计师正在用固定间隔的货币单位抽样法测试某余额为$750000的账户。样本量是50，该审计师以04719为随机起点选取样本。下面哪一项应是他选取的第三个样本项目发票金额累计金额 A：$7985 $31374 B：$4108 $35482 C：$12305 $47787 D：$456 $48243 44.通用审计软件(GAS)允许审计师 A：监控应用程序的执行； B：对包含实际数据和虚拟数据的主文件进行数据测试； C：从文件中选择抽样数据项和检查计算结果； D：在日常应用程序中插入特定的审计方法。

45.如果执行有效的话，以下控制程序中最有可能降低上述环境下舞弊发生可能的是 A：要求采购业务在不同供应商之间定期轮换。B：要求三个采购代理进行岗位轮换。

C：要求将验收报告直接传递给应付帐款部门。

D：要求由收货部门进行存货永续盘存的更新记录。

46.一个中型城市每年为31000名顾客提供8.5亿加仑的水。至少每5年要更换一次水表以保证正确计价。供水部门跟踪未计量的水以确认没有开出账单的量。最近，该部门发布了以下用水报告业务一月二月三月第一季度实际第一季度目标更换的水表数量 475 400 360 1235 1425 报告的泄露次数 100 100 85 285 修理的泄露次数 100 100 85 285 100% 未计量的用水 2% 6% 2% 4% 2% 根据第一季度的泄露修复业务报告，内部审计师可以得出以下哪项结论？

A：应该改变操作标准

B：应该分析偏离目标的情况并采取纠正措施 C：已建立的操作标准被理解和遵守 D：泄露修复项目配备的人员过多

47.为审计业务中需要开展的具体任务分配责任需要应用相关标准，以下哪项内容以最佳方式描述了此方面最重要的标准？

A：应该将任务分配给最有资格完成任务的审计小组成员。

B：所有被指派开展审计任务的审计师都应该拥有完成任务所需的知识和技能。C：审计师的指派应该主要依据其工作年限。

D：审计小组的所有成员都应该拥有满意完成审计业务所有任务所必须的技能。48.为了控制审计项目和避免时间超出预算，修订时间预算的决定通常在以下何种情况下作出？

A：在完成初步调查后立即。B：当证实时间存在严重不足时。

C：当指派没有经验的审计人员参加审计业务时。D：在为了证实审计发现而进行扩大性测试后立即。

49.某内部审计师正在评价车辆调配厂经营的效果和效率。业务工作方案包括运用分析性程序观察大型轮胎车辆的主要制造费用的趋势。该趋势表明下列各项有关的费用支出较去年有重大增长:(1)正使用的车辆数；(2)车辆运行里程数；(3)设备使用年数；(4)环境状况。内部审计师的调查指出厂里聘用了两家新的维修组织。所有维修业务的费用单据账项均完整，但在单据上发现维修报告的车辆牌号与正在使用的车辆不一致。审计师可能采取的业务程序包括:①与维修部门的负责人讨论此事并要求做出解释；②编制正开展的维修项目清单，并与制造业维修指南进行比较；③对车辆的车票进行分析来确定其中是否隐藏着需要注意的问题；④审核截止日报告，确定所维修的车辆在维修日期并未在使用中；⑤审核派遣时间安排，确定是否存在车辆正在使用的同时，维修部门报告中将其列为维修的情形；⑥与厂里安全部门讨论。上述行动中，应采用怎样的优先顺序 A：①，⑥，和④； B：④，⑤，和⑥； C：⑥，⑤，和②； D：②，③，和④。50.下面的网络图显示了完成项目所需要的几种活动之间的内在联系。箭头代表了活动，并且以字母表示。括号里面的数字表示了完成每种活动所需要的星期数目。

篇7：信息系统安全审计管理制度

1． 产品必须通过国家公安部门、国家信息安全测评认证中心、国家保密局检测通过。2． 产品必须具备升级能力，并且产品生产厂家在未来5年能够持续提供技术支持及升级服务。

3． 产品必须为国内自主产权，产品生产厂商必须为国内资本，通过国家信息安全服务2级资质（请附上相关证明文件复印件并加盖投标人公章、原厂商公章），并在福州有正式的分支机构（请附上工商、经委等主管部门证明文件复印件并加盖投标人公章、原厂商公章），能够提供厂商级的本地化服务。系统和管理功能

1． 为了尽可能避免升级给服务带来影响，升级过程应该快速而简单，升级过程中以及升级之后不要重新启动系统。

2． 由于系统本身基于数据库，因此系统应该能够提供一个对数据库的备份和恢复功能。这样当系统重新安装的时候，只需恢复原来的数据库备份即可回到初始设置状态。

3． 对于整个系统的管理和维护要尽可能简单，要支持远程web管理。

4． 系统应该具备管理员登陆日志信息，详细记录管理员的登陆管理台的使用情况，保障系统的安全。技术要求

1． 自动收集网络中客户机与服务器硬件及配置的精确信息，包括设备的CPU型号及主频、内存型号及大小、硬盘型号及大小、设备标识、主板信息等硬件信息，并可手工添加硬件设备的描述信息。

2． 控制外设的使用，如对软驱、光驱、USB移动存储、USB全部接口、打印机、Model、串口、并口、1394控制器和红外设备进行启用或禁用等操作。

3． 自动收集安装在每台计算机上的每种应用程序信息，包括安装的操作系统和应用软件种类、版本号以及安装时间等信息。

4． 可制定软件安装和进程的黑白名单，并对安装未经许可的应用软件的问题计算机进行告警、断网等处理，对运行未经许可的进程进行查杀，同时将违规日志上报服务器，并支持按条件查询。

5． 向指定客户端（用户组）分发文件，可进行后台安装（或根据软件的运行参数执行），同时将文件分发和安装的状态上报服务器，并支持按条件查询。

6． 实时监测终端设备通过model、红外设备、无线设备或蓝牙设备等进行非法外联的行为，可对其进行实时阻断、警告等处理，同时将违规日志上报服务器，并支持按条件查询。

7． 可控制移动设备（USB存储、USB光驱或USB软驱）的读、写操作，并对拷进、拷出的文件进行审计处理，同时支持违规日志的条件查询。

8． 可审计用户访问的URL地址，同时将违规日志上报服务器，并支持违规日志的条件查询。9． 检测终端设备的ＣＰＵ、硬盘(含每个硬盘分区)、内存等的资源占用情况，可自主设定阈值，以确定终端系统资源占用是否达到上限，是否应该升级。

10． 基于主机方式对客户端流入、流出流量、并发连接数进行实时监测。当流量或并发连接数超过管理员设定的阈值后可进行告警、断网等处理，同时将违规日志上报服务器，并支持违规日志的条件查询。

11． 可审计终端设备上的文件内容，对于包含管理员制定的黑名单上关键字的文件可进行警告或上报服务器，并支持违规日志的条件查询。

12． 可检查终端设备的开机密码是否为弱口令、口令强度、屏保状态、密码保留周期等安全要求，并可实时监控用户或用户组权限的变化及注册表的变化，对于不符合安全要求的行为进行警告或上报服务器，并支持违规日志的条件查询。

13． 系统内建个人防火墙，可对终端设备的本地端口、远程端口、TCP、UDP、ICMP等网络应用进行全网的统一管理，并可进行IP区域的访问控制。

14． 网络客户端出现病毒、蠕虫攻击等安全问题后，做到对安全事件源客户端（或者网络）的实时、快速、精确定位，远程阻断隔离。

15． 与主流防病毒软件进行联动，可监控防病毒软件在客户端的安装情况，上报未安装杀毒软件客户端，并可远程启动杀毒软件进行病毒查杀。

16． 可对被控终端设备和非被控终端设备进行IP-MAC绑定，并实时阻断非法篡改IP或MAC地址的非法主机，或对被控终端进行IP、MAC及网关地址的恢复，同时将违规日志上报服务器，并支持违规日志的条件查询。

17． 可对未经允许、擅自接入网络的设备进行实时的警告和阻断，防止病毒传播、黑客入侵等不安全因素。

18． 可将文件或脚本统一分发到客户端的指定目录，并可以根据管理员的设置在后台运行脚本或可执行程序，同时将文件分发的状态上报到服务器，并支持日志的条件查询。

19． 针对物理隔离的内网，使用增量式补丁自动分离技术，在外网分离出已安装、未安装补丁，分类导入，即仅对内网的补丁进行“增量式”的升级，减少拷贝工作量。

20． 支持用户自定义补丁策略自由配置分发，基于客户端网络IP范围、操作系统种类、补丁检测周期、补丁类别（系统补丁、IE补丁、应用程序补丁以及网管自定义补丁类等）等制订策略，发送至客户端后统一按策略执行应用，同时将补丁分发的状态上报到服务器，并支持日志的条件查询。

21． 系统提供补丁或文件下载的代理转发技术，提高补丁下发效率，减少网络带宽的占用率，节省网络资源。

22． 自动建立补丁库，支持补丁库信息查询。针对下载的补丁进行归类存放，按照不同操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等进行归类，帮助管理人员快速识别补丁。

23． 支持对管理策略编组，并根据客户端IP范围、操作系统种类、所属区域等条件统一下发。

24． 支持管理中心的双机热备应用。

25． 支持管理中心的多级部署，并可由一级管理中心统一配置管理策略及违规报警信息的级联上报。

26． 管理中心采用IP漂移技术，支持管理中心IP地址的无缝切换。

27． 网管可以按照报警种类选择性接收系统报警信息，并提供多种报警方式通知网管。28． 可自定义报表输出的字段，提供客户端软硬件资产信息及违规事件的报表和打印功能。

篇8：基于信息系统的风险管理审计

(一) 信息技术革新对信息系统的影响

信息技术革新正在改变全球范围内的沟通的性质与范围, 消除传统的组织界限 (包括部门之间的内部界限以及供应商和客户之间的外部界限) , 并促进了企业流程再造。信息技术的进步和互联网的发展, 促进了信息系统的不断发展, 并被广泛的运用于企业的各项经济管理活动, 促进了企业信息的互联互通和信息的共享。这样, 信息系统所提供的信息的决策有用性不断增强。但是, 信息技术的革新也为信息系统带来巨大的风险:如系统运行错误可能迅速导致多种文件、账簿甚至系统失真, 数据容易被盗或毁损, 程序易被非法调动甚至篡改。据美国的一项研究表明, 计算机系统的银行舞弊案造成的损失是手工系统的6倍以上。而且, 随着互联网技术和电子商务的兴起, 信息系统更加复杂化和多样化。信息系统的风险控制点数量激增, 且监控的难度更大。信息和信息系统已经成为了企业的重要资产, 是企业获得市场竞争力与可持续发展能力的重要因素。它们像企业的其他资产一样需要对信息系统加以控制和审计, 控制信息系统运行的安全和稳定, 变成了企业的必然需要。这需要审计人员从企业组织层面、一般管理层面、业务流程层面来识别和分析信息系统风险。这样基于信息系统的风险管理审计显得尤为重要。

(二) 信息技术革新对内部审计的影响

对于内部审计而言, 信息技术革新既带来了功能强大的工具和方法, 又对内部审计识别、评估、监控企业风险的活动产生深远影响。根据IIA在2002年的调查, 将近49%的内部审计人员已将IT结合到他们所有的检查中, 有83%的内部审计人员使用通用审计软件获取和分析数据 (Mc Collum和Salierno, 2003) , 将近38%和29%的内部审计人员分别使用持续监控和连续审计技术 (IIA, 2002, AICPA/CICA, 1999) 。在很多国家, 信息系统审计师 (CISA) 已发展成为一种专门的职业。并且, 基于信息技术的内部审计工具与技术也层出不穷, 包括对控制进行测试的测试板技术、集成测试工具、嵌入式审计模块和神经网络等。这从根本上提高了内部审计的效率, 也为信息系统审计奠定了重要基础。

从另一角度来说, 信息化环境扩大了内部审计需识别、评估和监控的风险范围, 并且可能放大源于控制缺陷和其他漏洞的企业风险。我国2008年颁布的《企业内部控制基本规范》中明确规定企业应当运用信息技术加强内部控制, 建立与经营管理相适应的信息系统, 促进内部控制流程与信息系统的有机结合, 实现对业务和事项的自动控制, 减少或消除人为操纵因素。这就要求内部审计人员加强与会计专业人员、信息技术人员和有关管理人员的交流与融合, 通过信息化手段全面提高信息系统运行的效果和效率, 满足组织的战略目标。

二、信息系统在企业风险管理中的作用

(一) 提供高效的信息沟通渠道

信息与沟通是风险管理框架中的一个要素, 其内涵是“风险以及风险管理相关的信息必须以恰当的形式在一定期间内传递, 使得员工、管理层、董事会能够履行各自的职责。”企业信息系统作为信息与沟通的载体, 能够有效地追踪企业当前正在发生的风险事项以及已经避免的风险事项, 并及时将企业各层面的风险管理情况报告给信息使者, 实现较好的上传下达。如企业信息系统应保证企业所有员工都能够收到高层管理人员发布的风险管理目标、操作指南等信息, 并通过适当培训使其对企业风险管理的原则形成共同认识, 明确自身在风险管理中所扮演的角色、地位;企业能够通过建立正常的或者“绿色”通道, 便于组织成员与管理层沟通, 报告风险管理职责的完成情况、出现的错误、例外状况等;通过信息系统, 企业还能记录风险管理的全过程, 包括管理和控制状况, 生成报告以满足组织治理的需要。

(二) 为整体风险评估提供信息支持

风险评估是做出恰当风险反应的依据, 也是将企业风险管理与企业战略相结合的关键点之一。从某种程度上说, 风险评估是一个综合利用和分析企业战略、经营环境、运营活动及其相关风险等信息的过程。因而, 风险评估离不开企业信息系统的支持:自上而下的信息流, 将企业目标、管理层的风险偏好传递到负责风险评估的部门, 确定了风险评估的范围和衡量标准;自下而上的信息流, 传递汇总了企业操作层、执行层、战略层面临的现实风险与潜在风险, 形成涵盖企业各个业务领域、层次的风险全景图;横向信息流促进职能部门突破单一视角, 对风险的影响范围与程度形成更为准确地认识与评估。

(三) 促进风险管理在各部门间的整合

实施企业风险管理的一个巨大障碍源于企业各个职能部门的风险管理活动缺乏整合。例如, 人力资源部门仅负责评估人员管理风险——如技能缺乏或者人才流失;生产部门专注于管理产品质量缺陷、生产技术落后导致的风险;销售部门关注于管理顾客需求变化、营销渠道竞争等所带来的风险;而财会人员则致力于改进财务报告程序、提高财务信息质量。按照信息系统审计理论中关于信息系统分解的论述, 企业风险管理人员可以从高层管理、信息系统管理、系统开发管理、程序设计管理等几个方面分析由企业内部管理产生的信息系统风险, 结合企业具体业务进一步分析由信息系统本身产生的风险。信息系统的风险分析, 便于风险以及风险的影响信息在不同职能部门间实现传递和共享, 风险管理人员可以识别不同类型风险存在的内在联系, 区分重要程度, 并与各部门协作控制与开发管理风险的方法。

三、风险管理审计对信息系统的审查与评价

(一) 评估信息系统的固有风险

信息系统的固有风险通常与信息系统自身的特征以及组织基于战略目标所选择的信息技术水平有关。信息环境下的信息系统存在的固有风险包括:信息系统程序容易被非法调用甚至篡改、信息处理过程和处理权责的集中化、微缩存储的数据与信息易于被窃取以及计算机设备的脆弱性等。同时, 组织选择的信息技术水平也会影响信息系统的固有风险:组织的运行越依赖于系统, 固有风险就越高;信息系统为组织创造的竞争优势越大、系统采用的技术越先进, 存在的固有风险越高;企业员工对信息系统处理结果的准确性缺乏必要的怀疑也会导致利用信息系统进行舞弊的风险加大。

(二) 加强信息系统的控制与评估控制风险

(1) 加强信息系统的控制。信息系统的控制可以分为一般控制与应用控制。一般控制是指由那些在信息系统活动和用户环境中对大部分应用具有普遍作用的控制组成, 具体包括不相容职务相分离、数据安全保护和管理层介入信息系统开发的控制等。应用控制是对信息系统中具体的数据处理活动所进行的控制, 用于保证特定的处理活动 (如工资、应收账款处理) 按照管理层制定的规范运行, 且其处理过程准确、及时、完整并得到授权, 具体包括输入控制、处理控制和输出控制。 (2) 评估信息系统的控制风险。内部审计人员可以对信息系统面临的风险及其相对应的控制活动进行确认, 进而评价控制活动是否足以将风险控制在可接受水平以内。表1列示了“非法获取数据与资料”这一风险因素的内容及其相应的主要控制活动。在信息系统中, 常常采用多层次的内部控制来降低控制风险。内部审计人员应综合考虑这些控制活动是否能够降低风险的水平。

此外, 内部审计人员还可以通过矩阵分析法对信息系统控制活动的深度和效率进行检查。显然, 通过对信息系统控制的持续测试与审查, 风险管理审计能够尽早发现信息系统中存在的问题, 从而由传统的事后评价转向事前防范、事中控制, 并为降低信息系统风险、改进信息系统控制提供有价值的建议。

(三) 为信息系统的安全与控制提供确认

信息系统对企业运营流程、决策效率和信息质量等的深远影响使得企业管理层、董事会等利益相关方迫切地寻求对组织信息系统存在适当的安全与控制的确认, 而风险管理审计正可以担当此任。值得注意的是, 和在企业的所有其他领域一样, 信息系统的风险可以加以管理与控制, 但是它们无法被彻底消除, 因而风险管理审计对信息系统安全与控制的评价必须考虑企业对风险的容忍程度, 控制措施与程序降低风险的程度, 并衡量实施的控制是否符合企业的目标和需求、是否符合成本——效益原则。进一步地, 还可以将目前国际公认的最先进、最权威的安全与信息技术管理和控制标准COBIT模型做为评价信息系统安全与控制的标准。

四、结论与展望

信息技术的发展与创新极大改变了企业信息系统的运行模式。其重要价值在于支持组织的业务并帮助组织完成总体使命。对内部审计而言, 信息技术的应用一方面有助于提高内部审计的效率, 另一方面又扩大了内部审计需要识别与监控的信息系统相关风险的范围。基于信息系统风险管理审计的任务就是在信息系统风险管理受控情况评估分析的基础上, 内部审计人员综合考虑企业整体组织目标和信息系统的风险可接受水平, 收集并评估证据, 对现有信息系统整个流程设计的有效性、运行效果的好坏作出整体评价, 进而对于帮助组织目标的实现程度上进行审查和评估, 并最终报告相关的信息使用者。此外, 风险管理审计还强调监控的即时性、连续性和互动性, 与企业风险管理过程同步进行, 并伴随信息系统生命周期的始终。对于需要改进的问题, 审计人员应追溯根源, 围绕风险管理策略、风险管理流程、风险管理人员、风险管理技术和风险相关信息五个基础方面发现问题, 解决问题, 从深层次厘清信息系统风险管理存在的问题。这一方面可帮助风险管理人员更好地制定风险应对策略, 另一方面可促进企业根据个性化要求进行企业信息系统的开发、升级, 将信息系统的风险管理由传统的消极避让转向积极应对。最终, 采用风险管理的理念, 全面认识和把握信息系统风险和信息系统审计内容, 才能发挥信息系统的风险管理审计促进IS为组织实现更好的“价值增值”。

参考文献