广州地铁信息系统审计案例整理

信息系统审计案例页1广州地铁信息系统审计案例整理信息系统审计案例页2信息系统审计案例概述信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。近年来，越来越多的企业需要信息系统审计服务，相关技术人员急需信息系统审计培训相关素材，通过以信息技术审计原理为主导，以相关的信息技术审计案例为辅助了解信息系统审计的有关内容。现在本文就以北京时代新威信息技术有限公司（以下简称时代新威）的服务内容为主导，以广州地铁案例为辅助，提供一份完整的信息系统审计案例。信息系统审计案例页3信息系统审计案例目录第一章信息系统审计基础第二章简述广东地铁情况第三章信息系统审计案例分析第四章信息系统审计总结信息系统审计案例页4信息系统审计案例第一章信息系统审计基础1.1信息系统审计的定义1.2信息系统审计的过程1.3信息系统审计的一般方法1.4信息系统审计的根本目标1.5信息系统审计任务信息系统审计案例页51.1信息系统审计的定义信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。1.2信息系统审计的过程信息系统审计过程分为准备阶段、实施阶段和报告阶段。其中，准备阶段和报告阶段所采取运用的技术方法与财务审计所运用的技术方法差别不大，而实施阶段采用的技术方法则具有信息技术的特点。在实施阶段，针对被审计的信息系统，审计人员所开展的工作可以分为三个层次：了解、描述和测试。信息系统审计案例页61.3信息系统审计的一般方法信息系统审计的一般方法有：面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等。1.4信息系统审计的根本目标信息系统审计的根本目标：是促进信息系统安全、稳定、有效、持续运行。通过对信息系统的安全性、稳定性和有效性进行审计、咨询，降低公司面临的信息系统风险，促使公司信息技术发展目标与其总体经营目标、战略相一致。信息系统审计案例页71.5信息系统审计任务信息系统审计任务：是完成对信息系统的鉴证、促进和咨询。针对企业的资产，采取信息系统审计维护更安全可靠，特别是时代新威利用信息系统审计制定的方案更让我们觉得放心安全。信息系统审计案例页8信息系统审计案例第二章简述广东地铁情况2.1广州地铁简介2.2广州地铁实施信息系统审计的动因2.3广州地铁实施信息系统审计成功的原因信息系统审计案例页92.1广州地铁简介广州市地下铁道总公司是广州市政府全资大型国有企业，成立于1992年12月，现拥有资产约1000亿元、员工18000多人，负责广州市快速轨道交通系统的工程建设、运营管理和附属资源开发经营。广州地铁已建成开通一至五号线、八号线、APM、广佛线等8条、总长共236公里的线路，日均开行运营里程55万车公里，日均客运量超过480万人次，占广州公共交通客运总量的30%。据相关规划，未来五年广州市政府还将投入1000多亿元，建成并开通了约250公里地铁线路，广州地铁将成为广州市民出行的主要交通工具。在建设和运营地铁同时，广州地铁还经营以地铁相关资源开发为主的多元化产业，业务涉及房地产、设计、咨询、培训、商贸、通讯、物资供应、电视传媒等众多领域，旗下拥有众多子公司，其中房地产的业务已成功开发了多个大型商业楼盘，设计及咨询业务已涉足西安、南宁、青岛、成都、苏州、东莞、马来西亚等二十多个城市及国家。随着广州地铁“地铁+物业”经营战略的不断深入，信息系统审计案例页10将可缓解政府对地铁建设、运营投入的压力，有助于地铁建设和运营的可持续发展。2.2广州地铁实施信息系统审计的动因1.首先，以风险为导向的审计职能，为信息系统审计发展奠定基础。2.其次，企业运作信息化要求信息系统审计发展。信息系统审计案例页112.3广州地铁实施信息系统审计成功的原因第一，面对由于信息化对审计带来的各种风险，广州地铁积极的建立信息系统审计来应对风险是其成功的前提。第二，有一个完整的可借鉴的由权威机构制定的信息系统审计规范是广州地铁成功运用信息系统审计的重要原因之一。信息系统审计规范是信息系统审计经验的总结，是对审计活动内在规范的反映，审计人员按照信息系统审计规范所确定的程序、步骤、技术和方法开展工作，能够少走弯路，提高信息系统审计效率，保障信息系统审计工作科学、有序、高效地运行，全面实现信息系统审计目标，降低信息系统风险，同时也可降低财务审计、绩效审计以及环境审计等风险。而广州地铁充分的考虑到了一个好的审计规范给公司带来的积极因素，因此，这也是本文想通过时代新威这个行业里的权威机构来辅助信息系统审计案例的原因之一。第三，善于根据信息系统的风险评估抓住审计重点。管理流程信息化的最终目标一方面在于实现工作流程智能化，进而提高运作效率，另一方面则在于规避手工操作而造成的过失。第四，对信息系统审计进行内部控制评价，提高信息系统审计的全面性确保了广州地铁运用信息系统审计的成功。信息系统审计案例页12第五，完善的信息系统审计计划，充分的审计后续跟踪是其成功的另一个重要因素。信息系统审计是一个过程，这个过程包括从指定信息系统审计计划、确定审计范围、风险评估、了解现有控制、制定测试策略、编写测试程序、执行审计测试、审计沟通和出具审计报告以及后续审计跟踪等。无论是国家审计，还是注册会计师审计，同样需要制定信息系统审计计划。信息系统审计案例页13信息系统审计案例第三章信息系统审计案例分析3.1信息系统审计服务3.2业务数据审计服务3.3信息安全审计服务3.4数据库安全审计服务信息系统审计案例页143.1信息系统审计服务以风险为导向的审计职能，为信息系统审计发展奠定基础。广州地铁内部审计机构成立于1998年，直接对总公司总经理负责。自成立以来，广州地铁内部审计不断创新，推动审计职能转型以实现价值增值型审计职能的提升。原理：【引用：信息系统审计案例-时代新威PT-S-01】为什么审？企业自身内控的需要行业监管部门的要求用户等相关方的期望由电脑、网络和用户所构成的信息系统，已经成为当今社会最重要的生产工具。其安全性和有效性已经成为生产安全的重要组成部分，并成为信息系统所有者及其用户最为关心的问题。同时，也是行业监管部门主要的监管内容。信息系统审计是信息系统治理工作中的重要一环。它以合规性评价为出发点，以评审、检查和测试为主要手段，以发现信信息系统审计案例页15息系统治理过程中存在的风险为目标，帮助和促进用户全面预防和及时处置信息系统风险，从而有效提高信息系统的安全性和有效性。审什么？审计署对信息系统审计内容的要求是：“信息系统的安全性、有效性和经济性”，它给出了信息系统审计的目标和方向。但针对一个具体的信息系统审计项目，其审计内容应以所确定的审计依据为准，通常包含一般控制审计和应用控制审计；也可以根据审计目的和内容的不同，分为不同的专项审计，如：信息安全审计业务和数据审计信息系统投产和变更审计业务连续性审计信息技术外包管理审计信息系统安全等级保护审计怎么审？实施信息系统审计，首先要明确审计目的并确定审计范围；然后选择和明确审计依据，组建审计小组；其次规划审计方案，信息系统审计案例页16实施现场审计；最后报告审计发现，形成审计报告；其后，作为后续审计活动，实施跟踪审计。其审计工作流程大致如下：（信息系统审计案例示意图1）审什么？信息系统审计时间的确定应考虑组织年度审计计划，尽量避开被审计对象业务活动高峰时期，以免影响其业务。确定信息系统审计时间，可考虑：定期审计随机审计遇有重大事件时审计信息资产发生重大变化时审计在哪里审？通常认为，信息系统审计的主要对象是一个组织的信息科技部门。其实，除信息科技部门外，信息系统的所有用户部门及信息系统审计案例页17相关方都应考虑在内，因为许多信息系统的控制措施要在这些部门完成。确定被审计对象，可考虑：一个组织的全部，即所有业务和所有部门一个组织的局部，即部分业务或部分部门组织的相关方，如组织的供方，顾客等根据审计方式的不同，信息系统审计还分为现场审计和非现场审计。非现场审计以非现场审计系统为主要审计工具。谁来审？审计组是实施信息系统审计的主体，应根据审计目标和内容，选择合适的审计人员组成审计组。一个审计组应包括：组长审计师业务或技术专家审计组成员应经过专业培训并取得相应资格，如：CISP-Auditor、CISA等。业务或技术专家应具备丰富的行业知识和经验。案例实施效果：信息系统审计案例页182002年，广州地铁内部审计开始尝试走出原来单一的财务合规性审计模式，将审计重点扩展到制度的合理性与遵循性评价以及项目的经济效益后评估。2004年，内审部门引入风险评价模型，正式提出以风险为导向的内部审计发展方向，2006年，公司组建信息系统审计模块，探索开展信息系统审计业务，2009年，广州地铁开始启动内控自我评价工作。经过几年的努力和宣传，广州地铁的审计视觉逐步扩大，从原来以合法合规性为主要目标的审计模式调整为以效益、效率、合规为目标的3E审计，从原来单一的经济业务延伸至管理流程、重大决策，从原来只对经营单位审计扩展到对集团管控、职能管理、业务管理进行审计。信息系统审计案例页193.2业务数据审计服务广州地铁目标规划信息系统审计业务，确保企业战略实现。企业信息系统更新速度快，新旧系统集成性强，与业务流程及数据结合紧密。为此做好信息系统审计规划成了及时跟进并评价企业信息化管理水平的关键步骤。在广州地铁大规模快速建设信息系统的情况下，信息系统审计的计划更应该具有前瞻性、符合广州地铁的发展战略以避免在审计过程中重点把握不足。为此内部审计积极参与该公司第三个五年战略规划的制定以及其信息化建设战略规划的讨论，确保获取最新的信息化建设规划信息，并将其融入审计业务五年规划中。根据信息化战略规划，内部审计将信息系统审计模块的发展分为扩大信息系统审计范围、建立信息系统审计标准以及建立信息系统审计框架三个阶段，然后在梳理出广州地铁未来五年信息系统建设情况的基础上，将信息系统划分为优先级高、中、低三个等级，以此作为未来信息系统审计的次序。原理：【引用：信息系统审计案例-时代新威PT-S-02】信息系统审计案例页20☆高效、准确地发现业务系统中的违规和可疑数据☆按需定制的数据审计模型最大限度满足用户需求☆丰富的行业审计经验模型为用户提供参考和借鉴业务数据审计是信息系统审计中最具价值的审计类型之一。如何打开业务系统电子帐表？如何建立业务数据审计模型？如何对海量业务数据进行筛选、分析？是信息信息审计师当前面临的难题。为解决上述难题，时代新威与中科院软件所合作，在审计署指导下，以审计署常用审计模型为基础，总结众多行业实际审计业务经验，研发完成了一套高效易用的业务数据审计系统。该系统在金融领域海量数据审计中发挥了重要作用。此外，系统中提供的审计模型具有通用性，也可以用于其它行业数据审计。系统特点统一的业务模型管理。标准的数据审计模型。对被审计的业务系统数据，采取了字典规范化、表结构规范化处理，保持了审计模型的独立性。信息系统审计案例页21技术指标通用性：能够同主流的数据库系统进行连接，并能高效地打开数据表；易用性：采用了自然语言编程技术，适合审计人员使用；高效率：采用了内存数据库技术，能够高效迁移和分析处理海量数据；网络化：能够远程连接、采集和打开数据帐表；协同性：可以多个审计人员协同使用系统进行联合审计。（信息系统审计案例示意图2）信息系统审计案例页223.3信息安全审计服务评价整体计算机控制的安全性，确保信息系统控制环境的有效性。针对该目标，广州地铁信息系统审计开展了包含信息系统安全、信息系统操作、变更管理等方面的整体计算机控制审计工作，以保证由信息系统支持的业务流程控制可靠度、生成的数据和报告的可信度。同时，广州地铁明确了信息系统审计重点。信息系统审计的重点在于：信息系统难以有效防范的未知风险。而信息系