销售企业IT审计的现状与突破

中国石油化工股份有限公司河北石油分公司信息管理部 王昊

一、引言

信息系统已经渗透到销售企业各项工作中的各个方面。它的效率和系统设计给销售企业带来了便利，销售企业对计算机信息技术的应用程度越来越高，实现了办公管理信息化，业务经营信息化，大大提高了企业的经营管理水平。与此同时，信息技术就像一把双刃剑，在带来经济效益的同时，也使企业面临巨大的风险。为了保证信息技术的安全、可靠，实施有效的IT审计成为销售企业一项迫在眉睫的任务。IT审计作为保证信息系统安全、可靠、高效运行的一种审计模式，越来越受到销售企业的重视。随着信息化带动销售工作的全面实施，加快销售企业信息系统审计的发展具有重要意义。

二、IT审计概述

IT审计是指对信息系统从计划、研发、实施到运维各个环节进行审查和评价的活动。信息系统审计的研究对象是企业的信息系统或信息资产，采用的方法是传统的审计方法及计算机技术等，其目标是保证IT系统的可用性、安全性、完整性和有效性，最终达到强化企业信息控制的目的。

三、销售企业IT审计

随着信息技术的广泛应用，为加强管理，销售企业在省级公司设立了信息化管理的专职机构——信息管理处,负责全省应用信息系统和网络信息系统的安全运行管理工作。近年来，为了满足不断增长的业务需求，省市级公司大量购置了各种功能服务器，在应用上主要实现了OA办公自动化、零售电子账表管理、非油品销售管理、IC卡管理、环境监控等功能。

四、销售企业IT审计的突破与提升

（一）根据风险评级，制定差异化的IT审计方案

风险控制是指控制风险事件发生的动因、环境、条件来减轻风险事件发生时的损失或降低风险事件发生的概率。风险无法彻底消除，仅能降低、控制与移转，对于残余风险，企业需自行审视可接受的程度。然而，在进行风险控制活动前，需先进行风险评估，将潜在的弱点与威胁罗列出来，并分析评估矫正的优先程序，然后再针对风险，设计有关的预防性、检查性与纠正性的控制。控制的设计，应该参考风险评估后的结果，因此，要形成完整、有效的风险评估报告。不准确的风险评估会影响后续控制设计，甚至于控制执行的落实程度。当风险控制设计完成后，需再次检视相对应的管理制度与办法是否足够满足控制的目标，倘若现有管理政策文件无法满足控制目标的要求，应立即进行调整，务必达到与现有作业机制一致的目标。

目前，随着企业经营业务的发展对IT的依赖日趋明显，内部原有业务和管理风险特征由于信息系统越来越广泛的运用而出现了变化，业务对信息系统的依赖性逐步增加，因此必须建立起有效的风险控制体系。从一般信息技术控制环境到业务流程中的内部控制环境，都应将系统控制与人工控制紧密结合。同样，在销售企业信息化建设中，需要管理与控制各种风险，以便达到保护IT投资、维持系统持续运行的目的。以风险为导向的IT审计是合理规避IT风险的一种有效途径，在销售企业中举足轻重。企业IT风险控制与审计需要在充分考虑企业IT系统状况、IT管理结构的基础上，有效规避IT风险，为企业的未来发展保驾护航。

为保证信息资源的有效利用，降低公司信息系统的整体风险，结合信息系统运维的情况梳理出信息系统清单。透过企业的经营战略，自上而下分析企业的经营风险，确定风险类别和等级，制定信息系统风险统计表。组织审计人员和业务人员从业务流程、人员岗位职责和系统三个维度进行风险评估，按照风险评估的结果将信息系统划分为高、中、低三个风险等级，以此作为未来信息系统审计的次序，并针对三类风险等级的信息系统，制定不同的审计策略，将审计资源的分配向重大风险领域倾斜，以确保审计资源的高效运用，进而形成有步骤、有计划、有重点的差异化风险导向型IT审计。

（二）注重系统内部数据的真实性和完整性

信息系统中的数据要真实的反映企业的生产经营活动。通过直接审计系统中的数据、检查系统日志、保留不可更改记录、定期审计等管理手段，确保数据的真实性和完整性。同时也避免了信息不被偶然或蓄意的删除、修改、伪造、乱序、重放、插入。IT审计要确保审计工作面向信息的安全性，它要求保持信息的原样，即信息的正确生成、存储和传输。特别在ERP系统中，审计ERP基础数据规范情况，对提升ERP系统中信息的质量有着重要作用。

在面对销售企业各系统海量数据源审计时，针对海量数据的来源，可以通过两种方式实现：一是在销售企业自有的服务器存储，经营以及管理业务会自动生成业务数据存储在服务器。二是企业的数据统一存储在一个统一的平台上，企业需要向这些平台机构取得跟自己企业相关的数据。

在实践中，对于两种数据源的审计方式我们简单分析一下：对于第一种数据来源方式，针对销售企业自动生成并保管数据，要对企业数据生成、数据保管、数据转移、数据修改等企业的IT环境和内部控制措施进行核查，目的就是要保证数据从生成到最终审计的整个过程中数据的完整性。对于第二种数据来源方式，需确定平台的数据生成和管理措施是否完善，企业从平台取得数据的过程和方式是否符合内控要求，最后对数据的合理性，准确性进行进一步的分析。

（三）利用可靠性检查评估系统安全

通过现有内控管理制度，各信息流程操作已趋于完善，而信息系统的可靠性——信息系统在遭受非人为因素破坏或人为影响的情况下，是否能够正常运行，成为审计要点。威胁信息系统可靠性的因素包括自然灾害对硬件和环境的破坏，以及误操作对软件和硬件的破坏，在这两方面的审计过程中，应重点关注以下几点：

1.审计网络实施模式

网络与信息安全息息相关，审计网络结构、内网接入审批流程、核心网络设备管理情况可以有效评价企业的信息安全。在审计网络实施模式中，重点审计网络体系架构安全区域是否相互独立；区域边界部署是否有安全网关设备；全网关设备是否由省公司统一管理；对出入安全区域的数据是否进行权限控制等。另外，有条件的企业可以实施内外网分离改造，上网用机与办公用机隔离，以有效抑制病毒的扩散和传播。

2.审计权限控制

强化操作权限意识，明细岗位责任，审计要关注运行系统的事件类型、用户身份、操作时间、系统参数和状态；系统敏感资源是否进行监控和记录；日志文件是否定期进行安全检查和评估；是否对系统资源进行分类，并根据用户级别，限制系统资源的共享和流动。重点关注特权管理，查看系统是否由若干个系统管理员和操作员共同管理，每人是否只具有完成其任务的最少特权，并相互制约，以提高系统安全可靠性。

3.审计异地灾备的建设

由于自然灾害对硬件和环境的破坏存在不可控性，其预防措施将直接影响企业信息安全，而异地灾备可以实现关键数据自动备份，最大限度地保障信息数据的安全性。因此，对异地灾备建设情况的审计也是IT审计的一个重要方面。

在ERP权限审计过程中，重点审计以下内容：权限是否符合业务部门需求；权限是否被放大；权限是否遵循不相容岗位原则。审计的重点部门，应关注会计人员的权限设置。因为会计人员被分配ERP权限的岗位较多，同时会计人员兼有原始信息录入和部门间信息核对的职责。

五、结束语

信息化时代，企业运营需要依赖各种信息系统，IT审计可以避免信息系统的盲目开发和频发故障给企业带来的巨大损失。IT审计作为企业信息化过程中的重要环节，可以高效管理企业信息系统的开发、运行、维护及在整个生命周期中相关的业务风险，确保信息系统的安全。对企业信息系统进行IT审计，能够客观评价系统对目标的完成程度和企业的收益程度，并对系统的运行和风险加以控制。IT审计对企业信息系统整体效能提升影响显著，是企业信息化的可靠保证。