中石油信息系统审计初探

目 录

一、信息系统审计对象的确定 3

二、信息系统审计模式的设想 4 四、信息系统审计标准的选择 7

五、获取信息系统审计证据的主要手段 8

六、对开展好信息系统审计的几点建议 9

1

摘 要

随着中石油信息化建设的快速推进，现代信息技术在石油行业各个领域的普遍应用，信息系统的可靠性、安全性、完整性已成为内审部门评价内部控制、防范风险的重要目标。本文根据中石油近年来内控测试情况和信息系统审计实务，结合《中国内部审计准则》和企业风险管理，就信息系统审计目标的确定、信息系统审计的模式和方式方法进行了阐述，对中石油今后开展信息系统审计提出了意见和建议。

关键词 信息系统 审计 初探

2

中石油信息系统审计初探

近几年，随着计算机技术、网络技术和通讯技术的广泛应用与普及，中石油信息化进程也在高速发展，中石油及其所属公司已初步形成了一个人、财、物、供、产、销的信息系统环形链，各项业务高度依赖信息系统，审计工作所面临的工作环境正逐渐由手工环境转变为计算机环境，相关风险评估结果也表明信息系统风险较大，因此开展信息系统审计已迫在眉捷。下面结合近年来内控测试经验和信息系统审计实务，就如何把握中石油信息系统审计的几个关键控制点谈一些粗浅的看法。

一、信息系统审计对象的确定

目前中石油及所属公司开发并应用的信息系统涉及到公司的方方面面，以油气田开发企业为例，有勘探生产技术数据管理系统、油气水井生产数据管理系统、油藏数据管理系统、合同管理信息系统、物资供应信息系统、生产运行信息系统、销售信息系统、人力资源ERP系统、财务FMIS7.0系统、资产FA7.0系统、通信业务管理系统、医院信息管理系统、养老和医疗保险信息系统等，对哪些系统先审、哪些系统后审，适应中石油目前的管理体制和信息化建设要求，如何在最佳的时机选择最恰当的审计对象，直接影响着信息系统的审计效果。笔者认为中石油信息系统审计应按《内部审计具体准则第28号—信息系统审计》的要求，在确定信息系统审计项目时，应先选择与 3

公司经营管理密切相关、风险较大的信息系统开展审计，以后逐步推开。具体的说要优先立项财务系统、资产系统、物资系统、人力资源系统等经营风险较大的审计项目，然后再考虑与人、财、物密切相关的、经营风险相对较小的系统进行审计，如销售系统、通信业务管理系统、医院信息管理系统、养老和医疗保险信息系统等，最后全面推开，扩展到勘探、生产信息系统的审计和测试。当然，如果是探索性的开展信息系统审计，也可以本着先易后难的原则，从养老保险信息系统等小系统入手，积累经验后再全面铺开。

二、信息系统审计模式的设想

结合近几年中石油开展的内控体系—信息系统测试、ERP系统运行要求和专项信息系统审计实务，我们认为，中石油信息系统审计模式，可以划分为四个相互联系又独立的板块进行审计和测试。

第一个板块是对等级一信息系统的审计和测试。所谓等级一系统是按COSO控制柜架划分的系统，是在公司范围内普遍使用、对财务报告产生重大影响的应用系统，包括财务FMIS7.0信息系统、资产FA7.0信息系统和资金管理信息系统等，这个板块也是信息系统审计和测试的重点。具体审计时从两个方面入手，一是对信息系统本身的测试，按照中石油《内部控制管理手册》的要求，每年定期开展等级一信息系统总体控制、信息系统应用控制和电子表格控制三方面的测试和审计，评价系统的安全性和有效性，二是在常规财务和资产联网审计中对系统中数据的真实性和可靠性进行确认和评价，检查业务交 4

易的完整性、时效性、合规性。

第二个板块是对人力资源ERP系统的审计。人力资源ERP系统是中石油ERP建设优先推广的一个系统，其人事管理系统和薪酬管理系统是经营管理系统的一个重要组成内容，它通过系统集成，实现了信息的实时共享；通过流程控制，实现了绩效的动态监控；通过系统优化，实现了管理的持续改善。 对该系统的审计，要逐步探索ERP环境下的审计方式方法。一是对信息系统本身的审计。包括对系统的开发与设计、系统的日常维护、系统备份、故障处理方案及风险应对措施等进行审计和测试。二是对系统监控的审计。审查和评价公司及其下属单位是否利用ERP系统进行了业务和绩效的动态监控、发现问题的处理方式、有无监控盲区等。三是对业务流程的审计。包括相关业务是否全面、及时、准确的录入系统，流程是否符合实际，能否进一步优化等。四是对关键控制点的审计。审查关键控制点是否执行有力，有无例外事项，并分析例外事项产生的原因。

第三个板块是对除财务、资产、人事以外的其他经营管理信息系统的审计，如对物资供应信息系统、销售信息系统、合同管理系统、通信业务管理系统、医院信息管理系统、养老和医疗保险信息系统等的审计。对这类系统的审计侧重于信息系统开发建设审计（这类系统往往是各二级单位自行开发和建设，发生重复建设、低效建设的可能性较大）和总体控制的审计，即从信息系统项目设备的招投标、信息工程质量、系统软硬件使用情况、信息安全管理、信息系统日常运维管理、信息系统日常变更管理等方面入手，兼顾数据的一致性审计。 5

第四个板块是在前三个板块审计成熟的基础上，对生产管理、自动化控制、勘探开发等信息系统的审计。由于这一类审计涉及生产管理、勘探开发、地质研究、油气开采等复杂的专业领域。因此，可以根据不同行业、不同生产领域，通过聘请专业技术人员、引进专门的管理应用软件，配合内部审计对系统基础数据的准确性、动态数据的有效性、管理数据的完整性以及系统硬件的准确性、网络运行的安全性进行综合评价。

划分为四个板块，主要有以下几点考虑：一是四个板块审计的内容和侧重点不同，在审计时区别处理。二是不要造成重复审计和测试，也是适应目前中石油管理体制的需要，如内控体系中已对财务系统进行了测试，就没有必要再进行专项审计了。三是审计部门可以按四个板块的划分，统筹安排审计资源和项目。

三、信息系统审计与常规审计的结合方式

信息系统审计与常规审计的结合，可以从以下四个方面入手，一是与内控测试的结合，按照COSO控制框架的要求，地区公司每年要进行内控自我测试，而对等级一信息系统的测试和审计是其主要内容，包括每年例行的对财务、资产、和资金等信息系统的总体控制测试、应用控制测试和电子表格测试，中石油下发的《内部控制管理手册》既提供了测试标准、又提供了相关测试表单、测试工具，对这三个系统本身的审计不用再单独开展审计和测试。反之，通过对财务、资产信息系统的审计和测试，其可信与可靠程度又是常规财务资产联 6

网审计得以进行的前提和保证。二是与常规财务收支审计的结合，例行的内控信息系统测试解决的是对财务、资产系统本身的审计，而对信息系统中数据准确性、一致性方面的确认和评价，在很大程度上还得信赖日常的财务收支审计。在审计中，审计人员应该应选择一些交易对其进行详细检查，确认交易记录是否真实、全面、准确。三是与常规合同审计的结合，通过对合同签约和结算的审计，确定合同的有效性，反之，对合同信息管理系统的规范运作也有一定的促进作用。四是专项信息系统审计也能为常规审计提供线索和服务，进一步追查系统存在问题所引致财务收支信息失真等情况。如在信息系统审计中发现职责不分离等现象，在常规审计中可以对这部分内容进行重点关注和审计。

四、信息系统审计标准的选择

目前，信息系统审计还没有一个统一的标准，依据什么标准开展信息系统审计，对发现的问题如何定性成为摆在我们面前一个亟待解决的问题。20xx年9月，中国内部审计协会发布了内部审计具体准则第28号—信息系统审计，该准则为内审部门开展信息系统审计提供了理论依据和一般作法，但具体的作法和衡量标准没有。中石油《内控体系管理手册》中虽然制订下发了信息系统的测试工具，但仍存在一些不足。具体表现在：信息系统总体控制测试标准较为全面，对信息系统总体控制涉及的环境、安全、变更、日常维护等方面制定了较为系统和完善的测试内容及步骤，这都为信息系统总体控制测试和审 7

计提供了依据，但对应用系统控制测试所界定的关键控制点，仅局限于等级一系统（财务系统和资产系统），难以满足整个经营系统审计的需要。因此一方面应组织专人，对除财务、资产以外的系统进行风险识别，找出重大风险和关键控制点，另一方面，可以用户手册、相关政策要求为依据，协助管理层对相关系统进行风险识别和评估，提供相关咨询建议。

五、获取信息系统审计证据的主要手段

信息系统审计证据的获取与传统审计相比，存在一定的差异，主要表现在传统审计证据是通过访谈、审阅、计算等方式取得的书面和实物证据，而信息系统审计证据的获取，除了上述方法外，面对信息系统本身和繁杂的电子数据，纸质的审计证据已不存在或较少使用，取而代之的是存储电子数据的磁性介质，大部分是视听电子证据，验证系统控制和计算逻辑大部分在计算机中完成，数据处理均由计算机按程序指令自动完成。如用户权限变更，是由系统管理员在系统中完成的，为了取得这个证据，必须进行拷屏。又如审查信息系统中提取的折旧是否与实际一致，也要进行拷屏，另外为了验证信息系统中职责、权限是否分离，面对成千上万的信息系统日志，必须要设计出一种权限测试工具，将系统中的日志导入该测试工具，并同关键权限与通用角色对照核对，以验证不相容权限是否分离。因此，审计人员通过拷屏获取和权限测试获取证据，是信息系统审计获取证据的主要手段。

8

六、对开展好信息系统审计的几点建议

一是要努力转变观念，逐步将信息系统审计纳入常规审计的范围。要充分认识开展信息系统审计的必要性和重要性，信息系统涉及到公司的方方面面，公司能否完成既定的战略目标，保持系统的安全、稳定、持续健康发展，是其重要的基础，在信息化环境下，电子数据按程序自动进行处理，如果信息系统的应用程序出错或被非法篡改，则信息系统只会按照错误程序进行输入输出处理。作为公司内部审计部门就是评价公司信息系统是否能够保证资产的安全、数据的完整，提出管理建议，协助管理层有效地履行经营管理目标。要从单纯的数据审计提升到信息系统审计的高度上来，要定期开展此项工作，保证公司经营管理信息系统安全和有效运行。

二是建议中石油相关部门尽早出台信息系统控制规范，尤其是对信息系统等级二和等级三系统，尽早识别其风险点和关键控制点，编制权限测试工具，以便于开展信息系统应用控制审计和测试。尽早出台信息系统审计操作指南，规范和指导信息系统审计实践，衡量和评价信息系统审计工作质量，防范和规避信息系统审计风险。

三是不断充实和培养IT审计人员。目前中石油审计系统IT方面的审计人员较少，直接限制和影响了信息系统审计工作的开展，要实现信息系统常规审计的目标，必须注重IT审计人员的充实和培训工作，开展形式多样的信息系统审计培训，鼓励审计人员考取注册信息 9

系统审计师等执业资格，在认证考试中学习、提高，逐步实现公司审计机构中IT审计人员三分之一的目标，只有这样才能适应信息化发展的需要，也才能使内部审计充满活力。

四是建议对地区公司层面运行的系统如财务、资产、人事系统由中石油一级审计机构来承担。这主要是因为在信息化环境下，传统的垂直部门为重心的内部审计逐渐演进为跨部门的内部审计，如财务系统升级为FMIS7.0后，系统中的业务处理横跨二级单位和机关两个层面，一个凭证制作在二级厂处，而审核在公司财务主管部门，资产系统和人事系统也存在这个问题，在现行的审计管理体制下，同级审的难度还是比较大，作为地区公司一级的审计机构比较适合开展由二级单位开发并应用的系统，如物资管理系统、销售管理系统、通信业务管理系统、医院信息管理系统等。

五是逐步完善审计管理信息系统与相关信息系统的接口工作，如与财务系统、资产系统、合同管理系统等系统的接口，真正实现审计的网络化和远程化，做到实时控制、过程监督。例如利用并行模拟技术测试系统运行程序的控制功能；利用嵌入式审计技术监控数据处理业务；利用数据分类复核技术审查数据库等。

六是注重信息系统审计的审前调查工作。由于信息系统的复杂性、多样性等特点，加之信息系统审计在中石油刚刚起步，在国内也属于探索阶段，是一项全新的审计工作，要将信息系统审计做好、做透，必须要重视信息系统审计的审前调查工作。通过审前调查，初步分析信息系统在开发、运行、管理及维护中可能存在的问题与风险。 10

为下一步审计实施时明确审计范围、确定审计重点打基础。

七是逐步开展信息系统开发建设期的跟踪审计。由于信息系统建设投资大、周期长、投入运行后升级维护成本高等特点，建议在条件成熟时立项开展信息系统开发建设的过程跟踪审计，及时发现信息系统前期建设的缺陷和漏洞，避免投入运行后出现重大问题。

[参考文献]

1、中石油《20xx年内控体系管理手册》

2、内部审计具体准则第28号—信息系统审计

3、20xx年中石油管理层测试实施方案--信息系统测试工具

4、对20xx年某油田公司部分信息系统的审计方案及报告 11

第二篇：中国石油天然气集团公司健康安全环保信息系统管理办法