联合国儿童基金会信息系统审计,本文主要内容关键词为:联合国儿童基金会论文,信息系统论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
联合国儿童基金会(以下简称UNICEF)纽约总部目前主要使用的信息系统是SAP(Systems Applications and Products in Data Processing的简称,既是公司名称,又是其产品——企业管理解决方案软件的名称。SAP公司于1972年在德国创立,SAP是目前全世界排名第一的ERP软件),各个国家办事处使用的信息系统是ProMS(Programme Management System的简称,是自行开发的ERP系统)。UNICEF总部的IT部门是整个组织的核心部门,负责UNICEF的信息技术整体架构的设计和管理以及机构内各种信息系统的运营维护。IT部门的成员主要划分为8个功能领域,分别负责管理各个国家办事处的ProMS运行管理、系统整合、SAP财务和人力资源、IT运营管理、技术架构、Internet服务、全球通讯以及IT安全等。
UNICEF信息系统审计按照一般控制和应用控制两大类型,参照ISACA的COBIT4.1审计标准开展工作。
1、信息系统的控制情况。UNICEF的信息系统控制主要由总部的信息技术部门负责。纽约总部的办公地址分为两个办公场所,通过光纤相连,各有一个数据中心,主要的业务数据定期互相进行备份。UNICEF的信息系统可以分为运行系统和开发中系统两大类。运行系统的服务器在数据中心,支持日常业务运行,如当前使用的SAP系统、邮件系统以及网站等;开发中系统是未完成的系统,或者处于测试阶段未投入使用的系统,如下一代的ERP系统以及需要更新的SAP模块等。UNICEF的开发环境、测试环境与运行环境在物理上相互独立。UNICEF信息系统的具体控制分为一般控制和应用控制两方面。(1)一般控制。UNICEF信息系统整体来说具有良好的总体控制环境和合理的组织结构,管理政策比较完备并不断更新,数据中心的物理环境控制基本符合要求,软硬件的采购都有完整的采购和审批制度,系统开发、测试、投入运行分别在不同的环境下完成,变更控制具有完整正式的授权和审批程序,并具备相关政策,信息安全控制和运营维护控制都有专门的部门负责。(2)应用控制。对业务流程中的应用控制主要是通过SAP中预定义规则完成,管理部门通过对用户和权限进行分组,合理高效地管理用户授权,并且对于异常情况有专人进行连续监督,随时查看并解决异常情况,基本上能够对业务授权、数据处理过程进行有效的管理和控制,减少异常事件和风险的发生。用户在SAP系统使用非授权的指令,会被系统中止并进行记录。但由于当前SAP与ProMS等多个业务系统并存,存在不同系统之间数据交换的问题,有些领域还需要手工录入信息,因此,在数据输入、处理、输出和审批授权等方面,还存在一些不完善之处。
表1 一般控制检查事项和审计目标
表2 应用控制检查事项和审计目标
2、信息系统审计总体目标的确定。UNICEF的信息技术部门主要的职责包括:(1)通过将信息技术与业务过程相结合,帮助UNICEF实现战略目标。(2)为组织内部和外部提供先进、高效、安全和整合的业务解决方案和系统。(3)保证组织内部信息系统的服务质量。信息系统审计的总体目标据此并结合主要业务特点和相关风险确定,包括以下几个方面:(1)信息技术部门的战略、政策和程序制定是否规范,履行职责是否到位;IT系统是否能支持组织的业务运营。(2)IT资产是否得到有效保护,数据中心控制是否适当。(3)主要的信息系统是否存在安全风险和薄弱环节。(4)IT部门的服务管理是否存在风险,IT系统是否能及时解决运营过程中的问题。(5)业务流程中的授权和审批、数据输入、处理和输出是否存在风险。
3、信息系统审计采用的技术和方法。(1)问卷调查。了解对方基本情况和管理制度,确定风险和控制措施。(2)访谈。与主要管理人员和相关业务人员面谈,了解和讨论与被审计领域相关的政策制定和执行情况。(3)检查文档。检查是否存在相关文档以及文档的完备性、合理性以及及时更新、实施情况;检查控制制度的执行情况。(4)实地观察。查看设备和工作现场,检查数据中心,获取物理环境和实际业务执行情况的有关信息。(5)抽样分析。利用业务的抽样数据,检查和验证重要业务控制的实际执行情况,确定业务数据的真实性和完整性。(6)测试。使用测试数据,检查主要业务系统的输入、处理和输出控制以及权限管理情况。
4、信息系统审计事项的确立。SAP和ProMS是UNICEF总部和各个国家办事处的核心业务信息系统,当前信息系统运行的有效性、安全性以及数据中心物理安全的控制,是审计重点关注的内容。结合以上分析,根据COBIT4.1中对相关控制目标的定义和分类以及审计对象的特点,设计具体审计目标和审计事项。一般控制审计方面,审计检查的事项和审计目标如表1所示;应用控制审计方面审计检查的事项和审计目标如表2所示。
5、审计结论。(1)支持UNICEF日常运营的主要信息系统SAP具有较强的内部控制功能和措施,能够有效地控制风险。负责信息系统开发、管理和运营维护的IT部门具有完善的战略、政策、程序和计划;信息系统的管理、开发和运营维护具有较为完善的内部控制措施。(2)UNICEF的日常业务运营高度依赖组织内部的各种信息系统,总部对于信息系统整个生命周期日常管理的指导政策遵循COBIT4.1,信息系统的服务管理政策遵循ITIL(IT Infrastructure Library,是英国国家计算机和电信局CCTA在20世纪80年代末开发的一套IT服务管理标准库,目前已经成为业界通用标准,包括如何管理IT基础设施的流程描述,是业界普遍采用的IT服务管理的实际标准及最佳实践指南,目前最新的版本是V3.0),并不断完善和更新。IT部门工作参考行业最佳实践标准,能够比较有效地控制信息系统的风险。(3)对于基础设施和信息系统资产的管理,相应的一般控制政策和制度比较完善,并具有有效的监督机制。针对设备的管理和更新问题制定了有针对性的政策,软硬件采购均遵循已经制定的完整的流程和审批程序。对于信息资产的安全性、数据安全、权限管理、物理和逻辑访问控制均有完善的机制,资产管理的安全性方面存在一定的风险,但都在可控的范围内。(4)业务流程个别环节存在电子数据不一致的现象;某些业务功能模块的日常使用存在控制漏洞和薄弱环节;信息系统存在信息重复录入且无及时发现的有效机制;有关模块的监督功能不够完善,从而影响监督的有效性,需要加以改进和完善。
标签:联合国儿童基金会论文; 审计软件论文; 审计计划论文; 业务管理论文; 审计目标论文; 审计流程论文; 审计方法论文; 信息安全论文; 管理审计论文; 数据中心论文; sap论文; it审计论文;