案例背景
中冶赛迪集团有限公司(以下简称赛迪集团)是世界500强企业--中国冶金科工集团旗下的国有大型科技型工程技术企业,是集应用技术研发、经济技术咨询、规划设计、工程总承包、成套装备、工程监理、技术服务于一体的工程技术服务集团,也是国内第一家完全数字化的工程技术服务集团,下设 18个职能部门,拥有中冶赛迪工程技术股份有限公司(以下简称赛迪股份公司)等21家全资或控股子公司。中冶赛迪核心信息系统(以下简称CCIS 系统)是赛迪集团信息化建设的主要平台,是以 Oracle ERP系统为核心组件搭建的信息化系统。该系统以项目为导向和核心,覆盖了企业价值链,为项目管理提供全生命周期的信息化支撑。该系统于2008年12月上线投用至今,除涉及海外、物业管理以及房地产等业务的4家子公司尚未上线外,其余17家子公司均已成功上线投用。此外,为了持续优化完善该系统,赛迪集团于2010年投资设立了中冶赛迪重庆信息技术有限公司(以下简称赛迪信息公司),对系统进行功能运维和优化提升。
CCIS 系统对赛迪集团规范日常运营管理、提升管理效率,维护信息的正常流转,增强市场竞争力起到了积极作用。由于经营管理活动对该系统依赖性极高,系统可靠性、稳定性、安全性、完整性及准确性显得尤为重要。赛迪集团审计部作为内部监督部门,着眼于信息化环境下公司面临的新的风险点,于 2012 年开始组织具有IT背景的审计人员研究探索信息系统审计,对 CCIS 系统内部控制及流程进行审查和评价,提出相关管理建议,促进公司提升信息化水平。鉴于 CCIS 系统十分庞大复杂、实施信息系统审计的经验不足等情况,审计部充分调研,确立了分模块、分系统,逐项探索和突破的审计思路。通过近3年的探索和总结,截至 2014 年底,共开展信息系统审计项目5项;发布实施了《信息系统审计工作规定》;提升了人员素质,审计部共7人,全员拥有CIA资格,1人拥有CISA(国际注册信息系统审计师)资格,注册会计师 1 人,此外还拥有一级建造师、造价师等资格。
BI系统是与CCIS Portal界面及Oracle数据库相互集成,通过信息挖掘、分析、查询和报表的形式为管理层决策提供立体式数据服务的商务智能系统,其基础组件主要包括BIEE 基础服务、服务器以及数据抽取工具等。该系统是赛迪集团在凯捷咨询(中国)公司的指导下自行开发的,包含经营总览、项目管理、采购管理、费用控制等12个功能模块。2009 年 5 月开始搭建,同年 12 月上线投用。审计时,该系统已运用到赛迪股份等4家子公司。BI系统作为向管理层提供决策数据服务的工具,其数据准确性、有用性直接关系到管理层决策的正确性和效率,如项目预算执行情况预警及控制等。
赛迪股份公司作为赛迪集团的核心子公司,致力于为钢铁行业提供全流程服务,为工程项目提供全功能、全生命周期服务,率先投用了BI 系统。在对赛迪股份工程项目的审计过程中发现,BI 系统项目管理模块数据与 CCIS 中 ERP 系统财务模块存在不一致的情况。审计部高度重视这一情况,以风险导向为原则,对赛迪股份BI系统在项目管理的应用情况进行审计,将其纳入 2013年度审计计划,向集团董事会报批后实施。
本项目审计目标是对BI系统的内部控制和流程进行审查与评价,为持续优化完善 BI 系统内部控制流程提出具有可操作性的建议,有效提升 BI 系统的可靠性、稳定性、安全性及数据处理的完整性和准确性,增强系统的普及率和使用率;强化 CCIS 系统灾难恢复计划的持续有效性。
审计过程及方法
(一)审计思路
本项目兼具信息系统一般控制审计和应用控制审计的特点。为了实现前述审计目标,审计小组拟定了以下审计思路:
1.收集相关资料,熟悉BI系统基本架构、主要功能、业务流程以及其与CCIS系统中其他模块或子系统间的逻辑关系等。
2.风险评估,确定审计范围和重点。
3.梳理审计重点,从一般控制与应用控制两个层面深入开展审计工作,确定重点审计内容。
(二)审计过程
1.精心组织,周密安排。针对信息系统审计内容涉及面广、开展难度较大等特点,审计部高度重视,积极协调沟通,得到了赛迪集团信息化建设主管领导的大力支持,要求相关部门及人员积极配合审计工作,为审计工作的顺利开展提供有力支持。本项目审计组织情况见表 1.
2.前期准备工作。(1)主审申请并开通 BI 系统访问账户及权限。(2)详细阅读 BI系统项目管理模块设计功能说明书、解决方案及应用速读手册(操作手册)等文件;赛迪信息公司开发人员提供该系统项目管理模块的功能说明书及应用速读手册(操作手册)共 41 份。(3)梳理BI系统与CCIS其他子系统或模块间的关键接口或控制点及其基本架构。BI系统基本架构见图1,CCIS系统各模块间的关系见图2.据此,审计小组确定BI系统数据输入来源于EBS ERP 系统,与其他子系统的关联较少,其关键控制点在于数据抽取工作流抽取逻辑是否正确完备;BI 系统属于 CCIS 系统中的子系统,属于 CCIS 灾难恢复计划的一部分,且不可分离。
3.风险评估,确立审计范围。本项目以风险为导向,确立审计范围和审计重点,风险评估工作可概括为以下几个方面:(1)利用工程项目审计等其他工作成果,梳理以前审计过程中发现的与BI系统相关的问题。(2)对 BI 系统使用人员进行访谈调研,发现该系统在使用过程中存在的问题或不足之处。(3)进一步对赛迪信息BI系统开发人员进行访谈,全面了解 BI系统项目管理模块的各项功能、数据处理逻辑、与CCIS其他子系统间的数据传输逻辑、日常运维中经常出现的问题等,收集功能说明书等文本资料。(4)结合公司领导对信息系统审计的要求,将公司灾难恢复计划的有效性等纳入审计范围。根据上述几个方面的工作,结合赛迪股份公司主营业务特点,审计小组从信息系统一般控制和应用控制两个层面确立了审计重点内容。一般控制层面重点关注:(1)BI 系统软、硬件等基础设施管理情况。(2)物理访问控制制度建立健全及执行情况。(3)与 BI 系统相关规章制度建立健全及执行情况。(4)CCIS 系统灾难恢复计划建立及有效性测试管理情况。应用控制层面重点关注:(1)BI 系统对公司业务需求支持情况。(2)数据抽取工作流抽取逻辑设计及运行情况。(3)BI系统逻辑访问控制情况。
(三)审计方法及发现的问题
1 .访谈与问卷调查结果相结合,确定审计重点。在审前调查中,通过对系统关键使用者(如项目管理部部长、费用控制与合同管理部部长等)进行访谈了解到,BI系统项目管理模块使用率较低,其原因可能在于:一是部分数据不准确,与ERP 系统中项目管理、财务等模块数据不一致,这可能是影响其使用率的主要原因。二是应得收入、承诺全成本等部分指标可理解性差。三是针对用户的有效培训不足,致使部分客户不了解该系统的基本功能或对此知之甚少,进而影响了系统的使用率。审计小组据此设计调查问卷,有针对性地对赛迪股份公司部分使用者(主要是项目经理及中层管理人员以上人员)进行问卷调查,佐证了上述问题,明确了数据的准确性是影响BI系统使用率的主要原因,并将该问题纳入审计重点。
2.从具体项目着手,全面梳理BI 系统数据抽取工作流数据处理逻辑,核查 BI 系统数据准确性。通过阅读功能说明书以及向开发人员进行访谈等方法全面了解BI系统中数据抽取及处理逻辑后,审计小组抽取了实际运行的两个典型的工程项目逐项核查项目管理及业务数据,查找差异,并在开发人员支持下,分析差异产生根源,为解决相关问题提供具有可操作性的解决方案。通过核查发现,影响数据准确性的主要原因在于以下几个方面:(1)BI系统内部控制流程存在缺陷,数据抽取工作流设计存在瑕疵。如某项目甲供钢材BI系统较采购管理部提供的实际使用数据多出 3105.40 吨、1395.88万元。据查,该项目第二批钢筋实际出库 4000 吨,但采购人员录入系统时误录入7105.40吨,按照《甲供钢材采购 CCIS 用户系统操作手册》,后录入-3105.40吨到“杂项事务处理中的账户接收”进行调整,但BI系统数据抽取工作流则未抽取到该调整项。(2)CCIS 系统中采购管理模块功能不完善。如某项目直接开支中,因采购人员误录入金额为6.38万元的采购订单后,撤销该订单时,做了“取消”处理,但后台数据并未相应将订单状态更改为“取消”,致使 BI 系统直接支出较ERP 系统多了 6.38 万元。经了解,CCIS 系统上线时已明确,经批准的采购订单不能做“取消”处理,但CCIS 系统采购管理模块未屏蔽该操作。(3)用户操作不熟练或失误导致数据归集错误。如某项目直接支出中预算内设计分包支出,支出类型应为“直接支出”,而业务人员误将其支出类型选择为“制图费”.
3.采集数据,跨系统数据比对分析,查询系统非法用户。为了核查BI 系统登录权限配置是否符合公司相关管理要求,审计小组采集了 BI系统登录用户数据及CCIS系统人力资源系统中所有在职员工数据,通过跨系统数据比对分析,剔除系统管理账户,查找非法账户反馈给人力资源部进行核实确认。经对比发现,信息沟通不畅,员工离职信息传递存在缺陷。BI 系统拥有登录权限账户623个(已剔除了管理员账户),其中4个账户为已离职员工,未及时清理。主要原因在于员工离职信息传输存在缺陷,未能适时将相关信息有效传递到信息部门。
4.检查灾难恢复计划的有效性。对于灾难恢复计划的有效性检查,审计小组从两个方面着手:一是检查服务器等硬件设备的物理环境及物理访问控制情况,主要查看机房的消防安全、门禁管理以及巡检记录等。二是检查备份磁带归档管理及灾备系统有效性测试审批及开展是否符合公司相关制度规定。经查,灾难恢复计划执行有效。
审计结果及成效
针对审计发现的问题,在上报集团董事会审批后,相关部门均进行了相应整改。审计成果得到了有效应用,具体体现在:
一是发现了BI系统数据抽取工作流存在设计缺陷,影响了项目管理数据的准确性;审计结论促进了赛迪信息技术人员优化完善数据抽取工作流取数逻辑,提升了 BI 系统数据准确性。
二是发现了CCIS系统中采购管理模块功能不完善,未屏蔽被禁止的功能。已整改完毕。
三是发现了信息与沟通方面存在的不足,员工离职信息传递存在缺陷。审计后公司优化完善了员工离职流程,提高了信息传递有效性,确保了离职员工账户得到及时清理。
四是发现了BI系统中部分指标可理解性差,培训力度不足等因素影响了 BI 系统的普及率和使用率。
启示与思考
首先,较之经济责任审计等其他内部审计工作,信息系统审计的审计对象责任人并非唯一,有系统设计、实施部门,也有使用部门,同时还有负责内部控制制度设计和运行的相关部门,审计对象群体庞大导致配合难度较大。因此,公司领导的大力支持与推动是顺利开展信息系统审计的有力保障。
第二,信息系统审计主要关注信息技术内部控制与流程的合规性与可靠性,所发现的问题通过审计意见或建议予以改善,能够纠正所有的类似错漏,有效促进系统的可靠性和数据准确性的提升,审计成效和价值实现往往更加快捷、更易接受。
第三,抓住信息系统内部控制与流程的“牛鼻子”,内部审计大有可为。事实证明,通过梳理及测试信息系统内部控制与流程,再辅以有针对性的审计程序和方法,如穿行测试、问卷调查、分析性复核等,内部信息系统审计在促进信息系统的完善和改进方面完全可以大有作为。
第四,信息系统审计工作作为内部审计新开展的一项审计业务,对于企业尤其是非金融类企业的内部审计而言,尚处于不断摸索和学习的过程中,提升审计人员的专业胜任能力,逐步规范完善审计流程及审计工作底稿,对于充分发挥内部审计价值创造作用尤为重要。客观上,目前非金融类企业信息系统审计发挥的作用较为有限,提升空间仍然较大。