信息化使得企业内部控制环节发生了改变,传统的控制手段逐渐失去意义。因此,在油田企业管理控制和监督上,需要采用IT审计,针对各种信息系统进行综合评价,帮助企业管理风险。
石油IT审计的内涵
按照油田企业信息系统总体控制的内容,IT审计针对控制环境、信息安全、项目建设管理、系统变更管理、系统运行维护、最终用户操作等方面进行定期和不定期的综合测试审计。
IT审计方法、技术和工具是IT审计的重要组成部分。企业信息系统在功能、应用环境、规模到开发方式等方面存在多样性和复杂性,IT审计难度很大,对审计师提出了严峻的挑战。面对错综复杂的信息系统和审计环境,审计师常常要用到许多种方法、技术和工具来完成审计工作。以常规的审计方法为主,辅以计算机辅助审计技术与工具辅助进行测试。
常规的审计方法指面谈法、问卷调查法、系统评审会、流程图检查、程序代码检查、程序代码比较和测试等内容。
计算机辅助审计技术与工具主要指审计人员通过各种测试软件工具对信息系统进行符合性测试和实质性测试。这类型的软件主要应用于信息系统权限分析、系统日志分析、系统配置文件分析等数据量大,人为检索较困难的内容。
石油IT审计师需要对信息系统的整体效能进行综合评估,进一步全面地评价企业信息系统目标实现的充分程度以及企业的收益程度。
初见成效
中石油通过几年来IT审计体系和制度的建设,在系统可靠性和投入产出比上得到了大力的提升,主要表现在以下几个方面:
建立了完善的IT审计制度和IT审计队伍。从2005年以来,中国石油油田企业建立了以信息系统总体控制文档为主要体系的IT审计制度,建立了以审计部门、信息部门共同参与组建的IT审计队伍,落实和确定了相关部门和岗位职责。
信息系统可靠性得到了大力的提高。依照信息系统总体控制文档和项目建设方法,在信息系统建设过程中,从项目立项、需求调研、方案设计、系统测试、项目验收等过程,都做到文档化、规范化,提高了信息系统的建设品质,同时通过信息系统审计,早发现系统设计缺陷、程序错误等。
信息系统安全性逐步提高。逐步建立了日常信息安全处理制度、应急事件处理预案,不断对信息系统总体控制的宣贯过程中,增加了员工信息安全意识,大大减少了误操作和潜在的信息安全漏洞。
实施信息系统审计后,信息系统效率不断优化,IT部门定期对系统进行巡检和检测,实现信息系统在业务和负载方面的均衡。定期实施IT审计后,开展对信息系统的计划、开发、实施和运营各阶段的(费用/效果)指标进行定性或定量的核查、评价,确保信息系统利益最大化。