广告服务 新浪微博 腾讯微博 微信公众号 欢迎投稿
首页 | 资讯 内控 财会 文库 服务 考试 法规 图片 视频 投稿信箱:tougao@shenji.cn 设为首页 | 收藏本站
文库频道
浅议信息系统授权与审批控制审计的方法

 信息系统审计应当根据《信息系统审计指南》(计算机审计实务公告第34号)进行对于初次审计不是计算机专业人员来说,审计过程非常艰难,特别是授权与审批控制审计在《指南》中没有具体说明测评内容,更是感觉无从下手,下面就授权与审批控制审计谈一点个人体会

一、明确审计目标

授权与审批控制审计首先要清楚审计目的一个完善的系统,应该包含业务信息和管理信息两类业务信息满足业务的采集、整理、传输、汇总、分析等需要,管理信息满足管理、决策等需要信息系统的授权审批控制审计目的就是测评业务信息与管理信息是否有机统一,系统的业务是否得到有效控制。其次要确定具体的审计目标,即通过检查系统的授权事项和审批过程,验证系统业务处理的正确性和控制的有效性,验证各流程节点的操作是否反映了业务活动的审批及处理过程要求

二、确定审计内容

查看信息系统是否根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等; 是否针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度;是否定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息;是否记录审批过程并保存审批文档。

只有完善的系统设计、充分合理授权、严格按照审批程序执行审批才能使系统的业务得到有效的控制。所以审计可以从三个方面即系统设计授权事项的完善程度、授权的充分合理性和业务操作控制有效性进行测评。

三、具体的审计方法

(一)收集资料

收集审计需要的资料包括审计单位组织结构图、业务流程图、系统开发的相关资料、各个子系统即模块(以下简称模块)产生的业务数据、系统管理中心的模块功能表及授权记录,授权变更记录等资料。

通过查阅被审计单位提供的组织结构图和业务流程图,熟悉被审计单位的管理模式和业务运行情况,确定重要模块和关键岗位落实相关的人员配备情况;对比系统开发的相关资料,熟悉系统的模块功能情况,重点熟悉重要模块和关键岗位的授权情况和业务运行情况。

(二)测评系统设计授权事项的完善程度

系统设计授权事项的完善程度主要是查看系统的授权事项是否符合业务需求和管理需要,是否按不同岗位和职责设计具体的授权事项、审批部门。具体审计方法可以系统检查方法现场调查模块授权事项是否符合业务需求和管理需要,也可以用数据分析法查找审计疑点再落实疑点,下面重点介绍数据分析的方法。

图为数据分析系统设计授权事项的简单审计流程。

 

1.查询模块的数量与模块的审批事项是否相等,如果相等直接可以进行下一步的模块授权情况查询,如果不等则返回查询模块的具体授权事项情况。

2.查询各个模块是否有审批授权事项,有审批事项的模块可以进行下一步的授权查询,无审批事项的模块进一步分为:有具体授权事项但无审批事项的模块,这种模块业务控制测评时重点查看审批环节如何实现无具体授权事项更无审批事项的模块例如有的模块只有“所有”一个模糊的授权项,这种模块在授权时无法区分岗位授权,在授权分析时重点分析被授权人员是否都与业务有关,在业务控制有效性测试时要测试该模块实际是否有审批功能。

(三)测评授权是否充分合理

所谓充分,是指是否把所有权限授予应该授予的人员,所谓合理是指该权限是否与岗位职责相符。授权行为一般会由系统管理员操作,授权人员是否按照组织结构和业务流程把设计好的权限授予该授的人,是业务处理能否得到有效控制的关键环节审计的方法主要是对授权记录的数据进行分析,发现疑点以备落实。

图为授权记录数据分析的简单审计流程。

 

1.查询授权是否充分。

主要是否分析系统设计的所有授权事项是否被授权,结果分为已经被授权的和未被授权两种未被授权的事项,主要落实未授权的原因,其分析方法是直接查询授权记录中是否存在被授权人为空的情况;已经被授权的事项继续合理性查询

2.查询授权是否合理

对已经授权的事项,分为合理授权与不合理授权。

⑴合理授权分析的方法是选择有审批事项模块授权记录,落实与该模块业务有关的人员,查看其授权是否与岗位职责相符。

不合理授权分为不该得到授权而得到授权、应该授权而未得到授权种情况。

不该得到授权而得到授权的。

一种是与业务有关但与岗位无关的授权,造成这种授权的一是系统设计缺陷造成的,如有的模块只有“所有”授权项,这种模块在授权时就无法按岗位职责授权,授权人员把权限授予了与业务相关的人员,每个人只能被被授予 “所有”的权限,即与这个模块业务相关的应该拥有最低权限的也被授予了该模块的最高权限,测试方法是查询模糊授权事项模块的授权记录,查询与业务有关的人员是否都被授予了“所有”权限二是人为授权错造成的:测试方法选择授权事项完备的模块,查看是否存在被授权人员与业务有关但和职责不匹配的授权记录;

一种是与业务和岗位都无关的授权,这种错误都是人为错误造成的, 测试方法是查询模块的授权记录,排除与该模块业务有关人员,查看是否还有被授权的人员

②应该授权而未得到授权的。

一种是系统设计环节的缺失造成的无法授权,例如有的系统没有把各个模块建立在一个平台上,数据无法传输,无法实现一些功能的需要,这种情况的测试方法主要是通过现场调查实现

另一种是授权错误造成的,测试方法是先确定与模块业务相关的人员,再查询模块授权记录,是否存未被授权的相关人员。

(四)测评业务审批程序控制是否有效。

通过系统事项设计查询与授权查询,可以发现系统设计缺陷或者授权管理中存在一些问题,但真正的业务处理控制是否有效还需要对以上查询结果进一步落实,归纳以上查询情况需要落实的分为三类,如下图:

 1.未被授权岗位的业务控制测评。

包括应该得到授权而未得到授权的和事项未被授予任何两种情况。对于事项未被授权,调查落实是模块未启动还是模块启动该事项功能不全而未被授权,如果模块启动而有事项未被授权则要落实相应的业务控制是否有效,测试方法主要是选择有未被授权事项模块的业务数据,分析业务流程控制情况。应该授权而未得到授权的根据授权查询记录,测试这些模块的业务数据,查看相关岗位的业务如何实现。

2.落实合理授权的业务控制是否有效。

授权充分合理的,只需测试审批过程是否按既定的程序进行审批,测评对象可以选择行政管理中心即管理层、信息系统管理中心、对数据外传有严格审批要求接口数据及重要模块关键岗位。测试方法可以现场调查各个岗位是否按照权限操作,也可以用该节点的业务数据进行分析,一是操作人员与审批人员是否是被授权人员,因为实际审计中存在岗位授权是合理的,但系统未控制好存在不授权人员也能操作业务的情况,二是被授权人员是否按既定程序履行自己的岗位职责,有的授予了相应的权限却未履职的情况。

3. 不该授权而被授予了权限的业务控制测评。

主要是测试不应该拥有权限而被授予了权限的人员否操作了该岗位业务。根据授权查询的结果,测试这些模块的业务数据,查看是否有被这些人员操作的记录,落实仅仅是授权不合理还是业务过程也未得到控制,实际审计中会发现有的仅仅是授权错误,但业务过程得到了控制。

业务控制测试完成,得出审计结论,并根据具体的情况提出审计建议

通过以上步骤,可以使初次审计信息系统审计人员,达到验证系统业务处理的正确性和控制的有效性,验证各流程节点的操作是否反映了业务活动的审批及处理过程要求,基本完成计算机信息系统授权与审批控制审计审计目标

  • 上一条文章:

  • 下一条文章:
  • 热点新闻
    国家级期刊论文写作指导及发表
    公开刊号、公开发行、国家出版总局可查
    联系人:徐老师、林老师
    电话:020-29008322
    在线交流: 点击这里给我发消息 点击这里给我发消息
    中国审计网中文网址:审计网.中国 中文域名:中国审计网.com
    电信与信息服务业务与电子公告BBS经营许可证:B2-20050153号
    Copyright @ 2000-2014 www.shenji.cn All Rights Reserved.