電網企業IT審計探討

程俊春 羅學禮

(1.中國南方電網有限責任公司，廣東 廣州 510000;2.云南電網電力研究院，云南 昆明 650217)

1 前言

從電網技術發展和應用的角度看，智能電網將是新型現代化電網的建設方向，信息技術作為智能電網密不可分的組成部分，地位很重要。信息系統中存在操作軌跡不可見、操作流程缺失、數據非法篡改等問題。信息技術不僅要為主營業務風險控制提供保障，其自身的風險控制也應進一步強化。通過有效的信息系統審計，電網企業可以及時識別IT風險，完善控制措施。

2 IT審計的概念

IT審計，也稱作信息系統審計，是獨立于信息系統本身、信息系統相關開發、使用人員，由審計機構及審計人員對信息系統及其相關的信息技術內部控制和流程開展的一系列綜合檢查、評價與報告活動。與信息安全相關的防火墻審計、安全診斷、信息技術認證以及系統上線評估等均屬于信息系統審計的范疇。

2.1 電網企業IT審計的特點

1)信息系統涉及的業務面較廣，不同的業務帶來不同行業的法律規范要求。

2)信息技術管理的范圍較廣，復雜度較高，需遵守各相關行業法規的要求;各下屬公司使用的信息系統存在差異，版本不一致。

3)信息技術整體規劃不足，信息技術管理水平參差不齊。

4)當內部信息技術管理資源不足時選擇信息技術運維外包，如果缺乏對供應商的有效監控會減弱自身對信息技術運維的控制力。

2.2 電網企業IT審計的目標

電網企業IT審計的目標是通過對被審計單位IT規劃、建設、應用、服務以及安全等全方位的審計，評價信息化投資效益，充分識別與評估IT風險，達到強化IT內部控制的目的。

3 電網企業IT審計標準

1)信息系統審計與控制協會發布的COBIT(Control Object of Information related Technologies)將包含IT基礎設施、IT應用、人員和信息四類要素的IT資源分配到信息系統生命周期的4個域、34個流程的控制中，并針對每個流程依據包含保密、完整、可靠、合規、效果、效率、可用等七個屬性的業務目標分別定義了各流程的IT控制目標及活動目標。COBIT建議按照業務、信息系統整體、IT流程、流程活動的順序自上而下的對業務目標進行分解，同時按照從流程活動、IT流程、信息系統整體、業務的順序自下而上的進行指標的衡量，以保證及時發現并糾正IT控制中的偏差，確保IT控制與業務目標的一致性。

2)中國內部審計協會制定了《內部審計具體準則第28號——信息系統審計》，針對信息系統審計的一般原則、審計計劃、風險評估、審計內容等做出了具體規范。電網企業在開展IT內部審計時可參考借鑒其中的審計內容及方法。

4 電網企業IT審計步驟

4.1 審計計劃階段

審計計劃階段需要初步評估被審計單位信息系統的風險，對信息系統的控制給出初步的評價，制定審計實施方案。IT審計方案應該包括被審計單位信息系統及內部控制現狀分析、審計依據、IT審計的范圍、審計工作的組織安排、審計風險評估、實施時間計劃、IT審計方法以及審計協調與溝通機制等。

4.2 審計實施階段

IT審計實施的過程要求識別被審計單位的控制活動，確定審計程序和測試方案，編制審計工作底稿。審計人員應根據既定的審計方案，結合專業知識，判斷被審計單位是否按照相關法律法規、行業標準以及最佳實踐的要求設計IT控制，并綜合判斷當前IT控制能否有效控制信息系統風險。

4.3 審計報告階段

審計報告需要按照信息系統審計準則中有關審計報告的標準要求進行撰寫，報告除了審計過程的基本信息外，需要包含對被審計信息系統的IT控制現狀的評價，以及對被審計單位改進當前IT控制提供的建議。

5 電網企業IT審計內容

5.1 IT治理審計

主要包括信息部門管理架構、信息技術風險管理與監控以及制度建設等。

5.2 信息系統項目合同及資金審計招投標工作管理

1)查看招投標資質審查情況;審查招投標程序是否合法。

2)審查合同簽訂、執行情況。

3)審計項目資金是否按計劃支付、是否按計劃合理使用，結算款支付是否具備依據充分的結算資料和規范的審批程序。

5.3 IT運維審計

5.3.1 信息系統運維審計

系統正式上線前是否存在正式的交接和審批流程，審查提交材料的完備性，抽查可用性;是否實施了適當的備份和恢復機制，確保數據和系統能夠在需要時進行恢復;是否對重要業務系統/數據進行定期的恢復測試，以確保備份數據的質量和系統的有效;是否對主要業務系統的備份介質訪問存在包括授權在內的控制等;審查IT服務流程及IT服務管理系統的應用情況。

5.3.2 IT資產審計

統計IT資產情況;對IT涉及的投入、運維、資產、耗材等方面的會計核算按照企業會計核算管理辦法進行合規性審計。

5.4 信息安全審計

1)是否成立了信息安全機構，是否明確了相關崗位的職責要求。

2)對機房場地、機房訪問控制、防盜竊和防破壞、防靜電和防雷擊、防火和防水、溫濕度控制、機房電磁防護、機房供電等方面進行檢查。核心設備是否具備熱備冗余能力，是否制定了網絡設備的物理訪問控制措施，是否對登陸源進行了限制，是否采用SSH、HTTPS安全加密的方式登陸管理，設備登陸帳號和密碼是否符合帳號、口令管理規定和密碼定期更換，是否停止空閑的端口(接口)，是否啟用日志審計功能。

3)是否制定了數據訪問控制措施，是否對信息數據進行分類、分級管理，是否采用加密或其他保護措施實現重要數據存儲和傳輸安全，是否對磁盤、光盤、U盤和移動硬盤等移動存儲進行安全管理措施，是否對各種信息技術數據資料等使用、審批、登記、報廢記錄。終端設備是否定期進行了安全漏洞檢測和加固，是否設立密碼等安全策略。

4)應用系統及數據庫安全。

5)從安全、可靠、優質、業務連續性及經濟方面檢查和評價信息系統項目存在的風險，實施是否達到了預期效果，是否取得相應的效益。統計IT資本性投入、維護與維修費用、運行費用;審查分析IT設備的利用情況，各種設備是否得以充分利用，盡可能提高信息系統的經濟效益;分析各崗位職能和人員的結構組成，是否采取有效措施，以充分調動各崗位人員的積極性，促使他們提高工作效率;通過分析和研究業務部門信息系統，是否存在重復建設，資源浪費;檢查系統日志，統計系統的應用情況;統計主要業務系統建設周期、試運行時間、更新周期;分析業務流程的重組與信息技術的結合程度。

6 結束語

隨著信息化建設與應用的不斷深化，控制IT風險、保證信息系統穩定運行已成為電網企業緊迫的任務，這些都要求電網企業加大對信息系統的審計力度。目前，各級電網企業已嘗試開展了IT審計工作，但仍處于摸索階段，還有很多內容和問題需要研究解決。

［1］詹姆斯.A.霍爾.信息系統審計與鑒證［M］.北京:中信出版社，2003.

［2］孫強.信息系統審計:安全、風險管理與控制［M］.北京:機械工業出版社，2003.

［3］內部審計具體準則第28號—信息系統審計［S］.