联合国儿童基金会(以下简称UNICEF)纽约总部目前主要使用的信息系统是SAP(Systems Applications and Products in Data Processing的简称,既是公司名称,又是其产品——企业管理解决方案软件的名称。SAP公司于1972年在德国创立,SAP是目前全世界排名第一的ERP软件),各个国家办事处使用的信息系统是ProMS(Programme Management System的简称,是自行开发的ERP系统)。UNICEF总部的IT部门是整个组织的核心部门,负责UNICEF的信息技术整体架构的设计和管理以及机构内各种信息系统的运营维护。IT部门的成员主要划分为8个功能领域,分别负责管理各个国家办事处的ProMS运行管理、系统整合、SAP财务和人力资源、IT运营管理、技术架构、Internet服务、全球通讯以及IT安全等。 UNICEF信息系统审计按照一般控制和应用控制两大类型,参照ISACA的COBIT4.1审计标准开展工作。 1、信息系统的控制情况。UNICEF的信息系统控制主要由总部的信息技术部门负责。纽约总部的办公地址分为两个办公场所,通过光纤相连,各有一个数据中心,主要的业务数据定期互相进行备份。UNICEF的信息系统可以分为运行系统和开发中系统两大类。运行系统的服务器在数据中心,支持日常业务运行,如当前使用的SAP系统、邮件系统以及网站等;开发中系统是未完成的系统,或者处于测试阶段未投入使用的系统,如下一代的ERP系统以及需要更新的SAP模块等。UNICEF的开发环境、测试环境与运行环境在物理上相互独立。UNICEF信息系统的具体控制分为一般控制和应用控制两方面。(1)一般控制。UNICEF信息系统整体来说具有良好的总体控制环境和合理的组织结构,管理政策比较完备并不断更新,数据中心的物理环境控制基本符合要求,软硬件的采购都有完整的采购和审批制度,系统开发、测试、投入运行分别在不同的环境下完成,变更控制具有完整正式的授权和审批程序,并具备相关政策,信息安全控制和运营维护控制都有专门的部门负责。(2)应用控制。对业务流程中的应用控制主要是通过SAP中预定义规则完成,管理部门通过对用户和权限进行分组,合理高效地管理用户授权,并且对于异常情况有专人进行连续监督,随时查看并解决异常情况,基本上能够对业务授权、数据处理过程进行有效的管理和控制,减少异常事件和风险的发生。用户在SAP系统使用非授权的指令,会被系统中止并进行记录。但由于当前SAP与ProMS等多个业务系统并存,存在不同系统之间数据交换的问题,有些领域还需要手工录入信息,因此,在数据输入、处理、输出和审批授权等方面,还存在一些不完善之处。 表1 一般控制检查事项和审计目标
表2 应用控制检查事项和审计目标
2、信息系统审计总体目标的确定。UNICEF的信息技术部门主要的职责包括:(1)通过将信息技术与业务过程相结合,帮助UNICEF实现战略目标。(2)为组织内部和外部提供先进、高效、安全和整合的业务解决方案和系统。(3)保证组织内部信息系统的服务质量。信息系统审计的总体目标据此并结合主要业务特点和相关风险确定,包括以下几个方面:(1)信息技术部门的战略、政策和程序制定是否规范,履行职责是否到位;IT系统是否能支持组织的业务运营。(2)IT资产是否得到有效保护,数据中心控制是否适当。(3)主要的信息系统是否存在安全风险和薄弱环节。(4)IT部门的服务管理是否存在风险,IT系统是否能及时解决运营过程中的问题。(5)业务流程中的授权和审批、数据输入、处理和输出是否存在风险。 3、信息系统审计采用的技术和方法。(1)问卷调查。了解对方基本情况和管理制度,确定风险和控制措施。(2)访谈。与主要管理人员和相关业务人员面谈,了解和讨论与被审计领域相关的政策制定和执行情况。(3)检查文档。检查是否存在相关文档以及文档的完备性、合理性以及及时更新、实施情况;检查控制制度的执行情况。(4)实地观察。查看设备和工作现场,检查数据中心,获取物理环境和实际业务执行情况的有关信息。(5)抽样分析。利用业务的抽样数据,检查和验证重要业务控制的实际执行情况,确定业务数据的真实性和完整性。(6)测试。使用测试数据,检查主要业务系统的输入、处理和输出控制以及权限管理情况。 4、信息系统审计事项的确立。SAP和ProMS是UNICEF总部和各个国家办事处的核心业务信息系统,当前信息系统运行的有效性、安全性以及数据中心物理安全的控制,是审计重点关注的内容。结合以上分析,根据COBIT4.1中对相关控制目标的定义和分类以及审计对象的特点,设计具体审计目标和审计事项。一般控制审计方面,审计检查的事项和审计目标如表1所示;应用控制审计方面审计检查的事项和审计目标如表2所示。