地方地铁审计的实践探析

1、地方地铁审计的实践探析     首先从IT审计战略规划着手，根据IT审计策略制订逐年计划；在单个的IT审计项目中，则依次经过确定审计范围、风险评估、审计测试等程序，最后与审计对象沟通发现的信息系统缺陷，跟踪后续整改情况。年终再将全年的IT审计情况进行汇总分析，成为下一年度计划的编制依据，开启新一轮的PDCA审计循环，确保循序渐进、有条不紊地开展IT审计工作。根据信息系统风险评级，制定差异化的IT审计方案。为利用有限的审计资源掌握公司主要信息系统的建设、运营情况，保障信息资源的有效利用，降低公司信息系统的整体风险，广州地铁结合信息系统规划、建设和运营的情况

2、及系统分类梳理出信息系统清单（见图3）。透过企业的战略系统，自上而下分析企业的经营风险，确定并分解影响战略实现的风险类别、指标和权重，制定信息系统风险打分表。组织审计人员和业务人员从业务、人员、系统三个维度进行风险评估，按照风险评估的结果将信息系统划分为优先级高、中、低三个风险等级，以此作为未来信息系统审计的次序，并针对三类风险等级的信息系统，制定不同的审计策略（见表1），将审计资源的分配向重大风险领域倾斜，以确保审计资源的高效运用，进而形成了有步骤、有计划、差异化的风险导向型IT审计工作开展思路（见图5）。评价整体计算机控制的安全性，确保信息系统控制环境的有效性。在广州地铁管理流程信息化逐步

3、形成规模，并相互关联的情况下，信息系统的整体控制环境是否良好，信息系统运作与控制是否可靠，以及对应用系统和业务部门的运作的支持程度是否足够，都将直接影响到信息系统的运营效果，这也是COSO框架中控制环境中的一部分。针对该目标，IT审计开展了包含信息系统安全、信息系统操作、变更管理等方面的整体计算机控制审计工作，以保证由信息系统支持的业务流程控制的可靠度、生成数据和报告的可信度。在实际操作中，由于公司的信息化业务采用统一集中管理的模式，整体计算机控制对各个系统具有一定的通用性，因此，广州地铁主要以单个信息系统整体计算机控制为切入点对整体计算机控制进行审计，评价整体信息系统安全。比图6票务收入漏管

4、模型如通过信息安全合同管理系统审计项目发现，公司的信息化管理体系中缺乏对信息系统整体的性能和容量的定期评估，也未明确针对系统整体性能和容量的评估职责，从而导致控制活动的缺失；在对合同管理系统的备份情况进行检查时发现系统未按要求进行定期的备份，通过对所有系统备份情况的延展调查，发现由于资源的限制以及针对备份检查工作的缺失导致多个系统均未达到备份的要求；通过ERP系统审计对公司的整体计算机环境的安全性进行评价，发现公司在新系统建设、安全制度的执行、权限管理等方面存在控制缺陷等问题。有了整体计算机控制的评价基础，日常的信息系统审计则侧重于系统本身应用安全设置方面，避免了重复工作。根据信息系统的风险评

5、估，确定IT审计重点。信息系统自身对数据的处理也存在因系统设计缺陷而产生错漏的风险，这些问题都是IT审计应高度关注的重点。为此，在确认IT审计重点时，要牢牢抓住信息系统的建设目标及系统涉及业务的关键控制节点，考虑在信息系统实现控制功能时，可能会影响哪方面的控制力度以及建设过程中可能会产生的信息环境下的控制风险。根据该思路，内部审计在对运营票务收入业务进行审计时，考虑到漏管模型（见图6）对票务收入的影响，审计人员利用传统的内部控制评价辨识可能的收入损失区域和控制失衡与风险区域，从而确定审计重点：首先对整个票务收入业务进行梳理，划分出制票、定价、售票、充值、扣值、退票、特殊情况票务处理、运营资金管

6、理、收入结算、车票管理、清分、财务会计入账13个票务收入子流程；再进一步梳理子流程内部的控制流程图、数据流程图和报表流程图；然后识别出流程中可能存在的48个风险和62个控制措施，编制13个子流程的内部控制矩阵最后在对内部控制矩阵中各项手工和系统控制措施的有效性进行评估，从而辨识出票务收入流程中售票、充值、扣值及退票等交易记录收集及处理、收入结算、清分和财务会计入账四个高风险区域，作为下一步执行有效性验证的重点内容。审计结果也证明，以传统的内部控制缺陷为启示，运用内部控制理念梳理风险的方式对提高IT审计重点的定位准确性有较大帮助。另外，在IT审计测试过程中，海量数据验证的要求和有限审计资源的矛盾

7、也是审计人员需要解决的问题。对此，广州地铁也采用了内部控制风险评估的方法确定测试内容和重点，以提高审计效率。在票务收入验证项目中，在风险评估识别出四个高风险领域后，对高风险领域的控制进行有效性测试时，涉及了近2亿的海量交易数据和文件产生、传递、处理和输出的验证，每一项验证过程，都可能涉及几百万条数据间的分析、筛选和匹配等，涉及的数据处理工作量极大。因此，在审计过程中，通过风险评估方法，在票务收入系统的过百项数据处理操作中确定了交易数据及文件上传正确性及完整性、交易数据合法性及正确性、各类车票收入正确性及客流量统计的正确性四类指标为高风险区域，从而明确数据验证的重点，制定数据验证的方法，达到更有

8、效地利用资源，提高了内部审计有效性的效用。企业管理流程的信息化给审计带来的另一个挑战在于信息化建设往往增加了管理流程中的控制活动，甚至是调整了控制流程，使得审计人员不能迅速掌握流程的控制点并厘清评价逻辑，影响了审计的全面性。为此，广州地铁在IT审计中引入了内部控制评价的思路，通过梳理并确定流程风险和关键控制点，区分手工控制和系统控制，在此基础上依据不同的控制手段制定不同的测试程序，确保IT审计评价的全面性。比如，在运营票务收入保障评估项目中，针对风险评估的四个重点区域，通过数据验证的方式评估其控制的有效性。对于中低风险区域，采用常规的内部控制评价方法，按照一定的抽样比例进行抽样验证，确保对票务

9、收入13个子流程的48个风险点和62个控制活动的全覆盖。从审计结果看，共发现问题或缺陷24个，其中4个高风险区域中通过数据验证的方式共发现问题或缺陷17个，通过常规内部控制评价手段发现问题7个，从而全面地评价该业务的管理。整合审计模块，加大IT审计效用1开展“1+IT审计”，提高审计全面性。近年来，随着信息系统在经营开发、工程建设、职能管理等多个领域的广泛运用，广州地铁开始打破以往各审计模块独立开展审计项目的局限，逐步将IT审计融入到其他审计模块的项目中，采取“经营绩效审计+IT审计”、“内部控制审计+IT审计”、“工程审计+IT审计”等“1+IT审计”模式，强化IT审计在审计业务中的支柱作用

10、，做到只要被审计对象或被审计单位的核心管理模块使用信息系统，则合并开展相关系统的IT审计。通过这种跨模块的审计结合，较好地形成了各审计模块“优势互补，并肩发展”的局面。比如在后勤中心管理审计项目中，IT审计通过对饭卡充扣费系统以及小卖部售卖系统的审计，发现了相关信息系统存在了账户使用和维护、基本数据的维护方面存在着内部控制缺陷，进而引导财务管理关注饭卡及小卖部的财务控制问题。大力推广信息技术，运用IT手段开展绩效评价。为实现审计的增值效用，广州地铁越来越多地运用绩效评价手段开展审计项目。而在信息系统环境下，绩效评价工作不可避免的涉及系统数据的整理和抽取，这时对系统极为熟悉的IT审计模块又发挥了

11、强有力的支撑作用。比如，在开展运营物资绩效评价项目及运营委外维修管理绩效审计项目过程中，IT审计人员通过分析系统的报表和数据结构，设计出符合项目目标的数据提取模型，要求运维人员根据设计的模型从系统后台提取数据，大大提高了取数的效率。同时，IT人员通过数据处理软件，迅速对数据进行处理和分析，为绩效审计工作提供了准确的基础数据，大大提高了工作效率和质量。而在票务收入保障审计项目中，IT审计则针对业务处理的核心系统自动售检票（AFC）系统，分析业务逻辑和系统处理机制，针对系统的应用控制，设计了8大类29子类47个数据验证主题。运用了计算机辅助审计技术，在2个月内完成了对AFC系统中10天总共超过3亿

12、条的运营数据的验证工作，大大提高了审计效率。完善监管体系，确保企业健康、规范运作对于广州地铁这种资产规模、人员规模均较大，组织架构复杂，发展迅速的企业而言，合规性保障也是一项巨大的挑战。并且随着信息网络的扩大，如仍以传统的文件查询、账册查询为主要审计手段，则难以防范信息系统环境下的操作风险和系统风险。IT审计的建立，将监督触角延伸到系统安全、系统的稳定性和信息控制上，确保监督体系覆盖公司经营管理的各个角落，促进了公司规范运作和管理。IT审计通过对信息系统所承载的业务流程进行审查，不仅关注手工控制，同时还检验系统控制的有效性，进而全面地评价业务流程的管理状况及效率。比如，广州地铁内部审计在对资金

13、管理信息系统进行评估时，发现该系统后台缺乏维护责任部门，使用部门与后台维修两个重要职责未分离，存在资金支付控制失效和资金安全保障突破的风险。该做法明显未执行信息系统安全控制政策、新系统验收和委托运维等职责界面不明晰，导致资金系统验收后未进行系统运维交接。审计发现该问题后，管理层高度重视并要求立即整改。随后相关部门将资金系统委托给运维，统一优化信息系统建设管理模式，明确各部门在信息系统建设中职责、发布多项信息系统项目管理、运维管理制度，重新梳理信息系统建设管理体系。又如，在票务收入验证项目中，审计发现由于系统设计的数据校验条件过于复杂或相互矛盾，部分有效的交易记录被系统自动拦截到了异常库，未与羊

14、城通结算；另外，因系统检修人员在维修后未及时更正时钟的时间，导致部分车票使用时间计算错误，存在票款收入流失的风险。审计发现该问题后即引起了业务部门的重视，随后公司便建立了定期AFC系统数据验证机制，以确保及时发现问题及时整改。同时要求业务人员定期检查系统异常库的记录，确保公司收入的正确、完整。近几年来，广州地铁开展了合同管理系统、物资管理系统、票务收入信息系统等10余个IT系统的审计工作，对信息系统的控制有效性和数据真实性进行了审计评估，共发现233个信息系统的控制缺陷和系统缺陷，并及时进行了改进，确保了广州地铁各项经营管理活动在信息化时代下依然能遵循“内部控制”要求，也使得公司在信息化环境下

15、仍能不断改进管理、优化流程，提升公司的管理水平。搭建内部控制与信息技术桥梁，助力信息化发展，构建高效、可靠的现代企业管理体系，确保企业战略实现随着广州地铁线网规模加大，建设速度加快、人员架构逐步膨胀、外部监管日益严格，为保证在此情况下各个环节的信息能得以完整保存，各个管理单元之间的信息迅速准确地传递，各项管理措施得到有效实施，广州地铁先后在财务、人力资源管理、物资管理、资产管理、设计管理、建设项目管理、安全监控、合同管理等领域引入信息系统。对于这些系统的建设和运营情况，IT审计通过对信息系统项目立项、需求调研、方案设计、系统测试、项目验收等过程开展审计工作，促进信息系统建设规范化工作，提高信息

16、系统建设的品质；其次，IT审计通过对信息系统规划、实施和运营各阶段的（费用/效果）指标的核查、评价等工作，检查信息系统的使用效率，督促IT管理部门关注信息系统的使用效率，促进信息系统使用价值最大化，减少系统建设浪费的情况。比如在对合同管理系统的审计中，审计人员发现该模块的1个功能存在功能缺陷，4个功能由于在系统建设过程中业务管理模式改变而系统未调整到位导致无法使用；同时，审计人员在对系统功能使用情况进行分析后发现，系统中有5个功能在上线后没有使用或使用极少，系统功能的“建而不用”导致系统建设成本的浪费损失。审计提出问题后，项目建设团队及时对不能使用的功能进行了调整，保障了系统的正常运行。针对没

17、有使用或使用极少的功能，项目建设团队与合同管理部门对功能进行了优化调整，使该项功能更加符合业务管理要求和使用习惯，以推进系统功能的使用。另一方面，IT审计定期总结审计过程中发现的问题，将已掌握的内部控制缺陷及改进建议与IT建设部门及业务部门共享，为各类业务的信息化工作提供咨询服务，提高信息系统的运作效率和实施效果，这也是IT审计在公司管理运作中的增值效用。比如，在对ERP系统进行审计时发现，系统无法针对单个供应商或者合同统计历史支付信息，造成财务无法及时便捷地掌握到对应于供应商的支付信息，不能及时判断是否存在超付的情况，也给审计核查工作带来了较大困难。审计提出该问题后，信息管理部组织供应商对报

18、表进行了优化，确保了管理目标的实现。由此可见，IT审计有效地协助了相关部门优化信息系统设计方案，使得公司在大规模信息化建设过程中，能准确把握建设方向，而先进的现代管理理念与信息系统的结合，也构建了公司高效、稳定、全面的现代企业管理体系，帮助广州地铁加快实现企业战略目标。提高审计能力，保持审计业务先进性IT审计模块的建立，顺应了信息化时代的发展要求，IT审计专业的信息技术人才注入审计团队后，也是传统审计知识结构的变革。审计团队通过相互培训、沟通及审计手册共享等方式，将IT审计专业知识和技能在审计人员内部进行传递和转移，有效提升了审计团队的整体素质，也提高了审计人员在信息化环境下发现企业内部控制缺陷的能力。同时，广州地铁以“与内部控制审计共同贯穿于各审计模块”为定位的IT审计在自身建立与发展过程中，不断地完善公司审计模块建设。IT审计与内部控制审计共同贯穿于各类审计业务中，为信息系统环境下的工程审计、经营绩效审