技术干货 | 上市企业安全合规审计探索实践

伴随着国内企业信息化建设和数字化转型的高速发展和不断深入，企业日常业务运营越来越依赖于信息系统，信息系统在帮助企业提高业务运营效率的同时，也带来了各种新的信息系统安全风险，例如信息泄露、数据篡改等。

信息系统安全合规审计作为企业上市过程中及上市后必不可少的审计程序，可以帮助企业有效识别和防控与信息系统相关的安全风险，减少信息系统相关的违法犯罪事件，满足上市监管要求。企业信息系统内部控制的有效性，所产生数据的准确性和完整性，不仅是上市监管机构的关注重点，也应当是企业自身保持持续关注的重要领域。

信息系统安全合规审计标准

目前上市企业进行信息系统安全合规审计工作时，普遍参照以下这几类标准作为审计依据。

• 美国《萨班斯－奥克斯利法案》

《萨班斯－奥克斯利法案》是在2001年安然、世通等财务欺诈事件发生后，美国证监会于2002年颁布并实施的强制所有在美国上市企业在上市后必须执行的一项内部控制法案，简称SOX法案。其核心在于几个层面：一是所有的业务风险是否得到识别，二是已识别的风险是否采取了必要的控制措施，三是已设计的控制措施是否执行，执行的效果如何。

• 中国大陆《企业内部控制基本规范》

2009年7月1日起，中国监管机构联合发布实施了《企业内部控制基本规范》，俗称C-SOX。该法规包括7章共50项条款，明确规定了中国境内上市企业内部控制需要考虑的各项内部控制要素，包括：内部环境、风险评估、控制活动、信息与沟通和内部监督。

• 中国香港《内部监控与风险管理的基本架构》

2005年6月29日，香港会计事务所公会发布了“内部监控与风险管理指引”，为有意改善香港上市企业管治及业务表现的公司提供建议。该指引名为《内部监控与风险管理的基本架构》，旨在帮助香港上市企业更清楚了解港交所颁布的《企业管治常规守则》对公司内部控制之规定，从而设立其内部控制审查制度。

• COBIT（信息及相关技术的控制目标）

COBIT是由国际信息系统审计与控制协会（ISACA）发布的一个IT治理的开放性标准。目前最新的版本为 COBIT 2019，提供了40个IT治理和管理控制目标。该标准为IT的治理、安全与控制提供了一个一般适用的公认标准，是全球IT治理的最佳实践，同时也对如何进行信息系统安全合规审计给出了完整的指导性建议。

• COSO（内部控制框架）

COSO是由美国反虚假财务报告委员会下属的发起组织委员会在1992年发布的企业内部控制整体框架，包含三个内部控制目标、五个内部控制要素，解释了企业内部控制的目标、层面、构成要素、工具等内容。由于COSO在企业内部控制理论领域举足轻重的地位，业内几乎所有信息系统安全合规审计标准都会吸收和借鉴它的主要理论思想。

上市企业信息系统所产生数据的准确性和完整性直接关系到企业财务数据的真实性和有效性，因此，上市企业在进行信息系统安全合规审计时，应充分遵循对应上市市场的内控监管要求。在审计过程中应严格依照标准化的审计领域和程序，正确验证和评价信息系统产生数据的完整性和准确性，防范和控制审计风险。

上市企业信息系统安全合规审计工作主要包括三个领域的控制测试，即IT公司层面控制测试（ITELC）、IT一般性控制测试（ITGC）和IT应用控制测试（ITAC）。在这三项测试中，对财务报表结果起到直接支撑作用的测试是ITAC，该测试的结论保证了企业的信息系统能够准确和完整的记录企业的财务数据，同时能够真实反映企业的业务和绩效数据。但是仅仅开展ITAC是远远不够的，ITELC和ITGC是ITAC结论有效的基础。如果ITELC或ITGC的结论是控制无效的，那么ITAC的测试结论也必然是无效的。因此，审计师在开展ITAC控制测试前，会先依次序先进行ITELC和ITGC的控制测试。

图1. ITELC、ITGC、ITAC关系

ITELC（IT公司层面控制）

ITELC测试主要的内容和范围包括：企业的IT组织架构、职责分工，预算管理，战略规划、人员岗位配备相关的控制措施。

在进行ITELC测试时，审计师须重点审查企业信息技术的把控能力、信息技术对企业业务的支撑能力、企业信息技术风险的管理能力，这三项能力是否达到监管要求，整体IT风险是否得到有效控制。

一般来说，这三项能力的高低取决于企业组织架构和制度框架层面的信息技术治理是否完善，以下几个方面审计师应重点关注：

a)企业是否有近期和长远的信息技术战略发展规划，管理层是否定期对发展规划进行回顾和审阅，发展规划是否得到有效执行；

b)企业的信息技术组织架构是否完善、信息技术人员配比是否充足，职责分工是否合理；

c)企业信息技术的发展是否有合理的预算投入和定期的预算执行跟踪。

　　以上这些审计关注点都是从公司治理层面来保证企业IT整体控制环境得到有效控制，只有在ITELC的控制结论有效的前提下，开展ITGC和ITAC的工作才有实际意义。

IT一般性控制测试（ITGC）

a)访问控制管理

针对ITGC的访问控制，审计师应该关注信息系统的用户创建、修改的授权审批，超级用户的访问授权，系统登录控制，系统口令管理，默认和冗余账号的处理，物理机房的出入授权这几个方面。这里重点说下企业在信息系统访问控制方面普遍存在的两类问题：

• 问题1：关键账号权限没有进行有效的职责分离。例如：财务系统中对会计分录的调整操作，一般需要录入、授权和复核三个步骤，但是在某些企业会将录入、授权和复核的权限都授予给同一个人，这就造成了财务会计流程的监督机制在实质上形同虚设；

• 问题2：离职和调岗人员的权限未及时撤销或变更。这也是在审计过程中会普遍发现的问题，很多企业的员工在发生了岗位变动或离职之后，其在系统中的权限并没有被得到及时处理，这将导致信息系统面临严重的未授权访问风险。

b)系统变更管理

c)备份与恢复管理

对于备份与恢复管理，其关键控制点在于数据备份恢复的有效性上，具体体现在企业是否有合理的RPO，达到业务对数据恢复后可接受的数据损失量，以及信息系统能否在RTO设定的时限范围内及时完成服务的恢复。

备份与恢复管理比较普遍的问题在于很多企业包括一些金融机构将备份的恢复控制仅仅落在了纸面上，也就是俗称的沙盘演练，认为用模拟环境测试能代替真正的恢复演练。但是实际上模拟测试根本无法保证数据备份恢复的有效性，例如人员操作技能熟练度不足、灾备基础设施和设备故障、系统各类版本的不兼容、磁盘的读写速度和运营商带宽限制、存储介质的日常损耗这些问题，只有真刀真枪开展数据备份恢复演练才能充分暴露出来。

d)问题和突发事件管理

问题和突发事件管理主要用于确保IT系统在日常运营过程中发生的故障能够被及时识别、解决、检查并进行分析。问题和突发事件管理属于两个不同的管理流程，区别在于突发事件管理负责关注快速恢复故障，从而将故障的损失降到最低，在此前提下尽可能满足服务的要求，而问题管理则更关注于能够找出故障的根本原因，帮助减少IT部门的重复性劳动，从深层次上避免类似故障的重复发生。

虽然这两个管理流程关注点不同，但出发点都是为了建立处理IT故障的管理流程和监督机制。依托这两个管理流程，审计师可以判断出每次系统故障对业务和财务相关数据造成了何种影响，以及后续相关的恢复操作，尤其是涉及系统调数类操作是否都合理有效。

IT应用控制测试（ITAC）

ITAC是整个IPO上市信息系统测试最核心的部分和最重要的过程，其主要针对重要会计科目和财务报表披露信息的信息技术流程层面进行控制测试，测试范围包括资产负债表、损益表、现金流表以及企业在开展日常的业务过程中实际产生收入和成本的关键业务流程所涉及的所有相关信息系统。

为了保证信息系统数据处理的完整性、准确性，在ITAC的测试过程中，审计师需要关注以下几个方面：

a)业务流程控制：业务流程的授权与审批控制，数据输入，数据处理，数据输出环节相关的控制活动；

b)数据配置控制：信息系统主数据、重要配置以及系统参数设置的完整性与准确性；

c)界面接口控制：信息系统的界面接口、数据接口、应用接口的设计与控制措施；

d)系统外控制：信息系统数据落地后处理控制措施，例如手工数据处理的过程控制。

前面介绍完信息系统安全合规审计控制测试三个主要领域，下面着重介绍下控制测试的工作程序，一般分为五个阶段：确定审计范围、制定审计方案、执行审计方案、出具审计报告和审计整改追踪。

a)确定审计范围

审计师首先应根据企业所面临的风险特征梳理出需要关注的业务领域，从而确定控制测试的审计范围和重点。企业的主营业务作为企业获取收入的主要来源，一般都应纳入到审计范围内，而对于那些非主营业务是否纳入到本次审计的范围内，则需要审计师综合考虑其业务模式的风险高低和其占总收入的比重。

b)制定审计方案

在确定审计范围后，审计师需要先进行穿行测试并绘制业务流程图。穿行测试必须以业务流程为导向，业务在实际开展过程中的所有的业务环节都需要在穿行测试的过程中被识别并记录下来。通过穿行测试可以发现业务的流程流转使用了哪些信息系统、哪些信息系统上下游之间产生了数据交互、信息系统的哪些功能模块被使用、有哪些有访问权限的用户在业务流程中进行了什么样的操作，这些操作又对信息系统数据产生了什么影响，这些都是绘制业务流程图的关键要素。

图2. 业务流程图样例

图3. 关键风险控制矩阵底稿样例

c)执行审计方案

在出具审计报告阶段，审计师需汇总审计发现，评估审计发现的影响，编写审计报告并提交至企业管理层审阅。

审计师在汇总审计发现评估审计发现影响的过程中，应考虑每个例外事项的关联关系，以确定这些例外事项单独或组合起来是否会构成内部控制的重大缺陷，同时在也需要充分评估补偿性控制对最终风险的影响程度。

审计报告也被称为管理建议书，主要包括被审计方的基本情况、审计方法、审计发现、审计整改建议等内容，审计报告在被提交至企业管理层后，需要企业管理层限期进行审计整改回复。

e)审计整改追踪

在完成审计报告的提交之后，最后一步就是针对审计发现要求被审计方进行相应的整改，这些整改有没有按时完成，以及整改完成后的信息系统的计算逻辑和控制措施能不能满足审计要求，都需要进行后续跟进和验证。

如果涉及到年度财务报表审计项目，一般建议给被审计方的整改时限不能晚于下一年度的一季度末，以免造成下一年度追加过多的实质性测试。