技术干货 | 上市企业安全合规审计探索实践

admin 2021年5月13日20:45:52评论206 views字数 5770阅读19分14秒阅读模式

本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!


欢迎各位添加微信号:asj-jacky

加入安世加 交流群 和大佬们一起交流安全技术


技术干货 | 上市企业安全合规审计探索实践


技术干货 | 上市企业安全合规审计探索实践
概述

伴随着国内企业信息化建设和数字化转型的高速发展和不断深入,企业日常业务运营越来越依赖于信息系统,信息系统在帮助企业提高业务运营效率的同时,也带来了各种新的信息系统安全风险,例如信息泄露、数据篡改等。


信息系统安全合规审计作为企业上市过程中及上市后必不可少的审计程序,可以帮助企业有效识别和防控与信息系统相关的安全风险,减少信息系统相关的违法犯罪事件,满足上市监管要求。企业信息系统内部控制的有效性,所产生数据的准确性和完整性,不仅是上市监管机构的关注重点,也应当是企业自身保持持续关注的重要领域。


技术干货 | 上市企业安全合规审计探索实践
信息系统安全合规审计标准

依据业内标准定义,信息系统安全合规审计是指为了信息系统的安全,可靠与有效,由独立于审计对象的审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合检查与评价,向被审计方的最高领导,提出问题与建议的一连串活动。

目前上市企业进行信息系统安全合规审计工作时,普遍参照以下这几类标准作为审计依据。


  • 美国《萨班斯-奥克斯利法案》

《萨班斯-奥克斯利法案》是在2001年安然、世通等财务欺诈事件发生后,美国证监会于2002年颁布并实施的强制所有在美国上市企业在上市后必须执行的一项内部控制法案,简称SOX法案。其核心在于几个层面:一是所有的业务风险是否得到识别,二是已识别的风险是否采取了必要的控制措施,三是已设计的控制措施是否执行,执行的效果如何。


  • 中国大陆《企业内部控制基本规范》

2009年7月1日起,中国监管机构联合发布实施了《企业内部控制基本规范》,俗称C-SOX。该法规包括7章共50项条款,明确规定了中国境内上市企业内部控制需要考虑的各项内部控制要素,包括:内部环境、风险评估、控制活动、信息与沟通和内部监督。


  • 中国香港《内部监控与风险管理的基本架构》

2005年6月29日,香港会计事务所公会发布了“内部监控与风险管理指引”,为有意改善香港上市企业管治及业务表现的公司提供建议。该指引名为《内部监控与风险管理的基本架构》,旨在帮助香港上市企业更清楚了解港交所颁布的《企业管治常规守则》对公司内部控制之规定,从而设立其内部控制审查制度。


  • COBIT(信息及相关技术的控制目标)

COBIT是由国际信息系统审计与控制协会(ISACA)发布的一个IT治理的开放性标准。目前最新的版本为 COBIT 2019,提供了40个IT治理和管理控制目标。该标准为IT的治理、安全与控制提供了一个一般适用的公认标准,是全球IT治理的最佳实践,同时也对如何进行信息系统安全合规审计给出了完整的指导性建议。


  • COSO(内部控制框架)

COSO是由美国反虚假财务报告委员会下属的发起组织委员会在1992年发布的企业内部控制整体框架,包含三个内部控制目标、五个内部控制要素,解释了企业内部控制的目标、层面、构成要素、工具等内容。由于COSO在企业内部控制理论领域举足轻重的地位,业内几乎所有信息系统安全合规审计标准都会吸收和借鉴它的主要理论思想。


上市企业信息系统所产生数据的准确性和完整性直接关系到企业财务数据的真实性和有效性,因此,上市企业在进行信息系统安全合规审计时,应充分遵循对应上市市场的内控监管要求。在审计过程中应严格依照标准化的审计领域和程序,正确验证和评价信息系统产生数据的完整性和准确性,防范和控制审计风险。


技术干货 | 上市企业安全合规审计探索实践
信息系统安全合规审计领域

上市企业信息系统安全合规审计工作主要包括三个领域的控制测试,即IT公司层面控制测试(ITELC)、IT一般性控制测试(ITGC)和IT应用控制测试(ITAC)。在这三项测试中,对财务报表结果起到直接支撑作用的测试是ITAC,该测试的结论保证了企业的信息系统能够准确和完整的记录企业的财务数据,同时能够真实反映企业的业务和绩效数据。但是仅仅开展ITAC是远远不够的,ITELC和ITGC是ITAC结论有效的基础。如果ITELC或ITGC的结论是控制无效的,那么ITAC的测试结论也必然是无效的。因此,审计师在开展ITAC控制测试前,会先依次序先进行ITELC和ITGC的控制测试。

技术干货 | 上市企业安全合规审计探索实践

图1. ITELC、ITGC、ITAC关系


ITELC(IT公司层面控制)


ITELC测试主要的内容和范围包括:企业的IT组织架构、职责分工,预算管理,战略规划、人员岗位配备相关的控制措施。


在进行ITELC测试时,审计师须重点审查企业信息技术的把控能力、信息技术对企业业务的支撑能力、企业信息技术风险的管理能力,这三项能力是否达到监管要求,整体IT风险是否得到有效控制。


一般来说,这三项能力的高低取决于企业组织架构和制度框架层面的信息技术治理是否完善,以下几个方面审计师应重点关注:

a)企业是否有近期和长远的信息技术战略发展规划,管理层是否定期对发展规划进行回顾和审阅,发展规划是否得到有效执行;

b)企业的信息技术组织架构是否完善、信息技术人员配比是否充足,职责分工是否合理;

c)企业信息技术的发展是否有合理的预算投入和定期的预算执行跟踪。


  以上这些审计关注点都是从公司治理层面来保证企业IT整体控制环境得到有效控制,只有在ITELC的控制结论有效的前提下,开展ITGC和ITAC的工作才有实际意义。


IT一般性控制测试(ITGC)


如果企业的IT治理环境控制结论有效,接下来审计师就需要开展ITGC测试, ITGC测试的主要内容应包括:访问控制管理、系统变更、备份与恢复管理、问题与突发事件管理。


a)访问控制管理

访问控制是一种控制企业信息系统和信息资源如何被其他系统和用户访问的安全手段,决定谁能够接触到信息系统以及其中包含的数据;访问控制是确定数据真实性的一个重要的保证,确保已存储在系统中的数据 不能被随意的修改。

针对ITGC的访问控制,审计师应该关注信息系统的用户创建、修改的授权审批,超级用户的访问授权,系统登录控制,系统口令管理,默认和冗余账号的处理,物理机房的出入授权这几个方面。这里重点说下企业在信息系统访问控制方面普遍存在的两类问题:

  • 问题1:关键账号权限没有进行有效的职责分离。例如:财务系统中对会计分录的调整操作,一般需要录入、授权和复核三个步骤,但是在某些企业会将录入、授权和复核的权限都授予给同一个人,这就造成了财务会计流程的监督机制在实质上形同虚设;

  • 问题2:离职和调岗人员的权限未及时撤销或变更。这也是在审计过程中会普遍发现的问题,很多企业的员工在发生了岗位变动或离职之后,其在系统中的权限并没有被得到及时处理,这将导致信息系统面临严重的未授权访问风险。


b)系统变更管理

系统变更管理的控制主要基于变更发布管理流程来实现,作为审计师应关注变更流程是否得到有效的授权审批(确保变更操作不是个人的非授权行为)、是否进行了充分的测试(变更发布前需得到质量保证)、是否实现了职责分离的要求(申请与审批、开发与测试、发布执行与审核需要职责分离)、是否有回滚计划和恢复预案(确保变更发布失败对线上业务影响的最小化)。


c)备份与恢复管理

对于备份与恢复管理,其关键控制点在于数据备份恢复的有效性上,具体体现在企业是否有合理的RPO,达到业务对数据恢复后可接受的数据损失量,以及信息系统能否在RTO设定的时限范围内及时完成服务的恢复。


备份与恢复管理比较普遍的问题在于很多企业包括一些金融机构将备份的恢复控制仅仅落在了纸面上,也就是俗称的沙盘演练,认为用模拟环境测试能代替真正的恢复演练。但是实际上模拟测试根本无法保证数据备份恢复的有效性,例如人员操作技能熟练度不足、灾备基础设施和设备故障、系统各类版本的不兼容、磁盘的读写速度和运营商带宽限制、存储介质的日常损耗这些问题,只有真刀真枪开展数据备份恢复演练才能充分暴露出来。


d)问题和突发事件管理

问题和突发事件管理主要用于确保IT系统在日常运营过程中发生的故障能够被及时识别、解决、检查并进行分析。问题和突发事件管理属于两个不同的管理流程,区别在于突发事件管理负责关注快速恢复故障,从而将故障的损失降到最低,在此前提下尽可能满足服务的要求,而问题管理则更关注于能够找出故障的根本原因,帮助减少IT部门的重复性劳动,从深层次上避免类似故障的重复发生。


虽然这两个管理流程关注点不同,但出发点都是为了建立处理IT故障的管理流程和监督机制。依托这两个管理流程,审计师可以判断出每次系统故障对业务和财务相关数据造成了何种影响,以及后续相关的恢复操作,尤其是涉及系统调数类操作是否都合理有效。


IT应用控制测试(ITAC)


ITAC是整个IPO上市信息系统测试最核心的部分和最重要的过程,其主要针对重要会计科目和财务报表披露信息的信息技术流程层面进行控制测试,测试范围包括资产负债表、损益表、现金流表以及企业在开展日常的业务过程中实际产生收入和成本的关键业务流程所涉及的所有相关信息系统。


为了保证信息系统数据处理的完整性、准确性,在ITAC的测试过程中,审计师需要关注以下几个方面:

a)业务流程控制:业务流程的授权与审批控制,数据输入,数据处理,数据输出环节相关的控制活动;

b)数据配置控制:信息系统主数据、重要配置以及系统参数设置的完整性与准确性;

c)界面接口控制:信息系统的界面接口、数据接口、应用接口的设计与控制措施;

d)系统外控制:信息系统数据落地后处理控制措施,例如手工数据处理的过程控制。


技术干货 | 上市企业安全合规审计探索实践
信息系统安全合规审计程序

前面介绍完信息系统安全合规审计控制测试三个主要领域,下面着重介绍下控制测试的工作程序,一般分为五个阶段:确定审计范围、制定审计方案、执行审计方案、出具审计报告和审计整改追踪。


a)确定审计范围

审计师首先应根据企业所面临的风险特征梳理出需要关注的业务领域,从而确定控制测试的审计范围和重点。企业的主营业务作为企业获取收入的主要来源,一般都应纳入到审计范围内,而对于那些非主营业务是否纳入到本次审计的范围内,则需要审计师综合考虑其业务模式的风险高低和其占总收入的比重。


b)制定审计方案

在确定审计范围后,审计师需要先进行穿行测试并绘制业务流程图。穿行测试必须以业务流程为导向,业务在实际开展过程中的所有的业务环节都需要在穿行测试的过程中被识别并记录下来。通过穿行测试可以发现业务的流程流转使用了哪些信息系统、哪些信息系统上下游之间产生了数据交互、信息系统的哪些功能模块被使用、有哪些有访问权限的用户在业务流程中进行了什么样的操作,这些操作又对信息系统数据产生了什么影响,这些都是绘制业务流程图的关键要素。


技术干货 | 上市企业安全合规审计探索实践

图2. 业务流程图样例


在完成穿行测试并绘制业务流程图之后,下一步审计师应根据业务流程图分析判断其中有哪些风险控制点,有两类风险控制点需要关注:第一类是业务流程中需要双人复核或授权审批的过程节点;第二类是在业务流程上涉及数据的逻辑的汇总、转换、变形的过程节点,例如会计核算逻辑从收付实现制转换成权责发生制、会计明细账到总账的汇总计算等。

当梳理完业务流程和风险控制点之后,审计师还需要依据审计的资源限制条件和企业的业务风险高低,决定哪些风险控制点需要最终进行测试,以及确定具体的设计有效性和控制有效性的审计测试步骤,并最终完成输出需要测试的关键风险控制矩阵底稿。

技术干货 | 上市企业安全合规审计探索实践

图3. 关键风险控制矩阵底稿样例


c)执行审计方案

在执行审计方案阶段,审计师应根据已制定的审计方案,结合被审计方IT内控的实际情况,进行每个关键控制点的现场或非现场的控制测试工作,具体的测试工作分为两类:

第一类为控制性测试,主要用于测试信息系统本身控制环境的有效性,例如测试信息系统授权审核、超出阈值告警等控制功能是否有效。这些测试可以在确保生产环境和测试环境系统版本一致的前提下在测试环境进行,这样能有效降低审计工作对被审计方正常业务开展所带来的影响。

第二类为实质性测试,用于测试数据汇总、转换、变形等计算逻辑的准确性。这类测试需要在获取明细数据后,通过重新计算核对的方式进行测试,例如明细账到总账的汇总计算测试,审计师为了验证汇总数据的准确性,需要获取被审计方财务系统中所有的明细账以及总账的自动计算结果,然后独立地依照汇总计算逻辑进行明细账到总账的汇总计算,计算结果与财务系统自动计算的结果进行核对确认是否一致。

在执行测试工作时,审计师应该注意保留测试过程中能体现测试控制点的系统截图,以作为审计证据进行留档保存。

d)出具审计报告

在出具审计报告阶段,审计师需汇总审计发现,评估审计发现的影响,编写审计报告并提交至企业管理层审阅。


审计师在汇总审计发现评估审计发现影响的过程中,应考虑每个例外事项的关联关系,以确定这些例外事项单独或组合起来是否会构成内部控制的重大缺陷,同时在也需要充分评估补偿性控制对最终风险的影响程度。


审计报告也被称为管理建议书,主要包括被审计方的基本情况、审计方法、审计发现、审计整改建议等内容,审计报告在被提交至企业管理层后,需要企业管理层限期进行审计整改回复。


e)审计整改追踪

在完成审计报告的提交之后,最后一步就是针对审计发现要求被审计方进行相应的整改,这些整改有没有按时完成,以及整改完成后的信息系统的计算逻辑和控制措施能不能满足审计要求,都需要进行后续跟进和验证。


如果涉及到年度财务报表审计项目,一般建议给被审计方的整改时限不能晚于下一年度的一季度末,以免造成下一年度追加过多的实质性测试。


技术干货 | 上市企业安全合规审计探索实践
结语

以上仅为笔者过往参与上市企业信息系统安全合规审计工作的一些经验总结与实践分享。笔者认为,在企业数字化转型过程中,信息系统安全合规审计工作的价值不应仅局限于满足上市监管要求和防控信息系统安全风险上,还要通过深度挖掘数据增值价值,在提升企业管理水平的方向上发挥更大作用,至于怎么做,则需要在今后的工作实践中继续探索。


作者简介

王小豪,中通高级信息安全工程师,目前主要负责中通信息安全合规工作,一个讲感情更讲规矩的普通一线安全工作者。欢迎添加微信(Sandy405336)相互交流。


本文始发于微信公众号(安世加):技术干货 | 上市企业安全合规审计探索实践

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年5月13日20:45:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   技术干货 | 上市企业安全合规审计探索实践https://cn-sec.com/archives/258235.html

发表评论

匿名网友 填写信息