1資訊系統審計概述
現代各個行業都需要進行資訊審計,以便國家進行宏觀調控,同時也便於企業領導制定下一步的規劃。資訊系統審計並沒有統一的概念,不同的學者站在不同的角度對其進行了闡釋,但是大家都比較認可ISACA對資訊系統審計所下的定義,即資訊系統審計是一個過程,在這一過程中,相關人員需要獲取證據,同時對證據進行評價,以此爲依據來評判計算機系統中的數據是否真實可靠,其中所記錄的資產是否安全等。資訊系統審計主要包含三方面內容:首先,真實性審計,這種審計主要是爲了補充傳統審計,確保財務管理真實準確,杜絕假賬的出現;其次,安全性審計,其針對的是信啓以及資產,避免因爲資訊系統的問題,而爲企業帶來經營風險;最後,績效審計,其針對的是投入與產出。這3個方向的審計實際上都是按照審計目標要求,來對證據進行詳細的評價,最終得出相應的評價結果。資訊系統審計所要達到的目標就是確保數據真實、合法、可靠,以此保證資訊系統安全、保密、可用。審計目標貫穿於審計工作始終,是每個審計人員都要遵循的準則。
2現階段鐵路資訊系統全生命週期審計的現狀
2.1很多資訊系統全生命週期審計只是事後審計
很多鐵路資訊系統審計人員,並不關注事前、事中審計,而是注重事後審計,這樣難以發現問題,解決問題。現階段我國在鐵路資訊系統審計方面,通常都是在資訊系統建設完成之後纔開展審計工作,尤其是績效以及專項審計更加明顯,這是事後審計。儘管事後審計也十分重要,但是隻是單純地依靠事後審計,必定會造成審計不全面,而且即使在審計過程中,發現了問題,也難以追根溯源,可能整個項目都會受到影響。但是如果能夠在事前、事中就進行審計,發現問題之後,可以立即解決,對整個項目不會造成過於嚴重的影響。
2.2不注重資訊系統運營維護期間的審計工作
因爲受到資訊系統固有特點的影響,其在整個生命週期之內,存有很大的安全隱患,經過調查顯示,這些隱患通常出現在運營維護期間。資訊系統的產生、發展、滅亡,這是一個全生命週期,其與其他行業最大的`區別在於,資訊系統投入使用之後,依然需要工作人員從事大量的工作,以便能夠隨時糾正軟件錯誤,保證資訊系統可以隨時隨地滿足社會需求。相關數據顯示,鐵路資訊系統在維護期間,所花費的成本幾乎達到了整個項目的一半以上,但是糾正與修改,會影響資訊系統的安全性,這對鐵路經營有着更大的風險。因此做好資訊系統運營維護期間的審計工作十分必要,既可以節約成本,也可以提高資訊系統軟件的使用年限。
2.3專業化程度不高
資訊系統審計所使用的技術專業性並不強,因此很多審計人員在規定的審計時間內,並沒有檢查出特別有價值的東西。現階段,我國鐵路企業所使用資訊系統通常都是大型網絡數據庫系統,此種類型的系統不僅規模比較大,而且設計程序十分複雜,審計工作者難以找到有效的資訊數據。同時鐵路資訊系統在正式應用之前,會對其測試,因此正常的運營環境很難發現系統漏洞,而在鐵路資訊系統項目展開審計時,有一些項目未投產,不允許測試,所以審計人員難以發現系統漏洞問題。
3鐵路資訊系統全生命週期審計的策略
鐵路資訊系統全生命週期審計,需要與資訊系統建設全生命週期有效地結合起來,但是因爲資訊系統之間的差異,也就影響了生命週期模型的選擇,比較常見的生命週期模型有瀑布模型、螺旋模型、迭代模型。但是就鐵路企業來說,所使用模型主要是瀑布模式,有些鐵路所選擇模型儘管不是瀑布模式,但是也是在其基礎上演化而來的模型。本文正是以瀑布模型爲闡釋重點。
3.1系統研發設計階段
這一階段主要包括了總體規劃、需求分析、系統設計、系統實現四個環節。這一階段,有關人員需要進行總體規劃,其重點工作就是項目立項,同時對項目是否具有可行性進行系統分析,總體規劃可以說是整個鐵路資訊系統建設得以完成的初始環節,同時也是對風險投資進行控制的最爲重要的環節。因其重要性以及特殊性,所以審計人員的工作就是對可行性研究進行審計,檢視其是否科學合理,其所規定的投資決策是否具有科學性。需求分析針對的是用戶需求,有關人員需要對用戶的需求進行調節,以此依據其需求開發設計資訊系統,這一環節審計工作的重點就是考察需求調研是否充分可靠,而依據用戶需求所進行的開發是否具有準確性以及追溯性等。鐵路資訊系統的設計與實現環節,因爲需要大量的技術工作,所以常常不會引起審計部門的重視,但是事實上,這一環節需要審計的內容有很多,比如資訊系統研發應該遵循的標準。
3.2系統驗收審計
系統測試除了進行功能測試外,還應包括審計關注的安全性測試、防災應急預案的測試等。系統切換至關重要,關乎既有系統的安全,切換方案的周密和合理性應是關注的重點。審計人員還應對資產的移交進行審計,審覈資產庫中正式執行版本與源程序代碼、技術文檔、運營維護手冊的一致性、完整性,以及知識產權的確認等,這些既是企業資產的重要組成部分,也是系統運營維護階段必要的技術基礎。
3.3系統運營維護審計
系統運營維護審計對應於系統正式執行後的運營維護階段。這一階段主要有兩方面的工作,即糾錯和改進。軟件系統是一項複雜的人機系統,錯誤在所難免,需要透過修改予以糾正。另外,資訊系統是由多種軟、硬件系統集成的,任何一個系統發生改變,必將引起其他系統的相應修改,另外,隨着資訊系統的使用,也會不斷產生新的業務需求,這就要求資訊系統進行相應的修改。對已經過嚴密測試的既有系統進行改動,將會給其安全性、可靠性帶來隱患,爲避免和減少這種風險,系統維護審計責任重大。近年來,許多投產項目的維護費用已經超過了系統的研發費用,而且大有上升的趨勢,因此對維護成本進行審計也很必要。
4結論
對鐵路資訊系統全生命週期審計進行探討十分必要,因爲我國早期使用的鐵路資訊系統無論是在設計、發展、維護等方面都存在非常大的問題。進行全生命週期審計之後,有很多問題都可以避免,這對促進我國鐵路事業的發展有着積極的作用,同時也利於我國資訊技術在鐵路企業中的應用。