基于cobit框架的电网企业it审计模型研究与实践 research and appli1cation of power grid enterprises it audit model based on cobit.pdfVIP

ELECTRlCPOWERIT…………………………··………· 中图分类号：TM73文献标志码：B 文章编号：1672—4844(2013)01—0077—05 IT审计模型研究与实践 燕超源。郝立涛。李淼 (北京中电普华信息技术有限公司。北京100192) 摘要：随着以SGl86、SG—ERP工程为代表的电网企业信息麓建设的飞速发晨．对IT审许摄出z更 多需求。为了保证皂网企业顺利开展IT审计，文章结合电力德意系统建设和运行的特点，引入匿际 通用的COBIT控馘标准，构建了适合于电网企业应甩的镭纛}蒸绞审计过程模壁。通过避用谖过程 模型对省级电力公霹进行现场lT审计作业实施．验证7基予COBIT框架构羹的信息系巯窜计过程 模型对于电网企业的可行性和适用性。研究出了一条电嘲企韭卉晨lT审计的可行道路。‘ 关键词：COBIT；电网企业；电力信息系统；IT审计 西方国家引入而来【l01。国际信息系统审计领域的 O引言 权威专家RonWeber将IT审计定义为：收集并评 信息化是当今世界经济社会发展的潮流。大力 估证据，以判断一个信息系统是否有效做到保护资 推进信息化与工业化融合，是中国特色新型工业化 产、维护数据完整、完成组织目标，同时最经济地使 道路的重要特征。电力企业认真落实“以信息化带 用资源。 动工业化”的战略[1】，经过十几年的信息化建设，不 财政部、银监会、审计署等五部委联合下发的《企 断建立和完善了覆盖企业经营、生产、管理等方面的 业内部控制基本规范》及配套指引，标志着我国IT审 信息系统口-3】。随着坚强智能电网的建设，所涉及的 计的政策建设发展到了一个新的时期，为我国建设一 发电、输电、变电、配电、用电、调度各环节，必须通过 个完整的IT审计政策框架体系奠定了基础[111。中国 信息化实现企业级信息资源在更大范围内的贯通、 内审协会下发的《内部审计具体准则第28号一信息 集成和共享，海量智能化设备与电网系统进行信息 系统审计》，为我国企业开展IT审计提供了具体的指 交互，数以亿计的用户通过信息系统与企业生产经 导。IT审计在IT风险管理体系中扮演着重要角色， 营系统进行实时互动。同时，正在推行的数据集中 是信息风险管理的第三道防线。IT审计通常包括对 与业务应用一级部署H】，也使信息系统的稳定运行和 组织层面信息技术控制、信息技术一般性控制及业 数据安全成为关系企业乃至社会经济运营的重要方 务流程层面相关应用控制的审计。 面，所以非常有必要在电网企业开展IT审计‘5。81。 IT审计的产生对审计发展影响重大【l21，董大胜 副审计长在IT审计委员会第15次年会上指出IT领 l rr审计 域的舞弊更具隐蔽性、智能性十分突出、主体呈现多 IT审计，也称信息系统审计，是审计学的一个 元化、日趋复杂、具有更严重的社会危害性等5方面 重要分支一】。我国IT审计的概念最初是从美国等 的特点Ⅲ]。因此，进行IT审计需要专业人员进行Ⅲ】， 万方数据 RI ……………………………………ELECTRICPOWERIT 既通晓信息系统的软件、硬件、开发、运行、维护、管 完整性、可用性、符合性和可靠性，统称业务需求， 理和安全，又熟悉业务管理的要求，能够利用规范和 将为满足业务需求而需要投入的IT资源定义为应 先进的审计技术，对信息系统的安全性、稳定性和有 用系统、信息、基