电信行业IT审计框架研究

　　中国电信行业信息化在完成第一阶段网络基础设施的建设后，已迈入系统整合和服务阶段。在信息化过程中，集团和省公司非常关心如何保证信息化项目的合理性、有效性和经济性以及各省的信息化建设的规范程度等，要做到有效的管控，就必须借助审计手段，包括内部审计和借助于独立的第三方的外部审计。

　　但IT审计由于涉及广泛的知识和缺乏可操作依据，造成了开展IT审计工作诸多困难。中国电信部分省电信公司正在建立IT审计框架，目前该框架还是初步的，其中的具体细节还将在以后的实践中逐步完善。

　　IT审计基本概念和理论基础

　　目前还没有标准的信息系统审计定义，美国信息系统审计的权威专家Ron Weber将它定义为“收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标，同时最经济的使用资源”。

　　信息系统审计不是传统审计业务的简单扩展，信息技术不单影响传统审计人员执行鉴证业务的能力，更重要的是信息资产是最有价值的资产，和传统资产一样需要控制，同时需要审计人员提供对信息资产控制的评价。因此信息系统审计是一门跨越多学科领域的学科，是建立在传统审计理论、信息系统管理理论、行为科学理论和计算机科学理论基础上的。

　　Cobit是美国信息系统审计与控制协会综合了多个标准，从控制和审计角度出发提出的一套衡量IT应该满足目标、衡量指标的体系。运用该体系，可以提高IT与业务目标的一致性，提高IT资源利用效率，并有效管理IT的风险。

　　Cobit的主要框架包含IT流程、IT资源、IT信息准则。Cobit给出了在不同的IT生命周期的流程中，对不同的IT资源的关键控制点和需要达到的信息准则目标。

　　Cobit主要面向三类用户：

　　管理人员：帮助他们在通常无法预测的IT环境中平衡对风险和控制的投资；

　　用户：获得由内部或第三方提供的对IT安全和控制服务的保证；

　　IT审计人员：证实他们就内部控制问题向管理部门提出的意见和建议。

　　Cobit的不足之处：

　　IT信息准则方面：缺乏从不同的利益相关方来看问题的视觉；

　　IT流程方面：比较烦琐，需要针对具体组织进行裁减调整的框架；

　　IT资源方面：缺乏对IT管控架构的关注，只有对技术层面上的关注。

　　电信行业IT审计框架

　　结合在中国电信部分省电信公司进行支撑工作中的初步实践，我们依照Cobit框架从IT信息准则、IT流程、IT资源三个纬度进行了细化，初步建立电信行业IT审计的框架。

　　Cobit框架的信息准则包括：质量、信用、安全三大类。Cobit框架在不同的流程阶段关注不同的IT资源和信息准则。

　　对电信信息系统进行审计，不同的角色关注的方面是不一样的，甚至可能存在相互冲突的地方。因此，在审计的时候，我们强调进行换位思考，站在不同的立场考虑方案的优劣。同样，在构建IT审计的框架时，IT信息准则也需要进一步细分，区分不同的利益相关者关注的信息准则。

　　Cobit给出了在不同的IT生命周期的流程中对不同的IT资源的关键控制点和需要达到的信息准则目标。但Cobit比较繁琐，需要针对各自企业的特点进行调整和裁减。我们结合自身的工作实践，提炼出的电信信息系统审计的生命周期模型，它主要覆盖了建设阶段。我们分析了建设阶段具体控制点，并将继续扩展该模型使其能够覆盖规划、运行和维护阶段。

　　Cobit给出了审计关注的IT资源，包括：人、应用系统、设施、技术和数据。但信息化的建设不是一个纯粹的技术问题，只有技术和管理两方面均衡发展才能实现信息化的稳固发展。

　　中国电信的信息化框架主要分为技术架构和管控架构两个部分。因此，审计框架的构建也必须围绕着技术和管理两方面进行。而Cobit的IT资源中，缺乏对IT管控架构的关注，只有对技术层面上的关注，并且在技术层面中，也只有对通用的控制点的关注，缺乏与具体应用（如CRM系统）相结合的控制点。

　　我们认为，对IT管控方面的审计的关注点通常是关注于通用的管控流程方面，适用于任何的信息系统。而对IT技术方面的审计的关注点则通常是关注于某个特定的系统和技术层面。

　　分层次建立审计架构

　　整个审计的对象是分层次的，在构建IT审计的框架时，也应该分层次进行。

　　以数据迁移为例，整个数据迁移分为三个层次：通用的数据迁移、CRM系统相关的数据迁移、采用特定的CRM软件包的数据迁移。通用的数据迁移法，对任何IT系统都适用，主要是从流程上来考虑如何实现数据迁移，一个完整的数据迁移必须按照数据的规划和调研、设计、开发和迁移、效验四个阶段顺序进行。若跳过某个环节，则会存在很大的风险。

　　那么更进一步，CRM系统相关的数据迁移方法与通用的数据迁移方法相比，将会更加关注于CRM系统本身的数据内容，如客户数据、资产数据。对于客户数据从老系统中迁移过来，是按照相同客户名称归并为一个客户，还是需要客户名称和地址都完全相同的才认为是一个客户。如果选择不同的原则将对最终的迁移结果产生比较大的影响。同样，在这个层面的审计也应当关注于这些具体的数据内容，结合这些数据内容的特点来看数据迁移中存在的问题和风险。

　　同样，对于CRM软件包，若选择不同厂商开发的产品，如Siebel和Oracle产品，由于这些产品的实现机制不同，对数据迁移的实现也会不同。以Siebel产品为例，其数据结构由EIM、BASE、BC&BO、Application几个层面构成。在数据迁移时，也必须先将源系统的原始数据先迁移到EIM层，再逐步映射到BASE、BC&BO、Application。因此，在审计的时候，对于每个环节的数据映射都需要进行关注，检查可能出现的问题。