用数据之匙打开问题之门——广州地铁集团有限公司维修精细化管理系统审计成果简介

发布时间:2017-07-04
来源:
浏览次数:
字体大小

覃宪姬  陈 瑜  招湛科  涂 勇等

由广州地铁集团有限公司内部审计部门对该公司下属Y单位开发的维修精细化管理系统开展审计,审计成果以《让数据说话,借软件助力》为题报送参加中国内部审计协会组织的2016年内部审计信息化优秀成果评审,荣获“内部审计信息化优秀成果”称号,现将该成果简要介绍如下。 

一、项目背景

广州地铁集团有限公司(以下简称广州地铁)下属Y单位的地铁维修业务主要负责广州地铁建成后的维修维护。Y单位开发的维修精细化管理系统(以下简称L系统),实现了对设备从投产使用到申请报废的全过程管理和对维修作业流程、人员等的规范化精细化管理,并具有多项数据统计及分析等功能,能及时向管理层展现全面准确的维修现状,并提供真实的参考数据。

为控制项目实施风险,Y单位在实施L系统时,采取了先试点,再推广的策略。试点线路在应用L系统一段时间之后,Y单位在决定是否上马L系统二期项目之前,要求内审部门对L系统开展信息系统审计。

二、项目主要特点

(一)以“风险+价值”为导向,以业务治理为目的,确定审计重点

审计人员以L系统应用过程中维修业务风险防范和价值提升为导向,从业务和系统两个维度确定审计重点。

1.以风险导向为基础、业务需求为方向、调研结果为依据,确定审计对象。

广州地铁内审部门从项目风险等六大风险类别出发编制信息系统风险评估表,制定各类风险等级信息系统的审计策略。

根据风险评估结果,风险排名第一的L系统正式上线后尚未开展过审计,因此作为审计优先考虑的对象。

审计人员分析及评估系统资料,结合初步的访谈,发现L系统在系统应用、数据应用和数据质量等方面存在风险:

1)系统部分操作与实际业务存在较大差异,系统数据极少被用于分析;

2)部分系统工单与纸质工单记录的数据存在差异,系统部分基础数据不准确;

3)系统中计划消耗的物料与实际消耗的物料存在较大差异。

2.多层级、大范围访谈,结合业务流程梳理,明确审计范围及重点。

L系统具有用户数量多、应用范围广、涉及维修专业种类多等特点。

审计人员在访谈中了解到,每个专业在系统应用深度上都存在较大差异,因此,确定系统应用深度分析为应用管理方面的审计重点,全面评估L系统在各专业、各管理层级的应用情况。

根据系统维修作业的控制流程图审计人员从业务风险角度,识别出工单生成、工单填报、工单物料发放等控制节点,是确保维修作业标准化和物料消耗合理性的关键,并且,对基础数据质量的审核,也成为验证系统有效性的重要组成部分。

审计人员根据维修业务24小时不间断、系统数据量大且重要性高等特性,从相关性和影响度两个方面对10个子流程进行风险评估

根据评估结果,审计人员选取了危机处理与应变措施、信息系统操作、数据安全、应用系统开发与维护、以及数据库安装与支持等5个风险度较高的子流程开展GCC审计。

(二)以数据分析为重点,以软件使用为辅助,多种方法定位问题根源

1.传统审计手段与数据分析结合,分析系统应用关键因素及数据管理状况,确定系统应用深度的差距点。

为全面了解各线路、各专业系统应用深度现状,审计人员梳理出影响系统应用深度的关键因素,并以此确定系统应用现状与系统建设目标的差距。

审计人员使用流程分析法,通过访谈,结合对维修作业流程进行分析,发现使用L系统会增加维修作业的时间,降低维修效率,这是导致L系统使用效果不佳的根本原因。

通过核对关键数据的完整性、对比同类设备数据、分析系统数据使用情况等方法,审计人员了解到,部分数据的归口管理部门未参与项目建设,导致这部分数据缺失严重,无法实现业务数据统计分析的要求。

2.多种测试方法结合,验证系统应用控制的有效性。

L系统中,审计人员选取合理的、高效的测试方法进行控制验证,确保系统控制结果满足业务需求。

广州地铁各专业均以预防性维护为主。该作业工单主要由系统根据设定的基础数据生成,因此审计人员采用了平行模拟测试方法进行验证。通过对工单总数量等多维度对比分析,审计人员发现有上千条“系统生成”与“手工计算”的工单记录不一致,由此确定L系统预防性维护工单的生成功能存在重大应用控制缺陷。

准确的基础数据是正常使用系统的基础。审计人员通过有效数据测试和无效数据测试相结合的方式,对系统基础数据输入控制的有效性进行验证,发现系统部分输入控制缺乏与业务规则相匹配的验证规则。

数据接口历来都是信息系统审计的重点。审计人员对系统数据流程分析,分别从两个系统的后台导出同一时刻的库存等多项关键数据,利用计算机辅助软件(IDEA)验证发现,这些数据的确存在不一致的情况,其接口应用控制的可靠性存在问题。

3.分析数据特点,结合手工数据和系统数据,验证系统数据质量。

为确认系统数据质量问题的范围和影响程度,审计人员从业务要求和系统数据处理规则入手,通过数据关联分析的方法,利用数据间的关联关系或业务规则所对应的数据标准,对系统的数据质量进行核查

核查发现,各类基础数据均存在相当一部分垃圾数据、部分数据反映的信息不准确等问题。

针对没有规则的数据以及部分存在相关手工记录的系统数据,审计人员采取手工对比手工数据与系统数据一致性的方法,进一步对系统数据质量进行审核

核查发现,部分数据的完整性存在问题,与标准作业模板的数据粒度存在不一致的情况。

4.运用专业软件,提升数据分析效率,实现GCC有效性验证。

利用数据处理软件对L系统中庞大的数据进行多维度、多层次的处理和分析,审计人员很好地解决了利用传统手段进行大数据量分析的困难,大大提高了审计效率。

使用系统监控软件对系统各服务器进行为期2个月的不间断监控,审计人员发现,L系统的应用服务器和数据库服务器内存占用率很高,且应用程序内存占用存在不断增加的趋势,证明应用程序存在内存泄露问题。

审计人员通过漏洞扫描软件发现,L系统基于谷歌浏览器访问存在漏洞,用户在特定条件下能够通过谷歌浏览器提升账号至应用管理员权限,存在系统安全漏洞。

三、项目创新模式

(一)前移审计时点,在系统建设中间阶段开展审计,确保系统存在问题及时整改

由于广州地铁暂时缺乏系统开发人员,因而信息系统开发业务进行外包。如果IT审计项目选择信息系统建设完成后再开展审计,将导致审计发现的系统功能问题无法及时得到解决,严重影响审计效果。于是,审计人员瞅准时机,选择在系统试运行阶段开展审计,将对信息化建设项目的事后审计向“事中”前移,在确保了系统缺陷得到及时整改的同时,也推进了业务由手工管理向全面系统管理的转变,大大提升了信息化项目和审计项目的成效。

(二)在传统审计内容基础上,重点关注系统应用情况及系统数据质量

在传统信息系统审计项目中,重点关注的是系统本身的功能和对系统的维护管理系统,核心审计内容为应用控制和整体计算机控制。L系统中,审计人员更关注信息化的投资效益,即系统的应用情况,并延伸到系统的业务管理,即系统数据质量方面。业务管理人员借助审计项目,找到了其在系统应用中的“瓶颈”以及基于系统数据的业务管理模式,推进了业务管理向全面信息化方向的转变。

(三)围绕数据和软件工具,创新审计方法

1.以数据为抓手,多角度多维度拓展数据分析方法,用数据展现事实,让数据揭露问题

数据是业务管理和系统处理最终结果的呈现,L系统充分利用了数据的这一特征,针对不同的审计点,采用不同的分析维度、分析方法开展审计,用数据展现事实,让数据揭露问题。如在系统应用情况审计中,审计人员通过对系统数据完整性的分析,找出应用的薄弱环节;在系统应用控制审计中,审计人员利用系统数据,以结果数据揭露应用控制的缺陷;在数据质量审计中,审计人员从数据的特点入手,利用数据特点校验数据质量。

2.使用计算机辅助审计与专业IT软件,创新审计手段,提升审计效率

在数据分析过程中,审计人员利用计算机辅助软件,解决了大规模数据体量的难题。同时,计算机辅助软件多维度的分析方法以及快速的数据处理能力,也有效帮助了审计人员开拓审计思路、提高审计效率。此外,L系统并不仅仅局限于审计辅助软件的使用,其同时还使用了部分信息系统运维服务方面的专业工具软件,如通过系统性能监控软件和漏洞扫描软件,共同挖掘、记录隐藏信息系统中的信息,精准定位系统的缺陷及漏洞。

四、项目主要成效

广州地铁内部审计部门对Y单位使用L系统的情况进行了一次全面“体检”,根据“体检”情况向公司管理高层反馈了Y单位管理和使用L系统存在的具体困难和实际问题,揭示了L系统自身存在的一些缺陷,并通过与业务部门沟通讨论,提出了改善管理和完善L系统的可行性意见。

(一)对各线路各专业使用L系统的情况进行全面的了解分析,准确定位系统应用多方面的问题及原因。

(二)对关键数据进行分析,验证系统关键应用控制的有效性,准确指出了应用控制的失效或不足,同时也反映了系统数据质量方面存在的问题。

(三)关注并验证GCC中重点流程的有效性,指出了L系统在运行及信息安全方面存在的问题。