李勤
近年來,信息系統(tǒng)審計引起了各級審計機關的廣泛關注?!秾徲嬍稹笆濉睂徲嫻ぷ靼l(fā)展規(guī)劃》中,提出“積極開展信息系統(tǒng)審計,總結計算機審計方法體系和操作制度”。劉家義審計長在2012年7月全國審計工作座談會《加快審計信息化建設步伐,全面提升審計能力和技術水平》主題報告中提出,既要審計數(shù)據,又要審計信息系統(tǒng),以安全性、可靠性和經濟性為重點,進一步深化信息系統(tǒng)審計。從審計實踐來看,國家審計、內部審計和注冊會計師審計在信息系統(tǒng)審計中都積累了一定經驗,2012年2月,審計署還印發(fā)了信息系統(tǒng)審計指南。但也應清楚地看到,信息系統(tǒng)審計引入我國時間尚短,很多理論方法體系尚未形成。筆者從國家審計實務角度,淺談深化信息系統(tǒng)安全性審計需重點關注一些內容。
一、信息系統(tǒng)安全性審計基本概述
20世紀60年代,由于計算機被應用于財務會計領域,從而產生了電子數(shù)據處理審計(EDP Auditing)。信息系統(tǒng)審計是在電子數(shù)據處理審計基礎上逐漸發(fā)展起來的。目前,信息系統(tǒng)審計的定義還在爭論當中,羅恩·韋伯(Ron Weber)在《信息系統(tǒng)控制與審計》一書中對信息系統(tǒng)審計概念做出了如下描述:“信息系統(tǒng)審計是一個通過收集和評價審計證據,對信息系統(tǒng)是否能夠保護資產的安全、維護數(shù)據的完整、使被審計單位的目標得以有效實現(xiàn)、使組織的資源得到高效使用等方面做出判斷的過程?!边@一概念包括了信息系統(tǒng)審計的目標、內容、過程、方法和結果,是對信息系統(tǒng)審計比較全面的概括。審計署印發(fā)的《信息系統(tǒng)審計指南》(以下簡稱《指南》)則定義為“國家審計機關依法對被審計單位信息系統(tǒng)的真實性、合法性、效益性和安全性進行檢查監(jiān)督的活動”。
信息系統(tǒng)審計從具體內容講,包括信息系統(tǒng)的可信性目標審計、系統(tǒng)效益性目標審計和安全性目標審計。筆者認為,信息系統(tǒng)的不真實、不可信也是系統(tǒng)存在安全風險的體現(xiàn),所以信息系統(tǒng)可信性目標審計和安全性目標審計可歸為維護信息系統(tǒng)安全而進行的信息系統(tǒng)審計,本文主要對該部分審計內容展開探討。
胡錦濤同志說過:信息安全是個大問題,必須把信息安全問題放到至關重要的位置上,認真加以考慮和解決。信息已成為社會發(fā)展的重要戰(zhàn)略資源,信息的獲取、處理和信息保障能力成為綜合國力的重要組成部分,信息安全事關國家安全,事關社會穩(wěn)定。目前,我國的信息系統(tǒng)安全不容樂觀。全社會的信息安全意識不強,高端和基礎信息技術受控于國外,感染計算機病毒的比例逐年上升,網絡和信息系統(tǒng)的防護水平不高,信息安全管理和技術人才缺乏且流動性大,信息安全管理薄弱,數(shù)據不準確、不完整等情況突出。審計工作要發(fā)揮維護經濟社會健康發(fā)展的“免疫系統(tǒng)”功能,推動國家治理的完善,就應高度關注信息系統(tǒng)安全性問題,從數(shù)據、信息系統(tǒng)和系統(tǒng)內控等角度,揭示影響信息系統(tǒng)存在的安全隱患。
二、信息系統(tǒng)存在安全風險的主要體現(xiàn)
(一)信息系統(tǒng)的控制風險。
COSO(全國虛假財務報告委員會下屬的發(fā)起人委員會,“The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting”的縮寫)內部控制框架中提出信息系統(tǒng)控制分為一般控制和應用控制。一般控制,指信息系統(tǒng)總體控制,信息安全技術控制,信息安全管理控制;應用控制,指信息系統(tǒng)業(yè)務流程,數(shù)據輸入、處理和輸出的控制,信息共享和業(yè)務協(xié)同。簡單理解,信息系統(tǒng)控制包括對信息系統(tǒng)的控制和信息系統(tǒng)對業(yè)務的控制?!吨改稀分兴Q的項目管理審計,不屬于信息系統(tǒng)安全性審計范疇,本文不做探討。目前,通過了解、描述和測試三個審計階段,采取資料審查、系統(tǒng)檢查、數(shù)據測試、數(shù)據驗證等審計方法,信息系統(tǒng)控制主要揭示的有以下方面風險:
一是物理環(huán)境控制風險。這類風險主要體現(xiàn)為未經授權的人或設備直接接觸到信息系統(tǒng)相關硬件設備,屬于傳統(tǒng)的安全領域。包括信息系統(tǒng)的相關硬件設備、設備所在機房等硬件環(huán)境是否為符合規(guī)范標準的物理場所,是否做到容災異地數(shù)據備份,是否在機房等所有必要區(qū)域內安裝監(jiān)控和防盜設施,以及其它硬件相關要求。如對某大型國企信息所機房及辦公場所實地查看審計發(fā)現(xiàn),該企業(yè)機房環(huán)境不符合國有企業(yè)計算機設備安全管理相關制度,機房入口安裝了防盜門,但未配備門禁系統(tǒng),內部也未按機房相關規(guī)范標準設置有效的物理隔離裝置。
二是軟件環(huán)境控制風險。這類風險主要存在于軟件層面訪問控制、權限控制、操作控制等。體現(xiàn)在信息系統(tǒng)程序的無權限運行,數(shù)據輸入、輸出的不準確、不完整,未經允許或授權的訪問、泄漏、修改、刪除數(shù)據,系統(tǒng)完整性受到的破壞。如某大學使用的財務軟件權限設置,會計科科長、網絡管理員、數(shù)據庫管理員、系統(tǒng)管理員、記賬員等崗位由同一人擔任。同時,系統(tǒng)管理員在實施數(shù)據庫數(shù)據修改、會計人員崗位分工、權限設置等具體操作時,缺乏必要的審批和監(jiān)督程序。權限高度集中,監(jiān)控制約不力,財務信息系統(tǒng)存在安全隱患。此外,當業(yè)務流程涉及多個信息系統(tǒng)時,還體現(xiàn)為信息系統(tǒng)數(shù)據流不銜接、各系統(tǒng)整合不科學、不完善,業(yè)務數(shù)據在不同信息系統(tǒng)之間傳遞沒能做到真實、完整和準確等。如某省財政廳自行開發(fā)的預算編審系統(tǒng)、指標管理系統(tǒng)、國庫集中支付系統(tǒng)等財政核心業(yè)務系統(tǒng)都是單獨運行,各業(yè)務系統(tǒng)未實現(xiàn)有效整合,未能實現(xiàn)“形成以預算編制為源頭,以收支管理為過程、以預算及執(zhí)行分析為回路接點的財政業(yè)務管理流程通暢、操作規(guī)范的信息化處理閉環(huán)”的“金財工程”系統(tǒng)設計要求。
三是制度控制風險。這類風險主要存在于制度層面,體現(xiàn)在保證信息系統(tǒng)軟件、硬件良好運行相關制度規(guī)范不健全。如某大型國企未制定信息安全教育及技能培訓和考核管理辦法;某省財政廳委托軟件公司開發(fā)的信息系統(tǒng)“數(shù)據字典”不完整,并且軟件開發(fā)公司技術人員大量流失,未建立信息系統(tǒng)軟件開發(fā)文檔等基礎資料,信息系統(tǒng)中部分功能已經無法進行升級、維護。這些都是制度層面不完善給信息系統(tǒng)帶來的安全隱患。
(二)系統(tǒng)設計完整性風險。
這種風險主要體現(xiàn)在信息系統(tǒng)功能設計缺陷,信息系統(tǒng)不能保證真實、完整、準確地反映業(yè)務情況。如對某市新型農村合作醫(yī)療(以下簡稱“新農合”)信息系統(tǒng)的軟件設計審計發(fā)現(xiàn),雖然該信息系統(tǒng)軟件基本具備國家規(guī)范要求的八個基本功能模塊,但參合管理模塊對不規(guī)范、錯誤、重復錄入參合人員信息的情況缺乏差錯、重復數(shù)據提醒功能,導致系統(tǒng)內大量不準確、不真實參合人員數(shù)據存在,影響各級財政以此數(shù)據撥付至縣級新農合的補貼款的準確性。
(三)系統(tǒng)外包服務安全風險。
這種風險主要體現(xiàn)在信息系統(tǒng)開發(fā)維護等相關服務外包過程中,由于相應的控制機制不健全,導致信息系統(tǒng)數(shù)據存在安全風險。如對某市新農合信息系統(tǒng)審計,發(fā)現(xiàn)該市新農合應用軟件主要由某軟件工程有限公司以軟件免費、服務有償?shù)姆绞教峁Q由煸撥浖景l(fā)現(xiàn),該公司人員在系統(tǒng)維護中可不受權限限制,遠程登錄并操作由其提供技術服務的新農合信息系統(tǒng)服務器,系統(tǒng)數(shù)據存在未經授權就被修改或刪除風險。
(四)網絡和信息傳輸風險。
這種風險主要體現(xiàn)在傳輸信息數(shù)據的介質環(huán)境不符合相應規(guī)范標準,數(shù)據傳輸中存在出錯、被竊取、被篡改等隱患。如對某市新農合信息系統(tǒng)審計發(fā)現(xiàn),管理單位從運營費用角度考慮,降低數(shù)據傳輸介質安全要求,選擇網絡運營商提供的普通線路,而不是價格較高的專線。普通線路是新農合數(shù)據與互聯(lián)網信息數(shù)據共同的傳輸介質,在虛擬專用網絡(VPN)、數(shù)字證書認證、電子簽名、電子印章等信息安全措施方面幾乎沒有投入,安全性差,在此環(huán)境下傳輸?shù)男罗r合數(shù)據,在傳輸過程中存在較大安全隱患。
三、信息系統(tǒng)安全性審計存在的突出問題及應對策略
一是審計內容凌亂。目前所出具的信息系統(tǒng)審計報告內容有的以保證系統(tǒng)數(shù)據輸入、輸出的準確性為主,有些以信息系統(tǒng)物理環(huán)境控制的審計內容為主,有些以信息系統(tǒng)設計完整性的相關內容為主,有些則涉及了信息系統(tǒng)數(shù)據文檔健全、系統(tǒng)開發(fā)公司的技術力量、系統(tǒng)維護穩(wěn)定性等多方面內容,等等,總之,如何保證信息系統(tǒng)安全,關注什么,重點揭示什么,建議什么,報告規(guī)范的寫法怎么還沒規(guī)范。
出現(xiàn)上述情況,這與我國信息系統(tǒng)審計的發(fā)展階段有關。信息系統(tǒng)審計還處于探索發(fā)展的階段,相應的信息系統(tǒng)審計法律依據還不充分,審計署出臺的《指南》內容龐雜,針對性不強,還沒有真正起到指導審計人員實務工作的效果。此外,信息系統(tǒng)審計人才隊伍還不能完全滿足審計需要,審計規(guī)范性要求還未成型,等等。
這就要求我們在信息系統(tǒng)數(shù)據安全審計的探索中,以一種科學的態(tài)度,不斷總結經驗,不斷積累,按照計劃、實施、報告三個階段實施信息系統(tǒng)審計,逐步形成信息系統(tǒng)數(shù)據安全審計操作規(guī)范。按照《指南》總的流程規(guī)范,有針對性地對不同的信息系統(tǒng)的特點,如按行政事業(yè)單位、企業(yè)等分類,明確不同系統(tǒng)必要的審計內容和常規(guī)的審計流程是什么,以什么標準進行。逐步將成熟、有效的信息系統(tǒng)審計方法,固化到現(xiàn)場審計實施系統(tǒng)當中或開發(fā)成標準的審計模塊,來規(guī)范信息系統(tǒng)審計。
二是審計數(shù)據分割?;诒粚徲媶挝恍畔⑾到y(tǒng)數(shù)據安全考慮,審計人員一般不會在被審計單位原始信息系統(tǒng)中直接進行審計分析,而是將被審計單位信息系統(tǒng)部分數(shù)據提取后,導入SQL等其它數(shù)據庫分析軟件進行審計。有目的地提取數(shù)據庫并進行分析,可以提高工作效率,但脫離了被審計單位的網絡環(huán)境和系統(tǒng)平臺,部分數(shù)據則無法實現(xiàn)模擬流轉,一些在數(shù)據流轉中才能發(fā)現(xiàn)的舞弊行為則較難發(fā)現(xiàn)。如基于ERP(Enterprise Resource Planning企業(yè)資源計劃)管理理念所開發(fā)出的大型企業(yè)管理軟件,是按照有關規(guī)定、財務準則開發(fā)的,具有嚴謹?shù)牧鞒?,購、產、銷、存相關程度很高。一些企業(yè)為了做假,會在ERP軟件中錄入虛假數(shù)據,導致賬實不符。企業(yè)為了讓虛假數(shù)據通過軟件驗證功能,會人為打斷ERP軟件一些業(yè)務流程設計。如果審計人員對個別數(shù)據庫進行分析,舞弊行為一般較難發(fā)現(xiàn)。但如果在模擬業(yè)務平臺中按流程測試,執(zhí)行到某一環(huán)節(jié),軟件某一模塊缺乏或參數(shù)設置異常,則應作為審計重點。
這就要求面對較為復雜的信息系統(tǒng),審計人員應當盡可能恢復被審計的信息系統(tǒng)環(huán)境,通過符合性測試和實質性測試審計方法,順著數(shù)據流檢驗信息系統(tǒng)的完整性,查找可能存在的舞弊行為。
三是對信息系統(tǒng)前瞻評價困難。審計實務中常常遇到某部門或單位投巨資開發(fā)的信息系統(tǒng)因不能滿足業(yè)務需要或者不符行業(yè)設計規(guī)范而停止使用,新舊信息系統(tǒng)間數(shù)據進行大量遷移,甚至原信息系統(tǒng)數(shù)據則無法再進行查詢、利用,這對信息數(shù)據安全也產生很大影響。而與之相對照,審計人員對信息系統(tǒng)功能和數(shù)據關注較多,對該信息系統(tǒng)發(fā)展前瞻性評價較少。
這就要求審計人員在充分熟悉被審計單位信息系統(tǒng)的基礎上,結合被審計單位業(yè)務特點、行業(yè)的信息系統(tǒng)開發(fā)設計規(guī)范要求,對被審計單位信息系統(tǒng)建設提出戰(zhàn)略性的發(fā)展建議。
四是整改困難。信息系統(tǒng)審計中發(fā)現(xiàn)的一些安全隱患,有些是可以讓被審計單位加強管理或以技術手段彌補漏洞的,但有些問題可能會影響到整個信息系統(tǒng)的架構,整改成本高,被審計單位接受難度大。加上審計目前還沒有對信息系統(tǒng)定性的規(guī)范,也沒有強制手段讓其對信息系統(tǒng)進行完善,這就使整改難度大。這就要求審計人員更加深入了解被審計的信息系統(tǒng),提出針對性強、科學的整改建議,推動被審計單位以最小的成本進行審計整改。
維護信息系統(tǒng)數(shù)據安全是一個系統(tǒng)工程,對保障國有資產安全、金融安全、民生安全等諸多方面都具有重要意義。信息系統(tǒng)數(shù)據安全審計工作已經取得了不少成績,但仍處于探索階段。審計人員需要解放思想,從法律、教育、管理、技術等多種角度思考深化信息系統(tǒng)數(shù)據安全審計工作,并培養(yǎng)一批既掌握現(xiàn)代審計理論與實務又了解計算機技術,并且通曉被審計單位業(yè)務的復合型專業(yè)人才,提高確保審計質量,降低審計風險。
(作者單位:江西省審計廳)