李勤

近年來，信息系統(tǒng)審計引起了各級審計機關的廣泛關注?！秾徲嬍稹笆濉睂徲嫻ぷ靼l(fā)展規(guī)劃》中，提出“積極開展信息系統(tǒng)審計，總結計算機審計方法體系和操作制度”。劉家義審計長在2012年7月全國審計工作座談會《加快審計信息化建設步伐，全面提升審計能力和技術水平》主題報告中提出，既要審計數(shù)據，又要審計信息系統(tǒng)，以安全性、可靠性和經濟性為重點，進一步深化信息系統(tǒng)審計。從審計實踐來看，國家審計、內部審計和注冊會計師審計在信息系統(tǒng)審計中都積累了一定經驗，2012年2月，審計署還印發(fā)了信息系統(tǒng)審計指南。但也應清楚地看到，信息系統(tǒng)審計引入我國時間尚短，很多理論方法體系尚未形成。筆者從國家審計實務角度，淺談深化信息系統(tǒng)安全性審計需重點關注一些內容。

一、信息系統(tǒng)安全性審計基本概述

20世紀60年代，由于計算機被應用于財務會計領域，從而產生了電子數(shù)據處理審計（EDP Auditing）。信息系統(tǒng)審計是在電子數(shù)據處理審計基礎上逐漸發(fā)展起來的。目前，信息系統(tǒng)審計的定義還在爭論當中，羅恩·韋伯（Ron Weber）在《信息系統(tǒng)控制與審計》一書中對信息系統(tǒng)審計概念做出了如下描述：“信息系統(tǒng)審計是一個通過收集和評價審計證據，對信息系統(tǒng)是否能夠保護資產的安全、維護數(shù)據的完整、使被審計單位的目標得以有效實現(xiàn)、使組織的資源得到高效使用等方面做出判斷的過程?！边@一概念包括了信息系統(tǒng)審計的目標、內容、過程、方法和結果，是對信息系統(tǒng)審計比較全面的概括。審計署印發(fā)的《信息系統(tǒng)審計指南》（以下簡稱《指南》）則定義為“國家審計機關依法對被審計單位信息系統(tǒng)的真實性、合法性、效益性和安全性進行檢查監(jiān)督的活動”。

信息系統(tǒng)審計從具體內容講，包括信息系統(tǒng)的可信性目標審計、系統(tǒng)效益性目標審計和安全性目標審計。筆者認為，信息系統(tǒng)的不真實、不可信也是系統(tǒng)存在安全風險的體現(xiàn)，所以信息系統(tǒng)可信性目標審計和安全性目標審計可歸為維護信息系統(tǒng)安全而進行的信息系統(tǒng)審計，本文主要對該部分審計內容展開探討。

胡錦濤同志說過：信息安全是個大問題，必須把信息安全問題放到至關重要的位置上，認真加以考慮和解決。信息已成為社會發(fā)展的重要戰(zhàn)略資源，信息的獲取、處理和信息保障能力成為綜合國力的重要組成部分，信息安全事關國家安全，事關社會穩(wěn)定。目前，我國的信息系統(tǒng)安全不容樂觀。全社會的信息安全意識不強，高端和基礎信息技術受控于國外，感染計算機病毒的比例逐年上升，網絡和信息系統(tǒng)的防護水平不高，信息安全管理和技術人才缺乏且流動性大，信息安全管理薄弱，數(shù)據不準確、不完整等情況突出。審計工作要發(fā)揮維護經濟社會健康發(fā)展的“免疫系統(tǒng)”功能，推動國家治理的完善，就應高度關注信息系統(tǒng)安全性問題，從數(shù)據、信息系統(tǒng)和系統(tǒng)內控等角度，揭示影響信息系統(tǒng)存在的安全隱患。

二、信息系統(tǒng)存在安全風險的主要體現(xiàn)

（一）信息系統(tǒng)的控制風險。

COSO（全國虛假財務報告委員會下屬的發(fā)起人委員會，“The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting”的縮寫）內部控制框架中提出信息系統(tǒng)控制分為一般控制和應用控制。一般控制，指信息系統(tǒng)總體控制，信息安全技術控制，信息安全管理控制；應用控制，指信息系統(tǒng)業(yè)務流程，數(shù)據輸入、處理和輸出的控制，信息共享和業(yè)務協(xié)同。簡單理解，信息系統(tǒng)控制包括對信息系統(tǒng)的控制和信息系統(tǒng)對業(yè)務的控制?！吨改稀分兴Q的項目管理審計，不屬于信息系統(tǒng)安全性審計范疇，本文不做探討。目前，通過了解、描述和測試三個審計階段，采取資料審查、系統(tǒng)檢查、數(shù)據測試、數(shù)據驗證等審計方法，信息系統(tǒng)控制主要揭示的有以下方面風險：

一是物理環(huán)境控制風險。這類風險主要體現(xiàn)為未經授權的人或設備直接接觸到信息系統(tǒng)相關硬件設備，屬于傳統(tǒng)的安全領域。包括信息系統(tǒng)的相關硬件設備、設備所在機房等硬件環(huán)境是否為符合規(guī)范標準的物理場所，是否做到容災異地數(shù)據備份，是否在機房等所有必要區(qū)域內安裝監(jiān)控和防盜設施，以及其它硬件相關要求。如對某大型國企信息所機房及辦公場所實地查看審計發(fā)現(xiàn)，該企業(yè)機房環(huán)境不符合國有企業(yè)計算機設備安全管理相關制度，機房入口安裝了防盜門，但未配備門禁系統(tǒng)，內部也未按機房相關規(guī)范標準設置有效的物理隔離裝置。

二是軟件環(huán)境控制風險。這類風險主要存在于軟件層面訪問控制、權限控制、操作控制等。體現(xiàn)在信息系統(tǒng)程序的無權限運行，數(shù)據輸入、輸出的不準確、不完整，未經允許或授權的訪問、泄漏、修改、刪除數(shù)據，系統(tǒng)完整性受到的破壞。如某大學使用的財務軟件權限設置，會計科科長、網絡管理員、數(shù)據庫管理員、系統(tǒng)管理員、記賬員等崗位由同一人擔任。同時，系統(tǒng)管理員在實施數(shù)據庫數(shù)據修改、會計人員崗位分工、權限設置等具體操作時，缺乏必要的審批和監(jiān)督程序。權限高度集中，監(jiān)控制約不力，財務信息系統(tǒng)存在安全隱患。此外，當業(yè)務流程涉及多個信息系統(tǒng)時，還體現(xiàn)為信息系統(tǒng)數(shù)據流不銜接、各系統(tǒng)整合不科學、不完善，業(yè)務數(shù)據在不同信息系統(tǒng)之間傳遞沒能做到真實、完整和準確等。如某省財政廳自行開發(fā)的預算編審系統(tǒng)、指標管理系統(tǒng)、國庫集中支付系統(tǒng)等財政核心業(yè)務系統(tǒng)都是單獨運行，各業(yè)務系統(tǒng)未實現(xiàn)有效整合，未能實現(xiàn)“形成以預算編制為源頭，以收支管理為過程、以預算及執(zhí)行分析為回路接點的財政業(yè)務管理流程通暢、操作規(guī)范的信息化處理閉環(huán)”的“金財工程”系統(tǒng)設計要求。

三是制度控制風險。這類風險主要存在于制度層面，體現(xiàn)在保證信息系統(tǒng)軟件、硬件良好運行相關制度規(guī)范不健全。如某大型國企未制定信息安全教育及技能培訓和考核管理辦法；某省財政廳委托軟件公司開發(fā)的信息系統(tǒng)“數(shù)據字典”不完整，并且軟件開發(fā)公司技術人員大量流失，未建立信息系統(tǒng)軟件開發(fā)文檔等基礎資料，信息系統(tǒng)中部分功能已經無法進行升級、維護。這些都是制度層面不完善給信息系統(tǒng)帶來的安全隱患。

（二）系統(tǒng)設計完整性風險。

這種風險主要體現(xiàn)在信息系統(tǒng)功能設計缺陷，信息系統(tǒng)不能保證真實、完整、準確地反映業(yè)務情況。如對某市新型農村合作醫(yī)療（以下簡稱“新農合”）信息系統(tǒng)的軟件設計審計發(fā)現(xiàn)，雖然該信息系統(tǒng)軟件基本具備國家規(guī)范要求的八個基本功能模塊，但參合管理模塊對不規(guī)范、錯誤、重復錄入參合人員信息的情況缺乏差錯、重復數(shù)據提醒功能，導致系統(tǒng)內大量不準確、不真實參合人員數(shù)據存在，影響各級財政以此數(shù)據撥付至縣級新農合的補貼款的準確性。

（三）系統(tǒng)外包服務安全風險。

這種風險主要體現(xiàn)在信息系統(tǒng)開發(fā)維護等相關服務外包過程中，由于相應的控制機制不健全，導致信息系統(tǒng)數(shù)據存在安全風險。如對某市新農合信息系統(tǒng)審計，發(fā)現(xiàn)該市新農合應用軟件主要由某軟件工程有限公司以軟件免費、服務有償?shù)姆绞教峁Ｑ由煸撥浖景l(fā)現(xiàn)，該公司人員在系統(tǒng)維護中可不受權限限制，遠程登錄并操作由其提供技術服務的新農合信息系統(tǒng)服務器，系統(tǒng)數(shù)據存在未經授權就被修改或刪除風險。

（四）網絡和信息傳輸風險。

這種風險主要體現(xiàn)在傳輸信息數(shù)據的介質環(huán)境不符合相應規(guī)范標準，數(shù)據傳輸中存在出錯、被竊取、被篡改等隱患。如對某市新農合信息系統(tǒng)審計發(fā)現(xiàn)，管理單位從運營費用角度考慮，降低數(shù)據傳輸介質安全要求，選擇網絡運營商提供的普通線路，而不是價格較高的專線。普通線路是新農合數(shù)據與互聯(lián)網信息數(shù)據共同的傳輸介質，在虛擬專用網絡（VPN）、數(shù)字證書認證、電子簽名、電子印章等信息安全措施方面幾乎沒有投入，安全性差，在此環(huán)境下傳輸?shù)男罗r合數(shù)據，在傳輸過程中存在較大安全隱患。

三、信息系統(tǒng)安全性審計存在的突出問題及應對策略

一是審計內容凌亂。目前所出具的信息系統(tǒng)審計報告內容有的以保證系統(tǒng)數(shù)據輸入、輸出的準確性為主，有些以信息系統(tǒng)物理環(huán)境控制的審計內容為主，有些以信息系統(tǒng)設計完整性的相關內容為主，有些則涉及了信息系統(tǒng)數(shù)據文檔健全、系統(tǒng)開發(fā)公司的技術力量、系統(tǒng)維護穩(wěn)定性等多方面內容，等等，總之，如何保證信息系統(tǒng)安全，關注什么，重點揭示什么，建議什么，報告規(guī)范的寫法怎么還沒規(guī)范。

出現(xiàn)上述情況，這與我國信息系統(tǒng)審計的發(fā)展階段有關。信息系統(tǒng)審計還處于探索發(fā)展的階段，相應的信息系統(tǒng)審計法律依據還不充分，審計署出臺的《指南》內容龐雜，針對性不強，還沒有真正起到指導審計人員實務工作的效果。此外，信息系統(tǒng)審計人才隊伍還不能完全滿足審計需要，審計規(guī)范性要求還未成型，等等。

這就要求我們在信息系統(tǒng)數(shù)據安全審計的探索中，以一種科學的態(tài)度，不斷總結經驗，不斷積累，按照計劃、實施、報告三個階段實施信息系統(tǒng)審計，逐步形成信息系統(tǒng)數(shù)據安全審計操作規(guī)范。按照《指南》總的流程規(guī)范，有針對性地對不同的信息系統(tǒng)的特點，如按行政事業(yè)單位、企業(yè)等分類，明確不同系統(tǒng)必要的審計內容和常規(guī)的審計流程是什么，以什么標準進行。逐步將成熟、有效的信息系統(tǒng)審計方法，固化到現(xiàn)場審計實施系統(tǒng)當中或開發(fā)成標準的審計模塊，來規(guī)范信息系統(tǒng)審計。

二是審計數(shù)據分割?；诒粚徲媶挝恍畔⑾到y(tǒng)數(shù)據安全考慮，審計人員一般不會在被審計單位原始信息系統(tǒng)中直接進行審計分析，而是將被審計單位信息系統(tǒng)部分數(shù)據提取后，導入SQL等其它數(shù)據庫分析軟件進行審計。有目的地提取數(shù)據庫并進行分析，可以提高工作效率，但脫離了被審計單位的網絡環(huán)境和系統(tǒng)平臺，部分數(shù)據則無法實現(xiàn)模擬流轉，一些在數(shù)據流轉中才能發(fā)現(xiàn)的舞弊行為則較難發(fā)現(xiàn)。如基于ERP（Enterprise Resource Planning企業(yè)資源計劃）管理理念所開發(fā)出的大型企業(yè)管理軟件，是按照有關規(guī)定、財務準則開發(fā)的，具有嚴謹?shù)牧鞒?，購、產、銷、存相關程度很高。一些企業(yè)為了做假，會在ERP軟件中錄入虛假數(shù)據，導致賬實不符。企業(yè)為了讓虛假數(shù)據通過軟件驗證功能，會人為打斷ERP軟件一些業(yè)務流程設計。如果審計人員對個別數(shù)據庫進行分析，舞弊行為一般較難發(fā)現(xiàn)。但如果在模擬業(yè)務平臺中按流程測試，執(zhí)行到某一環(huán)節(jié)，軟件某一模塊缺乏或參數(shù)設置異常，則應作為審計重點。

這就要求面對較為復雜的信息系統(tǒng)，審計人員應當盡可能恢復被審計的信息系統(tǒng)環(huán)境，通過符合性測試和實質性測試審計方法，順著數(shù)據流檢驗信息系統(tǒng)的完整性，查找可能存在的舞弊行為。

三是對信息系統(tǒng)前瞻評價困難。審計實務中常常遇到某部門或單位投巨資開發(fā)的信息系統(tǒng)因不能滿足業(yè)務需要或者不符行業(yè)設計規(guī)范而停止使用，新舊信息系統(tǒng)間數(shù)據進行大量遷移，甚至原信息系統(tǒng)數(shù)據則無法再進行查詢、利用，這對信息數(shù)據安全也產生很大影響。而與之相對照，審計人員對信息系統(tǒng)功能和數(shù)據關注較多，對該信息系統(tǒng)發(fā)展前瞻性評價較少。

這就要求審計人員在充分熟悉被審計單位信息系統(tǒng)的基礎上，結合被審計單位業(yè)務特點、行業(yè)的信息系統(tǒng)開發(fā)設計規(guī)范要求，對被審計單位信息系統(tǒng)建設提出戰(zhàn)略性的發(fā)展建議。

四是整改困難。信息系統(tǒng)審計中發(fā)現(xiàn)的一些安全隱患，有些是可以讓被審計單位加強管理或以技術手段彌補漏洞的，但有些問題可能會影響到整個信息系統(tǒng)的架構，整改成本高，被審計單位接受難度大。加上審計目前還沒有對信息系統(tǒng)定性的規(guī)范，也沒有強制手段讓其對信息系統(tǒng)進行完善，這就使整改難度大。這就要求審計人員更加深入了解被審計的信息系統(tǒng)，提出針對性強、科學的整改建議，推動被審計單位以最小的成本進行審計整改。

維護信息系統(tǒng)數(shù)據安全是一個系統(tǒng)工程，對保障國有資產安全、金融安全、民生安全等諸多方面都具有重要意義。信息系統(tǒng)數(shù)據安全審計工作已經取得了不少成績，但仍處于探索階段。審計人員需要解放思想，從法律、教育、管理、技術等多種角度思考深化信息系統(tǒng)數(shù)據安全審計工作，并培養(yǎng)一批既掌握現(xiàn)代審計理論與實務又了解計算機技術，并且通曉被審計單位業(yè)務的復合型專業(yè)人才，提高確保審計質量，降低審計風險。

（作者單位：江西省審計廳）