李勤
近年來,信息系統(tǒng)審計(jì)引起了各級審計(jì)機(jī)關(guān)的廣泛關(guān)注。《審計(jì)署“十二五”審計(jì)工作發(fā)展規(guī)劃》中,提出“積極開展信息系統(tǒng)審計(jì),總結(jié)計(jì)算機(jī)審計(jì)方法體系和操作制度”。劉家義審計(jì)長在2012年7月全國審計(jì)工作座談會《加快審計(jì)信息化建設(shè)步伐,全面提升審計(jì)能力和技術(shù)水平》主題報(bào)告中提出,既要審計(jì)數(shù)據(jù),又要審計(jì)信息系統(tǒng),以安全性、可靠性和經(jīng)濟(jì)性為重點(diǎn),進(jìn)一步深化信息系統(tǒng)審計(jì)。從審計(jì)實(shí)踐來看,國家審計(jì)、內(nèi)部審計(jì)和注冊會計(jì)師審計(jì)在信息系統(tǒng)審計(jì)中都積累了一定經(jīng)驗(yàn),2012年2月,審計(jì)署還印發(fā)了信息系統(tǒng)審計(jì)指南。但也應(yīng)清楚地看到,信息系統(tǒng)審計(jì)引入我國時間尚短,很多理論方法體系尚未形成。筆者從國家審計(jì)實(shí)務(wù)角度,淺談深化信息系統(tǒng)安全性審計(jì)需重點(diǎn)關(guān)注一些內(nèi)容。
一、信息系統(tǒng)安全性審計(jì)基本概述
20世紀(jì)60年代,由于計(jì)算機(jī)被應(yīng)用于財(cái)務(wù)會計(jì)領(lǐng)域,從而產(chǎn)生了電子數(shù)據(jù)處理審計(jì)(EDP Auditing)。信息系統(tǒng)審計(jì)是在電子數(shù)據(jù)處理審計(jì)基礎(chǔ)上逐漸發(fā)展起來的。目前,信息系統(tǒng)審計(jì)的定義還在爭論當(dāng)中,羅恩·韋伯(Ron Weber)在《信息系統(tǒng)控制與審計(jì)》一書中對信息系統(tǒng)審計(jì)概念做出了如下描述:“信息系統(tǒng)審計(jì)是一個通過收集和評價審計(jì)證據(jù),對信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計(jì)單位的目標(biāo)得以有效實(shí)現(xiàn)、使組織的資源得到高效使用等方面做出判斷的過程?!边@一概念包括了信息系統(tǒng)審計(jì)的目標(biāo)、內(nèi)容、過程、方法和結(jié)果,是對信息系統(tǒng)審計(jì)比較全面的概括。審計(jì)署印發(fā)的《信息系統(tǒng)審計(jì)指南》(以下簡稱《指南》)則定義為“國家審計(jì)機(jī)關(guān)依法對被審計(jì)單位信息系統(tǒng)的真實(shí)性、合法性、效益性和安全性進(jìn)行檢查監(jiān)督的活動”。
信息系統(tǒng)審計(jì)從具體內(nèi)容講,包括信息系統(tǒng)的可信性目標(biāo)審計(jì)、系統(tǒng)效益性目標(biāo)審計(jì)和安全性目標(biāo)審計(jì)。筆者認(rèn)為,信息系統(tǒng)的不真實(shí)、不可信也是系統(tǒng)存在安全風(fēng)險(xiǎn)的體現(xiàn),所以信息系統(tǒng)可信性目標(biāo)審計(jì)和安全性目標(biāo)審計(jì)可歸為維護(hù)信息系統(tǒng)安全而進(jìn)行的信息系統(tǒng)審計(jì),本文主要對該部分審計(jì)內(nèi)容展開探討。
胡錦濤同志說過:信息安全是個大問題,必須把信息安全問題放到至關(guān)重要的位置上,認(rèn)真加以考慮和解決。信息已成為社會發(fā)展的重要戰(zhàn)略資源,信息的獲取、處理和信息保障能力成為綜合國力的重要組成部分,信息安全事關(guān)國家安全,事關(guān)社會穩(wěn)定。目前,我國的信息系統(tǒng)安全不容樂觀。全社會的信息安全意識不強(qiáng),高端和基礎(chǔ)信息技術(shù)受控于國外,感染計(jì)算機(jī)病毒的比例逐年上升,網(wǎng)絡(luò)和信息系統(tǒng)的防護(hù)水平不高,信息安全管理和技術(shù)人才缺乏且流動性大,信息安全管理薄弱,數(shù)據(jù)不準(zhǔn)確、不完整等情況突出。審計(jì)工作要發(fā)揮維護(hù)經(jīng)濟(jì)社會健康發(fā)展的“免疫系統(tǒng)”功能,推動國家治理的完善,就應(yīng)高度關(guān)注信息系統(tǒng)安全性問題,從數(shù)據(jù)、信息系統(tǒng)和系統(tǒng)內(nèi)控等角度,揭示影響信息系統(tǒng)存在的安全隱患。
二、信息系統(tǒng)存在安全風(fēng)險(xiǎn)的主要體現(xiàn)
(一)信息系統(tǒng)的控制風(fēng)險(xiǎn)。
COSO(全國虛假財(cái)務(wù)報(bào)告委員會下屬的發(fā)起人委員會,“The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting”的縮寫)內(nèi)部控制框架中提出信息系統(tǒng)控制分為一般控制和應(yīng)用控制。一般控制,指信息系統(tǒng)總體控制,信息安全技術(shù)控制,信息安全管理控制;應(yīng)用控制,指信息系統(tǒng)業(yè)務(wù)流程,數(shù)據(jù)輸入、處理和輸出的控制,信息共享和業(yè)務(wù)協(xié)同。簡單理解,信息系統(tǒng)控制包括對信息系統(tǒng)的控制和信息系統(tǒng)對業(yè)務(wù)的控制?!吨改稀分兴Q的項(xiàng)目管理審計(jì),不屬于信息系統(tǒng)安全性審計(jì)范疇,本文不做探討。目前,通過了解、描述和測試三個審計(jì)階段,采取資料審查、系統(tǒng)檢查、數(shù)據(jù)測試、數(shù)據(jù)驗(yàn)證等審計(jì)方法,信息系統(tǒng)控制主要揭示的有以下方面風(fēng)險(xiǎn):
一是物理環(huán)境控制風(fēng)險(xiǎn)。這類風(fēng)險(xiǎn)主要體現(xiàn)為未經(jīng)授權(quán)的人或設(shè)備直接接觸到信息系統(tǒng)相關(guān)硬件設(shè)備,屬于傳統(tǒng)的安全領(lǐng)域。包括信息系統(tǒng)的相關(guān)硬件設(shè)備、設(shè)備所在機(jī)房等硬件環(huán)境是否為符合規(guī)范標(biāo)準(zhǔn)的物理場所,是否做到容災(zāi)異地?cái)?shù)據(jù)備份,是否在機(jī)房等所有必要區(qū)域內(nèi)安裝監(jiān)控和防盜設(shè)施,以及其它硬件相關(guān)要求。如對某大型國企信息所機(jī)房及辦公場所實(shí)地查看審計(jì)發(fā)現(xiàn),該企業(yè)機(jī)房環(huán)境不符合國有企業(yè)計(jì)算機(jī)設(shè)備安全管理相關(guān)制度,機(jī)房入口安裝了防盜門,但未配備門禁系統(tǒng),內(nèi)部也未按機(jī)房相關(guān)規(guī)范標(biāo)準(zhǔn)設(shè)置有效的物理隔離裝置。
二是軟件環(huán)境控制風(fēng)險(xiǎn)。這類風(fēng)險(xiǎn)主要存在于軟件層面訪問控制、權(quán)限控制、操作控制等。體現(xiàn)在信息系統(tǒng)程序的無權(quán)限運(yùn)行,數(shù)據(jù)輸入、輸出的不準(zhǔn)確、不完整,未經(jīng)允許或授權(quán)的訪問、泄漏、修改、刪除數(shù)據(jù),系統(tǒng)完整性受到的破壞。如某大學(xué)使用的財(cái)務(wù)軟件權(quán)限設(shè)置,會計(jì)科科長、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、系統(tǒng)管理員、記賬員等崗位由同一人擔(dān)任。同時,系統(tǒng)管理員在實(shí)施數(shù)據(jù)庫數(shù)據(jù)修改、會計(jì)人員崗位分工、權(quán)限設(shè)置等具體操作時,缺乏必要的審批和監(jiān)督程序。權(quán)限高度集中,監(jiān)控制約不力,財(cái)務(wù)信息系統(tǒng)存在安全隱患。此外,當(dāng)業(yè)務(wù)流程涉及多個信息系統(tǒng)時,還體現(xiàn)為信息系統(tǒng)數(shù)據(jù)流不銜接、各系統(tǒng)整合不科學(xué)、不完善,業(yè)務(wù)數(shù)據(jù)在不同信息系統(tǒng)之間傳遞沒能做到真實(shí)、完整和準(zhǔn)確等。如某省財(cái)政廳自行開發(fā)的預(yù)算編審系統(tǒng)、指標(biāo)管理系統(tǒng)、國庫集中支付系統(tǒng)等財(cái)政核心業(yè)務(wù)系統(tǒng)都是單獨(dú)運(yùn)行,各業(yè)務(wù)系統(tǒng)未實(shí)現(xiàn)有效整合,未能實(shí)現(xiàn)“形成以預(yù)算編制為源頭,以收支管理為過程、以預(yù)算及執(zhí)行分析為回路接點(diǎn)的財(cái)政業(yè)務(wù)管理流程通暢、操作規(guī)范的信息化處理閉環(huán)”的“金財(cái)工程”系統(tǒng)設(shè)計(jì)要求。
三是制度控制風(fēng)險(xiǎn)。這類風(fēng)險(xiǎn)主要存在于制度層面,體現(xiàn)在保證信息系統(tǒng)軟件、硬件良好運(yùn)行相關(guān)制度規(guī)范不健全。如某大型國企未制定信息安全教育及技能培訓(xùn)和考核管理辦法;某省財(cái)政廳委托軟件公司開發(fā)的信息系統(tǒng)“數(shù)據(jù)字典”不完整,并且軟件開發(fā)公司技術(shù)人員大量流失,未建立信息系統(tǒng)軟件開發(fā)文檔等基礎(chǔ)資料,信息系統(tǒng)中部分功能已經(jīng)無法進(jìn)行升級、維護(hù)。這些都是制度層面不完善給信息系統(tǒng)帶來的安全隱患。
(二)系統(tǒng)設(shè)計(jì)完整性風(fēng)險(xiǎn)。
這種風(fēng)險(xiǎn)主要體現(xiàn)在信息系統(tǒng)功能設(shè)計(jì)缺陷,信息系統(tǒng)不能保證真實(shí)、完整、準(zhǔn)確地反映業(yè)務(wù)情況。如對某市新型農(nóng)村合作醫(yī)療(以下簡稱“新農(nóng)合”)信息系統(tǒng)的軟件設(shè)計(jì)審計(jì)發(fā)現(xiàn),雖然該信息系統(tǒng)軟件基本具備國家規(guī)范要求的八個基本功能模塊,但參合管理模塊對不規(guī)范、錯誤、重復(fù)錄入?yún)⒑先藛T信息的情況缺乏差錯、重復(fù)數(shù)據(jù)提醒功能,導(dǎo)致系統(tǒng)內(nèi)大量不準(zhǔn)確、不真實(shí)參合人員數(shù)據(jù)存在,影響各級財(cái)政以此數(shù)據(jù)撥付至縣級新農(nóng)合的補(bǔ)貼款的準(zhǔn)確性。
(三)系統(tǒng)外包服務(wù)安全風(fēng)險(xiǎn)。
這種風(fēng)險(xiǎn)主要體現(xiàn)在信息系統(tǒng)開發(fā)維護(hù)等相關(guān)服務(wù)外包過程中,由于相應(yīng)的控制機(jī)制不健全,導(dǎo)致信息系統(tǒng)數(shù)據(jù)存在安全風(fēng)險(xiǎn)。如對某市新農(nóng)合信息系統(tǒng)審計(jì),發(fā)現(xiàn)該市新農(nóng)合應(yīng)用軟件主要由某軟件工程有限公司以軟件免費(fèi)、服務(wù)有償?shù)姆绞教峁?。延伸該軟件公司發(fā)現(xiàn),該公司人員在系統(tǒng)維護(hù)中可不受權(quán)限限制,遠(yuǎn)程登錄并操作由其提供技術(shù)服務(wù)的新農(nóng)合信息系統(tǒng)服務(wù)器,系統(tǒng)數(shù)據(jù)存在未經(jīng)授權(quán)就被修改或刪除風(fēng)險(xiǎn)。
(四)網(wǎng)絡(luò)和信息傳輸風(fēng)險(xiǎn)。
這種風(fēng)險(xiǎn)主要體現(xiàn)在傳輸信息數(shù)據(jù)的介質(zhì)環(huán)境不符合相應(yīng)規(guī)范標(biāo)準(zhǔn),數(shù)據(jù)傳輸中存在出錯、被竊取、被篡改等隱患。如對某市新農(nóng)合信息系統(tǒng)審計(jì)發(fā)現(xiàn),管理單位從運(yùn)營費(fèi)用角度考慮,降低數(shù)據(jù)傳輸介質(zhì)安全要求,選擇網(wǎng)絡(luò)運(yùn)營商提供的普通線路,而不是價格較高的專線。普通線路是新農(nóng)合數(shù)據(jù)與互聯(lián)網(wǎng)信息數(shù)據(jù)共同的傳輸介質(zhì),在虛擬專用網(wǎng)絡(luò)(VPN)、數(shù)字證書認(rèn)證、電子簽名、電子印章等信息安全措施方面幾乎沒有投入,安全性差,在此環(huán)境下傳輸?shù)男罗r(nóng)合數(shù)據(jù),在傳輸過程中存在較大安全隱患。
三、信息系統(tǒng)安全性審計(jì)存在的突出問題及應(yīng)對策略
一是審計(jì)內(nèi)容凌亂。目前所出具的信息系統(tǒng)審計(jì)報(bào)告內(nèi)容有的以保證系統(tǒng)數(shù)據(jù)輸入、輸出的準(zhǔn)確性為主,有些以信息系統(tǒng)物理環(huán)境控制的審計(jì)內(nèi)容為主,有些以信息系統(tǒng)設(shè)計(jì)完整性的相關(guān)內(nèi)容為主,有些則涉及了信息系統(tǒng)數(shù)據(jù)文檔健全、系統(tǒng)開發(fā)公司的技術(shù)力量、系統(tǒng)維護(hù)穩(wěn)定性等多方面內(nèi)容,等等,總之,如何保證信息系統(tǒng)安全,關(guān)注什么,重點(diǎn)揭示什么,建議什么,報(bào)告規(guī)范的寫法怎么還沒規(guī)范。
出現(xiàn)上述情況,這與我國信息系統(tǒng)審計(jì)的發(fā)展階段有關(guān)。信息系統(tǒng)審計(jì)還處于探索發(fā)展的階段,相應(yīng)的信息系統(tǒng)審計(jì)法律依據(jù)還不充分,審計(jì)署出臺的《指南》內(nèi)容龐雜,針對性不強(qiáng),還沒有真正起到指導(dǎo)審計(jì)人員實(shí)務(wù)工作的效果。此外,信息系統(tǒng)審計(jì)人才隊(duì)伍還不能完全滿足審計(jì)需要,審計(jì)規(guī)范性要求還未成型,等等。
這就要求我們在信息系統(tǒng)數(shù)據(jù)安全審計(jì)的探索中,以一種科學(xué)的態(tài)度,不斷總結(jié)經(jīng)驗(yàn),不斷積累,按照計(jì)劃、實(shí)施、報(bào)告三個階段實(shí)施信息系統(tǒng)審計(jì),逐步形成信息系統(tǒng)數(shù)據(jù)安全審計(jì)操作規(guī)范。按照《指南》總的流程規(guī)范,有針對性地對不同的信息系統(tǒng)的特點(diǎn),如按行政事業(yè)單位、企業(yè)等分類,明確不同系統(tǒng)必要的審計(jì)內(nèi)容和常規(guī)的審計(jì)流程是什么,以什么標(biāo)準(zhǔn)進(jìn)行。逐步將成熟、有效的信息系統(tǒng)審計(jì)方法,固化到現(xiàn)場審計(jì)實(shí)施系統(tǒng)當(dāng)中或開發(fā)成標(biāo)準(zhǔn)的審計(jì)模塊,來規(guī)范信息系統(tǒng)審計(jì)。
二是審計(jì)數(shù)據(jù)分割?;诒粚徲?jì)單位信息系統(tǒng)數(shù)據(jù)安全考慮,審計(jì)人員一般不會在被審計(jì)單位原始信息系統(tǒng)中直接進(jìn)行審計(jì)分析,而是將被審計(jì)單位信息系統(tǒng)部分?jǐn)?shù)據(jù)提取后,導(dǎo)入SQL等其它數(shù)據(jù)庫分析軟件進(jìn)行審計(jì)。有目的地提取數(shù)據(jù)庫并進(jìn)行分析,可以提高工作效率,但脫離了被審計(jì)單位的網(wǎng)絡(luò)環(huán)境和系統(tǒng)平臺,部分?jǐn)?shù)據(jù)則無法實(shí)現(xiàn)模擬流轉(zhuǎn),一些在數(shù)據(jù)流轉(zhuǎn)中才能發(fā)現(xiàn)的舞弊行為則較難發(fā)現(xiàn)。如基于ERP(Enterprise Resource Planning企業(yè)資源計(jì)劃)管理理念所開發(fā)出的大型企業(yè)管理軟件,是按照有關(guān)規(guī)定、財(cái)務(wù)準(zhǔn)則開發(fā)的,具有嚴(yán)謹(jǐn)?shù)牧鞒?,購、產(chǎn)、銷、存相關(guān)程度很高。一些企業(yè)為了做假,會在ERP軟件中錄入虛假數(shù)據(jù),導(dǎo)致賬實(shí)不符。企業(yè)為了讓虛假數(shù)據(jù)通過軟件驗(yàn)證功能,會人為打斷ERP軟件一些業(yè)務(wù)流程設(shè)計(jì)。如果審計(jì)人員對個別數(shù)據(jù)庫進(jìn)行分析,舞弊行為一般較難發(fā)現(xiàn)。但如果在模擬業(yè)務(wù)平臺中按流程測試,執(zhí)行到某一環(huán)節(jié),軟件某一模塊缺乏或參數(shù)設(shè)置異常,則應(yīng)作為審計(jì)重點(diǎn)。
這就要求面對較為復(fù)雜的信息系統(tǒng),審計(jì)人員應(yīng)當(dāng)盡可能恢復(fù)被審計(jì)的信息系統(tǒng)環(huán)境,通過符合性測試和實(shí)質(zhì)性測試審計(jì)方法,順著數(shù)據(jù)流檢驗(yàn)信息系統(tǒng)的完整性,查找可能存在的舞弊行為。
三是對信息系統(tǒng)前瞻評價困難。審計(jì)實(shí)務(wù)中常常遇到某部門或單位投巨資開發(fā)的信息系統(tǒng)因不能滿足業(yè)務(wù)需要或者不符行業(yè)設(shè)計(jì)規(guī)范而停止使用,新舊信息系統(tǒng)間數(shù)據(jù)進(jìn)行大量遷移,甚至原信息系統(tǒng)數(shù)據(jù)則無法再進(jìn)行查詢、利用,這對信息數(shù)據(jù)安全也產(chǎn)生很大影響。而與之相對照,審計(jì)人員對信息系統(tǒng)功能和數(shù)據(jù)關(guān)注較多,對該信息系統(tǒng)發(fā)展前瞻性評價較少。
這就要求審計(jì)人員在充分熟悉被審計(jì)單位信息系統(tǒng)的基礎(chǔ)上,結(jié)合被審計(jì)單位業(yè)務(wù)特點(diǎn)、行業(yè)的信息系統(tǒng)開發(fā)設(shè)計(jì)規(guī)范要求,對被審計(jì)單位信息系統(tǒng)建設(shè)提出戰(zhàn)略性的發(fā)展建議。
四是整改困難。信息系統(tǒng)審計(jì)中發(fā)現(xiàn)的一些安全隱患,有些是可以讓被審計(jì)單位加強(qiáng)管理或以技術(shù)手段彌補(bǔ)漏洞的,但有些問題可能會影響到整個信息系統(tǒng)的架構(gòu),整改成本高,被審計(jì)單位接受難度大。加上審計(jì)目前還沒有對信息系統(tǒng)定性的規(guī)范,也沒有強(qiáng)制手段讓其對信息系統(tǒng)進(jìn)行完善,這就使整改難度大。這就要求審計(jì)人員更加深入了解被審計(jì)的信息系統(tǒng),提出針對性強(qiáng)、科學(xué)的整改建議,推動被審計(jì)單位以最小的成本進(jìn)行審計(jì)整改。
維護(hù)信息系統(tǒng)數(shù)據(jù)安全是一個系統(tǒng)工程,對保障國有資產(chǎn)安全、金融安全、民生安全等諸多方面都具有重要意義。信息系統(tǒng)數(shù)據(jù)安全審計(jì)工作已經(jīng)取得了不少成績,但仍處于探索階段。審計(jì)人員需要解放思想,從法律、教育、管理、技術(shù)等多種角度思考深化信息系統(tǒng)數(shù)據(jù)安全審計(jì)工作,并培養(yǎng)一批既掌握現(xiàn)代審計(jì)理論與實(shí)務(wù)又了解計(jì)算機(jī)技術(shù),并且通曉被審計(jì)單位業(yè)務(wù)的復(fù)合型專業(yè)人才,提高確保審計(jì)質(zhì)量,降低審計(jì)風(fēng)險(xiǎn)。
(作者單位:江西省審計(jì)廳)