李勤
近年來,信息系統(tǒng)審計引起了各級審計機(jī)關(guān)的廣泛關(guān)注?!秾徲嬍稹笆濉睂徲嫻ぷ靼l(fā)展規(guī)劃》中,提出“積極開展信息系統(tǒng)審計,總結(jié)計算機(jī)審計方法體系和操作制度”。劉家義審計長在2012年7月全國審計工作座談會《加快審計信息化建設(shè)步伐,全面提升審計能力和技術(shù)水平》主題報告中提出,既要審計數(shù)據(jù),又要審計信息系統(tǒng),以安全性、可靠性和經(jīng)濟(jì)性為重點(diǎn),進(jìn)一步深化信息系統(tǒng)審計。從審計實踐來看,國家審計、內(nèi)部審計和注冊會計師審計在信息系統(tǒng)審計中都積累了一定經(jīng)驗,2012年2月,審計署還印發(fā)了信息系統(tǒng)審計指南。但也應(yīng)清楚地看到,信息系統(tǒng)審計引入我國時間尚短,很多理論方法體系尚未形成。筆者從國家審計實務(wù)角度,淺談深化信息系統(tǒng)安全性審計需重點(diǎn)關(guān)注一些內(nèi)容。
一、信息系統(tǒng)安全性審計基本概述
20世紀(jì)60年代,由于計算機(jī)被應(yīng)用于財務(wù)會計領(lǐng)域,從而產(chǎn)生了電子數(shù)據(jù)處理審計(EDP Auditing)。信息系統(tǒng)審計是在電子數(shù)據(jù)處理審計基礎(chǔ)上逐漸發(fā)展起來的。目前,信息系統(tǒng)審計的定義還在爭論當(dāng)中,羅恩·韋伯(Ron Weber)在《信息系統(tǒng)控制與審計》一書中對信息系統(tǒng)審計概念做出了如下描述:“信息系統(tǒng)審計是一個通過收集和評價審計證據(jù),對信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計單位的目標(biāo)得以有效實現(xiàn)、使組織的資源得到高效使用等方面做出判斷的過程?!边@一概念包括了信息系統(tǒng)審計的目標(biāo)、內(nèi)容、過程、方法和結(jié)果,是對信息系統(tǒng)審計比較全面的概括。審計署印發(fā)的《信息系統(tǒng)審計指南》(以下簡稱《指南》)則定義為“國家審計機(jī)關(guān)依法對被審計單位信息系統(tǒng)的真實性、合法性、效益性和安全性進(jìn)行檢查監(jiān)督的活動”。
信息系統(tǒng)審計從具體內(nèi)容講,包括信息系統(tǒng)的可信性目標(biāo)審計、系統(tǒng)效益性目標(biāo)審計和安全性目標(biāo)審計。筆者認(rèn)為,信息系統(tǒng)的不真實、不可信也是系統(tǒng)存在安全風(fēng)險的體現(xiàn),所以信息系統(tǒng)可信性目標(biāo)審計和安全性目標(biāo)審計可歸為維護(hù)信息系統(tǒng)安全而進(jìn)行的信息系統(tǒng)審計,本文主要對該部分審計內(nèi)容展開探討。
胡錦濤同志說過:信息安全是個大問題,必須把信息安全問題放到至關(guān)重要的位置上,認(rèn)真加以考慮和解決。信息已成為社會發(fā)展的重要戰(zhàn)略資源,信息的獲取、處理和信息保障能力成為綜合國力的重要組成部分,信息安全事關(guān)國家安全,事關(guān)社會穩(wěn)定。目前,我國的信息系統(tǒng)安全不容樂觀。全社會的信息安全意識不強(qiáng),高端和基礎(chǔ)信息技術(shù)受控于國外,感染計算機(jī)病毒的比例逐年上升,網(wǎng)絡(luò)和信息系統(tǒng)的防護(hù)水平不高,信息安全管理和技術(shù)人才缺乏且流動性大,信息安全管理薄弱,數(shù)據(jù)不準(zhǔn)確、不完整等情況突出。審計工作要發(fā)揮維護(hù)經(jīng)濟(jì)社會健康發(fā)展的“免疫系統(tǒng)”功能,推動國家治理的完善,就應(yīng)高度關(guān)注信息系統(tǒng)安全性問題,從數(shù)據(jù)、信息系統(tǒng)和系統(tǒng)內(nèi)控等角度,揭示影響信息系統(tǒng)存在的安全隱患。
二、信息系統(tǒng)存在安全風(fēng)險的主要體現(xiàn)
(一)信息系統(tǒng)的控制風(fēng)險。
COSO(全國虛假財務(wù)報告委員會下屬的發(fā)起人委員會,“The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting”的縮寫)內(nèi)部控制框架中提出信息系統(tǒng)控制分為一般控制和應(yīng)用控制。一般控制,指信息系統(tǒng)總體控制,信息安全技術(shù)控制,信息安全管理控制;應(yīng)用控制,指信息系統(tǒng)業(yè)務(wù)流程,數(shù)據(jù)輸入、處理和輸出的控制,信息共享和業(yè)務(wù)協(xié)同。簡單理解,信息系統(tǒng)控制包括對信息系統(tǒng)的控制和信息系統(tǒng)對業(yè)務(wù)的控制?!吨改稀分兴Q的項目管理審計,不屬于信息系統(tǒng)安全性審計范疇,本文不做探討。目前,通過了解、描述和測試三個審計階段,采取資料審查、系統(tǒng)檢查、數(shù)據(jù)測試、數(shù)據(jù)驗證等審計方法,信息系統(tǒng)控制主要揭示的有以下方面風(fēng)險:
一是物理環(huán)境控制風(fēng)險。這類風(fēng)險主要體現(xiàn)為未經(jīng)授權(quán)的人或設(shè)備直接接觸到信息系統(tǒng)相關(guān)硬件設(shè)備,屬于傳統(tǒng)的安全領(lǐng)域。包括信息系統(tǒng)的相關(guān)硬件設(shè)備、設(shè)備所在機(jī)房等硬件環(huán)境是否為符合規(guī)范標(biāo)準(zhǔn)的物理場所,是否做到容災(zāi)異地數(shù)據(jù)備份,是否在機(jī)房等所有必要區(qū)域內(nèi)安裝監(jiān)控和防盜設(shè)施,以及其它硬件相關(guān)要求。如對某大型國企信息所機(jī)房及辦公場所實地查看審計發(fā)現(xiàn),該企業(yè)機(jī)房環(huán)境不符合國有企業(yè)計算機(jī)設(shè)備安全管理相關(guān)制度,機(jī)房入口安裝了防盜門,但未配備門禁系統(tǒng),內(nèi)部也未按機(jī)房相關(guān)規(guī)范標(biāo)準(zhǔn)設(shè)置有效的物理隔離裝置。
二是軟件環(huán)境控制風(fēng)險。這類風(fēng)險主要存在于軟件層面訪問控制、權(quán)限控制、操作控制等。體現(xiàn)在信息系統(tǒng)程序的無權(quán)限運(yùn)行,數(shù)據(jù)輸入、輸出的不準(zhǔn)確、不完整,未經(jīng)允許或授權(quán)的訪問、泄漏、修改、刪除數(shù)據(jù),系統(tǒng)完整性受到的破壞。如某大學(xué)使用的財務(wù)軟件權(quán)限設(shè)置,會計科科長、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、系統(tǒng)管理員、記賬員等崗位由同一人擔(dān)任。同時,系統(tǒng)管理員在實施數(shù)據(jù)庫數(shù)據(jù)修改、會計人員崗位分工、權(quán)限設(shè)置等具體操作時,缺乏必要的審批和監(jiān)督程序。權(quán)限高度集中,監(jiān)控制約不力,財務(wù)信息系統(tǒng)存在安全隱患。此外,當(dāng)業(yè)務(wù)流程涉及多個信息系統(tǒng)時,還體現(xiàn)為信息系統(tǒng)數(shù)據(jù)流不銜接、各系統(tǒng)整合不科學(xué)、不完善,業(yè)務(wù)數(shù)據(jù)在不同信息系統(tǒng)之間傳遞沒能做到真實、完整和準(zhǔn)確等。如某省財政廳自行開發(fā)的預(yù)算編審系統(tǒng)、指標(biāo)管理系統(tǒng)、國庫集中支付系統(tǒng)等財政核心業(yè)務(wù)系統(tǒng)都是單獨(dú)運(yùn)行,各業(yè)務(wù)系統(tǒng)未實現(xiàn)有效整合,未能實現(xiàn)“形成以預(yù)算編制為源頭,以收支管理為過程、以預(yù)算及執(zhí)行分析為回路接點(diǎn)的財政業(yè)務(wù)管理流程通暢、操作規(guī)范的信息化處理閉環(huán)”的“金財工程”系統(tǒng)設(shè)計要求。
三是制度控制風(fēng)險。這類風(fēng)險主要存在于制度層面,體現(xiàn)在保證信息系統(tǒng)軟件、硬件良好運(yùn)行相關(guān)制度規(guī)范不健全。如某大型國企未制定信息安全教育及技能培訓(xùn)和考核管理辦法;某省財政廳委托軟件公司開發(fā)的信息系統(tǒng)“數(shù)據(jù)字典”不完整,并且軟件開發(fā)公司技術(shù)人員大量流失,未建立信息系統(tǒng)軟件開發(fā)文檔等基礎(chǔ)資料,信息系統(tǒng)中部分功能已經(jīng)無法進(jìn)行升級、維護(hù)。這些都是制度層面不完善給信息系統(tǒng)帶來的安全隱患。
(二)系統(tǒng)設(shè)計完整性風(fēng)險。
這種風(fēng)險主要體現(xiàn)在信息系統(tǒng)功能設(shè)計缺陷,信息系統(tǒng)不能保證真實、完整、準(zhǔn)確地反映業(yè)務(wù)情況。如對某市新型農(nóng)村合作醫(yī)療(以下簡稱“新農(nóng)合”)信息系統(tǒng)的軟件設(shè)計審計發(fā)現(xiàn),雖然該信息系統(tǒng)軟件基本具備國家規(guī)范要求的八個基本功能模塊,但參合管理模塊對不規(guī)范、錯誤、重復(fù)錄入?yún)⒑先藛T信息的情況缺乏差錯、重復(fù)數(shù)據(jù)提醒功能,導(dǎo)致系統(tǒng)內(nèi)大量不準(zhǔn)確、不真實參合人員數(shù)據(jù)存在,影響各級財政以此數(shù)據(jù)撥付至縣級新農(nóng)合的補(bǔ)貼款的準(zhǔn)確性。
(三)系統(tǒng)外包服務(wù)安全風(fēng)險。
這種風(fēng)險主要體現(xiàn)在信息系統(tǒng)開發(fā)維護(hù)等相關(guān)服務(wù)外包過程中,由于相應(yīng)的控制機(jī)制不健全,導(dǎo)致信息系統(tǒng)數(shù)據(jù)存在安全風(fēng)險。如對某市新農(nóng)合信息系統(tǒng)審計,發(fā)現(xiàn)該市新農(nóng)合應(yīng)用軟件主要由某軟件工程有限公司以軟件免費(fèi)、服務(wù)有償?shù)姆绞教峁Q由煸撥浖景l(fā)現(xiàn),該公司人員在系統(tǒng)維護(hù)中可不受權(quán)限限制,遠(yuǎn)程登錄并操作由其提供技術(shù)服務(wù)的新農(nóng)合信息系統(tǒng)服務(wù)器,系統(tǒng)數(shù)據(jù)存在未經(jīng)授權(quán)就被修改或刪除風(fēng)險。
(四)網(wǎng)絡(luò)和信息傳輸風(fēng)險。
這種風(fēng)險主要體現(xiàn)在傳輸信息數(shù)據(jù)的介質(zhì)環(huán)境不符合相應(yīng)規(guī)范標(biāo)準(zhǔn),數(shù)據(jù)傳輸中存在出錯、被竊取、被篡改等隱患。如對某市新農(nóng)合信息系統(tǒng)審計發(fā)現(xiàn),管理單位從運(yùn)營費(fèi)用角度考慮,降低數(shù)據(jù)傳輸介質(zhì)安全要求,選擇網(wǎng)絡(luò)運(yùn)營商提供的普通線路,而不是價格較高的專線。普通線路是新農(nóng)合數(shù)據(jù)與互聯(lián)網(wǎng)信息數(shù)據(jù)共同的傳輸介質(zhì),在虛擬專用網(wǎng)絡(luò)(VPN)、數(shù)字證書認(rèn)證、電子簽名、電子印章等信息安全措施方面幾乎沒有投入,安全性差,在此環(huán)境下傳輸?shù)男罗r(nóng)合數(shù)據(jù),在傳輸過程中存在較大安全隱患。
三、信息系統(tǒng)安全性審計存在的突出問題及應(yīng)對策略
一是審計內(nèi)容凌亂。目前所出具的信息系統(tǒng)審計報告內(nèi)容有的以保證系統(tǒng)數(shù)據(jù)輸入、輸出的準(zhǔn)確性為主,有些以信息系統(tǒng)物理環(huán)境控制的審計內(nèi)容為主,有些以信息系統(tǒng)設(shè)計完整性的相關(guān)內(nèi)容為主,有些則涉及了信息系統(tǒng)數(shù)據(jù)文檔健全、系統(tǒng)開發(fā)公司的技術(shù)力量、系統(tǒng)維護(hù)穩(wěn)定性等多方面內(nèi)容,等等,總之,如何保證信息系統(tǒng)安全,關(guān)注什么,重點(diǎn)揭示什么,建議什么,報告規(guī)范的寫法怎么還沒規(guī)范。
出現(xiàn)上述情況,這與我國信息系統(tǒng)審計的發(fā)展階段有關(guān)。信息系統(tǒng)審計還處于探索發(fā)展的階段,相應(yīng)的信息系統(tǒng)審計法律依據(jù)還不充分,審計署出臺的《指南》內(nèi)容龐雜,針對性不強(qiáng),還沒有真正起到指導(dǎo)審計人員實務(wù)工作的效果。此外,信息系統(tǒng)審計人才隊伍還不能完全滿足審計需要,審計規(guī)范性要求還未成型,等等。
這就要求我們在信息系統(tǒng)數(shù)據(jù)安全審計的探索中,以一種科學(xué)的態(tài)度,不斷總結(jié)經(jīng)驗,不斷積累,按照計劃、實施、報告三個階段實施信息系統(tǒng)審計,逐步形成信息系統(tǒng)數(shù)據(jù)安全審計操作規(guī)范。按照《指南》總的流程規(guī)范,有針對性地對不同的信息系統(tǒng)的特點(diǎn),如按行政事業(yè)單位、企業(yè)等分類,明確不同系統(tǒng)必要的審計內(nèi)容和常規(guī)的審計流程是什么,以什么標(biāo)準(zhǔn)進(jìn)行。逐步將成熟、有效的信息系統(tǒng)審計方法,固化到現(xiàn)場審計實施系統(tǒng)當(dāng)中或開發(fā)成標(biāo)準(zhǔn)的審計模塊,來規(guī)范信息系統(tǒng)審計。
二是審計數(shù)據(jù)分割?;诒粚徲媶挝恍畔⑾到y(tǒng)數(shù)據(jù)安全考慮,審計人員一般不會在被審計單位原始信息系統(tǒng)中直接進(jìn)行審計分析,而是將被審計單位信息系統(tǒng)部分?jǐn)?shù)據(jù)提取后,導(dǎo)入SQL等其它數(shù)據(jù)庫分析軟件進(jìn)行審計。有目的地提取數(shù)據(jù)庫并進(jìn)行分析,可以提高工作效率,但脫離了被審計單位的網(wǎng)絡(luò)環(huán)境和系統(tǒng)平臺,部分?jǐn)?shù)據(jù)則無法實現(xiàn)模擬流轉(zhuǎn),一些在數(shù)據(jù)流轉(zhuǎn)中才能發(fā)現(xiàn)的舞弊行為則較難發(fā)現(xiàn)。如基于ERP(Enterprise Resource Planning企業(yè)資源計劃)管理理念所開發(fā)出的大型企業(yè)管理軟件,是按照有關(guān)規(guī)定、財務(wù)準(zhǔn)則開發(fā)的,具有嚴(yán)謹(jǐn)?shù)牧鞒蹋?、產(chǎn)、銷、存相關(guān)程度很高。一些企業(yè)為了做假,會在ERP軟件中錄入虛假數(shù)據(jù),導(dǎo)致賬實不符。企業(yè)為了讓虛假數(shù)據(jù)通過軟件驗證功能,會人為打斷ERP軟件一些業(yè)務(wù)流程設(shè)計。如果審計人員對個別數(shù)據(jù)庫進(jìn)行分析,舞弊行為一般較難發(fā)現(xiàn)。但如果在模擬業(yè)務(wù)平臺中按流程測試,執(zhí)行到某一環(huán)節(jié),軟件某一模塊缺乏或參數(shù)設(shè)置異常,則應(yīng)作為審計重點(diǎn)。
這就要求面對較為復(fù)雜的信息系統(tǒng),審計人員應(yīng)當(dāng)盡可能恢復(fù)被審計的信息系統(tǒng)環(huán)境,通過符合性測試和實質(zhì)性測試審計方法,順著數(shù)據(jù)流檢驗信息系統(tǒng)的完整性,查找可能存在的舞弊行為。
三是對信息系統(tǒng)前瞻評價困難。審計實務(wù)中常常遇到某部門或單位投巨資開發(fā)的信息系統(tǒng)因不能滿足業(yè)務(wù)需要或者不符行業(yè)設(shè)計規(guī)范而停止使用,新舊信息系統(tǒng)間數(shù)據(jù)進(jìn)行大量遷移,甚至原信息系統(tǒng)數(shù)據(jù)則無法再進(jìn)行查詢、利用,這對信息數(shù)據(jù)安全也產(chǎn)生很大影響。而與之相對照,審計人員對信息系統(tǒng)功能和數(shù)據(jù)關(guān)注較多,對該信息系統(tǒng)發(fā)展前瞻性評價較少。
這就要求審計人員在充分熟悉被審計單位信息系統(tǒng)的基礎(chǔ)上,結(jié)合被審計單位業(yè)務(wù)特點(diǎn)、行業(yè)的信息系統(tǒng)開發(fā)設(shè)計規(guī)范要求,對被審計單位信息系統(tǒng)建設(shè)提出戰(zhàn)略性的發(fā)展建議。
四是整改困難。信息系統(tǒng)審計中發(fā)現(xiàn)的一些安全隱患,有些是可以讓被審計單位加強(qiáng)管理或以技術(shù)手段彌補(bǔ)漏洞的,但有些問題可能會影響到整個信息系統(tǒng)的架構(gòu),整改成本高,被審計單位接受難度大。加上審計目前還沒有對信息系統(tǒng)定性的規(guī)范,也沒有強(qiáng)制手段讓其對信息系統(tǒng)進(jìn)行完善,這就使整改難度大。這就要求審計人員更加深入了解被審計的信息系統(tǒng),提出針對性強(qiáng)、科學(xué)的整改建議,推動被審計單位以最小的成本進(jìn)行審計整改。
維護(hù)信息系統(tǒng)數(shù)據(jù)安全是一個系統(tǒng)工程,對保障國有資產(chǎn)安全、金融安全、民生安全等諸多方面都具有重要意義。信息系統(tǒng)數(shù)據(jù)安全審計工作已經(jīng)取得了不少成績,但仍處于探索階段。審計人員需要解放思想,從法律、教育、管理、技術(shù)等多種角度思考深化信息系統(tǒng)數(shù)據(jù)安全審計工作,并培養(yǎng)一批既掌握現(xiàn)代審計理論與實務(wù)又了解計算機(jī)技術(shù),并且通曉被審計單位業(yè)務(wù)的復(fù)合型專業(yè)人才,提高確保審計質(zhì)量,降低審計風(fēng)險。
(作者單位:江西省審計廳)