李勤

近年來，信息系統(tǒng)審計(jì)引起了各級(jí)審計(jì)機(jī)關(guān)的廣泛關(guān)注?！秾徲?jì)署“十二五”審計(jì)工作發(fā)展規(guī)劃》中，提出“積極開展信息系統(tǒng)審計(jì)，總結(jié)計(jì)算機(jī)審計(jì)方法體系和操作制度”。劉家義審計(jì)長在2012年7月全國審計(jì)工作座談會(huì)《加快審計(jì)信息化建設(shè)步伐，全面提升審計(jì)能力和技術(shù)水平》主題報(bào)告中提出，既要審計(jì)數(shù)據(jù)，又要審計(jì)信息系統(tǒng)，以安全性、可靠性和經(jīng)濟(jì)性為重點(diǎn)，進(jìn)一步深化信息系統(tǒng)審計(jì)。從審計(jì)實(shí)踐來看，國家審計(jì)、內(nèi)部審計(jì)和注冊會(huì)計(jì)師審計(jì)在信息系統(tǒng)審計(jì)中都積累了一定經(jīng)驗(yàn)，2012年2月，審計(jì)署還印發(fā)了信息系統(tǒng)審計(jì)指南。但也應(yīng)清楚地看到，信息系統(tǒng)審計(jì)引入我國時(shí)間尚短，很多理論方法體系尚未形成。筆者從國家審計(jì)實(shí)務(wù)角度，淺談深化信息系統(tǒng)安全性審計(jì)需重點(diǎn)關(guān)注一些內(nèi)容。

一、信息系統(tǒng)安全性審計(jì)基本概述

20世紀(jì)60年代，由于計(jì)算機(jī)被應(yīng)用于財(cái)務(wù)會(huì)計(jì)領(lǐng)域，從而產(chǎn)生了電子數(shù)據(jù)處理審計(jì)（EDP Auditing）。信息系統(tǒng)審計(jì)是在電子數(shù)據(jù)處理審計(jì)基礎(chǔ)上逐漸發(fā)展起來的。目前，信息系統(tǒng)審計(jì)的定義還在爭論當(dāng)中，羅恩·韋伯（Ron Weber）在《信息系統(tǒng)控制與審計(jì)》一書中對(duì)信息系統(tǒng)審計(jì)概念做出了如下描述：“信息系統(tǒng)審計(jì)是一個(gè)通過收集和評(píng)價(jià)審計(jì)證據(jù)，對(duì)信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計(jì)單位的目標(biāo)得以有效實(shí)現(xiàn)、使組織的資源得到高效使用等方面做出判斷的過程。”這一概念包括了信息系統(tǒng)審計(jì)的目標(biāo)、內(nèi)容、過程、方法和結(jié)果，是對(duì)信息系統(tǒng)審計(jì)比較全面的概括。審計(jì)署印發(fā)的《信息系統(tǒng)審計(jì)指南》（以下簡稱《指南》）則定義為“國家審計(jì)機(jī)關(guān)依法對(duì)被審計(jì)單位信息系統(tǒng)的真實(shí)性、合法性、效益性和安全性進(jìn)行檢查監(jiān)督的活動(dòng)”。

信息系統(tǒng)審計(jì)從具體內(nèi)容講，包括信息系統(tǒng)的可信性目標(biāo)審計(jì)、系統(tǒng)效益性目標(biāo)審計(jì)和安全性目標(biāo)審計(jì)。筆者認(rèn)為，信息系統(tǒng)的不真實(shí)、不可信也是系統(tǒng)存在安全風(fēng)險(xiǎn)的體現(xiàn)，所以信息系統(tǒng)可信性目標(biāo)審計(jì)和安全性目標(biāo)審計(jì)可歸為維護(hù)信息系統(tǒng)安全而進(jìn)行的信息系統(tǒng)審計(jì)，本文主要對(duì)該部分審計(jì)內(nèi)容展開探討。

胡錦濤同志說過：信息安全是個(gè)大問題，必須把信息安全問題放到至關(guān)重要的位置上，認(rèn)真加以考慮和解決。信息已成為社會(huì)發(fā)展的重要戰(zhàn)略資源，信息的獲取、處理和信息保障能力成為綜合國力的重要組成部分，信息安全事關(guān)國家安全，事關(guān)社會(huì)穩(wěn)定。目前，我國的信息系統(tǒng)安全不容樂觀。全社會(huì)的信息安全意識(shí)不強(qiáng)，高端和基礎(chǔ)信息技術(shù)受控于國外，感染計(jì)算機(jī)病毒的比例逐年上升，網(wǎng)絡(luò)和信息系統(tǒng)的防護(hù)水平不高，信息安全管理和技術(shù)人才缺乏且流動(dòng)性大，信息安全管理薄弱，數(shù)據(jù)不準(zhǔn)確、不完整等情況突出。審計(jì)工作要發(fā)揮維護(hù)經(jīng)濟(jì)社會(huì)健康發(fā)展的“免疫系統(tǒng)”功能，推動(dòng)國家治理的完善，就應(yīng)高度關(guān)注信息系統(tǒng)安全性問題，從數(shù)據(jù)、信息系統(tǒng)和系統(tǒng)內(nèi)控等角度，揭示影響信息系統(tǒng)存在的安全隱患。

二、信息系統(tǒng)存在安全風(fēng)險(xiǎn)的主要體現(xiàn)

（一）信息系統(tǒng)的控制風(fēng)險(xiǎn)。

COSO（全國虛假財(cái)務(wù)報(bào)告委員會(huì)下屬的發(fā)起人委員會(huì)，“The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting”的縮寫）內(nèi)部控制框架中提出信息系統(tǒng)控制分為一般控制和應(yīng)用控制。一般控制，指信息系統(tǒng)總體控制，信息安全技術(shù)控制，信息安全管理控制；應(yīng)用控制，指信息系統(tǒng)業(yè)務(wù)流程，數(shù)據(jù)輸入、處理和輸出的控制，信息共享和業(yè)務(wù)協(xié)同。簡單理解，信息系統(tǒng)控制包括對(duì)信息系統(tǒng)的控制和信息系統(tǒng)對(duì)業(yè)務(wù)的控制?！吨改稀分兴Q的項(xiàng)目管理審計(jì)，不屬于信息系統(tǒng)安全性審計(jì)范疇，本文不做探討。目前，通過了解、描述和測試三個(gè)審計(jì)階段，采取資料審查、系統(tǒng)檢查、數(shù)據(jù)測試、數(shù)據(jù)驗(yàn)證等審計(jì)方法，信息系統(tǒng)控制主要揭示的有以下方面風(fēng)險(xiǎn)：

一是物理環(huán)境控制風(fēng)險(xiǎn)。這類風(fēng)險(xiǎn)主要體現(xiàn)為未經(jīng)授權(quán)的人或設(shè)備直接接觸到信息系統(tǒng)相關(guān)硬件設(shè)備，屬于傳統(tǒng)的安全領(lǐng)域。包括信息系統(tǒng)的相關(guān)硬件設(shè)備、設(shè)備所在機(jī)房等硬件環(huán)境是否為符合規(guī)范標(biāo)準(zhǔn)的物理場所，是否做到容災(zāi)異地?cái)?shù)據(jù)備份，是否在機(jī)房等所有必要區(qū)域內(nèi)安裝監(jiān)控和防盜設(shè)施，以及其它硬件相關(guān)要求。如對(duì)某大型國企信息所機(jī)房及辦公場所實(shí)地查看審計(jì)發(fā)現(xiàn)，該企業(yè)機(jī)房環(huán)境不符合國有企業(yè)計(jì)算機(jī)設(shè)備安全管理相關(guān)制度，機(jī)房入口安裝了防盜門，但未配備門禁系統(tǒng)，內(nèi)部也未按機(jī)房相關(guān)規(guī)范標(biāo)準(zhǔn)設(shè)置有效的物理隔離裝置。

二是軟件環(huán)境控制風(fēng)險(xiǎn)。這類風(fēng)險(xiǎn)主要存在于軟件層面訪問控制、權(quán)限控制、操作控制等。體現(xiàn)在信息系統(tǒng)程序的無權(quán)限運(yùn)行，數(shù)據(jù)輸入、輸出的不準(zhǔn)確、不完整，未經(jīng)允許或授權(quán)的訪問、泄漏、修改、刪除數(shù)據(jù)，系統(tǒng)完整性受到的破壞。如某大學(xué)使用的財(cái)務(wù)軟件權(quán)限設(shè)置，會(huì)計(jì)科科長、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、系統(tǒng)管理員、記賬員等崗位由同一人擔(dān)任。同時(shí)，系統(tǒng)管理員在實(shí)施數(shù)據(jù)庫數(shù)據(jù)修改、會(huì)計(jì)人員崗位分工、權(quán)限設(shè)置等具體操作時(shí)，缺乏必要的審批和監(jiān)督程序。權(quán)限高度集中，監(jiān)控制約不力，財(cái)務(wù)信息系統(tǒng)存在安全隱患。此外，當(dāng)業(yè)務(wù)流程涉及多個(gè)信息系統(tǒng)時(shí)，還體現(xiàn)為信息系統(tǒng)數(shù)據(jù)流不銜接、各系統(tǒng)整合不科學(xué)、不完善，業(yè)務(wù)數(shù)據(jù)在不同信息系統(tǒng)之間傳遞沒能做到真實(shí)、完整和準(zhǔn)確等。如某省財(cái)政廳自行開發(fā)的預(yù)算編審系統(tǒng)、指標(biāo)管理系統(tǒng)、國庫集中支付系統(tǒng)等財(cái)政核心業(yè)務(wù)系統(tǒng)都是單獨(dú)運(yùn)行，各業(yè)務(wù)系統(tǒng)未實(shí)現(xiàn)有效整合，未能實(shí)現(xiàn)“形成以預(yù)算編制為源頭，以收支管理為過程、以預(yù)算及執(zhí)行分析為回路接點(diǎn)的財(cái)政業(yè)務(wù)管理流程通暢、操作規(guī)范的信息化處理閉環(huán)”的“金財(cái)工程”系統(tǒng)設(shè)計(jì)要求。

三是制度控制風(fēng)險(xiǎn)。這類風(fēng)險(xiǎn)主要存在于制度層面，體現(xiàn)在保證信息系統(tǒng)軟件、硬件良好運(yùn)行相關(guān)制度規(guī)范不健全。如某大型國企未制定信息安全教育及技能培訓(xùn)和考核管理辦法；某省財(cái)政廳委托軟件公司開發(fā)的信息系統(tǒng)“數(shù)據(jù)字典”不完整，并且軟件開發(fā)公司技術(shù)人員大量流失，未建立信息系統(tǒng)軟件開發(fā)文檔等基礎(chǔ)資料，信息系統(tǒng)中部分功能已經(jīng)無法進(jìn)行升級(jí)、維護(hù)。這些都是制度層面不完善給信息系統(tǒng)帶來的安全隱患。

（二）系統(tǒng)設(shè)計(jì)完整性風(fēng)險(xiǎn)。

這種風(fēng)險(xiǎn)主要體現(xiàn)在信息系統(tǒng)功能設(shè)計(jì)缺陷，信息系統(tǒng)不能保證真實(shí)、完整、準(zhǔn)確地反映業(yè)務(wù)情況。如對(duì)某市新型農(nóng)村合作醫(yī)療（以下簡稱“新農(nóng)合”）信息系統(tǒng)的軟件設(shè)計(jì)審計(jì)發(fā)現(xiàn)，雖然該信息系統(tǒng)軟件基本具備國家規(guī)范要求的八個(gè)基本功能模塊，但參合管理模塊對(duì)不規(guī)范、錯(cuò)誤、重復(fù)錄入?yún)⒑先藛T信息的情況缺乏差錯(cuò)、重復(fù)數(shù)據(jù)提醒功能，導(dǎo)致系統(tǒng)內(nèi)大量不準(zhǔn)確、不真實(shí)參合人員數(shù)據(jù)存在，影響各級(jí)財(cái)政以此數(shù)據(jù)撥付至縣級(jí)新農(nóng)合的補(bǔ)貼款的準(zhǔn)確性。

（三）系統(tǒng)外包服務(wù)安全風(fēng)險(xiǎn)。

這種風(fēng)險(xiǎn)主要體現(xiàn)在信息系統(tǒng)開發(fā)維護(hù)等相關(guān)服務(wù)外包過程中，由于相應(yīng)的控制機(jī)制不健全，導(dǎo)致信息系統(tǒng)數(shù)據(jù)存在安全風(fēng)險(xiǎn)。如對(duì)某市新農(nóng)合信息系統(tǒng)審計(jì)，發(fā)現(xiàn)該市新農(nóng)合應(yīng)用軟件主要由某軟件工程有限公司以軟件免費(fèi)、服務(wù)有償?shù)姆绞教峁?。延伸該軟件公司發(fā)現(xiàn)，該公司人員在系統(tǒng)維護(hù)中可不受權(quán)限限制，遠(yuǎn)程登錄并操作由其提供技術(shù)服務(wù)的新農(nóng)合信息系統(tǒng)服務(wù)器，系統(tǒng)數(shù)據(jù)存在未經(jīng)授權(quán)就被修改或刪除風(fēng)險(xiǎn)。

（四）網(wǎng)絡(luò)和信息傳輸風(fēng)險(xiǎn)。

這種風(fēng)險(xiǎn)主要體現(xiàn)在傳輸信息數(shù)據(jù)的介質(zhì)環(huán)境不符合相應(yīng)規(guī)范標(biāo)準(zhǔn)，數(shù)據(jù)傳輸中存在出錯(cuò)、被竊取、被篡改等隱患。如對(duì)某市新農(nóng)合信息系統(tǒng)審計(jì)發(fā)現(xiàn)，管理單位從運(yùn)營費(fèi)用角度考慮，降低數(shù)據(jù)傳輸介質(zhì)安全要求，選擇網(wǎng)絡(luò)運(yùn)營商提供的普通線路，而不是價(jià)格較高的專線。普通線路是新農(nóng)合數(shù)據(jù)與互聯(lián)網(wǎng)信息數(shù)據(jù)共同的傳輸介質(zhì)，在虛擬專用網(wǎng)絡(luò)（VPN）、數(shù)字證書認(rèn)證、電子簽名、電子印章等信息安全措施方面幾乎沒有投入，安全性差，在此環(huán)境下傳輸?shù)男罗r(nóng)合數(shù)據(jù)，在傳輸過程中存在較大安全隱患。

三、信息系統(tǒng)安全性審計(jì)存在的突出問題及應(yīng)對(duì)策略

一是審計(jì)內(nèi)容凌亂。目前所出具的信息系統(tǒng)審計(jì)報(bào)告內(nèi)容有的以保證系統(tǒng)數(shù)據(jù)輸入、輸出的準(zhǔn)確性為主，有些以信息系統(tǒng)物理環(huán)境控制的審計(jì)內(nèi)容為主，有些以信息系統(tǒng)設(shè)計(jì)完整性的相關(guān)內(nèi)容為主，有些則涉及了信息系統(tǒng)數(shù)據(jù)文檔健全、系統(tǒng)開發(fā)公司的技術(shù)力量、系統(tǒng)維護(hù)穩(wěn)定性等多方面內(nèi)容，等等，總之，如何保證信息系統(tǒng)安全，關(guān)注什么，重點(diǎn)揭示什么，建議什么，報(bào)告規(guī)范的寫法怎么還沒規(guī)范。

出現(xiàn)上述情況，這與我國信息系統(tǒng)審計(jì)的發(fā)展階段有關(guān)。信息系統(tǒng)審計(jì)還處于探索發(fā)展的階段，相應(yīng)的信息系統(tǒng)審計(jì)法律依據(jù)還不充分，審計(jì)署出臺(tái)的《指南》內(nèi)容龐雜，針對(duì)性不強(qiáng)，還沒有真正起到指導(dǎo)審計(jì)人員實(shí)務(wù)工作的效果。此外，信息系統(tǒng)審計(jì)人才隊(duì)伍還不能完全滿足審計(jì)需要，審計(jì)規(guī)范性要求還未成型，等等。

這就要求我們在信息系統(tǒng)數(shù)據(jù)安全審計(jì)的探索中，以一種科學(xué)的態(tài)度，不斷總結(jié)經(jīng)驗(yàn)，不斷積累，按照計(jì)劃、實(shí)施、報(bào)告三個(gè)階段實(shí)施信息系統(tǒng)審計(jì)，逐步形成信息系統(tǒng)數(shù)據(jù)安全審計(jì)操作規(guī)范。按照《指南》總的流程規(guī)范，有針對(duì)性地對(duì)不同的信息系統(tǒng)的特點(diǎn)，如按行政事業(yè)單位、企業(yè)等分類，明確不同系統(tǒng)必要的審計(jì)內(nèi)容和常規(guī)的審計(jì)流程是什么，以什么標(biāo)準(zhǔn)進(jìn)行。逐步將成熟、有效的信息系統(tǒng)審計(jì)方法，固化到現(xiàn)場審計(jì)實(shí)施系統(tǒng)當(dāng)中或開發(fā)成標(biāo)準(zhǔn)的審計(jì)模塊，來規(guī)范信息系統(tǒng)審計(jì)。

二是審計(jì)數(shù)據(jù)分割。基于被審計(jì)單位信息系統(tǒng)數(shù)據(jù)安全考慮，審計(jì)人員一般不會(huì)在被審計(jì)單位原始信息系統(tǒng)中直接進(jìn)行審計(jì)分析，而是將被審計(jì)單位信息系統(tǒng)部分?jǐn)?shù)據(jù)提取后，導(dǎo)入SQL等其它數(shù)據(jù)庫分析軟件進(jìn)行審計(jì)。有目的地提取數(shù)據(jù)庫并進(jìn)行分析，可以提高工作效率，但脫離了被審計(jì)單位的網(wǎng)絡(luò)環(huán)境和系統(tǒng)平臺(tái)，部分?jǐn)?shù)據(jù)則無法實(shí)現(xiàn)模擬流轉(zhuǎn)，一些在數(shù)據(jù)流轉(zhuǎn)中才能發(fā)現(xiàn)的舞弊行為則較難發(fā)現(xiàn)。如基于ERP（Enterprise Resource Planning企業(yè)資源計(jì)劃）管理理念所開發(fā)出的大型企業(yè)管理軟件，是按照有關(guān)規(guī)定、財(cái)務(wù)準(zhǔn)則開發(fā)的，具有嚴(yán)謹(jǐn)?shù)牧鞒?，購、產(chǎn)、銷、存相關(guān)程度很高。一些企業(yè)為了做假，會(huì)在ERP軟件中錄入虛假數(shù)據(jù)，導(dǎo)致賬實(shí)不符。企業(yè)為了讓虛假數(shù)據(jù)通過軟件驗(yàn)證功能，會(huì)人為打斷ERP軟件一些業(yè)務(wù)流程設(shè)計(jì)。如果審計(jì)人員對(duì)個(gè)別數(shù)據(jù)庫進(jìn)行分析，舞弊行為一般較難發(fā)現(xiàn)。但如果在模擬業(yè)務(wù)平臺(tái)中按流程測試，執(zhí)行到某一環(huán)節(jié)，軟件某一模塊缺乏或參數(shù)設(shè)置異常，則應(yīng)作為審計(jì)重點(diǎn)。

這就要求面對(duì)較為復(fù)雜的信息系統(tǒng)，審計(jì)人員應(yīng)當(dāng)盡可能恢復(fù)被審計(jì)的信息系統(tǒng)環(huán)境，通過符合性測試和實(shí)質(zhì)性測試審計(jì)方法，順著數(shù)據(jù)流檢驗(yàn)信息系統(tǒng)的完整性，查找可能存在的舞弊行為。

三是對(duì)信息系統(tǒng)前瞻評(píng)價(jià)困難。審計(jì)實(shí)務(wù)中常常遇到某部門或單位投巨資開發(fā)的信息系統(tǒng)因不能滿足業(yè)務(wù)需要或者不符行業(yè)設(shè)計(jì)規(guī)范而停止使用，新舊信息系統(tǒng)間數(shù)據(jù)進(jìn)行大量遷移，甚至原信息系統(tǒng)數(shù)據(jù)則無法再進(jìn)行查詢、利用，這對(duì)信息數(shù)據(jù)安全也產(chǎn)生很大影響。而與之相對(duì)照，審計(jì)人員對(duì)信息系統(tǒng)功能和數(shù)據(jù)關(guān)注較多，對(duì)該信息系統(tǒng)發(fā)展前瞻性評(píng)價(jià)較少。

這就要求審計(jì)人員在充分熟悉被審計(jì)單位信息系統(tǒng)的基礎(chǔ)上，結(jié)合被審計(jì)單位業(yè)務(wù)特點(diǎn)、行業(yè)的信息系統(tǒng)開發(fā)設(shè)計(jì)規(guī)范要求，對(duì)被審計(jì)單位信息系統(tǒng)建設(shè)提出戰(zhàn)略性的發(fā)展建議。

四是整改困難。信息系統(tǒng)審計(jì)中發(fā)現(xiàn)的一些安全隱患，有些是可以讓被審計(jì)單位加強(qiáng)管理或以技術(shù)手段彌補(bǔ)漏洞的，但有些問題可能會(huì)影響到整個(gè)信息系統(tǒng)的架構(gòu)，整改成本高，被審計(jì)單位接受難度大。加上審計(jì)目前還沒有對(duì)信息系統(tǒng)定性的規(guī)范，也沒有強(qiáng)制手段讓其對(duì)信息系統(tǒng)進(jìn)行完善，這就使整改難度大。這就要求審計(jì)人員更加深入了解被審計(jì)的信息系統(tǒng)，提出針對(duì)性強(qiáng)、科學(xué)的整改建議，推動(dòng)被審計(jì)單位以最小的成本進(jìn)行審計(jì)整改。

維護(hù)信息系統(tǒng)數(shù)據(jù)安全是一個(gè)系統(tǒng)工程，對(duì)保障國有資產(chǎn)安全、金融安全、民生安全等諸多方面都具有重要意義。信息系統(tǒng)數(shù)據(jù)安全審計(jì)工作已經(jīng)取得了不少成績，但仍處于探索階段。審計(jì)人員需要解放思想，從法律、教育、管理、技術(shù)等多種角度思考深化信息系統(tǒng)數(shù)據(jù)安全審計(jì)工作，并培養(yǎng)一批既掌握現(xiàn)代審計(jì)理論與實(shí)務(wù)又了解計(jì)算機(jī)技術(shù)，并且通曉被審計(jì)單位業(yè)務(wù)的復(fù)合型專業(yè)人才，提高確保審計(jì)質(zhì)量，降低審計(jì)風(fēng)險(xiǎn)。

（作者單位：江西省審計(jì)廳）