崔瑞瑞 韓強 付紅亮 王昕

信息系統(tǒng)審計是一項較新的審計領(lǐng)域，也是計算機審計的一項重要審計內(nèi)容，它通過關(guān)注信息系統(tǒng)的可靠性和安全性，促進被審計單位的信息安全和數(shù)據(jù)真實。日前，筆者從一般控制、應用控制、績效等事項，對某單位開展信息系統(tǒng)審計，并從真實性、安全性、有效性、經(jīng)濟性等方面進行了審計評價，揭示被審計單位信息系統(tǒng)存在的漏洞和安全隱患，積極摸索了信息系統(tǒng)績效審計的方式方法，積累了一定經(jīng)驗，筆者從以下幾個方面淺談一些看法。

一般控制審計，全面評估系統(tǒng)及環(huán)境安全性，揭示系統(tǒng)安全隱患

在一般控制審計中，審計人員通過日志分析法，分析財務軟件的操作記錄，發(fā)現(xiàn)被審計單位的財務軟件存在反記賬、反結(jié)賬功能，其中部分反記反結(jié)賬操作為修改之前的憑證信息，且時間跨度超過180天，導致之前被修改月份已形成的會計報表數(shù)字不真實。

通過實地觀察法和面談詢問法，對信息系統(tǒng)的部署環(huán)境（包括機房和設備）進行檢查和測評，發(fā)現(xiàn)機房未建設電子門禁系統(tǒng)；未安裝水浸、監(jiān)控探頭等監(jiān)控設備；部分服務器主機設備已過質(zhì)保服務期，且未進行硬件維護服務外包；未制定機房出入登記管理制度；未制定針對信息系統(tǒng)及其機房硬件設備出現(xiàn)重大問題時的應急管理制度等，信息系統(tǒng)的環(huán)境存在安全隱患。

利用漏洞掃描工具和網(wǎng)絡檢測診斷工具，對信息系統(tǒng)的網(wǎng)絡環(huán)境進行了檢查和評估。發(fā)現(xiàn)被審計單位的三個網(wǎng)絡（業(yè)務內(nèi)網(wǎng)、業(yè)務外網(wǎng)、外網(wǎng)申報網(wǎng)絡）部分服務器主機存在操作系統(tǒng)、后臺數(shù)據(jù)庫弱口令以及重要漏洞未修補等問題；三個網(wǎng)絡均缺少監(jiān)控篡改、誤改數(shù)據(jù)庫的安全審計系統(tǒng)，缺少防止非法用戶入侵網(wǎng)絡的入侵檢測系統(tǒng)，缺少提升網(wǎng)絡管理性能和安全性的網(wǎng)絡管理系統(tǒng)，缺少對日常上網(wǎng)行為進行規(guī)范和記錄的上網(wǎng)行為管理系統(tǒng)，網(wǎng)絡安全存在隱患。

通過問卷調(diào)查法，對被審計單位的信息系統(tǒng)安全進行了評估。發(fā)現(xiàn)被審計單位的四套信息系統(tǒng)均未進行安全等級測評，未制定風險評估計劃和方案，系統(tǒng)安全存在隱患。

應用控制審計，深入分析信息系統(tǒng)的有效性，查找系統(tǒng)功能漏洞

利用測試數(shù)據(jù)法和流程圖檢查法，通過構(gòu)建數(shù)據(jù)驗證分析模型，對信息系統(tǒng)的業(yè)務流程控制、數(shù)據(jù)接口、數(shù)據(jù)輸入、處理、輸出控制、數(shù)據(jù)庫應用控制、數(shù)據(jù)邏輯控制的有效性和可靠性進行了測試，同時結(jié)合數(shù)據(jù)審計和財務收支審計發(fā)現(xiàn)的問題，從信息系統(tǒng)的層面分析問題產(chǎn)生的深層次原因。

經(jīng)過審計，發(fā)現(xiàn)業(yè)務信息系統(tǒng)與財務信息系統(tǒng)不銜接，且未設計對賬功能，導致業(yè)務信息系統(tǒng)無法全面、真實反映收入情況，如某單位在審計年度兩大系統(tǒng)收入差額數(shù)百萬元；業(yè)務信息系統(tǒng)功能不完善，導致不能重現(xiàn)歷史滯后補繳計劃，無法準確核算歷史征繳計劃和單位欠費情況；業(yè)務信息系統(tǒng)未設計檢測關(guān)鍵標志信息功能，導致未足額繳納費用；未設計檢測數(shù)據(jù)合理性功能，導致系統(tǒng)基礎(chǔ)信息不真實、不合理，個別人重復享受待遇或多享受待遇；未設計檢測數(shù)據(jù)合規(guī)性功能，導致不符合條件人員享受待遇；未設計多支應收回計劃功能，導致無法自動生成多支應收回計劃，多支付的待遇金額未及時追回；新老系統(tǒng)數(shù)據(jù)轉(zhuǎn)換錯誤，導致部分字段數(shù)據(jù)不合理、數(shù)據(jù)邏輯錯誤。

績效審計，綜合評價信息系統(tǒng)的經(jīng)濟性，拷問管理決策失誤

由于信息系統(tǒng)績效審計尚沒有成熟的評價指標體系，審計人員在實踐中摸索了利用資金使用情況檢查法、對比分析法、問卷調(diào)查法進行審計評價的方法。

利用資金使用情況檢查法，通過調(diào)取財務資料、項目招投標手續(xù)、會議紀要等，對信息系統(tǒng)建設資金來源的合法性、資金支出的合規(guī)性、招投標手續(xù)的完備性、合法性等事項進行檢查，發(fā)現(xiàn)項目運行及維護經(jīng)費支出中，公務經(jīng)費支出比例占一半以上，不利于發(fā)揮專項資金的使用效益；機房上百萬元的基礎(chǔ)設施閑置，未能發(fā)揮工程建設資金的使用效益。通過審計還發(fā)現(xiàn)，項目建設周期過長，信息化的效益未能得到充分發(fā)揮。發(fā)改委批復項目建設周期為2年，截至審計之日，已歷經(jīng)7年時間，項目建設仍未完成，且資金到位率為88%，實際完成投資額僅為49%。

利用對比分析法和問卷調(diào)查法，選擇使用該系統(tǒng)的10家單位13個部門，對信息系統(tǒng)設計了6大項指標18個問題，使用加權(quán)平均法對問卷結(jié)果進行量化評分，問卷結(jié)果顯示，信息系統(tǒng)的技術(shù)指標、技術(shù)經(jīng)濟效益（即性價比）、社會效益的得分均在及格線以下，信息系統(tǒng)建設效益較差，應用情況不理想，用戶滿意度低。用戶反映的問題主要集中在系統(tǒng)運行速度慢、穩(wěn)定性差、功能不完善、數(shù)據(jù)不準確、需求不能及時滿足等方面。由于系統(tǒng)問題，有2個省轄市曾被投訴至市政府或效能辦，2個省轄市部分業(yè)務現(xiàn)在暫停辦理。

由于該系統(tǒng)的不完善、數(shù)據(jù)不準確等原因，導致該系統(tǒng)的網(wǎng)上申報查詢系統(tǒng)的利用率同樣很低，企業(yè)投入資金未能發(fā)揮應有的效益。

深入細致探究原因，客觀謹慎提出建議

我們所審計的重點單位，多是投入的資金量較大，與人民群眾利益息息相關(guān)的單位，而這些單位信息系統(tǒng)存在較多的安全隱患和功能缺陷，建設效益不佳，將直接導致國家政策的執(zhí)行力、人民群眾的利益受到影響，因此，不僅要查出問題，還應深刻剖析原因。我們今年對某單位開展的信息系統(tǒng)審計中就發(fā)現(xiàn)，該單位建設開發(fā)的信息系統(tǒng)除了其本身功能缺陷外，本地化開發(fā)工作不足，開發(fā)與實際應用脫節(jié)造成系統(tǒng)功能滯后于業(yè)務需求。一是導致系統(tǒng)功能改進中間環(huán)節(jié)多、周期長，不同程度上影響了各級系統(tǒng)使用部門正常業(yè)務的辦理。二是導致系統(tǒng)功能不能和國家、當?shù)卣哂行ЫY(jié)合，使國家和各地政府制定的政策不能得到及時的貫徹執(zhí)行，無法有效堵塞國家資金征繳、管理和使用中的漏洞。

信息系統(tǒng)審計查出的問題有著十分復雜的背景和原因，處理時應十分謹慎和客觀，對此，我們在審計報告中并未提出處理意見，而是提出了十二項審計整改建議，如督促規(guī)范專項資金的使用和管理，提高資金使用效益；加強系統(tǒng)使用部門、開發(fā)部門以及上級機關(guān)的溝通協(xié)商，切實做好需求調(diào)研，加快本地化開發(fā)進程，完善系統(tǒng)功能；加快建設進度，及時組織驗收工作；加強系統(tǒng)安全管理，建立、健全安全管理制度和手段，消除安全隱患等。該項目的審計結(jié)果得到了主管副省長的批示。

結(jié)語

從查錯糾弊到防微杜漸，從冰山一角到溯本求源，信息系統(tǒng)審計正在以其獨特的優(yōu)勢沖擊著審計人員的思維，以其創(chuàng)新的視角引領(lǐng)著國家審計發(fā)展的新趨勢，在拓寬審計領(lǐng)域、深化審計內(nèi)涵、提升審計質(zhì)量、降低審計風險上，發(fā)揮著前所未有的作用和魅力。

（作者單位：河南省審

計廳計算機審計中心）