王 晴，楊利霞，王 雙

(1.內(nèi)蒙古工業(yè)大學(xué) 經(jīng)濟(jì)管理學(xué)院，內(nèi)蒙古 呼和浩特 010051；2.上海建橋?qū)W院，上海 201306)

中華人民共和國審計署《“十四五”國家審計工作發(fā)展規(guī)劃》中對科技強(qiáng)審提出了進(jìn)一步要求，即“加強(qiáng)審計技術(shù)方法創(chuàng)新，充分運(yùn)用現(xiàn)代信息技術(shù)開展審計，提高審計質(zhì)量和效率?！彪娋W(wǎng)企業(yè)作為管理信息化的領(lǐng)頭力量，近年來信息系統(tǒng)建設(shè)投入不斷提高，智能電網(wǎng)、大數(shù)據(jù)平臺的逐步實施，使企業(yè)對信息系統(tǒng)的依賴程度不斷加強(qiáng)，但同時信息系統(tǒng)遭受內(nèi)外部威脅，例如計算機(jī)舞弊、非法訪問、數(shù)據(jù)泄露的可能性也越來越大。同時，企業(yè)數(shù)據(jù)海量增長，給審計全覆蓋增加了難度。為有效應(yīng)對信息系統(tǒng)各項風(fēng)險，企業(yè)需要高度重視IT治理，信息系統(tǒng)審計作為提升企業(yè)IT治理水平的有效手段之一，在企業(yè)治理中顯得愈發(fā)重要。

1 信息系統(tǒng)審計思路

現(xiàn)代風(fēng)險導(dǎo)向的審計要求預(yù)先識別重要的風(fēng)險領(lǐng)域，確認(rèn)審計范圍和重點。按照通用的審計風(fēng)險分類，劉國城等(2016)將信息系統(tǒng)審計風(fēng)險分為固有風(fēng)險、控制風(fēng)險與檢查風(fēng)險，并增加了戰(zhàn)略運(yùn)營風(fēng)險，構(gòu)架了信息系統(tǒng)審計風(fēng)險的遞階層次結(jié)構(gòu)模型[1]。另外一些學(xué)者基于COBIT框架構(gòu)建我國信息系統(tǒng)審計思路，王會金(2014)融合COBIT理念，從“物理層”“事理層”“人理層”3個維度構(gòu)架高校管理信息系統(tǒng)審計風(fēng)險控制模型[2]。楊佩毅(2021)結(jié)合COBIT 5.0，從信息系統(tǒng)安全、信息科技治理、運(yùn)行和操作管理、業(yè)務(wù)持續(xù)性規(guī)劃方面對銀行信息系統(tǒng)開展審計評價[3]。還有學(xué)者針對行業(yè)特點選取關(guān)鍵風(fēng)險領(lǐng)域進(jìn)行探究，陳嘉琳等(2021)借鑒DSMM模型建立電力企業(yè)信息安全管理審計框架，從數(shù)據(jù)安全、環(huán)境安全、組織和人員安全、系統(tǒng)管理安全等方面制定審計策略[4]。在國外信息系統(tǒng)審計實踐方面，裴曉寧等(2016)對美國、加拿大、英國、澳大利亞、韓國等國外信息系統(tǒng)審計發(fā)展歷程的梳理，信息系統(tǒng)的安全性、完整性、有效性是各國審計機(jī)構(gòu)關(guān)注的重點[5]。

從近年來的研究可以看出，不同學(xué)者對信息系統(tǒng)審計風(fēng)險的側(cè)重不一樣，加之不同企業(yè)經(jīng)營管理模式不同，使得信息系統(tǒng)審計策略多樣化。綜合國內(nèi)外信息系統(tǒng)審計的理論和實踐以及電網(wǎng)企業(yè)自身特點，參考陳耿等(2019)提出的ISACM現(xiàn)代信息系統(tǒng)審計模型中真實、安全、績效三項類別構(gòu)建電網(wǎng)企業(yè)信息系統(tǒng)審計實施策略[6]，筆者將信息系統(tǒng)風(fēng)險歸納為真實性風(fēng)險、安全性風(fēng)險、有效性風(fēng)險，審計人員易于識別且覆蓋面廣，在實務(wù)中應(yīng)用性更強(qiáng)。在實際操作中，審計人員可以參照中華人民共和國審計署發(fā)布的《信息系統(tǒng)審計指南》或國際信息系統(tǒng)審計協(xié)會(ISACA)頒布的信息系統(tǒng)審計準(zhǔn)則，從以上3個維度對信息系統(tǒng)程序邏輯、內(nèi)部管理控制和數(shù)據(jù)處理傳輸?shù)确矫孢M(jìn)行審計。力求更好地滿足現(xiàn)代信息系統(tǒng)審計的需求，為大數(shù)據(jù)以及未來智能電網(wǎng)環(huán)境下的現(xiàn)代信息系統(tǒng)審計實務(wù)提供借鑒。

2 電網(wǎng)企業(yè)信息系統(tǒng)風(fēng)險識別及審計內(nèi)容

2.1 真實性審計

2.1.1 信息系統(tǒng)真實性風(fēng)險。 隨著企業(yè)信息化建設(shè)的不斷深入，大量信息處理的流程實現(xiàn)了電子化、程序化、虛擬化，但企業(yè)數(shù)據(jù)來源不一、數(shù)據(jù)標(biāo)準(zhǔn)體系尚未建立，信息系統(tǒng)的處理方式和信息系統(tǒng)舞弊為企業(yè)數(shù)據(jù)的真實性帶來了一定風(fēng)險。財務(wù)數(shù)據(jù)同樣存在很大風(fēng)險，財政部《會計信息化發(fā)展規(guī)劃(2021-2025年)》提到，會計數(shù)據(jù)在單位內(nèi)部、各單位之間共享和使用，在傳輸、存儲的環(huán)節(jié)可能發(fā)生篡改風(fēng)險。因此，信息系統(tǒng)真實性審計的目標(biāo)即是對信息系統(tǒng)和電子數(shù)據(jù)的真實性或者可靠性進(jìn)行鑒證。

2.1.2 真實性風(fēng)險導(dǎo)向?qū)徲嫛?電網(wǎng)企業(yè)大部分信息系統(tǒng)處理方式靈活性較小，人為篡改風(fēng)險較低，且標(biāo)準(zhǔn)化的實施對業(yè)務(wù)處理流程、財務(wù)處理流程、電子交易流程進(jìn)行了優(yōu)化和進(jìn)一步規(guī)范，因此信息系統(tǒng)中數(shù)據(jù)的真實性風(fēng)險相對較低。審計人員可以根據(jù)不同系統(tǒng)數(shù)據(jù)來源的可靠程度有針對性地關(guān)注信息系統(tǒng)中信息的真實性，通過比對財務(wù)、業(yè)務(wù)數(shù)據(jù)之間的邏輯關(guān)系，對這些信息的真實性進(jìn)行復(fù)核，必要時對信息系統(tǒng)數(shù)據(jù)輸入、處理和輸出控制后臺的程序設(shè)計進(jìn)行審計。

例如，在對財務(wù)系統(tǒng)中報表子系統(tǒng)的審計中，審計人員通過獲取財務(wù)軟件操作手冊和維護(hù)手冊中的數(shù)據(jù)類型表、科目編碼表，依據(jù)財務(wù)準(zhǔn)則的要求，復(fù)核系統(tǒng)內(nèi)置公式、數(shù)據(jù)來源和取數(shù)方法的合理合規(guī)性，用復(fù)核過的軟件系統(tǒng)重新生產(chǎn)全部或部分報表，以確認(rèn)被審計單位所提供財務(wù)報表的真實性，防止系統(tǒng)入侵或計算機(jī)舞弊導(dǎo)致的“假賬真審”現(xiàn)象。

2.2 安全性審計

2.2.1 信息系統(tǒng)安全性風(fēng)險。 信息安全問題不僅僅影響商業(yè)機(jī)密的保護(hù)，對企業(yè)的生存和未來發(fā)展至關(guān)重要。根據(jù)國際權(quán)威數(shù)據(jù)泄露調(diào)查報告(DBIR)2018年的數(shù)據(jù)顯示，大數(shù)據(jù)、物聯(lián)網(wǎng)和云的加速應(yīng)用正逐漸超越企業(yè)的安全管理能力，但89%的企業(yè)只依賴一個安全措施來保障其移動網(wǎng)絡(luò)安全。32%的企業(yè)為了權(quán)宜之計和業(yè)務(wù)性能犧牲了安全性，使企業(yè)處于高風(fēng)險環(huán)境下。更危險的是，企業(yè)發(fā)現(xiàn)安全事件的時間往往滯后于事件發(fā)生[7]。

針對嚴(yán)峻的安全形勢，信息系統(tǒng)的安全性審計在美國、加拿大、澳大利亞等國家的信息系統(tǒng)審計中占據(jù)重要地位，主要目標(biāo)是審查企業(yè)信息系統(tǒng)和電子數(shù)據(jù)的安全隱患。中華人民共和國審計署《“十四五”國家審計工作發(fā)展規(guī)劃》中要求，完善審計業(yè)務(wù)網(wǎng)絡(luò)，開展網(wǎng)絡(luò)安全常態(tài)化檢查，持續(xù)提升網(wǎng)絡(luò)安全防御和應(yīng)急處置能力。電網(wǎng)企業(yè)在服務(wù)民生的同時，發(fā)揮著保障國家能源安全的重要任務(wù)，信息安全風(fēng)險不容忽視。這些風(fēng)險可能來自企業(yè)外部，如黑客攻擊、數(shù)據(jù)外泄、系統(tǒng)癱瘓等；也可能來自企業(yè)內(nèi)部，如系統(tǒng)中斷、非法更改、不恰當(dāng)?shù)脑L問等，使企業(yè)丟失寶貴的信息資產(chǎn)，甚至影響對用戶的正常供電。因此，加強(qiáng)電網(wǎng)企業(yè)信息系統(tǒng)的安全性審計是企業(yè)可持續(xù)、高質(zhì)量發(fā)展的新型保障。

2.2.2 安全性風(fēng)險導(dǎo)向?qū)徲嫛?安全性審計內(nèi)容主要包括數(shù)據(jù)安全審計、操作系統(tǒng)安全審計、數(shù)據(jù)庫系統(tǒng)安全審計、網(wǎng)絡(luò)安全審計、設(shè)備安全審計、環(huán)境安全審計等方面，如圖1所示。

圖1 安全性審計的內(nèi)容

操作系統(tǒng)是所有軟件運(yùn)行的基礎(chǔ)，決定整個軟件系統(tǒng)的安全狀況；環(huán)境安全、設(shè)備安全屬于硬件安全；數(shù)據(jù)庫系統(tǒng)是管理信息系統(tǒng)最重要的支撐軟件，直接影響企業(yè)數(shù)據(jù)的安全性。針對電網(wǎng)企業(yè)安全性風(fēng)險，審計人員應(yīng)重點關(guān)注和評價企業(yè)安全管理制度的完善程度、是否設(shè)有相關(guān)機(jī)構(gòu)、相關(guān)人員安全措施、安全建設(shè)和安全運(yùn)維管理、計算機(jī)系統(tǒng)防錯控制、網(wǎng)絡(luò)傳輸?shù)谋Ｃ苄缘葍?nèi)部控制的設(shè)計和實施，還要關(guān)注企業(yè)是否制定了預(yù)防數(shù)據(jù)被盜和被銷毀的應(yīng)對方案等。

為此，審計人員需要進(jìn)行一系列符合性檢查，主要包括：信息安全方針政策、計劃、規(guī)程、要求文件，系統(tǒng)設(shè)計和接口規(guī)格文件，系統(tǒng)操作、使用、管理及各類日志管理的相關(guān)規(guī)定，備份操作、安全應(yīng)急及復(fù)審和意外防范計劃演練的相關(guān)文件，安全配置設(shè)定的有關(guān)文件，技術(shù)手冊和用戶/管理員指南及其他需要進(jìn)行符合性檢查的內(nèi)容。除了檢查企業(yè)安全管理規(guī)范的完善性，審計人員還要驗證安全管理規(guī)范的實施效果，具體包括：針對訪問控制策略、制度、安全配置設(shè)定、物理訪問控制、信息系統(tǒng)備份操作、事件響應(yīng)和意外防范等措施采用驗證工具進(jìn)行功能性驗證。

2.3 有效性審計

2.3.1 信息系統(tǒng)有效性風(fēng)險。中華人民共和國審計署《“十四五”國家審計工作發(fā)展規(guī)劃》要求，重點關(guān)注科技、網(wǎng)絡(luò)安全和信息化等專項資金分配、管理和使用情況，促進(jìn)重點專項資金提質(zhì)增效。近年來，電網(wǎng)企業(yè)信息化建設(shè)力度加大，軟件平臺的運(yùn)維和升級費(fèi)用不斷追加，但信息系統(tǒng)建設(shè)作為投資項目的風(fēng)險也在增加，為避免可能出現(xiàn)的投資額追加但應(yīng)用效果不如預(yù)期的風(fēng)險，審計人員對信息系統(tǒng)建設(shè)的有效性進(jìn)行評價成為監(jiān)督信息系統(tǒng)建設(shè)的一種有效手段。信息系統(tǒng)有效性審計即績效審計，其核心問題是客觀、公正、準(zhǔn)確、科學(xué)地評價IT項目的經(jīng)濟(jì)性、效率性和效果性，有利于優(yōu)化IT項目費(fèi)用管理和資源分配，讓IT項目投資更加聚焦于企業(yè)發(fā)展戰(zhàn)略的要求，為決策者提供改進(jìn)或新建信息化項目的依據(jù)。

2.3.2 有效性風(fēng)險導(dǎo)向?qū)徲嫛?在績效審計過程中，評價指標(biāo)的選擇至關(guān)重要，隨著績效審計實踐的發(fā)展，構(gòu)建指標(biāo)體系時需要在定量與定性指標(biāo)、財務(wù)與非財務(wù)指標(biāo)、評價過程與評價結(jié)果指標(biāo)之間取得平衡。平衡計分卡模型能很好地滿足上述要求，且使組織在行動過程中緊緊圍繞戰(zhàn)略目標(biāo)，評價企業(yè)IT項目的IT平衡計分卡可以分為4個維度：①IT價值貢獻(xiàn)維度主要用于評價IT投資對企業(yè)的整體影響，具體來講，與企業(yè)的預(yù)期相比，不僅要評價IT項目是否達(dá)到預(yù)期的財務(wù)收益，還要評價其是否滿足企業(yè)的戰(zhàn)略需要；②IT用戶滿意度維度主要是站在使用者角度衡量IT產(chǎn)品和服務(wù)的優(yōu)劣，或者說IT項目在多大程度上滿足了內(nèi)部、外部使用者；③IT內(nèi)部過程維度主要用于評價IT項目內(nèi)部流程的效率，主要包括IT功能設(shè)計的合理性以及在實務(wù)過程中發(fā)揮作用的程度；④IT學(xué)習(xí)與革新維度主要用于評價企業(yè)在面臨技術(shù)快速更新迭代的挑戰(zhàn)面前，IT組織的學(xué)識水平及其持續(xù)創(chuàng)新、不斷變革以適應(yīng)挑戰(zhàn)的潛力。

上述審計評價的4個方面需通過具體的指標(biāo)體系來實現(xiàn)，指標(biāo)設(shè)計可以參考表1。在實踐中，針對項目特點和實際情況，可以增刪、重設(shè)或擴(kuò)展指標(biāo)層級。這些指標(biāo)權(quán)重的確定可以采取層次分析法或?qū)＜艺{(diào)查法，通過計算得出綜合評價結(jié)果。分項和綜合指標(biāo)評價結(jié)果可以用于兩個層面的對標(biāo)分析：與企業(yè)設(shè)計開發(fā)時對該信息系統(tǒng)的預(yù)期對比，分析該項目是否達(dá)到了原有的投資目的，是否需要二次開發(fā)等。也可以與行業(yè)內(nèi)相似信息系統(tǒng)的各項指標(biāo)對比，找到差距和不足并分析原因，以期改進(jìn)信息化項目內(nèi)部管理，提升IT治理。

表1 IT平衡計分卡指標(biāo)體系參考

3 結(jié)束語

本文介紹了電網(wǎng)企業(yè)信息系統(tǒng)審計的開展策略，企業(yè)應(yīng)根據(jù)不同時點對自身信息系統(tǒng)風(fēng)險點評估，選擇相應(yīng)的審計重點有針對性地開展專項審計項目。例如，網(wǎng)絡(luò)安全管理審計、特定信息系統(tǒng)績效審計、數(shù)據(jù)安全審計、通信設(shè)備運(yùn)維審計等。且信息系統(tǒng)審計工作大多涉及計算機(jī)知識和操作，內(nèi)部審計人員應(yīng)與IT人員配合進(jìn)行，由審計部門牽頭，借調(diào)信息化部門及業(yè)務(wù)部門人員進(jìn)行操作或委托具備技術(shù)力量的第三方協(xié)助實現(xiàn)。隨著國家大數(shù)據(jù)戰(zhàn)略的實施和智能電網(wǎng)的發(fā)展，信息系統(tǒng)審計將在完善IT治理，促進(jìn)信息系統(tǒng)風(fēng)險防控，實現(xiàn)企業(yè)高質(zhì)量發(fā)展方面發(fā)揮越來越重要的作用。