信息系統審計初探

崔瑞瑞 韓強 付紅亮 王昕

信息系統審計是一項較新的審計領域，也是計算機審計的一項重要審計內容，它通過關注信息系統的可靠性和安全性，促進被審計單位的信息安全和數據真實。日前，筆者從一般控制、應用控制、績效等事項，對某單位開展信息系統審計，并從真實性、安全性、有效性、經濟性等方面進行了審計評價，揭示被審計單位信息系統存在的漏洞和安全隱患，積極摸索了信息系統績效審計的方式方法，積累了一定經驗，筆者從以下幾個方面淺談一些看法。

一般控制審計，全面評估系統及環境安全性，揭示系統安全隱患

在一般控制審計中，審計人員通過日志分析法，分析財務軟件的操作記錄，發現被審計單位的財務軟件存在反記賬、反結賬功能，其中部分反記反結賬操作為修改之前的憑證信息，且時間跨度超過180天，導致之前被修改月份已形成的會計報表數字不真實。

通過實地觀察法和面談詢問法，對信息系統的部署環境（包括機房和設備）進行檢查和測評，發現機房未建設電子門禁系統；未安裝水浸、監控探頭等監控設備；部分服務器主機設備已過質保服務期，且未進行硬件維護服務外包；未制定機房出入登記管理制度；未制定針對信息系統及其機房硬件設備出現重大問題時的應急管理制度等，信息系統的環境存在安全隱患。

利用漏洞掃描工具和網絡檢測診斷工具，對信息系統的網絡環境進行了檢查和評估。發現被審計單位的三個網絡（業務內網、業務外網、外網申報網絡）部分服務器主機存在操作系統、后臺數據庫弱口令以及重要漏洞未修補等問題；三個網絡均缺少監控篡改、誤改數據庫的安全審計系統，缺少防止非法用戶入侵網絡的入侵檢測系統，缺少提升網絡管理性能和安全性的網絡管理系統，缺少對日常上網行為進行規范和記錄的上網行為管理系統，網絡安全存在隱患。

通過問卷調查法，對被審計單位的信息系統安全進行了評估。發現被審計單位的四套信息系統均未進行安全等級測評，未制定風險評估計劃和方案，系統安全存在隱患。

應用控制審計，深入分析信息系統的有效性，查找系統功能漏洞

利用測試數據法和流程圖檢查法，通過構建數據驗證分析模型，對信息系統的業務流程控制、數據接口、數據輸入、處理、輸出控制、數據庫應用控制、數據邏輯控制的有效性和可靠性進行了測試，同時結合數據審計和財務收支審計發現的問題，從信息系統的層面分析問題產生的深層次原因。

經過審計，發現業務信息系統與財務信息系統不銜接，且未設計對賬功能，導致業務信息系統無法全面、真實反映收入情況，如某單位在審計年度兩大系統收入差額數百萬元；業務信息系統功能不完善，導致不能重現歷史滯后補繳計劃，無法準確核算歷史征繳計劃和單位欠費情況；業務信息系統未設計檢測關鍵標志信息功能，導致未足額繳納費用；未設計檢測數據合理性功能，導致系統基礎信息不真實、不合理，個別人重復享受待遇或多享受待遇；未設計檢測數據合規性功能，導致不符合條件人員享受待遇；未設計多支應收回計劃功能，導致無法自動生成多支應收回計劃，多支付的待遇金額未及時追回；新老系統數據轉換錯誤，導致部分字段數據不合理、數據邏輯錯誤。

績效審計，綜合評價信息系統的經濟性，拷問管理決策失誤

由于信息系統績效審計尚沒有成熟的評價指標體系，審計人員在實踐中摸索了利用資金使用情況檢查法、對比分析法、問卷調查法進行審計評價的方法。

利用資金使用情況檢查法，通過調取財務資料、項目招投標手續、會議紀要等，對信息系統建設資金來源的合法性、資金支出的合規性、招投標手續的完備性、合法性等事項進行檢查，發現項目運行及維護經費支出中，公務經費支出比例占一半以上，不利于發揮專項資金的使用效益；機房上百萬元的基礎設施閑置，未能發揮工程建設資金的使用效益。通過審計還發現，項目建設周期過長，信息化的效益未能得到充分發揮。發改委批復項目建設周期為2年，截至審計之日，已歷經7年時間，項目建設仍未完成，且資金到位率為88%，實際完成投資額僅為49%。

利用對比分析法和問卷調查法，選擇使用該系統的10家單位13個部門，對信息系統設計了6大項指標18個問題，使用加權平均法對問卷結果進行量化評分，問卷結果顯示，信息系統的技術指標、技術經濟效益（即性價比）、社會效益的得分均在及格線以下，信息系統建設效益較差，應用情況不理想，用戶滿意度低。用戶反映的問題主要集中在系統運行速度慢、穩定性差、功能不完善、數據不準確、需求不能及時滿足等方面。由于系統問題，有2個省轄市曾被投訴至市政府或效能辦，2個省轄市部分業務現在暫停辦理。

由于該系統的不完善、數據不準確等原因，導致該系統的網上申報查詢系統的利用率同樣很低，企業投入資金未能發揮應有的效益。

深入細致探究原因，客觀謹慎提出建議

我們所審計的重點單位，多是投入的資金量較大，與人民群眾利益息息相關的單位，而這些單位信息系統存在較多的安全隱患和功能缺陷，建設效益不佳，將直接導致國家政策的執行力、人民群眾的利益受到影響，因此，不僅要查出問題，還應深刻剖析原因。我們今年對某單位開展的信息系統審計中就發現，該單位建設開發的信息系統除了其本身功能缺陷外，本地化開發工作不足，開發與實際應用脫節造成系統功能滯后于業務需求。一是導致系統功能改進中間環節多、周期長，不同程度上影響了各級系統使用部門正常業務的辦理。二是導致系統功能不能和國家、當地政策有效結合，使國家和各地政府制定的政策不能得到及時的貫徹執行，無法有效堵塞國家資金征繳、管理和使用中的漏洞。

信息系統審計查出的問題有著十分復雜的背景和原因，處理時應十分謹慎和客觀，對此，我們在審計報告中并未提出處理意見，而是提出了十二項審計整改建議，如督促規范專項資金的使用和管理，提高資金使用效益；加強系統使用部門、開發部門以及上級機關的溝通協商，切實做好需求調研，加快本地化開發進程，完善系統功能；加快建設進度，及時組織驗收工作；加強系統安全管理，建立、健全安全管理制度和手段，消除安全隱患等。該項目的審計結果得到了主管副省長的批示。

結語

從查錯糾弊到防微杜漸，從冰山一角到溯本求源，信息系統審計正在以其獨特的優勢沖擊著審計人員的思維，以其創新的視角引領著國家審計發展的新趨勢，在拓寬審計領域、深化審計內涵、提升審計質量、降低審計風險上，發揮著前所未有的作用和魅力。

（作者單位：河南省審

計廳計算機審計中心）