信息系統(tǒng)風(fēng)險和審計的探討

李晶

[摘? ? 要] 網(wǎng)絡(luò)安全風(fēng)險是信息系統(tǒng)審計關(guān)注的重要部分。針對內(nèi)部審計人員開展信息系統(tǒng)審計存在的問題，提出信息系統(tǒng)的風(fēng)險主要與業(yè)務(wù)有關(guān)，而不僅僅是技術(shù)問題。對信息系統(tǒng)風(fēng)險進(jìn)行了分類，并提出了初步的審計思路。

[關(guān)鍵詞] 網(wǎng)絡(luò)安全;信息系統(tǒng)審計;信息系統(tǒng)風(fēng)險

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2020. 03. 029

[中圖分類號] F239.1? ? [文獻(xiàn)標(biāo)識碼]? A? ? ? [文章編號]? 1673 - 0194（2020）03- 0067- 02

1? ? ? 引? ? 言

從2016年美國總統(tǒng)大選候選人希拉里的“郵件門”事件，讓全世界對信息安全風(fēng)險的威力有了新的認(rèn)識。近年來，由于網(wǎng)絡(luò)安全導(dǎo)致的嚴(yán)重后果的事件層出不窮。2016年9月23日，雅虎公司宣布有至少5億用戶賬戶信息被黑客盜取，盜取內(nèi)容包括用戶的姓名、電郵地址、電話號碼、生日、密碼等，甚至還包括加密或未加密的安全問題及答案。這也打破史上最大單一網(wǎng)站信息遭竊的紀(jì)錄。信息安全帶來的風(fēng)險成為當(dāng)今互聯(lián)網(wǎng)環(huán)境下組織和個人都要關(guān)注的問題。

“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。”習(xí)近平總書記的這一重要論斷，把網(wǎng)絡(luò)安全上升到了國家安全的層面，為推動我國網(wǎng)絡(luò)安全體系的建立，樹立正確的網(wǎng)絡(luò)安全觀指明了方向[1]。近年來，我國網(wǎng)絡(luò)安全法治建設(shè)取得突破性進(jìn)展。2016年11月，《中華人民共和國網(wǎng)絡(luò)安全法》高票通過，成為我國網(wǎng)絡(luò)安全領(lǐng)域的首部專門法律，為依法治網(wǎng)、化解網(wǎng)絡(luò)風(fēng)險提供了法律武器;2017年3月，十二屆全國人大五次會議通過《民法總則》，明確對個人信息、數(shù)據(jù)、虛擬財產(chǎn)予以保護(hù);最高法、最高檢出臺一系列司法解釋，闡明相關(guān)法律問題;中央網(wǎng)信辦、公安部、工信部、文化部等出臺多個部門規(guī)章，對互聯(lián)網(wǎng)信息搜索、移動互聯(lián)網(wǎng)應(yīng)用程序等都做出了及時的規(guī)范。

2? ? ? 信息系統(tǒng)審計的現(xiàn)狀和難點

網(wǎng)絡(luò)安全風(fēng)險，是信息系統(tǒng)風(fēng)險的一種重要類型，開展信息系統(tǒng)審計，有助于防范和控制信息系統(tǒng)風(fēng)險。對信息系統(tǒng)審計，目的是揭示由于信息系統(tǒng)缺陷導(dǎo)致的信息安全風(fēng)險、經(jīng)濟(jì)安全風(fēng)險，促進(jìn)被審計單位加強(qiáng)內(nèi)部管理和控制，提高信息化建設(shè)項目的效益，是保障信息系統(tǒng)安全的重要手段。

審計署關(guān)于“十三五”國家審計工作發(fā)展規(guī)劃中明確指出，要加強(qiáng)信息化建設(shè)項目審計。圍繞國家大數(shù)據(jù)戰(zhàn)略和“互聯(lián)網(wǎng)+”行動，以提高財政資金使用效益和維護(hù)國家信息安全為重點，加大對政府部門、國有企事業(yè)單位信息化建設(shè)項目及信息系統(tǒng)審計力度，促進(jìn)國家大數(shù)據(jù)戰(zhàn)略的順利實施。

前任審計長劉家義指出，在信息化、數(shù)字化環(huán)境下，信息系統(tǒng)審計要抓住三個關(guān)鍵點：一是安全性、二是有效性、三是經(jīng)濟(jì)性。開展信息系統(tǒng)審計要關(guān)注網(wǎng)絡(luò)、設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、環(huán)境等系統(tǒng)要素的安全性，關(guān)注規(guī)范管理、提高效率、共享信息、數(shù)據(jù)準(zhǔn)確等功能要素的有效性，關(guān)注組織目標(biāo)實現(xiàn)、投資收益、性價比、利用覆蓋率等項目要素的經(jīng)濟(jì)性[2]。

自從信息系統(tǒng)審計提出以來，學(xué)術(shù)界和實務(wù)都認(rèn)識到信息安全是信息系統(tǒng)審計的主要內(nèi)容。但是由于信息系統(tǒng)審計的技術(shù)性強(qiáng)，加上從事內(nèi)部審計工作的人員相對來說計算機(jī)技術(shù)較為薄弱，導(dǎo)致審計人員對于信息系統(tǒng)的風(fēng)險的認(rèn)識不足。在當(dāng)前信息系統(tǒng)審計開展的過程中，組織一般來說主要關(guān)注信息系統(tǒng)的可靠性、安全性等操作層面的風(fēng)險。由于技術(shù)力量不足，把信息系統(tǒng)審計外包給組織外部的專業(yè)機(jī)構(gòu)也是常見的做法。但不同的組織應(yīng)用信息系統(tǒng)的目的和程度不同，信息系統(tǒng)的風(fēng)險不僅僅在于操作層面;技術(shù)人員和管理人員對風(fēng)險的認(rèn)識是不同的，外部機(jī)構(gòu)有時候也未必能準(zhǔn)確識別組織中管理層真正需要關(guān)心的問題。這些做法往往有可能忽視了組織中真正的風(fēng)險所在。不同的組織即使是使用相同的軟硬件設(shè)備和應(yīng)用系統(tǒng)，由于不同的人會有不同的使用方式，設(shè)備也會有不同的組合和部署方式，同樣的基礎(chǔ)設(shè)施也有可能出現(xiàn)不同的風(fēng)險。

當(dāng)前基于風(fēng)險的審計模式的關(guān)鍵在于對風(fēng)險的準(zhǔn)確把握，在復(fù)雜多變的信息化環(huán)境下，這就要求審計人員在不同環(huán)境下對新的風(fēng)險有準(zhǔn)確、全面的認(rèn)識。由于信息系統(tǒng)審計（在國內(nèi)不同時期被稱為計算機(jī)審計，IT審計等）發(fā)展不平衡、實踐中總結(jié)經(jīng)驗少等原因，導(dǎo)致審計人員在對信息系統(tǒng)風(fēng)險的交流方面受到限制和制約，從而影響到信息系統(tǒng)審計工作的開展。部分內(nèi)部審計人員由于對信息系統(tǒng)風(fēng)險不了解，把信息系統(tǒng)審計僅僅看作是技術(shù)問題和風(fēng)險，在認(rèn)識中產(chǎn)生了一定的誤區(qū)。

3? ? ? 信息系統(tǒng)風(fēng)險的分類和審計思路

筆者認(rèn)為，在內(nèi)部審計中涉及信息系統(tǒng)的情況下，首先要對真正的需要關(guān)注的信息系統(tǒng)的風(fēng)險有客觀的認(rèn)識和清晰的把握，才能確定問題的重點。信息系統(tǒng)的風(fēng)險應(yīng)該是對業(yè)務(wù)產(chǎn)生的風(fēng)險而不是自身的技術(shù)和設(shè)備風(fēng)險本身。

信息系統(tǒng)專家John Ward在《信息系統(tǒng)戰(zhàn)略規(guī)劃》一書中對IT（信息技術(shù)）和IS（信息系統(tǒng)）進(jìn)行了區(qū)別。他指出：IT特指技術(shù)，尤指硬件、軟件和通信網(wǎng)絡(luò)，因此IT即可以是有形的（例如服務(wù)器、PC機(jī)、路由器和網(wǎng)絡(luò)），也可以是無形的（例如所有類型的軟件）。IT的應(yīng)用方便了信息和其他數(shù)字內(nèi)容的獲取、加工、存儲、發(fā)布和共享。歐盟一般用信息和通信技術(shù)“ICT”代替IT，以體現(xiàn)傳統(tǒng)信息技術(shù)和通信的融合。英國信息系統(tǒng)學(xué)會UKAIS將信息系統(tǒng)定義為人們和組織利用技術(shù)，收集、加工、存儲、使用和傳播信息的手段。從這個角度上來講，信息系統(tǒng)和信息技術(shù)的應(yīng)用相關(guān)，但兩者并不等同。

信息化環(huán)境下信息系統(tǒng)和信息技術(shù)的應(yīng)用有了更加緊密不可分的關(guān)系，但這兩者也并不能完全替代，有時候兩者的目的也未必完全相同。縱然信息技術(shù)是信息系統(tǒng)實現(xiàn)目標(biāo)的基礎(chǔ)，也確實有些信息系統(tǒng)通過信息技術(shù)的應(yīng)用實現(xiàn)了完全自動化，如戴爾公司的按訂單生產(chǎn)模式：從接受客戶訂單、發(fā)送零件到工廠組裝、直到發(fā)貨給客戶都無須人為干預(yù)。這里信息技術(shù)使信息的功能發(fā)揮到了極致。但信息系統(tǒng)并非是缺乏現(xiàn)代信息和通信技術(shù)就無法運行。也存在著信息技術(shù)先進(jìn)而信息系統(tǒng)無效的情況，例如，購買的設(shè)備很先進(jìn)，但是信息系統(tǒng)應(yīng)用效果不佳;另一方面，在信息技術(shù)原始的情況下，也有信息系統(tǒng)有效的范例，例如過去手工記錄的會計系統(tǒng)、歷史上更為古老的郵政系統(tǒng)，也都是有效的信息系統(tǒng)，盡管當(dāng)時的信息和通信技術(shù)并不發(fā)達(dá)。

從這一點來看，對于信息系統(tǒng)審計的目標(biāo)，從基于風(fēng)險的角度來看，重點應(yīng)該關(guān)注的是能否實現(xiàn)組織的業(yè)務(wù)目標(biāo)的問題，而不僅僅是軟硬件設(shè)備（ICT）的問題。筆者認(rèn)為按照信息系統(tǒng)在組織中應(yīng)用的情況，可以把信息系統(tǒng)的風(fēng)險分為三類：信息系統(tǒng)能力風(fēng)險，信息系統(tǒng)項目風(fēng)險和信息系統(tǒng)操作風(fēng)險。

（1）信息系統(tǒng)能力風(fēng)險和審計。信息系統(tǒng)能力風(fēng)險是指信息系統(tǒng)的應(yīng)用到底有沒有幫助組織實現(xiàn)業(yè)務(wù)目標(biāo)。如果對組織的業(yè)務(wù)目標(biāo)沒有幫助，就是信息系統(tǒng)能力建設(shè)問題。信息系統(tǒng)的投入的最終目的在于增強(qiáng)組織處理信息、幫助實現(xiàn)業(yè)務(wù)目標(biāo)的能力，而不在于信息系統(tǒng)本身。如果信息系統(tǒng)的選型和設(shè)計對組織的業(yè)務(wù)目標(biāo)沒有幫助，那就是信息系統(tǒng)決策層面的問題，處理的不恰當(dāng)可能會出現(xiàn)信息系統(tǒng)不適合組織業(yè)務(wù)需求的情況，是從對組織長期效果來評估。對此類風(fēng)險的控制和審計難度最大，可以歸為IT治理審計的范疇。

（2）信息系統(tǒng)項目風(fēng)險和審計。組織的信息系統(tǒng)建設(shè)是一個個具體的信息系統(tǒng)項目構(gòu)成的。每一個具體的信息系統(tǒng)項目的時間、質(zhì)量、成本是否符合要求，就構(gòu)成了信息系統(tǒng)項目的風(fēng)險。信息系統(tǒng)項目建設(shè)成功率低的問題一直是學(xué)界和業(yè)界長期關(guān)注的問題。對于項目風(fēng)險的評價可視為對組織中期的效果評估。對此類風(fēng)險的控制和審計也涉及較多的方面和因素，但是由于有明確的指標(biāo)可以選擇，可操作性要比IT能力的審計高得多，可以歸為信息化建設(shè)項目審計的范疇。

（3）信息系統(tǒng)操作風(fēng)險和審計。在信息系統(tǒng)運行和管理中，無論項目規(guī)模的大小，最終還是會落實到一個個具體的人員執(zhí)行的問題，涉及具體的個人和具體的設(shè)備、場所的問題。具體體現(xiàn)為某個具體方面的安全性、可靠性、經(jīng)濟(jì)性等問題;對于操作層面的評價是對信息系統(tǒng)局部效果的評估。此類問題最多，但比較分散，而且往往由于是涉及具體的個人微觀，不加以深入分析的話，難以引起管理層的重視。

在具體審計工作開展中，不僅要關(guān)注信息系統(tǒng)操作層面的風(fēng)險，更要關(guān)注中期的信息系統(tǒng)項目風(fēng)險，以及長期的信息系統(tǒng)能力風(fēng)險。

4? ? ?結(jié)? ? 語

在審計工作中，審計人員常常面臨著信息技術(shù)的挑戰(zhàn)，在數(shù)據(jù)采集、數(shù)據(jù)處理和數(shù)據(jù)分析中，甚至由于技術(shù)不足而望而卻步，但技術(shù)的風(fēng)險并不是信息系統(tǒng)風(fēng)險的全部，而信息系統(tǒng)審計首先要正確認(rèn)識信息系統(tǒng)的風(fēng)險，特別是從業(yè)務(wù)角度去理解信息系統(tǒng)。技術(shù)，作為審計資源來說，是很容易配置和轉(zhuǎn)移的，而正確認(rèn)識信息系統(tǒng)的風(fēng)險才是提出好的審計思路的關(guān)鍵。

主要參考文獻(xiàn)

[1]盧佳.“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”——解讀習(xí)近平關(guān)于網(wǎng)絡(luò)安全和信息化的重要論述[J].黨的文獻(xiàn)，2016（3）.

[2]劉家義.中國特色社會主義審計理論研究[M].北京：中國時代經(jīng)濟(jì)出版社，2015.

[3]趙長明.互聯(lián)網(wǎng)金融中第三方支付的法律監(jiān)管[J]. 商場現(xiàn)代化，2019（2）.

[4]成駿雄.我國信息系統(tǒng)審計技術(shù)推廣的限制因素探討[J].中國集體經(jīng)濟(jì)，2018（3）.

[5]樊沙沙.信息系統(tǒng)審計風(fēng)險應(yīng)對策略研究[J]. 對外經(jīng)貿(mào)，2017（8）.

[6]程平，王曉江.基于COBIT標(biāo)準(zhǔn)的云會計AIS審計風(fēng)險評價指標(biāo)體系構(gòu)建[J]. 會計之友，2016（10）.

[7]王會金.高校管理信息系統(tǒng)審計及其風(fēng)險控制問題研究——以WSR方法論與COBIT理論相結(jié)合為視角[J]. 審計與經(jīng)濟(jì)研究，2014（5）.