淺議新時代基層審計機(jī)關(guān)如何加強(qiáng)信息系統(tǒng)審計

王 紅

（重慶市永川區(qū)審計局，重慶 402160）

0 引言

黨的十八大以來，以習(xí)近平同志為核心的黨中央從發(fā)展中國特色社會主義，實現(xiàn)中華民族偉大復(fù)興中國夢的戰(zhàn)略高度，全面部署和推進(jìn)網(wǎng)絡(luò)安全和信息化工作。總書記指出抓住信息化發(fā)展歷史機(jī)遇，自主創(chuàng)新推進(jìn)網(wǎng)絡(luò)強(qiáng)國建設(shè)。信息系統(tǒng)審計作為信息化環(huán)境下的一種嶄新審計模式，在信息化大力發(fā)展的今天，順應(yīng)新時代要求，必將成為國家審計的重要組成部分。本文結(jié)合當(dāng)前形勢及工作實踐，對基層審計機(jī)關(guān)加強(qiáng)信息系統(tǒng)審計提出以下幾點(diǎn)思考和建議。

1 積極推進(jìn)基層審計機(jī)關(guān)信息系統(tǒng)審計工作的必要性

1.1 信息系統(tǒng)審計是智慧城市建設(shè)的基本保障

智慧城市是以物理設(shè)備、電腦網(wǎng)絡(luò)、人腦智慧為基本框架，智能政府、智能經(jīng)濟(jì)、智能社會為基本內(nèi)容的經(jīng)濟(jì)結(jié)構(gòu)、增長方式和城市形態(tài)，其由智能城市管理系統(tǒng)輔助管理城市。從信息化到智能化，再到智慧化，是建設(shè)智慧城市的必由之路，不斷擴(kuò)大的信息系統(tǒng)是其核心載體。如果進(jìn)一步全面開展智慧城市建設(shè)，政府部門的信息化水平將飛速提升，信息系統(tǒng)建設(shè)數(shù)量也必將呈現(xiàn)新高。一旦缺乏信息系統(tǒng)審計監(jiān)督，信息系統(tǒng)的安全性、可靠性和效益性無法充分得到保障，即信息系統(tǒng)審計的開展將推動政府部門信息化建設(shè)，是城市治理現(xiàn)代化向智慧城市發(fā)展的基本保障。

1.2 信息系統(tǒng)審計是大數(shù)據(jù)審計質(zhì)量的根本保障

信息系統(tǒng)審計是一個通過收集和評價審計證據(jù)，獨(dú)立于信息系統(tǒng)本身，并對信息系統(tǒng)保護(hù)資產(chǎn)的安全，維護(hù)數(shù)據(jù)的完整，使被審計單位的目標(biāo)得以有效實現(xiàn)，組織的資源得到高效使用等方面做出判斷的過程。習(xí)近平總書記在中央審計委員會第一次會議上強(qiáng)調(diào)，要堅持科技強(qiáng)審，加強(qiáng)審計信息化建設(shè)，實現(xiàn)審計全覆蓋。要加強(qiáng)審計大數(shù)據(jù)建設(shè)，開展聯(lián)網(wǎng)監(jiān)督，充分利用大數(shù)據(jù)查找問題、宏觀分析。審計人員開展大數(shù)據(jù)審計的業(yè)務(wù)數(shù)據(jù)和財務(wù)數(shù)據(jù)等基本資料均來源于被審計單位提供的信息系統(tǒng)備份數(shù)據(jù)。因此，數(shù)據(jù)的真實性和完整性直接影響到審計結(jié)果，也影響到一個審計項目的最終審計質(zhì)量。

1.3 信息系統(tǒng)審計是防范數(shù)據(jù)網(wǎng)絡(luò)安全風(fēng)險重要手段

隨著云平臺和數(shù)據(jù)中心的興起，數(shù)據(jù)的物理邊界越來越模糊，數(shù)據(jù)的高度集中讓數(shù)據(jù)安全防護(hù)壓力越來越大。網(wǎng)絡(luò)安全領(lǐng)域顯示出新轉(zhuǎn)變。一是信息安全向業(yè)務(wù)安全轉(zhuǎn)變。現(xiàn)在不光要關(guān)注信息安全，更要關(guān)注保障信息基礎(chǔ)設(shè)施和眾多物聯(lián)網(wǎng)設(shè)備的運(yùn)行安全。二是個人安全向機(jī)構(gòu)安全轉(zhuǎn)變。政府和企業(yè)的信息安全是要解決的重中之重。三是安全防護(hù)從外向內(nèi)進(jìn)化。網(wǎng)絡(luò)安全已由外網(wǎng)防護(hù)向內(nèi)網(wǎng)轉(zhuǎn)移，網(wǎng)絡(luò)攻擊的目標(biāo)更多是內(nèi)網(wǎng)。近年來，基層政府內(nèi)網(wǎng)被植入“后門”，個人信息集中泄露，網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)竊密頻頻出現(xiàn)。因此，加強(qiáng)信息系統(tǒng)審計，執(zhí)行信息系統(tǒng)風(fēng)險評估就顯得極其重要。

2 當(dāng)前基層審計機(jī)關(guān)信息系統(tǒng)審計存在的問題

2.1 審計內(nèi)容組織方式單一

目前開展的信息系統(tǒng)審計主要針對應(yīng)用系統(tǒng)的開發(fā)、獲得、實施與維護(hù)方面所采用的方法和流程進(jìn)行了評價，評判是否滿足了被審計單位的業(yè)務(wù)目標(biāo)。對評價信息系統(tǒng)的管理計劃與組織的策略政策標(biāo)準(zhǔn)程序、信息系統(tǒng)技術(shù)基礎(chǔ)設(shè)施與操作實務(wù)、基礎(chǔ)設(shè)施的安全性、災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計劃、業(yè)務(wù)流程評價與風(fēng)險管理等其他五個方面未進(jìn)行有效評估。目前信息系統(tǒng)審計主要采取專項調(diào)查等方式，未與其他審計類型有效結(jié)合。

2.2 審計主體缺乏復(fù)合型人才

一是基層審計機(jī)關(guān)的專業(yè)水平和信息系統(tǒng)審計要求差距較大。信息系統(tǒng)審計執(zhí)行主體除了需要掌握計算機(jī)硬件和軟件技術(shù)知識外，還需要對其控制措施和實際的內(nèi)部控制措施相結(jié)合，同時還要熟悉審計業(yè)務(wù)本身。但是目前基層審計機(jī)關(guān)同時具備會計、審計、管理和計算機(jī)等方面專業(yè)知識的人才較為缺乏，對信息系統(tǒng)審計工作有心無力，專業(yè)敏感性差，經(jīng)驗缺乏。二是基層審計機(jī)關(guān)信息系統(tǒng)審計理念與時代要求差距較大。部分老審計人員思維固化，沒有融入信息化高速發(fā)展的大潮中，具體審計工作局限于“一畝三分地”，缺乏學(xué)習(xí)的動力。

2.3 審計風(fēng)險相對較大。

在信息系統(tǒng)的應(yīng)用過程中，信息系統(tǒng)在被審計單位管理活動中已經(jīng)是必不可少的工具，如果系統(tǒng)停止工作，就會影響被審計單位的管理活動，甚至帶來損失。因此在進(jìn)行信息系統(tǒng)審計時，尤其是在系統(tǒng)取證過程中，存在被審計單位事后不承認(rèn)的風(fēng)險。信息系統(tǒng)審計的測試必須要在被審計單位信息系統(tǒng)上直接執(zhí)行，一旦測試時間不當(dāng)或測試設(shè)計不完善都可能影響到信息系統(tǒng)的正常運(yùn)行。

3 新時代基層審計機(jī)關(guān)加強(qiáng)信息系統(tǒng)審計的幾點(diǎn)建議

3.1 強(qiáng)化審計項目計劃，突出審計重點(diǎn)

一是加強(qiáng)年度計劃的制定。審計信息系統(tǒng)的應(yīng)用環(huán)境存在較多不確定因素，要在制定審計項目計劃時考慮到。同時，充分考慮審計技術(shù)力量，避免出現(xiàn)審計資源浪費(fèi)等情況。充分了解本地信息系統(tǒng)分布實施情況，結(jié)合當(dāng)?shù)刂行墓ぷ鳎龊媚甓扔媱潱ǘ唐谟媱澓烷L期計劃，確保審計結(jié)果能有效發(fā)揮作用。二是強(qiáng)化審計調(diào)查，確定好審計目標(biāo)和重點(diǎn)。根據(jù)年度計劃，確定被審計領(lǐng)域，明確審計目標(biāo)。全面熟悉相關(guān)法規(guī)及執(zhí)行標(biāo)準(zhǔn)，了解信息系統(tǒng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、當(dāng)前計算機(jī)犯罪與攻擊方法，熟悉被審計單位信息系統(tǒng)的邏輯訪問控制等，確定要檢查的具體系統(tǒng)、職能或單元，以確定審計重點(diǎn)。三是學(xué)習(xí)相關(guān)標(biāo)準(zhǔn)、準(zhǔn)則，找準(zhǔn)適宜的工具和技術(shù)。審計人員在信息系統(tǒng)審計項目計劃制定時，就應(yīng)熟悉該準(zhǔn)則，確保在項目實施中，能有章可依、有據(jù)可循。目前，中內(nèi)協(xié)發(fā)布了《第3205 號內(nèi)部審計實務(wù)指南——信息系統(tǒng)審計》，自2021 年3 月1 日施行，其中包括概述、組織層面信息管理控制審計、信息系統(tǒng)一般控制審計、信息系統(tǒng)應(yīng)用控制審計、信息系統(tǒng)專項審計、信息系統(tǒng)審計質(zhì)量控制及信息系統(tǒng)審計文檔和示例。

3.2 改進(jìn)組織方式，實現(xiàn)提質(zhì)增效

一是信息系統(tǒng)的購置、開發(fā)與實施的審計采用“預(yù)決算＋信息系統(tǒng)審計”“經(jīng)責(zé)＋信息系統(tǒng)審計”“投資＋信息系統(tǒng)審計資”等融合式、嵌入式審計組織方式。每個項目將信息系統(tǒng)的購置、開發(fā)與實施納入重點(diǎn)審計內(nèi)容版塊，作為常規(guī)審計內(nèi)容與其他審計類型相結(jié)合，既充分調(diào)動審計力量，節(jié)約審計資源，又確保每個信息系統(tǒng)都能納入審計監(jiān)督。二是對行業(yè)主管部門或信息系統(tǒng)較多、安全指數(shù)較高的重要部門，進(jìn)行信息系統(tǒng)專項審計調(diào)查。根據(jù)信息系統(tǒng)審計內(nèi)容的6 個方面，結(jié)合被審計單位的業(yè)務(wù)特點(diǎn)及安全防范要求，重點(diǎn)評估被審計單位信息系統(tǒng)資產(chǎn)的安全性、信息系統(tǒng)的效率效益性。三是對重大信息系統(tǒng)獲取、開發(fā)實施的審計，采取跟蹤審計方式。信息系統(tǒng)審計可以參照工程審計組織方式，從項目可行性分析、功能性要求、設(shè)計到測試，審計都參與其中。從最初設(shè)計方案開發(fā)，到模塊和組件的確定等，還要詳細(xì)考慮面臨的密碼控制不足、應(yīng)用程序總體安全等風(fēng)險。在開發(fā)應(yīng)用中，審計應(yīng)跟蹤評估該系統(tǒng)是否滿足被審計單位需求，是否符合預(yù)期的成本效益，能否實現(xiàn)建設(shè)目標(biāo)，系統(tǒng)的安全性和穩(wěn)定性是否達(dá)標(biāo)，系統(tǒng)的可擴(kuò)展性和互操作性是否科學(xué)等。最后，審計還要跟蹤其審計問題整改是否及時、是否合理、是否存在缺失浪費(fèi)的現(xiàn)象。

3.3 加大人才培養(yǎng)，組建高素質(zhì)復(fù)合型審計隊伍

一是強(qiáng)化教育培訓(xùn)，多措并舉，提升干部綜合能力。分基礎(chǔ)班、提升班，積極開展網(wǎng)絡(luò)安全、計算機(jī)基礎(chǔ)知識、信息系統(tǒng)審計等講壇，結(jié)合審計案例，把理論講透、措施講細(xì)，便于基層審計干部對標(biāo)落實。其次，鼓勵年輕審計人員參加國際注冊信息系統(tǒng)審計師考試，掌握相應(yīng)的技術(shù)能力。同時信息系統(tǒng)審計師必須接受有關(guān)新審計技術(shù)和技術(shù)領(lǐng)域的定向培訓(xùn)，積極提升自我能力和技術(shù)。二是加強(qiáng)實戰(zhàn)交流，強(qiáng)化上掛下派的良性流動機(jī)制，加快轉(zhuǎn)崗交流頻次，真正達(dá)到上下互動互聯(lián)、一體化發(fā)展。如選派部分基層審計干部參與上級的信息系統(tǒng)審計項目，鍛煉信息系統(tǒng)審計專業(yè)能力；推動上級信息系統(tǒng)審計骨干到基層任信息系統(tǒng)審計項目的審計組長，把先進(jìn)的審計模式、嚴(yán)謹(jǐn)?shù)陌踩庾R傳遞到基層審計機(jī)關(guān)。三是建立專家?guī)欤檎{(diào)各行業(yè)主管部門業(yè)務(wù)能手、計算機(jī)專家等到專家?guī)欤鋵崒徲嬯犖椤?/p>

3.4 加強(qiáng)系統(tǒng)管控，防范化解審計風(fēng)險

一是在對被審計單位信息系統(tǒng)開展實質(zhì)性測試時，審計人員全程監(jiān)督檢查被審計單位技術(shù)人員當(dāng)場完成相應(yīng)測試工作，避免誤操作引起安全風(fēng)險。二是實質(zhì)性測試時現(xiàn)場必須要有2名以上被審計單位技術(shù)專家，2 名以上審計人員同時在場。三是盡量選擇非業(yè)務(wù)高峰期對系統(tǒng)進(jìn)行實質(zhì)性測試，測試數(shù)據(jù)要盡可能簡單、完善，對正常的業(yè)務(wù)數(shù)據(jù)不能產(chǎn)生影響。四是開展計算機(jī)信息系統(tǒng)審計時，要了解政府或其他相關(guān)外部單位對被審計單位電子數(shù)據(jù)、計算機(jī)系統(tǒng)操作和控制、信息技術(shù)服務(wù)等的相關(guān)要求，了解被審計單位與IT 服務(wù)提供商之間的合同或協(xié)議，確保提取數(shù)據(jù)流程合法合規(guī)。同時服務(wù)器與審計人員計算機(jī)以及計算機(jī)的數(shù)據(jù)進(jìn)行傳導(dǎo)時，要使用注冊登記的U 盤。對使用的數(shù)據(jù)要注意保密，項目完成后要對數(shù)據(jù)及時進(jìn)行處理。五是強(qiáng)化取證記錄質(zhì)量。在發(fā)現(xiàn)信息系統(tǒng)薄弱環(huán)節(jié)和舞弊跡象時要及時取證，同時與在場的被審計單位技術(shù)人員充分溝通，當(dāng)場取得他們簽字認(rèn)可，避免事后對方不認(rèn)賬，嚴(yán)格秉承謹(jǐn)慎的態(tài)度，審慎地履行職責(zé)。