風(fēng)險(xiǎn)導(dǎo)向的電網(wǎng)企業(yè)信息系統(tǒng)審計(jì)策略

王 晴，楊利霞，王 雙

(1.內(nèi)蒙古工業(yè)大學(xué) 經(jīng)濟(jì)管理學(xué)院，內(nèi)蒙古 呼和浩特 010051；2.上海建橋?qū)W院，上海 201306)

中華人民共和國審計(jì)署《“十四五”國家審計(jì)工作發(fā)展規(guī)劃》中對(duì)科技強(qiáng)審提出了進(jìn)一步要求，即“加強(qiáng)審計(jì)技術(shù)方法創(chuàng)新，充分運(yùn)用現(xiàn)代信息技術(shù)開展審計(jì)，提高審計(jì)質(zhì)量和效率。”電網(wǎng)企業(yè)作為管理信息化的領(lǐng)頭力量，近年來信息系統(tǒng)建設(shè)投入不斷提高，智能電網(wǎng)、大數(shù)據(jù)平臺(tái)的逐步實(shí)施，使企業(yè)對(duì)信息系統(tǒng)的依賴程度不斷加強(qiáng)，但同時(shí)信息系統(tǒng)遭受內(nèi)外部威脅，例如計(jì)算機(jī)舞弊、非法訪問、數(shù)據(jù)泄露的可能性也越來越大。同時(shí)，企業(yè)數(shù)據(jù)海量增長，給審計(jì)全覆蓋增加了難度。為有效應(yīng)對(duì)信息系統(tǒng)各項(xiàng)風(fēng)險(xiǎn)，企業(yè)需要高度重視IT治理，信息系統(tǒng)審計(jì)作為提升企業(yè)IT治理水平的有效手段之一，在企業(yè)治理中顯得愈發(fā)重要。

1 信息系統(tǒng)審計(jì)思路

現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向的審計(jì)要求預(yù)先識(shí)別重要的風(fēng)險(xiǎn)領(lǐng)域，確認(rèn)審計(jì)范圍和重點(diǎn)。按照通用的審計(jì)風(fēng)險(xiǎn)分類，劉國城等(2016)將信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)分為固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)與檢查風(fēng)險(xiǎn)，并增加了戰(zhàn)略運(yùn)營風(fēng)險(xiǎn)，構(gòu)架了信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的遞階層次結(jié)構(gòu)模型[1]。另外一些學(xué)者基于COBIT框架構(gòu)建我國信息系統(tǒng)審計(jì)思路，王會(huì)金(2014)融合COBIT理念，從“物理層”“事理層”“人理層”3個(gè)維度構(gòu)架高校管理信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制模型[2]。楊佩毅(2021)結(jié)合COBIT 5.0，從信息系統(tǒng)安全、信息科技治理、運(yùn)行和操作管理、業(yè)務(wù)持續(xù)性規(guī)劃方面對(duì)銀行信息系統(tǒng)開展審計(jì)評(píng)價(jià)[3]。還有學(xué)者針對(duì)行業(yè)特點(diǎn)選取關(guān)鍵風(fēng)險(xiǎn)領(lǐng)域進(jìn)行探究，陳嘉琳等(2021)借鑒DSMM模型建立電力企業(yè)信息安全管理審計(jì)框架，從數(shù)據(jù)安全、環(huán)境安全、組織和人員安全、系統(tǒng)管理安全等方面制定審計(jì)策略[4]。在國外信息系統(tǒng)審計(jì)實(shí)踐方面，裴曉寧等(2016)對(duì)美國、加拿大、英國、澳大利亞、韓國等國外信息系統(tǒng)審計(jì)發(fā)展歷程的梳理，信息系統(tǒng)的安全性、完整性、有效性是各國審計(jì)機(jī)構(gòu)關(guān)注的重點(diǎn)[5]。

從近年來的研究可以看出，不同學(xué)者對(duì)信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的側(cè)重不一樣，加之不同企業(yè)經(jīng)營管理模式不同，使得信息系統(tǒng)審計(jì)策略多樣化。綜合國內(nèi)外信息系統(tǒng)審計(jì)的理論和實(shí)踐以及電網(wǎng)企業(yè)自身特點(diǎn)，參考陳耿等(2019)提出的ISACM現(xiàn)代信息系統(tǒng)審計(jì)模型中真實(shí)、安全、績效三項(xiàng)類別構(gòu)建電網(wǎng)企業(yè)信息系統(tǒng)審計(jì)實(shí)施策略[6]，筆者將信息系統(tǒng)風(fēng)險(xiǎn)歸納為真實(shí)性風(fēng)險(xiǎn)、安全性風(fēng)險(xiǎn)、有效性風(fēng)險(xiǎn)，審計(jì)人員易于識(shí)別且覆蓋面廣，在實(shí)務(wù)中應(yīng)用性更強(qiáng)。在實(shí)際操作中，審計(jì)人員可以參照中華人民共和國審計(jì)署發(fā)布的《信息系統(tǒng)審計(jì)指南》或國際信息系統(tǒng)審計(jì)協(xié)會(huì)(ISACA)頒布的信息系統(tǒng)審計(jì)準(zhǔn)則，從以上3個(gè)維度對(duì)信息系統(tǒng)程序邏輯、內(nèi)部管理控制和數(shù)據(jù)處理傳輸?shù)确矫孢M(jìn)行審計(jì)。力求更好地滿足現(xiàn)代信息系統(tǒng)審計(jì)的需求，為大數(shù)據(jù)以及未來智能電網(wǎng)環(huán)境下的現(xiàn)代信息系統(tǒng)審計(jì)實(shí)務(wù)提供借鑒。

2 電網(wǎng)企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)識(shí)別及審計(jì)內(nèi)容

2.1 真實(shí)性審計(jì)

2.1.1 信息系統(tǒng)真實(shí)性風(fēng)險(xiǎn)。 隨著企業(yè)信息化建設(shè)的不斷深入，大量信息處理的流程實(shí)現(xiàn)了電子化、程序化、虛擬化，但企業(yè)數(shù)據(jù)來源不一、數(shù)據(jù)標(biāo)準(zhǔn)體系尚未建立，信息系統(tǒng)的處理方式和信息系統(tǒng)舞弊為企業(yè)數(shù)據(jù)的真實(shí)性帶來了一定風(fēng)險(xiǎn)。財(cái)務(wù)數(shù)據(jù)同樣存在很大風(fēng)險(xiǎn)，財(cái)政部《會(huì)計(jì)信息化發(fā)展規(guī)劃(2021-2025年)》提到，會(huì)計(jì)數(shù)據(jù)在單位內(nèi)部、各單位之間共享和使用，在傳輸、存儲(chǔ)的環(huán)節(jié)可能發(fā)生篡改風(fēng)險(xiǎn)。因此，信息系統(tǒng)真實(shí)性審計(jì)的目標(biāo)即是對(duì)信息系統(tǒng)和電子數(shù)據(jù)的真實(shí)性或者可靠性進(jìn)行鑒證。

2.1.2 真實(shí)性風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)。 電網(wǎng)企業(yè)大部分信息系統(tǒng)處理方式靈活性較小，人為篡改風(fēng)險(xiǎn)較低，且標(biāo)準(zhǔn)化的實(shí)施對(duì)業(yè)務(wù)處理流程、財(cái)務(wù)處理流程、電子交易流程進(jìn)行了優(yōu)化和進(jìn)一步規(guī)范，因此信息系統(tǒng)中數(shù)據(jù)的真實(shí)性風(fēng)險(xiǎn)相對(duì)較低。審計(jì)人員可以根據(jù)不同系統(tǒng)數(shù)據(jù)來源的可靠程度有針對(duì)性地關(guān)注信息系統(tǒng)中信息的真實(shí)性，通過比對(duì)財(cái)務(wù)、業(yè)務(wù)數(shù)據(jù)之間的邏輯關(guān)系，對(duì)這些信息的真實(shí)性進(jìn)行復(fù)核，必要時(shí)對(duì)信息系統(tǒng)數(shù)據(jù)輸入、處理和輸出控制后臺(tái)的程序設(shè)計(jì)進(jìn)行審計(jì)。

例如，在對(duì)財(cái)務(wù)系統(tǒng)中報(bào)表子系統(tǒng)的審計(jì)中，審計(jì)人員通過獲取財(cái)務(wù)軟件操作手冊(cè)和維護(hù)手冊(cè)中的數(shù)據(jù)類型表、科目編碼表，依據(jù)財(cái)務(wù)準(zhǔn)則的要求，復(fù)核系統(tǒng)內(nèi)置公式、數(shù)據(jù)來源和取數(shù)方法的合理合規(guī)性，用復(fù)核過的軟件系統(tǒng)重新生產(chǎn)全部或部分報(bào)表，以確認(rèn)被審計(jì)單位所提供財(cái)務(wù)報(bào)表的真實(shí)性，防止系統(tǒng)入侵或計(jì)算機(jī)舞弊導(dǎo)致的“假賬真審”現(xiàn)象。

2.2 安全性審計(jì)

2.2.1 信息系統(tǒng)安全性風(fēng)險(xiǎn)。 信息安全問題不僅僅影響商業(yè)機(jī)密的保護(hù)，對(duì)企業(yè)的生存和未來發(fā)展至關(guān)重要。根據(jù)國際權(quán)威數(shù)據(jù)泄露調(diào)查報(bào)告(DBIR)2018年的數(shù)據(jù)顯示，大數(shù)據(jù)、物聯(lián)網(wǎng)和云的加速應(yīng)用正逐漸超越企業(yè)的安全管理能力，但89%的企業(yè)只依賴一個(gè)安全措施來保障其移動(dòng)網(wǎng)絡(luò)安全。32%的企業(yè)為了權(quán)宜之計(jì)和業(yè)務(wù)性能犧牲了安全性，使企業(yè)處于高風(fēng)險(xiǎn)環(huán)境下。更危險(xiǎn)的是，企業(yè)發(fā)現(xiàn)安全事件的時(shí)間往往滯后于事件發(fā)生[7]。

針對(duì)嚴(yán)峻的安全形勢(shì)，信息系統(tǒng)的安全性審計(jì)在美國、加拿大、澳大利亞等國家的信息系統(tǒng)審計(jì)中占據(jù)重要地位，主要目標(biāo)是審查企業(yè)信息系統(tǒng)和電子數(shù)據(jù)的安全隱患。中華人民共和國審計(jì)署《“十四五”國家審計(jì)工作發(fā)展規(guī)劃》中要求，完善審計(jì)業(yè)務(wù)網(wǎng)絡(luò)，開展網(wǎng)絡(luò)安全常態(tài)化檢查，持續(xù)提升網(wǎng)絡(luò)安全防御和應(yīng)急處置能力。電網(wǎng)企業(yè)在服務(wù)民生的同時(shí)，發(fā)揮著保障國家能源安全的重要任務(wù)，信息安全風(fēng)險(xiǎn)不容忽視。這些風(fēng)險(xiǎn)可能來自企業(yè)外部，如黑客攻擊、數(shù)據(jù)外泄、系統(tǒng)癱瘓等；也可能來自企業(yè)內(nèi)部，如系統(tǒng)中斷、非法更改、不恰當(dāng)?shù)脑L問等，使企業(yè)丟失寶貴的信息資產(chǎn)，甚至影響對(duì)用戶的正常供電。因此，加強(qiáng)電網(wǎng)企業(yè)信息系統(tǒng)的安全性審計(jì)是企業(yè)可持續(xù)、高質(zhì)量發(fā)展的新型保障。

2.2.2 安全性風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)。 安全性審計(jì)內(nèi)容主要包括數(shù)據(jù)安全審計(jì)、操作系統(tǒng)安全審計(jì)、數(shù)據(jù)庫系統(tǒng)安全審計(jì)、網(wǎng)絡(luò)安全審計(jì)、設(shè)備安全審計(jì)、環(huán)境安全審計(jì)等方面，如圖1所示。

圖1 安全性審計(jì)的內(nèi)容

操作系統(tǒng)是所有軟件運(yùn)行的基礎(chǔ)，決定整個(gè)軟件系統(tǒng)的安全狀況；環(huán)境安全、設(shè)備安全屬于硬件安全；數(shù)據(jù)庫系統(tǒng)是管理信息系統(tǒng)最重要的支撐軟件，直接影響企業(yè)數(shù)據(jù)的安全性。針對(duì)電網(wǎng)企業(yè)安全性風(fēng)險(xiǎn)，審計(jì)人員應(yīng)重點(diǎn)關(guān)注和評(píng)價(jià)企業(yè)安全管理制度的完善程度、是否設(shè)有相關(guān)機(jī)構(gòu)、相關(guān)人員安全措施、安全建設(shè)和安全運(yùn)維管理、計(jì)算機(jī)系統(tǒng)防錯(cuò)控制、網(wǎng)絡(luò)傳輸?shù)谋Ｃ苄缘葍?nèi)部控制的設(shè)計(jì)和實(shí)施，還要關(guān)注企業(yè)是否制定了預(yù)防數(shù)據(jù)被盜和被銷毀的應(yīng)對(duì)方案等。

為此，審計(jì)人員需要進(jìn)行一系列符合性檢查，主要包括：信息安全方針政策、計(jì)劃、規(guī)程、要求文件，系統(tǒng)設(shè)計(jì)和接口規(guī)格文件，系統(tǒng)操作、使用、管理及各類日志管理的相關(guān)規(guī)定，備份操作、安全應(yīng)急及復(fù)審和意外防范計(jì)劃演練的相關(guān)文件，安全配置設(shè)定的有關(guān)文件，技術(shù)手冊(cè)和用戶/管理員指南及其他需要進(jìn)行符合性檢查的內(nèi)容。除了檢查企業(yè)安全管理規(guī)范的完善性，審計(jì)人員還要驗(yàn)證安全管理規(guī)范的實(shí)施效果，具體包括：針對(duì)訪問控制策略、制度、安全配置設(shè)定、物理訪問控制、信息系統(tǒng)備份操作、事件響應(yīng)和意外防范等措施采用驗(yàn)證工具進(jìn)行功能性驗(yàn)證。

2.3 有效性審計(jì)

2.3.1 信息系統(tǒng)有效性風(fēng)險(xiǎn)。中華人民共和國審計(jì)署《“十四五”國家審計(jì)工作發(fā)展規(guī)劃》要求，重點(diǎn)關(guān)注科技、網(wǎng)絡(luò)安全和信息化等專項(xiàng)資金分配、管理和使用情況，促進(jìn)重點(diǎn)專項(xiàng)資金提質(zhì)增效。近年來，電網(wǎng)企業(yè)信息化建設(shè)力度加大，軟件平臺(tái)的運(yùn)維和升級(jí)費(fèi)用不斷追加，但信息系統(tǒng)建設(shè)作為投資項(xiàng)目的風(fēng)險(xiǎn)也在增加，為避免可能出現(xiàn)的投資額追加但應(yīng)用效果不如預(yù)期的風(fēng)險(xiǎn)，審計(jì)人員對(duì)信息系統(tǒng)建設(shè)的有效性進(jìn)行評(píng)價(jià)成為監(jiān)督信息系統(tǒng)建設(shè)的一種有效手段。信息系統(tǒng)有效性審計(jì)即績效審計(jì)，其核心問題是客觀、公正、準(zhǔn)確、科學(xué)地評(píng)價(jià)IT項(xiàng)目的經(jīng)濟(jì)性、效率性和效果性，有利于優(yōu)化IT項(xiàng)目費(fèi)用管理和資源分配，讓IT項(xiàng)目投資更加聚焦于企業(yè)發(fā)展戰(zhàn)略的要求，為決策者提供改進(jìn)或新建信息化項(xiàng)目的依據(jù)。

2.3.2 有效性風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)。 在績效審計(jì)過程中，評(píng)價(jià)指標(biāo)的選擇至關(guān)重要，隨著績效審計(jì)實(shí)踐的發(fā)展，構(gòu)建指標(biāo)體系時(shí)需要在定量與定性指標(biāo)、財(cái)務(wù)與非財(cái)務(wù)指標(biāo)、評(píng)價(jià)過程與評(píng)價(jià)結(jié)果指標(biāo)之間取得平衡。平衡計(jì)分卡模型能很好地滿足上述要求，且使組織在行動(dòng)過程中緊緊圍繞戰(zhàn)略目標(biāo)，評(píng)價(jià)企業(yè)IT項(xiàng)目的IT平衡計(jì)分卡可以分為4個(gè)維度：①IT價(jià)值貢獻(xiàn)維度主要用于評(píng)價(jià)IT投資對(duì)企業(yè)的整體影響，具體來講，與企業(yè)的預(yù)期相比，不僅要評(píng)價(jià)IT項(xiàng)目是否達(dá)到預(yù)期的財(cái)務(wù)收益，還要評(píng)價(jià)其是否滿足企業(yè)的戰(zhàn)略需要；②IT用戶滿意度維度主要是站在使用者角度衡量IT產(chǎn)品和服務(wù)的優(yōu)劣，或者說IT項(xiàng)目在多大程度上滿足了內(nèi)部、外部使用者；③IT內(nèi)部過程維度主要用于評(píng)價(jià)IT項(xiàng)目內(nèi)部流程的效率，主要包括IT功能設(shè)計(jì)的合理性以及在實(shí)務(wù)過程中發(fā)揮作用的程度；④IT學(xué)習(xí)與革新維度主要用于評(píng)價(jià)企業(yè)在面臨技術(shù)快速更新迭代的挑戰(zhàn)面前，IT組織的學(xué)識(shí)水平及其持續(xù)創(chuàng)新、不斷變革以適應(yīng)挑戰(zhàn)的潛力。

上述審計(jì)評(píng)價(jià)的4個(gè)方面需通過具體的指標(biāo)體系來實(shí)現(xiàn)，指標(biāo)設(shè)計(jì)可以參考表1。在實(shí)踐中，針對(duì)項(xiàng)目特點(diǎn)和實(shí)際情況，可以增刪、重設(shè)或擴(kuò)展指標(biāo)層級(jí)。這些指標(biāo)權(quán)重的確定可以采取層次分析法或?qū)＜艺{(diào)查法，通過計(jì)算得出綜合評(píng)價(jià)結(jié)果。分項(xiàng)和綜合指標(biāo)評(píng)價(jià)結(jié)果可以用于兩個(gè)層面的對(duì)標(biāo)分析：與企業(yè)設(shè)計(jì)開發(fā)時(shí)對(duì)該信息系統(tǒng)的預(yù)期對(duì)比，分析該項(xiàng)目是否達(dá)到了原有的投資目的，是否需要二次開發(fā)等。也可以與行業(yè)內(nèi)相似信息系統(tǒng)的各項(xiàng)指標(biāo)對(duì)比，找到差距和不足并分析原因，以期改進(jìn)信息化項(xiàng)目內(nèi)部管理，提升IT治理。

表1 IT平衡計(jì)分卡指標(biāo)體系參考

3 結(jié)束語

本文介紹了電網(wǎng)企業(yè)信息系統(tǒng)審計(jì)的開展策略，企業(yè)應(yīng)根據(jù)不同時(shí)點(diǎn)對(duì)自身信息系統(tǒng)風(fēng)險(xiǎn)點(diǎn)評(píng)估，選擇相應(yīng)的審計(jì)重點(diǎn)有針對(duì)性地開展專項(xiàng)審計(jì)項(xiàng)目。例如，網(wǎng)絡(luò)安全管理審計(jì)、特定信息系統(tǒng)績效審計(jì)、數(shù)據(jù)安全審計(jì)、通信設(shè)備運(yùn)維審計(jì)等。且信息系統(tǒng)審計(jì)工作大多涉及計(jì)算機(jī)知識(shí)和操作，內(nèi)部審計(jì)人員應(yīng)與IT人員配合進(jìn)行，由審計(jì)部門牽頭，借調(diào)信息化部門及業(yè)務(wù)部門人員進(jìn)行操作或委托具備技術(shù)力量的第三方協(xié)助實(shí)現(xiàn)。隨著國家大數(shù)據(jù)戰(zhàn)略的實(shí)施和智能電網(wǎng)的發(fā)展，信息系統(tǒng)審計(jì)將在完善IT治理，促進(jìn)信息系統(tǒng)風(fēng)險(xiǎn)防控，實(shí)現(xiàn)企業(yè)高質(zhì)量發(fā)展方面發(fā)揮越來越重要的作用。