信息體系審計難題及建議

　　數據分析式計算機輔助審計是要求被審計單位按照審計的需求提供電子數據，審計人員將數據轉換后導入計算機進(jìn)行分析。那么，信息體系審計存在什么難題呢？

　　21世紀是信息化的社會(huì )，計算機技術(shù)不斷進(jìn)步，并在生產(chǎn)領(lǐng)域得到深入應用。特別是會(huì )計電算化的推廣，把以電子計算機為代表的現代化數據處理工具及以信息論、系統論、數據庫、計算機網(wǎng)絡(luò )等新興理論和技術(shù)應用于會(huì )計核算、財務(wù)管理工作中以提高財務(wù)管理水平和經(jīng)濟效益，實(shí)現會(huì )計工作的現代化。目前，越來(lái)越多的企業(yè)開(kāi)始全業(yè)務(wù)的采用信息系統，形成了一個(gè)網(wǎng)絡(luò )經(jīng)濟時(shí)代，各個(gè)企業(yè)、事業(yè)單位的信息化情況表現出了前所未有的綜合性和開(kāi)放性。這種信息化的高度集中帶來(lái)了高效益，但同時(shí)，也帶來(lái)了高度的風(fēng)險，信息系統審計也就在這種歷史背景下應運而生。

　　一、信息系統審計的內涵和外延難以把握

　　隨著(zhù)信息技術(shù)的發(fā)展，信息系統在財務(wù)、管理領(lǐng)域的應用程度不斷提高，功能日趨完善，其軟硬件結構的復雜性和涉及領(lǐng)域的廣泛性以及信息處理技術(shù)更新的頻繁性使得審計人員難以同步把握信息系統審計的內涵和外延。從外延上看，信息系統審計主要包括兩個(gè)部分，一是對信息系統主體的審計，二是對信息系統應用環(huán)境的審計，包括網(wǎng)絡(luò )環(huán)境、使用環(huán)境、管理使用情況等。一般說(shuō)來(lái)，審計信息系統本身相對容易，但審計信息系統的應用環(huán)境卻存在較多不確定因素，比如某公司的信息系統通過(guò)防火墻連接到互聯(lián)網(wǎng)，而在防火墻內還存在其它系統，其它系統是不是也在審計范圍之內?從內涵上看，信息系統審計主要是對信息系統的安全性和可靠性進(jìn)行評估、評價(jià)。安全性、可靠性是一個(gè)比較廣泛的概念，以系統安全性為例，它包括：ISO開(kāi)放系統互連安全體系結構、TCP/IP安全體系、開(kāi)放系統互連的安全管理、安全服務(wù)和功能配置;系統安全涉及的信息安全技術(shù)包括：密碼技術(shù)、訪(fǎng)問(wèn)控制技術(shù)、機密性和完整性保護技術(shù)、數字簽名技術(shù)、抗抵賴(lài)技術(shù)、預(報)警機制、公證技術(shù)、防火墻技術(shù)、漏洞檢測技術(shù)、網(wǎng)絡(luò )隔離技術(shù)、計算機病毒防范等。由于信息技術(shù)本身的限制性，絕大部分信息系統本身均存在安全性問(wèn)題(如防護級別最高、防護技術(shù)最好的美國國防部也常有被攻擊的情況)。

　　把握不準信息系統審計的外延和內涵，就難以解決以下三個(gè)問(wèn)題：一是難以解決審計力量與審計任務(wù)之間的矛盾，難以控制審計風(fēng)險，即不該審的審了，該審的卻未審;二是由于絕大部分信息系統本身均存在安全性問(wèn)題，信息系統審計很容易演變成“信息系統是否存在問(wèn)題源自于審計人員的技術(shù)水平，而不是系統本身的安全性和可靠性”，即，絕大部分信息系統均存在不安全、不可靠因素，就看審計人員能否發(fā)現由于信息系統的安全性問(wèn)題是絕對的，而審計人員的視角和技術(shù)水平是相對的，信息系統審計的成果部分取決于審計人員對信息系統審計內容的把握程度;三是由于審計需要大量的證據支撐，對于未造成損失但信息系統存在不安全隱患的問(wèn)題難以定性,即便是造成了損失，也難以界定這些損失與信息系統不安全、不可靠因素之間聯(lián)系。因此，審計部門(mén)應根據“全面審計、突出重點(diǎn)”及“先易后難”、“先系統本身后系統環(huán)境”的原則，參照國家信息技術(shù)部的有關(guān)標準，界定信息系統工作的外延和內涵，將信息系統審計的主要方向定在：被審計單位的信息系統的安全性、可靠性是否達到應有的水平或標準，而不是系統是否有安全性和可靠性問(wèn)題。

　　二、信息系統審計評價(jià)標準很難確定

　　信息系統安全審計，涉及會(huì )計信息處理自動(dòng)化、表示代碼化、信息處理與存儲集中化、內部控制程序化等諸多廣泛、復雜的計算機專(zhuān)業(yè)技術(shù)環(huán)節，其技術(shù)性較高。而我國信息系統審計正處于起步階段，對審計機關(guān)如何開(kāi)展信息系統審計尚在積極探索中，因此，目前尚沒(méi)有一個(gè)完整的、成熟的具有示范作用的審計案例，也缺少具備實(shí)際指導意義的相關(guān)信息系統審計準則和操作指南。

　　近年來(lái)，國家安全部門(mén)相繼出臺了多個(gè)安全標準，例如公安部出臺的《計算機信息系統安全保護等級劃分準則》(GB17859-1999)、《信息安全等級保護管理辦法》，還有相應的安全技術(shù)規范《信息安全技術(shù)信息系統通用安全技術(shù)要求》(GB/T20271-2006)、《信息安全技術(shù)網(wǎng)絡(luò )基礎安全技術(shù)要求》(GB/T20270-2006)、《信息安全技術(shù)操作系統安全技術(shù)要求》(GB/T20272-2006)、《信息安全技術(shù)數據庫管理系統安全技術(shù)要求》(GB/T20273-2006)、《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)終端計算機系統安全等級技術(shù)要求》(GA/T671-2006)等技術(shù)標準。但在實(shí)際操作中，這些標準在可操作性上還有待提高，一是信息系統安全等級的確定，缺乏一個(gè)等級認定的部門(mén)，目前是由各個(gè)單位自己定級報送，會(huì )存在低報等級風(fēng)險;二是等級要求沒(méi)有量化和詳細解釋?zhuān)�等級認定存在困難。這些都給具體的審計實(shí)務(wù)工作帶來(lái)極大的困難。因此建議審計部門(mén)及時(shí)組織總結實(shí)踐經(jīng)驗，規范信息系統安全審計的有關(guān)概念、審計內容、工作流程和技術(shù)方法、形成信息系統安全審計準則、操作指南或實(shí)務(wù)公告的準則體系，這是信息系統安全審計得以健康發(fā)展的基礎。

　　三、信息系統審計缺乏相應的人才

　　我國目前尚缺乏既熟悉審計業(yè)務(wù)又掌握計算機技術(shù)同時(shí)了解國內標準信息系統流程的復合型人才，進(jìn)行信息系統審計所涉及的知識面非常廣，涉及會(huì )計、審計、管理和計算機等知識，而進(jìn)行信息系統安全性審計主要從系統總體安全、系統運行安全、數據中心安全、硬件設備安全和網(wǎng)絡(luò )安全情況五個(gè)方面來(lái)進(jìn)行，每個(gè)方面都涉及不同的知識點(diǎn)。當對系統總體安全進(jìn)行審計時(shí)，則要求審計人員具有系統總體分析、系統設計和系統安全分析的知識;當對系統運行進(jìn)行審計時(shí)，則要求審計人員具有系統運行管理、系統維護和系統安全管理的知識;當對數據中心安全進(jìn)行審計時(shí)，則要求審計人員具有工程建設、數據中心安全維護和災備等知識;當對硬件設備安全進(jìn)行審計時(shí)，則要求審計人員具有設備采購、設備維護和設備安全分析等知識;當對網(wǎng)絡(luò )安全情況進(jìn)行審計時(shí)，則要求審計人員具有網(wǎng)絡(luò )安全分析和網(wǎng)絡(luò )防范等知識。但在當前情況下，審計人員能夠掌握上述某一方面的知識都已經(jīng)難能可貴，更不用說(shuō)要掌握所有的知識面。建議審計部門(mén)加強對審計人員理論培訓，并組織審計人員進(jìn)行實(shí)踐，通過(guò)實(shí)踐經(jīng)驗來(lái)鞏固理論知識，培養出更多的信息系統審計復合型人才和相應的專(zhuān)業(yè)性人才。

　　四、信息系統審計需要相應的法規支持和成果考核標準

　　我們通常依據《中華人民共和國審計法》、《中華人民共和國審計法實(shí)施條例》及《國務(wù)院辦公廳關(guān)于利用計算機信息系統開(kāi)展審計工作有關(guān)問(wèn)題的通知》(國辦發(fā)〔2001〕88號)的規定：“被審計單位應當按照審計機關(guān)的要求，提供與財政收支、財務(wù)收支有關(guān)的電子數據和必要的計算機技術(shù)文檔等資料”，要求被審計單位提供電子數據，開(kāi)展電子數據式審計工作。但開(kāi)展信息系統安全審計的方法、步驟要求我們必須獲取被審計單位信息系統底層數據庫的數據字典、程序開(kāi)發(fā)文檔、甚至程序源代碼等核心文檔已經(jīng)高級管理用戶(hù)的權限。但事實(shí)上大多數被審計單位也不掌握這些核心文檔，軟件開(kāi)發(fā)公司又以知識產(chǎn)權應收保護為由拒絕提供文檔。特別是要求SAP、Oracle等國外軟件開(kāi)發(fā)商提供開(kāi)發(fā)文檔非常困難。因此，應出臺更為明確的法規以支持信息系統安全審計工作。其次，信息系統審計的實(shí)施需要耗費大量的人力物力，在目前審計機關(guān)工作繁重的背景下，開(kāi)展此項工作需要審計工作方案以及考評指標的支撐。因此，審計相關(guān)部門(mén)應該考慮把信息系統審計納入年初審計工作計劃，并出臺相應的考評標準。

　　五、信息系統審計自身風(fēng)險較大

　　數據分析式計算機輔助審計是要求被審計單位按照審計的需求提供電子數據，審計人員將數據轉換后導入計算機進(jìn)行分析。這種過(guò)程避免了直接操作被審計單位信息系統所帶來(lái)的風(fēng)險。然而，信息系統安全性審計的很多步驟必須要在被審計單位信息系統上直接執行，這種在真實(shí)系統上的操作必然存在安全風(fēng)險。如對電信公司計費系統的審計，如果測試時(shí)間不當或測試用例不完善都可能影響計費系統的正常運行。因此，審計部門(mén)在對被審計單位信息系統進(jìn)行真實(shí)操作前，一定要經(jīng)過(guò)細致的培訓，以免誤操作引起的安全風(fēng)險;盡量選擇凌晨等非業(yè)務(wù)高峰期對系統進(jìn)行測試;測試用例要盡可能簡(jiǎn)單、完善，對正常的業(yè)務(wù)數據不產(chǎn)生影響且易刪除;操作時(shí)必須要有2名以上審計人員，2名以上被審計單位技術(shù)專(zhuān)家同時(shí)在場(chǎng)。同時(shí)，開(kāi)展計算機信息系統審計難以避免被審計單位服務(wù)器與審計人員服務(wù)器以及計算機的數據傳導和交流，與目前審計部門(mén)關(guān)于計算機保密的相關(guān)規定矛盾，基予海量數據的備份和傳輸無(wú)法通過(guò)光盤(pán)刻錄的方法完成，移動(dòng)硬盤(pán)的交叉使用有泄密風(fēng)險。需要對信息系統審計的風(fēng)險和操作手段出臺政策。

【信息體系審計難題及建議】相關(guān)文章：

內部審計信息化評價(jià)指標體系及方法研究11-16

存貨審計的現狀及提高建議12-12

健全農產(chǎn)品信息體系策略討論論文02-26

企業(yè)經(jīng)濟責任審計評價(jià)指標體系研究的論文03-10

探究企業(yè)集團公司內部審計戰略規劃體系構建12-11

論信息系統審計準則在我國的需求與發(fā)展12-07

如何在發(fā)電企業(yè)開(kāi)展信息系統內部審計論文02-20

淺談基于EDA的電子信息類(lèi)創(chuàng )新能力培養體系的構建與實(shí)踐03-07

企業(yè)內部審計中信息化技術(shù)的功效及應用論文02-20